|
Succes-Stories
Fax-Server-Lösung für eine große deutsche Hotelkette
Die IT-Infrastruktur bestand zum größten Teil aus folgenden Komponenten. File- und Printservices werden über Novell Netware realisiert, Groupware über Lotus Notes, Fax über Tobit. All das war nun über verschiedene Schnittstellen mit der Hotelsoftware "Fidelio" unter DOS verknüpft. Mit der Tobit-Lösung war man schon länger nicht so ganz glücklich, suchte nach Alternativen.
Da die Fidelio-Software reine ASCII-Dateien produzierte, bot sich eine Linux-Lösung auf der Basis von Hylafax an. Die Novell-Server-Verzeichnisse werden nach Linux gemountet, die Fidelio-Dateien in eine selbst-gescriptete Queue kopiert. Nach diversen Zeichensatz-Umwandlungen werden die Dateien mit LaTex-Templates kombiniert, nach dvi, dann nach ps gewandelt und per Hylafax herausgefaxt. Das System arbeitet mit Variablen, sodass je nach Sprache unterschiedliche Fax-Köpfe oder je nach Absender verschiedene Unterschriften automatisch eingefügt werden.
Auch hier zeigt sich mal wieder, dass sich mit Linux Lösungen realisieren lassen, die genau auf die Bedürfnisse des Anwenders zugeschnitten sind.
Suse Enterprise Server als Terminal-Server für 50 Clients bei einem mittelständischen Hamburger Maschinenbauer
Die Firma arbeitete schon länger mit Suse Linux 7.1 und Thin Clients. Dies war problemlos möglich, da man aus dem HP-UNIX-Umfeld kam und sich die Fachanwendungen 1:1 auf Linux portieren liessen. Da der Server aber ständig an seine Kapazitäts-Grenzen stiess, entschied man sich, die Hardware aufzurüsten. Um auf Nummer sicher zu gehen, entschied man sich für SUSE-Linux-Enterprise-zertifizierte Hardware.
Die Installation und Einrichtung verlief relativ unproblematisch, man stellte jedoch schnell fest, dass man sowohl beim Support des Linux-Distributors als auch des Hardware-Herstellers schnell an die Grenzen stiess. Zum Glück schliessen kleine, spezialisierte Dienstleister wie UDS Linux diese Lücke.
Nun arbeitet man zufrieden auf Basis von KDE 3, OpenOffice, Mozilla, Cups und den oben erwähnten Fachanwendungen. Für die wenigen Windows-Anwendungen (AutoCAD) wird ein Windows-Terminal-Server und Samba zur Verfügung gestellt, auf den über rdesktop zugegriffen wird.
Einrichtung des Intrusion-Detection-Systems Snort bei einer großen staatlichen deutschen Institution
Es galt die bestehende Firewall-Architektur (Firewall-1 von Checkpoint) durch ein Intrusion-Detection-System zu erweitern. Man entschied sich für snort unter Linux, da bereits mehrere Web- und Proxy-Server auf Linux liefen. Nach Anschaffung eines zusätzlichen HE1-Servers, konnte es dann losgehen: Es wurden 4 Snort-Satelliten installiert, die in den verschiedenen Sicherheitszonen des Netzes Protokoll-Anomalien sammeln und zu einem Zentralen Snort-Server schicken. Dieser speichert diese zunächst binär ab, damit ihm aufgrund der hohen Gigabit-Netzwerk-Last keine Pakete verloren gehen. In Ruhephasen werden die Daten in eine MySQL-Datenbank geschrieben und über ein Webinterface (Acid) ausgewertet. Zusätzlich wurden die Systeme über Tripwire abgesichert.
Das System wurde daraufhin mit Nessus auf seine Funktionalität getestet, anfängliche False-Positives über Threshhold-Mechanismen eingedämmt. Das System läuft seit dem stabil und zeichnet fleissig Anomalien auf. Diese kommen, wie erwartet jedoch nicht von aussen über durch die 2-Schichtige Firewall, sondern hauptsächlich von innen, sodass nun auf Fehlkonfigurationen oder interne Netzstörungen viel besser reagiert werden kann.
Die UDS Linux Security-Suite im Einsatz bei einer Hamburger Spedition
Die Spedition hatte seit längerem mit massivem Spam-Aufkommen zu kämpfen. Ausserdem hing das Netz über einem Router am Internet, den die Administratoren nicht selber verwalten konnten. Darüberhinaus bestand der Wunsch, Aussendienst-Mitarbeiter über ein einfach zu bedienendes VPN an das Firmennetz anzuschliessen.
UDS Linux hatte zunächst Windows-Mail-Server durch einen Linux-Postfix ersetzt, der über die Webmin-Oberfläche administriert werden kann. Spam- und Virenfilter wurden anschliessend scharfgeschaltet. Der Router wurde in beiden Richtungen aufgemacht und durch die UDS Linux - Firewall ergänzt. Portscans werden auf der Firewall sofort erkannt, der Absender für 1 Stunde geblockt. Schliesslich haben wir ein VPN-Gateway eingerichtet, über das die Mitarbeiter von aussen auf die Samba-Server innerhalb der Firma zugreifen können.
Seit der Installation ist Schluss mit Spam, kein Virus kommt durch, Angriffe werden mitgeschnitten und ausgewertet und das VPN läuft für beliebig viele User stabil und sicher.
Entwicklung eines Web-Admin-Out-Of-a-Box-Gateways für einen großen niedersächsischen Provider
Das Gateway wurde auf Basis des neuen Debian Sarge realisiert. Die Komponenten sind klassisch: exim, iptables, freeswan, spamassassin, dovecot usw.
z.T. wurden webmin-Module integriert und abgespeckt, z.T. neue Webmodule in PHP entwickelt. Kernstück sind 2 eigenentwickelte Python-Anwendungen, die das Gateway neu initialisieren und die Werte dabei direkt in die Konfigurationsdateien schreiben. Damit sind manuelle Änderungen an den Dateien genauso wie Updates problemlos möglich.
IT-Infrastruktur in einer großen Bildungseinrichtung (4500 Benutzer). Intranet-CMS, Verzeichnis-Dienst, Collaboration
Der große Berufsschule-Verbund stand vor der Frage, eine neue IT-Infrastruktur für Datei- und Druckdienste, Email, Content- und Dokumentenmanagement und sicheren Internet-Zugriff entweder auf Basis von Microsoft- oder Open-Source-Produkten aufzubauen. Obwohl der Konzern aus Redmond vergünstigte Lizenzen für Bildungseinrichtungen anbietet, summierten sich die Lizenzkosten für Windows 2003 Server, Exchange, ISA-Server und Sharepoint-Portal zu horrenden Summen.
Wichtig waren den Verantwortlichen eine zentrale Administration, die auf einem performanten und skalierbaren Verzeichnisdienst aufbaut und ein hohes Maß an Sicherheit auch intern (Schüler-Netz).
Das Netz wurde zunächst durch VLANs in logische Netze eingeteilt und mit Firewalls abgesichert. Bei der Kommunikation der Netze untereinander sollten möglichst wenige Ports offenbleiben.
Man entschied sich schliesslich für das Konzept von UDS Linux, das auf folgenden Komponenten aufbaut:
- Verzeichnisdienst OpenLDAP mit Gosa - Webinterface
- Samba mit WebDAV-Erweiterung Davenport für die Datei und Druckdienste
- Kolab-Server mit Squirrelmail-Webinterface und Antivir Email-Scanner
- Squid-Proxy mit Dansguardian Content-Filter und Antivir-Webgate
- Content-Management / Portal-System Plone
Alle Dienste werden am Verzeichnisdienst und seinen Slaves authentifiziert. Skripte fügen die Benutzer und Gruppen mit unterschiedlichen Berechtigungne in das LDAP-Verzeichnis ein. Es wurden Webmin-Interfaces zur Administration der einzelnen Dienste eingerichtet. Das System läuft stabil und performant auf 6 HP-1HE-Servern. Die Kosten für die Komplett-Einrichtung lagen bei 1/4 der vergleichbaren Lizenzkosten.
Intranet-Portal mit Active-Directory-Anbindung für einen großen Hamburger Verkehrsbetrieb
Es ging um die Einrichtung eines zentralen Intranet-Portals für die Ablage von Dokumenten und die Bereitstellung von Informationen für verschiedene Abteilungen. Nachdem man bereits mit dem Microsoft Sharepoint Portal-Server geliebäugelt hatte, fiel die Wahl letztendlich doch auf eine Open-Source-Lösung auf der Basis von Zope/Plone.
