ADMIN Magazin Samba 4: Linux und Windows im Einklang (Vorschau)

NEU!
Jetzt mit
Anzeige:
„Kein Hosting-Paket ist günstiger
als bei STRATO. Außer bei STRATO!“
ADMIN
STR0313_DE_TKS_Hosting_120x17.indd 1
Netzwerk & Security
Vergleichen lohnt sich!
siehe Seite 2
strato.de/hosting
21.02.2013 14:53:53 Uhr
Samba 4 Appliance
02/2013 März – April
Samba 4
Linux und Windows im Einklang
Active Directory mit freier Software
Alle Neuerungen im Überblick
Linux-Produkte mit Samba 4
Monitoring
VMware mit OpenNMS
im Blick behalten
Doppelt sicher
Two-Factor-Authentifizierung
NexentaOS
Zwei Storage-Betriebssysteme
im ausführlichen Vergleich
Botnetze
Bekenntnisse eines
Botnetz-Entwicklers
Powershell
Die besten Tipps für die
Windows Commandline
www.admin-magazin.de
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 02

„Kein Hosting-Paket ist
günstiger als bei STRATO.
Außer bei STRATO!“
PowerWeb Basic
6 Monate
für
0,–€/Mon.*
Nur bis zum 31.3.2013
Vergleichen lohnt sich!
HOSTING 1&1
Dual Basic
STRATO
PowerWeb Basic
Standardpreis 6,99 €/Mon. 4,99 €/Mon.
Einrichtungsgebühr 9,60 € 8,60 €
Inklusivdomains 4 4
Postfachspeicher 2 GB 5 GB
Webspace 10 GB 10 GB
Stand dFebruar 2013. Mindestvertragslaufzeit i 12 Monate. Preise inkl. MwSt.
Sie sparen bis zu 25 € im Jahr!
Marcus Welt
chrom.tv
HOSTED
IN GERMANY
* Aktion bis 31.03.2013: PowerWeb Basic 6 Monate für 0 €/Mon., anschließend 4,99 €/Mon.
Einmalige Einrichtungsgebühr 8,60 €. Mindestvertragslaufzeit 12 Monate. Preise inkl. MwSt.
Servicetelefon: 030 - 300 146 - 21

Geheimnisse und Lügen
Editorial
Geheimnisse
und Lügen
Liebe Leserinnen und Leser,
neulich versetzte wieder einmal eine Meldung die Linux-Welt in Aufruhr. Informationen
aus einer Microsoft-Studie waren an die Öffentlichkeit gelangt – oder gezielt
lanciert worden –, die besagten, dass die Linux-Migration der Stadt München erheblich
teurer ausfalle als geplant. Die Rede war von einem Betrag um die 60 Millionen
Euro, während die Verantwortlichen der Stadt den finanziellen Aufwand auf etwa
zehn Millionen Euro taxieren. Die Wahrheit liegt vermutlich irgendwo dazwischen.
Interessant dabei waren die Reaktionen, die unisono davon ausgingen, dass die
Microsoft-Berechnungen übertrieben und unlauter seien. Dass die dort erhobenen
Berechnungen auch stimmen könnten, wurde kaum in Betracht gezogen. Denn es
kann nicht sein, was nicht sein darf. Interessanterweise sind die Kritiker oft dieselben Leute, die eine grundlegende
Skepsis gegenüber „den Politikern“ an den Tag legen, wenn es um kostenaufwendige Großprojekte geht. In diesem
Fall sind die Projektverantwortlichen, die allen Grund haben, den Erfolg ihres Projekts groß und die Kosten klein zu
reden, aber plötzlich glaubwürdig – weil es zur Ideologie der Kritiker passt.
Wer über praktische Erfahrung mit ähnlichen Projekten, wenn auch in bescheidenerem Umfang hat, wird wissen,
dass eine solche Umstellung oft aufwendiger ist als geplant. Dass die Migration einer kompletten Stadtverwaltung
vielleicht teurer wird als gedacht, wäre keine Überraschung. Doch das darf nicht sein, denn das würde einen Schatten
auf die Erfolgsgeschichte Linux werfen.
Auch die Annahmen, die in der von HP im Auftrag von Microsoft erstellten Studie gemacht werden, soweit sie öffentlich
bekannt ist, sind fragwürdig. Würde man immer noch ein altes Windows-System einsetzen oder hätte man
die Arbeitsplätze seither auf ein, zwei neue Versionen aktualisiert? Auf der anderen Seite war die Umstellung von
Fachanwendungen auf webbasierte Versionen überhaupt nur durch den Verzicht auf Windows nötig. Hätte man, aus
welchen Gründen auch immer, in einer Windows-Umgebung auf browserbasierte Anwendungen neu programmiert,
fiele auch die HP-Microsoft-Rechnung höher aus.
Vielleicht bietet Microsoft in manchen Situationen gegenüber Linux-Lösungen wirklich einen Vorteil, auch wenn
etwa die gute Integration der Software und die Gewöhnung der User „nur“ auf der Monopolstellung des Software-
Herstellers beruht. Wenn man dennoch öffentliche Verwaltungen auf Open Source umstellen möchte, kann man
sich aus politischen Gründen sicher dafür entschließen. Dafür spricht etwa die Nachhaltigkeit beim Management
von Daten mit offenen Standards. Auch die Befreiung aus der Abhängigkeit von einem einzelnen Hersteller ist ein
gewichtiges Argument. In Hinblick auf die Zukunftsfähigkeit ist ein vielfältiges IT-Ökosystem sicher wünschenswert.
Entscheidet man sich dafür, sollte man aber auch so ehrlich sein, sich einzugestehen, dass dieser Weg unter
Umständen unbequemer und kostspieliger ist als der gewohnte.
@ leserbriefe@admin-magazin.de
www.facebook.com/adminmagazin www.twitter.com/admagz
www.admin-magazin.de
Admin
Ausgabe 02-2013
3

Service
Inhalt
ADMIN
Netzwerk & Security
02/2013
In diesem Heft-Schwerpunkt:
Windows- und Linux-Integration mit dem
Samba-Projekt (ab S. 37)
Wo ist das Eth0-
20Admin-Story
Device hingeraten?
Eine Spurensuche ...
Login
8 Vorgelesen
Bücher über PostgreSQL und Ganglia.
10 Branchen-News
Neues von Software und Projekten.
Netzwerk
22 Nginx-Fork: Tengine
Der quelloffene Fork des beliebten
Nginx-Webservers aus dem fernen Osten
ist dynamischer und zuverlässiger als
das Original.
Schwerpunkt: Samba 4
37 Samba 4 - was ist neu?
Praktische Tipps für das neue Samba.
16 Identitätsdiebstahl
Identitätsdiebstahl: Fakten, Fälle, Gegenwehr.
Wie Hacker Personalien stehlen
und was man dagegen tun kann.
20 Admin-Story
Wie man Gerätenamen herausfindet, die
Linux neuerdings vergibt.
Service
3 Editorial
4 Inhalt
6 Heft-CD
130 Impressum und Vorschau
30 Mobile IPv6
Von einem Netz ins andere schweifen
und dabei in Verbindung bleiben. Mobile
IPv6 macht's möglich.
42 Blick übern Zaun
Samba 4 durch die Windows-Brille.
46 Samba senkt
Verwaltungskosten
Wie man Samba als Domänencontroller
konfiguriert.
56 SerNet und Univention
Samba-4-Appliances von SerNet und
Univention.
4 Ausgabe 02-2013 Admin www.admin-magazin.de

Inhalt
Service
56
Samba
Die neue Samba-
Version durch die
Brille eines Windows-Admins.
Zwei verwandte
80NexentaOS
storage-Lösungen
mit Vor- und Nachteilen.
Content Management
110Jekyll
und Blogs ohne die
bekannten Sicherheitslücken.
Know-how
62 RADOS und Ceph
Verteiltes Dateisystem: Der RADOS-
Objectstore und Ceph, Teil 3.
67 Foreman – GUI für Puppet
Automatische Server-Administration
während des gesamten Lebenszyklus.
70 Powershell
Die besten Commandlets für die
Powershell.
Test
76 Flash Cache
für VMs
Im Test:
Beschleunigerkarte
von OCZ
für ESX-Server.
80 NexentaOS
Zwei NexentaOS-Abkömmlinge im
Vergleich: einmal kommerziell, einmal
kostenlos für den Eigenbau.
Security
86 Tcpdump
Einbruchserkennung mit »tcpdump«.
90 Two-Factor-
Authentication
Remote Access
und Webapplikationen
mit
Zwei-Faktor-Authentifizierung doppelt
absichern.
Virtualisierung
98 VMware-
Monitoring
OpenNMS-
Komponenten
für die ESX-
Überwachung.
102 Open Stack
Open-Stack-Workshop, Teil 3: Gimmicks,
Erweiterungen und Hochverfügbarkeit.
Wie man die Cloud zuverlässig vor Ausfällen
schützt.
Programmieren
110 Jekyll
Auf der sicheren HTML-Seite: Bloggen
mit statischen Dateien und Templates.
114 Botnetze
Bekenntnisse eines Botnetz-Programmierers.
FreeX
117 FreeX
Artikel und Workshops aus der FreeX.
118 ePubs selbst gemacht
Zum eigenen eBook in drei Schritten.
Die richtigen Tools und praktische Tipps
fürs ePub-Format.
126 Fedora 18
Fundamentale Neuerungen in der aktuellen
Red-Hat-Community-Distribution,
die (nicht nur) begeistern.
Mehr Infos auf Seite 6
SAMBA 4
• Linux-Appliance mit Samba 4
• Schnelle Installation auf Basis von Debian 6.0.6
www.admin-magazin.de Admin Ausgabe 02-2013
5

SErvice
Heft-CD
Heft-CD
Auf dem beiliegenden Datenträger finden Sie eine aktualisierte
Version der SerNet-Samba-Appliance [1], mit der
sich im Handumdrehen eine Test-Installation von Samba 4
einrichten lässt.
◗ Installations-CD auf der Basis von Debian 6.0.6.
◗ Menügeführte Installation einer Active-Directory-Domain
mit Samba 4.
◗ Support für Zarafa-Groupware.
◗ Erfordert zur Installation eine komplette Festplatte (eine
Partition genügt nicht).
Mehr Informationen zur Appliance sind im Artikel ab S.
56 zu finden.
Legen Sie einfach die CD in das Laufwerk ein, und starten
Sie den Rechner. Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge einstellen, damit das
Laufwerk vor der Festplatte an die Reihe kommt. n
CD kaputt?
Wir schicken Ihnen kostenlos eine
Ersatz-CD zu, E-Mail genügt:
info@admin-magazin.de
Info
[1] SerNet-Samba-Appliance: [http://www.enterprisesamba.org/
samba4ad/samba-4-appliance/]
6 Ausgabe 02-2013 Admin www.admin-magazin.de

1&1 DYNAMIC
CLOUD SERVER
1&1 Dynamic Cloud Server
Ob als Web-, Datei-, Applikations- oder
Business-Server. Nutzen Sie maximale
Flexibilität mit voller Kostenkontrolle!
■ Basiskonfiguration: 1 CPU, 1 GB RAM,
100 GB Festplatte
■ Unlimited Traffic mit 100 Mbit/s Bandbreite
ohne Zusatzkosten und ohne Drosselung
■ Mehr Sicherheit durch externe IP-Firewall
(Cisco basiert)
■ Freie Wahl aus CentOS, Debian, Ubuntu,
openSUSE oder Windows (optional)
■ Nur bei 1&1: Optional SUSE
Linux Enterprise Server
■ Nur bei 1&1: Server-Management
und -Monitoring per Mobile App
■ NEU! 1&1 Snapshot: Definieren
Sie einfach einen Wiederherstellungszeitpunkt
für Ihren Server.
■ 24/7 Service und Support durch
1&1 Server Expertenteam.
0,– € *
Aktionspreis
für 3 Monate.*
39, 99
€/Monat*
VOLLER ROOT-ZUGRIFF
Komfort und Funktionsumfang eines Root
Servers, mit dedizierten Ressourcen.
HÖCHSTE FLEXIBILITÄT
CPU, RAM und Festplattenspeicher
unabhängig voneinander zubuchbar.
Per Mausklick bis zu 99 virtuelle
Maschinen zubuchbar – ohne Migration!
VOLLE KOSTENKONTROLLE
Absolute Kostentransparenz durch stundengenaue
Abrechnung. Parallels ® Plesk Panel 11
inklusive – ohne Domainbegrenzung.
AUSFALLSICHER
Redundant gespiegelte Speicher- und
Recheneinheiten schützen Ihren Cloud-
Server automatisch vor Ausfällen.
0 26 02 / 96 91
0800 / 100 668
1und1.info
* 1&1 Dynamic Cloud Server in den ersten 3 Monaten 0,– €/Monat, danach 39,99 €/Monat in der Basiskonfi guration. Performance Features für 0,01 €/Stunde und Einheit zubuchbar.
Einrichtungsgebühr 39,– €. 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

Login
Bücher
IT-Ratgeber im Redaktions-Check
Vorgelesen
Diesen Monat in der Lesestube: alles zu verteiltem und hochskalierbarem
Monitoring und eine druckfrische Einführung in die PostgreSQL-Datenbank.
Oliver Frommel, Jens-Christoph Brendel
Im Optimalfall hilft Monitoring, Fehler
zu verhindern oder wenigstens frühzeitig
zu erkennen. Meistens gehören dabei
Software-Pakete wie Nagios oder Zabbix
zum Standard-Repertoire. Eine Alternative
dazu, insbesondere für Cluster oder
auch Cloud-Installationen, ist das Ganglia-Paket,
um das es in einem neuen Buch
aus dem O’Reilly-Verlag geht.
Die Einführung in die Materie liefert im
Vorwort der Ganglia-Autor Matt Massie
mit einem netten Rückblick in den Zustand
der Software vor elf Jahren. Seither
ist vieles passiert, was das Buch im Detail
erklärt. Das Kapitel über Installation und
Konfiguration verrät, wie man das Monitoring-Paket
aufs System und dann zum
Laufen bekommt. Dabei unterscheiden
die Autoren nicht nur zwischen Linux,
OS X und Solaris, sondern berücksichtigen
RPM- und Deb-basierte Linux-Varianten.
Natürlich wird auch die Installation
aus dem Quellcode beschrieben.
Allgemeiner gehaltene Kapitel erklären
die Ganglia-Architektur und kommen immer
wieder ausführlich auf das Thema
Skalierung zu sprechen, das auftaucht,
wenn man etwa einige Tausend Hosts
überwachen möchte.
Fortgeschrittene Themen, denen sich das
Buch widmet, sind das Management von
Messdaten bis hin zur Erweiterung von
Ganglia, um weitere Daten zu erfassen,
die von Haus aus nicht vorgesehen sind.
Dies erfordert bereits Programmierkenntnisse,
etwa in C/​C++ oder Python. Über
die Einbindung der sFlow-Schnittstelle
kann Ganglia auch Daten von Routern,
VM-Hypervisoren, der Java Virtual Machine
und dem Caching-System Memcache
erfassen. Damit Ganglia nicht auf
seiner Monitoring-Insel verkümmert, geben
die Autoren Tipps zur Integration
mit Nagios.
Wer sehr viele Rechner und Messdaten
überwachen möchte, sollte einen Blick
in das Ganglia-Buch werfen. Neben dem
Monitoring-Paket selbst beschreibt es
grundsätzliche Probleme und Lösungen
bei der Überwachung sehr großer Rechnerumgebungen.
Für den Administrator
eines kleinen Firmennetzes ist die Software
und die dazu gehörige Lektüre vermutlich
des Guten zuviel.
PostgreSQL
Mit der Unsicherheit über die Zukunft
des Hauptkonkurrenten MySQL wächst
auch die Beliebtheit von PostgreSQL.
Die seit mehr als anderthalb Jahrzehnten
eingeführte freie Datenbank kann
ein ähnliches Leistungsvermögen bieten
und steht nicht unter der Kontrolle eines
nicht sonderlich Open-Source-freundlichen
Konzerns. Auf dem Buchmarkt hat
das neue Kräfteverhältnis allerdings noch
nicht durchgeschlagen: Eine Suche unter
den Amazon-Büchern ergibt 788 Treffer
beim Stichwort MySQL, aber nur 83 für
PostgreSQL.
Lutz Fröhlich schickt sich an, das zu
ändern und legt ein umfassendes PostgreSQL-Buch
vor. Es bezieht sich auf die
Version 9.1, die mit eingebauter Replikation,
Spalten-Triggern oder etlichen Performanceverbesserungen
punktet.
Das Buch beginnt gründlich und systematisch
bei der Installation und behandelt
dann die grundlegende Konfiguration
sowie die wesentlichen Aufgaben der
PostgreSQL-Administration wie Backup,
Monitoring oder Performance Tuning
in eigenen Kapiteln. Die Erläuterungen
sind praxisorientiert und gut verständlich,
wenn auch im Einzelfall zu kurz
(so wie die rund fünf ganzen Sätze zur
Überwachung mit Nagios).
Verdienstvoll ist ein eigenes Kapitel zu
PostGIS, einer PostgreSQL-Erweiterung
für Geodaten. Entsprechende Anwendungen
sind auf jeden Fall im Kommen. In
einem eigenen Kapitel wird Umsteigern
von MySQL oder von Oracle eine Hilfestellung
an die Hand gegeben. Ebenfalls
unter anderem bei einer Migration hilfreich
ist die im Schlusskapitel behandelte
Replikation zwischen PostgreSQL
und Oracle via Oracle Streams Heterogeneous
Information Sharing oder Oracle
XStream.
Im Ganzen handelt es sich bei dem Buch
um eine empfehlenswerte Einführung in
PostgreSQL, die auch für DBAs anderer
Provenienz noch nützliche Hinweise parat
hält. (ofr)
PostgreSQL
Lutz Fröhlich
PostgreSQL 9
Hanser Verlag 2013
ISBN 978-3-446-42239-1
41 Euro
Ganglia
Massie, Li, Nicholes, Vuksan
Monitoring with Ganglia
O’Reilly 2012
ISBN: 978-1-4493-2970-9
24 Euro
8 Ausgabe 02-2013 Admin www.admin-magazin.de

GUTSCHEIN
Dedicated Root-Server von HP
Wir schenken jedem Admin - Netzwerk und Security-Leser 50€ bei
Eingabe des Aktioncodes:
AM-EH48E04s13-485
Professional HP S Professional HP M Professional HP L
CPU Intel XEON E3-1230 Intel XEON E3-1240 Intel XEON E3-1270
Leistung
Arbeitsspeicher
Festplatten 7.200 rpm
Anbindung
KVM over IP per iLO
IPv4 Adresse Inkl.
IPv6 Subnetz (/64) Inkl.
Betriebssysteme
Extras
Vertragslaufzeit
Monatsgrundgebühr ALT
Monatsgrundgebühr NEU
Einrichtungsgebühr
4 x 3,2 GHz Inkl. HT 4 x 3,3 GHz Inkl. HT 4 x 3,4 GHz Inkl. HT
16 GB DDR3 ECC 24 GB DDR3 ECC 32 GB DDR3 ECC
2 x 1 TB Enterprise-Edition 2 x 2 TB Enterprise-Edition 2 x 2 TB Enterprise-Edition
1.000 MBit Flatrate 1.000 MBit Flatrate 1.000 MBit Flatrate
Debian 6.0, CentOS 6, open SUSE 12.1, Ubuntu 12.04, Free BSD 9 und
Windows 2012 (19,99€ Aufpreis im Monat)
100 GB Backup-Speicher, Monitoring, Reset- und Rescue-System
1 Monat 1 Monat 1 Monat
69,99 € 89,99 € 109,99 €
59,99 € 79,99 € 99,99 €
0,00 € 0,00 € 0,00 €
Neu!
Kostenlos vorinstallierte Virtualisierungs-Lösung mit
vSphere 5.1
Jetzt informieren & bestellen Tel.: 0211 / 545 957 - 300 www.webtropia.com
Windows Server 2012
PLATINUM PARTNER
powered by

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Neue Software und Produkte
Branchen-News
Wirbel um Limux-Studie von HP und Microsoft
Nach der Kritik am Limux-Projekt verlangte
der Münchner Oberbürgermeister
Ude von Microsoft ebenso Einblicke in
das Papier wie die IT-Verantwortlichen
der Stadt München und Münchens Dienstleister
IBM. Microsoft hat daraufhin einen
zwanzig Seiten langen Ausschnitt aus der
Limux-Studie [http:// de.​
scribd. com/ doc/ 122167337/ S
tudie‐OSS‐Strategie‐der‐Sta
dt‐Munchen‐v1‐0‐Zusamme
nfassung] veröffentlicht,
die HP angefertigt hat.
Microsoft und HP erläutern
darin, warum sie in
ihrer Rechnung auf 60
Millionen Euro Migrationskosten
kommen, die
damit deutlich höher liegen
als die von der Stadt
München dargelegten. Projekt als Erfolg.
Münchens Oberbürgermeister
Christian Ude bezeichnete das Limux-
So schlussfolgern sie, dass ein aktuelles
Debian deutlich schnellere Hardware
benötige als ein Windows XP. Die Untersuchung
geht zudem davon aus, „dass
bei einer damaligen Entscheidung [weg
von Windows NT] zugunsten von Windows
XP mit Office 2003 diese Produkte
auch heute noch bei
der Stadt München im
Einsatz wären.“ Auch
die Geschwindigkeit
des Rollout kritisiert das
Papier: HP könne derlei
Migrationen 7 bis 70 mal
schneller abwickeln. Zudem
sei die aufwendige
Office-Migration keineswegs
abgeschlossen,
sondern falle bei jedem
Wechsel wieder an,
wohingegen Microsoft
seine Kunden bei Office-Umstellungen
unterstütze.
Das sieht Münchens Oberbürgermeister
Ude anders: „Unser LiMux-Projekt belegt
eindeutig, dass eine auf Open Source
basierende IT-Strategie erfolgreich umgesetzt
werden kann“, reagierte er gegenüber
dem Linux-Magazin auf die Vorwürfe.
Man habe daher „die Behauptungen
der Studie, soweit wir sie der Presse entnehmen
konnten, richtiggestellt.“ Peter
Ganten, Chef der Open Source Business
Alliance (OSBA), betrachtet die Studie
an sich als legitim: „Dass Microsoft so
eine Studie erstellt, ist doch klar. Intern
muss so eine Company überprüfen, warum
große Kunden zunehmend ohne die
Produkte aus Redmond auskommen und
damit auch noch erfolgreich sind.“ Allerdings
stelle sich die Frage, wie sie an die
Öffentlichkeit gelangt sei.
Norm für Security und Service-Management
ISO und IEC haben einen neuen Standard verabschiedet, der
zeigen soll, wie sich Security und Service Management integrieren
lassen. Der Standard mit dem Titel „ISO/​IEC 27013:2012,
Information technology – Security techniques – Guidance on
the integrated implementation of ISO/​IEC 27001 and ISO/​IEC
20000-1“ enthält Empfehlungen, wie die genannten Standards
gemeinsam zu implementieren sind.
Die Standards ISO/​IEC 27001 und ISO/​IEC 20000-1 enthalten
ähnliche Prozesse und Aktivitäten. Ein gemeinsames Management,
das die Bereitstellung von Services zusammen mit ihren
Sicherheitsanforderungen betrachtet, erschließt ein enormes
Optimierungspotenzial und führt zu niedrigeren Kosten, geringerem
Zeitbedarf, der Vermeidung von Doppelarbeit und
einem besseren gegenseitigen Verständnis von Service- und
Sicherheitsfachleuten.
Der vom Technical Committee ISO/​IEC JTC 1, Information
Technology, Subcommittee SC 27, IT Security Techniques, und
dem ISO/​IEC JTC 1 Subcommittee SC 7, Software and Systems
Engineering, gemeinsam entwickelte Standard lässt sich im
PDF-Format für 140 Schweizer Franken über den ISO Store
[http:// www. iso. org/ iso/ home/ store/ catalogue_tc/ catalogue_detail. htm?​
csnumber=43753] käuflich erwerben.
Mozilla als Datenschutz-Champion
Mozilla rangiert laut einer Studie des Ponemon-Instituts [http://​
www. ponemon. org/] recht weit oben bei der Wahrung der Privatsphäre
der eigenen Kunden. In der Studie betrachteten die Befragten
Mozilla als das vertrauenswürdigste Unternehmen beim
Schutz der Privatsphäre in der Rubrik Internet/​Social Media. Im
Gesamt-Ranking der Unternehmen kam Mozilla immerhin noch
auf Platz 20 – im letzten Jahr war das Projekt auf den Plätzen
noch nicht vertreten.
Im Rahmen der Studie, die anlässlich des Data Privacy Day
[http:// de. wikipedia. org/ wiki/ Europ%C3%A4ischer_Datenschutztag] veröffentlicht
wurde, forderte das Ponemon Institut 100.000 US-
Amerikaner auf, fünf Firmen zu nennen, die ihrer Meinung
nach die Daten ihrer Anwender am besten schützen. Letztlich
antworteten 6700 Personen auf die Befragung, die knapp 4
Monate dauerte und im Dezember letzten Jahres endete. Über
den Erfolg berichtete Mozilla in einem Blogeintrag [https://​
blog. mozilla. org/ blog/ 2013/ 01/ 28/ privacy‐day‐2013/] und verwies – zur
Demonstration der eigenen Bemühungen in diesem Bereich
– auch gleich auf das hauseigene Privacy-Blog [https:// blog.​
mozilla. org/ privacy/]. Die komplette Studie steht auf der Webseite
des Unternehmens als PDF zum Download bereit [http:// www.​
ponemon. org/ local/ upload/ file/ 2012%20MTC%20Report%20FINAL. pdf].
10 Ausgabe 02-2013 Admin www.admin-magazin.de

n immer auf http://www.admin-magazin.de
Red Hat kauft ManageIQ
Red Hat hat den Ankauf von ManageIQ, einem Cloud-Management-Spezialisten
aus New Jersey, abgeschlossen. Schon vor
der Übernahme war das Startup Teil des Programms Red Hat
Enterprise Virtualization Certified Partner und arbeitete mit dem
Linux-Unternehmen in Sachen Cloud-Monitoring, ‐Management
und ‐Automatisierung zusammen.
Red Hat sieht das zukünftige Geschäft in der hybriden Cloud,
die unterschiedliche öffentliche und private Ressourcen vereint.
Für diesen Bereich bringe ManageIQ mit seinen virtuellen
Appliances und der Erfahrung mit VMware und Windows-
Gastsystemen einen Mehrwert, schreibt Bryan Che von Red
Hats Cloud Business Unit in einem Blogeintrag [http:// www.​
redhat. com/ about/ news/ archive/ 2013/ 1/ manageiq‐and‐the‐open‐hybrid‐cl
oud]. Red Hat hat für Produkte mit ManageIQ an Bord bereits
eine Produktseite [http:// www. redhat. com/ products/ cloud‐computing/​
manageiq/] eingerichtet, die auch eine Stellungnahme der Marktforscher
von IDC einschließt.
MobyDick7
VoIP made in Germany
DEG Zentrale 2
HomeOffice Benjamin Ritter
DEG Vertrieb 1
DEG Zentrale 1
DEG Entwicklung 1
Weltneuheit: SSD mit 2 TByte
Gut 20 Monate nach der 1-TByte-Variante konnte Foremay nun
als erster Hersteller der Welt eine doppelt so große Version
seiner SSD im 2,5-Zoll-Format ausliefern [http:// www. foremay. net/​
pr/ 2tb‐ssd‐hard‐drive‐2‐tb‐ssd‐1tb‐ssd‐2tb‐ssd‐drive‐2tb‐hard‐drive‐1‐tera
byte‐ssd‐1‐tb‐solid‐state‐drive‐foremay. pdf]. Das nur 9,5 mm dicke
Gerät gibt es in zwei Varianten: als Foremay’s SC199 (für systemkritische
Applikationen) und als TC166 (für Terminal Computing).
Neben den üblichen Flash-Management-Technologien
beherrschen die SSDs auch eine Self-Monitoring Analysis and
Reporting Technology (S.M.A.R.T) sowie Advanced Power Management
(APM). Außerdem kann der Admin bei Bedarf auf
eine Verschlüsselung nach militärischen Sicherheitskriterien
zurückgreifen. Preise nennt Foremay bisher nicht.
VMware investiert 30 Millionen in Puppet
Puppet Labs und VMware haben eine strategische Partnerschaft
für IT-Management-Lösungen geschlossen. Wie die Firma
Puppet Labs bekanntgab [http:// puppetlabs. com/ company/ news/​
press‐releases/ puppet‐labs‐secures‐30‐million‐investment‐from‐vmware/],
hat VMware im Rahmen einer strategischen Partnerschaft 30
Millionen US-Dollar in das Unternehmen investiert. Inhalt der
Vereinbarung ist die Entwicklung von IT-Management-Lösungen
für virtualisierte und heterogene Umgebungen. Konkret handelt
es sich um die Management-Software Puppet, die von Puppet
Labs als freie wie auch als kommerzielle Software unter dem
Namen „Puppet Enterprise“ vertrieben wird.
Letztere greift zum Management von Umgebungen auf der Basis
von VMware vSphere bereits auf die vSphere-API zurück.
Ramin Sayar von VMware sieht als Ziel der Partnerschaft die
Weiterentwicklung von Puppet für das Management von „VMware-basierten
privaten und öffentlichen Clouds, physischer
Infrastruktur, Open Stack und Amazon Web Services.“
www.admin-magazin.de
Erleben Sie MobyDick Live auf der
Cebit 2013: Halle 13, Stand C42
Linuxbasierende Telefonanlage für
jede Unternehmensgröße
Mit der MobyDick Telefonanlage haben Sie alle Fäden selbst in
der Hand. Außerdem verbinden Sie die Features modernster
Telefonie mit den Vorteilen von Voice over IP.
Die neuen MobyDick7 Features:
Freie Wahl des Arbeitsplatzes
Integrieren Sie jedes beliebige Endgerät (BYOD)
FollowMe Konzept - Ihre Endgeräte folgen Ihnen
Intuitives User Interface
Offene Telefonieplattform
Mobility Client für iOS und Android
Plattformunabhängiger CTI Client
Call Center Funktionen
Virtuelle Konferenzräume
Print-to-Fax Gateway
Virtuelle oder Serverlösung
Mehr Informationen finden Sie unter:
http://www.pascom.net/MD7
http://community.pascom.net
Kostenlose
Community
Version
pascom
Netzwerktechnik GmbH & Co. KG
Berger Straße 42
94469 Deggendorf
Tel.: +49 991 27006 - 0
Ausgabe 02-2013
11

Login
News
+++ neueste Nachrichten immer auf http://www.admin-magazin.de +++++ neueste Nachrichte
Intel: SSD-Cache für Linux-Server
Die Firma Intel hat eine Linux-Version ihrer SSD-basierten
Cache Acceleration Software (CAS) herausgegeben, die laut
Herstellerangaben die Performance von I/​O-intensiven Anwendungen
bis zu 18-fach beschleunigt. Im Dezember letzten Jahres
hatte Intel das Produkt schon für Windows veröffentlicht.
In den Besitz der Technologie ist der Chiphersteller über den
Zukauf der Firma Nevex gelangt, die ihr Produkt seinerzeit
unter dem Namen Cacheworks verkauft hat.
Häufiger gelesene Daten wandern in der Cache-Hierarchie von
CAS nach oben, also in den schnellen RAM-Speicher. Beim
Schreiben greift CAS gleichzeitig auf den SSD-Cache und die
Festplatten zu. Support bietet Intel beim Einsatz mit der eigenen
SSD-Datacenter-Baureihe (Intel SSD DC S3700 und Intel SSD
910). Offiziell unterstützt Intel-CAS Red Hat Enterprise Linux 5/​
6, CentOS 5/​6 und Suse Linux Enterprise Server 11 SP1.
Außer nativ mit Linux und Windows funktioniert CAS auch
mit VMware, KVM, Citrix Xenserver und Windows Hyper-V.
Als besonderes Feature unterstützt Intel die Migration virtueller
Maschinen mit VMware vMotion. Dabei kümmert sich die
Software darum, dass auch die im Cache befindlichen Daten auf
den Zielrechner migriert werden.
Die Linux-Version von CAS ist als kommerzielles Produkt verfügbar,
soll aber in Kürze auch unter einer Open-Source-Lizenz
angeboten werden. Mehr Informationen sind unter [http:// www.​
intel. com/ content/ www/ us/ en/ software/ intel‐cache‐acceleration‐software
‐technology. html] zu finden.
MySQL 5.6 erschienen
Oracle gibt bekannt, dass die neue Version 5.6 der MySQL-
Datenbank verfügbar ist. Das neue Release soll verbesserte
Performance und Skalierbarkeit bieten, es wartet mit NoSQL-
Zugriff auf InnoDB-Tabellen auf, kommt Entwicklern mit einer
Subquery-Optimierung entgegen und baut die Instrumentierung
der Datenbank aus. Der Durchsatz der InnoDB-Engine soll sich
um bis zu 230 Prozent erhöht haben. Zu den neuen Features
zählen weiter Volltext-Indizes für InnoDB, die eine Suche nach
Wörtern und Phrasen ermöglichen. Neue Eigenschaften der
Replikation und der Self-Healing Replication Cluster verbessern
die HA-Eigenschaften von MySQL.
Cisco verkauft Linksys an Belkin
Wie die Firma Belkin mitteilt, übernimmt sie den Netzwerkhersteller
Linksys, der sich derzeit im Besitz von Cisco befindet.
Dies betrifft die Produkte, die Technologie, die Marken sowie
die Linksys-Mitarbeiter.
Im Jahr 2003 hatte Cisco seinerseits Linksys für 500 Millionen
US-Dollar übernommen. In Linux-Kreisen waren insbesondere
die Linksys-Router der Serie WRT54 beliebt, auf denen sich eine
angepasste Linux-Version als Router-Software betreiben ließ.
Im Rahmen einer strategischen Partnerschaft soll Belkin über
Linksys nun Heim anwender bedienen, die für Cisco künftig
keine interessante Kundschaft mehr darstellen.
Western Digital schluckt Arkeia
Western Digital hat den Backup-Spezialisten Arkeia gekauft, um
sein Portfolio für kleine und mittlere Unternehmen auszubauen.
Arkeia wird in den WD-Geschäftsbereich Branded Products
für KMUs integriert. Mit der Akquisition gehen Mitarbeiter,
Technologie und Produkte von Arkeia in Form eines Unternehmenszusammenschlusses
an WD über. Die Produkte von
Arkeia werden zunächst unter diesem Namen weitergeführt.
WD übernimmt die Betreuung der bestehenden Arkeia-Kunden
und plant die Fortführung der Arkeia Software- und Appliance-
Produktlinien.
Gleichzeitig mit der Übernahme ist nun Arkeia 10.0 erhältlich,
das hybride Cloud-Backups ermöglicht, bei denen Administratoren
physische Medien und Netzwerk-Übertragungen kombinieren
können, uneingeschränkt verfügbar.
Intel und Facebook entwickeln neuartige Rechner
Intel und Facebook wollen neue, modulare Rack-Technologien
entwickeln, die eine Trennung von Computer-, Netzwerk-und
Storage-Ressourcen ermöglichen. Bei den modularen Racks
der nächsten Generation sollen sich deren Computer-, Netzwerk-
und Storage-Subsysteme unabhängig voneinander einzeln
erneuern lassen. Dadurch lassen sie sich zu Ressourcentypen
gruppieren und über das gesamte Rack verteilen. Ergebnis sind
niedrigere Kosten, verbesserte Upgrade-Möglichkeiten sowie
höhere Zuverlässigkeit und Flexibilität.
Das Konzept basiert auf Intels Silicon Photonics Technologie, die
sehr schnell und stromsparend große Datenmengen über dünne
Glasfasern statt über Kupferdrähte transferiert. In den letzten
beiden Jahren hat Intel diese Technologie zur Produktionsreife
gebracht und bereits erste Musterchips hergestellt.
Intel und Facebook arbeiten seit Längerem als Technologiepartner
bei Hardware-und Software-Optimierungen zusammen, um
die Rechenzentren von Facebook effizienter und skalierbarer
zu machen. Intel ist – gemeinsam mit Facebook – Mitglied des
Gründungsvorstands des Open Compute Project (OCP). Dieses
soll optimierte Hardware für riesige Cloud-Rechenzentren entwickeln.
Intel engagiert sich mit mehreren Initiativen am OCP. Dazu zählen
die Arbeit mit der Industrie an OCP-Boards für Intel-Xeonund
Intel-Atom-basierte Prozessoren, die Unterstützung einer
speziellen Kühlung (Cold Storage) beim Intel Atom Prozessor,
gemeinsames Hardware-Management oder die Definition künftiger
Rack-Architekturen mit den heute vorgestellten Photonik/​
Silizium-Elementen.
12 Ausgabe 02-2013 Admin www.admin-magazin.de

News
Login
n immer auf http://www.admin-magazin.de ++++ neueste Nachrichten immer auf http://www.
Alan Cox verlässt die Kernelentwicklung
Bärtiger Kernelhacker: Alan Cox auf der Linuxcon Europe 2011 in Prag.
Der britische Kernelentwickler Alan Cox zieht sich von der Arbeit
am Linux-Kernel zurück und verlässt seinen Arbeitgeber Intel.
In einem Blogeintrag [https:// plus. google. com/ 111104121194250082892/​
posts/ KW3TdRYwjr9] gibt er dafür familiäre Gründe an. Auch wenn
er Linus Torvalds in der Vergangenheit gelegentlich beschimpft
habe, spiele der Kernelchef keine Rolle bei seiner Entscheidung,
schreibt er dort. Auch mit Intel habe er sich nicht überworfen,
der Job habe ihm Spaß gemacht. Daneben versichert er Greg
Kroah-Hartman, dem Maintainer der stabilen Linux-Kernel, er
werde seine derzeitige Arbeit an der virtuellen Mobilarchitektur
„Goldfish“ fertigstellen.
Cox verlässt die Kernelcommunity nach vielen Jahren entscheidender
Arbeit. Der Entwickler war Betreuer der Linux-Version
2.2 und pflegte verschiedene Subsysteme. In Diskussionen auf
der Kernel-Mailingliste meldete sich der bärtige Programmierer
unverblümt mit klaren Positionen zu Wort. 2003 verlieh ihm die
Free Software Foundation ihren Award for the Advancement of
Free Software, 2005 erhielt er den Lifetime Achievement Award
der Linux World.
Netcraft: PHP wächst und wächst
Laut einer Statistik des britischen Internet-Dienstleisters Netcraft
erfreut sich die serverseitige Programmiersprache PHP
immer noch steigender Beliebtheit. Die Serverspezialisten haben
im Januar 2013 stolze 244 Millionen Websites gezählt,
auf denen PHP läuft. Das macht 39 Prozent der gesamten
Webserver-Statistik des Anbieters aus. Typischerweise läuft die
Open-Source-Skriptsprache auf Linux (74 Prozent der Server),
gefolgt von Free BSD (8 Prozent) und Windows (7 Prozent).
Das erstmals 1995 von Rasmus Lerdorf als Personal Home Page
Tools veröffentlichte PHP dient mittlerweile als Grundlage vieler
Webanwendungen: Von Content-Management-Systemen wie
Joomla oder Drupal bis zu Webshop-Lösungen wie Magento.
Im Jahr 2001 verzeichnete Netcraft 1,8 Millionen PHP-Websites.
Die Statistiker verwenden in ihrer Meldung [http:// news. netcraft.​
com/ archives/ 2013/ 01/ 31/ php‐just‐grows‐grows. html] logarithmische
Darstellung, um das starke Wachstum abzubilden.
Cyberarms mit neuer Version
Das Intrusion Detection und Defense System (IDDS) Cyberarms
ist erweitert um zahlreiche Features in der neuen Version 2.1
erschienen. Die Software, die Windows-Server vor Brute Force-,
Password-Guessing- und Wörterbuchattacken schützt, indem
sie den Angreifer über eine automatische Konfiguration der
Windows-Firewall zuverlässig aussperrt, wurde jetzt um etliche
neue Features erweitert. So protokolliert sie nun die Sperren
in einer SQL-Datenbank und erfasst dabei auch, welches der
spezialisierten Plugins, die hier Security Agents heißen, die
Sperre ausgelöst hat. Zusätzlich landen die Sperr-Ereignisse im
Windows Event Log und können eine E-Mail-Benachrichtigung
triggern.
Die Agents überwachen in der Basisversion das Security Event
Log, auf Wunsch weitere zusätzliche Dienste wie FTP, TSL/​
SSL oder den SQL Server. Neu dazugekommen ist ein SMTP-
Agent. Darüber hinaus erlaubt eine API das Entwickeln eigener
Agents durch Anwender. Für die Sperren lassen sich
Schwellwerte konfigurieren, und sie können wahlweise kurz
oder lange andauern (Soft beziehungsweise Hard Locks). Zum
Ausprobieren bietet die Firma eine kostenlose Version der Software
an, die neuerdings bis zu fünf Sperren pro Tag erlaubt.
(jcb,kki,mfe,mhu,ofr)
Linux Schulungen 2013 – Nicht verpassen!
• Linux-Administration für Fortgeschrittene, 18.03.
• Systemmonitoring mit Nagios & Check_MK, 08.04.
• KVM-Server-Virtualisierung unter Linux, 22.04.
• Linux-Crashkurs für Administratoren, 13.05.
• Erweiterungen programmieren für Check_MK, 03.06.
• Fortgeschrittenes Monitoring mit Nagios & Check_MK, 10.06.
• Linux als Server im Inter-und Intranet, 24.06.
• Softwarepaketierung unter Linux mit RPM, 17.07.
• Storage-LVM, MD, Multipathing, iSCSI, 26.8.
NEU
KVM - Server-
Virtualisierung
unter Linux:
22.04.13
Gerne machen wir auch Inhouse-Schulungen direkt bei Ihnen vor Ort.
Fragen Sie uns nach einem Angebot zu Ihrem Wunschthema.
Besuchen Sie uns
auf der CeBIT, Halle 6,
Block F16, Stand: 312
089 / 18 90 435 - 0
www.admin-magazin.de
Admin
Ausgabe 02-2013
schulung@mathias-kettner.de
13
www.mathias-kettner.de

1Gbit/s
Port

Login
Identitätsdiebstahl
© lightwise, 123RF
Identitätsdiebstahl: Fakten, Fälle, Gegenwehr
Unter falschem
Namen im Netz
Unter den ersten sechs Cyber-Gefährdungen in der Rangfolge des Bundesamtes für Sicherheit in der Informationstechnik
(BSI) findet sich „Identitätsdiebstahl“. Aber gibt es das überhaupt als Straftatbestand? Muss man
Angriffe melden? Und wie kann man sich davor schützen? Vilma Niclas
Experten fassen unter dem Begriff
Identitätsdiebstahl eine Vielzahl krimineller
Handlungen zusammen, darunter
Phishing, Man-in-the-Middle- und
Replay-Angriffe, Domain-Hijacking,
Spoofing, Missbrauch voreingestellter,
schwacher oder mehrfach verwendeter
Passwörter, Session-Hijacking oder Diebstahl
und Fälschung von Credentials (also
Passwörtern, kryptografischen Schlüsseln
und Session-Cockies). Identitätsdiebstahl
hat also viele Gesichter. Im schlimmsten
Fall kann er das Image einer Person in
der Öffentlichkeit zerstören und massive
finanzielle oder wirtschaftliche Folgen
nach sich ziehen.
Treffen kann es jeden. Niemand weiß, ob
seine digitale Identität bereits auf dem
Schwarzmarkt gehandelt wird, etwa erlangt
durch einen Einbruch bei einem
Online-Anbieter, der den Nutzer nicht
über den Angriff informiert hat. Für den
„Cyber Security Report“ wurden im März
2012 Internetnutzer in der Europäischen
Union befragt, wie oft sie bereits Opfer eines
Identitätsdiebstahls geworden seien.
Im Durchschnitt aller Länder antworteten
acht Prozent mit „Ja“ (in Rumänien sogar
16 Prozent). Deutschland liegt mit sechs
Prozent im Mittelfeld. Kein Wunder also,
dass es es mittlerweile Dienstleister gibt,
die sich darum kümmern, das Image im
Internet zu retten und die Schutz gegen
Identitätsdiebstahl versprechen.
Praxisbeispiele
In Rostock wurden unter dem Namen eines
Finanzsenators in einem gefälschten
Facebook-Account Fotos, Links und Kommentare
verbreitet und 303 Personen,
Vereine oder Verbände hatten – ohne es
zu merken – ihn als Kontakt akzeptiert,
darunter Bundes- und Landtagsabgeordnete
sowie Mitglieder der Rostocker Bürgerschaft.
Ein amerikanischer Journalist
musste tatenlos zusehen, wie Hacker
sein Google-Konto sowie den Inhalt des
16 Ausgabe 02-2013 Admin www.admin-magazin.de

Identitätsdiebstahl
Login
Die Cybercrime Kommissare in Berlin
bemängeln, es gäbe besonders im grenzüberschreitenden
Bereich Schwachstellen.
So könne sich etwa die Polizei bei
einem Identitätsdiebstahl nicht direkt
an Facebook wenden, sondern müsse
dies entweder über das BKA mit einem
Rechtshilfeersuchen tun oder hoffen, dass
die Staatsanwaltschaft sich an Facebook
wendet. Dies dauere oft zu lange. Am
11. Januar 2013 wurde das neue Europäische
Zentrum zur Bekämpfung der
Cyberkriminalität in Den Haag bei Europol
eröffnet. Es soll der Polizei in der
gesamten EU bei Bedrohungen durch Cyberkriminalität
zur Seite stehen und die
internationale Arbeit koordinieren.
„Wir brauchen ein flexibles, adäquates
Vorgehen gegen Cyberkriminalität, die
keine Grenzen kennt und es Straftätern
sehr leicht macht, sich zu verstecken.
Als Mittelpunkt der operationellen investigativen
und forensischen UnterstütiPhones,
iPads als auch seines MacBooks
löschten und über seinen Twitter-Account
rassistische Meldungen schrieben.
Bei einem Interview mit Cybercrime-
Beamten vom LKA Berlin verrieten Kriminaloberrat
Carsten Szymanski und Kriminalhauptkommissar
Heiko Wegner: Sehr
viele Fälle stammen aus dem familiären
Umfeld. Gerade in getrennten Beziehungen
kommt es öfter zum Stalking, und
der oder die Ex malträtiert mit Anrufen
oder E-Mails oder ordert Waren unter
dem Namen des ehemals Geliebten. Sich
dann um massenhafte Rücksendungen
zu kümmern, kann ewig dauern.
Übernimmt jemand ein fremdes Facebook-Konto,
kann er so mit Kontakten
kommunizieren wie der wirkliche Inhaber
und sich hinter dessen digitaler
Identität verstecken. Verknüpft er dann
auch noch mehrere Dienste miteinander,
könnte es sein, dass der wahre Inhaber
vom eigenen E-Mail-Konto ausgesperrt ist
und den Missbrauch nicht richtigstellen
kann. Sind dann auch noch alle E-Mails
und Kontakte nur in der Cloud abgespeichert,
und hat man keine Sicherungskopie
auf der eigenen Festplatte, ist das
digitale Ich beinahe ausgelöscht.
Gefahr: mangelhafte
Sicherheit der Anbieter
Es muss nicht immer die Sorglosigkeit,
Naivität oder ein Fehler des Online-Nutzers
sein. Die Cybercrime-Kommissare
beim LKA in Berlin weisen darauf hin,
dass Fälle wie die geschilderten Beispiele
nicht so folgenreich seien wie Angriffe
auf Unternehmen. Etwa der digitale Einbruch
bei Sony im Frühjahr 2011. Damals
wurden Daten von vielen Millionen Kunden
des Playstation-Netzwerks gehackt:
Namen, Adressen, E-Mail, Geburtsdatum,
teilweise Logins und Paßwörter
(Abbildung 1).
Von den geknackten Konten könnte man
Rückschlüsse auf E-Mail- und andere
Konten ziehen und versuchen, sich mit
den Paßwörtern bei anderen Anbietern
anzumelden. Im schlimmsten Fall kennt
der Täter auch die Daten der Kreditkarte.
Nicht jedes Unternehmen teilt Nutzern
von selbst Sicherheitslücken mit. Oft
sorgt man sich um das Image oder will
Kunden nicht allzu sehr verunsichern.
Aus diesem Grund werden nur sehr we-
Abbildung 1: Daten von Millionen Playstation-Kunden fielen 2011 nach einem Einbruch Hackern in die Hände.
nige der Taten angezeigt. Die Cybercrime-
Kommissare in Berlin wiesen darauf hin,
dass die bei einem Angriff erlangten Kundendaten
eines Unternehmens danach oft
auf dem Schwarzmarkt im Untergrund
gehandelt würden. Es kann also für Kunden
massive Folgen haben, wenn man
von einem Einbruch nichts erfährt und so
etwa Kreditkarten nicht schnell sperren
oder das Paßwort ändern kann.
Die Cybercrime Zentrale in
Den Haag
zung soll das Zentrum das entsprechende
Know-how sammeln und verbreiten. Da
es alle einschlägigen Ressourcen in den
EU-Mitgliedstaaten mobilisieren kann,
soll es aber auch dazu dienen, die Bedrohung
durch Cyberkriminelle – wo auch
immer diese operieren – abzuschwächen
und zu reduzieren“, so Troels Oerting,
der Leiter des Europäischen Zentrums
zur Bekämpfung der Cyberkriminalität.
Konzentrieren will sich das Zentrum auf
illegale Online-Tätigkeiten organisierter
krimineller Gruppen. Im Focus stehen
auch Straftaten, die das System der kritischen
Infrastrukturen und das Informationssystem
in der EU beeinträchtigen. Das
Zentrum will außerdem Strafverfolger,
Richter und Staatsanwälte schulen.
Umstrittene Meldepflicht
Zudem veröffentlichte am 7. Februar
2013 die Europäische Kommission eine
Cybersicherheitsstrategie sowie einen
Kommissionsvorschlag für eine Richtlinie
zur Netz- und Informationssicherheit
(Abbildung 2). Ihr Ziel ist es, alle
Mitgliedsstaaten der EU und Betreiber
zentraler Internetdienste und kritischer
Infrastrukturen (etwa Plattformen des
elektronischen Geschäftsverkehrs oder
auch sozialer Netze) und die Betreiber
von Energie-, Verkehrs-, Bank- und
Gesundheitsdiensten zu verpflichten,
in der gesamten EU ein sicheres und
vertrauenswürdiges digitales Umfeld zu
gewährleisten.
© Denis Raev, 123RF
www.admin-magazin.de
Admin
Ausgabe 02-2013
17

Login
Identitätsdiebstahl
Neelie Kroes, die für die Digitale Agenda
zuständige Vizepräsidentin der Kommission:
„Je mehr die Menschen vom
Internet abhängen, umso mehr verlassen
sie sich darauf, dass es auch sicher
ist. Ein sicheres Internet schützt unsere
Freiheiten und Rechte und unsere Wirtschaftstätigkeit.
Es ist höchste Zeit für ein
koordiniertes Vorgehen, denn die Kosten
des Nichtstuns sind weitaus höher als die
Kosten des Handelns.“ Erwähnt wird in
diesem Zusammenhang, dass im Januar
2012 nur 26 Prozent der Unternehmen in
der EU förmlich festgelegte IKT-Sicherheitsvorgaben
vorweisen konnten. Eine
erschreckende Zahl, wenn man bedenkt,
dass viele Unternehmen mit personenbezogenen
Daten hantieren und die Nutzer
von diesen Diensten abhängig sind.
Die angesprochene Richtlinie enthält unter
anderen den Vorschlag, einen Kooperationsmechanismus
zwischen Mitgliedstaaten
und Kommission zu schaffen,
um etwa rechtzeitig Warnungen vor Sicherheitsrisiken
auszutauschen. Zudem
sollen Betreiber kritischer Infrastrukturen
in bestimmten Bereichen (Finanzdienste,
Verkehr, Energie und Gesundheitswesen)
sowie Betreiber zentraler Dienste der Informationsgesellschaft
(vor allem App-
Stores, eCommerce-Plattformen, Cloud-
Computing-Provider, Suchmaschinen
oder soziale Netze) und öffentliche Verwaltungen
Risikomanagementmethoden
einführen und große Sicherheitsvorfälle
in ihren Kerndiensten melden.
Abbildung 2: Die Europäische Kommission schlägt neuerdings eine spezielle Meldepflicht für
Sicherheitsvorkommnisse in ihren Mitgliedsländern vor.
Unternehmen fürchten nun, dass die Veröffentlichung
schwerwiegendere Folgen
als der eigentliche Angriff haben könnte.
Bereits jetzt verpflichten sowohl das Bundesdatenschutzgesetz
(BDSG) als auch
das Telekommunikationsgesetz (§ 109 a
TKG), Datenschutzpannen zu melden,
sofern dadurch die Rechte oder schutzwürdigen
Interessen der Betroffenen
schwerwiegend beeinträchtigt sind. Die
Meldepflicht in § 42 a BDSG bezieht sich
nur auf Datenpannen, die besondere Arten
personenbezogener Daten betreffen,
wie Daten, die einem Berufsgeheimnis
unterliegen, Bank- oder Kreditkartendaten,
Daten über rassische und ethnische
Herkunft, politische Meinungen, religiöse
oder philosophische Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit
oder Sexualleben. Meldepflichtig sind zudem
Unternehmen, die öffentliche Telekommunikationsdienste
erbringen.
Der Branchenverband BITKOM verwies
aufgrund des neuen Vorschlages auf die
bestehenden Gesetze und lehnte eine darüber
hinausgehende Meldepflicht für IT-
Sicherheitspannen als unverhältnismäßig
ab. Er meint, freiwillige Meldungen seien
deutlich sinnvoller. Es gäbe in Deutschland
eine Meldestelle des BSI [1], wo
Unternehmen anonym und freiwillig Eingriffe
in deren Systeme melden können.
© jean schweitzer, 123RF
Ist Identitätsdiebstahl strafbar?
Da sich Identitätsdiebstahl vielfältig äußert,
gibt es keinen einheitlichen Straftatbestand
unter dieser Überschrift. Oft lässt sich der
Schaden nicht in Zahlen ausdrücken, etwa wenn
„lediglich“ der Ruf im Internet leidet. Es kommt
auf den konkreten Fall und die Folgen an. Abgegebene
Kommentare können eine Beleidigung
sein, eine Äußerung eine abmahnfähige Kreditgefährdung
oder Namensrechtsverletzung.
Sind Fotos übernommen, handelt es sich meist
um eine strafbare und abmahnfähige Urheberrechtsverletzung,
oder das Recht am Bild der
abgebildeten Person ist verletzt – ebenfalls eine
Straftat (§§ 23, 33 KUG) und abmahnfähig.
Nach einem Identitätsdiebstahl hat man drei
Monate Zeit, um einen Strafantrag zu stellen.
In einigen Fällen hat man gegebenenfalls
Anspruch auf Geldentschädigung und Gegendarstellung.
Beim Kauf von Waren unter fremden
Namen, handelt es sich um Betrug. Für
die Belästigung des Ex-Geliebten gibt es den
sogenannten Stalking-Paragrafen. Danach ist
strafbar, einem Menschen unbefugt nachzustellen,
indem jemand beharrlich unter Verwendung
von Telekommunikationsmitteln oder sonstigen
Mitteln der Kommunikation oder über Dritte
Kontakt zu ihm herzustellen versucht oder unter
missbräuchlicher Verwendung von dessen
personenbezogenen Daten Bestellungen von
Waren oder Dienstleistungen für ihn aufgibt
oder Dritte veranlasst, mit diesem Kontakt aufzunehmen,
und dadurch seine Lebensgestaltung
schwerwiegend beeinträchtigt wird.
Zudem kennt das Strafgesetzbuch noch einige
spezielle Computerstraftaten, die je nach Folge
der Tat einschlägig sein könnten, etwa das Ausspähen
oder Abfangen von Daten, den Computerbetrug
oder die Computersabotage. Ändert
der Täter ein Paßwort, könnte dies eine nach §
303 a StGB strafbare Datenveränderung sein.
Vorsorgemaßnahmen
Auf die IT-Sicherheit von Anbietern kann
aber auch ein Endkunde indirekt Einfluss
nehmen. Er kann ihn bei der Auswahl
genau unter die Lupe nehmen. Als Unternehmer
ist man dazu teilweise sogar
verpflichtet, wenn man dem Anbieter
personenbezogene Daten von Kunden
überlässt (sogenannte Auftragsdatenverarbeitung
[2]) und Dienstleistungen
outsourct. Umso mehr Menschen sich
bei der Auswahl eines Anbieters nach
der IT-Sicherheit und dem Datenschutz
im Unternehmen erkundigen, umso ernster
nehmen Unternehmen das Thema IT-
Sicherheit und schaffen Transparenz bei
digitalen Einbrüchen. Erfährt ein Kunde
erst Monate später von einem Einbruch
bei seinem Dienstleister, könnte man er-
18 Ausgabe 02-2013 Admin www.admin-magazin.de

wägen, den Vertrag außerordentlich zu
kündigen. Auch dies wiederum könnte
dazu beitragen, die Transparenz zu erhöhen.
Neue Gesetze
Die Cybercrime-Beamten des LKA Berlin
beklagen, dass Anfragen bei den Providern
nach Verbindungsdaten oft leer
ausgingen, denn diese seien entweder gar
nicht gespeichert oder nach spätestens
einer Woche gelöscht. Selbst wenn die
Daten vorlägen, könne man IP-Adressen
wegen der unsicheren Rechtslage zur
Vorratsdatenspeicherung in Deutschland
nicht immer als Beweis nutzen. Ob eine
umfassende Vorratsdatenspeicherung
mehr Sicherheit brächte, wird seit einigen
Jahren sehr kontrovers diskutiert [3].
Datenhehlerei bald
strafbar?
Die Berliner Cybercrime Beamten kritisieren,
dass es aktuell nicht strafbar
sei, gestohlene Daten weiterzugeben. Im
Cybercrime Bundeslagebild 2011 heißt
es: „Der Diebstahl digitaler Identitäten
ist für Kriminelle äußerst lukrativ. Alle
Arten digitaler Identitäten (zum Beispiel
Bankaccounts, Accounts für soziale
Netzwerke, Kreditkartendaten) werden
in den illegalen Webshops der sogenannten
Underground Economy angeboten.“
Ein neuer Straftatbestand wird bereits
diskutiert. Der 69. Deutsche Juristentag
beschloss im September 2012: „Um eine
Strafbarkeitslücke im Hinblick auf den
Geheimnis- und Datenschutz im Internet
Vorbeugende Maßnahmen
Paßwörter bei sozialen Netzwerken und Internetdiensten
sollten öfter geändert werden.
Der Cybercrime-Kommissar rät: „Sicherheit
entsteht durch Medienbrüche. Empfehlenswert
sind Passwörter mit mindestens 10 Stellen und
Sonderzeichen.
Die geschäftliche Korrespondenz ausschließlich
über Google oder einen anderen Webmail-
Dienst abzuwickeln, ist nicht ratsam. Daneben
sollte man unbedingt wenigstens über eine
weitere E-Mail-Adresse verfügen.
Auf Internetseiten gehören so wenig wie möglich
persönliche Daten. Sozialen Netzwerken
sollte man den Abgleich mit dem eigenen
Adressbuch verwehren. Am besten speichert
man keine Kreditkartendaten in einem Profil."
zu schließen ist ein neuer Straftatbestand
zur Datenhehlerei einzuführen.“ Hessen
soll nun einen Vorschlag erarbeiten.
Das kann man tun im
Ernstfall
Wer Opfer eines Identitätsdiebstahls geworden
ist, sollte schnell handeln und
veranlassen, dass der Betreiber des betroffenen
Internetdienstes den übernommenen
Account sperrt. Maximal sieben Tage
speichern Provider die Verbindungsdaten
(darunter die IP-Aressen) die eventuell
noch zu den Tätern führen. Man sollte
übrigens Facebook am besten direkt auffordern,
ein von Fremden übernommenes
Profil zu löschen. Privatperson können
hier zumeist schneller reagieren als die
Polizei.
Sofern jemand fremde Inhalte unter dem
eigenen Namen veröffentlicht hat, sollte
man den Seitenbetreiber auffordern, die
Daten binnen einer kurzen Frist zu sperren
oder ganz zu löschen. Nötigenfalls
sollte man sich anwaltlicher Hilfe versichern.
Wird die Kreditkarte illegal benutzt,
gilt es, die Bank unverzüglich zu
informieren. Dafür gibt es die bundesweit
einheitliche Sperrnotrufnummer: 116 116.
(jcb)
n
Infos
[1] Meldestelle des BSI:
[https:// www. allianz‐fuer‐cybersicherheit.​
de/ ACS/ DE/ Home/ Meldestelle/ meldestelle_
node. html]
[2] Auftragsdatenverarbeitung:
ADMIN-Magazin 1/​2013
[http:// www. admin‐magazin. de/ Das‐Heft/​
2013/ 01/ Wie‐man‐externe‐Dienstleister‐ric
htig‐beauftragt]
[3] Vorratsdatenspeicherung:
[http:// www. vorratsdatenspeicherung. de]
Die Autorin
Die Autorin ist Rechtsanwältin & Fachjournalistin
für IT-Recht in Berlin. Sie veröffentlicht seit
1997 zu Fragen des IT-Rechtes. Darüber hinaus
referiert sie zu aktuellen Fragen des Internetrechtes,
gibt Workshops zum
Softwarelizenzrecht oder
zur IT-Sicherheit und unterrichtet
als Lehrbeauftragte
für IT-Recht an der Beuth
Hochschule für Technik.
© Mira Burgund
Auch Ihre
Server
wurden
gehackt!
Stimmt nicht?
Sind Sie sicher?
Und woher wissen
Sie das?
cyberarms.de
info@cyberarms.net
Effizienter Serverschutz
Das direkt auf dem Windows Server-System
laufende IDDS von Cyberarms erkennt verdächtige
Zugriffsversuche und sperrt potenzielle
Angreifer durch Konfiguration der Windows
Firewall aus. Zahlreiche Erweiterungen („Security
Agents“) lassen sich beliebig kombinieren,
um Ihre Windows Systeme optimal zu schützen.
Mehr Informationen unter cyberarms.de
www.admin-magazin.de
IT Security Products

Login
Admin-Story
© cbpix, 123RF
Gerätenamen herausfinden
Finde Nemo
Es war schon immer so: Ethernet-Devices in Linux heißen »eth0« und
nicht anders. Auf einmal verliert auch diese Wahrheit ihre Gültigkeit, und
Linux-Administratoren müssen umlernen. Warum und wie, verrät dieser
Teil der Admin-Story. Thorsten Scherf
Neulich rief ein Kunde an und fragte
mich ganz aufgeregt, was denn auf einmal
mit seinem System los ist. Plötzlich
gebe es kein »eth0« mehr, dafür tauchten
auf einmal seltsame Namen wie »em1«
oder »p3p1« in der Konsole auf. Was hier
passiert ist, möchte er gerne wissen.
Die Erklärung ist recht einfach. Für die
Namensgebung verantwortlich ist das
regelbasierte Udev-Subsystem. Passen
alle Kriterien einer Regel auf ein beim
Systemstart gefundenes Netzwerk-Gerät,
bekommt das Gerät den in der Regel definierten
Namen, überlicherweise etwas
wie »ethX«. Hier ein Beispiel:
# grep eth0 /etc/udev/rules.d/70‐persistentU
‐net.rules
SUBSYSTEM=="net", ACTION=="add", DRIVERS==U
"?*", ATTR{address}=="f0:de:f1:d5:c1:25", U
ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"
Die Regel besagt, dass ein Netzwerk-
Gerät mit der genannten MAC-Adresse
als Device-Namen »eth0« bekommen soll
und somit als erstes Gerät auf dem System
sichtbar ist. Der Name in der Datei
ist beliebig. Wer mag, der kann die Karte
auch »public« oder »private« nennen. Das
Prinzip funktioniert soweit ganz gut. Der
Nachteil ist jedoch, dass offenbleibt, um
welche Karte auf dem System es sich
denn nun genau handelt. Klar ist lediglich,
dass es die Karte mit der aufgeführten
MAC-Adresse ist, ob dies jedoch auch
das erste Netzwerk-Gerät auf dem System
ist, ist unklar. Für System-Administratoren
ist dieser Umstand immer ein großes
Ärgernis. Wer schon einmal vor einem
Server mit einem Dutzend Netzwerkports
gestanden und dabei nach »eth0« gesucht
hat, weiß, wovon ich rede.
Verwechslungsgefahr
Besonders schlimm ist es auch bei Netzwerk-Installationen,
bei denen die TFTP-
Boot-Anfrage über »eth0« verschickt, der
Installer aber später die DHCP-DISCO-
VER-Meldung über eine andere als »eth0«
identifierte Netzwerkkarte versendet. Ein
echter Spaß bei der Fehlersuche.
Schön wäre es doch, wenn der Name,
den ich auf einem System sehe, identisch
mit dem Chassis-Namen wäre, sodass ich
direkt sehen kann, ob es sich beispielsweise
um einen Onboard-Netzwerkport
oder einen Port der externen PCI-Karte
handelt. Es gibt Tricks, beispielsweise die
LED der Karte mittels »ethtool ‐p ethX«,
blinken zu lassen oder dem Installer mittels
»ksdevice=bootif« mitzuteilen, dass
die Installation über die Netzwerkkarte
erfolgen soll, über die auch das Boot-
Image geladen wurde. Schön geht aber
definitiv anders.
Anfang 2011 haben deshalb einige Dell-
Entwickler ein neues Tool mit dem
Namen »biosdevname« unter der GPL
veröffentlicht. Biosdevname sorgt dafür,
dass das System-BIOS die Anordnung
der Netzwerk-Geräte erkennt, und diese
Information an das Betriebssystem weiterreicht.
Somit weiß das OS dann, ob es
sich um eine Onboard-Karte oder einen
externen PCI-Adpater handelt. Auch der
genaue Port auf dem Motherboard oder
der PCI-Karte wird erkannt.
Die neue Namensgebung, auch als Consistent
Network Device Naming bekannt,
folgt dann folgendem Schema. Für Onboard-Netzwerkarten
lauten die neuen
Namen nun:
emPort‐Nummer_Instanz_der-virtuellenU
Funktion
beispielsweise »em1« für die erste Onboard
Karte. Für externe PCI-Karten sieht
es folgendermaßen aus:
20 Ausgabe 02-2013 Admin www.admin-magazin.de

