Die Herausforderung: Beherrschbare Vielfalt
Seit über zehn Jahren setzt das BfS auf seinen Servern Linux als Betriebssystem ein. Bis 2005 kam dafür eine kundenspezifische Lösung auf Basis von Suse Linux zum Einsatz. Auf Dauer konnte diese jedoch die Anforderungen der Strahlenschutzbehörde, vor allem in Bezug auf einfache Wartung bei gleichzeitig hoher Flexibilität und Verfügbarkeit, nicht erfüllen.
Durch die guten Erfahrungen, die das BfS mit dem freien Betriebssystem gesammelt hatte, bestand der Wunsch nach einer Linux-basierten Lösung. Bei der Entscheidungsfindung spielten aber auch wirtschaftliche Erwägungen eine wichtige Rolle, da eine Umstellung der gesamten Serverlandschaft auf Windows mit hohen Investitionskosten verbunden gewesen wäre.
Die Wahl fiel auf Univention Corporate Server (UCS). UCS sollte von nun an das Herzstück der IT-Landschaft beim BfS mit seinen verschiedenen Standorten bilden, denn gerade bei der Verwaltung von dezentralen IT-Infrastrukturen kann UCS seine volle Stärke ausspielen. Für Univention sprach besonders der professionelle Support sowie die einfache Kommunikation, die der Unternehmenssitz in Deutschland gewährleistet.
So wurde Univention Corporate Server an allen Standorten des Amtes eingeführt. Anfang 2013 entschied man sich, auf die UCS Version 3.1 mit integriertem Samba 4 zu migrieren, um so von den nun verfügbaren Active Directory Funktionen zu profitieren.
Linux Server, Windows Clients
Im Mittelpunkt der Univention-Lösung steht der zentrale Verzeichnisdienst auf Basis von OpenLDAP, der die Authentifizierung der Anwender- und Client-Systeme bei allen Niederlassungen des BfS übernimmt und ein Single Sign-on ermöglicht. Der LDAP-Primary Directory Node am Hauptstandort Salzgitter repliziert seine Daten sowohl lokal als auch über das Netzwerk verschlüsselt an die UCS-Replica Directory Node-Systeme, die sich an den jeweiligen Standorten befinden. Die Replica Directory Node agieren dabei in der Rolle eines Samba/Active Directory Domänencontrollers als lokale Anmelde- und Verwaltungsserver. Das ermöglicht nicht nur eine gleichmäßige Lastverteilung, sondern bietet durch die Georedundanz auch maximale Ausfallsicherheit, da jeder Standort autark einsatzfähig bleibt, auch wenn die Verbindung zum Primary Directory Node in der Zentrale ausfallen sollte.
Die UCS-Umgebung unterstützt das Prinzip der Georedundanz auch bei den E-Mail-Diensten, für die seit der Umstellung auf UCS die Groupware Open-Xchange genutzt wird. So erfolgt auch der E-Mail-Transport dezentral und ist nicht abhängig von der Kommunikation mit dem Primary Directory Node in der Zentrale – ein entscheidender Vorteil gegenüber den üblichen zentral organisierten Microsoft Exchange-Szenarien.
Die Active Directory Funktionen von UCS ermöglichen eine Einbindung vorhandener proprietärer Storage-Systeme verschiedener Hersteller. Eine Eigenschaft, die Dr. Christian Werner, Leiter der IT-Abteilung der Behörde, davon überzeugt, dass: „wir mit Samba 4 jetzt endlich über eine Brückentechnologie verfügen können, die die Windows Welt mit der Open Source Welt wirklich verbindet. Für uns ist das wichtig, weil wir so die Vorteile, die eine Linux Serverlösung bietet, nutzen können und gleichzeitig bei unserer Mitarbeiterschaft auf eine hohe Akzeptanz stoßen, da sie weiterhin ihre gewohnten Windows-Dienste und -Clients nutzen können.“
Während auf dem überwiegenden Teil der Server beim BfS Linux läuft, arbeiten die Client-Systeme in den meisten Fällen mit Windows. Vor allem bei der Verwaltung dieser Windows-Arbeitsplätze nimmt UCS mit integriertem Samba 4 den Systemadministratoren des BfS viel Arbeit ab. Die Desktop-Rechner lassen sich mit der neuen Lösung auch ohne Windows-Domänencontroller bequem installieren und administrieren. Mit Gruppenrichtlinien stehen über Samba/Active Directory zusätzlich auch traditionell Windows-spezifische Verwaltungsmechanismen zur Verfügung, die über die gewohnten Managementwerkzeuge vom Windows-Client aus administriert werden können.
