Es ist das übliche Netz-Kuddelmuddel. Da hat eine Firma an zwei Hauptstandorten und fünf kleineren Support- und Lieferzentren 3000 Mitarbeiter und 1200 IT-Arbeitsplätze. Weil das Unternehmen mit den Jahren gewachsen ist, existiert keine IT-Infrastruktur aus einem Guss. Die dezentrale Verwaltung des Netzwerks bereitet Schwierigkeiten: Die untergeordneten Standorte werden in Windows-NT-Domänen geführt, die Zentrale in einer Active-Directory-Domäne. Einige Bereiche des Unternehmens setzen Linux für Server-Anwendungen ein, zum Beispiel als Stand-alone-File-, Print-, Web- oder DHCP-Server.

Die wachsende Komplexität der IT-Infrastrukturen macht die Inkompatibilität von Betriebssystemen und Softwarekomponenten zum zentralen Problem. Heterogene Netzwerke mit Linux- und Windows-Domänen erschweren Entscheidern und Systemadministratoren das Leben. Abhilfe schaffen nur wirtschaftlich vertretbare Lösungen, die die auftretenden Schwierigkeiten überwinden. Interoperabilität lautet das Stichwort, das die Fähig- keit unterschiedlicher Soft- und Hardware zur Zusammenarbeit beschreibt.

Auch wenn es manchem gestressten Systemadministrator gelegen käme: Ein homogenes Netzwerk ist meistens nicht die beste Lösung. Die Anforderungen im Geschäftsalltag führen oft zum parallelen Einsatz von Linux und Windows. Viele Anwendungen setzen Windows zwingend voraus. Den hohen Verbreitungsgrad und den Wiedererkennungswert für die Anwender sehen viele Entscheider als Hauptgrund, Produkte aus dem Hause Microsoft einzusetzen. Für Linux sprechen Unabhängigkeit durch offenen Quellcode, Stabilität und vor allem Wirtschaftlichkeit. Abgesehen davon lässt sich die Heterogenität der Infrastruktur in Folge von Unternehmenszukäufen oder Fusionen ohnehin nicht vermeiden.

Trennendes hemmt alle

Für Administratoren bedeutet das eine Menge Mehrarbeit. Da die Verwaltung der Arbeitsplätze in der Windows-NT-Domäne erfolgt, müssen sie die Benutzer der Linux-Systeme gesondert administrieren. Aber auch die Zweigleisigkeit der Microsoft-Domänen wirft Probleme auf. Mangelnder Abgleich der Benutzerdatenbanken unter Unix/Linux und Windows NT bremst die betriebsinternen Abläufe. Aufgrund der fehlenden Passwortsynchronisation können sich die Nutzer nicht mit einer einzigen Anmeldung für das ganze System authentifizieren, geschweige denn auf die Gesamtressourcen zugreifen. Das hemmt die Produktivität der Mitarbeiter erheblich.

Ein Weg könnte so aussehen: Windows NT soll abgelöst werden, Active Directory bleibt aus Kostengründen in seiner jetzigen Konfiguration erhalten. Die NT-Domänen sollen auf Linux migriert werden, für das der freie Verzeichnisdienst "Open LDAP" zur Verfügung steht. Die Integration von Open LDAP und Active Directory, sprich die Interoperabilität, besorgt ein Konnektor. IP-Management und Verzeichnisdienst werden integriert, die bereits vorhandenen Linux- und Unix-Systeme über LDAP angebunden. Diese Entscheidung, verschiedene interoperable Komponenten zu nutzen, erhält die Unabhängigkeit von einem Hersteller und damit die Flexibilität, auf neue Anforderungen angemessen zu reagieren.

Verantwortliche IT-Entscheider eines Unternehmens beherzigen bei allen Fragen zur IT-Infrastruktur zentrale Grundsätze: Soft- und Hardware sollte die Standards der jeweiligen Hersteller unterstützen, das heißt, ihre Empfehlungen berücksichtigen und die empfohlenen Protokolle verwenden. IT-Zuständige lassen sich nie auf einen Wettlauf um die neuesten Einfälle der Hersteller ein: Never change a running system! Solange ein System stabil läuft und die Anforderungen erfüllt, gibt es keinen Grund, daran etwas zu ändern.

Bausteine für Brücken

Wer Linux und Windows friedlich vereinen will, verwendet unter Linux bewährte Komponenten:

• "Samba" ist die wichtigste Software zur Bereitstellung von Server- und Domänen-Controller-Diensten für Windows-basierende Server und Clients. Die zukünftige Version Samba 4.0 ist auch Active-Directory-kompatibel. Zum Beispiel setzen die Oldenburgische Landesbank und der Deutsche Bundestag Samba ein.

