3. Heterogene Großumgebung im Konzernverbund#

Die Hanseatische Marineversicherung (HMV) ist ein auf den Logistikbereich spezialisierter Versicherungsdienstleister mit 1800 Mitarbeitern. Die HMV ist ein Bestandteil der Konzernmutter Vigil Insurances.

Die Konzernmutter betreibt einen eigenständigen Verzeichnisdienst auf Basis von Microsoft Active Directory, die Pflege der Benutzerdaten der einzelnen Tochterfirmen erfolgt jedoch autark.

Die Mitarbeiter arbeiten an insgesamt 36 Standorten weltweit, der größte davon der Stammsitz in Bremen mit ca. 250 Personen. Viele der Benutzer arbeiten als Vertreter oder Gutachter mobil mit Notebooks.

Auf den Desktops kommt durchgehend Microsoft Windows zum Einsatz. Die Softwareverteilung und Installation von Sicherheitsupdates erfolgt zentralisiert.

Die Groupware wird durch Microsoft Exchange zentral von der Konzernmutter bereitgestellt.

Alle Benutzer, Rechner und Dienste sollen zentral verwaltbar sein. Kritische Systemzustände sollen zeitnah per E-Mail und SMS gemeldet werden.

Alle Serversysteme in der Zentrale sollen virtualisiert werden. Aufgrund der daraus erwachsenden erheblichen Bedeutung der Virtualisierung muss dafür eine Open Source Lösung zum Einsatz kommen.

Die Datensicherung erfolgt zentral in Bremen.

Verschiedene internationale Compliance-Anforderungen aus dem Versicherungssektor müssen erfüllt werden.

Eine Spezialapplikation für die Versicherungswirtschaft wird auf einem Power7-System mit IBM AIX betrieben. Die Benutzer auf diesem System sollen nicht doppelt gepflegt werden.

3.1. Umsetzung#

Das Unternehmen implementiert eine Infrastruktur bestehend aus einem Primary Directory Node, einem Backup Directory Node, mehreren Replica Directory Nodes mit Univention Corporate Server (UCS) und 150 Thin Clients.

Der Primary Directory Node ist das Kernstück der UCS-Domäne. Auf diesem System wird der zentrale, schreibbare LDAP-Verzeichnisdienst vorgehalten.

Gesamtüberblick (nicht im Bild: Storage, DNS, DHCP, Druckdienste, Virtualisierung, Backup)

Abb. 3.1 Gesamtüberblick (nicht im Bild: Storage, DNS, DHCP, Druckdienste, Virtualisierung, Backup)#

Der Backup Directory Node stellt weitgehend eine Kopie des Primary Directory Node dar. Dadurch sind alle wichtigen Dienste doppelt im Netzwerk vorhanden, die Verfügbarkeit der Dienste wird also weiter erhöht und die Last zwischen den Directory Nodes verteilt.

Sollte der Primary Directory Node durch einen Hardware-Defekt ausfallen, kann der Backup Directory Node innerhalb kürzester Zeit zum Primary Directory Node umgewandelt werden.

Der Primary Directory Node und der Backup Directory Node stehen in der Firmenzentrale. An den Standorten finden sich weitere Replica Directory Nodes, die Windows-Domänendienste, Druckdienste und eine Softwareverteilung bereitstellen.

Aufbau eines Standort-Servers

Abb. 3.2 Aufbau eines Standort-Servers#

3.2. Software-Verteilung der UCS-Systeme#

Für die UCS Directory Nodes wurden Installationsprofile erstellt. Mit diesen Profilen können mit dem Univention Net Installer PXE-basiert neue Systeme ausgerollt werden oder ggf. Systeme nach einem Hardwareausfall wieder hergestellt werden. Die Installation läuft dabei ohne weitere Benutzerinteraktion ab.

Für die Installation von Release-Updates und die Nachinstallation von Software-Paketen wird auf einem Server in der Zentrale eine zentrale Paket-Installationsquelle - das Repository - eingerichtet. Alle installierbaren Software-Pakete und -Updates werden dort vorgehalten.

Durch Richtlinien in der Univention Management Console kann die Softwareverteilung zentral gesteuert werden. Zu einem frei wählbaren Zeitpunkt oder beim Herunterfahren oder Starten des Systems werden dann Updates eingespielt oder Software-Pakete nachinstalliert.

Alle Systeme tragen die installierten Pakete automatisch in eine zentrale SQL-Datenbank ein, sodass ein Überblick über den Softwarebestand stets gewährleistet ist. Sicherheitsupdates für UCS werden zeitnah zum Download bereitgestellt und können ebenfalls automatisiert eingespielt werden.

