Erfolgreiche Migration auf Linux beim Bund

Aus Linux-Magazin 02/2003

Erfolgreiche Migration auf Linux beim Bund

Von und

Hand in Hand arbeiteten mehrere kleine und mittelständische Unternehmen bei drei Migrationsprojekten in Bundeseinrichtungen. Ende Oktober gingen die Projekte zur allseitigen Zufriedenheit zu Ende.

Für den typischen IT-Berater sind pünktlich abgeschlossene Migrationsprojekte so etwas wie Schnee im Hochsommer, erst recht, wenn nur drei Monate zur Verfügung stehen und neue Kooperationen zwischen Unternehmen zu etablieren sind. Die hier vorgestellten Firmen schafften es jedoch, die enge Deadline einzuhalten

Anfang 2002 startete der Bund eine Umfrage in den Behörden, um das Interesse an einer Migration auf Linux auszuloten. An den Pilotprojekten, die mit Mitteln des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) finanziert wurden, nahmen das Kartellamt in Bonn teil sowie die ihm unterstellte, aber weitgehend selbstständig arbeitende Monopolkommission und die Tiertechnische Versuchanstalt der Bundesforschungsanstalt für Landwirtschaft in Mariensee.

Die Szenarien fielen sehr unterschiedlich aus und boten den ausführenden Firmen genügend Gelegenheit dazu, die Fähigkeiten von Linux und freier Software, aber auch ihre eigene Professionalität unter Beweis zu stellen. Alle Migrationsprojekte wurden europaweit ausgeschrieben und nach einer ersten Auslese traten die Firmen in eine Bieterkonferenz ein, in deren Verlauf sich die Kooperationen sehr schnell abzeichneten.

Verbessertes Sicherheitskonzept

Ziel der Migration war und ist aber nicht allein ein Austausch der Lizenz-gebundenen Software durch kostenlose Komponenten, da zudem über den tatsächlichen Einspareffekt zu diesem Zeitpunkt noch keine Aussage möglich ist. Mit den offenen Softwareteilen verbessert sich nach Auffassung des BSI vor allem die Sicherheit der IT-Infrastruktur als Ganzes. Mehr Transparenz, schnellere Fehlerbehebung und leichtere Updates, das sind die Erwartungen.

Bei der Monopolkommission sind sicherheitstechnische Aspekte durch einen Fingerprint-Scanner und den Einsatz eines Chipkartenleser am Arbeitsplatz der Mitarbeiter realisiert. Zudem stellten die beiteiligten Firmen, Natural Computing, SFI und die Quelltext AG, einen Server und insgesamt 20 Clients komplett Linux um.

Die Authentifizierung erfolgt heute mittels Chipkarte und Abfrage der biometrischen Daten. Die Chipkarte enthält Namen und User-ID des Nutzers im Klartext, sie wird benötigt, um den Schlüssel zur Entschlüsselung des Fingerabdrucks anzufordern. Die Fingerprint-Daten liegen verschlüsselt auf einem Server. Mit dieser Infrastruktur, die auf ein Passwort verzichtet, wurde eine Drei-Punkte-Sicherheit umgesetzt. Man benötigt Chipkarte, Fingerabdruck und Zugang zum Server, um sich am System zu authentifizieren.

Die Chipkarten-Technologie kommt von Siemens, ebenso die Verschlüsselung der Biometriedaten. Das ist der einzige Teil des Projekts, der nicht Open Source ist. Dieses Konzept setzten die Firmen Natural Computing (Client) [http://www.natural-computing.de] und SFI Service Technology [http://www.sfi.ch] aus der Schweiz (Server) um.

“Für mich liegt der große Vorteil der jetzigen Lösung darin, dass der Anwender nicht mehr sein Passwort merken muss”, so Peter Göbel, Projektleiter in der Monopolkommission. Die Kombination aus Chipkarte und Fingerabdruck-Scanner erspart den Adminstratoren viel Arbeit mit vergessenen Passwörter und ist für Anwender angegenehmer.

Abbildung 1: Mit dem Fingerprint-Scanner auf der Maus lassen sich die biometrischen Daten sehr einfach erfassen.

Abbildung 1: Mit dem Fingerprint-Scanner auf der Maus lassen sich die biometrischen Daten sehr einfach erfassen.

Aufgrund der neuen Multiuser-Umgebung ist es nun einfacher geworden, befristet Kräfte an die jeweils freien Arbeitsplätze der Behörde zu setzen, da diese ihre Profile und User-Daten nun immer mitnehmen. Auf dem zentralen Server führen die Administratoren zudem die Backups der Daten durch. Digitaler Schlüssel und Fingerprint dienen zur Authentifizierung des Anwenders gegenüber Client und Server. So gelangt der Mitarbeiter an seine Daten und die gemeinsamen File-Shares.

Die Chipkarte im Zusammenwirken mit dem Fingerabdruck findet jedoch ebenfalls Verwendung bei der Sigantur und der Unterschrift von E-Mails. Als Standard-E-Mail-Client ist Sylpheed im Einsatz; verschlüsselt wird die Nachricht via GnuPG. Mit dieser Sicherheitsarchitektur verwirklicht die Monopolkommission schon heute, was in der Richtlinie “Bund online” erst offiziell für das Jahr 2005 gefordert ist.

Damit sowohl Server- als auch Client-Rechner sicherheitstechnisch auf dem letzten Stand sind, bauten die Techniker ein Software-Updatesystem auf, das auf Debians Apt-get basiert. Dieses System legt die Pakete zuerst auf dem zentralen Rechner ab und führt dann das Update bei den Arbeitsplatzrechnern durch. Welcher Client dabei welche Software bekommt, ist durch ein abgestuftes System von Client-Klassen festgelegt, in die die Workstations einsortiert wurden.

Zufriedene Community

Die Struktur des Netzwerks ist von Anfang an so konzpiert, dass sie mit der Zeit mitwachsen kann. Wo derzeit als Server ein Dual-Prozessor-Rechner alle Dienste für die Kommission bereitstellt, könnten auch problemlos vier oder mehr Rechner stehen. Um intern auf den gleichen Daten zu arbeiten und diese auch aus einer Office-Anwendung nutzen zu können, implementierten die Mitarbeiter von Natural Computing eine Anbindung zur PHP-Groupware von Star Office aus.

Als Thomas Sprickmann Kerkerinck, Geschäftsführer der Dortmunder Firma Natural Computing, zusammen mit den Kollegen von der Quelltext AG [http://www.quelltext-ag.de] und den Schweizern das Projekt abschließend noch einmal vorstellte, registrierte er Erstaunen darüber, wie bei der hohen Komplexität der Aufgabenstellung in so kurzer Zeit praktikable Lösungen aus dem Open-Source-Umfeld gefunden wurden. “Darüber sind nicht nur wir als Unternehmen zufrieden, sondern auch die Open-Source-Community kann damit zufrieden sein”, so Sprickmann.

Die Migration in einem so straffen Zeitrahmen durchzuführen war nicht zuletzt deshalb möglich, weil Natural Computing auf das Eigenprodukt Natural.desktop zurückgreifen konnte. Nur sehr kleine Modifikationen waren hier notwendig. Ebenso wichtig wie die richtige technische Umsetzung ist nach Ansicht von Thomas Sprickmann jedoch die zeitnahe Einarbeitung der Mitarbeiter mit den neuen Oberflächen und Arbeitsweisen. “Damit wächst die Akzeptanz sehr schnell.”

Für den Anwender ergibt sich im ersten Augenblick kein direkter Vorteil von der neuen Arbeitsumgebung. Der Anwender bedient die Programme auf altbekannte Weise. Erst in zweiter Linie macht sich die Migration durch erhöhte Stabilität und Sicherheit bezahlt.

Gnome-Meeting

Für einen späteren Zeitpunkt geplant ist ein Informationsverbund zwischen den fünf Außenstellen der Monopolkommission. De facto ist in Bonn nur das Generalsektariat der Kommission. Die weiteren Mitglieder sitzen an verschiedenen Lehrstühlen von Universitäten in ganz Deutschland. Aufgrund der dezentralen Struktur bietet sich der Einsatz von VPN geradezu an, aber dafür müssten erst in den fünf weiteren Stellen der Kommission noch die Voraussetzungen geschaffen werden, so Peter Göbel.

