Hier soll eine Seite entstehen die sich mit Linux im Enterprise Business beschäftigt. Es sollen Programme und Konzepte vorgestellt werden die man in Netzwerk mit (sehr) vielen Nutzern und mehren Standorten verwendet werden können. Vorallem interessant ist ob und wie man eine homogenes Linux Netzwerk (mit OpenSource Software) in dieser Größenordnung realisieren kann, und wie gut das Zusammenspiel der jeweiligen Systemen funktioniert. Sehr wichtig ist geringer Wartungsaufwand und (leichte) Überwachbarkeit der eingesetzten Software. Weniger gerne gesehen sind hier Lösungen wie selber patchen oder code it yourself.

Benutzer/Rechnerverwaltung

Hierfür eignet sich im wesentlich nur LDAP wirklich; die unter Linux übliche Implementierung heißt OpenLDAP.

• Administrationswerkzeuge (für OpenLDAP) finden sich OpenLDAP Artikel.

• Verwaltung von Benutzerprofilen, Rechnerprofilen?
• Gezielte Updates/Installationen für Benutzer/Rechner?

• Wie kann dafür gesorgt werden das einzelne Benutzer nur bestimme Dienste nutzen dürfen (etwa hugo00 darf das SMB-Share benutzen jedoch nicht das www)?

  • Durch geeignete LDAP-Strukturen können auch solche Unterschiede nachgebildet werden; das ist jedoch sehr spezifisch von der konkreten Struktur des LDAP-Baums abhängig, ist daher nicht generisch beantwortbar.

• Wie könnte dafür gesorgt werden das sich Benutzer mit Notebook auch Offline an ihr Gerät anmelden können? Gibt es unter Linux eine Möglichkeit die zuletzt angemeldeten Accounts zu cachen?

Das könnte hilfreich sein. NSS (Benutzer und Gruppen) werden durch nss_updatedb aktualisiert; nss_db cacht das ganze lokal (wird z.B. in regelmäßigen Abständen per cron ausgeführt oder so). libpam-ccreds cacht die Passwörter und erlaubt danach auch ein Anmelden wenn der Server offline ist: https://help.ubuntu.com/community/PamCcredsHowto -- Niki

• Gibt es sowas wie "best practices" für die Organisation/Neuaufbau des LDAP-Baums?

Netzwerkmanagement

• Nagios und sein Vorgänger Netsaint, Client-Server System mit Agenten auf Clientsystemen; beherscht verschiedene Triggermechanismen und Alarmierungsmöglichkeiten; pluginfähig;

• Mit SNMP kann eine Überwachung von Netzwerkkomponenten (Switches, Router, Server und auch Software) realisiert werden. Mittels Cacti lassen sich diese Daten sammeln und auswerten. Hierzu gibt es auch einen kurzen artikel

• arpwatch überwacht das Netzwerk auf neu angeschlossene Geräte, mehr dazu in LinuxSecurity.

• mit SysLog kann man die Meldungen mehrerer Rechner auf einem Server (Loghost) zusammenfassen und sie dort auswerten.

Netzwerkdokumentation

Besonders in großen Netzwerken ist die Dokumentation jeder Komponente wichtig. Gesucht ist Software, mit der man Netzwerkpläne sehr zeichen kann und diese zu verlinken; auch Photos sollen eingefügt werden können. Es soll damit etwa möglich auch sehr detailierte Informationen abzuspeichern etwa: auf welchem Switchport Router ro034 hängt. Eine Einbindung in das Netzwerkmanagement-System ist wünschenswert.

• rackview Rackview (Webbasiert) - Visualisierung von rackmounted Netzwerkaussatttung

@@SIG: Mal im Ernst: Wenn man rackview einem ernsthafen Admin zeigt lacht der uns bestenfalls aus, da ist dia ja noch besser, eher gefragt ist eine OSS Alternative zu netViz.

• Wie passt scotty? Ein Bekannter hat mir das empfohlen. Viele machen die Visualisierung auch von Hand, insbesondere wenn die Struktur statisch ist. (Und wenn sie so dynamisch ist, dass man sie nicht mehr richtig von Hand nachziehen kann, muss man vielleicht in den sauren Apfel beissen und das Programm kaufen.

SIG@ Imho auch sehr schwach das Ding. NetViz kaufen ging ja noch u.u. Ok, aber es läuft ja nichtmal (nativ) auf Linux.

• I-DoIt - Webbasierte - Dokumentation von IT-Netzen

Bewertung: Leider Webbassiert was die Interaktivät die für eine Solche sehr von Vorteil währe, aber sonst ist es eine ganz brauchbare Lösung zur Dokumentation von kleinen bis mittleren Netzwerken.

