„Offen sein macht erfolgreich“: Univention Summit 2016

0

Univention Summit 2016Unter dem Motto „Be open. Build success“ fanden sich am 21. und 22. Januar 2016 über 250 Teilnehmer, Softwarehersteller, und Service-Anbieter im GOP Varieté Theater in Bremen zum jährlichen Univention Summit ein. Ihr gemeinsames Ziel: sich vor Ort über neue IT-Trends zu informieren, neue Softwarelösungen kennenzulernen und anhand von Praxisbeispielen neue Erkenntnisse und Erfahrungen zu gewinnen. Mit diesem Konzept hat sich der Univention Summit mittlerweile zu einem wichtigen Termin der deutschsprachigen Open Source Szene etabliert, um miteinander ins Gespräch zu kommen, sich besser zu vernetzen oder neue Kooperationen und Projekte anzustoßen.

Ich besuchte die Konferenz zusammen mit meinem Kollegen Kai Wagner, um uns vor Ort über die Neuerungen im Univention-Umfeld zu informieren. Außerdem wollten wir die Integration unserer Open Source Storage-Management-Lösung openATTIC in den Univention Corporate Server (UCS) evaluieren. Aus openATTIC-Sicht ist UCS eine sehr interessante Plattform, da es aktuell noch keine so allumfassende Storage-Management-Lösung dafür gibt und wir darüber einen erweiterten Anwenderkreis erreichen könnten.

Peter Ganten von Univention gab die Keynote auf dem Univention Summit 2016

Peter Ganten von Univention gab die Keynote

Gut gefüllte Agenda
Die Agenda war gut gefüllt: das Programm verteilte sich über eineinhalb Tage, wobei es am ersten Tag 18 Fachvorträge in den drei Tracks „Technik“, „Univention App Plattform“, „Cloud“ und „Education“ gab. Der zweite Tag bot die Möglichkeit, im Rahmen der „Expert Talks“ tiefer gehende Workshops zu verschiedenen Schwerpunktthemen zu besuchen. In den Pausen konnten sich die Besucher über die Angebote der knapp 20 Technologiepartner informieren oder neue Kontakte knüpfen.

Nach einer Begrüßung der Teilnehmer durch Cord Martens (Head of Sales bei Univention) spannte Geschäftsführer Peter Ganten in seiner Keynote „Be Open. Build Success“ einen Bogen von Open Source-Software über Datenhoheit im Cloud-Zeitalter bis hin zum Schutz der Privatsphäre vor der Überwachung durch Geheimdienste.

Steigende Anwenderzahlen beim UCS
Im Anschluss stellte Entwicklungschef Stefan Gohmann die Highlights der UCS-Entwicklung des letzten Jahres und die geplanten Neuerungen vor. Univention kann sich seit der Freigabe des UCS als „Core Edition“ ohne Support über steigende Download- und Nutzerzahlen freuen. Einen nicht unerheblichen Anteil daran dürfte das App Center tragen. Von der Plattform für App-Anbieter können sich UCS-Anwender die Lösungen verschiedener Hersteller leicht herunterladen, installieren und warten. Den App Store will Univention dieses Jahr zum „Marketplace“ ausbauen, über den Kunden auch Software-Lizenzen erwerben können sollen. Dabei gibt es allerdings noch viele Details zu klären, was Thema im Experten-Workshop des zweiten Tages war.

Mein Eindruck war, dass sich der Univention Corporate Server (UCS) als Linux-Plattform sehr gut etabliert hat. Insbesondere der Schwerpunkt auf der zentralen Benutzer-Verwaltung mit OpenLDAP und Samba 4 als Domain Controller stößt bei vielen Kunden auf positive Resonanz.

Bei den Fachvorträgen am Nachmittag besuchte ich primär die Technik-Tracks, um dort einen detaillierteren Einblick in die Technologien zu bekommen, auf denen UCS basiert und die den eigentlichen Mehrwert dieser Plattform aus Anwendersicht ausmachen. In seinem Vortrag „Feature-Review UCS 4.1“ ging Michael Granjean von Univention dann auch sehr detailliert auf die technischen Highlights der aktuellen Version ein. Besonders stolz war er darauf, mit dem Release-Termin am 17. November eine „Punktlandung“ für UCS Version 4.1-0 hinbekommen zu haben.