Admin-Story
Login
pSlot‐NummerpPort‐NummerU
_Instanz der virtuellen_U
Funktion
beispielsweise »p2p1« für den
ersten Port auf der externen
Netzwerkkarte im Slot 2.
Virtuelle Funktionen kommen
dann zum Einsatz, wenn die
Netzwerkkarte Single Root I/​
O-Virtualization (SR-IOV) unterstützt.
Hiermit ist es möglich,
ein einzelnes PCI-Gerät
zwischen verschiedenen virtuellen
Systemen aufzuteilen,
ohne dabei an Performance
zu verlieren. Ein virtuelles
System bekommt dabei eine
virtuelle Funktion des Gerätes
zugewiesen. So erscheint beispielsweise
eine Netzwerkkarte mit nur einem einzelnen
Port mit mehreren Einträgen in der
Ausgabe von »lspci« auf dem Hypervisor
(Listing 1).
Der erste Eintrag bezieht sich dabei auf
die physische, die anderen beiden auf die
virtuellen Funktionen der Karte. Jede dieser
Funktionen kann dann mittels einer
einfachen PCI-Zuweisung an ein virtuelles
System weitergereicht werden.
Auf einem System mit aktiviertem »biosdevname«
existieren somit die folgenden
Geräte-Namen für die oben aufgeführte
Netzwerkkarte im PCI-Slot 3: »p3p1«,
»p3p1_0«, »p3p1_1«. Die Kennzeichnung
für Netzwerktechnologien wie »vlan«
oder Aliases bleibt erhalten. So kennzeichnet
beispielsweise »p3p1:0« ein
Alias für das Netzwerk-Gerät »p3p1« mit
mehr als einer einzelnen IPv4-Adresse.
Infos vom BIOS
Woher bekommt nun das Betriebssystem
die ganzen Informationen, also beispielsweise
in welchem Slot eine Karte steckt,
oder welche Ports diese Karte anbietet?
Die Lösung ist recht einfach. Das System
BIOS (auf aktuellen Dell und HP-Systemen)
hält diese Informationen in den beiden
Tabellen 9 (für externe PCI-Karten)
und 41 (für Onboard-Karten) vor. Das
Tool »biosdevname« greift hierauf zurück
und schreibt entsprechende Einträge in
eine neue Udev-Regel. Diese wiederum
ist dann dafür verantwortlich, dass die
Netzwerkkarten ihren neuen Namen bekommen.
Sollte das System über keine
Abbildung 1: Von der Hardware über Udev bis zur Anwendung.
aktuelle Version von SMBIOS verfügen,
oder fehlen die Informationen schlichtweg
in den entsprechenden Tabellen, so
kann »biosdevname« auch Daten der PCI
IRQ Routing Tabelle zurückgreifen. Die
Tools »dmidecode« und »biosdecode«
stellen die Informationen auf Anfrage
zur Verfügung. Alternativ hilft auch das
Skript in Listing 2 weiter.
Neu geregelt
Abbildung 1 zeigt den Weg der Informationen
von der Hardware bis zur Anwendung,
die dann die von »biosdevname«
definierten Geräte-Namen sieht.
Die Udev-Regel, die die Geräte-Namen
implementiert, sieht dabei wie folgt aus:
# grep PROGRAM /lib/udev/rules.d/71‐U
biosdevname.rules
PROGRAM="/sbin/biosdevname ‐‐smbios 2.6 U
‐‐policy physical ‐i %k", NAME="%c", U
OPTIONS+="string_escape=replace"
Es ist schön zu erkennen, dass das Programm
»biosdevname«, gleich nachdem
der Kernel-Treiber ein Gerät erkennt
(»%k«), diesem direkt einen neuen Namen
zuweist (»%c«).
Der Autor
Thorsten Scherf arbeitet als Principal Consultant
für Red Hat EMEA. Er ist oft
als Vortragender auf Konferenzen
anzutreffen. Wenn
neben Arbeit und Familie
noch Zeit bleibt, nimmt er
an Marathonläufen teil.
Wer auf seinem System das
neue Namensschema verwenden
möchte, sollte zuerst
das oben aufgeführte Skript
ausführen, um zu sehen, ob
die eingesetzte Hardware die
gewünschten Informationen
zur Verfügung stellt. Danach
ist die Datei »/etc/udev/
rules.d/70‐persistent‐net.
rules« zu löschen. Die Geräte-
Namen sollen ja von »biosdevname«
kommen und nicht
statisch durch Udev gesetzt
werden. Schließlich sind noch
die Konfigurationsdateien
der Netzwerk-Karten unterhalb
von »/etc/sysconfig/
network‐scripts/« umzubennen und der
Eintrag »DEVICE« auf den neuen Namen
zu ändern.
Red Hat Enterprise Linux ab 6.1, Fedora
ab der Version 15 und aktuelle Versionen
von Open Suse, Suse Linux Enterprise
Server und Ubuntu verwenden das neue
Namensschema bereits standardmäßig,
und der Installer verwendet die neuen
Namen bereits während der Installation.
Wer sich nicht daran gewöhnen kann
oder keine Lust hat, seine Skripte zu
ändern, die auf »ethX« verweisen, der
hat über den Kernel-Parameter »biosdevname=0«
beim Booten immer noch die
Möglichkeit, auf das alte Schema zurückzuwechseln.
(ofr)
n
Listing 1: Virtuelle Netzwerk-Interfaces
01 # lspci | grep ‐i ether
02 07:00.0 Ethernet controller: Intel Corporation 82576
Gigabit Network Connection (rev 01)
03 # modprobe ‐r igb
04 # modprobe igb max_vfs=2
05
06 # lspci | grep ‐i ether
07 07:00.0 Ethernet controller: Intel Corporation 82576
Gigabit Network Connection (rev 01)
08 07:10.0 Ethernet controller: Intel Corporation 82576
Virtual Function (rev 01)
09 07:10.1 Ethernet controller: Intel Corporation 82576
Virtual Function (rev 01)
Listing 2: Hardware-Check
01 # curl ‐s https://fedoraproject.org/w/uploads/3/38/
Biosdevname‐support‐check.sh | bash
02 Checking hardware requirements [ OK ]
03 Checking for SMBIOS type 41 support [ OK ]
04 Checking for SMBIOS type 9 support [ OK ]
05 Checking for PCI Interrupt Routing support [ OK ]
www.admin-magazin.de
Admin
Ausgabe 02-2013
21

Netzwerk
Tengine
© John Wollwerth, 123RF
Der Webserver Tengine
Motortuning
Der Betreiber des chinesischen Online-Shops Taobao hat den beliebten Webserver Nginx um einige äußerst interessante
Funktionen erweitert und das Ergebnis unter dem Namen Tengine wiederveröffentlicht. Das Resultat
erfreut sich nicht nur im asiatischen Raum zunehmender Beliebtheit. Tim Schürmann
Das chinesische Pendant zu Amazon
und eBay heißt Taobao Marketplace [1].
Um die vielen Kundenanfragen möglichst
schnell bedienen zu können, griff der Betreiber
zum Webserver Nginx, der sowohl
für seine hohe Geschwindigkeit als auch
seine einfache Konfiguration bekannt ist
[2]. Mit der Zeit reichte das aber nicht
mehr, und so begann man bei Taobao,
den Webserver um einige benötigte Funktionen
zu erweitern.
Nginx-Fork
Den so veränderten Nginx veröffentlichte
Taobao im Dezember 2011 unter dem Namen
Tengine (als Kurzform für Taobao-
Engine). Wie Nginx steht er unter der
liberalen und quelloffenen BSD-Lizenz.
Mittlerweile sind an der Entwicklung von
Tengine mehrere, vor allem asiatische
Firmen beteiligt. Dem Kern-
Team gehören beispielsweise
auch Entwickler der chinesischen
Suchmaschine Sogou.
Parameter
com an.
Tengine ist vollständig kompatibel
zu Ngnix. Die zum
Redaktionsschluss verfügbare
Version 1.4.3 basierte auf
Nginx 1.2.5, man kann folglich zunächst
dessen Konfigurationsdateien ohne Änderungen
übernehmen. Gegenüber Nginx
kann Tengine einige Funktionen in dynamisch
ladbare Module auslagern, was
den Webserver verschlankt. Die Anzahl
der Prozesse, die die eigentlichen Anfragen
bearbeiten, wählt Tengine automatisch
passend zu den vorhandenen
Prozessorkernen, womit sich wiederum
die Leistungsfähigkeit verbessert.
Bei zu hoher Last leitet Tengine halbautomatisch
entsprechende Gegenmaßnahmen
ein. Die Logs landen auf Wunsch
auch im Syslog oder in einer Pipe. Um
die Download-Geschwindigkeit zu erhöhen,
kann man gleich mehrere CSSoder
JavaScript-Dateien in einer Anfrage
zusammenfassen. Als Bonus enthält
Tengine von Haus aus das Modul zur
Anbindung der Skriptsprache Lua, das
Tabelle 1: »./configure«-Parameter
»‐‐conf‐path=/etc/nginx«
»‐‐error‐log‐path=/var/log/nginx«
»‐‐http‐log‐path=/var/log/nginx«
»‐‐http‐client‐body‐temp‐path=/tmp«
»‐‐http‐fastcgi‐temp‐path=/tmp«
Ändert das Verzeichnis für …
Konfigurationsdatei(en)
Error-Logs
Access-Logs
Temporäre Dateien
Temporäre Dateien für Fast-CGI
externe oder in der Konfigurationsdatei
eingebettete Lua-Skripte ausführt [3].
Schnellzündung
Tengine muss man zwingend aus dem
Quellcode selbst übersetzen. Anders als
bei Nginx bieten die Entwickler keine
fertigen Pakete für die großen Linux-
Distributionen an. Windows-Version gibt
es keine, man bleibt daher auf unixoide
Betriebssysteme beschränkt.
Um später alle standardmäßig aktivierten
Funktionen nutzen zu können, benötigt
man die Entwicklerpakete für die
OpenSSL-Bibliothek (unter Ubuntu im Paket
»libssl‐dev«) und die PCRE-Bibliothek
(unter Ubuntu im Paket »libpcre3‐dev«).
Anschließend muss man nur das Quellcodearchiv
von der Tengine-Homepage
herunterladen [4], entpacken und mit
dem üblichen »./configure«,
»make« und »sudo make install«
kompilieren beziehungsweise
installieren. Anschließend
liegt der Webserver
im Verzeichnis »/usr/local/
nginx«.
Wer Tengine erst einmal ausprobieren
möchte und dort
22 Ausgabe 02-2013 Admin www.admin-magazin.de

Tengine
Netzwerk
ten, die wiederum »./configure ‐‐help«
auflistet.
Ob der fertig übersetzte und installierte
Tengine-Server funktioniert, testet man
kurz mit »/usr/local/nginx/sbin/nginx
‐v«. Der Befehl sollte wie in Abbildung 2
die Versionsnummer ausspucken.
Bestellschein
Netterweise liegen Tengine schon ein
paar Konfigurationsdateien mit Standardeinstellungen
bei. Man kann den kleinen
Webserver daher direkt via
sudo /usr/local/nginx/sbin/nginx
Abbildung 1: Alle von Tengine genutzten Speicherorte präsentiert »configure« noch einmal übersichtlich am
Ende seines Durchlaufs.
vorgeben. Die wichtigsten von ihnen
stellt Tabelle 1 vor.
Bei Nginx und somit auch Tengine muss
der Anwender einige Funktionen schon
bei der Kompilierung explizit aktivieren.
Das gilt insbesondere für die IPv6-Unterstützung,
die der »configure«-Parameter
»‐‐with‐ipv6« einschaltet.
Im Gegensatz zu Nginx nutzt Tengine
auf Wunsch die »jemalloc«-Bibliothek zur
Speicherverwaltung [6], was im Idealfall
zu einer besseren Performance des Webservers
führt. Um »jemalloc« einbinden
zu können, müssen zum einen die entsprechenden
Entwicklerdateien installiert
sein, zum anderen muss man »configure«
noch den Parameter »‐‐with‐jemalloc«
auf den Weg geben. Neben den angesprochenen
Parametern
kennt das
»configure«-Skript
natürlich auch alle
aus Ngnix geerbschon
Nginx installiert hat, sollte mit dem
»configure«-Parameter »‐‐prefix« ein anderes
Installationsverzeichnis vorgeben.
Übrigens taucht auch noch an anderen
Stellen immer wieder die Bezeichnung
»nginx« auf, man sollte folglich aufpassen,
wenn man Tengine und Ngnix zusammen
einsetzen möchte.
Genau wie bei Nginx landen auch bei
Tengine alle Konfigurationsdateien, temporären
Dateien und die Logs standardmäßig
unterhalb von »/usr/local/nginx«
– und somit in der Regel auf der Root-
Partition. Wer nicht riskieren möchte,
dass die irgendwann mit Daten überläuft,
kann entweder symbolische Links setzen
oder aber andere Speicherorte über die
entsprechenden »configure«-Parameter
starten. Tengine lauscht dann an Port
80 und liefert auf Anfrage die Seite aus
Abbildung 3 zurück. Standardmäßig liegt
sie unter »/usr/local/nginx/html«. Das
ist gleichzeitig der Speicherort für alle die
Webseiten (»DocumentRoot«).
Die zentrale Konfigurationsdatei heißt
»nginx.conf«, liegt im Verzeichnis »/usr/
local/nginx/conf« und ist, wie Listing 1
beweist, recht leicht zu durchschauen.
Kommentare starten mit dem Hash-Zeichen
»#«. Zusammengehörende Einstellungen
fasst Tengine in Blöcken zusammen,
die von geschweiften Klammern
begrenzt sind. Eine Ausnahme bilden ein
paar Einstellungen, die für sich alleine
stehen beziehungsweise global gelten.
Jede Einstellung beginnt mit einer sogenannten
Direktive, der ein oder mehrere
Werte folgen. Das Ende markiert ein Semikolon.
Arbeitsteilung
Tengine startet mit Root-Rechten als
Master-Prozess. Dieser ruft anschließend
ein paar sogenannte Worker-Prozesse ins
G Abbildung 3: Tengine meldet sich als Nginx einsatzbereit.
F Abbildung 2: Tengine gibt sich mit seiner eigenen Versionsnummer und der
Nginx-Version, auf der es basiert, zu erkennen.
www.admin-magazin.de
Admin
Ausgabe 02-2013
23

Netzwerk
Tengine
Leben, die wiederum die eingehenden
Anfragen bedienen. Listing 1 legt fest,
dass genau ein solcher Worker-Prozess
existieren soll (»worker_processes 1«).
Während man in Nginx hier eine konkrete
Zahl angeben muss, ist bei Tengine
auch der Wert »auto« erlaubt. Der Master-Prozess
erzeugt dann automatisch
so viele Worker-Prozesse, wie Prozessorkerne
zur Verfügung stehen. Das ist
übrigens auch die Vorgabe, wenn man
die Einstellung »worker_processes« komplett
aus der Konfigurationsdatei streicht.
Wie viele Anfragen jeder Worker-Prozess
gleichzeitig verträgt, regelt im »events«-
Block die Einstellung »worker_connections«
– in Listing 1 sind es »1024«.
Virtuelle Hosts
Wie die Bearbeitung von HTTP-Anfragen
erfolgen soll, legt der Block »http« fest.
Wie alle modernen Webserver kann auch
Tengine auf einem physischen Server
mehrere unabhängige Internetauftritte
verwalten. Abhängig von der aufgerufenen
Domain liefert Tengine dann die
passenden Seiten aus. Es entstehen so
virtuelle Server, für die im »http«-Block
jeweils ein eigener »server«-Block existiert.
In Listing 1 gibt es nur einen (virtuellen)
Server namens »localhost«, der an
Port 80 lauscht.
Die im »location«-Block gesammelten
Einstellungen gelten nur für die angegebenen
URIs. Aufgrund des Schrägstrichs
»/« gelten in Listing 1 die beiden
Einstellungen für alle Anfragen. Diese
Einstellungen legen wiederum fest, dass
alle zum Webauftritt gehörenden Dateien
Listing 1: »nginx.conf«
01 worker_processes 1;
02
03 events {
04 worker_connections 1024;
05 }
06
07
08 http {
09 include mime.types;
10 default_type application/octet‐stream;
11
12 sendfile on;
13 keepalive_timeout 65;
14
15 server {
16 listen 80;
17 server_name localhost;
18
im Unterverzeichnis »html« des Tengine-
Verzeichnisses liegen (»root html«) und
die Index-Datei »index.html« oder »index.
htm« heißt. Es dürfen übrigens mehrere
»location«-Blöcke für einen Server existieren,
Unterseiten kann Tengine folglich
unterschiedlich behandeln.
Wenn ein Fehler mit der Nummer 500,
502, 503 oder 504 auftritt, leitet Tengine
gemäß Listing 1 die Anfrage zur URL
»/50x.html« weiter. Dies bestimmt die
Einstellung »error_page«. Das nachfolgende
»location« verrät schließlich noch,
dass die entsprechende Fehlerseite ebenfalls
im Verzeichnis »html« schlummert.
Alle noch nicht angesprochenen Einstellungen
im oberen Bereich des »http«-
Blocks wirken sich auf alle virtuellen
Server aus. »include« bindet zunächst
eine weitere Konfigurationsdatei ein. In
diesem Fall enthält sie einfach eine Liste,
die ein paar Dateiendungen ihren jeweiligen
MIME-Typen zuordnet (genauer
gesagt, enthält die Datei »mime.types«
den Block »types«). Kann Tengine später
für eine Datei dennoch keinen MIME-Typ
ermitteln, verwendet es standardmäßig
(»default_type«) den MIME-Typ »application/octet‐stream«.
Sogenannte Keep-Alive-Verbindungen
[6] setzt der Webserver nach 65 Sekunden
zurück (»keepalive_timeout 65«). Damit
Dateien schneller von der Festplatte
in den Hauptspeicher wandern, nutzt
Tengine schließlich noch die »sendfile«-
Funktion des (Linux-)Kernels [7].
Wie Nginx fasst Tengine seine Funktionen
in einzelnen Modulen zusammen. Nginx
linkt jedoch alle aktivierten Module direkt
in die Programmdatei. Benötigt man
19 location / {
20 root html;
21 index index.html index.htm;
22 }
23
24 # redirect server error pages to the
static page /50x.html
25 error_page 500 502 503 504 /50x.
html;
26 location = /50x.html {
27 root html;
28 }
29 }
30
31 }
nachträglich weitere Funktionen, muss
man folglich den Webserver komplett neu
erstellen. In Tengine darf man immerhin
einige der Module in dynamisch gelinkte
Bibliotheken auslagern (die Dynamic
Shared Objects, kurz DSOs). Diese kann
man dann nachträglich an den Webserver
anschrauben.
Um ein Modul in ein DSO zu verwandeln,
wechselt man in das Quellcodeverzeichnis
von Tengine. Dort startet man erneut
»configure« mit dem Parameter, der das
Modul aktiviert, hängt diesem Parameter
aber noch ein »=shared« an. Das für die
Lua-Anbindung zuständige Modul presst
beispielsweise »./configure ‐‐with‐http_
lua_module=shared« in ein DSO. Das
Lua-Modul setzt übrigens einen bereits
installierten Lua-Interpreter mitsamt seinen
Entwicklungsdateien voraus.
Dynamische Module
Abschließend muss man nur noch einmal
»make« anwerfen und dann per »make
dso_install« das fertige DSO in das dafür
vorgesehene Verzeichnis kopieren
lassen. Letztgenanntes lautet standardmäßig
»/usr/local/nginx/modules/«.
Um ein anderes Verzeichnis zu wählen,
muss man dies »configure« über den Parameter
»‐‐dso‐path=« mitteilen – und
zwar sowohl bereits bei der Erstellung
von Tengine als auch beim Übersetzen
der DSOs.
Derzeit kann Tengine maximal 128 DSOs
gleichzeitig jonglieren. Darüber hinaus
lassen sich nur ein paar HTTP-Module
in DSOs verwandeln. Welche das im Einzelnen
sind, verrät »./configure ‐‐help«.
In der Ausgabe sind einige – aber leider
nicht alle – DSO-fähigen Module mit
»(shared)« markiert. Als Faustregel gilt,
dass man mit »‐‐with‐http...« beginnende
Module in ein DSO pressen kann.
Um ein DSO-Modul zu laden, fügt man
außerhalb aller anderen Blöcke einen
neuen namens »dso« hinzu. In ihm führt
man dann die zu ladenden Module auf.
Listing 2 zeigt exemplarisch, wie man
auf diese Weise das Lua-Modul lädt.
Nachdem man die Konfigurationsdatei
verändert hat, hält man Tengine an: »sudo
/usr/local/nginx/sbin/nginx ‐s stop« und
startet es neu: »sudo /usr/local/nginx/
sbin/nginx«. Alle derzeit geladenen Module
verrät »sudo /usr/local/nginx/sbin/
24 Ausgabe 02-2013 Admin www.admin-magazin.de

Tengine
Netzwerk
nginx ‐m«. Ein »(static)« weist daraufhin,
dass das Modul fest in Tengine einkompiliert
ist (wie in Abbildung 1). Die Unterstützung
von DSOs kann man bei der
Erstellung von Tengine auch komplett
über den Parameter »‐‐without‐dso« abschalten
(der Parameter weist übrigens
dezent daraufhin, dass die DSOs ein eigenes
Modul namens »ngx_dso_module«
verwaltet).
Notizklotz
Tengine kann seine Logs nicht nur wie
Nginx in Dateien ablegen, sondern auf
Wunsch auch an das Syslog übergeben
oder in eine Pipe schieben. Dazu muss
man den Webserver mit dem »configure«-
Parameter »‐‐with‐syslog« übersetzt haben.
Mit folgender Einstellung im Block
»http« landen sämtliche Zugriffsversuche
(Access-Log) in »/var/log/tengine.log«:
access_log file:/var/log/tengine.log;
In das Syslog wandern die Informationen
mit folgender Einstellung:
access_log syslog:user:info:/dev/
log:tengine;
Die im Syslog erscheinenden Zeilen besitzen
dabei das Level »info«, als loggende
Anwendung meldet sich »tengine«.
Den letztgenannten Bezeichner darf man
gegen einen eigenen Text austauschen.
Lässt man ihn weg, erscheint im Log
»NGINX«. Anstelle von »/dev/log« kann
man auch die IP-Adresse und Portnummer
des Rechners angeben, auf dem der
Syslog-Daemon läuft:
access_log syslog:user:info:129.168.2.1:514U
:tengine;
Mit folgender Einstellung schreibt Tengine
das Log in die Pipe »pfeife« :
access_log pipe:pfeife;
Auf die gleiche Weise kann man auch die
Fehlermeldungen (Error-Log) umbiegen,
die entsprechende globale Einstellung
beginnt lediglich mit der Direktive »error_log«.
Sollte sich einer der Worker-Prozesse
einfach beenden, beispielsweise weil er
ein entsprechendes Kill-Signal erhalten
hat, kann Tengine die zuletzt durchgeführten
Funktionsaufrufe aufzeichnen
(den sogenannten Backtrace, siehe Abbildung
4). Das funktioniert allerdings
nur, wenn die auf dem System installierte
Glibc-Bibliothek die »backtrace«-
Funktion unterstützt – FreeBSD und OS
X (Darwin) bleiben damit außen vor.
01 ...
Listing 2: Laden eines DSO-Moduls
02 worker_processes 1;
03
04 dso {
05 load ngx_http_lua_module.so;
06 }
07
08 events {
09 ...
Die Admin-Bibel
für Linux-Server!
Dieses Buch lässt das Herz eines Linux-Administrators
garantiert höher schlagen: Backup, Sicherheit, Samba,
LDAP, Web-, Mail- und FTP-Server, Datenbanken,
Kerberos-Authentifizierung, IPv6, NFSv4 u. v. m.
übersichtlich erklärt!
Mehr Bücher für Administratoren:
www.GalileoComputing.de
948 Seiten, 2. Auflage 2012, 49,90 €, ISBN 978-3-8362-1879-5
Jetzt
reinschauen!
www.admin-magazin.de
Admin
Ausgabe 02-2013
25

Netzwerk
Tengine
Des Weiteren muss das Backtrace-Modul
aktiviert sein. Dazu übergibt man bei
der Übersetzung »./ configure« den Parameter
»‐‐with‐backtrace_module«. Sind
alle Voraussetzungen erfüllt, kann man
in der Konfigurationsdatei die Aufzeichnung
mit folgender globaler Einstellung
einschalten:
backtrace_log /Pfad/zum/backtrace.log;
Anhänglich
Besteht eine Internetseite aus vielen kleinen
Stylesheets, muss der Browser für
jede dieser Dateien eine eigene Anfrage
(Request) stellen. Um die ganze Abwicklung
zu beschleunigen, kann Tengine
alle diese Dateien auch zu einer großen
zusammentackern und dann das dicke
Ergebnis in einer Antwort zurückliefern.
Im Idealfall ist so nur noch ein einziger
Request notwendig.
Damit das funktioniert, muss man zunächst
das Concat-Modul mit dem
Listing 4: Slicing für Videos
01 location / {
02 ...
03 slice;
04 slice_arg_begin anf;
05 slice_arg_end ende;
06 }
Listing 3: Einschalten des Concat-Moduls
01 location / {
02 root html;
03 index index.html index.htm;
04
05 concat on;
06 concat_max_files 10;
07 concat_types text/css;
08 }
»configure«-Parameter »‐‐with‐http_concat_module«
aktivieren. Anschließend
knipst man die Funktion im entsprechenden
»location«-Block an. Wie das funktioniert,
zeigt Listing 3. Dort würde Tengine
höchstens »10« CSS-Dateien (»concat_
types text/css«) aneinanderhängen.
In der HTML-Datei kann man jetzt die
benötigten CSS-Dateien über eine speziell
aufgebaute URL anfordern. Die beiden
Stylesheets »style1.css« und »style2.css«
lädt beispielsweise dieser Abschnitt im
Header der HTML-Datei:
»http://localhost/css« gibt wie üblich
den Speicherort der Dateien an. Danach
folgen zwei Fragezeichen und schließlich
durch Kommata getrennt die Dateinamen.
Tengine wertet die URL aus, fügt
die darin genannten Dateien zu einer zusammen
und liefert den fertigen Brocken
zurück an den Browser. Das Verfahren
funktioniert mit allen Dateien, die sich
unkompliziert aneinanderhängen lassen,
wie etwa ausgelagertes Javascript.
Scheibchenweise
Lädt ein Benutzer eine große Videodatei
herunter, so dauert das nicht nur
eine Weile, es verbraucht auch ziemlich
viel Bandbreite. Tengine kann deshalb
auf Wunsch nur Teilstücke einer Datei
herausgeben. Diese „Slicing“ genannte
Funktion muss der Anwender mit dem
»configure«-Parameter »‐‐with‐http_
slice_module« aktivieren und dann wie
in Listing 4 in einem »location«-Block
einschalten.
»slice;« knipst dort zunächst das Slicing
für alle Dateien an. Die Direktiven »slice_
arg_begin« und »slice_end_arg« bestimmen
die Kürzel, mit denen der Browser
den Anfang beziehungsweise das Ende
des Teilstücks festlegt. Möchte der Browser
jetzt aus dem Video »titanic.mp4« das
Teilstück von Byte 1024 bis Byte 2048 angeliefert
bekommen, ruft er die folgende
URL auf:
http://example.com/titanic.mp4?anf=1024U
&ende=2048
Den Rest übernimmt Tengine. Der Browser
kann sich auf diese Weise die einzelnen
Teile der Datei auch von unterschiedlichen
Servern holen, was wiederum die
Last besser verteilt.
Überlastung
Bei Systemüberlastungen oder zuneige
gehendem Hauptspeicher kann Tengine
eine Fehlermeldung zurückliefern oder
auf einen anderen Server weiterleiten.
Die Überwachung der Systemressourcen
übernimmt das Sysguard-Modul, das
man bei der Übersetzung von Tengine mit
dem »configure«-Parameter »‐‐with‐http_
sysguard_module« einschaltet. Anschließend
erweitert man den »server«-Block
um die Einstellungen aus Listing 5.
Zunächst schaltet »sysguard on« die
Funktion ein. Sollte die Systemauslastung
(»sysguard_load«) den hinter »load=«
angegebenen Wert überschreiten, leitet
Tengine alle Anfragen an die URL »/notfall«
um, die hier im Beispiel den Fehler
»503« zurückliefert. Das Gleiche passiert,
wenn der Auslagerungsspeicher (»sysguard_mem«)
einen Anteil von 25 Prozent
überschreitet (»swapratio=25%«).
Listing 5: Überwachungsfunktionen aktivieren
01 server {
02 ...
03
04 sysguard on;
05
06 sysguard_load load=10.5 action=/notfall;
07 sysguard_mem swapratio=25% action=/notfall;
08
09 location /notfall {
10 return 503;
11 }
12
13 ...
14 }
Abbildung 4: Auf Wunsch gibt Tengine auch den Backtrace aus.
26 Ausgabe 02-2013 Admin www.admin-magazin.de

Tengine
Netzwerk
Das Sysguard-Modul funktioniert übrigens
nur, wenn das Betriebssystem den
Systemaufruf »sysinfo« bereitstellt oder
die installierte Glibc-Bibliothek die Funktion
»getloadavg()« anbietet.
Enttarnung
Tengine ermittelt den Namen des anfragenden
Browsers und speichert ihn in
einer Variablen, die man dann in der
Konfigurationsdatei nutzen kann. Welcher
Begriff wann in der Variablen landen
soll, muss man Tengine allerdings selbst
mitteilen. Listing 6 zeigt dafür ein Beispiel:
Standardmäßig erhält dort die Variable
»$browser« den Wert »un known«.
Erkennt Tengine Firefox ab Version 16.0,
lautet der Inhalt »firefoxab16«. Sollte im
User-Agent-String der Begriff »Chrome«
auftauchen, enthält die Variable den Begriff
»Chrome« – es sei denn, auf den
String trifft noch die danach folgende
Firefox-Regel zu.
Einlieferungsstopp
Wie Nginx kann Tengine die in einem
bestimmten Zeitraum eingehenden Requests
begrenzen. Dazu definiert man
zunächst innerhalb des »http«-Blocks
eine Zone, die den Zustand der Sessions
speichert (eine Session ist in der Regel
identisch mit einem Benutzer):
limit_req_zone $binary_remote_addr U
$uri zone=eins:5m rate=1r/s;
In diesem Beispiel erhält die Zone den
Namen »eins«, wobei für die Session-
Daten 5 MByte bereitstehen. Erlaubt ist
dabei maximal ein Request (»1r«) pro Sekunde
(»/s«). Im Gegensatz zu Nginx darf
man dabei den Gültigkeitsbereich durch
gleich mehrere Variablen einschränken
beziehungsweise genauer festlegen (im
Beispiel »$binary_remote_addr« und
»$uri«).
Dieser so definierten Zone kann man
jetzt eine »location« zuweisen:
location / {
limit_req zone=eins;
limit_req zone=zwei;
...
}
Anders als Nginx erlaubt Tengine mehrere
»limit_req«-Angaben. Es gelten dann
die Restriktionen aus allen Zonen, wobei
sie Tengine von oben nach unten prüft.
Darüber hinaus kann man auch noch den
Benutzer bei zu vielen Requests auf eine
andere Seite umleiten:
location / {
limit_req zone=eins forbid_action=U
@fehlerseite;
...
}
location @fehlerseite {
rewrite ^ /fehlerseite.html;
}
Ausnahmen definiert man in einer Whitelist,
wozu man allerdings die Hilfe des
auch in Nginx enthaltenen Geo-Moduls
benötigt [8]. Im Beispiel aus Listing
7 dürfen die Rechner aus dem Netz
192.168.2.x beliebig viele Anfragen stellen.
Neben den hier vorgestellten Neuerungen
bietet Tengine noch viele weitere.
So unterstützt das SSL-Modul jetzt auch
Passphrasen, mit dem Footer-Modul
kann man beliebige Zeichenketten an
den Body der Antwort hängen, und das
Header-Modul setzt auf Wunsch ein Expire
nach MIME-Typen in den Header.
Mit Letztgenanntem kann man den Browser
beispielsweise darauf hinweisen, dass
alle HTML-Dateien nach 12 Stunden veralten.
Wer die Programmiersprache C
beherrscht, kann mit Tengine auch den
Body einer Anfrage inspizieren und so
eine kleine Web-Application-Firewall
auf die Beine stellen. Wie man ein entsprechendes
Filter-Modul schreibt, zeigt
einer der Tengine-Entwickler in einem
Blog-Eintrag [9]. Sämtliche Änderungen
gegenüber Nginx fasst die offizielle
Dokumentation von Tengine zusammen
[4]. Für ihre Lektüre sollte man allerdings
schon Kenntnisse über Nginx mitbringen
[2].
Fazit
Tengine steckt nach Angaben von Taobao,
Inc. hinter der größten E-Commerce-Website
in Asien – und stellt so
eindrucksvoll seine Alltagstauglichkeit
und Leistungsfähigkeit unter Beweis. Die
neuen Funktionen gegenüber Nginx zielen
denn auch auf genau solche großen
Websites mit hohen Besucherzahlen. Von
Nginx auf Tengine umsteigen braucht da-
her nur, wer die neuen Funktionen auch
tatsächlich benötigt. Zum Redaktionsschluss
war noch unklar, ob und wenn ja
welche Funktionen aus Tengine in Nginx
zurückfließen, die Entwickler der beiden
Projekte standen jedoch bereits in Kontakt.
(ofr)
n
Infos
[1] Wikipedia-Artikel zum Taobao Marketplace:
[http:// de. wikipedia. org/ wiki/ Taobao]
[2] Nginx: [http:// nginx. org/]
[3] Nginx Lua-Modul:
[http:// wiki. nginx. org/ HttpLuaModule]
[4] Tengine: [http:// tengine. taobao. org/]
[5] Jemalloc:
[http:// www. canonware. com/ jemalloc/]
[6] Wikipedia-Artikel zu Keep-Alive-Verbindungen:
[http:// de. wikipedia. org/ wiki/ Keepalive]
[7] Sendfile: [http:// wiki. nginx. org/​
HttpCoreModule# sendfile]
[8] Geo-Modul: [http:// nginx. org/ en/ docs/ http/​
ngx_http_geo_module. html]
[9] Joshua Zhu, A Mechanism to Help Write
Web Application Firewalls for Nginx:
[http:// blog. zhuzhaoyuan. com/ 2012/ 01/ a‐
mechanism‐to‐help‐write‐web‐applicationfirewalls‐for‐nginx/]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
01 http {
Listing 7: Whitelisting
01 geo $erlaubt {
02 default 0;
03 192.168.2.0‐192.168.2.255 1;
04 }
05
Listing 6: User Agents abfragen
02 ...
03 user_agent $browser {
04 default unknown;
05 greedy Chrome;
06 Firefox 16.0+ firefoxab16;
07 }
08 ...
09 }
06 limit_req_whitelist geo_var_name=erlaubt geo_var_
value=1;
www.admin-magazin.de
Admin
Ausgabe 02-2013
27

Netzwerk
Mobile IPv6
© Fotograf, 123RF
Überall erreichbar mit Mobile IPv6
Reisefreiheit
IPv6 bringt mit Mobile IPv6 einen neuen Standard für die Kommunikation
mobiler Endgeräte mit. Damit ist eine permanente Erreichbarkeit unabhängig
vom derzeitigen Standort gewährleistet. Dieser Artikel gibt einen
Überblick über die Funktionsweise von Mobile IPv6. Eric Amberg
Stellen Sie sich vor, Sie arbeiten gerade
im Home-Office mit Ihrem Tablet. Das
Gerät ist mit dem WLAN zu Hause verbunden.
Sie verlassen das Haus, um zum
Flughafen zu gelangen. Unterwegs im
Taxi verbindet sich das Tablet per LTE
mit Ihrem Provider. Sie überprüfen in
Ihrem Home-Portal, ob die Heizung abgestellt
ist. Am Flughafen verbindet sich
das mobile Gerät automatisch mit dem
öffentlichen WLAN des Flughafens. Sie
überprüfen die Abflugzeit und checken
von Ihrem Tablet ein. Währenddessen
waren Sie die ganze Zeit über mit Ihrem
Unternehmensnetz über einen gesicherten
Tunnel verbunden.
Dieses Szenario klingt derzeit noch wie
Zukunftsmusik, ist aber vielleicht näher,
als Sie denken. Mit Mobile IPv6 (MIPv6)
wird es möglich, in beliebigen Netzwerken
immer über dieselbe Adresse erreichbar
zu sein und Netzwerke zu wechseln,
ohne dass Verbindungen abbrechen.
Die Voraussetzung hierfür ist eine IPv6-
Infrastruktur.
Das Roaming-Problem
Wird eine Verbindung zwischen zwei
Knoten aufgebaut, basiert diese in der
Regel auf den IP-Adressen der Kommunikationspartner.
Wechselt ein Partner das
Abbildung 1: Roaming hält Verbindungen, auch wenn sich der Benutzer von einem Netz ins andere bewegt.
Netzwerk, erhält er zwangsläufig eine
neue IP-Adresse. Die Folge: Die Verbindung
wird abgebrochen und muss erneut
aufgebaut werden. In Zukunft wird es
selbstverständlich sein, dass bei einem
Wechsel der Netzanbindung die Verbindung
zwischen zwei Kommunikationspartnern
erhalten bleibt. Dieses Prinzip
nennt man Roaming.
Je nach Übertragungstechnologie gibt es
bereits heute die Möglichkeit, die Netzanbindung
zu wechseln, ohne die Verbindung
zu verlieren. Diese basieren jedoch
auf den Netztechnologien selbst. So ist
dies zum Beispiel mit WLANs möglich,
wobei der WLAN-Client zwischen verschiedenen
Access Points (AP) nahtlos
wechseln kann. Wird die Empfangsleistung
eines APs zu schwach, verbindet
sich der Client automatisch mit dem näheren
AP, ohne die Verbindung zu verlieren.
Ebenso ist dies in Mobilfunknetzen
möglich, wo durch entsprechende Authentifizierungs-
und Account-Maßnahmen
eine Abrechnung auch netzübergreifend
möglich wird.
Eine IP-basierte Lösung ermöglicht jedoch
die komplette Unabhängigkeit von
der Anbindungstechnologie. Dies bietet
vollwertig nur Mobile IPv6 [1]. Mobile
IP ist zwar für IPv4 ebenfalls definiert
[2], bringt jedoch gegenüber IPv6 einige
Nachteile mit sich. So ist es mit Mobile
IPv6 durch den Einsatz flexibler
Extension Header möglich, auftretende
Routing-Probleme zu lösen. Das Roaming
wird dadurch einfacher und flexibler. Darüber
hinaus koppelt sich sich Mobile
IPv6 durch den Einsatz von Neighbour
Discovery, einer Network-Layer-Technologie,
in gewissem Maß vom Data-Link-
Layer ab.
Wo ist hinten und wo ist
vorne?
Ein mobiler Knoten wird in der Mobile-
IPv6-Terminologie als Mobile Node (MN)
bezeichnet. Der Kommunikatiospartner
ist der Correspondent Node (CN) und
kann feststehend (zum Beispiel als Server)
oder ebenfalls mobil sein. Der MN
hat ein Heimat-Netzwerk, das als Home
Link bezeichnet wird. Daran ist ein Router
angeschlossen, der als Home Agent
(HA) die feste Adresse des MN bindet.
Sie wird als Home Address bezeichnet
30 Ausgabe 02-2013 Admin www.admin-magazin.de

Mobile IPv6
Netzwerk
und ist eine Global-Unicast-Adresse.
Durch den Home Agent ist der MN über
seine Home Address überall erreichbar
( Abbildung 2).
Der MN kann sich an seinem Home
Link oder in einem anderen Netzwerk
befinden. Jedes andere Netzwerk wird
als Foreign Link bezeichnet. Im Foreign
Link hat er eine andere Adresse als seine
Home Address, die er durch Autoconfiguration
oder durch DHCPv6 bezieht. Die
aktuelle Adresse im Foreign Link nennt
man Care-of-Address. Der MN sendet an
den HA seine aktuelle Care-of-Adress.
Diese Nachricht wird als Binding-Update
bezeichnet und erzeugt auf dem HA ein
Binding zwischen der Home Address und
der Care-of-Address.
So funktioniert Mobile IPv6
Solange der MN an seinem Home Link
sein normales Präfix nutzt, kann er über
ganz normale Routing-Mechanismen erreicht
werden, da hier auch der Home
Agent mit der Home Address lokal angesiedelt
ist. Unterwegs beziehungsweise
außerhalb seines Home Links erhält er
in einem beliebigen Foreign Link eine
zusätzliche Adresse (Care-of-Address),
die er in einer Binding-Update-Nachricht
an seinen Home Agent schickt. Der Home
Agent sendet ein Binding Acknowledgement
und weiß durch den Binding-
Prozess immer, unter welcher Care-of-
Address der MN gerade erreichbar ist.
Der Correspondent Node nutzt zunächst
grundsätzlich zur Kommunikation mit
dem MN die Home Address, die zum
Home Agent führt.
Der MN kann über zwei Wege mit dem
Correspondent Node kommunizieren.
Beim Bidirectional Tunneling werden
Pakete vom CN an den Home Agent geschickt,
der diese durch einen Tunnel
zum MN weiterleitet. Der MN schickt die
Antworten durch einen Reverse Tunnel
zum Home Agent, der die Daten zum
CN weiterleitet. Auf dem Correspondent
Node ist keine Unterstützung für Mobile
IPv6 notwendig.
Bei der Route Optimization findet die
Kommunikation nach der initialen Verbindung
durch den Home Agent direkt
zwischen MN und CN statt, ohne Umweg
über den HA. Dazu wird ein Typ-2-Routing-Header
verwendet. Route Optimiza-
Abbildung 2: Die Mobile IPv6-Terminologie.
Entwicklungen vorgesehen, wenn später
weitere Daten angehängt werden.
Das Header-Length-Feld enthält die
Länge des Mobility Headers in 8-Byte-
Einheiten, wobei die ersten 8 Bytes nicht
mitgezählt werden. Damit muss der MH
immer ein Vielfaches von 8 Byte lang
sein. Das MH-Type-Feld enthält den Typ
der Mobility-Nachricht. Derzeit sind 16
Mobility-Nachrichtentypen definiert, unter
anderem Binding Update und Binding
Ack. Ein Checksum-Feld berechnet eine
Checksumme aufgrund eines Pseudo-
Headers und folgt den in RFC 2460 (Internet
Protocol, Version 6) festgelegten
Regeln.
In Mobility-Nachrichten können Optionen
enthalten sein, die im TLV-Format
(Type-Length-Value) angegeben werden.
Insbesondere die Option Home Address
ist relevant, da der Mobile Node hier an
den Correspondent Node eine Nachricht
sendet, in der er die seine Home Address
mitteilt. Dadurch ist der Correspondent
Node in der Lage, den Mobile Node jetion
ermöglicht eine effizientere Kommunikation,
da hier das Routing optimiert
werden kann und nicht der Umweg über
den HA erfolgen muss. Dies erfordert
jedoch Mobile IPv6-Unterstützung auf
dem CN. Route Optimization ist einer der
Hauptvorteile von Mobile IPv6 gegenüber
Mobile IPv4, da Letzteres keine Extension
Header (und damit keinen Routing
Header) erlaubt.
Das Protokoll
IPv6 ist insbesondere durch die Extension
Header sehr flexibel. Für MIPv6
wurde ein eigener Extension Header namens
Mobility Header (MH) entwickelt.
Er wird von allen Beteiligten, also Mobile
Node, Correspondent Node und Home
Agent, in Nachrichten verwendet, die
mit der Verwaltung und Aktualisierung
von Bindings zu tun haben. Abbildung 3
zeigt den Aufbau des Mobility Headers.
Der Mobility Header wird durch den Next
Header-Wert 135 im vorhergehenden
Header angezeigt.
Er selbst hat in seinem
Next-Header-
Feld (das hier den
Namen »Payload
Proto« trägt) derzeit
den Wert 59,
um anzuzeigen,
dass ihm keine
weiteren Daten
folgen. Dieses Feld
ist für zukünftige
Abbildung 3: Der Mobility-Header.
www.admin-magazin.de
Admin
Ausgabe 02-2013
31

Netzwerk
Mobile IPv6
Abbildung 4: Der Binding-Update-Header.
derzeit zu erreichen. Allerdings ist dies
auch gleichzeitig ein Sonderfall, da diese
Option in einem Destination Header und
nicht wie sonst im Mobility Header gesendet
wird. Ein Destination Header ist
ein Extension Header, der nur vom Ziel
ausgewertet wird.
Für MIPv6 wurde außerdem ein neuer
Routing Header definiert. Dadurch können
Mobile Node und Correspondent
Node direkt Daten austauschen, ohne
über den Home Agent gehen zu müssen.
Dieser Extension Header trägt die
Bezeichung Typ 2 und sieht vor, dass
auf Firewalls für MIPv6-Pakete spezielle
Regeln konfiguriert werden können. Da
die MIPv6-Kommunikation grundsätzlich
erst einmal über den Home Agent und
die Home Address geht, wird Letztere im
Routing Header Typ 2 eingefügt, während
die Zieladresse im IPv6-Header die
Care-of-Address des Mobile Nodes ist.
Der empfangende Mobile Node entfernt
den Routing Header und ersetzt die Careof-Address
durch die Home Address, um
den Upper-Layer-Protokollen in den
OSI-Schichten darüber „vorzugaukeln“,
dass die Kommunikation über die Home
Address gegangen ist.
Drum prüfe, wer sich ewig
bindet …
Das Binding und die Verwaltung des Bindings
sind elementare Bestandteile von
MIPv6. Normalerweise findet es zwischen
dem Mobile Node und dem Home
Agent statt. Es ist jedoch auch möglich,
Bindings zwischen dem Mobile Node
und dem Correspondent Node durchzuführen,
um eine Routing-optimierte
Kommunikation zu ermöglichen. Verlässt
ein Mobile Node seinen Home Link und
erhält an einem Foreign Link eine Careof-Address,
so sendet er eine Binding-
Update-Nachricht an seinen Home Agent.
Diese enthält neben dem IPv6-Header
einen Destination-Options-Header, in
dem die Home-Address-Option gesetzt
ist (Abbildung 4). Sie dient dazu, dem
Home Agent anzuzeigen, welche Home
Address genutzt werden soll, da es theoretisch
auch mehrere geben könnte.
Die Nachricht wird mittels IPSec in einem
ESP-Header gesichert übertragen und enthält
darüber hinaus noch einen Mobility
Header, der den Nachrichten-Typ 5 (Binding
Update) mit einem gesetzten Home-
Registration-Flag enthält, das den Empfänger
auffordert, die Home Agent-Funktion
zu übernehmen. Außerdem ist das
Acknowledge-Flag gesetzt, um den Home
Agent zu einer Antwort aufzufordern. Im
Mobility Header ist darüber hinaus eine
Lifetime in 4-Sekunden-Einheiten angegeben,
um die Gültigkeit des Bindings
festzulegen. Binding-Update-Nachrichten
werden zur Auffrischung des vorhandenen
Bindings oder zur Information über
eine neue Care-of-Address gesendet.
Die Antwort des Home Agents in Form
eines Binding-Acknowledgment enthält
statt des Destination Headers einen Typ-
2-Routing-Header mit der Home Address
des Mobile Node. Das Binding-Ack ist
eine Typ-6-Nachricht, die die Angaben
des Mobile Nodes bestätigt und einige
weitere Verwaltungsinformationen enthält,
wie zum Beispiel, ob IPSec einen
Netzwerkwechsel unterstützt oder nicht
– Letzteres sollte die Ausnahme sein.
Das Statusfeld des Binding-Ack zeigt den
Zustand des Bindings an. Dabei stehen
die Werte 1 bis 127 für ein erfolgreiches
Update, während Statuswerte von 128
und höher bestimmte definierte Probleme
anzeigen. Binding-Acks werden
zur Bestätigung von Binding-Updates
geschickt. Der Home Agent kann mit einer
Binding-Refresh-Request-Nachricht
eine Aktualisierung der Informationen in
Form eines Binding-Updates vom Mobile
Node anfordern.
Ein Binding-Update kann ebenso direkt
an den Correspondent Node gesendet
werden, wenn dieser MIPv6 unterstützt.
Hierzu sind allerdings spezielle
Sicherheitsmaßnahmen erforderlich,
um Angriffe durch Umleiten der Kommunikation
zu verhindern. Dieser Sicherungsprozess
wird als Return Routability
Procedure bezeichnet und ermöglicht
es dem Correspondent Node zu testen,
ob der Mobile Node tatsächlich sowohl
über seine Care-of-Address als auch über
seine Home Address erreichbar ist. Erst
dann werden Binding-Updates vom CN
akzeptiert. Da die Bindings per IPSec
kryptografisch gesichert sind, werden in
diesem Zusammenhang Autorisierungsinformationen
in Form kryptografischer
Token ausgetauscht. Über den sogenannten
Binding-Management-Key werden die
Informationen letztlich gesichert.
Neue ICMPv6-Funktionen
Mobile IPv6 bringt einige Erweiterungen
für ICMPv6 mit sich, die zusätzliche Features
erschließen. Bei der Home Agent
Address Discovery ist es dem Mobile
Node möglich, die Adresse seines Home
Agent zu ermitteln. Hierzu wird ein Home
Agent Address Discovery Request an die
Home-Agent-Anycast-Adresse seines
Home Link gesendet. Dies ist eine spezielle
Anycast-Adresse, auf die alle Home
Agents reagieren. Ein Home Agent reagiert
auf diese Anfrage mit einem Home
Agent Address Discovery Reply. Es enthält
eine Liste mit Home Agent-Adressen,
sortiert nach deren Präferenzen.
Bei temporären IPv6-Adressen kann es zu
Änderungen des Präfixes der Heimnetze
eines Mobile Node kommen. Diese Änderung
kann der Mobile Node mittels einer
Mobile-Prefix-Solicitation-Nachricht
ermitteln. Sie wird an den Home Agent
gesendet, der mit einem Mobile Prefix
Advertisement antwortet. Diese Advertisements
können bei Bedarf auch unaufgefordert
an die aktuelle Care-of-Address
des MN gesendet werden.
Jeder Mobile Node muss in seinem Home
Link eine Liste mit Home Agents erstel-
32 Ausgabe 02-2013 Admin www.admin-magazin.de

3 Ausgaben
für nur 5,90 E
Jetzt bestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %!
Kennenlernangebot:
3 Ausgaben
für nur 5,90 E
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Netzwerk
Mobile IPv6
Mobile IPv6 ist eine Zukunftstechnologie,
die in einigen Jahren vermutlich in der IT-
Netzwerkwelt zum Alltag wird. Provider
werden verschiedene Leistungspakete anlen
können. Dazu benötigt er über die
Router Advertisements nicht nur die
Link-Local-Adressen seiner Home-Agent-
Router, sondern auch deren Global-Unicast-Adressen.
Hierzu wurde das Router
Advertisement modifiziert. Enthält es ein
R-Flag (für Router Address), so enthält
die Prefix-Option kein Präfix, sondern
eine vollständige Global-Unicast-Adresse
des Routers.
Weitere Änderungen im Neighbour Discovery
betreffen die Angabe der Präferenz
der Home-Agent-Adressen und ein
verringertes Mindestintervall für Router
Advertisements, damit Mobile Nodes in
Foreign Links möglichst zeitnah über
ihre neue Care-of-Address informiert
werden können. Dieses Intervall wurde
von ursprünglich 3 Sekunden auf 0,03
Sekunden reduziert. Dieser Wert kann
auf WLAN-Routern sinnvoll sein, die
ausschließlich für die Unterstützung von
mobilen Geräten konfiguriert sind.
Wo bin ich eigentlich?
Der Mobile Node muss möglichst schnell
erkennen, dass er sich nicht mehr in seinem
Netz aufhält, um eine neue Verbindung
initiieren zu können. Für diesen
Vorgang namens Movement Detection
gibt es einen Prozess namens Neighbour
Unreachability Detection. Er existiert im
Rahmen der Neighbour Discovery auch
im normalen IPv6-Standard. Dabei überprüft
der Mobile Node die Erreichbarkeit
seines Standard-Gateways. Ist es nicht
mehr erreichbar, versucht er einen neuen
Default-Router zu entdecken. Dieser wird
ihm mittels Router Advertisement mitgeteilt.
In diesem Rahmen wird auch das
Präfix und damit die aktuelle Care-of-
Address festgelegt. Kommt der Mobile
Node wieder nach Hause in seinen Home
Link, erfolgt eine Home Registration. Dabei
wird unter anderem das H-Bit (Home
Registration) und die Lifetime auf 0 gesetzt.
Der Home Agent weiß dann, dass
Abbildung 5: Der Binding-Update-Prozess.
er die Pakete nicht mehr durch den Tunnel
schicken muss.
Und was ist mit der
Sicherheit?
Die Kommunikation zwischen dem Mobile
Node und dem Correspondent Node
ist anfällig für verschiedene Angriffe
wie zum Beispiel Man-in-the-Middle-
Attacken, Session-Hijacking, Denial-of-
Service und so weiter. Eine grundlegende
Sicherheitsmaßnahme ist der Schutz der
Verbindung durch einen IPSec-Tunnel mit
ESP zwischen dem MN und dem HA. Damit
sind alle Nachrichten zwischen Mobile
Node und Home Agent geschützt wie
zum Beispiel Binding-Updates und ‐Acks,
Home-Test-Nachrichten und ICMPv6-
Nachrichten. Die Binding-Updates zwischen
Mobile Node und Correspondent
Node werden nicht per IPSec, sondern
durch den Return-Routability-Prozess
geschützt. Allerdings existieren auch
bestimmte Erweiterungen, wie etwa die
Binding-Authorization-Data-Option, um
die Kommunikation zu schützen.
Da für Mobile IPv6 leicht veränderte Regeln
gelten, existieren darüber hinaus
verschiedene RFCs, die Anpassungen von
IPSec für den Einsatz in MIPv6 enthalten,
so zum Beispiel RFC 4555 und 4621, die
sich mit dem Einsatz von IKEv2 in diesen
Szenarien beschäftigen, und RFC 3776 mit
dem Titel „Using IPsec to Protect Mobile
IPv6 Signaling between Mobile Nodes and
Home Agents“. Auch für spezielle Netzwerke
existieren Schutzansätze in Form
von RFCs. Eine vollständige Abhandlung
sämtlicher Security-Bereiche würde hier
allerdings den Rahmen sprengen.
Fazit und Ausblick
bieten, um den Kunden eine reibungslose
Anbindung über diverse Netzwerke zu
ermöglichen, ein Roaming, ohne das die
Netzwerk-Verbindung auch nur temporär
verloren geht. Durch den allgemeinen
Trend, mobile Geräte zu nutzen, der
durch den Tablet-Boom noch verstärkt
wird, ist der Einsatz solcher Technologien
eine logische Entwicklung.
Zum anderen bleibt festzuhalten, dass die
bisherige Unterstützung von Mobile IPv6
nur sehr eingeschränkt vorhanden ist.
Microsofts Betriebssysteme, einschließlich
Windows 8 und Windows Server
2012, bieten keine vollständige Unterstützung
für MIPv6, Linux lässt sich mittels
UMIP-Daemon [3] zu MIPv6 überreden
,und Android-Systeme sind derzeit nur
mit „Hacking-Methoden“ bereit, MIPv6
zu unterstützen. Apples iOS beherrscht
ebenfalls kein MIPv6.
Schließlich muss sich IPv6 erst einmal
flächendeckend verbreiten, um Mobile
IPv6 ohne Migrationstechnologien wie
6to4-Tunnel verwenden zu können. Davon
abgesehen ist Mobile IPv6 ein Standard,
der auch in den nächsten Jahren
weiterentwickelt und vermutlich noch
weitere interessante Erweiterungen mit
sich bringen wird. Schon jetzt gibt es
zahlreiche Ergänzungen und Optimierungen
zu Mobile IPv6. Hierzu zählen
NEMO [4] und Hierarchical Mobile IPv6
(HMIPv6). (ofr)
n
Infos
[1] RFC 6275:
[http:// tools. ietf. org/ html/ rfc6275]
[2] RFC 3344:
[http:// tools. ietf. org/ html/ rfc3344]
[3] UMIP-Daemon-Projekt-Seite:
[http:// www. umip. org]
[4] RFC 3963:
[http:// tools. ietf. org/ html/ rfc3963]
Der Autor
Eric Amberg ist selbstständig ([http:// www.​
atracon. de]) und seit vielen Jahren im Bereich
IT-Infrastruktur als Trainer und Consultant tätig.
Er verfügt über langjährige Projekterfahrung.
Sein besonderer Fokus
liegt auf Netzwerk-Themen.
In seinen Seminaren und
Videokursen legt er großen
Wert auf eine praxisnahe
Schulung.
34 Ausgabe 02-2013 Admin www.admin-magazin.de

Meine Private Cloud
mit Linux und Windows
Schöpfen Sie alle Vorteile von Cloud Computing
im eigenen Rechenzentrum aus und skalieren Sie
bedarfsgerecht mit Windows Azure. Unsere TechNet
Toolbox unterstützt Sie dabei mit Methoden und
Werkzeugen – Setup, Build, Use.
Alle Ressourcen und Tools für Ihren erfolgreichen Weg
in die Private Cloud stehen Ihnen online zur Verfügung
(inklusive ISO-Image): www.technet.de/toolbox
© 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Admin-MAGAZIN digital
Profi-Know-how immer zur Hand
vorteile
• Ideal für Rechercheure
• bereits vor dem Kiosk-
Termin als PDF lesen
• kompaktes, papierloses
Archiv
• Sparen Sie im Abo über
20% im Vergleich zum
PDF-Einzelkauf!
Jetzt bestellen unter:
www.admin–magazin.de/digisub
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
* Preise gelten für Deutschland.
nur 44,90 E* pro Jahr
(6 Ausgaben)

Samba 4
Schwerpunkt
© nyul, 123RF
Was ist neu in Samba 4?
Generalüberholt
Was bringt Samba 4 und wie richtet man es richtig ein? Ein Überblick über das neue Release mit vielen praktischen
Hinweisen zu Konfiguration und Betrieb. Adam Tauno Williams
Mitte Dezember erschien das lang erwartete
Release 4 von Samba, an dem
die Entwickler zehn Jahre lang gearbeitet
hatten. In dieser langen Zeit gab es
außerdem etliche Versionen von Samba
3 mit zahlreichen Verbesserungen. Im
Lauf der Jahre wurden immer mal wieder
andere Schwerpunkte in der Entwicklung
gesetzt, und es gab sogar Gerüchte über
einen Samba-Fork. Inzwischen hat sich
das Projekt jedoch auf einen Weg geeinigt,
um die vielen technischen Herausforderungen
zu bewältigen.
Wer sich heute mit Samba beschäftigt, für
den empfiehlt es sich, immer die neueste
Dokumentation zu Rate zu ziehen – alte
Postings und Mails, insbesondere solche
zu Test- und Alpha-Versionen, führen
unweigerlich in die Irre. Konfigurationsdirektiven
und die Kommandosyntax haben
sich während der Entwicklungszeit
stark verändert, sodass ältere Dokumente
heute einfach nicht mehr zutreffen.
Nebeneinander
Die Parallelität der beiden Samba-Versionen
führte zu einiger Verwirrung, und
einige Linux-Distributionen enthielten
in der Folge sowohl Samba-3- wie auch
Samba-4-Pakete, die sich prinzipiell sogar
gemeinsam installieren lassen.
Um es aber klar zu sagen: Samba 4 ist
das neue Samba. Zweifellos wird es noch
einige Zeit parallel zu Samba 3 verwendet
werden, aber das liegt nicht etwa an
noch vorhandenen Defiziten von Samba
4. Im Gegenteil: Samba 4 ist ein guter
und vollständiger Ersatz für seinen Vorgänger
und bietet dieselben Funktionen.
Wenn es im Folgenden um Samba geht,
ist immer diese neue Version gemeint, es
sei denn, es ist ausdrücklich von Samba
3 die Rede.
Hohe Codequalität
Aus den vielen Neuerungen in Samba
sticht die Active Directory-Integration
heraus. Doch das ist beileibe nicht die
einzige Verbesserung. Ein großer Fortschritt
betrifft beispielsweise direkt den
Entwicklungsprozess: Hier einigte man
sich darauf, jede Codeänderung immer
www.admin-magazin.de
Admin
Ausgabe 02-2013
37

Schwerpunkt
Samba 4
von zwei Entwicklern begutachten und
danach stets die komplette Test-Suite
durchlaufen zu lassen. Dies garantiert
eine hohe Codequalität und ermöglicht
es, so gut wie alle Fehler zu finden, bevor
sie in ein Release gelangen. Die meisten
Änderungen werden außerdem in Bugzilla
geführt und ziehen so Regression
Tests nach sich.
Performancegewinne
Ein paar Dinge haben sich im äußeren
Erscheinungsbild von Samba geändert.
Für traditionelle Domänen-Mitglieder wie
etwa Filseserver gibt es immer noch die
klassischen Daemons »smbd«, »nmbd«
und »winbind«. Server, die eine Domäne
kontrollieren, starten Samba dagegen als
einzelnes »samba«-Binary. Die eine oder
andere Form entscheidet sich also nach
der Rolle des Servers in der Domäne.
Für Samba-Server, die Domänen-Services
bieten, entstand ein neues »samba‐tool«
mit einer ähnlichen Syntax wie das »net«-
Kommando. Daneben gibt es noch immer
die traditionellen TDB-Tools (Trivial
Database ) und solche Kommandos wie
»mbcacls«, »smbclient«, »rpclient« und
andere.
Das birgt insbesondere dann ein Risiko,
wenn parallel auch Samba 3 installiert
Listing 1: Active-Directory-Domäne einrichten
01 awilliam@workstation:/opt/s4> sudo ./bin/samba‐tool
domain provision
02
03 Realm [EXAMPLE.COM]:
04 Domain [EXAMPLE]:
05 Server Role (dc, member, standalone) [dc]:
06 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_
DLZ, NONE) [SAMBA_INTERNAL]:
07 DNS forwarder IP address (write 'none' to disable
forwarding) [192.168.1.46]:
08 Administrator password:
09 Retype password:
10 Looking up IPv4 addresses
11 ....
12 Fixing provision GUIDs
13 A Kerberos configuration suitable for Samba 4 has
been generated at /opt/s4/private/krb5.conf
14 Once the above files are installed, your Samba4
server will be ready to use
15 Server Role: active directory domain controller
16 Hostname: workstation
17 NetBIOS Domain: EXAMPLE
18 DNS Domain: EXAMPLE.COM
19 DOMAIN SID: S‐1‐5‐21‐1405516098‐4140136852‐3456372168
Abbildung 1: Hinzufügen eines Nutzers via MMC.
Was ist mit dem Active-Directory-
Support? Die kurze Antwort lautet: Er
funktioniert out-of-the-box. Mithilfe des
»samba‐tool« ist eine neue Domain in
Sekunden eingerichtet (Listing 1). Bei
diesem interaktiven Vorgehen fragt das
Tool ein paar Parameter ab und erzeugt
daraus die Domäne. Danach startet man
»samba« und hat im Handumdrehen eine
funktionierende Kerberos-, DNS-, LDAPund
Active Directory-Installation.
Das sieht extrem einfach aus, aber tman
muss einräumen, das die Active Directory-Unterstützung
tatsächlich so kompliziert
ist, wie Active Directory selbst.
Zumindest mit dessen Grundlagen muss
sich der Administrator auf jeden Fall vertraut
machen. Besonders wichtig ist es,
dabei zu verstehen,
n dass eine Active-Directory-Domäne
immer eine DNS-Domäne ist. Beides
hängt unauflöslich zusammen und
zwar viel stärker als es zuvor etwa
bei Windows NT der Fall war. Änderungen
am Active Directory ziehen
jetzt immer auch DNS-Änderungen
nach sich.
n dass eine Active-Directory-Domäne
immer eine Kerberos-Domäne ist. Das
bedingt beispielsweise eine funktionierende
Zeitsynchronisation, weil bereits
eine Abweichung der Systemzeit
zwischen Client und Server von weniist.
In diesen Fällen muss man über
entsprechende Einstellungen der Pfad-
Variable dafür sorgen, dass immer die
Kommandos der richtigen Version verwendet
werden.
Neue SMB-Versionen im
Einsatz
Im einfachsten Fall wird Samba als
schlichter Fileserver eingesetzt. Diese
Einsatzvariante erfuhr zahlreiche Verbesserungen
durch eine intern stärker
asynchrone Arbeitsweise, die für höheren
Durchsatz und bessere Ressourcenauslastung
sorgt.
In diese Richtung zielt auch die neue Unterstützung
des SMB-2.1- und SMB-3.0-
Protokolls, das Clients ab Microsoft Vista
verstärkt verwenden. Die neueren SMB-
Versionen bieten außerdem Optionen
wie Verschlüsselung, Unterstützung für
symbolische Links und HA-Features wie
Multipathing und Fail-over. Ein SMB3-
Fileserver ist zudem deutlich schneller
als ein Server mit älteren Protokollversionen.
Einen Vorbehalt gibt es dabei allerdings
zu beachten: Der Server sollte ein modernes
Filesystem mit erweiterten Attributen
unterstützen. Ext3 oder Ext4 sollten mit
der Option »user_xattr,acl,barrier=1«
gemountet werden, andernfalls kann
Samba die Konsistenz der TDB-Datenbank
im Falle eines Systemabsturzes
nicht garantieren, und das kann zu einer
korrupten Active Directory-Domäne führen.
Zwar beschreibt das Samba-Wiki [1]
einen Workaround für Server mit älteren
Filesystemen, aber ein Update auf Ext3
oder Ext4 ist in jedem Fall die bessere
Variante.
Active Directory
38 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba 4
Schwerpunkt
gen Minuten den Dienst unbenutzbar
macht. Kerberos achtet genau auf die
Übereinstimmung der Systemuhren
und verweigert bei Differenzen den
Dienst. Zweitens müssen die Kerberos-
Utilities und ‐Bibliotheken vorhanden
und korrekt konfiguriert sein.
n dass Active Directory ein LDAP-Directory
ist – mit seinem eigenen Schema
und Security-Modell.
Das Samba-Wiki bietet eine sehr gute
Einführung in die Thematik und eignet
sich als erster Anlaufpunkt.
Integriert statt Standalone
Noch unter Windows NT konnte Samba
eine Reihe von Diensten wie DNS, Kerberos
oder LDAP an spezialisierte Tools wie
Bind, OpenLDAP und MIT oder Heimdal
Kerberos delegieren. Mit Ausnahme von
Bind geht das jetzt nicht mehr. War bei
NT 4 beispielsweise die Verwendung von
OpenLDAP gang und gäbe, so geht das
nun nicht mehr. Nun muss der eingebettete
LDAP-Server verwendet werden,
und wer eine NT-4-Domäne zu Active
Directory migrieren will, der muss auch
LDAP migrieren.
Dasselbe trifft auf Kerberos zu. Dieser
Zwang zu den integrierten Diensten
scheint dem Konzept eines offenen Stacks
entgegenzulaufen, und so ist es auch. Damit
das Hauptziel erreicht werden konnte,
eine vom Start weg problemlos funktionierende
Installation zu bieten, musste
die Unterstützung von Drittanbieter-Tools
leider gestrichen werden. Sie wäre zu
kompliziert gewesen. Nun übernimmt
Samba diese Funktionen selbst.
Ein Samba-AD-Controller kann mit anderen
Windows-AD-Controllern reden
und deren Domänen-Informationen replizieren
– ganz so wie in einer reinen
Windows-Umgebung.
Nur wenige Probleme
Dabei gibt es im Moment (Version 4.0.3)
nur noch wenige, kleinere Probleme:
1. Im Verbund mit einem Windows Read
Only Domain Controller (AD RDOC)
funktioniert die Replikation zuweilen
nicht komplett.
2. Wenn der in Samba eingebaute DNS-
Server verwendet wird, replizieren sich
die DNS-Informationen womöglich
nicht.
3. Das Sysvol-Volume, das die GPO-Policies
speichert, wird nicht automatisch
repliziert.
4. Bis zur Version 4.0.3. gab es Probleme
mit der Privilegien-Delegation und ACLs
bei LDAP-Objekten.
Wer bereits über ein Active Directory verfügt,
das von Windows-Server inklusive
DNS verwaltet wird, der kann die ganze
DNS-Problematik beiseite lassen, es sei
denn, er wollte komplett zu Samba migrieren.
Alternativ kann man die Bind-
DLZ-Integration benutzen, hat dann
allerdings eine zusätzliche Komponente
im Stack.
Wenn man eine NT-4-Domäne unter
Samba anlegt oder migriert, wird per Default
der eingebaute DNS-Server verwendet.
Der reicht für kleinere Installationen
aus, hat aber nicht die Flexibilität und
Leistungskraft von Bind. Will man deshalb
lieber »bind« verwenden, gibt man
die Option »‐‐dns‐backend=BIND9_DLZ«
an. Wer vom eingebauten auf den externen
DNS-Server umsteigen möchte, für
den gibt es ein Skript namens »samba_
upgradedns«. Dafür braucht man allerdings
ein aktuelles Bind, mindestens Version
9.7, besser 9.8 oder neuer.
In jedem Fall lässt sich auch der Samba-
Server mithilfe der Windows Tools wie
der Microsoft Management Console [aka
MMC] managen. Wer das Tool verwendet,
kann daran nicht mehr ablesen, ob
der Domänen-Controller unter Windows
oder Samba läuft.
Lästig ist der Fehler bei der Sysvol-Replikation.
Dieses Shared Volume muss allen
DCs zur Verfügung stehen, auf die Clients
zugreifen, und es muss überall densel-
Listing 2: Upgrade
01 samba‐tool domain classicupgrade ‐‐dbdir=/tmp/x
‐‐use‐xattrs=yes ‐‐realm=EXAMPLE /tmp/x/smb.conf
02
03 # dbdir verweist auf den Ort der TDB‐Dateien des NT
4 DC
04 # realm spezifiziert die DNS‐Zone für die neue
AD‐Domäne
05 # und am Ende folgt der Ort, an eine dmb.conf‐Kopie
zu finden ist
Listing 3: User ergänzen
01 amba‐tool user add fbaggins ‐‐random‐password
‐‐use‐username‐as‐cn ‐‐surname="Baggins"
‐‐given‐name="Frodo" ‐‐initials=S
‐‐mail‐address=fbaggins@example.com
‐‐company="Hobbiton Inc." ‐‐script‐path=shire.
bat ‐‐profile‐path=\\\\mydc.example.com\\profiles\\
fbaggins ‐‐home‐drive=F ‐‐home‐directory=\\\\
myfileserver.micore.us\\fbaggins ‐‐job‐title="Goes
there and back again"
www.admin-magazin.de
Admin
Ausgabe 02-2013
39

