J a a r g a n g 20 o k t o b e r 20 0 8
LanVision 5 Beter zicht op netwerken N E T W O R K I N G
Windows Thema Unified IPv6 in Windows Communications Server deel 1
Linux Stoeien met draadloos
Citrix Citrix XenDesktop
|
Adri Mathlener
|
Beveiligingstool onder de loep
Beveiligingstool onder de loep
MAC Spoofing Onze wereld hangt aan elkaar via netwerken. Elke computer is voorzien van een network interface card ook wel NIC genoemd. Deze nic’s worden door vele fabrikanten geproduceerd, waarvan Intel en 3Com wel de bekendste zijn.
Elke nic heeft een uniek adres, het zogenaamde Media Access Control (MAC) adres. Het adres bestaat uit 48 bytes oftewel 6 bytes en wordt meestal weergegeven als 00-11-22-33-AE-FD. De eerste 3 bytes geven de fabrikantcode [1] weer en de laatste 3 bytes het volgnummer.
Hieruit volgt dat per fabrikantcode er maximaal 16.777.215 (= FF-FF-FF) nic’s van een adres kunnen worden voorzien. Fabrikanten als Intel hebben meerdere fabrikantcodes. Nu bestaat er ook zoiets als mac-spoofing, oftewel voor de buitenwereld lijkt het of je nic een ander mac-adres heeft dan het in werkelijkheid heeft. Dit werkt alleen binnen het lokale netwerk waar de machine op is aangesloten.
een ander mac-adres kunt voorzien. Daar En we kunnen nog steeds het netwerk op: hoeven we niet voor in de registry te duiken, maar daar zijn gelukkig kant en klare tools voor. Na enig zoeken kwam ik een gratis en werkend tooltje tegen, te weten Mac MakeUp [2]. Het mooie van deze tool is dat je er zowel grafisch als vanaf de command line mee kunt werken. Maar hoe kom je nu binnen je netwerk De pc is voorzien van een Intel nic en achter mac-adressen van andere machines? daar maken we nu een Novell nic van: Ook daar zijn mooie en gratis tools voor. Ik heb hier Angry IP Scanner [3] voor gebruikt. Nadat je met de tool je hele ip-range hebt laten scannen, open je een command venster en tikt vervolgens ‘arp -a’ in. Je krijgt dan een mooie lijst van ip-nummers met bijbehorend mac-adres te zien.
Zo te zien ging dat zonder enige moeite, het nieuwe mac adres is nu toegekend:
Wat met een mac-adres kan, laat zich natuurlijk ook met ip-adressen [4] doen. Dat dit geen nieuws onder de zon is kun je nalezen in dit artikel [5] uit 2003. [1] www.cavebear.com/archive/cavebear/ Ethernet/vendor.html [2] www.gorlani.com/portal/DL_showall. asp?cat_id=15&parent_id=4&sub_name= System&parent_name=Utilities [3] www.angryziber.com/w/Home [4] http://en.wikipedia.org/wiki/IP_address
Dat mag dan zo zijn, maar wat kunnen we nu met deze wetenschap? Sommige netwerkbeheerders beperken het gebruik van het netwerk door middel van het controleren van het mac-adres. Dat dit niet altijd even verstandig is moge blijken uit het feit dat je onder Windows je netwerkkaart van
_spoofing [5] www.securityfocus.com/print/infocus/1674
[email protected]
O K TO B E R 2 0 0 8
|
LANVISION 5
39
Inhoud Th e m a
Networking 20 Hoe werkt IPv6 precies in Windows Server 2008? Hoe krijg je het aan de praat en wat werkt er vervolgens nog wel en wat niet meer? Bijvoorbeeld de applicaties? En hoe zit het met al die tools als bijvoorbeeld ping, tracert en netstat? Een artikel met de antwoorden. Interview
De toekomst van ‘computing’ 24 Het doet echt wat vreemd aan als iemand die directeur is van een bedrijf dat in zeven datacenters computers beheert, vertelt dat centralisatie in datacenters een tijdelijk fenomeen is, en dat de computers bij de bedrijven in de spreekwoordelijke bezemkast weer terugkomen. Wie is die Robert Rosier, en waarom denkt hij dat? Lees het interview. Wi n d ow s
Een SAN met iSCSI 28 Nog niet zo gek lang geleden stond een SAN voor ‘fiber channel’. Maar met de komst van iSCSI kwam daar een einde aan. Sinds Windows Server 2003 R2 ondersteunt ook Windows iSCSI, en daarmee werd een SAN voor bedrijven met Windows goedkoper, en werd dus voor veel meer bedrijven interessant. Maar hoe bouw je nou zo’n iSCSI SAN met Windows? Linux
Configuratie van Kerberos 32 Kerberos is handig bij authenticatie; het kan een alternatief zijn voor wachtwoorden die via het netwerk gaan en kan de toegang tot services en databases regelen. Maar hoe werkt het nou precies? Laten we eens kijken hoe je het op Ubuntu configureert.
Verder 6 11 12 14 17 18 31 37 39 40 43 44
Thema - XenDesktop De ENP over... Windows – Unified Communications Linux – Draadloze netwerken en Linux Gadgets Portret – Rick Quakernaat Column Rob Plas Bookrom Beveiligingstool onder de loep CoNGNes 2009 – 22 januari 2009 Column Bas Groot Productnieuws
O K TO B E R 2 0 0 8
|
LANVISION 5
5
Ruben Spruijt
|
Thema |
Citrix XenDesktop
|
Centralisatie alleen is niet het antwoord Citrix XenDesktop is dé desktop virtualisatie oplossing van Citrix. In dit artikel bespreekt Ruben Spruijt de voor- en nadelen van desktop virtualisatie en welke rol Citrix XenDesktop hierin speelt. Wat is de functie van Citrix Provisioning Server in het virtualiseren van desktops? Desktop virtualisatie ontwikkelt zich als een serieus, interessant en effectief desktop delivery platform. Volgens Ruben loopt Citrix voorop in de ontwikkeling en acceptatie van deze vorm van virtualisatie. ‘War of the virtual worlds Part I I’ is begonnen! Ruben geeft zijn visie over de virtuele werkplek in 2010. Applicatie- en desktop delivery Applicatie- en desktop delivery is een proces met het doel om applicaties onafhankelijk van locatie en werkplek aan te kunnen bieden zodat de gebruiker overal en altijd; onsite, online, offsite en offline kan werken. Citrix XenDesktop is een Virtual Desktop Infrastructure (VDI) oplossing. Deze oplossing zorgt voor remote toegang tot Windows XP- of Vista desktops die centraal op virtuele machines in het datacenter worden uitgevoerd. Server virtualisatie oplossingen zoals Microsoft Hyper-V, Citrix XenServer of VMware ESX Server vormen de infrastructurele basis voor de virtuele (Xen)Desktops. Xen Xen Xen Na de overname van XenSource door Citrix is het bij Citrix ‘Xen, Xen, Xen’ wat de klok slaat. In het woordenboek van Citrix staat Xen gelijk aan ‘virtualisatie’. XenServer zorgt voor het virtualiseren van hardware waardoor desktops en servers hardware-onafhankelijk worden uitgevoerd. Het virtualiseren en aanbieden van desktops wordt door XenDesktop verzorgd. Citrix XenApp zorgt op twee mogelijke manieren voor het virtualiseren van applicaties. Mogelijkheid één wordt ook
6
LANVISION 5
|
O K TO B E R 2 0 0 8
wel ‘server-side applicatie virtualisatie’ genoemd. Een mooie naam voor het bekende en beproefde Server Based Computing concept. De andere vorm van applicatie virtualisatie is ‘client-side applicatie virtualisatie’. Bij deze vorm worden applicaties snel en super eenvoudig op een desktop, laptop of terminal server aangeboden, waarbij de applicatie op het desbetreffende platform in een geïsoleerde omgeving wordt uitgevoerd. Wat zijn de voor- en nadelen van Citrix XenDesktop? Er zijn verschillende voordelen van XenDesktop (XD). Hieronder beschrijf ik er een aantal: Gebruikerservaring: Multimediale en grafisch zwaardere applicaties zijn door middel van het ICA-protocol met een acceptabele gebruikerservaring beschikbaar te stellen. Door het toepassen van de verschillende SpeedScreen technologieën zijn applicaties zelfs over netwerkverbindingen met een lagere bandbreedte en hogere latency te gebruiken. Veilige toegang tot applicaties: Gebruikers hebben met elk type verbinding, elk apparaat op elke locatie, zowel binnen als buiten bedrijfsnetwerken, op een veilige en consistente manier toegang tot applicaties. Alle informatie blijft in het
datacenter; alleen beeldscherminformatie wordt over het netwerk verstuurd. Snel beschikbaar stellen van desktops: Met XenDesktop zijn persoonlijke desktops veel sneller te distribueren, terug te halen, te ondersteunen en te onderhouden dan lokale desktops. De XD desktop is binnen enkele seconden beschikbaar. Meerdere besturingssystemen in één XenDesktop omgeving: Persoonlijke desktops kunnen worden geleverd met een Windows XP en Vista besturingssysteem. Afhankelijk van de ingestelde regels wordt bepaald welke desktop voor welke gebruiker is. Applicatiecompatibiliteit: Elke Windows XP of Vista desktop is een compleet stand alone virtueel werkstation. Er zijn twee grote voordelen bij het aanbieden van applicaties via XenDesktop ten opzichte van Microsoft Terminal Services: Onderzoek naar de samenwerking met applicaties van Microsoft Terminal Services is niet nodig en het aantal applicaties dat via XenDesktop centraal beschikbaar kan worden gesteld, is hoger ten opzichte van Microsoft Terminal Services. Gebruikersvrijheid: Een XenDesktop oplossing biedt de gebruiker Windows XP of Windows Vista. Eindgebruikers kunnen binnen de eigen werkplekomgeving appli-
|
caties installeren en eenvoudig configuratie-instellingen wijzigen. Real-time load balancing: Het virtuele infrastructuur platform bewaakt het gebruik van de systeem resources en wijst beschikbare bronnen toe aan een aantal desktops op basis van regels die vooraf door de ict-afdeling zijn ingesteld. Indien de resources beperkt zijn, wordt er extra capaciteit vrijgemaakt door migratie van actieve desktops naar een andere fysieke server. In combinatie met live migration worden de desktops realtime geloadbalanced. Hogere beschikbaarheid ofwel High Availability (HA): HA zorgt voor een hogere beschikbaarheid voor elke desktop, ongeacht het besturingssysteem of de onderliggende hardware configuratie. De technische invulling van HA kan per hardware-virtualisatie infrastructuur verschillen. Citrix XenDesktop Infrastructuur Om een goed beeld van de werking van XenDesktop te krijgen is het belangrijk te weten uit welke componenten de XenDesktop infrastructuur bestaat. Dit zijn: ■ Virtueel infrastructuur platform; ■ Desktop Delivery Controller; ■ Provisioning Server; ■ Client componenten; ■ Management tools. Virtueel infrastructuur platform De virtuele infrastructuur vormt de noodzakelijke basis voor XenDesktop. XenDesktop integreert naadloos in een VMware ESX, Microsoft Hyper-V en uiteraard de Citrix XenServer hardware virtualisatie oplossingen. De virtuele infrastructuur zorgt voor het beschikbaar stellen van de virtuele machines, servers en desktops. De integratie met het virtuele infrastructuurplatform is nodig om Power On, Power Off, Suspend en het resetten van virtuele machines vanuit de XenDesktop infrastructuur mogelijk te maken. Welk virtueel infrastructuurplatform voor XenDesktop het beste voor je is, hangt af van een aantal factoren zoals live migration, resource scheduling, high availability, fault tolerance, memory management, automation en disk management.
Desktop Delivery Controller De XenDesktop Desktop Delivery Controller (DDC) is verantwoordelijk voor de registratie van nieuwe virtuele desktops en dirigeert de aanvragen naar beschikbare systemen. Gebruikers communiceren indirect via een webinterface met de DDC of direct met de lokaal geïnstalleerde desktop receiver. Er kunnen drie verschillende desktop-groepen worden gebruikt. Pooled desktops, Assigned on First Use en Pre-Assigned. De DDC verzorgt ook op tijd gebaseerde resource management. Dat betekent concreet dat een minimum aantal desktops op een bepaalde tijd beschikbaar is. Wanneer het niet meer nodig is om deze desktop beschikbaar te hebben worden ze automatisch verwijderd. Virtual Desktop Agent De VDA is de client component in de XenDesktop architectuur. De VDA client wordt op de virtuele machine of fysieke blade pc geïnstalleerd en voegt de ICA Service aan de werkplek toe. De VDA client wordt op Windows XP en Vista ondersteund en biedt de gebruikers via ICA direct toegang tot de remote werkplek. Verder zorgt de VDA client software voor: ■ Universal Printer driver, Dynamic Client drive mapping, Multi-monitor support; ■ SpeedScreen technologie; ■ Cleartype ondersteuning, Smoothroaming; ■ Session Reliability; ■ Communicatie met DDC en Virtueel Infrastructuur platform. ICA Client De Citrix Program Neighborhood Client zorgt voor het opzetten en onderhouden van de ICA-connectie naar de remote desktop. De ICA Client voor XenDesktop, de desktop receiver, biedt additionele functionaliteiten voor XenDesktops. Zoals full-screen ondersteuning, connection-bar, usb mass storage device (ont)koppeling.
Thema
Windows XP/Vista interface voor de eindgebruiker. Op de Desktop Appliance is een ICA client geïnstalleerd. Unmanaged devices. De Citrix WebInterface biedt gebruikers via een webportaal toegang tot XenDesktop en XenApp mogelijkheden. Na autorisatie is de XenDesktop in een venster of in een volledig scherm beschikbaar. Om toegang tot de desktop te krijgen is een Citrix ICA client nodig. Deze client is voor alle gangbare besturingssystemen voorhanden. Figuur 1,2 en 3 geeft het proces om toegang tot XenDesktop te krijgen weer.
Figuur 1, Citrix Web Interface
Figuur 2, Citrix Web Interface
Figuur 3, WIndows Vista aangeboden via XenDesktop
Provisioning Server De Citrix Provisioning Server (PVS) is een belangrijk component binnen de XenDesktop infrastructuur. De XenDesktops starten en werken vanaf een centraal Eindgebruikerservaring op het netwerk aangeboden image Desktop Appliances. Deze werkplek, bestand. PVS zorgt ervoor dat de centraal meestal een Thin Client werkplek commu- opgeslagen vDisk via het netwerk wordt niceert direct met de Desktop Delivery aangeboden. Een Provisioning Server Controller. Na autorisatie verschijnt de infrastructuur bestaat onder andere uit:
O K TO B E R 2 0 0 8
|
LANVISION 5
7
Thema
|
Provisioning Streaming Server; ■ vDisk; ■ Streaming protocol. De Citrix Provisioning Server is een dienst die op een Windows Server is geïnstalleerd. Deze is verantwoordelijk voor het streamen en koppelen van vDisks aan de PVS clients waarbij de client een fysieke/ virtuele desktop of server kan zijn. De Provisioning Server heeft een centrale SQL database, Citrix licentie server en netwerk gerelateerde componenten (DHCP/PXE/TFTP) nodig. Meerdere Provisioning Servers zorgen voor een infrastructuur die een hogere beschikbaarheid heeft en meer schaalbaar is. Eén Provisioning Server kan ongeveer 500 simultane XenDesktop gebruikers afhandelen. ■
vDisk Een Virtuele Disk is een image met het besturingssysteem, de client-componenten en de gewenste applicaties. De zogenaamde ‘golden image’ wordt op een referentiemachine aangemaakt en door middel van snapshot-technologie opgeslagen als vDisks op de Provisioning Server. De vDisk wordt in het VHD, Virtual Harddisk formaat, opgeslagen en kan in een tweetal modes worden gebruikt. De ‘private image mode’ en ‘standard image mode’. In de Private image mode streamt de server één vDisk naar een specifieke client computer. De werkplek is 1 op 1 gekoppeld met de vDisk. Elke werkplek heeft zijn eigen private image en alle lees- en schrijfacties worden via het netwerk naar het vDisk bestand gestuurd. In de Standard image mode streamt de server één vDisk naar meerdere client computers. De werkplekken zijn gekoppeld aan één en dezelfde read-only vDisk. Alle schrijfacties naar de vDisk worden transparant naar een andere locatie gestuurd. Deze write-cache kan op de lokale harddisk, het interne geheugen van de client computer of op een netwerk share opgeslagen worden. Na een herstart van de (virtuele) werkplek wordt de write-cache verwijderd. Het resultaat is een schone en stabiele werkplekomgeving waarbij de (virtuele) werkplek 100% identiek aan het golden image is.
8
LANVISION 5
|
O K TO B E R 2 0 0 8
Streaming protocol Om een PVS client computer gebruik te laten maken van een vDisk, zal de machine via een removable storage device, dvd of via Pre-boot eXecution Environment (PXE) met de Provisioning Server contact moeten zoeken. De Provisioning Server herkent de client computer en bekijkt de configuratie in een centrale SQL database. De computer krijgt de vDisk gekoppeld en het bootproces vervolgt. Het streaming protocol biedt functionaliteit voor het on-demand streamen van besturingssysteem en applicaties waarbij maximale performance, stabiliteit en beschikbaarheid wordt gerealiseerd. In figuur 4 is te zien dat een Windows XP machine in 18 seconden volledig is opgestart, en dat in een Proof of Concept scenario.
