Kategorie: Lust und Frust

Nach etwa 50 Commits in unser Github-Repository und nur geringfügig weniger Builds im openSUSE Buildservice, haben wir den Grundstein für einen Active Directory basierten invis-Server gelegt.

Noch haben wir zwar keine Hand an die entsprechenden Anpassungen des invis-Portals gelegt, es steht jetzt allerdings ein invis-Server Setup-RPM zur Verfügung, mit dem bereits ein Samba4 basiertes Active Directory realisiert werden kann,  inklusive einiger Schema-Erweiterungen im Active Directory. Diese werden es ermöglichen das AD-Verzeichnis beinahe auf die gleiche Weise zu nutzen, wie zuvor OpenLDAP.

Besonders stolz sind wir darauf, dass es uns gelungen ist den ISC-DHCP-Server so zu patchen, dass auch er seine Informationen aus dem AD beziehen kann.

Noch ist es ein langer Weg, bis ein AD-basierter invis-Server auf dem Stand der klassischen Installation ist, wir sind jedoch guter Dinge auch die noch anstehenden Probleme zu lösen. Hilfe ist dabei jedoch jederzeit willkommen. Der aktuelle Stand der Dinge kan im invis Wiki nachgelesen werden.

Stefan

Vor kurzem habe ich hier im invis-Blog einen Artikel zum Thema “Wie viele CPU-Kerne spende ich einer virtuellen Maschine?” veröffentlicht.

In der ersten Veröffentlichung wurde lediglich mit einem System auf Basis einer (wenn auch kleinen) Intel Hyperthreading CPU getestet. Inzwischen hatte ich die Zeit die gleichen Benchmarks mit einem Sytem durchzuführen, welches über 8 physische CPU-Kerne verfügt.

Das daraus resultierende, gänzlich andere Verhalten, möchte ich natürlich niemandem vorenthalten. Hier die Auswertung als PDF-Datei.

Ich hoffe es ist nützlich.

Stefan

Wir haben das Wiki zum invis-Server um die Rubrik “invis-Server Client Integration” erweitert. Darin werden unterschiedliche Wege der Client-Anbindung an einen invis-Server beschrieben. Neben einer Anleitung für einen Windows 7 Domänenbeitritt, die sich schon seit einer ganze Weile im Wiki befindet, haben wir aus aktuellem Anlass die Anbindung von Ubuntu Clients beschrieben.

Ausganspunkt war eine reale Umgebung in der ein invis-Server in eine reine Ubuntu-Umgebung integriert wurde. Dabei ging es nicht nur um lokale Clients, sondern auch um eine möglichst nahtlose Integration von Clients via OpenVPN. Nebenbei haben sich daraus einige Verbesserungen und Erweiterungen am invis-Setup ergeben, die bereits in unser RPM-Paket eingeflossen sind.

Die Integration von openSUSE-Clients verläuft sicherlich etwas glatter, es hat sich in der Praxis jedoch gezeigt, dass ein invis-Server auch abseits von openSUSE oder Windows, eine gut funktionierende Ergänzug einer IT-Landschaft ist.

Aus der “Zielgruppe für die Zielgruppe” ist ein Motto des invis-Server Projektes, welches hier sehr schön umgesetzt werden konnte. Die Situation beim Anwender erforderte einige Erweiterungen und Anpassungen, diese wurden unmittelbar ins Setup-Paket integriert und im Wiki dokumentiert.

Stefan

Ich durfte gerade feststellen, dass es pro IP Adresse lediglich möglich ist 3 Microsoft Konten pro Tag einzurichten. Muss man für einen Kunden 27 mal Microsoft Office 2013 (keine Volumen Lizenz und jeder ein eigenes MS Konto) installieren, bedeutet das, dass sich die Installation auf 9 Tage verteilt.

So lange wie das pro Installation dauert, sind drei Installationen pro Tag eine durchaus realistische Schätzung….

Wer Sarkasmus findet, darf ihn behalten. ;-)

Stefan

Vor wenigen Tagen flatterten uns, an drei unserer Kunden (Kunden meiner Firma FSP Computer & Netzwerke) gerichtete, Abuse Schreiben der Deutschen Telekom ins Haus. Alle Schreiben waren, sieht man von leicht differierenden Zeitangaben ab, absolut identisch.

