1. Einführung#
1.1. Was ist Univention Corporate Server?#
Univention Corporate Server (UCS) ist ein Linux-basiertes Serverbetriebssystem für den Betrieb und die Verwaltung von IT-Infrastruktur in Unternehmen und Behörden. UCS setzt ein durchgängiges Gesamtkonzept mit einheitlicher, zentraler Administration um und kann den Betrieb aller Komponenten in einem zusammenhängenden Sicherheits- und Vertrauenskontext, der so genannten UCS-Domäne, gewährleisten. Gleichzeitig unterstützt UCS viele offene Standards und besitzt umfangreiche Schnittstellen zu Infrastrukturkomponenten und Managementwerkzeugen anderer Hersteller, so dass es sich leicht in vorhandene Umgebungen integrieren lässt.
UCS besteht aus zuverlässiger, in Organisationen unterschiedlicher Größe erprobter Open Source Software. Diese Software wird durch das UCS Managementsystem zu einem einheitlichen Gesamtsystem integriert. Damit ist das System nicht nur in einfachen, sondern auch in anspruchsvollen, verteilten oder virtualisierten Umgebungen einfach einsetz- und administrierbar.
Dies sind die zentralen Funktionen von UCS:
Flexibles und umfangreiches Identity- und Infrastrukturmanagementsystem zur zentralen Administration von Servern, Computerarbeitsplätzen, Benutzern und deren Berechtigungen sowie verschiedener Serveranwendungen und Webdienste
Dienste zur Integration des Managementsystems in vorhandene Microsoft Active Directory Domänen oder auch für die Bereitstellung dieser Dienste als Alternative zu Microsoft-basierten Serversystemen
App Center zur einfachen Installation und Verwaltung von Erweiterungen und Anwendungen
Umfassende Funktionen für den Betrieb virtualisierter Rechnersysteme (beispielsweise mit Windows- oder Linux-Betriebssystem) in der Cloud oder direkt auf vorhandenen UCS-Systemen
Netzwerk- und Intranetdienste zur Verwaltung von DHCP und DNS
Datei- und Druckdienste
Rechnerverwaltung und Monitoring
Maildienste
Diese Funktionen werden von unterschiedlichen Softwarepaketen in Univention Corporate Server bereit gestellt und im Verlauf dieses Handbuchs ausführlich behandelt. Im Wesentlichen lassen sich die in UCS enthaltenen Softwarepakete den folgenden drei Hauptbestandteilen zuordnen:
Basissystem
UCS Managementsystem mit Univention Management Console Modulen
Das App Center, über das sich zahlreiche weitere Komponenten und Anwendungen anderer Hersteller installieren lassen
Das Basissystem umfasst das Betriebssystem der auf der Debian GNU/Linux basierenden und von Univention gepflegten UCS Linux Distribution. Es beinhaltet weitgehend die selbe Software-Auswahl wie Debian GNU/Linux sowie zusätzliche Werkzeuge zur Installation, zur Aktualisierung und zur Konfiguration von Clients und Servern.
Das UCS Managementsystem realisiert einen Single-Point-of-Administration, über den die Konten aller Domänenmitglieder (Benutzer, Gruppen und Rechner) und Dienste wie DNS und DHCP in einem Verzeichnisdienst verwaltet werden. Kernkomponenten des Managementsystems sind die Dienste OpenLDAP (Verzeichnisdienst), Samba (Bereitstellung von Domänen-, Datei- und Druckdiensten für Microsoft Windows), Kerberos (Authentifizierung und Single Sign-On), DNS (Namensauflösung im Netzwerk) und SSL/TLS (sichere Datenübertragung zwischen Systemen). Es lässt sich sowohl webbasiert (Univention Management Console Module) als auch an der Kommandozeile und in eigenen Skripten verwenden. Das UCS Managementsystem ist über APIs (Programmierschnittstellen) erweiterbar und besitzt eine flexible Client-Server-Architektur, durch die Änderungen auf die davon betroffenen Systeme übertragen und dort aktiviert werden.
Zusätzliche Komponenten von Univention und anderen Herstellern lassen sich bequem über das App Center installieren und erweitern das System um zahlreiche Funktionen wie Groupware, Dokumentenmanagement oder Services für Microsoft Windows, so dass sie ebenfalls von einem UCS-System ausgeführt und über das UCS Managementsystem verwaltet werden können.
