Inhaltsverzeichnis

1. Anwaltskanzlei
1.1. Ausgangslage
1.2. Systeme und Dienste
1.3. Verwaltung der Benutzerdaten
1.4. Verwaltung der Microsoft Windows-Rechner
1.5. Datenverwaltung
1.6. Single-Sign-On mit einer juristischen Fachanwendung
1.7. Druckdienste
1.8. Groupware
1.9. Proxy und Webfilter
1.10. Backup
1.11. Ausblick
1.12. Referenzen
2. Mittelständische Maschinenbau-Firma
2.1. Ausgangslage
2.2. Umsetzung
2.3. Domänencontroller / LDAP-Verzeichnis
2.4. Virtualisierung
2.5. Linux Terminal Services
2.6. Druckdienste
2.7. Windows-Terminalserver
2.8. Einbindung von Oracle Solaris-Systemen
2.9. Datenhaltung
2.10. Groupware
2.11. Ausblick
2.12. Referenzen
3. Heterogene Großumgebung im Konzernverbund
3.1. Ausgangslage
3.2. Umsetzung
3.3. Virtualisierung
3.4. Software-Verteilung der UCS-Systeme
3.5. Anbindung von Windows-Clients und Software-Verteilung
3.6. Active Directory-Anbindung
3.7. Groupware
3.8. Compliance-Anforderungen
3.9. System-Monitoring mit Nagios
3.10. Integration des AIX-Systems
3.11. Citrix Terminal Services
3.12. Backup
3.13. Integration von SugarCRM
3.14. Referenzen
4. Schulträger
4.1. Ausgangslage
4.2. Umsetzung
4.3. Verwaltung der Benutzerdaten
4.4. Dienste auf den Schulservern
4.5. Werkzeuge für den pädagogischen EDV-Betrieb
4.6. Management von Schüler-Desktops mit iTALC
4.7. Groupware
4.8. Referenzen

§Kapitel 1. Anwaltskanzlei

§1.1. Ausgangslage

Die Anwaltskanzlei Hemmerlein & Söhne verfügt über insgesamt zehn Mitarbeiter. Die Mitarbeiter arbeiten im Wesentlichen mit Office-Applikationen und einer juristischen Vorgangsbearbeitung, die nur für Microsoft Windows verfügbar ist. Als Client-Betriebssystem wird Microsoft Windows 8 eingesetzt. Alle Daten sollen zentral auf einem Server gespeichert und gesichert werden. Da nur geringes technisches Know-How verfügbar und eigenes technisches Personal nicht finanzierbar ist, wird Wert auf eine einfache Administration gelegt. Die nachfolgend beschriebenen administrativen Tätigkeiten können nach erfolgter Erstinstallation komplett durch einfach zu bedienende webbasierte Schnittstellen konfiguriert werden.

In der Firma existieren insgesamt drei Laserdrucker (zwei baugleiche Schwarz/Weiss-Modelle und ein Farblaserdrucker), die alle in einem zentralen Büro aufgebaut sind. Es werden häufig sehr große Schriftsätze mit hohem Volumen gedruckt.

§1.2. Systeme und Dienste

Univention Corporate Server (UCS) stellt die benötigten Dienste und Anwendungen ``out of the box'' als Komplettlösung zur Verfügung. Es kommt ein einzelnes UCS-System zum Einsatz, das für die Windows-Clients Anmelde- und Dateidienste bereitstellt, die Drucker verwaltet und das Backup der Daten automatisiert.

§

Abbildung 1.1. Systemübersicht der Kanzlei Hemmerlein und Söhne

Systemübersicht der Kanzlei Hemmerlein und Söhne


§1.3. Verwaltung der Benutzerdaten

Für die zehn Mitarbeiter werden im Web-Interface der Univention Management Console Benutzerkonten angelegt. Jeder Mitarbeiter erhält dabei ein Passwort, das - wie alle Benutzerdaten - in einem LDAP-Verzeichnisdienst gespeichert und bei der Anmeldung am Windows-Client abgefragt wird.

§

Abbildung 1.2. Anlegen eines Benutzers in der Univention Management Console

Anlegen eines Benutzers in der Univention Management Console


§1.4. Verwaltung der Microsoft Windows-Rechner

Auf dem UCS-System wird Samba 4 für die Anbindung der Windows-Clients eingesetzt. Samba 4 bietet Domänen-, Verzeichnis- und Authentifizierungsdienste, die kompatibel zu Microsoft Active Directory sind. Diese ermöglichen auch die Verwendung der von Microsoft bereit gestellten Werkzeuge für die Verwaltung von Gruppenrichtlinien (GPOs).

Windows-Clients können direkt der durch UCS bereitgestellten Active Directory-kompatiblen Domäne beitreten und können über Gruppenrichtlinien zentral konfiguriert werden. Der Domänen-Join ist aus Client-Sicht identisch mit dem Beitritt zu einer Windows-basierten Domäne.

§1.5. Datenverwaltung

Samba stellt für jeden Benutzer auf dem UCS-System ein Heimatverzeichnis als Dateifreigabe über das CIFS-Protokoll bereit. Der Benutzer erhält so unabhängig vom angemeldeten Rechner immer dieselben Daten. Die Datenhaltung auf einer Freigabe ermöglicht außerdem eine zentrale Datensicherung.

Darüberhinaus existiert ein zentrale Freigabe mit juristischer Fachliteratur im PDF-Format, die auf jedem Client eingebunden wird.

Freigaben können wie Benutzer ebenfalls webbasiert in der Univention Management Console angelegt werden.

§1.6. Single-Sign-On mit einer juristischen Fachanwendung

Die Kanzlei greift auf einen webbasierten juristischen Fachdienst zu. Dieser benutzt eine eigenständige Benutzerverwaltung. Um zu vermeiden das Benutzerkennungen und Passwörter doppelt gepflegt werden müssen wird der UCS SAML Identity Provider eingebunden. SAML (Security Assertion Markup Language) ist ein XML-basierter Standard zum Austausch von Authentifizierungsinformationen, der u.a. Single-Sign-On über Domänengrenzen hinweg erlaubt. Der juristische Fachdienst wird über ein kryptografisches Zertifikat fest registriert und vertraut dann dem UCS Identity Provider. Der Benutzer authentifiziert sich dann nur noch in UCS und kann den eingebundenen juristischen Dienst ohne erneute Authentifizierung nutzen. Der SAML Identity Provider kann über das Univention App Center installiert werden.