Schwerpunkt
Samba 4
Nun, da die AD Domäne läuft, lässt sich
auf einem Windows-Client die Management
Console (MMC) starten, um sie zu
verwalten. Alternativ lassen sich viele
gewöhnliche Aufgaben wie das Hinzufügen
von Usern oder DNS-Einträgen auch
mit dem »samba‐tool« erledigen (Listing
3, Abbildung 1).
Nachdem es einmal läuft, speichert
Samba die Domänen-Informationen in
einem Satz LDB-Files. Der Inhalt der
Datenbank kann mit dem »samba‐tool«
oder via LDAP oder mithilfe der Samba-
Kommandos »dbsearch«, »ldbmodify«,
»ldbdel« und so weiter modifiziert werden.
Ebenso kann man LDIF-Files mit
zusätzlichen Informationen importieren
– entweder direkt mit LDAP oder mithilfe
von Python, das Kerberos (GSSAPI)
unterstützt.
Alle anderen Services auf Domänen-Mitgliedern,
die keine Domänen-Controller
sind – etwa Winbind – funktionieren unben
Inhalt haben. Deswegen
müssen Samba DCs dieses Volume
im Moment via »rsync«
oder »csync« synchronisieren,
was glücklicherweise nicht
in Echtzeit geschehen muss,
sondern einem zeitgesteuerten
Job übertragen werden
kann.
Domänen-Upgrades
Ein Domain-Upgrade ist so
einfach wie das Neuaufsetzen
einer Domain. Der bedeutendste
Einwand gegen ein
Upgrade zu Active Directory
ist, dass es sich um eine Einbahnstraße
handelt. Sobald eine NT-Domäne eine
AD-Domäne mit demselben SID oder
NetBIOS-Namen sieht, schaltet sie in den
Active Directory-Modus und kehrt nie
wieder zurück. Daher sollte man einen
Test sorgfältig planen und isoliert von
der Produktivumgebung ansetzen. Ansonsten
ist das das natürliche Verhalten
in Microsofts Active Directory und hat
nichts speziell mit Samba zu tun.
Das eigentliche Update gelingt wieder mit
dem »samba‐tool« (Listing 2). Das Tool
muss eine Kopie des »smb.conf«-Files
eines der Domänen-Controller und die
TDB-Files erreichen können. Wenn der
NT4-DC LDAPSAM verwendet, braucht
er auch Zugriff auf dessen Data Source
Adaptor (DSA) – aber keine Sorge, aus
dem LDAP wird nur gelesen und nichts
hineingeschrieben.
Das Skript migriert alle User, Gruppen
und Maschinen-Accounts. Besonders
wenn LDAPSAM verwendet wurde und
die Domäne lange existierte, kommen
wahrscheinlich ein paar Inkonsistenzen
zu Tage, die der faule NT-Administrator
Listing 4: NTP-Kontrolle
01 # Check the configuration of Samba
02 $ testparm ‐‐parameter‐name="ntp signd socket
directory"
03 /opt/s4/var/ntp
04 # Check the configuration of NTP
05 $ cat /etc/ntp.conf
06 ...
07 ntpsigndsocket /opt/s4/lib/ntp/
08 restrict default mssntp
09 # Change the permissions of the target folder
10 $ chown ntp /opt/s4/lib/ntp
Abbildung 2: Im neuen Samba sind zuvor externe Komponenten nun eingebettet.
nicht beachtet hatte, etwa doppelte Benutzernamen
oder SIDs oder fehlende
Gruppen. Die Fehlermeldungen sind aber
meist selbsterklärend. Die Probleme sind
in NT zu lösen, dann kann man einen
neuen Migrationsversuch starten.
Ein großer Vorteil von Samba ist, dass
es eben diesen Ugrade-Pfad von NT zu
Active Directory anbietet. Alle Windows
Tools für diesen Zweck, die der Autor
kennt, arbeiten nicht mehr auf den aktuellen
Windows-Server-Versionen oder
zumindest nicht ohne Registry Hacks und
damit auch nicht vollständig.
In Betrieb
ter Samba 4 wie zuvor unter
Samba 3. Man muss lediglich
daran denken, die einzelnen
Daemons »smbd«, »nmbd«
und »windbind« zu starten.
Zeitkorrektur
Wenn alles läuft und Server
der Domäne beitreten, erlebt
man möglicherweise, dass die
Uhren auseinanderlaufen und
man den Zugriff verliert, weil
die Synchronisationsansprüche
von Kerberos nicht mehr
erfüllt werden. Clients einer
Microsoft Domäne synchronisieren
sich aber nicht mit einem beliebigen
Zeitserver, denn sie erwarten, dass
der NTP-Service von einem DC signiert
wurde, dem sie vertrauen. Um das zu
erreichen, muss man auf dem DC einen
NTP-Server installieren, der Netzwerkpakete
signieren kann, beispielsweise eine
Version von »ntpd«. Dann muss Samba
so konfiguriert werden, dass es mit dem
Zeitserver redet. Das passiert über einen
Filesystem-Socket, der per Default
in »{prefix}/var/ntp/« angesiedelt ist.
Dabei bezeichnet »{prefix}« das Samba-
Build- oder Paket-Verzeichnis. Alternativ
kann man den Ort auch mit der Direktive
»ntp signd socket directory« in der
»smb.conf« vorgeben. Im File »ntp.conf«
verweist »ntp signd socket directory« auf
dasselbe Verzeichnis. Verwirrenderweise
zeigen beide Konfigurationsdirektiven
nicht auf ein File, sondern auf ein Verzeichnis,
dass das »socket«-File enthält.
Listing 4 zeigt, wie man diese Einstellungen
überprüft.
Bei Windows-Clients kommt es darauf
an, dass das Kommando »w32tm /resync
/rediscover« mit der Meldung »The
command completed successfully« endet.
Andernfalls funktioniert die Zeitsynchronisation
nicht, und man riskiert, den Zugriff
auf Teile der Domäne zu verlieren,
wenn die Uhren auseinanderlaufen.
Die Zeitsynchronisation war der letzte
Schritt zu einer voll funktionierenden
Samba-4-Domäne. (jcb)
n
Infos
[1] Samba-Wiki: [https://wiki.samba.org/index.
php/Main_Page/​]
40 Ausgabe 02-2013 Admin www.admin-magazin.de

Mehr Kunden? Anrufhürden überwinden!
Lokale Rufnummern aus mehr als 45 Ländern.
Anrufhürden überwinden
Rufen Sie eine indische Telefonnummer an, um
eine Bestellung aufzugeben? Ihren internationalen
Interessenten geht es nicht anders – sie
fürchten hohe Kosten und Sprachhürden.
Kontaktzahlen und Umsatz steigern
Mit globalBusiness überwinden Sie diese Hürden:
Sie erhalten lokale Rufnummern aus mehr
als 45 Ländern und sorgen damit für Kundennähe
und Vertrauen. So generieren Sie mehr
Kontakte – die Basis für Ihren Umsatz!
9.000 Vorwahlen auf nur einen Anschluss
Ordern Sie mit globalBusiness Rufnummern aus
ganz Deutschland (z.B.: Berlin, Köln oder Bielefeld)
und mehr als 4.000 internationalen Städten
(z.B.: London, Paris, New York). Leiten Sie
Gespräche auf globalBusiness - Rufnummern an
bestehende Anschlüsse weiter – per SIP gratis.
Kurze Laufzeit – besonders günstig
Nur 5 Tage Vertragslaufzeit und bereits ab einer
Rufnummer erhältlich. Alle verfügbaren Städte
und Preise unter: www.outbox.de
Infos und Beratung: 0800 /688 269 24
www.outbox.de

Schwerpunkt
Samba 4 für Windows-Admins
© Brooke Becker, 123RF
Samba 4 als Ersatz für Microsoft Active Directory
Blick übern Zaun
Wenn es um die Authentifizierung von Benutzern und die Absicherung von Daten in heterogenen Netzen geht,
kommt man kaum um eine Windows-Domäne herum. Administratoren, die auf Gratisdienste setzen wollen, können
eine Windows-Domäne auch mit einem kostenlosen Samba-Server umsetzen, mit Samba 4 sogar erstmals
als Domain Controller. Thomas Joos
Mit der Veröffentlichung von Samba 4
geht ein jahrelanges Entwicklungsprojekt
zu Ende. Erstmals steht eine komplett
freie Software zur Verfügung, die ein Active
Directory aufbauen kann, also nicht
nur eine alte Windows NT 4.0-Domäne,
wie bis zu Samba 3 noch üblich.
Der einfachste Weg zu Samba 4 ist eine
bereits installierte virtuelle Festplatte auf
Basis von Hyper-V (VHD), Open Virtualization
Format (OVF) oder als VMware-
Image, beziehungsweise KVM. Passende
Download-Images finden Sie entweder
bei Suse [1] oder SerNet [2]. Auch Univention
Corporate Server [3] bietet eine
Linux-Distribution mit Samba 4 und zusätzlich
eine webbasierte Verwaltungsoberfläche.
Mehr zu diesen Produkten
verrät der Vergleich in unserem Schwerpunkt.
Appliances
Die SerNet Samba 4 Appliance unterstützt
auf Basis einer Debian GNU-Distribution
den Betrieb als Active Directory-Domänencontroller
und erlaubt auch die Anbindung
von Windows-Clients inklusive
der Verwaltung von Gruppenrichtlinien
mit den Remoteserver-Verwaltungstools.
Das heißt, nach der Installation verwalten
Sie den Server wie gewohnt mit
Windows-Tools. Wer sich Samba in einer
eigenen Linux-Installation direkt von den
Entwicklern herunterladen will, findet
die Installationsdateien und Anleitungen
auf der Seite [4], ein Whitepaper zur Installation
befindet sich auf der Seite [5].
Generell spielt es keine Rolle, welche
Distribution man verwendet, die Funktionen
sind nahezu identisch. Samba 4
lässt sich also als vollwertiger Domänencontroller
inklusive Dateiserver-Betrieb
nutzen. Im Netzwerk können Sie auch
mehrere Domänencontroller mit Samba 4
einsetzen, die untereinander Daten synchronisieren.
Allerdings ist gerade hier die Technologie
bei Weitem nicht so ausgereift wie
bei aktuellen Windows-Server-Versionen.
Selbst die aktuelle Version Samba 4 unterstützt
nicht die neuen Funktionen von
Active Directory in Windows Server 2012
wie das Klonen von Domänencontrollern,
schreibgeschützte Domänencontroller,
Replikation zwischen Standorten oder
den Ressourcen-Manager für Dateiserver,
iSCSI-Ziele und vieles mehr.
Neben Gruppenrichtlinien lassen sich
auch servergespeicherte Profile mit
Samba 4 umsetzen. Unternehmen, die
Exchange einsetzen, können ebenfalls
Samba verwenden, da Samba 4 und aktuelle
Exchange-Versionen kompatibel
zueinander sind. Natürlich lassen sich
auch Alternativen wie Zarafa und Open
Exchange anbinden. Die Authentifizierung
dazu lässt sich vollständig mit den
Samba-Servern durchführen.
Integration
Samba-4-Server können auch als Mitgliedsserver
in einem Active Directory
auf Basis von Windows-Servern teilnehmen
oder ein eigenes Active Directory
zur Verfügung stellen. Dabei tritt der
Server als normaler Domänencontroller
auf, auch zusammen mit anderen Domänencontrollern.
Die Einrichtung erfolgt
über einen Assistenten oder Konfigurationsdateien
auf dem Server.
Die Verwaltung der Domäne lässt sich
nach der Installation auch vollständig
über die Windows-Verwaltungstools
durchführen (Abbildung 1). Dazu müssen
Sie lediglich die Remoteserver-Verwaltungstools
installieren. Diese stehen
für Windows 7 mit SP1 [6] und Windows
8 [7] im Downloadcenter von Microsoft
zur Verfügung.
Eine wichtige Neuerung in Samba 4 ist,
dass die Entwickler auf die von Microsoft
veröffentlichten Informationen zu Active
Directory zurückgreifen können. In der
Vergangenheit war es notwendig, die Protokollinformationen
aus mitgeschnittenen
Netzwerkpaketen zu rekonstruieren,
was nicht immer zu zufriedenstellenden
42 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba 4 für Windows-Admins
Schwerpunkt
Ergebnissen geführt hat. Die Entwickler
arbeiten in dieser Hinsicht auch direkt
mit Microsoft zusammen, um Samba so
stabil wie möglich zusammen mit Windows
zu betreiben. Es ist zu erwarten,
dass zukünftig weitere Funktionen von
Windows Server 2008 R2/​2012 auch in
Samba 4 Einzug halten.
SMB 2.1 und SMB 3.0
Für den Datenaustausch über das Netzwerk
mit Windows-Clients nutzt Samba
auch das SMB-Protokoll. Neben der Version
2.1 kann Samba 4 auch SMB 3.0
aushandeln, das neue Protokoll für den
Netzwerkzugriff in Windows 8 und Windows
Server 2012. Die Entwickler wollen
vor allem die neue Version SMB 3.0 zukünftig
deutlich ausbauen.
Samba 4 verwendet den Dateiserver
»smdb« aus Samba 3 weiter. Sie können
in der neuen Version aber auch auf die
Samba 4-angepasste Version von NTVFS
setzen, das zukünftig die alte »smdb«-
Version ersetzen soll. Samba-4-Dateiserver
lassen sich auch clustern, genauso
wie Dateiserver mit Windows-Servern.
Die Einrichtung von Dateiservern und die
Verwaltung von Rechten gestalten sich
mit Samba allerdings bei Weitem nicht
so einfach wie mit Windows-Servern. Vor
allem Windows Server 2012 Essentials
und Windows Server 2012 Foundation
haben hier so einige Vorteile. Doch dazu
später mehr.
Samba 4 als
Domänencontroller
Samba 4 kann nicht nur eine alte Windows-Domäne
auf Basis von Windows
NT 4.0 abbilden, sondern ein
vollwertiges Active Directory,
inklusive LDAP-Server und
Kerberos Key Distribution
Center. Dabei setzen die Entwickler
nicht auf OpenLDAP,
sondern haben LDAP direkt in
Samba 4 integriert. Auf diese
Weise lassen sich Probleme
bei der Zusammenarbeit von
Samba und LDAP ausschließen.
So authentifizieren sich auch
aktuelle Arbeitsstationen mit
Windows XP aufwärts bis
Windows 8 am Samba-Server. Auch Server
bis hin zu Windows Server 2012 arbeiten
mit Samba 4 zusammen, und zwar als
Domänencontroller oder als Mitgliedsserver.
Die gängigen Windows-Werkzeuge
zur Verwaltung von Domänen lassen
sich an Samba anbinden, zumindest die
meisten. So kommen auch Windows-
Administratoren mit der Verwaltung des
Servers zurecht, nachdem Samba einmal
eingerichtet ist. Gemeinsam mit Linux-
Profis können sie die Domäne einrichten
und anschließend selbst mit Windows-
Tools verwalten. Das geht auch mit den
Remoteserver-Verwaltungstools, auch
von Windows 8 oder Windows Server
2012. Allerdings lässt sich der neue Server-Manager
von Windows Server 2012 in
diesem Zusammenhang nicht nutzen.
Von Vorgängerversionen zu
Samba migrieren
Administratoren können von Vorabversionen
wie Beta oder Alpha zur endgültigen
Version aktualisieren. Auch eine
Migration von Samba 3 zu Samba 4 ist
möglich. Wie Sie dabei vorgehen, lesen
Sie auf der Seite [8]. Haben Sie den Server
zu Samba 4 im laufenden Betrieb aktualisiert,
empfehlen die Entwickler den
Befehl »samba‐tool dbcheck ‐‐cross‐ncs
‐fix« vor einem Neustart auszuführen.
Handelt es sich bei dem Server um einen
Domänencontroller, ist zusätzlich noch
der Befehl »samba‐tool ntacl sysvolreset«
notwendig.
Da die Namensauflösung in einem Active
Directory eine extrem wichtige Grundlage
ist, lässt sich mit Samba 4 auch ein DNS-
Server betreiben. Allerdings lassen sich
DNS-Daten nicht in Active Directory in-
Abbildung 1: Samba-Server lassen sich auch mit grafischen Verwaltungstools von
Windows-Clients aus verwalten.
tegrieren, und sie lassen sich auch nicht
zwischen Servern replizieren. Auch ein
Zeitserver auf Basis von NTP lässt sich
mit NTP umsetzen, allerdings funktioniert
dieser derzeit noch nicht so stabil
wie ein Windows-Domänencontroller.
In Active Directory sollten die Uhren der
Rechner und Server nicht mehr als fünf
Minuten voneinander abweichen. Da Active
Directory bei der Authentifizierung
mit Kerberos arbeitet, ein System das
stark auf Tickets, Zeitstempel und damit
gültige Uhrzeiten aufbaut, besteht die
Gefahr, dass Authentifizierungsaufgaben
nicht funktionieren, wenn die Uhren einzelner
Rechner mehr voneinander abweichen.
Standardmäßig toleriert Kerberos
in Active Directory eine Zeitdifferenz von
fünf Minuten.
Um Active Directory zu installieren, nutzen
Sie das »samba‐tool« oder den entsprechenden
Assistenten der jeweiligen
Distribution. Administratoren, die Samba
4 als Domänencontroller mit anderen
Servern, zum Beispiel Windows Server
2012 betreiben, sollten wissen, dass die
Replikation zwischen Windows und Linux
im Bereich Sysvol noch nicht so gut
funktioniert. Hier wollen die Entwickler
in neuen Versionen nacharbeiten.
Was geht (noch) nicht mit
Samba 4?
Auch wenn die Entwickler mit Samba 4
einen echten Fortschritt erzielt haben,
müssen sich Windows-Administratoren
darüber im Klaren sein, dass einiges in
Samba 4 noch nicht so funktioniert wie
mit Windows-Servern gewohnt. Zwar
ist nach der Installation die Verwaltung
recht einfach, und Clients lassen sich
prob lemlos anbinden. Allerdings
macht die Replikation
noch Probleme.
Vor allem die Replikation des
Sysvol-Verzeichnisses und
der DNS-Daten ist nicht optimal
gelöst. Genauer gesagt
lassen sich DNS-Daten zwischen
DNS-Servern auf Basis
von Samba überhaupt nicht
replizieren. Im Gegensatz zu
Windows integriert Samba die
DNS-Daten nicht in Active Directory,
sondern in einem eigenen
Verzeichnis. In großen
www.admin-magazin.de
Admin
Ausgabe 02-2013
43

Schwerpunkt
Samba 4 für Windows-Admins
Umgebungen kann das ziemlich stören,
sind nur wenige Server im Einsatz, ist
das Problem schon nicht mehr ganz so
groß. Außerdem gibt es in den ersten
Versionen von Samba 4 Probleme bei der
Synchronisierung der Uhren zwischen
Clients und Servern.
Samba für Windows-
Administratoren testen
Starten Windows-Administratoren mit
begrenztem Wissen eine Samba-4-Appliance
oder installieren die Distribution,
stehen Sie zunächst etwas im Regen. Im
Gegensatz zu Windows hilft nicht immer
ein Assistent beim Start, sondern man landet
erst einmal in der Linux-Shell. Etwas
Linux-Wissen sollte bei der Einrichtung
daher vorhanden sein. Ist die Domäne
installiert, verwalten Administratoren
die Domäne, inklusive dem Anlegen von
Benutzern mit der grafischen Oberfläche
der Remoteserver-Verwaltungstools. Hier
gibt es zunächst keine Unterschiede zwischen
Windows und Samba. Allerdings
gestaltet sich die Einrichtung eines Dateiservers
vollkommen anders.
Wollen Sie die oben erwähnte Samba-
Testmaschine von Suse verwenden, laden
Sie sich zunächst die entsprechende
VHD-Datei von [1] herunter. Sie können
die VHD-Datei auch in einer Hyper-V-
Umgebung mit Windows Server 2012
einbinden. Nachdem der virtuelle Suse
Enterprise Linux Server gestartet ist, melden
Sie sich mit dem Benutzer »root« und
dem Kennwort »opensuse« an. Mit »cd /
srv« und dann mit »cd /v« gelangen Sie
in das Verzeichnis mit den Installationsdateien.
Starten Sie dann das Skript »./
dcpromo«. Mit diesem können
Sie eine neue Active-Directory-
Gesamtstruktur aufbauen und
geben die wichtigsten Daten
mit einem Assistenten ein. Ist
die Installation abgeschlossen,
steht der Server zur Verfügung.
Um anschließend den Server zu
verwalten, benötigen Sie einen
Computer mit Windows 7/​8
und installierten Remoteserver-
Verwaltungstools. Diese können
Sie über die Adresse »http://
IP‐Adresse des Samba‐Servers«
auch direkt vom Server oder
direkt bei Microsoft herunterladen. Um
Server oder PCs in die Domäne aufzunehmen,
legen Sie den DNS-Server der
Clients auf die IP-Adresse des Samba-
Servers fest. Hier gehen Sie genauso
vor wie bei der Aufnahme zu normalen
Windows-Servern. Anschließend können
Sie mit Computern der Domäne genauso
beitreten wie bei Windows-Servern. Bei
der virtuellen Appliance verwenden Sie
dazu aber nicht den Benutzer »root«,
sondern den Benutzer »Administrator«
mit dem Kennwort, das Sie während der
Installation von Active Directory auf dem
Samba-Server eingeben.
Wenn der Computer Mitglied der Domäne
ist und Sie die Remoteserver-Verwaltungstools
installiert haben, können
Sie die Domäne genauso verwalten wie
mit Windows-Servern. Sie können Benutzer
anlegen, servergespeicherte Profile
definieren und Exchange integrieren
(Abbildung 2). Die meisten Verwaltungswerkzeuge
wie Active Directory-Benutzer
und ‐Computer funktionieren. Allerdings
lässt sich das neue Active Directory-
Verwaltungscenter von Windows Server
2012 nicht ohne Weiteres an Samba anbinden.
Alternativ: Windows Server
Essentials 2012
Samba 4 ist vor allem für kleine Unternehmen
interessant. Hier bietet aber
auch Microsoft echte Alternativen an. Mit
Windows Server 2012 gibt es nun keinen
Small Business Server mehr. Der offizielle
Nachfolger ist die Edition „Essentials“
von Windows Server 2012, die allerdings
weder Exchange noch Sharepoint bietet.
Abbildung 2: Benutzer legen Sie auch mit Samba über Active-Directory-Benutzer
und ‐Computer an.
Beim Einsatz von Windows Server 2012
Essentials können Unternehmen bis zu
25 Benutzer und 50 Clients anbinden.
Wer mehr braucht, kann auf Windows
Server 2012 Standard oder Datacenter
setzen. Allerdings fällt dann die zentrale
Verwaltung über das Dashboard weg, außerdem
sind Clientzugriffslizenzen notwendig.
Eine solche Übernahme muss
ein IT-Profi vornehmen.
Der Installations-Assistent erstellt automatisiert
eine Active Directory-Domäne
und nimmt die notwendigen Einstellungen
vor. Die Verwaltung des neuen
Servers erfolgt über ein Dashboard, das
bereits von Small Business Server 2011
Essentials bekannt ist. Es lassen sich Benutzer
anlegen, Freigaben erstellen und
Zusatzanwendungen wie Backuplösungen
oder Virenschutz installieren. Für
Installation und Betrieb sind daher keine
Profikenntnisse notwendig.
Im Gegensatz zu SBS 2011 Standard bietet
Windows Server 2012 Essentials einen
wichtigen Vorteil: Clientcomputer lassen
sich über einen Agenten auf dem Server
sichern und auf einfachem Weg wiederherstellen.
Diese Funktion hat Microsoft
von SBS 2011 Essentials übernommen.
Außerdem haben Anwender die Möglichkeit,
mit einem Webportal über das Internet
per Remotedesktop auf den eigenen
Server zuzugreifen. Die Datensicherung
und ‐Wiederherstellung des eigenen PCs
können Anwender in einem eigenen Tool
leicht selbst durchführen, das entlastet
den Administrator. Der Server benötigt
keine Clientzugriffslizenzen.
Wer kein Dashboard und keine Assistenten
braucht und auch keinen Server,
der automatisch Active Directory installiert,
kann auch auf die noch
günstigere Edition Windows
Server 2012 Foundation setzen.
Diese erlaubt die Anbindung
von maximal 15
Benutzern, ebenfalls ohne
Clientzugriffslizenzen. Es
gibt aber kein einheitliches
Verwaltungswerkzeug, und
der Administrator, der den
Server einrichtet, muss einiges
an Know-how mitbringen.
Auch Freigaben werden
nicht automatisch angelegt,
es gibt keinen Webzugriff,
und die Möglichkeit, Daten
44 Ausgabe 02-2013 Admin www.admin-magazin.de

kinderleicht
+ ausgereift
von Clientcomputern zu sichern, ist nicht
vorhanden.
Die Verwaltung des Servers ist identisch
mit der herkömmlichen Verwaltung von
Windows Server 2012. Hyper-V ist bei
dieser Edition nicht integriert, aber Sie
können Windows Server 2012 Foundation
als Hyper-V-Gast installieren. Die Edition
ist nur als OEM-Version erhältlich. Eine
Lizenz ermöglicht die Installation auf
einer physischen Maschine. Im Gegensatz
zu den anderen Editionen dürfen Sie
keine weiteren virtuellen Maschinen mit
einer Lizenz installieren.
Setzen Sie die Edition als Remotdesktopserver
ein, dürfen sich ebenfalls nur 15
Benutzer mit dem Server verbinden. Für
diese Benutzer sind allerdings RDS-CALs
notwendig, denn diese sind nicht im Betriebssystem
integriert. Setzen Unternehmen
Windows Server 2012 Foundation
in Active Directory ein, dürfen in dieser
Domäne nur maximal 15 Benutzerkonten
angelegt sein. Der Server darf nicht dazu
verwendet werden, um untergeordnete
Domänen zu erstellen. Stellt der Server
Lizenzverstöße fest, fährt er automatisch
herunter.
Die Version lässt sich auf die Standard-
Edition aktualisieren, ohne den Server
neu installieren zu müssen. Wer sich etwas
mit dem Server auseinandersetzt,
kann auf den Client-PCs eine Datensicherung
einrichten und diese Daten auf
einer Freigabe des Servers sichern. Alle
diese Funktionen müssen aber manuell
eingerichtet werden.
Fazit
Samba 4 ist gegenüber der Vorgängerversion
ein echter Fortschritt. Allerdings
sollten sich Linux-Anfänger darüber im
Klaren sein, dass sich der Server zwar
recht leicht über gängige Windows-
Werkzeuge verwalten lässt, allerdings
selbst über die Linux-Oberfläche installiert
werden muss. Ohne Linux-Wissen
können schnell Sicherheitslücken entstehen.
Auch die Einrichtung entspricht
nicht den einfachen Assistenten, die man
von Windows-Servern gewohnt ist. Neue
Tools wie das modernisierte Active-Directory-Verwaltungscenter
oder der Server-
Manager, die Powershell, der Web Access
und einiges andere funktionieren nicht.
DNS-Daten lassen sich nicht in Active
Directory integrieren, und die Einrichtung
von Dateiservern ist bei Weitem
nicht so einfach wie mit Windows.
Allerdings bietet Samba auch Vorteile.
Selbst Linux-Anfänger bekommen recht
schnell eine Domäne zum Laufen, und
Clients lassen sich genauso anbinden wie
mit Windows. Samba 4 unterstützt dabei
alle gängigen Windows-Betriebssysteme,
die Windows-Domänen beherrschen, inklusive
Windows 8 und Windows Server
2012. Dass sich Samba 4 mit den Windows-Remoteserver-Verwaltungstools
verwalten lässt, ist ein weiterer Vorteil.
Grundsätzlich bleibt festzuhalten, dass
Samba 4 eher für kleine Unternehmen
mit wenigen Domänencontrollern geeignet
ist, oder für Unternehmen, die zwar
viel Linux-Wissen haben, aber auch
Windows-Authentifizierung benötigen.
Allerdings fehlen in Samba auch aktuelle
Neuerungen von Active Directory in
Windows Server 2012 wie die Generation-ID,
klonfähige Domänencontroller,
schreibgeschützte Domänencontroller
und DNSSEC für DNS-Server. (ofr) n
Infos
[1] Suse Samba Appliance: [http:// susestudio.​
com/ a/ veav1Y/ excellent‐samba4‐appliance]
[2] SerNet Appliance:
[http:// www. enterprisesamba. org/​
samba4ad/ samba‐4‐appliance]
[3] Univention Corporate Server:
[http:// www. univention. de/ produkte/ ucs]
[4] Samba Download:
[http:// www. samba. org/ samba/ download]
[5] Samba Whitepaper: [https:// wiki. samba.​
org/ index. php/ Samba_4. 0_Whitepaper]
[6] Remoteserver-Verwaltungstools für Windows
7 mit Service Pack 1 (SP1): [http://​
www. microsoft. com/ de‐de/ download/​
details. aspx? id=7887]
[7] Remoteserver-Verwaltungstools für Windows
8: [http:// www. microsoft. com/ de‐de/​
download/ details. aspx? id=28972]
[8] Samba Howto: [https:// wiki. samba. org/​
index. php/ Samba4/ HOWTO]
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
IPTAM ® PBX VoiP Telefonanlage
mit bester ISDN-Integration
Kinderleichte Administration
n per CD auf einem Server
Ihrer Wahl
n oder als Fertiggerät
(Appliance)
n Vorbildliche Dokumentation:
www.iptam.com/wiki/
Ausgereifte Funktionalität
n Bequeme Bedienung
über Web-Oberfläche
n Einspielen von Patches,
Lizenzerweiterung, ISDN-
Konfiguration mit 3 Klicks
n Und natürlich alle gängigen
Funktionen: Voicemail, Instant
Messaging Server, Fax-Server,
Konferenzräume, Warteschlangen,
Sprachmenüs, Klingelgruppen,
Durchsagefunktion, Konfiguration
der Telefone über die Anlage ....
selber
testen!
Die IPTAM PBX 5
kostenlos
downloaden:
www.iptam.com
Demosystem
online testen:
www.iptam.com/demo
www.admin-magazin.de
www.iptam.com
Ausgabe 02-2013
45

Schwerpunkt
Samba-Domäne
© srapulsar38, 123RF
Wie man Samba als Domänencontroller konfiguriert
Samba senkt
Verwaltungskosten
Eine der wichtigsten Funktionen von Samba ist die eines Domänencontrollers. Gegenüber einer reinen Windows-
Lösung spart Samba Lizenzkosten und hat den Nebeneffekt, dass die Benutzer sich auch von Linux- oder OS X-
Clients aus anmelden können. Wie eine solche Installation funktioniert, erklärt dieser Beitrag. Stafan Kania
01 [global]
02 workgroup = ADMINDOM
Listing 1: PDC-Einstellungen
03 server string = \%h Samba Admin‐Magazin
04 netbios name = Admin‐Magazin
05 domain master = yes
06 domain logons = yes
07 os level = 99
Sehr oft kommt Samba als Domänencontroller
in einer heterogenen Umgebung
zum Einsatz, wo es die Benutzer und
Gruppen einer Domäne zentral verwaltet.
Dabei können dem Samba-Server
verschiedene Rollen übertragen werden,
über die man sich zuallererst klar werden
sollte: Er lässt sich als Primärer Domänencontroller
(PDC), als Backup Domänencontroller
(BDC) oder als Fileserver
konfigurieren.
Für die Planung einer Samba-Umgebung
ist zweitens das Passdb-Backend entscheidend.
Dabei geht es um verschiedene
Datenbanken, die die Benutzerinformationen
speichern. Für sie gibt es
drei Möglichkeiten:
1. »smbpasswd«: Bei dem Smbpasswd-
Backend handelt es sich um eine ASCII-
Textdatei, die alle Benutzerinformationen
aufnimmt. Dieses Backend sollte man
heute nicht mehr benutzen, denn es hat
verschiedene Nachteile – so sind zum
Beispiel immer nur schreibende Zugriffe
gleichzeitig möglich.
2. »tdbsam«: Das Tdbsam-Backend ist
das Standard-Backend nach der Samba-
Installation und ist auf jeden Fall ausreichend,
wenn nur ein PDC einzurichten
ist und nicht mehr als 250 Benutzer zu
verwalten sind. Da die Replikation auf
einen anderen Server aber nicht so einfach
ist, ist die Einrichtung eines BDCs
kompliziert und auch recht unsicher.
3. »ldapsam«: Das Ldapsam-Backend unterliegt
keiner Größenbeschränkung und
es lassen sich beliebig viele BDCs eingerichten.
Allerdings braucht man dafür
auf jeden Fall eine LDAP-Infrastruktur.
Dafür ist das Backend dann aber auch
so flexibel, dass selbst Linux- und OS-
X-Clients die Authentifizierung zentral
abwickeln können.
Der vorliegende Artikel beschränkt sich
auf das Tdbsam-Backend und erklärt nur
46 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba-Domäne
Schwerpunkt
Abbildung 1: Darstellung der globalen Parameter im SWAT.
Die Ausgaben von »testparm« zeigen
auch, dass der Samba-Server jetzt die
Rolle des PDCs übernimmt. Damit ist
die Grundkonfiguration des PDCs abgeschlossen.
Im nächsten Schritt geht es darum,
die Voraussetzungen für den Betrieb
als Domänencontroller herzustellen.
Neben der Möglichkeit, die Parameter mit
einem Editor direkt in die Datei »smb.
conf« zu schreiben, bringt Samba das
webbasierte Tool SWAT mit. Mithilfe dieses
Tools kann die gesamte Konfiguration
auch grafisch durchgeführt werden. Ist
zusätzlich zum SWAT auch noch das Paket
»samba‐doc« installiert, ist zu jedem
Parameter auch eine Hilfe verfügbar. Der
SWAT bringt einen eigenen Web-Server
mit, der aber nicht selbstständig gestartet
werden kann. Der SWAT benötigt
immer den »xinetd« für den Start und
der wiederum braucht eine passende
Konfigurationsdatei. Die muss dann in
dem Verzeichnis »/etc/xinetd.d« abgelegt
werden. Listing 3 zeigt diese Konfigurationsdatei.
Der Parameter »only_from« muss an die
eigene Umgebung angepasst oder ganz
aus der Konfiguration entfernt werden.
Dieser Parameter regelt den Zugriff
am Ende, welche Änderungen vorzunehmen
sind, um einen PDC und einen BDC
zusammen mit einem LDAP-Server zu
betreiben.
PDC-Einstellungen
Die gesamte Konfiguration des Samba-
Servers landet immer in der Datei »/etc/
samba/smb.conf«. Um den Samba-Server
als PDC zu konfigurieren, bedarf es dort
der Einstellungen aus Listing 1. Neben
diesen Parametern kann man auch gleich
die ersten Freigaben eintragen.
Ein wichtiger Parameter ist der NetBios-
Name der Windows-Domäne, den der
Parameter »workgroup = ADMINDOM«
definiert. Der Parameter »server string
= \%h Samba Admin‐Magazin« erzeugt
einen Kommentar in der Netzwerkumgebung
der Windows-Clients. Die Variable
»%h« übernimmt den NetBios-Name des
PDCs, den der Eintrag »netbios name =
Admin‐Magazin« festlegt. Ist dieser Parameter
nicht gesetzt, wird der Hostname
des Linux-Systems als NetBios-Name
verwendet.
Der Parameter »domain master = yes«
sorgt dafür, dass der Samba-Server als
PDC fungiert. Setzt der Admin diesen
Wert auf »no«, arbeitet der Samba-Server
als BDC. Der Parameter »domain logons
= yes« erlaubt das Anmelden von Benutzern.
Er muss sowohl beim PDC als auch
beim BDC auf »yes« gesetzt sein. Der
Parameter »os level = 99« legt fest, wie
viele Punkte der Samba-Server bei der
Wahl des Master-Browsers in der Domäne
hat. Mit einem Wert von »99« gewinnt
der Samba-Server die Wahl immer und
fungiert so immer als Master-Browser.
Hat man die Einträge in der »smb.conf«
vorgenommen, sollte man die Datei auf
jeden Fall auf Syntaxfehler prüfen. Das
klappt mit dem Kommando »testparm« –
wie, demonstriert Listing 2.
Das Verfahren nach Listing 2 zeigt alle
Parameter und auch etwaige Syntaxfehler
an. Die Meldung zu »rlimit_max: ...« ist
lediglich ein Hinweis, dass der Wert mit
»1024« zu gering ist und nach oben korrigiert
wurde. Diese Meldung kann der Tester
einfach ignorieren. Wer sie dauerhaft
loswerden will, findet Hinweise in [1].
Listing 2: Syntaxcheck
01 root@samba:~# testparm
02 Load smb config files from /etc/samba/smb.conf
03 rlimit_max: rlimit_max (1024) below minimum Windows
limit (16384)
04 Loaded services file OK.
05 Server role: ROLE_DOMAIN_PDC
06 Press enter to see a dump of your service definitions
07
08 [global]
09 workgroup = ADMINDOM
10 netbios name = ADMIN‐MAGAZIN
11 server string = \%h Samba Admin‐Magazin
12 domain logons = Yes
13 os level = 99
14 domain master = Yes
Listing 3: SWAT-Konfiguration
01 service swat
02 {
03 port = 901
04 socket_type = stream
05 wait = no
06 only_from = 192.168.123.2
07 user = root
08 server = /usr/sbin/swat
09 log_on_failure += USERID
10 disable = no
www.admin-magazin.de
Admin
Ausgabe 02-2013
47

Schwerpunkt
Samba-Domäne
auf den SWAT. Nach dem Neustart des
»xinetd« lässt sich SWAT über »http://
IP‐des‐Samba‐Servers:901« erreichen. In
Abbildung 1 wird der »global«-Bereich
der »smb.conf« dargestellt.
Einrichten von Gruppen
In der Windows-Welt gibt es bestimmte
Gruppen, die auf jeden Fall benötigt werden,
um eine Domäne zu verwalten. Die
Listing 5: Erforderliche Mappings
01 root@samba:~# net groupmap list verbose
02 Domaincomputer
Listing 4: Group Mappings
01 root@samba:~# groupadd domadmins
02
03 root@samba:~# net groupmap add ntgroup="Domainadmins"
rid=512
04 unixgroup=domadmins type=d
05 Successfully added group Domainadmins to the mapping
db as a domain group
06
07 root@samba:~# net groupmap list verbose
08 Domainadmins
09 SID : S‐1‐5‐21‐2851015207‐2192045402‐8860768
09‐512
10 Unix gid : 1001
11 Unix group: domadmins
12 Group type: Domain Group
13 Comment : Domain Unix group
03 SID : S‐1‐5‐21‐2851015207‐2192045402‐8860768
09‐515
04 Unix gid : 1004
05 Unix group: domcomputer
06 Group type: Domain Group
07 Comment : Domain Unix group
08 Domainadmins
09 SID : S‐1‐5‐21‐2851015207‐2192045402‐8860768
09‐512
10 Unix gid : 1001
11 Unix group: domadmins
12 Group type: Domain Group
13 Comment : Domain Unix group
14 Domainbenutzer
15 SID : S‐1‐5‐21‐2851015207‐2192045402‐8860768
09‐513
16 Unix gid : 1002
17 Unix group: dombenutzer
18 Group type: Domain Group
19 Comment : Domain Unix group
20 Domaingaeste
21 SID : S‐1‐5‐21‐2851015207‐2192045402‐8860768
09‐514
22 Unix gid : 1003
23 Unix group: domgaeste
24 Group type: Domain Group
25 Comment : Domain Unix group
Tabelle 1: Gruppen
Tabelle 1 zeigt eine Übersicht aller vorkommenden
Gruppen.
Es gibt drei Gruppen, die unbedingt angelegt
werden müssen. Eigentlich wäre
dabei die Gruppe »Domänencomputer«
nicht unbedingt erforderlich, es ist aber
dennoch sinnvoll sie anzulegen, da später
auch die Computerkonten im Samba
verwaltet werden sollen. Wichtig bei den
Gruppen ist nicht der Name, sondern der
RID (relative identifier). Der RID macht
die Gruppe in der Domäne eindeutig und
wird bei jedem Objekt immer an den SID
der Domäne angehängt. Der SID einer
Domäne kann mit dem Kommando »net
getlocalsid« anzeigt werden. Die Gruppen
»Domänenadmins« und »Domänenbenutzer«
sind besonders wichtig, da diese
später beim Hinzufügen eines Clients in
die Domäne in die entsprechenden lokalen
Gruppen auf dem Client eingefügt
werden. Diese Zuordnung realisiert der
RID.
Im ersten Teil der Tabelle 1 befinden sich
alle Gruppen die für die Domäne benötigt
werden. Im zweiten Teil befinden sich
die Builtin-Gruppen. Bei diesen Gruppen
handelt es sich im Windows-System
immer um lokale Gruppen, die nur auf
dem jeweiligen System gültig sind. Diese
Gruppen müssen immer dann angelegt
werden, wenn der Samba-Server Mitglied
einer Windows-Domäne oder Mitglied
im Active Directory wird. Damit
sich diese Gruppen anlegen lassen, muss
unbedingt »winbind« konfiguriert und
gestartet sein.
Bei den Domänengruppen handelt es sich
immer um Group Mappings. Ein Group
Mapping verweist immer auf eine existierende
Linux-Gruppe, es stellt eine Verbindung
zwischen der Linux-Welt und
der Windows-Welt her. Das Anlegen eines
Group Mappings besteht daher aus
zwei Schritten. Im ersten Schritt wird
die Linux-Gruppe erzeugt und im zweiten
Schritt das Mapping. Listing 4 zeigt
das Anlegen des Group Mappings für die
Gruppe der Domänenadmins:
Im ersten Schritt wurde nur eine Linux-
Gruppe erzeugt. Die dabei vergebene
GID ist nicht relevant. Im zweiten Schritt
kommt dann das Group Mapping hinzu.
Hier kann man sehen, dass der RID »512«
angegeben wurde, um die Gruppe auch
im Windows-System eindeutig als die
der Domänenadministratoren zu kennzeichnen.
Schließlich kann die Liste aller
Group Mappings mit »groupmap list
verbose« angezeigt werden. Hier ist zu
sehen, dass der Gruppen-SID sich aus
dem Domänen-SID und dem RID zusammensetzt.
So müssen jetzt alle weiteren benötigten
Gruppen angelegt werden, auf jeden Fall
aber die Gruppen Domänenbenutzer, Do-
Gruppenname RID benötigt englische Bezeichnung
Domänenadmins 512 Ja Domainadmins
Domänenbenutzer 513 Ja Domainusers
Domänengäste 514 Ja Domainguests
Domänencomputer 515 Nein Domain Computers
Domänencontroller 516 Nein Domain Controllers
Domänen-Certificate-Administratoren 517 Nein Domain Certificate Admins
Domänen-Schema-Administratoren 518 Nein Domain Schema Admins
Domänen-Enterprise-Administratoren 519 Nein Domain Enterprise Admins
Domänen-Policy-Administratoren 520 Nein Domain Policy Admins
Builtin-Administratoren 544 Nein Administrators
Builtin-Benutzer 545 Nein Users
Builtin-Gäste 546 Nein Guests
Builtin-Hauptbenutzer 547 Nein Power Users
Builtin-Zugriffsoperator 548 Nein Account Operators
Builtin-System-Operator 549 Nein Server Operators
Builtin-Drucker-Operator 550 Nein Print Operators
Builtin-Backup-Operator 551 Nein Backup Operators
Builtin-Replikator 552 Nein Replicator
Builtin-RAS-Server 553 Nein RAS Servers
48 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba-Domäne
Schwerpunkt
mänengäste und Domänencomputer mit
den entsprechenden RIDs (das Ergebnis
zeigt Listing 5). Erst danach kann es
mit der Einrichtung der Domäne weitergehen.
Später kann der Admin weitere
Group Mappings – zum Beispiel globale
Gruppen für die Vergabe von Rechten
auf Windows-Systemen – einrichten, die
er benötigt. Dabei braucht man keine
RIDs anzugeben, die ermittelt das System
dann selbstständig.
Einrichten des
Domainadministrators
Nichts geht in einer Windows-Domäne
ohne den Domänenadministrator, der
wiederum bestimmte Privilegien braucht,
die ihm bestimmte Systemrechte gewähren,
wie zum Beispiel das Recht, Clients
zur Domäne hinzuzufügen. Eine Übersicht
über alle Privilegien zeigt die folgende
Tabelle 2.
Die Liste der Privilegien zeigt auch das
Kommando »rpcclient localhost ‐U% ‐c
enumprivs« auf dem Samba-Server an.
Einerseits braucht der Domänenadministrator
mindestens das Privileg »SeMachineAccountPrivilege«,
andererseits kann
nur ein Mitglied der Gruppe Domänenadministratoren
Privilegien vergeben.
Das bedeutet, der Domänenadministrator
muss sich das Privileg selbst geben.
Listing 6 zeigt, wie der Domänenadministrator
dabei vorgehen muss.
Im ersten Schritt wird der entsprechende
Linux-Benutzer angelegt, denn auch hier
muss es immer einen Linux-Benutzer
zum Samba-Benutzer geben, wie schon
bei den Group Mappings. Ob der Administrator
ein Linux-Passwort erhält, hängt
davon ab, ob der Administrator sich später
auch am Linux-System anmelden können
soll. Wenn das nicht gewünscht ist,
braucht er kein Linux-Passwort.
Privileg
Tabelle 2: Privilegien
SeMachineAccountPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege
Bedeutung
Im zweiten Schritt wird der Samba-Benutzer
mit dem Kommando »pdbedit ‐a ‐u
administrator ‐G 512 ‐c "[UX]"« angelegt.
Hier ist es wichtig, dass auf jeden Fall mit
»‐G 512« die Gruppe Domain admins als
primäre Gruppe angeben wird. Die Flags
»[UX]« legen fest, dass es sich um einen
Benutzer (»U«) handelt und das Passwort
nie abläuft (»X«).
Im dritten Schritt wird mit »su ‐ administrator«
die Identität des Benutzers »administrator«
angenommen. Dann wird das
Privileg »SeMachineAccountPrivilege« für
ihn vergeben. Jetzt existiert ein Domänenadministrator,
der später auch Clients
in die Domäne aufnehmen kann.
Einrichten von Benutzern in
der Domäne
Nachdem jetzt alle Voraussetzungen für
den Betrieb einer Domäne geschaffen
wurden, kann man nun damit beginnen,
die Gruppen und die Benutzer einzurichten.
Bei den Gruppen sollte der Admin
dabei die folgenden Überlegungen anstellen:
n Soll die Gruppe nur für die Vergabe
von Berechtigungen auf diesem Host
dienen? Dann ist lediglich eine Linux-
Gruppe zu erzeugen, die Linux-Benutzer
aufnimmt.
n Soll die Gruppe dazu verwendet werden,
um Benutzer zusammenzufassen
und anschließend Berechtigungen
auf einem anderen Fileserver in der
Domäne zu vergeben? Dann spielt
es keine Rolle, ob es sich um einen
anderen Samba-Server oder einen
Windows-Server handelt, es muss ein
Group Mapping erzeugt werden. Alle
weiteren Group Mappings können so
angelegt werden, wie schon die Domänengruppen
zur Vorbereitung der
Domäne, nur das man jetzt den RID
Hosts in Domäne aufnehmen
Besitz an Verzeichnisseinträgen übernehmen
Unabhängig von Berechtigungen Daten lesen
Unabhängig von Berechtigungen Daten schreiben
Systeme remote ausschalten
Für den Verwalter des Printservers
Benutzer und Gruppen hinzufügen und diese verwalten
Rechtevergabe in Windows-Freigaben
nicht vorgeben muss, er wird automatisch
vergeben.
Alle weiteren Benutzer legt der Admin
mit »pdbedit« an (genau wie im Beispiel
den Domänenadministrator). Alle Einstellungen
der Benutzer im folgenden
Listing 6: Privilegienvergabe
01 root@samba:~# useradd ‐g domadmins ‐G users ‐m ‐s /
bin/bash administrator
02
03 root@samba:~# passwd administrator
04 Geben Sie ein neues UNIX‐Passwort ein:
05 Geben Sie das neue UNIX‐Passwort erneut ein:
06 passwd: Passwort erfolgreich geändert
07
08 root@samba:~# pdbedit ‐a ‐u administrator ‐G 512 ‐c
"[UX]"
09 new password:
10 retype new password:
11 Unix username: administrator
12 NT username:
13 Account Flags: [U ]
14 User SID: S‐1‐5‐21‐2851015207‐2192045402‐88607
6809‐1000
15 Primary Group SID: S‐1‐5‐21‐2851015207‐2192045402‐8
86076809‐512
16 Full Name:
17 Home Directory: \\admin‐magazin\administrator
18 HomeDir Drive:
19 Logon Script:
20 Profile Path: \\admin‐magazin\administrator\
profile
21 Domain: ADMINDOM
22 Account desc:
23 Workstations:
24 Munged dial:
25 Logon time: 0
26 Logoff time: 9223372036854775807 seconds since
the Epoch
27 Kickoff time: 9223372036854775807 seconds since
the Epoche
28 Passwort last set: Do, 03 Jan 2013 13:07:54 CET
29 Passwort Caen change: Do, 03 Jan 2013 13:07:54 CET
30 Passwort Muts change: never
31 Last Bad Passwort : 0
32 Bad password count : 0
33 Login Ohrs : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFF
34
35 root@samba:~# su administrator
36 administrator@samba:/root$ net rpc rights grant
ADMINDOM\\administrator SeMachineAccountPrivilege ‐S
localhost
37 Enter administrator's password:
38 Successfully granted rights.
39
40 administrator@samba:/root$ net rpc rights list
ADMINDOM\\administrator
41 Enter administrator's password:
42 SeMachineAccountPrivilege
www.admin-magazin.de
Admin
Ausgabe 02-2013
49

Schwerpunkt
Samba-Domäne
Listing, lassen sich über Parameter beim
Anlegen ändern. Alle Parameter und deren
Beschreibung werden sehr gut in der
Manpage zum Kommando »pdbedit« erklärt.
Listing 7 zeigt, wie man ein Group
Mapping und einen Benutzer anlegt.
Dieses Mal wurde bei dem Group Mapping
der Name der Linux-Gruppe und
der Name des Group Mappings identisch
vergeben, das macht keine Probleme.
Auch wird der RID hier nicht vorgegeben,
sondern vom System automatisch
ermittelt. Der Linux-Benutzer hat kein
Passwort erhalten, da sich dieser Benutzer
später nicht auf dem Linux-System
anmelden soll, sondern nur auf einem
Windows-Client in der Domäne. Nach
diesem Muster lassen sich jetzt weitere
Gruppen und Benutzer anlegen.
Die Gruppenmitgliedschaften der Benutzer
regeln immer die Linux-Gruppen, das
Group Mapping sorgt dafür, dass die Mitglieder
auch auf den Windows-System in
der Domäne bekannt sind.
Clients in der Domäne
Damit sich Windows-Clients in die Domäne
aufnehmen lassen, muss für jeden
Windows-Client auch ein Konto in der
Domäne existieren. Dieses Konto muss
01 root@samba:~# groupadd autoren
02
Listing 7: Weitere Benutzer und Gruppen anlegen
03 root@samba:~# net groupmap add ntgroup="autoren"
unixgroup=autoren type=d
04 No rid or sid specified, choosing a RID
05 Got RID 1001
06 Successfully added group autoren to the mapping
db as a domain group
07
08 root@samba:~# useradd ‐g dombenutzer ‐G autoren
‐m ‐s /bin/bash skania
09
10
11 root@samba:~# useradd ‐g dombenutzer ‐G autoren
‐m ‐s /bin/bash skania
12 root@samba:~# pdbedit ‐a ‐u skania ‐G 513 ‐c
"[U]" ‐f "Stefan Kania"
13 new password:
14 retype new password:
15 Unix username: skania
16 NT username:
17 Account Flags: [U ]
18 User SID: S‐1‐5‐21‐2851015207‐2192045402‐
886076809‐1002
19 Primary Group SID: S‐1‐5‐21‐2851015207‐2192045
Abbildung 2: Hinzufügen eines Clients zur Domäne.
immer den NetBios-Namen des Windows-Clients
haben. Das Konto kann
entweder für jeden Host von Hand oder
über ein Skript automatisch angelegt werden,
sobald ein Client in die Domäne
aufgenommen wird. Will man die Konten
von Hand anlegen, geht man so vor wie
im Listing 8.
402‐886076809‐513
20 Full Name: Stefan Kania
21 Home Directory: \\admin‐magazin\skania
22 HomeDir Drive:
23 Logon Script:
24 Profile Path: \\admin‐magazin\skania\
profile
25 Domain: ADMINDOM
26 Account desc:
27 Workstations:
28 Munged dial:
29 Logon time: 0
30 Logoff time: 9223372036854775807 seconds
since the Epoch
31 Kickoff time: 9223372036854775807 seconds
since the Epoch
32 Password last set: Fr, 04 Jan 2013 11:14:33
CET
33 Password can change: Fr, 04 Jan 2013 11:14:33
CET
34 Password must change: never
35 Last bad password : 0
36 Bad password count : 0
37 Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFF
Der erste Schritt erzeugt ein Linux-Konto
für den Client, so wie zuvor für einen
Benutzer. Wichtig ist das Dollarzeichen
hinter dem Namen, denn daran wird ein
Clientkonto von einem Benutzerkonto
unterschieden. Im zweiten Schritt wird
dann wieder mit »pdbedit« das Samba-
Konto angelegt. Wichtig ist dabei, hier
den Gruppen-RID »515« und die Flags
»[UW]« zu setzen. Dadurch wird auch
für Windows klar, dass es sich hierbei um
ein Client-Konto handelt.
Die andere Möglichkeit, Clientkonten
zu erzeugen, führt über ein Skript, das
während des Beitritts eines Clients zur
Domäne abläuft. Dieses Skript wird in
die Datei »smb.conf« in den »[global]«-
Bereich eingefügt:
add machine script = /usr/sbin/useradd ‐d U
/var/lib/nobody ‐g domcomputer ‐s /bin/2 Pt
false ‐M %u
Dann erstellt der Samba-Server die benötigten
Konten selbstständig. Nach dem
Beitritt zur Domäne lassen sich die Konten
mit »getent passwd« und »pdbedit ‐L«
auch auflisten. Wer Windows 7-Clients in
die Domäne aufnehmen will, der muss
übrigens vorher die Registry patchen.
Hinweise dazu gibt es unter [2].
Nachdem das Client-Konto erzeugt
wurde, lässt sich der Client wie gewohnt
in die Domäne aufnehmen. Abbildung 2
zeigt diesen Vorgang.
50 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba-Domäne
Schwerpunkt
Nachdem der Benutzername und das
Passwort betätigt wurden, kommt nach
einiger Zeit die Meldung »Wilkommen
in der Domäne ADMINDOM«. Nach einem
Neustart des System können sich die
Samba-Benutzer anmelden.
Home-Verzeichnisse zentral
verwalten
Für die Verwaltung der Benutzerverzeichnisse
gibt es im Samba eine spezielle
Freigabe, über die für jeden Anwender
automatisch ein eigenes Heimatverzeichnis
auf dem Server erstellt wird. Zusätzlich
lässt sich dann auch noch der Laufwerksbuchstabe
festlegen, unter dem der
Benutzer sein Verzeichnis im Explorer
sehen kann.
Als Erstes muss man die Freigabe, wie
in Listing 9 zu sehen, in die »smb.conf«
eintragen. Der Name der Freigabe muss
»[homes]« lauten, damit Samba die Heimatverzeichnisse
zuordnen kann. In
Listing 9 ist zu sehen, dass bei der Freigabe
kein Pfad zu einem Verzeichnis angegeben
wird. Ihn ermittelt Samba über
die Benutzerinformationen selbstständig
und gibt ihn dann für den Benutzer frei.
Im Beispiel wird dann noch über weitere
Parameter dafür gesorgt, dass nur der
Besitzer Rechte an neuen Einträgen hat
und auch keine Rechte an »others« vergeben
kann.
Anschließend lassen sich mit »pdbedit
‐v ‐L Benutzer« die Eigenschaften eines
Benutzerkontos anzeigen. Der Parameter
»Home Directory« verweist bereits auf die
entsprechende Freigabe auf dem Server.
Fehlt nur noch der Parameter für »Home
Drive« mit dem festgelegt werden kann,
mit welchem Laufwerksbuchstaben das
Benutzererzeichnis verbunden wird.
Diesen Parameter setzt das Kommando
»pdbedit ‐D "H:" Benutzer«. Wenn sich
ein Benutzer jetzt auf einem Client in
der Domäne anmeldet, verbindet ihn der
Explorer automatisch mit seinem Heimatverzeichnis
und zeigt es an.
Servergespeicherte Profile
Neben der zentralen Verwaltung der
Home-Verzeichnisse ist die Verwaltung
der servergespeicherten Profile ein weiterer
wichtiger Punkt bei der Benutzerverwaltung.
Damit die Profile der Benutzer
Wie auch unter Windows ist es in einer
Samba-Domäne möglich, Kontenrichtlinen
zu setzen, um die Passwortsicherheit
zu erhöhen. Die Richtlinen werden hier
wieder mit dem Kommando »pdbedit«
geändert (Listing 10 zeigt die Änderung
der Werte).
Selbstverständlich lassen sich in einer
Samba-Domäne auch Logon-Skripte verwenden.
Dazu erzeugt man, wie unter
Windows üblich, eine Batchdatei mit den
entsprechenden Befehlen. Es empfiehlt
sich die Batchdatei unter Windows anzentral
verwaltet werden können, muss
als Erstes geprüft werden, ob das Dateisystem,
auf dem sich die Profile befinden,
Access Control Lists (ACLs) unterstützt.
Ohne ACLs funktionieren die servergespeicherten
Profile nicht. Bei Suse sind
bei allen Dateisystemen, die die Installation
anlegt, die ACLs schon aktiviert.
Bei Debian und Ubuntu muss der Parameter
nachträglich in der Datei »fstab«
eingestellt werden. Dazu wird die Datei
»/etc/fstab« wie im folgenden Beispiel
angepasst:
UUID=ea1552d5‐9756‐4b13‐9b1d‐7e197e16e4b8U
/ ext3 errors=remount‐ro,acl 0 1
Anschließend wird das Dateisystem
neu gemoutet. Das geschieht mit dem
Kommando »root@samba:~# mount ‐o
remount,rw /«. Anschließend sollten die
aktivierten ACLs nach der Eingabe von
»mount« zu sehen sein.
Es ist sinnvoll, alle Dateisysteme, auf die
von Windows aus zugegriffen werden
soll, mit der Option »acl« zu mounten,
denn dann lassen sich später in der Domäne
über den Explorer eines Windows-
Clients die Dateisystemrechte ändern.
Legt man das Verzeichnis für die Profilfreigabe
an, ist darauf zu achten, dass
die Rechte so gesetzt sind, dass »others«
alle Rechte hat. Sonst kann das Verzeichnis
für das Profil nicht angelegt werden,
wenn der Benutzer sich das erste Mal
anmeldet. Jetzt braucht es noch eine Freigabe
für die Profile und die Anpassung
der Benutzer. Der folgende Konfigurationsausschnitt
zeigt den Eintrag für die
Freigabe in der Datei »smb.conf«:
[profile]
comment = Profil‐Dir der Benutzer
path = /profile
browsable = no
read only = no
profile acls = yes
Wichtig bei dieser Freigabe ist der Parameter
»profile acls = yes«, denn Windows
muss beim Anlegen des Profilverzeichnis
bestimmte ACL setzen, um den
exklusiven Zugriff auf das Profil steuern
zu können. Passt man jetzt noch mit dem
Kommando »pdbedit ‐p '\\admin‐magazin\profile\Benutzer'
Benutzer« den Eintrag
in der Datenbank an, können die
Benutzer ihre Profile zentral speichern.
Neue Benutzer erhalten mit den Parameter
»‐p« das richtige Profilverzeichnis.
Listing 8: Konten anlegen
01 root@samba:/# useradd ‐g domcomputer ‐s /bin/false
'win7$'
02
03 root@samba:/# pdbedit ‐a ‐m win7 ‐G 515 ‐c "[UW]" ‐p
"" ‐h""
04 Unix username: win7$
05 NT username:
06 Account Flags: [W ]
07 User SID: S‐1‐5‐21‐2851015207‐2192045402‐88607
6809‐1009
08 Primary Group SID: S‐1‐5‐21‐2851015207‐2192045402‐8
86076809‐515
09 Full Name:
10 Home Directory:
11 HomeDir Drive:
12 Logon Script:
13 Profile Path:
14 Domain: ADMINDOM
15 Account desc:
16 Workstations:
17 Munged dial:
18 Logon time: 0
19 Logoff time: 9223372036854775807 seconds since
the Epoch
20 Kickoff time: 9223372036854775807 seconds since
the Epoch
21 Password last set: Sa, 05 Jan 2013 13:00:47 CET
22 Password can change: Sa, 05 Jan 2013 13:00:47 CET
23 Password must change: never
24 Last bad Passwort : 0
25 Bad password count : 0
26 Login hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFF
01 [homes]
Listing 9: Freigabe eintragen
02 comment = Heimatverzeichnisse der Benutzer
03 read only = no
04 valid users = %S
05 force create mode = 0700
06 security mask = 0700
07 force directory mode = 0700
08 directory security mask = 0700
09 inherit owner = yes
www.admin-magazin.de
Admin
Ausgabe 02-2013
51

Schwerpunkt
Samba-Domäne
Listing 10: Kontenrichtlinien
01 root@samba:/# pdbedit ‐P "maximum password age" ‐C
7776000
02 account policy "maximum password age" description:
Maximum password age, in seconds (default: ‐1 =>
never expire passwords)
03 account policy "maximum password age" value was:
4294967295
04 account policy "maximum password age" value is now:
7776000
05
06 root@samba:/# pdbedit ‐P "min password length" ‐C 5
07 account policy "min password length" description:
Minimal password length (default: 5)
08 account policy "min password length" value was: 5
09 account policy "min password length" value is now: 5
10
11 root@samba:/# pdbedit ‐P "password history" ‐C 20
12 account policy "password history" description: Length
of Password History Entries (default: 0 => off)
13 account policy "password history" value was: 0
14 account policy "password history" value is now: 20
15
16 root@samba:/# pdbedit ‐P "bad lockout attempt" ‐C 3
17 account policy "bad lockout attempt" description:
Lockout users after bad logon attempts (default: 0
=> off)
18 account policy "bad lockout attempt" value was: 0
19 account policy "bad lockout attempt" value is now: 3
20
21 root@samba:/# pdbedit ‐P "lockout duration" ‐C 180
22 account policy "lockout duration" description:
Lockout duration in minutes (default: 30, ‐1 =>
forever)
23 account policy "lockout duration" value was: 30
24 account policy "lockout duration" value is now: 180
01 [NETLOGON]
02 comment = Netlogon Freigabe
03 path = /netlogon
04 readonly = yes
05 write list = administrator
06 browsable = no
Listing 11: Netlogon-Freigabe
Listing 12: Verschachtelte Gruppen
01 root@samba:~# net rpc group add localgroup ‐L
‐Uadministrator
02 Enter administrator's password:
03 Added alias 'localgroup'.
04
05 root@samba:~# net rpc group addmem localgroup
domainbenutzer ‐Uadministrator
06 Enter administrator's password:
07
08 root@samba:~# net rpc group members localgroup
‐Uadministrator
09 Enter administrator's password:
10 ADMINDOM\Domainbenutzer
zulegen, so geht man sicher, dass sie die
passende Zeilenende-Kodierung hat. Anschließend
muss man eine Freigabe wie
in Listing 11 erstellen und die Batchdatei
in die Freigabe kopieren.
Die Freigabe wird nur read-only freigegeben,
und nur der Domänenadministrator
erhält explizit das Schreibrecht. Wichtig
ist nur, dass die Benutzer für das Verzeichnis
und die Batchdateien Lese- und
Ausführungsrechte haben.
Es gibt zwei Möglichkeiten, das Batchskript
den Benutzern zuzuweisen:
Im ersten Fall verwendet man für alle
Benutzer dasselbe Skript, in dem im
»[global]«-Bereich der Parameter »logon
script = skriptname.bat« gesetzt ist. Dabei
braucht hier nur der Dateiname ohne
Pfad angegeben werden, da die Logonskripte
relativ zur Freigabe NETLOGON
gesucht werden. Die zweite Möglichkeit
ist die, jedem Benutzer ein eigenes
Logon-Skript zuzuweisen. Das realisiert
das Kommando »pdbedit«. Dabei ist aber
der komplette Pfad nötig: »pdbedit ‐S '\\
admin‐magazin\netlogon\scriptname.
bat' Benutzer«.
Konfiguration von Winbind
Bis zu diesem Zeitpunkt ist der PDC alleine
in der Domäne, und es gibt keinen
weiteren Windows oder Samba-Server.
Wenn die Domäne aber später durch einen
weiteren Samba- oder Windows-Server
erweitert werden soll, oder wenn man
die verschachtelten Gruppen aus dem
nächsten Abschnitt einsetzen möchte,
dann ist der Dienst »winbind« nötig.
Winbind ist ein eigenständiger Dienst,
der aber Bestandteil von Samba ist. Sobald
»winbind« zum Einsatz kommt,
muss der Nameservice Caching Daemon
»nscd« auf jeden Fall gestoppt werden,
die beiden Dienste vertragen sich nicht!
Bei Debian und Ubuntu ist Winbind ein
Extra-Paket. Konfiguriert wird er ebenfalls
via »smb.conf«. Für die Verwendung
von Winbind ist der »[global]«-Bereich
wie folgt zu erweitern:
[global]
winbind separator = +
idmap uid = 10000‐20000
idmap gid = 10000‐20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
Die beiden Parameter »idmap uid« und
»idmap gid« dienen dazu, die UIDs und
GIDs der Windows-Benutzer auf Linux-
IDs zu mappen. Durch die beiden Parameter
»winbind enum users« und »winbind
enum groups« werden die Benutzer
und Gruppen dann auch im System
mit »getent passwd« und »getent group«
sichtbar und können für die Vergabe von
Rechten auf dem Linux-System verwendet
werden.
Extrawurst
Normalerweise werden die Benutzer
und Gruppen, die »winbind« aus einem
Windows-System oder von einem anderen
Samba-Server einbindet, in der Form
»Domäne/Benutzer« dargestellt. Unter
Linux kann »/« aber so nicht verwendet
werden, weil das der Pfadtrenner
ist. Deshalb ist es sinnvoll, den Slash
mit dem Parameter »winbind separator
= +« zu ersetzen. Überprüft man anschließend
mit »testparm« die Syntax,
erscheint die Warnung »'winbind separator
= +' might cause problems with
group membership.«. Diese Warnung ist
nur dann von Relevanz, wenn man noch
NIS einsetzt.
Gibt es in einem Netzwerk nur eine
Domäne, ist an Stelle des Parameters
»winbind separator« auch der Parameter
»winbind use default domain = yes«
möglich. Dann wird der Domänenteil des
Benutzers und der Gruppen abgeschnitten,
und die Darstellung im System ist
identisch mit der der lokalen Benutzer
und Gruppen. Dabei ist darauf zu achten,
dass die Namen eindeutig sind und nicht
sowohl in der Domäne als auch lokal
existieren. Werden mehrere Domänen
verwendet oder werden Vertrauensstellungen
zu anderen Domänen hergestellt,
ist dieser Parameter nicht verwendbar, da
die Benutzer sonst nicht eindeutig einer
Domäne zuzuweisen sind.
Verschachtelte Gruppen
Unter Windows ist es üblich, die Benutzer
auf dem Domänencontroller in
Gruppen zusammenfassen und dann
diese Gruppe auf einem Fileserver einer
lokalen Gruppe zuzuordnen. Die lokalen
Gruppen erhalten dann Rechte im
Dateisystem. Das funktioniert auch mit
52 Ausgabe 02-2013 Admin www.admin-magazin.de