Wir sorgten für die Installation auf Debian Sarge, die Integration in das bestehende und komplexe Active Directory, sowie für die Schulung der Administratoren.
In einem 2. Schritt wurde dann eine eigenentwickelte Anwendung zur Protokoll- und Sitzungsverwaltung eingeführt.
Universal-Server (Email, Fax, Datei- und Druckdienste, Groupware, VPN) für einen Hamburger Papierverarbeitungsbetrieb.
Auf einer Toshiba Magnia (siehe Angebote) realisierten wir folgende Dienste:
- Email auf Postfix-Basis mit Spam- und Virenfilterung
- Webbasierte Groupware auf Basis von Group-Office
- Samba Datei- und Druckdienste
- Faxserver (Hylafax)
- VPN (OpenVPN)
Ausfallsicherheit, ISCSI-Storage und Enterprise-Backup für eine deutsche Wertpapierhandelsbank
Der Kunde wünschte eine Hochverfügbarkeitslösung für seine auf Linux und BSD basierenden Kern-Dienste:
- File- und Prinservices (Samba)
- Email (Postfix + mySQL)
- Webserver mit Kundendatenbank (LAMP)
- Internet-Zugang / Firewall
Alle Server mit o.g. Diensten wurden durch Ausfallserver ergänzt. Über DRBD wird eine sichere Echtzeit-Synchronisation der Daten gewährleistet, Heartbeat sorgt für die Erkennung von: Totalausfall, Netzwerkproblemen und Ausfall einzelner Dienste. Im Falle des Ausfalls eines Servers dauert die komplette Umschaltung auf den Stand-By-Server nur ca. 20-30 Sekunden.
Update: Aufgrund steigender Datenmengen wurde Ende 2008 ein ISCSI-Storage-Cluster auf Basis von OpenSuSE 11 eingerichet. Dieser versorgt alle 4 ApplikationsCluster mit lvm-basiertem, dynamisch verteilbarem Speicherplatz (insgesamt 10 TB). Die Zugriffsgeschwindigkeit liegt im Schnitt bei 70-80 MB/sekunde.
Die Daten werden nachts über die Backup-Software "bacula" auf LTO-Bänder eins Tandberg-Bandroboters gesichert und monatlich ausser Haus gebracht.
Umstellung der IT eines Hamburger Ingenieurbüros auf Linux-Thin-Clients mit Windows-Terminal-Server 2003
Die IT-Landschaft des Kunden zeichnete sich durch eine historisch gewachsene, extreme Unterscheidung der einzelnen Arbeitsplätze aus. Neben sehr unterschiedlicher Hardware waren auch Betriebssytem-Versionen von Windows 2000 - XP, Office von 2000 -XP und Fachanwendungen (AutoCAD usw.) in diversen Versionen installiert. Dadurch war das Zusammenarbeiten erschwert: Dokument-Versionen liessen sich z.T. nicht austauschen, Arbeitsplatzwechsel waren nicht möglich.
Es wurde bereits seit längerem auf einem Linux-Datei- und Internet-Server (Mail, Proxy usw.) gearbeitet, der nun durch einen Windows-Terminal-Server ergänzt wurde. Die Anwendungen konnten auf den TS portiert werden - hierbei gab wenig Probleme. Die Arbeitsplätze wurden mit Boot-CDs ausgestattet, die auf Basis einer Mini-Linux-Distribution einen Vollwertigen RDP-Client zur Verfügung stellen.
Vorbereitung der Techniker eines großen Service-Providers auf die LPI-Prüfung
Der Provider bietet seinen Kunden hosted Server u.a. auf Basis von Linux. Um erstklassigen Service zu bieten werden die technischen Mitarbeiter LPI-zertifiziert. UDS Linux bereitet die Mitarbeiter seit Jahren mit einer 1-wöchigen Schulung auf die schwierige Prüfung vor und kann mit Stolz vermelden, daß alle Teilnehmer die Prüfungen im ersten Anlauf bestanden haben.
Einführung von eGroupware in der Verwaltung der Universität Mainz
Anforderung war eine Groupware bzw. Kalender-Anwendung, die sich mit den unterschiedlichsten mobilen Endgeräten synchronisieren liess. Die Verwaltungsangestellten waren im Laufe der Zeit sowohl mit Palm-Handhelds der verschiedensten Generationen als auch mit Windows-Mobile-PDAs ausgestattet worden.
