Fragen zu UCS (Evaluation)

UCS - Univention Corporate Server
#1

Sehr geehrte Damen und Herren,

wir sind ein ISV und ich bin derzeit am Evaluieren von UCS, um diesen als Domänen-Server bei uns in der Firma einzusetzen. Derzeit arbeite ich mit der “Free for personal” Edition in Version 3.1 von Ihrer Webseite.
Die Größe bei uns ist so ca. 20 User Accounts und ca 60 Computer (persönliche PCs, Clusterknoten und Entwicklungsmaschinen sowie einige Laptops).

Nun habe ich eine Testinstallation vorgenommen und dabei ergaben sich folgende Fragen, die ich hier nun einmal in einem einzigen Thread zusammenfasse (falls es besser ist, einzelne oder alle jeweils in einem eigenen Thread zu bearbeiten, kann ich das gerne dann splitten):

1. UMC -> System -> Basiseinstellungen
Wenn ich diese Seite in der UMC aufrufe, dann bekomme ich ein neues UMC-Tab mit der korrekten Beschriftung, aber der Inhaltsbereich ist komplett weiss (kein Inhalt) und es wird nur dieses drehende Rad angezeigt. Dies ist auch nach mehreren Reboots und auch nach mehr als 10 Minuten warten noch so.
=> Ist da etwas schiefgelaufen bei der Installation oder ist das ein (bekannter) Fehler?
=> Gibt es eine Lösung oder soll ich eine Neuinstallation vornehmen, damit ich meine Tests mit einem einwandfreien System starte?

2. Bei der Anmeldung an UMC ist nur Englisch zur Auswahl
Obwohl ich bei der Installation Deutsch ausgewählt habe, gibt der Dialog nur Englisch als Sprache an.
(Ich kann damit leben ohne Probleme, es wundert mich nur - und ich will sicherstellen, dass ich alles korrekt eingestellt habe während der Installation).

3. Univention Registry
Es wird in der Dokumentation immer wieder auf die UCR hingewiesen und einige Einstellungen erklärt. Meine Frage ist nun, ob es irgendwo eine Dokumentation aller möglichen Variablen und Werte gibt, so dass man sehen kann, was alles möglich ist? - Die in der Doku erwähnten Variablen/Werte sind ja bestimmt nur eine Untermenge.

4. Konfigurationseinstellungen
(In Zusammenhang mit 3. zu sehen.)
Wo sind detaillierte Konfigurationseinstellungen im System vorzunehmen? - Direkt in den entsprechenden Konfig-Dateien im Dateisystem (so wie bei einer Linux-Installation ohne UCS) oder eher in der Univention Registry? - Was ist besser wo “aufgehoben”? - Was ist wo möglich? - Wird das immer synchronisiert?

5. Mailkomponente
Ich habe aktuell die Mailkomponente (Cyrus/Horde) von UCS installiert und frage mich nun, wo ich konfiguriere, dass ich
a) IMAPS (mit SSH über Port 993)
b) IMAP (ohne Verschlüsselung) gar nicht
c) SMTP auch über Port 587 mit TLS
verwenden will.
Sind diese Einstellungen über die UMC/UCR möglich, oder sind diese Einstellungen direkt in den Konfigurationsdateien vorzunehmen?

6. Domänenbeitritt von Linux-Clients
Ich habe eine signifikante Anzahl von Linux-Clients (OpenSuSE und ReadHat), die auch in die Domäne aufgenommen werden sollen und dann die Benutzerauthentifizierung darüber erfolgen soll. (Das HOME-Verzeichnis soll dabei über NFS vom Server bereitgestellt werden.)
=> Welche Schritte sind dazu nötig (auf Server und v.a. Clients)? - Gibt es da ein HowTo?

7. Webserver
Auf dem Server soll auch die Firmen-Webseeite gehostet werden.
=> Ist dies möglich (ohne Kollision mit der UMC-Webseite)?
=> Ist auch die Installation eines ContentManagement Systems (z.B. ModX, Joomla oder Typo) möglich?
=> Gibt es da ein “Best Practices” oder “HowTo”?

8. Container-Struktur
Empfehlen Sie eine bestimmte Container-Struktur (OU und/oder Container) für die LDAP-Objekte wie Benutzer, Computer, etc. oder sollten diese einfach in die Standard-Container gehen?