Helpdesk

Hier ist Software gefragt, mit der sich Useranfragen verwalten lassen und Support betrieben werden kann. Also etwa ein Benutzer meldet das Drucker X nicht mehr funktioniert, das in großen Netzwerken mit mehreren Administratoren das PostIt nicht genügt sollte klar sein. Es muss auch die damit die verwendete Hardware erfasst werden können, wie etwa die PCs, Drucker, Server, Router und das entsprechende Zubehör. Möglichkeit der Zuordnung zur Netzwerkdokumentation.

• otrs - Open Request Ticker System (Webbasiert), man kann damit Anfragen/Problem Reports verwalten, die per Mail/Telefon/Fax reinkommen. Unterstützt verschiedene Bearbeiter, Proritäten, Eskalation usw. Erweiterungsmöglichkeiten in Perl. Kommerzieller Support verfügbar.

Email Verwaltung

• Postfix oder Exim als MTA

• Cyrus als IMAP Server (evtl. auch Courier).

• SpamAssassin zur UCE Beseitigung.

• Viren Filterung (selbst wenn diese nicht unter Linux lauffähig sind, gehören diese nicht in die User Postfächer)
• Administrationssoftware zur Verwaltung von Weiterleitungen, Abwesenheitsmeldungen und Abwesenheitsvertretung

• Hilfsprogramme zur Auswertung von Logfiles (beispielsweise mailgraph, pflogsumm. Details finden sich im Postfix Artikel)

Groupware

• Kolab

• OpenXchange

• eGroupware (nur für <100 User; xml-rpc zu Kontact; Web-Oberfläche)

Web-Only Lösungen sind im großen Umfeld nicht brauchbar.

Fileserver

• Filesysteme: XFS, ReiserFS (beide bieten: Journal, ACLs XATTRs, Quota (reiser nur mit Patch) und sind im Allgemeinen sehr effizient)

• Verwaltungswerkzeuge für DateiRechte, PosixACLs, DateiAttributen (XATTR's) und quota? (chmod, setacl und chattr, etc. sind zu unübersichtlich)

Anstatt Partitionen zu verwenden empfielt es sich ein Volume Management System zu verwenden wie etwa LVM auch EVMS (von IBM) bietet sich an, es ist jedoch im Gegensatz zu LVM nicht in den (vanilla) Kernel integriert. Praktischerweise lässt sich das EVMS-GUI auch für LVM verwenden. SuSE hat ebenfalls ein gutes GUI zur Verwaltung von Volumes in Yast integriert.

Netzwerkdateisysteme

• NFS ist leider für große Netzwerke Aufgrund der mangelden Sicherheit nicht verwendbar.

• Coda - Nachfolger von AFS

• AFS (Andrew File System; Experimental)

• Was eignet sich sonst? Vor- und Nachteile von Coda und AFS? Verfügbarkeit in Distributionen?

• Wie sorgt man dafür das beim Anmelden das Profil (= Einstellungen) des Benutzers lokal gespeichert wird und beim Abmelden wieder zurückgeschrieben wird (roaming profiles) ?

• Verteile Filesysteme ?

Printserver

Hier ist kommt derzeit wohl nur CUPS in Frage.

• Wie könnte man hier das Accounting verbessern (etwa um Druckkosten verschiedener Abteilungen gegenzurechnen, Drucksünder zu Identifizieren)?

Authentication Server

Um single sign on zu gewährleisten ist wohl Kerberos das Mittel zur Wahl. Für die Netzwerkauthentifizierung (etwa für W-LAN, oder Wählleitungen) ist ist ein Radius Server das geeignetste.

• Welche Dienste können kerberisiert angeboten werden?

• Ist evtl. pam_krb5.so ausreichend?

Datenbank Server

Für größere Datenbestände empfehlen sich folgende DatenbankServer :

• PostgreSQL

• Ingres

• MaxDB

OffeneFrage

• SQL92 und SQL99 Konformität, Transaktionen, Trigger, PlSQL, Replikation, Lastverteilung, Stabilität?
• Wie sieht es mit verteilten Datenbanken aus?
• Authentication über Kerberos oder LDAP möglich?
• Vor und Nachteile?

Kommerzielle Datenbanken

• Oracle
• IBM DB2
• Interbase.

Terminal Server

• FreeNX als reiner Terminalserver.

• LTSP: Linux Terminal Server Project: Eine Paket mit der sich sehr schön Diskless Clients bedienen lassen, es wird jedoch das X11 Protokoll eingesetzt welches jedoch im Gegensatz zu FreeNX einen relative hohe Netzwerkbelastung zur Folge hat. Derzeit existieren leider keine Pläne FreeNX in LTSP zu integrieren.

