Wer Unix-Derivate und Linux-Systeme wie Sand am Meer hat, möge einen genüsslichen Blick auf SC Venus werfen. Ob auch die inneren Werte der schwäbischen Dame stimmen, verrät der folgende Beitrag.

Wenn ein Teil der Webserver eine Spezialkonfiguration benötigt oder nur zwei statt aller Abteilungen auf eine neue Linux-Distribution umstellen wollen, wenn sich also das einst homogene Netzwerk zu heterogenisieren beginnt, engt sich der Kreis geeigneter zentraler Administrationstools ein. Will dann noch der komplette Zoo mit Windows, Linux, Solaris, HP-UX, AIX, Irix und Tru64 gepflegt sein, bleibt neben der kommerziellen Software SC Venus nicht mehr viel.

Der Hersteller Science+Computing verwaltet als IT-Dienstleister hauptsächlich Unix- und Linux-Netzwerke für Entwicklung und Berechnungen. Das hat in SC Venus Spuren hinterlassen: Die Tübinger haben ihrem Werkzeug für Unix-Netze erst nachträglich beigebracht Windows-Clients zu verwalten. Entwicklungsgeschichtlich ist es also das Gegenstück zum ursprünglichen Windows-Produkt Empirum (siehe vorherigen Artikel).

Module bedienen per Shell oder Mausklick

SC Venus besteht aus den fünf Bausteinen Monitoring, Inventarisierung, Softwareverwaltung, Konfigurationsmanagement sowie dem Modul zum Verwalten von Benutzern und Dateisysteminformationen. Grundsätzlich stehen alle Funktionen als Shellbefehle zur Verfügung. Intuitiver ist mitunter das mitgelieferte GUI, das oft wiederkehrende Arbeiten auf einen Mausklick verkürzt.

Kristallisationspunkt ist der Venus-Master-Rechner, der alle Administrationsaufgaben an die über Venus verwalteten Clients weiterleitet. Die Kommunikation zwischen Client (genauer deren »screxd«-Daemons) und dem Master (per »scprex«-Kommando) erfolgt OpenSSL-verschlüsselt. Der Venus-Master authentifiziert sich dazu beim Client (das ist SSL-funktional der Server). Der Client benötigt zur Identitätsprüfung des Masters das Zertifikat von der CA der SC-Venus-Site.

Das Monitoring-Modul ist unspektakulär und solide: Erweiterbare Skripte erfassen auf den Clients Informationen über den Systemzustand und liefern sie zur Auswertung an den Venus-Master weiter. Von dort rufen die Administratoren die Meldungen nach Kategorien geordnet ab oder verarbeiten sie per Skript.

Das Inventar-Modul von SC Venus ermittelt alle Basisinformationen zur Hardware der Linux- und Unix-Clients automatisch und legt sie in einer Datenbank ab. Die Admins können frei Einträge hinzufügen und Daten per Skriptschnittstelle in ihre Programme übernehmen. Lesend darf jeder Benutzer auf die Datenbank übers Webfrontend zugreifen.

Den ersten Glanzpunkt setzt SC Venus mit dem Konfigurationsmanagement. Systemänderungen arrangiert das Modul über so genannte Methoden. Das sind Client-seitig laufende Skriptprogramme, die Konfigurationsdateien ändern oder Software installieren. Benötigt eine Methode ihrerseits ein Setup – vielleicht die IP-Adresse des DNS-Servers oder den Namen des Mail-Gateway -, speichert Venus die Daten in Kontextdateien. Alles zusammen liegt in einem Versionskontrollsystem auf dem Venus-Master.

Nach Art des Hauses

Das Versionssystem nimmt bedarfsweise auch komplette Dateien auf, die später ohne weitere Änderung auf die Clients gelangen sollen. Clou ist der Aufbau des Versionsbaums: Je nach Verzeichnis erhält jede Datei einen Gültigkeitsbereich. Sie kann global für sämtliche Rechner gültig sein oder nur für einen Rechner oder eine Architektur. Auch frei definierbare Gruppen von Rechnern sind möglich (siehe Abbildung 1).

Abbildung 1: Der Konfigurationseditor kennt Methoden, Kontexte und Dateien. Je nach Lage im Depotbaum unterscheidet sich ihr Gültigkeitsbereich.

Ist eine Methode auszuführen, pickt SC Venus für jede Maschine die passenden Dateien aus dem Versionskontrollbaum. Die »mail«-Methode etwa installiert auf Rechnern der Gruppe »Mailserver« eine spezielle Konfigurationsdatei, während gewöhnliche Arbeitsplatzrechner die Standardkonfiguration erhalten. Eine globale Kontextdatei legt die Liste der DNS-Server fest, obwohl auf den Windows-Clients eine völlig andere Implementierung der »resolver«-Methode diese Information umsetzt als bei Linux-PCs. Aufbauend auf diesem einfachen Prinzip lassen sich selbst komplexe heterogene Netzwerke gut administrieren.

Hat Methode

Praktisch für den Datenschutz: Der SC-Venus-Admin muss die Root-Passwörter von Clients und Servern nicht kennen. Außerdem ist das Produkt Multi-Administrator-fähig – soll heißen, in großen Netzwerken dürfen mehrere Administratoren ungestraft parallel tätig sein. Alle Admins arbeiten mit eigenen Benutzeraccounts, deren Administrations-Berechtigungen auch gut differenzierbar sind, was eine Spezialisierung auf bestimmte Teilaufgaben möglich macht. SC Venus protokolliert zudem alle administrativen Aktionen, um sie bei Pannen nachvollziehbar zu halten.