9. Richtlinien
(vgl. 3.)
Gibt es da eine Gesamtlite der Möglichkeiten?

10. AppCenter
Ich wollte auch Apps testen (z.B. OwnCloud). Im AppCenter der UMC wird mir dann aber gesagt, ich bräuchte einen “UCS license key with key-ID”, damit ich die App installieren kann.

Soweit einmal mit meinen ersten Fragen.
Mit freundlichen Grüßen,
F. Illenseer

Nach Installation verschiedene Probleme
#2

Hallo,

im folgenden direkt zu Ihren Fragen:

[ol][li]UMC -> System -> Basiseinstellungen
Hierbei handelt es sich um einen bekannten Bug in UCS 3.1 welcher im Errata-Update 2 bereits behoben wurde (Details in unserem Bugtracker unter: [bug]29770[/bug]).
Sie können das Update über das UMC Modul “Online Update” oder über die Kommandozeile (mit dem Befehl univention-upgrade) einspielen.

[/li]
[li]Bei der Anmeldung an UMC ist nur Englisch zur Auswahl
Ich vermute hierbei handelt es sich um einen Folgefehler durch den o.g. Bug. Der im Bugtracker genannte Workaround sollte dieses Problem beheben: ucr set locale="$(sed -ne "s/locales='\(.*\)'/\1/p" </etc/univention/installation_profile)" ucr set locale/default="$(sed -ne "s/locale_default='\(.*\)'/\1/p" </etc/univention/installation_profile)" /etc/init.d/univention-management-console-web-server restart /etc/init.d/univention-management-console-server restart
[/li]
[li]Univention Registry
Derzeit werden die Beschreibungen der Variablen noch nicht im Modul “Univention Configuration Registry” der UMC angezeigt, dies werden wir zum nächsten Release anpassen. Bis dahin erhalten Sie mit dem Befehl “ucr search --verbose” eine umfassende Liste verfügbarer UCR Variablen sowie deren Beschreibung und Kategorie.

[/li]
[li]Konfigurationseinstellungen
Univention Configuration Registry ist das zentrale Werkzeug zur Verwaltung der lokalen Systemkonfiguration eines UCS-basierten Systems. Ein direktes Editieren der Konfigurationsdateien ist dabei in der Regel nicht nötig.
Einstellungen werden in einem Registrierungsmechanismus in einem einheitlichen Format festgelegt, den sogenannten Univention Configuration Registry-Variablen. Diese Variablen werden verwendet, um aus Konfigurationsdatei-Vorlagen (den sogenannten Univention Configuration Registry-Templates) die effektiv von den Diensten/Programmen verwendeten Konfigurationsdateien zu generieren.
Grundsätzlich empfehlen wir die Konfiguration, sofern möglich, über UCR Variablen abzubilden da diese auch bei Updates erhalten bleiben. Es ist allerdings auch immer möglich Konfigurationsdateien (oder die UCR Templates der Konfigurationsdateien) direkt zu editieren. Hierbei ist natürlich darauf zu achten das Konfigurationsdateien welche über UCR verwaltet werden (diese enthalten einen entsprechenden Hinweis am Anfang der Datei) ggf. durch Änderungen an UCR-Variablen und/oder Updates überschrieben werden.
Eine detaillierte Beschreibung zum Univention Configuration Registry-Mechanismus sowie dessen Verwendung finden Sie im Kapitel Verwaltung der lokalen Systemkonfiguration mit Univention Configuration Registry.

[/li]
[li]Mailkomponente
[list=a]
[*]IMAPS (mit SSH über Port 993)
IMAPS wird mit den UCS Mailpaketen standardmäßig aktiviert und ist über Port 993 erreichbar.

[/li]
[li]IMAP (ohne Verschlüsselung) gar nicht
IMAP (über Port 143) kann am einfachsten direkt in der iptables Firewall deaktiviert werden:ucr set security/packetfilter/disable-imap/tcp/143/all=REJECT
[/li]
[li]SMTP auch über Port 587 mit TLS
Port 587 kann derzeit nicht per UCR aktiviert werden, vermutlich reicht es aber die entsprechende Zeile im UCR Template (/etc/univention/templates/files/etc/postfix/master.cf.d/10_services) zu aktivieren und die Konfiguration anschließend via UCR neu zu schreiben:ucr commit /etc/postfix/master.cf[/li][/ol]

[/*:m]
[li]Domänenbeitritt von Linux-Clients
Hierzu finden Sie in unserem Wiki weitere Informationen und konkrete Beispiele für CentOS und Ubuntu: Category:Other Operating Systems

[/li]
[li]Webserver
Grundsätzlich können weitere Seiten bzw. zusätzliche Apache Konfigurationsdateien ohne weiteres über das Verzeichnis “/etc/apache2/sites-available” eingebunden weden. Auch die Anbindung von CMS ist möglich, in unserem Wiki finden Sie ein entsprechendes Beispiel für [wiki]Joomla 2.5[/wiki].