Sind diese Voraussetzungen aber erst einmal vorhanden, dann können sich die Mitglieder in Zukunft aufwendige Reisen sparen und via Gnome-Meeting miteinander konferieren. In Bonn ist die Software, die Video-Konferenzen über IP ermöglicht, hausintern bereits sehr erfolgreich im Einsatz.

Ade NT

Beim Bundeskartellamt [http://www.bundeskartellamt.de] stand eine Überprüfung des Sicherheitskonzepts im Rahmen der Migration und Konsolidierung von 17 Windows-NT-Server an. Zudem strebte die Behörde eine Vereinfachung der Administration an. In das Projekt involviert waren die Berliner Linux AG [http://www.linux-ag.de], Science und Computing aus Tübingen [http://www.science-computing.de] sowie die Bremer Firma Univention [http://www.univention.de].

Abbildung 2: Das Bundeskartellamt in Bonn setzt auf Open Source im Server-Bereich. Mit der neuen IT-Struktur soll die Sicherheit erhöht werden.

Abbildung 2: Das Bundeskartellamt in Bonn setzt auf Open Source im Server-Bereich. Mit der neuen IT-Struktur soll die Sicherheit erhöht werden.

“Für die rund fünf IT-Beauftragten und Techniker im Kartellamt waren Linux und Open Source zwar kein Fremdwort, die Umstellung bedeutete aber einen erheblichen Aufwand an zusätzlicher Arbeit”, so Orti von Havranek, zuständig für die IT im Kartellamt. Daher schauten die Mitarbeiter dem bevorstehenden Projekt mit Optmismus, aber auch einer Portion Skepsis entgegen.

Die Auftraggeber zeigten sich nach Abschluss vollauf zufrieden: “Ende Oktober kam einer der Mitarbeiter auf mich zu und fragte, wann denn nun die Migration sein”, sagt Stephan Orti von Havranek. Zu diesem Zeitpunkt legten die Projektmitglieder gerade noch letzte Hand an; der Großteil der Arbeit war bereits unter Dach und Fach.

Konsolidierung

Von den 17 PC-Servern sind sieben übrig geblieben. Neue Hardware musste nicht angeschafft werden, da die alten PC-Server auf Intel-Basis heute noch in Betrieb sind. Trotzdem bemerkten die Mitarbeiter einen deutlichen Geschwindigkeitsschub im Netzwerk. Drucker- und Filesharing-Dienste konnten zusammengefasst werden. Das Dokumenten-Managementsystem im Intranet ist heute einfacher zu bedienen. Die Mitarbeiter nehmen die neue Lösung, die auf PHP basiert, gut an. Die eingesetzte Software heißt Postnuke und ist zu finden unter [http://www.postnuke.com].

Schwierigkeiten machte die Vorgangsdatenbank. “Das ist eine recht komplexe Client-Server-Datenbankanwendung, in der alle Vorgänge und deren Bearbeitung erfasst werden. Das war bisher eine Visual-Basic-Anwendung mit MS-SQL als Backend. Nach der Migration ist die Datenbank die SAP-DB, das Frontend auf den Clients ist nach wie vor Visual Basic, weil in diesem Projekt keine Client-Migration durchgeführt wurde. Nach Abschluss der Maßnahmen vor Ort und den Schulungen der Mitarbeiter geben die ausführenden Unternehmen Support für eine Dauer von sechs Monaten, beginnend mit dem Ende des Projekts. Nach dieser Zeit sind die IT-Verantwortlichen auf sich allein gestellt.

Die alte Windows-Umgebung zeigte sich jedoch hartnäckig: Die Server-Migration machte neue IP-Adressen für die Server erforderlich, aber die alten Namen blieben, damit nicht auf allen Clients alle möglichen Verknüpfungen, Registry-Einträge und Ini-Dateien geändert werden mussten. Damit die Clients nach der Umstellung die neuen Server finden, muss natürlich sichergestellt sein, dass zum alten Namen die neue IP-Adresse aufgelöst wird.

