1. Einführung#

Willkommen im Handbuch für Benutzer und Administratoren von Univention Corporate Server (UCS). Dieses Dokument richtet sich an Systemadministratoren, die UCS betreiben.

1.1. Was ist Univention Corporate Server?#

Univention Corporate Server (UCS) ist ein Linux-basiertes Serverbetriebssystem für den Betrieb und die Verwaltung von IT-Infrastrukturen für Unternehmen und Behörden. UCS verwirklicht ein integriertes, ganzheitliches Konzept mit einheitlicher, zentraler Administration. Es kann den Betrieb aller Komponenten in einem zusammenhängenden Sicherheits- und Vertrauenskontext, der so genannten sogenannten UCS-Domäne, gewährleisten. Gleichzeitig unterstützt UCS eine Vielzahl von offenen Standards und verfügt über umfangreiche Schnittstellen zu Infrastrukturkomponenten und Management-Tools anderer Hersteller, so dass es sich in bestehende Umgebungen integrieren lässt.

UCS besteht aus zuverlässiger Open Source Software, die sich in Unternehmen unterschiedlicher Größe bewährt hat. UCS integriert diese Softwarekomponenten über eine einheitliche Web-Schnittstelle. Dies ermöglicht die Integration und Verwaltung des Systems sowohl in einfachen als auch in komplexen verteilten oder virtualisierten Umgebungen.

Dies sind die zentralen Funktionen von UCS:

  • Flexibles und umfangreiches Identity- und Infrastrukturmanagementsystem zur zentralen Administration von Servern, Computerarbeitsplätzen, Benutzern und deren Berechtigungen sowie verschiedener Serveranwendungen und Webdienste.

  • Dienste zur Integration des Managementsystems in vorhandene Microsoft Active Directory Domänen oder auch für die Bereitstellung dieser Dienste als Alternative zu Microsoft-basierten Serversystemen.

  • App Center zur einfachen Installation und Verwaltung von Erweiterungen und Anwendungen.

  • Netzwerk- und Intranetdienste zur Verwaltung von DHCP und DNS.

  • Datei- und Druckdienste.

  • Rechnerverwaltung und Monitoring.

  • Maildienste.

Verschiedene Softwarepakete in UCS stellen diese Funktionen bereit, die in diesem Handbuch ausführlich beschrieben werden. Grundsätzlich gehören die in UCS enthaltenen Softwarepakete zu einer der folgenden Hauptkategorien:

  1. Basissystem

  2. UCS Managementsystem mit Univention Management Console Modulen

  3. Das App Center, über das sich zahlreiche weitere Komponenten und Anwendungen anderer Hersteller installieren lassen

Das Basissystem umfasst das Betriebssystem der auf der Debian GNU/Linux basierenden und von Univention gepflegten UCS Linux Distribution. Es beinhaltet weitgehend die selbe Software-Auswahl wie Debian GNU/Linux sowie zusätzliche Werkzeuge zur Installation, zur Aktualisierung und zur Konfiguration von Clients und Servern.

Das UCS Managementsystem realisiert einen Single Point of Administration, bei dem ein einziger Verzeichnisdienst die Konten aller Domänenmitglieder verwaltet, z. B. Benutzer, Gruppen und Hosts, sowie Dienste wie DNS und DHCP. Zentrale Komponenten des Verwaltungssystems sind die folgenden Dienste:

  • OpenLDAP für den Verzeichnisdienst

  • Samba für die Bereitstellung von Domänen-, Datei- und Druckdiensten für Windows

  • Kerberos für Authentifizierung und Single Sign-On

  • DNS für die Auflösung von Netzwerknamen

  • TLS für die sichere Datenübertragung zwischen Systemen

Sie können UCS über eine Weboberfläche, die Univention Management Console-Module oder über die Kommandozeile und in einzelnen Skripten verwenden. Sie können das UCS Managementsystem durch APIs (Programmierschnittstellen) erweitern. UCS bietet eine flexible Client-Server-Architektur, die Änderungen an die beteiligten Systeme überträgt und dort aktiviert.

Über das App Center können Sie zusätzliche Komponenten von Univention und anderen Herstellern installieren. Diese erweitern das System um zahlreiche Funktionen wie Groupware, Dokumentenmanagement und Dienste für Windows, so dass Sie diese auch auf einem UCS-System betreiben und über das UCS-Managementsystem verwalten können.