3.3. Anbindung von Windows-Clients und Software-Verteilung#

In der HMV wird Samba/AD für die Anbindung der Windows-Clients eingesetzt. Samba/AD bietet Domänen-, Verzeichnis- und Authentifizierungsdienste, die kompatibel zu Microsoft Active Directory sind. Diese ermöglichen auch die Verwendung der von Microsoft bereitgestellten Werkzeuge für die Verwaltung von Gruppenrichtlinien (GPOs).

Windows-Clients können direkt der durch UCS bereitgestellten Active Directory-kompatiblen Domäne beitreten und über Gruppenrichtlinien zentral konfiguriert werden. Der Domänen-Join ist aus Client-Sicht identisch mit dem Beitritt zu einer Windows-basierten Domäne.

Auf den Windows-Clients läuft die Open Source-Softwareverteilung opsi. Sie ermöglicht auf den Windows-Clients eine weitgehend automatisierte Verteilung von Sicherheitsupdates und Windows-Updates sowie den Rollout von Software-Paketen.

opsi wird auch für den Rollout zusätzlicher Windows-Systeme verwendet. Diese werden über PXE automatisch installiert.

3.4. Active Directory-Anbindung#

Der Univention Active Directory Connector ermöglicht eine Synchronisation von Verzeichnisdienstobjekten zwischen einem Microsoft Windows 2012/2016/2019 Server mit Microsoft Active Directory (AD) und dem OpenLDAP-Verzeichnisdienst in Univention Corporate Server.

Die Synchronisationseinstellungen können individuell festgelegt werden. Der Administrator erhält dadurch die Möglichkeit, die Synchronisation exakt zu steuern und nur ausgewählte Objekte und Attribute abzugleichen.

Der UCS-Verzeichnisdienst synchronisiert sich mit dem Microsoft Active Directory-Verzeichnis des Mutterkonzerns. Die Replikation umfasst alle Container, Organisationseinheiten, Benutzer und Gruppen.

Die Rechnerkonten werden nicht synchronisiert, da Windows-Rechner nur in eine Domäne eingebunden sein können. Alle Windows-Clients sind in die UCS Samba/AD-Domäne gejoint.

3.5. Groupware#

Die Groupware wird in Form von Exchange Server 2016 komplett durch die Konzernmutter Vigil Insurances bereitgestellt, auf das die Benutzer mit Outlook und Outlook-on-the-web zugreifen.

Durch die Anbindung des UCS-Verzeichnisdienstes an das Active Directory der Konzernmutter erfolgt die Authentifizierung mit der gleichen Benutzernamen/Passwort-Kombination.

Da in beiden Domänen die gleichen Benutzereinstellungen greifen, können Benutzer transparent auf Dienste beider Umgebungen zugreifen. So kann etwa ein Benutzer sich sowohl an seinem Notebook am UCS-Verzeichnisdienst als am Microsoft Active Directory mit dem selben Benutzernamen und Passwort anmelden.

3.6. Compliance-Anforderungen#

Die HMV muss eine Reihe von Compliance-Anforderungen im Versicherungswesen erfüllen:

  • Alle LDAP-Schreibzugriffe müssen verifizierbar sein. Hierzu wird der Univention Directory Logger eingesetzt. Dieser schreibt jede LDAP-Änderung in eine gesicherte Transaktionslogdatei, die über Prüfsummen revisionssicher protokolliert wird.

  • Die Benutzerdaten müssen zeitnah für eine Betriebsprüfung abrufbar sein. Hierfür kann über Univention Directory Reports aus der Univention Management Console heraus ein PDF-Dokument oder eine CSV-Datei über alle oder einige Benutzer und Gruppen erstellt werden.

  • Es müssen Qualitätsstandards für Passwörter etabliert werden. In UCS kann für Passwörter beispielsweise eine Mindestanzahl von Klein- und Großbuchstaben, Sonderzeichen oder Ziffern konfiguriert werden. Außerdem können Passwörter gegen Listen unsicherer Passwörter abgeglichen werden, zum Beispiel secret.

3.7. Integration des AIX-Systems#

Die Versicherungspolicen werden mit einer Applikation verwaltet, die nur auf hochverfügbaren Power7-Systemen mit IBM AIX betrieben werden kann.

In der Vergangenheit wurden alle Benutzer, die auf dem System arbeiten, doppelt in der lokalen Benutzerdatenbank des AIX-Systems gepflegt. Auf dem AIX-System läuft nun der secldapclntd-Dienst, der sämtliche Authentifizierungsvorgänge gegen das UCS-LDAP-Verzeichnis durchführt.

3.8. Referenzen#