Wegweiser

Andreas Lorenz

Wer Linux-Arbeitsplätze in eine umfängliche Windows-dominierte IT-Landschaft einzubinden hat, muss sich technisch und organisatorisch für eine der vielen gangbaren Strategie entscheiden. Eine systematische Herangehensweise tut Not.

Auf den Servern sehr vieler Firmen und Behörden hat sich Windows hartnäckig festgesetzt - teils aus Bequemlichkeit, teils wegen der niedrigeren Kosten gegenüber proprietären Unix-Systemen, teils wegen der reibungsarmen Integration von Windows-Clients. Ist die Organisationsstruktur groß genug, umspannt das Ganze sogar Microsofts Verzeichnisdienst Active Directory (ADS,[1]).

Entsteht nun der Wunsch, Linux als Desktop zu einzusetzen, wollen die Anwender natürlich auf alle Dienste Zugriff haben. Die Herausforderung ist weniger die Technik, sondern alles mit geringen Mitteln zu realisieren. Die Lizenzkosten spielen dabei zwar eine Rolle, doch personelle Aufwände sind die wahren Kostentreiber. Gegenrechnen darf man aber die gute Performance von eigenen Linux-Anwendungen. Hinzu kommen die Freiheiten der GPL.

Der erste und zugleich sehr essenzielle Schritt ist die Anforderungsanalyse. Sie beugt dem Fall vor, dass der Diensteanbieter an den Anforderungen der (Linux-)Kunden vorbeiarbeitet. Vielfach ist es organisatorisch am einfachsten, wenn sich alle Beteiligten zu einem runden Tisch versammeln und der IT-Organisator die Wünsche zusammenträgt.

Im Karlsruher Forschungszentrum - es dient hier als Beispiel - arbeiten rund fünf Prozent der Anwender mit Linux-Desktop-Systemen, wahrscheinliche Tendenz: steigend (siehe Kasten "Beispiel Karlsruhe",[2]). Um die zirka 200 Rechner zukunftssicher einzubinden, hat die zuständige Abteilung einen solchen runden Tisch einberufen. Ziel war, dass die zentralen IT-Dienste für die Linux-Clients mit ihren unterschiedlichen Distributionen und wissenschaftlichen Anwendungen genauso verfügbar werden wie für die Windows-Clients.

Der Arbeitskreis definierte Teilprojekte und berechnete die Kosten:

Verzeichnisdienst-Integration
Online-Datenhaltung
Office- und Groupware-Integration
Komfortable Druckerbenutzung
Installationsverfahren (Rollout)
Softwareverteilung und Sicherheit
Supportaufwand

Beispiel Karlsruhe

Das Forschungszentrum Karlsruhe[2] ist mit 3800 wissenschaftlichen Mitarbeiter und hunderten Studenten eine der größten natur- und ingenieurwissenschaftlichen Forschungseinrichtungen in Europa. Es wird von der Bundesrepublik Deutschland und dem Land Baden-Württemberg getragen. Die IT-Manager der Einrichtung betreiben eine für Wissenschaftler geeignete Infrastruktur, die zugleich die Betriebskosten minimiert. Insgesamt sind in 67 Organisationseinheiten rund 4000 PCs im Einsatz, die Microsofts Verzeichnisdienst Active Directory zusammenhält.

Die Abteilung PC-Betreuung und Bürokommunikation im Institut für Wissenschaftliches Rechnen (IWR) stellt eine Client-Server-Infrastruktur mit Microsoft Office und Backoffice (Logon, SQL, Systems Management, Datenmanagement, Internet-Information, Drucken), Mail und Fax, Wins und DNS, Terminalserver- und Antivirendiensten bereit. Die Benutzerverwaltung liegen ebenfalls in der Hand der Gruppe.

Active Directory

Greift die Infrastruktur wie in Karlsruhe auf einen Verzeichnisdienst zu, um die Netzwerk-bezogenen Objekte Benutzer, Gruppen, Computer, Drucker, Anwendungen, Freigaben, Mail und Fax zu verwalten, sollten sich auch Linux-Rechner nach dieser Decke strecken.

Die zentralen globalen Datendienste sind so aufgebaut, dass sowohl Windows- als auch Unix/Linux-Clients auf dieselben Datenspeicher und Daten zugreifen. Mit Services for Unix von Microsoft (SFU,[3]) wird das Active-Directory-Schema erweitert, die Domänencontroller um das SFU-Username-Mapping und die Windows-Fileserver mit der SFU-Komponente NFS-Server (Abbildung 1). In Karlsruhe haben die Windows-Fileserver keine eigenen Datenplatten. Die Datenhaltung erfolgt in einem Storage Area Network (SAN).