Samba-Domäne
Schwerpunkt
Samba, das Verfahren nennt sich hier
Nested Groups. Damit es anwendbar ist,
muss eine Domäne eingerichtet und Winbind
muss konfiguriert sein. Dazu gehört
auch, die Anpassung der Datei »/ etc/
nsswitch.conf « in dieser Weise:
passwd:
group:
compat winbind
compat winbind
Der »[global]«-Bereich in der »smb.conf«
ist um die Zeile »winbind nested groups
= yes« zu ergänzen. Dann lassen sich –
wie in Listing 12 gezeigt – verschachtelte
Gruppen einrichteten. Alle Schritte dafür
obliegen dem Domänenadministrator.
Der erste Schritt erzeugt mit dem Parameter
»‐L« eine lokale Gruppe, in der
dann die Domänengruppen als Mitglieder
eingetragen werden. Der zweite Schritt
fügt die Gruppe »domainbenutzer« als
Mitglied zur Gruppe »localgroup« hinzu.
Der dritte Schritt überprüft den Erfolg.
Wenn jetzt die Gruppe »localgroup« im
Dateisystem Rechte erhält, haben alle
Mitglieder der Gruppe »domainbenutzer«
diese Rechte im Dateisystem.
Da Linux verschachtelte Gruppen nicht
unterstützt, zeigen »getent group« oder
»wbinfo ‐g« die lokale Gruppe nicht an.
Alle Aktionen mit der Gruppe brauchen
immer das Kommando »net rpc group«.
Einrichten eines Ldapsam-
Backend
Wie schon eingangs versprochen, folgt
jetzt noch die Konfiguration von LDAP als
Passdb-Backend. Voraussetzung dafür ist
ein funktionsfähiger LDAP-Server, in den
das »samba.schema« eingebunden ist,
weil für die Benutzer zusätzlich zu den
POSIX-Attributen jetzt noch die Samba-
Attribute erzeugt werden müssen.
Der große Vorteil von LDAP ist, dass die
Benutzer und Gruppen nur noch einmal
anlegt werden müssen. Die Benutzerverwaltung
lässt sich dann mithilfe der
Skriptesammlung »smbldap‐tools« durchführen
oder aber grafisch zum Beispiel
mit dem LDAP Account Manager, einem
webbasiertem Werkzeug. Die aktuellen
Pakete von »smbldap‐tools« sind unter
[4] zu finden, der LDAP Account Manager
unter [5]. Das Listing 13 zeigt,
wie man den »[global]«-Bereich für die
Verwendung von LDAP, sowohl auf dem
PDC als auch auf allen BDCs anpasst,
Jetzt verwendet Samba LDAP als Passdb-
Backend. Damit Samba die Objekte auch
im LDAP eintragen kann, muss man das
Passwort für den LDAP-Administrator
noch in die Datei »secrets.tdb« eintragen.
Das erledigt das Kommando »smbpasswd
‐W «. Samba erzeugt dann im
LDAP ein Objekt für die Samba-Domäne.
Von dem Zeitpunkt an verwendet Samba
den LDAP-Server für die Benutzerverwaltung.
Aussichten auf Samba 4
Mit der im Dezember veröffentlichten
Version 4 von Samba ändert sich einiges.
Damit lässt sich nicht nur ein Primary
oder Backup Domain Controller einrichten,
sondern auch ein Active Directory
Domänencontroller. Auch kann man
Samba 4 als zusätzlichen AD-Controller
einrichten. Es ist sogar möglich, eine
ganze Active-Directory-Struktur ohne
die Verwendung eines
Windows-Domä-
Anzeige
nencontrollers aus
dem Hause Microsoft
einzurichten. Dazu
bringt Samba 4 einen
eigenen LDAP-Server
mit, der alle Objekte
verwaltet.
Das Management der
Benutzer und Gruppen
lässt sich auch
damit über die von
Microsoft bereitgestellten
Windows
Remote Server Administration
Tools
bewerkstelligen. Für
die Tools wird lediglich
einen Windows 7
Rechner benötigt. Die
Software lässt sich
kostenlos unter [3]
herunterladen.
Eine einfache Möglichkeit,
sich mit den
neuen Funktionen
von Samba 4 vertraut
zu machen, ist eine
von der Firma SerNet
angepasste Debian-
Distribution. Sie liegt
diesem ADMIN-Heft
als CD bei. (jcb) n
Infos
[1] Warnmeldung ausschalten:
[http:// www. gtkdb. de/ index_7_1240. html]
[2] Registry patchen: [http:// wiki. samba. org/​
index. php/ Windows7]
[3] Remote Server Administration Tools:
[http:// www. microsoft. com/ download/ en/​
details. aspx? id=7887]
[4] SMB-LDAP-Tools: [http:// sourceforge. net/​
projects/ smbldap‐tools]
[5] LDAP Account Manager:
[https:// www. ldap‐account‐manager. org]
Listing 13: LDAP-Anpassung
01 passdb backend = ldapsam:ldap://samba.example.net
02 ldap admin dn = cn=admin,dc=example,dc=net
03 ldap suffix = dc=example,dc=net
04 ldap group suffix = ou=groups
05 ldap machine suffix = ou=hosts
06 ldap user suffix = ou=users
07 ldap passwd sync = yes
08 ldap ssl = no
www.admin-magazin.de
Admin
Ausgabe 02-2013
53

Schwerpunkt
UCS und SerNet Appliance
Samba-4-Appliances von SerNet und Univention
Kuckucksnest
Kurz nachdem das Samba-Team Anfang Dezember 2012 die finale Version
von Samba 4 fertigstellt hatte, haben die Firmen SerNet und Univention
das neue Samba in ihre Produkte integriert. Mit deren Hilfe lässt sich ein
auf Samba 4 basierender Active Directory Domänen Controller auf einfache
Weise aufbauen und testen. Thomas Drilling
Samba 4 ist aufgrund der neuen Active-
Directory-Funktionalität ein für die gesamte
IT-Welt wichtiger Meilenstein.
Zwar widmet sich Samba ursprünglich
und in erster Linie der Bereitstellung
von Datei- und Druckdiensten über das
SMB/​CIFS-Protokoll auf einem Linux-Server,
die bedeutendste neue Funktion in
Samba 4 gilt aber den Authentifizierungsdiensten.
So kann ein Linux-Server mit
Samba 4 ohne Microsoft-Zutaten einen
Active-Directory-Verzeichnisdienst für
eine Windows-Domäne zur Verfügung
stellen.
Der Univention Corporate Server verwendet
in der seit Dezember verfügbaren
Version 3.1 [1] die Samba-4-Version
4.0rc6, die von den Univention-Entwicklern
in direkter Zusammenarbeit mit
dem Samba-Team aus der Version 4.0rc1
kontinuierlich weiterentwickelt wurde.
Die in Univentions Corporate Server für
Datei- und Druckdienste oder beim Einsatz
des UCS als NT-Domänen-Controller
ebenfalls enthaltene Samba-3-Version
ist auf dem Stand von Samba 3.6.8. Die
Samba-4-Implementation in der aktuellen
Version 0.6 der SerNet-Samba-Appliance
[2] entspricht der stabilen Samba-Version
4.0 [3].
Samba-4-Struktur
Eine Samba-Domäne besteht aus mindestens
einem auf Samba 4 basierenden
Domänen-Controller, dessen Vertrauenskontext
Windows-Clients als Mitglieder
beitreten können. Bei Univention kann
das außerdem noch ein so genannter
UCS-Memberserver tun. Das geht deshalb,
weil Univention in seinem Corporate
Server Samba-4- und Samba-3-
Komponenten miteinander integriert. Ein
UCS-Memberserver bietet selbst keine
Anmeldedienste, aber beispielsweise
Datei- oder Druckdienste auf Basis von
Samba 3, wobei die Anmeldung an einem
UCS-Memberserver immer über die UCS-
Anmeldedaten erfolgt.
UCS 3.1
Die Bremer Univention GmbH gehört zu
den Early Adopters [4] von Samba 4,
das es bereits seit über einem Jahr in
seinem auf Debian 6 basierenden Univention
Corporate Server (UCS) integriert.
Dabei bescheinigen die Bremer der
verwendeten Samba-4-Version aufgrund
umfangreicher Tests, fit für den Produktiveinsatz
zu sein. Univention bietet
neben dem Active-Directory-zu-Samba-
4-Migrationswerkzeug „Univention AT
Takeover“ mit seinem Active Directory
Connector [5] auch die Möglichkeit eines
Parallel-Betriebs mit existierenden
Active-Directory-Diensten auf Basis
von Microsoft Windows, was auch eine
schrittweise Migration erlaubt. UCS 3.1
verwendet übrigens einen Linux-Kernel
3.2.30 und kann neben der Funktion als
AD-Domänen-Controller auch zahlreiche
andere Aufgaben als Small Business Server
übernehmen.
Wer das folgende Setup nachvollziehen
möchte, findet unter [6] eine für den
privaten Einsatz kostenlose, funktional
aber nicht eingeschränkte Version des
UCS. Das Ncurses-basierte Basis-Setup
des als Appliance konzipierten UCS sollte
jedem Admin binnen weniger Minuten
von der Hand gehen, zumal das UCS-
3.1-Handbuch wertvolle Unterstützung
liefert.
Demnach ist die Auswahl der Systemrolle
»Domain Controller Master« für den
UCS als Domänen-Controller,
sowie für den Samba-Betrieb
obligatorisch, denn Samba-4
lässt sich ausschließlich
auf einem UCS-Domänen-
Controller (Domain Controller
Master) installieren.
Trotzdem bezieht sich die
Auswahl der Rolle »Domain
Controller Master« primär auf
den UCS als »Domänen Controller«
in Univentions eigenem, auf
einer sogenannten UCS-Domäne basierenden
Infrastruktur- und Identify-Management-Konzept,
das auf OpenLDAP
aufsetzt. Das tut Samba 4 zwar ebenfalls,
hat OpenLDAP aber integriert.
© Dmitriy Melnikov, 123RF
56
Ausgabe 02-2013
Admin
www.admin-magazin.de

UCS und SerNet Appliance
Schwerpunkt
Der UCS-Installer möchte im folgenden
Schritt »Optionen« zuerst den vollständigen
Rechnernamen wissen. Der Name
will sorgfältig überlegt sein, weil der
Installer aus diesem unmittelbar den Domänen-Namen
für eine Active-Directory-
Domäne ableitet (der FQDN abzüglich
des Host-Anteils), ebenso wie Vorschläge
für die LDAP-Basis und den Namen der
»Windows‐Domäne«. Die Vorschläge für
LDAP-Basis und »Windows‐Domäne« lassen
sich wunschgemäß abändern, nicht
aber der Name der AD-Domäne.
Mit »Windows‐Domäne« meint der Univention-Installer
den NetBIOS-Rechnernamen
des Systems und speichert den
Wert in der UCS-Configuration-Registry-
Variable (UCR) »windows/domain«, unabhängig
davon, ob der Admin im letzten
Schritt »Software« des Installers überhaupt
eine der Software-Komponenten
für den Samba3- oder Samba-4-Betrieb
auswählt. Ferner dient der NetBIOS-
Name auch im Domänen-Betrieb als
Arbeitsgruppen-Name.
NetBIOS-Erbe
Im Gegensatz zum AD-Domänen-Namen
kann der NetBIOS-Rechnername nur maximal
15 Zeichen umfassen. NetBIOS ist
ein auf Windows-Systemen verwendetes
Netzwerkprotokoll zur Namensauflösung
und Netzwerkkommunikation,
das seinerseits auf TCP/​IP aufsetzte und
von Samba 3 durch den Systemdienst
»nmbd« abgebildet wird. Bei Univention
entspricht der NetBIOS-Name eines UCS-
Systems per Default auch dem UCS-Rechner-Namen.
Ein abweichender NetBIOS-Name lässt
sich bei Bedarf mithilfe der Univention
Configuration-Registry-Variable »samba/
netbios/name« als Alias konfigurieren.
Eine native Active-Directory-Umgebung
stellt übrigens keine NetBIOS-Dienste
mehr zur Verfügung. Dass sie bei Univention
auch in einer AD-Umgebung auf
Basis von Samba 4 aktiviert sind, lässt
sich über die Univention-Configuration-
Registry-Variable »samba4/service/nmb«
abändern.
Im nächsten Schritt kümmert sich der
Installations-Assistent um das per Default
automatische, aber auch manuell
mögliche Partitionieren. UCS verwendet
per Default eine 500 MByte kleine
Abbildung 1: Erst durch die Auswahl der passenden Software-Komponente wird der UCS zum Domänen-
Controller, auch wenn der Installer schon vorher einen Domänen-Namen haben und speichern möchte.
Boot-Partition und verteilt den Rest des
zur Verfügung stehenden Platzes in einer
LVM-Volume-Gruppe. Erst nach der
Konfiguration des Boot-Loaders im Folgeschritt
kann und muss der Amin gegebenfalls
die Netzwerk-Konfiguration
anpassen. Neben einer für den Produktiveinsatz
zu empfehlenden statischen
IPv4-Konfiguration gibt es die Möglichkeit,
einen DNS-Fowarder einzutragen,
was in Anbetracht der derzeit noch nicht
zur Gänze behobenen DNS-Probleme von
Samba 4 empfehlenswert ist.
Ist das Netzwerk konfiguriert, kann
sich der Administrator im Rahmen der
Softwareauswahl im Schritt »Software«
explizit um den Einsatz des UCS als Domänen-Controller
kümmern. Der Samba-
4-Betrieb setzt die Software-Komponente
»Active Directory‐kompatibler Domänencontroller
(Samba)« voraus. Alternativ
oder zusätzlich steht auch die Komponente
»NT‐kompatibler Domänencontroller
(Samba 3)« zur Verfügung. Beide
Komponenten lassen sich nachträglich
im laufenden Betrieb durch Installieren
der Pakete »univention‐samba« (Samba
3) beziehungsweise »univention‐samba4«
(Samba 4) einspielen. Allerdings muss
der Admin bei einer nachträglichen
Installation anschließend das Kommando
»univention‐run‐joinscripts« aufrufen.
Auf UCS-Memberservern heißt die Installer-Komponente
»Windows Memberserver
(Samba 3 / Samba 4)«, die ebenfalls
nachträglich durch Auswahl der Pakete
»univention‐samba« und »winbind«
installierbar ist. Die dritte Software-Komponente
»Active Directory Connector« ist
dafür gedacht, dass sich der UCS bidirektional
oder unidirektional mit einer auf
einem nativen Microsoft Windows Server
betriebenen AD-Domäne synchronisiert
(Abbildung 1). Univention empfiehlt außerdem,
auf allen Samba-Domänen-Controllern
die Signierung der NTP-Pakete zu
aktivieren, weil die exakte Zeitsynchronisation
für eine korrekte Authentifizierung
via Kerberos essenziell ist.
Der Univention Corporate Server pflegt
und nutzt im Active-Directory-Betrieb
zwei Verzeichnisdienste. Da die Samba-
Benutzerkonten unter Samba 4 vollständig
von Samba verwaltet werden, kümmert
sich beim UCS der interne Systemdienst
»univention‐S4‐connector« um das
Synchronisieren zwischen dem auf Open-
LDAP basierenden Verzeichnisdienst des
UCS und Samba. Status-Informationen
finden sich in der Log-Datei »/var/log/
univention/connector‐s4.log«.
Legt der Admin etwa mit Windows-
Remote-Verwaltungswerkzeugen einen
Benutzer im Active Directory (Samba
4) an, landet er automatisch auch im
OpenLDAP. Der »univention‐s4‐connector«
wird übrigens bei Auswahl der
Systemrollen »Domänencontroller Master«
und »Domänencontroller Backup«
über den Univention Installer automa-
www.admin-magazin.de
Admin
Ausgabe 02-2013
57

Schwerpunkt
UCS und SerNet Appliance
tisch installiert. Wer die Samba-Pakete
manuell installiert, muss auch das Paket
»univention‐s4‐connector« manuell
nachinstallieren. Die Konfiguration des
AD-Domänen-Controllers im Univention
Corporate Server ist damit insoweit abgeschlossen,
dass es Windows-Clients
möglich ist, der Active-Directory-Domäne
beizutreten (Join).
Möchte sich ein Benutzer im Samba-
3-Betrieb an einer NT-Domäne anmelden,
authentifiziert ihn UCS mit Benutzernamen
und Passwort gegen seinen
LDAP-Verzeichnisdienst. Auch Clients
mit Windows-Betriebssystemen jeglicher
Coleur (ab XP aufwärts) werden vom
UCS wie in Windows NT-Domänen über
das NTLMv2-Protokoll authentifiziert.
Ist dagegen der Windows-Client, an dem
sich der Benutzer anmelden möchte, mit
einem Samba-4-Server „gejoint“, erhält er
bei der Anmeldung ein Kerberos-Ticket,
das dann für die weitere Authentifizierung
zum Einsatz kommt und alleine für
den Zugriff auf sämtliche Ressourcen der
Domäne als Grundlage dient.
Weiterführende
Konfiguration
Aus praktischer Sicht ist die Samba-4-
Konfiguration damit jedoch keinesfalls
erledigt, denn der Admin muss sich im
Alltag auch um das Konfigurieren des
Authentifizierungsdienstes im Detail sowie
um Rechner/​Benutzer-Profile, Dateiund
Druck-Dienste und speziell um das
automatische Exportieren der Heimat-
Verzeichnisse der Benutzer kümmern.
Eine weiterführende Auseinandersetzung
sprengt allerdings den Rahmen dieses
Beitrages. Dass der UCS auch in diesen
Punkten umfassende Unterstützung über
sein Management-Interface und über Systemvariablen
bietet, ist lobenswert. Eine
Bewertung würde aber der Zielsetzung
der beiden Produkte nicht gerecht: UCS
als für den Produktiv-Einsatz gedachter
Small Business Server mit Active-
Directory-Unterstützung gegenüber der
Samba-Appliance von SerNet als reines
Samba-4-Test-Setup.
Die vom UCS zur Verfügung gestellten
Dateidienste unterstützen bei Freigaben
auf Basis von CIFS auch ACLs, sofern
das darunter liegende Dateisystem des
Samba-Servers diese ebenfalls unterstützt
(Ext3, Ext4 und XFS). Dann lassen sich
ACLs auch von Windows-Clients aus
verwenden. Samba 4 kann Dateidienste
wahlweise mit dem eigenen virtuellen
Dateiserver NTVFS zur Verfügung stellen
– was zwingend ein Dateisystem mit
XATTR-Unterstützung voraussetzt – oder
den eingebetteten Samba-3-Dateiserver
S3FS verwenden.
In der Praxis empfiehlt es sich aber ohnehin,
Datei- und Druckdienste, sowie
Authentifizierungsdienste voneinander
zu trennen. Laufen Authentifizierungsdienste
auf einem separaten auf Samba 4
basierenden Domänen-Controller, neigen
viele Admins, wie auch die Univention-
Entwickler dazu, für den Datei- und
Druck-Server das seit Jahrzehnten ausgereifte
Samba 3 zu verwenden. Damit ist
unter anderem gewährleistet, dass hohe
Last auf einem Dateiserver nicht zu Störungen
im Anmeldedienst führt.
Samba-4-Appliance von
SerNet
Die Göttinger SerNet GmbH ist ein auf
Open Source und Sicherheit spezialisierter
Systemintegrator, der sich insbesondere
auf Dienstleistungen rund um
Samba spezialisiert hat. SerNet entwickelt
Samba im Zusammenarbeit mit
dem Samba-Team aus eigenen Antrieb
und im Kundenauftrag weiter und ist
außerdem der einzige Systemintegrator,
der selbst Mitglieder des Samba-Core-
Teams stellt. Die Göttinger haben unter
anderem eine einfach einsetzbare, auf
Debian basierende [7] Samba-Appliance
entwickelt, mit der Admins die von der
neuen Samba-Version 4 unterstützten
Funktionen ebenfalls auf komfortable
Weise testen können. Eine aktualisierte
Version der SerNet-Appliance liegt diesem
Heft bei.
Während die auf der letztjährigen CeBIT
erstmals gezeigte und seit Mai 2012 offiziell
zum Download verfügbare Version
0.1 noch auf der Preview von Samba
4 basierte, stellte SerNet seine Samba-
Appliance kurz nach Freigabe der finalen
Samba-Version 4.0 auf das stabile Samba
4 um. Die steht seit Dezember 2012 in
der Version 0.6 mit stabilem Samba-4-
Support zum Herunterladen zur Verfügung
und ermöglicht das Aufsetzen eines
Active-Directory-Domänen-Controllers
auf Basis eines Debian-Servers mit wenigen
Handgriffen. Zur diesjährigen CeBIT
stellt SerNet eine erweiterte Version seiner
Appliance vor, die auch Zarafa und
Opsi integriert. AD-Schema-Dateien für
dem Zarafa-Support sind bereits in der
Version 0.6 enthalten.
Während Windows-Nutzer zum Einrichten
eines Domänen-Controllers oder zum
Heraufstufen eines gewöhnlichen Windows-Servers
üblicherweise das grafische
Werkzeug »dcpromo.exe« verwenden,
müssen Samba-Nutzer normalerweise
zur Kommandozeile greifen. Kernstück
der Samba-Applicance von SerNet ist dagegen
ein grafischer Assistent »dcpromo«
zur Samba-4-Provisionierung, der sowohl
Bestandteil der Installationsprozedur der
Appliance ist, sich aber auch jederzeit
nachträglich neu starten lässt, um etwa
ein neues Setup aufzusetzen.
Die SerNet-Appliance basiert auf Debian
6 und setzt auf einen Kernel 3.2.0 von
Debian-Backports mit Unterstützung für
Microsoft Hyper-V. Die Appliance nutzt
als Dateiserver den eingebetteten »S3FS«
anstelle des Samba-4-eigenen »NTVFS«,
der den SMB-Daemon aus Samba 3 innerhalb
von Samba 4 startet, sodass auch
Samba-3-Tools wie »smbpasswd«, »smbstatus«
und »smbclient« weiter funktionieren.
Das Verhalten entspricht der
Voreinstellung von Samba 4. Ferner synchronisiert
der interne NTP-Server von
Samba 4 die Systemzeit, was insbesondere
für die Kerberos-Authentifizierung
unverzichtbar ist.
Am schnellsten führt die automatische
Installation mit dem gewohnten Debian-
Installer zum Ziel. Die automatische
Installation im Text-Modus überschreibt
beim Partitionieren die gesamte Festplatte.
Wird kein DHCP-Server gefunden,
bietet der Installer das manuelle Konfigurieren
des Netzwerkes an, was vor
allem für den Produktiveinsatz wichtig
ist. Zum Ende der Basis-Installation legt
das Systeme den User »sernet« für die
Appliance an und konfiguriert ihn per
Default für ein automatisches Login nach
dem Reboot. Wahlweise kann der Admin
ein individuelles Passwort festlegen. Das
Root-Passwort ist »root« und sollte nach
dem ersten Login geändert werden.
Danach startet der Installer das
»dcpromo«-Skript zum Aufsetzen des
Active-Directory-Domänen-Controllers.
58 Ausgabe 02-2013 Admin www.admin-magazin.de

UCS und SerNet Appliance
Schwerpunkt
Das Tool lässt sich via Desktop-Icon
auch nachträglich starten, um eine vollständige
Neukonfiguration von Active
Directory zu veranlassen. Mit den ersten
drei Schritten erfragt das Skript den
Hostnamen des Domänen-Controllers,
per Default »DC«, sowie den vollständigen
Realm, aus dem sich abzüglich des
Hostnamens der AD-Domänen-Name
ableitet. Den vorgeschlagenen NetBIOS-
Namen erschließt »dcpromo« ebenfalls
aus dem Realm.
Anschließend fragt »dcpromo« nach einem
Passwort für den administrativen
Account »Administrator«. Danach bietet
das Skript an, einen DNS-Forwarder für
Anfragen zu setzen, die der Samba-4-
interne DNS nicht beantworten kann.
Samba-4 bringt neben dem erwähnten
NTP-Server auch einen internen DNS-
Dienst mit, der allerdings nach nach Aussage
der SerNet-Experten bisher nicht
immer zuverlässig funktioniert.
Zum Abschluss der Konfiguration listet
»dcpromo« die Einstellungen für den Domänen-Controller
auf, was im Falle einer
Re-Konfiguration das Stoppen sämtlicher
laufenden Samba-Dienste zur Folge hat
(Abbildung 2). Anschließend konfiguriert
das Skript alle nötigen Samba-Dienste
mit den gewählten Daten. Nach Fertigstellung
weist »dcpromo« die wichtigsten
Domänen-Parameter »NetBIOS Domain«,
»DNS Domain« und »DOMAIN SID« aus
und startet den Samba-Dienst.
Die Konfiguration des Domänen-Controllers
ist damit zwar
abgeschlossen und Windows7-
Clients/​Nutzer können ab sofort
der Domäne beitreten, das
»dcpromo«-Skript bietet aber im
nächsten Schritt noch die Möglichkeit,
die Zarafa-AD-Schema-
Erweiterungen zu installieren.
Wer plant, die Zarafa-Groupware
auf der Samba-4-Maschine
einzusetzen, sollte von der
Möglichkeit Gebrauch machen,
damit sich Zarafa-Nutzer später
gegen das AD authentifizieren können.
Join it
Ist der Domänen-Controller einsatzbereit,
kann der Admin mit einem geeigneten
Windows-Client dem Vertrauenskontext
der Domäne beitreten (Join). Für den
Beitritt zur AD-Domäne geht der Admin
genauso vor wie beim Anmelden an einer
nativen Microsoft-Domäne. Hierzu klickt
er unter »Systemsteuerung | System und
Sicherheit | System« bei »Einstellungen
für Computernamen, Domäne und Arbeitsgruppe«
auf »Einstellungen ändern«
und gibt den FQDN der gewünschten AD-
Domäne an (Realm). Ist der für das System
aufgrund der gewählten Netzwerk-
Konfiguration (siehe unten) erreichbar,
erscheint ein Anmelde-Dialog für die
Domäne, und der Admin kann sich mit
Abbildung 2: Zum Abschluss gibt »dcpromo« eine Übersicht der
gewählten Einstellungen.
dem zuvor konfigurierten Administrator-
Konto anmelden (Abbildung 3).
Ein Join funktioniert allerdings nur dann
zuverlässig und ohne weitere Konfiguration,
wenn der Admin die IP-Adresse
der SerNet-Samba-Appliance beziehungsweise
des UCS als DNS-Server in
der IP-Konfiguration des betreffenden
Netzwerkadapters des Clients einstellt.
Ein Blick ins »Netzwerk‐ und Freigabecenter«
sollte bestätigen, dass der Join
funktioniert hat.
Nach einem Reboot kann sich der Admin
als administrativer Benutzer an der
Domäne anmelden. Beim Anmelden ist
ein kleiner Trick erforderlich, wenn der
Account »Administrator« auch für das
lokale Konto existiert. Klickt der Admin
nur auf »Benutzer wechseln ...«, um vom
lokalen zum Domänen-Login zu gelangen,
wechselt Windows beim Tippen
Anzeige
Management Circle Kongressmesse
Special für Leser des ADMIN-Magazins!
€ 100,– Rabatt
auf Ihre Kongressteilnahme
(€ 895,– statt € 995,–)
Ihr Kennwort: ADMIN
9. + 10. April 2013 in Frankfurt/M.
Für IT und Fachabteilungen – Cloud Computing im Praxis-Check
Programmdetails:
Ihre Themenschwerpunkte:
Architektur: Ihr sinnvoller Weg in die Private,
Public oder Hybrid Cloud
Integration: Harmonisierung in die
bestehende IT-Landschaft
Collaboration: Erfolgreiche Zusammenarbeit
zwischen Fachabteilung & IT
Security: Datenschutz, Datensicherheit,
Kontrolle und Ausfallrisiko
Recht: Sicher unsicher – rechtliche
Rahmenbedingungen und Compliance
Mobility: BYOD, Apps & Mobile CRM –
Datenzugriff auch von unterwegs
Veranstalter:
Jetzt mit Kennwort anmelden und Rabatt sichern! www.world-of-cloud.de Hotline 0 61 96 / 47 22 - 600
www.admin-magazin.de
Admin
Ausgabe 02-2013
59

Schwerpunkt
UCS und SerNet Appliance
ckelt und für den produktiven Einsatz
getestet wurde. Ein direkter Vergleich der
Produkte wäre sinnlos, weil UCS einen
vollständigen, web-administrierbaren
Small Business Server zur Verfügung
stellt. Die SerNet-Appliance verwendet
für das Zurverfügungstellen von Dateiund
Druck-Diensten den eingebetteten
Samba-3-Dateiserver S3FS, während Univention
parallel Samba 3.6.8 für Dateidienste
einsetzt. Ferner bietet Unvention
ein Migrationswerkzeug von Microsoft-
AD auf Samba 4 sowie einen Active Directory
Connector für die Zusammenarbeit
mit einem existenten Microsoft Domänen
Controller. (ofr)
n
Abbildung 3: Läuft der Samba-Domain-Controller, können geeignete Windows-Clients dem Vertrauenskontext
der Domäne beitreten.
des letzten Buchstabens »r« wieder zum
lokalen Anmelde-Dialog. Verwendet der
Admin beim Benutzernamen stattdessen
die Form »Domänenname\Administrator«,
klappt auch das Domänen-Login.
Außerdem steht im Windows Explorer
unter »Netzwerk« jetzt die Funktion »Active
Directory durchsuchen« zur Verfügung,
mit der der Admin den Verzeichnisdienst
gezielt nach »Benutzer, Kontakte,
Gruppen«, »Computer«, »Drucker«, »Freigegebene
Ordner« durchsuchen kann
(Abbildung 4).
Die weitere Konfiguration kann dann
wahlweise mit den mit Samba 4 gelieferten
Kommandozeilen-Werkzeugen oder
mit den Standard-Windows-Administrationswerkzeugen
erfolgen.
Sowohl mit der SerNet-Applicance als
auch mit Univentions Corporate Server
lässt sich mit wenigen Handgriffen ein
Active-Directory-Domänen-Controller auf
Linux-Basis einrichten. Die SerNet Appliance
ist für Testinstallationen gedacht
und setzt auf die aktuelle, stabile Samba
Version 4.0. Univentions UCS verwendet
die Samba-Version 4.0rc6, die von Univention
seit Monaten in Zusammenarbeit
mit dem Samba-Team aus den vorangegangenen
Vorab-Versionen weiterentwi-
Infos
[1] UCS 3.1:
[http:// www. univention. de/ produkte/ ucs/]
[2] SerNet Appliance:
[http:// www. sernet. de/ de/ nc/ samba/​
samba/]
[3] Samba 4: [http:// www. enterprisesamba. org]
[4] Samba Early Adopters:
[http:// www. sixmonthmba. com/ 2010/ 11/​
become‐an‐early‐adopter. html]
[5] Active-Directory-Connector:
[http:// www. univention. de/ produkte/​
ucs/ ucs‐komponenten/ windows/​
ucs‐active‐directory‐connector]
[6] UCS 3.1 „Free-for-Personal-Use“:
[http:// www. univention.​
de/ download‐und‐support/​
free‐for‐personal‐use‐edition]
[7] SerNet-Appliance Release-Notes:
[http:// ftp. sernet. de/ pub/ samba4AD/​
sernet‐samba4‐appliance/ README]
Der Autor
Thomas Drilling ist seit mehr als zehn Jahren
hauptberuflich als freier Journalist und Redakteur
für Wissenschafts- und IT-Magazine
tätig. Er verfasst regelmäßig Beiträge zu Open
Source, Linux, Server, IT-Administration und Mac
OS X. Außerdem arbeitet Thomas Drilling als
Buchautor und Verleger, berät als IT-Consultant
kleine und mittlere Unternehmen und hält Vorträge
zu Linux, Open Source und IT-Sicherheit.
Fazit
Abbildung 4: Im Domänen-Betrieb kann der Windows-Explorer nach Objekten im AD suchen.
60 Ausgabe 02-2013 Admin www.admin-magazin.de

Know-how
RADOS und Ceph
Der RADOS-Objectstore und Ceph, Teil 3
Gesicherte
Ablage
Was bringt die neue Version 0.56
alias „Bobtail“ an neuen Features?
Wer braucht die Ceph-Verschlüsselung
CephX? Wie lässt sich ein Ceph-Cluster
als Ersatz für klassisches Block-Storage in virtuellen
Umgebungen nutzen? Martin Loschwitz
© ginasanders, 123RF
Zugriffskontrolle auf vorhandene Storages
ist ein wichtiges Thema. Wer den
Nutzern maßgeschneiderten Speicher
anbieten möchte, will umgekehrt meist
auch sichergestellt wissen, dass Benutzer
nicht auf den Speicher von anderen
Zugriff haben. CephX ist in Ceph genau
dafür da: Einerseits kümmert sich CephX
darum, dass administrative Arbeiten nur
von hierzu befugten Admins durchgeführt
werden, andererseits regelt es den
Zugriff auf den Speicher durch normale
Benutzer. Allerdings hat die Sache einen
Pferdefuß – während sich der Mechanismus
noch einigermaßen leicht aktivieren
lässt (in der neuen Version 0.56 genügen
drei Zeilen in »/etc/ceph/ceph.conf«),
macht ein aktives CephX viele alltägliche
Aufgaben mit Ceph etwas umständlich.
CephX im Alltag
Ein gutes Beispiel ist der Befehl »ceph
‐w«. Wer einen Ceph-Cluster nach der
Anleitung der letzten zwei Workshop-
Teile aufgesetzt hat, weiß, dass sich Ceph
mit dem Parameter »‐w« Informationen
über den aktuellen Zustand des Clusters
sowie eventuelle Änderungen entlocken
lässt. Ist CephX aktiv, geht das nicht mehr
so leicht. Denn der Admin, der »ceph
‐w« aufruft, muss sich selbst „ausweisen“
und Ceph so mitteilen, dass er die Informationen
auch tatsächlich sehen darf.
Erschwerend kommt hinzu, dass die verschiedenen
Kommandozeilen-Werkzeuge
aus dem Ceph-Universum – »ceph«, »rbd«
und »rados« teilweise unterschiedliche
Parameter kennen, um CephX mit den
entsprechenden Infos zu versorgen. Bei
»ceph ‐w« geht es bei aktiviertem CephX
jedenfalls so – unter der Prämisse, dass
der zum Benutzer »client.admin« gehörende
Keyring tatsächlich in »/etc/​ceph/​
keyring.admin« liegt:
ceph ‐‐id admin ‐‐keyring /etc/ceph/U
keyring.admin ‐w
Die Ausgabe gleicht danach haargenau
der Ausgabe, die ohne CephX auch auf
dem Bildschirm zu sehen wäre.
Freilich ist der lange Befehl lästig – wer
ihn nicht jedes Mal tippen will, kann
die Schlüsselauswahl automatisieren:
In »/etc/ceph/ceph.conf« lässt sich festlegen,
wo der Keyring eines Benutzers
lokalisiert ist. Der folgende Eintrag legt
beispielsweise fest, dass der Keyring für
»client.admin« im File »/etc/ceph/keyring.admin«
zu finden ist:
[client.admin]
keyring = /etc/ceph/keyring.admin
Abbildung 1: Bei CephFS-Mounts steht das Passwort nicht im Klartext in der Ausgabe von »mount«.
Ceph nimmt im weiteren Verlauf an,
dass als ID immer »admin« zum Einsatz
kommt, und würde beim simplen Aufruf
von »ceph ‐w« diese ID samt entsprechendem
Keyring verwenden. Übrigens:
62 Ausgabe 02-2013 Admin www.admin-magazin.de

Abbildung 2: Wer nachträglich die Berechtigungen eines Nutzers verändern will, tut das mittels des Keyring-
Files in »/etc/ceph«.
Dass Nutzer beim Angeben ihrer ID das
vorangestellte »client.« weglassen können,
ist eine Konvention im Hinblick auf
CephX, die mit den Ceph-Interna zu tun
hat. Auch OSDs und MONs haben eigene
Schlüssel, deren Bezeichnungen jeweils
ein »osd.« oder » mon.« vorangestellt ist.
Weil Benutzer sich aber kaum als OSD
oder MON an Ceph werden anmelden
wollen und somit nur »client.« in Frage
kommt, setzt ceph das bei User-Requests
voraus.
CephFS mit CephX mounten
Ist CephX aktiviert, wirkt sich das freilich
auch auf das Dateisystem von Ceph, das
CephFS aus. Denn beim Mount-Vorgang
ist dann ebenfalls ein Nutzer und ein
Passwort anzugeben (Abbildung 1). Das
Beispiel benutzt den Nutzer »admin«,
dessen Passwort zunächst herauszufinden
ist:
ceph‐authtool ‐‐name client.admin U
‐‐print‐key /etc/ceph/keyring.admin
Das Beispiel geht von »AQBNTxZRWId‐
7JxAA/Ac4ToR7ZfNdOGDSToGHpA==«
als Passwort aus. Der Mount-Befehl ist
dann dieser:
mount ‐o name=admin,secret=AQBNTxZRWId7JxU
AA/Ac4ToR7ZfNdOGDSToGHpA==,noatime ‐t ceph U
192.168.133.111:/ /mnt
Wer das Passwort nicht im Klartext angeben
will, kann es auch in einem File
ablegen (im Beispiel »/etc/ceph/secret.
admin«) und sich darauf berufen:
mount ‐o name=admin,secretfile=/etc/ceph/U
secret.admin,noatime ‐t ceph U
192.168.133.111:/ /mnt
Genau so ließe sich der Mount übrigens
auch in »/etc/fstab« eintragen, sodass
das Ceph-Dateisystem beim Boot automatisch
aktiv wird.
Separate Pools für
separate Benutzer
Pools gelten in Ceph als eine Art Namensschild.
Während sie sich auf die interne
Organisation des Object Stores nicht auswirken,
erlauben sie doch das Zuordnen
einzelner Objekte zu bestimmten Benutzern.
Erst im CephX-Kontext können sie
ihre Fähigkeiten voll zum Einsatz bringen,
denn es spricht nichts dagegen, für
einzelne Benutzer oder Benutzergruppen
eigene Pools anzulegen und den Zugriff
auf den Speicher auf diesen Pool zu beschränken.
Um dieses Konzept in die Realität umzusetzen,
braucht es zunächst freilich
einen Pool. Auch dessen Konfiguration
funktioniert etwas anders, wenn CephX
bereits aktiv ist. Der Befehl »ceph osd
pool create test 1000« würde wieder daran
scheitern, dass der Benutzer, der den
Befehl ausführt, selbst nicht als Admin
in Ceph agiert. Analog zum Beispiel von
»ceph ‐w« funktioniert auch hier der
Befehl »ceph ‐‐id admin ‐‐keyring /etc/
ceph/keyring.admin osd pool create test
1000«. Der Befehl liefert keine Ausgabe,
gibt aber »0« zurück. Im Zweifel lässt
sich der Erfolg also mit »echo $?« überprüfen.
Der Pool ist da – es fehlt noch der Benutzer,
der ihn exklusiv verwenden darf.
Das Usermanagement in Ceph hat in
den letzten Monaten einige Änderungen
im Hinblick auf Zusatzfunktionen
erfahren, große Teile der im Netz zu
findenden Dokumentation sind veraltet.
Wichtig ist zunächst: Für jeden Nutzer
gibt es auf den Ceph-Hosts üblicherweise
ein Keyring-File (im Beispiel des
www.admin-magazin.de

Know-how
RADOS und Ceph
Admin-Benutzer »/etc/ceph/keyring.
admin«). Das ist allerdings eben gerade
nicht die Datei, die Ceph zum Prüfen
von Nutzerberechtigungen verwendet
Stattdessen pflegen die MON-Server für
diesen Zweck einen eigenen, internen
Keyring. Soll ein Benutzer zur Ceph-
Installation hinzustoßen, genügt es aus
diesem Grund auch nicht, eine Keyring-
Datei auf den Ceph-Hosts in der Datei
»/etc/ceph« zu hinterlegen. Zusätzlich
muss der Admin den Key auch mittels
»ceph auth add« in den Cluster integrieren.
Alternativ dazu lassen sich die
beiden Arbeitsschritte auch in einem einzigen
Befehl zusammenfassen. Um zum
Beispiel für einen Benutzer namens »test«
einen Schlüssel anzulegen und diesen
dann gleich in Ceph zu aktivieren, reicht
dieses Kommando:
ceph ‐‐id admin ‐‐keyring /etc/ceph/U
keyring.admin auth U
get‐or‐create client.test $$
mds 'allow' osd 'allow * pool=test' U
mon 'allow *' > /etc/ceph/keyring.test
Der Befehl funktioniert nur dann sinnvoll,
wenn vorher tatsächlich schon ein Pool
namens »test« existiert. Anschließend enthält
»/etc/​ceph/​keyring.test« den Keyring
des Benutzers, der ausschließlich auf den
Pool »test« zugreifen darf. Würde dieser
Benutzer versuchen, auf einen anderen
Pool zuzugreifen, so würde Ceph das mit
Listing 1: VM-Speicher als Blockdevice
01
02
03
04
05
06
Listing 2: VM-Speicher als RBD
01
02
03
04
05
06
07
08
09
10
einer Permission-Denied-Fehlermeldung
verweigern.
Berechtigungen anpassen
Es ist auch möglich, einmal zugewiesene
Credentials nachträglich zu ändern und
anzupassen (Abbildung 2). Die öffentliche
Dokumentation hierzu ist leider
unvollständig, so klappt es trotzdem:
Zunächst ist Sorge dafür zu tagen, dass
der Keyring des Benutzers die neuen,
vollständigen Credentials enthält. Der
Keyring für den zuvor angelegten »test«-
Nutzer in »/etc/keyring/keyring.test«
könnte direkt nach dem Anlegen so aussehen:
[client.test]
key = U
AQA5XRZRUPvHABAABBkwuCgELluyyXSSYc5Ajw==
Ceph weiß, dass dieser Benutzer auf den
Pool »test« zugreifen darf, im Befehl zum
Anlegen des Nutzers war das ja ausdrücklich
vermerkt. Wenn dieser Nutzer
nun auch Zugriff auf den Pool »test2« erhalten
soll, wäre das File in »/etc/ceph/
keyring.test« so abzuändern:
[client.test]
key = AQA5XRZRUPvHABAABBkwuCgELluyyU
XSSYc5Ajw==
caps osd = "allow * pool=test, allow * U
pool=test2"
caps mds = "allow"
caps mon = "allow *"
Wichtig ist, dass der Eintrag hinter »key
=« unverändert bleibt, sonst würden andere
Anwendungen nicht mehr mit Ceph
kommunizieren können, wenn diese den
Ceph-Schlüssel statisch konfiguriert haben.
Schließlich informiert der Admin
Ceph noch über die Änderung, indem
er den neuen Schlüssel in den internen
Ceph-Schlüsselbund einpflegt:
ceph ‐‐id admin ‐k /etc/ceph/keyring.admin U
auth add client.test U
‐i /etc/ceph/keyring.test
Im Anschluss hat der Benutzer »test« Zugriffsberechtigungen
sowohl für den Pool
»test« wie auch für den Pool »test2«.
Ceph als Ersatz für
klassischen Block-Storage
Nach so viel Rechte-Theorie auf zu etwas
Praktischem: Während viele, die sich mit
dem Thema Ceph beschäftigen, durchaus
begeistert von der technischen Lösung
sind, fehlt oft eine Vorstellung davon,
wie sich Ceph im Alltag ganz konkret
einsetzen lässt. Dabei ist das durchaus
möglich – dann zum Beispiel, wenn man
einen Virtualisierungscluster betreibt und
bei diesem immer wieder mit Problemen
zu kämpfen hat, um die Kapazität des
Clusters zu erweitern. Entgegen allen Unkenrufen
taugt Ceph nicht nur als Monster-Storage
innerhalb von Cloud‐ Setups,
sondern leistet treue Dienste auch in
kleineren Umgebungen, die klassisch mit
KVM virtualisieren.
Ceph und Libvirt
Zu verdanken ist das im Wesentlichen
der Tatsache, dass sich die Entwickler der
»libvirt«-Virtualisierungsumgebung sehr
gut mit den Ceph-Entwicklern verstehen
und in Libvirt deshalb eine umfangreiche
Ceph-Integration zur Verfügung stellen.
Statt eines normalen Block-Devices lässt
sich für eine von Libvirt verwaltete VM so
auch ein RBD-Image als Backing-Device
angeben, im Hintergrund greift Libvirt
dann unmittelbar auf den Ceph-Cluster
zu. Es liegt der Vorteil klar auf der Hand:
In einem solchen Konstrukt lässt sich
jede VM auf jedem Knoten eines Virtualisierungsclusters
betreiben, solange der
Zugriff auf den Ceph-Cluster möglich ist.
Wenn CephX abgeschaltet ist, ist der nötige
Umbau an den Libvirt-VM-Definitonen
minimal. Ein Beispiel: Eine VM greift
in einem klassischen Virtualisierungssetup
im Hintergrund auf ein ganz normales
Blockdevice zu. Der entsprechende
Eintrag in der Datei – im Beispiel soll sie
»ubuntu-amd64-alice.xml« heißen – sieht
so aus wie in Listing 1:
Eine solche VM lässt sich problemlos
auf einen Ceph-Cluster umziehen. Die
einschlägigen Beispiele empfehlen, VMs
innerhalb von Ceph in einen eigenen
Pool zu legen, der im Beispiel »libvirt«
heißt. Wenn der Pool analog zum Beispiel
weiter oben erstellt ist, folgt die Migration
der Daten vom alten Block-Device
auf das neue RBD-Image. Der neue Pool
braucht ein RBD-Image mit gewünschter
Größe, der Befehl »qemu‐img create
‐f rbd rbd:libvirt/ubuntu‐amd64‐alice
100G« erstellt dieses mit einer Größe von
100 Gigabyte. (Achtung: Damit der Be‐
64 Ausgabe 02-2013 Admin www.admin-magazin.de

RADOS und Ceph
Know-how
fehl funktioniert, muss »/etc/ceph/ceph.
conf« korrekt und aktuell die Topologie
des Ceph-Clusters wiedergeben und auch
die Information enthalten, wo der Key
für »client.admin« zu finden ist, falls der
Cluster CephX verwendet). Dann folgt
das Überspielen aller VM-Daten – für diesen
Schritt muss die virtuelle Maschine
allerdings ausgeschaltet sein, damit sich
Ihre Daten nicht während der Migration
verändern:
Abbildung 3: Libvirt verfolgt eine etwas eigene Strategie für Ceph-Passwörter und legt diese unter
»/etc/libvirt/secrets« ab.
qemu‐img convert ‐f raw ‐O rbd U
/dev/drbd/by‐res/vm‐ubuntu‐amd64‐alice U
rbd:libvirt/ubuntu‐amd64‐alice
Je nach Geschwindigkeit des lokalen
Blockspeichers kann dieser Vorgang ein
paar Minuten dauern. Wenn er beendet
ist, muss Libvirt noch lernen, ab sofort
RBD anstelle des alten Block-Devices zu
nutzen. Der zuvor genannte Eintrag ist
dafür so abzuändern, sodass er letztlich
aussieht wie in Listing 2.
Zu beachten ist dabei, dass die im Beispiel
gezeigten IP-Adressen durch die
tatsächlichen IP-Adressen der verfügbaren
MON-Server zu ersetzen sind. Es ist
übrigens sinnvoll, die Datei über »virsh
edit ubuntu‐amd64‐alice« in einen Editor
zu laden, denn Libvirt liest sie hiernach
automatisch neu ein und weiß sofort um
die Änderungen.
Übrigens: Das gezeigte Beispiel nutzt
auch die RBD-Cache-Funktion über den
Writeback-Modus, um für zusätzliche
Performance innerhalb der VM zu sorgen.
Im Anschluss an die beschriebenen
Schritte lässt sich die VM wie gewohnt
starten, Unterschiede im Handling zu einer
„Nicht-RBD-VM“ ergeben sich nicht.
Wer ein solches Setup mit Pacemaker
betreibt, kann anschließend das Block-
Device aus der Pacemaker-Konfiguration
entfernen.
Libvirt mit CephX
Etwas komplizierter gestaltet sich die
Nutzung von Libvirt und RBD, wenn der
Cluster CephX verwendet. Denn dann
muss sich die Libvirt natürlich auch als
ganz normaler Client an Ceph anmelden,
um Zugriff auf die Daten zu haben. Seit
Libvirt 0.9.12 kann Libvirt mit CephX
umgehen, die Einrichtung ist aber wenig
intuitiv. Das folgende Beispiel basiert auf
der Annahme, dass im Ceph ein Benutzer
namens »libvirt« existiert und der zum
Nutzer passende Keyring in »/etc/ceph/
keyring.libvirt« zu finden ist. Libvirt
speichert intern Passwörter mit UUID-
Bezeichnungen, sodass zunächst mittels
»uuidgen« auf der Kommandozeile eine
UUID zu generieren ist, im Beispiel »46d
801da‐7f82‐4fa4‐92cd‐a19e6999d2e6«.
Dann ist zunächst eine Datei namens
»ceph.xml« anzulegen, die diesen Inhalt
hat:
46d801da‐7f82‐4fa4‐92cd‐U
a19e6999d2e6
client.libvirt secret
Es folgt ein »virsh secret‐define ceph.
xml«, wonach Ceph einen Eintrag für
das Passwort in »/etc/libvirt/secrets« anlegt
(Abbildung 3). Was noch fehlt, ist
der tatsächliche Schlüssel, den Libvirt für
dieses Passwort braucht. Der passende
Befehl ist dieser:
virsh secret‐set‐value 46d801da‐7f82‐4fa4‐U
92cd‐a19e6999d2e6 `ceph‐authtool ‐‐name U
client.libvirt ‐‐print‐key /etc/ceph/U
keyring.libvirt`
Das Kommando liest mittels »cephauthtool«
den korrekten Schlüssel des
Benutzers »client.libvirt« aus und assoziiert
diesen mit der erstellten UUID in
Libvirts interner Passwort-Datenbank.
Die VM-XML-Konfiguration muss danach
noch lernen, dass für den Zugriff auf
Ceph ein Key nötig ist. Anstelle des oben
genannten Beispiels ist mittels »virsh edit
ubuntu‐amd64‐alice« die VM so anzupassen
wie in Listing 3. Danach funktioniert
auch das Gespann aus Libvirt und RBD
mit CephX.
Wer sich mit Storage beschäftigt, wird
sich früher oder später natürlich die
Frage stellen, wie sich aus der vorhandenen
Hardware mehr Performance
herauskitzeln lässt.
Das Problem mit SSDs
Zwar performt ein typischer Ceph-Cluster
bereits ab Werk deutlich besser als klassisches
Block-Storage, weil Ceph Schreibwie
Lesevorgänge parallellisiert, doch
gibt es auch bei Ceph durchaus Schrauben,
an denen sich drehen lässt. Admins
berichten von externen Proof-of-Concept-
Installationen, bei denen die einzelnen
Knoten mit gebondetem 10 GBit-Netz
miteinander verbunden waren und Datentransferraten
von 2 GByte/​s das Maß
der Dinge waren. Auch mit klassischem
GBit-Netz lässt sich die Performence von
Ceph-Clustern aber steigern. Eine im
Netz immer wieder zu findende Empfehlung
lautet, die Journale der OSDs auf
SSDs abzulegen.
Dazu ein kleiner Ausflug in die Ceph-Interna:
Jedes OSD hat ein eigenes Journal,
quasi eine Art vorgeschalteten Cache, in
dem die Daten für das OSD zunächst landen.
Ceph erklärt einen Schreibvorgang
Listing 3: XML-Konfiguration der VM
01
02
03
04
05
06
07
08
09
10
11
12
13
www.admin-magazin.de
Admin
Ausgabe 02-2013
65

Know-how
RADOS und Ceph
auth supported = cephx
geht das in Bobtail mit drei Einträgen:
auth cluster required = cephx
auth service required = cephx
auth client required = cephx
Abbildung 4: Pro OSD lässt sich auch ein eigenes Block-Device für das Journal angeben, im Normalfall eine
Partition auf einer SSD. Dabei ist aber Vorsicht geboten, damit OSD-Ausfälle nicht die MONs lahmlegen.
auf Client-Seite für abgeschlossen, wenn
die zu schreibenden Daten die Journale
von so vielen OSDs erreicht haben, wie es
die Replikationseinstellung vorsieht. Klar
ist damit auch: Je schneller die Schreibvorgänge
im Journal abgeschlossen sind,
desto schneller ist der Storage-Cluster.
Ab Werk speichern die OSDs ihre Journale
selbst, per Konfigurationseinstellung
lassen sich aber auch externe Journale
aktivieren (Abbildung 4). Eigentlich logisch
also, die Journale auf flotte SSDs
zu legen.
Die Sache hat aber einen Haken, der sich
aus der typischen Hardware von Ceph-
Storage-Knoten ergibt. Oft handelt es sich
um Server mit zwölf Slots für Platten,
in denen zwei SSDs und zehn normale
SATA-Platten stecken. Auf den SSDs liegt
das System selbst sowie die OSD-Journale.
Drei Knoten dieser Art ergeben zusammen
einen Ceph-Cluster. Fällt einer
der drei Knoten aus, heißt das für Ceph
nichts anderes, als dass der Inhalt von
insgesamt zehn OSDs auf die verbliebenen
OSDs zu verteilen ist. Das sorgt für
jede Menge Random I/​O, dem oft genug
auch die SSD-Platten nicht gewachsen
sind. Weil aber auf den SSDs eben auch
das System läuft und mit ihm die MON-
Server von Ceph, geraten eben jene in
dieser SItuation immer wieder in Timeouts
und verlieren die Verbindung zum
anderen noch verbliebenen MON. Der
Cluster verliert sein Quorum und erklärt
sich für funktionsuntüchtig – das Storage
funktioniert dann nicht mehr.
Umgehen lässt sich dieser Effekt auf
mehreren Wegen. Einerseits ist es generell
keine schlechte Idee, MON-Server auf
Maschinen zu betreiben, die selbst keine
OSDs sind. Denn dann funktionieren die
MONs unabhängig von der Frage, wie
viel I/​O gerade auf den OSD-Servern passiert.
Ebenfalls als praktikabel hat es sich
herausgestellt, die maximale Anzahl an
OSDs pro Host zu beschränken. Der beschriebene
Effekt verschwindet nahezu
völlig, wenn nur der Inhalt von 6 OSDs
auf die verbliebenen Cluster-Knoten zu
verteilen ist. Last but not least hilft es
in solchen Szenarien ebenfalls, die SSDs
lediglich für das System zu verwenden
und die OSDs ihre Journale selbst speichern
zu lassen. So grotesk es klingt:
In einem Setup wie dem beschriebenen
richten SSDs im schlimmsten Fall mehr
Schaden an, als sie Nutzen bringen. Die
Hardware eines Ceph-Setups will also gut
geplant sein.
Neuigkeiten in Bobtail
Schließlich noch ein kurzer Rückblick auf
die Neuerungen von Ceph Bobtail. Die
Entwickler haben Ceph 0.56, Codename
»Bobtail«, im Januar 2013 veröffentlicht
und versprechen dem Benutzer vor allem
deutlich gesteigerte Performance.
Hinsichtlich der Konfigurationsdatei gibt
es eine Änderung, was CephX angeht:
War CephX in Ceph 0.47 noch mit einer
Zeile in der Konfiguration zu aktivieren,
nämlich
Erste Benchmarks zeigen, dass die neue
Version in vielerlei Hinsicht in der Tat
besser performt, als ihr Vorgänger. Vereinzelt
sind auf den Listen aber auch
Berichte von Ceph-Nutzern zu lesen, die
über verstärkte Probleme mit RBD und
Ceph 0.56 berichten. Nachdem sowohl
das Dateisystem Ceph wie auch das RBD-
Modul Teil des Linux-Kernels sind und
dem dortigen Zyklus der Entwicklung
folgen, empfehlen die Ceph-Entwickler
bei Problemen wie jenen stets ein Kernel-
Update, zumal seit Linux 3.2 viele Cephund
RBD-Patches ihren Weg in Linux
gefunden haben. Wer Ceph produktiv
einsetzen möchte, sollte sich also mit regelmäßigen
Kernel-Updates anfreunden.
Ceph vs. Gluster
Ein denkwürdiges Ereignis spielte sich
übrigens Ende Januar bei der in Canberra
stattfindenden Linux.conf.au 2013 ab:
Auf der Bühne diskutierten Sage Weil als
Ceph-Mastermind und John Mark Walker
als Community-Lead von Gluster fast eine
Stunde angeregt über die Vor- und Nachteile
der Ansätze. Dass es dabei nicht
immer bierernst zugegangen ist, bedarf
keiner besonderen Erwähnung. Trotzdem
erklären beide Seiten überzeugend ihre
Standpunkte. Wer mehr zum Thema Distributed
Storage erfahren möchte, sollte
sich das Video der Veranstaltung unter
[1] nicht entgehen lassen. (jcb) n
Infos
[1] Ceph vs. Gluster:
[http:// mirror. linux. org. au/ linux. conf. au/​
2013/ mp4/ grand‐distributed‐storage‐de
bate‐glusterfs‐and‐ceph‐going‐head‐hea
d. mp4]
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeitslösungen und
pflegt in seiner Freizeit den Linux-Cluster-Stack
für Debian GNU/​Linux.
66 Ausgabe 02-2013 Admin www.admin-magazin.de

Foreman
Know-how
Life Cycle Management mit Foreman und Puppet
Bauhelfer
Virtuelle Maschinen als Kapazitätsreserve
erscheinen ideal: Sie sind leicht nach Bedarf
zu erzeugen und wieder abzuschalten – blieben
da nicht etliche zeitraubende Arbeiten
für den Admin: IP-Adresse vergeben, Backup
und Monitoring einrichten, etc. Dafür braucht
man die richtigen Helfer. Sebastian Saemann
© auremar, 123RF
Im Open-Source-Bereich gibt es für
routinemäßige Verwaltungsjobs zwei
Projekte, die sich perfekt ergänzen: Puppet
und Foreman. Puppet ist ein Open
Source Configuration Management Toolset
und Framework geschrieben in Ruby
für die Verwaltung und Konfiguration
von Servern. Mit Puppet kann man relativ
unabhängig vom darunterliegenden
Betriebssystem zusätzliche Software
installieren und konfigurieren. Unterstützte
Betriebssysteme sind die gängigen
Linux-Distributionen, Unix und mittlerweile
auch Windows.
In einer typischen Puppet-Umgebung
gibt es einen Master (Server) und einen
oder mehrere Agents (Clients). Die Kommunikation
zwischen Master und Agent
erfolgt ist mit selbst signierten SSL-Zertifikaten
gesichert. Auf dem Master ist ein
sogenanntes Manifest hinterlegt, das die
Rolle und den Sollzustand des Clients
beschreibt. Ein Sollzustand wäre etwa
„Webserver mit PHP und lokalen Benutzern
mit SSH-Keys“. Das Manifest kann
in einer Domain Specific Language (DSL)
verfasst sein.
Zusätzlich findet sich auf dem Client
noch Facter. Diese Software sammelt Informationen
über das System und leitet
sie in einem Puppet-Lauf an den Puppet-
Master weiter. Aufgrund der gesammelten
Facts kann der Master aus dem im Vorfeld
definierten Manifest einen dynamischen
Katalog erzeugen. Der Katalog wird wiederum
auf dem Agent ausgeführt, der anhand
der Facter-Informationen die richtigen
Befehle absetzt. Facter ermitttelt eine
Menge Tatsachen über Betriebssystem,
Hardware, Software, Netzwerk und so
weiter. Wer noch mehr Informationen
braucht, kann eigene Custom Facts definieren.
Will man beispielsweise Apache2
als Webserver installieren, sieht ein Auszug
aus dem Manifest so aus:
package { "apache2" :
ensure => "installed",
}
Im Fall von Debian würde Puppet für das
Paket den Provider »apt« wählen und ein
»apt‐get install apache2« ausführen. Für
Red Hat würde die Paketverwaltung Yum
in Aktion treten.
Allerdings müsste ein »yum install apache2«
zu einer Fehlermeldung führen,
weil das Paket bei RHEL nicht »apache«
sondern »httpd« heißt. Um sein Manifest
betriebssystemübergreifend zu gestalten
sind erneut die Facts notwendig. Facts
lassen sich im Manifest als Variablen für
Entscheidungen nutzen (Listing 1).
Mit der Puppet-DSL sind ähnlich wie
in Programmiersprachen Vererbungen,
Klassen, Module, Arrays, Variablen, Parameter,
Templates und Scopes verfügbar.
Es gibt also jede Menge Möglichkeiten
seine Manifeste robust, flexibel und modular
zu schreiben. Geht man noch einen
Schritt weiter, sorgt man zusätzlich
dafür, dass die Konfiguration für Apache
inklusive möglicher VirtualHosts mit ausgerollt
und der Webserver beim Booten
und nach Änderungen an der Apache-
Konfiguration neugestartet wird.
Beide Klassen »apache::service« und
»apache::config« benötigen die Klasse
»apache::install« bevor sie sich ausführen
lassen. Die Klasse »apache::install«
installiert lediglich das Paket »httpd« oder
»apache2«. Eine logische, zusammengehörende
Sammlung von Klassen wird
Modul genannt (Listing 2).
Hat man sein Manifest an seine Bedürfnisse
angepasst, ist es ein Leichtes, neue
oder zusätzliche Server oder auch den
gleichen Server nach einer Neuinstallation
wieder in den definierten Zielzustand
zu versetzen. Puppet hat außerdem
eine große Community, und man kann
sich mit schon vorhanden Modulen aus
Puppet-Forge oder Github bedienen.
Zusammengefasst ist Puppet ein Tool,
mit dem man seinen Server bis in kleinste
Listing 1: Fallunterscheidung
01 case $operatingsystem {
02 /(Debian|Ubuntu)/: {
03 $apache_package_name = 'apache2'
04 }
05 /(RedHat|CentOS|Fedora)/: {
06 $apache_package_name = 'httpd'
07 }
08 }
09
10 package { $webserver_package_name :
11 ensure => "installed",
12 }
www.admin-magazin.de
Admin
Ausgabe 02-2013
67

Know-how
Foreman
01 class apache {
Detail konfigurieren kann. Die eigentliche
Betriebssysteminstallation nimmt Puppet
einem jedoch nicht ab, und genau hier
setzt Foreman an.
Foreman ist ein Life-Cycle-Management-
Tool, mit dem man vom Anlegen eines
Hosts und der Installation des Betriebssystems,
über das Verwalten mit Puppet,
bis zum Löschen einen kompletten Lebenszyklus
abdecken kann.
Die Installation erfolgt entweder durch
einen Installer, direkt aus den Quellen
des Git-Repository, oder man nutzt die
vorgebauten Pakete.
Foreman interagiert sehr eng mit Puppet,
aber auch mit anderen vermutlich schon
vorhandenen Infrastrukturelementen
(Abbildung 1), ist sehr dynamisch und
kann je nach Anforderungen mit mehr
oder weniger Features genutzt werden.
Für einen Teil seiner Features nutzt Foreman
einen sogenannten Smart-Proxy. Ein
Smart-Proxy ist ein Server, der sich zum
Beispiel um das Eintragen der DNS-Records
oder das Bereitstellen der PXE-Installation
kümmert. Smart-Proxies können
in beliebiger Anzahl auf dem gleichen
Server wie auch Foreman selbst installiert
werden.Das geschieht wie bei Foreman
selbst über die vorgebauten Pakete für die
unterstützten Distributionen oder direkt
aus dem Quellcode. Die Kommunikation
zwischen Foreman und einem Smart-
Proxy erfolgt über eine Restful-API. Hat
man zum Beispiel ein subnetzübergrei-
Listing 2: Klassendefinitionen
02 include apache::params, apache::service,
apache::install
03 }
04
05 class apache::params {
06 case $operatingsystem {
07 /(Debian|Ubuntu)/: {
08 $apache_package_name = 'apache2'
09 $apache_service_name = 'apache2'
10 $apache_config_name = '/etc/apache2/
apache.conf'
11 }
12 /(RedHat|CentOS|Fedora)/: {
13 $apache_package_name = 'httpd'
14 $apache_service_name = 'httpd'
15 $apache_config_name = '/etc/httpd/httpd.
conf'
16 }
17 }
18 }
Abbildung 1: Das Zusammenspiel der Komponenten in einer Umgebung, die Foreman nutzt.
fendes Netzwerk ohne DHCP-Relay, ist
es notwendig mehrere Smart-Proxies zu
verwenden, die sich um die automatische
Installation im jeweiligen Netzsegment
kümmern.
Zu den Smart-Proxy-Features gehören:
n DHCP: Übernimmt die automatische
Vergabe von IP-Adressen aus definierten
Subnetzen oder IP-Adressbereichen.
n DNS: Stellt die Namensauflösung für
Forward- und Reverse-Hosteinträge
bereit. Es werden nur ISC kompatible
Produkte wie Bind und Microsoft
DNS-Server unterstützt. Das Update
19
20 class apache::config {
21 file { $apache::params::apache_config_name:
22 notify => Class[apache::service'],
23 source => "puppet:///modules/
apache/${apache::params::apache_config_name}",
24 }
25 }
26
27 class apache::service {
28 service { $apache::params::apche_service_name
:
29 ensure => 'running',
30 enable => 'true',
31 }
32 }
33
34 package { $webserver_package_name :
35 ensure => "installed",
36 }
auf eine dynamische Zone erfolgt über
»nsupdate« und wird mit einem vorher
erstellten und konfigurierten Schlüssel
auf dem Nameserver authentifiziert.
n TFTP und PXE: Die automatischen
Installationen setzen einen konfigurierten
DHCP-Server voraus und
können ein Betriebssystem auf einem
PXE-bootfähigen Server installieren.
Die Installation erfolgt über das auf
dem TFTP-Server zur Verfügung stehende
Image und wird anschließend
über Kickstart (Fedora, RHEL) oder
Preseed (Debian, Ubuntu) mit den
vordefinierten Installationsantworten
bespielt. Neben Kickstart und Preseed
können weitere Techniken genutzt
werden wie etwa Jumpstart .
n PuppetCA: Mit diesem Feature übernimmt
Foreman das Signieren der Puppet-SSL
Zertifikate zwischen Master
und Agent. Nachdem das Betriebssystem
installiert wurde, ist ein Puppet-
Run ohne manuelles Eingreifen im Anschluss
möglich, der die Konfiguration
aus dem Puppet-Manifest ausrollt.
Ohne Smart-Proxy
n BENC: Puppet bietet einen sogenannten
External Node Classifier an. Er
führt ein Skript aus, dass die Klassenzuweisung
aus einer anderen Datenquelle
ausliest und ausgibt. Über
die Weboberfläche von Foreman kann
man so einen Host anlegen und ihm
Puppet-Klassen zuweisen.
68 Ausgabe 02-2013 Admin www.admin-magazin.de

