Die Sache mit der Vergangenheit
Bis man sich 2021 für die Open-Source-Lösung UCS entschied, setzte man in der öffentlichen Verwaltung von Schwäbisch Hall zur Verwaltung von Identitäten und Zugriffsrechten auf ein selbst entwickeltes Identity Management System (IDM). Letzteres eignete sich jedoch nicht mehr für diesen Zweck, was vor allem an der externen Betreuung, dem fehlenden hausinternen Wissenstransfer und schleppenden Knowhow-Aufbau in diesem Bereich lag. Um die knappen personellen Ressourcen effizienter zu nutzen, den etwa 900 Mitarbeitenden jederzeit einen orts- und zeitunabhängigen Zugriff auf ihre E-Mails, Termine, Kontakte und Dateien an zentraler Stelle zu ermöglichen und die Verwaltung von neuen Programmen gewährleisten zu können, begann die Suche nach einem geeignetem IDM für Schwäbisch Hall.
Ziel dieses Modernisierungsprozesses war es, sich durch die Verwendung von Open Source Software (OSS) aus der Abhängigkeit einzelner Hersteller zu lösen, die Sicherheit des IT-Systems insgesamt zu erhöhen, Lizenzkosten zu senken und bei der geplanten Migration auf Linux-Systeme die Kompatibilität von Linux- und Windows-Systemen in einer komplexen heterogenen IT-Landschaft sicherzustellen.
Neuaufstellung der IT mit der Open-Source-Lösung UCS
Der neue IT-Ansatz der Stadt sah vor, Linux-basierte Client-Computer einzusetzen und ein professionell gepflegtes zentrales IDM auf Open-Source-Basis zur standardisierten und zentralisierten Benutzerverwaltung einzuführen. So sollte das alte Verwaltungssystem, welches zu diesem Zeitpunkt alle Änderungen in die jeweiligen angebundenen Dienste replizierte, zukunftsfähig gemacht werden. Benutzerinformationen wie Gruppenmitgliedschaften, Passwortänderungen und Benutzerdetails sollten dabei weiterhin an zentraler Stelle erfolgen.
Die Suche nach einem geeigneten IDM, das auch die no-spy-Klausel des Bundesministeriums des Innern und für Heimat (BMI) erfüllte, stellte eine erste Herausforderung im Projektverlauf dar. Denn viele IDMs erfüllten diese Klausel nicht und kamen deshalb für die IT in Schwäbisch Hall nicht für die Neuausrichtung infrage. Mit UCS als offen konzipierte Plattform mit integriertem OpenLDAP und Active-Directory-Funktionen konnten Dienste über das App Center oder Schnittstellen einfach integriert, zentral administriert und über ein Portal bereitgestellt werden. Mathias Waack, Leiter des Fachbereichs Organisation & IT der Stadt Schwäbisch Hall, betont: „Es war schon etwas überraschend zu sehen, dass Univention der einzige Anbieter war, der überhaupt positiv auf unsere Anfrage antwortete. Genau genommen überraschte mich persönlich der Fakt, dass offenbar alle anderen Hersteller von IDM-Systemen Schwierigkeiten mit eben dieser no-spy-Klausel hatten.“
Gut vorbereitet ans Ziel
Basierend auf der Erkenntnis, dass sich die technische Grundlage des alten und neuen Systems ähnelten, konnte zügig ein Migrationsplan entwickelt werden. Um bei der Migration Informationen aus dem alten System in die neue Lösung zu transformieren, übernimmt ein Notifier-Listener-Mechanismus die Replikationen der Benutzerdaten in die einzelnen Dienste und zentrale Dienste wie LDAP, DNS, DHCP. Die redundante Ausgestaltung der Samba-basierten Active-Directory-Windows-Dienste gewährleisten Ausfallsicherheit. Die E-Mail-Lösung OX App Suite, die bisher auf einem Dovecot Server lief, wurde in diesem Prozess ebenfalls auf UCS umgezogen.
Vor der eigentlichen Migration wurde eine virtuelle Testinstallation mit einem digitalen Zwilling des aktuellen Systems und einem UCS eingerichtet. Dank Snapshots und Clones konnten so vorab Datenbestände bereinigt, Skripte für eine automatisierte Migration sowie ein Zeitplan erstellt werden.
Informationen über Benutzer, Gruppen und Geräte aus dem bisherigen Samba Active Directory wurden mit dem für die Migration von Windows-Domänen entwickelten UCS Active Directory Takeover abgewickelt, damit nach Abschluss der Migration alle 500 Linux-Client-Computer ohne weitere Änderungen mit dem neuen System funktionieren.