ITEK-Focus "Mac an der ETH"

Datum:           Mittwoch, 1. September 2010
Zeit:            14.00 - 17.00 Uhr
Ort:             CHN P12
Sitzungsleitung: Hans Hirter
Protokoll:       09.09.2010, Marc Petitmermet

Anwesend

Anatoliy Holinger (ID), Andres Müller (ER), Armin Brunner (ID), Christoph Weber (SGU), Christophe Schneble (D-ERDW), Daniel Hollenstein (ZOA), Esther Scharnhorst (D-UWIS), Franz Koch (ID/KOM/NSG), Jean-Claude Eischen (D-AGRL), Kai Mosebach (BSSE), Karsten Rohweder (IBZ), Marc Petitmermet (D-MATL), Max Schlapfer (ID/API), Nico Frobenius (BSSE), Nicolas Graf (IBC), Sascha Jovanovic, Serge Bilgeri (D-ARCH), Thomas Johannes Löffler (GEOL), Thomas Richter (ID/API)

Themen

Deployment

ID informiert: Absolute Manage

• Nach 1.5 Jahren Evaluation und einem Testlauf anfangs Jahr hat sich die ID für das Produkt Absolute Manage (ehem. LanRev) von Absolute Software Corporation entschieden [1]. Das Programm erlaubt das Managen von Mac- und Windows-Clients. Absolute Manage wird nur für Mac-Clients eingesetzt, da für die Windows-Clients bereits Baramundi verwendet wird [2].
• Für das Mac-Deplyoment an der ETH wurde die Beschaffung von Absolute Manage inkl. Server/Storage und eine zweite Arbeitsstelle genehmigt. Seit Juli ist die Stelle ausgeschrieben. Von 18 Bewerbungen kamen 2 Personen in die engere Auswahl aber schlussendlich konnte die Stelle noch nicht besetzt werden. Die Stellenausschreibung wurde bis Oktober verlängert.
• Die ID planen, das gesamte IDES Portfolio für Absolute Manage zu packetieren. Listen mit Softwarewünschen und deren Priorität sind erwünscht.
• Die allgemeinen Prozesse sind identisch zu denjenigen, welche bei Baramundi eingeführt wurden. Es wird auch ein User Forum für Absolute Manage geben.
  

Diskussion

Die anschliessende Diskussion ergibt, dass die meisten Mac-Deployment über Imaging machen. Dabei werden unter anderem die Bordmittel von Apple eingesetzt (Netinstall, D-ARCH), Carbon Copy Cloner [4], selbstprogrammierte Skripte (D-ARCH), Deploy Studio (D-AGRL) [5]. Daneben gibt es auch individuelle Installationen. Die Gruppen, welche in der Testphase mit Absolute Manage gearbeitet haben, können kaum noch warten, bis dieses Produkt an der ETH verfügbar ist. Falls die ID nicht schnell genug arbeitet, wird sogar mit eigenen lokalen Installationen von Absolute Manage gedroht (D-AGRL).

Patch Management

Beim Patch Management sind die Benutzer oft sich selbst überlassen, sobald sie den Computer erhalten. Es werden aber auch selbstprogrammierte Skripte (D-ARCH) oder kommerzielle Programme wie LanDesk [5] (D-MATL) eingesetzt. Absolute Manage wird ebenfalls Patch Management enthalten. Für die Überwachung des Patchzustandes wird auch Puppet [6] verwendet und bei Bedarf die Benutzer aufgefordert, Patches einzuspielen.

Storage

Vor allem aus Performancegründen haben die meisten Gruppen eine eigene Speicherinfrastruktur und nutzen nicht das SAN/NAS der ID. Bei der Verwendung von roaming profiles funktionieren nur die AFP- und NFS-Protokolle gut; die Performance über SMB ist zu schlecht. Wenn die ID eine performante AFP-SAN/NAS anbieten würde, dann würde sie genutzt; auch für roaming profiles.

