Ubuntu- und Linux-Mint-Clients in UCS-Domänen einbinden: neue Version des Univention Domain Join Assistant

Der Domain Join Assistant für Univention Corporate Server (UCS) bindet Ubuntu- und viele auf Ubuntu basierende Systeme wie Linux-Mint-Clients automatisch in eine UCS-Domäne ein, sodass die händische Konfiguration für Administratoren entfällt. Benutzer*innen können sich anschließend mit ihren UCS-Zugangsdaten am Ubuntu-Desktop anmelden – und zwar an beliebigen Clients in der Domäne.
Das Werkzeug bietet eine grafische Schnittstelle und ein eigenes Kommandozeilentool für die Steuerung auf der Konsole oder im Terminal. Wir haben gerade eine neue Version des Domain Join Assistant veröffentlicht, die aktuelle Ubuntu- und Linux-Mint-Versionen unterstützt und neue Features und Funktionen sowie Verbesserungen unter der Haube enthält. In diesem Artikel möchte ich kurz erklären, wie das Tool arbeitet und die wichtigsten Neuerungen vorstellen.

How To: Videokonferenz-Lösung BigBlueButton für UCS konfigurieren und einfach nutzen

Schulträger und andere Bildungseinrichtungen stehen seit dem Frühjahr vor der Herausforderung, ihre Lehre ohne oder mit eingeschränktem Präsenzunterricht bzw. Präsenzveranstaltungen fortzuführen. Dieser Artikel stellt Ihnen das Web-Konferenz-System BigBlueButton vor, das eine mögliche Lösung für diese Herausforderung sein kann. Im ersten Teil des Artikels möchte ich Ihnen einen Überblick über die wichtigsten Funktionen von BigBlueButton geben und kurz darauf eingehen, worauf Sie beim Sizing der Server achten müssen und wie Sie mit Problemen durch NAT und Firewall der Nutzer*innen umgehen. Im zweiten Teil erkläre ich Ihnen, wie Sie Schritt für Schritt BigBlueButton so in Ihre UCS-Umgebung integrieren, dass die Nutzer*innen es mit Ihren gewohnten Anmeldedaten nutzen können.

Samba 4 und OpenLDAP: SURF setzt auf UCS

SURF ist eine Kooperative niederländischer Bildungs- und Forschungseinrichtungen. Unsere Organisation will unter anderem die Forschung mit HPC (High Performance Computing) fördern. Wir betreiben nationale Super-Computer-Cluster und stellen Rechenleistung, Datentransport, Datenmanagement und -analyse für die niederländische akademische Gemeinschaft bereit, z. B. für Universitäten, Fachhochschulen, berufsbildende höhere Schulen (MBO), UMCs und Forschungseinrichtungen.

Mit (selbsterstellten und signierten) Zertifikaten Kommunikationsprozesse in UCS absichern

Zertifikate – warum und wozu

In diesem Artikel möchte ich Ihnen einen Einblick in das Thema „Absicherung des internetbasierten Austausches von Informationen durch Zertifikate“ geben. Dazu werfe ich einen kurzen Blick zurück auf die Anfänge des Internets und die Verwendung von Protokollen wie HTTP, SMTP, POP… und deren verschlüsselten Transport über SSL bzw. TLS. Vor allem möchte ich Ihnen aber erklären, wie Sie mit Univention Corporate Server öffentliche Zertifikate für die Absicherung Ihrer Datenübertragung nutzen können oder aber auch mit dem Tool Let‘s Encrypt selber vertrauenswürdige Zertifikate dafür erstellen können. Ganz sicher und auch noch kostenfrei.

Anpassungen in Ihrer UCS@School-Umgebung zum Schuljahreswechsel

Ein Schuljahreswechsel ist für viele Beteiligte in den Schulen und auch bei den Schulträgern ein sehr aufwendiger Prozess – zum neuen Schuljahr verlassen viele Schüler*innen eine Schule und ein neuer Jahrgang kommt hinzu. Dementsprechend viele Benutzerkonten für die Schüler*innen müssen gelöscht und ganz neue Konten müssen angelegt werden. Gleichzeitig wechseln die allermeisten Schüler*innen die Klassenstufe und benötigen neue Gruppenzugehörigkeiten und Berechtigungen. Um diese Aufwände für die beteiligten IT-Administratoren und das Verwaltungspersonal in den Schulen so gering wie möglich zu halten, versuchen wir, in UCS@school die dafür nötigen Prozesse so einfach wie möglich zu halten. Im folgenden möchte ich kurz darstellen, welche Möglichkeiten es gibt und zwei Varianten vorstellen, die beide ihre Vor- und Nachteile haben:

Passwort-Hashes zwischen MS Active Directory und UCS-Domäne abgleichen

Schaubild: UCS Kerberos-Hashes

Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.