Foreman
Know-how
n CMDB: Foreman lässt sich auch als
Configuration Management Database
nutzen, eine gesonderte Inventarpflege
kann dann entfallen. Das
Inventar bilden in allererster Linie die
Facter-Informationen. Fehlende oder
zusätzliche Informationen lassen sich
wie schon erwähnt in Custom Facts
leicht abbilden.
n Compute Ressources: Foreman ist in
der Lage, nicht nur physische, sondern
auch virtuelle Maschinen aus Private
und oder Public Clouds zu provisionieren.
Anstelle eines Bare-Metal
Servers wird etwa direkt eine AWS-
EC2-Instanz in der Amazon Cloud deployed.
Unterstützt werden außerdem
VMware oder Openstack.
n Reporting: Der Report eines Puppet-
Agent wird in der Regel an seinen
Puppet-Master gesendet. Zusätzlich
kann der Report zur Einsicht und für
Statistiken an Foreman gehen.
n Auditing: Über das Audit Feature lassen
sich Änderungen durch Kollegen
oder Kunden einsehen.
n LDAP: Die Foreman-Benutzerauthentifizierung
kann ein vorhandenes LDAP
oder Active-Directory ansprechen und
somit eine zentrale Authentifizierungsstelle
nutzen.
Zeit sparen
Die Einrichtung und Integration in die
bestehende Infrastruktur benötigt Überblick
über alle Komponenten und oft
auch etwas Zeit. Hat man jedoch alle
Komponenten und Features installiert,
können Foreman und Puppet einem sehr
viel Zeit sparen.
Wird beispielsweise ein neuer Debian Applikationsserver
benötigt, loggt sich ein
Administrator mit seinen Active Directory
Login-Daten in Foreman ein und legt einen
neuen Host über das Formular an.
Dort wählt er seinen Hostnamen, das
Betriebssystem und die Puppet-Module
Mehr zum Thema
Mehr zu dem Thema Automatisierung im Rechenzentrum
insbesondere zu Puppet und
Foreman kann man auf der Open Source Data
Center Conference vom 17.-18. April in Nürnberg
erfahren oder auf [1]. Dort gibt es auch
einen kurzen Videoblog zu dem gezeigten
Beispiel.
aus. Die nächste freie IP-Adresse wird
anhand der Zuordnung zur Domain bereits
vorgeschlagen. Die Puppet-Module
wären exemplarisch »ssh, apache2, php,
haproxy«.
Sobald der Sysadmin das Formular bestätigt,
wird auf dem PXE/​TFTP-Server
ein Eintrag erzeugt, der den Server mit
der verwendeten MAC-Adresse und einem
Debian Linux installiert. Auch der
DHCP Server hat einen Static-Lease für
den Server bereits eingerichet und wird
dem Server, sobald er danach fragt, die
IP-Adresse zuweisen. Der Server bootet,
wird per Preseed installiert und abschließend
bei seinem Puppetmaster für den
bevorstehenden ersten Puppet-Run vorbereitet.
Zusätzlich könnte hier der Sysadmin das
Finish-Skript so erweitert haben, dass es
den Server auch gleich noch in das Monitoring
einpflegt. Nach einem Reboot
weiß Foreman, dass der Server sich vollständig
installiert hat und ändert seinen
PXE-Boot-Eintrag ab, sodass der Server
nun nicht mehr das Installationsimage,
sondern von Festplatte startet.
Danach läuft auch der Dienst »puppetd«,
der sogleich einen Puppet-Lauf ausführen
wird. Der Puppet-Agent fragt bei seinem
Puppet-Master nach seinem Manifest und
führt es aus. Der Report über die erfolgreiche
Installation der Puppet-Klassen
wird ebenfalls wieder an Foreman zurückgeliefert,
sodass der Sysadmin den
Status des Servers über die Weboberfläche
verfolgen kann.
Etwaige Fehler wären hier sofort zu
sehen. Die Puppet-Module haben den
Server angewiesen Apache2 mit PHP zu
installieren, alle Vhosts wurden ebenfalls
eingerichtet, zusätzlich wurden ihre Informationen
über das »haproxy«-Modul
an den Loadbalancer mitgeteilt und auch
gleich mitkonfiguriert. Der Server ist also
gleich produktiv.
Der Administrator vergewissert sich mit
einem SSH-Login auf dem Server, ob alles
seine Richtigkeit hat. Der SSH-Login
erfolgt über den SSH-Key und den Hostname
des Servers, da Foreman für die
DNS-Einträge gesorgt hat und Puppet
den SSH-Key des Admins ebenfalls hinterlegt
hat. Alles in allem hat das den
Systemadministrator nicht mehr als 5 bis
10 Minuten Zeit gekostet, inklusive der
Installation.
Das Beispiel macht klar, welchen Mehrwert
man von einer solchen Lösung hat.
Nicht nur der Zeitvorteil, sondern auch
die Vollständigkeit des Setups sind überzeugend.
Bei einem manuellen Setup
passieren Fehler, auch wenn es nur der
DNS-Reverse Eintrag ist, den man vergisst,
der dann aber früher oder später
Probleme machen könnte.
Foreman wird aktiv weiterentwickelt und
eben auf die Version 1.1 aktualisiert. In
dieser Version sind unter anderem die
langersehnten Features wie „parameterized
Classes“, „Support für Puppet 3“,
„Locations und Organizations“ und viele
andere Verbesserungen implementiert.
(jcb)
n
Infos
[1] Videoblog:
[http:// www. youtube. com/ watch?​
v=utAmvYiyEsI]
Der Autor
Sebastian Saemann arbeitet für die Netways
Managed Service GmbH, die unter anderem
Partner von Puppetlabs ist, als Senior Systems
Engineer und Teamleiter im Bereich Managed
Hosting. Er ist verantwortlich für die Planung
und Umsetzung interner und externer Projekte.
Seit mehreren Jahren beschäftigt er sich mit
dem Thema Automatisierung im Rechenzentrum
insbesondere mit Puppet und Foreman. Darüber
hinaus hält er als Trainer Puppet-Schulungen.
Anzeige
C13
www.admin-magazin.de
Admin
Ausgabe 02-2013
69

Know-how
Powershell
© Vitalij Geraskin, 123RF
Die besten Commandlets für die Powershell
Des Pudels Kern
Windows ist nicht länger das von Linux-Anwendern verspottete Klickibunti-System. In der neuesten Server-
Version ist eine Installation ohne GUI sogar die Default-Einstellung, und die Verwaltung über die Powershell wird
auch für Windows-Administratoren zum Alltag. Thomas Joos
Mit der Powershell 3.0 hat Microsoft
die Möglichkeit geschaffen, nahezu jeden
Serverdienst in Windows-Servern in
der Shell zu verwalten, zu installieren
oder anzupassen. Dieser Artikel stellt
einige der neuen und interessanten
Commandlets vor, die Administratoren
das Leben erleichtern. So gibt es mit
»Show‐Command« einen neuen Befehl,
der die Verwendung anderer Aufrufe genauer
erklärt. Verfügt der Server über
eine Internetverbindung, lassen sich die
Hilfedateien in der Powershell mit »Update‐Help«
aktualisieren.
Core-Server mit GUI
Bei Windows Server 2012 ist die Installation
als Core-Server der von Microsoft
empfohlene Weg und standardmäßig bereits
ausgewählt. Eine wesentliche Neuerung
in Windows Server 2012 ist aber
die Möglichkeit, die grafische Oberfläche
über die Powershell nachträglich zu
installieren. Das heißt, Sie können aus
einem Core-Server einen vollständigen
Server mit grafischer Oberfläche machen.
Die installierten Serverdienste werden davon
nicht beeinträchtigt. Dazu geben Sie
in der Eingabeaufforderung »powershell«
ein und in der Powershell-Sitzung »Install‐WindowsFeature
Server‐Gui‐Shell«.
Nach ein paar Minuten startet der Server
neu, und Windows Server 2012 steht zur
Verfügung.
Verwenden Sie einen Core-Server, fehlen
auf dem Server auch die Binärdateien,
um die grafische Oberfläche zu
installieren. Sie müssen zur Installation
entweder eine Internetverbindung
für den Server konfigurieren, damit er
die benötigten Daten von Windows-
Update herunterladen kann, oder den
Ordner mit den Windows-Server-2012-
Installationsdateien angeben. Die Installation
führen Sie auf Core-Servern mit
dem Befehl »Install‐WindowsFeature
Server‐Gui‐Mgmt‐Infra« durch. Oder Sie
verbinden sich über den Server-Manager
von einem Rechner im Netzwerk aus.
Alternativ verwenden Sie die folgenden
Befehle in der Powershell:
Import‐Module Dism
Enable‐WindowsOptionalFeature ‐onlineU
‐Featurename ServerCore‐FullServer,U
Server‐Gui‐Shell,Server‐Gui‐Mgmt
Auch mit dem folgenden Befehl lässt sich
die grafische Oberfläche installieren:
Dism /online /enable‐feature U
/featurename:ServerCore‐FullServer U
/featurename:Server‐Gui‐Shell U
/featurename:Server‐Gui‐Mgmt
Bis Windows Server 2008 R2 waren die
Binärdateien von Features und Server-
70 Ausgabe 02-2013 Admin www.admin-magazin.de

Powershell
Know-how
Auch Features und Rollen lassen sich in
der Powershell installieren. Der Befehl
»Get‐WindowsFeature Hyper‐V*« zeigt
zum Beispiel an, ob die Rolle und die
Verwaltungstools bereits installiert sind.
Bei Windows Server 2012 können Sie
mit »‐computername« die Installation
auch auf Remoteservern im Netzwerk
überprüfen. Um Hyper-V oder die Verwaltungstools
zu installieren, verwenden
Sie das Cmdlet »Install‐WindowsFeature«
(in Windows Server 2008 R2 »Add‐WindowsFeature«).
Mit »Install‐WindowsFeature Hyper‐V«
installieren Sie die Serverrolle, mit der
Option »‐IncludeManagementTools« inrollen
auch dann auf dem Server gespeichert,
wenn sie nicht installiert waren.
Das hatte zwar den Vorteil, dass sich
die Features schnell installieren ließen,
verbrauchte aber unnötig Speicherplatz.
Windows Server 2012 bietet jetzt die
Möglichkeit, die nicht überflüssigen Binärdateien
zu entfernen.
Binärdateien entfernt das Commandlet
»Uninstall‐WindowsFeature«. Der Vorgang
lässt sich mit den Installationsmedien
von Windows Server 2012 jederzeit
wieder rückgängig machen. Das übernimmt
das Commandlet »Install‐WindowsFeature«.
Ein Vorteil von Feature on
Demand ist die Bereitstellung von Servern
über Images. Entfernen Administratoren
vor der Erstellung eines Images
nicht notwendige Binärdateien, lassen
sich bis zu 1 GByte Speicherplatz gewinnen.
Wollen Sie eine Rolle oder ein
Feature vollständig entfernen, verwenden
Sie in der Powershell das Commandlet
»Uninstall‐WindowsFeature« mit der Option
»‐remove«:
Uninstall‐WindowsFeature U
Server‐Gui‐Shell ‐remove
Um die entsprechende Rolle oder das Feature
zu installieren, benötigen Sie Zugriff
auf die Installationsmedien von Windows
Server 2012.
Die Installation erfolgt über den Server-
Manager oder die Powershell mit dem
Cmdlet »Install‐WindowsFeature«. Die
Option »‐source« des Commandlets gibt
einen Pfad zu einem WIM-Image an. Findet
der Server kein WIM-Image, lädt der
Installations-Assistent notwendige Dateien
über den Windows-Update-Service
aus dem Internet.
Core Server und GUI-Server
anpassen
Zur Konfiguration der IP-Einstellungen
verwenden Sie besser nicht mehr das Befehlszeilentool
»Netsh« wie in Windows
Server 2008 R2, sondern die Commandlets
»New‐NetIPAddress« und »Get‐Net-
IPConfiguration«, etwa
Abbildung 1: Speichern einer XML-Datei im Server-Manager.
‐ServerAddresses 192.168.178.4« ein.
Mehrere DNS-Server werden mit Kommas
getrennt aufgeführt.
Das Commandlet »Set‐DnsClientServerAddress
‐InterfaceIndex 12 ‐ResetServer«
wechselt zu DHCP. Achten Sie darauf,
jeweils die korrekte Indexnummer
für den Netzwerkadapter zu verwenden.
Diese erhalten Sie mit »Get‐NetIPConfiguration«.
Einer Windows-Domäne
treten Sie mit »Add‐Computer« bei, den
Namen von Servern ändern Sie mit »Rename‐Computer«.
Serverrollen und Features
installieren
klusive der Verwaltungstools. Soll der
Server gleich noch automatisch neu starten,
verwenden Sie zusätzlich die Option
»‐restart«. Die Verwaltungstools alleine
installiert »Install‐WindowsFeature Hyper‐V‐Tools«.
Die Installation von Features erfolgt
dann mit dem Befehl »Add‐WindowsFeature
Features«, zum Beispiel
mit »Add‐WindowsFeature
RSAT‐AD‐Powershell,RSAT‐AD‐Admin-
Center« für die Installation der Active
Directory-Verwaltungstools. Die Befehle
funktionieren in der Powershell 2.0 von
Windows Server 2008 R2 und in der
neuen Powershell 3.0 von Windows Server
2012.
Neben der beschriebenen Möglichkeit,
Rollen und Features über die Powershell
zu installieren, indem Sie den Namen
der Rolle und des Features angeben, können
Sie in der Powershell auch die XML-
Steuerungsdatei verwenden, die Sie im
Assistenten zum Installieren von neuen
Rollen im letzten Fenster speichern können
(Abbildung 1).
Um auf einem anderen Server die gleichen
Rollen und Features zu installieren,
verwenden Sie die Powershell und geben
die XML-Datei an. Dabei verwenden Sie
das Cmdlet »Install‐WindowsFeature«
mit der Option »‐ConfigurationFilePath«,
zum Beispiel »Install‐WindowsFeature-
New‐NetIPAddress ‐InterfaceIndex 12 U
‐IPAddress 192.168.178.2 ‐PrefixLength 24 U
‐DefaultGateway 192.168.178.1.
Die DNS-Server tragen Sie mit »Set‐DNS-
ClientServerAddress ‐InterfaceIndex 12
Abbildung 2: Serverrollen in der Powershell über XML-Datei installieren.
www.admin-magazin.de
Admin
Ausgabe 02-2013
71

Know-how
Powershell
ConfigurationFilePath C:\Daten\iis.xml«
(Abbildung 2).
Test der Voraussetzungen
für Active Directory
Das Commandlet »Test‐ADDSDomain-
ControllerInstallation« [1] testet, ob die
Voraussetzungen für die Installation
eines Domänencontrollers erfüllt sind.
Für einen schreibgeschützten Domänencontroller
machen Sie das Gleiche mit
»Test‐ADDSReadOnlyDomainController-
AccountCreation« [2].
Die Voraussetzungen für die Installation
einer neuen Domäne in Active Directory
testet »Test‐ADDSDomainInstallation«
(Abbildung 3). »Test‐ADDSForestInstallation«
macht das Gleiche für eine neue
Gesamtstruktur auf Basis von Windows
Server 2012. Damit Sie die Tests ausführen
können, müssen Sie an verschiedenen
Stellen noch Kennwörter eingeben.
Diese akzeptiert das entsprechende Commandlet
aber nur als sichere Eingabe. Ein
Beispiel für den Befehl ist:
Test‐ADDSDomainControllerInstallation U
‐Domainname DNS‐Name der Domäne U
‐SafeModeAdministratorPassword (read‐host U
‐prompt Kennwort ‐assecurestring)
Um einen neuen Domänencontroller zu
installieren, verwenden Sie das Commandlet
»Install‐ADDSDomainController«.
Damit der Befehl funktioniert, geben
Sie den Namen der Domäne an und
konfigurieren das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus
als »SecureString«. Dazu dient folgender
Befehl:
Install‐ADDSDomainController U
‐Domainname DNS‐Name der Domäne U
‐SafeModeAdministratorPassword (read‐host U
prompt Kennwort ‐assecurestring).
Listing 1: Web Access erlauben
01 $applicationPoolName = "Name des Anwendungspools für
PSWA"
02 $authorizationFile = "C:\windows\web\
powershellwebaccess\data\AuthorizationRules.xml"
03 c:\windows\system32\icacls.exe $authorizationFile /
grant ('"' + "IIS AppPool\$applicationPoolName" +
'":R') > $null
Abbildung 3: Erfolgreicher Test der Installation eines neuen Domänencontrollers.
Um einen Domänencontroller herunterzustufen,
verwenden Sie am besten die
Powershell und das Commandlet »UnInstall‐ADDSDomainController«:
Sie müssen
dabei mindestens noch das lokale Kennwort
des Administrators festlegen, das als
»SecureString« definiert wird. Die Syntax
dazu sieht so aus:
UnInstall‐ADDSDomainController U
‐LocalAdministratorPassword (read‐host U
‐prompt Kennwort ‐assecurestring)
Mit »get‐help UnInstall‐ADDSDomainController«
erhalten Sie mehr Informationen
zu dem Befehl. Sie können Server auch
in der Powershell benennen, neu starten
und in Domänen aufnehmen. Dazu bietet
die Powershell die Commandlets
n »Rename‐Computer ‐Name Computername«
n »Add‐Computer ‐DomainName Domänenname«
n »Restart‐Computer«
Auch die Einrichtung der Replikation lässt
sich in der Powershell erledigen. Eine
Liste der verfügbaren Befehle erhalten
Sie mit »get‐command *adreplication*«.
Um sich eine Hilfe zu den Commandlets
anzuzeigen, verwenden Sie »get‐help
Commandlet«. Sie können Standorte
zum Beispiel auch in der Powershell erstellen.
Dazu verwenden Sie den Befehl
»New‐ADReplicationSite Standort«. Neue
Standortverknüpfungen erstellen Sie beispielsweise
mit:
New‐ADReplicationSiteLink CORPORATE‐U
BRANCH1 ‐SitesIncluded CORPORATE,BRANCH1 U
‐OtherAttributes @{'options'=1}
Abbildung 4: Wiederherstellungspunkte in der Powershell verwalten.
Die Kosten und den Zeitrahmen der Synchronisierung
können Sie bei diesem Aufruf
mit den passenden Schaltern auch
gleich festlegen:
Set‐ADReplicationSiteLink CORPORATE‐U
BRANCH1 ‐Cost 100 ‐ReplicationFrequencyU
InMinutes 15
Dieser Aufruf legt die Kosten auf 100
fest, das Replikationsintervall auf 15 Minuten.
Replikation in der
Powershell testen
Den Status der Replikation erfahren Sie mit
dem Commandlet »Get‐ADReplication-
UpToDatenessVectorTable Servername«.
Eine Liste aller Server erhalten Sie mit:
Get‐ADReplicationUpToDatenessVectorTable U
* | sort Partner,Server | ft Partner,Server,U
UsnFilter
Um sich die einzelnen Standorte und die
Domänencontroller der Standorte anzuzeigen
verwenden Sie die beiden Commandlets:
n »Get‐ADReplicationSite ‐Filter * | ft
Name«
n »Get‐ADDomainController ‐Filter * | ft
Hostname,Site«
Um die Replikationsverbindungen in der
Powershell anzuzeigen, verwenden Sie
den Befehl »get‐adreplicationconnection«.
Auch ausführliche Informationen zu den
einzelnen Standorten gibt die Powershell
auf Wunsch aus. Dazu verwenden Sie
den Befehl »Get‐ADReplicationSite ‐Filter
*«. Weitere interessante Commandlets in
diesem Bereich sind:
72 Ausgabe 02-2013 Admin www.admin-magazin.de

Powershell
Know-how
n »Get‐ADReplicationPartnerMetadata«
n »Get‐ADReplicationFailure«
n »Get‐ADReplicationQueueOperation«
Powershell Web Access
Windows Powershell Web Access stellt
eine webbasierte Windows Powershell-
Konsole bereit. Auf diese Weise lassen
sich Powershell-Befehle und ‐Skripts
über eine Konsole in einem Webbrowser
ausführen. Sie können mit Powershell
Web Access auch über Smartphones und
Tablets remote auf die Powershell von
Servern zugreifen. Dabei können Sie alle
Commandlets nutzen, die auf dem Server
verfügbar sind. Wenn Sie Windows
Powershell Web Access mit der Powershell
installieren, werden die Verwaltungstools
für den IIS nicht hinzugefügt:
Install‐WindowsFeature ‐Name U
WindowsPowershellWebAccess ‐ComputerName U
Servername ‐IncludeManagementTools U
‐Restart
Nach der Installation von Powershell
Web Access besteht der nächste Schritt
in der Einrichtung des Gateways für
Powershell Web Access. Das Commandlet
»Install‐PswaWebApplication« bietet
eine schnelle Möglichkeit, um Powershell
Web Access zu konfigurieren.
Sie können mit der Option »‐UseTest-
Certificate« auch ein selbst signiertes
SSL-Zertifikat installieren. Durch die
Ausführung des Cmdlets wird die Powershell
Web Access-Webanwendung
im Standardwebsite-Container von IIS
installiert. Die Webseite von PSWA erreichen
Sie über den Link, »https://Servername/pswa«.
Nachdem Sie den Powershell Web
Access installiert und das Gateway mit
der Webseite und dem Zertifikat eingerichtet
haben, müssen Sie Benutzern
noch den Zugriff auf die Powershell über
den Web Access gestatten. Führen Sie
in einer Powershell-Sitzung, die mit erhöhten
Administratorrrechten geöffnet
wurde, die Befehle in Listing 1 aus.
Abbildung 5: Office 365 lässt sich ebenfalls mit der Powershell verwalten.
Autorisierungsregeln erlauben es einem
Benutzer, auf einen Computer im Netzwerk
zuzugreifen. Der Zugriff ist auf eine
bestimmte Sitzungskonfiguration beschränkt.
Im folgenden Beispiel wird dem
Benutzer »administrator« in der Domäne
»Contoso« der Zugriff für die Verwaltung
des Computers »srv1.contoso.int« und
die Verwendung der Sitzungskonfiguration
»microsoft.powershell« gestattet:
Add‐PswaAuthorizationRule ‐UserName U
Contoso\administrator ‐ComputerName srv1.U
contoso.int ‐ConfigurationName microsoft.U
powershell
Powershell in Windows 7
und ​8
Die vorhandenen Wiederherstellungspunkte
eines Systems lassen sich in der
Powershell anzeigen. Dazu starten Sie die
Powershell über die Startseite. Klicken
Sie die Kachel über das Kontextmenü
an, und starten Sie die Powershell mit
Administratorrechten. Geben Sie den
Befehl »Get‐ComputerRestorePoint« ein,
um die Systemwiederherstellungspunkte
anzuzeigen.
Mit dem Befehl »Restore‐Computer
SequenceNumber« setzen Sie den Computer
zu dem Zeitpunkt des Wiederherstellungspunkts
zurück, den Sie in der
»SequenceNumber« angeben haben.
Diese Nummer erfahren Sie über
»Get‐ComputerRestorePoint«. Nach der
Eingabe des Befehls startet der Assistent
sofort mit seiner Arbeit, es erscheint
keine Rückfrage.
Mit dem Befehl »Checkpoint‐Computer
‐description Beschreibung« erstellen Sie
einen Wiederherstellungspunkt in der
Powershell. Allerdings können Sie auf
diesem Weg alle 24 Stunden nur einen
Wiederherstellungspunkt erstellen. Den
Wiederherstellungspunkt können Sie später
genauso in der grafischen Oberfläche
verwalten, wie alle anderen auch. Eine
ausführliche Hilfe zum Cmdlet erhalten
Sie in der Microsoft-TechNet [3] und [4].
Über die Powershell haben Sie auch die
Möglichkeit, Systemwiederherstellungspunkte
zeitgesteuert zu erstellen.
Office 365 mit der
Powershell verwalten
Administratoren können alle Editionen
von Office 365 auch ohne den Betrieb
von lokalen Servern in der Powershell
verwalten. Microsoft stellt die notwendigen
Commandlets kostenlos zur Verfügung
[5]. Eine Hilfe dazu finden Sie
unter [6].
Zur Verwaltung von Office 365 starten
Sie die Verknüpfung »Microsoft Online
Services‐Modul für Windows Powershell«
in der Programmgruppe »Microsoft Online
Services« oder laden mit »import‐module
MSOnline« die entsprechenden
Commandlets. Das Commandlet »Connect‐MsolService«
verbindet die Konsole
mit Office 365. Der Befehl »get‐command
*mso*« gibt eine Überblick der verfügbaren
Befehle. Einstellungen wie das
Ablaufdatum des Passworts nehmen Sie
mit dem Commandlet »Set‐MsolUser«
vor. (ofr)
n
Infos
[1] Test-ADDSDomainControllerInstallation:
[http:// technet. microsoft. com/ en‐us/​
library/ hh974725. aspx]
[2] Test-ADDSReadOnlyDomainControllerAccountCreation:
[http:// technet. microsoft.​
com/ en‐us/ library/ hh974721]
[3] Checkpoint-Computer:
[http:// technet. microsoft. com/ de‐de/​
library/ dd315269. aspx]
[4] Restore-Computer:
[http:// technet. microsoft. com/ de‐de/​
library/ dd347740. aspx]
[5] Verwenden von Windows PowerShell
für die Verwaltung von Office 365:
[http:// onlinehelp. microsoft. com/ de‐de/​
office365‐enterprises/ hh124998. aspx]
[6] Windows Powershell-Cmdlets für Office 365:
[http:// onlinehelp. microsoft. com/ de‐de/​
office365‐enterprises/ hh125002. aspx]
Der Autor
Thomas Joos ist freiberuflicher IT-Consultant und
seit über 20 Jahren in der IT tätig. Neben seinen
Projekten schreibt er praxisnahe Fachbücher
und Fachartikel rund um Windows und andere
Microsoft-Themen. Online trifft man ihn unter
[http:// thomasjoos. spaces. live. com].
www.admin-magazin.de
Admin
Ausgabe 02-2013
73

Test
Flash Cache für VMs
© gortan123, 123RF
Im Test: Beschleunigerkarte von OCZ für ESX-Server
Turbolader für VMs
Der I/​O-Durchsatz ist ein klassischer Flaschenhals gerade in virtualisierten Umgebungen. Eine Flash-Cache-Karte
mit zugehöriger Software von OCZ verspricht, die Engstelle aufzuweiten. Wir haben sie getestet. Jens-

Flash Cache für VMs
Test
weniger spärlich kommentierter Screenshots.
Stößt der Admin unterwegs auf ein
Problem, fehlt ihm so die Orientierung:
Er weiß nicht, was erreicht werden sollte,
oder wie die Komponenten hätten zusammenspielen,
oder welche Funktionen
sie hätten haben sollen – und so bleibt er
hilflos zurück.
Dass der unbedarfte Konfigurator in diese
Falle tappt, ist schon allein deswegen
wahrscheinlich, weil einerseits die Beschreibungen
stellenweise mindestens
mehrdeutig sind und andererseits einige
der Softwarekomponenten ungewöhnlich
und unerwartet reagieren. Bei der
Einrichtung der nötigen virtuellen VXL-
Maschine übernimmt zum Beispiel ein
Konfigurationsskript die bereits von ihm
selbst vogeschlagenen und eingetragenen
Default-Werte nicht nach Bestätigung mit
[Enter], wie es jedermann voraussetzen
würde. Gleichzeitig filtert es heimlich und
ohne Rückmeldung die Benutzereingaben.
Kommt der Admin nun nicht auf die
eigentlich absurde Idee, dass er abschreiben
soll, was bereits dasteht, muss er
den Eindruck gewinnen, das Skript habe
sich aufgehängt, denn es reagiert auf
keinerlei andere Tastendrücke mehr. Aus
all dem ergeben sich deutliche Abstriche
am Nutzen der Dokumentation und der
Benutzerfreundlichkeit der Software, zumindest
in der Einrichtungsphase.
Lohn der Mühe
Ist die Software nach etlichen Mühen
dann einmal richtig konfiguriert und angepasst,
und versucht man bei einem
passenden Workload aufs Tempo zu
drücken, dann können die erreichbaren
Datenübertragungsraten fraglos überzeugen.
Mindestens fünf Clients sind in der
Lage, mithilfe des Cache jeweils um die
100 MB/​s von iSCSI-Targets zu lesen, sodass
sich eine aggregierte Leserate von an
die 500 MB/​s ergibt. Ohne die Beschleunigerkarte
gehen in keiner Situation mehr
als 100 MB/​s über das iSCSI-Netz (Abbildung
2).
Bei 500 MByte/​s würde es übrigens selbst
für SATA 3.0 schon eng (ältere Versionen
mit 150 und 300 MB/s) hätten längst
aufgegeben) – iSCSI mit Gigabit-Ethernet
aber, das man eventuell auch zu 10 GbE
ausbauen könnte, hat noch genügend
Luft nach oben.
.10
iSCSI
.11
iSCSI Net
10.10.10.x
.12
.162
Abbildung 1: Übersicht über den Versuchsaufbau.
Für einen ersten Überblick verwendeten
die Tester des ADMIN-Magazins das bekannte
File-Kopier-Utility »dd« :
dd if=./testfile1 of=/dev/null bs=64k U
iflag=direct
ESXi
Host
Wir verordneten ihm eine Rekord-Größe
von 64k und wiesen es an, wenn möglich
den Buffercache des Filesystems zu
umgehen. Dann starteten wir es nacheinander
auf einer, zwei, drei, vier und
fünf virtuellen Maschinen gleichzeitig,
die in einem Fall vom VXL-Cache unterstützt
wurden und im anderen Fall nicht.
In jeder Konstellation absolvierte »dd«
.251
Managemet Net
192.168.111.x
Windows
Host
Z-Drive
vCenter Client
.126 .135
zehn Durchläufe. Aus den Resultaten eliminierten
wir jeweils den kleinsten und
den größten Wert und bildeten aus den
verbliebenen acht Messergebnissen das
arithmetische Mittel.
Mit Tempo
vCenter VM
.126
StoragePro
VXL VM
.210
Benchmark VMs
Die Leseleistung der unbeschleunigten
Volumes (46,6 MB/​s) erreichte dabei von
vornherein weniger als die Hälfte der beschleunigten
Versionen (97,66 MB/​s) bei
einer laufenden VM. Mit der Anzahl der
um I/​Os konkurrierenden VMs nimmt
in der unbeschleunigten Version jedoch
Abbildung 2: Auf dem iSCSI-Netz laufen die Datenströme der parallel arbeitenden VMs zusammen und
erreichen bei fünf Lesern an die 500 MB/​s.
www.admin-magazin.de
Admin
Ausgabe 02-2013
77

Test
Flash Cache für VMs
die Performance deutlich stärker
ab und sinkt bei fünf parallel
arbeitenden VMs unter
ein Drittel der Resultate mit
Cache. Noch klarer lagen die
Verhältnisse bei einem Benchmark
mit iozone:
iozone ‐i1 ‐I ‐c ‐e ‐w ‐x ‐s2g U
‐r128k ‐l1 ‐u1 ‐t1 ‐F testfile
Wir orientierten auch iozone
darauf, ausschließlich und
mit Direct-I/​O ein wieder
zwei GByte großes Testfile
zu lesen. Die Record-Größe hatten wir
auf 128 KByte eingestellt. iozone lief im
sogenannten Throughput-Mode und verwendete
genau einen Prozess. Die Mittelwerte
wurden wie oben beschrieben
berechnet. Die entsprechenden Resultate
zeigt Abbildung 3.
Schreiben ist Gift
So haben wir getestet
MB/s
160.00
140.00
120.00
100.00
80.00
60.00
40.00
20.00
Als ESX-Server verwendeten wir einen bewährten
Rechner der Serie ProServ II von ExuSData.
In ihm werkelten zwei Xeon Quadcore-Prozessoren
X5667 (3 GHz) in einem Intel Motherboard
S5520HC, das mit 16 GByte Memory bestückt
war. In einem der insgesamt fünf PCI-Express-
Steckplätze befand sich die SSD-Speicherkarte
Z-Drive R4 von OCZ.
An den Server waren zwei RAID-Systeme angeschlossen:
Zum einen ein SCSI-Array transtec
600 Premium mit 10 400-GByte-SATA-Platten,
auf dem alle virtuellen Systemplatten der VMs
lagen. Zum anderen das zu beschleunigende
iSCSI-System (Abbildung 4), ein NASDeluxe NDL-
21085T von starline, bestückt mit 10 2 TByte-
SATA-Platten. Dieses System verfügte über
zwei Gigabit-Ethernet-Schnittstellen (neben
USB- und eSATA-Anschlüssen).
0.00
1 2 3 4 5
parallel laufende VM
Bis hierher haben wir reine Lese-Benchmarks
betrachtet, und das aus gutem
Grund: Zwar werden von VXL auch
Schreiboperationen gecacht, sie müssen
aber aus Gründen der Konsistenz gegenüber
dem Host bestätigt werden, sobald
sie auf dem physischen Medium erfolgreich
vollzogen wurden. Damit bringt der
Cache hier so gut wie keinen Geschwindigkeitsvorteil
– die Writes belegen in
ihm aber Platz, den parallel laufende
Leseoperationen dann nicht mehr nutzen
können. Der Effekt ist, dass schon
Workloads mit 50 Prozent Schreiboperationen
auf das cachebeschleunigte Volume
praktisch keinen Performancevorteil mehr
haben. Die Schreiboperationen bremsen
erfreulicherweise nicht zusätzlich, aber
der Geschwindigkeitsgewinn ist perdu.
Freilich gibt es viele leselastige Workloads,
gerade auch in momentan so hoch
gehandelten Disziplinen wie Big Data.
Aber auch in profanen Alltagssituationen,
etwa beim zeitgleichen Booten vieler
VMs, überwiegt das Lesen. Dort hat
der VXL-Cache seinen Platz, und dort
wird er zu deutlichen Performancegewinnen
und einer besseren Auslastung des
ESX-Servers beitragen, dessen Storage damit
eine viel höhere Anzahl gleichzeitig
laufender VMs verträgt.
Darüber hinaus ist der VXL-Cache sinnvoll
in Umgebungen einsetzbar, in denen
sich die Schreiboperationen auf bestimmte
Volumes konzentrieren lassen.
Neuere Versionen der mitgelieferten Software
erlauben es, die SSD so zu partitionieren,
dass nur ein Teil als Cache, ein
unbeschleunigt
beschleunigt
Abbildung 3: Durchsatz pro VM bei parallel arbeitenden virtuellen Maschinen bei
iozone-Leseoperationen.
Abbildung 4: Das zu beschleunigende iSCSI-System
NASDeluxe NDL-21085T.
anderer Teil dagegen als normales
SSD-Laufwerk fungiert.
Dann lassen sich schreibintensive
Operationen auf das SSD-
Laufwerk leiten, während der
Cache auf derselben Speicherkarte
etwa Teile einer Datenbank,
die hauptsächlich gelesen
werden, unterstützt (zum
Beispiel manche Indizes).
Benchmarks des Herstellers
mit lang laufenden Data-
Warehouse-Queries unter MS
SQL Server 2012 sollen dank
Einsatz der VXL-Software auf diese Weise
eine Beschleunigung auf bis zu 1700 Prozent
erfahren haben [1].
Fazit
Überall dort, wo sich Schreib- und Leseoperationen
die Waage halten und nicht
separieren lassen sowie dasselbe Medium
betreffen, ist eine Unterstützung mit der
Caching-Lösung nicht sinnvoll. Wo dagegen
das Lesen überwiegt oder sich zumindest
von den Schreiboperationen trennen
lässt und wo möglichst viele VMs oder
Prozesse gleichzeitig daran beteiligt sind,
da beschleunigt die Lösung von OCZ den
Datentransfer um den Faktor fünf oder
mehr, reduziert den Datentransfer vom
und zum SAN und erlaubt es dem ESX-
Server von VMware, entsprechend mehr
virtuelle Maschinen parallel zu betreiben
– vorausgesetzt, er verfügt auch sonst
über ausreichend Ressourcen. Der Cache
kann dabei auch mehrere Hosts bedienen
oder mit einem zweiten Z-Drive gespiegelt
werden und lässt sich sogar mit der
Migration von VMs zwischen Virtualisierungshosts
vereinbaren.
Das Ganze hat natürlich seinen Preis. Der
liegt für die getestete Version bei 2560
Euro für eine VXL-Lizenz inklusive einem
Jahr Support und ohne Zusatzfeatures
(wie etwa die Spiegelung des Cache) plus
4,5 Euro pro GByte Flash auf der Cache-
Karte, die es in Größen von 1,2 bis 3,2
TByte gibt. (jcb)
n
Infos
[1] Datenbankbeschleunigung mit VXL:
[http:// www. oczenterprise. com/​
whitepapers/ whitepaper‐accelerating‐ms‐s
ql‐server‐2012. pdf]
78 Ausgabe 02-2013 Admin www.admin-magazin.de

MEDIALINX
IT-ACADEMY
IT-Onlinetrainings
Mit Experten lernen.
powered by
n Sparen Sie Zeit und Kosten mit unseren praxisorientierten Onlinetrainings.
n Bestimmen Sie Ihr eigenes Lerntempo und nutzen Sie die flexible Zeiteinteilung.
n Profitieren Sie vom Know-how der erfolgreichsten Linux-Zeitschrift Europas.
LPIC-1 / LPIC-2 Trainings
LPIC-1 (LPI 101 + 102)
mit Ingo Wichmann,
Linuxhotel
499 €
LPIC-2 (LPI 201 + 202)
mit Marco Göbel,
Com Computertraining GmbH
499 €
Linux
Professional
Institute
www.medialinx-academy.de
R
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der Knoppix-Distribution,
knopper.net
199 €
Zarafa – die offiziellen Trainings
mit Marco Welter,
Zarafa Deutschland GmbH
Zarafa Administrator
249 €
Zarafa Engineer
249 €

Test
NexentaOS
© Dmitriy Shironosov, 123RF
Zwei NexentaOS-Abkömmlinge im Vergleich
Zwillingsforschung
Was kann der Schrauber beim Storage sparen? Was gewinnt der, der lieber etwas tiefer in die Tasche greift und
eine schlüsselfertige Lösung erwirbt? Das ADMIN-Magazin hat eine Do-it-yourself-Lösung und eine vorkonfigurierte
Appliance derselben Herkunft verglichen. Jens-Christoph Brendel
Mit bis zu 80 Prozent Kostenvorteil im
Vergleich zu den etablierten Schwergewichten
wie IBM oder EMC bewirbt Nexenta
Systems seine offene Storage-Plattform.
Dabei ist die kein Monolith: Auf
ihrer Grundlage existieren unterschiedliche
Modelle selbst aufzubauender oder
vorkonfigurierter Speichergeräte. Allen
gemeinsam ist: Sie fußen auf NexentaOS,
das den Kernel des Open-Solaris-Nachfolgers
Illumos mit GNU Userland-Tools und
Debian Packaging verbindet. Das Herzstück
ist immer das moderne und leistungsstarke
Dateisystem ZFS mit seinen
Snapshots oder integrierten RAID-Leveln,
unbegrenzter Kapazität und Dateigröße,
Block-Level-Mirroring und so fort.
Unterschiede
NexentaOS (auch bekannt als Nexenta
Core Platform, NCP) ist freie Software, die
heute unter dem Dach von Illumos weiterexistiert.
NexentaStor dagegen nennt
sich zwar ebenfalls „Open Storage“, das
meint aber nur, dass es offene Standards
und Protokolle verwendet. Selbst ist es
ein kommerziell lizenziertes Produkt.
Bei NexentaStor werden die Community
Edition und eine Enterprise Edition unterschieden.
Die Community Edition ist
kostenlos, aber nicht für Produktivsysteme
gedacht (das verbietet die EULA
explizit), auf maximal 18 TByte limitiert,
und es fehlen fortgeschrittene Features
wie Active/​Active-HA-Cluster, das Virtual
Machine Data Center-Plugin für die Integration
verschiedener Hypervisor, Auto
Sync oder die Möglichkeit, WORM-Speicher
für die Archivierung einzusetzen.
Für den Heimgebrauch oder im akademischen
Umfeld bietet die Community
Edition jedoch eine unschlagbar günstige
Lösung. Wer sich dagegen auf die Enterprise
Edition fokussieren will oder muss,
der findet sie in fertigen Appliances von
Nexenta-Partnern wie Thomas Krenn,
Boston, transtec oder EuroStor.
Einen dritten Weg beschreitet Netgear:
Ohne zertifizierter Nexenta-Partner zu
sein, entwickelt es das eigene Storage-
Betriebssystem ReadyDataOS auf der
Grundlage der freien Core Platform. Wir
haben Netgear ReadyData 5200 exemplarisch
zum Vergleich mit der Nexenta
Community Edition herangezogen.
Volumes und Shares
Bei der Appliance von Netgear entfällt die
Betriebssystem-Installation, die erledigt
der Hersteller. Aber auch die Community-Version
von Nexenta ist schnell und
problemlos aufgespielt. Problematischer
könnte es dort höchstens werden, wenn
externe Plattenspeicher anzubinden sind,
die der Nexenta zugrunde liegende Illumos-Kernel
beispielsweise mangels passender
Treiber nicht auf Anhieb erkennt.
Ansonsten reichen eine halbe Stunde und
Antworten auf eine Handvoll einfacher
Fragen, bis die ersten Shares am Netz
sind.
Bei der Einrichtung von Volumes und
Shares sind die Unterschiede schon etwas
größer. Zunächst punktet Netgears
ReadyDataOS am augenfälligsten damit,
dass sich die Disks für ein aufzubauendes
Volume mit wenigen Klicks in einer
grafischen Gerätedarstellung auswählen
lassen (Abbildung 1). Das ist praktisch
und erleichtert die Orientierung.
Verständlicherweise kann Nexenta, das
nicht an ein bestimmtes Gerät gebunden
ist, sondern eine sehr breite Hardware-
Palette unterstützt, nicht automatisch
eine Frontansicht bieten: Hier muss man
mit den weniger anschaulichen Solaris-
Gerätenamen vorliebnehmen.
NexentaStor kennt dafür neben der grafischen
Oberfläche (Nexenta Management
View, NMV) auch eine Textkonsole (Nexenta
Management Console, NMC, Ab-
80 Ausgabe 02-2013 Admin www.admin-magazin.de

NexentaOS
Test
Latenz ein eigenes Log Device verwenden
soll oder nicht (was den Durchsatz
steigern kann). Außerdem beherrscht nur
die Community Edition User Quotas und
WebDAV oder Rsync als Zugriffsmethoden
auf ein gesharetes Volume. Auf diese
Features verzichtet Netgear (Tabelle 1).
Abbildung 1: Eine grafische Geräteansicht verrät, in welchen Slots die Platten eines Volumes stecken
(dunkelgrau: nicht zugewiesen, hellgrau: zugewiesen, ocker: Cache, grün: Spare Disk, blau: zum markierten
Volume gehörig).
bildung 2), die sich beispielsweise anbietet,
wenn man bestimmte Prozesse mit
Skripten automatisieren will. Zwar kann
der Admin auch bei Netgear einen SSH-
Zugang aktivieren, dort fehlen dann aber
spezielle Kommandos für das Anlegen,
Anzeigen, Verwalten und Löschen von
Storage-Objekten, mit denen die NMC
aufwartet. Musste NexentaStor also in
der B-Note der GUI Abzüge hinnehmen,
punktet es jetzt auf der Kommandozeile.
RAID & Co.
Nexenta bietet neben einer Spiegelung
(RAID 1) die in ZFS integrierten RAID-
Z-Level, die hier nach ZFS-Manier auch
Redundancy Groups heißen: RAID-1,
RAID-Z1 (analog RAID-5), RAID-Z2 (analog
RAID-6) und RAID-Z3 (mit dreifacher
Parität). Netgear nutzt diese Modi ebenfalls,
nennt sie aber nach klassischem
Vorbild nicht ganz zutreffend RAID-5 und
RAID-6, weil es diese Bezeichnungen
für gebräuchlicher
hält. Im Vergleich zur Nexenta
Community Edition bietet das
Netgear-System allerdings
kein RAID-Z3 mit dreifacher
Parität, was bei sehr großen
Volumes ein Vorteil sein kann,
den der Netgear-Nutzer entbehren
muss.
Nach dem Anlegen eines
Volumes kann man bei Nexenta
wie bei Netgear weitere
Platten zuweisen, die als Cache fungieren
sollen. Am besten verwendet man
dafür allerdings SSDs. Beide Probanden
können sowohl Lese- wie Schreibcaches
verwenden, ZFS kennt darüber hinaus
Hybrid Storage Pools, die DRAM, Flash
und Platten kombinieren.
Einfach oder detailliert
In beiden Nexenta-Varianten lassen sich
Quotas einrichten (bei Netgear aber nur
pro Share, nicht pro User) oder eine
bestimmte Mindestgröße für ein Share
reservieren. Die Nexenta Community
Edition erlaubt allerdings die feineren
Einstellungen: So kann man nur hier eine
Rekordgröße für das Filesystem einstellen,
die Case Sensitivity justieren, bei
den Zugriffsrechten verschiedene Modi
der Vererbung von ACLs vorgeben oder
bestimmen, ob ein Diskpool bei synchronen
Operationen im Interesse geringer
Abbildung 2: Die Nexenta Management Console ermöglicht die Automatisierung
von Verwaltungsaufgaben durch Skripte.
Protokolle und Dienste
Beide Probanden beherrschen die klassischen
Storage-Protokolle CIFS (SMB),
NFS (jeweils inklusive Version 4), FTP
und iSCSI. Bei der Nexenta Community
Edition bleiben allerdings Mac-Anwender
außen vor, das Apple Filing Protocol
(AFP) kennt nur das Gerät von Netgear.
Sowohl unter NexentaStor wie unter
Ready DataOS lassen sich zudem spezielle
Dienste konfigurieren. Bei der Community
Edition von NexentaStor sind das:
n Auto-Tier, das via »rsync« eine Kopie
eines Volumes auf lokalen oder entfernten
Platten im Sinne eines Diskto-Disk-Backups
erzeugt. Als Quelle
kommen auch Snapshots infrage.
n Auto-Snap, das periodisch Snapshots
eines Folders oder Volumes anlegt.
n Auto-Scrub, das periodisch die Konsistenz
von Volumes anhand der ZFS-
Checksummen verifiziert.
Die hier nicht getestete Enterprise Edition
kennt darüber hinaus noch weitere Services,
darunter fortlaufend aktualisierte
Snapshots auf entfernte Platten (Auto-
Sync) und eine Echtzeit-Replikation
zwischen zwei NexentaStor-Appliances
(Auto-CDP).
Beim Netgear-System ist Replikation bereits
inbegriffen, das Feature muss nur
noch aktiviert werden. Dann vermittelt es
den Zugang zu einem Online-Portal und
konfiguriert eine sichere Peer-to-Peer-Verbindung
zwischen den beteiligten ReadyNAS-Systemen,
die dank
einer patentierten NAT-Traversal-Technik
den Eindruck
vermittelt, als befänden sich
die beiden beteiligten Speicher
im selben Subnetz. Port
Forwarding oder Dynamic
DNS sind dafür nicht extra
nötig. Anschließend kann der
Admin zwischen einer zeitgesteuerten
Replikation (Periodic
Replication) und einer
aktivitätsgetriebenen Version
www.admin-magazin.de
Admin
Ausgabe 02-2013
81

Test
NexentaOS
auch automatisch mit einer vorgegebenen
Frequenz.
Benutzer und Rechte
Abbildung 3: Die schickeren Charts hat eindeutig das Netgear-System. Außerdem kann es das bessere
Hardware-Monitoring bieten, weil es weiß, worauf es läuft.
Tabelle 1: Features Netgear ReadyData 5200
Feature ReadyData 5200
Modell ReadyDATA 5200
Hersteller
Netgear
Betriebssystem NexentaOS (Basis
Solaris)
iSCSI
AFP
Preis
7 400 Euro
HTTP/​HTTPS
Hardware
Prozessor Intel Xeon X3450,
2.67GHz
FTP/​FTPS
TFTP
Memory (max.)
16 GByte
SSH
Netzwerkinterfaces 2 x GbE, 2 x 10 GbE DHCP-Client
Netzteile 2
UPnP (Bonjour)
Lüfter
4 (3 x Sys Fan, Software-Features
1 x CPU Fan)
Verschlüsselung
Disk-Slots
12 (60 im Vollausbau
mit Erweiterungsunit) Kompression
Festplattentypen SAS/​SATA/​SSD/​NL-SAS Deduplikation
max. Plattengröße 4 TByte
Replikation
USB-Schnittstelle(n) 2
Snapshots
e-SATA-Schnittstelle(n) nein, SAS-Konnektor
für Erweiterung
Antivirus Protection
Backup
LCD-Panel
nein
Web-GUI
Bauform
rack mountable, 2U Logging
Services
IPv4
ja
Ressourcen-Monitor
SNMP
IPv6
ja
S.M.A.R.T-Daten
NFS V3
ja
interne Apps
NFS V4
nein
Lights Out Management
wählen (Continuous Replication). Letztere
bietet eine höhere Sicherheit, weil
sie sofort nach Änderungen aktiv wird,
ohne erst den Ablauf eines bestimmten
Zeitintervalls abzuwarten. Beide Replikationsarten
sind jeweils auf System- oder
Volume-Ebene möglich.
Natürlich verfügt auch das Netgear-System
über die Möglichkeit, Snapshots zu
erzeugen und zwar sowohl manuell wie
Feature ReadyData 5200
Services
CIFS/​SMB
ja
ja (per Volume)
ja
nein
ja
ja
ja, Blocklevel
ja
nein
ja
ja
ja
ja
ja
nein
nein
IPMI
Beim Einrichten von lokalen Benutzern
erlebt der Admin ein Deja-vu: Wieder
geht es mit Netgears ReadyDataOS etwas
schneller und leichter, dafür aber mit Nexentas
Community Edition feingranularer.
Im ersten Fall ist mit Benutzername, Passwort,
Mailadresse und primärer Gruppe
schon alles eingestellt, im zweiten Fall
kann man zusätzlich fein abstimmen,
welche Aktionen über Disks, Volumes
und Shares dem Benutzer gestattet sein
sollen. Damit lassen sich prinzipiell auch
rollenbasierte Konzepte realisieren, die
es zum Beispiel dem Samba-Admin verbieten
würden, die iSCSI-Ressourcen zu
editieren.
Beide Probanden können auch Benutzer
aus einem Active Directory einbinden.
Mit LDAP kommt allerdings nur NexentaStor
zurecht. Dabei unterstützt es eine
Reihe verschiedener LDAP-Server darun-
Feature ReadyData 5200
ADMIN-GUI, kein Filemanager
ja
nein
ja, nicht supported
ja
nein
Software-Features
Port-Trunking/​NIC- ja
Teaming/​Bonding
Access Rights Management
Max Anzahl Users 60 000
Max Anzahl User 60 000
Groups
Max Anzahl Network unlimited
Shares
Import/​Export Users ja
User Quota Management nein
Domain Authentication Integration
Microsoft Active Directory
ja
(AD)
LDAP Server
nein
LDAP Client
nein
RAID-Level
JBOD
nein
RAID-Level 0,1,5,6,10
Global Spare Disk ja
Filesysteme (intern)
Ext3
nein
Ext4
nein
XFS
nein
ZFS
ja
BTRFS
nein
WAFL
nein
82 Ausgabe 02-2013 Admin www.admin-magazin.de

NexentaOS
Test
ter OpenLDAP, Apache DS, Red Hat 389
oder Oracle Directory Services.
Performance und
Monitoring
Ein direkter Vergleich von Benchmarkergebnissen
wäre in diesem Fall nicht
sonderlich sinnvoll: Der Server, auf dem
wir die Nexenta Community Edition installierten,
verfügte mit zwei Quadcore-
Xeon-Prozessoren über mehr als ausreichend
Rechenpower, Gigabit Ethernet bot
hinlänglich Netzwerk-Bandbreite. Dazu
war der Server durch 16 GByte RAM auch
mit einer guten Portion Memory ausgestattet.(Allerdings
empfiehlt Nexenta 48
GByte RAM, bei Einsatz der Deduplikation
gar 192 GByte, weil die meisten der
dabei verwendeten Informationen im
RAM gehalten werden. Mit der Speichermenge
gemäß dieser Empfehlung wären
wir wahrscheinlich schneller gewesen,
allerdings zu höheren Kosten).
Abbildung 4: Anstelle der Diagramme verwendet Nexenta Zeigerinstrumente für einen Statusüberblick.
In dieser Situation machen die Platten
einen Unterschied, den man jeweils in
Relation zu ihrem Preis beurteilen muss.
Wir konnten aus technischen Gründen
nicht mit identischen Platten in beiden
Speichersystemen arbeiten, weshalb die
Messwerte nur bedingt vergleichbar sein
können. Außerdem verfügte in unserer
IT-Onlinetrainings
Mit Experten lernen.
powered by
MEDIALINX
IT-ACADEMY
Sparen Sie Zeit und Kosten mit unseren
praxisorientierten Onlinetrainings.
Bestimmen Sie Ihr eigenes Lerntempo
und nutzen Sie die flexible Zeiteinteilung.
Effiziente BASH-Skripte
mit Klaus Knopper,
KNOPPER.NET
199 €
Konzentriertes BASH-Wissen
vom Gründer der Knoppix-Live-
Distribution.
Lösen Sie komplexe Aufgaben mit
schnellen Ad-hoc-Lösungen auf der
Kommandozeile. Automatisieren
Sie Ihre System administration mit
Hilfe von Skripten.
www.admin-magazin.de
Admin
83
Ausgabe 02-2013
www.medialinx-academy.de

Test
NexentaOS
Beim Vergleich des Monitorings sammelt
das Netgear-System die ersten
Pluspunkte. Zum einen kennt es seine
eigene Hardware und kann sie deshalb
besser überwachen – beispielsweise
liefert es Temperaturen und Lüfterdrehzahlen.
Zum anderen bringt es für die
wichtigsten Parameter – Volume- und
Netzwerkdurchsatz sowie Auslastung
des Speicherplatzes – vorbereitete RRD-
Diagramme mit (Abbildung 3).
Allerdings kann man auch in der NexentaStor
Community Edition nicht nur
Gauges (Abbildung 4), sondern auch solche
Diagramme haben – man muss sie
sich nur zusammenklicken (Abbildung
5). Der Vorteil dabei ist wiederum die
höhere Flexibilität. Der Admin kann dabei
aus rund 50 Parametern wählen, die
er dann in Balken- oder Liniendiagrammen
einzeln oder gemeinsam dargestellt
haben möchte.
Fazit
Abbildung 5: Auch die NexentaStor Community Edition kennt Charts. Dafür sind zwei Handgriffe mehr nötig,
dafür sind sie flexibler.
Ausstattung nur das Netgear-System über
ein SSD-Modul, das wir dort zeitweilig
als Lese-Cache eingerichtet hatten.
Mittelschnell
Um dennoch mit ein paar Zahlen die
Größenordnung zu markieren: Das Netgear-System
konnte von einem via iSCSI
angebundenen RAID-6 mit durchschnittlich
60,8 MByte/​s lesen und darauf mit
45,3 MByte/​s schreiben. Etwas schneller
war die Nexenta-Installation, die von einem
Raid-Z2-Volume via NFSv4 mit 66,8
MByte/​s lesen konnte. Alle diese Werte
(jeweils mit iozone im Throughput-Mode
mit 64 KByte Record- und 2 GByte File
Size ermittelt) sind nicht schlecht, aber
auch nicht erstaunlich hoch, sie liegen
im Mittelfeld.
Netgears ReadyDataOS bietet eine einfach
zu benutzende, schlüsselfertige Lösung
mit schöner Optik. Wer sich nicht
übermäßig tief mit Storage-Technologie
befassen will, der findet hier eine bequem
bedienbare Software. Dazu kommen
als Pluspunkte für ein besseres Monitoring
insbesondere der Hardware, eine
integrierte Replikation sowie Hard- und
Software aus einer Hand.
Nexenta bietet stattdessen exklusiv
RAID-Z3, die Textkonsole und generell
an vielen Stellen etwas feinere Möglichkeiten,
die Konfiguration abzustimmen,
was allerdings auch mehr Know-how voraussetzt.
Die kostenlose Nexenta Edition
ist nicht an eine fixe Hardware gebunden,
was einerseits Freiheitsgrade eröffnet, andererseits
die Möglichkeiten einschränkt,
Soft- und Hardware schon auf Herstellerseite
aufeinander einzustellen.
Es verblüfft nicht weiter, dass Komfort
auch seinen Preis hat: Um die 5200 Euro
ohne Platten und rund 7400 Euro bestückt
mit Platten verlangt Netgear. Ein
geeigneter Server, auf dem sich die Community-Version
von Nexenta samt einiger
Platten installieren ließe, wäre – ebenfalls
diskless – vielleicht für die Hälfte
der 5000 Euro erhältlich. Außerhalb des
privaten oder akademischen Bereiches
müsste man jedoch die Nexenta Enterprise
Edition benutzen, und hier bekäme
man eine Einstiegskonfiguration mit vorkonfigurierter
Hardware ebenfalls kaum
unter 5000 Euro. (jcb)
n
Tabelle 2: NexentaStor CE Software Features
Software-Features
Verschlüsselung
Kompression
Deduplikation
Replikation
Snapshots
Antivirus Protection
Backup
Web-GUI
Logging
Ressourcen-Monitor
SNMP
S.M.A.R.T-Daten
interne Apps
NexentaStor CE
nein
ja
ja
nein
ja
nein
nein
ja
ja
ja
nein
nein
nein
Software-Features NexentaStor CE
Lights Out Management nein
Port-Trunking/​NIC-Teaming/​ ja
Bonding
Access Right Management
Max Anzahl Users
nein
Max Anzahl User Groups nein
Max Anzahl Network Shares nein
Import/​Export Users nein/​nein
User Quota Management ja
Domain Authentication Integration
Microsoft Active Directory (AD) ja
LDAP Server
ja
LDAP Client
ja
Software-Features
RAID-Level
JBOD
RAID-Level
Global Spare Disk
Filesysteme (intern)
Ext3
Ext4
XFS
ZFS
BTRFS
WAFL
NexentaStor CE
ja
1, RAID-Z1, RAID-
Z2, RAID-Z3
ja
nein
nein
nein
ja
nein
nein
84 Ausgabe 02-2013 Admin www.admin-magazin.de

springer-vieweg.de
Neue Bücher
aus der Informatik
Christine Wolfinger
Linux-Unix-Kurzreferenz
Für Anwender, Entwickler und
Systemadministratoren
2013. ca. 150 S. 3 Abb.,
1 in Farbe. € (D) 14,99
ISBN 978-3-642-34723-8
Dieses handliche Nachschlagewerk
enthält alle relevanten
Informationen für Linux- oder
Unix-Anwender, -Entwickler
und -Administratoren. Es ist
die ideale Ergänzung zu „Keine
Angst vor Linux/Unix“ der
gleichen Autorin, das in der
Reihe Xpert.press erscheint.
Christine Wolfinger
Keine Angst vor
Linux/Unix
in Lehrbuch für Linuxund
Unix-Anwender
Reihe: Xpert.press
11. Aufl. 2013. XII, 467 S.
450 Abb. Geb. € (D) 34,95
ISBN 978-3-642-32078-1
Dieses Buch bietet einen
leichten Einstieg sowohl in
Linux als auch in Unix-Systeme
wie Solaris, HP-UX und
AIX. Aus der Vielfalt der Kommandos
und deren mannigfachen
Variationsmöglichkeiten
ist das Wesentliche für den
Anwender herausgefiltert. An
vielen praktischen Beispielen
wird gezeigt, wie einfach man
mit den Linux-/Unix-Kommandos
funktionell arbeiten kann.
Die 11. Auflage dreht sich in
erster Linie um die unter Linux
verwendete „Bash“, die auch
auf den meisten Unix-Derivaten
mit eingesetzt wird. Besonders
beliebt ist die Kurzreferenz
im Anhang mit den alphabetisch
sortierten häufig
benutzten Kommandos und
wichtigen Informationen über
die Shell-Programmierung.
Marcus Grande
100 Minuten für
Konfigurationsmanagement
Kompaktes Wissen nicht nur
für Projektleiter und Entwickler
2013. XI, 157 S. 23 Abb.
€ (D) 24,95
ISBN 978-3-8348-1908-6
In der Produkt-, System- und
Softwareentwicklung spielt
die professionelle Umsetzung
im Bereich des Konfigurationsmanagements
eine entscheidende
Rolle für den Erfolg
der gesamten Entwicklung
und für das entstehende
Produkt. Dieses Buch vermittelt
in kompakter Form das
notwendige Grundwissen für
Konfigurationsmanagement.
Begleitet werden die Ausführungen
von Praxiserfahrungen
und Beispielvorlagen.
Dietmar Abts
Grundkurs JAVA
Von den Grundlagen
bis zu Datenbank- und
Netzanwendungen
7., akt. Aufl. 2013. XII, 469 S.
20 Abb. € (D) 29,95
ISBN 978-3-8348-2534-6
In diesem Grundlagenwerk
werden die Fahrerassistenzsysteme
für aktive Sicherheit und
Fahrerentlastung in Aufbau
und Funktion ausführlich erklärt.
Dazu zählen die bekannten
und mittlerweile zur
Standardausstattung zählenden
Systeme wie ABS, ESP
oder ACC genauso wie die
Systeme zum Kollisionsschutz,
für den Fahrspurwechsel oder
zum komfortablen Einparken.
Die dazu erforderlichen Komponenten
wie Sensoren, Aktoren,
mechatronische Subsysteme
und Betätigungselemente
werden dargestellt,
ebenso die nutzergerechte
Gestaltung der Mensch-Maschine-Schnittstelle
zwischen
Assistenzsystem und Fahrer.
Drei Kapitel über die Besonderheiten
von Fahrerassistenzsystemen
bei Nutzfahrzeugen
und Motorrädern runden
den umfassenden Ansatz
ab.
Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301
Änderungen vorbehalten. Erhältlich im Buchhandel oder beim Verlag. Innerhalb Deutschlands liefern wir versandkostenfrei.

