Zarafa-Groupware-Lösung auf Univention Corporate Server installieren

Fundament fürTeamarbeit

Die Bremer Univention GmbH hat sich mit ihrem Corporate Server als Infrastruktur-Lieferant etabliert. Wer diesen Server als Fundament für die Groupware Zarafa nutzen möchte, kann zusätzlich auf die gute Vorarbeit des Univention-Partners LINET Services GmbH zurückgreifen.
Duell der Datenbanken: In einem Shootout messen sich MySQL und PostgreSQL. Der Schwerpunkt vom ADMIN 06/2011 überprüft, wer schneller ist und gibt einen ... (mehr)

Die Groupware-Lösung mit dem Giraffen-Logo konzentriert sich bekanntlich auf die möglichst kompromisslose Umsetzung des MAPI-Protokolls, empfiehlt sich damit vorrangig als kostengünstige Alternative zu MS Exchange und wird von Zarafa auch in diesem Sinne vermarktet. Die jüngst erschienene Version 7 [1] bringt mit Unicode-Unterstützung, neuem Admin-Interface, verbesserter Performance vor allem im Datenbankbereich und optimiertem IMAP-Gateway interessante Features mit und basiert mit MAPI bei der Umsetzung sämtlicher Collaboration-Features vollständig auf einem echten Groupware-Protokoll.

Inwieweit eine Exchange-Alternative auf Zarafa-Basis tatsächlich kostengünstiger ist – Hersteller Zarafa spricht von bis zu 50 Prozent – hängt von vielen Faktoren ab. Neben etwaigen Kosten für Migration, Pflege, Service und Schulung von Administratoren im Linux-Bereich – für Nutzer ändert sich dank nahezu vollständiger Outlook-Unterstützung und Outlook-ähnlichem Ajax-Web-GUI ( Abbildung 1 ) kaum etwas – fallen mitunter auch Kosten für das Server-Betriebssystem an, denn Zarafa vermarktet seine Groupware-Lösung nicht als Appliance, wenngleich es solche Produkte von Zarafa-Partnern wie etwa der Bitbone AG durchaus gibt.

Abbildung 1: Die Zarafa-Web-GUI steht nach Installation von

Zarafa soll sich nämlich nach den Vorstellungen der Entwickler maximal flexibel in die vorhandenen Infrastrukturen einfügen. Es obliegt also der Entscheidung des Administrators, welche Linux-Distribution er als Basis für eine Zarafa-Installation wählt. Im günstigsten Fall ergeben sich sogar für die gesamte Infrastruktur überhaupt keine Anschaffungskosten, nämlich dann, wenn sich der Admin für die Community-Version von Zarafa zusammen mit einer freien Distribution entscheidet. Die Community-Version unterstützt bereits eine unbegrenzte Nutzerzahl beim Webclient und dem IMAP-Gateway, allerdings nur drei Benutzer beim Outlook-Zugriff. Ihr fehlen zudem die Active-Directory-Unterstützung, der Mehrbenutzer-Kalender und das Backup-Tool. Diese Features bietet erst die Small Business Version. Ihr gegenüber bringt die Professional-Version den Blackberry Enterprise Server, Hochverfügbarkeitsfunktionen und eine automatische Software-Verteilung mit. Die Enterprise-Variante schließlich lässt sich dank Multiserver-Unterstützung auf mehrere Server verteilen und ist mandantenfähig.

UCS-Konzepte

Ein typisches Zarafa-Szenario ist in der Regel im KMU- oder Enterprise-Umfeld angesiedelt ist, deshalb ist für das Server-Betriebssystem eine Enterprise-Distribution die beste Wahl. Univentions Corporate Server (UCS) drängt sich hier insofern auf, als er für den Einsatz mit Zarafa zertifiziert und als Appliance konzipiert ist. Neben den generellen Vorteilen jeder Enterprise-Distributionen wie vom Hersteller gepflegte Repositories mit stabilen, aufeinander abgestimmten und besonders getesteten Paketen zählt im Praxiseinsatz für viele Admins vor allem ein möglichst langer Support-Zeitraum.

