© obradov / 123RF.com

Univention lagert den IAM-Teil des Corporate Servers in eine eigene Komponente namens Nubus aus, die es als Plug-and-Play-IAM für souveräne Cloudumgebungen vermarktet. Das Produkt hat das Potenzial, das leidige Thema Identity Access Management ein für alle Mal befriedigend zu lösen.

Brot-und-Butter-Themen heißen so, weil sie Dinge betreffen, die die grundlegende Ernährung sichern – eben Brot und Butter. Doch nur in den seltensten Fällen ruft die Beschäftigung mit solchen Themen auch Begeisterung hervor. Backups sind ein klassisches Thema dieser Art, Monitoring gehört ebenfalls dazu. Bei kaum einer Gelegenheit jedoch verdrehen Admins so genervt die Augen wie dann, wenn es sich um das Thema Identity Access Management dreht. Dabei geht es um die Frage, welche Funktion ein sich anmeldender Nutzer hat und was er grundsätzlich in einer Umgebung tun darf.

Die Abneigung verwundert wenig: IAM ist kleinteilig und mühsam. Kannte in den Anfangstagen des Internets noch fast jeder jeden persönlich, sorgen heute umfassende Compliance- und Sicherheitsrichtlinien dafür, dass Identitäts- und Zugriffsmanagement als hochkomplexes Thema gilt. Ansätze, die mit lokalen Benutzerzugängen arbeiten, sind längst auf dem Abstellgleis gelandet, zentrale Verzeichnisse geben den Ton an. Hinzu kommen schwierige Funktionen wie Single Sign-on, 2-Faktor-Authentifizierung und Role Based Access Management. Kurzum: Wer ein ausgewachsenes LDAP-Verzeichnis mit Begleitdiensten wie Keycloak am Bein hat, findet das nur in den seltensten Fällen angenehm. Alles Jammern hilft aber nicht: Ohne umfassendes IAM lässt sich eine moderne IT-Plattform nicht mehr betreiben.

Kein Problem, meint Univention aus Bremen und bringt Nubus auf den Markt. Dabei handelt es sich um die ausgelagerte IAM-Suite des hauseigenen Univention Corporate Servers (UCS), die nun in Form einer in Kubernetes ausrollbaren Fertiglösung daherkommt und Nutzern wie Admins alle Sorgen rund um das lästige IAM-Thema nehmen will. Dabei hat man auch an die vermeintlichen Kleinigkeiten gedacht, etwa daran, dass ein zentrales Benutzerverzeichnis idealerweise irgendeine Form von Service-Portal anbietet. Das erlaubt ausgesuchtem Personal im Unternehmen das Anlegen und Löschen von Nutzern, ohne dafür jedes Mal ein Ticket beim IT-Helpdesk eröffnen zu müssen. Zudem gibt es genervten Nutzern die Möglichkeit, das eigene Passwort ohne Support-Kontakt zurückzusetzen.

Generell verspricht Univention Nubus, eine universelle IAM-Lösung mit mannigfaltigen Schnittstellen auf Grundlage diverser Standards zu sein, dank derer sich auch andere Anwendungen in einer Umgebung leicht mit IAM versorgen lassen. Weil Nubus zudem auf Open-Source-Komponenten basiert, zielt Univention außerdem auf das Thema der digitalen Souveränität ab: Unternehmen sollen mit Nubus ein umfassendes IAM betreiben können, ohne auf proprietäre Lösungen zu setzen. So bleibt die Kontrolle über die eigenen Daten stets klar und unmissverständlich bei der Firma, der das IAM und die sich in ihm befindlichen Daten gehören.

Praktisch möchte Univention mit Nubus also ein ziemlich dickes Brett bohren. Das freilich wirft einige Fragen auf: Wie gut ist Nubus schon jetzt, und wie sieht die Architektur der Lösung aus? Hat Nubus tatsächlich das Zeug zum Superstar, als den man es in Bremen nur zu gern verkauft? Ein Blick unter die Haube verschafft Klarheit.

