Microsoft zwingt die öffentlichen Behörden in die Cloud und diese werden sich nun ihrer Abhängigkeit bewusst. Kurzfristig besteht für die Behörden keine Alternative. Mittelfristig rücken aber OpenSource-Lösungen in den Fokus. Ein Brückenbauer ist das Framework «Himmelblau», um Linux die Authentifizierung an «Entra ID» zu ermöglichen.
Viele Behörden in der Schweiz setzen Microsoft Produkte ein, um ihre Aufgaben als Verwaltung zu erbringen. Die Beziehung zu Microsoft ist über die letzten 25-30 Jahre entstanden und hat zu einer grossen Abhängigkeit geführt. Schon seit über einem Jahrzehnt wirbt Microsoft für ihre Cloud-Services und entwickelt diese stetig weiter. On-Premises Produkte werden noch angeboten und können lizenziert werden, wurden technisch jedoch nur marginal weiterentwickelt. Die Behörden sind den Cloud-Schritt lange Zeit vor allem aus Datenschutzgründen nicht gegangen. Mittlerweile werden essentielle Kollaborationstools wie MS Teams ausschliesslich als Cloud-Services angeboten, weshalb nun auch den Behörden keine kurzfristige Alternative bleibt. Zudem basieren viele von Schweizer KMUs entwickelte Fachanwendungen auf Microsoft Produkten und Frameworks (Steuererhebung, Strafverfolgung, Baugesuche, Naturgefahren, usw.). Die aktuelle amerikanische Regierung rüttelt nun an dieser langjährigen Beziehung. Es stellt sich die Frage, wie abhängig die Behörden von den USA sind und ob die Souveränität noch gegeben ist. Sind die Behörden erpressbar geworden und was würde sie in einem solchen Fall tun?
Eine Möglichkeit, die Souveränität mittelfristig zurückzugewinnen, ist der Einsatz von Open Source Software. Auf Ebene der Betriebssysteme sind Linux und FreeBSD bekannte Alternativen. Serverseitig bereits weitverbreitet, sind sie auf Desktops und Notebooks noch immer selten anzutreffen, wobei sich der Marktanteil in den letzten vier Jahren von 2% auf über 4% verdoppelt hat. Der Komfort der Linux Desktops hat sich stark an Windows und MacOS angeglichen: Treiberunterstützung, schneller Start, Standby, Flatpak, usw. Da mittlerweile viele Fachanwendungen als Web-Anwendungen bereitgestellt werden, sind sie unabhängig vom Client-Betriebssystem geworden. Eine wichtige Eigenschaft von Firmen-Desktopsystemen ist ihre zentrale Verwaltbarkeit. In der Windows Welt spielte dabei «Active Directory» über Jahre hinweg eine zentrale Rolle und wird nun durch «Entra ID» abgelöst. Das von David Mulder initiierte Projekt «Himmelblau» versucht eine Brücke zwischen Entra ID und Linux zu schlagen.
Das Framework Himmelblau integriert sich in die vorhanden Linux Authentifizierungsschnittstellen NSS und PAM. Ein Anwender kann sich mit seinem Entra ID Account direkt am Linux Desktop anmelden. Analog zu einem Windows Device verlangt Entra ID dabei zuerst eine Zweifaktor Authentifizierung. Darauffolgende Logins sind offline und auch via PIN-Eingabe möglich.
Da sich Himmelblau tief in die Linux-Authentifizierung integriert, sind Entra ID Logins sowohl auf Console, SSH und Window Manager möglich. Loggt man sich via Console ein, werden Anweisungen wie das Setzen von PIN oder die Benutzung der Microsoft Authenticator Apps textbasiert präsentiert. Für Logins via Window Manager stellt das Projekt die «Himmelblau QR Greeter gnome‐shell Extension» bereit. Diese Extension stellt für den GNOME Display Manager komfortable Login-Möglichkeiten via QR-Code zur Verfügung. Das Framework geht noch weiter, indem es Intune-Policies auf dem Gerät durchsetzen kann. Möglich sind z.B. Vorgaben zur Linux Distribution und Version oder das Ausführen von Shell-Scripts auf dem Endgerät.
Das Framework Himmelblau ermöglicht parallel zur Windows-Welt ein zweites Standbein mit Linux aufzubauen. Linux-Desktops lassen sich so komfortabel in die bestehende IT-Landschaft integrieren. Sollte Entra ID eines Tages nicht mehr zur Verfügung stehen, so lässt sich Linux weiterhin autonom On-Premises nutzen.