1.2. Was ist Univention Nubus?#

Univention Nubus ist eine Open Source Lösung für die Integration von Identitäts- und Zugriffsmanagement verschiedener Anwendungen. Sie bietet die folgenden Funktionen:

  • Verwaltung von Benutzern und Gruppen

  • ein Portal mit integriertem Benutzer Self-Service als erste Anlaufstelle für Endnutzer

  • zahlreiche Schnittstellen für die Integration von Anwendungen

  • gemeinsames Single Sign-On

Standardintegrationen, die auf diesen Schnittstellen basieren, verbinden gängige Anwendungen. Sie finden sie in diesem Handbuch entsprechend gekennzeichnet.

Nubus ist das Univention Produkt für Identitäts- und Zugangsmanagement und das Portal. Sie können Nubus als Teil von UCS oder in einem Kubernetes Cluster betreiben. Univention Corporate Server (UCS) ist eine Möglichkeit, Nubus mit Diensten und Integrationen auf Hardware oder virtuellen Maschinen zu betreiben.

1.3. Überblick über UCS#

Linux ist ein Betriebssystem, bei dessen Entwicklung stets Wert auf Stabilität, Sicherheit und die Kompatibilität zu anderen Betriebssystemen gelegt wurde. Dadurch ist es prädestiniert für den Einsatz als stabiles, sicheres und jederzeit verfügbares Serverbetriebssystem.

UCS ist ein auf dieser Basis aufbauendes Serverbetriebssystem, das besonders für den einfachen und sicheren Betrieb sowie die Verwaltung von Anwendungen und Infrastrukturdiensten in Unternehmen und Behörden optimiert wurde. Zur effizienten und sicheren Verwaltung brauchen solche Anwendungen die mit dem UCS Managementsystem realisierte enge Integration mit der Benutzer- und Rechteverwaltung.

UCS kann als die Basis für die IT-Infrastruktur von Unternehmen und Behörden eingesetzt werden und dafür die zentrale Steuerung übernehmen. So leistet es einen wichtigen Beitrag für den sicheren, effizienten und wirtschaftlichen IT-Betrieb. Unternehmenskritische Anwendungen sind in ein einheitliches Konzept integriert, aufeinander abgestimmt und für den professionellen Einsatz vorkonfiguriert. Alternativ lässt es sich auch als Bestandteil vorhandener Microsoft-Domänen betreiben.

1.3.1. Inbetriebnahme#

Der Einsatz von UCS beginnt entweder mit einer klassischen Betriebssysteminstallation auf einem physikalischen Server oder als virtuelle Instanz. Weiterführende Informationen finden sich in Installation.

1.3.2. Domänenkonzept#

In einer mit UCS verwalteten IT-Infrastruktur können sich alle Server, Clients und Benutzer in einem einheitlichen Sicherheits- und Vertrauenskontext, der UCS-Domäne, befinden. Jedem UCS-System wird dazu bei seiner Installation eine so genannte Systemrolle zugewiesen. Mögliche Systemrollen sind Directory Node, Managed Node und Client.

UCS Domänenkonzept

Abb. 1.1 UCS Domänenkonzept#

Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos, OpenLDAP, Samba, Module für den Domänenreplikationsmechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Eine manuelle Einrichtung jedes einzelnen Dienstes oder Anwendung ist deswegen normalerweise nicht notwendig. Durch den modularen Aufbau und umfangreiche Konfigurationsschnittstellen lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen.

Durch die Integration von Samba, das den Domänendienst für mit Microsoft Windows betriebene Clients und Server bereit stellt, ist Univention Corporate Server kompatibel zu Microsoft Active Directory (AD), so dass sich das System gegenüber Windows-basierten Systemen wie ein Active Directory Server verhält. Deswegen können beispielsweise Gruppenrichtlinien für Microsoft Windows-Systeme auf die gewohnte Art und Weise verwaltet werden.

Zusätzlich kann UCS auch als Teil einer vorhanden Microsoft Active Directory Domäne betrieben werden. Benutzer und Gruppen aus der Active Directory Domäne können dadurch auf Applikationen des Univention App Centers zugreifen.

Ubuntu- oder macOS-Clients können ebenfalls in eine UCS-Umgebung integriert werden (siehe Integration von Ubuntu-Clients).

1.3.3. Erweiterbarkeit durch das Univention App Center#

Das Univention App Center bietet weitere UCS-Komponenten und Erweiterungen sowie eine umfangreiche Auswahl von Softwarelösungen für Business IT-Bereiche wie Groupware, Datenaustausch, CRM oder Backup. Die Anwendungen lassen sich mit wenigen Klicks in bestehende Umgebungen installieren und sind in der Regel einsatzbereit vorkonfiguriert. Sie werden in vielen Fällen direkt in das UCS Managementsystem integriert und stehen anschließend als UMC-Module zur Verfügung. Damit ist eine zentrale Verwaltung von Daten auf Domänenebene gegeben und eine separate Verwaltung, z.B. von Nutzerdaten für unterschiedliche Dienste an unterschiedlichen Orten, entfällt.

