Migrationsprojekte wie jene der Stadt München oder des Auswärtigen Amts zeigen, dass Linux auf dem Desktop längst nicht mehr nur dem technikbegeisterten Privatanwender vorbehalten ist. Entscheidet sich eine Organisation für den Umstieg auf Linux, so wird meist mit der Einführung von plattformübergreifender Software wie dem Browser Firefox oder der Bürosuite OpenOffice ein Weg der sanften Migration gewählt. Der Anwender wird so zunächst in seiner gewohnten Betriebssystem-Umgebung an die neue Software herangeführt. Nach zahlreichen kleinen Schritten im Migrationsprozess folgen schließlich das Betriebssystem und der Desktop.
Hier lesen Sie
warum zu einer Linux-Migration auch Überlegungen zum Management der Desktops gehören;
bei welchen zentralen Administrationsaufgaben entsprechende Tools vonnöten sind;
welche Werkzeuge es dafür gibt;
worin sich die Angebote unterscheiden.
www.computerwoche.de
596748: System-Management mit Ubuntu;
586759: Linux- gegen Vista-Desktop;
583789: Die Strategie der sanften Migration;
576135: Die Zukunft des System-Managements.
Im Text angeführte LiSoG-Studie:
www.lisog.org/projekte/szenarien/desktop-management/lisog_desktopmanagement_ 0705.pdf
Nebensache für Anwender, Hauptsache für Admins
Die dadurch herbeigeführten Veränderungen sind für den Anwender oft nebensächlich. Für ihn zählt das zufriedenstellende Arbeiten mit den nötigen Applikationen. Für den Administrator steht die Frage im Mittelpunkt, wie die neuen Systeme mit geringem Aufwand effizient verwaltet werden können. Je nach Organisationsstruktur und IT-Umgebung ergeben sich für ein Desktop-Management von Linux-Clients unterschiedliche Anforderungen. Die Linux Solutions Group e.V. (LiSoG) hat diese Anforderungen zusammengestellt, am Markt befindliche Lösungen genauer untersucht und die Ergebnisse in ihrer Studie "Desktop Management von Linux-Clients" auf ihrer Website veröffentlicht.
Zunächst muss geklärt werden, ob der Administrator mit der eingesetzten Lösung ein Lifecycle- oder ein Desktop-Management vornehmen möchte. Ist bereits eine zentrale Benutzerverwaltung vorhanden, beispielsweise basierend auf LDAP, und soll sie weiterhin in gewohnter Form betrieben werden, so sollte der Administrator den Fokus auf Lifecycle-Management für die zu betreuenden Desktops legen. Der Begriff Lifecycle-Management umfasst den gesamten Lebenszyklus eines Computersystems in einer Organisation von der Erstinstallation über die Nutzung bis hin zur Verschrottung. Über den Lebenszyklus lässt sich nachvollziehen, wo das System für welchen Zweck im Einsatz war, über welche Hardware es verfügt, welche Software installiert ist und wann diese aktualisiert wurde.
Verwaltung wirkt jenseits des System-Lebenszyklus
Soll zusätzlich zum Lifecycle-Management der Desktop-Systeme die Benutzerverwaltung mit einer Management-Software erfolgen, kann von Desktop-Management gesprochen werden. Die Benutzerverwaltung umfasst neben der Benutzeridentität für die Mitarbeiter im Unternehmen auch Rechte und Rollen der digitalen Identität und unterliegt einem eigenen Lebenszyklus. Desktop-Management vereint das Verwalten des Lebenszyklus der Systeme und der ihrer Benutzer unter einem Dach.
Das IT-Management soll möglichst einfach werden
Im Detail untersuchte die LiSoG 20 Anforderungskategorien. Der Systemadministrator ist der Hauptanwender einer Desktop-Management-Lösung. Er administriert die zu verwaltenden Systeme von zentraler Stelle über eine grafische und plattformunabhängige Oberfläche. Die Management- Software muss dem Administrator einen "Single Point of Administration" bieten, wo er die Aufgaben ohne unnötigen Extraaufwand erledigen kann. Wiederkehrende Administrationsaufgaben müssen sich über eine Schnittstelle durch Skripte automatisieren lassen. Über die Rollenverwaltung kann ein Admin definierte Aufgaben an andere Benutzer delegieren.