Das Anbinden des ID-SANs an einen Apple Server via Fibrechannel wird anscheinend nicht unterstützt und iSCSI wird nicht angeboten. Ein erster kurzer Test zeigt, dass die iSCSI-Performance gar nicht so schlecht ist (siehe "iSCSI-Performance [Mosebach Kai]").

Backup

Es gibt alle möglichen Varianten von Backup-Strategien: nur was auf dem server ist, wird gesichert; Benutzer sichern selbst auf externen Festplatten (z.B. mit TimeMachine) oder auf TimeMachine Server; Tools wie Synchronize X [7], Retrospect [8] oder Avamar [9] werden eingesetzt. Full backups über Wireless ist fast nicht möglich, da es sehr lange dauert.

Active Directory Schemaerweiterung

Das Schema des Active Directory der ETH soll erweitert werden, um ebenfalls die Benutzer- und Maschinenspezifischen MCX-Records von MacOS X unterstützen zu können. Der Vorteil ist, dass MacOS X Clients dann nicht mehr an ein Open Directory Server, sondern direkt ans AD gebunden werden können (Open Directory Server sind selbst wiederum am AD angebunden). Die ID sucht Beta-Tester.

Bei Mobile Accounts und offline Einloggen gibt es Probleme mit timeouts: pro d.ethz.ch Server 90 Sekunden. D.h. es können bis zu 11 x 90 Sekunden = 16.5 Minuten vergehen, bis ein Benutzer offline einloggen kann. Des weiteren gibt es Probleme mit Kerboros und der d-Domaine, da zwei Namensräume existieren.

Sehr guter Erfahrungen wurden mit AdmitMac [10] gemacht: es gibt keine timeout Probleme, dfs, Kerboros und Group Policies werden unterstützt; der Support ist schnell und kompetent.

Virtualisierung

Virtuelles MacOS X auf EMX wäre erwünscht aber Apple Lizenzbedingungen lassen es  nicht zu, dass MacOS X auf nicht-Apple Hardware betrieben wird.

Es werden sowohl Parallels [11] auch VMWare Fusion [12] auf den Clients eingesetzt oder stattdessen ein Terminal Server für die benötigten Windows Applikationen oder sogar virtuelle Windows Instanzen für Spezialfälle angeboten.

Parallels Server [13] (nicht die Bare Metal Edition) auf Apple Hardware ist nicht brauchbar.

Mobile Devices

Wenn überhaupt gibt es nur Unterstützung bei der Erstkonfiguration; es gibt nirgends ein zentrales Management. Es handelt sich um persönliche Geräte, welche über persönliche iTunes konfiguriert und gesichert werden.

Die ID bieten über http://iphone.ethz.ch/ einen Profile-Server an, womit die Geräte für die ETH-Umgebung konfiguriert werden können.

Sicherheit

MacOS X

Gemäss ID-KOM/NSG gab es im letzten Jahr ca. 20 auffällige Macs (Proxy-Missbrauch). Die Ursache waren hautpsächlich fehlerhaft konfigurierte Computer: ssh aktiviert, schwache Passwörter, ständiges Arbeiten mit Administrationsrechten.

iOS

Es gibt Lücken aber es sind noch keine Exploits bekannt. Wenn man das iOS über die pdf-Lücke jailbreakt, ist aber alles möglich, denn die von Apple implementierten Sicherheitsmechanismen werden ausgeschalten.

Ab Exchange 2007 können die Mobile Devices vom Benutzer selbst bei Diebstahl remote gelöscht werden (für Exchange 2003 muss dies durch die ID ausgeführt werden).

Es wird empfohlen, Auto Lock und Passcode Lock und Datenlöschung zu aktivieren.

Allgemein

SaveIT [14] der ID informiert über die Sicherheitsregeln an der ETH. Die ID haben die Möglichkeit, über die MAC-Adresse gestohlene Hardware aufzuspühren, sobald sie im ETH-Netz auftauchen.

Exchange

Bei der Migration auf Exchange 2010 gab es viel Aufwand, vor allem wenn Entourage verwendet wurde. Schlussendlich gibt es aber mit Exchange 2010 deutlich weniger Probleme und der Support von Apple Mail/iCal auf MacOS X 10.6.x ist wesentlich besser. So funktioniert z.B. auch die Vergabe von Delegiertenrechten nun auch ohne Webinterface (siehe "Vergabe von Delegiertenrechten [Max Schlapfer]").