Vorgeschichte

Um sich Nubus zu nähern, schadet es nicht, sich mit der Geschichte des Werkzeugs etwas genauer zu befassen. Univention erfand dafür nicht das Rad neu. Stattdessen sind die einzelnen Komponenten, die zusammen Nubus ergeben, bereits integraler Bestandteil des Univention Corporate Servers, einer Art eierlegenden Wollmilchsau. Unter einer einheitlichen Oberfläche zur Verwaltung und auf Grundlage von Debian GNU/Linux vermarktet Univention UCS seit Jahren als eine Art Schweizer Taschenmesser für IT-Dienste auf Open-Source-Basis. Es gibt einen eigenen App-Store, aus dem sich Dienste mit wenigen Mausklicks installieren lassen. Auch bei UCS stand Univention bereits vor IAM als zentraler Herausforderung: Sollen sich verschiedene Dienste orchestrieren und installieren lassen, klappt das ohne zentrale Benutzer- und Berechtigungsverwaltung kaum.

Weil UCS von Anfang an aber auch darauf ausgelegt war, im Unternehmen nicht nur durch IT-Profis bedienbar zu sein, enthält es neben den üblichen Verdächtigen wie OpenLDAP auch diverse von Univention selbst verfasste Helferlein, vor allem grafische Oberflächen. Damit lassen sich Nutzer und Gruppen anlegen und Berechtigungen vergeben; Anwender haben die Möglichkeit, ihre Passwörter zurückzusetzen. Implizit zeigt UCS damit ganz gut, dass umfassendes IAM mehr ist als mal eben LDAP installieren. Wer die Entwicklung von Univentions Corporate Server über die Jahre verfolgt hat, weiß, dass auch beim dortigen IAM nicht alles von Anfang an rund lief. Der allermeiste Sand im Getriebe ist mittlerweile aber entfernt. Heute zeigt sich die Benutzer- und Rechteverwaltung von UCS auf der Höhe der Zeit, mit vielen Features und enormem Funktionsumfang.

Dass Univention vor diesem Hintergrund auf den Gedanken kam, das IAM aus UCS auszubauen und als separate Komponente anzubieten, liegt in gewisser Weise auf der Hand. In Bremen dürfte aufgefallen sein, dass man einerseits mit der IAM-Thematik beim UCS nicht allein war und andererseits auf dem Markt schlüsselfertige IAM-Lösungen äußerst spärlich gesät sind. Freilich: Auf Grundlage von Debian, Ubuntu, SLES oder RHEL lassen sich Verzeichnisdienste zu Fuß mit OpenLDAP oder anderen LDAP-Servern umsetzen. Dann aber fehlt der gesamte Kleber drumherum, vor allem GUIs zum Verwalten von Benutzern, Gruppen und Passwörtern.

Eine valide Alternative wäre FreeIPA (Abbildung 1). Das aber – fast schon typisch für den FreeIPA-Paten Red Hat – kommt gleich als Universallösung daher, die alle IAM-Aspekte an sich reißen will. Dennoch ist es nicht sonderlich komfortabel. Für Unternehmen, die beispielsweise eine souveräne Cloud-Computing-Plattform auf Grundlage von Open-Source-Werkzeugen bauen wollen, stellt das ein echtes Problem dar. Der Griff zur Standardlösung Active Directory verbietet sich selbstredend in einer Umgebung, die souverän und frei sein und bleiben soll. Am Markt gibt es also durchaus eine Lücke, und Univention hat sich auf die Fahne geschrieben, sie zu schließen.

Abbildung 1: FreeIPA gilt bisher als Standardlösung für umfassendes IAM unter Linux. Es bietet aber nicht alle IAM-typischen Features und ist schwer zu implementieren und zu verwenden. Quelle: Digital Ocean

Steiniger Weg

Vom Engineering-Standpunkt aus war das zweifelsohne keine ganz triviale Aufgabe. Sieht man sich Nubus genauer an, fällt das schnell auf: Im Univention Corporate Server waren die IAM-Komponenten lange Zeit einfach integraler Bestandteil des Systems. Sie kamen mit einer Standardkonfiguration, die sich mit den mitgelieferten Werkzeugen relativ simpel anpassen ließ. Auch die Ersteinrichtung war keine große Herausforderung, denn wer UCS installierte, hatte alle IAM-Komponenten ja schon auf dem System (Abbildung 2).