§1.7. Druckdienste

Das UCS-System stellt über die Software CUPS Druckdienste bereit. Es können sowohl netzwerkfähige Drucker, als auch lokal an einen Rechner angeschlossene Drucker zentral administriert werden. Die drei Drucker können bequem über die Univention Management Console konfiguriert werden und stehen den Benutzern auf ihren Windows-Clients direkt zur Verfügung. Die beiden baugleichen Laserdrucker werden dabei zu einer Druckergruppe zusammengefasst: Das bedeutet, das die Benutzer neben der gezielten Auswahl eines Druckers auch die Möglichkeit erhalten, auf einen Pseudodrucker zu drucken. Die Druckaufträge werden dabei reihum um die beiden Drucker der Druckergruppe verteilt. Bei belegten Druckern wird auf einen freien Drucker ausgewichen, so dass Wartezeiten vermieden werden.

§1.8. Groupware

Auf dem UCS-System wird über das App Center Zarafa4UCS installiert, eine Integration der Groupware Zarafa Collaboration Platform in UCS. Zarafa greift dabei auf die Benutzerkontoinformationen des UCS-Verzeichnisdienstes zu. Die Verwaltung integriert sich nahtlos in die Univention Management Console. Die Mitarbeiter verwenden zur Terminabstimmung Microsoft Outlook 2010.

Virenerkennung inkl. Signaturen-Updates und Spamfilterung sind ohne weitere Folgekosten integriert.

§1.9. Proxy und Webfilter

Ein Webfilter auf Basis von Squid und DansGuardian ist in UCS integriert und führt mit dem integrierten Virenscanner ClamAV eine Prüfung des Webdatenverkehrs auf Viren durch. Dadurch werden auf Webseiten versteckte Trojaner erkannt und ausgefiltert. Auch potentiell gefährliche Dateien wie ausführbare Dateien können blockiert werden.

§1.10. Backup

Alle Daten (sowohl die Daten der Benutzer im Heimatverzeichnis als auch die Daten auf der zentralen Freigabe für Fachliteratur) liegen auf dem UCS-System und können deshalb zentral auf einen Streamer gesichert werden. UCS bringt dafür die Backup-Software Bacula mit, die flexibel auf verschiedene Sicherungs- und Archivierungsstrategien angewendet werden kann.

§1.11. Ausblick

Für den geplanten Zusammenschluss mit einem weiteren Büro in München kann einfach ein weiteres UCS-System in dieser Filliale installiert werden. Alle LDAP-Daten werden dann automatisch und verschlüsselt an den Standortserver übertragen, so dass Mitarbeiter sich bei Vorort-Terminen am Münchner Standort mit ihren gewohnten Benutzerkennungen anmelden.

Das am Münchner Standort schon bestehende Active Directory kann mit Univention AD Takeover automatisiert in die UCS-Domäne migriert werden.

§Kapitel 2. Mittelständische Maschinenbau-Firma

§2.1. Ausgangslage

Ganupa Technologies ist einer der wichtigsten Hersteller für Walzstahlfräsen. Am Firmensitz in Deutschland arbeiten 260 Mitarbeiter in Produktion, Verwaltung, Konstruktion und Vertrieb. Außerdem gibt es in den USA, Argentinien und Indien lokale Standorte mit 5-10 Mitarbeitern.

Auf dem Desktop kommt überwiegend Linux zum Einsatz. Die Mitarbeiter aus Konstruktion und Entwicklung sind auf Linux-Software angewiesen und benötigen einen frei konfigurierbaren Desktop.

Für die Mitarbeiter aus der Verwaltung und dem Vertrieb soll nur eine Office-Suite, ein E-Mail-Client und ein Browser angeboten werden. Der Desktop soll von den Benutzern nicht "zerspielt" werden können.

Eine Buchhaltungssoftware, die von einigen Benutzern benötigt wird, ist nur unter Microsoft Windows verfügbar. Ein Teil der Konstruktion muss mit einer CAD-Software erfolgen, die nur für Oracle Solaris verfügbar ist.

Die Administration der Rechner soll möglichst zentralisiert erfolgen. Während in der Zentrale zwei EDV-Mitarbeiter arbeiten, ist an den drei externen Standorten kein technisches Personal verfügbar.

Um Arbeitsausfälle durch Störungen zu vermeiden, muss der Großteil der angebotenen Dienste redundant bereitgestellt werden.

Um Energie zu sparen und Wartungskosten zu minimieren, sollen für die Mitarbeiter in Verwaltung und Vertrieb Thin Clients (festplattenlose Rechner) zum Einsatz kommen. Da keine lokalen Daten oder Konfigurationen gespeichert werden, kann ein defekter Thin Client problemlos auch durch nicht-technische Mitarbeiter ersetzt werden.

Ein Proxy-Server soll den Netzwerkverkehr in einem Cache zwischenspeichern und Virenschutz anbieten.

Für die Koordination der weltweit verteilten Arbeitsabläufe wird eine Groupwarelösung benötigt.

Alle Nutzdaten werden zentral auf einem Storage Area Network (SAN) gespeichert.

§2.2. Umsetzung

§

Abbildung 2.1. Systemübersicht von Ganupa Technologies am zentralen Standort (die Virtualisierung wird in diesem Schaubild nicht berücksichtigt)

Systemübersicht von Ganupa Technologies am zentralen Standort (die Virtualisierung wird in diesem Schaubild nicht berücksichtigt)


§

Abbildung 2.2. Globaler Systemaufbau von Ganupa Technologies

Globaler Systemaufbau von Ganupa Technologies


§2.3. Domänencontroller / LDAP-Verzeichnis

Das Unternehmen implementiert eine Infrastruktur bestehend aus einem UCS Domänencontroller Master (DC Master), einem UCS Domänencontroller Backup (DC Backup), mehreren UCS Domänencontroller Slave (DC Slave) und Thin Clients.