Figuur 4, vDisk performance overzicht PVS, voordelen en aandachtspunten PVS is een onmisbaar onderdeel in elke VDI of Server Based Computing infrastructuur. Verschillende klanten in het mkb en binnen ondernemingen maken gebruik van PVS. Er zijn verschillende voorbeelden van bedrijven die PVS in een Microsoft Terminal Server en VMware VDI infrastructuur gebruiken. Om een goed beeld van de toepassing van PVS met XenDesktop te krijgen volgen hier een paar voordelen: ■ Virtuele desktops zijn 100% gegarandeerd identiek;
■
■
■
Beschikbaar stellen van nieuwe virtuele desktops is ‘on-the fly’; Super beheersbaar: De ‘golden image’ aanpassen en de Virtuele Machines rebooten zorgen ervoor dat de wijzigingen worden doorgevoerd. Wanneer de wijziging ongedaan moeten worden gemaakt is een nieuwe reboot voldoende om de werkplek te herstellen. Het uitrollen van security-updates, service packs of een nieuw besturingssysteem is echt een fluitje van een cent. Besparing van (dure) storage kosten. Eén enkele vDisk kan gelijktijdig duizenden virtuele desktops voorzien van OS, clients en applicaties. In een traditionele VDI of Terminal Server omgeving waarbij elke virtuele machine een eigen (20Gb) disk heeft, kan PVS terabytes aan dure centrale opslagkosten besparen.
Provisioning Server is een erg krachtige OS-streaming platform, maar er zijn wel een aantal aandachtspunten: ■ PVS werkt op dit moment alleen goed wanneer de client computers via een LAN beschikbaar zijn. Geen oplossing om de-centraal via een WAN (<100 Mb) beschikbaar te stellen; ■ Geen ‘work offline’ mogelijkheid; ■ Let goed op wanneer de hardware niet identiek is. In een virtuele desktop infrastructuur is dit geen probleem, de hardware is namelijk gevirtualiseerd. In een fysieke werkplek/server infrastructuur is dit een aandachtspunt. Door middel van Provisioning Server Common Images technologie is het mogelijk om één image te gebruiken waarbij de hardware op de clients verschillend is. ■ Provisioning Server is een extra component in de ict-infrastructuur. Ondanks het feit dat deze oplossing krachtig, eenvoudig en direct met de XenDesktop infrastructuur integreert, worden er wel nieuwe (additionele) componenten aan de (complexe) totaaloplossing toegevoegd. Om het ‘... wauw, maar werkt het echt?’gevoel om te zetten naar ‘... het werkt
|
echt!’ is een eigen evaluatie van de PVS oplossing een perfecte oplossing. Zien is toch geloven! Citrix XenApp, Applicatie Virtualisatie Applicaties worden tegenwoordig niet meer geïnstalleerd, maar veelal als een dienst op het XenDesktop platform beschikbaar gesteld en uitgevoerd. Er vinden geen wijzigingen aan de virtuele machine plaats. XenApp ‘client-side applicatie virtualisatie’ maakt snelle applicatie delivery binnen de XenDesktop omgeving mogelijk waarbij applicatieconflicten onderling zijn uitgesloten. Door gebruik te maken van XenApp in een XenDesktop omgeving is de ‘golden image’ erg klein en goed beheersbaar. De benodigde applicaties worden afhankelijk van de functie (‘role’) van de gebruikers, letterlijk met een vingerknip (afhankelijk van de applicatie misschien in drie), beschikbaar gesteld. Citrix XenDesktop overzicht Alle essentiële componenten in de XenDesktop architectuur zijn in dit artikel beschreven. Figuur 5 geeft een totaaloverzicht van de verschillende onderdelen. De Virtuele werkplek anno 2010 Hoe ziet een virtuele werkplek er in 2010 uit? Om een goed beeld van de werkplek anno 2010 te krijgen is een glazen bol niet nodig. Wanneer je kijkt naar de behoefte van klanten en de invulling van verschillende leveranciers op applicatie-
Figuur 5, Citrix XenDesktop overzicht
en desktop delivery-gebied, is de optelsom 1+1=2010 gemakkelijk gemaakt. 1. Het aanbieden van grafische zware-, multimediale- en unified communications applicaties is geen uitdaging meer. Door gebruik te maken van nieuwe of geoptimaliseerde protocollen zoals Microsoft ‘Calista’, SPICE, Net2Display, Teradici, RGS en Citrix ICA+ is het aanbieden van bovengenoemde applicaties vanuit het datacenter geen uitdaging meer. Gigabit naar de werkplek is dan ook geen luxe. 2. OS streaming technologie is een belangrijke schakel in het beheersbaar aanbieden van besturingssystemen aan virtuele- en fysieke desktops waarbij zowel offline(!) als online kan worden gewerkt. Citrix Provisioning Server, VHDsoft Xtreaming Technology en VMware Scalable Virtual Image gaan dit mogelijk maken. 3. In een strak beheerde werkplekomgeving kan een eindgebruiker zelfstandig applicaties installeren en gebruiken zonder dat de business-kritische applicaties hier hinder van ondervinden. Applicatie Virtualisatie zal verder zijn ontwikkeld waardoor deze functionaliteit mogelijk wordt gemaakt. Zowel eindgebruikers als ict-beheerders zijn blij ;-) 4. De centrale, door VDI aangeboden, werkplek kan hardware onafhankelijk en offline en offsite worden gebruikt. De lokale resources worden voor deze uitvoering maximaal gebruikt, ‘baremetal’ dus, waarbij de gebruikerserva-
Thema
ring maximaal is. Microsoft Enterprise Desktop Virtualization (MED-V), Citrix ‘XenClient’ hypervisor, en VMware ‘View’ vClient gaan deze functies aanbieden. De ideale virtuele werkplek anno 2010 zal uit een combinatie van Desktop Virtualisatie, OS streaming, Applicatie Virtualisatie en hypervisor-technologie bestaan. Een deel van deze oplossingen is vandaag de dag al beschikbaar en zeer goed inzetbaar. Conclusie Desktop virtualisatie ontwikkelt zich als een serieus, interessant en effectief desktop delivery platform. Citrix heeft een duidelijke visie op applicatie- en desktop delivery gebied. Met XenApp, XenServer en Provisioning Server heeft Citrix van XenDesktop een sterke totaaloplossing in handen. Er zijn verschillende technologieën waarbij Citrix ten opzichte van de concurrentie een voordeelpositie heeft, het ICA-protocol en Provisioning Server zijn enkele voorbeelden. Citrix XenDesktop is niet afhankelijk van een bepaalde virtualisatie-oplossing. Dit zorgt ervoor dat hij eenvoudig te implementeren en te accepteren is. De huidige XenDesktop oplossing komt op het gebied van de grafische zware applicaties en de volledige usb- en smartcard-ondersteuning nog wat tekort. Het aanbieden van gevirtualiseerde desktops vanuit het datacenter is voor veel mensen een nieuwe trend. VDI heeft ten opzichte van Server Based Computing een aantal essentiële verschillen maar ook een groot aantal overeenkomsten. Wil je zelf XenDesktop in een live omgeving zien werken? In onze solution showcase omgeving is het mogelijk om XenDesktop vanuit eindgebruikersperspectief te bekijken. Toegang is gratis en kan via www.virtuall.nl worden aangevraagd. Zien is geloven! Mijn motto: “Virtualization is the way to go!” Ruben Spruijt is als Solutions Architect werkzaam bij PQR. Heeft u vragen?
[email protected]
O K TO B E R 2 0 0 8
|
LANVISION 5
9
Jaap Wesselius
|
Windows
|
Betaalbaar WindowsSAN met iSCSI Omdat Microsoft sinds
Windows Server 2003 R2 het iSCSI protocol heeft omarmd, zijn SAN’s niet langer het domein van de (fiber channel) leveranciers als HP, EMC en Hitachi maar komen opeens veel meer leveranciers in beeld. Daarmee wordt het SAN veel goedkoper en dus interessanter voor veel meer bedrijven. Jaap Wesselius laat in dit artikel zien wat er bij een iSCSI / Windows SAN komt kijken.
iSCSI is een protocol waarbij SCSI commando’s worden ingepakt in standaard Ethernet verkeer. Met iSCSI kunnen we een werkstation aan een storage-apparaat koppelen middels een standaard Ethernet verbinding. Bekende iSCSI storage leveranciers zijn NetApp, Lefthand Networks, Equallogic (Dell) en Nimbus. Wat is er nodig voor zo’n storage oplossing? Als eerste natuurlijk een Storage Device waarmee we meerdere LUN’s kunnen aanbieden, deze worden de ‘targets’ genoemd. Binnen het besturingssysteem hebben we client software nodig genaamd ‘initiator’. Deze is voor Windows Server 2003 een aparte download, in Windows Server 2008 wordt hij standaard meegeleverd. De target en de initiator communiceren met elkaar via standaard TCP/IP over een normale Ethernet verbinding, poort 3260. Het is natuurlijk mogelijk om dit over het normale productienetwerk te doen, maar vanuit het oogpunt van security en performance is dit in het algemeen geen goed idee. Hierover later meer. Beter is het om een additioneel iSCSI netwerk aan te leggen, met eigen switches en het liefst redundant uitgevoerd. Aangezien iSCSI gebruik maakt van standaard Ethernet kan binnen je besturingssysteem een normale netwerkkaart worden gebruikt, zij het dat een aantal zaken niet nodig zijn. Voor Windows betekent dit dat DNS registratie niet nodig is, en ook NetBIOS over TCP/IP is niet nodig. Deze kan je derhalve disablen binnen Windows. Let ook op de default gateway instellingen op de netwerkkaarten. Normaliter zal er een default gateway instelling zijn op de publieke netwerkkaart. Hierdoor moet de default gateway op alle andere netwerkkaarten in de server niet gebruikt worden! Ook de ‘Client for Microsoft Networks’ en ‘File and Printer
28
LANVISION 5
|
O K TO B E R 2 0 0 8
Figuur 1. Simpele weergave iSCSI implementatie met dubbel uitgevoerde iSCSI backbone sharing for Microsoft Networks’ zijn in het geval van een iSCSI netwerk niet nodig. iSCSI ondersteunt ook het gebruik van Jumbo Frames. Bij Jumbo Frames wordt niet de standaard grootte van de Ethernet pakketten gebruikt, maar worden deze opgerekt tot maximaal 9000 bytes. Uiteraard is het van groot belang dat de netwerkkaart in de server, de gebruikte switch, alsook het storage device Jumbo frames ondersteunt. Het voordeel van Jumboframes mag duidelijk zijn, vanwege de veel grotere pakketgrootte is de overhead veel minder en de throughput veel hoger. Interessant is het ‘offloaden’ van TCP/IP rekenwerk van de serverprocessor naar de netwerkkaart zelf, genaamd TCP Offloading. Dit wordt in Windows 2008 ‘native’ ondersteund, in Windows 2003 is het een aparte download onder de naam ‘Scalable Networking Pack’. Zeker voor wat betreft Windows Server 2003 is enige voorzichtigheid en het nodige testwerk
|
Windows
geboden. Er zijn voldoende issues bekend waarbij de netwerk throughput daalde tot enkele kb/sec of waarbij onder zware belasting Windows Server 2003 de alom bekende STOP error genereert. Hier zijn een aantal hotfixes voor verschenen die zeker moeten worden geïnstalleerd. Kijk voor meer informatie, mocht je hiermee aan de gang gaan op de volgende support links van Microsoft: ■ http://support.microsoft.com/kb/945466/en-us - You receive a Stop error message when a computer that is using a TCP/IP Offload Engine (TOE)-enabled adapter is running under low resources in Windows Server 2003 ■ http://support.microsoft.com/kb/949234/en-us - Stop error message after a Windows Server 2003-based computer that has the TCP Chimney feature enabled restarts unexpectedly: “Stop 0x000000D1” ■ http://support.microsoft.com/kb/950224/en-us - A Scalable Networking Pack (SNP) hotfix rollup package is available for Windows Server 2003 Redundantie Om redundantie te verkrijgen en om de performance te verhogen kunnen een aantal zaken dubbel worden uitgevoerd: ■ N IC Teaming – bij het gebruik van NIC teaming worden twee netwerkkaarten samengevoegd tot een netwerkkaart. NIC teaming kan geconfigureerd worden voor het verhogen van de doorvoersnelheid middels load balancing of voor het verhogen van de redundantie. Microsoft is nooit een groot voorstander geweest van NIC teaming, maar in alle jaren dat ik NIC teaming gebruikt heb zien worden, heb ik ook nooit problemen hiermee gezien. NIC teaming kan worden gebruikt tussen twee poorten in één netwerkkaart, maar ook tussen twee poorten op twee verschillende netwerkkaarten. ■ Multi-path IO – bij het gebruik van Multi-path IO worden er twee paden gelegd tussen de server en het storage device. Er worden derhalve twee separate netwerkkaarten in de server gebruikt, twee separate switches en twee separate netwerkkaarten in het storage device. In de meeste gevallen zullen de controllers in het storage device ook dubbel uitgevoerd zijn. Hier zit wel een stinkende adder onder het gras: bij multi-path IO worden bij sommige storage devices meerdere parallelle iSCSI connecties opgezet tussen de server en het storage device. In combinatie met striping van je volumes over meerdere storage devices kan dan dramatisch uitpakken. Hierdoor loop je een serieus risico tegen het maximale aantal iSCSI connecties van je storage device aan te lopen. Dit is per leverancier en per implementatie verschillend, maar wel iets wat je in het achterhoofd moet houden.
Figuur 2. iSCSI netwerkinstellingen
Standaard Netwerkkaart versus Host Bus Adapter In het bovenstaande heb ik voornamelijk over ‘de netwerkkaart’ gesproken. In de meeste gevallen kan een standaard Broadcom of Intel kaart goed voldoen. Er zijn echter ook HBA’s (Host Bus Adapter) beschikbaar die dezelfde functionaliteit leveren. Een HBA in dit geval is een dedicated netwerkkaart, toegespitst op het gebruik van iSCSI. Daarnaast presenteert de HBA zich in het besturingsysteem als SCSI device. Whitepapers die de diverse leveranciers publiceren met betrekking tot performance gaan nagenoeg altijd uit van zo’n HBA situatie. HBA’s zijn echter bijzonder prijzige oplossingen, en persoonlijk ben ik van mening dat de prijs niet opweegt tegen de voordelen. Ergo, twee Intel Pro/1000 netwerkkaarten gaan ook prima presteren, en tegen een veel aantrekkelijker prijskaartje. Het gebruik van HBA’s biedt de mogelijkheid om een boot-from-SAN oplossing te bouwen. De HBA contacteert het iSCSI SAN tijdens het bootproces waarbij een bootoptie bestaat. Windows Server 2008 biedt standaard de mogelijkheid om het besturingsysteem direct op een SAN te installeren in plaats van een initiele installatie op de lokale harddisk.
O K TO B E R 2 0 0 8
|
LANVISION 5
29
Windows
|
Met een standaard netwerkkaart die PXE boot ondersteunt kan echter ook een boot-from-SAN oplossing worden gebouwd. De netwerkkaarten van Intel bieden deze functionaliteit direct uit de doos aan. Voor andere netwerkkaarten kan je naar een 3rd party leverancier als emBoot. emBoot maakt gebruik van de standaard PXE boot methode. Als een server boot dan wordt via DHCP een IP adres verkregen plus een extra extensie op het IP adres. Hiermee wordt een bootserver benaderd die de verbinding legt tussen de bootende netwerkkaart en een volume op het iSCSI SAN. Zodra deze verbinding tot stand is gebracht kan de machine opstarten. Dit is een kwestie van seconden. En zo’n derde partij is niet gebonden aan een bepaalde netwerkkaart, het enige dat benodigd is is PXE boot (en ondersteuning voor Gigabit natuurlijk).
bij een LUN. De fysieke implementatie van de diverse leveranciers is wel verschillend natuurlijk, maar in de basis zijn ze daarin gelijk. Voor authenticatie tussen de initiator en de target kan ook het CHAP protocol worden gebruikt. CHAP is wel weer gevoelig voor dictionary attacks (brute force), spoofing of reflection attacks. Daarnaast kan er tussen de server en het iSCSI device natuurlijk ook een IPSec verbinding worden opgezet. Hiermee wordt voorkomen dat er geen informatie in clear-text over het iSCSI netwerk gaat. Bovenstaande punten zijn ook de belangrijkste redenen om te kiezen voor een separaat iSCSI netwerk, volledig afgescheiden van het normale netwerk en waar (kwaadwillende) gebruikers niet bij kunnen.
iSCSI en netwerkbelasting Maar hoe zit het nu met belasting en latency? Applicaties zoals SQL Server of Exchange Server zijn erg gevoelig voor latency. Zodra deze te hoog oploopt holt de performance van de server achteruit en heb je klagende gebruikers. Hier zijn echter geen standaard richtlijnen voor. Voor honderd of tweehonderd gebruikers hoef je je geen zorgen te maken. Standaard gigabit in combinatie met teaming en multi-path IO is een zeer schaalbare oplossing en mits juist geconfigureerd zal dit een twee of drie gigabit-verbinding over het netwerk tot stand brengen. Het is geen wet van Meden en Perzen; op dit moment ben ik met een klant bezig om een gecentraliseerde 25.000 mailboxoplossing op basis van Exchange Server 2007 te bouwen. De storage-oplossing hierachter is standaard iSCSI. In de servers worden twee netwerkkaarten in een teaming oplossing gebouwd, en in de iSCSI apparaten zitten 6 netwerkaansluitingen (2 controllers met elk 3 aansluitingen). De (Jetstress) testen zijn nog niet afgerond, maar het ziet er voorlopig hoopvol uit. Voorlopig hebben we meer issues met de optimale configuratie van het iSCSI SAN (waar kan ik het beste de volumes plaatsen met volledige scheiding van database en log files) dan met de netwerkconfiguratie. Mocht een gigabit oplossing toch niet toereikend zijn dan zal een 10 GBE netwerk implementatie een oplossing zijn. Een 10 GBE netwerkoplossing zal uiteraard een gigabit implementatie aan alle kanten voorbij streven, maar kan ook de vergelijking met een (8 GB) fiber-oplossing goed aan. De kosten van 10 GBE apparatuur is voorlopig nog aan de hoge kant, maar is dalende. Binnen een jaar zal 10 GBE een standaard oplossing zijn geworden, dat is een ding wat zeker is.
