Himmelblau 2.0: Azure Entra ID für Linux – und nicht von Microsoft

Himmelblau hat Version 2.0 veröffentlicht: Mit der Open-Source-Software lassen sich Linux-Systeme vollständig in Microsofts Identity-Management-Dienst Azure Entra ID (ehemals Azure Active Directory) integrieren – eine für hybride IT-Umgebungen mit Microsoft 365 und Linux-Servern zunehmend wichtige Funktion.

Das freie Projekt positioniert sich als Alternative zu Microsofts eigenen Angeboten wie Intune für Linux und bietet dabei mehr Flexibilität für reine Linux-Infrastrukturen. Die Software steht unter der GPLv3-Lizenz und wird von David Mulder als Hauptentwickler betreut.

Offline-Notfallzugang für MFA-Nutzer

Das zentrale neue Feature in Version 2.0 ist der sogenannte Breakglass-Modus: Er ermöglicht Administratoren und Nutzern mit Multifaktor-Authentifizierung den Zugang zu ihren Systemen, selbst wenn Azure Entra ID nicht erreichbar ist. Dies behebt ein häufiges Problem in Enterprise-Umgebungen, wo Ausfälle oder Wartungsarbeiten an Microsoft-Diensten sonst zu kompletten Systemsperren führen würden. Der Mechanismus arbeitet mit lokal gespeicherten Anmeldedaten und greift ausschließlich im Notfall, wenn die Cloud-Verbindung unterbrochen ist.

Außerdem hat Himmelblau die Distributionsunterstützung deutlich erweitert: Neben den bisherigen Plattformen laufen nun auch Fedora 43, Debian 13 und SUSE Linux Enterprise 16 mit dem neuen Release. Damit deckt die Software praktisch alle für Unternehmen relevanten Enterprise-Linux-Systeme ab.

SELinux-Integration und Systemd-Verbesserungen

Für sicherheitskritische Umgebungen bringt Version 2.0 erstmals vollständige SELinux-Unterstützung mit. Die Software liefert dedizierte SELinux-Policies für alle Himmelblau-Daemons aus, was die Integration in gehärtete Linux-Systeme erheblich vereinfacht. Bisher mussten Administratoren SELinux oft in den permissive Mode schalten oder eigene Policies schreiben.

Die Systemd-Integration wurde grundlegend überarbeitet: Das System generiert Service-Units inzwischen automatisch und unterstützt systemd-creds für die HSM-PIN-Verschlüsselung. Damit lässt sich Himmelblau nahtlos in den von den meisten Distributionen bevorzugten Linux-Boot-Prozess integrieren. Die lokale Benutzerzuordnung erlaubt es, bestehende Linux-Accounts mit Entra-ID-Identitäten zu verknüpfen, ohne die gesamte Benutzerverwaltung migrieren zu müssen.

M365 und Microsoft Edge am Linux-Desktop

Für Desktop-Nutzer generiert Himmelblau 2.0 automatisch Desktop-Einträge für M365-Web-Anwendungen. Diese integrieren sich sauber in Gnome, KDE und andere Desktop-Umgebungen. Neu hinzugekommen ist auch die Integration von Microsoft Edge, sodass Nutzer den Browser mit ihren Entra-ID-Zugangsdaten verwenden können.

Im Bereich Supply-Chain-Sicherheit gibt es in Version 2.0 ebenfalls mehrere Änderungen: Die Builds erzeugen jetzt Software Bill of Materials (SBOM), werden mit dem OpenSSF Scorecard bewertet und durchlaufen ein Lizenz-Vetting. Abhängigkeiten werden gruppiert aktualisiert, um die Wartbarkeit zu verbessern. Für Entwickler stehen neue Fuzzing-Tools und ARM64-Build-Unterstützung bereit.

Himmelblau 2.0 steht ab sofort über die offiziellen Paketquellen zur Verfügung. Alle neuen Funktionen und Änderungen finden sich in den Release-Notes.

(fo)