How-To für Anbindung von WebUntis an UCS@school für Single Sign-on-Anmeldungen

Grafik: SSO mit UCS@school und webUntis
Viele Schulen unserer Schulträger-Kunden verwenden in der Schule die Lösungen Untis und WebUntis. Diese Software ist ein populäres Tool für die Bereitstellung von Stunden- und Vertretungsplänen und kann einfach per Single Sign-on an UCS@school angebunden werden. Da WebUntis häufig und intensiv genutzt wird, möchte ich Ihnen im Folgenden eine kurze und praktische Anleitung geben, wie Sie WebUntis an UCS@school anbinden und für die Nutzer*innen per Single Sign-on zugänglich machen.

UCS@school in den Schulen der Stadt Frankfurt (Oder) – ein Bericht über zehn Jahre Erfahrung Teil 2

Projektbeginn

Im ersten Teil des Artikels haben wir darüber berichtet, vor welchen Herausforderungen die Schulen in Frankfurt Oder und wir als Schulträger vor einigen Jahren beim Aufbau einer modernen IT-Infrastruktur standen. Sie haben erfahren, wie wir die Schulen bei der Konzeptionierung und der Formulierung der Anforderungen an die neue IT beteiligt haben und sie durch größtmögliche Wahlfreiheit bei der Ausgestaltung der jeweiligen Schul-IT ins Boot geholt haben. Und Sie haben erfahren, welche Gründe dafür gesprochen haben, dass wir uns für UCS und UCS@school als Basis der neuen IT entschieden haben.

In diesem Artikel nun geht es um die konkrete Umsetzung des Projekts. Wir beschreiben, wie wir in einer Pilotphase ein virtuelles Serverkonzept mit VMware ESXi und einem zentralen Management getestet haben und die Monitoring Software Nagios implementiert haben. Und Sie erfahren, warum wir uns für die Eigenentwicklung eines Deployments für Linux Clients an den Schulen entschieden haben und worauf wir da technisch geachtet haben. Außerdem lesen Sie, wie wir ein Mobile Device Concept umgesetzt haben, um schuleigene Geräte und die Geräte von Schüler*innen und Lehrkräften mit unterschiedlichen Rollen und Rechten in die schuleigenen Netze eingebunden haben. Und zuletzt möchten wir Ihnen einige aus unserer Sicht grundsätzlichen Erfolgsfaktoren für ein so großes Projekt wie den Aufbau einer modernen, zentral konzipierten und erweiterbaren Schul-IT vorstellen.

Jitsi Meet und das UCS Identity Management

Die gestiegene Nachfrage nach Videokonferenzlösungen hat auch uns im App Center Team in den letzten Wochen mit der Frage beschäftigt, wie wir seitens Univention Firmen, Organisationen und Schulträger helfen können, effektiv digital zu kommunizieren, ohne Aspekte des Datenschutzes außen vor zu lassen. Daher haben wir uns intensiv mit diversen Open-Source-Lösungen für Video Conferencing beschäftigt und in kurzer Zeit Jitsi Meet als App im App Center veröffentlicht und UCS Nutzern zur einfachen Installation bereitgestellt.
Jitsi ist eine vollständig verschlüsselte und zu 100% Open-Source-Videokonferenzlösung. Die Anbindung an den UCS-Verzeichnisdienst via LDAP ist bereits konfiguriert, so dass Administratoren einer UCS-Umgebung zentral über die Univention Management Console (UMC) Nutzer und Nutzerinnenn den Zugriff auf Jitsi mit ihrem gewohnten Benutzernamen und Passwort geben können. Über das UCS-Portal kann Jitsi anschließend einfach aufgerufen werden. In diesem Blogbeitrag möchte ich Ihnen kurz die wichtigsten Installationsschritte zeigen und dann das Hauptaugenmerk auf die unterschiedlichen Anwendungsfälle hinsichtlich der Nutzerauthentifizierung legen. Denn Organisationen können mit Jitsi Meet auf Univention Corporate Server (UCS) gezielt steuern, wie offen sie den Zugang gestalten und welche Benutzer Videokonferenzen abhalten können.

Benutzer registrieren sich selbst – neuer Self Service für SUSE und UCS

In diesem Artikel möchte ich Ihnen über unser Projekt Selbstregistrierung von Nutzern über UCS Self Services berichten, das wir aktuell für die SUSE Software Solutions Germany GmbH und u. a. deren Bugzilla und openSUSE Build Service (OBS) implementiert haben. Auf letzterer Webplattform wird die openSUSE-Distribution entwickelt. Gleichzeitig wird diese auch genutzt, um unter anderem Pakete für die Linux-Distributionen Fedora, Debian GNU/Linux, Ubuntu und natürlich SUSE Linux Enterprise zu bauen. Der OBS beherbergt rund 26.000 Projekte, ca. 190.000 Pakete in 36.000 Repositorys. Etwa 33.000 Entwickler nutzen den Dienst und haben dort einen Account.