© photocase.com

Richtlinienorientierte Administration, Systeminstallation mit Hilfe von Images, Inventarisierung – mit diesen Highlights emanzipiert sich die neue Version 7 von Novells Linux-Management-Software Zenworks von ihrer Red-Carpet-Vergangenheit.

Noch bevor Novell Suse schluckte, genehmigte sie sich im Sommer 2003 ein schlagzeilenträchtiges Appetithäppchen in Gestalt des bekannten Softwareherstellers Ximian. Dessen Systemverwaltungssoftware Red Carpet firmierte danach als Zenworks Linux Management (ZLM, [1]), das die neuen Eigner mit den Versionen 6.5 und 6.6 ausbauten. Dabei blieb die Red-Carpet-Vergangenheit aber immer deutlich erkennbar.

Erst die jetzt erschienene Version 7 bringt einen merklichen Einschnitt: Der Einfluss von Novell hat sich verstärkt, eine neue Administrationsschnittstelle, Änderungen an der Architektur und ein stark gewachsener Funktionsumfang sind die sichtbaren Belege dafür. Novell plante ursprünglich mit der Zenworks-Release 7 alle Teilprodukte [2], also das Server-Management, das Desktop-Management für Windows und das Asset-Management, mit der gleichen Oberfläche auszustatten und eine einheitliche Architektur einzuführen. Rechtzeitig fertig wurde aber nur ZLM 7.

Die anderen Zenworks-7-Produkte weisen zwar funktionale Neuerungen auf, verwenden aber noch die etwas antiquierte Java-Anwendung Console One für die Administration und keinen externen Datenbankserver als Repository. ZLM 7 ist also das erste Zenworks-Produkt mit neuem Gesicht und zeigt, wohin sich die Familie entwickeln soll.

Lebenslang betreut

Mit Zenworks hat sich Novell das so genannte Lifecycle-Management auf die Fahnen geschrieben, das zum Ziel hat, die verwalteten Systeme während ihres gesamten Lebenszyklus von der Erstinstallation bis zur Außerbetriebnahme lückenlos zu betreuen. Entsprechend finden sich nicht allein Funktionen für die Softwareverteilung einschließlich der Patchverwaltung, sondern ebenso für das Betriebssystem-Deployment, für Updates, für erste Ansätze einer Konfigurationsverwaltung bis hin zur Inventarisierung und zur Fernwartung.

Alle Funktionen lassen sich von zentraler Stelle aus lenken, wobei Novell mit einem Richtlinienkonzept arbeitet. Den Anwendern anderer Zenworks-Produkte ist dieser Ansatz bereits vertraut. Policies steuern die Konfiguration von Systemen und schränken gegebenenfalls die für einen Anwender sicht- und nutzbaren Funktionen ein. Daneben gibt es umfassendes Reporting, das Ereignisse protokolliert und ebenso wie Inventardaten und andere Informationen über vordefinierte oder selbst anzulegende Berichte den Admins zur Verfügung stellt.

Zonen gliedern Netze

ZLM gliedert den ihm anvertrauten Netzwerkbereich hierarchisch. Die oberste Ebene ist eine Verwaltungszone. In einem Netzwerk kann es mehrere dieser Verwaltungszonen geben, für die jeweils mindestens ein Server zuständig ist. Das ist sinnvoll, weil beispielsweise gerade das Imaging ausgesprochen Last-intensiv ist. Die Geräte einer Verwaltungszone muss der Admin registrieren, wodurch Meta-Informationen über sie in eine zentrale Datenbank gelangen.

Im Gegensatz zu den anderen Zenworks-Versionen, die das E-Directory [2] als Repository verwenden, kommt beim Linux Management ein externes Datenbanksystem zum Zuge. Das führt allerdings zu zwei Problemen: Zum einen sind so die administrativen Benutzer separat zu verwalten, was schlicht kein zeitgemäßer Ansatz ist. Von einem Anbieter wie Novell, bei dem die Integration von Identitätsinformationen einen hohen Stellenwert hat, wäre eine bessere Lösung zu erwarten. Besonders problematisch ist, dass sich noch nicht einmal Gruppen von Verwaltern mit einheitlichen administrativen Berechtigungen bilden lassen.

Zum anderen kennt ZLM wegen dieser Herangehensweise auch nur Arbeitsstationen, nicht aber Benutzer. Szenarien, bei denen mehrere Anwender den gleichen Rechner verwenden, lassen sich damit nicht abbilden.

Innerhalb der Verwaltungszonen definiert der Admin Bundles und Richtlinien, die er wiederum zu Gruppen und in Ordnern zusammenfassen kann, die untereinander Eigenschaften vererben. Da die Vererbung hierarchisch erfolgt, sind auf den unteren Ebenen Ausnahmen für einzelne Gruppenmitglieder zugelassen. Dieses Konzept garantiert auch in sehr großen Umgebungen eine effiziente Administration.

Richtlinienbasierte Administration

Die wichtigste Neuerung bei ZLM 7 ist die richtlinienbasierte Verwaltung. Richtlinien beschreiben, welche Aktionen bestimmten Benutzern gestattet sind (Abbildung 1). Es existieren beispielsweise eine allgemeine Gnome-Richtlinie, eine Epiphany-, eine Evolution- und eine Firefox-Richtlinie (Abbildung 2).

Abbildung 1: Mit dem Anlegen einer Richtlinie – hier betrifft sie Optionen für den Desktop – begrenzt der Admin die Konfigurationsmöglichkeiten der Anwender.

Abbildung 2: Die richtlinienbasierte Administration gründet sich auf detaillierte Regelwerke für den Umgang mit allen wichtigen Applikationen.

Verglichen mit den Optionen, die es beim Zenworks 7 Desktop Management (ZDM) gibt, dem Zenworks-Produkt für die Windows-Administration, sind diese Richtlinien aber nur ein erster Schritt. Denn obwohl sich mit ihnen etwa die Anpassung der Oberfläche oder der Zugriff auf das lokale Dateisystem einschränken lassen, was unerwünschte Eingriffe verhindern hilft, ist ZLM von einer vollständigen Kontrolle des Desktops noch weit entfernt.

Imaging und Systeminstallation

Die zweite wichtige Neuerung ist das integrierte Imaging, genauer gesagt die Preboot-Services für das Betriebssystem-Deployment. Damit lässt sich die Installation neuer Systeme automatisieren. Die Basis bilden entweder Images oder Quelldateien. Das Modul unterstützt sowohl den Zenworks-eigenen Mechanismus als auch die Installation von Suse Linux und Red Hat über Autoyast respektive Kickstart. Außerdem können Systeminstallationen auch als Multicast durchgeführt werden, was beispielsweise für die regelmäßige Neuinstallation aller Rechner in Schulungsräumen hilfreich ist.

Welche der Varianten die geeignete ist, hängt davon ab, wie stark die Systeminstallation an besondere Anforderungen anzupassen ist. Da ZLM 7 aber immerhin fünf verschiedene Methoden unterstützt, findet sich zumindest für Suse Linux und Red Hat Linux sicherlich immer eine passende Möglichkeit.

Neu ist auch die Inventarisierung. Mit ihr lassen sich umfassende Informationen über die verwaltete Hard- und Software sammeln, die später einzeln oder in Form von Berichten abfragbar sind (Abbildung 3). Damit ermittelt der Admin beispielsweise sehr einfach, welche Pakete auf welchen Systemen installiert sind. So lassen sich auch Abweichungen von einer vorgegebenen Musterinstallation erkennen.

Abbildung 3: ZLM 7 sammelt umfassende Informationen zu den einzelnen Systemen und hat auch eine detaillierte Inventarisierung im Repertoire.