Security
Tcpdump
in neueren Versionen, dass das gesamte
Paket aufgezeichnet wird. Abbildung 1
gliedert einen Beispiel-Dump auf, und
Tabelle 1 zeigt einige weitere Kommandozeilen-Optionen.
Dateien lesen und schreiben
Mit der Option »‐w« kann Tcpdump in
eine Datei schreiben und mit »‐r« daraus
lesen:
$ sudo tcpdump ‐i wlan0 ‐w dumpfile001
$ sudo tcpdump ‐r dumpfile.pcap
© Monika Wisniewska, 123RF
Einbruchserkennung mit »tcpdump«
Der Spürhund
Das Tool »tcpdump« ist ein Netzwerk-Sniffer und eignet sich für die
Klärung von Sicherheitsvorfällen in Netzwerken. Es sollte in keiner Werkzeugkiste
fehlen. David J. Dodd
»tcpdump« [1] ist ein weitverbreitetes
Tool zum Auffangen, Parsen und Analysieren
von Netzwerkverkehr. Es wurde
von der Network Reseach Group des
Lawrence Berkeley National Laboratory
in Berkeley entwickelt und wird zusammen
mit einer C/​C++-Bibliothek namens
»libpcap« von deren Entwicklern
betreut. Das Tool kann sehr große binäre
Files analysieren, die zu umfangreich
wären, um darin etwa mit Wireshark nebenbei
nach relevanten Informationen zu
suchen. Tcpdump ist in den meisten Linux-Distributionen
enthalten, andernfalls
findet man Projektinformationen und den
Code auf Sourceforge [2].
Tcpdump läuft auf einer lokalen Maschine
und schreibt oder liest den Netzwerk-Traffic
in oder aus einem File. Die
grundlegende Syntax zum Capturen von
Paketen ist:
tcpdump ‐n ‐I interface ‐s snaplen
Abbildung 1: Die Ausgabe von Tcpdump. Das bedeuten die Abschnitte einer Zeile.
Darin bedeutet »‐n«, dass »tcpdump«
nicht versuchen soll, die IP-Adressen in
Namen zu übersetzen, auf »‐I« folgt das
Interface, das benutzt werden soll und
»‐s« bestimmt, wie viel von jedem Paket
zu speichern ist (1515 Bytes sind gewöhnlich
genug). Gibt man keine Größe
vor, werden nur die ersten 68 Bytes mitgeschnitten.
Dagegen bewirkt der Wert 0
Möchte man die Files während der Aufzeichnung
mitlesen, benutzt man
tcpdump ‐n ‐I eth1 ‐s 1515 U
‐l | tee output.txt
Dieses Kommando schickt den Inhalt des
Zeilenpuffers von tcpdump mithilfe des
»tee«-Utilitys gleichzeitig in eine Datei
und auf den Bildschirm. Die Datei hat so
allerdings nicht das Binärformat. Braucht
man das, lässt man am besten zwei Instanzen
von »tcpdump« laufen.
Zeitstempel
Wenn »tcpdump« durch das Netz wandernde
Pakete mittels »libcap« in deren
Format aufzeichnet, versieht es jedes
Paket mit einem Zeitstempel. Diese Markierung
kann man mit dem Flag »‐ttt«
ausweiten, dann enthält der Zeitstempel
auch das Datum (Abbildung 2). Wer
die von »tcpdump« reportierten Zeitdifferenzen
nicht versteht und absolut sicher
gehen möchte, der kann auch die
Option »‐tt« nutzen, die die Anzahl Sekunden
und Mikrosekunden seit Beginn
der Unix-Epoche anzeigt (Abbildung 3).
Die nützlichen Optionen aus Tabelle 2
helfen, den Umfang der Aufzeichnungen
zu begrenzen.
Paketinformationen
Um die benötigten Informationen aus einem
Paket herauszufischen, muss man
wissen, wo man suchen muss. Tcpdump
beginnt mit der Zählung der Bytes im
Paket-Header an der Position »0«. Das
13te Byte enthält die TCP-Flags, die Abbildung
4 zeigt. Sind zum Beispiel die
»SYN«- und »ACK«-Flags gesetzt, ergibt
sich der Binärwert »00010010«, dem de-
86 Ausgabe 02-2013 Admin www.admin-magazin.de

Tcpdump
Security
zimal die Zahl 18 entspricht. Will man
nun nach entsprechenden Paketen suchen,
gelingt das mit:
# tcpdump ‐n ‐r dumpfile.lpc U
‐c 10 'tcp[13] == 18' U
and host 172.16.183.2
Was dieses Kommando zurückgibt, zeigt
beispielhaft Abbildung 5. Möchte man
während einer Aufzeichnung zum Beispiel
den ARP-Traffic ignorieren, gelingt
das mit einem Filter:
# tcpdump ‐n ‐s 1515 ‐c 5 U
‐r snort001.log U
‐I eth1 tcp or udp or icmp
Damit zeichnet man nur TCP- und UPD-
Pakete auf. Die Tabellen 3 und 4 zeigen,
wie man Pakete mit einem bestimmten
Satz an Flags findet.
Reaktion auf Vorkommnisse
Die Analyse von Dump-Files ist ein guter
Weg, um mehr über das Netzwerk oder
auch über mögliche Angriffe zu lernen.
Das sollen einige Beispiele belegen. Das
erste ist der binäre Dump eines Snort-
Logs. Dazu gibt es die folgenden Informationen.
Die IP-Adresse des Linuxsystems
ist 192.168.100.45. Es wurde von einem
Angreifer gekapert, der eine Schwachstelle
in WU-FTP ausnutzte und eine
Backdoor einrichtete. Was lässt sich nun
darüber herausfinden, wie der Angriff im
Einzelnen ablief? Zuerst werfen wir einen
Blick auf das File mit
# tcpdump ‐xX ‐r snort001.log
Das Logfile scheint lang zu sein, deswe-
Abbildung 6: Check des binbären Dump Files eines
Snort-Logs.
Das Ergebnis ist ein lesbares File, das
man parsen kann. Bei der ersten Durchgen
will man es vielleicht einmal in Snort
aufrufen:
# snort ‐r snort001.log ‐A full U
‐c /etc/snort/snort.conf
So erhält man Informationen wie die Anzahl
der verarbeiteten Pakete, eine Aufstellung
der Protokolle, Warnmeldungen
und so weiter (Abbildungen 6 und 7).
Tabelle 1: Tcpdump Capture-Optionen
Im nächsten Schritt kann man das komplette
Snort-Log für die Analyse extrahieren:
# tcpdump ‐nxX ‐s 1515 U
‐r snort001.log U
> tcpdump‐full.dat
Abbildung 2: Abgefangene Pakete werden mit einem Zeitstempel versehen, der Uhrzeit und Datum enthält.
Abbildung 3: Hier enthält der Zeitstempel die Sekunden und Millisekunden seit Beginn der sogenannten Unix-
Epoche.
Abbildung 4: Die Header-Bytes 12 bis 15. Das dreizehnte Byte enthält die Flags.
Abbildung 5: Die Suche nach Paketen mit gesetztem SYN- und ACK-Flag.
Option Description
-I Specify an interface to ensure you are sniffing where you expect to sniff.
‐n Do not resolve IP addresses to domain names or port numbers to service names.
‐nn Don’t resolve hostnames or port names.
‐X Show packet’s content in both hex and ASCII.
‐XX Include Ethernet header.
‐v Increase verbose level; ‐vv and ‐vvv gets more information back.
‐c Only get x number of packets and stop.
‐s Tell tcpdump how much of the packet to record.
‐S Print absolute sequence numbers.
‐e Get Ethernet header.
‐q Show less protocol information.
‐E Decrypt IPsec traffic with an encryption key.
Tabelle 2: Nützliche Syntax
Ausdruck Funktion Beispiel
Net Capture Traffic von einem Subnetz # tcpdump net 192.168.1.1/​24
Src, dst
Capture-Pakete von einer Quelle oder # tcpdump src 192.168.100.234
einem Ziel
host IP address Capture Traffic von einer IP-Adresse # tcpdump host 10.10.253.34
proto Capturen von TCP, UDP, and ICMP. # tcpdump tcp
port Capture-Pakete von oder zu einem Port # tcpdump port 21
AND (&& or and)
OR (|| or or)
Kombiniere Ausdrücke
# tcpdump ‐n ‐I eth1 host
10.10.253.34 and host 10.10.33.10
EXCEPT (! or not)
# tcpdump ‐n ‐I eht1 src net
0.10.253.0/​24 and dst net
10.10.33.0/​24 or 192.5.5.241
# tcpdump ‐n ‐I eth1 src net
10.10.30.0/​24 and not icmp
www.admin-magazin.de
Admin
Ausgabe 02-2013
87

Security
Tcpdump
Tabelle 3: TCP-Flags
Flag Binary Decimal
URG 00100000 32
ACK 00010000 16
PSH 00001000 8
RST 00000100 4
SYN 00000010 2
FIN 00000001 1
SYNACK 00010010 18
Tabelle 4: Tcpdump-Filter-Syntax
Show
Filter
URGENT (URG) packets # tcpdump ’tcp[13] == 32’
ACKNOWLEDGE (ACK) packets # tcpdump ’tcp[13] == 16’
PUSH (PSH) packets # tcpdump ’tcp[13] == 8’
RESET (RST) packets # tcpdump ’tcp[13] == 4’
SYNCHRONIZE (SYN) packets # tcpdump ’tcp[13] ==2’
FINISH (FIN) packets # tcpdump ’tcp[13] == 1’
SYNCHRONIZE ACKNOWLEDGE (SYNACK) packets # tcpdump ’tcp[13] == 18’
sicht entdeckt man » ip‐proto‐11«, das
ist Network Voice Protocol (NVP)-Traffic.
Nun kann man speziell danach filtern:
# tcpdump ‐r snort001.log U
‐w NVP‐traffic.log proto 11
Dieses Kommando liest »snort001.log«,
sucht nach »log proto 11« und schreibt
die Treffer in die Datei »NVP‐traffic.log«.
Anschließend muss man sich dieses Binärfile
ansehen:
# tcpdump ‐nxX ‐s 1515 U
‐r NVP‐traffic.log U
> nvp‐traffic_log.dat
Die Datei enthält sowohl Hex- als auch
ASCII-Ausgaben. Das ist nett, doch
braucht man eigentlich nur die IP-Adressen.
Dazu probiert man:
Nun erhält man als Ausgabe eine Liste,
aus der hervorgeht, welche IP-Adresen
über das Network Voice Protocol (NVP)
kommuniziert haben (Abbildung 8).
Als Nächstes soll ein weiteres Snort-Log
diskutiert werden, das von einer kompromittierten
Windows-Box stammt, die mit
einem IRC-Server sprach. Mit welchen
IRC-Servern hat der Rechner mit der IP-
Adresse 172.16.134.191 gesprochen? Um
nach TCP-Verbindungen zu suchen, ist es
sinnvoll, eingehende Pakete mit gesetzten
SYN/​ACK-Flags auszufiltern:
Abbildung 7: Ausführen der Datei in Snort.
# tcpdump ‐r NVP‐traffic.log U
> nvp‐traffic_log01.dat
# tcpdump ‐n ‐nn ‐r snort_log U
'tcp and dst host 172.16.134.191 U
and tcp[13]==18'
Dieses Kommando produziert eine lange
Liste mit von 172.16.134.191 abgehenden
Verbindungen (Abbildung 9). Weil
IRC-Kommunikation die Ports 6666 bis
6669 nutzt, kann man die Suchbedingung
weiter einschränken:
# tcpdump ‐n ‐nn ‐r snort_log U
'tcp and dst host 172.134.16.234 U
and tcp[13]==18' U
and portrange 6666‐6669
Abbildung 8: Die IP-Adressen der Rechner, die via NVP kommuniziert haben.
Nun enthält die Liste nur noch die drei
IP-Adressen, mit denen der Host via IRC
gesprochen hat (Abbildung 10). (jcb) n
Infos
[1] Tcpdump: [http:// www. tcdump. org]
[2] Tcpdump-Projekt: [http:TTsourceforge. net/​
projects/ tcpdump]
Abbildung 9: Abgehende Verbindungen des fraglichen Rechners.
Abbildung 10: Einschränkung der Suche auf die Portnummern 6666 bis 6669.
Der Autor
David J. Dodd befasste sich als ehemaliger US
Marine mit elektronischen Abwehrsystemen. Er
hielt Vorträge auf der San Diego Regional Security
Conference und der SDISSA. Er ist Mitglied
von InfraGard und leistet Beiträge zur amerikanischen
Stiftung „Securing our eCity“ (SOeC).
Beruflich arbeitet er für pbnetworks Inc.
88 Ausgabe 02-2013 Admin www.admin-magazin.de

OPEN-IT SUMMIT
Business | Public Sector | Industry
22. + 23. Mai 2013
Messegelände Berlin
OPEN FOR BUSINESS
Im Rahmen des 19. LinuxTag findet der 1. OPEN-IT SUMMIT
am 22. und 23. Mai in Berlin als eigene Konferenz und
Sonderschau der OSB Alliance statt.
Goldpartner:
Das hochwertige Konferenzprogramm bildet mit rund 50 Sessions
und ausgesuchten Tandem-Präsentationen (Kunde/Anbieter)
zu den Themen Big Data/Business Analytics, Infrasturcture &
Cloud Services den professionellen Rahmen für Wissensaustausch
und Networking auf hohem Niveau.
KEYNOTES
MITTWOCH, 22.05.2013
Von der Open IT zur Open Society. Wer schafft den
Bewusstseinswandel?
Prof. Dr. Hans-Jürgen Kugler, Chief Scientist, KUGLER MAAG CIE GmbH
Kopieren ist das neue Demonstrieren
Daniel Kruse, Founder, Open State gUG
DONNERSTAG, 23.05.2013
Old Industry discovers Value of Open Source
Dr. Stefan Ferber, Director Communities & Partner Networks,
Bosch Software Innovations GmbH
Gleich anmelden unter www.open-it-summit.de
Eine Veranstaltung
im Rahmen des Veranstaltet von
Medienpartner
Partner
MAGAZIN

Security
Authentifizierung
© maigi, 123RF
Remote Access und Web-Applikationen mit Zwei-Faktor Authentifizierung absichern
Ticketkontrolle
Normale Passwörter kennt heute schon jeder Facebook-User. Soll es sicherer werden, wird es normalerweise
auch etwas komplizierter. Dieser Artikel gibt einen Überblick über Authentifizierungslösungen und stellt
Lösungsansätze für gängige Anwendungsfälle vor. Thomas Zeller
Bei der Benutzerauthentisierung geht es
darum herauszufinden, ob ein Benutzer
auch wirklich derjenige ist, für den er
sich ausgibt. Angesichts der Tatsache,
dass sich unbedarfte Benutzer heute bereits
von einem Smartphone vermeintliche
Internet-Hotspots vorgaukeln und
sich auf diese Weise leicht ihre Passwörter
stehlen lassen, ist die Verwendung
von Benutzername und Passwort für den
Zugriff auf vertrauliche Informationen
alleine kaum mehr zu verantworten. Abhilfe
verspricht der Einsatz zusätzlicher
Faktoren bei der Authentifizierung.
Während im angelsächsischen Sprachraum
für den Prozess des Echtheitsnachweises
nur der Begriff „Authentication“
verwendet wird, gibt es in Deutschland
zwei Begriffe, nämlich „Authentisierung“
und „Authentifizierung“. Obwohl diese
prinzipiell für zwei unterschiedliche Aussagen
stehen (Authentisieren: glaubwürdig
machen – Authentifizieren: Echtheit
beglaubigen) werden sie häufig äquivalent
verwendet. Doch egal welchem Begriff
man den Vorzug gibt, geht es darum,
ein vorgelegtes kennzeichnendes Merkmal
(zum Beispiel einen Benutzernamen)
eindeutig zu identifizieren und dessen
Echtheit zu bestätigen.
Authentifizierungsverfahren
Für die Authentifizierung stehen verschiedene
Verfahren zur Verfügung, die
sich in die Gruppen „Wissen“, „Besitz“
und „biometrische Merkmale“ einordnen
lassen. Diese Gruppen, auch Faktoren
genannt, stellen die Grundlage jedes
Authentifizierungsverfahrens dar, die Tabelle
„Authentifizierungsverfahren“ gibt
einen Überblick.
Trotz seiner gravierenden Nachteile stellt
das Passwort derzeit noch immer das
am häufigsten eingesetzte Authentifizierungsverfahren
dar. Schließlich wird es
praktisch von jedem Softwareprodukt als
Standardverfahren kostenfrei zur Verfügung
gestellt. Für die Absicherung von
Informationen und Zugriffsberechtigungen
gilt aber als Faustformel: Je höher der
Wert der zu schützenden Informationen
ist, desto sicherer muss das eingesetzte
Authentifizierungsverfahren sein. Viele
der Probleme beim Einsatz von Passwörtern
lassen sich umgehen, wenn statt
eines statischen Passworts ein dynamisches
eingesetzt wird, das nur einmal
verwendet werden kann. Das Ausspähen
von Passwörtern selbst lässt sich damit
zwar nicht unterbinden, die auf diese
Weise gestohlenen Authentifizierungsinformationen
sind für den Angreifer dann
allerdings wertlos.
Multifaktor-
Authentifizierung
Die Sicherheit von Authentifizierungsvorgängen
lässt sich durch Kombination
mehrerer Faktoren (sogenannte Multifaktor-Authentifizierung)
signifikant
erhöhen. So kombiniert beispielsweise
die EC-Karte schon immer die Faktoren
„Wissen“ und „Besitz“, denn der Benutzer
muss sowohl im Besitz der Karte mit
Magnetstreifen/Chip sein als auch die
zugehörige PIN kennen.
90 Ausgabe 02-2013 Admin www.admin-magazin.de

Authentifizierung
Security
Tabelle 1: Authentifizierungsverfahren
Faktor Beispiele Vorteile Nachteile
Wissen
Passwort, PIN, Antwort auf Geringe Kosten, leicht zu Sicherheit von der Qualität abhängig, kann erraten, ausgespäht,
Sicherheitsfrage
verwalten
vergessen oder weitergegeben werden
Besitz
Biometrisches
Merkmal
Zertifikat, (i)TAN-Liste, Chipkarte,
One Time Passwort Token
Fingerabdruck, Stimm- oder
Gesichtserkennung, DNS
In der Regel einmalig und
damit nicht kopierbar
Einfache Verwendung, kann
nicht weitergegeben werden
Hohe Kosten für Anschaffung und Verwaltung, kann weitergegeben
werden
Biometrische Faktoren unterliegen Veränderungen, z. B. Abnutzung
der Fingerabdrücke oder Veränderung der Stimme mit
zunehmendem Alter, kann gegen Datenschutzrecht verstoßen
Noch sicherer wird ein Verfahren, wenn
alle drei Faktoren zum Einsatz kommen.
So kombiniert beispielsweise das Produkt
„QTrust 2go Smart“ [1] alle drei Faktoren,
indem der Anwender zunächst seinen
Benutzernamen in die Anmeldemaske
eintippt (Wissen) und mit dem Smartphone
einen QR-Code vom Bildschirm
scannt, aus dem die Smartphone-App
dann ein Einmalpasswort erzeugt (Besitz).
Zur endgültigen Authentifizierung
muss der Benutzer dann noch mithilfe
der Smartphone-Kamera eine Gesichtserkennung
(biometrisches Merkmal)
durchführen und das Einmalpasswort in
die Anmeldemaske eintippen.
Gut genug
Für die meisten Sicherheitsanforderungen
ist allerdings eine Authentifizierung mit
zwei Faktoren mehr als ausreichend. So
empfiehlt das Bundesamt für Sicherheit
in der Informationstechnolgie (BSI) im
Grundschutzhandbuch den Einsatz einer
Zwei-Faktor Authentifizierung für die Authentifzierung
von Remote-Access-VPN-
Benutzern [2]. Und auch der Payment
Card Industry Data Security Standard
(PCIDSS) – ein verbindliches Regelwerk
im Zahlungsverkehr für die Abwicklung
von Kreditkartentransaktionen – fordert
für den Netzwerkzugriff von Adminis-
tratoren, Mitarbeitern und Dritten von
extern, den Einsatz einer Zwei-Faktor-
Authentifizierungslösung.
Die Anzahl der Zwei-Faktor-Authentifizierungslösungen
auf dem Markt ist
groß. Wer den Einsatz einer solchen Lösung
plant, sollte daher schon vorab eine
Entscheidung darüber treffen, ob er mit
Zertifikaten und/​oder Einmalpasswörtern
arbeiten möchte. Bei der zertifikatsbasierten
Zwei-Faktor-Authentifizierung
kommen typischerweise digitale PKI-Zertifikate
nach dem X.509-Standard zum
Einsatz. Diese werden in der Regel auf einem
Hardware-Zertifikatsspeicher – dem
sogenannten Security-Token – abgelegt.
Zur Authentifzierung muss der Benutzer
das Security-Token mit dem Gerät verbinden,
von dem aus er sich am jeweiligen
Dienst anmelden möchte, und das gespeicherte
Zertifikat durch die Eingabe einer
PIN oder eines Passworts freischalten.
Erst dann kann zum Beispiel der VPN-
Client erfolgreich eine Verbindung mit
dem Zielsystem aufbauen.
Als Hardware kommen spezielle USB-
Sticks oder Smartcards zur Speicherung
von elektronischen Zertifikaten und Passwörtern
infrage. Der praktische Vorteil
von USB-Tokens gegenüber Smartcards
besteht vor allem darin, dass diese am
USB-Anschluss des jeweiligen Computers
betrieben werden können, während für
Smartcards ein zusätzliches Kartenlesegerät
erforderlich ist.
Die Alternative zum Zertifikatsspeicher
bilden Einmalpasswortgeneratoren, die
sogenannten OTP-Tokens (One Time
Password). Es gibt sie in verschiedenen
Formfaktoren, zum Beispiel als Hardware,
Software oder Grid-Card und natürlich
auch „as a service“, in diesem
Fall dann typischerweise in Form von
SMS. OTP-Tokens stellen dem Anwender
ein kurzlebiges Einmalpasswort für die
Anmeldung zur Verfügung.
Je nach Hersteller und verwendeter Methode
unterscheidet man Time-Based
beziehungsweise Time-Synchronized
Tokens (TOTP = Time-Based One-Time
Password Algorithm, gemäß RFC 6238
[3]) und Event-Based Tokens (HOTP =
HMAC One-Time Password Algorithm
nach RFC 4226 [4]). Hardware-basierende
Time-based Tokens sind in der Regel
etwas teurer, weil sie als Zähler zur
Berechnung ihrer OTPs eine ganggenaue
Uhr benötigen, die zusätzlich mit der
Hardware verbaut werden muss.
Client- / Server Modell
Allen OTP-Systemen gemein ist, dass
sie nach dem Client- / Server Modell
arbeiten. Als Frontend kommen dabei
„Clients“ in Form der OTP-Tokens zum
Freie OTP-Systeme
n S/​KEY / OPIE ist ein älteres Verfahren, das
unter Unix-artigen Betriebssystemen die
Authentifizierung per Einmalpasswort erlaubt.
Die Implementierung OPIE (One Time
Passwords in Everything) [6] bringt eine
Client- und eine Serverapplikation sowie ein
PAM-Modul mit. OTPs können entweder im
Voraus erzeugt und (wie eine TAN-Liste) ausgedruckt
werden oder lassen sich mit S/​KEY
Generatoren „on the fly“ erzeugen.
n Der Google Authenticator stellt eine OATH-
[5] kompatible Zwei-Faktor-Authentifizierungslösung
mit HOTP/TOTP-Implementierung
dar. Vorrangig für die Authentifizierung
an den Google-eigenen Diensten entwickelt,
steht inzwischen auch ein PAM-Modul für
die Authentifizierung auf Unix-Systemen zur
Verfügung.
n Der Openkubus-Stick [7] ist ein USB-Stick
mit freiem Hardware-Layout, der One Time
Passwords erzeugen kann. Openkubus stellt
Bibliotheken für C, Perl, PHP sowie einen
Server und ein PAM-Modul zur Verfügung.
n LinOTP [8] ist ein Backend-System zur Anbindung
verschiedener Authentifizierungslösungen
und Hersteller. Die Community Edition
enthält unter anderem ein PAM-Modul und
eine Web-API und unterstützt zahlreiche OTP-
Token. Die Enterprise Edition erlaubt auch
die Anbindung an Verzeichnisdienste wie Microsoft
Active Directory, Novell eDirectory,
SQL und OpenLDAP.
n Mobile OTP [9] ist eine freie OTP-Implementierung,
die serverseitig ein J2ME-MIDlet und
ein Shellscript für die Anbindung an freie
RADIUS-Server, zum Beispiel XTRadius, mitbringt.
Clientseitig werden zahlreiche freie
OTP-Tokens für alle wichtigen Mobil- und Betriebssystemplattormen
angeboten.
www.admin-magazin.de
Admin
Ausgabe 02-2013
91

Security
Authentifizierung
Abbildung 1: Der DIGIPASS NANO ist eine dünne Folie, die zusammen mit der
SIM-Karte in ein Mobiltelefon eingelegt werden kann und das Handy damit zum
Hardware-OTP-Token mutieren lässt.
Abbildung 2: Google bietet bereits seit Längerem eine Zwei-Faktor-
Authentifizierung für die Google-Dienste an.
Einsatz; auf Backend-Seite arbeitet ein
Server-System, das die Einmalpassworte
der Benutzer verifiziert und die Authentisierungsinformationen
dann per Schnittstelle
an die entsprechende Anwendung
übergibt.
Als Universal-Schnittstelle dient häufig
das RADIUS-Protokoll (Remote Authentication
Dial-In User Service), das die meisten
Applikationen verarbeiten können.
Natürlich kann auf Backend-Seite statt
eines eigenen Serverdienstes auch eine
Cloud-Anwendung zum Einsatz kommen.
Bekanntestes Beispiel für diese Art
der Zwei-Faktor-Authentfizierung dürfte
derzeit der Google Authenticator sein.
Natürlich sind Zwei-Faktor Authentifizierungslösungen
prinzipiell nicht auf bestimmte
Anwendungsszenarien begrenzt.
In der Praxis hat sich ihr Einsatz aber vor
allem in zwei Bereichen bewährt: Der
Authentifizierung von Remote-Access-
Verbindungen und Web-Applikationen.
Gerade bei Letzteren drängt sich der
Einsatz einer Zwei-Faktor Authentifizierung
geradezu auf, denn im Gegensatz
zu VPN- und SSH-Verbindungen kommen
hier auf Client-Seite praktisch nie
Zertifikate zum Einsatz, die auch eine
Authentifizierung des Clients durch den
Server sicherstellen.
Im einfachsten Fall genügt also das Ausspähen
des Passworts, zum Beispiel
durch einen Man-in-the-Middle-Angriff,
eine Replay-Attacke oder klassisches Network-Sniffing,
um den Account zu übernehmen.
Außerdem wächst die Zahl der
Web-Applikationen derart rasant, dass
bereits durchschnittliche Nutzer schon
heute täglich 10 bis 15 Web-Applikationen
verwenden. Man denke dabei nur
an die vielen sozialen Netzwerke, Webmailer,
Banking-Anwendungen, Online-
Shops und Informationsportale.
Google-Dienste absichern
Google hat den Authenticator primär entwickelt,
um den Zugang zu seinen Anwendungen
mit starker Authentifizierung
auszustatten. Diese auch „Bestätigung
in zwei Schritten“ genannte Authentifizierung
kann alternativ auch per SMS
oder Sprachanruf erfolgen (Abbildung
2). Der Einsatz der Authenticator App
hat hingegen den Vorteil, dass sich damit
auch Nicht-Google-Dienste authentifizieren
lassen, wie wir später noch sehen
werden.
Um die starke Authentifzierung in Ihrem
Google Konto zu aktivieren, rufen Sie
die Seite [https:// accounts. google. com/​
SmsAuthConfig] auf, und geben Sie dort
Kommerzielle Zwei-Faktor-Authentifizierungslösungen
n Vasco ist ein belgischer Hersteller von Zwei-
Faktor-Authentifizierungslösungen und beliefert
beispielsweise eBay / PayPal mit dem
dort „Sicherheitsschlüssel“ genannten GO3
Token. Herzstück der Zwei-Faktor Authentifizierung
bildet der Identikey Server, der in
der Basis-Version eine RADIUS-Schnittstelle
und diverse Web-Plugins, zum Beispiel für
Windows Terminalservices, Citrix und Outlook
Webaccess, mitbringt. Client-seitig
stellt Vasco OTP-Tokens unter dem Namen DI-
GIPASS unterschiedlichster Ausprägung zur
Verfügung, zum Beispiel als Hardware-Token,
Mobile-Token für Smartphone-Betriebssysteme
und andere Mobiltelefone oder als
SIM-Applikation. Letztere werden unter dem
Namen DIGIPASS NANO als hauchdünne Folie
mit aufgebrachtem Chip angeboten (Abbildung
1). Die Folie wird dann zusammen mit
der SIM-Karte in das Mobiltelefon eingelegt
und rüstet damit ein Mobiltelefon zum Hardware-Token
auf.
n RSA Security [11] ist ein Tochterunternehmen
von EMC und dürfte mit dem Produkt
„secureID“ international der bekannteste
Hersteller von OTP-Lösungen sein. Zu trauriger
Berühmtheit brachte es der Hersteller
im März 2011, als bekannt wurde, dass dem
Unternehmen durch einen Hackerangriff
wichtiges Material abhanden gekommen ist.
Um welches Material es sich dabei handelt,
wurde nie offiziell bekannt gegeben. Die
Tatsache, dass das Unternehmen weltweit
40 Millionen Hardware-Tokens ausgetauscht
hat lässt aber darauf schließen, dass bei dem
Hack der Algorithmus und die Seeds entwedet
wurden, mit denen sich die One-Time
Passwords berechnen lassen.
n Safenet [12] ist ein amerikanischer Hersteller
von Sicherheitslösungen, der in den
Jahren 2004 und 2009 die Unternehmen
Rainbow und Aladdin mit deren Verschlüsselungslösungen
übernommen hat. Safenet
bietet zertifikats- und PKI-basierende Lösungen
und OTP-Authentifikatoren an.
n SMS Passcode: Wie der Name bereits vermuten
lässt, bietet das dänische Unternehmen
SMS PASSCODE A/​S [13] One-Time-Passwort-
Authentifizierung auf Basis von SMS an.
n Zyxel: Auch der taiwanesische Netzwerkausrüster
Zyxel [14] hat eine Zwei-Faktor-
Authentifizierungslösung im Programm. Sie
arbeitet für den VPN-Zugriff mit den hauseigenen
ZyWalls zusammen.
92 Ausgabe 02-2013 Admin www.admin-magazin.de

Authentifizierung
Security
die Mobiltelefonnummer Ihres Smartphones
an. An diese Nummer schickt Google
einen Link, über den Sie die Google Authenticator
App herunterladen. Wählen
Sie in den Kontoeinstellungen Ihres
Google-Accounts jenes Gerät, zum Beispiel
„iPhone“ aus, auf dem Sie die App
installiert haben. In der App tippen Sie
dann auf das Pluszeichen und wählen
den Befehl „Barcode scannen“.
Scannen Sie nun den in Ihrem Google-
Account angezeigten Barcode und tippen
Sie den in der App angezeigten Einmalcode
ein, um die Einrichtung in zwei
Schritten abzuschließen (Abbildung 3).
Sicherheitshalber sollten Sie sich noch
die Ersatzcodes ausdrucken [18], mit denen
Sie sich auch dann an Ihrem Google-
Konto anmelden können, wenn das Mobiltelefon
verloren geht.
Dropbox mit Google
Authenticator
Weniger bekannt dürfte sein, dass auch
die Dropbox seit Kurzem starke Authentifizierung
mit dem Google-Authenticator
unterstützt. Die Aktivierung erfolgt analog
zur Einrichtung des Google-Kontos:
Loggen Sie sich mit dem Browser in Ihr
Dropbox-Konto ein, und wählen Sie dort
»Einstellungen / Sicherheit | Zweistufige
Überprüfung | ändern«. Wählen Sie »Authentifizierung
mit der Google Authenticator
App«, tippen Sie in der App wieder
auf das Plus-Zeichen, und scannen Sie
den QR-Code vom Bildschirm.
Nachdem Sie das Einmalpasswort eingegeben
haben, ist die zweistufige Authentifizierung
aktiviert (Abbildung 4) und
Dropbox zeigt Ihnen Ersatzcodes zum
Ausdrucken an.
SSH Server mit OTP
absichern
Der Login auf einem SSH-Server lässt sich
bereits mit Bordmitteln gut absichern.
Voraussetzung dafür ist, dass der Admin
in der »sshd_config« die Directive »PasswordAuthentication«
auf »No« setzt und
sämtliche Benutzer konsequent mit passwortgeschützten
RSA / DSA-Keys ausstattet.
Alternativ kann die Authentifizierung
an einem OpenSSH-Server schon seit Urzeiten
auch mit dem Einmalpasswortverfahren
S/​KEY abgesichert werden.
S/​KEY wurde zwischenzeitlich durch
OPIE [6] ersetzt und erlaubt es, im Voraus
Passwortlisten mit Einmalpasswörtern
zu generieren, die dann ähnlich wie
die TAN-Listen beim eBanking verwendet
werden. Alternativ können Einmalpasswörter
aber auch im Bedarfsfall auf
einem OTP-Generator erstellt werden,
zum Beispiel mit Opikey [15] auf einem
Android-Smartphone.
Wesentlich einfacher und eleganter lässt
sich eine SSH-Sitzung heute aber mit
dem Google-Authenticator [16] sichern.
Denn das Google-Authenticator Project
steht unter der Apache License 2.0 und
ist damit frei verfügbar. Für den Server
steht ein PAM-Modul zur Verfügung, der
Google-Authenticator Client läuft auf
Android-, iOS- und Blackberry-Geräten
und kann einfach aus dem jeweilgen
App-Store installiert werden.
Serverseitig ist die Installation des
Google-Authenticator PAM-Moduls auf
einem Ubuntu-Server ein Kinderspiel,
denn hier lässt sich ein passendes Paket
direkt aus den Repositories installieren:
sudo apt‐get install libpam‐google‐U
authenticator
Alternativ laden Sie den Sourcecode von
[17] herunter und kompilieren ihn für
Ihre Plattform. Ist das PAM-Modul installiert,
melden Sie sich mit dem Benutzer
an der Konsole an, der sich später
mit dem Google-Authenticator anmelden
soll und geben Sie »google‐authenticator«
ein.
Das Programm zeigt dann im Terminal
einen QR-Code, einen Secret Key, einen
Verification Code sowie fünf Emergency
Scratch-Codes an. Die Emergency Scratch-
Codes sollten Sie wieder ausdrucken und
an einer sicheren Stelle verwahren. Denn
mit diesen Einmal-Passworten können
Sie sich auch dann am SSH-Server anmelden,
wenn Sie das Smartphone mit
dem Google-Authenticator einmal nicht
zur Hand haben.
Gegen Brute Force
In der Google Authenticator App auf
dem Smartphone klicken Sie nun auf
das Plus-Zeichen am unteren Rand und
wählen dann den Befehl »Barcode scannen«.
Alternativ können Sie das Konto
auch manuell hinzufügen. Dazu geben
Sie den Kontonamen in der Form »User@
Host« und den entsprechenden geheimen
Schlüssel an.
Die nachfolgenden Fragen dienen der
zusätzlichen Absicherung des Accounts.
Hier sollten Sie die mehrfache Verwendung
eines Authentisierungs-Tokens verbieten
und maximal drei Login-Versuche
pro 30 Sekunden zulassen, um Brute-
Force-Angriffen vorzubeugen. Abschließend
müssen Sie den Google-Authenticator
noch in der PAM-Konfiguration
aktivieren und eine Änderung an der
SSH-Konfiguration vornehmen. Dazu öffnen
Sie die Datei »/etc/pam.d/sshd« im
Editor und fügen am Ende die Zeile
Abbildung 3: Nach dem Scannen eines QR-Codes vom
Bildschirm ist die Google-Authenticator App mit
dem jeweiligen Benutzerkonto verknüpft.
Abbildung 4: Die Sicherheit für Dropbox-Accounts
lässt sich durch den Einsatz des Google-
Authenticators signifikant anheben.
auth required pam_google_authenticator.so
hinzu. Anschließend speichern Sie die
Datei. In der »/etc/ssh/sshd_config« ändern
Sie den Wert für die »Challenge-
ResponseAuthentication« auf »yes« und
starten den SSH-Daemon neu. E
www.admin-magazin.de
Admin
Ausgabe 02-2013
93

Security
Authentifizierung
Abbildung 5: Mydigipass.com ist eine Cloud-Anwendung, mit der sich Web-Applikationen um eine Zwei-Faktor
Authentifizierung bereichern lassen.
Wenn Sie sich künftig auf Ihrem Server
per SSH einloggen, fragt der SSH-
Server wie gewohnt Benutzernamen und
Passwort und zusätzlich den Verification
Code ab, den der Google-Authenticator
auf Ihrem Smartphone anzeigt.
Paypal und Facebook
Die eBay-Tochter Paypal bietet bereits
seit Längerem die Möglichkeit, den Anmeldevorgang
über eine Zwei-Faktor-
Authentifizierung abzusichern. Kunden,
die diese Möglichkeit bereits nutzen,
haben von Paypal in der Vergangenheit
einen Hardware-Token (Vasco GO3) erhalten.
Wer den Anmeldevorgang für sein
Paypal-Konto jetzt absichern möchte,
kann sich unter [19] inzwischen aber
nur noch zur Teilnahme für den SMS-
Sicherheitsschlüssel anmelden. Paypal
schickt dann für jeden Login-Vorgang ein
Einmalpasswort per SMS an die hinterlegte
Mobiltelefonnummer.
Für den Fall, dass der Anwender einmal
nicht auf sein Mobiltelefon zugreifen
kann, bietet Paypal als Fallback die
Möglichkeit, Sicherheitsfragen und deren
Antworten zu definieren. Auch Facebook
kann den Anmeldevorgang inzwischen
mit einem Einmalpasswort absichern.
Dazu muss der Benutzer aber zwingend
die Facebook-App auf seinem Smartphone
installiert haben und diese während
des Aktivierungsprozesses in den
Sicherheitseinstellungen mit dem Konto
verknüpfen.
Mydigipass.com – der
Cloud-Faktor
Besonders attraktiv für Administratoren
ist die Absicherung selbst betriebener
Web-Applikationen, Blog- oder Content-
Management-Systeme durch eine Zwei-
Faktor Authentifizierungslösung, zum
Beispiel um das Login des Administrators
besser abzusichern. Bestens dafür geeignet
ist die Cloud-Authentifizierung von
Mydigipass.com von Vasco (Abbildung
5). Ein Vorteil dieser Lösung ist, dass
der Administrator selbst keine Backend-
OAuth-API
Mydigipass.com stellt mit der OAuth-2.0-API
eine standardisierte Schnittstelle zur Verfügung,
über die sich Web-Applikationen zur Authentifizierung
verbinden lassen. OAuth kommt
als Protokoll häufig dort zum Einsatz, wo man
sich an einem Dienst mit den Login-Credentials
eines anderen Dienstes anmelden kann,
zum Beispiel mit einer Windows-LiveID, einem
Google- oder Facebook-Account.
Für die Implementierung von OAuth in eigene
Webapplikationen stellt Vasco im Developer-
Portal [21] eine ausführliche Dokumentation
sowie eine „Sandbox“ und einen Online-Demo
Software installieren und betreiben muss,
diese wird von Vasco in der Cloud bereitgestellt.
Als Frontend dienen Software-OTP-Tokens
für iOS-, Android-, oder Blackberry-
Smartphones, alternativ steht auch eine
Clientsoftware für Mobiltelefone mit
Java-Unterstützung zur Verfügung. Weiterhin
lassen sich natürlich auch Hardware-Tokens
einbinden, die Vasco auf
den einschlägigen IT-Messen unters Volk
bringt.
Im ersten Schritt müssen sich Anwender
zunächst unter [20] registrieren und
das kostenfreie Software-Token über den
jeweiligen App-Store installieren. Die
Java-Clientsoftware kommt indes in Form
eines URL-Downloadlinks aufs Handy.
Für kleinere Community Websites mit einer
URL, bis zu 100 Benutzern und 1000
Authentifizierungsvorgängen im Jahr,
ist Mydigipass.com in der „Starter Edition“
komplett kostenfrei nutzbar. Größere
Pakete kosten ab 2000 Euro im Jahr,
umfassen dann aber bereits 500 User
und 10 000 Authentifizierungsvorgänge
(Premium) beziehungsweise 10 000 User
und 250 000 Authentifizierungsvorgänge
(Executive) im Jahr.
Drupal mit Mydigipass
absichern
Über das Mydigipass-Modul lässt sich
das populäre CMS Drupal sehr leicht mit
der Login API von Mydigipass ausstatten
(Abbildung 7). Die nachfolgende Anleitung
erklärt die Installation und Konfiguration
anhand von Drupal 6.27. Die
wichtigste Voraussetzung ist, dass der
Webserver den Webservice Mydigipass.
com mit einer ausgehenden HTTPS-Verbindung
erreichen kann. Sofern der Web-
Token [22] für erste Gehversuche mit der eigenen
Web-Applikation zur Verfügung (Abbildung
6). Für den Zugriff auf das Developer-Portal
ist zunächst eine Registrierung bei Mydigipass.
com erforderlich. Mit den dort erhaltenen Zugangsdaten
kann man sich dann auch im Entwicklerportal
anmelden. Das Entwicklerportal
enthält neben den detaillierten Preisinformationen
und der Dokumentation auch jede Menge
Material wie Logos, Videos und Datenblätter
zur Information der Benutzer, die man sich als
sogenanntes User Activation Kit auch in einer
Zip-Datei aus dem Portal herunterladen kann.
94 Ausgabe 02-2013 Admin www.admin-magazin.de

Authentifizierung
Security
Mydigipass-Konserven
Auf Github [23] bietet Vasco einige Plugins für populäre Blog- und
Content-Management-Systeme, darunter Wordpress, Drupal und Magento
zum kostenfreien Download an. Leider fällt auf, dass keines der Plugins
auf dem neuesten Stand für die jeweilige Webapplikation ist. So ist
das Wordpress-Plugin beispielsweise nur bis zur Version 3.3.2 kompatibel
– aktuell ist derzeit aber bereits Wordpress 3.5.1. Da insbesondere
Wordpress-Admins aufgrund immer neuer Sicherheitslücken darauf angewiesen
sind ihre Installation auf den neuesten Stand zu bringen, ist der
Einsatz des Wordpress-Plugins derzeit nicht empfehlenswert. Hier sollte
Vasco dringend nachbessern und sicherstellen, dass die Plugins in den
jeweils neuesten Versionen einsetzbar sind. Weitere Plugins für andere
populäre Systeme wie Joomla oder Typo3 wären wünschenswert.
Abbildung 6: Mithilfe des Online Demo-Tokens von VASCO können Anwender das
Secure-Login über Mydigipass.com testen.
server also hinter einer Firewall steht,
muss Port 443/​TCP für den Webserver zu
der Domain »mydigipass.com« geöffnet
werden.
Weiterhin arbeitete das Plugin in unserem
Test nur mit aktivierten „Clean
URLs“ in Drupal korrekt zusammen. Mit
Clean URLs werden lesbare URLs ohne
Sonderzeichen erzeugt.
Diese aktivieren
ein Drupal-Admin unter »Administer
| Clean URLs | Enabled«. Da auch der
Webserver diese Funktion unterstützen
muss, muss der Administrator auch beim
Apache-Webserver das Rewrite-Modul
aktivieren.
Laden Sie zunächst den Tarball des Plugins
von [24] herunter, und entpacken Sie
ihn in das Verzeichnis »sites/all/modules/mydigipass«
der Drupal-Installation,
zum Beispiel »/var/www/drupal/sites/
all/modules/mydigipass«. Registrieren
Sie sich dann für einen Developer Account
unter »https://developer.mydigipass.com«,
loggen Sie sich ein, und
wechseln Sie in den Bereich »Sandbox«.
Klicken Sie dort auf »connect a test site«,
und vergeben Sie einen Identifier und
Anzeige
Die heute führenden Spezialisten stammen oft aus der "Freie Software-Szene" und schulen seit
Jahren im Linuxhotel. Das erklärt die Breite und Qualität unseres Schulungsangebotes:
AJAX * Amavis * Android * Angriffstechniken * Apache * Asterisk * BaseX * BayesianAnalysis * Bind * C/C++ * Cassandra *
CiviCRM * Cloud * Cluster * ClusterFS * CouchDB * CSS3 * CUPS * Debian * DHCP * DNS * DNSSEC * Echtzeit Linux *
Embedded Linux * eXist-db * Faces * FAI * Firewall * Forensik * FreeBSD * FreeRADIUS * GeoExt * Git * Grails * GRASS *
Groovy * hadoop * Hochverfügbarkeit * HTML5 * Hudson * iSCSI * IPv6 * ITSM * Java * JavaScript * Jenkins * Kernel * KVM
* LDAP * LibreOffice * Linux * LPI * m23 * MacOSX * MapFish * Mapserver * Maven * Mikrocontroller * MVS/380 * MySQL *
Nagios * Node.js * OpenBSD * OpenLayers * OpenOffice * openQRM * OpenVPN * OPSI * OSGi * OTRS * Perl * PHP *
Postfix * PostgreSQL * Puppet * Python * QuantumGIS * R * Rails * RedHat * Routing * Request-Tracker RT * Ruby * Samba
* SAN * Scala * Scribus * Shell * Sicherheit * SNMP * Spacewalk * Spamfilter * SQL * Struts * Subversion * SuSE * TCP/IP *
Tomcat * Treiber * TYPO3 * Ubuntu * UML * Unix * Univention * Virenfilter * Virtualisierung * VoIP * WebGIS * Webservices *
Windows Autoinstall * Windowsintegration * x2go * xen * XML * Xpath * Xquery * z/OS * Zabbix * Zend
Fast 100% der Teilnehmer empfehlen uns weiter. Siehe www.linuxhotel.de
Ja, wir geben es zu und haben überhaupt kein schlechtes Gewissen dabei: Unsere Schulungen machen auch Spaß ;-)
www.admin-magazin.de
Admin
Ausgabe 02-2013
95

Security
Authentifizierung
dungen und kleinere Webapplikationen
lassen sich darüber hinaus zum Nulltarif
mit dem Google-Authenticator und Mydigipass.com
hervorragend sichern. (ofr)n
Abbildung 7: Die Konfiguration des Mydigipass-Plugins erfolgt komfortabel über die Modulkonfiguration von
Drupal. Danach erlaubt ein spezieller Modus den Test, ohne sich sofort aus dem CMS auszusperren.
Der Einsatz starker Authentifizierungslösungen
ist angesichts der vielen erfolgreichen
Hackerangriffe auf Zugangsdaten
unbedingt angeraten. Prominente Opfer
der jüngeren Vergangenheit sind Sonys
Playstation Network, Yahoo und das Social
Business Network LinkedIn. Der Aufwand
für Implementierung und Betrieb
einer Zwei-Faktor Authentifizierungslösung
ist vergleichsweise gering, wenn
man das hohe Schadpotenzial eines
erfolgreichen Hacks auf Benutzerdaten
berücksichtigt. Remote-Access-Verbineinen
Anzeigenamen für Ihre Site, diese
können auch identisch sein.
Als »Redirect uri« tragen Sie »http://
Ihre‐Domain/mydigipass/callback« ein.
Nach dem Anlegen Ihrer Site werden im
Portal Ihre »client_id« und das »client_secret«
angezeigt. Diese Werte tragen Sie
dann in die entsprechenden Felder des
Mydigipass-Moduls in Drupal ein (»Administer
| MYDIGIPASS.COM«). Wählen
Sie den Radio-Button bei »Sandbox | developer«
im Bereich »Environment«, und
aktivieren Sie noch die Mydigipass.com-
Integration.
Mixed Mode zum Test
Für erste Versuche sollten Sie sicherheitshalber
auch den »Mixed‐Mode« aktivieren.
Dann können Sie sich weiterhin
auch mit Benutzernamen und Passwort
in Ihrer Drupal-Installation einloggen,
falls bei der Integration mit Mydigipass.
com etwas schiefgegangen ist. In der
weiteren Modul-Konfiguration können
Sie bei Bedarf noch die verschiedenen
Button-Styles für den Login-Button anpassen
und Datenfelder für Ihre Benutzeraccounts
hinterlegen.
Im letzten Schritt müssen Sie jetzt noch
Ihren Drupal-Benutzer mit dem bei Mydigipass
registrierten Benutzer verbinden.
Dazu wählen Sie in Drupal »My Account
| Edit« und klicken dort auf den Button
»Connect with MYDIGIPASS.COM«. Hat
alles geklappt, meldet Drupal »The user
has been successfully linked to MYDIGI-
PASS.COM«, und Sie können sich ab sofort
über Mydigipass in Drupal einloggen.
Bevor Sie sich erstmalig über Mydigipass
an Drupal anmelden können, müssen
Sie sich allerdings zunächst aus dem
Developer-Portal und aus Drupal ausloggen
und den Browser schließen, um die
Session-Cookies ebenfalls zu löschen.
Fazit
Der Autor
Thomas Zeller ist IT-Consultant und beschäftigt
sich seit über 15 Jahren mit IT-Sicherheit und
Open Source. Er ist Autor / Co-Autor der Bücher
„OpenVPN kompakt“ und „Mindmapping mit Freemind“.
Im richtigen Leben ist er Geschäftsführer
eines mittelständischen IT-Systemhauses und ist
dort auch für den Geschäftsbereich IT-Sicherheit
verantwortlich.
Infos
[1] QTrust 2go Smart:
[http:// www. qgroup. de/ qtrust2gosmart]
[2] Virtual Private Network (ISi-VPN):
[https:// www. bsi. bund. de/ DE/ Themen/​
Cyber‐Sicherheit/ ISi‐Reihe/ ISi‐VPN/​
vpn_node. html]
[3] TOTP: Time-Based One-Time Password Algorithm:
[http:// tools. ietf. org/ html/ rfc6238]
[4] HOTP: An HMAC-Based One-Time Password
Algorithm:
[http:// tools. ietf. org/ html/ rfc4226]
[5] OATH: [http:// www. openauthentication. org]
[6] FreeBSD One-time Passwords: [http:// www.​
freebsd. org/ doc/ en_US. ISO8859‐1/ books/​
handbook/ one‐time‐passwords. html]
[7] Openkubus: [http:// code. google. com/ p/​
openkubus/]
[8] LSE LinOTP: [http:// lsexperts. de/ linotp‐str
ong‐user‐authentication. html]
[9] Mobile OTP: [http:// motp. sourceforge. net]
[10] Vasco: [http:// www. vasco. com]
[11] RSA Security: [http:// www. emc. com/​
domains/ rsa/ index. htm]
[12] Safenet: [http:// www. safenet‐inc. de]
[13] SMS Passcode:
[http:// www. smspasscode. com]
[14] Zyxel: [http:// www. zyxel. de]
[15] Android Opiekey:
[http:// android. f00d. nl/ opiekey]
[16] Google Authenticator: [http:// code.​
google. com/ p/ google‐authenticator]
[17] GA Download: [https:// code. google. com/ p/​
google‐authenticator/ downloads/ list]
[18] Anmelden mit Ersatzcodes :
[http:// support. google. com/ accounts/ bin/​
answer. py? hl=de& answer=1187538]
[19] Sicherheitsschlüssel von Paypal: [https://​
www. paypal‐deutschland. de/ sicherheit/​
kontoschutz/ sicherheitsschluessel. html]
[20] Mydigipass:
[https:// www. mydigipass. com/ de/ fp]
[21] Mydigipass API: [https:// developer.​
mydigipass. com/ api]
[22] Demo Token:
[http:// demotoken. vasco. com/ go3. html]
[23] Mydigipass-Plugins:
[https:// github. com/ vasco‐data‐security]
[24] Drupal-Modul: [http:// drupal. org/ project/​
mydigipass]
96 Ausgabe 02-2013 Admin www.admin-magazin.de

Alle Ausgaben der letzTen 12 Monate
Sie haben ein Admin verpasst? Kein Problem!
Bei uns können Sie alle Ausgaben des ADMIN Magazin
der letzten 12 Monate ganz einfach und versandkostenfrei
unter www.admin-magazin.de/einzelheft nachbestellen:
ADMIN 02/2012 ADMIN 03/2012 ADMIN 04/2012
ADMIN 05/2012 ADMIN 06/2012 ADMIN 01/2013
Damit Sie keine Ausgabe mehr verpassen,
bestellen Sie am besten gleich ein Abo
vom ADMIN Magazin und sparen:
Telefonisch unter: 07131 / 2707 274,
per Fax: 07131 / 2707 78 601 oder
E-Mail: abo@admin-magazin.de,
Web: www.admin-magazin.de/abo

Virtualisierung
VMware-Monitoring
© Levent Konuk, 123RF
VMware-Monitoring mit OpenNMS
Durchleuchtet
Durch die Migration virtueller Maschinen zwischen Hosts und die dynamische Ressourcenzuweisung stellen
VMware-Umgebungen auch das Monitoring vor neue Herausforderungen. Wissenschaftliche Mitarbeiter der
Hochschule Fulda haben jetzt zusammen mit dem Hersteller das freie OpenNMS um die Überwachung VMwarebasierter
Infrastrukturen erweitert. Christian Pape, Ronny Trommer
Die Virtualisierungslösung von VMware
besteht im Wesentlichen aus drei
Komponenten. Da ist erstens der ESX/​
ESXi-Server, ein Hypervisor, der auf physischer
Hardware aufsetzt und der seine
Ressourcen den virtuellen Maschinen zur
Verfügung stellt [1]. Die zweite Komponenten
sind die Gast-Systeme, also die
virtuellen Maschinen selbst. Sie bilden
die Plattform für die Betriebssysteme
und Fachanwendungen, die Benutzern
Dienste im Netzwerk anbieten. Drittens
kommt schließlich die Komponente VMware
vSphere vCenter ins Spiel, die der
Verwaltung der Hosts und Gäste dient.
Alle Systeme zusammen bilden einen
VMware Cluster (Abbildung 1).
Die OpenNMS-Ergänzung der Fuldaer
Hochschule betrifft alle Bestandteile eines
solchen Clusters: Sie synchronisiert
Informationen über Hosts und Gäste
zwischen OpenNMS und VMware, sie
überwacht diese Systeme und sammelt
zusätzlich von ihnen auch Performance-
Daten. Die Erweiterung ist inzwischen
als fester Bestandteil in OpenNMS integriert.
Aus Netzwerk-Management-Perspektive
ist das VMware vCenter die interessanteste
Komponente des Clusters. Es führt
eine Datenbank mit allen Gast- und
Host-Systemen und sammelt deren Performancewerte.
Innerhalb eines VMware
Clusters können Gäste bekanntlich zwischen
ESX-Hosts verschoben werden.
Gerade diese Dynamik fordert das Moni-
98 Ausgabe 02-2013 Admin www.admin-magazin.de

OSDC.de
OPEN SOURCE DATA
CENTER CONFERENCE
17. - 18. APRIL 2013 | NUREMBERG
Abbildung 1: Die Komponenten in einer VMware-Infrastruktur.
toring besonders heraus, das sie abbilden
muss. Auch reichen die Messwerte aus
einem Gast-Betriebssystem alleine nicht
mehr aus, weil die Ressourcenzuteilung
von einer übergeordneten Instanz beeinflusst
wird.
Herausforderungen in
virtuellen Umgebungen
Unter dem Gesichtspunkt des Netzwerk-
Monitorings lassen sich Host- und Gast-
Systeme kaum unterscheiden. In der Regel
werden beide als zu überwachende
Systeme in Form von Knoten (Nodes) im
Netzwerk-Managementsystem abgebildet.
Die Überwachung selbst bedient sich
Technologien wie beispielsweise SNMP,
JMX oder WMI. Zu diesem Zweck ist es
notwendig, dass Host- und Gast-Systeme
für OpenNMS über das Netzwerk erreichbar
sind. Erschwerend kommt hinzu,
dass virtuelle Rechner in einem VMware
Cluster leicht hinzugefügt und entfernt
werden können. Diese Änderungen
müssen in einer Netzwerk-Management-
Anwendung wie OpenNMS ebenfalls
abgebildet werden. Darüber hinaus stehen
Daten, die VMware vSphere vCenter
über Auslastung und Performance der
Host- und Gast-Systeme sammelt, nicht
über Standardprotokolle wie SNMP zur
Verfügung. Das Monitoring von VMware
Clustern kann daher schnell komplex
und wartungsintensiv werden.
OpenNMS lernt VMware
Die von den Fuldaer Forschern entwickelte
Softwareergänzung für OpenNMS
bedient sich der sogenannten Virtual Infrastructure
API [2], [3], über die der
Zugriff auf Informationen des vCenter
möglich ist. Die von Steve Jin aus der
Forschungs- und Entwicklungsabteilung
www.admin-magazin.de
von VMware entwickelte Bibliothek bietet
alles, um sowohl Daten abzufragen
als auch Aktionen innerhalb der VMware
Infrastruktur auszulösen. Dabei werden
die Daten über eine HTTPS-Verbindung
vom VMware vSphere vCenter übertragen.
Die Abfrage der Sensor-Daten der
Hostsysteme basiert auf den Standards
WBEM (Web-based Enterprise Management)
beziehungsweise CIM (Common
Information Model). Der Zugriff wird
durch das SBLIM-Projekt möglich [7].
In Abbildung 2 wird die Kommunikation
zwischen OpenNMS, VMware vSphere
vCenter und den Host-Systemen dargestellt.
Die Messwerte der Gast-Systeme
stammen aus vCenter. Die Sensordaten
für den Hardwarestatus werden im
Host-System direkt ausgelesen. Für die
Authentifizierung stellt das VMware
vSphere vCenter einen zentralen Authentifizierungsmechanismus
bereit.
Für diesen Zugriff wird auf Seite der
VMware-Infrastruktur ein Benutzer mit
lesendem Zugriff benötigt. Mit diesem
können dann sowohl die Metriken der
Gast-Systeme als auch die Sensor-Daten
von Host-Systemen abgefragt werden.
Die durch den VMware vSphere vCenter
verwalteten Objekte werden in der Terminologie
von VMware als sogenannte
Managed Entities bezeichnet und durch
eine Managed Object ID eindeutig identifiziert.
OpenNMS verwendet die Managed
Object IDs als Referenz. Verschiebt
sich beispielsweise ein Gast-System, so
kann dies über die Managed Object ID
festgestellt werden.
Die VMware Integration war bis vor einiger
Zeit nur demjenigen zugänglich,
der OpenNMS aus den Quellen übersetzen
und installieren konnte. Inzwischen
ist jedoch alles auch ganz bequem aus
RPM- oder Debian-Paketen installierbar,
die Teil der OpenNMS-Repositories
wwww.netways.de/osdc
presented by
wwww.netways.de/osdc
presented by
wwww.netways.de/osdc
presented by
NETWAYS ®
NETWAYS ®
NETWAYS ®

Virtualisierung
VMware-Monitoring
sind. Eine ausführliche Beschreibung der
Grundinstallation enthält das OpenNMS-
Wiki [4].
Benutzer und
Berechtigungen
Der Zugriff auf die Management-Informationen
von VMware ist verschlüsselt
und mit einer Benutzer-Authentifizierung
abgesichert. Entsprechend benötigt
OpenNMS das Recht, Informationen
von VMware vSphere vCenter zu lesen.
Die Berechtigungen werden in VMware
vSphere vCenter über Benutzer und Rollen
realisiert. Im ersten Schritt muss ein
Benutzer für OpenNMS in vCenter angelegt
werden. Im nächsten Schritt legt man
eine neue Rolle an.
Es lässt sich dazu die Rolle Readonly
mit der Bezeichnung OpenNMS-Access
kopieren. Um die Sensor-Daten der Host-
Systeme auslesen zu können, wird zusätzlich
die Berechtigung CIM Interaction
benötigt. Diese neu erstellte Rolle wird
dann dem OpenNMS-Benutzer zugewiesen.
In OpenNMS gibt es einen speziellen
Listing 2: Zeitgesteuerte Synchronisation
Prozess namens »provisiond«. Er kümmert
sich darum, Netzwerkgeräte und
zu überwachende Dienste ins Monitoring
aufzunehmen. Zusätzlich besitzt er
Schnittstellen, um von fremden externen
Datenquellen Informationen im XML-Format
zu importieren. Für die Integration
in VMware muss der Admin den »provisiond«
konfigurieren.
OpenNMS-Provisioning
Im ersten Schritt ist die Datei vmwareconfig.xml
zu bearbeiten. In Listing 1
wird gezeigt, wie Zugangsdaten für zwei
VMware Cluster zu hinterlegen sind. Im
zweiten Schritt werden zwei geplante
Aufträge für »provisiond« angelegt. Sie
synchronisieren in regelmäßigen Zeitabständen
die Informationen zwischen
OpenNMS und den beiden vCenters.
Die Konfiguration muss in der »provisiond‐configuration.xml«
gespeichert
werden. In Listing 2 wird für die beiden
VMware Cluster jeweils ein Auftrag
angelegt, um täglich die Host- und Gast-
Systeme mit der OpenNMS-Datenbank
01
02 0 0 0 * * ? *
03
04
05
06 0 0 0 * * ? *
07
Listing 3: »send‐event.pl«
01 [root@opennms bin]# $OPENNMS_HOME/bin/send‐event.pl uei.opennms.org/internal/reloadDaemonConfig ‐‐parm
'daemonName Provisiond'
Listing 4: Filter-Beispiele
01 # Synchronisiert alle aktiven Host‐ und Gast‐Systeme
02 vmware://vcenter2.local/vcenter2‐activeVM?importVMPoweredOn=true;importHostPoweredOn=true
03
Listing 1: Authentifizierung für VMware
01 [root@opennms etc]# vi vmware‐config.xml
02
03
04
05
04 # Synchronisiert nur Host‐ und Gast‐Systeme mit benutzerspezifischem
05 # Attribut OpenNMS‐Import=true
06 vmware://vcenter1.local/vcenter1‐import?key=OpenNMS‐Import;value=true
zu synchronisieren. Damit »provisiond«
seine Konfiguration neu einliest, kann
man sich des OpenNMS-Kommandos
send-event.pl (Listing 3) bedienen. Die
Konfiguration ist jetzt aktiv, und zur angegebenen
Zeit werden die Systeme aus
den beiden VMware Clustern mit der Datenbank
von OpenNMS abgeglichen.
OpenNMS importiert die verfügbaren
Host- und Gast-Systeme als Knoten in
seine Datenbank und verbindet sie automatisch
mit Monitoren, die den Sensor-Status
bei Host-Systemen oder den
Power-Status von Gast-Systemen überwachen.
Der Ausfall einer physischen
Komponente oder das Ein- oder Ausschalten
eines Gast-Systems löst dann
entsprechende Benachrichtigungen aus.
Darüber hinaus werden die verfügbaren
Messwerte gesammelt – diese Daten stehen
dann wie gewohnt als Graphen in der
Web-Oberfläche zur Verfügung.
Kontrolle beim Provisioning
Wer in großen Umgebungen VMware
Cluster betreibt, stellt schnell fest, dass
man unter Umständen nicht alle virtuellen
Maschinen ins Monitoring überführen
will. Es gibt vermutlich Vorlagen oder
Testmaschinen die nicht für das Monitoring
interessant sind. Deshalb lässt sich
der Import über Filter steuern.
Der Aufbau der URL in der »provisiond‐configuration.xml«
spielt dafür eine
wichtige Rolle, folgt er doch einem bestimmten
Schema. Das Protokoll vmware://​host-adresse
spezifiert einen
Protokoll-Handler und teilt OpenNMS
mit, dass die Informationen von einem
VMware vSphere vCenter mit der angegebenen
Host-Adresse importiert werden
sollen. Der URL-Teil foreignSource-Name
dient als Bezeichnung für eine Gruppe
von Knoten in OpenNMS.
Als Parameter können verschiedene vordefinierte
Filter übergeben werden. So
kann beispielsweise der Parameter »importVMPoweredOn«
verwendet werden,
um nur eingeschaltete Gast-Systeme zu
synchronisieren. Mithilfe von frei definierbaren
VMware-Attributen lässt sich die
Synchronisation individuell kontrollieren.
So kann beispielsweise ein Administrator
die Host- und Gast-Syteme mit einem
Attribut »OpenNMS‐Import=true« versehen.
Als Filter-Parameter wird dann
100 Ausgabe 02-2013 Admin www.admin-magazin.de

Installation von
Windows-Clients
basierend auf
Linux-Servern
Abbildung 2: OpenNMS-Kommunikation mit VMware vSphere vCenter.
open pc server integration
OpenNMS mitgeteilt, dass nur virtuelle
Maschinen zu synchronisieren sind, die
dieses Attribut gesetzt haben. In Listing
4 werden zwei Konfigurationsbeispiele
dargestellt.
Fazit
Die Integration von OpenNMS und VMware
macht sichtbar, wie gut Open-Source
Anwendungen auch mit kommerziellen
Produkten zusammenspielen können.
Eine entscheidende Voraussetzung sind
allerdings freie und offene Bibliotheken,
die mit den freien Lizenzen kompatibel
sind. VMware ist hier mit seinen Produkten
bereits auf einem guten Weg.
Viel Arbeit ist gegenwärtig noch in der
Anpassung der RRD-Graphen zu investieren,
um die vielen Performance-Metriken
darstellen zu können, die VMware liefert.
Im Moment ist dafür leider nur eine sehr
rudimentäre Ansicht verfügbar.
Für die Leser, die an der Thematik „Monitoring
mit freier Software“ weitergehend
interessiert sind, sei hier noch auf die
OpenNMS User Conference Europe 2013
[5] verwiesen, die vom 12. bis 15. März
in Fulda stattfinden wird.
Neben vielen interessanten Vorträgen
rund um das Thema sind selbstverständlich
auch die Macher von OpenNMS auf
dieser Konferenz – neben Tarus Balog,
www.admin-magazin.de
CEO der OpenNMS Inc. und Project
Maintainer – sind etliche Mitglieder des
Kernteams vor Ort. Die Konferenz bietet
damit viele Gelegenheiten für Fragen
oder einen Erfahrungsaustausch. (jcb)n
Infos
[1] VMware, Inc. VMware vSphere Basics. 3401
Hillview Ave., Palo Alto, CA, June 2011.
[2] Java API: [http:// vijava. sourceforge. net].
[3] Steve Jin. VMware VI and vSphere SDK:
Managing the VMware Infrastructure and
vSphere. Prentice Hall, 1 edition, October
2009.
[4] OpenNMS Wiki Installation: [http:// www.​
opennms. org/ wiki/ Installation].
[5] OUCE 2013: [http:// www. opennms. eu].
[6] OpenNMS Wiki: [http:// www. opennms. org/​
wiki/ Featurebranch/ feature‐vmware].
[7] SBLIM Projekt: [http:// sourceforge.​
net/ apps/ mediawiki/ sblim/ index. php?​
title=Main_Page].
[8] Steve Jin. VMware VI and vSphere SDK:
Managing the VMware Infrastructure and
vSphere. Prentice Hall, First Edition, October
2009.
[9] Christian Pape and Ronny Trommer.
Monitoring VMware-based virtual infrastructures
with opennms. In Proceedings
8th International Conference on Computer
Science and Education in Computer
Science, Boston/​New York, USA, 2012.
Das Open Source
Client- Management-System:
• Automatische
Softwareverteilung
• Automatische
Betriebssysteminstallation
• Hard- und Softwareinventarisierung
• Komfortable Steuerung über
das opsi Management interface
• Unterstützung von mehreren
Standorten mit Depotservern
CeBIT 2013 – Halle 6, Open
Source Park, Stand F16 (320)
www.uib.de – www.opsi.org

Virtualisierung
Open Stack
© Steven Frame, 123RF
Open-Stack-Workshop, Teil 3: Gimmicks, Erweiterung und Hochverfügbarkeit
Überbreite
Nach der knochentrockenen Installations-Anleitung in Episode 2 beschäftigt sich nun der dritte Teil des Workshops
mit nützlichen Erweiterungen von Open Stack und verrät Admins, wie sie ihre Wolke am besten gegen
Ausfälle absichern. Martin Loschwitz
Der vergangene zweite Teil dieses Workshops
bot wenig Grund zur Gaudi – bis
eine vollständige Open-Stack-Installation
das Licht der Welt erblickt hat, muss der
ausführende Admin sich um gefühlte 1000
Dinge gleichzeitig kümmern. Der Lohn
ist eine Cloud-Plattform, die nahtlos in
die Breite skaliert und die durch den Einsatz
moderner Technik wie Openvswitch
viele technische Probleme umschifft,
mit denen konservative Virtualisierungs-
Umgebungen kämpfen. Steht die Basisinstallation,
geht es ans Verfeinern: Wie
schaffen Cloud-Betreiber Mehrwert durch
ihre Software, wie machen sie ihre Installation
zukunftssicher, und wie lässt sich
ein Infrastrukturausfall in Open Stack
bestmöglich abfedern? Diese dritte Folge
des Open-Stack-Workshops geht jenen
Fragen auf den Grund und beginnt mit
einer Reparatur, die Cloud-Kunden ein
Jauchzen entlocken dürfte.
Quantum, Horizon und
Floating-IPs
Eine elementare Funktion in Open Stack
sind die Floating-IPs. Sie erlauben es, virtuelle
Maschinen bei Bedarf mit öffentlichen
IP-Adressen auszurüsten, um diese
aus dem Internet erreichbar zu machen.
Öffentliche IPs lassen sich dynamisch
bestehenden Instanzen zuweisen. Ihren
Ursprung hat die Funktion in der Tatsache,
dass längst nicht jede VM aus dem
Internet erreichbar sein soll: Einerseits
sind oft gar nicht genug IPv4-Adressen
vorhanden, um dieses Ziel zu erreichen;
andererseits gibt es auch keinen Grund
beispielsweise einer Datenbank, eine
öffentliche IP zuzuweisen. Webserver
hingegen (oder wenigstens ihnen vorgeschaltete
Loadbalancer) sind idealerweise
aus dem Netz erreichbar.
In der vorangegangenen Open-Stack-
Version Essex war die Welt quasi noch in
Ordnung: Um das Netzwerk kümmerte
sich Nova Network als Komponente der
Computing-Umgebung von Open Stack
und von Quantum war noch nichts zu
sehen. Das Zuweisen von Floating-IPs
war eine Nova-interne Angelegenheit,
und genau darauf ist beispielsweise auch
das Webinterface Horizon ausgelegt: Will
102 Ausgabe 02-2013 Admin www.admin-magazin.de