1.2. Überblick über UCS#
Linux ist ein Betriebssystem, bei dessen Entwicklung stets Wert auf Stabilität, Sicherheit und die Kompatibilität zu anderen Betriebssystemen gelegt wurde. Dadurch ist es prädestiniert für den Einsatz als stabiles, sicheres und jederzeit verfügbares Serverbetriebssystem.
UCS ist ein auf dieser Basis aufbauendes Serverbetriebssystem, das besonders für den einfachen und sicheren Betrieb sowie die Verwaltung von Anwendungen und Infrastrukturdiensten in Unternehmen und Behörden optimiert wurde. Zur effizienten und sicheren Verwaltung brauchen solche Anwendungen die mit dem UCS Managementsystem realisierte enge Integration mit der Benutzer- und Rechteverwaltung.
UCS kann als die Basis für die IT-Infrastruktur von Unternehmen und Behörden eingesetzt werden und dafür die zentrale Steuerung übernehmen. So leistet es einen wichtigen Beitrag für den sicheren, effizienten und wirtschaftlichen IT-Betrieb. Unternehmenskritische Anwendungen sind in ein einheitliches Konzept integriert, aufeinander abgestimmt und für den professionellen Einsatz vorkonfiguriert. Alternativ lässt es sich auch als Bestandteil vorhandener Microsoft-Domänen betreiben.
1.2.1. Inbetriebnahme#
Der Einsatz von UCS beginnt entweder mit einer klassischen Betriebssysteminstallation auf einem physikalischen Server oder als virtuelle Instanz. Weiterführende Informationen finden sich in Installation.
1.2.2. Domänenkonzept#
In einer mit UCS verwalteten IT-Infrastruktur können sich alle Server, Clients und Benutzer in einem einheitlichen Sicherheits- und Vertrauenskontext, der UCS-Domäne, befinden. Jedem UCS-System wird dazu bei seiner Installation eine so genannte Systemrolle zugewiesen. Mögliche Systemrollen sind Directory Node, Managed Node und Client.
Abb. 1.1 UCS Domänenkonzept#
Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos, OpenLDAP, Samba, Module für den Domänenreplikationsmechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Eine manuelle Einrichtung jedes einzelnen Dienstes oder Anwendung ist deswegen normalerweise nicht notwendig. Durch den modularen Aufbau und umfangreiche Konfigurationsschnittstellen lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen.
Durch die Integration von Samba, das den Domänendienst für mit Microsoft Windows betriebene Clients und Server bereit stellt, ist Univention Corporate Server kompatibel zu Microsoft Active Directory (AD), so dass sich das System gegenüber Windows-basierten Systemen wie ein Active Directory Server verhält. Deswegen können beispielsweise Gruppenrichtlinien für Microsoft Windows-Systeme auf die gewohnte Art und Weise verwaltet werden.
Zusätzlich kann UCS auch als Teil einer vorhanden Microsoft Active Directory Domäne betrieben werden. Benutzer und Gruppen aus der Active Directory Domäne können dadurch auf Applikationen des Univention App Centers zugreifen.
Ubuntu- oder macOS-Clients können ebenfalls in eine UCS-Umgebung integriert werden (siehe Integration von Ubuntu-Clients).
1.2.3. Erweiterbarkeit durch das Univention App Center#
Das Univention App Center bietet weitere UCS-Komponenten und Erweiterungen sowie eine umfangreiche Auswahl von Softwarelösungen für Business IT-Bereiche wie Groupware, Datenaustausch, CRM oder Backup. Die Anwendungen lassen sich mit wenigen Klicks in bestehende Umgebungen installieren und sind in der Regel einsatzbereit vorkonfiguriert. Sie werden in vielen Fällen direkt in das UCS Managementsystem integriert und stehen anschließend als UMC-Module zur Verfügung. Damit ist eine zentrale Verwaltung von Daten auf Domänenebene gegeben und eine separate Verwaltung, z.B. von Nutzerdaten für unterschiedliche Dienste an unterschiedlichen Orten, entfällt.