1.3.4. LDAP-Verzeichnisdienst#

Mit dem UCS Managementsystem können alle Bestandteile der UCS-Domäne über Rechner-, Betriebssystem- und Standortgrenzen hinweg zentral verwaltet werden. Es steht somit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des UCS Managementsystems ist ein LDAP-Verzeichnis, in dem die domänenweit benötigten, verwaltungsrelevanten Daten vorgehalten werden. Dort wird neben Benutzerkonten und ähnlichem auch die Datenbasis von Diensten wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte Eingabe derselben Daten, sondern verringert auch die Wahrscheinlichkeit von Fehlern und Inkonsistenzen.

Ein LDAP-Verzeichnis besitzt eine baumartige Struktur, deren Wurzel die so genannte Basis der UCS-Domäne bildet. Die UCS-Domäne realisiert den gemeinsamen Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein Konto im LDAP-Verzeichnis die Mitgliedschaft in der UCS-Domäne. Rechner erhalten bei Beitritt in die Domäne ein Rechnerkonto. Auch Microsoft Windows-Systeme können in die Domäne aufgenommen werden, so dass sich Benutzer dort mit ihrem Domänenpasswort anmelden können.

UCS setzt als Verzeichnisdienstserver OpenLDAP ein. Das Verzeichnis wird vom Primary Directory Node bereitgestellt und auf alle anderen UCS Directory Nodes in der Domäne repliziert. Weil ein Backup Directory Node im Notfall den Primary Directory Node ersetzen können soll, wird auf diesen immer das komplette LDAP-Verzeichnis repliziert. Die Replikation auf Replica Directory Nodes kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Bereiche des LDAP-Verzeichnisses beschränkt werden, um eine selektive Replikation zu ermöglichen. Dies kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern gespeichert werden sollen. Zur sicheren Kommunikation der Systeme innerhalb der Domäne ist in UCS eine Root-CA (Zertifizierungsstelle) integriert.

Weiterführende Informationen finden sich in LDAP-Verzeichnisdienst.

1.3.5. Domänenadministration#

|UCSUMC| Module

Abb. 1.2 Univention Management Console Module#

Der Zugang zum LDAP-Verzeichnis erfolgt über eine webbasierte Benutzerschnittstelle durch Univention Management Console (UMC) Module. Daneben ermöglicht Univention Directory Manager auch die Umsetzung aller domänenweiten administrativen Aufgaben über eine Kommandozeilen-Schnittstelle. Dies eignet sich besonders für die Integration in Skripte oder automatisierte administrative Schritte.

UMC-Module erlauben das Suchen, Anzeigen, Bearbeiten und Löschen von Daten im LDAP-Verzeichnis anhand unterschiedlicher Filter-Kriterien. Die Web-Oberfläche stellt Assistenten bereit u.a. zur Verwaltung von Benutzern, Gruppen, Netzwerken, Rechnern, Verzeichnisfreigaben und Druckern. Die Rechnerverwaltung umfasst auch umfangreiche Funktionen zur Verteilung und Aktualisierung von Software. Über den integrierten LDAP-Verzeichnis-Browser können weitergehende Einstellungen vorgenommen sowie kundenspezifische Objektklassen und Attribute hinzugefügt werden.

Weiterführende Informationen finden sich in UCS Web-Oberfläche.

1.3.6. Rechneradministration#

UMC-Module ermöglichen nicht nur den Zugriff auf das LDAP-Verzeichnis, sondern auch die webbasierte Konfiguration und Administration einzelner Rechner. Dazu gehören die Anpassung von Konfigurationsdaten, die Installation von Software sowie die Überwachung und Steuerung von Diensten und dem Betriebssystem an sich. Mit dem UCS Managementsystem ist die Domänenverwaltung sowie die Rechner- und Serverkonfiguration von jedem beliebigen Ort aus über eine komfortable, graphische Web-Oberfläche möglich.

1.3.7. Richtlinienkonzept#

Die baumartige Struktur von LDAP-Verzeichnissen ist ähnlich der eines Dateisystems. Sie stellt sicher, dass Objekte (wie z.B. Benutzer, Rechner) sich in einem Container befinden, der wieder in anderen Containern enthalten sein kann. Der Wurzelcontainer wird auch als LDAP-Basis-Objekt bezeichnet.

