====== IT-Dienste: Protokoll Wien 2016 ====== BuFaTa WiSe16 in Wien\\ Anwesend: Lukas (TUM), Dominik (KIT), Franz (TU Dresden), Thomas K (TU Darmstadt), Julian (TUM), Marvin (Siegen), Theo (OTH Regensburg), Julian N. (FAU Erlangen-Nürnberg), Martin (OTH Regensburg) Beginn: 17:30 Uhr Leitung des AK: Lukas (TUM) \\ Protokoll: alle\\ \\ ===== Ziele ===== Gegenüberstellung verschiedener Dienste und Punkt zum Einstieg geben. Übersichtsseite pflegen. ===== Wie werde ich mit dem Scheißhaufen fertig ===== Problem, man ist ein neuer Admin AG Leiter, mit wenig Ahnung und einem aktuell funktionierenden sehr umfangreichen Server. Die alten Admins sind nicht mehr greifbar und man hat nicht die Übersicht wo Updates einzuspielen sind und was alles konfiguriert wurde. Irgendwann wird irgendwas knallen. Lösung: Neue Padawan anlernen...-> Maschinen mit gleicher/ähnlicher funktionalität nachbauen lassen, die dann in Ihrer Anlernphase eine Deppen Doku mit führen. Wird knirschen und ist oft nicht angehm, aber belohnt mit laufendem System und guter Doku. ===== Sinnvolle Dienste Vergleich ===== ==== Netz ==== * Share-Verzeichnisse über smb/nfs/... * Share-Verzeichnisse über Uni möglich (Storage-Cloud, NFS, CIFS) * Anwendungen: * komplette home-Verzeichnisse nur im lokalen Netz sinnvoll (Geschwindigkeit) * Mögliche Umsetzungen: * NFS : * NFSv4 mit Benutzerauthentifikation, v3 nur mit Client-Auth * Samba * Storage-Cloud: * NextCloud, OwnCloud * Seafile * Zugang zum internen Netz: * Mögliche Umsetzungen: * OpenVPN * SSH-Tunnel * Anwendungen: * Zugang zu Share-Verzeichnissen * Zugriff auf interne Webseiten * Firewall: * wird zum Teil von der Uni übernommen/aufgezwungen * Anwendungen: * Absicherung von Netz und Server * Mögliche Umsetzungen: * iptables/nftables (ufw, shorewall, ...) * pfSense * ipFire * DNS: * für öffentliche DNS-Names und IPs durch Uni bzw. DNS-Anbieter * Anwendung: * Zugriff auf lokale Maschinen * Mögliche Umsetzungen: * BIND * quasi-Standard * [[http://www.zytrax.com/books/dns/]] * Dnsmasq * nscd * RADIUS: * Anwendungen: * WLAN-Auth * Mögliche Umsetzungen: * freeRADIUS ==== Arbeits-PCs ==== Administrierung der Clients von Hand ist umständlich und auch nicht sicher. Mögliche Tools zur Orchestrierung: * ansible (Linux, Win, Mac) * + schnell und einfach konfigurierbar * + gutes Rollenmanagement * - basiert auf python2 * Tutorial: https://serversforhackers.com/an-ansible-tutorial * puppet (Linux, Win, Mac) * + kann alles * - aufwendig bei der Konfiguration * lohnt sich erst ab großen Mengen Clients * chef (Linux, Win, Mac) * salt (Linux, Win, Mac) * clusterSSH (Linux) * SSH Befehle auf mehreren Clients gleichzeitig ausführen * + sehr einfache und schnelle Lösung * - Systeme müssen von Hand administriert werden * - nur für Linux * Linux System Deployment (LSD) selbstgeschriebenes System von der KIT-FS (Linux) * wird im initramfs geladen und bekommt Updates vom Server vor dem Systemstart übermittelt * + benötigt lediglich SSH * - nur für Linux * Windows Server (Windows, ab 2012) * + Sehr simple einrichtung * + Zentrale Serververwaltungssoftware zur steuerung von Firewall, Softwareupdates und Imageverwaltung * + volle unterstützung für Windows Software (somit zugriff auf extrem breites Softwareangebot) * + Einfache Serverspeicheranbindung für Windows Clients * - Hauptsächlich nur für Windows-Clients sinvoll * - Leistungsineffizient * - nicht open source * - Kostenintensiv * lokaler anonym-Account * eigene Domäne ==== Zentrale Authentifizierung ==== Immer sinnvoll, wenn einzelne Benutzerzugänge existieren sollen für: * Arbeitsrechner in der Fachschaft * Webdienste * Cloudspeicher * Mailserver * etc... ^Dienst ^Vorteile ^Nachteile ^Tutorials ^ |LDAP|Konfigurierbarkeit, Erweiterbarkeit, Flexibilität|Erstkonfiguration, Linux-only, ohne zusätzlichen Dienst unsicher|http://www.zytrax.com/books/ldap/| |LDAP + Kerberos|Sicherheit, Single-Sign-On|Konfiguration sehr(!) aufwändig|ISBN 3898644448, https://web.mit.edu/kerberos/krb5-latest/doc/admin/index.html| |Samba 4| Linux/Windows-Schnittstelle; Dateifreigabe integriert; GUI-Unterstützung