1.2.4. LDAP-Verzeichnisdienst#
Mit dem UCS Managementsystem können alle Bestandteile der UCS-Domäne über Rechner-, Betriebssystem- und Standortgrenzen hinweg zentral verwaltet werden. Es steht somit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des UCS Managementsystems ist ein LDAP-Verzeichnis, in dem die domänenweit benötigten, verwaltungsrelevanten Daten vorgehalten werden. Dort wird neben Benutzerkonten und ähnlichem auch die Datenbasis von Diensten wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte Eingabe derselben Daten, sondern verringert auch die Wahrscheinlichkeit von Fehlern und Inkonsistenzen.
Ein LDAP-Verzeichnis besitzt eine baumartige Struktur, deren Wurzel die so genannte Basis der UCS-Domäne bildet. Die UCS-Domäne realisiert den gemeinsamen Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein Konto im LDAP-Verzeichnis die Mitgliedschaft in der UCS-Domäne. Rechner erhalten bei Beitritt in die Domäne ein Rechnerkonto. Auch Microsoft Windows-Systeme können in die Domäne aufgenommen werden, so dass sich Benutzer dort mit ihrem Domänenpasswort anmelden können.
UCS setzt als Verzeichnisdienstserver OpenLDAP ein. Das Verzeichnis wird vom Primary Directory Node bereitgestellt und auf alle anderen UCS Directory Nodes in der Domäne repliziert. Weil ein Backup Directory Node im Notfall den Primary Directory Node ersetzen können soll, wird auf diesen immer das komplette LDAP-Verzeichnis repliziert. Die Replikation auf Replica Directory Nodes kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Bereiche des LDAP-Verzeichnisses beschränkt werden, um eine selektive Replikation zu ermöglichen. Dies kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern gespeichert werden sollen. Zur sicheren Kommunikation der Systeme innerhalb der Domäne ist in UCS eine Root-CA (Zertifizierungsstelle) integriert.
Weiterführende Informationen finden sich in LDAP-Verzeichnisdienst.
1.2.5. Domänenadministration#
Abb. 1.2 Univention Management Console Module#
Der Zugang zum LDAP-Verzeichnis erfolgt über eine webbasierte Benutzerschnittstelle durch Univention Management Console (UMC) Module. Daneben ermöglicht Univention Directory Manager auch die Umsetzung aller domänenweiten administrativen Aufgaben über eine Kommandozeilen-Schnittstelle. Dies eignet sich besonders für die Integration in Skripte oder automatisierte administrative Schritte.
UMC-Module erlauben das Suchen, Anzeigen, Bearbeiten und Löschen von Daten im LDAP-Verzeichnis anhand unterschiedlicher Filter-Kriterien. Die Web-Oberfläche stellt Assistenten bereit u.a. zur Verwaltung von Benutzern, Gruppen, Netzwerken, Rechnern, Verzeichnisfreigaben und Druckern. Die Rechnerverwaltung umfasst auch umfangreiche Funktionen zur Verteilung und Aktualisierung von Software. Über den integrierten LDAP-Verzeichnis-Browser können weitergehende Einstellungen vorgenommen sowie kundenspezifische Objektklassen und Attribute hinzugefügt werden.
Weiterführende Informationen finden sich in UCS Web-Oberfläche.
1.2.6. Rechneradministration#
UMC-Module ermöglichen nicht nur den Zugriff auf das LDAP-Verzeichnis, sondern auch die webbasierte Konfiguration und Administration einzelner Rechner. Dazu gehören die Anpassung von Konfigurationsdaten, die Installation von Software sowie die Überwachung und Steuerung von Diensten und dem Betriebssystem an sich. Mit dem UCS Managementsystem ist die Domänenverwaltung sowie die Rechner- und Serverkonfiguration von jedem beliebigen Ort aus über eine komfortable, graphische Web-Oberfläche möglich.
1.2.7. Richtlinienkonzept#
Die baumartige Struktur von LDAP-Verzeichnissen ist ähnlich der eines Dateisystems. Sie stellt sicher, dass Objekte (wie z.B. Benutzer, Rechner) sich in einem Container befinden, der wieder in anderen Containern enthalten sein kann. Der Wurzelcontainer wird auch als LDAP-Basis-Objekt bezeichnet.