Abbildung 1: In Karlsruhe besitzen die Fileserver keine eigenen Datenplatten. Alle Daten liegen in einem optimierten Storage Area Network.

Zur ADS-Integration der Linux-Desktops und für den direkten Zugriff auf die zentralen Onlinedaten verifizierte die Arbeitsgruppe folgende Lösungen:

Nss_ldap mit Kerberos 5,
Samba 3.0 mit Kerberos 5 und
Samba 3.0 mit Kerberos 5 und gleichzeitigem UID-Mapping, um die Zufälligkeit der Samba-UIDs zu unterbinden (Abbildung 2).

Abbildung 2: Zur ADS-Integration der Linux-Desktops und für den direkten Zugriff auf die zentralen Onlinedaten verifizierte die Arbeitsgruppe drei Lösungen.

Alle drei Varianten erfüllen in der Theorie die Anforderungen, eine abschließende Entscheidung haben die Karlsruher noch nicht getroffen. Unbeachtet blieben bislang auch alle kommerziell-proprietären Lösungen wie die Vintela Authentication Services von SCO.

Office, Groupware, Drucken

Nahe liegend spielen Office-Programme bei den meisten Desktop-Systemen eine tragende Rolle. Wie vielerorts ist im Forschungszentrum Microsoft Office seit rund zehn Jahren der Standard. Anwendungen wie ein zentrales Vorlagenverzeichnis fußen darauf. Für Linux bieten sich mehrere Möglichkeiten: Terminalserver, Crossover Office, Wine/Rack und Open Office. Sie sind sowohl technisch als auch kostenseitig zu bewerten:

Benötigte Programme (einmalige und laufende Kosten, Installation)
Funktionalität (Vorlagen und Makros, zentrales Drucken, gemeinsames Arbeiten an Dokumenten, Mobilgeräte)

n Supportaufwand (nach Zielgruppe)

Alle aufgeführten Varianten liefern gute Ergebnisse. Die Terminalserver-Lösung funktioniert aber nur mit bestehender Netzverbindung und bei Open Office bereiten Makros Probleme.

Als Groupware setzt das Forschungszentrum ein ADS-integriertes MS Exchange ein. Neben E-Mail kommen firmenweite Adressbücher und Kalender zur Optimierung der Arbeitsabläufe zum Einsatz. Als unverzichtbar gilt die Offline-Funktionalität für mobile Geräte. Wie bei der Office-Integration ist dabei Projektarbeit gefragt. Der Artikel ab Seite 40 gibt hierzu Denkanstöße.

Der zentrumsweite Druckdienst in Karlsruhe ist für Windows optimiert: Die Netzwerkdrucker sind im ADS-Verzeichnisdienst veröffentlicht. Damit findet der Anwender die Drucker anhand ihrer Funktionalität, des Aufstellungsorts oder der Verfügbarkeit. Die Druckserver leisten dies für Linux-Systeme nicht automatisch. Hier könnten Samba und Cups Abhilfe schaffen.

Sicher ausrollen

Wenn die geeigneten Integrationswege ausgewählt sind, gilt es, die Software zu paketieren und auf die Desktops auszurollen. Dabei dürfen nur sichere Installationen verteilt werden: Sicherheit bezüglich der Konfiguration des Systems ebenso wie funktionelle Sicherheit des Gesamtsystems. Die Zeit, die dabei in die Methodik fließt, wird später tausendfach im Support eingespart.

Linux-Rechner sind weit weniger oft Angriffen ausgesetzt als der Windows-Bereich. Das liegt nur teilweise an der Struktur von Linux, eher am noch geringen Interesse der Angreifer. Automatisierte Softwareverteilungs-Systeme für Patches und Fixes halten dem Admin diesbezüglich den Rücken frei.

Nachdem alle Ergebnisse der Teilprojekte vorliegen, können sie abschließend bewertet werden, und zwar als Ganzes. Denn vielleicht ist für ein Teilprojekt eine kostenintensive Software unwirtschaftlich, für ein anderes Teilprojekt dagegen besonders vorteilhaft. Den Abschluss bildet die ökonomische Planung für den zentralen Support. (jk)

Infos

[1] Active Directory: [http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=600092]

[2] Forschungszentrum Karlsruhe: [http://www.fzk.de]

[3] Microsoft SFU: [http://www.microsoft.com/windows/sfu]

Der Autor

Andreas Lorenz ist Abteilungsleiter der PC-Betreuung und Bürokommunikation im Forschungszentrum Karlsruhe. Die Abteilung stellt firmenweit die Bürokommunikations-Infrastruktur bereit. In diesem Rahmen evaluieren Lorenz und seine Kollegen die Integration vorhandener Linux-PCs.