[/li]
[li]Container-Struktur
Aufgrund der unterschiedlichen Anforderungen für jede Umgebung gibt es hier, abgesehen von den standardmäßig angelegten Containern, keine weiteren Empfehlungen von uns. Sie sollten allerdings davon absehen die Standard-Container für Rechner (cn=dc und cn=memberserver) zu entfernen oder umzubenennen da für Rechner in diese Containern spezielle Berechtigungen (ACLs) im LDAP gelten. Es ist daher auch notwendig dass Domänencontroller und Memberserver in diesen speziellen Containern angelegt werden.

[/li]
[li]Richtlinien
Die Richtlinien sind in den entsprechenden Kapiteln des UCS-Handbuchs beschrieben. Eine vollständige Liste können Sie aber z. B. dem Feld Richtlinientyp im Dialog “Richtlinie Hinzufügen” des Richtlinien-Moduls der UMC entnehmen.

[/li]
[li]AppCenter
Bei der Installation oder Deinstallation einer Applikation mit Univention App Center erhält Univention zu statistischen Zwecken immer eine anonymisierte Benachrichtigung, die nur bei Univention zur Datenverarbeitung gespeichert und nicht an Dritte weiter gegeben wird.
Abhängig von der Vorgabe des jeweiligen Applikationsherstellers ist für die Installation einer Applikationen ein aktueller UCS-Lizenzschlüssel mit sogenannter Schlüsselidentifikation (Key-ID) notwendig. In diesem Fall wird bei der Benachrichtigung die Key-ID an Univention mitgeschickt. Der Applikationshersteller erhält daraufhin eine Nachricht von Univention mit folgenden Informationen:
Name der soeben installierten Applikation
Registrierte E-Mail-Adresse
In der Beschreibung jeder Applikation befindet sich in diesen Fällen ein entsprechender Hinweis.
Sollte Ihre UCS-Umgebung nicht über einen solchen Schlüssel verfügen (z.B. UCS Free-for-personal-Use Edition) und der Hersteller eine Key-ID voraussetzen, werden Sie aufgefordert, einen aktualisierten Lizenzschlüssel direkt bei Univention anzufordern. Anschließend kann der neue Schlüssel eingespielt werden.
Der Kauf von Lizenzen, Maintenance oder Support ist nicht Teil von Univention App Center.
Im UCS Handbuch finden Sie außerdem noch weitere Informationen zum Univention App Center.[/li][/list:o]

Ich hoffe das hilft Ihnen weiter. Sollten noch Fragen offen sein, melden Sich sich gerne wieder.

Mit freundlichen Grüßen
Janis Meybohm

#3

Hallo Herr Meybohm,

Vielen Dank schon einmal für Ihre Antworten. Ich werde das alles im Detail ansehen.
Zu 1. muss ich jedoch sagen, dass ich die Updates schon alle eingespielt habe und UMC mir keine neuen oder ausstehenden Updates anzeigt. Trotzdem besteht das beschriebene Problem.

Mit freundlichen Grüßen,
Frank Illenseer

#4

Hallo,

die Ursache dafür ist dass das Modul vor dem Update bereits “ungültige” Locale-Informationen im System hinterlegt hat welche auch nach dem Update nicht korrekt ausgewertet werden können. Bitte führen Sie einmal den Workaround unter 2. aus um die Locale-Informationen im System zu korrigieren, anschließend sollte das Basiseinstellungen-Modul wieder normal geöffnet werden können.

Mit freundlichen Grüßen
Janis Meybohm

#5

Hallo Herr Meybohm,

ich wollte nur schnell Rückmeldung geben, dass die Lösung zu den Punkten 1. und 2. funktioniert haben und nun sowohl das Modul “Basiseinstellungen” als auch die Sprache wieder funktioniert.

