Fritz-Haber-Institut der Max-Planck-Gesellschaft

Das Fritz-Haber-Institut der Max-Planck-Gesellschaft, kurz FHI, ist ein internationaler Forschungsstandort, an dem Wissenschaftler*innen aus aller Welt die Grundlagen für die chemische Umwandlung von Materie und Energie an Oberflächen und Grenzflächen untersuchen.

Die Forschungstätigkeit am FHI ist thematisch in Abteilungen gegliedert, die selbstständig agieren, aber ein gemeinsames Ziel – die Förderung der Grundlagenforschung, verfolgen.

  • Komplette Ablösung der Microsoft-Server-Infrastruktur
  • Anbindung der Windows Clients an die zentrale Nutzerverwaltung
  • UCS als Domain Controller und Backup Controller für die Windows Clients
  • Anbindung von UCS an das selbst programmierte Verwaltungswerkzeug

Ausgangslage – Technische und lizenzrechtliche Probleme motivierten den Abschied von Microsoft

Der Betrieb von Windows Clients im Unternehmensumfeld bedeutet fast immer, dass diese mittels Active Directory betreut werden. Daher hat das Fritz-Haber-Institut neben den ansonsten immer auf Unix-Maschinen basierenden Serverdiensten auch einige Windows Server betreiben müssen. Aufgrund der Unterschiede zu Unixen bedeutet dies Mehraufwand bei der Wartung.
Dies und die schwer nachvollziehbare Lizenzpolitik von Microsoft haben das Institut dazu bewegt, pünktlich zum neuen Jahrzehnt sämtliche Windows-Instanzen aus dem Serverumfeld mit alternativen Produkten zu ersetzen – sofern möglich Freie Software.

Anforderungen – Einer für alle.

Im Institut wird eine bunte Mischung quasi aller gängigen Betriebssysteme betrieben – es gibt einen Teil Nutzer*innen, die in Eigenverantwortung *nix-Systeme (Linux, MacOS) sowie Windows Clients betreiben. Der Rest wird von der IT-Abteilung betreut. Trotzdem sollen alle Nutzer*innen die Infrastruktur nutzen können. Als erster Teilschritt des Projekts musste daher die Active-Directory-Domäne – natürlich möglichst ohne Störung des Tagesgeschäfts – serverseitig auf einen Linux-Unterbau umziehen. Dazu wurde basierend auf UCS eine neue Domäne angelegt und die Einstellungen der alten Domain importiert.
Im nächsten Schritt mussten nun die auf Windows basierenden Systeme an diese neue Domäne angebunden werden. UCS ist Linux-basiert und damit für die IT-Abteilung des Instituts um einiges einfacher in die bestehende Infrastruktur integrierbar.

Lösung UCS als Domain und Backup Controller für Anbindung der Windows Clients

UCS übernahm in der neuen IT-Infrastruktur die Aufgabe des Domain Controllers und Backup Controllers für die Windows Clients, um deren Benutzerprofile zu verwalten und GPOs auszuspielen. Für die globale Nutzerverwaltung kommt im Fritz-Haber-Institut schon lange eine selbst entwickelte Lösung zum Einsatz. UCS konnte mittels ssh und udm an diese angebunden werden, sodass zentral vorgenommene Änderungen, w. z. B. Benutzer anzulegen, zu bearbeiten oder zu löschen deutlich, einfacher auch an die Rechner in der Windows-Welt übertragen werden konnten.

Von Anfang an stand die Überlegung im Raum, den deutlich in die Jahre gekommenen, aber für viele Authentifizierungsvorgänge genutzten, openLDAP-Server durch UCS komplett zu ersetzen. Denn UCS erlaubte es, diesen quasi zu spiegeln. Aufgrund diverser Altlasten, die während der Implementierung zutage traten und nicht auf triviale Weise zu beseitigen sind, hat man im Institut wieder Abstand von dieser Idee genommen.

Separiert – Betrieb von IT-Services als von einander unabhängige virtuelle Maschinen

Als weitere IT-Services kommen im Fritz-Haber-Institut die Applikationen ONLYOFFICE, Jenkins, Etherpad, Rocket.Chat und einige mehr zum Einsatz. Diese gäbe es auch als App-Paket aus dem Univention App Center für UCS. Da man aber sehr bedacht darauf war, nicht zu viele Abhängigkeiten untereinander aufzubauen, laufen diese Applikationen in Form eigener virtueller Maschinen.

Ausblick

Der verbleibende Windows Server ist nun nur noch der Print Server, der für Windows Clients Treiber und Verbindung zum Drucker bereitstellt. UCS wird diesen ebenfalls ersetzen.