Open Stack
Virtualisierung
Abbildung 1: Wenn der Patch für Floating-IPs mit Quantum per Dashboard auf dem System eingespielt ist …
ein Kunde im Dashboard einer VM eine
Floating-IP zuweisen, so sendet Horizon
den Befehl an Nova und verlässt sich
darauf, dass das Richtige geschieht.
Probleme mit Quantum
In Folsom hat diese Eintracht durch
Quantum etwas gelitten. Denn nun ist
nicht mehr Nova für Floating-IP-Adressen
zuständig, sondern eben Quantum.
Das macht sich an mehreren Stellen bemerkbar:
In der ursprünglichen Version
von Folsom, also 2012.2, funktioniert
das Zuweisen von Floating-IPs nur per
Kommandozeile und einem »quantum«-
Befehl. Kostprobe gefällig? Listing 1 zeigt
die einzelnen Schritte, die dafür notwendig
sind.
Was im Beispiel kryptisch aussieht, ist es
auch: Zunächst findet der Admin die ID
seines externen Netzwerks (im Beispiel
»ext_net«) heraus, um dann per »quan-
tum floatingip‐create« eine Floating-IP in
diesem Netz anzulegen. dann muss er
wissen, mit welchem Port des virtuellen
Quantum-Switches die VM verbunden
ist, die die Floating-IP erhalten soll,
im Beispiel die VM mit der IP-Adresse
»10.5.5.3«. Schließlich kriegt die VM
ihre IP. Bedingt durch die Tatsache, dass
Quantum durchgehend auf UUIDs setzt,
gestaltet sich der gesamte Vorgang offensichtlich
überaus intuitiv.
Scherz beiseite: Dass diese Arbeitsschritte
für Nicht-Geeks praktisch nicht
zu meistern sind, liegt auf der Hand.
An genau diese Nicht-Geeks richten sich
Cloud-Plattformen aber, es muss also
eine Lösung her. Das Dashboard, das den
Benutzern das einfache Zuweisen von IPs
erlaubt, ist leider noch nicht fit für den
Quantum-Einsatz und versucht auch bei
Quantum-Setups stur, das Zuweisen der
IPs über Nova abzuwickeln. Quantum-
Kompatibilität haben die Entwickler erst
für die Grizzly-Version des Dashboards
vorgesehen. Trotzdem kein Grund zum
Verzweifeln, denn mit etwas Bastelei lässt
sich die fehlende Funktion einfach nachrüsten.
Die Nova-Komponente im ersten
Folsom-Maintenance-Release (2012.2.1)
kommt mit einem Patch, der Floating-IP-
Requests direkt an Quantum weiterleitet,
wenn Quantum zum Einsatz kommt.
Wer Floating-IPs mit Quantum will, sollte
also zunächst diese Version installieren
(für Ubuntu 12.04 liegt sie mittlerweile
in Form von Paketen im Ubuntu-Cloud-
Repository vor). Das ist die halbe Miete
– die andere Hälfte kommt in Form eines
Patches.
Das leidige Thema UUIDs
Das Dashboard gibt die zuzuweisende
Floating-IP direkt an. Nova-Network kam
damit zurecht, für Quantum muss anstelle
der IP allerdings die entsprechende
Listing 1: Floating-IPs mit »quantum« zuweisen
01 root@alice:~# quantum net‐list
02
03 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
04 | id | name | subnets
|
05 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
06 | 42a99eb6‐3de7‐4ffb‐b34e‐6ce622dbdefc | admin‐net|928598b5‐43c0‐... |
07 | da000609‐a85f‐4d46‐8abd‐ff649c4cb173 | ext_net |0f5c7b17‐65c10-... |
08 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
09
10 root@alice:~# quantum floatingip‐create da000609‐a85f‐4d46‐8abd‐...
11 Created a new floatingip:
12
13 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
14 | Field | Value |
15 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
16 | fixed_ip_address | |
17 | floating_ip_address | 192.168.144.101 |
18 | floating_network_id | da000609‐a85f‐4d46‐8abd‐ff649c4cb173 |
19 | id | 52706c89‐2906‐420c‐a719‐514c267cfbd4 |
20 | port_id | |
21 | router_id | |
22 | tenant_id | dc61d2b9e6c44e6a9a6615fb5c045693 |
23 root@alice:~# quantum port‐list
26
27 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐‐‐‐‐‐+‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+‐
28 | 0c478fa6‐c12c‐... | | fa:16:3e:29:33:18 |
29 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
30 | fixed_ips |
31 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
32 {"subnet_id": "0f5c7b17‐65c1‐", "ip_address": "192.168.144.101"} |
33 +‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐+
34 ...
35 root@alice:~# quantum floatingip‐associate 52706c89‐2906‐420c‐a719‐514c2
67cfbd4 c1db7d5e‐c552‐4a80‐82e4‐3da94e83cbe8
37 Associated floatingip 52706c89‐2906‐420c‐a719‐514c267cfbd4
www.admin-magazin.de
Admin
Ausgabe 02-2013
103

Virtualisierung
Open Stack
Abbildung 2: … funktioniert das Zuweisen von Floating-IPs wie gewohnt.
UUID der IP-Teil des Befehls sein. Ein zurückportierter
Patch aus Grizzly [1] sorgt
dafür, dass das Dashboard mit IPs umgehen
kann, die in UUID-Form angegeben
sind. Der Patch ist auf dem Dashboard-
Host im Ordner
/usr/lib/python2.7/dist‐packages/horizon/U
dashboards/nova/access_and_security/U
floating_ips
mittels »patch ‐p1 < Patch« anzuwenden.
Anschließend funktioniert das Zuweisen
der Floating-IPs: Nach dem Mausklick
des Nutzers im Dashboard gibt jenes
den Befehl an Nova weiter, das ihn zu
Quantum schickt. Quantum kümmert
sich um den Rest, und die VM bekommt
ihre Floating-IP.
Storage sinnvoll planen
Ein klassischer Anspruch an Cloud-Computing-Umgebungen
ist der, dass sie nahtlos
in die Breite skalieren sollen. Wenn
die Plattform wächst, muss es möglich
sein, zusätzliche Hardware hinzuzufügen
und so die Kapazität der Installation zu
vergrößern. Der Anspruch kolldiert allerdings
mit klassischen Storage-Ansätzen,
denn weder typische SAN-Storages noch
passende Ersatzkonstruktionen mit NBD
oder DRBD lassen sich in solchen Dimensionen
erweitern wie Cephs.
Wirklich interessant ist ein Gespann aus
einer Cloud-Plattform wie Open Stack
und einer Object-Storage-Lösung. Open
Stack selbst bringt eine solche in Form
von Open Stack Swift sogar mit, doch
leidet Swift unter der Tatsache, dass es
nicht möglich ist, auf den Storage als
Block-Device zuzugreifen. Hier kommt
Ceph ins Spiel, denn Ceph ermöglicht
Block-Zugriff. Die beiden Komponenten
von Open Stack, die mit Storage zu tun
haben – Glance und Cinder – bieten einen
direkten Anschluss an Ceph. Wie
funktioniert die praktische Umsetzung?
Ganz leicht: Glance und
Ceph
Im Falle von Glance lautet die Antwort:
Sehr leicht. Glance kann nativ mit Ceph
sprechen. Zur Erinnerung: Glance ist die
Komponente in Open Stack, die Betriebssystem-Images
für Benutzer parat hält.
Wenn schon ein Object-Store da ist, liegt
nichts näher, als jene Images in ihm abzulegen.
Damit das klappt, sind nur wenige
Vorbereitungen nötig. Vorausgesetzt, dass
es in Ceph einen Pool namens »images«
gibt und dass der Ceph-Benutzer »client.
glance« Zugriff auf diesen hat, ist die
restliche Konfiguration leicht. Mehr über
die Benutzerautentifizierung in Ceph findet
sich übrigens im zweiten Artikel des
Autors in diesem Heft.
Jeder Host, auf dem Glance mit Ceph-Verbindung
laufen soll, benötigt eine funktionierende
»/etc/ceph/ceph.conf«. Aus
dieser holt Glance sich alle benötigten Infos
über die Topologie des Ceph-Clusters.
Außerdem muss in der Datei vermerkt
sein, wo der Keyring mit dem Passwort
zu finden ist, der zum Glance-Benutzer in
Ceph gehört. Ein entsprechender Eintrag
für »ceph.conf « sieht so aus:
[client.glance]
keyring = /etc/ceph/keyring.glance
In »/etc/​ceph/​keyring.glance« muss dann
der Schlüssel des Benutzers zu finden
sein. Die folgende Datei ist ein Beispiel:
[client.glance]
key = AQA5XRZRUPvHABAABBkwuCgELlu...
Dann fehlt nur noch die Konfiguration
von Glance selbst, die der Admin in
»/etc/glance/glance‐api.conf« einträgt.
Der Wert für »default_store = « ist
»rbd«. Wer als Benutzernamen für den
Glance-Benutzer in Ceph »client.glance«
und als Pool »images« nutzt, kann das
File danach wieder schließen, das ist der
Default. Wenn andere Namen zum Einsatz
kommen, sind »rbd_storage_user«
und »rbd_store_pool« weiter unten in der
Datei entsprechend anzupassen. Dann
ist ein Neustart von »glance‐api« und
»glance‐registry« fällig – fertig.
Abbildung 3: Das Password-Handling der Libvirt für Ceph-Installation ist etwas kompliziert, funktioniert aber zuverlässig.
104 Ausgabe 02-2013 Admin www.admin-magazin.de

w
Cinder ist die Block-Storage-Lösung von
Open Stack, die die eigentlich nicht persistenten
VMs mit dauerhaftem Block-
Speicher versorgt. Auch Cinder hat
ein natives Backend für Ceph, dessen
Konfiguration allerdings etwas umfangreicher
ist. Der Grund hierfür ist, dass
Cinder das Zuweisen von Speicher direkt
über »libvirt« abwickelt. Libvirt selbst ist
quasi der Client, der sich direkt an Ceph
anmeldet. Wenn die Authentifizierung
CephX zum Einsatz kommt, muss die
Virtualisierungsumgebung folglich wissen,
wie sie sich gegenüber Ceph passend
vorstellt. So weit, so gut: Seit Libvirt
0.9.12 ist die entsprechende Funktion in
Libvirt dafür vorhanden.
Etwas komplizierter: Cinder
Das folgende Beispiel geht davon aus,
dass der Ceph-Benutzer im Kontext von
Cinder »client.cinder« heißt und dass ihm
ein eigener Pool »cinder« zur Verfügung
Der Libvirt-Teil der Konfiguration ist damit
abgeschlossen, ab sofort kann sich
Libvirt als »client.cinder« an Ceph ansteht.
Wie im Beispiel von Glance muss
für den Benutzer ebenso ein Keyring
namens »/etc/ceph/keyring.cinder« vorhanden
sein, der auch in »ceph.conf«
entsprechend referenziert ist. Dann ist
mittels »uuidgen« auf der Kommandozeile
eine UUID zu generieren – libvirt
speichert Passwörter mit UUID-Namen
ab. Im Beispiel kommt »2a5b08e4‐3dca‐4f
f9‐9a1d‐40389758d081« zum Einsatz. Der
nächste Schritt besteht darin, ein passendes
Secret-File für Libvirt anzulegen. Im
Beispiel ist die Datei »/etc/libvirt/secrets/ceph.xml
«, ihr Inhalt ist dieser:
2a5b08e4‐3dca‐4ff9‐9a1d‐U
40389758d081
client.cinder secret
Das Feld »uuid« ist jeweils durch die tatsächliche
UUID zu ersetzen, und wenn
der Benutzer lokal nicht »client.cinder«
sondern anders heißt, ist auch »name«
entsprechend anzupassen. Es folgt das
Aktivieren des Passworts in Libvirt:
virsh secret‐define /etc/libvirt/secretsU
/ceph.xml
Bisher weiß Libvirt nur, dass es ein Passwort
gibt, allerdings fehlt noch der eigentliche
Schlüssel. Der befindet sich in
»/etc/ceph/keyring.cinder«, es handelt
sich um die Zeichenkette hinter „key =“.
Dass der Key zum eben festgelegten Passwort
gehört, erfährt Libvirt so:
virsh secret‐set‐value UUID U
Schlüssel
Im konkreten Beispiel also:
virsh secret‐set‐value 2a5b08e4‐3dca‐U
4ff9‐9a1d‐40389758d081 AQA5jhZRwGPhBBU
AAa3t78yY/0+1QB5Z/9iFK2Q==
JAHRES-DVD 2012
InklusIve:
Der komplette
Jahrgang 2012!
■ Artikel zu Storage, Backup,
Security, Monitoring,
Virtualisierung u.v.m.
■ Zum Lesen am Bildschirm
oder Ausdrucken: PDF und
HTML-Format
■ Search Engine für
Artikel-Volltext-Suche
Jetzt gleich bestellen!
www.admin-magazin.de/DVD2012 oder 089 - 99 34 11 - 00
ADMIN
Netzwerk & Security

Virtualisierung
Open Stack
melden und dort Storage-Devices nutzen.
Was noch fehlt, ist die entsprechende
Cinder-Konfiguration, damit der Storage-
Dienst tatsächlich Ceph verwendet.
Schritt 1: Cinder muss lernen, als welcher
Benutzer es sich selbst an Ceph anmelden
muss, um Storage-Devices für VM-
Instanzen anzulegen. Hierzu ist »/etc/
init/cinder‐volume.conf« in einem Editor
so zu verändern, dass die erste Zeile der
Datei »env CEPH_ARGS="‐‐id cinder"«
ist (falls der Benutername »client.cinder«
lautet). Schritt 2: Jetzt fehlen nur noch
die folgenden vier Zeilen in »/etc/cinder/
cinder.conf«:
volume_driver=cinder.volume.driver.U
RBDDriver
rbd_pool=images
rbd_secret_uuid=2a5b08e4‐3dca‐4ff9‐U
9a1d‐40389758d081
rbd_user=cinder
Nach einem Neustart der Cinder-Dienste
»cinder‐api«, »cinder‐volume« und »cinder‐scheduler«
funktioniert das Gespann
aus Cinder und Ceph wie gewünscht.
Die schönste Open-Stack-Installation ist
nichts wert, wenn der Ausfall eines Servers
sie zum Absturz bringt. Das Setup,
das in Teil 2 des Workshops entstanden
ist, bietet gleich zwei Points of Failure,
nämlich sowohl den API-Knoten als auch
den Netzwerk-Knoten.
Hochverfügbarkeit für Open
Stack
Die gute Nachricht ist: Folsom ist in Sachen
HA lange nicht so unbedarft, wie
es frühere Open-Stack-Versionen waren.
Nicht zuletzt durch die vom Autor dieses
Artikels mit vorangetriebene Integration
der Open-Stack-Dienste in Pacemaker-
Cluster lässt sich der größte Teil einer
Open-Stack-Installation mittlerweile
hochverfügbar auslegen. Dabei findet
sich übrigens ein zweiter Grund, auf
Object-Storage-Lösungen wie Ceph zu
setzen: Jene kommen mit HA ab Werk,
sodass Admins sich hier keine Gedanken
um Redundanz zu machen brauchen.
Sehr wohl als Problemfeld erhalten bleibt
dem Administrator sowohl die Ausfallsicherheit
der Open-Stack-Infrastruktur
wie auch die der eigentlichen VMs. Hinsichtlich
der Infrastruktur-Komponente
bietet sich Pacemaker quasi an: Es bietet
einen umfassenden Werkzeugkoffer, mit
dem sich Dienste redundant auf mehreren
Rechnern konfigurieren lassen.
Fast alle Open-Stack-Dienste lassen sich
so hochverfügbar machen, das umfasst
Keystone genauso wie Glance, Nova,
Quantum oder Cinder. Wer ein Open-
Stack-HA-Setup plant, sollte allerdings
zwei andere Komponenten nicht vergessen:
die Datenbank, typischerweise
MySQL, sowie den Message-Queue, also
RabbitmQ oder Qpid.
HA für MySQL und RabbitMQ
Für MySQL bieten sich gleich mehrere HA-
Optionen an. Die klassische Methode besteht
darin, dass MySQL seine Daten auf
einem Shared Storage wie DRBD liegen
hat und der eigentliche »mysqld« dann
zwischen zwei Rechnern hin- und herschwenkt.
Je nach Größe des Datenbank-
Journals kann ein Failover in solchen
Szenarien allerdings einige Zeit dauern,
überdies skaliert die Lösung nicht in die
Breite. Sinnvoller sind nativ in MySQL integrierte
Lösungen wie Galera, die dafür
sorgen, dass sich die Datenbank selbst
Listing 2: Pacemaker-Konfiguration für Open Stack - Teil 1
01 node alice
02 node bob
03 node charlie
04 primitive p_IP ocf:heartbeat:IPaddr2 \
05 params cidr_netmask="24" ip="192.168.122.130" iflabel="vip" \
06 op monitor interval="120s" timeout="60s"
07 primitive p_cinder‐api upstart:cinder‐api \
08 op monitor interval="30s" timeout="30s"
09 primitive p_cinder‐schedule upstart:cinder‐scheduler \
10 op monitor interval="30s" timeout="30s"
11 primitive p_cinder‐volume upstart:cinder‐volume \
12 op monitor interval="30s" timeout="30s"
13 primitive p_glance‐api ocf:openstack:glance‐api \
14 params config="/etc/glance/glance‐api.conf" os_
password="hastexo"
15 os_username="admin" os_tenant_name="admin"
16 os_auth_url="http://192.168.122.130:5000/v2.0/" \
17 op monitor interval="30s" timeout="30s"
18 primitive p_glance‐registry ocf:openstack:glance‐registry \
19 params config="/etc/glance/glance‐registry.conf" os_
password="hastexo"
20 os_username="admin" os_tenant_name="admin"
21 keystone_get_token_url="http://192.168.122.130:5000/v2.0/tokens"
\
22 op monitor interval="30s" timeout="20s"
23 primitive p_keystone ocf:openstack:keystone \
24 params config="/etc/keystone/keystone.conf" os_
password="hastexo"
25 os_username="admin" os_tenant_name="admin"
26 os_auth_url="http://192.168.122.130:5000/v2.0/" \
27 op monitor interval="30s" timeout="30s"
28 primitive p_mysql ocf:heartbeat:mysql \
29 params binary="/usr/sbin/mysqld"
30 additional_parameters="‐‐bind‐address=0.0.0.0" datadir="/var/
lib/mysql"
31 config="/etc/mysql/my.cnf" log="/var/log/mysql/mysqld.log"
32 pid="/var/run/mysqld/mysqld.pid" socket="/var/run/mysqld/mysqld.
sock" \
33 op monitor interval="120s" timeout="60s" \
34 op stop interval="0" timeout="240s" \
35 op start interval="0" timeout="240s"
36 primitive p_nova‐api‐ec2 upstart:nova‐api‐ec2 \
37 op monitor interval="30s" timeout="30s"
38 primitive p_nova‐api‐metadata upstart:nova‐api‐metadata \
39 op monitor interval="30s" timeout="30s"
40 primitive p_nova‐api‐os‐compute upstart:nova‐api‐os‐compute \
41 op monitor interval="30s" timeout="30s"
42 primitive p_nova‐cert ocf:openstack:nova‐cert \
43 op monitor interval="30s" timeout="30s"
44 primitive p_nova‐compute‐host1 ocf:openstack:nova‐compute \
45 params additional_config="/etc/nova/nova‐compute‐host1.conf" \
46 op monitor interval="30s" timeout="30s"
47 primitive p_nova‐compute‐host2 ocf:openstack:nova‐compute \
48 params additional_config="/etc/nova/nova‐compute‐host2.conf" \
49 op monitor interval="30s" timeout="30s"
50 primitive p_nova‐compute‐host3 ocf:openstack:nova‐compute \
51 params additional_config="/etc/nova/nova‐compute‐host3.conf" \
52 op monitor interval="30s" timeout="30s"
106 Ausgabe 02-2013 Admin www.admin-magazin.de

Open Stack
Virtualisierung
um die Replikation kümmert. Einen ausführlichen
Artikel zum Thema Galera
finden Interessierte in [2].
Ganz ähnlich verhält es sich mit dem
Messaging-Queue RabbitMQ: Auch dieser
wäre über ein Shared-Storage als
Fail-Over-Lösung leicht zu realisieren
– hier ist diese Variante sogar die bessere
Option als das HA-Konzept, welches
RabbitMQ ab Werk mitbringt. Denn die
sogenannten »Mirrored Queues« haben
sich in der Vergangenheit immer wieder
als fehleranfällig herausgestellt. Wer
RabbitMQ im Rahmen eines Pacemaker-
Setups hochverfügbar machen will,
greift also lieber zu einer Lösung, bei der
»rabbitmq‐server« selbst zwischen den
Hosts hin- und herschwenkt und »/var/
lib/rabbitmq« auf einem gemeinsamen
Speicher liegt. Wer mit mehr als zwei
Knoten arbeitet und Ceph einsetzt, kann
die RabbitMQ-Daten per CephFS nach »/
var/lib/rabbitmq« mounten und schafft
sich so nicht-skalierende Storages im
Handstreich vom Hals.
Der restliche Aufwand eines HA-Setups
besteht nahezu ausschließlich darin, die
vorhandenen Open-Stack-Komponenten
in ein klassisches Pacemaker-Setup zu
integrieren. Es würde an dieser Stelle den
Rahmen sprengen, eine Konfiugration
von Pacemaker von Grund auf zu erläutern
– ein früherer Artikel des Autors dieses
Textes steht unter [3] zur Verfügung
und gibt Einblick.
Besonders hervorzuheben ist im Grunde
nur die Tatsache, dass für nahezu alle
Open-Stack-Komponenten mittlerweile
Ressource-Agents nach OCF-Standard
zur Verfügung stehen. Diese lassen sich
auf einem System wie folgt in den Ordner
»/usr/lib/ocf/resource./openstack«
entpacken:
cd /usr/lib/ocf/resource.d
mkdir openstack
cd openstack
wget ‐O‐ U
https://github.com/madkiss/openstack‐U
resource‐agents/archive/master.tar.gz | U
tar ‐xzv ‐‐strip‐components=2 openstack‐U
resource‐agents‐master/ocf
chmod ‐R a+rx *
Danach fördert ein »crm ra info
ocf:openstack:nova‐compute« exemplarisch
den Hilfstext zum Resource-Agent
für »nova‐compute« zu Tage. Der Rest
ist Schema F: Für die einzelnen Open-
Stack-Dienste sind jeweils Resourcen in
die Pacemaker-Konfiguration zu integrieren,
wobei Dienste, die zusammengehören,
in Gruppen funktionieren. Damit
alle wichtigen Dienste auf dem gleichen
Host laufen, legen Colocation- und Order-
Constraints der Verhältnis der Ressourcen
zueinander fest. Erwähnenswert ist die
Tatsache, dass es sich bei der Resource
für den Quantum-Plugin-Openvswitch-
Agent um eine Klon-Ressource handelt:
Jener Dienst sollte auf allen Open-Stack-
Knoten laufen, auf denen grundsätzlich
auch virtuelle Maschinen startbar sein
sollen.
VM-Failover mit Open Stack
Besondere Erwähnung sollen außerdem
die drei »p_nova‐compute«-Instanzen
finden, denn sie ermöglichen den Neustart
virtueller Maschinen auf anderen
Hosts, nachdem der ursprüngliche Host,
auf dem die VMs gelaufen sind, nicht
mehr zur Verfügung steht. Bisher war das
in Open Stack ein heikles Thema, denn
die Umgebung selbst merkt – zumindest
Listing 3: Pacemaker-Konfiguration für Open Stack - Teil 2
53 va‐consoleauth ocf:openstack:nova‐consoleauth \
54 op monitor interval="30s" timeout="30s"
55 primitive p_nova‐novnc upstart:nova‐novncproxy \
56 op monitor interval="30s" timeout="30s"
57 primitive p_nova‐objectstore upstart:nova‐objectstore \
58 op monitor interval="30s" timeout="30s"
59 primitive p_nova‐scheduler ocf:openstack:nova‐scheduler \
60 op monitor interval="30s" timeout="30s"
61 primitive p_quantum‐agent‐dhcp ocf:openstack:quantum‐agent‐dhcp \
62 op monitor interval="30s" timeout="30s"
63 primitive p_quantum‐agent‐l3 ocf:openstack:quantum‐agent‐l3 \
64 op monitor interval="30s" timeout="30s"
65 primitive p_quantum‐agent‐plugin‐openvswitch
66 upstart:quantum‐plugin‐openvswitch‐agent \
67 op monitor interval="30s" timeout="30s"
68 primitive p_quantum‐server ocf:openstack:quantum‐server \
69 params os_password="hastexo" os_username="admin" os_tenant_
name="admin"
70 keystone_get_token_url="http://192.168.122.130:5000/v2.0/tokens"
\
71 op monitor interval="30s" timeout="30s"
72 primitive p_rabbitmq ocf:rabbitmq:rabbitmq‐server \
73 params mnesia_base="/var/lib/rabbitmq" \
74 op monitor interval="20s" timeout="10s"
75 group g_basic_services p_mysql p_rabbitmq
76 group g_cinder p_cinder‐volume p_cinder‐schedule p_cinder‐api
77 group g_glance p_glance‐registry p_glance‐api
78 group g_keystone p_keystone
79 group g_nova p_nova‐api‐ec2 p_nova‐api‐metadata p_nova‐api‐os‐compute
80 p_nova‐consoleauth p_nova‐novnc p_nova‐objectstore p_nova‐cert p_
nova‐scheduler
81 group g_quantum p_quantum‐server p_quantum‐agent‐dhcp p_quantum‐agent‐l3
82 clone cl_quantum‐agent‐plugin‐openvswitch p_
quantum‐agent‐plugin‐openvswitch
83 location lo_host1_prefer_alice p_nova‐compute‐host1 10000: alice
84 location lo_host2_prefer_bob p_nova‐compute‐host2 10000: bob
85 location lo_host3_prefer_charlie p_nova‐compute‐host3 10000: charlie
86 colocation co_g_basic_services_always_with_p_IP inf: g_basic_services
p_IP
87 colocation co_g_cinder_always_with_g_keystone inf: g_cinder g_keystone
88 colocation co_g_glance_always_with_g_keystone inf: g_glance g_keystone
89 colocation co_g_keystone_always_with_p_IP inf: g_keystone p_IP
90 colocation co_g_nova_always_with_g_keystone inf: g_nova g_keystone
91 colocation co_g_quantum_always_with_g_keystone inf: g_quantum g_keystone
92 order o_cl_quantum‐agent‐plugin‐openvswitch_after_g_keystone inf: g_
keystone:start cl_quantum‐agent‐plugin‐openvswitch:start
93 order o_g_basic_services_always_after_p_IP inf: p_IP:start g_basic_
services:start
94 order o_g_cinder_always_after_g_keystone inf: g_keystone:start g_
cinder:start
95 order o_g_glance_always_after_g_quantum inf: g_quantum:start g_
glance:start
96 order o_g_keystone_always_after_g_basic_services inf: g_basic_
services:start g_keystone:start
97 order o_g_keystone_always_after_p_IP inf: p_IP:start g_keystone:start
98 order o_g_nova_always_after_g_glance inf: g_glance:start g_nova:start
99 order o_g_quantum_always_after_g_keystone inf: g_keystone:start g_
quantum:start
www.admin-magazin.de
Admin
Ausgabe 02-2013
107

Virtualisierung
Open Stack
Abbildung 4: Das Verzeichnis »/var/lib/nova/instances« ist auf allen Hosts ein CephFS-Mount – so stehen allen Servern die gleichen VM-Daten zur Verfügung.
boot=true«, die dazu führt, dass VMs
auf einem Host nach dem Start von
»nova‐compute« in den Zustand versetzt
werden, in dem Nova sie zum letzten
Mal gesehen hat. Im Klartext: Läuft
auf Server 1 ein »nova‐compute«, das
»host=host1« gesetzt hat, merkt Nova
sich, welche VMs auf diesem »host1«
laufen. Stürzt Server 1 ab, startet im
Beispiel Pacemaker die »nova‐compute«-
Instanz »host1« auf einem anderen Server
neu – und Nova bootet die VMs,
die zuvor auf Server 1 gelaufen sind,
dort ebenfalls. Damit das Prinzip sinnvoll
funktioniert, ist es notwendig, dass alle
»nova‐compute«-Instanzen Zugriff auf
das gleiche »instances«-Verzeichnis von
Nova haben. Das Beispiel löst das Problem,
indem es auf allen Servern »/var/
lib/nova/instances« als Mount auf ein
CephFS nutzt, über das allen Hosts die
gleichen Dateien zur Verfügung stehen.
Darüber hinaus gilt für Open-Stack-Pacemaker-Setups
das, was für sämtliche
Pacemaker-Installationen gilt: Die Versiin
Folsom – vom Ausfall eines Knotens
zunächst einmal nichts. Über das im Beispiel
genutzte Hintertürchen lässt sich
eine ähnliche Funktion allerdings nachrüsten.
Jede Instanz von »nova‐compute«
erlaubt es, zusätzliche Konfigurationsdateien
anzugeben. Deren Werte d überschreiben
dabei jeweils schon vorhandene
Werte – der letzte gewinnt. Mittels
»host=« erfährt eine Compute-Instanz,
wie sie heißen soll; ist der Wert nicht
gesetzt, nimmt Nova üblicherweise den
Hostnamen des Systems. Der Trick besteht
darin, die Kopplung von Hostname
und hierauf laufenden VMs aufzuheben.
Ob die Nova-Compute-Instanz namens
»host1« auf Knoten 1, Knoten 2 oder Knoten
3 läuft, ist dann erstmal nicht relevant,
und VMs, die auf »host1« gelaufen
sind, lassen sich auf jedem Server starten,
solange es dort eine Nova-Compute-
Instanz gibt, die sich für »host1« hält.
Die in Teil 2 des Workshops genutzte
»nova.conf« enthält außerdem die Option
»resume_guests_state_on_host_
onen der Programme sind zwischen den
Rechnern identisch zu halten. Eventuell
benötigte Config-Files der Dienste müssen
ebenfalls zwischen den Hosts synchron
bleiben. Sind diese Voraussetzungen
erfüllt, steht dem hochverfügbaren
Open-Stack-Setup nichts im Weg.
Zukunftsmusik
Der vorgestellte Mechanismus für VM-
HA kommt mit einem nicht ganz kleinen
Pferdefuß, denn er ermöglicht lediglich
das kollektive Neustarten sämtlicher VMs
eines ausgefallenen Hosts auf einem anderen.
Sinnvoller wäre es, würde sich
Open Stack selbst um die Problematik
kümmern und ausgefallene VMs über seinen
eigenen Scheduler auf mehrere Hosts
mit freien Ressourcen verteilen. Folsom
wird diese Funktion vermutlich nicht
mehr erhalten. In Grizzly ist ein entsprechendes
Feature aber schon implementiert:
Die »evacuate«-Funktion soll genau
diese Feature-Lücke füllen. Noch ist es
zu früh, um deren Alltagstauglichkeit zu
untersuchen. Wer sich mit Open Stack in
Zukunft näher beschäftigen möchte, darf
aber gespannt sein. (jcb)
n
Infos
[1] Patch: [http://www.admin-magazin.de/Media/Downloads/Dashboard-Folsom-Patch]
[2] Einführung zu Galera:
[http:// www. admin‐magazin. de/ Das‐Heft/​
2012/ 04/ Der‐Galera‐Cluster‐fuer‐MySQL]
[3] Einführung zu Pacemaker:
[http:// www. admin‐magazin. de/ Das‐Heft/​
2011/ 04/ HA‐Serie‐Teil‐1‐Grundlagen‐von‐Pa
cemaker‐und‐Co]
Abbildung 5: Mittels Pacemaker lässt sich ein Open-Stack-Setup gegen Ausfälle abhärten. Das Beispiel zeigt
einen Drei-Knoten-Cluster, bei dem ein Knoten nicht zur Verfügung steht.
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort
intensiv mit Hochverfügbarkeit und pflegt in
seiner Freizeit den Linux-Cluster-Stack.
108 Ausgabe 02-2013 Admin www.admin-magazin.de

2 Ausgaben
für nur 5,90 €
50% sparen und von Anfang an dabei sein!
Windows Phone User erscheint alle zwei Monate
NEU!
TESTANGEBOT:
2 AUSGABEN
für nur 5,90 Euro!
Jetzt bestellen unter:
windows-phone-user.de/miniabo

Programmieren
Jekyll
© Alexandr Aleabiev, 123RF
Mit Jekyll statische Seiten und Blogs erzeugen
Text-Monster
Wer ein Blog betreiben möchte, greift schon fast reflexartig zu Wordpress. Das verlangt jedoch nach PHP, einer
Datenbank, regelmäßigen Sicherheitsupdates und somit einer Menge Aufmerksamkeit. Mit der kleinen Template-
Engine Jekyll lässt sich all das vermeiden. Tim Schürmann
Trotz leistungsfähiger Server ist es
durchaus sinnvoll, einen Internetauftritt
aus statischen Seiten zusammenzubauen.
Sei es, um bei hoch frequentierten Seiten
die Serverlast zu senken oder die Gefahr
von Angriffen zu minimieren. Alle
Unterseiten per Hand zu pflegen, artet
allerdings schnell in eine Sisyphusarbeit
aus. An dieser Stelle helfen sogenannte
Template-Engines. Sie generieren aus den
Textinhalten und einer Layout-Vorlage
(auch Template genannt) einen kompletten
Internetauftritt, der nur aus statischen
Seiten besteht.
Um das Layout der kompletten Website
zu ändern, muss man künftig nur noch
die HTML-Vorlage gegen eine andere austauschen
– und nicht mehr jede Seite
einzeln anfassen.
Listing 1: Beispiel für eine einfache Layout-Vorlage
01
02
03
04 Kantine
05
06
07
08 Kantinenbetriebe Mayer
09
10
Eine der derzeit beliebtesten Template-
Engines hört auf den Namen Jekyll [1].
Entwickelt hat sie Tom Preston-Werner,
ein Mitarbeiter des Projekthosters Github.
Dort erzeugt sein Werkzeug die
Webseiten auf Github Pages [3]. Jekyll
ist primär zur Erstellung von Blogs gedacht.
Zwar lassen sich auch beliebige
andere statische Seiten erstellen, dies
erfordert jedoch ein paar Verrenkungen
und Tricks.
Kleines Juwel
Jekyll ist in der Skriptsprache Ruby geschrieben
und benötigt folglich eine entsprechende
Laufzeitumgebung ab Version
1.9.1. Linux-Nutzer müssen in der
Regel nur das passende Paket über ihren
11 Home
12 Blog
13 Kontakt
14
15
16 {{ content }}
17
18
19
Paketmanager einspielen, unter Ubuntu
beispielsweise »ruby1.9.1«. Anwender
von anderen Betriebssystemen finden
auf der Ruby-Seite [2] entsprechende
Installationspakete beziehungsweise eine
Installationsanleitung.
Die Installation von Jekyll erfolgt bequem
über die Ruby-eigene Paketverwaltung
Rubygems. Dazu genügt der Befehl:
gem install jekyll
Unter Linux und Mac OS X muss man
den Befehl mit Root-Rechten starten. Das
Kommando holt noch ein paar weitere
von Jekyll benötigte Ruby-Module (Gems)
nach, darunter »directory_watcher«, »liquid«,
»maruku« und »classifier«. Sollten
Fehler der Art: »can't find header files for
ruby« auftauchen, muss man noch das
Entwicklerpaket für Ruby einspielen. Bei
Ubuntu heißt es »ruby1.9.1‐dev«.
Sobald Jekyll einsatzbereit auf der Festplatte
liegt, erstellt man noch ein Arbeitsverzeichnis,
in dem man alle zum Internetauftritt
gehörenden Dateien sammelt.
Platz da!
Jekyll greift sich die zu publizierenden
Texte, zieht sie durch eine oder mehrere
Layout-Vorlagen und erzeugt damit den
110 Ausgabe 02-2013 Admin www.admin-magazin.de

Jekyll
Programmieren
fertigen Webauftritt. Hinzu
kommt noch eine Konfigurationsdatei,
die den ganzen
Prozess steuert. Es müssen
also mindestens eine Vorlage,
die Texte und die Konfigurationsdatei
her. Jekyll erwartet
alle in ganz bestimmten
Verzeichnissen unter ganz
bestimmten Dateinamen.
Zunächst zu den Layout-
Vorlagen: Diese bestehen aus
einfachen HTML-Dateien, die mit speziellen
Platzhaltern gespickt sind. Die Platzhalter
verraten Jekyll, wo später welche
Texte erscheinen sollen. Ein Beispiel für
eine erste einfache Vorlage zeigt Listing
1. Anstelle von »{{ content }}« erscheint
später der eigentliche Seiteninhalt.
Templates
Alle Layout-Vorlagen gehören im Arbeitsverzeichnis
in ein Unterverzeichnis namens
»_layouts«. Der Unterstrich zeigt
an, dass dieses Verzeichnis später nicht
mit im fertigen Auftritt landet. Umgekehrt
kopiert Jekyll alle Verzeichnisse ohne Unterstrich
komplett und unverändert in das
Verzeichnis mit der erzeugten Website.
Dieses Verhalten sollte man insbesondere
dann im Hinterkopf behalten, wenn man
mit einem Editor arbeitet, der automatisch
Sicherheitskopien erstellt, wie etwa
KWrite oder Gedit.
Jekylls Kopierautomatik ist aber auch
nützlich: Die HTML-Datei aus Listing
1 bindet eine CSS-Datei ein, die Jekyll
unverändert in den Auftritt übernehmen
muss. Also erstellt man kurzerhand im
Arbeitsverzeichnis das Unterverzeichnis
»css« und verstaut darin das Stylesheet.
Listing 2 zeigt eine einfache Fassung, die
alle Links rot einfärbt.
Nachdem eine Vorlage existiert, sind die
eigentlichen Inhalte an der Reihe. Den
Auftakt macht der Text für die Startseite
Abbildung 1: Diese Dateien und Verzeichnisse bilden ein minimales Jekyll-Projekt.
des zukünftigen Internetauftritts. Der
liegt üblicherweise in der Datei »index.
html«, die man jetzt direkt im Arbeitsverzeichnis
anlegt (und somit nicht in einem
seiner Unterverzeichnisse). In dieser Datei
speichert man nur den eigentlichen
Seiteninhalt, im Beispiel vielleicht einen
kurzen Begrüßungstext. Damit Jekyll
weiß, welches Layout es auf diesen Text
anwenden soll, muss man dieses noch
am Anfang notieren. Das Ergebnis zeigt
Listing 3.
Die Angabe »layout: default« teilt Jekyll
mit, dass es das Layout aus der Datei
»default.html« verwenden soll. Die Notation
folgt dem YAML-Standard [4], die
Angaben zwischen den Strichen bezeichnet
Jekyll als YAML Front Matter. Jede
Datei, die solch einen Vorspann besitzt,
dreht Jekyll gleich durch die Mangel, alle
anderen Dateien landen unverändert im
fertigen Internetauftritt.
Abschließend muss noch das Verzeichnis
»_site« her. In ihm parkt Jekyll die
fertigen Webseiten. Ein minimales Jekyll-
Projekt besteht damit aus den Verzeichnissen
und Dateien aus Abbildung 1. Um
aus ihnen den fertigen Internetauftritt zu
generieren, ruft man im Arbeitsverzeichnis
einfach das Kommando »jekyll« auf.
Jekyll greift sich jetzt nacheinander alle
Dateien ohne Unterstrich.
Im Beispiel gab es nur die Datei »index.html«.
Gemäß der Angabe in ihrem
Front Matter setzt Jekyll ihren Inhalt
an die Stelle »{{ content }}«
der Layout-Vorlage »default.
html«. Das Ergebnis landet
unter dem Dateinamen »index.html«
im Unterverzeichnis
»_site« (Abbildung 2).
Dorthin kopiert Jekyll auch
das Verzeichnis »css«.
Prinzipiell lässt sich jetzt die
Datei »index.html« im Verzeichnis
»_site« mit einem
Browser öffnen. Die Layout-
Vorlage bindet die CSS-Datei allerdings
über eine absolute Pfadangabe ein und
kommt somit nicht zur Anwendung (Abbildung
3). Um derartige Seiten dennoch
testen zu können, besitzt Jekyll einen
eingebauten Webserver. Man startet ihn
im Arbeitsverzeichnis per »jekyll ‐‐server«.
Jekyll erzeugt jetzt erst noch einmal
die Website. Anschließend lauscht sein
Webserver an Port 4000, die generierte
Seite erreicht man folglich unter »http://
localhost:4000«. Alle Anfragen protokolliert
er zudem auf der Kommandozeile,
sodass man auch hier noch einmal den
eigenen Internetauftritt unter die Lupe
nehmen kann.
Sie haben Posts
Neben der Startseite soll es im Beispiel
natürlich auch ein richtiges Blog geben.
Dessen Beiträge sammelt der Unterordner
»_posts«. Dort legt man jeden Blog-
Beitrag in einer eigenen HTML-Datei ab,
deren Dateiname aus dem Datum der
01 a {
Listing 2: Ein einfaches Stylesheet
02 text‐decoration: none;
03 color: red;
04 }
05 a:hover {
06 text‐decoration: underline;
07 color: blue;
08 }
_site/index.html
…
Willkommen
…
default.html
…
{{ content }}
…
index.html
---
layout: default
---
Willkommen bei den
Kantinenbetrieben ...
Abbildung 2: Der Inhalt der »index.html« wandert an die Stelle des Platzhalters »{{ content }}« in der Datei
»default.html«. Das Ergebnis legt Jekyll in der Datei »_site/index.html« ab.
Listing 3: »index.html«
01 ‐‐‐
02 layout: default
03 ‐‐‐
04
05 Willkommen bei den Kantinenbetrieben Mayer. Die
aktuellen und vergangenen Speisenkarten entnehmen Sie
bitte unserem Blog.
06
www.admin-magazin.de
Admin
Ausgabe 02-2013
111

Programmieren
Jekyll
01 ‐‐‐
01 ‐‐‐
01 ‐‐‐
Veröffentlichung, einem Titel
und der Endung ».html« besteht.
Der Blog-Beitrag vom
12.02.2013 mit dem Titel
»Currywurst« gehört folglich
in eine Datei mit dem Namen
»2013‐02‐12‐currywurst.
html«. Der Titel kann dabei
aus einem Stichwort bestehen
und muss nicht mit dem tatsächlichen
Titel des Beitrags
auf der Webseite übereinstimmen.
Ein Beispiel für einen
Blog-Beitrag zeigt Listing 4.
Alternativ: Markdown
Anstelle von HTML kann man den Blog-
Beitrag auch mit Markdown- oder Textile-
Tags schmücken. In diesem Fall muss
man allerdings die Dateiendung anpassen,
bei Markdown landet der Text beispielsweise
in der Datei »2013‐02‐12‐currywurst.md«.
Jekyll erkennt das Format
selbstständig und übersetzt es in entsprechenden
HTML-Code.
Listing 6: Die Datei »blog.html«
02 layout: default
03 ‐‐‐
04 Das Angebot Ihrer Kantine
05
06 {% for post in site.posts %}
07
08
09 {{ post.titel }}
10
11 {{ post.beilage }}
12
13 {% endfor %}
14
Listing 5: Das Layout für die Blog-Einträge
02 layout: default
03 ‐‐‐
Listing 4: Beispiel für einen Blog-Beitrag
02 layout: blogeintrag
03 titel: Currywurst
04 beilage: Mit Pommes
05 ‐‐‐
06 Heute gibt es eine leckere Currywurst.
04 {{page.titel}}
05 {{page.beilage}}
06 {{ content }}
Abbildung 3: Die direkt im Browser geöffnete »index.html« bindet das Stylesheet
nicht ein, die Links sind deshalb nicht nicht rot eingefärbt.
Wie der YAML-Vorspann aus Listing 4
zeigt, soll Jekyll für die Posts das Layout
aus der Datei »_layouts/blogeintrag.
html« verwenden. Deren Inhalt verrät
Listing 5.
Das Layout basiert selbst wieder auf
dem Standard-Layout »default.html«. Jekyll
verschachtelt hier also gleich zwei
Layouts ineinander: An die Stelle des
Platzhalters »{{ content }}« aus »default.
html« setzt es den Inhalt des Layouts
»blogeintrag.html«. Dieses bringt selbst
einen Platzhalter »{{ content }}« mit,
den Jekyll wiederum durch den Text des
Blog-Beitrags austauscht.
Ersetzbar
Die Platzhalter »{{page.titel}}« und
»{{page.beilage}}« ersetzt Jekyll schließlich
noch durch die Texte, die der Blog-Beitrag
im YAML Front Matter neben »title«
und »beilage« vorgibt (siehe Listing 4).
Wie hier im Beispiel darf man im Front
Matter eines Blog-Beitrags beliebig viele
eigene Bezeichner hinzufügen. Später
im Layout bindet man dann den rechts
daneben stehenden Text ein, indem man
dem Bezeichner ein »page.« voranstellt
und das Ganze in geschweifte Klammern
einfasst. Abbildung 4 fasst noch einmal
zusammen, wie Jekyll die einzelnen
Platzhalter austauscht: In der »default.
html« landet an der Stelle »{{content}}«
der Inhalt von »blogeintrag.html«. Dessen
Platzhalter »{{page.titel}}« ersetzt Jekyll
durch den »titel« des Blog-Beitrags, den
Platzhalter »{{content}}« analog durch
den Text des Beitrags. Das Ergebnis speichert
Jekyll in einer HTML-Datei, die den
Namen des Beitrags trägt.
Damit erzeugt Jekyll jetzt für jeden Text
im Verzeichnis »_posts« eine neue HTML-
Datei. Bei einem typischen
Blog gibt es zusätzlich noch
eine Übersichtsseite, die alle
Beiträge auflistet. Diese Seite
soll im Beispiel »blog.html«
heißen und der Einfachheit
halber wieder direkt im Arbeitsverzeichnis
liegen (sie
wandert folglich später ins
Hauptverzeichnis des Internetauftritts).
Ihren Inhalt zeigt
Listing 6.
Der Einfachheit halber steckt
Listing 6 alle Blog-Beiträge in
eine Liste »«. Das Gebilde:
{% for post in site.posts %}
sorgt dafür, dass Jekyll alle vorhandenen
Blog-Beiträge durchläuft. Die Jekyll-Entwickler
haben diese Platzhalternotation
übrigens nicht selbst erfunden, sondern
einfach das aus dem Online-Shop Shopify
stammende Liquid Template System
übernommen [5]. Generell rahmen zwei
geschweifte Klammern »{{ ... }}« einen
Platzhalter ein, den später Jekyll durch
HTML-Tags und Text ersetzt. Klammern
mit Prozentzeichen »{% ... %}« kennzeichnen
hingegen Befehle, die Jekyll
ausführt beziehungsweise auswertet.
In Schleifen
In diesem Fall soll Jekyll alle vorhandenen
Blog-Beiträge (repräsentiert durch
»site.posts«) durchlaufen (»for«). Für
jeden Beitrag wiederholt Jekyll die Angaben
bis zum »{% endfor %}«. Dazwischen
gelangt man an die Daten eines
Blog-Beitrags, indem man einem seiner
Bezeichner aus dem Front Matter ein
»post« voranstellt und das Gebilde mit
geschweiften Klammern einrahmt. Der
Platzhalter »{{ post.beilage }}« liefert
beispielsweise den Text rechts neben
»beilage«.
Listing 6 macht aus dem Titel eines Beitrags
(»{{ post.titel }}«) einen Link, der
zur Seite mit dem Blog-Beitrag führt –
also etwa der Beschreibung der Currywurst.
Die URL dorthin liefert »{{ post.
url }}«. Neben der Schleife kennt Liquid
– und somit auch Jekyll – noch andere
Kontrollstrukturen. So prüft
{% if post.beilage %}
Die heutige Beilage:
{% endif %}
112 Ausgabe 02-2013 Admin www.admin-magazin.de

Jekyll
Programmieren
default.html
…
{{ content }}
…
so liegt die Currywurst jetzt unter »/essen/currywurst.html«.
»:categories« und
»:title« sind dabei Platzhalter, die Jekyll
gegen die Kategorie und den Titel erob
der Blog-Beitrag überhaupt eine »beilage«
im Front Matter angibt. Nur wenn
das der Fall ist, setzt Jekyll den Text »Die
heutige Beilage:« in die fertige HTML-
Seite ein. Eine gute Übersicht über alle
möglichen Befehle und Kontrollstrukturen
liefert die Seite Liquid for Designers
unter [6].
Wenn man jetzt das Ganze noch einmal
mit »jekyll ‐‐server« übersetzen lässt
und die Seite im Browser aufruft, kommt
man von der Startseite zur Übersicht und
von dort zum Currywurst-Artikel. Die
Einträge auf der Übersichtsseite sortiert
Jekyll automatisch nach Datum, die neuesten
stehen dabei ganz oben.
Beobachtungsposten
blogeintrag.html
…
{{ page.titel }}
{{ content }}
...
Abbildung 4: So ersetzt Jekyll in seinen Templates die einzelnen Platzhalter.
Sobald man im Verzeichnis »_posts« einen
neuen Blog-Beitrag hinzufügt, muss
man Jekyll erneut die Website generieren
lassen. Diese wiederkehrende Arbeit
lässt sich aber auch automatisieren.
Dazu erstellt man zunächst im Arbeitsverzeichnis
die Datei »_config.yml«. Wie
ihr Name schon andeutet, dient sie zur
Konfiguration von Jekyll. In jeder Zeile
enthält sie dem YAML-Standard folgend
eine Einstellung, die aus einem Namen,
einem Doppelpunkt und einem Wert besteht.
Fügt man ihr nun die Zeile:
auto: true
Tabelle 1: Nützliche Konfigurationseinstellungen
Einstellung
»auto:«
»destination:«
»exclude:«
»future:«
»permalink:«
»server:«
»server_port:«
»source:«
2013-02-12-currywurst.html
---
layout: blogeintrag
titel: Currywurst
---
Heute gibt es ...
hinzu, beobachtet Jekyll nach seinem
Start das Arbeitsverzeichnis. Sobald sich
dort etwas verändert, erzeugt Jekyll automatisch
die Website neu.
Weitere nützliche Einstellungen fasst
Tabelle 1 „Nützliche Konfigurationseinstellungen“
zusammen. Eine besondere
Erwähnung verdient dabei »permalink«:
Ein Blog-Eintrag liegt normalerweise in
einem Unterverzeichnis, das sein Datum
widerspiegelt. Den am 02.12.2013 erstellten
Beitrag »currywurst« findet man
beispielsweise unter »/2013/12/02/currywurst.html«.
Über »permalink« kann
man dieses Schema verändern. Wählt
man beispielsweise:
permalink: /:categories/:title.html
Bedeutung
Bei »true« überwacht Jekyll das Verzeichnis auf Änderungen.
Die fertige Website legt Jekyll in diesem Verzeichnis ab.
Die hierhinter aufgelisteten Verzeichnisse übernimmt Jekyll nicht in die
fertige Website.
Bei »true« übernimmt Jekyll auch Posts, die ein Datum aus der Zukunft
tragen. Andernfalls bleiben diese außen vor.
Verändert den Speicherort der einzelnen Posts.
Bei »true« startet Jekyll automatich den Server (man spart sich folglich
den Parameter »‐‐server«).
Der Port, an dem der Server lauscht.
Jekyll erwartet die Layouts, Posts, etc. in diesem Verzeichnis.
setzt. Beide muss man im Front Matter
der Blog-Beiträge hinter dem Bezeichner
»title« beziehungsweise »categories« notieren.
Neben »:title« und »:categories«
gibt es noch die Platzhalter »:day« für
den Tag, »:month« für den Monat und
»:year« für das Jahr. »:i_month« und »:i_
day« repräsentieren Monat und Tag ohne
führende Nullen.
Fazit
Jekyll erzeugt kompakte statische Websites,
benötigt keine Datenbank und hat
den Vorteil, dass man die Texte in seinem
Lieblings-Editor schreiben kann. Für
eine etwas höhere Lernkurve sorgt der
Mix aus verschiedenen Auszeichnungssprachen,
zudem ist die Bedienung alles
andere als intuitiv. Die Artikel gehen nur
dann direkt online, wenn man Jekyll im
Beobachtungsmodus betreibt und den
Inhalt des Verzeichnisses »_site« automatisiert
auf den Server laden lässt. Im
Gegenzug lässt sich Jekyll recht leicht mit
anderen (Kommandozeilen-)Werkzeugen
kombinieren und sogar um weitere
Funktionen erweitern. Unter dem Strich
empfiehlt sich der Einsatz von Jekyll immer
dann, wenn eine kleine, statische
Website zu groß geworden ist und sich
die Installation und Pflege eines kompletten
Content-Management-Systems aber
noch nicht lohnt. Auch wer aus Sicherheitsgründen
statische Webseiten gegenüber
einer Sammlung von fehlerhaften
Formularen bevorzugt, sollte sich Jekyll
ansehen. (ofr)
n
Infos
[1] Jekyll: [http:// jekyllrb. com/]
[2] Ruby für verschiedene Betriebssysteme:
[http:// www. ruby‐lang. org/ de/ downloads/]
[3] Github Pages: [http:// pages. github. com/]
[4] YAML: [http:// www. yaml. org/]
[5] Liquid: [http:// liquidmarkup. org/]
[6] Liquid for Designers: [https:// github. com/​
shopify/ liquid/ wiki/ liquid‐for‐designers]
Der Autor
Tim Schürmann ist selbstständiger Diplom-
Informatiker und derzeit hauptsächlich als freier
Autor unterwegs. Zu seinen Büchern gesellen
sich zahlreiche Artikel, die in Zeitschriften und
auf Internetseiten in mehreren Ländern veröffentlicht
wurden.
www.admin-magazin.de
Admin
Ausgabe 02-2013
113

Programmieren
Botnetz
© oxygen64, 123RF
Eigenes Botnetz programmieren
Im Untergrund
mit dem schlechten Ruf zu kämpfen, die
die Botnetze anderer zu Recht besitzen.
Wenn jemand das Wort „Botnetz“ hört,
denkt er meistens sofort an fiese Viren
und Trojaner, die sich auf Rechnern eingenistet
haben und ihren Herren aufs
Wort gehorchen, um etwa weitere Rechner
zu infizieren.
Dieses Bild ist nicht unberechtigt. Laut
einer Microsoft-Studie, hat ein Botnetz
geschätzte sieben Millionen Rechner mit
dem Conficker-Wurm infiziert [1]. Filesharing-Websites
waren primäre Überträger
der Infektion. Die Symptome schlossen
abgeschaltete Sicherheitsdienste ein.
Die Prognose für die befallenen Rechner
war ungünstig: Unbehandelt konnte der
Conficker-Virus unter Umständen sogar
die volle Kontrolle über den Computer
übernehmen und ihn zu einem willenlosen
Sklaven im Netz der Botnetz-Programmierer
machen.
Kundenkontakt
01
Und wie sich im Lauf von 15 Jahren
und unzähligen Projekten gezeigt hat,
ist ein Botnetz der beste Weg, um solche
Aufgaben über mehrere Rechner hinweg
zu verteilen. Trotz ihres schlechten Rufs
und ihres etwas unglücklichen Namens,
bieten Botnetze für Geschäftsleute und
Entwickler eine Menge Potenzial.
Computer kauft Auto
Vor einigen Jahren habe ich ein sogenanntes
Sniper-Netz programmiert. Es
kaufte automatisch Autos von einer
Website, kümmerte sich um die Bezahlung
und vereinbarte die Überführung
der Fahrzeuge. Dieser Artikel beschreibt
mein Autokauf-Projekt und gibt einen
Einblick in die Bedeutung kommerzieller
Botnetze. Dabei wird man sehen, dass
Open-Source-Tools und Linux in der Welt
der Botnetz-Entwicklung und ‐Hosting
große Bedeutung besitzen.
Egal wie gut meine Botnetze bei meinen
Kunden ankommen, ich habe immer
Eines Tages rief ein Kunde aus der Automobilbranche
an und erzählte mir von
seinem Problem. Er verriet mir, dass
Autohändler eine abgesicherte Website
dafür verwenden, von Autovermietungen
ausgemusterte Fahrzeuge zu kaufen. Für
die Händler waren das interessante Geschäfte,
denn die Autos hatten nur relativ
wenige Kilometer auf dem Tacho, und
es handelte sich um recht neue Modelle.
Jeden Tag kamen auf der Website einige
hundert solcher Fahrzeuge hinzu. Davon
gab es immer eine Handvoll, die bei
den Händlern auf besonderes Interesse
stießen, weil sie etwa eine Sonderausstattung
besaßen, es sich um ein beliebtes
Modell handelte oder sie besonders
günstig waren.
Das Problem meines Kunden bestand darin,
dass er zwar die angebotenen Autos
auf der Website anschauen konnte, aber
sie erst ab einem bestimmten Zeitpunkt
verkauft wurden. Dann aber standen die
Server wegen des Ansturms von Käufern
so unter Last, dass man kaum noch ein
Gebot abgeben konnte, ganz zu schweigen
davon, einen erfolgreichen Abschluss
zu machen. Mein Kunde hatte also eine
gute Quelle für Gebrauchtwagen ausgemacht,
konnte dort aber letztlich nicht
einkaufen. Ich dachte mir, ein Botnetz
könnte sein Problem vielleicht lösen.
114 Ausgabe 02-2013 Admin www.admin-magazin.de

Botnetz
Programmieren
Botnetze wie der Auto-Sniper
besitzen drei Teile: einen zentralen
Server, eine Reihe von
Client-Rechnern (die sogenannten
Harvester) und ein
Webportal zur Administration.
Abbildung 1 zeigt, wie
diese Komponenten zusammenspielen.
Das Herzstück eines jeden
Botnetzes ist der zentrale Server,
der das Webportal bereitstellt.
In unserem Fall ersetzte
es letztlich die frustrierende
Weboberfläche der Autoverkaufssite.
Statt sich mit anderen
um deren Ressourcen zu
streiten, konnte sich mein Kunde bequem
auf dem Botnetz-Adminrechner die Autos
aussuchen, die er gerne haben wollte.
Der Steuerrungsrechner wies die einzelnen
Autos jeweils eigenen Harvestern
zu. Irgendwann später am Tag sah mein
Kunde dann auf dem Portal nach, welche
Autos das Botnetz kaufen konnte.
Im Gleichtakt
Für jedes Auto, das wir gerne kaufen
wollten, verwendeten wir ein bis zwölf
Harvester, die im ganzen Land verteilt
waren. Einige Rechner beherbergten nur
einen Harvester, auf anderen liefen gleich
mehrere gleichzeitig. Im Gegensatz zum
Conficker-Netz gehörten die Rechner natürlich
alle uns.
Nachdem ein Harvester ein Ziel zugewiesen
bekommen hatte, überprüfte er, ob
das gewünschte Auto noch vorhanden
war. Dann synchronisierte er sich mit
der Uhrzeit des Verkaufsservers. Je näher
der Moment des Verkaufs rückte, umso
genauer lief die Zeitsynchronisation.
Gleichzeitig versuchte der Harvester die
Serverlatenz zu messen und abzuschätzen,
wie viele Interessenten die Website
besuchten.
Abhängig davon, wie viele Interessenten
für einen Verkauf gab, schickte ein
Harvester genau getimte Kaufanfragen.
War viel los, sendete er ein Gebot vielleicht
schon fünf Sekunden vor Verkaufsschluss.
Meistens aber passierte das noch
näher zum Verkaufsende. War das Gebot
erfolgreich, kümmerte sich der Harvester
um die Bezahlung und arrangierte die
Überführung des Autos.
Abbildung 1: Aufbau eines kommerziellen Botnetzes.
Die meisten einzelnen Versuche des Botnetzes,
einen Wagen zu kaufen, waren erfolglos,
aber zusammengenommen hatte
es eine Erfolgsquote von 95 Prozent. Das
ist insbesondere bemerkenswert, wenn
man sich daran erinnert, dass man von
Hand kaum ein Auto kaufen konnte. Mit
dem Sniper-Botnetz konnte mein Kunde
praktisch jedes Auto bekommen, das
er sich wünschte, und ich musste ihn
manchmal daran erinnern, nicht zu viel
zu kaufen.
Das Botnetz war bereits über ein Jahr gelaufen
und hatte dabei Autos im Wert von
einigen Millionen US-Dollar gekauft, als
wir entdeckten, dass wir offensichtlich
in Konkurrenz zu einem anderen Botnetz
standen. Das führte zu einem Wettstreit
der Technologien und Programmierer
und letztlich dazu, die Zeitsynchronisation
unseres Botnetzes zu verbessern.
Am Ende dieses Prozesses lag unserer
Botnetz wieder vorne.
Innenleben
Auch wenn die Programmierung eines
Botnetzes auf den ersten Blick vielleicht
kompliziert erscheinen mag, ist sie relativ
simpel, wenn man sie in Teilaufgaben zerlegt.
Vereinfacht wird die Aufgabe durch
eine Reihe praktischer Open-Source-
Tools, die ich für diesen Zweck entwickelt
habe und die unter [2] zum Download
bereitstehen. Sie setzen wiederum einige
PHP-Bibliotheken voraus, die etwa dabei
helfen, Websiten zu downloaden, Text zu
parsen, Bilder zu verarbeiten, Webcrawler
zu schreiben und mit E-Mail-Servern
zu kommunizieren.
Die Harvester laden nicht nur
die Inhalte von der Originalsite
herunter, sondern rufen
auch ihre Tasks vom zentralen
Server per HTTP ab. Mit
der Bibliothek »LIB_http« lässt
sich das recht einfach bewerkstelligen.
Der Code in Listing
1 zeigt ein Beispiel.
Ist eine Website heruntergeladen,
geht es darum, die wichtigen
Informationen aus der
Suppe von HTML-Code und
unwichtigem Text herauszufiltern.
Bei der Kommunikation
zwischen Harvester und Server
habe ich dafür ein XML-
Format verwendet, wie es in Listing 2
zu sehen ist.
In PHP gibt es eine ganze Reihe von Möglicheiten,
XML-Dokumente zu parsen.
Besonders einfach geht es aber mit der
Bibliothek »LIB_PARSE«, die in Listing
3 verwendet wird, um die Informationen
aus Listing 2 zu extrahieren.
XML und HTML
Das Beispiel zeigt zwei der nützlichen
Funktionen der »LIB_PARSE«. So gibt die
Funktion »return_between()« einfach den
Inhalt eines XML-Elements zurück, das
von zwei Tags eingeschlossen ist. Der
Schalter »EXCL« legt fest, dass die Funktion
nur den Inhalt zurückgibt, aber nicht
die Tags. Zum gegenteiligen Verhalten
führt der Schalter »INCL«.
Die andere in Listing 3 verwendete
Funktion ist »parse_array()«. Sie erzeugt
ein Array aus allen Zeichen, die zwischen
zwei Tags stehen. Im Beispiel ist dies
die Vehicle Identification Number. Auf
normalen Webseiten lässt sich »parse_
array()« dazu verwenden, zum Beispiel
Tabellen-Zellen, Hyperlinks oder Bild-
01
Listing 2: Task für Harvester
02 purchase
03 somewebsite.com
04 clientname
05 supersecret
06
07 192KF8Q2MSJE8T921
08 192KF8IWECOWIMCE3
09 192KF0032HJS002AS
10
11
www.admin-magazin.de
Admin
Ausgabe 02-2013
115

Programmieren
Botnetz
01
Listing 4: HTML parsen
02 include('LIB_parse.php'); //
include the parsing code from library
03
04 $td_array = parse_array($raw_data, "