Der DC Master ist das Kernstück der UCS-Domäne. Auf diesem System wird die zentrale schreibbare Kopie des LDAP-Verzeichnisdienstes vorgehalten.

Der DC Backup stellt weitgehend eine Kopie des DC Master dar. Dadurch sind alle wichtigen Dienste doppelt im Netzwerk vorhanden, die Verfügbarkeit der Dienste wird also weiter erhöht und die Last zwischen den UCS Domänencontrollern verteilt.

Sollte der DC Master durch einen Hardwaredefekt ausfallen, kann der DC Backup innerhalb kürzester Zeit zu einem DC Master umgewandelt werden.

Der DC Master und der DC Backup stehen in der Firmenzentrale. Die beiden UCS-Systeme betreiben einen LDAP-Server und bieten Anmeldedienste für die Domäne an. Für ein zentrales IP-Management läuft auf beiden Systemen ein mit Daten aus dem LDAP-Verzeichnis gepflegter und somit redundanter DNS- und DHCP-Server. Auf dem DC Backup ist ein Druckserver eingerichtet.

§2.4. Virtualisierung

Alle Serversysteme in der Umgebung von Ganupa Technologies sind mit UCS Virtual Machine Manager (UVMM) virtualisiert. Zum Einsatz kommt dabei ausschliesslich Open Source-Software.

Als Grundlage der Virtualisierung dienen Virtualisierungsserver auf Memberservern (UCS-Serversysteme ohne lokalen LDAP-Server). Auf diesen laufen jeweils ein bis mehrere virtuelle Maschinen mit der Virtualisierungslösung KVM. UCS- und Windows-Systeme werden paravirtualisiert betrieben, d.h. durch einen Zugriff der virtualisierten Systeme auf die Ressourcen der Wirtsysteme kann ein höherer Durchsatz erzielt werden. Paravirtualisierungstreiber für Xen und KVM werden von Univention als signierte MSI-Installationspakete bereitgestellt und können so einfach installiert werden.

§

Abbildung 2.3. Verwaltung virtueller Maschinen mit UVMM

Verwaltung virtueller Maschinen mit UVMM


Alle virtuellen Maschinen können über den webbasierten UCS Virtual Machine Manager komfortabel angelegt und verwaltet werden. Werden Wartungsarbeiten an einem Virtualisierungsserver nötig, so können die auf diesem System laufenden virtuellen Maschinen im laufenden Betrieb auf einen anderen Server migriert werden.

Snapshots ermöglichen einen einfachen Rollback von Updates im Fehlerfall.

Der Zugriff auf die virtuellen Maschinen wird durch eine Bibliothek abstrahiert, so dass alternativ zu KVM auch die Virtualisierungslösung Xen eingesetzt werden kann.

§2.5. Linux Terminal Services

In der Firmenzentrale sind vier Domänencontroller Slave-Systeme installiert. Sie dienen als Linux-Terminalserver, auf die mit Thin Clients zugegriffen wird.

Die Anwendungen der Benutzer werden auf den Terminalservern ausgeführt, während die Thin Clients die Anwendungen lediglich darstellen und Benutzereingaben an den Terminalserver übermitteln. Der Bildschirminhalt wird durch den RDP-Server xrdp bereitgestellt, die Übertragung erfolgt daher bandbreitenschonend über das Remote Desktop Protocol (RDP).

Die Benutzerdaten werden auf dem zentralen SAN gespeichert. Die dafür verwendete Freigabe wird durch die Univention Management Console verwaltet.

Auf den Linux-Terminalservern kommt der Univention Corporate Client (UCC) mit dem Desktop KDE 4 zum Einsatz. Alle für den Bürobetrieb wichtigen Anwendungen werden mitgeliefert (Textverarbeitung, Datenbanken, Präsentationen und Tabellenkalkulation mit LibreOffice, Bildverarbeitung mit GIMP, Mozilla Firefox als Web-Browser, Mozilla Thunderbird als Groupware- und Mailclient, Multimedia-Applikationen für das Abspielen von Musik und Videos und zum Brennen von DVDs/CDs).

§

Abbildung 2.4. Zentral verwalteter Univention Corporate Client

Zentral verwalteter Univention Corporate Client


Für verschiedene Benutzergruppen existieren vorkonfigurierte Desktops, in denen je nach Tätigkeit verschiedene Applikationen vorkonfiguriert sind. So verwendet etwa die Verwaltung einen Desktop, auf dem nur Mozilla Firefox und LibreOffice eingerichtet sind, während die technischen Mitarbeiter aus einem breiteren Applikationsumfang schöpfen können.

§2.6. Druckdienste

Druckaufträge werden über einen Print-Server an den gewünschten Drucker weiterleitet. Die Print-Server werden mit CUPS realisiert, das die verschiedenen Drucker in ein zentrales Spooling einbindet.

In einigen Großraumbüros sind mehrere Drucker zu einer Druckergruppe zusammengefasst; die Benutzer drucken einfach auf diese Gruppe, wobei die Druckaufträge gleichmässig verteilt werden und der nächste freie Drucker verwendet wird. Die Benutzer müssen so nicht prüfen ob ein Drucker gerade in Verwendung ist.

Außerdem ist jedem Drucker ein Seitenpreis zugeordnet. Dadurch können pro Benutzer die angefallenen Druckkosten ermittelt werden. Dies kann auch mit einer Limitierung von zu druckenden Seiten verbunden werden, die aber in der Umgebung nicht zum Einsatz kommt.

§2.7. Windows-Terminalserver

Für die Windows-Programme wird durch Samba 4 eine Windows-Domäne realisiert, in die ein Windows-Terminalserver als Mitgliedsserver eingebunden wird. Auf diesem Server wird die Buchhaltungssoftware betrieben, die nur unter Microsoft Windows läuft. Diese wird durch einen RDP-Client nahtlos auf den Linux-Desktops dargestellt.

§

Abbildung 2.5. Integration einer Windows-Applikation in den Univention Desktop Client

Integration einer Windows-Applikation in den Univention Desktop Client


Die Linux- und die Samba 4-Domäne verwenden dieselben Benutzerdaten und Benutzer können von Linux und Microsoft Windows aus auf ihr Heimatverzeichnis zugreifen.