Die Anforderungskategorien Ressourcen-, Gruppen-, Benutzer- und Rechteverwaltung sind für das Desktop-Management relevant. Benutzerkonten müssen zentral verwaltet werden, und der Benutzer soll die Möglichkeit haben, definierte Attribute seiner digitalen Identität selbst zu verwalten. Dieser Aspekt lässt sich unter dem Begriff Account Self Service zusammenfassen. Es muss dem Benutzer beispielsweise gestattet sein, sein Passwort selbst zu ändern oder zurückzusetzen ("Password Self Service").
Die Freiheiten für Gruppen und Individuen
Benutzer lassen sich in Gruppen zusammenfassen, denen verschiedene Rollen zugewiesen werden können. Dadurch kann ein Benutzer aufgrund seiner Gruppenzugehörigkeit erweiterte Rechte beziehen. Über die zentrale Gruppenverwaltung ist es dem Administrator möglich, diese Einstellungen vorzunehmen. Mittels der Rechteverwaltung werden individuelle Zugriffsrechte auf Peripheriegeräte, Datenbestände und Dateifreigaben des Benutzers bestimmt. Im Anforderungssegment Ressourcen-Management werden physische und logische Ressourcen verwaltet. Der Zugriff auf diese Ressourcen wird über die Rechteverwaltung für einzelne Benutzer oder Benutzergruppen geregelt.
Die Benutzerkontodaten werden für die Administration zentral gespeichert. Das Lightweight Directory Access Protocol (LDAP) hat sich hierfür etabliert. Benutzerkontodaten im LDAP-Verzeichnis können von anderen Diensten zur Authentifizierung im firmeneigenen Netzwerk verwendet werden. Der Vorteil besteht in der zentralen Pflege der Benutzerkontodaten und der ausgeprägten Verwendungsmöglichkeit für andere Dienste. Neben den Benutzerdaten können auch Einstellungen der Management-Software im LDAP hinterlegt werden.
Schritt für Schritt von Einzelheiten zum Paket
Die genannten Anforderungen arbeiten jeweils mit Benutzeridentitäten in Benutzerkonten und machen zusammen mit dem Lifecycle-Management das Desktop-Management aus. Lifecycle-Management beginnt mit dem Erfassen der zu verwaltenden Systeme. In der Management-Software übernimmt das die zentrale Computerverwaltung, wo die Hardware beispielsweise unterschiedlichen Geräteklassen wie PC oder Laptop zugeordnet werden kann. Nachdem ein Gerät erfasst ist, lässt sich darauf Software installieren. Mit dem zentralen Software-Management werden die Anwendungen, meist zu Paketen zusammengefasst, in einem Repository verwaltet und über die Softwareverteilung auf einem Zielgerät installiert.
Hinterlegte Profile bestimmen, mit welchen Basiseigenschaften ein Desktop in seiner Basisinstallation ausgestattet wird. Die Installation läuft meist remote und "unattended" ab. Basis-Desktop-Eigenschaften halten fest, welche Menüeinträge und Konfigurationsparameter auf einem PC hinterlegt werden. Im weiteren Lebenszyklus eines Desktops wird Software abhängig von Hardware- oder Softwareparametern, häufig zeitgesteuert, verteilt. Bei allen Softwareverteilungsaufgaben sind Statusinformationen und die Möglichkeit zur Fehlerverfolgung wichtige Funktionen zur Unterstützung des Administrators. Um der Sicherheit zu genügen, verläuft die verwaltungsrelevante Kommunikation verschlüsselt, oft auch mit einer Zertifikatsinfrastruktur.
Lizenzen - die sensible Seite des Inventars
Neben der Software kümmert sich das Lifecycle-Management auch um die Inventarisierung von Hard- und Software sowie um deren Reporting. Da in Desktop-Umgebungen häufig lizenzpflichtige Software eingesetzt wird, ist eine Lizenzverwaltung in der Management-Software notwendig, die dem Administrator eine Über- beziehungsweise Unterlizenzierung meldet. Je nach Größe der zu verwaltenden Umgebung gibt es zwei weitere Anforderungen, die eine Rolle spielen. Besonders in kleineren Umgebungen mit keinem oder wenig IT-Personal ist eine zentrale und möglichst einfache Administration der Netzwerkinfrastruktur hilfreich, mit der sich IP-Adressen, DNS- und DHCP-Einträge über den Management-Server verwaltet lassen.