Richtlinien beschreiben bestimmte administrative Einstellungen, die auf mehr als ein Objekt angewendet werden können. Sie erleichtern die Administration, weil sie an Container gebunden werden können und dann für alle in dem betreffenden Container befindlichen Objekte, sowie die in Unterordnern befindlichen Objekte gelten.
Beispielsweise können Benutzer nach Abteilungszugehörigkeit in unterschiedliche Container oder Organisationseinheiten (die eine besondere Form von Containern darstellen) organisiert werden. Einstellungen wie Bildschirmhintergrund oder aufrufbare Programme können dann mit Hilfe von Richtlinien an diese Organisationseinheiten gebunden werden und gelten für alle unterhalb der betreffenden Organisationseinheit befindlichen Benutzer.
Weiterführende Informationen finden sich in Richtlinien.
1.2.8. Listener/Notifier-Replikation#
Ein wichtiger technischer Bestandteil des UCS Managementsystems stellt der so genannte Listener/Notifier-Mechanismus dar. Mit ihm lösen das Anlegen, Verändern oder Löschen von Einträgen im LDAP-Verzeichnis definierte Aktionen auf betroffenen Rechnern aus. So führt zum Beispiel das Anlegen einer Verzeichnisfreigabe mit dem UMC-Modul Freigaben dazu, das die Freigabe zunächst in das LDAP-Verzeichnis eingetragen wird. Der Listener/Notifier-Mechanismus stellt dann sicher, dass die Konfigurationsdateien auf dem gewählten Server entsprechend erweitert werden und das Verzeichnis im Dateisystem des gewählten Servers erstellt wird, falls es noch nicht existiert.
Der Listener/Notifier-Mechanismus kann leicht um Module für weitere – auch kundenspezifische – Vorgänge ergänzt werden und wird zum Beispiel von zahlreichen Technologiepartnern für die Integration ihrer Produkte in den LDAP-Verzeichnisdienst und das UCS Managementsystem verwendet.
Weiterführende Informationen finden sich in Listener/Notifier-Domänenreplikation.
1.3. Weitere Dokumentationen#
Dieses Handbuch behandelt nur einen kleinen Ausschnitt der Möglichkeiten von UCS. UCS und auf UCS aufbauende Lösungen bieten unter anderem:
Umfangreiche Unterstützung für komplexe Serverumgebungen und Replikationsszenarien
Weitergehende Einsatzmöglichkeiten für Microsoft Windows-Umgebungen
Zentrales Netzmanagement mit DNS und DHCP
System- und Netzüberwachung
Druckserver-Funktionalität
Proxy-Server
Unter UCS documentation overview [1] sind weitere Dokumentationen zu UCS veröffentlicht, die weiterführende Themen behandeln.
1.4. Verwendete Symbole und Konventionen#
Im Handbuch werden folgende Symbole verwendet:
Vorsicht
Warnungen werden hervorgehoben.
Bemerkung
Hinweise werden ebenfalls hervorgehoben.
Diese Felder beschreiben den Funktionsumfang eines UMC-Moduls:
Attribut |
Beschreibung |
|---|---|
Name |
Ein eindeutiger Name für den DHCP-Dienst. |
Beschreibung |
Eine beliebige Beschreibung des Dienstes. |
Menüeinträge, Schaltflächenbeschriftungen und ähnliches sind in dieser Schriftform gesetzt.
Eigennamen sind hervorgehoben.
Computernamen, LDAP-DNs, Programmnamen, Dateinamen und -pfade, Internetadressen und Optionen werden ebenfalls optisch hervorgehoben.
Befehle und Tastatureingaben werden optisch hervorgehoben.
Abschnitte aus Konfigurationsdateien, Bildschirmausgaben usw. werden als
Codeblock formatiert.
Ein Backslash (\) am Ende einer Zeile weist darauf hin, dass der folgende Zeilenumbruch nicht die Bedeutung eines End-of-Line hat. Das kommt z.B. bei Befehlen vor, die nicht in einer Zeile des Handbuches dargestellt werden können, an der Kommandozeile aber entweder ohne den Backslash in einem Stück oder mit dem Backslash und einem anschließenden Enter eingegeben werden müssen.
Der Weg zu einer Funktion wird ähnlich wie ein Dateipfad dargestellt. bedeutet beispielsweise, dass im Hauptmenü auf Benutzer und im erscheinenden Untermenü auf Hinzufügen zu klicken ist.