Abbildung 2: Schon für den eigenen Corporate Server (UCS) entwickelte Univention eine vollständige IAM-Lösung. In Form von Nubus bringt man diese nun als eigenständiges Tool auf K8s-Grundlage an den Start. Quelle: Univention

Nubus aber soll als generische Komponente dienen, die sich in beliebigen Umgebungen und auf jeder Plattform nutzen lässt. Entsprechend schwierig dürfte es aus Sicht des Herstellers gewesen sein, sich auf eine Zielarchitektur und die dazu gehörenden Komponenten festzulegen. Letztlich entschied Univention sich für eine Vorgehensweise, die man durch die Brille der zeitgenössischen IT-Hipster wohl als einzigen validen Weg überhaupt bezeichnen konnte: Man konzipierte Nubus auf Grundlage von Containervirtualisierung und stattete es obendrein gleich mit der Fähigkeit aus, in einem Kubernetes-Cluster laufen zu können.

Tatsächlich muss Nubus das sogar: Sämtliche aktuell auffindbaren Dokumentationsartefakte dazu sprechen ausschließlich von Kubernetes. Das ergibt schon deshalb Sinn, weil Nubus aus etlichen Komponenten besteht, die es verteilt auszurollen gilt. Kubernetes ist für Workloads dieser Art einfach die Standardlösung. Vor diesem Hintergrund erscheint es mehr als fraglich, ob Univention Nubus je ohne fixe K8s-Integration anbieten wird.

Die Nubus-Architektur

Logisch unterteilt der Hersteller Nubus in verschiedene Aufgabentypen (Abbildung 3) mit entsprechend zugewiesenen Diensten. In Richtung der Anwender exponiert Nubus dabei ein Self-Service-Portal, ein Portal für zentrale Administrationsaufgaben sowie eine Management-UI, mittels derer sich Nubus in andere Dienste integrieren lässt.

Abbildung 3: Univention denkt Nubus vor allem in funktionalen Dimensionen und zeichnet die zu Nubus gehörenden Funktionen in diesem Architektur-Diagramm nach.

Bei der Lektüre der Dokumentation fällt auf, dass dort regelmäßig von OpenDesk die Rede ist, dem Projekt des Zentrums für Digitale Souveränität (ZenDiS), das einen auf freier Software basierenden Behördenarbeitsplatz schaffen will. ZenDiS und Univention arbeiten seit einiger Zeit zusammen, und Nubus dürfte nicht zuletzt auch als maßgeschneiderte Directory-Lösung für OpenDesk konzipiert sein. Mit dem lässt es sich jedenfalls auf allen Ebenen seiner Architektur gut kombinieren.

Unterhalb der Managementschnittstellen findet sich bei Nubus die eigentliche Kernschicht eines IAM, nämlich die Komponente für Authentication und Authorization. Hier ist ein Identity Provider (IdP) ebenso beheimatet wie ein Directory Manager für OpenLDAP, ein Authorization Service und der Directory Service selbst, ebenfalls OpenLDAP-basiert. Die Integrationsschicht bietet einen Provisioning-Service, mittels dessen externe Dienste automatisiert an Nubus andocken können, sowie einen Intercom-Dienst für die Kommunikation mit Komponenten, die kein natives Integrationsmodul für Nubus besitzen. Als Beispiele führt der Hersteller Lösungen wie Nextcloud oder die OX App Suite an, die sich zwar per LDAP an Nubus anbinden lassen, dafür ab Werk aber keine Automatismen und keine Konfiguration mitbringen.

Der vierte logische Teil von Nubus schließlich umfasst einen IAM-Connector, über den sich andere, von Nubus aus betrachtet externe Verzeichnisse anbinden lassen. Das ist schlau gelöst: Kommen Werkzeuge wie OpenDesk zum Einsatz, werden diese im Regelfall in Umgebungen hinein installiert, in denen es bereits ein Benutzerverzeichnis gibt. Die Möglichkeit, OpenDesk dann trotzdem im Gespann mit Nubus auszurollen, es im Hintergrund aber an bestehende IAM-Systeme andocken zu lassen, dürfte vielen Administratoren einiges an Arbeit ersparen.

Durchaus bemerkenswert: Nubus besteht tatsächlich ausschließlich aus Open-Source-Komponenten, die Univention entweder direkt aus dem Fundus der Community bezieht oder aus Univention-eigenen Komponenten, die es den Open-Source-Werkzeugen als große Klammer beifügt. Unter der Haube etwa werkelt bei Nubus OpenLDAP, und manchem Administrator mögen sich an dieser Stelle bereits die Nackenhaare aufstellen. Gerade OpenLDAP hat sich ja den zweifelhaften Ruf erarbeitet, vielleicht nicht die allerangenehmste Anwendung in Sachen Handhabung zu sein.