Podiumsdiskussion auf dem Univention Summit

Podiumsdiskussion

Docker-Unterstützung
Eine der prominentesten Neuerungen in Version 4.1 ist die Unterstützung von Docker als Container-Lösung. Für die Integration ins App Center arbeitet Univention zusammen mit den App-Anbietern daran, Anwendungen standardmäßig als Docker-Container zu installieren, anstelle wie bisher die Debian-Pakete direkt im Host-System zu installieren. Das hat den entscheidenden Vorteil, dass mögliche Abhängigkeiten von bestimmten Software-Versionen (z.B. PHP) innerhalb des App-Containers konfliktfrei aufgelöst werden können und Sicherheitslücken nicht sofort das ganze System kompromittieren. Aktuell basiert dieses Konzept auf dem Ansatz, eine Applikation pro Container zu installieren, Multi-Container Apps sind aber bereits auf der Roadmap für die kommenden Monate.

Verbessertes Single-Sign-On
Auch bei der Benutzer-Authentifizierung hat sich einiges getan: in UCS 4.1 wurde insbesondere die SAML-Integration deutlich verbessert. SAML ist ein auf XML basierendes Framework für die Authentifizierung und Autorisierung und ermöglicht einen webbasierten Single-Sign-on. Damit ist nur eine einmalige Anmeldung mit Benutzername/Kennwort an einem UCS-System erforderlich, um Zugriff auf verschiedene Applikationen zu bekommen. UCS fungiert in diesem Fall als „Identity Provider“, der die Nutzerdaten im OpenLDAP-Backend speichert. Ein Administrations-Frontend (z.B. die Univention Management Console) ist in diesem Kontext ein „Service Provider“. UCS erlaubt damit zum Beispiel, von einer Instanz der Management Console in der Domäne zur nächsten zu wechseln, ohne sich neu anmelden zu müssen.
Ebenfalls möglich ist eine Zwei-Faktor-Authentifizierung bei Applikationen, die SAML, RADIUS oder den PAM-Stack zur Authentifizierung verwenden (z.B. SSH). Dazu gehört beispielsweise die Management Console selbst, wo nach Eingabe des Benutzernamens und Passworts noch die Eingabe eines generierten Einmalpassworts (z.B. via der Smartphone App „Google Authenticator“) erfragt wird. Weiterhin eingebunden werden können der Yubikey, FreeOTP und andere Push-Button Tokens.

Was das App Center betrifft, so wurde die Usability verbessert: es gibt nun Galerie-Ansichten für „Installierte Apps“ und „Verfügbare Apps“. Neu hinzugekommen ist auch die Möglichkeit, Videos zusätzlich zu Screenshots der Applikation einzubinden. Ebenfalls neu ist die Option, die Installation von Apps auf anderen UCS Servern in der gleichen Domäne durchzuführen sowie die Ansicht, auf welchen Systemen eine App installiert ist. Web-basierte Applikationen können zudem direkt aus dem App Center heraus geöffnet werden.
Aktualisierung der UCS-Kernkomponenten

Nicht nur im Ausstellungsbereich herrschte großer Andrang auf dem Univention Summit

Nicht nur im Ausstellungsbereich herrschte großer Andrang

Unter der Haube von UCS wurden einige Kernkomponenten auf einem aktuelleren Stand gebracht als das, was Debian 7 standardmäßig ausliefert. So basiert die Distribution nun auf dem Linux Kernel 4.1 (long term support), Samba 4.3 mit aktuellstem SMB-Protokoll (unterstützt damit Windows 10 und das kommende Windows Server 2016) und OpenLDAP 2.4.42 (Bugfixes). Der in UCS verwendete Mailstack basiert nun auf Dovecot und Postfix. Dovecot ersetzt den bisher verwendeten Cyrus IMAP Server und bietet bessere Skalierung, Administration und Sicherheit. Er ist weiterhin vollständig konform zum IMAP-Standard. Der Postfix Mailserver akzeptiert Mails nun auch über den Submission-Port 587. Ebenfalls verbessert wurde die TLS-Konfiguration und mehr Anti-Spam-Maßnahmen eingebaut.