Sonderteil
Auf der folgenden Seite startet der regelmäßige
FreeX-Sonderteil des ADMIN-Magazins. Hier finden
Sie Know-how-Artikel und Workshops von erfahrenen
Autoren aus der langen Tradition der FreeX.
eGutenberg.........................118
Der lange Weg zum eigenen eBook im ePub-Format
mit Open-Source-Tools.
Testlabor . ........................ 126
Viel Kritik musste die neue Fedora-Version einstecken.
Dafür bringt sie eine Menge neuer Linux-Features
mit, die einen Blick in die Zukunft erlauben.
© yewkeo, 123RF
www.admin-magazin.de
Admin
Ausgabe 02-2013
117

ePub
© Franck Boston, 123RF
Drei Schritte zum eBook
eGutenberg
Die Distribution elektronischer Bücher im PDF-Format ist genaugenommen
veraltet. Wer Dokumente verteilen will, sollte stattdessen oder wenigstens
zusätzlich eine ePub-Datei anbieten, die man ohne jeden Kosteneinsatz
generieren kann. Rosa Riebl und Jörg Braun
In der Vergangenheit wurden Dokumente
entweder für den Druck oder die
Veröffentlichung im Web geschrieben.
Beide Ziele sind miteinander vereinbar:
Eine für den Drucker aufbereitete Datei
im PDF-Format kann am Bildschirm gelesen
und eine HTML-Seite ausgedruckt
werden.
Die für die elektronische Distribution und
insbesondere den Druck bevorzugte PDF-
Datei stellt sich aber schnell als ungeeignet
heraus, wenn man sie auf einem
kleinen Bildschirm lesen will. Das gilt es
heute zu berücksichtigen, denn Geräte
mit Bildschirmdiagonalen zwischen 4
und 10 Zoll haben bei den Verkaufszahlen
die Notebooks überholt. Die sorgfältig
für das A4-Format entworfene PDF-Datei
mit 10 Punkt großer Schrift ist auf Geräten
mit Bildschirmdiagonalen von weniger
als 9 Zoll unbrauchbar, wie sich beim
Versuch, sie auf einem eReader zu lesen,
sehr schnell herausstellt.
Etwas besser sieht es mit der geräteunabhängigen
Darstellung von HTML-Dateien
aus. Dieses Format krankt jedoch an der
systembedingten Schwäche aller Webseiten,
nämlich der schlechten Handhabbarkeit
bei der Weitergabe. Bilder und
Stilinformationen sind vom Text getrennt,
was bedeutet, dass jeweils eine ganze
Ordnerstruktur distribuiert und beim Leser
ausgepackt werden muss. Erschwerend
kommt hinzu, dass die meisten
reinen eBook-Reader anders als Tablet-
PCs HTML-Dateien nicht oder nur sehr
eingeschränkt interpretieren können und
oft deren Anzeige verweigern.
Aus diesen Gründen sollte man elektronisch
zu verteilende Texte möglichst im
universellen ePub-Format anlegen. ePub-
Dateien sind gezippte Archive mit einer
definierten Verzeichnisstruktur ähnlich
wie die Textverarbeitungsformate ODF
und DOCX. Sie werden von allen Kompaktlesegeräten
angezeigt und können
problemlos in andere Sonderformate für
elektronische Lesegeräte überführt werden.
Nicht ganz
geräteunabhängig
Wer ePub-Dateien generieren will, muss
sich zunächst einmal von der Vorstellung
des klassischen Seitenaufbaus von
Büchern und Zeitschriften und damit
auch von der Struktur der PDF-Dateien
verabschieden. Die Verwandtschaft mit
Webseiten wird durch mehrere Faktoren
deutlich: Die Texte sind in der Datei im
XHTML-Format abgelegt, sie werden mit
einem externen Stylesheet (einer typischen
CSS-Datei) formatiert, und alle
Bilder werden in einem gesonderten
Verzeichnis im internettypischen JPEG-
Format abgelegt.
Ziel der ePub-Dateien ist eine weitgehend
geräteunabhängige Distribution. Ganz
geräteabhängig kann sie nie sein, denn
was für die 4,3-Zoll-Anzeige eines Trek-
Stor Papyrus mini mit 16-Graustufen in
E-Ink-Darstellung ideal ist, wirkt auf dem
9,7-Zoll-Farbdisplay eines iPad 4 oder 5
keineswegs passend (und natürlich umgekehrt).
Nur bei richtiger – möglichst
minimalistischer – Definition gleicht das
Lesegerät die Schriftgröße für eine optimale
Darstellung an.
Tabelle 1 zeigt die Elemente einer ePub-
Datei im Überblick. Im Hauptverzeichnis
befinden sich weiterhin eine Datei mit
118 Ausgabe 02-2013 Admin www.admin-magazin.de

ePub
Formate für die elektronische Distribution
Es gibt neben den hier angesprochenen Dateiformaten
ePub, HTML und PDF noch eine ganze
Reihe von Alternativen. Dateien mit der Endung
».mobi« der Mobipocket-Dateien für das Amazon
Kindle, das keine ePub-Dateien verarbeitet,
sind fast eins zu eins mit den ePub-Dateien synchronisierbar
und deshalb als „Abfallprodukt“
mit den hier geschilderten Mitteln erzeugbar.
Ein anderes modernes Format ist Djvu [13],
das seitenorientiert und deshalb eher mit PDF
zu vergleichen ist und mit Calibre nicht genutzt
werden kann.
Beim Verfassen von Texten, die später als
ePub-Dateien veröffentlicht werden, sind
einige Dinge zu beachten. An erster Stelle
muss strikt mit Formatvorlagen gearbeitet
werden. Wurden den Textelementen
Schriftarten, Schriftgrößen und Auszeichnungen
direkt zugewiesen, gehen diese
beim Umwandeln verloren. Das Formatieren
von Textelementen ohne Formatvorlagenzuweisung
ist genauso tabu wie
bei auf CSS-Dateien basierenden Webseiten.
An den Standardformaten sollte man
tunlichst nichts ändern. Man kann zwar
grundsätzlich versuchen, seine eigenen
Layoutvorstellungen zu übertragen, der
Erfolg wird aber sehr begrenzt sein. Das
Writer-Plugin überträgt nämlich die Standard-Formate
von Writer nur in eigene
Standarddefinitionen wie »h1«, »h2«,
»h3« und »p«. Diese sind dann natürlich
nicht wie erwartet formatiert. Möchte
man diese globale Zuweisung umgehen,
muss man mit benutzerdefinierten Fordem
Manifest (»content.opf«) des Buchs,
das die Dokumentenliste enthält, und ein
Inhaltsverzeichnis (»toc.ncx«), beide sind
im XML-Format.
Es gibt mehrere Möglichkeiten, ein Dokument
möglichst professionell ins ePub-
Format zu überführen. Ein Weg führt
über die entsprechenden Exportfilter
der beiden nicht ganz billigen Layoutprogramme
Adobe InDesign und Quark
XPress. Alternativen dazu finden sich in
der Open-Source-Welt. Wie so oft muss
man dann aber mehrere Programme mit
ergänzenden Funktionen installieren, die
Ergebnisse etwas nacharbeiten und außerdem
etwas mehr Hintergrundwissen
mitbringen als der zahlende Profi, der
in seiner Software nur einen Knopf zu
drücken braucht.
Dieser Artikel stellt den Arbeitsablauf
mit einer Kombination der Programme
Apache OpenOffice oder LibreOffice, Sigil
und Calibre vor. Hinzu kommen noch
einige kleinere Hilfsmittel, darunter ein
OO-Plugin und ein Firefox/​Seamonkey-
Addon. Alle Programme sind direkt und
in aktuellen Versionen für Windows,
FreeBSD und MacOS X Mountain Lion
verfügbar, bei einem Teil der Linux-Distributionen
und bei älteren Versionen von
MacOS ist es etwas schwieriger, weil es
keine aktuelle Binärversion von Sigil gibt
und man dann mit einer älteren Version
vorliebnehmen muss.
Zuerst schreiben
Geschrieben wird das Dokument in
Apache OpenOffice oder LibreOffice. Wer
das nicht möchte, kann es auch in einer
beliebigen anderen Textverarbeitung
verfassen, in das Writer-Modul importieren
und ins ODT-Format umwandeln.
Das Comic-Book-Format (CBR, siehe [14]) besteht
nur aus Seiten mit zusammengefügten
Bildern und ist für Texte ungeeignet. Eine Zeitlang
waren ».lit«-Dateien für den inzwischen
eingestellten Microsoft-Reader in Gebrauch, sie
spielen heute aber keine Rolle mehr. Die Textverarbeitungsformate
ODT, DOC, DOCX und RTF
sind für Reader ungeeignet, weil ihre Interpretation
schwierig ist. Alle Reader können reine
ASCII-Texte in verschiedenen Zeichenkodierungen
lesen, aber Bilder und Textauszeichnungen
sind dabei natürlich nicht möglich.
Ordner
Text
Styles
Images
Fonts
Audio
Video
Misc
Tabelle 1: Die Ordner einer ePub-2-Datei
maten arbeiten, die unbedingt das Präfix
»w2e_« erhalten müssen. Alle anderen
benutzerdefinierten Formate werden verworfen
und durch die Standardformatvorlage
ersetzt.
Man muss natürlich beachten, dass
man keine Standardnamen erzeugt –
die Extension macht beispielsweise aus
»w2e_center« einen Stil »center«, der
dann wieder zur normalen Stilvorlage
desselben Namens wird. Man hat dann
nichts gewonnen. Welche Formate vorbelegt
sind, sieht man am besten bei einem
Probelauf.
Wichtig beim Schreiben von ePub-Dateien
ist, dass man nicht mit Textseiten
plant, denn der Seitenumbruch wird vom
Anzeigegerät später dynamisch gesetzt.
ePub-Dateien müssen in Kapiteln aufgebaut
werden, und der Text muss deshalb
hierarchisch gegliedert sein. Spielereien
wie mehrspaltiger Satz dürfen nicht definiert
werden. Leerzeilen zur Trennung
von Textabschnitten sind unerwünscht,
weil sie später den Lesefluss stören können
oder zu Irritationen führen, wenn
sie sich am oberen Seitenrand befinden
oder wenn sie zu ungewollten Leerseiten
führen.
Ein besonderes Problem stellen Fußnoten
dar, sie gibt es nämlich in ePub-Dateien
nicht (es gibt ja auch keine Seiten!). Fußnoten
des Originaldokuments werden
deshalb bei ePub-Dateien in Endnoten
umgewandelt und im Text entsprechend
verlinkt. Viele eBook-Reader können
aber mit Hyperlinks nichts anfangen, es
wird ja ein gedrucktes Buch emuliert und
Inhalt
Die eigentlichen Kapitel im XHTML-Format, jede Datei und damit jedes Kapitel dürfen
nicht größer sein als 300 KByte. Die Dateien erhalten automatisch die Endung .xhtml.
Enthält die Datei Fußnoten, stehen sie gesondert in der Datei »footnotes.xhtml«.
Das Stylesheet, möglich sind auch mehrere CSS-Dateien zum Beispiel für Anzeige und
Druck. Der beziehungsweise die Namen sind beliebig, die Endung lautet ».css« (bei
Writer2ePub ist der Name »style001.css« vorgegeben). Auf diese Datei wird in den
XHTML-Dateien verwiesen.
(Optionale) Bilder in der Datei, von Writer2ePub im Jpeg-Format exportiert. Grundsätzlich
dürfen die Jpeg-Dateien wahlweise (auch gemischt) die Endungen ».jpg« oder
».jpeg« erhalten, weiterhin sind auch GIF- und PNG-Dateien möglich. Hier in dieses
Verzeichnis gehört auch eine (optionale) Bilddatei für das Titelblatt.
Sind in der Datei besondere Schriften definiert, empfiehlt es sich dringend, sie in der
Datei mitzuliefern, denn nur dann können Geräte, bei denen die definierte Schrift nicht
installiert ist, den Text richtig darstellen.
Hier werden in die Datei eingebettete Audiodaten abgelegt.
Hier werden in die Datei abgelegte Videos abgespeichert.
Was sonst nirgends hinpasst, befindet sich in diesem Ordner. Er ist in der Regel leer.
www.admin-magazin.de
Admin
Ausgabe 02-2013
119

ePub
nicht eine Webseite dargestellt. Das Lesen
der Endnoten artet in diesen Fällen
für den Leser in umständliches Hin- und
Herblättern aus.
Fußnoten sollte man deshalb vermeiden
und ergänzende Informationen, die man
sonst in Fußnoten untergebracht hätte
(vielleicht in Klammern gesetzt), besser
in den normalen Text integrieren. Auch
die diversen Automatismen einer Textverarbeitung
werden nicht umgesetzt;
wer Bilder in den Text integriert und die
Bildnummern automatisch vergeben lässt
und dann im Text auch noch dynamisch
verlinkt, wird später feststellen, dass dies
zu Fehlern in der Datei führt.
Auch eine automatische Nummernvergabe
der Kapitel ist nicht implementiert.
Überschriften werden mit den Formaten
»h1«, »h2« und so weiter markiert
und mit größerer Schrift in der Zeile
zentriert.
Gut gegliedert
Die sinnvolle Zuordnung der Überschriften
und die Gliederung der Textes ist
– das kann nicht genug betont werden
– besonders wichtig. Aus den Überschriften
enststeht nicht nur automatisch das
Inhaltsverzeichnis, vor den Überschriften
wird außerdem auch die Datei in
logische Einheiten geteilt. Da die einzelnen
XHTML-Dateien nicht größer als
300 KByte sein dürfen, ist die sinnvolle
Gliederung des Texts um so wichtiger.
Worttrennungen in ePub-Dateien sind dagegen
unerwünscht. Die Trennhilfe kann
abgeschaltet bleiben, manuelle Trennungen
am Zeilenende womöglich mit einem
Minus-Zeichen unterlässt man, weil sich
diese Trennungen später zum Teil unweigerlich
mitten in einer Zeile befinden und
den Leser stören werden. Große Wortabstände
vermeidet man besser, indem
man später die Definition in der Formatvorlage
»p« von Blocksatz (»text‐align:
justify;«) auf linksbündig (»text‐align:
left;«) ändert.
Diese Hinweise sollen verhindern, dass
man bei späteren Schritten intensiv nacharbeiten
muss. Sie zeigen aber auch, dass
das Schreiben von ePub-Dateien mehr
Disziplin erfordert als das saubere Aufbereiten
einer Datei für den Druck beziehungsweise
die Weitergabe im PDF-
Format.
Spätestens wenn der erste für das ePub-
Format vorgesehene Text geschrieben
oder in Open-/​LibreOffice vorbereitet ist,
sollte das Plugin Writer2ePub von [2]
oder [3] heruntergeladen und mit dem
Extensions Manager (Menü »Extras | Extensions
Manager«) installiert werden.
Writer2ePub ist gleichermaßen für das
alten OpenOffice.org 3.x, für LibreOffice
und Apache OpenOffice.org geeignet.
Die Erweiterung ist in Basic geschrieben,
plattformunabhängig und benötigt
auch keine Java-Umgebung. Um sie zu
nutzen, muss man nach der Installation
die Office-Anwendung neu starten. Es
ist dann eine neue Symbolleiste mit drei
Symbolen links oben unter dem Dateimenü
zu sehen.
Erster Durchlauf
Man sollte zuerst die Metadaten für die
ePub-Distribution mit der mittleren der
drei Schaltflächen eintragen. Hier sind
der Name des Buches und des Autors am
wichtigsten. Die linke der drei Schaltflächen
(siehe Abbildung 1) legt die ePub-
Datei an. Vergisst man vorher die Angabe
der Metadaten, ist das nicht schlimm,
der Metadatendialog wird dann vor dem
Schreiben der ePub-Datei automatisch
angezeigt.
Jeder Lauf von Writer2ePub gibt ein Protokoll
aus. Der oberste Button (der verunglückten
Beschriftung »CommandButton«)
schließt das Protokollfenster. Links
daneben ist die abgelöste Symbolleiste
von Writer2ePub zu sehen, sie enthält
oben den Schalter für den Lauf zum Generieren
der Datei, darunter den für die
Eingabe der Metadaten (Name, Autor und
so weiter). Mit dem untersten Schalter
wird Writer2ePub konfiguriert (es wird
der rechts gezeigte Dialog geöffnet)
Die Erweiterung weist auf einige grobe
Fehler wie die Definition zusätzlicher
Formatvorlagen hin, außerdem verlangt
sie bei einer Datei im falschen Format wie
RTF und DOC, das Dokument zuerst im
ODT-Format zu speichern. Auch bei einer
im Speicher gegenüber der Festplatte
veränderten Datei wird man aufgefordert,
den Text erst noch einmal zu speichern.
Selbst bei recht sorgfältiger Arbeit ist
nicht unbedingt sichergestellt, dass nach
dem Writer2ePub-Lauf alles passt. Meist
müssen Formate korrigiert und Fehler
beim Schreiben der Daten behoben werden.
Ein typischer Fehler von Writer2ePub betrifft
die Anzeige von Bildern. Hat man
eine eigene Formatvorlage beispielsweise
mit dem Namen »Bild« für PDFs definiert,
die bei der ePub-Datei ignoriert werden
soll, stellt man fest, dass jetzt den Bildern
eine in der ePub-Datei unbekannte
Style sheetklasse »sg‐1« zugeordnet ist,
die entweder erst von Hand angelegt oder
aus den XHTML-Dateien entfernt werden
muss. Genauso gravierend sind Fehlleistungen
des Plugins bei Bildgrößen mit
»style="height:1em"«.
Abbildung 1: Der unterste Button des Protokollfensters öffnet die Writer2ePub-Einstellungen.
120 Ausgabe 02-2013 Admin www.admin-magazin.de

ePub
ePub und MS-Office?
Wer anstelle von Open/​Libre Office Microsoft
Office als Bürosoftware bevorzugt, sollte
trotzdem ebenfalls den hier beschriebenen
Weg gehen. Es besteht zwar die Möglichkeit,
unter [http:// www. epubconverter. org] kostenlos
eine maximal 5 MByte große DOCX- (oder
PDF-Datei) online in eine ePub-Datei umwandeln
zu lassen, und bei den Sicherheitshinweisen
auf der Seite wird auch behauptet,
die Dateien würden weder betrachtet noch
gespeichert – aber wer will das bei einer Webseite
garantieren, aus deren Impressum nicht
einmal der Betreiber ersichtlich ist?
Die Anzeige der Bilder stellt grundsätzlich
ein Problem dar, das anschließend
im ePub-Editor behoben werden muss.
Natürlich verhält sich aber jeder Text
anders: Es macht einen Unterschied,
ob man beispielsweise einen Text von
Microsoft Office importiert oder ihn von
vornherein mit dem Augenmerk auf den
ePub-Export in Writer schreibt.
Verifikation und Validierung
Die Fehlerkontrolle wird im Programm Sigil
durchgeführt. Sigil ist ein komfortabler
ePub-Editor mit Open-Source-Lizenz,
lässt sich in der Windows-Version von
[4] herunterladen und direkt unter Windows
XP bis Windows 8 mit der heruntergeladenen
Exe-Datei installieren. Für
MacOS gibt es eine aktuelle DMG-Datei,
sie läuft aber nur auf 64-Bit-Systemen
und der neuesten MacOS-X-Version. Wer
ein älteres MacOS X installiert hat, muss
deshalb auf eine veraltete Version zurückgreifen.
Bei FreeBSD ist Sigil in den
Ports (unter »textproc/sigil«) in der recht
aktuellen Version 0.6.0 enthalten.
Ausgerechnet bei einigen Linux-Distributionen
steht man bei der Installation dieses
Open-Source-Programms vor einem
Problem. Sigil ist in aktueller Version bei
Fedora 17 und in veralteter bei Mandriva
2011 enthalten, fehlt aber komplett bei
Open Suse 12.1, Debian 6 und Ubuntu
12.04. Man kann theoretisch versuchen,
bei diesen Distributionen das Programm
aus den Quellen selbst zu kompilieren.
Wegen seiner Abhängigkeiten ist das aber
nicht ganz einfach und, was die aktuelle
Version betrifft, auch bei nur minimal älteren
Distributionen nicht möglich, weil
die Entwicklerpakete der Qt-Version 4.8
zwingend installiert sein müssen.
Da die Windows-Version unter Wine
auch einen Fehler produziert, bleibt bei
Linux-Distributionen, bei denen sich Sigil
nicht im Repository befindet, nur übrig,
eine etwas ältere Version von [5] zu installieren.
Die neueste Binärversion 0.5.3
der Vorserie ließ sich unter Open Suse
12.1/​i386 erfolgreich installieren und betreiben.
Noch ältere Versionen gibt es als
RPM-Archive, deren Installation macht
aber keinen Sinn. Die für Fedora ausgelegten
RPM-Dateien des Projekts zeigten
bei Open Suse außerdem den Effekt, dass
sie das Betriebssystem zwangen, alle
früher gelöschten unerwünschten Programme
aus der Basisinstallation wieder
Abbildung 2: Das Einbinden von Bildern mit Writer2EPub ist problematisch und klappt von Haus aus meist
nicht, wie hier in der Sigil-Version 0.6 unter FreeBSD zu sehen ist.
neu vom Open-Suse-Server nachzuinstallieren.
Es kann vor diesen alten Dateien
unter Linux also nur gewarnt werden.
Die Installation von Sigil 0.5.3 unter
Open Suse 12.1 ist sehr einfach. Unter
dem Link [5] wählt man im Suchfeld
»All downloads« aus, trägt im Eingabefeld
»for« den Suchbegriff »Linux« ein
und beginnt anschließend die Suche mit
Druck auf die Schaltfläche »Search«. Es
gibt 32- und 64-Bit-Dateien, man sollte
die jeweils passende für die Plattform
herunterladen.
Problemkind Sigil
Bei den angebotenen Downloads handelt
es sich um an Windows erinnernde
Installationsprogramme, die nach dem
Download ausgeführt werden und dafür
ein Ausführen-Attribut erhalten müssen.
Beim Start aus dem aktuellen Verzeichnis
darf man das »./« vor dem Dateinamen
nicht vergessen. Startet man die Installation
mit normalen Anwenderrechten,
wird eine lokale Installation nach »/
home/Username/sigil« vorgeschlagen,
vorheriges Wechseln zum Root-Account
mit »su« oder »sudo« führt zu einer globalen
Installation mit dem voreingestellten
Ziel »/opt/sigil«.
Sigil ist ein kompletter ePub-Editor. Man
kann damit eBooks auch direkt schreiben,
auf [6] wird ein Template zum Download
angeboten, in das man Texte schreiben
beziehungsweise über die Zwischenablage
einkopieren kann. Hier wird in Sigil
aber nur nachgearbeitet und die Fehler
des Writer-Plugins werden entfernt.
Die von Writer2ePub angelegte Datei
wird über das Dateimenü in Sigil geladen.
Links ist die Ordnerstruktur des Buchs zu
sehen, in der Mitte der Text selbst, darunter
auf Wunsch der Quelltext. Rechts
befindet sich das von Writer2EPub generierte
Inhaltsverzeichnis Hier sollte zuerst
die Gliederung des Texts im rechten
Fenster überprüft werden. Writer2ePub
setzt die ursprüngliche Gliederung sehr
gut um. Fehler an dieser Stelle sollten
man deshalb nicht in Sigil beheben. Man
schließt besser den Editor, lädt die ODT-
Datei in Writer und gliedert den Text mit
dem Navigator (Menü »Ansicht | Navigator«
oder Taste [F5] neu) und schreibt danach
eine neue ePub-Datei. Fehler sollten
dort beseitigt werden, wo sie auftreten.
www.admin-magazin.de
Admin
Ausgabe 02-2013
121

ePub
01 p {
In Sigil muss die fehlerhafte Anzeige von
Bildern (siehe Abbildung 2) repariert
werden. Die Korrektur ist durch Anpassen
beziehungsweise Löschen der den
Bildern zugewiesenen Stilvorlage sehr
einfach. Die unterschiedlichen Anzeigen
des Texts in der Mitte erreicht man im
Übrigen mit den Schaltflächen darüber
ganz oben in der Symbolleiste. Hier lässt
sich zwischen einer Buch-Ansicht, einer
Vorschau und einer Quelltextansicht
wechseln.
Bei der »Vorschau« wird der Textbereich
in der Mitte noch einmal geteilt. Passt die
Anzeige augenscheinlich (hierbei sollte
man daran denken, dass Sigil ein Editor
und kein Anzeigeprogramm ist, die Textdarstellung
selbst ist nur angenähert),
muss noch das XHTML validiert werden
(siehe Abbildung 3).
Testen
Die XHTML-Validierung wird bei Sigil im
Werkzeuge-Menü (beziehungsweise mit
[F7]) aufgerufen. Abbildung 3 zeigt, dass
die Querverweise und automatischen
Bildnummern in dieser ursprünglich in
Microsoft Word verfassten Datei nicht
übernommen werden konnten und bei
der Validierung abgelehnt werden. Damit
dieses Problem nicht bei jedem Generieren
der Datei neu auftritt, und um
sinnvolle fortlaufende Bildnummern zu
erhalten, muss die automatische Nummernvergabe
in Writer durch fest eingetragene
Nummern ersetzt werden und
die dann eben generierte ePub-Datei neu
nach Sigil geladen werden. Die Validierung
sollte vor dem nächsten endgültigen
Arbeitsschritt fehlerfrei verlaufen.
Was der Blick in den rechten Bereich
mit dem automatischen Inhalt darüber
Listing 1: CSS-Formatdefinition
02 font‐family : "Georgia", serif;
03 font‐weight : normal;
04 font‐style : normal;
05 font‐size : 1.17em;
06 text‐decoration : none;
07 font‐variant : normal;
08 line‐height : 1.29;
09 text‐align : center;
10 color : #000000;
11 text‐indent : 0px;
12 margin : 2em 0 0 0;
13 }
Abbildung 3: Mit Sigil wird die ePub-Datei validiert. Hier im Beispiel unter Windows 8 werden die ursprünglich
in MS Word angelegten Querverweise und automatischen Bildnummern abgelehnt.
hinaus verrät, ist, dass – wie bereits erwähnt
– das automatische Zählen der
Überschriften ebenfalls nicht vorgesehen
ist. Automatisch zugewiesene Kapitelnummern
gehen genauso verloren wie
alle eigenen Anpassungen der Standard-
Formate von Writer. Links ist aber ein Bereich
»Fonts« gezeigt (siehe auch Tabelle
1), der von Writer2ePub nicht genutzt
wird. Hier kann man Schriften einkopieren,
die man anschließend den Formaten
Schriftdefinitionen
Es ist nicht nötig, in ePub-Dateien Schriften
zu definieren. Je nach Gerät wird der Text
ohne Definitionen immer möglichst gut lesbar
dargestellt. Sollen die Voreinstellungen überschrieben
werden, lässt sich die Schriftfamilie
mit der Definition »font‐family:« für jede
Stylesheet-Klasse festlegen. Für die serifenbehaftete
Schrift gibt man »serif« oder »Times«,
für serifenlose »sans‐serif« oder »Helvetica«
und für dicktengleiche »monospace« an (immer
ohne Anführungszeichen um die Namen). Auf
diese Weise lässt sich ein Text schon sehr gut
gliedern.
Möchte man besondere Effekte erzielen, muss
man die Schrift direkt angeben. Dabei ist zu
beachten, dass – wenn die Fontdatei nicht in die
ePub-Datei übernommen wird – auch immer, wie
in Listing 1 gezeigt, eine Standard-Ersatzschrift
definiert werden sollte.
Der nächste Schritt des Komforts für den Leser
wird dann erreicht, wenn man die Schriften
gleich mit in die Datei integriert. Das ist nötig,
wenn Sonderschriften wie beispielsweise Fraktur
benötigt werden oder wenn man die Darstellung
der Schrift genau kontrollieren will. Dann
ist der Arbeitsaufwand erheblich größer.
in der CSS-Datei zuweist. Eine solche typische
Formatierung könnte so aussehen
wie Listing 1.
Die in Listing 1 gezeigte Definition wurde
in Adobe Indesign geschrieben. Die meisten
Angaben sind überflüssig, darunter
beispielsweise auch die Schriftfarbe
Schwarz. Schriftgrößen, Ränder und Einrückungen
werden in den ePub-Dateien
in em-Einheiten definiert, Genaueres
dazu kann in [12] nachgelesen werden.
Zuerst muss die Schrift als TTF- oder OTF-Datei
in die ePub-Datei eingebettet werden. Im Kontextmenü
des Ordners »Fonts« wählt man dafür
den Punkt »Bestehende Dateien hinzufügen...«
und kopiert dann alle benötigten Schriften von
der Festplatte hinein. Im zweiten Schritt müssen
die Schriften und zwar je nach Bedarf für Normal-,
Fett- und Kursivschrift in allen betroffenen
Stylesheets bekanntgegeben werden.
Bei einer Freeware-Fraktur, die die Namen
»LeipzigFrakturNormal« und »LeipzigFrakturBold«
hat und aus den beiden (gegenüber
den Originalen umbenannten) Dateien »leipzig.
otf« und »leipzigb.otf« besteht[16], sieht der
Eintrag in der »style001.ccs« so aus wie in Listing
2. Mit den hier festgelegten Namen kann
die Schrift in den Klassen referenziert werden
(Listing 3).
Dafür wurde in OpenOffice die Formatvorlage
»w2e_Fraktur« definiert, auch wenn Writer2e-
Pub die Schriftdefinition nicht überträgt. Aber
natürlich kann man auch ein ganzes Buch mit
dieser Frakturschrift ausliefern. Der Text muss
dann allerdings für die Schrift weiter aufbereitet
und bei der Fraktur speziell das End-S
überall richtig definiert werden.
122 Ausgabe 02-2013 Admin www.admin-magazin.de

ePub
Writer2ePub schreibt automatisch eine
große Zahl von Klassen in die CSS-Datei,
Sigil erleichtert das Löschen der unbenutzten
Stylesheet-Klassen. Man sollte in
jedem Fall die CSS-Datei bereinigen, indem
man das Menü »Werkzeuge | Lösche
unbenutzte Stylesheet‐Klassen« aufruft.
Die Grundarbeiten in Sigil sind damit
abgeschlossen. Natürlich sollte man Verschönerungen
nur anbringen, wenn die
Bearbeitung der Datei in Writer endgültig
abgeschlossen ist. Es sei noch einmal
betont, dass man Fehler im Text nicht
in Sigil, sondern in der Textverarbeitung
beheben sollte.
Wer außerdem beim Validieren unsicher
ist, ob die Überprüfung in Sigil wirklich
reicht, kann zusätzlich das ebenfalls
kostenlose Programm EPUBCheck
von [9] herunterladen. Es ist ein in Java
geschriebenes Kommandozeilentool und
wird nach dem Auspacken des Zip-Archivs
mit
java ‐jar epubcheck‐3.0.jar Datei
aufgerufen. Man erfährt hierbei nicht
nur, ob die Datei syntaktisch korrekt ist,
sondern außerdem, ob eine ePub-Datei
der Version 2 oder 3 vorliegt. Bei Writer-
2ePub und Sigil ist diese Frage allerdings
schon im vorhinein mit »Version 2« zu
beantworten. Beide Programme schreiben
nicht das neuere ePub 3.0, von dem
ohnehin abzuraten ist, weil es einfachere
Lesegeräte nicht unbedingt fehlerfrei interpretieren.
Der fertigen und validierten ePub-Datei
fehlt jetzt nur noch ein Deckblatt, das
Sigil und Initiale
Kapitelanfänge werden in Büchern und Zeitschriften
gern mit hervorgehobenen Buchstaben
(sogenannten Initialen) eingeleitet. Im
ePub-Format gibt es dies in zwei Ausprägungen,
einmal durch ein vergrößertes Zeichen, das in
der CSS-Datei so definiert wird:
.initial {
font‐size: 1.5em;
}
Dieser Kapitelanfang sieht allerdings nicht besonders
schön aus. Die bessere Hervorhebung
durch ein Initial, das über mehrere Textzeilen
läuft, heißt Dropcap und benötigt eine etwas
komplexere Stilklasse (Listing 4). Leider werden
in der Textverarbeitung definierte Initiale nicht
automatisch in diese Klassen umgesetzt. Bei
Bedarf muss deshalb die CSS-Datei erweitert
man in jedem beliebigen Grafikprogramm
entwerfen kann. Idealerweise
sollte die Grafik im Format 3:4 oder 9:16
und im Hochformat angelegt sein, weil
dieses Größenverhältnis am besten zum
Displayformat der meisten Reader und
Tablets passt. Das Einhalten des Seitenverhältnisses
ist aber keine Pflicht. Im
Prinzip kann jede beliebige Jpeg-Datei
als Titelbild eingezogen werden, was am
einfachsten in der eBook-Verwaltungsanwendung
Calibre geht.
eBuchzentrum
Calibre gibt es für jede nur erdenkliche
Plattform, das Programm ist kein Editor,
sondern stellt eine komplette eBook-Verwaltung
dar. Man kann mit ihm Dateien
auf die Reader-Hardware übertragen,
eBooks vom einen in eine ganze Reihe
anderer Formate überführen, ihre Metadaten
anpassen und auch ein Titelblatt in
die Datei einfügen.
Calibre wird betriebssystemgemäß installiert.
Unter Linux und FreeBSD befindet
es sich im Software-Repository,
unter Windows und MacOS lädt man die
Installationsdatei von [7] herunter und
führt sie aus. Danach startet man das
Programm. Bei diesem ersten Start der
Anwendung wird sie grundkonfiguriert
(die Grundkonfiguration kann aber später
über den Schalter »Einstellungen« und im
anschließenden Konfigurationsdialog mit
der Schaltfläche »Willkommens‐Assistenten
ausführen« auch geändert werden).
Die wichtigste Einstellung im Willkom-
werden und die gewünschte Klasse dem ersten
Buchstaben des normalen Texts im Kapitel mit
der Anweisung »H«
oder »H« zugewiesen
werden. Man sollte sich jedoch ernsthaft
überlegen, ob man Initiale wirklich benötigt,
denn sie werden zwar in ePub, nicht aber in
MOBI-Dateien verarbeitet. Auf dem Kindle sieht
der Kapitelanfang der umgewandelten Datei
dann nicht mehr so schön aus.
Wegen des zusätzlichen Arbeitsaufwands in
Sigil sollte man manuelle Ergänzungen auch
nur in Betracht ziehen, wenn der Originaltext
in Writer nicht mehr geändert werden muss.
Beim nächsten Generieren der ePub-Datei gehen,
solange es keinen Writer-Import-Filter für
ePub-Dateien gibt, bekanntlich alle Änderungen
des letzten Sigil-Laufs verloren.
mens-Assistenten ist die Position im
Dateisystem für die lokale Bibliothek, in
der Calibre alle ihm zugeordneten elektronischen
Bücher verwaltet. Bei der Auswahl
des Readers ist zu beachten, dass
dies Auswirkungen auf die Konvertierung
hat. Belässt man es bei der Voreinstellung,
weil man entweder keinen oder
einen nicht aufgeführten Reader einstellt,
werden alle Farbbilder bei der Konvertierung
wegen des nicht-farbfähigen E-
Ink-Reader automatisch in Graustufen
umgewandelt werden.
Ungewohnt
Die Bedienung von Calibre ist sehr gewöhnungsbedürftig,
das Programm besitzt
keine Menüs. Gesteuert wird es mit
einer Reihe von Icons, die Konfigurationsdialoge
öffnen. Neue eBooks werden
Calibre durch Drag-and-Drop der Dateien
in das Bibliotheksfenster bekanntgegeben
und der Metadatendialog durch Druck
Listing 4: Initiale
01 .dropcap {
02 float: left;
03 font‐size: 3em;
04 line‐height: 0.8em;
05 margin‐right: 3pt;
06 margin‐bottom: ‐0.2em;
07 font‐style: normal;
08 font‐weight: lighter;
09 }
Listing 3: Font-Namen
01 .Fraktur
02 {
03 font‐family : "LeipzigFrakturNormal", serif;
04 font‐size: 1.17em;
05 text‐indent: 1.06em;
06 text‐align: justify;
07 }
Listing 2: Schriftdefinition
01 @font‐face{
02 font‐family: "LeipzigFrakturNormal";
03 font‐weight: normal;
04 font‐style: normal;
05 src:url(../Fonts/leipzig.otf);
06 }
07 @font‐face{
08 font‐family: "LeipzigFrakturBold";
09 font‐weight: normal;
10 font‐style: normal;
11 src:url(../Fonts/leipzigb.otf);
12 }
www.admin-magazin.de
Admin
Ausgabe 02-2013
123

ePub
Abblldung 4: Die Metadatenbearbeitung in Calibre unter Windows XP mit dem Hinzufügen des Titels.
auf den Schalter »Metadatendaten bearbeiten«
aufgerufen. Abbildung 4 zeigt
das Programmfenster unter Windows
XP, es sieht aber auf allen Plattformen
identisch aus. Die untere Hälfte des Metadatendialogs
widmet sich dem bereits erwähnten
Deckblatt, hier wurde nur eine
einfache Grafik ausgesucht, der Schalter
»Umschlagbild erstellen« legt ein Umschlagbild
in den richtigen Dimensionen
mit einem Standard-Calibre-Bild, dem
Namen des Autors und des Buchs an. Es
ist aber besser, den eigentlichen Entwurf
des Titelblatts in einer Grafikanwendung
wie beispielsweise Gimp vorzunehmen.
Der endgültige Dateiname der ePub-Datei
wird von Calibre beim Einsortieren in die
Bibliothek nach der eBook-Norm vergeben
und besteht aus dem Titel des Buchs,
aus den Metadaten und dem Namen des
Autors. Die Originaldatei wird von Calibre
nicht verändert und ist ab sofort
veraltet. Calibre ist auch deshalb wichtig,
weil es einen eBook-Reader enthält, in
dem man sehr viel besser als mit Sigil
das Ergebnis der Arbeiten prüfen kann
Abbildung 5: Der eBook-Betrachter von Calibre (hier unter Mac OS X) ist sehr komfortabel und gibt einen
guten Eindruck von der Datei.
und weil man die Datei damit in weitere
Formate exportiert (Abbildung 5).
Für die Anzeige der Datei gibt es aber
viele weitere E-Reader-Emulatoren, darunter
eine PC-Version des Sony-Readers
[11] und einen Kindle Previewer für PC
von [12]. Sehr empfehlenswert ist weiterhin
das Mozilla-ePub-Addon von [8], das
sogar eine Verwaltung für Online-Bücher
enthält. Für den Kindle muss das Buch
ins mobi-Format umgewandelt werden.
Calibre nimmt die Konvertierung in dieses
und weitere Formate problemlos vor.
Jetzt fehlt nur noch die Übertragung auf
einen oder mehrere eReader für den endgültigen
Test. Das geht auch mit Calibre,
manuelles Kopieren ist aber erheblich bequemer,
insbesondere wenn die Bücher
auf dem Lesegerät strukturiert abgelegt
sein sollen. (ofr)
n
Infos
[1] ePub-Standard: [http:// idpf. org]
[2] Writer2ePub: [http:// lukesblog. it/ ebooks/​
ebook‐tools/ writer2epub]
[3] Writer2ePub bei Apache OpenOffice:
[http:// extensions. openoffice. org/ en/​
project/ Writer2ePub]
[4] Sigil: [https:// code. google. com/ p/ sigil/]
[5] Binäre Sigil-Downloads für Linux: [http://​
code. google. com/ p/ sigil/ downloads/ list]
[6] Sigil-Dokumentation: [http:// www.​
kraussverlag. de/ sigil‐auf‐deutsch. htm]
[7] Calibre: [http:// calibre‐ebook. com]
[8] ePubReader für Firefox und Seamonkey:
[http:// www. epubread. com/ de/]
[9] EPUBCheck:
[http:// code. google. com/ p/ epubcheck/]
[10] Sony Reader für Windows und
Mac OS X: [http:// www. sony. de/ hub/​
reader‐library‐software]
[11] KindleGen: [http:// www. amazon. com/ gp/​
feature. html? ie=UTF8& docId=1000765211]
[12] Angaben zur Schriftgrößeneinheit „em“:
[http:// de. wikipedia. org/ wiki/ Em_(Schriftsatz]
[13] DJVU-Reader:
[http:// djvu. sourceforge. net/]
[14] Windows-Reader für verschiedene Comic-
Book-Formate:
[http:// www. cbrreader. com]
[15] Wikipedia-Seite zu ePub: [http:// de.​
wikipedia. org/ wiki/ EPUB]
[16] Leipzig-Fraktur: [http:// www. myfont. de/​
download. php? winfont=leipzig‐fraktur&​
type=zip]
124 Ausgabe 02-2013 Admin www.admin-magazin.de

JETZT
MIT DVD!
MAGAZIN
Sonderaktion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
Gewinnen Sie...
eines von zwei tollen Gadgets (das Los entscheidet)
Einsendeschluss ist der 15.03.2013

© Anna Ivanova, 123RF
Fedora 18 als Server-Distribution
Testlabor
Fedora ist eine richtungsweisende Distribution, gibt sie doch den Takt für
künftige Entwicklungen in Red Hat Enterprise Linux vor. Administratoren
sind, ob sie Fedora nutzen oder nicht, gut beraten, einen Blick auf die aktuellen
Innovationen der Fedora-Distribution zu werfen. Thomas Drilling
Das neueste Fedora-Release musste mit
mehr als zwei Monaten Verspätung ins
Rennen um die Gunst der Anwender gehen.
Dass sich Fedora 18 nach ersten
Tests je nach Einschätzung als „extrem
buggy“ oder „völlig unbrauchbar“ erwies,
hat die Situation kaum verbessert.
Die Kritik bezieht sich aber vorrangig auf
den Desktop-Einsatz und dort vor allem
auf Fehler in der neuen Gnome-Version
3.6.2, sowie den massiv überarbeiteten
Anaconda-Installer. Unter der Oberfläche
finden sich eine ganze Reihe von Neuerungen,
die für ambitionierte Anwender
und Administratoren von Interesse sind.
Desktops nach Wahl
Aus Sicht von Admins und Entwicklern
bietet Fedora 18 insbesondere im Hinblick
auf den Einsatz als Server beziehungsweise
als Virtualisierungs- und Cloud-
Management-Plattform einen interessantem
Ausblick auf neue Entwicklungen.
Die zu Recht thematisierten Defizite für
den Desktop-Einsatz (Anaconda-Installer
und Gnome) sind für den Admin weniger
schwerwiegend, denn einerseits bietet
Fedora 18 mit KDE SC 4.92, Cinnamon
1.6.7, XFCE 4.10 und Mate ausreichend
stabile Alternativen, und andererseits
können die meisten Server-Admins wohl
auch ganz auf eine grafische Oberfläche
verzichten.
Im Übrigen steht Fedora 18 nicht nur
in der Standard-Version als installierbare
Live-CD mit Gnome-Desktop zur Vefügung,
sondern auch als für diesen Test
verwendete, direkt installierbare DVD-
Variante und in Form von Spins für KDE
und XFCE. Der Gnome3-Fork Cinnamon
und der Gnome2-Fork Mate lassen sich,
genau wie KDE und XFCE, alternativ
aus einem Standard-Fedora-System mit
Gnome 3.6.2 einfach nachinstallieren.
Anaconda bändigen
Trotz aller Mängel des Installers sollte
es jedem Admin gelingen, Fedora 18 mit
dem neuen Installer in der gewünschten
Art und Weise (Partitionierung) zu
installieren, auch wenn sich verfügbare
Updates nicht während der Installation
einspielen lassen. Diese Funktion des alten
Anaconda ließ sich aus Zeitgründen
nicht mehr in Fedora 18 integrieren, soll
aber mit Fedora 19 zurückkommen.
Die Kritik am optisch überarbeiteten
Anaconda bezieht sich vor allem auf die
manuelle Partitionierung des Festplattenspeichers.
Anwendern beschert er dank
geschickter Voreinstellungen und automatischer
Partitionierung schneller als
bisher ein benutzbares System mit einem
Minimum an Benutzer-Interaktion. Der
Boot-Sperre
Auf Rechnern, die für Windows 8 zertifiziert
sind, müssen Betriebssysteme mit einem von
Microsoft stammenden Schlüssel signiert werden,
wenn UEFI Secure Boot aktiviert ist. Für
die Linux-Welt ist dies ein Problem, denn Linux
bootet auf solcher Hardware nicht mehr ohne
Weiteres. Die Lösung sieht bei Fedora 18 so aus
[14], dass Fedora einen mit Zertifikaten von
Microsoft signierten Bootloader verwendet. Fedora
geht allerdings einen Schritt weiter als der
von Canonical mit Ubuntu 12.10 eingeführte Ansatz,
bei dem lediglich die Boot-Loader signiert
sind, nicht aber der Kernel.
Gegenüber Canonicals Vorgehen, das lediglich
sicherstellt, dass sich Ubuntu auf Windows-8-
PCs starten lässt, schützt Fedoras Ansatz tatsächlich
auch vor Schadsoftware, die sich schon
vor dem Booten des Betriebssystems aktiviert,
worin laut Microsoft der primäre Zweck von Secure
Boot besteht. Der bei Fedora 18 Microsoftsignierte
Boot-Loader lädt ausschließlich die
von Fedora signierten Linux-Kernel und die ihrerseits
signierten Module. Damit ist bei Fedora
die vollständige Boot-Kette abgesichert.
Die Methode birgt jedoch gerade für Desktop-Anwender
gravierende Nachteile, denn mit Fedora
18 ist es bei aktiviertem Secure-Boot unmöglich,
proprietäre Grafiktreiber von Nvidia oder ATI zu
laden. Möchte der Desktop-Anwender dennoch
proprietäre Grafiktreiber einsetzen, muss er
Secure Boot in der UEFI-Firmware deaktivieren.
Eine weitere Alternative bestünde allenfalls darin,
den Kernel mit selbst erzeugten Signaturen
auszustatten und im Setup als vertrauenswürdig
bekannt zu machen. Mehr Einzelheiten zum
Thema UEFI Secure-Boot und Fedora lassen sich
im „UEFI Secure Boot Guide“ [15] des Fedora-
Projekts, sowie im Blog des Fedora-Kernel-Entwickler
Josh Boyer [16] nachlesen.
126 Ausgabe 02-2013 Admin www.admin-magazin.de

Fedora 18
Abbildung 1: Fedora 18 unterstützt das neue Brtfs-Dateisystem auch bei der Boot-Partition zuverlässig –
sofern sie mindestens acht GByte groß ist.
Installer kopiert im Hintergrund bereits
Dateien, während der Benutzer noch
fehlende oder optionale Einstellungen
vornimmt, etwa die Zeitzone, das Gebietsschema
oder das Root-Passwort.
Zum manuellen Partitionieren klickt man
im Anaconda-Startbildschirm auf »INS-
TALLATIONSZIEL« und markiert dann
in der Liste »Lokale Standard‐Speichermedien«
das gewünschte Gerät. Optional
liefert der Link »Ausführliche Festplatten‐Zusammenfassung
und Optionen«
weitere Informationen zu den oben markierten
Devices. Ein Klick auf »Weiter«
führt zunächst zu den »INSTALLATIONS-
OPTIONEN«, in denen Anaconda im Beispiel
darauf hinwies, dass auf der frisch
angelegten virtuellen SCSI-Platte genügend
freier Platz für die automatische
Partitionierung vorhanden sei.
Wer trotzdem manuell partitionieren
möchte, muss zunächst den Knoten
»Konfiguration des Partitionsschemas«
ausklappen und dann den Partitionstyp
wählen, wobei neben »Standard‐Partitionen«
auch LVM und Btrfs zur Verfügung
stehen. Mithilfe einer unscheinbaren
Checkbox ist es auch möglich, die Partition
zu verschlüsseln.
Die derzeitige Kritik am Partitionier-Modul
bezieht sich zum Beispiel auf die
Bedienbarkeit, die zumindest aus Anwendersicht
umständlicher ist, als beim
alten Anaconda. Schwerwiegender sind
allerdings einige Bugs im neuen Anaconda
[4]. So stürzte das Programm
beispielsweise beim Test im Zusammenhang
mit der gewählten Btrfs-Partition
reproduzierbar ab, weil sie offenbar zu
Ein neuer, über D-Bus steuerbarer IP-
Tables-Daemon namens »firewalld« [10]
kümmert sich nun um die Firewall-
Regeln. Er unterstützt unter anderem
verschiedene Sicherheitszonen, wie beiklein
war. Der Grenzwert für diesen Bug
liegt laut Fedora-Wiki bei 8 GByte. Im
zweiten Versuch lief die Installation mit
einer größeren Btrfs-Partition einwandfrei
durch, und Btrfs erwies sich im laufenden
Betrieb als stabil (Abbildung 1).
Auch das unten erläuterte neue Tool zur
Datenträgerverwaltung „System Storage
Manager“ (SSM) kam problemlos mit
Btrfs zurecht.
Nach der Installation sorgen die erstmals
signierten Bootloader und Kernel dafür,
dass Linux auf per UEFI Secure-Boot
gesicherten Rechnern überhaupt bootet
(siehe den Kasten Boot-Sperre).
DNF-Paketmanger
Fedora 18 enthält ein neues Paketverwaltungs-Tool
DNF [1], das auf dem Code
von Yum 3.4 basiert und Yum in einer
der kommenden Fedora-Versionen vollständig
ersetzen soll. DNF nutzt jetzt wie
auch Open Suse die Bibliothek Libsolv
[2] zum zuverlässigeren Auflösen von
Abbildung 2: Fedora 18 bringt ein neues Paket-Werkzeug DNF mit.
Abhängigkeiten. DNF und Yum basieren
zudem in Fedora 18 auf der RPM-
Version 4.10, die stabiler und schneller
sein soll als der Vorgänger. Außerdem
enthalten zahlreiche RPM-Pakete jetzt
Informationen [3], mit deren Hilfe der
Anwender beziehungsweise ein Debugger
schneller erkennen kann, in welchem
Teil des Codes sich das Problem verbirgt.
Zwar steckt nach wie vor der vollständige
Satz an Debugging-Informationen
in den Debuginfo-Paketen, die sind dank
besserer Dwarf-Kompression aber jetzt
kleiner [4].
Systemd 195
Fedora 18 verwendet zur Systemstart-
Initialisierung die Systemd-Version 195,
die eine Reihe neuer Kommandozeilen-
Tools zur Systemkonfiguration mitbringt.
So dient etwa »timedatectl« der Konfiguration
von Zeitzone und Systemzeit,
während sich »localectl« der Systemsprache
und dem Tastaturlayout widmet und
»hostnamectl« zum Konfigurieren des
Systemnamens zum Einsatz kommt. Für
einige dieser Einstellungen kamen bei der
Vorgängerversion Konfigurationsdateien
in »/etc/sysconfig« zum Einsatz. Deren
Anzahl hat sich daher bei Fedora 18 verringert.
Neu an Systemd 195 ist, dass der
Admin jetzt mit »systemctl« auch festlegen
kann, welcher Display-Manager als
grafischer Login-Bildschirm dienen soll.
Firewalld
www.admin-magazin.de
Admin
Ausgabe 02-2013
127

Fedora 18
spielsweise öffentliches WLAN, Heimoder
Unternehmensnetz und verwendet
dann jeweils automatisch andere Regeln.
Konfigurieren lässt sich der Dienst mit
dem grafischen Tool »firewall‐config«
(Abbildung 3) oder dem Kommandozeilenwerkzeug
»firewall‐cmd«. Dessen
Oberfläche ist nicht vollständig lokalisiert,
sodass die erwähnten Sicherheitszonen
bislang »home«, »work«, »public«
und »trusted« heißen.
Weitere Neuerungen
Fedora 18 enthält auch das aktuelle
Samba 4, das einen Active-Directory-
Verzeichnisdienst in einer Windows-
Domäne realisiert. Ferner liegt Fedora 18
das GCC-Plugin DragonEgg [6] bei, das
GCC in die Lage versetzt, die Compiler-
Infrastruktur LLVM zu verwenden. Das
kann beispielsweise für Cross-Plattform-
Entwicklung und Optimierungszwecke
nützlich sein.
Darüber hinaus liefert Fedora 18 die
fehlertolerante und skalierbare NoSQL-
Datenbank Riak mit. Spätestens mit
Fedora 19 soll MariaDB dann MySQL als
Standard-Datenbank ablösen.
Fedora 18 enthält als eine der ersten Distributionen
das Tool NFSometer [7], ein
Framework zur Performance-Messung inklusive
Reporting für alle aktuellen Versionen
des NFS-Protokolls. NFSometer
beherrscht alle wichtigen NFS-Optionen
und berücksichtigt die Besonderheiten
der speziellen NFS-Client-Implementationen
unter Linux. NFSometer wurde
ursprünglich als Projekt bei Netapp als
Verfahren zum automatisierten Performance-Testing
unter Linux entwickelt,
hat inzwischen aber zahlreiche zusätzliche
Features sowie die Reporting-Schnittstelle
erhalten und steht jetzt unter der
GPLv2-Lizenz. Ferner enthält Fedora 18
das Trace-Tool Systemtap [8] in der Version
2 sowie das Linux Trace Toolkit Next
Generation (LTTng) [9].
Installiert man Fedora 18 als Gastsystem,
unterstützt KVM jetzt auch Suspend-to-
RAM sowie Suspend-to-Disk, sogar bei
aktiven Virtio-Treibern. Auch das Anlegen
von Snapshots bei laufenden Gastsystemen
soll möglich sein. Für das Einrichten
von Clouds liefert Fedora sowohl
Eucalyptus 3.2 als auch Open Stack „Folsom“
mit; bekanntlich engagiert sich Red
Hat seit einiger Zeit auch in der Open-
Stack-Foundation.
Ovirt-Framework
Fedora 18 bringt zudem das Ovirt-Framework
in der aktuellen Version 3.1 mit.
Mithilfe der Ovirt-Engine lässt sich eine
komplexe, Hersteller-unabhängige Cloud-
Management-Umgebung aufsetzen. Das
ADMIN-Magazin hat das Framework in
Heft 05/​12 [10] ausführlich vorgestellt.
Die Ovirt-Version 3.1 in Fedora 18 unterstützt
jetzt Live Snapshots, Shared Disks,
External Disks, CPU-Pinning, Jumbo
Frames, „Prestarted“ Virtual-Machine-
Pools und Quotas sowie das Klonen virtueller
Maschinen von einem Snapshot.
Ferner unterstützt Ovirt 3.1 Hotplugging
bei Disk- und Network-Interfaces und
Posix File System Storage. Darüber hinaus
nimmt das Ovirt-Framework auf
Wunsch Kontakt mit Red Hat Directory
Server oder IBMs Tivoli Directory Server
auf und kann auch Remote-Datenbanken
verwenden. Außerdem ist es jetzt
im All-One-Betrieb möglich, Engine und
Hypervisor auf der gleichen Maschine
zu betreiben.
VirtSandbox
Das in unserem Beitrag zu Fedora 17 [11]
vorgestellte Tool »virt‐sandbox‐server«
ermöglicht das Aufsetzen sicherer Container-Umgebungen,
in denen ein Dienst
abgeschottet vom Rest des Systems läuft.
Virtsandbox ermöglicht es dem Admin,
einzelne Applikationen mithilfe von KVM
(oder wahlweise mit LXC) in eine abgesicherte
Sandbox einzusperren, ähnlich
wie das auch andere Sandbox-Lösungen
tun, etwa die seit 2009 in Fedora und
Red Hat ebenfalls enthaltene SELinux-
Sandbox.
Virtsandbox basiert auf virtuellen Maschinen.
Der Clou besteht dabei darin,
dass ein explizites Einrichten eines Betriebssystems
in der VM nicht notwendig
ist, weil der VM-Kernel mithilfe des
Plan9fs (Plan 9 File System) Teile des
Host-Dateisystems direkt lesen kann. Damit
ist auch der Overhead der Lösung
sehr klein, sodass der zeitliche Aufwand
zum Starten einer mithilfe der VirtSandbox
eingesperrten Anwendung kaum ins
Gewicht fällt – Red Hat spricht von maximal
drei Sekunden gegenüber dem nativen
Start der gleichen Applikation.
In der KVM-Variante startet Virtsandbox
den Kernel samt Initramfs in einer VM,
die ihrerseits nach dem Booten die eigentliche
Anwendung aufruft. Laut Red
Hat erfolgt der Zugriff auf die CPU bei
Virtsandbox weitgehend ohne Performance-Einbußen,
während der Zugriff
auf Geräte mit rund 90 Prozent der Geschwindigkeit
erfolgt. Die Einrichtung
der Sandbox erledigt der Admin über
das Tool »virt‐sandbox« und legt dabei
Abbildung 3: Fedora 18 bringt einen neuen Firewall-Daemon nebst grafischer Oberfläche zur Konfiguration mit.
128 Ausgabe 02-2013 Admin www.admin-magazin.de

Fedora 18
Abbildung 4: Der neue System Storage Manager vereinfacht das Verkleinern logischer Volumes ungemein.
beispielsweise fest, welche Netzwerk-
Ressourcen in der Sandbox zur Verfügung
stehen. Einsatzmöglichkeiten sind
viele denkbar, etwa das Einsperren des
gesamten Webbrowsers in den virtuellen
Sandkasten für sicheres Online-Banking.
System Storage Manager
Sehr interessant ist auch der neue System
Storage Manager (SSM) [12], mit
dem Admins zahlreiche Aufgaben zur
Datenträgerkonfiguration in einheitlicher
Syntax erledigen können, statt Tools wie
»fdisk«, »btrfs«, »cryptsetup«, »lvm2«,
»mdadm« oder »resize2fs« miteinander
kombinieren zu müssen. So kann der
Fedora-Admin zum Beispiel mit der Option
»create« Ext3-, Ext4-, XFS- und Btrfs-
Volumes anlegen oder sie mit »check«
überprüfen.
Die Option »snapshot« legt einen Snapshot
an, wenn der Datenspeicher dies unterstützt.
SSM kann auch LVM-, RAID oder
Btrfs-Pools erstellen, erweitern oder löschen
und mit »list« Geräte, Volumes
oder LVM-/​RAID-/​Btrfs-Pools auflisten.
Per »resize« vergrößert und verkleinert
»ssm« Volumes (Abbildung 4) und/​oder
Dateisysteme, »remove« löscht sie auf
Wunsch. Die Befehle sind weitgehend
selbsterklärend. Weitere Informationen
liefert »man ssm«.
Muss der Admin etwa für das Anlegen
logischer Volumes in einer LVM-Volumegroup
beim klassischen Vorgehen die
Kommandos »fdisk«, »mkfs«, »pvcreate«,
»vgcreate«, »vgdisplay«, »lvcreate« und
»lvdisplay« verwenden, genügt mit SSM
ein einziger Befehl. Zunächst verschafft
»ssm list« eine Übersicht sämtlicher verfügbaren
Geräte, neben physischen auch
bereits existente LVM-Groups oder RAID-
Verbünde.
Die LVM-Gruppe für die Fedora-Partition
im Beispiel legt Anaconda übrigens beim
automatischen Partitionieren an, ebenso
wie die 500 MByte große, nicht zur LVM-
Gruppe gehörige Boot-Partititon. Das
Anlegen eines neuen logischen LVM-Volumes
kann dann ganz einfach mit
ssm create ‐s 4G ‐‐fstype ext4 /dev/sdb
erfolgen. Das Kommando legt im Beispiel
ein logisches Volume von 4 GByte
Größe an und formatiert es mit Ext4. Die
dazu erforderliche Volume-Group »/dev/
lvm_pool« legt das Kommando ebenfalls
automatisch an, was sich leicht mit dem
in Fedora ebenfalls enthaltenen grafischen
Logical Volume Manager verifizieren
lässt, sofern das Paket »system‐config‐vlm«
installiert ist.
Das Tool stellt in vielen Szenarien eine
enorme Arbeitserleichterung da, weil es
viele Dinge automatisch erledigt, etwa
das Anlegen einer Volumegroup beim
Erzeugen eines logischen Volumes oder
das Anlegen physischer Volumes beim
Erweitern einer Volumegroup. Umgekehrt
ist es jedoch nicht möglich, etwa
eine LVM- Volumegroup einfach nur anzulegen,
ohne automatisch Volumes zu
erzeugen, wie beim Verwenden der klassischen
Werkzeuge. Das Wiederherstellen
von LVM-Snapshots funktioniert mit
SSM ebenfalls noch nicht. Leider zeigt
SSM auch nicht an, welche der zugrunde
liegenden Tools es selbst verwendet.
Fazit
Fedora 18 beinhaltet aus Admin-Sicht wie
immer ein Füllhorn neuer Open-Source-
Technologie und neuer Funktionen.
Großes Potenzial steckt zweifelsohne
im Ovirt-Framework. Dass Fedora mit
Eucalyptus und Open Stack gleich zwei
Private-Cloud-Architekturen unterstützt,
zeigt entweder, dass man dem Admin/​
Anwender größtmögliche Freiheit einräumt,
oder dass sich die Planer nicht
sicher sind, wohin die Reise geht. In der
Open-Source-Community hat derzeit
Open Stack mehr Anhänger als Eucalyptus
und Open Nebula.
Besonders gut gefallen hat uns auch das
neue Tool System Storage Manager, das
für viele Admins eine erhebliche Arbeitserleichterung
darstellt. Die Anlaufschwierigkeiten
von Fedora 18 insbesondere im
Anwender-Bereich werden den Admin
kaum beunruhigen. Wie üblich werden
die noch vorhandenen Bugs gefixt werden,
denn Fedora 18 ist die Basis für die
kommende Version 7 von Red Hat Enterprise
Linux [13]. (ofr)
n
Infos
[1] DNF: [http:// fedoraproject. org/ wiki/​
Features/ DNF]
[2] Libsolv:
[https:// github. com/ openSUSE/ libsolv]
[3] MiniDebugInfos: [http:// fedoraproject.​
org/ wiki/ Features/ MiniDebugInfo]
[4] DwarfCompressor: [http:// fedoraproject.​
org/ wiki/ Features/ DwarfCompressor]
[5] Firewalld: [http:// fedoraproject. org/ wiki/​
Features/ firewalld‐default]
[6] DragonEgg: [http:// fedoraproject. org/​
wiki/ Features/ DragonEgg]
[7] NFSometer: [https:// fedoraproject. org/​
wiki/ Features/ NFSometer]
[8] SystemTap: [http:// fedoraproject. org/​
wiki/ Features/ Systemtap2]
[9] Linux Trace Toolkit Next
Generation:[https:// lttng. org/]
[10] Thomas Drilling, Wirtshaus, ADMIN 05/​12:
[http:// www. admin‐magazin. de/ Das‐Heft/​
2012/ 05/ Verwaltung‐virtueller‐Infrastrukt
uren‐mit‐oVirt‐3. 1]
[11] Thomas Drilling, An vorderster
Front, ADMIN 04/​2012: [http:// www.​
admin‐magazin. de/ Das‐Heft/ 2012/ 04/ Fed
ora‐17‐bringt‐Ovirt‐Management‐Framewo
rk‐fuer‐Virtualisierungs‐Stack]
[12] System Storage Manager: [https://​
fedoraproject. org/ wiki/ Features/​
SystemStorageManager]
[13] RHEL7-Roadmap:
[http:// rhsummit. files. wordpress. com/​
2012/ 03/ burke_rhel_roadmap. pdf]
[14] Fedora Secure Boot: [http:// fedoraproject.​
org/ wiki/ Features/ SecureBoot]
[15] Fedora Secure Boot Guide:
[http:// docs. fedoraproject. org/ en‐US/​
Fedora/ 18/ html‐single/ UEFI_Secure_Boot_
Guide/ index. html]
[16] Blog Josh Boyer: [http:// jwboyer.​
livejournal. com/ 46149. html]
www.admin-magazin.de
Admin
Ausgabe 02-2013
129

Service
Impressum und Vorschau
Impressum ISSN 2190-1066
ADMIN-Magazin eine Publikation der Medialinx AG
Redaktionsanschrift Putzbrunner Straße 71
81739 München
Tel.: 0 89/99 34 11-0
Fax: 0 89/99 34 11-99 oder -96
Internet
www.admin-magazin.de
E-Mail
redaktion@admin-magazin.de
Geschäftsleitung Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Chefredakteure Oliver Frommel (V.i.S.d.P.),
ofrommel@admin-magazin.de (ofr)
Jens-Christoph Brendel
jbrendel@admin-magazin.de (jcb)
Redaktion
News/Report
Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba)
Mathias Huber, mhuber@medialinx-gruppe.de (mhu)
Software/Test
Marcel Hilzinger, mhilzinger@medialinx-gruppe.de, (mhi)
Kristian Kißling, kkissling@medialinx-gruppe.de, (kki)
Security/Networking Markus Feilner, mfeilner@medialinx-gruppe.de (mfe)
Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle)
Ständige Mitarbeiter Elke Knitter (Schlussredaktion),
Carsten Schnober, Tim Schürmann, Claudia Thalgott
Produktionsleitung Christian Ullrich, cullrich@medialinx-gruppe.de
Grafik
Kristina Fleischer, Klaus Rehfeld
Titel: Judith Erb, Ausgangsgrafik: Vince Clements, 123RF.com
Abo-Infoseite
Abonnenten-Service
www.admin-magazin.de/abo
Monika Jölly
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Mini-Abo (2 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95
Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70
Jahresabo € 49,90 € 54,90 Sfr 99,90 € 59,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80
DigiSub (6 Ausgaben) € 44,90 € 44,90 Sfr 49,05 € 44,90
DigiSub (zum Printabo) € 6,— € 6,— sfr 6,— € 6,—
HTML-Archiv (zum Abo 1 ) € 48,— € 48,— sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 136,60 € 151,70 Sfr 259,90 € 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit Linux-Magazin-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer aktuellen
Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen. Andere Abo-
Formen, Ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz
Es gilt die Anzeigenpreisliste vom 01.01.2012
National
Petra Jaser
Tel.: 089/99 34 11 24, Fax: 089/99 34 11 99
E-Mail: pjaser@medialinx-gruppe.de
michael Seiter
Tel.: 089/99 34 11 23, Fax: 089/99 34 11 99
E-Mail: mseiter@medialinx-gruppe.de
Pressevertrieb MZV, Moderner Zeitschriften Vertrieb GmbH
Breslauer Straße 5, 85386 Eching
Tel.: 089/31906-0, Fax: 089/31906-113
Druck
Vogel Druck und Medienservice GmbH
97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme
verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett-Packard) oder Sinix
(Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist eingetragenes Marken zeichen von
Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis verwendet. Alle anderen Marken sind Eigentum
der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung durch
die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine
Zustimmung zum Abdruck im Admin-Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen
werden. Die Redaktion behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene
Manuskripte liegt beim Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden. Copyright © 1994–2013 Medialinx AG
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 7
ADMIN http://​www.admin-magazin.de 36, 97, 105
Android User http://​www.android-user.de 33
ConSol Software GmbH http://​www.consol.de 53
Cyberarms Limited http://​cyberarms.net 19
Dell GmbH http://dell.de/growwithus 61
Diavlon GmbH http://​www.tuxhardware.de 39
Fernschule Weber GmbH http://​www.fernschule-weber.de 69
Galileo Press http://​www.galileo-press.de 25
IPTAM GmbH http://​www.iptam.com 45
Kettner Mathias - Linux Experte http://​www.mathias-kettner.de 13
Linux-Hotel http://​www.linuxhotel.de 95
Linux-Magazin http://​www.linux-magazin.de 125
Management Circle GmbH http://​www.managementcircle.de 59
Medialinx IT-Academy http://​www.medialinx-academy.de 79, 83
Messe Berlin GmbH http://​www.linuxtag.org 89
Microsoft GmbH http://​www.microsoft.com/​germany 35
Netways GmbH http://​www.netways.de 63, 99
outbox AG http://​www.outbox.de 41
pascom -
Netzwerktechnik GmbH & Co.KG http://​www.pascom.net 11
PlusServer AG http://​www.plusserver.de 14, 28, 54, 74
Springer Verlag GmbH & Co.KG http://​www.springer.com 85
Strato AG http://​www.strato.de 1, 2
Thomas Krenn AG http://​www.thomas-krenn.com 132
uib GmbH http://​www.uib.de 101
Verion GmbH http://​www.verion.de 131
Webtropia http://​www.webtropia.com/ 9
Windows Phone User http://​www.windows-phone-user.de​ 109
Einem Teil dieser Ausgabe liegt eine Beilage der Firma M-Promotion (http://​www.
poland-it.pl) bei. Wir bitten unsere Leser um freundliche Beachtung.
Autoren dieser Ausgabe
Eric Amberg Reisefreiheit 30
Jörg Braun eGutenberg 118
David J. Dodd Der Spürhund 86
Thomas Drilling Kuckucksei 56
Thomas Drilling Testlabor 126
Thomas Joos Blick übern Zaun 42
Thomas Joos Des Pudels Kern 70
Stefan Kania Samba senkt Verwaltungskosten 46
Martin Loschwitz Gesicherte Ablage 62
Martin Loschwitz Überbreite 102
Vilma Niclas Unter falschem Namen im Netz 16
Christian Pape Durchleuchtet 20
Sebastian Saemann Bauhelfer 67
Thorsten Scherf Finde Nemo 20
Michael Schrenk Im Untergrund 114
Tim Schürmann Motortuning 22
Tim Schürmann Text-Monster 110
Ronny Trommer Durchleuchtet 98
Adam Tauno Williams Generalüberholt 37
Thomas Zeller Einlasskontrolle 90
VORSCHAU
ADMIN 03/2013 erscheint am 08. Mai 2013
Web-Techniken
GreenSQL
Einbrüche in Datenbanken erlauben
nicht nur unerwünschte Einblicke
in möglicherweise sensible Daten.
Auch der Zugang zum Betriebssystem
wird den Einbrechern dadurch
möglich. GreenSQL sichert Datenbanken
dagegen ab.
© Ivan Trucic, 123RF
Immer weiter verdrängen Anwendungen
im Webbrowser die althergebrachten
Desktop-Programme.
Unser Schwerpunkt stellt Techniken
auf Client- und Serverseite vor, die
dabei für bessere Performance und
mehr Sicherheit sorgen.
© Andrey Bourdioukov, 123RF
130 Ausgabe 02-2013 Admin www.admin-magazin.de

384 GB Arbeitsspeicher
- auf kleinstem Raum
1HE Intel Dual-CPU RI2108 Server
Kompakter Server auf einer Höheneinheit:
Dieser Server bietet 384 GB RAM Arbeitsspeicher und Platz für 3 Zusatzkarten.
Angebot sichern unter:
www.thomas-krenn.com/2108
Neue Serverbezeichnungen
Informieren Sie sich jetzt unter:
www.thomas-krenn.com/neu-bezeichnung
nur bei Thomas Krenn ab:
€ 1.969,-
TRY
&
BUY
Diesen und andere Thomas Krenn Server
können Sie auch per Try & Buy testen
DE: +49 (0) 8551 9150 - 0
CH: +41 (0) 848207970
AT: +43 (0)732 - 2363 - 0
Verkauf erfolgt ausschließlich an Gewerbetreibende, Firmen, Freiberufler (Ärzte, Rechtsanwälte etc.), staatliche Institutionen und Behörden. Druckfehler, Irrtümer und Änderungen in Preis und Ausstattung vorbehalten.
Unsere Versandkosten richten sich nach Gewicht und Versandart. Genaue Preisangaben finden Sie unter: www.thomas-krenn.com/versandkosten. Thomas-Krenn.AG, Speltenbach-Steinäcker 1, D-94078 Freyung