In den verbreiteten Distributions-Eckdaten erfüllt UCS die Ansprüche an eine auf lange Laufzeiten ausgelegte Linux-Distribution. Die ausgelieferten Versionen der Kernkomponenten sind entsprechend einer stabilen Update-Politik seit dem letzten Major-Release unverändert (in UCS 1.3.2 z. B. Kernel 2.6.14, Samba 3.0.23c, OpenLDAP 2.2.30, KDE 3.4.2, OpenOffice.org 1.0.4). Um den Bedarf an aktuellerer Software zu stillen, steht mit dem Erscheinen dieses Artikels auch eine Zusammenstellung neuerer Versionen zur Verfügung (u. a. Kernel 2.6.18, KDE 3.5.5, Openoffice.org 2.1). Kunden erhalten für die ausgelieferte Software langfristig Sicherheitsupdates, Schulungen, Support und Unterstützung bei Installation und Betrieb direkt vom Hersteller oder einem seiner Partner.

UCS bietet deutlich mehr als eine reine Linux-Distribution. Zentraler Bestandteil ist ein LDAP-basiertes Managementsystem, in dem Identitätsmanagement und Infrastrukturmanagement kombiniert werden. Über die webbasierte Schnittstelle „Univention Admin“ bekommt der Administrator die Möglichkeit, sowohl Benutzer und Gruppen als auch Dienste wie DHCP und DNS oder Services wie Datei- und Druckfreigaben zu administrieren. Die Einstellungen werden dabei vollständig im LDAP hinterlegt.

Alle während der Installation zur Auswahl stehenden Dienste werden in das Managementsystem eingebunden und stehen direkt zur Verfügung. Wurde beispielsweise „Services für Windows“ ausgewählt, bietet UCS Anmelde-, Datei- und Druckdienste für Windows-Systeme an. Dazu wird Samba intern so vorkonfiguriert, dass es alle benötigten Informationen aus dem LDAP des Managementsystems erhält.

Häufig für mehrere Objekte (Benutzer, Gruppen, Server, Arbeitsplätze etc.) angewandte Einstellungen werden richtlinienbasiert definiert. So ist es möglich, Mindestlängen und Änderungsintervalle für Passwörter in einem Objekt zu speichern und den definierten Benutzern beliebige Untermengen zuzuordnen.

Implementierte Techniken (einige Begriffe in der Übersicht):

Single Sign On bezeichnet die Weiterverwendung einer einmal erfolgten Authentifikation, die mit UCS über Samba/NTLM oder Kerberos angeboten wird. Eine Single Source of Authentication ergibt sich, wenn die verschiedenen eingesetzten Dienste auf die gleiche Quelle für Benutzerpasswörter zurückgreifen, in diesem Fall OpenLDAP. Der Benutzer muss nicht mit unterschiedlichen Passwörtern arbeiten, beispielsweise bewirkt eine Passwortänderung am Windows-Logon auch die Verwendung des gleichen Passworts für den Mailserver (Same User Same Password). Durch einen Single Point of Administration hat der IT-Verantwortliche die Möglichkeit, administrative Vorgänge mit nur einem Tool (hier Univention Admin) durchzuführen.

Mit der breiten Unterstützung von LDAP für die Definition und
Authentifikation von Benutzern und Gruppen können weitere Systeme und
Programme einfach an das Managementsystem angebunden werden. Linux- und
Unix-Betriebssysteme unterstützen die Authentifikation gegen einen
LDAP-Server meist von Haus aus, verschiedene Dienste und Programme wie
Datenbanken können ebenfalls entsprechend konfiguriert werden
bzw. sind unter UCS bereits direkt nach der Installation
konfiguriert.

Die Implementierung von Mehrserverumgebungen vereinfacht UCS dabei
durch ein eigenständiges Domänenkonzept. Während der Installation eines
zweiten Serversystems erhält dieses durch Replikation des LDAP
automatisch alle Informationen über existierende Benutzer, Gruppen und
Einstellungen und hält diese im laufenden Betrieb aktuell. Die
Inbetriebnahme eines zusätzlichen Servers erfolgt so in wenigen
Minuten, die Administration erfolgt für alle UCS-Server- und
Desktopsysteme am gleichen, zentralen Webinterface.

Die Anbindung von Windows-Arbeitsplätzen unter UCS erfolgt nach dem typischen Prinzip der Samba-Domäne. Windows sieht in einem der installierten UCS-Server seinen NT-Domänencontroller und erlaubt Benutzern, sich mit Namen und Passwort wie im Univention Admin vorgegeben anzumelden. Die Konfigurationsmöglichkeiten bilden Windows-typische Optionen für Logon-Skript, Profilpfad oder Windows-Terminalserver-Einstellungen ab. Weitere mit UCS installierte Systeme erscheinen in der Netzwerkumgebung wahlweise als Backup-Domänencontroller oder Memberserver.

Vorhandene Windows-Domänen können auf unterschiedliche Art angebunden werden. Im Lieferumfang finden sich Tools für die Übernahme von Windows-NT-Domänen unter Beibehaltung von Benutzer- und Nutzdaten oder ein Active Directory Connector für den direkten Austausch von Anmeldeinformationen zwischen den Verzeichnisdiensten. Ein paralleler Einsatz beider Systeme ist außerdem über Vertrauensstellungen möglich.

Die Mailkomponente integriert mit Postfix, Cyrus, Spamassassin und Amavis/ClamAV erprobte Dienste zu einem vorkonfigurierten Mailserver mit Viren- und Spam-Erkennung. Die Anbindung an das Managementsystem gibt dem Administrator die Möglichkeit, Mailadressen direkt den Benutzern zuzuordnen. Dieser authentifiziert sich dann auch am Mailserver mit dem gleichen Passwort wie am Windows- oder Linux-Desktop.