Einkauf Hardware

Die Hardware wird über "Apple Golden Store for Education Institution" (kostenfreier Versand), Neptun und lokale Händler bezogen. Bestellt wird je nach Bedarf oder gleich mehrere Computer auf einmal. Die Preise bei Neptun sind immer schlechter als im Golden Store aber die ID arbeiten daran, wieder günstigere Preise zu erhalten. Die Computer sind mindestens so lange im Einsatz wie sie noch Garantie haben.

Zusatzinformationen

iSCSI-Performance [Mosebach Kai]

After yesterdays meeting I quickly tested the globalSAN iscsi connector 4.04
for Mac from studionetworksolutions. You can download it for free from

http://www.studionetworksolutions.com/products/product_detail.php?pi=11

The docu can be found here (under chapter iscsi connector) :

http://www.studionetworksolutions.com/support/sns_download.php?pi=8&sdi=14

The performance looks quite promising, running on a MacBook Pro w/ 1GB
Ethernet link against a linux based iSCSI target we got these values :

Seq write performance:

# dd if=/dev/zero bs=1024k count=18367 | cpipe vt b 65535 >bigfile

thru: 695.835ms at   92.0MB/s (90.2MB/s avg)   17.6GB
thru: 678.019ms at   94.4MB/s (90.2MB/s avg)   17.6GB
thru: 682.870ms at   93.7MB/s (90.2MB/s avg)   17.7GB
thru: 702.087ms at   91.2MB/s (90.2MB/s avg)   17.7GB
thru: 679.932ms at   94.1MB/s (90.3MB/s avg)   17.8GB
thru: 696.579ms at   91.9MB/s (90.3MB/s avg)   17.9GB
18367+0 records in
18367+0 records out
19259195392 bytes transferred in 202.871968 secs (94932758 bytes/sec)

Seq read performance:

# cat bigfile | cpipe -vt -b 65535 >/dev/null
....
thru: 584.767ms at  109.4MB/s (110.7MB/s avg)   15.4GB
thru: 559.365ms at  114.4MB/s (110.7MB/s avg)   15.4GB
thru: 587.989ms at  108.8MB/s (110.7MB/s avg)   15.5GB
thru: 573.694ms at  111.6MB/s (110.7MB/s avg)   15.6GB
thru: 577.262ms at  110.9MB/s (110.7MB/s avg)   15.6GB

Vergabe von Delegiertenrechten [Max Schlapfer]

Es ist möglich, Rechte für den Kalender oder die Tasks ohne Webinterface zu vergeben, allerdings sind die Stufen eingeschränkter als im Webinterface oder via Outlook. In iCal die Preferences öffnen und zu Accounts wechseln, dann den Reiter Delegation und den Button Edit... um Rechte zu vergeben. Im Aktuellen Feld kann man nun andere Exchange 2010 (evtl. 2007) User einfügen und die Rechte in vier Stufen vergeben (Read & Write, Read & Create, Read only und no Access).

Referenzen

1. http://www.absolute.com/en/products/absolute-manage/
2. https://www1.ethz.ch/id/services/list/clientdelivery/windows/
3. http://www.bombich.com/
   
4. http://www.deploystudio.com/
5. http://www.landesk.com/Products/LDMS/Index.aspx
   
6. http://www.puppetlabs.com/
7. http://www.qdea.com/
8. http://www.retrospect.com/
9. http://www.emc.com/products/detail/software/avamar.htm
   
10. http://www.thursby.com/products/admitmac.html
11. http://www.parallels.com/eu/products/desktop/
12. http://www.vmware.com/products/fusion/
    
13. http://www.parallels.com/eu/products/server/mac/baremetal/
14. http://www.saveit.ethz.ch/
15. http://www.apps4rent.com/support/kb/article/share-ical-calendar-snow-leopard-exchange-users