Die Venus-DVD enthält bereits wichtige Methoden wie NFS-Automounts bei Mail- und DNS-Servern. Routinierten Sysadmins dürfte das Schreiben eigener Methoden dank der ausführlichen Dokumentation keine Probleme bereiten. Idealerweise bilden sie Methode um Methode die komplette Systemkonfiguration ab. Neben Shellskripten unterstützt SC Venus dazu Perl, Python und unter Windows auch Visual Basic.

Globale Methoden bedingen auf allen Rechnern die Gegenwart des entsprechenden Sprachinterpreters. Für häufige Aufgaben, etwa das Ändern einer Konfigurationsdatei, gibt es fertige Hilfsfunktionen. Solcher bedient sich die Methode in Listing 1. Die wenigen Zeilen reichen, um die X11-Einstellungen des SSH-Daemon zuverlässig zu setzen.

01 # Interpreter: sh
02 ##################################################################
03 . $VENUSFUNCTIONS
04 #
05 # Method ssh-x11-forward
06 #
07 # Default to X11 forwarding in system-wide ssh_config.
08 # Allow X11 forwarding in ssh daemon config.
09 #
10 # Methods:      bsl_restart_service
11 #               Called unconditionally to restart ssh daemon.
12 # Contexts:     ssh-x11-forward
13 # Variables:    confdir
14 #               Location of ssh config files. Defaults to /etc/ssh.
15 ###################################################################
16 confdir=/etc/ssh
17 venus_import_variable -F confdir
18 
19 if ! test -d "$confdir"; then
20         venus_print_message ERROR "$confdir: not found. Aborting."
21         exit 1
22 fi
23 
24 if test "$installflag" = "i"; then
25         venus_save_file "$confdir"/sshd_config
26         venus_replace_in_file "$confdir"/sshd_config 
27                 '^X11Forwarding.*' 'X11Forwarding yes'
28 
29         venus_delete_part ssh-x11-forward "$confdir"/ssh_config
30         venus_insert_part "$confdir"/ssh_config unused 
31 'Host *
32         ForwardX11 yes
33 ' 
34         ssh-x11-forward end
35 elif test "$installflag" = "u"; then
36         venus_delete_part ssh-x11-forward "$confdir"/ssh_config
37         venus_restore_file "$confdir"/sshd_config
38 fi
39 
40 venus_run_method bsl_restart_service ssh
41 
42 exit 0

Läuft alles, benötigt ein neuer Rechner für das Netzwerk nur ein Basissystem (mit SSH); den Rest der Installation erledigt SC Venus auf Knopfdruck. Große Softwareverteilungen laufen unbeaufsichtigt über Nacht. Der Administrator startet den Rollout am Abend und prüft am Morgen das Protokoll – fertig!

Das Softwaremanagement-Modul stellt seine Funktionen sowohl über Methoden als auch per Kommandozeile bereit. Venus pflegt Software zunächst in ein Depot ein und verteilt sie von dort auf die Clients. Um die Netzlast zu verringern, kann SC Venus in großen Netzwerken auch mehrere dezentrale Softwaredepots verwalten. Je nach Anforderungen an Betriebssystem, Architektur und Libc liegen mehrere Varianten der gleichen Software im Depot. SC Venus greift automatisch die passende Version heraus.

Leider hat S+C es sich nicht nehmen lassen, ein eigenes Paketformat zu definieren, das die nötigen Meta-Informationen verwaltet. RPM, MSI von Windows oder schlichte Tarballs unterstützt der SC-Venus-Paketmanager nicht. Der Administrator muss daher jedes neue Softwarepaket vor dem Verteilen erst von Hand ins SC Venus-eigene Format konvertieren. Das ist nicht kompliziert, aber bei Unix lästig und bei vorhandenen MSI-Dateien ein echtes Ärgernis.

Wandernde Benutzer

Mehr Eindruck macht das Modul zur Benutzerverwaltung. Es kombiniert NFS, Automounter und NIS oder LDAP so, dass jeder Benutzer auf jedem Rechner mit gleichen Pfaden auf seine Daten zugreift. Bei einem zentralen Fileserver ist das nicht revolutionär. Doch SC Venus versteht sich auch auf so genannte Peer-to-peer-Anordnungen. Darin ist jeder Client zugleich Fileserver: Liegen die Daten eines Benutzers lokal auf seinem PC, sorgt die Software per NFS oder Samba für den Export auf alle Maschinen, auf denen der User eingeloggt ist.

SC Venus macht es einfach, ein solches Netzwerk zu verwalten. Wird beispielsweise der Plattenplatz knapp, genügt ein Befehl, um das Homeverzeichnis eines Benutzers auf einen anderen Rechner auszulagern (siehe Abbildung 2). Der Benutzer selbst bemerkt davon nichts.

Abbildung 2: Die grafische Benutzeroberfläche von SC Venus vereinfacht komplexe Administrationsaufgaben zu einem Mausklick, hier das Auslagern eines Homeverzeichnisses auf einen anderen Rechner.

Ein sinnvolles Tool

Wenn das Netzwerk groß ist und die Betriebssysteme Unix und Linux heißen, fühlt sich das Paket SC Venus wohl. Kommen ein paar Windows-Maschinen hinzu, schlüpfen auch die unter die administrative Decke. Betreiber reiner Windows-Netze werden aber mit dem Unix-Konzept zu kämpfen haben.

Da ein Großteil der Funktionen auf Skripten beruht, sind sie einfach zu verstehen und zu modifizieren. Vor Venus\’ Komplexität bleibt der Bediener weitgehend verschont. Im Vergleich zu Tivoli beschränkt es sich auf Kernaufgaben der Systemverwaltung. Ein Performancetool oder umfassende Storagekonzepte fehlen. Dafür ist SC Venus darauf ausgelegt, dass es der Administrator selbst erweitert – Zusatzmodule oder externes Consulting sind meist unnötig. (jk)