Softwareverteilung

Der Kern der Funktionalität von ZLM bleibt die Softwareverteilung. In diesem Bereich gibt es keine grundlegenden Neuerungen. Nur die automatische Prüfung von Abhängigkeiten ist nun integriert. Neben den bereits erwähnten Bundles kommen hier auch Kataloge ins Spiel. Während ZLM die Pakete eines Bundles zwingend installiert, können Benutzer aus Katalogen auch auswählen, welche Pakete sie installieren möchten. Unterstützt werden ausschließlich RPM-Pakete. Die Softwareverteilungs- und damit auch Patchmanagement-Funktionalität von ZLM 7 ist gewohnt solide

Administration

ZLM 7 lässt sich einerseits über eine grafische Webschnittstelle (Abbildung 4) und andererseits über eine Befehlszeile verwalten. Die grafische Schnittstelle arbeitet recht zuverlässig, ist einfach zu bedienen und für den Einstieg gut geeignet. Allerdings erscheint sie trotzdem dort, wo viele Systeme zu verwalten sind, nicht als der Weisheit letzter Schluss. Entsprechend dürften die umfangreichen Kommandozeilen-Tools auch viele Freunde finden. Wer in größeren Netzwerken regelmäßig ZLM 7 für die Administration nutzt, ist damit sicherlich besser bedient.

Abbildung 4: Das Zenworks-Kontrollzentrum ist die grafische Schnittstelle für die Administration von ZLM 7.

Schwachstellen: Integration und Schnittstellen

Auch wenn ZLM 7 insgesamt überzeugen kann, ist das Produkt nicht ohne Schwächen. So sind Clients so konfigurierbar, dass sie Aktualisierungen automatisch via YOU oder RHN beziehen, was aber fehlt, sind einfache und dokumentierte Schnittstellen für den automatischen Import von Softwarebundles. Außerdem fehlen Workflows, mit denen sich beispielsweise ein Prozess für Test und Freigabe von Patches abbilden ließe. Das ist allerdings eine generelle Schwäche der Zenworks-Produkte, die jedoch mit der Zeit für den Anwender immer schmerzhafter wird.

Bedauerlich ist auch, dass ZLM 7 von ZDM 7, dem Schwesterprodukt für Windows, völlig getrennt ist. Wo sowohl Linux als auch Windows auf den Desktops laufen, müssen Administratoren mit zwei Verwaltungsschnittstellen und zwei Infrastrukturen arbeiten. Natürlich wäre eine Integration nicht gerade trivial, würde aber den administrativen Aufwand in heterogenen Umgebungen deutlich reduzieren.

Etwas seltsam mutet die Plattformunterstützung an. ZLM 7 läuft nicht (!) auf dem Novell Open Enterprise Server unter Linux, sondern nur auf SLES 9.x. Außerdem kann ZLM Suses Konqueror-Browser offiziell nicht unterstützen und zeigt beim Aufruf der Verwaltungsschnittstelle eine Warnung an.

Es ginge besser

Als Fazit ist festzuhalten, dass ZLM in der Version 7 wesentlich reifer geworden ist. Die neuen Funktionen sind für das effiziente verteilte Management von Linux-Desktops ein großer Fortschritt. Wer aber den nahe liegenden Vergleich zu ZDM 7 für das Management von Windows-Desktops anstellt, der erkennt recht deutlich, dass es noch sehr viel Verbesserungspotenzial gibt. Dazu zählen eine benutzerabhängige Konfiguration von Linux-Desktops ebenso wie mehr und umfassendere Richtlinien für die Verwaltung der Zielsysteme. Trotzdem ist Novell aber definitiv auf dem richtigen Weg.

Die Zenworks-Suite kostet ohne Rabatte rund 150 Euro pro Benutzer oder Gerät. Sie wird unter einer kommerziellen Lizenz angeboten. Für Updates bietet Novell günstige Konditionen an. (jcb)