Software iSCSI oplossingen iSCSI hardware oplossingen zijn bijzonder fraaie oplossingen, maar voor test- en ontwikkeldoeleinden is het een prijzige aangelegenheid. Met name voor het oriënteren richting iSCSI is een software-oplossing perfect. Dit is een applicatie die draait op een server waarbij een iSCSI target wordt geëmuleerd. De initiator op de testserver maakt een verbinding op poort 3260 waarop een target wordt gepresenteerd. Vervolgens komt een normale iSCSI verbinding tot stand waardoor de target zich op de testserver openbaart als een normale (local) disk. Software iSCSI oplossingen zijn zowel voor Windows als voor Linux verkrijgbaar. Sommige in de freeware-hoek, andere in de meer commerciële hoek. Voorbeelden van deze software zijn: Starwind van Rocketdivision: www.rocketdivision.com/wind.html SanFly van emBoot www.emboot.com/products_sanFly.htm FreeNAS: www.freenas.org Openfiler: www.openfiler.com Nimbus MySAN: www.nimbusdata.com/products/mysan.php
Security Met iSCSI wordt data (lees: LUNs) aangeboden op een standaard Ethernet waarop iedereen met een netwerkkaart in principe een verbinding kan opzetten. Security is hier dus van groot belang. Op LUN niveau kan worden gewerkt met ip-adressen van de initiator. Alleen het ip-adres van de betreffende server kan dan
30
LANVISION 5
|
O K TO B E R 2 0 0 8
Conclusie Met iSCSI komt een SAN opeens binnen handbereik van kleinere organisaties en zal ‘storage in the cloud’ kunnen transformeren van een abstract gedachtenspinsel naar iets concreets wat ook echt kan worden gebruikt. iSCSI maakt gebruik van een standaard gigabit Ethernet infrastructuur waardoor de hoge kosten van een fibre-implementatie achterwege blijven. Daarnaast speelt het feit dat de meeste it mensen ervaring hebben met Ethernet en het dus veel makkelijker te implementeren en te beheren is. Zoals elke nieuwe technische ontwikkelingen kent ook het gebruik van iSCSI wat scherpe randjes, maar mits juist opgezet en geïmplementeerd zal een iSCSI implementatie niet onder doen voor een fiber oplossing, maar dan wel voor een fractie van de prijs. Jaap Wesselius is Senior Consultant bij DM Consultants, en mede-oprichter van de Nederlandse Hyper-V community www.hyper-v.nu
[email protected]
Productnieuws
|
Hardware
OmniSwitch 6400
SDD van 256GB
Alcatel-Lucent introduceert de stackable OmniSwitch
Toshiba heeft een NAND-flash solid state drive op
6400-switches. Deze Layer 2+ Gigabit Ethernet LAN-
de markt gebracht van 256 GB. De solid state schijf
switches zijn bedoeld voor kleine en middelgrote
is 2.5-inch groot en heeft een maximale lees-
Proby Unified
ondernemingen, en nevenvestigingen of voor toe-
snelheid van 120MB per seconde. De schijfsnelheid
Proby Videoconferencing is gebaseerd op een
passing in carrier Ethernet-oplossingen. De
is maximaal 70MB per seconde, en functioneert op
appliance met Microsoft Unified Communications
OmniSwitch 6400-switches zijn compact, verbruiken
basis van een SATA 3.0Gb/s interface.
Software en kost rond de 25.000 euro. Met de
weinig energie en voldoen aan de RoHS-richtlijnen
Informatie: www.toshiba.com
Proby Videoconferencing oplossing kan virtueel
(‘Restriction of Hazardous Substances’). De switches
worden vergaderd en worden bespaard op reis-
omvatten meerlaagse beveiliging, waaronder authen-
Nieuwe Dell PowerEdge servers
kosten en kan overleg plaatsvinden met één of meer
ticatie van gebruikers, quarantaine-VLAN’s, toegangs-
De nieuwste modellen uit Dell’s blade-serverlijn zijn
deelnemers. Met Proby Videoconferencing zie je wie
controlelijsten, encryptie en bescherming tegen
de PowerEdge M905 en PowerEdge M805. De
aan de vergadering deelneemt, is beeld en geluid
‘Denial of Service’. De OmniSwitch 6400-reeks
PowerEdge M905 is een four-sockets blade die in
geïntegreerd en zijn digitale notulen, presentaties,
bestaat uit vijf modellen, die elk 24 of 48 Gigabit-
testen van Dell 66 Virtual Machines (VM) blijkt te
applicaties en whiteboards beschikbaar. Met de
poorten bieden. Elk model omvat twee 10 Gigabit
kunnen draaien in VMmark testing1 benchmarks.
Microsoft RoundTable panoramische 360° camera
stack-poorten en tot 4 Gigabit Ethernet-combopoor-
De PowerEdge M805 heeft evenveel DIMM slots in
wordt virtueel vergaderen dynamisch.
ten (RJ45/SFP). Tot maximaal acht switches zijn te
een two-socket blade. De PowerEdge M805 en
Informatie: www.proby.nl
stacken en vormen zo één enkele te beheren
M905 servers kosten respectievelijk 1.649 euro en
entiteit met een totaalcapaciteit van 384 poorten per
4.699 euro.
stack. Informatie: www.alcatel-lucent.com
Informatie: www.dell.com/powered
Noise Blackout De 20 gram wegende Jabra BT530 Bluetooth headset garandeert volgens fabrikant GN Network glas-
Intel SSD
helder geluid zonder storende achtergrondgeluiden.
Intel brengt de Intel X18-M en X25-M SATA Solid-
De Noise Blackout technologie zorgt ervoor dat
State Drives (SSD) voor laptops en desktops op de
achtergrondgeluiden worden geëlimineerd, op straat,
markt. De X18-M is een 1,8 inch drive en de X25-M
in een restaurant of in de auto. De Jabra BT530 is
een 2,5 inch drive. Ze bieden snellere toegangstij-
uitgerust met twee microfoons, om het achtergrond-
den en starttijden en genereren minder warmte.
geluid te dempen. Dankzij de Multi-Point-functie kan
De leessnelheid is 250 MB per seconde en de
Lite-On dunne DVD-schrijvers
de headset tegelijkertijd aangesloten worden op
schrijfsnelheid tot 70 MB per seconde met een
Lite-On kondigt een serie externe dun uitgevoerde
twee Bluetooth apparaten (bijvoorbeeld twee
85-microsecond latency bij het lezen De X18-M en
dvd-schrijvers aan. De eSAU208 is een compacte
mobiele telefoons of mobiele telefoon en pc). Er
de X25-M zijn beschikbaar in een 80 GB uitvoering
8-speed dvd-schrijver die gevoed wordt via een
worden zes Jabra Eargels (een systeem dat ervoor
en kost 595 dollar in hoeveelheden tot 1000 stuks.
standaard spanningskabel of via één of twee
zorgt dat de headset perfect in het oor past) in drie
Informatie: www.intel.com/design/flash/nand/
usb-poorten. De benodigde kabels worden mee-
verschillende maten én een optionele oorhaak
mainstream/index.htm
geleverd. Bijzonder is een “power safe” mode
standaard meegeleverd. De Jabra BT530 koste
waarbij de drive leest en schrijft met 40-60% lagere
69,95 euro.
snelheid om energie te besparen speciaal voor
Informatie: www.jabra.nl
gebruik aan een laptop zonder netspanning. De eSAU208 ondersteunt LightScribe. Informatie: www.liteonit.com
44
LANVISION 5
|
O K TO B E R 2 0 0 8
|
Cisco Virtual Office
Software
Productnieuws
troleren is Kaspersky Internet Security 2009 (KIS
Cisco Virtual Office verlengt je bedrijfsnetwerk naar
2009) ontwikkeld, dat onder meer beschikt over een
andere locaties. Door de combinatie van producten
virtueel toetsenbord voor het veilig invoeren van login-namen en wachtwoorden. Daarnaast worden
en diensten binnen het Virtual Office ervaar je als telewerker een veilige en rijke werkomgeving die
Windows HPC 2008 Server
onbekende programma’s voortaan op risico geclassifi-
volgens Cisco ook nog eens beheerbaar is. De
Windows
ceerd en krijgen deze beperkt toegang tot gegevens.
oplossing van Cisco bestaan uit IP-telefonie, draad-
HPC 2008
Ook KIS 2009 is verkrijgbaar voor 1 pc en 3 pc’s
loze en bedrade netwerken en video diensten. Bij de
Server (High-
voor respectievelijk 39,95 euro en 59,95 euro.
eindgebruiker zien we een Cisco 800 Integrated
Performance
Informatie: www.kaspersky.nl en www.viruslist.com
Services Router (ISR) en een model uit de serie
Computing)
7900 van Cisco Unified IP telefoons. Aan de andere
is de nieuwe
Let op je licenties
zijde op het LAN zien we een VPN router uit de
versie van
Met het onlangs uitgebrachte LicenseWatch versie
7200 serie. Voor beheer worden Cisco Security
Windows Compute Cluster Server 2003. HPC 2008
4.0 ben je in staat alle licenties te inventariseren en
Manager, Cisco Secure Access Control Server, Cisco
is gebaseerd op Windows Server 2008 en bevat
onderhouden. De uiteindelijke doelstellingen zijn om
Configuration Engine en Cisco Security Services
onder meer technologie om relatief eenvoudig
kosten op licenties te besparen en te voldoen aan
aangeboden (ook via partners).
toepassingen te ontwikkelen met Visual Studio 2008
alle licentievoorwaarden. Nieuw in versie 4.0 is
Informatie: www.cisco.com/web/go/cvo
die geschikt zijn voor parallelle verwering. Het
onder meer de mogelijkheid om gegevens te
product ondersteunt standaard interfaces zoals
importeren uit Human Resource systemen en serv-
OpenMP, multiprocessor interconnect (MPI) en Web
ice desk systemen, waardoor je licenties beter kunt
services. Window HPC Server 2008 ondersteunt
koppelen aan daadwerkelijke kosten. LicenseWatch
tevens rekenbibliotheken en optimalisatie engines,
4.0 integreert met Microsoft System Center
compilers en debugging programmatuur van
Configuration Manager 2007 (voorheen SMS), met
derden. Windows HPC Server 2008 kost 475 dollar
Active Directory en met virtuele omgevingen op
per node.
basis van software van Citrix, VMware, Microsoft
Informatie: www.microsoft.com/hpc/en/us/
Terminal Services and Microsoft Virtual Server. Werk
default.aspx
je niet met System Center Configuration Manager,
Toshiba NB100 Toshiba Information Systems Benelux brengt de
dan is er op de werkplek een compacte agent nodig.
NB100 op de Nederlandse markt: een compacte en
ESXi-hypervisor
Informatie: www.licensewatch.com en
krachtige netbook met uitgebreide communicatie- en
VMware stelt de standalone ESXi-hypervisor gratis
www.licomasoft.nl
multimediamogelijkheden die als eerste óf tweede
beschikbaar. ESXi 3.5 update 2 fungeert onafhanke-
computer kan fungeren. De NB100 heeft een strak
lijk van besturingssystemen. Volgens VMware voldoet
ontwerp in Bright Silver en kan met ‘skins’ worden
de software aan twee belangrijke criteria voor
aangepast. Als doelgroep ziet Toshiba personen die
verspreiding onder een massapubliek, namelijk
geen behoefte hebben aan processorvermogen of
gebruikseenvoud en volwassenheid. ESXi kan wor-
aan het grote aantal functies van een ‘volwassen’
den gedownload via
laptop, zoals schoolkinderen of ouderen. Maar hij
www.vmware.com/products/esxi
VMware Infrastructure (VI) Toolkit
kan ook worden ingezet als basis-pc in een zakelijke omgeving. De NB100 wordt geleverd met de nieuw-
Kaspersky Anti-Virus 2009
ste Intel Atom-processor en een 8,9-inch WSVGA
Kaspersky Anti-Virus
1024 x 600 LCD-scherm met ledverlichting. Als
2009 (KAV 2009)
besturingssysteem is Windows XP Home geïnstal-
beveiligt je pc tegen
leerd. De NB100 biedt eenvoudige 3D-graphics en
virussen. Nieuw bij KAV
stereoluidsprekers. Dankzij Bluetooth 2.1 met EDR-,
2009 is onder andere
De VMware Infrastructure (VI) Toolkit voor Windows
WiFi 802.11 b/g- en 10/100 Ethernet-interfaces is
dat links naar malware-
is een nieuwe toevoeging aan het aanbod van
hij simpel aan te sluiten. De Toshiba NB100 kost
websites worden uitge-
scripting-toolkits die de automatisering van virtuele
399 euro inclusief btw.
schakeld en dat bestu-
datacenters naar verluid moet verbeteren. De toolkit
Informatie: www.toshiba.nl
ringssystemen en geïn-
is gratis beschikbaar en biedt een gebruiksvriende-
stalleerde programma’s
lijke scripting-interface voor beheerders die de taak
worden gescand op kwetsbaarheden. Bij gebruik van
hebben om meerdere VMware ESX-hypervisors of
KAV 2009 wordt installatie van een afzonderlijke fire-
VMware VirtualCenter omgevingen te beheren. De
wall aangeraden. KAV 2009 is verkrijgbaar voor 1 pc
toolkit is gebaseerd op de scripttaal Microsoft
of voor 3 pc’s voor respectievelijk 29,95 euro en
PowerShell.
39,95 euro. Voor intensieve gebruikers van internet
Informatie en download:
en het internetgebruik van hun kinderen willen con-
www.vmware.com/sdk/vitk_win
O K TO B E R 2 0 0 8
|
LANVISION 5
45
Productnieuws
|
Adobe Reader 9
wisselen kan door
XenApp 5
Adobe heeft versie Adobe Reader 9 uitgebracht om
ze te verslepen van
Citrix heeft versie 5.0 van XenApp
pdf-documenten te openen, printen en beheren of
of naar de virtual
(Citrix Presentation Server) uitge-
erin te zoeken. Pdf-documenten met formulieren zijn
machine of ze te
bracht. Het voornaamste is dat
in te vullen en online in te dienen. Nieuw is onder
kopiëren en plak-
nu Windows Server 2008 ter-
meer de ondersteuning van Adobe Flash en integra-
ken. Mac en
minal server wordt onder-
tie met Acrobat.com (in beta fase) om pdf-docu-
Windows toepas-
steund, wat aanmerkelijk betere
menten te laten genereren. Met Adobe ConnectNow
singen kunnen
prestaties moet opleveren op een
kun je samenwerken aan documenten en deel-
dankzij SmartSelect
64-bit systeem. Er zijn drie versies, de Advanced,
vanuit het andere
Enterprise en Platinum editie. Een handige functie,
nemen aan documentreviews. Dankzij de nieuwe Adobe Reader 9 MUI is het mogelijk iedere combi-
besturingssysteem worden gestart en speciale map-
preferential load balancing is alleen op Windows
natie van ondersteunde talen te installeren.
pen kunnen automatisch worden verbonden in het
Server 2008 met de Platinum versie van XenApp
Voorafgaand aan de installatie kun je kiezen de
andere besturingssysteem. Parallels Desktop onder-
beschikbaar. De streaming mogelijkheden zijn verbe-
Google Toolbar mee te installeren.
steunt tot 1,5 GB geheugen per VM, het doorgeven
terd, zo is het nu mogelijk om over HTTPS te strea-
Informatie: www.adobe.com/products/reader
van usb 2.0 poorten en hoge resolutie graphics. Het
men (voorheen kon dat alleen over een gedeelde
product kost 79,99 euro. Er is naast de reguliere ver-
map op een storage omgeving). Een gedetailleerde
sie ook een Premium versie die wordt geleverd met
tabel met mogelijkheden en versies kun je vinden in
Acronis Disk Director Suite, Acronis True Image Home
de Feature Comparison Matrix op de website bij Citrix.
en Kaspersky Internet Security.
