Heute: Univention

Aufbau einer modernen und sicheren Open-Source-Infrastruktur für den Sea-Watch Rechtshilfefond

Mithilfe des Sea-Watch Rechtshilfefonds soll Unterstützer*innen von Menschen auf der Flucht bei der Wahrung und Durchsetzung ihrer Rechte unter die Arme gegriffen werden. So will die Organisation gewährleisten, dass der humanitären und völkerrechtlichen Pflicht der Seenotrettung auch in Zukunft Folge geleistet wird. Um die europaweit verteilte Arbeit des Rechtshilfefonds zu unterstützen, wurde 2021 entschieden, eine kollaborative, selbstgehostete Private-Cloud-Platform zu implementieren. Schließlich wurde gewünscht, dass alle Anwendungen über ein zentrales webbasiertes Portal erreichbar sind und den Benutzer*innen über ein zentrales Identity-Management-System alle Anwendungen über ein personalisiertes einheitliches Konto zur Verfügung stehen.

Anwender

Um die europaweit verteilte Arbeit des Rechtshilfefonds zu unterstützen, wurde 2021 entschieden, eine kollaborative, selbstgehostete Private-Cloud-Platform zu implementieren. Schließlich wurde gewünscht, dass alle Anwendungen über ein zentrales webbasiertes Portal erreichbar sind und den Benutzer*innen über ein zentrales Identity-Management-System alle Anwendungen über ein personalisiertes einheitliches Konto zur Verfügung stehen.

Anforderungen

  • Erweiterung bestehender Dienste um webbasierte Lösungen
  • Datei-Sharing & Kollaboratives Arbeiten
  • Groupware mit S/MIME-Unterstützung, Kalendern, Adressbüchern & ActiveSync für Mobile Devices
  • Einführung eines Ticket-Systems
  • Zentrales Identity-Management-System

Lösung

  • Univention Corporate Server als dediziertes Identity-Management-System
  • Single-Sign-on für bereitgestellte Anwendungen
  • Installation & Bereitstellung von Apps für Datei-Sharing, kollaboratives Arbeiten komfortabel über Univention App Center
  • Self-Service-Funktion für Benutzer*innen zur Verwaltung der eigenen Accounts

Die Rettung von Menschen in Seenot ist nach Ansicht von Seawatch nicht nur eine humanitäre, sondern auch eine völkerrechtliche Pflicht: Gemäß Art. 98 Seerechtsübereinkommen der Vereinten Nationen sind Kapitän*innen dazu verpflichtet „jeder Person, die auf See in Lebensgefahr angetroffen wird, Hilfe zu leisten“.

Dennoch sind zunehmend nicht nur die Aktivist*innen von Seenotrettungs-NGOs, sondern auch die Besatzungen kommerzieller Schiffe und privater Seefahrzeuge von der Kriminalisierung der zivilen Seenotrettung durch die Europäische Union und ihrer Mitgliedstaaten betroffen. In diesem Kontext wurde am 22. Juni 2018 der Sea-Watch Rechtshilfefonds e. V. (RHF) gegründet. Sein Ziel ist vor allem die Wahrung und Durchsetzung der Rechte von Einzelnen und Gruppen, die im Zusammenhang mit ziviler Seenotrettung gezielt kriminalisiert werden.

Die strafrechtlichen Verfahren, mit denen sich zahlreiche Personen konfrontiert sehen, sind nicht nur langwierig, sondern auch kostspielig, und dienen unserer Meinung nach einer Politik der Abschreckung. Deshalb scheuen kommerzielle und private Schiffe zunehmend vor der Rettung von Personen in Seenot zurück, und die zusätzlichen Risiken und Herausforderungen erschweren die Arbeit der aktivistischen Seenotrettung. Das gleiche gilt für die Kriminalisierung von Hilfsaktionen an Land.

Mithilfe des RHF wird Unterstützer*innen von Menschen auf der Flucht bei der Wahrung und Durchsetzung ihrer Rechte unter die Arme gegriffen. So soll gewährleistet werden, dass der humanitären und völkerrechtlichen Pflicht der Seenotrettung auch in Zukunft Folge geleistet wird.

Aufbau einer modernen und sicheren Open-Source-Infrastruktur

Um seine Ziele zu erreichen, stellt der RHF neben rechtlichen Hilfsangeboten primär finanzielle Mittel bereit. Über deren Ausschüttung sowie weitere mögliche Unterstützung entscheiden Spezialist*innen, deren Beweggrund und oberstes Gebot die Wahrung und Verteidigung der Rechte betroffener Menschenrechtsverteidiger*innen ist.

Um die europaweit verteilte Arbeit des Rechtshilfefonds zu unterstützen, wurde 2021 entschieden, eine kollaborative, selbstgehostete Private-Cloud-Platform zu implementieren.

Nach einer tiefgehenden und aufwendigen Evaluierung von Fachanwendungen für das Akten- und Vertragsmanagement entschieden sich die Anwält*innen des Legal Aid Teams für die Pitch-Fever-Preis prämierte Software LECARE des Hamburger Spezialisten LECARE Gesellschaft für Softwareentwicklung mbH.

Das Sea-Watch IT-Team übernahmen in Zusammenarbeit mit dem LECARE Support die Planung und Implementierung der Umgebung. LECARE wird über einen Apache Tomcat Webserver aufgerufen, welcher als Setup für eine Microsoft-basierte Umgebung mitgeliefert wird. Oftmals werden sämtliche weitere Dienste, wie etwa der Datenbank Server, auf diesem System installiert, und somit fungiert der Server als Domänencontroller. Dieser Aufbau stellte jedoch eine schwer zu handhabende Single-Server-Installation mit einer Vielzahl an komplexen Diensten dar. LECARE stellt es seinen Kund*innen frei, auf welchem Server die Datenbank liegt, und sie kann auch extern gehostet werden. Deshalb entschied man sich aufgrund der Flexibilität für diesen Weg.

Kollaborative, selbstgehostete Private-Cloud-Plattform

UCS, Nextcloud, ONLYOFFICE, Kopano, Matrix, Element und Zammad

Durch die Erfahrungen der bisher genutzten Sea-Watch Dienste bestand zusätzlich der Wunsch, LECARE um weitere webbasierte Lösungen zu erweitern. Vor allem wurde eine Nextcloud als Datei-sharing Lösung kombiniert mit ONLYOFFICE gewünscht, um Dokumente gemeinsam und direkt im Browser bearbeiten zu können. Hinzu kam der Bedarf nach Kopano als Groupware-Lösung mit im Browser enthaltener S/MIME-Unterstützung, Kalendern, Adressbüchern und ActiveSync-Unterstützung für mobile Geräte. Weitere benötigte Tools waren Matrix und Element als Chat-Umgebung wie auch Zammad zur Umsetzung eines Ticket-Systems.

Schließlich wurde gewünscht, dass alle Anwendungen über ein zentrales webbasiertes Portal erreichbar sind und den Benutzer*innen über ein zentrales Identity-Management-System alle Anwendungen über ein personalisiertes einheitliches Konto zur Verfügung stehen.

Damit sahen sich die IT-Verantwortlichen schon von Beginn an mit einigen Problemen konfrontiert. So setzt LECARE ein vorhandenes ActiveDirectoy voraus. Einerseits setzt ein Windows Server ein Kerberos-basierendes ActiveDirectory um. Andererseits nutzen Web-Applikationen lokale Benutzerquellen oder LDAP, SAML, OpenID und weitere Mechanismen zur Anbindung an Verzeichnisdienste.

Univention Corporate Server als Identity-Management und Portal

Das Team entschied sich daher für den Einsatz des Univention Corporate Servers (UCS) als dediziertes Identity-Management-System. Dieser implementiert von Haus aus die benötigten Brücken zwischen Kerberos, SAML und OpenID. Alle Anwendungen nutzen die gleiche Benutzerquelle. Ein UCS IDM kümmert sich automatisch um die nötige Synchronisation und Replikation und stellt darüberhinaus ein Portal bereit.

Univention Portal Screenshot
UCS-Portal-Ansicht bei Seawatch

Um den IT-Administrierenden das Leben bezüglich Wartungen zu vereinfachen, entschied man sich an Stelle einer Single-Server-Installation für ein wenig Modularisierung, ohne es jedoch für einen anvisierten Benutzer*innenkreis von 15 Personen zu übertreiben. Dies kostet allerdings einiges an Mehraufwand und Zeit. Die vereinfachte Wartung und Möglichkeit, Dienste später bei Vergrößerung des Nutzer+innenkreises vom Sizing anzupassen oder auch weiter auf dedizierte Instanzen auszulagern, rechtfertigt diesen Aufwand nach jedoch. Die Dienste sind nicht direkt zu erreichen, sondern werden über einen Reverse Proxy bereitgestellt.

Aus diesen Gründen wurden die Kerndienste von Anfang an entkoppelt und auf folgende Instanzen verteilt:

  • Reverse Proxy Server
  • Identity Management Server
  • Groupware Server
  • Docker Application Server
  • Database Server
  • LECARE Server

Alle Anwendungen werden soweit möglich über das Univention App Center in Betrieb genommen, können um eine Subskription ergänzt werden und stehen somit unter Support der Hersteller und einheitlicher Updateverwaltung.

Als Ausblick plant das IT-Team die Aktualisierung der Plattform auf UCS 5. Momentan sind die Anwendungen per Standard LDAP und Kerberos Bind an den Verzeichnisdienst angebunden. Es wird aber gewünscht, die Anwendungen auf SAML oder OpenID-basierte Anmeldeverfahren umzustellen, um ein echtes Web-Single-Sign-on zu ermöglichen.