in Windows-Client; einfache Serverkonfiguration | Rechtverwaltung in Dateifreigaben (Problem mit Linux-Clients); kaum gute Tutorials/Doku || |Windows Server| einfache (GUI)-Bedienung | teuer, proprietär; nur in reiner Windows-Umgebung sinnvoll|| ==== Web ==== Webserver und Sicherheit direkt im Wiki: [[..:it:web:start|WEB]] * CMS (Content-Managment-Syntem) ===WordPress, Joomla, TYPO3 und Drupal zählen zu den bekanntesten und sind derzeit die meistverwendeten Open-Source CMS=== * zum vergleichen der CMS treffen die beiden Vergleiche den Punkt ganz gut : [[https://www.aoe.com/de/loesungen/web-content-management/typo3-vs-joomla.html|TYPO3 vs Joomla]], [[https://blog.udemy.com/drupal-vs-joomla-vs-wordpress/|Drupal vs Joomla vs Wordpress]] * Joomla sowie TYPO3 sind bei den Studenten ein begriff und beide sind ausreichend * Dennoch ist die Empefhlung an dieser Stelle allgemein: * Kleine Website ohne Rechtemanagement für Privatpersonen oder kleine bis mittlere Unternehmen: Joomla! * Webseiten mit Rechtemanagement für globale Unternehmen und Konzerne: TYPO3 * Wordpress ist wohl außen vor... zu simpel für Studenten und einfach zu anfällig.... natürlich wird aber ein CMS Homepage ohne gutes wissen nicht so leicht von alleine entstehen (TU Siegen, denkt Joomla! als zu schwierig BuFaTa 2015) * DokuWiki * Forum * phpBB (kein Plugin-System, Modifikationen machen Updates problematisch) * Facebook (ist bääh, aber viele Studis sind nur darüber sinnvoll zu erreichen, z.B. Veranstaltungswerbung) ==== Mail ==== * Mailserver * Häufig Mailfunktionalität Angeboten von der Uni, NICHT erreichbar dabei: * Shared Mailboxes (History) * Freie Mailboxgröße * Anbindung an eigene lokale Nutzer * Für SMTP (das senden von Mails) * Postfix * Weit verbreitet; skalierbar; viele Schnittstellen (LDAP, SQL, PIPE, LMTP, SMTP, etc.) * Exim * Bessere Schnittstellen für Mailman und andere Mailinglisten Systeme * Für IMAP / POP3 (Abrufen und Speichern von Mails auf einem Server) * Dovecot * Vorteil shared folder; einfache Konfiguration * Einführung: Dovecotbuch (978-3955390747) * Cyrus * sehr stark konfigurierbar, aber dadurch auch nicht sehr leicht * langsamer als dovecot * Mailclients * Thunderbird * open Source * Plattformunabhängig * nativer S/MIME-support * PGP über Enigmai * Outlook * Windows, Mac? * Kostenpflichtig * Evolution * Mailinglisten * Shared Folder System: [[http://www.dovecot-buch.de/wp-content/uploads/sites/2/2013/09/Dovecot_de_1ed_leseprobe.pdf|Kapitel über shared folders]] * Großer Vorteil für Fachschaften: Die Liste ist wie ein Postfach organisiert, das von jedem gelesen werden kann. So sind alte Mails auch für neue Nutzer einsehbar. Zudem spart es viel Speicherplatz; Nachteil: Muss selbst konfiguriert werden * Mailman (einfach, einzelnes Login für jede Liste) * Python powered, Weit verbreitet, schickt einfach Mails weiter; selbstverwaltung durch User * Sympa (Modern, zentrale Benutzer- und Rechteverwaltung für alle Listen) * basiert auf C, S/MIME Implementierung, stark konfigurierbar ==== Groupware ==== * WebMail * RoundCube * nur Webmail und E-Mail Adressbuch; Einfache Konfiguration, wartungsarm, weit verbreitet, PHP Basis * [[https://www.horde.org/|horde.org]] * bietet auch Kalender und viele weitere Funktionen === Crypto === * Verschlüsselung schwierig bei Mailinglisten * In der Studierendenschaft nicht weit verbreitet * meist Mailclient notwendig * PGP * dezentral * Echtheit des Schlüssels muss manuell überprüft werden oder durch Vertrauensnetzwerke garantiert werden * open source * S/MIME * Nachteil: (kostenpflichtige) zentrale Vergabestelle * An allen? Unis kostenlos durch das DFN verfügbar * kostet, sobald man die Uni verlässt ===== ToDo's ===== * Inhalt dieses Protokoll in Tabelle der Übersichtsseite portieren. * Verlinkungen zu einzelnen Diensten und HowTos verbessern. * Dienste in Unterseiten beschreiben (einheitliches Schema) * Übersichtsseite schön gestalten ===== Ende ===== Ende: 18:55:30 Uhr \\ Der AK ist nicht fertig sollte auf weiteren Tagungen bearbeitet werden. Der AK ist an technischen Problemen gescheitert.