Informatie: www.citrix.com
Informatie: www.parallels.com/mac
VMware Fusion 2.0 VMware brengt VMware Fusion 2 op de markt.
Diensten
Hiermee is het mogelijk Windows, Linux en andere besturingsystemen in een virtual machine te draaien
Carbonite back-up
op Mac OS X, inclusief Mac OS X Server. Unity View
Met Carbonite 3.6 maak je online automatisch back-
Aladdin eToken PKI Client 5.0
maakt het mogelijk toepassingen “seamless” in een
ups van één of meer pc´s binnen je organisatie. Op
Aladdin Knowledge
venster weer te geven boven op de Mac interface
elke pc wordt een compacte client geïnstalleerd die
Systems heeft ver-
en bijvoorbeeld te integreren in de Dock. Bestanden
veilig communiceert met de back-up servers bij
sie 5.0 van zijn
uitwisselen is mogelijk door ze te verslepen van of
Carbonit, waar alle data versleuteld wordt opgeslagen.
eToken PKI Client
naar de virtual machine en met kopiëren en plakken.
Er is geen beperking op de hoeveelheid diskruimte die
software voor Windows vrijgegeven voor het creëren
Fusion ondersteunt het doorgeven van usb 2.0 poor-
je back-up in beslag neemt. Carbonite kost 49,95 euro
van een veilige methode voor informatiedeling op
ten, meerdere beeldschermen op de Mac en hoge
voor 1 jaar of 89,95 euro voor 2 jaar en werkt op
basis van Public Key cryptografie. Deze nieuwe ver-
resolutie graphics. De virtual machines kunnen tot
Windows XP en Windows Vista. Informatie:
sie loopt daarbij vooruit op het eToken 5.0-product-
vier virtuele processors (experimenteel) hebben op
http://www.carbonite.com en www.carbonite-backup.nl
portfolio dat nog moet verschijnen, zoals het eToken
4- en 8-core Mac Pros en Xserve´s en ondersteunt
Token Management System 5.0 (TMS). eToken PKI
tot 8 GB geheugen per VM. Fusion is in staat meer-
Mindtime Appliance
5.0 komt eveneens beschikbaar voor Linux en Mac
dere snapshots te onderhouden en automatisch
De Mindtime Backup Appliance is een alternatief
OS X. Nieuw in deze versie is onder meer een uitge-
periodieke snapshots te maken. Fusion wordt gele-
voor de traditionele tape back-up. Met behulp van de
breidere Password Complexity Module voor sterkere
verd met een licentie voor 12 maanden van McAfee
Mindtime Backup Appliance software is het mogelijk
wachtwoorden. Gebruikers zijn nu ook in staat om
VirusScan Plus.VMware Fusion 2 is kosteloos te
om je kritische bedrijfsgegevens veilig te backuppen
opgeslagen dataobjecten te wissen, zoals certificaten
downloaden voor alle klanten van VMware Fusion
op een interne Mindtime Backup Appliance en extern
of SSO-profielen, zonder dat de token volledig geïni-
1.x. Nieuwe klanten betalen 79,99 euro.
in een beveiligd dataserver in Amsterdam. Er is een
tialiseerd moet worden. Ook is domeinwachtwoord-
Informatie: vmware.com/mac
1 TB en 2 TB versie van de Mindtime Backup
synchronisatie in een Windows omgeving mogelijk.
Appliance beschikbaar. Door de synchronisatie van de
Informatie: www.aladdin.com
Mindtime Backup Appliance met de beveiligde Mindtime Backup servers, blijven je bedrijfskritische
Parallels Desktop 3.0
gegevens online beschikbaar. De Mindtime Backup
Parallels Desktop 3.0 for Mac is sinds kort beschik-
Appliance wordt vooraf geconfigureerd en werkt
baar. Met deze virtual machine technologie is het
volgens de fabrikant met plug & play. Het reguliere
mogelijk Windows, Linux en andere besturingsyste-
abonnement voor de online back-up kost 11,95 euro
men te draaien boven op Mac OS X. Coherence
per maand voor 2 GB opslag en loopt op tot 549,95
mode integreert Windows-toepassingen op het Mac
euro per maand voor 100 GB opslag.
bureaublad en in de Dock en Exposé. Bestanden uit-
Informatie: www.mindtimebackup.nl
46
LANVISION 5
|
O K TO B E R 2 0 0 8
NGN-leden duiken in de boeken
Titel: Windows Vista voor XP-professionals Auteur: Raymond Comvalius Uitgever: WEKA ISBN: 9789058833150 Uitvoering: 255 pagina’s, Nederlands Prijs: € 79,95 Recensent: Alex de Jong Waardering:
|
Bookrom
Titel: de Apple iPhone Auteur: Victor Peters & Francisca Fouchier Uitgever: A.W. Bruna Uitgevers B.V. ISBN-13: 978-90-229-58629 Uitvoering: 223 pagina’s, Nederlands Prijs: € 12,95 Recensent: Adri Mathlener Waardering:
Windows-specialist Raymond Comvalius
Nu de Apple iPhone op de markt is,
heeft een boek geschreven over Windows
verschijnen in de winkel ook de eerste
Vista. Het boek is bedoeld voor de
boeken erover. Het boek opent met de zin
systeembeheerder die meer wil weten
dat het geen handleiding voor de iPhone
over wat hem te wachten staat na een
is, want die zou de iPhone niet nodig
migratie ten opzichte van Windows XP.
hebben. Een kind van zeven kan de was doen. Waarom dan toch een boekje als dit?
Na een nuttige overweging over 64-bits
Simpel, om je wegwijs te maken en je ken-
Vista en de verschillende versies, gaat het
nis te laten nemen van allerlei applicaties
boek volledig de diepte in over ‘deploy-
en stoute dingen.
ment’. Om te beginnen met het activeren van Windows. Vervolgens volgen de diverse tools en mogelijkheden die
Begonnen wordt met een korte algemene uitleg over de iPhone en
Vista biedt voor het geautomatiseerd uitrollen van een systeem.
welke applicaties er standaard beschikbaar zijn en hoe die werken. Zo
Tussendoor komen regelmatig hints en tips voorbij die het leven van de
wordt stilgestaan bij de configuratie van de e-mail, en wordt getoond
beheerder kunnen vergemakkelijken. In het deel “beheer van Vista”
hoe dit voor imap werkt. De synchronisatie van muziek en foto’s wordt
komen de diverse nieuwe en vernieuwde beheertools voorbij met onder
ook even aangestipt, maar wordt als bekend beschouwd.
andere een nuttig stappenplan voor het troubleshooten van Group Policy. Het hoofdstuk “Vista beveiliging” geeft een heldere uiteenzetting
De iPhone is voorzien van een webbrowser en ruim 30 pagina’s wordt
van de werking van Vista’s meest verfoeide feature: User Account
besteed aan webpagina’s die zich specifiek richten op vertoning via de
Control. De schrijver gaat daarbij de pijnlijke onderdelen niet uit de weg
iPhone. Dit gaat van wikipedia via games naar internetradio tot weten-
en geeft terloops wat aanwijzingen over potentieel ongewenste gevolgen
schap en e-mail.
van file- en registry-virtualisatie en hoe je hier als systeembeheerder mee om kunt gaan. BitLocker wordt uitgebreid behandeld, van de
Additionele applicaties kun je via iTunes op je iPhone zetten en acht
werking tot en met de implementatie vanaf de prompt met duidelijke
leuke worden beschreven. Het meest interessante van dit boek is wel
voorbeelden. Het boek gaat ook uitgebreid in op de netwerkfunctiona-
het jailbreaken van de iPhone. Er is een levendige underground scene
liteit van Vista. De schrijver gaat kort in op IPv6 en leeft zich vervolgens
op internet die zich daarmee bezig houdt en daar wordt dan ook naar
uit op de firewall in Windows Vista.
verwezen. In dit boek wordt de nadruk gelegd op de vele applicaties die je dan kunt gebruiken en hoe ze werken. Tot voor kort was ssh alleen
Het hoofdstuk over de mobiliteitsvoorzieningen behandelt nog vrij
via deze weg te verkrijgen. Grappig is hoe jij van je iPhone een web-
uitgebreid de offline folderfunctionaliteit van Vista en is duidelijk korter
server maakt middels lighttpd.
over het mobile device center en de Tablet PC-functionaliteit. Het migratiehoofdstuk gaat nog uitgebreid in op de rol van profielen bij een
Het boek besluit met verwijzingen naar www.iphoneclub.nl en
migratie naar Vista, maar blijft daarna beknopt over de User State
www.iphoned.nl als bronnen voor meer informatie.
Migration Tool en Windows Easy Transfer. Het is een handzaam boek, met een overdaad aan zwart-wit screenIk denk dat de schrijver is geslaagd in zijn opzet en met dit boek een
shots, bijna op elke pagina wel eentje, die verduidelijkend werken. Erg
goed overzicht geeft van de veranderingen die in Windows Vista voor de
handig is hoe het ‘bevrijden’ van de iPhone werkt en wat je er dan wel
systeembeheerder hebben plaatsgevonden. Het is een goed startpunt
allemaal mee kunt doen.
wanneer je op het punt staat om Windows XP te verruilen voor Windows Vista.
O K TO B E R 2 0 0 8
|
LANVISION 5
37
|
Van de hoofdredacteur
Colofon
Ron Onrust
Colofon
Het blad LanVision wordt in opdracht van de NGN
uitgegeven door LanVision B.V. Het verschijnt zes maal per jaar en wordt aan NGN-leden toegezonden.
Wat kun je verwachten in deze LanVision? Nou, om te beginnen hebben we een artikel over de ‘ins en outs’ van dat interessante virtuele desktop-platform XenDesktop. Volgens auteur Ruben Spruijt loopt Citrix hiermee voorop. Dan beginnen we in deze LanVision met een artikelenreeks over Unified Communications, met Microsoftproducten. Dit eerste deel is niet veel meer dan een inleiding, zodat we allemaal weten wat er allemaal mee kan. Maar in de komende afleveringen gaan we de diepte in, reken maar.
Samenstellers en uitgever zijn zich bewust van hun
taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kunnen zij geen enkele aansprakelijkheid
aanvaarden voor eventueel in deze uitgave voorkomenden onjuistheden.
Redactie
Ron Onrust, hoofdredacteur
Wie nog altijd stoeit met draadloze netwerken onder Linux, die voelt zich wellicht gesteund door het artikel wat we over dit onderwerp hebben. Hoe kom je er achter welke chipset je draadloze netwerkkaart heeft en dus welke driver je moet installeren? En hoe doe je dat laatste precies. Dat vertelt dit artikel je.
(
[email protected])
Colette Zoetekouw, productiecoördinator (
[email protected])
Veldzigt 2b, 3454 PW De Meern Tel: 030-711 56 31
Op het gebied van Windows hebben we dit keer artikelen over iSCSI en IPv6. Met iSCSI wordt een wat goedkoper SAN mogelijk en ons artikel laat zien hoe je een iSCSI SAN onder Windows aan de praat krijgt. Nee, dat is dan niet eng meer. En iedereen vertelt je dat IPv6 ‘er aan komt’, en dit artikel laat je zien hoe je dat onder Windows goed ‘aan’ zet.
Fax: 030-711 56 32
E-mail voor persberichten:
[email protected]
Medewerkers
Marcel Beelen, Martijn Bellaard, Ernst Fuld, Bas Groot, Alex de Jong, Adri Mathlener, Rob Plas, Ruben Spruijt,
Zelf ging ik voor deze LanVision eens praten met Robert Rosier. Die er wat opmerkelijke ideeën over de toekomst van ‘Networking’ op na houdt. Zijn stelling is onder meer dat dankzij de steeds sneller wordende technieken – over een tijdje heeft iedereen een 100 megabit of een gigabit-verbinding op de werkplek- de computers die met name ‘processing’ voor hun rekening nemen, weer terugkomen in de bedrijven. In de bezemkast, dus. Zo breidt de ‘wolk’ van cloudcomputing zich uit tot aan de werkplek. Computers worden ‘dozen in de wolk’, die processing-taken uitvoeren, waarbij het van minder belang wordt waar dat zich precies afspeelt. Valt er een weg, dan neemt de volgende het gelijk over. Naar mate de it-industrie volwassener wordt, kunnen we steeds meer bouwen met standaard-componenten, en bovendien gebruik maken van standaard-diensten van derden. ‘IT uit het stopcontact’.
Sander van Vugt, Jaap Wesselius
Fotografie
Frank Korpershoek, Ron Onrust, Rob Plas, Paul Teixeira, Ed Wens
Vormgeving
Cees van Rutten Grafische vormgeving bno, Den Haag
Druk
Spijker Drukkerij, Buren
Advertentie-Exploitatie LanVision B.V., De Meern
Ik vroeg Rosier naar de consequenties van dit soort ontwikkelingen voor het werk van de systeembeheerder. Volgens Rosier verdwijnt de beheerder niet uit de bedrijven, maar tussen de regels door begreep ik wel dat de inhoud van het werk van een beheerder fors zal verschuiven. Volgens Rosier meer naar de kernactiviteiten van een bedrijf, maar volgens mij betekent dat ook dat de beheerder op een hoger niveau zal moeten gaan opereren. Benodigde kennis zal verschuiven, en er zal meer moeten worden ‘aangestuurd’ dan zelf worden gedaan. Een trend die al jaren gaande is? En ondernemer Rosier ziet in de toekomst dusdanig standaard-componenten in de ‘cloud’, dat hij er nu al op zinspeelt om in de toekomst computercapaciteit te gaan terugkopen van de klant. In jouw slappe tijd draait het proces van je buurman op jouw computer, en je krijgt daar ook nog voor betaald. Het idee is niet nieuw, maar het lijkt nu wel realiteit te gaan worden. Zeg maar eens dat het geen spannende tijden zijn. En je leest het in LanVision.
4
LANVISION 5
|
O K TO B E R 2 0 0 8
Tel: 030-711 56 31 (
[email protected])
© LanVision B.V. 2008
Niets uit deze uitgave mag op enigerlei wijze worden overgenomen zonder uitdrukkelijke schriftelijke
toestemming van de uitgever. Het verlenen van
toestemming tot publicatie van een artikel in LanVision
strekt zich tevens uit tot het in enigerlei vorm elektronisch beschikbaar stellen ervan.
ISSN: 0928-3412
Foto’s: Paul Teixeira
Het had weinig gescheeld of Rick Quakernaat was Naam Rick Quakernaat
nooit tot de NGN toegetreden. “Ik wilde de fotografie Leeftijd 44 jaar
in gaan en studeerde aan de Academie voor de Fotografie in Den Haag.” Uiteindelijk koos hij voor een carrière in de IT – met bijbehorend NGN-lidmaatschap - in plaats van een leven als studiofotograaf. Al draagt hij nog steeds een warm hart voor de fotografie.
18
LANVISION 5
|
O K TO B E R 2 0 0 8
|
Rick Quakernaat (getrouwd en trotse vader van drie kinderen) mag met een twintig jaar ervaring gerust een veteraan in de it heten. “Sinds 1986 ben ik werkzaam in de automatisering, begonnen op een IBM Mainframe 4381 met een VSE en VM omgeving. Ik ben begonnen in netwerken met IBM SNA. Dat was toen de standaard in de IBM-wereld. TCP/IP was toen nog totaal onbekend. Later, toen ik meer richting de pckant ging, was het Token Ring met eerst PC-LAN en daarna IBM OS/2. Niet veel later werd het Netware 3.11. Ik heb de hele overgang van Token Ring naar Ethernet meegemaakt. Vooral in het begin was dit een geloofstrijd tussen twee werelden.” Genoeg ervaring om de nodige vreemde situaties mee te hebben gemaakt? “In de beginperiode van mijn loopbaan wilde ik de verkeerde PC LAN server uitdoen. Tijdens het indrukken van de aan/uit knop kwam ik tot de ontdekking dat ik de verkeerde server te pakken had. Ik heb toen de knop ingedrukt gehouden zodat de server niet uitging. De collega die mij te hulp kwam riep bijna de gehele afdeling erbij. Zodat ik aardig voor... stond.” Heeft hij door de jaren heen (en in zijn verschillende werkkringen) it-investeringen op een opmerkelijke manier ‘er doorheen gekregen’? “Het is altijd moeilijk om een investering in infrastructuur te onderbouwen. Vaak lukt het pas als er een incident heeft plaatsgevonden. Maar ik kan me niet direct een voorval herinneren, waarbij op een opmerkelijke manier een investeringsplan is goedgekeurd, of het moet al jaren geleden geweest zijn, dat ik bezig was met het verbeteren van de it-uitwijk omgeving en er geen goedkeuring voor kon krijgen. Na 11 september 2001 had ik die goedkeuring echter zo voor elkaar.”
‘Bewust geen pda’ Inmiddels is Quakernaat Architect Infrastructuur bij Cordares Pensioen en Vermogensbeheerder, onderdeel van de APG Groep. Het bedrijf beschikt over 400 servers en 1000 pc/notebooks. “Bij Cordares werken ongeveer 70 personen bij afdeling Infrastructuur, die zich bezighouden met het inrichten en beheer van de technische infrastructuur”, zegt Quakernaat.
Portret
|
NGN-leden stellen zich aan u voor
Zijn de dagelijkse it-beheerbeslommeringen op het werk voor hem verleden tijd; thuis kan hij zijn hart ophalen aan de thuisautomatisering. Zo heeft Rick Quakernaat een HP notebook waarmee hij remote kan werken, plus een wired en een wireless netwerk. En dan zijn er nog de systemen van de overige familieleden. “Twee kinderen hebben een eigen pc die zij, naast het bekende MSN’en, ook gebruiken voor hun huiswerk. Steeds meer scholen maken overigens gebruik van het internet voor huiswerk opgaven. Ik maak gebruik van relatief kleine ISP, CAIWAY uit Naaldwijk. Ik ben daar relatief tevreden over. Ik heb bewust nog geen pda, anders zit ik alleen maar mijn emails te lezen en te beantwoorden. Dus meer ter bescherming van mijzelf. Toch heb ik wel besloten om voor mijn agendabeheer een pda te gaan gebruiken. Het wordt dan de HTC Touch Diamond P3700.” In zijn vrije tijd gaat Quakernaat ‘los’ op zijn twee hobby’s: fietsen en fotografie.
No-nonsense benadering Rick Quakernaat is een NGN’er van het eerste uur: “Vanuit mijn vorige werkkring ben ik al weer wat jaartjes lid van NGN. Ik heb nog de beginperiode van de NGN meegemaakt, toen het nog de Novell-club was.” Hij ziet de nodige voordelen van het NGN-lidmaatschap. “Vooral de no-nonsense benadering en de knowledge sessies met gastsprekers vind ik erg nuttig. In mei van dit jaar ben ik nog aanwezig geweest bij de sessie met Steve Riley van Microsoft. Dat was weer zeer interessant.” Kennisuitwisseling is een belangrijk goed binnen de NGN. Quakernaat zegt daar ook zijn steentje aan te kunnen bijdragen. “Door de jaren heen heb ik aardig wat specialismen weten op te bouwen. Maar als ik er één mag noemen, dan is dat het gebied van computernetwerken.” Favoriete U RL’s:
Naast de twee wekelijks NGN nieuwsbrief is dat http://channel9.msdn.com http://www.scmagazineus.com http://tweakers.net http://webwereld.nl http://gartner.com Favoriete tooltjes:
Als Architect maak ik gebruik van onder andere Archimate. Maar als ik een tool moet noemen waar ik niet buiten kan, dan is het wel MS Visio.
O K TO B E R 2 0 0 8
|
LANVISION 5
19
Jubileum CoNGNes |
Jubileum CoNGNes 22 januari 2009 – Meervaart, Amsterdam
Binnenkort bestaat de NGN 20 jaar! Dat gaan we vieren. Niet door om te kijken naar het verleden, maar met een blik op de komende 20 jaar van de IT. Dus:
“De toekomst van We beogen geen gewoon congres. We willen meer en daarom staat het educatieve karakter van dit jubileum congres hoog in het vaandel. Niet alleen maar geïnformeerd worden over, maar leren met het oog op de nabije toekomst. Geen congres, maar een CoNGNes! De toekomstgerichtheid zal zich vooral manifesteren door de keuze van thema’s die in dit CoNGNes een dominante rol zullen spelen. Hierbij valt te denken aan thema’s als: ■ SaaS – de toekomst van software gebruik en distributie? ■ Managed Services – wat doet de it manager van de nabije toekomst nog zelf en wat ■ ■ ■ ■ ■
40
besteedt hij/zij uit? Hoe blijft hij/zij aanspreekbaar en neemt hij/zij verantwoordelijkheid? Virtualisatie – hoever kun je gaan: van infrastructuur tot op applicatie&server niveau? De nieuwe werkplek / het nieuwe werken – Waar ik ben is mijn werkplek en niet omgekeerd. Wat betekent dat voor het it-beheer? Unified Communications – de integratie van alle communicatievormen, een illusie? Cloud computing – is het einde van het eigen datacentrum en serverpark in zicht? Wat gaat dat betekenen voor de beheerder van het netwerk? SOA – van Service Oriëntatie naar Sociale of Business Oriëntatie? Is SOA business of technologieconcept?
LANVISION 5
|
O K TO B E R 2 0 0 8
|
Jubileum CoNGNes
N
IT a.k.a IT 2.0” We spreken liever niet van sponsoren omdat we van onze supporters meer verlangen dan een financiële injectie. We willen dat ze les komen geven! Citrix en Microsoft tekenden voor een Professoraat. Vroeger noemde men dat een Platinum Partner. Messaging Architects, Escaux en BrainForce zullen tenminste gaan voor het Hoofdocentschap, iets dat men in de vorige eeuw als Gold Sponsor betitelde. Bedrijven als PQR en A2 Networks zetten zich in als Vakdocent (Vroeger: Silver) en hebben daar naar ervaren NGN’ers weten inhoudelijk ruimschoots genoeg voor in huis. De Klasseleraren (voor anderen: Bronsors) zullen worden aangevoerd door bedrijven als Real Open IT, Vanveen Informatica. Automatisering Gids, IT Beheer Magazine en informatie zijn onze mediapartners. Houd de NGN site in de gaten voor het laatste nieuws. En reserveer alvast 22 januari in je agenda! Leden krijgen een streepje voor – wéér een reden om lid te worden!
Mediapartners
RealOpen IT
O K TO B E R 2 0 0 8
|
LANVISION 5
41
Martijn Bellaard
|
Windows
|
I Pv6 en Windows 2008 Vanaf Windows XP is er in Windows een goed werkende IPv6 stack aanwezig. Deze kan optioneel worden geïnstalleerd. Met de komst van Vista wordt IPv6 standaard mee geïnstalleerd. Windows Server 2008 is de server versie van Vista. Martijn Bellaard duikt in dit artikel in IPv6 en Windows Server 2008.
Als je wilt kijken of een besturingssysteem ‘IPv6 klaar’ is, zijn er drie onderzoeksgebieden: ■ De protocol stack; Kan het besturingssysteem communiceren over IPv6? Hierbij is het belangrijk dat de host een ip-nummer kan krijgen, een pakket richting een default gateway kan sturen, kan communiceren met andere hosts, enzovoort. ■ De ondersteunende services; Zijn de ondersteunden services, zoals DNS, DHCP, Routing, Firewall en Wins, IPv6 klaar? ■ User services; Zijn de user services, zoals file service, print service, IIS, terminal service, IPv6 klaar?
Deze GUI geeft ons de mogelijkheid om de server een ip-nummer te geven met de daarbij behorende Default Gateway en DNS server. De notatie van een IPv6 nummer is anders dan een IPv4 nummer. Een IPv4 nummer bestaat uit vier octetten met een subnetmask. Deze kan op de volgende twee manieren genoteerd worden: - 13.10.19.69/255.0.0.0 - 13.10.19.69/8 Een IPv6 nummer wordt niet meer genoteerd in 4 maal een octet, maar in 8 groepen van 4 hexadecimale getallen. Daarnaast wordt het subnet prefix lengte mee gegeven in plaats van een subnetmask. Deze vorm van noteren zie je, net als bij IPv4, terug in de GUI.
Windows Server 2008 De eerste IPv6 stack van Microsoft was er al voor NT 4.0. In die tijd was het nog een test-beta-alfa IPv6 stack. Je kon het downloaden en op je eigen risico installeren. Officieel is er pas IPv6 ondersteuning vanaf Windows XP/2003. IPv6 op Windows NT 4.0 http://research.microsoft.com/msripv6/usenixnt/paper.htm FAQ I Pv6 en Microsoft http://www.microsoft.com/technet/network/ipv6/ipv6faq.mspx
IPv6 nummer Om te kunnen communiceren over IPv6 moet een host een ip-nummer krijgen. Met het commando “Netsh” kun je de nodige instellingen doen voor IPv6 op Windows XP/2003. Dit is niet de eenvoudigste manier om een ip-nummer aan een host te geven. Windows Server 2008 heeft hier dan ook een GUI voor.
20
LANVISION 5
|
O K TO B E R 2 0 0 8
Figuur 1: IPv6 GUI In figuur 1 zie je een schermafdruk van een “Local Area Connection” met daarnaast IPv6 Properties. In de “Internet Protocol Version 6 (TCP/IPv6)” properties zie je 5 velden. In vergelijking met IPv4 zijn er geen grote verschillen. Er is een veld voor het ip-nummer, een veld voor de Default Gateway en er zijn twee velden voor DNS. Het subnetmask veld is vervangen door de “Subnet prefix length“. Hier vul je de subnet prefix length in met als maximale waarde 64.
|
Windows
Tools Naast het geven van het ip-nummer zijn er ook een aantal IPv4 tools die veel gebruikt worden door beheerders om de IPv4 stack te controleren. Deze tools moeten natuurlijk beschikbaar zijn onder IPv6. De onderstaande tabel zie je de IPv4 tool en zijn IPv6 tegenhanger: IPv4
I Pv6
Commentaar
Ping
Ping
Tracert
Tracert
ARP
Netstat Route
netsh interface IPv6 show neighbors Netstat Route
Ping is nog steeds ping dus er kan nog lekker gepingd worden. Wel zijn er enkele opties bij gekomen die speciaal voor IPv6 zijn. Net als ping kent tracert enkele aanvullingen voor IPv6, maar in de kern is het hetzelfde onder IPv4 als IPv6. ARP bestaat niet meer. ARP is vervangen door het Neighbor Discovery Protocol (RFC 2461).
IPConfig
IPconfig
NbtStat
-
Netstat kende al IPv6 ondersteuning onder Windows XP. Route is aangepast om ook IPv6 router entry’s toe te voegen. Dit kan ook gedaan worden via Netsh. IPConfig kan worden gebruikt om een ip-nummer op te vragen of te vernieuwen. Als je IPv6 nummer wilt verversen moet je gebruik maken van /renew6 en/of /release6. IPv6 gebruikt geen netbios, dus is er ook geen NbtStat voor IPv6. (http://technet.microsoft.com/en-us/library/bb726952.aspx )
Ondersteunende service Een protocol heeft behalve nummering ook een aantal ondersteunde services zoals DNS, DHCP en WINS. DHCPv6 Een IPv6 cliënt kan op drie manieren zijn ip-nummer krijgen: 1) Static; de beheerder geeft met de hand een ip-nummer. 2) Stateless address autoconfiguration; het ip-nummer wordt aan de hand van het Neighbor Discovery Protocol bepaald. 3) Statefull address autoconfiguration; het ip-nummer wordt via een DHCPv6 server uitgedeeld. Bij Stateless address autoconfiguration vraagt de host aan de router wat zijn prefix is en stelt dan samen met zijn MAC adres zijn ip-nummer samen. De functie van de DHCP server alsook de server die het ip-nummer uitdeelt, vervalt hierdoor. Wat de router niet kan is informatie, zoals de DNS server, geven. Hierdoor blijft een DHCP server nodig. Bij Statefull address autoconfiguration vraagt de host alle informatie over de DHCP server. De DHCPv6 server van Windows 2008 ondersteunt zowel Stateless als Statefull address autoconfiguration. Bij Stateless kun je belangrijke opties meegeven zoals DNS server en router. Als je kiest voor Statefull dan kun je ook nog het subnet prefix opgeven. Het configureren van de DHCPv6 server is niet veel anders dan een DHCP server. In figuur 2 zie je een schermafdruk van een Windows 2008 DHCP MMC snap-in.
Figuur 2: DHCP MMC Snap-in Het grote verschil tussen IPv4 en IPv6 is dat er bij IPv6 geen “Address Pool” folder is. Dit heeft te maken met het feit dat je geen pool meer definieert, maar de Prefix. DNS De grootste verandering voor DNS naar IPv6 is de AAAA record en PTR IPv6 record. De AAAA record is de A record voor IPv6. Windows Server 2003 had al ondersteuning voor de AAAA record, maar bij Windows Server 2008 luistert DNS ook naar een DNS query over IPv6. Dit was nog niet het geval bij Windows 2003. Daarnaast is er ook ondersteuning voor de DNAME record.
O K TO B E R 2 0 0 8
|
LANVISION 5
21
Windows
|
Figuur 3: AAAA record Firewall Vanaf Windows XP SP2 is de Windows Firewall ook geschikt voor IPv6. Dit houdt in dat al het verkeer dat wordt geblokt voor IPv4, automatisch ook hetzelfde IPv6 verkeer blokt. Bij Windows Server 2008 is hier dan ook niet veel in veranderd. Wel kun je eventueel poorten blokken voor IPv4 en deze openstellen voor IPv6 of andersom. Hierdoor kan er een onderscheid gemaakt worden tussen een IPv4 netwerk en de functionaliteit die er geboden wordt en het IPv6 netwerk. (Zie figuur 4)
Routing IPv6 routing was onder Windows 2003 al mogelijk, maar het moest wel gedaan worden met het “Netsh” commando. Hierdoor is het niet eenvoudig om een IPv6 router te maken onder Windows 2003. In Windows Server 2008 zien we dan ook dat een hoop zaken naar de GUI zijn gehaald. De functie van een route in een IPv6 netwerk is niet helemaal hetzelfde als in een IPv4 netwerk. In de basis was een IPv4 router niets anders dan een device dat het netwerk verkeer routert van het ene subnet naar het andere subnet. In RFC 2561 staat de Neighbor Discovery Protocol (ND protocol) beschreven. Het ND protocol is verantwoordelijk voor Stateless address autoconfiguration van een host. Als een host online komt dan verstuurt hij een Router Solicitation bericht. In dit bericht vraagt hij om zijn prefix. De router antwoordt hierop met de Prefix van het subnet, waarop de host zich bevindt, inclusief zijn default route. In Windows Server 2008 kun je de meest basale routing zaken vanuit een GUI regelen. Gaat het om complexe routing vraagstukken dan mis je al snel een hoop opties. Vooral zaken als ISATAP, 6to4 en 6over4 kun je niet vanuit de GUI regelen. Hiervoor zul je gebruik moeten blijven maken van “Netsh”. Wel is er in Windows Server 2008 ondersteuning gekomen voor IPv6 VPN technologie (PPPv6 en L2TP over IPv6) en DHCPv6 Relay. Wins Over WINS kunnen we heel kort zijn. IPv6 ondersteunt geen netbios, dus ook geen WINS. Als je op IPv6 een host pingt op naam dan maakt Windows er een FQD adres van en maakt daarnaast geen gebruik van netbios.
Figuur 4: Windows Firewall A router connects to two or more logical interfaces, represented by IP subnets or unnumbered point to point lines (discussed in section [2.2.7]). Thus, it has at least one physical interface. Forwarding an IP datagram generally requires the router to choose the address and relevant interface of the next-hop router or (for the final hop) the destination host. This choice, called relaying or forwarding depends upon a route database within the router. The route database is also called a routing table or forwarding table. The term "router" derives from the process of building this route database; routing protocols and configuration interact in a process called routing. Bron:RFC 1812 chapter 2.2.3
22
LANVISION 5
|
O K TO B E R 2 0 0 8
User services Tot nu hebben we stil gestaan bij een aantal infrastructuurzaken. Daarnaast heb je natuurlijk ook de services die aangeboden worden aan de eindgebruikers. Voordat we daar naar gaan kijken wil ik met jullie doornemen waar in het TCP/IP model de plek van IPv6 nu precies zit. Het TCP/IP model kent 4 lagen. ■ De eerste laag is de “Network Access layer”, waarop we hardware definities terug vinden; ■ De tweede laag is de “Internet layer”. Hier vinden we de definitie van IP nummers, ICMP enz enz.; ■ De derde laag is de “Transport Layer”. Hier vinden we de definitie van TCP en UDP terug; ■ De vierde en laatste laag is de “Application Layer”. Hier bevindt zich de definitie van de applicaties of services, zoals http, ftp. De reden voor de ontwikkeling van IPv6 was dat IPv4 niet langer voldeed. Vooral het tekort aan IPv4 nummers is een belangrijke aanleiding geweest voor het ontwikkelen van
|
IPv6. Dit houdt in dat er een uitdaging was op de tweede laag. IPv6 is dus voornamelijk een herontwerp van de tweede laag. In theorie zouden alle services en bijbehorende applicaties zonder probleem moeten werken Hoe zit dat in de praktijk? Door de locatie van de IPv6 stack zullen alle Windows Server 2008 services probleemloos werken met IPv6. Een kleine test thuis leert me dat ik met mijn Vista cliënt zonder IPv4 kan aanloggen, een file ophalen, printen, e-mailen enz. Maar er zijn nog veel meer applicaties binnen een organisatie. Elke applicatie moet worden getest, voordat er over gegaan kan worden naar IPv6. (Zie: http://technet.microsoft.com/en-us/library/ bb878108.aspx) Conclusies ■ Windows Server 2008 is de eerste Windows server die “out of the box” IPv6 ready is. Alle belangrijke Windows services werken onder IPv6. Hierdoor is het mogelijk om je interne network IPv6 only te maken, ware het niet dat je dan je connectie met het internet kwijt ben. ■ In het begin van dit artikel gaf ik aan dat je moet kijken naar drie onderdelen om vast te stellen of een Operating System IPv6 ready is: 1. De protocol stack Alle belangrijke onderdelen zijn aanwezig. Je kunt de host een IPv6 nummer geven, via een commando of via de GUI. Daarnaast zijn alle benodigde tools aanwezig om te testen of de connectie werkt. 2. Ondersteunende services De DHCP en DNS services van Windows 2008 zijn volwaardige IPv6 services. Ze kunnen zonder problemen worden ingezet binnen een IPv6 netwerk. De Firewall en Routing and Remote Access zijn echter erg basic uitgerust. De ervaring leert dat de default Windows Firewall zelden wordt ingezet als edge firewall of dat Routing and Remote Access wordt gebruikt als core router. Als je wilt gaan testen met IPv6 kun je ze goed gebruiken om op die manier je kennis van IPv6 te verhogen. 3. User services Alle user services van Windows Server 2008, we denken hierbij aan IIS, terminals server, Active Directory enz, zijn IPv6 enabled. Dit kun je testen door een IPv6 netwerk op te zetten in de testomgeving en IPv4 uit te zetten. In diezelfde omgeving kun je dan meteen kijken of je andere applicaties blijven werken.