§2.8. Einbindung von Oracle Solaris-Systemen

Eine Fachanwendung für CAD-Konstruktionen ist nur für Oracle Solaris verfügbar. Die Namensdienste auf dem Solaris-System wurden auf eine Authentifizierung gegen das UCS-LDAP angepasst, d.h. Benutzer können sich auf dem Solaris-System mit ihrer Domänen-Benutzerkennung und -Passwort anmelden. Die zusätzliche Pflege lokaler Benutzerkonten auf dem Solaris-System entfällt so.

Das Solaris-System erhält seine IP-Adresse über DHCP von den UCS-DHCP-Servern zugewiesen. Die Datenspeicherung erfolgt auf den UCS-Fileservern über eine NFS-Freigabe.

§2.9. Datenhaltung

Die Speicherung aller Benutzerdaten erfolgt auf einem zentralen SAN-System. Die verschiedenen Freigaben werden in der Univention Management Console angelegt und verwaltet. Die Linux- und Solaris-Clients greifen über das Network Filesystem (NFS) auf die einzelnen Freigaben zu, die Windows-Clients über das CIFS-Protokoll.

§2.10. Groupware

Ganupa Technologies verwendet die Groupwarelösung Open-Xchange Server Edition zur Abstimmung von Terminen, Kontakten und Aufgaben.

Der Groupware-Server wird als Domänencontroller Slave-System in der Amazon EC2-Cloud betrieben. Dies erlaubt eine flexible Skalierung des Groupwaresystems auf wachsende Leistungs- und Speicherplatzanforderungen. Die Installation erfolgt mit wenigen Klicks aus dem App Center.

Die Verwaltung der Groupware-relavanten Attribute integriert sich nahtlos in die Univention Management Console. Die Mitarbeiter greifen auf die Groupware über den Open-Xchange-Web-Client und Mozilla Thunderbird zu.

Mobile Endgeräte (Smartphones und Tablets) werden über das Microsoft ActiveSync-Protokoll integriert.

Virenerkennung inkl. Signaturen-Updates und Spamfilterung sind ohne weitere Folgekosten integriert.

§2.11. Ausblick

Zu einem späteren Zeitpunkt soll der Internet-Zugriff zentral über einen Web-Proxy kanalisiert und auf Viren und Malware geprüft werden.

UCS bietet hierfür eine Integration des Web-Proxy Squid und des Virenscanners ClamAV.

Alternativ kann auch die Anschaffung einer spezialisierten Appliance erwogen werden, die die Benutzer dann gegen den UCS-LDAP-Server authentifzieren kann.

§Kapitel 3. Heterogene Großumgebung im Konzernverbund

§3.1. Ausgangslage

Die Hanseatische Marineversicherung (HMV) ist ein auf den Logistikbereich spezialisierter Versicherungsdienstleister mit 1800 Mitarbeitern. Die HMV ist ein Bestandteil der Konzernmutter Vigil Insurances.

Die Konzernmutter betreibt einen eigenständigen Verzeichnisdienst auf Basis von Microsoft Active Directory, die Pflege der Benutzerdaten der einzelnen Tochterfirmen erfolgt jedoch autark.

Die Mitarbeiter arbeiten an insgesamt 36 Standorten weltweit, der grösste davon der Stammsitz in Bremen mit ca. 250 Personen. Viele der Benutzer arbeiten als Vertreter oder Gutachter mobil mit Notebooks.

Auf den Desktops kommt durchgehend Microsoft Windows 7 zum Einsatz. Die Softwareverteilung und Installation von Sicherheitsupdates erfolgt zentralisiert.

In der Zentrale soll aufgrund einer übergeordneten Konzernrichtlinie Citrix XenApp eingesetzt werden, die Benutzer greifen dann mit Thin Clients darauf zu.

Die Groupware wird durch Microsoft Exchange zentral von der Konzernmutter bereitgestellt.

Alle Benutzer, Rechner und Dienste sollen zentral verwaltbar sein. Kritische Systemzustände sollen zeitnah per E-Mail und SMS gemeldet werden.

Alle Serversysteme in der Zentrale sollen virtualisiert werden. Aufgrund der daraus erwachsenden erheblichen Bedeutung der Virtualisierung muss dafür eine Open Source-Lösung zum Einsatz kommen.

Die Datensicherung erfolgt zentral in Bremen.

Verschiedene internationale Compliance-Anforderungen aus dem Versicherungssektor müssen erfüllt werden.

Eine Spezialapplikation für die Versicherungswirtschaft wird auf einem POWER7-System mit IBM AIX betrieben. Die Benutzer auf diesem System sollen nicht doppelt gepflegt werden.

§3.2. Umsetzung

Das Unternehmen implementiert eine Infrastruktur bestehend aus einem Domänencontroller Master (DC Master), einem Domänencontroller Backup (DC Backup), mehreren Domänencontroller Slave (DC Slave) mit Univention Corporate Server (UCS) und 150 Thin Clients.

Der DC Master ist das Kernstück der UCS-Domäne. Auf diesem System wird der zentrale, schreibbare LDAP-Verzeichnisdienst vorgehalten.

§

Abbildung 3.1. Gesamtüberblick (nicht im Bild: Storage, DNS, DHCP, Druckdienste, Virtualisierung, Backup)

Gesamtüberblick (nicht im Bild: Storage, DNS, DHCP, Druckdienste, Virtualisierung, Backup)


Der DC Backup stellt weitgehend eine Kopie des DC Master dar. Dadurch sind alle wichtigen Dienste doppelt im Netzwerk vorhanden, die Verfügbarkeit der Dienste wird also weiter erhöht und die Last zwischen den Domänencontrollern verteilt.

Sollte der DC Master durch einen Hardware-Defekt ausfallen, kann der DC Backup innerhalb kürzester Zeit zum DC Master umgewandelt werden.

Der DC Master und der DC Backup stehen in der Firmenzentrale. An den Standorten finden sich weitere Domänencontroller Slave-Systeme, die Windows-Domänendienste, Druckdienste und eine Softwareverteilung bereitstellen.

§

Abbildung 3.2. Aufbau eines Standort-Servers

Aufbau eines Standort-Servers


§3.3. Virtualisierung

Alle Serversysteme in der Umgebung der HMV sind mit UCS Virtual Machine Manager (UVMM) virtualisiert. Zum Einsatz kommt dabei ausschliesslich Open Source-Software.