Bei Nubus merkt der Administrator vom möglichen OpenLDAP-Ungemach aber praktisch gar nichts. Wie von UCS gewohnt, sorgen die Univention-spezifischen Komponenten nach dem erfolgreichen Setup dafür, dass sich die Lösung gut und komfortabel administrieren und nutzen lässt. Dasselbe gilt übrigens für Keycloak und Guardian. Wer schon einmal das Vergnügen hatte, diese Komponenten selbst auszurollen, weiß, wovon die Rede ist. In Nubus hingegen sind all diese Komponenten enthalten und aufeinander abgestimmt, sodass der Administrator im Idealfall vom Deployment dieser Dienste nichts merkt.

Aller Anfang ist schwer

Einen Haken hat die Sache aber freilich doch, und der betrifft das erste Setup. Wie beschrieben, setzt Nubus voll auf Kubernetes. Folgerichtig liefert Univention Nubus in Form von Charts für den K8s-Paketmanager Helm aus. In der Theorie lassen sich die entsprechenden Kubernetes-Dienste also durch das Hinzufügen des Helm-Chart-Verzeichnisses für Nubus und die Installation der Dienste aus eben jenem Chart erledigen. In der Praxis gestaltet sich das Thema etwas komplizierter. Das hat mehrere Gründe.

Zunächst braucht Nubus einen persistenten Speicher für Daten, die dauerhaft erhalten bleiben müssen, aber nicht unmittelbar zu OpenLDAP gehören. Dafür hat man sich einerseits für PostgreSQL entschieden, also für eine relationale Datenbank. Andererseits legt Nubus binäre Assets in einem S3-artigen Speicher ab. Aus Gründen der digitalen Souveränität nutzt Univention hier freilich nicht das echte S3 von AWS, sondern eine der diversen FOSS-Nachbauten. Nubus selbst redet in der Dokumentation wiederholt von MinIO, einer der einfachsten Lösungen für S3-Speicher im lokalen Setup.

Die Krux: Weder PostgreSQL noch MinIO und auch nicht OpenLDAP selbst lassen sich mal eben so einfach aufsetzen. Das gilt umso mehr, wenn Hochverfügbarkeit eine Rolle spielt, wenn die Dienste im Nubus-Unterbau also in die Breite skalieren müssen. Zwar enthalten die Helm-Charts für Nubus eine rudimentäre Umsetzung einer Installation von PostgreSQL und auch von MinIO. Univention selbst aber weist explizit darauf hin, dass diese lediglich zu Demonstrationszwecken taugen und sich nicht für den produktiven Einsatz eignen.

Wer Nubus ausprobieren möchte, steht damit vor gleich mehreren Aufgaben. Zunächst braucht man eine laufende Installation des Container-Flottenmanagers Kubernetes. Implizit ergibt sich daraus freilich auch, dass Nubus sich vorrangig an Setups richtet, die ohnehin mit K8s planen oder es bereits betreiben. Wer Kubernetes zwar auf dem Zettel, aber noch nicht ausgerollt hat, darf sich immerhin freuen: Mittlerweile gilt K8s als so etabliert, dass der Markt etliche Distributionen dafür bereithält, die sich in Windeseile ausrollen lassen und dabei nicht nur für Demozwecke eignen. Wer beispielsweise vier Server (auch als virtuelle Instanzen) mit Debian, Ubuntu oder Talos Linux ausgestattet hat, ist von einem produktionsreifen, stabilen Kubernetes-Cluster etwa mit K3s und Rancher nur noch wenige Schritte entfernt.

Gedanken über das Thema Software Defined Networking (SDN) und insbesondere Software Defined Storage (SDS) sollte man sich als Admin im Vorfeld aber trotzdem machen. Geht man speziell das Speicherthema klug an, erspart man sich bei Nubus später Arbeit. Wer weiß, dass er in seinem Kubernetes ohnehin persistenten Speicher will oder braucht und zusammen mit K8s gleich Rook auf lokalen Blockspeichergeräten ausrollt, erhält neben der Blockgeräteschnittstelle RBD auch CephFS und – tadaa! – den S3-kompatiblen Speicher RADOS Gateway dazu. Den rollt Rook auf Wunsch sogar redundant aus, wenn genügend Compute-Knoten für mehrere Instanzen zur Verfügung stehen, auch mit vorgeschaltetem Load Balancer.