Die anderen Punkte werde ich noch durcharbeiten und mich ggfs. mit weiteren Fragen melden.

Vielen Dank nochmals und mit freundlichen Grüßen,
Frank Illenseer

#6

Hallo,

nun ergibt sich noch folgender weiterer Punkt:

11. Bacula
Ich habe bei der Installation des UCS die Komponente “Bacula (Backup)” mit ausgewählt. Ich finde aber nirgends in der UMC einen Hinweis auf Bacula. Auch in der Univention KnowledgeBase ist nur ein Artikel zu finden, aus 2008, der sich auf UCS 2.x bezieht.
Im Handbuch bezieht sich alles auf die “Bacula Consle”. Ist die komplette Bedienung dann nur über Kommandozeile möglich oder gibt es da ein Web-Interface? Auch sind die Konfigurationen laut Handbuch direkt in den Bacula-Dateien vorzunehmen. Ist also die UCR bei Bakula (noch) nicht beteiligt?

#7

Hallo,

Bacula ist derzeit nicht in UCR oder die Management-Oberfläche von UCS integriert. Die Konfiguration muss daher wie im Handbuch beschrieben direkt über die Konfigurationsdateien erfolgen.
Für die Verwaltung und Überwachung können die beispielsweise auch die bacula GUI “bat” verwenden.

Mit freundlichen Grüßen
Janis Meybohm

#8

Hallo Herr Meybohm,

vielen Dank für den Hinweis auf “bat” für Bacula. Ist das Tool dann bereits mit “Bacula for UCS” auf dem Server installiert oder muss ich das noch von irgendwo nachinstallieren / kompilieren? Oder ist das in einem Repository verfügbar?

Mit freundlichen Grüßen,
Frank Illenseer

#9

In Ergänzung zu meiner letzten Frage zu “bat” bin ich auch nicht in der Lage mit der “bconsole” auf Bacula zuzugreifen und leider hilft das UCS Handbuch mir nicht genügend…
Ich habe bereits die “localhost” und “127.0.0.1” Einträge wie im Handbuch beschrieben auf die wirkliche IP geändert und auch alle 3 Ports (9101, 9102, 9103) in der Firewall geöffnet dann versucht “bconsole” zu starten. Dabei kommt folgende Meldung:

Connecting to Director 192.168.1.1:9101

… dann nach ca. 30 Sekunden ohne Reaktion kommt wieder das normale bash Prompt.

#10

Hallo,

auf UCS Systemen können Sie “bat” über das Paket “bacula-console-qt” nachinstallieren.

Wenn der Bacula Director (“bacula-dir”) korrekt läuft und an Port 9101 auf Verbindungen wartet (“netstat -tulpen | grep 9101”), würde ich vermuten dass die Angeben in der /etc/bacula/bconsole.conf nicht korrekt sind bzw. nicht zu denen in der /etc/bacula/bacula-dir.conf passen.
Das UCS Handbuch gibt hier bewusst nur einen Einblick in die Fülle der Möglichkeiten und Konfigurationsoptionen welche Bacula bietet. Für eine vollständige Dokumentation ist daher bacula.org/en/?page=documentation zu empfehlen.

Mit freundlichen Grüßen
Janis Meybohm

#11

Hallo Herr Meybohm,

ich werde mal sehen, dass (und wie) ich die evtl. fehlenden Pakete nachinstalliere, um Bacula grafisch (evtl. auch über Web-Interface) verwalten zu können. Evtl. komme ich dann nochmals mit Fragen, falls ich nicht “durchblicke”.

ich müsste nochmals auf meinen Punkt 6 (Domänenbeitritt von Linux Clients) zurückkommen:
Ich habe nun eine Testmaschine mit OpenSUSE 12.1 installiert und habe nun die Auswahl bei der Authentifizierung (YaST2 => User and Group Administration => Authentication Setup) zwischen

Mit freundlichen Grüßen,
Frank Illenseer

#12

Hallo,

soweit bekannt haben wir keine konkrete Projekterfahrung mit der Anbindung von openSuse Clients. Die von Ihnen genannte Dokumentation zur Anbindung an ein AD sollte aber generell auch mit UCS (Samba 4) funktionieren. Über Erfahrungsberichte diesbezügliche freuen wir uns natürlich immer.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon