Himmelblau 2.0: Linux-Systeme nahtlos in Azure Entra ID integrieren – ohne Microsoft-Limitierungen

Die Open-Source-Software Himmelblau ist jetzt in Version 2.0 verfügbar und erlaubt Linux-Systemen eine umfassende Authentifizierung über Microsoft Azure Entra ID. Die Lösung nutzt PAM- und NSS-Module, die über den Himmelblau-Daemon mit Entra ID kommunizieren. Damit können Linux-Nutzer nahtlos mit ihren Entra-ID-Konten arbeiten. Zusätzlich unterstützt Himmelblau Intune Device Enrollment, die Durchsetzung von Richtlinien und die Kennzeichnung von Geräten als compliant nach Intune-MDM-Standards. So können Unternehmen hybride Umgebungen mit Microsoft 365 und Linux-Servern effizient verwalten, ohne auf proprietäre Microsoft-Tools angewiesen zu sein.

Himmelblau positioniert sich als flexible Alternative zu Microsofts eigenen Lösungen wie Intune für Linux und richtet sich vor allem an Unternehmen mit überwiegend Linux-Infrastruktur. Die Software ist unter der GPLv3-Lizenz veröffentlicht und wird von David Mulder betreut.

Die wichtigste Neuerung in Version 2.0 ist der sogenannte Breakglass-Modus. Er bietet Nutzern mit Multifaktor-Authentifizierung einen sicheren Fallback-Zugang, wenn Azure Entra ID offline ist oder nicht erreichbar. So bleiben Systeme auch während Ausfällen oder Wartungsarbeiten zugänglich, basierend auf lokal gespeicherten Anmeldedaten. Zudem wurde die Unterstützung für Linux-Distributionen erweitert: Neben den bisherigen Plattformen können nun auch Fedora 43, Debian 13 und SUSE Linux Enterprise 16 genutzt werden, sodass praktisch alle gängigen Enterprise-Linux-Systeme abgedeckt sind.

Auch die Systemintegration wurde deutlich verbessert. Die Systemd-Integration erlaubt jetzt die automatische Generierung von Service-Units, dynamische Versionsverarbeitung und systemd-creds-Unterstützung für HSM-PIN-Verschlüsselung. Die lokale Benutzerzuordnung ermöglicht die Verknüpfung bestehender Linux-Accounts mit Entra-ID-Konten, ohne dass die gesamte Benutzerverwaltung migriert werden muss. Für sicherheitskritische Umgebungen wurde erstmals SELinux-Unterstützung implementiert: Die Software liefert dedizierte Policies für alle Himmelblau-Daemons und erleichtert so die Integration in gehärtete Systeme erheblich.

Für Desktop-Nutzer erstellt Himmelblau automatisch Einträge für Office 365 Webanwendungen, die sich sauber in Gnome, KDE und andere Desktop-Umgebungen integrieren. Außerdem ist nun die Nutzung von Microsoft Edge mit Entra-ID-Zugangsdaten möglich.

Im Bereich Sicherheit und Supply Chain bietet Version 2.0 mehrere Verbesserungen: Die Builds erzeugen nun SBOMs, werden mit der OpenSSF Scorecard bewertet, durchlaufen ein Lizenz-Vetting und aktualisieren Abhängigkeiten gruppiert, um Transparenz und Wartbarkeit zu erhöhen. Die Software unterstützt zudem den Entra-ID Device Registration Mode zur einfachen Geräteanbindung. Fehlerdiagnose und Security-Fixes wurden optimiert, sodass Logs klarer und Fehlermeldungen aussagekräftiger sind. Entwickler profitieren von neuen aarch64-Builds, verbesserter Fuzzing-Abdeckung sowie erweiterten Nix- und Host-Config-Optionen.

Himmelblau 2.0 steht ab sofort über die offiziellen Paketquellen zur Verfügung. Eine vollständige Übersicht aller Änderungen findet sich in den Release-Notes.