Praxisberichte zu Server-Migration und LDAP
Im Anschluß an den sehr aufschlußreichen Vortrag zum UCS gab es einen Praxisbericht von Christoph Herrmann von science computing/ATOS. Christoph berichtete über die Migration eines Sun One Directory Servers auf eine Lösung basierend auf OpenLDAP, Univention Directory Manager und der Univention Management Console als Admin-Portal. Die Migration war insbesondere durch die gewachsene Struktur des Verzeichnisses und einiger Besonderheiten des Sun One Directory Servers eine große Herausforderung, konnte aber letztendlich erfolgreich durchgeführt werden.

Ingo Steuwer von Univention folgte mit einem Erfahrungsbericht über eine sehr anspruchsvolle LDAP-Umgebung auf UCS-Basis. Insbesondere das Sizing eines LDAP-Servers für über 30 Millionen Objekte (Mailkonten) stellte eine große Herausforderung dar, da sich daraus beispielsweise ca. 420 Millionen Login-Requests pro Tag ergeben und das LDAP-Verzeichnis über 10.000 mal pro Stunde aktualisiert wird. Performance-Tests ergaben unter anderem, dass die Performance des BDB-Backends zwar ausreichend gewesen wäre, aber hart an die Belastungsgrenze gefahren werden würde. Durch Tests mit slapadd/ldapsearch-Operationen kristallisierte sich das MDB-Backend als bessere Option in Hinblick auf Plattenplatzbedarf und Hauptspeicherauslastung (bis zu 50% Ersparnis) heraus. Von so viel fachlichem Input „erholten“ wir uns beim abendlichen Event mit leckerem Essen und artistischen Einlagen.

Freitag: Weiterentwicklung des App Centers
Freitag vormittag teilten Kai und ich uns auf: er besuchte den Technical Workshop, ich den Business-Teil, wo es insbesondere um die Weiterentwicklung des App Centers und die Anforderungen aus Anbieterseite (z.B. Abrechnung, Analytics) ging. Die Workshops waren von sehr intensiven Diskussionen und Dialogen zwischen Univention und den Anwendern geprägt. Spannend war der detaillierte Einblick in die Roadmap für UCS und den App Store. Gleichzeitig hatte man Gelegenheit, Feedback und Probleme direkt mit den Produktverantwortlichen besprechen zu können. Die Mitarbeiter von Univention waren sehr offen für die Anregungen und Vorschläge der Teilnehmer, ohne eine überzogene Erwartungshaltung zu schaffen. Einige der geplanten Neuerungen werden viel Zeit in Anspruch nehmen und in der ersten Ausprägung nicht vollständig oder perfekt sein, aber mit diesem agilen Ansatz ist es auch leichter, sich auf Veränderungen oder neue Anforderungen besser einstellen zu können.

Univention hat mit dem diesjährigen Summit eine wirklich tolle Veranstaltung auf die Beine gestellt. Es waren aus dem deutschsprachigen Raum viele prominente Open Source-Vertreter anwesend, sodass wir viele alte Bekannte treffen und neue Kontakte knüpfen konnten. Für uns hat sich die Teilnahme definitiv gelohnt, wir kommen gerne wieder!

Nachtrag: Das openATTIC-Projekt ist zusammen mit dem Storage-Bereich der it-novum zum November 2016 an SUSE übergegangen. SUSE wird openATTIC zum Management-Frontend für die Verwaltung von Ceph-Clustern weiterentwickeln.

Tags: , ,

Lenz Grimmer ist Team Lead Product Management & Development für unsere Software-Defined Storage-Plattform openATTIC. Lenz ist seit seinem Informatikstudium Mitte der neunziger Jahre mit dem Linux/Open Source Virus infiziert und seitdem im Linuxbereich unterwegs: als Entwickler für SUSE Linux und MySQL AB, als Community Relations Manager für MySQL und als Product Manager für die Oracle Linux Distribution und die Sync & Share – Lösung TeamDrive. Als openATTIC Product Manager unterstützt Lenz bei der Weiterentwicklung von openATTIC und dem Ausbau des Anwender- und Kundenkreises.

Webprofile von Lenz: Blog, Google+, XING.