Der Univention Server lockt darüber hinaus mit zahlreichen Funktionen, die nicht unmittelbar mit seiner Zertifizierung als Groupware-Server zu tun haben [2] . Für ihn spricht etwa sein Verzeichnisdienst-basiertes Identity- und Infrastruktur-Managementsystem, dessen durchgängige Umsetzung einmalig in der Linuxwelt ist, allerdings auch die Integration einer komplexen Software wie Zarafa erschwert. Es gibt aber sowohl von UCS als auch von Zarafa Versionen für eine unbegrenzte Nutzung zu persönlichen Zwecken, die sich für ein kostenloses Testszenario empfehlen. Herausragendes Merkmal des UCS ist sein Single-Point-of-Administration-Konzept. Der UCS verwaltet sämtliche Benutzer, Gruppen und Hosts webbasiert, wozu alle Komponenten den gemeinsamen OpenLDAP-Verzeichnisdienst nutzen. Dazu implementieren die Univention-Entwickler ein eigenes Domänen-Konzept zur einfachen Integration von Servern und Arbeitsplätzen in das zentrale Identity- und Infrastrukturmanagement mitsamt eines Rollen-Konzeptes für die in der Domäne verfügbaren Hosts, namentlich Domänencontroller Master, Domänencontroller Backup, Domänencontroller Slave, Memberserver, Managed Client, Mobile Client und Thin Client.

Das Domänen-Konzept des UCS basiert auf den Diensten DNS, LDAP, Samba und Kerberos. Der von UCS beim Installieren eines DC Master implementierte DNS-Dienst löst sämtliche Namen und IP-Adressen aller im Managementsystem registrierten Systeme auf. Alle UCS-Einstellungen landen im LDAP. Alle UCS-Systeme registrieren sich in den im LDAP konfigurierten DNS-Domänen. Die Administration der DNS-Domäne erfolgt dann anhand der Rechnerobjekte im Managementsystem über eine Web-Schnittstelle zum LDAP-Verzeichnisdienst.

UCS hält Änderungen bei Bedarf auch mit der DHCP-Konfiguration synchron. Außerdem lässt sich die DNS-Domäne auch für das Mail-Routing verwenden, wenn der Admin sie als MX-Record einträgt. Auch Windows-Clients können Mitglied einer UCS-Domäne sein, sofern die Unterstützung von Windows-Diensten (Samba) im UCS aktiviert ist. Dabei erscheint die UCS-Domäne aus Sicht der Windows-Clients wie eine Windows NT-Domäne. Der Windows-Client (ab Windows XP Professional) tritt der Domäne bei. Das ist allerdings nicht Voraussetzung, um MS Outlook als Zarafa-Client verwenden zu können, denn der Zarafa-Dienst läuft in Prinzip auch unabhängig von den geschilderten UCS-Funktionen.

Unabhängig vom UCS

Gleiches gilt auch für die Benutzerverwaltung und Authentifizierung des Zarafa-Servers. Auch diese ist im Prinzip unabhängig vom UCS. Allerdings kann Zarafa diese Prozesse wahlweise via MySQL, Unix/Passwd oder LDAP abwickeln und verlangt dann einen entsprechend konfigurierten UCS. Der verwendet nämlich unter anderem die Kerberos-Implementierung Heimdal (Kerberos 5-Standard) zur Realisierung eines echten und sicheren "Single Sign On", wobei die Kerberos-Realm (Kerberos-Domäne) in der Regel mit der DNS-Domain übereinstimmt.

Da UCS bei der Installation des DC Masterdie Kerberos-Realm anhand der DNS-Domain einstellt, erhalten die im Managementsystem angelegten Benutzerkonten automatisch ein Kerberos-Konto unter dieser Realm, und der DC Master registriert alle UCS Systeme als Kerberos Hosts. Im Übrigen erfolgt dann das Anbinden existierender Kerberos-Installation durch den Aufbau einer Vertrauensstellung. Elegant ist ferner, dass die Datenhaltung der Domänen-Kontexte von DNS und Kerberos durch den Einsatz des UCS-Managementsystems konsistent bleiben. Benennt der Admin etwa einen Host dort um, gilt der neue Name sowohl im DNS als auch in der Windows-Domäne. Ändert ein Benutzer sein Passwort gegenüber Kerberos oder der Windows-Domäne, ändert es sich auch im jeweils anderen Kontext.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023