Als eigenständiges Produkt erhältlich ist der „Univention Groupware Server“ (UGS), der bei UCS aber ebenfalls als Komponente installiert werden kann. Er erweitert den Mailserver zu einem auf Kolab2-Techniken [1] basierenden Groupwaresystem mit zentralen Ressourcen zur Teamarbeit (Kontakte, Kalender, Aufgaben, Notizen), ergänzt das Managementsystem um zusätzliche Möglichkeiten, wie z. B. automatische Terminannahme oder Abwesenheitsnotizen, und bietet einen vorkonfigurierten Webzugriff auf Mails, Termine und Kontakte. Als eigenständiges Produkt ist UGS ohne das Infrastrukturmanagement einsetzbar.

Mit Scalix [2] für UCS ist eine alternative Groupwarelösung angekündigt, die in Zusammenarbeit mit dem gleichnamigen Hersteller integriert werden soll. Sie kann, wie andere Komponenten auch, direkt auf einem unter UCS betriebenen Server installiert und anschließend in Univention Admin administriert werden.

Auf einem mit UCS betriebenen Server werden administrierte Dienste direkt an das LDAP des Managementsystems angebunden und können so zentral verwaltet werden. Nach der Installation sind beispielsweise folgende Dienste sofort einsatzbereit:

Authentifikationsdienste (LDAP, Kerberos, Samba) Infrastrukturdienste (DNS, DHCP, PXE-Installation, Softwareverteilung) Datei- und Druckdienste (Samba, Cups, NFS, Datei- und Druckquota) Mail und Groupware (Postfix, Cyrus, Mailquota) Linux-Terminaldienste, Linux Desktop-Profile

Teil der eigenen Domänenstruktur sind neben Desktopsystemen unter Windows auch solche unter Linux. Dazu stellt die Installationsroutine einen „Managed Client“ zur Auswahl. Er wird wie die Serversysteme Bestandteil des Managementsystems und erhält von ihm zusätzlich zu den definierten Benutzern Informationen über seine Hardwarekonfiguration oder die Voreinstellungen des Benutzerdesktops in Form von KDE-Profilen. Der gesamte Lebenszyklus kann zentral administriert werden: Remote-Installation auf PXE-Basis, Paketauswahl und Aktualisierungs-Zeitpunkte werden definiert und anschließend in einer Software-Status-Datenbank überwacht.

Neben Fat Clients bietet die Distribution auch den Betrieb von Linux-Terminalservern und beliebigen, PXE-fähigen Geräten als Thin Client an. Nach der Registrierung im Managementsystem starten die Geräte ihr Betriebssystem von einem der unter UCS betriebenen Server und bieten dem Benutzer unter einer einheitlichen Oberfläche die Anmeldung wahlweise an Linux- oder Windows-Terminalserver. Werden die Linux-Terminalserver ebenfalls unter UCS betrieben, können über das Managementsystem mehrere Server für Lastausgleich und Ausfallschutz kombiniert werden. Andere Linux- oder Unix- (Desktop-) Systeme, darunter auch Mac OS X, binden sich über die standardisierte LDAP-Schnittstelle ebenfalls in das Identitätsmanagement ein.

Die Installation und Administration eines oder mehrerer UCS-Systeme ist denkbar einfach gehalten, die notwendigen Schritte sind in der umfangreichen Dokumentation [3] beschrieben. Um die mitgelieferten Dienste in Betrieb zu nehmen, reichen daher IT-Grundkenntnisse.

In großen oder speziellen Umgebungen bieten sich Anpassungsmöglichkeiten auf unterschiedlichen Ebenen an. Sollen bei der Administration wiederkehrende Tätigkeiten automatisiert werden, kann das Managementsystem über ein Skript-Interface angesprochen werden. Zusätzliche Felder, die von anderen Applikationen im LDAP erwartet werden, können über so genannte „Benutzerdefinierte Attribute“ bereits ohne Programmierkenntnisse abgebildet werden. UCS bietet weitere Schnittstellen für die Programmierung eigener Erweiterungen, auf deren Grundlage der Benutzer eigene Objekte verwalten kann. Mit der Freigabe der Quelltexte unter der GPL stehen ambitionierten Entwicklern zahlreiche weitere Möglichkeiten offen.

Bereits vorkonfiguriert ist eine benutzerbezogene Ansicht bei der Anmeldung am Managementsystem. Während Administratoren vollen Zugriff erhalten, sehen Benutzer nur persönliche Einstellungen, zum Beispiel zur Groupware.

UCS bietet als Distribution eine stabile Plattform für den Einsatz von Linux in Unternehmen. Mit dem integrierten Managementsystem und den zahlreichen, direkt angebundenen Serverdiensten werden Anforderungen an Infrastrukturdienste in kleinen und mittleren Unternehmen häufig bereits abgedeckt.
Die Integration in komplexen Umgebungen ist dem System durch die zahlreichen Anpassungsmöglichkeiten bereits in vielen Projekten erfolgreich gelungen, Unterstützung kann dabei auch über Systemhäuser im deutschsprachigen Raum erfolgen.

Wer UCS oder UGS testen möchte, findet VMware-Images auf den Webseiten des Herstellers, kann eine zeitlich begrenzte Lizenz anfordern oder die Weboberfläche online testen [4]. Über Fujitsu Siemens Partner sind auch vorinstallierte Server erhältlich. Der produktive Einsatz inklusive einem Jahr Sicherheits- und Releaseupdates der Distribution ist ab 220 Euro je Server möglich, die Basislizenz für das Managementsystem ist ab 299 Euro für zehn User erhältlich (Preise zzgl. MwSt.).