Die Transparent Solutions GmbH positioniert ihren Open-SBS eindeutig gegen Microsofts Small Business Server: Das Produkt soll alle zentralen Dienste mitbringen, die kleinere Windows-Arbeitsgruppen brauchen, und ohne Linux-Kenntnisse bedienbar sein. Wie gut das gelingt, zeigt dieser Test.

Open-SBS (Small Business Server, [1]) tritt an als Rundum-sorglos-Paket für kleinere Windows-Netze mit bis zu 25 Nutzern. Der Nürnberger Hersteller Transparent Solutions GmbH liefert Open-SBS als Appliance oder Software, ähnlich einer eigenen Linux-Distribution. Für den Test standen sowohl die Appliance auf Basis des Mini-PC-Barebone Shuttle SK43G [2] als auch die Software-Variante zur Verfügung.

Das Produkt ist zugleich Mail-, File-, Proxy- und Printserver, Windows-Domain-Controller, DSL-Router und Firewall. Leider besteht Open-SBS auch darauf, zwischen zwei Subnetzen platziert zu sein. Wer weder die DSL-Funktion braucht noch sein Netz in zwei Teile splitten will, reduziert den Business Server auf einen Domain-Controller mit File- und Printserver für Arbeitsgruppen.

Umfangreich ausgestattet

Der integrierte Druckserver setzt das moderne Cups als Backend ein. Um Windows-PCs nahtlos einzubinden, lassen sich wahlweise von einem Client aus passende Treiber auf dem Open-SBS hinterlegen oder Server-seitig ein generischer Postscript-Treiber aktivieren. Im zweiten Fall sorgt Cups für die Konvertierung. Zusätzlich ist ein PDF-Druckerport installiert (Abbildung 1). E-Mail verarbeitet Open-SBS per SMTP, IMAP und POP. Der Mailserver bedient interne und externe Mailkonten. Termin- und Projektverwaltung erledigt Open-Xchange 0.8.0-4 [3]. Das auf der Webseite versprochene Warenwirtschaftssystem AvERP war leider nicht installiert.

Abbildung 1: Per Samba-Server verteilt Open-SBS Dateien an die Clients und bietet ihnen auch Druckdienste. Integriert sind ein PDF-Konverter sowie ein Quarantänebereich für vireninfizierte Dateien.

Open-SBS enthält eine Sammlung von Sicherheitslösungen, zum Beispiel die obligatorische Firewallfunktion (Shorewall, [4]), VPN-Server (PPTP, Point-to-Point Tunneling Protocol), Proxyserver (mit Kategorie-basiertem Contentfilter, den Transparent Solutions per Updatemodul aktuell hält), Virenscanner (Clam-AV oder wahlweise F-Secure), Snort und Spamassassin.

Für die Betriebssicherheit in kleineren Umgebungen ist ausreichend gesorgt. Backup und Restore der Daten sowie Recovery der Konfiguration sind gut gelöst. Das GUI erlaubt zeitgesteuerte Backups (Abbildung 2). Im getesteten Shuttle-PC waren dazu passend ein DVD-Brenner und mehrere USB-Anschlüsse integriert. Ein Restore stellt neben den Daten auch die Software des Open-SBS wieder her.

Abbildung 2: Die wichtige Backup-Funktion hat Transparent Solutions gut umgesetzt. Die Konfigurationsoberfläche erlaubt zeitgesteuerte Sicherungen auf lokale Medien, etwa mit dem integrierten DVD-Brenner.

Zielgruppe

Open-SBS richtet sich an Benutzer, die auch ohne Linux-Kenntnisse einen Office-Server aufzusetzen wollen. Der Name deutet schon die angepeilte Konkurrenz an: Microsofts Small Business Server. Folgerichtig empfiehlt der Hersteller das Produkt für Windows-basierte Umgebungen. Die Schlüsselkomponente dabei ist Samba 3. Im Test mussten sich alle Komponenten zusätzlich einzeln und unabhängig von der Emulation einer Windows-Domain bewähren.

Benutzer, die tiefer in Linux einsteigen wollen, stoßen schnell an Grenzen: Vermutlich um Konflikte und Unstimmigkeiten zu vermeiden, ist jegliche Administration ausschließlich per Webinterface möglich. Es basiert Server-seitig auf dem Cocoon-Framework [5]. Das GUI ließ sich im Test zumindest mit Firefox und Opera recht zügig bedienen, war aber auf dem Internet Explorer unter Apples Mac OS X nicht einsetzbar und unter Windows XP etwas lahm.

Obwohl auf der Appliance ein SSH-Daemon läuft, ist eine Administration über die Shell nicht vorgesehen. Transparent Solutions liefert dem Kunden keine Login-Passwörter. Lediglich beim Auswerten der Logdateien sind Linux-Kenntnisse beim Systemadministrator gefragt. Diese Daten liegen nicht im Windows-typischen Format vor, sondern stammen direkt vom Unix-Syslog.

Bei der Installation plaudert die Software-Version etwas über ihre Wurzeln: Sie ist ein Debian Linux. Die genaue Kernelversion, die Prozesstabelle des laufenden Systems und andere Feinheiten der Installation sind nicht oder nur auf Umwegen zu erfahren, etwa durch eine Analyse der Festplatte oder einen Test mit dem Sicherheitsscanner Nessus [6].