Richtlinien beschreiben bestimmte administrative Einstellungen, die auf mehr als ein Objekt angewendet werden können. Sie erleichtern die Administration, weil sie an Container gebunden werden können und dann für alle in dem betreffenden Container befindlichen Objekte, sowie die in Unterordnern befindlichen Objekte gelten.

Beispielsweise können Benutzer nach Abteilungszugehörigkeit in unterschiedliche Container oder Organisationseinheiten (die eine besondere Form von Containern darstellen) organisiert werden. Einstellungen wie Bildschirmhintergrund oder aufrufbare Programme können dann mit Hilfe von Richtlinien an diese Organisationseinheiten gebunden werden und gelten für alle unterhalb der betreffenden Organisationseinheit befindlichen Benutzer.

Weiterführende Informationen finden sich in Richtlinien.

1.3.8. Listener/Notifier-Replikation#

Ein wichtiger technischer Bestandteil des UCS Managementsystems stellt der so genannte Listener/Notifier-Mechanismus dar. Mit ihm lösen das Anlegen, Verändern oder Löschen von Einträgen im LDAP-Verzeichnis definierte Aktionen auf betroffenen Rechnern aus. So führt zum Beispiel das Anlegen einer Verzeichnisfreigabe mit dem UMC-Modul Freigaben dazu, das die Freigabe zunächst in das LDAP-Verzeichnis eingetragen wird. Der Listener/Notifier-Mechanismus stellt dann sicher, dass die Konfigurationsdateien auf dem gewählten Server entsprechend erweitert werden und das Verzeichnis im Dateisystem des gewählten Servers erstellt wird, falls es noch nicht existiert.

Der Listener/Notifier-Mechanismus kann leicht um Module für weitere – auch kundenspezifische – Vorgänge ergänzt werden und wird zum Beispiel von zahlreichen Technologiepartnern für die Integration ihrer Produkte in den LDAP-Verzeichnisdienst und das UCS Managementsystem verwendet.

Weiterführende Informationen finden sich in Listener/Notifier-Domänenreplikation.

1.4. Weitere Dokumentationen#

Dieses Handbuch behandelt nur einen kleinen Ausschnitt der Möglichkeiten von UCS. UCS und auf UCS aufbauende Lösungen bieten unter anderem:

  • Umfangreiche Unterstützung für komplexe Serverumgebungen und Replikationsszenarien

  • Weitergehende Einsatzmöglichkeiten für Microsoft Windows-Umgebungen

  • Zentrales Netzmanagement mit DNS und DHCP

  • System- und Netzüberwachung

  • Druckserver-Funktionalität

  • Proxy-Server

Unter UCS documentation overview [1] sind weitere Dokumentationen zu UCS veröffentlicht, die weiterführende Themen behandeln.

1.5. Verwendete Symbole und Konventionen#

Im Handbuch werden folgende Symbole verwendet:

Vorsicht

Warnungen werden hervorgehoben.

Bemerkung

Hinweise werden ebenfalls hervorgehoben.

Diese Felder beschreiben den Funktionsumfang eines UMC-Moduls:

Tab. 1.1 Reiter DHCP-Dienst#

Attribut

Beschreibung

Name

Ein eindeutiger Name für den DHCP-Dienst.

Beschreibung

Eine beliebige Beschreibung des Dienstes.

Menüeinträge, Schaltflächenbeschriftungen und ähnliches sind in dieser Schriftform gesetzt.

Eigennamen sind hervorgehoben.

Computernamen, LDAP-DNs, Programmnamen, Dateinamen und -pfade, Internetadressen und Optionen werden ebenfalls optisch hervorgehoben.

Befehle und Tastatureingaben werden optisch hervorgehoben.

Abschnitte aus Konfigurationsdateien, Bildschirmausgaben usw. werden als
Codeblock formatiert.

Ein Backslash (\) am Ende einer Zeile weist darauf hin, dass der folgende Zeilenumbruch nicht die Bedeutung eines End-of-Line hat. Das kommt z.B. bei Befehlen vor, die nicht in einer Zeile des Handbuches dargestellt werden können, an der Kommandozeile aber entweder ohne den Backslash in einem Stück oder mit dem Backslash und einem anschließenden Enter eingegeben werden müssen.

Der Weg zu einer Funktion wird ähnlich wie ein Dateipfad dargestellt. Benutzer ‣ Hinzufügen bedeutet beispielsweise, dass im Hauptmenü auf Benutzer und im erscheinenden Untermenü auf Hinzufügen zu klicken ist.