Mit deutlichen Worten wird dort die mißbräuchliche Nutzung eines DSL-Anschlusses durch Spamversand angemahnt. Hier ein Auszug:

“Von Ihrem Zugang wurde seit dem 24.03.2014, 5:xy Uhr mehrfach eine missbräuchliche Nutzung durch Spamversand festgestellt und gemeldet. Falls Sie sich nicht erklären können, wie es zum Versand dieser E-Mails gekommen ist, nehmen sie unser Schreiben bitte zum Anlass Ihr Computersystem unverzüglich zu prüfen….”

Im weiteren Verlauf des Textes wird darauf hingewiesen, dass damit gegen die Allgemeinen Geschäftsbedingungen der Telekom verstoßen wird. Es wird selbstverständlich mit der Sperrung des Anschlusses gedroht.

Auch wenn die Kunden in völlig unterschiedlichen Regionen der Republick angesiedelt sind, ist Ihnen eines gemein: Sie verwenden einen invis-Server. Grund genug mir einen gewissen Schrecken einzujagen.

Eine direkte Rückfrage zu den Schreiben bei der Telekom erwies sich an diesem Tag aufgrund einer Betriebsversammlung als unmöglich und die Warteschlangenmusik hält einen auch nicht mit Freuden in der Leitung.

Also direkt zur Fehlersuche. Ich habe alle drei Server auf Hinweise zum vermeintlichen Spamversand untersucht und nichts gefunden. Dass PCs der Kunden durch Schädlingsbefall zu Spamschleudern mutierten, ist schon allein aufgrund der genannten Uhrzeiten nicht möglich, sämtliche PCs waren schlicht aus.

Am darauf folgenden Tag hatte ich mehr Glück bei der technischen Hotline. Eine durchaus freundliche und hilfsbereite Dame hat sich die Vorfälle angeschaut und geriet beim Vorlesen des Wortes “Amplifier” hörbar ins Stocken. Ich half Ihr bei der Aussprache und musste Ihr daraufhin noch erklären was eine NTP-Amplifier Attacke ist und dass das definitiv NICHTS mit Email oder gar Spamversand zu tun hat.

Meine Frage, warum in den Schreiben nicht der tatsächliche Grund für die Abuse-Meldung genannt wird, beantwortete Sie mir mit “Standardschreiben”.

Der Fehler war schnell behoben. Auf invis-Servern läuft ein NTP-Dienst und leider ist Port 123/UTP auch in Richtung Internet offen. Peinlicherweise schleppen wir diesen Faux Pas schon eine Weile mit und das ist inzwischen leider gefährlich. (Wird aber unverzüglich behoben!)

Nicht so schnell konnte ich meinen Frust bezüglich der wirklich dämlichen Schreiben beseitigen. Jemanden bei der Telekom darauf ansprechen, nahezu unmöglich. Twittern, einfach!

Mein erster Tweet:

“Liebe #Telekom wenn sie #Abuse-Meldungen bez. Spam verschicken obwohl es sich um #ntp-Amplifier Att. handelt sind Sie Teil der DDOS Attacke.”

Die Überraschung war nicht schlecht als ich von “Telekom_hilft” eine direkte Antwort bekam:

Verstehe ich richtig, dass Sie ein Anschreiben von unserer Abuse-Abteilung erhalten haben? ^is”

Eine Reaktion macht Hoffnung, also Dialog aufnehmen:

@Telekom_hilft Drei unserer Kunden. Es wurde Spamversand angemahnt Ursache war aber eine NTP-Amplifier Attacke. Völlig Fehlerhafte Meldung”

@Telekom_hilft Sie können gerne direkt mit uns kommunizieren: http://bit.ly/1eeaX5Y

… und tatsächlich, eine weitere Reaktion:

Okay, wir unterscheiden das nicht so. Daher können wir uns nur für die Unannehmlichkeiten entschuldigen. ^ke”

Ein “wir unterscheiden das nicht so” kann man nicht unbeantwortet lassen:

Dürftige Haltung. Wenn Sie auf Ihren Schreiben einfach die Original Meldung weitergeben würden, wäre alles kein Problem.”

Bisher keine weitere Reaktion. Es bleibt festzustellen, dass die Telekom in “Social Media Marketing” investiert, vermutlich etwas mehr als in die fachliche Ausbildung der Hotline Mitarbeiter oder die Entwicklung sachlich korrekter Schreiben.

Sollte die Geschichte weiter gehen, werde ich hier die Fortsetzung liefern.

Stefan

27.August 2012

FrOSCon 2012

Trotz einem, aus meiner Sicht verhagelten Samstag (der Mailserver eines Kunden machte Probleme und ich konnte nicht eingreifen….) war die diesjährige FrOSCon ein ausgesprochen angenehmer Event. Nachdem der Serverstress erledigt war, war alles andere völlig entspannt.

Da wir inzwischen beinahe zum FrOSCon-Aussteller-Inventar zählen, ziehen wir zwar kaum noch neugierige Blicke von Besuchern, die uns noch nicht kennen auf uns. Trotzdem hatten wir viele nette und gute Gespräche bei denen der fachliche Austausch im Vordergrund stand. Das Ganze wird im positiven Sinne mehr und mehr zum Familientreffen ;-).

Spaß gemacht hat vor allem der Talk, den ich zum invis-Server und der dahinter stehenden Philosophie im Rahmen der Vortragsreihe “Open-Source in KMU und Verwaltung” halten durfte. Danke dafür an Michael Stehmann (http://rechtsanwalt-stehmann.de), ich hoffe diese Vortragsreihe macht auch auf anderen Events die Runde. Das Interesse des Publikums spricht für die Relevanz des Themenkomplexes. Die Folien zum Talk stehen übrigens hier zum Download bereit.

Etwas ruhig war es dieses Jahr an der Hotelbar. Schade war das besonders deshalb, weil man sich im Regina dieses Jahr wirklich auf den Abend vorbereitet hatte. …nur der üblich Ansturm blieb aus. Na ja, es wird auch nächstes Jahr eine FrOSCon geben!

Nebenbei hat die FrOSCon wieder mal ein weiteres Bugfix-Release unseres Setup-Paketes als Nebeneffekt hervor gebracht.

Schade, dass die OpenRheinRuhr dieses Jahr ausfällt, Michal Gisbers und sein Team haben aber schon für 2013 alles in trockenen Tüchern.

Unser nächster Event werden dann wohl wieder die Chemnitzer Linux Tage sein.

Stefan

vorbei und wir haben’s überlebt. ;-) Der schon nach einem Jahr “traditionelle” Whisky-Feldtest fiel ohne meinen geschätzten exLektor bedeutend harmloser aus als befürchtet. Aspirin wurde am Sonntag Morgen nicht benötigt. (Glück gehabt).

Insgesamt hat die Veranstaltung viel Spaß gemacht, großes Lob auch für den PizzaProxy 2.0. Technik kann bisweilen auch funktionieren….

Im Gespräch mit Interessenten wurde mir selbst erst bewusst, was sich technisch am invis-Server im vergangenen Jahr so alles getan hat. Der uns entgegen gebrachte Zuspruch macht ein bisschen stolz.

Wie immer ist ein solcher Open-Source-Event auch ein Ort, um kleine Basteleien vorzunehmen. Entsprechend habe ich mit Version 6.9-R1-alpha11 ein weiteres kleines Bugfix-Release unseres Setup-Paketes zum Download bereitgestellt.

Im Vorfeld der ORR habe ich mir ein paar Gedanken um die zukünftigen Entwicklungen des Projektes gemacht. Dabei ging es weniger um technische Dinge, als viel mehr um Organisatorisches. Herausgekommen ist dabei eine Roadmap bzw. ein Strategieplan für zukünftige Entwicklungs und Maintenance -Zyklen des invis-Servers (Download-Link: invis-Server_Entwicklungszyklus). Ob sich die Strategie so umsetzen lässt wird die Praxis zeigen. Wir werden unser Möglichstes tun.

Stefan

 

<Selbstironie>Nach nur knapp 2 Monaten gibt es schon das nächste Update .</selbstironie>

Darin wurde ein paar nervige Fehler gefixt, so lässt sich jetzt auch Group-e wieder installieren, und ein paar neue Dinge hinzugefügt. Darunter dürfte wohl vor allem das kleine Tool dwdatasnapshot interessant sein. Es erstellt Snapshots des Dokuwiki-Datenverzeichnisses, etwas was längst überfällig war. Einmal wöchentlich wird es vom Cron-Daemon aufgerufen, ansonsten lässt es sich auch jederzeit ohne weitere Optionen auf der Kommandozeile ausführen.

Ebenfalls neu und direkt aus einem praktischen Anwendungsfall heraus entstanden ist das Tool scanleases. Es hilft dabei Ordnung im Netz zu schaffen, indem es die Leases-Datenbank des DHCP-Servers durchsucht und Informationen über, sich wild im Netz tummelnde, IP-Geräte sammelt.

Sorgen (und daher Grund für die “alpha” Bezeichnung der aktuellen Pakete) bereitet immer noch die Integration von OpenERP und Zarafa. Während Zarafa wenigstens in der Community-Variante, also ohne Outlook-Anbindung zur Verfügung steht, haben wir es bisher nicht geschafft OpenERP so zu installieren, dass sich damit produktiv arbeiten lässt. Zwar laufen die Daemons openerp-server und openerp-web inzwischen “out of the box”, allerdings weigert sich Firefox die zugehörigen Seiten in der richtigen Zeichenkodierung anzuzeigen. Bei diesem Thema wäre Hilfe nicht unerwünscht:

Python Cracks bitte melden!

Was Zarafa und die Outlook-Anbindung angeht scheint Besserung in Sicht. Gaaanz inoffiziell haben wir erfahren, dass openSUSE und fedora zukünftig wieder unterstützt werden. D.h. die für den invis-Server derzeit fehlenden Komponenten “License-Daemon” und “zarafa-backup” werden (hoffentlich bald) wieder zur Verfügung stehen.

Stefan

Oft wird openSUSE als untauglich für produktive Server-Installationen dargestellt, dies meist aufgrund von Vorurteilen und vor allem der leider inzwischen auf 18 Monate begrenzten Maintenance. Mit den Vorurteilen muss sich eigentlich niemand auseinandersetzen, es sind schlicht Vorurteile. Technisch hat openSUSE allemal das Zeug zum Server-Betriebssystem und braucht keinesfalls den Vergleich mit anderen freien Distributionen zu scheuen.

Traurig und ein echtes Problem ist allerdings der kurze Maintenance-Zeitraum, der sich dennoch nicht wesentlich von fedora oder Ubuntu unterscheidet. Allerdings können die Anhänger Red Hat- oder Debian-ähnlicher Distributionen auf Centos, Ubuntu LTS oder Debian selbst ausweichen. Etwas Vergleichbares gibt es für Freunde der SUSE-Distributionen nicht, auch wenn dies Gegenstand vieler angeregter Diskussionen war und ist.

Eine Anleitung wie man diesem Problem ein gutes Stück entgegen treten kann ist im invis-Server Wiki zu finden. Die Anleitung steht im Kontext des Root-Server-Buchs bzw. des Rootpack-Projekts.

Mögen die Diskussionen lebendig bleiben ;-)

Stefan

geschafft! Wir sind mehr oder minder kaputt zu Hause angekommen und es hat wie immer Spaß gemacht. Der diesjährige “Nightmanager” im Hotel Regina hat sich wacker geschlagen und der Social-Event am Samstag war lustig wie immer.

In Sachen produktiven Gesprächen war es bei uns am Stand etwas ruhiger als die Jahre zuvor, was sicherlich nicht zuletzt am ersten schönen Wochenende seit langer Zeit lag. Möglicherweise aber auch daran, dass ich mich über weite Strecken der beiden Tage hinter meinem Notebook versteckt und an den Neuerungen des invis-Servers getüftelt habe. War ja auch nötig, da vieles von dem, was wir an Neuem zeigen wollten, schlicht noch nicht funktionierte. Ines und Bernhard konnten im Gespräch mit Interessenten dann oft nur sagen, dass die bekannten Sachen wie Group-e und LX-Office auf unserem Prototypen nicht installiert waren und die Neuerungen wie Zarafa und vor allem OpenERP nicht wie erwartet, respektive noch gar nicht funktionierten. Viele der weiteren Neuerungen spielen sich darüber hinaus so weit im Hintergrund der Installation ab, dass sie einem Betrachter ohnehin nicht auffallen können.

Die Neuerungen

Am auffälligsten bei den Neuerungen sind sicherlich die neu hinzugekommenen Applikationen OpenERP und Zarafa, die wir als Alternativen zu LX-ERP und Group-e aufgenommen haben. Die Vergangenheit hat einfach gezeigt, dass es in der Praxis schlicht keinen Sinn macht aus den Kategorien ERP und Groupware nur je ein Produkt anzubieten. Besser ist es, flexibel auf Anforderungen und Umgebung am Einsatzort reagieren zu können. Die Integration der beiden Programme ist unterschiedlich weit fortgeschritten.

