Gründe, Windows- durch Linux-Server zu ersetzen, sind schnell gefunden. Dank Samba fühlt sich Linux auch in vorhandenen Domänen wohl. Nur für den Admin wird das Leben schwerer, denn viele Komponenten führen ein Eigenleben – ein Umstand, den UCS zu beseitigen trachtet.

Im Kern ist der Univention Corporate Server (UCS,[1]) ein Debian Linux. Das Team um Univention-Gründer und Debian-Buchautor Peter Ganten hält mit knapp 1000 Paketen die Distribution aber eher übersichtlich. Kernel ist ein von Univention gepatchter 2.4.28er. UCS-Kernkomponenten sind OpenLDAP v3 2.1.30, Kerberos 5 (Heimdal-Version 0.6.2), Samba 3.0.7 und NFS v3. Auf das freie Basissystem setzen die Bremer mit dem UCS-Managementsystem eine proprietäre Sofwarelösung zur Domänenerzeugung und -verwaltung.

Entweder direkt oder aus einer Basisinstallation heraus übernimmt UCS als Domänencontroller die Verwaltung von Repliken, Clients und Benutzern in einer netzwerkweiten Domäne. Server innerhalb der Domäne definieren ihre Aufgaben über Rollen, die sich zu den anderen verwalteten Objekten innerhalb der Domäne in ein Sicherheits- und Vertrauenskontext einbetten. Das Konzept ist seit Windows 2000 Server en vogue.

Das Univention-Produkt ist technisch ein Zwitter: Einerseits vermag es nach außen kein Active Directory abzubilden, verwendet aber andererseits (statt NTDS wie NT) LDAP (wie Active Directory) als Verzeichnisdienst (siehe Abbildung 1).

Domänencontroller

Ähnlich wie Windows 2000 und 2003 verhält sich UCS in der Rolle des Domänencontrollers: Entweder als Member- oder Standalone-Server verwendet, kann der Admin durch (nachträgliches) Installieren des Managementsystems unter UCS – oder des Active Directory unter Windows – die Server-Rolle ändern. Laut Hersteller soll UCS in diesem Jahr einen Active-Directory-Connector erhalten, der eine bidirektionale Verwaltung zwischen UCS und Active-Directory-Umgebungen ermöglicht.

UCS bietet keine grafische Installationsoberfläche, sondern baut auf eine auf Ncurses basierende Textinstallation, die die Randbedingungen abfragt, beispielsweise IP-Adresse(n), Domänenname, Partitionierung und Installationsumfang. Profildateien auf dem Installationsmedium, einer Diskette oder einem exportierten Laufwerk, erleichtern und automatisieren bei Bedarf die Installation. Eine Profildatei enthält die Antwortdaten, die eine Textinstallation normal in-teraktiv abfragt. Die restliche Installation verläuft für den Administrator ebenso teilnahmslos wie eine profilbasierte im Ganzen. Als Beweis der entrichteten Lizenzkosten erwartet der DC-Master den Import einer Lizenzdatei von CD.

Gehobenes Management

Die Abbildungen 1 bis 3 zeigen das Webinterface zur Serveradministration. Auf jedem Server der Domäne stellt dazu ein Apache 1.3.29 den Univention Admin und eine Univention Console für den Admin per HTTPS ins Netz. Kristallisationspunkt ist der Univention Admin, der das LDAP-Verzeichnis und somit die gesamten Domäne verwaltet (siehe Abbildung 3). Beim Test gefiel die intuitive Arbeit mit dem System, die dazu verleitet, Objekte zwischen Containern per Drag&Drop verschieben zu wollen – was Java-frei im Webbrowser naturgemäß nicht funktionieren kann.

Auffällig im Test: Bei dünnerer Netzverbindungen aktualisieren sich Änderungen in der Webapplikation etwas langsam. Fallen größere Arbeiten im LDAP an, beispielsweise das erstmalige Anlegen der OpenLDAP-Hierarchie oder eine Migration, erweist sich das Webfrontend beim Anlegen vieler Objekte auch als etwas umständlich. In solchen Fällen weicht man auf die funktional gleichwertige »univention-admin«-Skriptvariante aus.

Server-Flüstern

Ein Notification-Mechanismus steuert den Informationsaustausch zwischen den Servern der UCS-Domäne. Aus Administratorsicht im Hintergrund operierend bildet er den Kern aller Änderungen im LDAP, seien sie Web- oder Konsolen-basiert. Eine neu erzeugte Freigabe beispielsweise veranlasst den DC-Master die Information dem Fileserver per Notification mitzuteilen. Der legt das Verzeichnis an, trägt die Freigabe- und Exportinformationen in die Konfigurationsdateien für Samba und NFS ein und startet die betroffenen Dienste neu.