Die Wahl fiel auf eGroupware aufgrund der eingebauten SyncML-Schnittstelle, die von allen PDA- und Smartphone-Herstellern unterstützt wird. Inzwischen werden ausser der Kalender-Anwendung auch weitere eGroupware-Module wie das DokumentenManagement und die Wissensdatenbank genutzt.
Migration von Microsoft Exchange auf den Kerio-Mailserver unter Linux
Der Kunde, ein Textil-Handelsunternehmen mit 120 Mitarbeitern wollte sich von seinem Exchange-5.5-Server auf Basis von Windows NT 4 verabschieden. Da man bereits gute Erfahrungen mit Linux-Lösungen gemacht hatte, bat man uns, eine Alternative zu Exchange zu implementieren, die aber mindestens den gleichen Funktionsumfang in der Kombination mit Outlook oder dem Zugriff per Webinterface bietet (Öffentliche Ordner für Kalender und Kontakte, Einladungen, Ressourcen-Management usw.). Ausserdem sollten die bestehenden Mails, Kontakte und Kalenderdaten übernommen werden.
Wir installiertem dem Kunden den Kerio-Mailserver in der Version 6.6. auf einem bestehenden Redhat-Enterprise-Server. Die Daten wurden mit Hilfe des Kerio-Migration-Tools innerhalb einer Nacht migriert. Die Umstellung war für die Benutzer unproblematisch, da sie entweder bereits mit Outlook arbeiteten oder sich sehr schnell im edlen Webinterface des Kerio-Mailservers zurechtfanden.
Die Lizenzkostenersparnis gegenüber einem Update auf MS Exchange 2007 lag bei über 70%.
Linux-Terminal-Server-Umgebung und Internet-Inhaltsfilter für die Geesthachter Schulen
Zunächst wurden die bestehenden Schulserver-Lösungen begutachtet und evaluiert. Leider kam keine der bestehenden Schulserver (Arktur, SkoleLinux usw.) in Frage, da diese zu unflexibel sind, wenn es um eigene Erweiterungen geht.
UDS Linux entwickelte eine lüfterlose Box auf Basis von Debian-Linux, die einen Proxy-Server mit dem bekannten Internet-Content-Filter "dansguardian" bereit stellt. Über eine Weboberfläche lassen sich nun Profile entwickeln, die bestimmten Altersstufen entsprechen und den jeweiligen Schulklassen zuordnen. Ausserdem können einzelne Seiten bequem ge- und entsperrt werden.
In der Musterklasse arbeiten die Schüler mit ThinClients auf einem Linux-Terminal-Server. Die Authentifizierung geschieht über das städtische Active-Directory. Die Lehrprogramme werden mittels der Emulationssoftware "wine" gestartet. Der Rollout für alle 8 Schulen soll im Laufe des Jahres 2009 stattfinden.
Migration von Novell Netware nach Samba
Innerhalb von 14 Tagen wurden 3 TB Daten von verschiedenen Novell-Servern auf einen Samba-Server konsolidiert. Über eigene Skripte wurden die Berechtigungen gesetzt und Zeitstempel korrigiert.
Einrichtung einer Druck-Quta-Lösung für die Hochschule für angewandte Wissenschaften Hamburg
Die Hochschule hatte seit längerem mit massivem Druckaufkommen zu kämpfen, bis man beschloss, die Menge der Ausdrucke auf 500 pro Semester zu begrenzen. Zum Einsatz kam das Druck-Quota-System "pykota". Jeder Student kann über eine Webinterface seinen aktuellen Druck-Kontostand abfragen und bei Bedarf weitere Seiten hinzukaufen. Ausserdem gibt es ein Wertungssystem für bestimmte Druckertypen, sodass bspw. Farbdrucker 3 mal soviel kosten wie SW-Seiten.
Server-Virtualisierung mit Xen
Für einen Logistik-Betrieb im Hamburger Hafen wurden die Windows-Server mit XEN virtualisiert. Hierbei konnten 2-4 Server auf einem Standard-Server mit günstiger Intel-Nehalem-Plattform konsolidiert werden. Die Server wurden dabei im laufenden Betrieb mit entsprechenden P2V-Tools virtualisiert. Durch manuelles Einstellen der MAC-Adresse der Netzwerkkarten der virtuellen Maschinen verlief die Umschaltung im 2. Schritt reibungslos.
|