Während Zarafa in der Community-Version nutzbar integriert ist, ist derzeit die Möglichkeit auf supportete Versionen zu erweitern und Outlook-Unterstützung anzubieten versperrt. Zur Verwaltung der dafür notwendigen “Subskriptionen” benötigt die Zarafa-Installation mit dem “License Daemon” einen weiteren Dienst, der derzeit für openSUSE nicht zur Verfügung steht. An einer Lösung wird gearbeitet.

Die Fortschritte bei der Integration von OpenERP fallen etwas bescheidener aus. Zwar habe ich mit meiner FrOSCon “Bastelaktion” den eigentlichen Serverdienst zum laufen gebracht, der Webclient hingegen zeigt gerade einmal erste Lebenszeichen. Für eigene Tests stehen beide Pakete im openSUSE Buildservice zur Verfügung.

Damit bin ich auch beim nächsten Thema. Ein großer Teil meiner Arbeitskraft in den letzten Wochen ist in das vollständige neu organisieren der Software-Installation eingeflossen. Die gute Nachricht zuerst. Mit dem”spins:invis” Repository gibt es jetzt einen offiziellen Distributionskanal für die Software des invis Servers im openSUSE Buildservice. Dieses Repository beherbergt derzeit 29 Pakete und ist direkt über die Suchfunktion unter http://software.opensuse.org auffindbar. Mit dem Füllen des Repositories und seiner Freischaltung war es mir möglich, die Anzahl der für eine invis-Installation benötigten zusätzlichen Repositories auf gerade einmal 4 zu beschränken. Damit wurde auch das Risiko von Abhängigkeitsproblemen bei der Software-Installation deutlich gemindert.

Auch am anderen Ende der Software-Installation wurde viel gearbeitet. Die benötigten Software-Pakete stehen jetzt nicht mehr hinter den “zypper install” aufrufen im Setupscript sondern wurden in externen Listen-Dateien jeweils Thematisch zusammen gefasst. Dies vereinfacht die Bearbeitung der benötigten Software-Pakete um ein vielfaches und kann zukünftig als Basis für die Erstellung sogenannter Metapackages herangezogen werden.

Die wohl meiste Arbeit ist allerdings in eine der älteren Baustellen der invis-Installationen geflossen. Leider ist davon nach Außen rein gar nichts zu sehen. Der von uns eingesetzte Nameserver ISC bind wird von uns in Verbindung mit einem LDAP-Verzeichnis als Backend genutzt. Schon vor einigen Jahren wurde die von uns genutzte Weise der LDAP-Anbindung aus nicht ganz verständlichen Gründen aus den offiziellen RPM-Paketen bei openSUSE entfernt. Seit Version 9.3 bauen wir daher unsere eigenen gepatchten bind RPMs. Ein eher unschöner Zustand, da wir dadurch, etwa mit dem Einspielen von Sicherheitsaktualisierungen nie sehr Pünktlich waren. Seit einiger Zeit unterstützen die offiziellen bind-Pakete allerdings wieder LDAP als Backend, leider mit völlig anderen Anforderungen an die LDAP-Struktur. Letztere haben wir jetzt so angepasst, dass wir wieder ungepatchte bind-RPMs aus dem openSUSE-Fundus nutzen können. Neben dem Umbau der LDAP-Strukturen war allerdings in der Folge auch der Umbau einiger Teile des invis-Portals zwingend notwendig. Auch das ist erledigt. (Hintergrundwissen zum DLZ-LDAP-Schema gibts im WIKI)

Nebenbei wurde das Portal dann noch dahingehend erweitert, dass die externe Anmeldung von Benutzern via Internet und HTTPs über die Mitgliedschaft in der neuen Gruppe “mobilusers” geregelt werden kann.

Alle weiteren Neuerungen stehen im Changelog. Das neue Paket steht zum Download bereit, ist aber noch nicht zum Produktiveinsatz gedacht, wie die Bezeichnung “alpha” im Paketnamen ohnehin vermuten lässt. Über Experimente damit und ein wenig Feedback würden wir uns sehr freuen. Ebenfalls würden wir uns sehr über Unterstützung in Sachen OpenERP freuen. Hier wäre jemand mit Erfahrung eine große Hilfe.

Bis demnächst

Stefan