Photo by LYCS Architecture / Unsplash

Linux im Unternehmen

GNU/Linux 27. Juni 2022

In Windows dominierten Umgebungen mit vielen Teilnehmern setzt man auf die Microsoft Active Directory. Sie hat sich aus dem Domänenkonzept aus Zeiten von Windows NT entwickelt und hat Lösungen wie die eDirectory (früher NDS) abgelöst.

Plant man oder hat man bereits eine Linux fokussierte Umgebung sind Alternativen gefragt. Wenngleich sich Linux Systeme ebenfalls mit der Active Directory verbinden lassen, gibt es bessere und preiswertere Lösungsansätze. Gedanklich muss man dabei in die zwei Bereiche Desktop und Server einteilen.

Linux Desktop im Unternehmen

Unter Windows ist es üblich Arbeitsplätze mit Gruppenrichtlinien (GPO) zu verwalten. Dadurch ist es nur noch selten nötig von Arbeitsplatz zu Arbeitsplatz zu laufen, was die Administration vereinfachen soll. Meiner Erfahrung nach birgt dies jedoch ein gewisses Risiko. Die Administratoren müssen derart viel Zeit in die Verwaltung der GPO stecken, dass kleine und auch teilweise mittlere Unternehmensgrößen kaum von der Nutzung profitieren.

Werkzeuge für Linux, um sie zentral zu administrieren, gibt es reichlich. Der prominenteste Vertreter ist Ansible. Zumeist eingesetzt zur zentralen Pflege von Server und Netzwerkequipment, kann es ebenso gut zur Orchestrierung von Arbeitsplätzen eingesetzt werden. Eine echte und mächtige Alternative zur Nutzung von Gruppenrichtlinien.

Ansible Logo

Die Community rund um Ansible ist groß und es gibt für alle möglichen Umgebungen bereits fertige Rollen und Collections. Selbst wenn nicht, ist Ansible sehr intuitiv und einfach zu bedienen im Vergleich z.B. zu Puppet. Rollen zur Verwaltung von speziellen Bedürfnissen sind zügig erstellt. Auf Gruppen basierende Definitionen lassen sich mit Ansible bequem auf alle Desktop Systeme ausrollen. Natürlich ist es auch möglich individuelle Parameter für einzelne Systeme zu setzen. Da Linux extrem vielfältig ist bietet es sich an die Auwahl der Linux Distribution für die Mitarbeiter einzuschränken. Ich berate sie hierzu gerne.

Linux Server

Linux als Server sind weltweit enorm verbreitet und bieten deswegen keine ungewöhnlichen Herausforderungen. Für eine optimale Integration aller Linux Systeme wird ein Identity Management System benötigt. Damit werden die berüchtigten drei A abgebildet:

Authentication, Authorization und Accounting.

Letzteres ist in den meisten Fällen weniger wichtig. Die Authentifizierung und Authorisierung sind allerdings wesentliche Bestandteile eines sicheren Unternehmensnetzwerks.

FreeIPA Logo


Benutzer möchte man zentral pflegen und nicht für jede Anwendung und jedes System einzeln. Ab etwa 10 Mitarbeitern und mehr sollte man über den Einsatz einer Software wie FreeIPA nachdenken. Sie hilft nicht nur bei der Administration der Benutzer sondern bietet auch Lösungen in den Bereichen

  • Zertifikatsmanagement
  • Authoratives DNS
  • NFS basierte Home Laufwerke
  • NTP Zeitserver
  • Cross Domain Trusts

FreeIPA integriert vorhandene Lösungen wie Kerberos und LDAP zu einem System und ist dabei einfach zu administrieren. Es beherscht von Haus aus Replikation und lässt sich so ausfallsicher über Standorte Hinweg betreiben. Möchte man für seine Kunden ein Portal zur Pflege der eigenen DNS Zonen anbieten? Auch daran ist gedacht. Über eigene Zugangsdaten können festgelegte Domains selber gepflegt werden über eine elegante Web Oberfläche.

Mit Hilfe von FreeIPA kann man zentral Benutzer pflegen und Server- sowie Desktopsysteme integrieren. Ein Benutzer, viele Systeme. Auch Webapplikationen lassen sich integrieren. So wird ein echter Single Sign On (SSO) zur Realität.

Teléfono
Photo by Quino Al / Unsplash

Möchten Sie mehr zu diesem Thema wissen? Kontaktieren Sie mich gerne.

Tags

Jochen Demmer

Computer und Netzwerke bestimmen mein Leben. Open Source ist meine Umfeld.

Großartig! Das Abonnement wurde erfolgreich abgeschlossen.
Großartig! Schließen Sie als Nächstes die Kaufabwicklung ab, um vollen Zugriff zu erhalten.
Willkommen zurück! Sie haben sich erfolgreich angemeldet.
Erfolg! Ihr Konto ist vollständig aktiviert, Sie haben jetzt Zugang zu allen Inhalten.