Obendrein kann Ceph über RBD eine sinnvolle Grundlage für eine redundante, HA-aktivierte PostgreSQL-Datenbank bieten. Auch hier droht dem Administrator sonst nämlich Ungemach: Auf dem Markt existieren mittlerweile zwar einige Ansätze, um PostgreSQL implizit redundant zu machen. Die schnellste und für den produktiven Einsatz trotzdem noch brauchbare Methode besteht aber bis heute darin, einer PostgreSQL-Instanz einfach replizierten Speicher unterzuschieben. Das geht gerade im Falle von Ceph allerdings zulasten der Performance. So viele IOPS braucht ein PostgreSQL für Nubus jedoch nicht, dass das wirklich auffiele oder ein Problem wäre.

Das eigentliche Deployment

Hat der Administrator im Vorfeld seinen K8s-Cluster beschickt und mit S3 über Rook sowie einem PostgreSQL-Deployment versehen, steht dem Nubus-Deployment selbst nichts mehr im Weg. Zunächst fügt der Admin wie beschrieben das Nubus-Helm-Repository hinzu und baut sich im Anschluss eine YAML-Datei für die Nubus-Konfiguration (Abbildung 4).

Abbildung 4: Mittels einer solchen cluster.yaml konfiguriert der Administrator die Helm-Charts vor ihrem Deployment. Kommt ein externes PostgreSQL oder S3 zum Einsatz, ist auch dieses in der Konfiguration zu verewigen.

Hier geht es vor allem darum, beim Deployment mit Helm Nubus so einzurichten, dass es mit den bestehenden S3- und PostgreSQL-Instanzen sprechen kann. Obendrein gilt es hier auch festzulegen, ob Nubus das eingebaute LDAP gleich hochverfügbar ausrollen soll und die OpenLDAP-Instanzen den integrierten Cluster-Modus nutzen. Praktisch: Konfiguriert der Administrator Nubus entsprechend, richtet es auch gleich einen Load Balancer auf Basis von Nginx für den Zugriff ein. Der greift nicht nur für OpenLDAP selbst, sondern auch für die Frontend-Dienste und alle anderen Services, die implizit redundant funktionieren. An dieser Stelle merkt man, dass der Hersteller viel Erfahrung mit dem produktionssicheren Betrieb kritischer Infrastruktur hat.

In dieselbe Kerbe schlägt, dass das Thema Sicherheit eine herausgehobene Rolle in Nubus spielt. Frei nach dem Motto, dass man nicht zu einem Zahnarzt geht, der schlechte Zähne hat, stattet Univention Nubus mit umfassender SSL-Verschlüsselung aus und macht vor, wie es geht. Damit das klappt, muss der Administrator allerdings auch noch den Cert-Manager aufsetzen. Der allerdings hat sich ohnehin schon fast zu einer Standardkomponente entwickelt, und sein Setup geht mit wenigen Kommandos via Helm leicht von der Hand. Dann konfiguriert der Administrator in der YAML-Datei für das Helm-Deployment nur noch den Domänennamen, den Nubus nutzen soll – fertig.

Der nächste Schritt ist schon, die Nubus-Dienste per Helm-Chart auszurollen und in Betrieb zu setzen. Hat man die passende Domäne angegeben und zeigt der jeweilige DNS-Eintrag auf die richtige Adresse, lässt sich Nubus mit sämtlichen enthaltenen Funktionen unmittelbar einsetzen.

Die spätere Wartung

Dass Univention konsequent auf Helm und die damit verbundenen Funktionen in Kubernetes zurückgreift, ist übrigens durchaus schlau: Auf diese Weise profitiert Nubus von sämtlichen in Helm enthaltenen Funktionen zur Wartung der Umgebung. Steht ein neues Nubus-Release auf dem Plan, sorgt Helm bei entsprechender Handhabung für ein rollendes Upgrade inklusive des Deployments neuer Container für alle betroffenen Komponenten. Eventuell vorhandene Nutzdaten bleiben dabei erhalten, auch darum kümmert sich Helm im Hintergrund. Das erleichtert für Univention praktisch die gesamte Pflege der Lösung und sorgt dafür, dass komplizierte Updates auf Basis von Paketen (wie einst bei UCS) bei Nubus nicht nötig sind.