§

Abbildung 3.3. Verwaltung virtueller Maschinen mit UVMM

Verwaltung virtueller Maschinen mit UVMM


Als Grundlage der Virtualisierung dienen Virtualisierungsserver auf UCS-Memberservern (Serversysteme ohne lokalen Verzeichnisdienst). Auf diesen laufen jeweils ein bis mehrere virtuelle Maschinen mit der Virtualisierungslösung Xen. UCS- und Windows-Systeme werden paravirtualisiert betrieben, d.h. durch einen Zugriff der virtualisierten Systeme auf die Ressourcen der Wirtsysteme kann ein höherer Durchsatz erzielt werden.

Alle virtuellen Maschinen können über den webbasierten UCS Virtual Machine Manager komfortabel angelegt und verwaltet werden. Werden Wartungsarbeiten an einem Virtualisierungsserver nötig, so können die auf diesem System laufenden virtuellen Maschinen im laufenden Betrieb auf einen anderen Server migriert werden.

Der Zugriff auf die virtuellen Maschinen wird durch eine Bibliothek abstrahiert, so dass alternativ zu Xen auch die Virtualisierungslösung KVM eingesetzt werden kann.

§3.4. Software-Verteilung der UCS-Systeme

Für die UCS-Domänencontroller wurden Installationsprofile erstellt. Mit diesen Profilen können mit dem Univention Net Installer PXE-basiert neue Systeme ausgerollt werden oder ggf. Systeme nach einem Hardwareausfall wieder hergestellt werden. Die Installation läuft dabei ohne weitere Benutzerinteraktion ab.

Für die Installation von Release-Updates und die Nachinstallation von Software-Paketen wird auf einem Server in der Zentrale eine zentrale Paket-Installationsquelle - das Repository - eingerichtet. Alle installierbaren Software-Pakete und -Updates werden dort vorgehalten.

Durch Richtlinien in der Univention Management Console kann die Softwareverteilung zentral gesteuert werden. Zu einem frei wählbaren Zeitpunkt oder beim Herunterfahren/Starten des Systems werden dann Updates eingespielt oder Software-Pakete nachinstalliert.

Alle Systeme tragen die installierten Pakete automatisch in eine zentrale SQL-Datenbank ein, so dass ein Überblick über den Softwarebestand stets gewährleistet ist. Sicherheitsupdates für UCS werden zeitnah zum Download bereitgestellt und können ebenfalls automatisiert eingespielt werden.

§3.5. Anbindung von Windows-Clients und Software-Verteilung

In der HMV wird Samba 4 für die Anbindung der Windows-Clients eingesetzt. Samba 4 bietet Domänen-, Verzeichnis- und Authentifizierungsdienste, die kompatibel zu Microsoft Active Directory sind. Diese ermöglichen auch die Verwendung der von Microsoft bereit gestellten Werkzeuge für die Verwaltung von Gruppenrichtlinien (GPOs).

Windows-Clients können direkt der durch UCS bereitgestellten Active Directory-kompatiblen Domäne beitreten und über Gruppenrichtlinien zentral konfiguriert werden. Der Domänen-Join ist aus Client-Sicht identisch mit dem Beitritt zu einer Windows-basierten Domäne.

Auf den Windows-Clients läuft die Open Source-Softwareverteilung opsi. Sie ermöglicht auf den Windows-Clients eine weitgehend automatisierte Verteilung von Sicherheitsupdates und Windows-Updates sowie den Rollout von Software-Paketen. Die Konfiguration von opsi integriert sich durch opsi4UCS in das UCS-Managementsystem.

OPSI wird auch für den Rollout neuer Windows-Systeme verwendet. Diese werden über PXE automatisch installiert.

§3.6. Active Directory-Anbindung

Der UCS Active Directory Connector (kurz AD Connector) ermöglicht eine Synchronisation von Verzeichnisdienstobjekten zwischen einem Microsoft Windows 2000/2003/2008/2012 Server mit Microsoft Active Directory (AD) und dem OpenLDAP-Verzeichnisdienst in Univention Corporate Server.

Die Synchronisationseinstellungen können individuell festgelegt werden. Der Administrator erhält dadurch die Möglichkeit, die Synchronisation exakt zu steuern und nur ausgewählte Objekte und Attribute abzugleichen.

Der UCS-Verzeichnisdienst synchronisiert sich mit dem Microsoft Active Directory-Verzeichnis des Mutterkonzerns. Die Replikation umfasst alle Container, Organisationseinheiten, Benutzer und Gruppen. Die Benutzer nehmen eine Sonderstellung ein, da das Passwort im Microsoft Active Directory nicht über LDAP abgefragt werden kann. Hierfür wird ein zusätzlicher Dienst auf dem Microsoft Windows-Server installiert, der diese Passwortsynchronisation ermöglicht.

Die Rechnerkonten werden nicht synchronisiert, da Windows-Rechner nur in eine Domäne eingebunden sein können. Alle Windows-Clients sind in die UCS-Samba-4-Domäne gejoint.

§3.7. Groupware

Die Groupware wird in Form von Exchange Server 2010 komplett durch die Konzernmutter Vigil Insurances bereitgestellt, auf das die Benutzer mit Outlook 2010 und Outlook WebAccess zugreifen.

Durch die Anbindung des UCS-Verzeichnisdienstes and das Active Directory der Konzernmutter erfolgt die Authentifizierung mit der gleichen Benutzernamen/Passwort-Kombination.

Da in beiden Domänen die gleichen Benutzereinstellungen greifen, können Benutzer transparent auf Dienste beider Umgebungen zugreifen. So kann etwa ein Benutzer sich sowohl an seinem Notebook am UCS-Verzeichnisdienst als auch am Citrix-Server im Microsoft Active Directory mit dem selben Benutzernamen und Kennwort anmelden.