Schnell installiert

Die DVD der Software-Variante bootet in eine Shell (Benutzername und Passwort stehen auf der Hülle). Nach Eingabe von »sopinstall.sh« legt ein Skript neue Partitionen an, löscht dabei alles vorher Vorhandene und bringt – ohne weitere Nachfragen – in fünf bis zehn Minuten das System auf die Platte. Nach einem Reboot ist Open-SBS einsatzbereit.

Für Linux-Clients hat das System trotz seiner Wurzeln wenig zu bieten. Windows-Rechner erhalten als Mitglied einer Arbeitsgruppe über das Netbios-Interface Zugriff auf die Default-Shares (Abbildung 3). Dort liegen sogar einige Anwendungen bereit (zum Beispiel Open Office), die der Client ohne jede Installation ausführen kann.

Abbildung 3: Open-SBS präsentiert sich gegenüber Windows unter anderem als Datei- und Druckserver. Praktisch ist zum Beispiel der integrierte PDF-Druck. Der Server liefert auch spezielle Verzeichnisse mit vorinstallierten Programmen.

Sollte der Server als Domain-Controller konfiguriert sein, bindet er auf Wunsch Client-Computer in die Domäne ein. Allerdings muss der Admin vorher über das Management-Cockpit ein Arbeitsprofil erstellen, das den gleichen Namen trägt wie der einzubindende Rechner. Auf diesem Weg finden auch Apple-Clients (Mac OS X) Zugang in die Open-SBS-Domain (Abbildung 4). Beispielsweise nutzen sie dann per LDAP die zentralen Adressenverzeichnisse.

Abbildung 4: Dank SMB mountet auch Apples Mac OS X die Verzeichnisse des Open-SBS, zum Beispiel das Default-Share.

Das Management-Cockpit von Open-SBS ist im Wesentlichen recht hoch entwickelt und gut zu bedienen. Die Tester vermissten jedoch eine Funktion, um einen einfachen »ping«- oder »dig«-Befehl von der Appliance aus abzusetzen. Da die Maschine als Firewall, Mail- und Proxyserver zentrale Netzwerkaufgaben übernimmt, würde dies das Debuggen wesentlich erleichtern.

Nicht für jedes Netz

Auch wäre es wünschenswert, die Routen von Hand ändern zu können. Das Management-Cockpit vermutet das Default-Gateway immer hinter dem PPoE-Anschluss; es ist nicht vorgesehen, dem internen Interface ein Gateway zuzuweisen. Ohne Routing reduziert sich der Funktionsumfang – wie eingangs erwähnt – weit mehr als nötig.

Die einzelnen Komponenten des Open-SBS sind durchdacht und harmonisch aufeinander angestimmt. So durchsucht und säubert etwa der vorinstallierte Virenscanner Clam-AV alle auf den Shares abgelegten Dateien sowie E-Mails und HTTP-Traffic. Der Admin legt Useraccounts nur einmal an, sie sind danach in allen GUI-Ebenen bekannt. Die Rechte der User ergeben sich aus Profilen und Gruppenzugehörigkeiten.

Beim direkten Vergleich mit einem Windows-2003-Domain-Controller kommt Open-SBS trotz Samba 3 zwar nicht an das Microsoft-Original heran. Netze, die fehlende Funktionen wie einen Active Directory Forrest oder Features daraus benötigen, sind jedoch viel eher die Zielgruppe, die Transparent Solutions mit Open-SBS anpeilt.

Der gleichzeitige Einsatz eines Office-Servers als Sicherheits- und VPN-Server erfordert Kompromisse zwischen Sicherheit und Benutzbarkeit. Bei der VPN-Lösung läuft die Certification Authority auf der gleichen Plattform wie Web- und Fileserver – mit entsprechend hohem Risiko für die Sicherheit. Nach der reinen Lehre steht eine CA in einem speziell gesicherten Raum und hat keine Netzwerkverbindung.

Gelegentlich erweist sich die ausschließliche GUI-Administration als vorteilhaft. Sie verhindert zum Beispiel, dass der Root-Benutzer – ohne die Appliance zu zerlegen – jedes beliebige File des Samba-Servers liest. Für den Test bedeutete dies aber auch, weder die Prozesstabelle noch die Version der installierten Pakete und die Härtung des Systems im Betrieb betrachten zu können. Etwas Aufschluss gibt aber ein Sicherheitsscan (siehe Kasten “Nessus-Scan”).

Die Administration der Shorewall [4] über das Management-Cockpit ist ein Schwachpunkt. Sie ist unübersichtlich und verlangt viel Vorwissen. Deutlich besser wäre der FW-Builder ([7], [8]), der ähnlich bequem zu bedienen ist wie Checkpoints Firewall-1 oder Cisco PIX.

Fazit

Open-SBS erwies sich – mit Ausnahme der Firewall – als intuitiv und einfach administrierbar. Es war an keiner Stelle nötig, den Support des Herstellers zu konsultieren. Als hoch integrierte Out-of-the-Box-Lösung hat Open-SBS die Erwartungen erfüllt. Das Produkt ist bestens auf seine – von Transparent Solutions realistisch eingeschätzte – Zielgruppe abgestimmt. Der Preis ab 300 Euro für die Software-Variante (Appliance ab 1200 Euro) ist angemessen. (fjl)