Das funktioniert nur dann, wenn der Client keine eigenen Vorstellungen von der Welt hat. Leider gab es etliche Clients, die diese eigene Vorstellung in Form einer »lmhosts«-Datei hatten. Dies führte natürlich dazu, dass die betreffenden Clients die neuen Server nicht fanden. Die Alten waren abgeschaltet, und so erhielten die User ein frisches Profil und einen leeren Outlook-Mailfolder, weil die auf den Servern liegen.

Turnschuh-Administration

Natürlich war die »lmhosts« der erste Gedanke. Auf das Thema angesprochen, erhielt man die Aussage, die müssten schon längst abgeschafft sein. Da war dann Turnschuh-Adminstration notwendig: Von einem Rechner zum nächsten laufen und nach der Datei suchen. Stichproben ergaben, dass er doch noch einige davon gaben, die das Netzwerk beeinflußten.

Darüberhinaus waren kaum Schwierigkeiten zu verzeichnen – eher im Gegenteil, wie Stephan Orti von Havranek berichtet: “Die Zusammenarbeit mit den Firmen zeichnete sich durch den Pragmatismus der externen Akteure aus, die – als einer der Printer-Server im Hause seinen Geist aufgab – bespielsweise über Nacht einen Samba-Server aufsetzten.”

Auch Sebastian Hetze von der Linux AG sieht in dem Projekt einen Beweis für Einsatzfähigkeit von freier Software: “Datenbanken bilden das Rückgrat der IT in den meisten Unternehmen. Das Migrationsprojekt im Bundeskartellamt hat erfolgreich gezeigt, wie die Umsiedlung einer komplexen Fachanwendung auf eine Open Source Datenbank aussehen kann. Mit rund 150 Stored Procedures auf 42 Tabellen war die Migration durchaus anspruchsvoll. Die Einbindung in das ADO von Visual Basic stellte die größte Herausforderung dar, um die neue Datenbankumgebung transparent an die bestehende Applikation anzubinden.”

Technisch sind heute alle Anforderungen der Behörde erfüllt. Dabei spielte die weltweite Community eine nicht unerhebliche Rolle. Die Mitglieder der Projektgruppe durchforsteten Mailing-Listen, konferierten mit Developern rund um den Globus und wateten knietief durch den Quellcode verschiedener Datenbanken auf der Suche nach der passenden Lösung.

Auch bei diesem Projekt galt das Prinzip: Gemeinsam sind wir stark. Das Konsortium aus Firmen mit langjähriger Open-Source-Praxis erfüllte das Spektrum an hohen Anforderungen für die Durchführung dieses Projektes erfüllen.

Hege des Pinguins

Bei der Tiertechnischen Versuchsanstalt in Mariensee ist Linux schon lange im Einsatz, als “Linus noch selber auf Mails geantwortet hat”. Insgesamt rund 120 Desktop-Rechner, die als Thin Clients in das Netzwerk integriert sind und zehn Server mit den Diensten Firewall, FTP, CVS, Drucker- und File-Sharing. Bisher eingesetzte Distribution: Red Hat.

Ausführende Firma war Gonicus in Zusammenabeit mit Credativ und LyX-developern. “Die haben da eine schicke Sache hingelegt”, freut sich Eildert Groeneveld, Leiter des Forschungsbereichs “Züchtung und genetische Ressourcen”. In diesem Bereich migrierte man die Server auf das freie Betriebssystem sowie die meisten der 120 Clients.

Die Anpassungsschwierigkeiten wichen bei dieser Migration ebenfalls der angenehmen Überraschung über den Bedienkomfort der neuen KDE-Oberfläche. Viele fürchteten die Kommandozeile.

Mit der Migration bereinigten die Firma Gonicus in Zusammenarbeit mit den Adminstratoren vor Ort Mängel im Sicherheitskonzept und stellten alle Rechner im Netzwerk, die unter Linux laufen auf Debian um. “Da überzeugt einfach der Update-Mechanismus. Das System ist zwar am Anfang etwas ungewohnt, aber die Technik ist insgesamt konsistenter”, so Groeneveld.