Windows
De tweede vraag is: “Moet ik IPv6 default aan laten staan?”. Ik merk dat de meningen hierover verdeeld zijn. Kijk je vanuit performance oogpunt, dan wil je alle overbodige protocollen uitsluiten. Het antwoord wordt dan dus: “uitzetten”. Kijk je echter naar de toekomst en de kennis ontwikkeling van de it-afdeling, dan zou ik het juist aanzetten en configureren. Op dit moment hebben we in Europa nog een voorraad IPv4 nummers, maar de verwachting is dat deze over twee jaar echt opraken. Daarnaast geldt voor de opkomende economieën, zoals in China, dat er geen IPv4 nummers meer beschikbaar zijn. Deze landen maken al op grote schaal gebruik van IPv6. Willen we hier in Europa niet achter blijven met onze kennis, dan zullen we dus nu moeten gaan werken met IPv6. Aan de slag Als je aan de slag wilt met IPv6 dan volgen hieronder enkele tips om er voor te zorgen dat je succesvol aan de slag kunt gaan: Tip 1) Ondersteunt je ISP IPv6? http://bgp.he.net/ipv6-progressreport.cgi?section=ipv6tf_v6 http://www.ipv6tf.org Tip 2) Ondersteunen je firewall en routers IPv6? Let hierbij wel op. De meeste routers ondersteunen IPv6, maar soms is deze ondersteuning softwarematig. Tip 3) Ondersteun je zelf IPv6? Zorg dat je de nodige kennis op doet van IPv6. http://www.google.nl/search?hl=nl&q=IPv6+ guide&meta= Tip 4) Het lijkt moeilijker dan het is. Martijn Bellaard is als Infrastructuur Consultant werkzaam bij PQR.
[email protected]
Links IPv6 www.ipv6.org www.ipv6tf.org www.ipv6-taskforce.nl Microsoft http://www.microsoft.com/technet/network/ipv6/ipv6faq.mspx
Samenvattend De grote vraag blijft: “is Windows Server 2008 IPv6 ready?”. Ja, Windows Server 2008 is IPv6 ready. Als je een IPv6 netwerk wilt bouwen dan kun je het beste Windows Server 2008 servers gebruiken.
http://technet.microsoft.com/en-us/library/bb629624(EXCHG.80).aspx http://technet.microsoft.com/en-us/library/bb742622.aspx http://www.microsoft.com/netherlands/technet/columns/ipv6_1.aspx http://technet2.microsoft.com/windowsserver/nl/library/279a413d-ab4b-4765aab7-2c1e7b5a70eb1043.mspx?mfr=tru
O K TO B E R 2 0 0 8
|
LANVISION 5
23
|
Bas Groot
|
Column
Colum
Google is science fiction Networking is het thema van deze LanVision. Maar networking is voor een development club als de onze net zoiets als gas, water en licht: het is er gewoon. Een ander soort networking kan ik wel iets over zeggen; het Google supercluster. Wie mijn eerdere columns gelezen heeft weet dat ik mijn bedenkingen heb tegen de macht van nieuwe schaduw-wereldregering genaamd Google en dat vind ik nog steeds, maar desondanks is het wel pure science fiction wat ze daar doen in Mountain View, California. Fascinerend. In de science fiction literatuur komt het thema van één computersysteem dat een hele planeet reguleert, regelmatig terug. En dat systeem is vaak een netwerk van computers. Wat we tegenwoordig een cluster noemen. Denk aan the Borg van Star Trek, maar Asimov-lezers kennen dit terugkerende patroon. Mijn popcorn-proppende generatie kent Skynet (Terminator) en The Matrix.
geautomatiseerd lokaal minibusvervoer. Het tempo waarmee ze er behoorlijk goed werkende producten uit weten te stampen is adembenemend en nog nooit door iemand anders vertoond in de wereld. Ze zijn dan ook een van de weinige bedrijven die software gebruiken (illuster genaamd “Good Enough”) om software te genereren. De Googleplex is hard op weg het systeem te worden dat de hele planeet aarde runt. Of nee, runt de hele aarde al. We kenden het als the Borg, Skynet of The Matrix. De aliens... ze zijn al onder ons. Resitence is futile.
[email protected]
Science fiction niet zozeer waarzeggerij als wel de grote inspirator voor de grote uitvinders van onze tijd, om die fantastische ideeën ook daadwerkelijk te gaan waarmaken. Waarmee science fiction schrijvers in feite niet de toekomst voorspellen, maar de toekomst uitvinden voor ons. In concept dan, realisatie is een ander ding. Terug naar Google en the Borg. En ervaar hoe alledaags science fiction geworden is. We kennen Google als een zoek- en advertentiebedrijf, maar zo heeft Google zichzelf nooit gezien. Die zagen zichzelf van meet af aan als een wereldomspannend en extreem groot informatie-platform, de Googleplex bestaat uit een wolk van enkele honderdduizenden servers. Toevallig was de zoekmachine de eerste productierijpe toepassing. Vorige week is dan de Google telefoon gereleased, maar we hadden al Google Maps, Google Earth, Gmail, Docs&Spreadsheets, Google Analytics, YouTube opgekocht, er komt een soort Ebay aan, ze zijn bezig met misdaadbestrijding, met
O K TO B E R 2 0 0 8
|
LANVISION 5
43
Sander van Vugt |
Linux
|
Draadloze netwerken en Linux Waar het twee jaar geleden leek alsof het de goede kant op ging met de ondersteuning van draadloze netwerken en Linux, lijkt het de afgelopen jaren alleen maar minder te worden. Daarom in dit artikel aandacht voor de methoden die je kunt gebruiken om je Linux draadloze netwerkkaart aan de gang te krijgen.
Dit artikel gaat over de configuratie van draadloze netwerken op de Linux desktop. Leuk als je een server draait, maar deze zal meestal met behulp van bekabeld Ethernet contact maken met andere netwerken. Als voorbeeld wordt gebruik gemaakt van SUSE Linux Enterprise Desktop, de tools die worden gebruikt zijn echter van dusdanig algemene aard dat de hier besproken bewerkingen ook op andere Linux distributies toepasbaar zijn. De juist driver Om met draadloos te werken onder Linux, moet je om te beginnen de juiste driver laden. In sommige gevallen wordt je draadloze netwerkkaart gewoon herkend en in gebruik genomen. In andere gevallen gaat het minder goed en moet je
zelf de driver activeren. Om dit te doen, moet je eerst weten wat voor draadloze netwerkkaart je hebt. Hiervoor bestaan verschillende manieren: ■ Heb je een PCI draadloze netwerkkaart, gebruik dan de opdracht lspci. De niet herkende draadloze netwerkkaart zal vaak als Ethernet netwerkkaart worden aangeduid, zie voor een voorbeeld listing 1. ■ Heb je een PCMCIA/Cardbus Wi-Fi kaart, gebruik dan de opdracht cardctl ident. ■ Heb je een USB draadloze netwerkkaart, dan bieden de opdrachten lsusb of dmesg uitkomst. Ontkoppel de draadloze netwerkkaart, koppel hem dan weer aan en bekijk vervolgens wat dmesg je laat zien.
Listing 1: Een geïntegreerde draadloze netwerkkaart onthult zijn identiteit met lspci. lau:~ # lspci 00:00.0 Host bridge: Intel Corporation Mobile 945GM/PM/GMS/940GML and 945GT Express Memory Controller Hub (rev 03) 00:02.0 VGA compatible controller: Intel Corporation Mobile 945GM/GMS/940GML Express Integrated Graphics Controller (rev 03) 00:02.1 Display controller: Intel Corporation Mobile 945GM/GMS/940GML Express Integrated Graphics Controller (rev 03) 00:1b.0 Audio device: Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller (rev 02) 00:1c.0 PCI bridge: Intel Corporation 82801G (ICH7 Family) PCI Express Port 1 (rev 02) 00:1c.1 PCI bridge: Intel Corporation 82801G (ICH7 Family) PCI Express Port 2 (rev 02) 00:1c.2 PCI bridge: Intel Corporation 82801G (ICH7 Family) PCI Express Port 3 (rev 02) 00:1d.0 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI #1 (rev 02) 00:1d.1 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI #2 (rev 02) 00:1d.2 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI #3 (rev 02) 00:1d.3 USB Controller: Intel Corporation 82801G (ICH7 Family) USB UHCI #4 (rev 02) 00:1d.7 USB Controller: Intel Corporation 82801G (ICH7 Family) USB2 EHCI Controller (rev 02) 00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev e2) 00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02) 00:1f.2 IDE interface: Intel Corporation 82801GBM/GHM (ICH7 Family) Serial ATA Storage Controller IDE (rev 02)
14
LANVISION 5
|
O K TO B E R 2 0 0 8
|
Linux
00:1f.3 SMBus: Intel Corporation 82801G (ICH7 Family) SMBus Controller (rev 02) 05:00.0 Ethernet controller: Atheros Communications, Inc. Unknown device 001c (rev 01) 07:06.0 CardBus bridge: Texas Instruments PCIxx12 Cardbus Controller 07:06.1 FireWire (IEEE 1394): Texas Instruments PCIxx12 OHCI Compliant IEEE 1394 Host Controller 07:06.2 Mass storage controller: Texas Instruments 5-in-1 Multimedia Card Reader (SD/MMC/MS/MS PRO/xD) 07:06.3 Generic system peripheral [Class 0805]: Texas Instruments PCIxx12 SDA Standard Compliant SD Host Controller 07:08.0 Ethernet controller: Intel Corporation PRO/100 VE Network Connection (rev 02) Op basis van de informatie die je nu hebt gevonden (in ons geval dus het gegeven dat de Wi-Fi kaart een Atheros chipset bevat, kun je verder. Voordat je nu drivers gaat downloaden en compileren, is het de moeite eerst eens de opdracht lsmod te gebruiken om te kijken of hij niet toevallig al is geladen. In listing 2 zie je een deel van de uitvoer van deze opdracht waaruit blijkt dat er een module wlan actief is die al in gebruik is door een aantal modules waaronder de ath_pci. Het blijkt dus dat de kernelmodules al lang beschikbaar zijn! Listing 2: Het probleem zit hem niet altijd op het niveau van de kernel modules die ondersteuning bieden voor je draadloze netwerkkaart. lau:~ # lsmod Module Size Used by i915 21632 1 vmnet 50488 7 cpufreq_ondemand 11020 2 cpufreq_userspace 8448 0 cpufreq_powersave 5760 0 parport_pc 39524 0 parport 36936 1 parport_pc vmblock 20256 3 vmmon 944916 0 speedstep_centrino 11184 0 freq_table 8448 1 speedstep_centrino ipv6 244448 16 snd_pcm_oss 47360 0 snd_mixer_oss 20224 1 snd_pcm_oss snd_seq 52976 0 snd_seq_device 11916 1 snd_seq button 10640 0 battery 13444 0 ac 8964 0 apparmor 54552 0 aamatch_pcre 17408 1 apparmor loop 19592 0 wlan_scan_sta 16128 0 ath_rate_sample 15104 1 pcmcia 38716 0 firmware_class 13696 1 pcmcia hw_random 9496 0 ath_pci 88480 0 wlan 181444 4 wlan_scan_sta,ath_rate_ sample,ath_pci
Heb je niet het geluk dat de driver automatisch wordt geladen, dan zul je met internet aan de slag moeten om de juiste driver te downloaden en installeren. Deze procedure is per driver anders en wordt hier om die reden niet verder uitgewerkt. Wireless tools Als de module voor de draadloze netwerkkaart met succes geladen is, kun je er met behulp van de wireless tools mee communiceren. Gebruik eerst de package manager op je distributie om te kijken of de tools al geïnstalleerd zijn. Op SUSE achterhaal je dit met de opdracht zypper search wireless, op Ubuntu doe je hetzelfde met dpkg search wireless. Installeer de tools indien nodig en gebruik daarna eerst de opdracht iwconfig om een overzicht te tonen van beschikbare netwerkkaarten. Dit commando zal zonder twijfel laten zien welke interface je moet gebruiken om contact te maken met het draadloze netwerk. Listing 3: Met iwconfig zie je welke interface je gebruikt om met het draadloze netwerk te communiceren. lau:~ # iwconfig lo no wireless extensions. eth0 no wireless extensions. wifi0 no wireless extensions. ath0 IEEE 802.11b ESSID:”” Mode:Managed Channel:0 Access Point: NotAssociated Bit Rate:0 kb/s Tx-Power:0 dBm Sensitivity=0/3 Retry:off RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality:0 Signal level:0 Noise level:0 Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0 sit0 no wireless extensions. vmnet1 no wireless extensions. In ons geval wordt het dus ath0. Houdt er rekening mee dat afhankelijk van de draadloze netwerkkaart die je gebruikt dit in andere omstandigheden een andere interface kan zijn! Nadat je met iwconfig hebt getoond wat je draadloze netwerkkaart is, gebruik je hetzelfde commando met de benodigde opties om de draadloze netwerkkaart te initialiseren. De opties zijn per netwerkkaart verschillend, maar over het algemeen werken de onderstaande opties goed.
O K TO B E R 2 0 0 8
|
LANVISION 5
15
Linux
■
■
■
■
|
essid: Gebruik deze optie om het SSID in te stellen van het draadloze netwerk waarmee je wilt verbinden. Bijvoorbeeld: iwconfig ath0 essid mijnnet. channel: Deze optie, die meestal niet nodig is, kan worden gebruikt om in te stellen op welk draadloos kanaal je wilt communiceren. Bijvoorbeeld: iwconfig ath0 channel 11. mode: Met deze optie stel je in hoe de netwerkkaart gebruikt gaat worden. Meestal zul je managed gebruiken om te verbinden met een access point, of ad-hoc om een peerto-peer connectie op te zetten met een ander werkstation. Minder vaak gebruikt zijn de opties master en monitor. Master gebruik je als je van je computer een access point wilt maken, en monitor als je je netwerkkaart wilt gebruiken om al het andere draadloze netwerkverkeer te sniffen. key: Met deze optie geef je een encryptie key op die je gebruikt om te verbinden met een access point dat met WEP of WEP2 beveiligd is. Bijvoorbeeld: iwconfig ath0 key 012345abcde.