Services for Windows

Die Möglichkeit, eine Windows-NT-Domäne vollständig migrieren zu können, macht UCS gerade für veraltete NT-Infrastrukturen und Windows-2000/03-Server ohne Active Directory interessant. Um den praktischen Beweis unter erschwerten Bedingungen anzutreten, hängten die Tester einen zuvor aus seiner Windows-2003-Heimat entfernten XP-Client in eine fertig konfigurierte UCS-Test-Domäne – er funktionierte ohne Vorbereitungen auf Anhieb.

Abbildung 1: Der Univention Corporate Server arbeitet – wie ein Active Directory – intern mit LDAP. Im Verzeichnisdienst legt er beispielsweise die Benutzerinformationen ab.

Darüber hinaus fiel auf, dass der Windows-Client seine Benutzer in der UCS-(Samba-)Domäne wesentlich schneller an- und abmeldete, als er es an der Windows-Domäne vermochte. Es ist zu vermuten, dass dies mit dem Speichern der Profildaten in Zusammenhang steht. Der positive Geschwindigkeitsunterschied war nicht nur auf Anmeldevorgänge begrenzt, sondern zeigte sich auch bei Kopiervorgängen. Das anfangs nur subjektiv empfundene Phänomen erhärtete sich im Test, den[2] genauer erklärt.

Abbildung 2: Intern arbeitet ein abgespecktes Debian Linux, auf dem allseits bekannte Daemons laufen. Das Besondere liegt in ihrer engen Verzahnung. Das Bild zeigt die Webkonsole zur Diensteverwaltung.

ACLs und Quotas

UCS stellt als Dateisysteme Ext 2, Ext 3 und XFS zur Wahl. Auf Netzwerk-Filesystem-Seite fordert die volle Kompatibilität den Austausch von ACLs über das SMB-Protokoll, so wie Windows sie auf NTFS abbildet. Zwar wäre Ext 3 mit einem entsprechenden Eintrag in der »/etc/fstab« generell in der Lage, ACLs zu speichern, was der Univention-Kernel aber nicht unterstützt. XFS kennt ACLs serienmäßig[3] und ist darum die richtige Wahl für die Verzeichnisfreigabe an Windows-Systeme. Benutzer-Quotas setzt das System übrigens bei Bedarf für alle Dateisysteme durch.

Ein UCS-System biete noch eine Menge mehr Möglichkeiten, die nicht jede Linux-Distribution von der Stange aufweist. Beispielsweise sieht das Administrations-Webinterface auch Band-Backup-Dienste vor. Hier nur erwähnt seien zudem der optionale Mailserver (Postfix/Cyrus, der sich per Kolab zur Groupware aufbohren lässt), ein Faxdienst und ein Terminalserver.

Abbildung 3: Die Admin-Konsole verwaltet UCS-Domänen-weit die Zugriffsrechte auf die freigegebenen Ressourcen. Benutzer von Windows-Clients bemerken keinen Unterschied zu einem Windows-Server.

Besonders spannend ist die Möglichkeit, von UCS aus Linux- und Windows-Client-PCs aus der Ferne zu installieren. Für einen Linux-Client verlief das im Test so einfach und unproblematisch, dass ein Detailbericht nicht lohnt.

Windows-Server ablösen

UCS als Managementsystem bietet eine gute Alternative zu Microsoft-Produkten diesseits der Active-Directory-Kampflinie, vor allem zum Migrieren veralteter Windows-NT-Server. Dank offener Kernkomponenten wie Linux, OpenLDAP und Kerberos stehen UCS-dominierte Umgebungen tendenziell viel weniger in der Gefahr, in die Proprietät abzudriften, als Microsoft-bestimmte. Von den Linux- und Samba-Geschwindigkeitsvorteilen profitiert man ohnehin.

Gut, dafür bräuchte es kein kostenpflichtiges Produkt: Dessen echter Mehrwert ist in erster Linie in der beispielhaften Bündelung der einzelnen Open-Source-Komponenten zu suchen, die in einer zentralen Administration der Domäne münden. Der Funktionsumfang von und die intuitive Arbeit mit dem UCS-Managementsystem sowie die Zusatzfunktionen, beispielsweise die Client-Ferninstallationen, machen diese Spezial-Distribution zur Spezialität. (jk)