In größeren Umgebungen sind hingegen die Skalierbarkeit und eine Proxy-Funktionalität der Management-Software von großer Bedeutung. Sind intelligente Replikationsmechanismen vorhanden, und verfügt die Management-Lösung über selektive Replikation? Die Proxy-Funktionalität bezieht sich auf die Verteilbarkeit von Management-Daten wie Repository, Benutzerdaten und Policies im Netzwerk. Somit sind auch organisatorische Strukturen über mehrere Standorte durch die Management-Software abbildbar. Zu guter Letzt geht es um die Erweiterungsmöglichkeit der Management-Software. Angesprochen wird hier besonders die Integration zusätzlicher Softwarekomponenten unter Verwendung von Schnittstellen und Standards, zum Beispiel Trouble-Ticket-Systeme.
Versprochene Funktionen in der Praxis getestet
Die LiSoG hat Hersteller von Desktop-Management-Software angeschrieben und jeweils zu einem eintägigen Review eingeladen. Deren Ziel war es, einen Überblick über die Funktionalität der Lösungen zu erlangen. Die Produkte wurden anhand eines Anwendungsszenarios betrachtet, das die Installation des Management-Servers mit anschließender Konfiguration vorsah. Über den Management-Server wurde daraufhin der Client installiert und zentral verwaltet. Nach der Installation sollte er über eine eingerichtete Office-Suite, einen Web-Browser und eine funktionierende E-Mail-Konfiguration verfügen, so dass der Desktop einem durchschnittlichen Arbeitsplatz entsprach. Zweck war, über den Management-Server einen Desktop bereitzustellen, so dass ein Anwender ohne Konfigurationsaufwand mit der Arbeit beginnen kann.
In den Reviews wurden insgesamt acht Lösungen betrachtet. Ein Desktop-Management mit integrierter Benutzerverwaltung bieten die Firmen Gonicus, Univention und Xandros an. Die betrachteten Produkte von Asdis, BMC, Network Competence Services (NWC), Novell und Red Hat legen den Schwerpunkt auf das Lifecycle-Management. Alle betrachteten Lösungen ermöglichen die Verwaltung von Linux-Clients. Die Distributoren Novell, Red Hat und Xandros konzentrieren sich hierbei auf ihre jeweilige Distribution und weiten allmählich den Support auf andere Distributionen aus, die das gleiche Paketformat verwenden. Gonicus und Xandros setzen auf Debian GNU/Linux als Basis für ihr Produkt. Univention nutzt für seinen Client ein angepasstes Debian GNU/Linux.
Die Lösungen unterscheiden sich funktional stark
Auffällig ist die Tatsache, dass lediglich die Lösungen von Gonicus und Univention unter der GNU General Public License (GPL) stehen und die anderen Hersteller ihre Produkte kommerziell vertreiben. "GOsa" von Gonicus wird bei der Stadt München für das Desktop-Management eingesetzt, und über "Fully Automated Installation" (FAI) ist es möglich, Debian-basierende Distributionen mit dem Produkt zu verwalten. Die Angebote von Asdis, BMC und NWC konzentrieren sich vorrangig auf das Lifecycle-Mangement und legen ihren Schwerpunkt auf die Softwareverteilung. So werden mit "Asdis Enterprise Management" die Fahrkartenautomaten der Deutschen Bahn und die Geldautomaten der Deutschen Bank mit aktueller Software versorgt. Novell und Red Hat bieten ihren Kunden mit ihren Desktop-Management-Produkten ein Lifecycle-Management für die jeweiligen Enterprise-Distributionen und versorgen sie darüber im Rahmen der Supportverträge mit Software-Updates.
Welche Lösung für eine Organisation passt, hängt vorrangig von der bestehenden Umgebung und den eigenen Anforderungen ab. Die Studie der LiSoG hilft bei der Auswahl der näher zu betrachtenden Lösungen. Von den acht untersuchten Lösungen setzen fünf auf Linux als Betriebssystem. Die anderen drei, Asdis, BMC und NWC, haben ihre Lösungen für das Management von Windows-Desktops um entsprechende Funktionen für Linux erweitert.
Die acht Produkte zeigen, dass ein lebendiges Marktsegment mit unterschiedlichen Lösungen für Desktop-Management für Windows- wie auch für Linux-Clients existiert. Traditionell decken kommerzielle Anbieter den Bereich ab, doch es gibt durchaus Produkte unter der General Public License (GPL). Es existieren also Lösungen für ein Desktop-Management von Linux-Clients, die selbst aus der Open-Source-Welt kommen. (ls)