§3.8. Compliance-Anforderungen

Die HMV muss eine Reihe von Compliance-Anforderungen im Versicherungswesen erfüllen:

  • Alle LDAP-Schreibzugriffe müssen verifizierbar sein. Hierzu wird der Univention Directory Logger eingesetzt. Dieser schreibt jede LDAP-Änderung in eine gesicherte Transaktionslogdatei, die über Prüfsummen revisionssicher protokolliert wird.
  • Die Benutzerdaten müssen zeitnah für eine Betriebsprüfung abrufbar sein. Hierfür kann über Univention Directory Reports aus der Univention Management Console heraus ein PDF-Dokument oder eine CSV-Datei über alle oder einige Benutzer und Gruppen erstellt werden.
  • Es müssen Qualitätsstandards für Passwörter etabliert werden. In UCS kann für Passwörter beispielsweise eine Mindestanzahl von Klein- und Großbuchstaben, Sonderzeichen oder Ziffern konfiguriert werden. Außerdem können Passwörter gegen Listen unsicherer Passwörter (z.B. secret) abgeglichen werden.

§3.9. System-Monitoring mit Nagios

UCS integriert die Systemüberwachungssoftware Nagios, die die Überwachung komplexer IT-Strukturen aus Netzen, Rechnern und Diensten ermöglicht. Nagios bringt eine umfassende Sammlung an Überwachungsmodulen mit, die ggf. auch noch erweitert werden können.

Die Konfiguration von Nagios erfolgt weitestgehend in der Univention Management Console.

Über eine webbasierte Oberfläche kann der Zustand der überwachten Objekte einfach abgefragt werden. Darüber hinaus wird Nagios so konfiguriert, dass beim Auftreten von Fehlern E-Mails an die Administratoren verschickt werden. Für gravierende Fehler werden SMS-Kurznachrichten verschickt.

§

Abbildung 3.4. Systemüberwachung auf einem Server

Systemüberwachung auf einem Server


Nagios-Prüfungen können zeitlich eingeschränkt werden, so dass unkritische Werte beispielsweise nachts keine Meldungen auslösen.

§3.10. Integration des AIX-Systems

Die Versichungspolicen werden mit einer Applikation verwaltet, die nur auf hochverfügbaren POWER7-Systemen mit IBM AIX betrieben werden kann.

In der Vergangenheit wurden alle Benutzer, die auf dem System arbeiten, doppelt in der lokalen Benutzerdatenbank des AIX-Systems gepflegt. Auf dem AIX-System läuft nun der secldapclntd-Dienst, der sämtliche Authentifizierungsvorgänge gegen das UCS-LDAP-Verzeichnis durchführt.

§3.11. Citrix Terminal Services

In der Zentrale arbeiten 150 Benutzer mit Terminaldiensten auf Basis von Citrix XenApp. Der XenApp-Terminalserver läuft auf einem Microsoft Windows Memberserver, der in die Samba 4-Domäne gejoint ist.

Der Zugriff auf die Citrix-Server erfolgt durch Thin Clients, die mit Univention Corporate Client (UCC) betrieben werden: Die Thin Clients werden im UCS-Managementsystem angelegt und konfiguriert (die IP-Adresse kann beispielsweise zentral per DHCP zugewiesen oder die Bildschirmauflösung zentral vorgegeben werden). Die von den Benutzern verwendeten Terminaldienste werden benutzerbezogen konfiguriert; die Konfiguration erfolgt über die Benutzer-Verwaltung der Univention Management Console.

§3.12. Backup

Für die Datensicherung kommt SEP sesam zum Einsatz. Es bietet ein verteiltes Sicherungskonzept mit verschiedenen Backup-Agenten, die sowohl komplette Systeme als auch Daten sichern können. Für die Sicherung von Datenbanken stehen etwa gesonderte Agenten zur Verfügung. Alle Daten werden von den Standort-Servern in die Zentrale kopiert und dort auf Bandmedien gesichert. Die Installation erfolgt mit wenigen Klicks aus dem App Center.

Distributed Replicated Block Device (DRBD) wird für die Spiegelung von Festplatten-Partitionen und anderen Blockgeräten über das Netzwerk zwischen zwei Servern verwendet. Dabei werden alle lokalen Schreibzugriffe zusätzlich über das Netzwerk an den zweiten Server übermittelt. Je nach Konfiguration besteht die Möglichkeiten einen Schreibzugriff auf die Festplatte erst dann als erfolgreich zu erachten, wenn dieser sowohl auf dem lokalen Server, als auch auf dem zweiten Server erfolgreich ausgeführt wurde. Somit besitzen beide Server zu jedem Zeitpunkt eine identische Kopie einer Festplatten-Partition.

§3.13. Integration von SugarCRM

Als CRM-Lösung für Vertriebsmitarbeiter wird SugarCRM eingesetzt. Die Verwaltung der SugarCRM-Benutzer- und -rollen integriert sich direkt in die Univention Management Console. Die Installation erfolgt mit wenigen Klicks aus dem App Center.

Die Installation wird als Domänencontroller Slave-System in der Amazon EC2-Cloud betrieben. Dies stellt eine hohe Erreichbarkeit sicher und erlaubt eine flexible Skalierung auf wachsende Leistungs- und Speicherplatzanforderungen.

§Kapitel 4. Schulträger

§4.1. Ausgangslage

Der Landkreis Rechtwede ist Schulträger für insgesamt acht Grundschulen, Gesamtschulen, Berufsschulen und Gymnasien.

Die Schulen haben in der Regel ein oder zwei Rechnerräume mit 20-30 PCs, an der Berufsfachschule Technik gibt es insgesamt neun PC-Pools mit zusammen 260 Rechnern.

Die Betreuung der PCs - etwa die Installation von Software - wird von interessierten Lehrern und teilweise von Computer-Arbeitsgruppen übernommen. Viele Lehrer schrecken vor dem Einsatz von PCs im Unterricht zurück, da viele Schüler in Schulstunden mit Internetzugang abgelenkt sind. Das Verteilen von digitalem Unterrichtsmaterial - etwa ein PDF mit einer Übungsaufgabe - ist kompliziert und überfordert einige Lehrer.

Es gibt einen EDV-Verantwortlichen im Schulamt, der aber zu Wartungsarbeiten anreisen muss und aufgrund der Weiträumigkeit des Landkreises nur sporadisch vor Ort in den Schulen präsent sein kann.

