Mit Bareos auf UCS Daten von Linux- und Windows Rechnern zentral sichern und im Katastrophen-Fall wiederherstellen
Regelmäßige Backups im Netzwerk durchzuführen ist eine Pflichtaufgabe. In Zeiten von Locky und anderen Erpressungstrojanern ist es im Schadensfall oft die einzige Möglichkeit, ohne Schutzgeldzahlungen wieder an die eigenen Daten zu kommen. Hier gibt es aber zusätzlich einiges zu beachten.
Wenn man sich unsere Success Stories durchliest, könnte man denken, dass sich UCS vor allem für den Einsatz in Mittel- und Großunternehmen sowie bei Schulträgern und staatlichen Behörden eignet. Während viele dieser tatsächlich UCS benutzen und wir stolz darauf sind, dass sie uns ihr Vertrauen für ihre alltäglichen IT Operationen schenken, fehlt dennoch eine große Kundengruppe. Dies sind all die kleineren “Tante-Emma-Läden” und Shops in unseren Straßen, die 3-Personen-Anwaltskanzleien um die Ecke sowie die kleinen Non-Profit-Organisationen in unserer Nachbarschaft.
Die Univention Management Console (UMC) ist die grafische Weboberfläche von Univention Corporate Server. Im folgenden Video möchte ich Ihnen kurz die wichtigsten Features und Funktionen dieses Tools erklären.
In „Ausfallsicherheit und Lastverteilung durch LDAP-Replikation“ habe ich mich auf die Beschreibung des OpenLDAP-Verzeichnisdienstes von UCS konzentriert. OpenLDAP nützt mir nur leider vergleichsweise wenig, wenn ich in meinem Netzwerk Windows-Systeme betreiben möchte, denn Windows spricht von Haus aus nicht das standardkonforme LDAP-Protokoll, sondern einen besonderen Dialekt, den Microsoft für sein Active Directory gewählt hat. Ich möchte beschreiben, mit welchen in Univention Corporate Server integrierten Technologien wir diesem Umstand begegnen und gehe dabei näher auf eine Replikation via Listener/Notifier für OpenLDAP, DRS-Replikation für das Active Directory und den „Univention S4 Connector“ ein, der zwischen beiden Welten synchronisiert.
Seit einigen Wochen setzen wir im Professional Services Team von Univention sehr erfolgreich git zur Versionskontrolle für unsere Projekte ein. Im Folgenden möchte ich unsere Entscheidung git einzusetzen ein bisschen weiter ausführen, von den ersten, frischen Erfahrungen berichten und einen Ausblick auf die noch offenen Baustellen geben. Vielleicht bekommen Sie für Ihre eigenen Projekte die eine oder andere Anregung oder haben Ideen für uns, wie wir Anforderungen mit git noch besser umsetzen können.
TL;DR
Als ich von unserem Team Professional Services ins Nord-Amerika-Management wechselte, war eine der umwerfendsten Erfahrungen, mich plötzlich im direkten Kontakt mit potenziellen Kunden wiederzufinden. Plötzlich war der bisherige Filter, das deutsche Sales-Team, nicht mehr da und ich musste mich selbst allen Fragen der Kunden stellen und obendrein auch noch erklären, warum eigentlich für bestimmte Dienste etwas bezahlt werden muss.
Schon mit wenigen Mitarbeitern ist die einzelne Verwaltung von Benutzeraccounts für diverse Anwendungen und zugehörige Zugriffsrechte sehr zeitaufwändig. Spätestens wenn sich Zuständigkeiten ändern oder neue Mitarbeiter hinzukommen entsteht schnell ein Wildwuchs bei der IT-Infrastruktur, der nicht nur zeitraubend, sondern auch mit der Zeit immer unsicherer wird. Eine häufige Folge: Die Verwaltung der Benutzer und deren Berechtigungen wird irgendwann vernachlässigt. Je größer das Unternehmen wird, desto bedenklicher und fahrlässiger wird solch eine wild gewachsene Infrastruktur. Um die eigene IT wieder unter Kontrolle zu bringen schafft eine zentrale Benutzerverwaltung in Form eines Identity-Management-Systems Abhilfe.
Herzstück eines Identity-Management-Systems ist oftmals ein sog. LDAP-Verzeichnisdienst, der auch in unserem Univention Corporate Server integriert ist. LDAP steht für Lightweight Directory Access Protocol, bezeichnet also erstmal nur das Protokoll, wobei umgangssprachlich auch gerne von „dem LDAP“ gesprochen wird, wenn eigentlich der LDAP-Verzeichnisdienst gemeint ist.
Auch uns bei Univention beschäftigt natürlich der Angriff auf die IT-Infrastruktur des Bundestages, der sogenannte „Bundestags-Hack“. Zur Erinnerung: Es gab dort offenbar gefälschte E-Mails mit Links zu Schadsoftware. Mehrere der Windows-Rechner im Bundestags-Netzwerk „Parlakom“ waren oder sind von der Schadsoftware befallen, die nach bestimmten Word-Dokumenten gesucht und diese kopiert haben soll. Laut einem Bericht des Tagesspiegels haben die Angreifer dadurch “Administrationsrechte für die Infrastruktur” gewinnen können. Der Angriff lief als sogenannter “Advanced Persistent Threat”, kurz „APT-Attacke“ ab – also ein komplexer und mehrstufiger Angriff auf das IT-Netzwerk „Parlakom“ des Deutschen Bundestages.
Um IT-Systeme zu übernehmen, gibt es eine Reihe von “klassischen” Methoden, wie das Ausnutzen von Sicherheitslücken in der Software, das Abfangen oder Erraten von Kennwörtern (brute-force) oder das Knacken von Kennwort-Hashes. Diese Methoden sind gut bekannt und das Risiko, dass solche Attacken Erfolg haben, lässt sich vergleichsweise einfach reduzieren. Die dazu notwendigen Maßnahmen sind: regelmäßiges, flächendeckendes und zügiges Einspielen von Updates, Verschlüsseln von sensiblen Daten und der Netzwerk-Kommunikation mit modernen Verschlüsselungsstandards, Verwenden von ausreichend langen Kennwörtern, Protokollieren von fehlgeschlagenen Anmeldeversuchen und Sperren der Benutzerkonten bei zu vielen Fehlversuchen, Verwenden von “salted” Passwort-Hashes (zwei identische Passwörter werden durch den Salt zu unterschiedlichen Hashes), Iterieren der Hash-Funktion (rounds) und regelmäßiges Ändern der Kennwörter.
Identity Management (kurz IdM) beschäftigt sich im ersten Schritt mit der Verwaltung von Benutzern oder Ressourcen, deren Daten und Zugängen. In der IT soll mit Hilfe eines Systems (Identity Management System – kurz IdMS) so alle Mitarbeiter bzw. Benutzer und Ressourcen einer Firma und deren Nutzerrechte aber auch Beschränkungen zu firmeneigenen IT Systemen, wie bspw. ERP, CRM, Email Clients oder auch der Telefonanlagen in einem zentralen administrativen Bereich zusammengefasst und verwaltet werden. Das grundlegende Ziel ist die Erhöhung der Sicherheit und Schutz von und zu sensiblen Daten und Systemen, Steigerung der Produktivität und das bei gleichzeitiger Reduzierung von Kosten, Ausfällen und vor allem sich wiederholenden Aufgaben.[1]
Ein gutes Beispiel für ein Identity Management System ist Univention Corporate Server (UCS). Erfahren Sie, wie Sie UCS spielend in eine ganze Reihe von Systemen wie bspw. in die mobydick VoIP Telefonanlage integrieren können:
