© www.pixelquelle.de

Eine heterogene Systemlandschaft macht IT-Verantwortlichen ihren Job nicht eben leichter: Experten für jedes Betriebssystem vervielfachen den Personalaufwand und verschärfen das Vertretungsproblem. Einen Ausweg weist Quest mit einer Lösung, die Linux-, Windows- und Mac-OS-Systeme gemeinsam verwaltet.

Wer einen Betriebssystem-Mix betreuen muss, hat ein Problem: Erzieht er seine Admins zu Generalisten, kennen sie sich überall ein bisschen aus und nirgends richtig. Setzt er Spezialisten ein, lässt sich jedes Problem bis zur Wurzel verfolgen – aber nur solange keiner krank wird oder in Urlaub geht. Dann nämlich entsteht ein Loch, Irrtümer und Missverständnisse sind programmiert.

Ein möglicher Ausweg ist eine betriebssystemübergreifende Administrationsumgebung – und genau diesem Ansatz hat sich Quest Software [1] mit ihrer Vintela-Produktschiene [2] verschrieben. Die Firma Vintela war bereits als Spezialist für Authentifizierung bekannt, bot sie doch bisher neben dem MIT und der Heimdal-Version eine eigene kommerzielle Kerberos-Implementierung an.

Das Portfolio hat sich seit der Übernahme durch Quest Software im vergangenen Jahr um einige Facetten erweitert. Fürs Systemmanagement kamen zwei wichtige Produkte hinzu: die Vintela Management Extensions (VMX) und der Vintela Systems Monitor (VSM). Der Bereich Authentifizierung blieb mit den Vintela Authentication Services (VAS) erhalten. Der Schwerpunkt dieses Beitrags liegt auf der Management-Lösung VMX. Der Systemmonitor VSM stand für einen Test noch nicht zur Verfügung, weil er sich noch in einer Betaphase befand. Beim Erscheinen dieser Ausgabe sollte allerdings der Vertrieb angelaufen sein.

Voraussetzungen

Die Management-Extension VMX setzt auf den Systems Management Server 2003 [3] von Microsoft auf. Wo dieser Server bereits eingesetzt wird, kann der Admin mit Hilfe der Erweiterung seine Linux-Clients auf sehr einfache Weise integrieren. Wer seine Windows-Maschinen allerdings noch nicht unter der Obhut des Management Servers verwaltet, sollte einkalkulieren, dass der seinerseits einen Microsoft-SQL-Server voraussetzt. Insgesamt lohnt der beträchtliche Aufwand also sicherlich eher in einer größeren Umgebung.

Vintelas VMX-Extensions erweitern die Microsoft Management Console (MMC) innerhalb des SMS 2003 um Funktionen für Linux-Clients. Diese Clients kommunizieren über den Internetstandard OpenWBEM (Web-Based Enterprise Management, [4]) mit CIM (Common Information Model) als Datenformat. Dabei entstehen XML-Files, die Client und Server via HTTP austauschen. Eben diesen Standard implementierte Microsoft auch in den Server-Editionen unter dem Oberbegriff Windows Management Instrumentation (WMI).

Für den HTTP-Transfer müssen außerdem auf Microsoft-Seite der intelligente Hintergrundübertragungsdienst (BITS) sowie das WebDAV-Protokoll installiert sein. Sind diese Voraussetzungen erfüllt, lassen sich die Management-Extensions aufspielen.

Installation

Die für diesen Beitrag getesteten Evaluationsversionen kann jedermann nach einer kurzen Registrierung von der Vintela-Website herunterladen [2]. Sie bieten eine sehr gute Möglichkeit, die Produkte vorab in der eigenen Umgebung zu prüfen. Als SQL-Server diente dem Autor die abgespeckte, aber freie Microsoft-Version SQL Express 2005, die allerdings wenig für einen Produktivbetrieb geeignet ist.

Die Installation auf Server-Seite benutzt den klassischen Windows-Installer. Die Dokumentation im PDF-Format führt den Leser Schritt für Schritt an das Produkt und dessen Administration heran. Dabei hat sich Quest erkennbar Mühe gegeben und ein hilfreiches, klar strukturiertes Dokument geschaffen. Nach der Installation ist die Management Console des SMS 2003 unauffällig um Einträge für Linux und andere Betriebssysteme sowie neue Kontextmenüs erweitert. Welche Kollektionen im Einzelnen erscheinen sollen, kann der Admin vorgegeben.

Anschließend ist noch die Installation von Client-Software auf den zu verwaltenden Linux-Maschinen nötig. Das kann manuell oder über einen Wizard geschehen. Der Wizard öffnet hierzu einen Dialog für eine SSH-Verbindung (Abbildung 1), in dem die Zugangsdaten einzugeben sind. Danach überträgt er die Installationsdateien auf den Client und führt dort ein Skript aus, das ein RPM-Paket installiert, konfiguriert und den notwendigen Daemon startet.

Abbildung 1: Der Client-Wizard führt den Administrator Schritt für Schritt durch die Installation eines VMX-Clients und gibt ausführlich Auskunft über Erfolg oder Misserfolg einer Installation.

Die manuelle Variante, lässt sich auch über die Remote Tools innerhalb der VMX-Erweiterungen für den SMS 2003 ausführen. Der vorliegende Test verwendet als Clientsystem ein Suse Linux in der Version 9.2.

Abfragen klassifizieren Clients

Da der Systems Management Server einen SQL-Server zur Verwaltung seiner Daten beschäftigt, lassen sich seine gesammelten Erkenntnisse über die verwalteten Clients auch via SQL durchforsten. Dabei kann der Admin sowohl standardmäßig vorhandene Abfragen editieren als auch deren Ergebnisse filtern. Auf diese Weise gruppiert er beispielsweise die Clients nach bestimmten Hard- oder Softwaremerkmalen. Abbildung 2 demonstriert eine Abfrage aller Suse-Systeme der Version 9.2. Solche genauen Einschränkungen bei einer Suche sind sinnvoll, da Suse-Updates an Versionen gebunden sind.

Abbildung 2: Eine Abfrage nach Hard- oder Softwaremerkmalen kann Rechnergruppen konstituieren. Dieses Beispiel fahndet nach allen Suse-Clients der Version 9.2.

Neben diesen Ad-hoc-Abfragen gibt es auch solche, die für eine dauerhafte Gruppenbildung taugen, die so genannten Collections. Das sind fest hinterlegte Abfragen, die das System in bestimmten Intervallen wiederholt und dabei auch neu hinzugekommene Clients erfasst und klassifiziert.

Produktivbetrieb

Die Collections bilden auch die Grundlage der Softwareverteilung. In ihrem Kontextmenü findet sich eine Funktion, die es ermöglicht, alle Mitglieder der Gruppe mit einer bestimmten Software zu versorgen. So zeigt zum Beispiel Abbildung 3 die Vorbereitungen für eine Installation von VAS-Clients auf Rechnern mit dem Suse-Betriebssystem. Der Dialog verlangt auch nach dem Ordner, in dem sich die zu verteilende Software befindet. Er kann wahlweise auf der lokalen Platte oder einem Netzlaufwerk liegen. Genauso lässt sich vorgeben, wann die Installation ablaufen soll: Solange der Benutzer an- oder wenn er abgemeldet ist.

Abbildung 3: Die Softwareverteilung für Linux-Systeme ist recht simpel. Grundkenntnisse über das RPM-Paketsystem reichen für die Bedienung völlig aus.

Auch System-Updates und Patches sind auf diese Weise auf Linux-Clients verteilbar. Einziges, aber gewichtiges Manko hierbei ist, dass der VMX-Client keine Paketabhängigkeiten auflöst. Laut Quest sollen die Management-Extensions in kommenden Versionen um diese wichtige Funktion erweitert werden.

Paketzustellung ferngesteuert

Eine alternative Möglichkeit, Software auf ein Linux-System zu bringen, bietet der Aufruf der distributionseigenen Paketverwaltung über die Remote Tools von VMX in Zusammenspiel mit X-Win32. Dieser X-Server für Windows ist in einer Testversion in den Evaluationspaketen enthalten. Wie Abbildung 4 zeigt, lässt sich über ein Kontextmenü der Remote Tools auch Yast auf dem Suse-Client starten.

Abbildung 4: Nicht nur X-Sessions lassen sich auf den Windows-Server holen – SMS stellt mit Putty auch einen SSH-Client zur Verfügung, der über das Kontextmenü in der Rubrik »Remote Tools« wählbar ist.

Wer bereits mit Microsofts WMI-Filtern (Windows Management Instrumentation) gearbeitet hat, wird sie zur Hardware-Inventur eingesetzt oder mit ihnen Gruppenrichtlinien auf bestimmte Clients übertragen haben. Das gelingt nun ganz genauso mit Linux-Clients. Die Abbildung 5 zeigt als Beispiel den Resource Explorer des Systems-Management-Servers, der gerade von einem VMX-Client Daten anfordert.

Abbildung 5: Der Ressource Explorer des Systems-Management-Servers sammelt eine Vielzahl von Daten über jeden von ihm verwalteten Client.