Er zijn veel meer parameters die je met iwconfig kunt gebruiken, maar die heb je in de meeste gevallen niet nodig. Op basis van de bovenstaande parameters kun je contact maken met een draadloos netwerk met de naam mijnnet en de WEP key 1234123412 door de opdracht iwconfig ath0 essid mijnnet key 1234123412 in te voeren. Vervolgens gebruik je de opdracht iwconfig ath0 om te verifiëren dat dit ook inderdaad heeft gewerkt. Als je eenmaal op dit punt bent aangekomen, is de rest over het algemeen eenvoudig. De draadloze netwerkkaart is nu in principe klaar voor gebruik en je kunt het gereedschap gebruiken dat met je distributie wordt geleverd om de netwerkkaart verder te configureren. De meest duidelijke manier om te zien wat er gebeurt, is door nu eerst je netwerk compleet down te brengen om het vervolgens weer op te starten. Op de meeste distributies lukt dit met een opdracht als service network stop && service network start. Je zult op je console onmiddelijk de meldingen zien die door deze opdracht gegenereerd zijn en deze meldingen zijn zeer waardevol om eventuele problemen op te lossen. Als de netwerkkaart met succes is gestart, zul je merken dat de naam van de interface zoals weergegeven door een opdracht als ifconfig anders kan zijn als de naam die je met iwconfig hebt gebruikt. Op mijn testmachine veranderde de wireless interface naam ath0 ineens naar eth0. Afhankelijk van de andere netwerkinterfaces die in je machine aanwezig zijn, kan dit ook een ander adres worden zoals eth1 of in sommige gevallen wifi0. Scannen naar draadloze netwerken Op basis van het bovenstaande ben je in staat contact te maken met een netwerk waarvan je het SSID al kent. Als je op een onbekend netwerk bent, zal dit niet altijd het geval zijn met als gevolg dat je moet scannen om de naam van het netwerk te
16
LANVISION 5
|
O K TO B E R 2 0 0 8
achterhalen. Helaas wordt dit niet door alle drivers ondersteund, maar als je netwerkkaart het aankan, gebruik je de opdracht iwlist ath0 scanning. Listing 4: Met iwlist kun je scannen naar draadloze netwerkeb binnen je bereik root@MYL:~# iwlist eth1 scanning eth1 Scan completed : Cell 01 - Address: 00:12:A9:CE:3D:96 ESSID: “
” Protocol: IEEE 802.11bg Mode: Master Frequency: 2.417 GHz (Channel 2) Encryption key: on Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 6 Mb/s; 9 Mb/s 11 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s 48 Mb/s; 54 Mb/s Quality=50/100 Signal level=-71 dBm Extra: Last beacon: 100ms ago ... Cell 05 - Address: 00:18:39:2C:5D:94 ESSID: “ilestvivant” Protocol: IEEE 802.11bg Mode: Master Frequency: 2.462 GHz (Channel 11) Encryption key:on Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 6 Mb/s; 9 Mb/s 11 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s 48 Mb/s; 54 Mb/s Quality=25/100 Signal level=-84 dBm IE: WPA Version 1 Group Cipher: TKIP Pairwise Ciphers (1) : TKIP Authentication Suites (1): PSK Extra: Last beacon: 288ms ago Als het niet werkt In veel gevallen zul je met de informatie uit het voorgaande je draadloze netwerkkaart aan de praat kunnen krijgen. In sommige gevallen echter zul je ook met deze methode weinig succes hebben. De reden hiervoor is vaak dat de kernel module voor de netwerkkaart niet met succes kan worden geladen. In dat geval kunnen de ndiswrapper of de driver van linuxant een oplossing bieden. Beiden maken gebruik van de Windows drivers om de draadloze netwerkkaart onder Linux aan het werk te krijgen. Wij raden aan deze oplossingen alleen te gebruiken als het echt niet anders kan, ze kunnen namelijk negatieve gevolgen hebben voor de snelheid en de stabiliteit van je systeem. Het goede nieuws is ook dat met laptops die Wi-Fi ondersteuning standaard hebben ingebouwd, deze oplossing zelden nog nodig is. Om die reden geef ik in dit artikel ook geen verdere informatie over hoe je deze configuratie uitvoert. [email protected]
|
De mening van de ENP
De ENP over... Networking De NGN beschikt inmiddels over vier personen die de kwalificatie ‘ENP’ – Erkend Netwerk Professional bezitten; Sander van Vugt, Alex de Jong, Alex Warmerdam en Ruben Spruijt. Zij geven hier hun mening over het thema van deze LanVision. Als iemand een mening kan geven zijn zij het. Noblesse oblige.
Sander van Vugt
Alex de Jong
Alex Warmerdam
Ruben Spruijt
Waar denk jij aan bij I Pv6? Alex de Jong: The never ending story... Volgens mij wordt het al volgend jaar vereist, elk jaar, sinds 1994. Dat zegt al genoeg. De technologie is wel heel interessant, vooral de native security die erin zit (IPSec) lost veel problemen op. Ruben Spruijt: Volgens onderzoekers zijn de IPv4 adressen rond december 2011 vergeven. De noodzaak om IP versie 6 te gebruiken zal in de nabije toekomst vooral aan de kant van de Internet Service Providers liggen. Functioneel en technisch gezien zijn er wel voordelen om IPv6 binnen het LAN/WAN te gebruiken. Voordelen zijn betere routing en netwerk autoconfiguratie, NAT is niet meer nodig en gegevensbeveiliging op IP-niveau. Vanuit beschikbaarheid van IPv4 adressen is de noodzaak voor het gebruik van IPv6 in de lokale LAN/WAN infrastructuur door firewalling en NAT niet aanwezig. De functionaliteit en de technologie van IPv6 is voor veel mensen nog erg abstract. Er zijn weinig IT-Pro’s die inhoudelijke kennis van IPv6 hebben. Mijn verwachting is dat aankomende jaren er meer vraag naar deze kennis zal komen, een goed signaal om kennis van deze materie te verkrijgen. Sander van Vugt: IPv6: prachtige techniek, al jaren klaar en eindelijk krijgt IP alle voordelen die Novell dertig jaar geleden al had met IPX zoals automatisch toewijzen van adressen aan nodes en dergelijke. Het schijnt dat de IP adressen echt op zijn binnenkort, dus dat gaat er echt wel van komen. Waar denk je dat draadloos netwerken heengaat? Alex de Jong: Ik weet niet waar het naartoe gaat, al moet ik wel zeggen dat ik het nog steeds erg gammel vind allemaal. Ik moet het eerste 100 procent goed werkend Wi-Fi net nog tegenkomen. Als de problemen niet aan de infrastructuurzijde liggen, zijn het wel de gebruikers die er een zooitje van maken. Ik hoop dat het nog wel goed wordt met hoge “band”breedtes, want het is zeker fijn om zonder kabeltjes te kunnen werken. Als het gaat om GPRS, UMTS, HSDPA enzo weet ik niet wat de toekomst ons gaat brengen. Alex Warmerdam: Draadloze oplossingen gaan steeds meer de thuis en zakelijke markt beheersen. Er komen steeds meer initiatieven op dit gebied (WiMax en dergelijke). Alleen in het huidige klimaat wordt er gemakkelijk in dit soort initiatieven geïnvesteerd. De potenties zijn er, maar men moet er wel geld in durven te steken. Ruben Spruijt: Ik verwacht dat draadloze netwerken steeds sneller en veiliger zullen worden. Ik denk niet dat draadloze netwerken vaste netwerken zullen gaan vervangen, maar dat het altijd een aanvulling zal blijven, alhoewel deze aanvulling wel steeds belangrijker zal worden. Bij de grootste hogeschool
van Nederland maken alle studenten zonder performance- en security-problemen gebruik van het Wireless LAN. Vanuit de gedachte ‘Bring Your Own Laptop’ is Wireless LAN een vereiste. Sander van Vugt: Draadloos is overal. Dat wordt alleen nog maar beter, zeker als technieken als WiMax er straks voor zorgen dat je overal met Wi-Fi snelheid het internet op kunt. Van een niche begint het een commodity te worden. Als daarbij de telecomproviders hun UMTS licenties afbetaald hebben en de prijzen daar naar beneden gaan kun je echt overal online. En dat overal online zie ik binnen een paar jaar wel gebeuren. Heb je een idee over de toekomst van networking hardware? Alex de Jong: Netwerkhardware zal waarschijnlijk op korte termijn vooral “groener” worden. Op de langere termijn zal er gezocht moeten worden naar de ideale combinatie tussen Groen en Rood. Waarbij groen het milieu is en rood een Ferrari. Alex Warmerdam: De tijd van sneller mooier en beter staat op dit moment op een dood spoor. Sommige fabrikanten proberen er nog de laatste loodjes uit te persen. Maar de werkplek is sneller geworden dan de mens werkt (in algemene zin, uitzonderingen daar gelaten). Glas tot op de werkplek, een droom van een paar jaar geleden is niet meer. Cat 6/7/8, het doet er niet echt toe. Een beter beheersbaar platform wat flexibeler is op infrastructuur zou zo onderhand niet misstaan. De hoeveelheid tijd die men tegenwoordig kwijt is aan patchen, opzoeken van overbodige patches et cetera, terwijl dit al lang geautomatiseerd had kunnen worden, biedt op dit gebied voor de fabrikanten een uitgelezen kans. Is het nu al zo dat in de telecomwereld er echt niet meer iemand een wijkcentrale binnenstapt om een telefoonlijn door te verbinden naar z’n eindpunt. Dat gebeurt gewoon met een geautomatiseerde patchkast, die tijden breken aan voor de it-wereld als de fabrikanten nog nieuwe afzetmarkt willen hebben. Ruben Spruijt: Natuurlijk zal alles steeds sneller worden, dat is een open deur. Ontwikkelingen om netwerk-switches als Virtuele Switch (vSwitch) op bijvoorbeeld VMware ESX te gebruiken zijn in volle gang. Voorlopig zal de switch-functionaliteit op dedicated en geoptimaliseerde hardware de defacto standaard zijn en blijven. Functioneel gezien zal de switch steeds meer van de gebruikte applicaties weten en er met het oog op security, performance of beschikbaarheid, acties op ondernemen.
O K TO B E R 2 0 0 8
|
LANVISION 5
11
|
Rob Plas
|
Column
‘Hiëroglyfen, Remington, Vista’
Colum
Onlangs liep ik de kringloopwinkel in om eens te kijken wat daar zoal verkocht werd. Uiteraard lagen er voldoende spullen die de gemiddelde mens kwijt wil, maar ik vond er ook een antieke Remington schrijfmachine. Wat heet; er stonden er drie. De goedkoopste was 19 euro en de duurste 30. Deze prijzen gaven mij aan dat ze niet echt antiek zijn en als ze het wel zijn, dat er voldoende voorraad is. Deze schrijfmachines konden ongekende krachten losmaken, zowel qua tekstverwerking als qua sociale vaardigheden. De spellingchecker was bijvoorbeeld ongeëvenaard, want het aantal taalfouten dat met deze schrijfmachines werd gemaakt was gering ten opzichte van de tekstverwerkers van tegenwoordig. Verder werd van de redacteur nogal wat sociale vaardigheden vereist als hij tegen zijn auteur moest zeggen: “Leuk boek, maar kun je er nog hier en daar wat aan aanpassen?”. Tekst corrigeren ging niet ideaal bij deze machines want verwijderingen waren duidelijk herkenbaar aan een groot aantal x-en door de tekst heen. Over invoegingen zullen we het helemaal maar niet hebben.
Daarnaast kunnen we een fout makkelijk verbeteren, dus zorgvuldigheid bij het typen, wat bij de Remington vereist was, is niet echt meer nodig. Het gevolg is dat de kwaliteit van de geleverde teksten langzaam afneemt. We kunnen dit de wet van de omgekeerde faciliteiten noemen (WOF): “De kwaliteit van een geleverd werk neemt af, omgekeerd evenredig met het gemak van een correctie”. We kunnen deze wet bewijzen aan de hand van twee extreme voorbeelden. Het eerste voorbeeld is de “Cut & Paste”; in goed Nederlands: gewoon jatwerk. Ik kreeg vorig jaar een verslag van een student onder ogen, waarin hij rapporteerde over de energieprijzen. Daar stond de tekst: “Wij van Essent bevelen aan…”. Hij had niet eens de moeite genomen de tekst te lezen, dus deze fout bleef er keurig in staan. Als hij de tekst over had moeten tikken, zou hij dit waarschijnlijk niet hebben laten staan.
Een ander extreem voorbeeld is het hiëroglyfenschrift van de Egyptenaren. Hiëroglyfen zijn meestal lastig uit steen te hakken en een correctie is al helemaal een probleem, want daar heb je een goede stukadoor voor nodig. Je ziet daarom ook weinig spel- en Hoe dan ook: als je met zo’n schrijfmachine een stijlfouten in dit schrift. Nou is de taal ook zelfcorrigetekst schreef, dan kwam er precies op papier te staan rend, want als je druk bezig bent een wolfje uit te wat je wilde en niet wat de tekstverwerker er van wil hakken en het moet een vogeltje zijn, dan ben je, maken. Wil ik bijvoorbeeld aangeven dat iemand denk ik, wel ver weg. Dit is toch iets anders dan een tijdelijk een aap is en daarvoor het woord apetijdelijk D of een T-fout. gebruiken, dan vindt de tekstverwerker dat ik daar appetijtelijk van moet maken. Helemaal perfect werkt Bij de moderne Vista-look is duidelijk geprobeerd de dit overigens niet, want als het om meer apen gaat voordelen van het hiëroglyfenschrift over te nemen. (apentijdelijk) dan hoor je de tekstverwerker niet De taakbalken lijken een beetje op de panelen met klagen. Wilt u dus ooit tijdelijk in een aap veranderen, hiëroglyfen. Het laatst gebruikte commando staat op doe het dan samen met een collega, dan scheelt het scherm en de vergelijkbare commando’s staan er weer een foutmelding. achter verborgen en de indeling van de panelen doet mij denken aan het binnenste van een piramide. Het Het blijkt dus dat de moderne tekstverwerkers probe- ziet er zeker niet onaardig uit. ren voor ons te denken, maar dat het denkniveau Verwacht echter niet dat de inherente foutcorrectie nogal wat te wensen overlaat. Niettemin komen er van de hiëroglyfen nu ook doorgevoerd is in de softsteeds weer nieuwere versies met grote verbeterinware. Je moet zelf echt nog oppassen wat je doet. Je gen, maar de vraag blijft: wordt mijn tekst er beter kan overigens wel je tekst intypen in hiëroglyfen, op? Het simpele antwoord is: Nee. Omdat de tekstwant er zijn diverse pc-fonts beschikbaar voor de liefverwerker niet goed meedenkt, moeten we dat zelf hebbers. doen en juist doordat we denken dat de tekstverwerker het wel oplost, stoppen we zelf ook met denken. [email protected]
O K TO B E R 2 0 0 8
|
LANVISION 5
31
Sander van Vugt
|
Linux
|
Configuratie van Kerberos in Linux Met de steeds verdergaande integratie van Active Directory in Linuxomgevingen, komt er zo langzaamaan ook steeds meer interesse voor Kerberos, een protocol dat in de Microsoft-wereld al geruime tijd wordt gebruikt voor het afhandelen van authenticatie. In dit artikel leer je hoe je Kerberos 5 integreert in Ubuntu Server
Wanneer we het hebben over Kerberos, dien je je te realiseren dat er meerdere versies van Kerberos zijn. Kerberos is ontwikkeld aan het Massachusetts Institute of Technology (MIT) en uit deze oer-versie stamt MIT Kerberos. Deze versie wordt onder andere gebruikt door de Ubuntu en Red Hat Linux distributies. Daarnaast is Heimdahl het andere belangrijke dialect. Deze versie kom je onder andere tegen op SUSE Linux. De informatie in dit artikel heeft betrekking op MIT Kerberos. Voordat je begint met de configuratie van Kerberos, moet je ervoor zorgen dat de servers het eens zijn over de te gebruiken tijd. Wij raden je aan hiervoor een NTP tijdserver te installeren. We gaan er in dit artikel voor het gemak van uit dat je dit al geregeld hebt. Houdt er rekening mee dat dit echt belangrijk is, als de afwijkingen in tijd te groot zijn, zal Kerberos namelijk niet werken. Introductie in Kerberos Voordat we beginnen met de configuratie, is het zaak te begrijpen hoe Kerberos werkt. In deze introductie streven we nadrukkelijk niet naar een 100 procent volledige beschrijving, het gaat er om dat je begrijpt welke componenten een rol spelen in een Kerberos configuratie. Kerberos is ontworpen met drie doelen in gedachte: ■ Een alternatief verschaffen voor wachtwoorden die over het netwerk worden verstuurd; ■ Toegang tot services regelen; ■ Omgaan met gebruikersdatabases. Al deze problemen worden door de huidige versies van Kerberos afgehandeld. Het meest belangrijke, is de wijze waarop wachtwoorden worden afgehandeld. De essentie is dat er onder geen
32
LANVISION 5
|
O K TO B E R 2 0 0 8
enkele omstandigheid wachtwoorden op de lokale machine worden opgeslagen, ongeacht of de lokale machine nu een werkstation is of een server. Het voordeel hiervan is groot: als deze machine namelijk ooit wordt gehackt, is het toch onmogelijk wachtwoordinformatie te achterhalen. Bij het werken met Kerberos zijn er drie entiteiten die een rol spelen: ■ Kerberos Server ■ Kerberos Client ■ Key Distribution Center De essentie is dat er een wederzijdse vertrouwensrelatie tussen deze drie bestaat, omdat ze in hetzelfde Kerberos domein voorkomen. Dit domein wordt in Kerberos overigens aangeduid als een realm. Een Kerberos sessie begint er altijd mee dat de gebruiker zich aanmeldt bij het Key Distribution Center (KDC). Dit KDC heeft een database met hashes van wachtwoorden. Dit zijn dus niet de wachtwoorden zelf, maar tekenreeksen die het resultaat zijn van een cryptografisch algoritme dat op het wachtwoord in kwestie is toegepast. Wanneer een gebruiker zich aanmeldt, maakt de gebruiker een hash aan die gebaseerd is op zijn wachtwoord. Deze hash wordt vergeleken met de hash die het KDC heeft en op basis van deze vergelijking, kan het KDC uitmaken of het inderdaad met de beoogde gebruiker te maken heeft. Is dit het geval, dan krijgt de gebruiker een Ticket Granting Ticket (TGT). Op basis van dit TGT, kan de gebruiker vervolgens toegang krijgen tot verschillende services. Ook hierin speelt het KDC een hoofdrol, deze geeft namelijk een sessie ticket uit voor alle services waar de gebruiker contact wil maken. Op basis van dit sessie ticket verkrijgt de gebruiker toegang tot de gewenste services.
|
Installatie van Kerberos Om Kerberos op een Ubuntu Server te installeren, is er een aantal packages dat je moet installeren. Dit regel je door als root de volgende opdracht te geven: apt-get install krb5-admin-server krb5-kdc krb5-config krb5-user krb5-clients Het installatieprogramma zal de software wegschrijven naar het systeem en vervolgens een realm aanmaken waarin servers worden geplaatst. Als naam van het realm, baseert het installatieprogramma zich op de DNS-domeinnaam. Desgewenst kan je dit aanpassen. Nadat het realm is aangemaakt, wordt gevraagd welke servers je aan het realm wilt toevoegen. Het gaat hier in eerste instantie alleen om servers waarvan je wilt dat ze de rol van KDC spelen, de rest komt later. In de meeste gevallen betekent dit dat je de naam van de huidige server invoert en dan op Enter drukt om verder te gaan
Figuur 1: Het installatieprogramma helpt je met het aanmaken van een realm. In het realm zelf, heb je een server nodig die fungeert als beheerserver. Voer de naam van deze server in en druk dan op OK om verder te gaan.