An den meisten PCs - die mit Microsoft Windows XP oder Microsoft Windows 7 betrieben werden - gibt es nur ein gemeinsames Benutzerkonto. Die Rechner werden nicht zentral verwaltet.

Die Schüler verfügen deshalb über keinen persönlichen Speicherplatz auf dem Daten abgelegt werden können und der vor fremden Zugriffen geschützt ist.

Software-Installationsstände weichen oft voneinander ab und auf vielen Rechnern finden sich Viren und Trojaner, da Sicherheitsupdates nicht systematisch installiert werden.

Zur einfacheren Terminabstimmung zwischen den Lehrkräften soll eine Groupwarelösung eingeführt werden.

§4.2. Umsetzung

Der Schulträger implementiert eine Umgebung auf Basis von UCS@school, einer auf UCS basierenden IT-Komplettlösung mit zahlreichen Zusatzkomponenten für Nutzung, Betrieb und Management der Schul-EDV.

Zum Einsatz kommt eine Infrastruktur bestehend aus einem Domänencontroller Master (DC Master), einem Domänencontroller Backup (DC Backup) und mehreren Domänencontroller Slave (nachfolgend Schulserver genannt) an den einzelnen Schulen.

Aus Sicherheitsgründen sieht das Konzept von UCS@school vor, dass die Schulserver nur eine Teilreplikation des LDAP-Verzeichnisses des Domänencontroller Master vornehmen. In der Standardeinstellung replizieren sie nur für sie relevante Teile (z.B. Benutzer und Gruppen der jeweiligen Schule) sowie die globalen Strukturen des LDAP-Verzeichnisses.

Der DC Master ist das Kernstück der UCS-Domäne. Auf diesem System wird die zentrale schreibbare LDAP-Kopie vorgehalten.

Der DC Backup stellt weitgehend eine Kopie des DC Master dar. Dadurch sind alle wichtigen Dienste doppelt im Netzwerk vorhanden, die Verfügbarkeit der Dienste wird weiter erhöht und die Last zwischen den UCS-Domänencontrollern verteilt. Sollte der DC Master durch einen Hardwaredefekt ausfallen, kann der DC Backup innerhalb kürzester Zeit zu einem DC Master umgewandelt werden.

§

Abbildung 4.1. Schematischer Aufbau der Schul-Domäne

Schematischer Aufbau der Schul-Domäne


§4.3. Verwaltung der Benutzerdaten

Alle Schulanmeldungen, -wechsel und Versetzungen werden durch die Schulverwaltung wie gewohnt in der Verwaltungssoftware Magellan umgesetzt. Zu jedem Schuljahreswechsel erfolgt dann ein Import - im CSV-Format - der Schuldaten in die UCS-Benutzerverwaltung. Nachfolgende Änderungen an Schülerdaten können über die Univention Management Console vorgenommen werden.

In UCS@school existieren vier verschiedene Benutzerrollen:

  • Schüler
  • Lehrer verfügen gegenüber Schülern über weitergehende Berechtigungen. Sie können z.B. Passwörter von Schülern zurücksetzen oder den Internetzugang während einer Schulstunde sperren.
  • Schuladministratoren sind technisch geschulte Lehrer, die weitergehende administrative Schritte übernehmen, z.B. die Verwaltung von Rechnergruppen oder Internetfiltern.
  • Mitarbeiter sind Benutzer, die nicht direkt an den Schulen eingesetzt werden, also z.B. in der Schulverwaltung.

§4.4. Dienste auf den Schulservern

Auf allen Schulservern wird ein lokaler LDAP-Verzeichnisdienst betrieben, auf den alle weiteren Dienste an dem Standort zugreifen. Der Schulserver repliziert zu diesem Zweck automatisch den für ihn relevanten Teil des LDAP-Verzeichnis des Domänencontroller Master, so dass stets alle notwendigen Daten aktuell und vollständig vorgehalten werden. Der Betrieb des lokalen Verzeichnisdienstes reduziert so die zu übertragenden Datenmengen zum Domänencontroller Master und gewährleistet einen reibungslosen Betrieb, auch wenn die Verbindung zwischen Schulserver und dem zentralen Domänencontroller Master-System einmal ausfallen sollte.

Auf allen Schulservern wird Samba 4 für die Anbindung der Windows-Clients eingesetzt. Samba 4 bietet Domänen-, Verzeichnis- und Authentifizierungsdienste, die kompatibel zu Microsoft Active Directory sind. Diese ermöglichen auch die Verwendung der von Microsoft bereit gestellten Werkzeuge für die Verwaltung von Gruppenrichtlinien (GPOs).

Windows-Clients können direkt der durch UCS bereitgestellten Active Directory-kompatiblen Domäne beitreten und über Gruppenrichtlinien zentral konfiguriert werden. Der Domänen-Join ist aus Client-Sicht identisch mit dem Beitritt zu einer Windows-basierten Domäne.

Die Ablage der Benutzerdaten erfolgt auf einer Heimatverzeichnisfreigabe, die von den Schulservern bereitgestellt wird. Schüler und Lehrer haben dabei jeweils ein persönliches Heimatverzeichnis.

Auf den Windows-Clients läuft die Open Source-Softwareverteilung opsi. Sie ermöglicht eine weitgehend automatisierte Verteilung von Sicherheitsupdates und Service Packs, so dass auch ohne dezidierten Administrator alle Systeme auf einem sicheren Stand betrieben werden. Die Konfiguration von opsi integriert sich mit opsi4UCS in das UCS-Managementsystem.

Für ein zentrales IP-Management läuft auf jedem Schulserver ein mit Daten aus dem LDAP-Verzeichnis gepflegter DNS- und DHCP-Server.

Ausserdem läuft dort ein Print-Server, der Druckaufträge an den gewünschten Drucker weiterleitet. Die Druckserver werden mit CUPS realisiert, das die verschiedenen Drucker in ein zentrales Spooling einbindet.

§4.5. Werkzeuge für den pädagogischen EDV-Betrieb

UCS@school stellt eine Reihe von Modulen für die Univention Management Console bereit, die für den IT-gestützten Unterricht verwendet werden können.