• Der Verzeichnisdienst Open LDAP, auf den Samba zugreifen kann, nimmt Infrastruktur-übergreifend Benutzer und Gruppen, Rechner und Software auf. Wer Samba in größeren Umgebungen betreibt, verwendet heute die zentrale Administration mit Open LDAP in der Regel als Standardkonfiguration. Open LDAP ist der nackte Verzeichnisdienst und bringt keine Management-Tools mit. Management, Workflows und Business-Logik müssen separat erfunden und implementiert werden. Dazu stehen verschiedene Produkte zur Verfügung.

• Der Authentifizierungsdienst "Kerberos" erlaubt es auch in heterogenen Umgebungen, mit einer einmaligen Anmeldung den Zugriff auf alle Ressourcen zu erlangen. Es gibt Implementierungen sowohl für Unix und Linux als auch für eine in Active Directory integrierte Windows-Umgebung. Der Zugriff kann sowohl von Unix auf AD-Kerberos als auch von Windows auf Unix-Kerberos erfolgen.

• Hinzu kommen Konnektoren: "DirXML" von Novell synchronisiert "eDirectory" mit Active Directory. Univention stellt für die Synchronisation zwischen dem auf Open LDAP basierenden "UCS"-Management-System und Active Directory den "UCS AD Connector" bereit. Der Vorteil einer Anbindung mit diesem Konnektor besteht in der selektiven Synchronisation auf Objekt- und Attributebene. Die Objekte lassen sich in dem Verwaltungssystem administrieren, das für die zugreifende Anwendung geschaffen wurde: Unix/Linux-Eigenschaften eines Benutzers im Open-LDAP-Verzeichnis und Microsoft-spezifische in Active Directory. Dieses Konzept erhält die organisatorische Trennung aufrecht.

• "Wine" ist eine freie Implementierung von DOS-, Win-16- und Win-32-Binärschnittstellen unter Linux, mit der sich Anwendungen wie Microsoft Office, der Notes-Client oder der Internet Explorer unter Linux einsetzen lassen.

Und die Schwachpunkte? Worauf sollte die IT-Abteilung achten? Auch hier gilt es, "Wettläufe" zu vermeiden. Um sicherzustellen, dass die Systeme nach jedem Update wie gewünscht funktionieren, setzen Administratoren konsequent auf die nativen Protokolle der Hersteller. Solange Microsoft zum Beispiel die Kompatibilität seiner Betriebssystem-Fassungen zu vorherigen Versionen sicherstellt, gibt es auch keine Probleme beim Einsatz von Samba.

Techniken und Know-how der Interoperabilität auf diesem Gebiet haben Zukunft. Leider existieren nur wenige Kooperationen zwischen Microsoft und Open-Source-Projekten. Doch immerhin dokumentiert Microsoft seine Produkte immer besser und stellt verwertbare Informationen zur Verfügung. Ärgerlich daran bleibt, dass für einige Informationen Lizenzgebühren entrichtet werden müssen, was es den Entwicklern von Open-Source verwehrt, diese Daten zu verwenden. Dieser Sachverhalt ist bekanntermaßen Gegenstand von Auseinandersetzungen auf EU-Ebene.

Die Mühen der Community

Ihrerseits bemühen sich Open-Source-Projekte und Hersteller von Open-Source-basierenden Infrastrukturlösungen sehr um Interoperabilität. Deswegen sind sie gelegentlich auf aufwändige Tests angewiesen, um das undokumentierte Verhalten von Software zu analysieren. Das Wine-Projekt ist ein Beispiel dafür. Softwareunternehmen aus dem Linux-Sektor arbeiten an Produkten, die Interoperabilität auch weiterhin gewährleisten. Denn Microsoft wird irgendwann die Interoperabilität zu Windows NT 4 aufkündigen. Spätestens dann sollen und müssen Open-Source-Systeme aus Sicht von Windows-Betriebssystemen wie AD-Systeme aussehen.

Aber auch wachsende Kenntnisse und das Kostenbewusstsein der Unternehmen fördern den Trend, der weg von der Herstellerabhängigkeit und hin zur Interoperabilität führt. Die zunehmende Komplexität in den IT-Strukturen ist durch individuell angepasste Rechnersysteme gekennzeichnet, deren Komponenten sich nicht ohne größere Komplikationen austauschen lassen. Diesem Umstand müssen auch die Hersteller Rechnung tragen. Sie kommen nicht daran vorbei, ihre Softwareprodukte so zu gestalten, dass sie interoperabel sind. (ls)