Die Integration

Momentan ist die Dokumentation von Nubus mit Hinweisen und Warnungen nachgerade tapeziert, wonach die IAM-Lösung im Augenblick eine Software im Alpha-Stadium und für den produktiven Betrieb noch nicht geeignet sei. Für diesen Zustand befinden sich allerdings sowohl die Dokumentation selbst als auch das Produkt bereits in einem ausgezeichneten Zustand. Das verwundert indes nicht: Auch OpenDesk geht dieser Tage ja medienwirksam an den Start, und das ZenDiS trommelt für die ersten Versionen der eigenen Lösung, die man als geeignet erachtet für den produktiven Einsatz.

Sieht man etwas genauer hin, dann überrascht ebenso wenig, dass zu den ersten Diensten, die Univention in der Nubus-Dokumentation als Beispiele für die Integration erwähnt, exakt jene Dienste gehören, die Bestandteil von OpenDesk sind. Univention hat sich bei der Nubus-Entwicklung also zumindest eng an OpenDesk orientiert, und der Hersteller propagiert als Veteran der Open-Source-Ära regelmäßig OpenDesk als valide Desktop-Lösung für Behörden.

Von Nubus profitieren insofern sowohl Univention als auch das ZenDiS: Einerseits muss man sich so nämlich für OpenDesk keine eigene IAM-Lösung mehr aus den Rippen schneiden, was viel Zeit und Aufwand spart. Andererseits mag Univention Nubus zwar vorrangig im Hinblick auf OpenDesk entwickelt haben. Weil das Werkzeug aber diverse freie Protokolle beherrscht und offene Schnittstellen anbietet, dürfte sich das Gros der Lösungen mit LDAP-Schnittstelle am Markt jedoch recht mühelos mit Nubus verbinden lassen.

Dass die Lösung auch Techniken wie Single Sign-on, SAML, 2-Faktor-Authentifizierung und diverse andere Features beherrscht, rundet den guten Gesamteindruck ab, den selbst die Alpha-Version von Nubus bereits hinterlässt.

Endlich eine brauchbare Lösung

Nubus hat das Zeug zum Star: Univention leistet in Nubus nicht weniger, als das sperrige und bei den meisten Admins ausgesprochen unbeliebte Thema IAM in handliche Komponenten für Kubernetes zu verpacken. Obendrauf drapieren die Bremer etwas Kleister in Form grafischer Konfigurationswerkzeuge und machen das Ganze per Helm einfach auszurollen und zu administrieren. Die Schnittstellen für die direkte Integration anderer Dienste und die Standardprotokolle, die Nubus ebenfalls beherrscht, tun ihr Übriges, um Nubus zu einer universellen IAM-Lösung aufzuwerten, die sich sogar an andere IAM-Installationen andocken lässt (Abbildung 5).

Abbildung 5: Nubus lässt sich ab Werk auch mit einem bestehenden IAM verbinden, was die Migration erheblich erleichtert. Mit ein paar Zeilen Konfiguration ist es dann allerdings nicht mehr getan.

Aus Sicht der Anti-Kubernetes-Fraktion mag ein Wermutstropfen die Tatsache sein, dass Nubus zwangsläufig auf K8s besteht und ausschließlich für den Betrieb damit ausgelegt ist. Kritiker werfen an dieser Stelle ein, dass das viele Vorteile von Nubus zunichtemache, weil der Lernaufwand und der Betriebsaufwand für Kubernetes so groß seien, dass man sich auch gleich mit OpenLDAP oder anderen Lösungen wie FreeIPA befassen könne.

Diese Kritik greift aber nur dann, wenn eine Firma tatsächlich nur Nubus selbst in Kubernetes, den Rest ihres Workloads aber konventionell betreibt. Dann würde Nubus tatsächlich viel Overhead verursachen, andere Lösungen wären in diesem Fall besser geeignet. Wer aber ohnehin die Vorzüge von Kubernetes nutzen und sein IT-Setup umfassend orchestrieren und automatisieren will, sollte sich Nubus sehr genau ansehen: Eleganter dürfte sich das leidige Thema IAM insbesondere mit Open-Source-Software aktuell nicht lösen lassen.

Dass Univention über Nubus anderen Projekten wie OpenDesk unter die Arme greift, gibt es quasi als Sahnehäubchen obendrauf. Obendrein setzen die Bremer mit ihrer cleveren Lösung ein starkes Zeichen: Innovation und Souveränität aus Deutschland sind möglich, wenn nicht die Bedenkenträger das Sagen haben, sondern die tatsächliche Lösung eines Problems im Interesse aller Beteiligten liegt. (jcb)