§

Abbildung 4.2. Schulspezifische Anwendungen

Schulspezifische Anwendungen


Einige Module stehen Lehrern und Schuladministratoren zur Verfügung während andere Module nur Schuladministratoren vorbehalten sind:

Passwörter (Schüler) erlaubt Lehrern das Zurücksetzen von Schüler-Passwörtern. Die bestehenden Schüler-Passwörter können aus Sicherheitsgründen nicht ausgelesen werden; wenn Schüler ihr Passwort vergessen, muss ein neues Passwort vergeben werden. Schuladministratoren dürfen außerdem die Passwörter von Lehrern zurücksetzen.

§

Abbildung 4.3. Zurücksetzen von Passwörtern

Zurücksetzen von Passwörtern


Das Modul Computerraum erlaubt die Kontrolle der Schüler-PCs und des Internetzugangs während einer Schulstunde. Der Internetzugang kann gesperrt oder freigegeben werden und einzelne Internetseiten können gezielt freigegeben werden. Wenn eine entsprechende Software (iTALC) auf den Schüler-PCs installiert ist, besteht auch die Möglichkeit diese PCs zu steuern. So kann beispielsweise der Bildschirm gesperrt werden, so dass in einer Chemie-Stunde die ungeteilte Aufmerksamkeit auf ein Experiment gelenkt werden kann.

Außerdem kann der Bildschiminhalt eines PCs auf andere Systeme übertragen werden. Dies erlaubt es Lehrern, auch ohne einen Beamer, Präsentationen durchzuführen.

Jede Schule wird durch einen Helpdesk betreut. Der Helpdesk kann z.B. durch eine Support-Organisation beim Schulträger oder durch technisch versierte Lehrer an den Schulen umgesetzt werden. Über das Modul Helpdesk kontaktieren können Lehrer und Schuladministratoren eine E-Mail-Anfrage stellen.

Jeder Schüler ist Mitglied seiner Klasse. Darüber hinaus gibt es die Möglichkeit mit dem Modul Arbeitsgruppen verwalten Schüler in klassenübergreifende Arbeitsgruppen einzuordnen.

Das Anlegen einer Arbeitsgruppe legt automatisch einen Datenbereich auf dem Schulserver an, auf den alle Mitglieder der Arbeitsgruppe Zugriff haben.

Lehrer können Schüler zu Arbeitsgruppen hinzufügen oder entfernen, aber keine neuen Arbeitsgruppen anlegen. Dies muss von einem Schuladministrator vorgenommen werden.

Das Modul Arbeitsgruppen verwalten erlaubt Schuladministratoren neue Arbeitsgruppen anzulegen und diesen neben Schülern auch Lehrer zuzuweisen.

§

Abbildung 4.4. Arbeitsgruppenverwaltung

Arbeitsgruppenverwaltung


Mit dem Modul Drucker moderieren können Ausdrucke der Schüler geprüft werden. Die anstehenden Druckaufträge können vom Lehrer betrachtet und entweder verworfen oder zum Drucken freigegeben werden. Dadurch können unnötige oder fehlerhafte Ausdrucke vermieden werden.

§

Abbildung 4.5. Druckermoderation

Druckermoderation


Das Modul Materialien verteilen vereinfacht das Verteilen und Einsammeln von Unterrichtsmaterial an Klassen oder Arbeitsgruppen. Optional kann eine Frist zum Verteilen und Einsammeln festgelegt werden. So ist es möglich, Aufgaben zu verteilen, die bis zum Ende der Unterrichtsstunde zu bearbeiten sind. Nach Ablauf der Frist werden die verteilten Materialien dann automatisch wieder eingesammelt und im Heimatverzeichnis des Lehrers abgelegt.

§

Abbildung 4.6. Materialverteilung

Materialverteilung


Mit dem Modul Computerräume verwalten werden Computer einer Schule einem Computerraum zugeordnet. Diese Computerräume können von den Lehrern zentral verwaltet werden, etwa indem der Internetzugang freigegeben wird.

Für die Filterung des Internetzugriffs wird ein Proxy-Server eingesetzt, der bei dem Abruf einer Internetseite prüft, ob der Zugriff auf diese Seite erlaubt ist. Ist das nicht der Fall, wird eine Informationsseite angezeigt.

Wenn Schüler beispielsweise in einer Schulstunde in der Wikipedia recherchieren sollen, kann eine Regelliste definiert werden, die Zugriffe auf alle anderen Internetseiten unterbindet. Diese Regelliste kann dann vom Lehrer zugewiesen werden.

Mit der Funktion Internetregeln definieren können die Regeln verwaltet werden.

§4.6. Management von Schüler-Desktops mit iTALC

iTALC ist eine didaktische Software für den Zugriff auf Schüler-Desktops. iTALC ist Open Source Software und wird auf den Schüler-Desktops installiert (es ist neben Microsoft Windows auch für Linux verfügbar).

Es bietet Lehrern unter anderem folgende Funktionen:

  • Der Desktop eines Schülers kann eingesehen werden und der Lehrer kann ggf. auch unterstützend selbst Änderungen vornehmen.

  • Über den Demo-Modus wird der Inhalt des Lehrer-Desktops an alle Schüler-Desktops übertragen. Dabei kann auch der Inhalt eines Schüler-Desktops für den Demo-Modus freigeschaltet werden.

  • Um die ungeteilte Aufmerksamkeit der Schüler zu erreichen, können Bildschirme und Eingabegeräte zentral gesperrt werden.

  • Rechner können über Wake-on-LAN zentral eingeschaltet und heruntergefahren werden.

  • Textnachrichten können an Schüler verschickt werden.

Die iTALC-Einstellungen können pro Computerraum in einem Web-Assistenten konfiguriert werden.

§4.7. Groupware

Der Schulträger verwendet die Groupwarelösung Kolab zur Abstimmung von Terminen, Kontakten und Aufgaben zwischen den Lehrern und Schulmitarbeitern. Die Installation erfolgt mit wenigen Klicks aus dem App Center.

Die Verwaltung der Groupware-relavanten Attribute integriert sich nahtlos in die Univention Management Console. Die Mitarbeiter greifen auf die Groupware über den Webclient RoundCube zu.

Mobile Endgeräte (Smartphones) werden über das Microsoft ActiveSync-Protokoll integriert.