Durch die dynamischen DNS Updates werden auch mobile Clients hervorragend unterstützt. So bekommen beispielsweise die Firmennotebooks durch die dynamische Zuordnung einen logischen Hostnamen, sodass das System ein bestimmtes Gerät an sämtlichen Niederlassungen erkennt, auch nachdem es eine neue IP-Adresse erhalten hat. Dies ist wichtig, wenn Nutzer*innen beispielsweise Unterstützung vom IT-Support benötigt und dieser auf das spezifische Gerät zugreifen muss.
Wir verfügen mit Samba 4 jetzt endlich über eine Brückentechnologie, die die Windows Welt mit der Open Source Welt wirklich verbindet. Für uns ist das wichtig, weil wir so die Vorteile, die eine Linux Serverlösung bietet, nutzen können und gleichzeitig bei unseren Mitarbeitern und Mitarbeiterinnen auf eine hohe Akzeptanz stoßen, da sie weiterhin ihre gewohnten Windows-Dienste und -Clients nutzen können.“ Dr. Christian Werner, Leiter der IT-Abteilung beim BfS
Serverkonsolidierung
UCS ist beim Bundesamt für Strahlenschutz nicht nur für das zentrale Identity-Management und das IT-Infrastrukturmanagement zuständig. Das Server-Komplettpaket leistet auch als DNS- und DHCP-Server gute Dienste. Zudem harmoniert das System mit anderen vom BfS eingesetzten Distributionen, allen voran Oracle Enterprise Linux sowie mit den zahlreichen beim BfS eingesetzten Fachanwendungen auf Basis von Oracle, PostgreSQL, MySQL und JBoss.
Ausblick für das Bundesamt für Strahlenschutz
Die UCS-Systeme beim Bundesamt für Strahlenschutz sind momentan als virtuelle Server implementiert. Das Amt setzt dabei auf die proprietäre Virtualisierungssoftware aus dem Hause VMware. Die IT-Abteilung prüft momentan, ob sich aus wirtschaftlichen Gründen ein Umstieg auf die in UCS integrierten freien Virtualisierungsumgebungen Xen und KVM anbieten würde.
Fazit
Das Bundesamt für Strahlenschutz betrat mit UCS kein Linux-Neuland. Die Behörde setzt bereits seit langer Zeit bewusst auf Flexibilität und Anpassungsmöglichkeiten des freien Betriebssystems und führt diese Tradition mit Univention Corporate Server fort. Seine Stärken spielt UCS beim BfS vor allem im zentralen Identity- und Netzwerkmanagement aus – auch über Standortgrenzen hinweg – genauso wie in der komfortablen Verwaltung der vielen Windows-Client-Systeme. Das System harmoniert dabei – nicht allein durch die Integration von Samba 4 – sehr gut mit den anderen eingesetzten quelloffenen und proprietären Lösungen und erfüllt die hohen Ansprüche des Amts an Hochverfügbarkeit, Stabilität, einfache Verwaltbarkeit und Georedundanz. Die Einführung von UCS beim BfS hat gezeigt, dass es möglich ist, eine wartungsintensive, durch die Jahre gewachsene Server-Landschaft durch eine hochmoderne, leistungsfähige Open Source-Lösung zu ersetzen, ohne dabei den stabilen Betrieb zu gefährden oder sich von einem einzelnen Hersteller oder Dienstleister abhängig zu machen. Die Umstellung aller sechs Standorte auf die aktuelle UCS Version 3.1 hat noch nicht einmal anderthalb Tage in Anspruch genommen. Dr. Christian Werner zieht nach über drei Jahren UCS Einsatz in seiner Behörde eine in allen Belangen positive Bilanz: „Die Univention Lösung ermöglicht uns die effiziente Verschmelzung der proprietären Windows mit der freien Linux Welt und bietet uns so die Möglichkeit, von beiden Welten gleichermaßen zu profitieren. Die Integration von Samba 4 in UCS 3.1 hat das noch weiter perfektioniert. Außerdem bin ich tief beeindruckt davon, wie professionell Entwickler und Support von Univention arbeiten. Ohne deren hervorragende Unterstützung hätten wir sicherlich nicht eine derart reibungslose, schnelle und in ihrem Ergebnis so gute Umstellung unseres Servermanagements verwirklichen können.“