Für Clients siehe VNC und rdesktop, unter kde: krdc (VNC und RDP).

VPN

Um weit verteilten Standorte zu verbinden, können VPN's auf IPSec Basis verwendet werden. Implementierungen

• KAME tools & Racoon - Nativer IPSec Stack des 2.6er Kernel

  • Besonderheit: Unterstützt u.a. Kerberos Authentication

• FreeSWAN - IPSec für den 2.4er Kernel

OffeneFrage:

• Ist es möglich für viele Benutzer eine Authentifizierung über Zertifikate mit geringem Aufwand überschaubar zu betreiben?

  • TinyCA

  • XCA

  • Sind diese Werkzeuge ausreichend?
• Gibt es Lösungen, mit denen man über einen über LDAP Accounts Autentifizieren (mit PSK) kann?

Webserver

Apache ist unbestritten hierfür geeignet. Apache selbst aber hilft nicht weiter, man braucht besondere Webanwendungen

Websoftware:

• Webmail und Web-Groupware

  • Horde - Funktioniert auch mit Kolab.

• ContentManagementSysteme

  • Typo3 - Eines der umfangreichsten CMS

  • XOOPS

  • Dupral

  • Plone (Zope)

  • Wikis
• CRM

  • Sugar CRM: Integration mit Groupware?

• ERP
  • ???

Vor- und Nachteile der verschiedenen Produkten, Interoperatibiltät?

Application Server

Application_Server gibt es auch unter OSS Lizenzen:

• Zope

• JBoss

Proxy

• Squid als HTTP und FTP Proxy

• Zorp - Application Level Gateway

• socks Proxy

Hochverfügbarkeit und Clustering

• Heartbeat (evtl. mit DRBD)

Backup Server

Es wird ein Server (Dienst) zur Verwaltung von Backup Jobs benötigt denn die Administratoren müssen wissen welche Backups erfolgreich waren. Einfaches Rücksichern möglich? Inkrementelle Backups?

• Bacula Das flexibelste, was mir bis jetzt untergekommen ist. Besitzt diverse Schwächen/Begrenzungen von Amanda nicht. (Bacula kann z.B. einen Backupsatz über mehrere Tapes verteilen). Der modulare Aufbau sollte eine passende Konfiguration für jedes Netz ermöglichen.

• Amanda Wohl das Urgestein unter den Backup-Tools. Wird seit Jahren (Jahrzenten?) erfolgreich eingesetzt, besitzt aber einige Einschränkungen, die evtl. relevant sein können.

Sicherheit

Siehe LinuxSecurity und SicherheitsManagement

Desktop Software

• OpenOffice

• KDE, GNOME(?)
• Groupware / PIM Werkzeuge
• Access Ersatz?!
• Kiosk mode für Desktops: Es muss dafür gesorgt werden das sich die User nicht ihre Profile kaputt-configurieren könnte.

  • Kiosk-Tool für KDE

Sonstiges

• Wie kann dafür gesorgt werden, dass wenn Administratoren in den Server config files herummalen, noch ersichtlich ist, wer was warum gemacht hat? Ist SVN / CVS eine Lösung, wie bindet man die Änderungen ein, die von Verwaltungs-Werkzeugen gemacht wurden?

  • Wenn die Konfigurationsdateien von Hand (Editor) geändert werden, sollte man den Editor-Aufruf in ein kleines Skript verpacken, gefolgt vom Einchecken der geänderten Datei in die Versionsverwaltung.
  • Wird Verwaltungs-Werkzeuge (z.B. webmin) verwendet, so muss diese entweder entsprechende Vorrichtungen mitbringen oder sie muss dahingehend gepacht werden.
• Telephonie Lösungen: SIP vs H.323?
• Video Konferenzen
  • GNU gatekeeper (H323 Proxy), gnomemeeting, openmcu
• Gibt es OSS Lösungen zum RSA-Security Server + dazugehörengen Token Generator?
• Weitere Management Software?

Links

• Linux Client Migration Cookbook {en} - IBM

• Leitfaden für die Migration von Basissoftwarekomponenten auf Server- und Arbeitsplatzsystemen - BSI 2005 ~500 Seiten

• Open Source Jahrbuch 2005 - Beispielen von Migrationen zu OSS, etc.; ~500 Seiten

• Desktop Linux Capabilities (DTL) {en} - OSDL (siehe auch heise newsmeldung)

---

KategorieNetzwerk