Authentifizierung via Windows

Mit den Vintela Authentication Services (VAS) lässt Quest heterogene Netze ein Stück weiter verschmelzen. VAS bietet die Möglichkeit, im Active Directory erzeugte Benutzer über die Windows-Systemgrenze hinaus auch Linux-Systemen zugänglich zu machen. Wie bei VMX ist die Installation auf Server-Seite schnell erledigt. Vor der Installation muss der Admin allerdings noch das Schema des Active Directory erweitern (eine tiefer greifende Erklärung des Zusammenspiels von Active Directory und Linux ist unter [5] zu finden).

Wer einen Windows Server 2003 R2 einsetzt, muss diese Erweiterung laut Quest nicht mehr vornehmen, da diese Version die Vorgaben des RFC 2307 bereits enthält. Für ältere Versionen bietet der Hersteller ein Werkzeug an, mit dem sich der erforderliche Eingriff schnell bewerkstelligen lässt.

Wer bereits VMX verwendet, kann die Linux-Clients über die Softwareverteilung mit dem VAS-Client bestücken. In jedem Fall muss danach der Administrator den Linux-Client der Windows-Domäne hinzufügen. Das geschieht im Beispiel mit »/opt/vas/bin/vastool -u Administrator join rouge.biz«. Die Authentifizierung läuft über einen VAS-eigenen Kerberos-Client und bedient sich des Windows-Servers 2003 als Zentrale für die gesamte Benutzer- und Passwortverwaltung.

Um Benutzer und Gruppen unter Linux zu verwalten, muss der Admin diese Instanzen im erweiterten Active Directory um Einträge für Attribute wie UID und GID ergänzen. Die VAS-Installation auf Server-Seite fügt entsprechende Tabs hinzu, in denen sich die Linux-spezifischen Merkmale eintragen lassen.

Neben den Vintela Authentication Services bietet Quest mit den Vintela Group Policy Editor Extensions (VGP) die Einbindung von Linux-Clients in die Gruppenrichtlinien der Active-Directory-Server an. Durch entsprechende administrative Templates sind damit über den Gruppenrichtlinien-Editor in der Microsoft Management Console (MMC) Gruppenrichtlinien auch auf Linux-Systeme anwendbar.

Der Umfang dieser Richtlinien für Linux-Systeme ist ansehnlich: Neben den obligatorischen Startup-Skripten, lassen sich Cron und Syslog konfigurieren, symbolische Links erstellen oder Zugriffsberechtigungen für Anwender definieren.

Observieren mit VSM

Im Gegensatz zum Systems Management Server, der Systeme verwaltet, dient der Microsoft Operations Master zur Überwachung. Quest verspricht, dass sich seine VSM-Extensions nahtlos in Microsofts Master integrieren. Eine Stärke des Operation Master ist seine Erweiterbarkeit durch Management-Packs. Quest bietet derzeit in der Betaversion des VSM nur ein Base-OS-Management-Pack an, das die Überwachung von Performancedaten erlaubt und Schwellenwerte für CPU-Last oder Speicherauslastung berücksichtigen kann.

Zukünftige Versionen sollen laut Hersteller noch wesentlich ausgebaut werden. Daran kann sich jeder VSM-Anwender beteiligen: Nach dem Open-Source-Prinzip ruft Quest unter [6] die Nutzer dazu auf, eigene Management-Packs zu entwickeln und zu veröffentlichen, und erwartet darüber hinaus, dass sich künftig auch führende Softwarehersteller daran beteiligen.

Pro und Contra

Eine Schwachstelle in VMX ist die schlechte Performance. So liefern etwa die zeitgesteuerten Abfragen oft keine sofortigen Antworten. Das schlägt sich ebenfalls in den Reports über die mit VMX durchgeführten Operationen nieder, die erst mit Verzögerung sichtbar werden. Insgesamt gestaltet sich dadurch die Arbeit etwas zäh. Laut Quest steht eine Verbesserung der Performance ganz oben auf der Todo-Liste. Ein weiterer Schwachpunkt ist das fehlende Auflösen der Abhängigkeiten zwischen einzelnen Paketen.

Positiv fällt dagegen ins Gewicht, dass Hersteller Quest seine Vintela-Produktschiene in bereits etablierte Management-Werkzeuge wie SMS 2003 und MOM 2005 integriert und es damit den Windows-erfahrenen Administratoren ermöglicht, schnell in die Verwaltung Unix-basierter Betriebssysteme einzusteigen. Beide Systemwelten verschmelzen in einem zentralen Management, in dem es für Admins keinen Unterschied mehr macht, welches System sie gerade konfigurieren, mit Software versehen oder wessen Benutzer und Gruppen sie verwalten. (jcb)