Migration verdauen

Die Mitarbeiter der Anstalt sind häufiger unterwegs, so dass zum Rechnerpark auch etliche Laptops – teilweise mit Dual-Boot-Systemen – gehören. Diese werden ebenfalls Schritt für Schritt umgestellt und sind so leichter zu warten.

Im Rahmen der Umstrukturierung fielen für die Mitarbeiter einige neue Features ab, wie beispielsweise lassen sich die eingegangenen Mails nur von außen über ein Webfrontend a la GMX aufrufen und bearbeiten. Nach und nach soll auf den restlichen Schreibtischen ebenfalls Linux werkeln. Aber damit will man es langsam angehen lassen: “So eine Migration muss erstmal verdaut werden”, so Groeneveld.

Auf einem anderen Gebiet sind die Mitarbeiter der Anstalt aber bereits Vorreiter: In der Tiertechnischen Versuchanstalt kommt eine neue Version von LyX [http://www.lyx.org] zum Einsatz, die vom Jülicher Unternehmen Credativ [http://www.credativ.de], dem Österreichischen Programmierer Erich Frühstück entwickelt wurde. Credativ übernahm zudem die Qualitätssicherung des Gesamtprojektes.

Mit der neuen Version ist ein Revisionsmodus verfügbar, der im DVI die Veränderungen anzeigt und wie in bekannten Textverarbeitungen eine schrittweise oder komplette Übernahme der Korrekturen erlaubt.

Diese Änderungen, die LyX fit für den Einsatz in zahlreichen Büroumgebungen machen, fließt in den ganz normalen CVS-Baum des LyX-Projektes mit ein und steht damit in Zukunft allen Anwender zur Verfügung. Eine Arbeit, die vom freien Programmierer John Levon erledigt wurde.

Alle drei Behörden blicken auf einen erfolgreichen ersten Schritt hin zu einem neuen System. Für das Bundesinnenministerium standen bei den Mirgrationen die Ziele Sicherheit und Abkehr von einer Software-Monokultur, sprich Windows auf allen Rechnern, im Vordergrund.

Diese Ziele sind erreicht und können in Zukunft auch an anderer Stelle wiederholt werden. Die Ämter könnten sich dabei beispielsweise bei IBM aus einer Hand bedienen lassen. Der Konzern bietet gerade der öffentlichen Verwaltung sehr günstige Konditionen. Selbst PC-Ware, der größte Verkäufer von Microsoft-Lizenzen in Deutschland mit einer Quasi-Monopolstellung in der öffentlichen Verwaltung, bietet Linux-Produkte und Support an.

Die hier vorgestellten drei Fälle zeigen aber, dass es auch anders geht. Schließen sich kleine Firmen mit einander ergänzenden Portfolios zu starken Kooperationen zusammen, erfüllen sie spielend leicht den mitunter komplexen Anforderungen einer Behörde oder anderen öffentlichen Einrichtung.

Das gilt vor allem, weil die Gründer und Chefs dieser Firmen meist direkt aus der freien Entwicklergemeinde stammen, mit den Kommunikationsprozessen der Community bestens vertraut sind, wenig Berührungsängste kennen und Technologien meist nach rein pragmatischen Grundsätzen auswählen.

Hausbesuche

Den Auftraggebern gelingt es auf diese Weise vielleicht besser als bei Aufträgen an Großkonzernen, das riesige Reservoir des globalen IT-Know-Hows anzuzapfen und aus einer Vielzahl möglicher Lösungen für ihr Problem die wirklich beste zu finden. Die Kehrseite der Medaille: Ohne eine gewisse Open-Source-Kompetenz innerhalb der Behörden läuft es nicht. Aber genau das scheint das BSI deutlich genug erkannt zu haben.

Hausbesuche bei den Pilotprojekten und interessierte Zuhörer bei den Präsentationen sprachen eine deutliche Sprache. Die nächsten Verhandlungen stehen an und die kleinen Unternehmen hoffen, bestärkt durch diese Erfolge, im Rennen zu bleiben.

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben