Max-Planck-Institut (MPI) für Kognitions- und Neurowissenschaften

MPI_Logo

Anwender

Max-Planck-Institut (MPI) für Kognitions- und Neurowissenschaften. 600 Nutzer Accounts an 3 Standorten. Von den ca. 1.000 Hosts sind rund 200 Windows Laptops oder PCs, der Rest der Geräte überwiegend Linux-Workstations.

Anforderungen

  • Ablösung des selbstgebauten LDAPs mit Samba 3
  • Zentrale Nutzerverwaltung von Windows und Linux Clients
  • Migration im laufenden Betrieb
  • Open Source Lösung
  • App Center für zukünftige Erweiterungen

Lösung

Einsatz von Univention Corporate Server (UCS) mit integriertem LDAP Server und Samba 4 für Aufbau einer zentralen Nutzerverwaltung.

Fazit

Markus Then, beim Max Planck Institut beauftragt mit der Migration der Nutzerverwaltung vom selbstgebauten LDAP hin zu UCS, zieht rückblickend das Fazit: „Vor allem die komfortable Weboberfläche von UCS und das zentrale Nutzermanagement von Windows und Linux Clients sorgen im laufenden Betrieb für einige Erleichterung. Sehr hilfreich während des Projekts waren die von UCS unterstützten Upgrade Pfade und der Univention Support, der für Fragen jederzeit zur Verfügung stand. Auch werden in Zukunft Updates deutlich einfacher vonstatten gehen. Wünschenswert wäre jetzt noch die Möglichkeit, einfachere Eingabemöglichkeiten für neue Hostobjekte mit mehreren Interfaces in diverse VLANs zu haben.“

Über das Max-Planck-Institut (MPI) für Kognitions- und Neurowissenschaften

Das MPI für Kognitions- und Neurowissenschaften in Leipzig beschäftigt sich mit der Erforschung kognitiver Fähigkeiten und Gehirnprozesse beim Menschen. Untersucht werden dafür u. a. höhere Hirnfunktionen wie Sprache, Emotionen und Sozialverhalten oder plastische Veränderungsvermögen des Gehirns.

Die IT im MPI

In der IT-Abteilung des Instituts sorgen sechs Mitarbeiter dafür, dass die 600 Nutzer Accounts an den 3 Standorten des Instituts möglichst reibungslos funktionieren. Von den insgesamt ca. 1.000 Hosts sind rund 200 Windows Laptops oder PCs und der Rest der Geräte überwiegend Linux-Workstations.

Open Source und Open LDAP als Anforderungen gesetzt

Bisher hatte man in dem Institut mit einem selbstgebauten OpenLDAP und Samba 3, Citrix als zentralem Windows Dienst und Kerberos als Single Sign-On Lösung gearbeitet. Als für neue Windows-Versionen und Terminal-Server auch ein neues Active Directory benötigt wurde, fassten die IT-Verantwortlichen Ende 2016 den Beschluss, die Nutzerverwaltung des Instituts auf Univention Corporate Server zu migrieren. Nach einigen Recherchen hatte man UCS als einziges ausgereiftes Produkt identifiziert, bei dem LDAP das führende System darstellt und das in der Lage ist, eine zentrale Nutzerverwaltung sowohl für Windows als auch für Linux bereitzustellen. Ebenfalls ausschlaggebend war, dass UCS zu 100 % Open Source ist, über eine komfortabel zu bedienende Weboberfläche verfügt und ein eigenes App Center mit Erweiterungen zu UCS und Drittlösungen mitbringt.

Umstellung im laufenden Betrieb mit Hilfe eines cross realm trusts

Eine weitere Anforderung an UCS war, dass die Migration im laufenden Betrieb und ohne größere Ausfälle erfolgen sollte. Dabei erschien den IT-Verantwortlichen eine schlagartige Migration zu riskant, eine Simulation gleichzeitig aber als zu aufwendig bzw. nicht aussagekräftig genug. Daher entschied man sich für eine Migration mit Hilfe eines cross realm trusts im laufenden Betrieb.

Technische Details – Befehle udm und ldapmodify für reibungslose Synchronisation

UCS wurde parallel zu bestehenden Lösungen bereitgestellt. Im Produktivbetrieb erfolgte, in einer Übergangsphase alle 5 Minuten, die Synchronisation der Nutzer und Gruppen von der alten LDAP-Version hin zum UCS-LDAP auf Basis der Befehle udm und – z.B. für den Passwort-Hash – ldapmodify. Außerdem wurden die aktuellen Kerberos-Keys in den dezidierten Heimat KDC von UCS synchronisiert.

Durch die regelmäßige Synchronisation fielen den Verantwortlichen noch weitere Dinge auf, die nach und nach in das Synchronisationsskript eingeflossen sind. So wurde festgelegt, dass die UIDs und GIDs in UCS und in dem alten LDAP aus unterschiedlichen Wertebereichen vergeben werden, damit es bei der regelmäßigen Synchronisation nicht zu Kollisionen kommt.
Auch musste beim Setzen der RID darauf geachtet werden, dass mittels einer UCR Variablen festgelegt wird, dass diese auch ins Samba synchronisiert werden soll. Andernfalls würde die gesetzte RID durch die vom Samba vergebene überschrieben werden.

Die Herausforderungen – LDAP Kerberos Authentifikation

Bei UCS hängt der LDAP-Server am Samba-Kerberos. Da das MPI den dedizierten Heimdal KDC von UCS nutzt und sich Samba-Kerberos und KDC nicht vertrauen, musste als Workaround definiert werden, dass der Kerberos-Schlüssel für den LDAP-Principal aus dem Samba KDC exportiert und in den Heimdal KDC importiert wurde, so dass die Schlüssel und die Realms nun in beiden KDCs identisch sind. Eine kleine Herausforderung stellte auch die Vereinigung der doch recht umfangreichen Verzeichnisdienst-ACLs des Instituts mit denen von UCS dar, ohne dass diese sich gegenseitig in die Quere kommen.

Für die Zukunft geplant

Für die Zukunft möchte man den Einsatz von UCS weiter ausbauen. So möchten die IT-Verantwortlichen bspw. noch einige weitere im Einsatz befindliche Dienste, die auf ältere bzw. speziellere Passwort-Hashes angewiesen sind, an das LDAP von UCS anbinden. Auch soll die Möglichkeit geschaffen werden, einen Namen für ein bestimmtes Interface direkt am Hostobjekt über die Univention Management Console zu vergeben und das Management von VLAN lds für die Zuordnung über einen Radius Server zu ermöglichen. Als weiteres Projekt geplant ist ein Workflow für das Anlegen von Nutzern, bei dem eine bestimmte Nutzergruppe nur allgemeine Informationen an einem Nutzerobjekt eintragen kann und die IT-Abteilung anschließend technische Attribute wie das Homeverzeichnis usw. ergänzt.

Fazit

Markus Then, beim Max Planck Institut beauftragt mit der Migration der Nutzerverwaltung vom selbstgebauten LDAP hin zu UCS, zieht rückblickend das Fazit: „Vor allem die komfortable Weboberfläche von UCS und das zentrale Nutzermanagement von Windows und Linux Clients sorgen im laufenden Betrieb für einige Erleichterung. Sehr hilfreich während des Projekts waren die von UCS unterstützten Upgrade Pfade und der Univention Support, der für Fragen jederzeit zur Verfügung stand. Auch werden in Zukunft Updates deutlich einfacher vonstatten gehen. Wünschenswert wäre jetzt noch die Möglichkeit, einfachere Eingabemöglichkeiten für neue Hostobjekte mit mehreren Interfaces in diverse VLANs zu haben.“