Figuur 2: Een van de servers in het realm wordt gebruikt als beheerserver. Terwijl het installatieprogramma voltooid wordt, kun je een foutmelding zien die gegenereerd wordt door kadmind, wat klaagt dat er een bestand ontbreekt. Je mag deze foutmelding negeren, later in het configuratieproces wordt het probleem vanzelf opgelost. De software-installatie is nu afgerond en je hebt al direct een werkende basisconfiguratie. Waarschijnlijk zul je deze nog wel aan willen passen voordat je verder gaat. Configuratie van Kerberos Er zijn twee configuratiebestanden die een rol spelen bij het configureren van de Kerberos server. Als eerste is er /etc/krb5.conf.
Linux
Hierin vindt je de algemene Kerberos instellingen. Daarnaast is er /etc/krb5kdc/kdc.conf. Zoals de naam van het bestand al doet vermoeden, in dit bestand wordt de configuratie van het KDC geregeld. Om te beginnen zullen we het algemene configuratiebestand aanpassen. In listing 1 zie je hoe dit bestand er direct na installatie van de Kerberos software uitziet. Zoals je overigens kunt zien, is dit voorbeeldbestand geschikt voor zowel Heimdahl en MIT Kerberos. Voor de leesbaarheid hebben we een aantal minder relevantie secties uit dit voorbeeldbestand verwijderd. Listing 1: Bij installatie wordt een standaard krb5.conf bestand aangemaakt. root@ubuntu:/etc# cat krb5.conf [libdefaults] default_realm = SANDERVANVUGT.NL # The following krb5.conf variables are only for MIT Kerberos. krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] SANDERVANVUGT.NL = { kdc = mel kdc = myl kdc = ubuntu admin_server = mel } ATHENA.MIT.EDU = { kdc = kerberos.mit.edu:88 kdc = kerberos-1.mit.edu:88 kdc = kerberos-2.mit.edu:88 admin_server = kerberos.mit.edu default_domain = mit.edu } MEDIA-LAB.MIT.EDU = { ...
O K TO B E R 2 0 0 8
|
LANVISION 5
33
Linux
|
CS.CMU.EDU = { kdc = kerberos.cs.cmu.edu kdc = kerberos-2.srv.cs.cmu.edu admin_server = kerberos.cs.cmu.edu } DEMENTIA.ORG = { kdc = kerberos.dementia.org kdc = kerberos2.dementia.org admin_server = kerberos.dementia.org } stanford.edu = { kdc = krb5auth1.stanford.edu kdc = krb5auth2.stanford.edu kdc = krb5auth3.stanford.edu admin_server = krb5-admin.stanford.edu default_domain = stanford.edu } [domain_realm] .mit.edu = ATHENA.MIT.EDU mit.edu = ATHENA.MIT.EDU .media.mit.edu = MEDIA-LAB.MIT.EDU media.mit.edu = MEDIA-LAB.MIT.EDU .csail.mit.edu = CSAIL.MIT.EDU csail.mit.edu = CSAIL.MIT.EDU .whoi.edu = ATHENA.MIT.EDU whoi.edu = ATHENA.MIT.EDU .stanford.edu = stanford.edu [login] krb4_convert = true krb4_get_tickets = false In het standaard configuratiebestand, zijn er een aantal secties die je doorgaans aan moet passen. Als eerste is er de sectie [libdefaults] waarin de naam van het realm wordt gedefinieerd. Vervolgens vindt je de eigenschappen van het realm. In de definitie hiervan, vindt je twee verschillende regels. Er zijn kdc-regels waarmee je aangeeft welke servers als KDC kunnen worden gebruikt, en er is een admin_server regel die bepaalt welke server als administratieve server wordt gebruikt. Dit is ook de enige server in het Kerberos realm waar je nieuwe servers kunt toevoegen. Ook zie je dat er een aantal standaard realms in het configuratiebestand bestaan. Wij raden je aan deze gewoon te laten staan, soms is het handig om deze informatie aan boord te hebben en het kan sowieso geen kwaad. Vervolgens is er een sectie met de naam [domain_realm], waarin je een lijst vindt met DNS domeinnamen en de overeenkomstige Kerberos realms. Bij een ingewikkelder setup waarin je contact wilt maken met andere Kerberos realms, is deze informatie nuttig. Zoals je kunt zien, wordt je huidige realm hier niet automatisch toegevoegd, je moet ze dus zelf toevoegen. In mijn geval betekent dat dat de volgende twee regels moeten worden toegevoegd:
34
LANVISION 5
|
O K TO B E R 2 0 0 8
sandervanvugt.nl = SANDERVANVUGT.NL .sandervanvugt.nl = SANDERVANVUGT.NL Tot slot is er de sectie [login] waarin een aantal standaardwaarden wordt gedefinieerd die tijdens de authenticatie nodig zijn. Hier hoef je over het algemeen niets aan te passen. Zorg ervoor dat de juiste realm-naam wordt gebruikt en dat alle KDC servers genoemd zijn en je hebt voldoende informatie opgenomen. Configuratie van het KDC Als tweede onderdeel is er de configuratie van het kdc in /etc/krb5kdc/kdc.conf. In dit bestand vindt je algemene instellingen voor het KDC. In listing 2 zie je hoe dit bestand er na een standaard installatie uitziet: Listing 2: In kdc.conf worden instellingen voor het KDC gedaan. root@ubuntu:/etc/krb5kdc# cat kdc.conf [kdcdefaults] kdc_ports = 750,88 [realms] SANDERVANVUGT.NL = { database_name = /var/lib/krb5kdc/principal admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab acl_file = /etc/krb5kdc/kadm5.acl key_stash_file = /etc/krb5kdc/stash kdc_ports = 750,88 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal des-cbccrc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3 default_principal_flags = +preauth } In dit bestand vind je een sectie [realms] waarin eigenschappen van alle realms gedefinieerd worden. Hieronder vindt je zoals je in listing 2 kunt zien, de naam van elk realm in hoofdletters. Alle instellingen die bij dit realm horen, worden tussen accolades genoemd. Hier wordt geregeld welke protocolinstellingen het KDC moet gebruiken, en welke bestanden moeten worden gebruikt. Over het algemeen is het niet vaak nodig hier aanpassingen te doen. De database aanmaken Als de configuratiebestanden op de juiste wijze zijn aangemaakt, kun je de Kerberos database en het bijbehorden zogenaamde stash file aanmaken. Deze stash file bevat een versleutelde kopie van de master key en wordt gebruikt om automatisch op de KDC te kunnen aanmelden als je servers opstart. Dit bestand wordt beveiligd met een wachtwoord dat je tijdens het aanmaken tweemaal in moet voeren.
|
In listing 3 zie je hoe je het stashfile aan kunt maken met de opdracht kdb5_util create -s/ Listing 3: De private key van de KDC maak je aan met kdb5_utiL. root@ubuntu:~# kdb5_util create -s Loading random data Initializing database ‘/var/lib/krb5kdc/principal’ for realm ‘SANDERVANVUGT.NL’, master key name ‘K/[email protected]’ You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify: Als resultaat van deze opdracht, worden nu in /var/lib/krb5kdc verschillende bestanden aangemaakt die met elkaar de Kerberos database vormen. Je moet zelf handmatig nog een bestand aan de configuratie toevoegen waarin je regelt wie waartoe toegang krijgt. De naam van dit bestand is /etc/krb5kdc/kdadm.acl en je geeft het de volgende inhoud (waarbij je YOURREALM vervangt door de naam van je realm). */admin#YOURREALM.WHATEVER Je hebt nu een basis configuratie aangemaakt, tijd dus om Kerberos te starten. Er van uitgaande dat je server zowel KDC server als administratieve server is, doe je dit met de volgende twee opdrachten: /etc/init.d/krb5-admin-server restart /etc/init.d/krb5-kdc restart
Linux
Nu bent je klaar voor het echte werk. Als eerste moet je nu gebruikersaccounts gaan toevoegen. Dit doe je voor elke gebruiker die de Kerberos omgeving voor authenticatie mag gebruiken. In listing 5 zie je hoe we voor dit doel een gebruiker met de naam sander toevoegen. Listing 5: Maak nu accounts voor je gebruikers in Kerberos aan. root@ubuntu:/etc/krb5kdc# kadmin.local Authenticating as principal root/[email protected] with password. kadmin.local: addprinc sander WARNING: no policy specified for [email protected]; defaulting to no policy Enter password for principal “[email protected]”: Re-enter password for principal “[email protected]”: Principal “[email protected]” created. kadmin.local: q Op dit punt is het tijd voor een controle dat het ook allemaal echt werkt. Hiervoor gebruik je de opdracht kinit, gevolgd door de naam van de gebruiker die je zojuist hebt aangemaakt. De opdracht kinit zal voor deze gebruiker een ticket granting ticket opvragen bij het KDC en vervolgens kun je met klist zien of dit gelukt is. Listing 6 toont het resultaat van beide opdrachten. Listing 6: Gebruik nu kinit en klist om te controleren dat het KDC het ook naar behoren doet. root@mel:~# kinit sander Password for [email protected]: root@mel:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected]
Nu de Kerberos server draait, moet je nog een gebruikersaccount Valid starting Expires Service principal voor de beheerder aanmaken. Dit doe je door eerst kadmin.local 09/01/08 07:35:20 09/01/08 17:35:20 krbtgt/SANDERVANte gebruiken en vervolgens met de opdracht addprinc vanuit de [email protected] lokale Kerberos beheerinterface een administratieve gebruiker renew until 09/02/08 07:35:18 toe te voegen. Listing 4 laat zien hoe je hiervoor te werk gaat. Kerberos 4 ticket cache: /tmp/tkt0 Listing 4: Voeg nu vanuit de Kerberos beheersinterface een klist: You have no tickets cached beheerdersaccount toe root@ubuntu:/etc/init.d# kadmin.local Eenmaal op dit punt aangekomen, heb je een werkende Authenticating as principal root/[email protected] Kerberos omgeving. De volgende stap bestaat eruit om verschilwith password. lende client toepassingen hiermee samen te laten werken. kadmin.local: addprinc sander/admin Voorbeelden van services die uitstekend met Kerberos samenWARNING: no policy specified for sander/admin@SANDERVANwerken, zijn SSH en Samba. In een toekomstig nummer van VUGT.NL; defaulting to no policy LanVision lees je hoe je de configuratie hiervan doet. Enter password for principal “sander/[email protected]”: [email protected] Re-enter password for principal “sander/[email protected]”: Principal “sander/[email protected]” created. kadmin.local: quit
O K TO B E R 2 0 0 8
|
LANVISION 5
35
Alex de Jong
|
Windows
|
Microsoft Unified Communications
Microsoft bracht
“Software-based Communications” en dat betekent dat wij, de it-ers, nu met telefonie zitten opgescheept. Een superuitdaging want wat je er allemaal mee kunt doen is fantastisch. Maar ja, we weten alleen niet hoe we dat gaan regelen allemaal. In dit eerste deel van de miniserie maak je kennis met de mogelijkheden van Unified Communications. In de volgende delen lees je hoe je zelf een testomgeving kunt opbouwen zodat je alles werkend kunt uitproberen. Het verhaal begint in het vliegtuig…
Maak kennis met Susanne Slenders, verkoopster. Susanne Slenders verkoopt vegetarische hamburgers aan cateringbedrijven en doet dat over de gehele wereld. Ze is net geland in Rio de Janeiro om een werelddeal af te sluiten. Nog voordat de bordjes “riemen vast” uitgaan is de mobiele telefoon al verbonden met TeleRio, de plaatselijke provider. Omdat werken met een laptop in de ‘taxi’ niet comfortabel is, belt Susanne haar mailbox. Exchange Server 2007 neemt de telefoon op; Goedemorgen, wat is uw naam? “Susanne”; spreekt ze uit. “Goedemorgen Susanne, wat is uw pincode?” Susanne typt haar pincode. “U heeft vandaag 1 afspraak, 3 ongelezen e-mails en 5 voicemailberichten. Eerste voicemailbericht...” vervolgt de Exchange Server. Tot haar grote schrik is er een klant die dreigt vegetarische hamburgers voortaan elders te gaan kopen vanwege de grote prijsverschillen. Er moet iets gedaan worden aan de inkoopprijs en wel direct. Eenmaal aangekomen in haar hotelkamer wordt de laptop aangesloten aan het internet en worden webcam en headset ingeplugd. Office Communicator herkent de aanwezigheid van een internetverbinding en laat zien welke collega’s beschikbaar zijn voor contact en op welke manier. Hoofd inkoop Mieke Kuijken is beschikbaar voor telefoonverkeer, e-mail en instant messaging. Headset op en bellen maar, door met de rechtermuisknop op Mieke’s naam te klikken en vervolgens de kiezen voor Voice Communicatie. Bellen op deze manier gaat via internet dus dat brengt geen extra kosten met zich mee. Office Communicator 2007 is een soort Windows Live Messenger, beter bekend als MSN messenger. Maar deze versie is speciaal bedoeld voor communicatie op bedrijfsniveau. Alle contactpersonen staan op een rijtje en daarnaast staat per contactpersoon een bereikbaarheidsindicator. Groen is volledig bereikbaar, geel is beperkt bereikbaar en rood is niet bereikbaar. Vanuit Office Communicator kan direct contact worden gezocht met een contactpersoon via e-mail, instant messaging (msnachtig) en voice, eventueel aangevuld met video.
12
LANVISION 5
|
O K TO B E R 2 0 0 8
Mieke Kuijken werkt laat vandaag, dan gaat de telefoon. Op haar desktop ziet Mieke dat Susanne aan de lijn is. Eén keer klikken en Susanne en Mieke hebben contact. “Goedenavond”, “Ja, ook goedemorgen...” Vanaf dat moment hebben Mieke en Susanne contact via een applicatie waarin zij niet alleen elkaar kunnen zien en horen, maar ook is het mogelijk samen naar applicaties, bestanden en internetsites te kijken. Samen bekijken ze de contracten van leveranciers en zien dat er mogelijkheden zijn als ze iets meer vegetarische hamburgers inkopen dan op dit moment nodig is. Toch moet hierover nog wel even contact worden gezocht met hoofd inkoop Helmy van de Mortel. Eén druk op de knop en de conference call inclusief videobeelden is gemaakt. De ontevreden klant is helaas niet direct bereikbaar. Office Communicator geeft weer dat deze klant alleen per e-mail bereikbaar is op dit moment. Dat is handig, in plaats van eerst een telefoonnummer op te zoeken, daarna de voicemail te bereiken en dan pas een e-mail te sturen, ziet Susanne nu in één keer hoe de klant te bereiken is op dit moment. En dat scheelt tijd, dus geld. Want ook in de vegetarische hamburger industrie is tijd geld... Er is dus duidelijk een verschil tussen contact maken via telefoonnummers of e-mailadressen en het contact maken met personen, op welke manier dan ook. Daar komt bij dat Microsoft met deze producten anytime, anywhere hoog in het vaandel heeft. Toegang tot de mailbox, collega’s en contactpersonen kan met deze producten ook vanaf de mobiele telefoon, laptop achter in de tuin of vanuit een internetcafé op Hawaï vanuit uw internet browser. De kracht van op software gebaseerde communicatie noemt Microsoft het. En het gaat verder. De beschikbaarheid van contactpersonen wordt niet alleen weergegeven in Office Communicator, maar ook in Outlook en Word. Als je gebruik maakt van Sharepoint dan kun je ook daar de beschikbaarheid van je contacten zien. Vanuit deze laatste drie applicaties is het ook mogelijk om direct te communiceren met deze contacten.
|
De iets grotere bedrijven die van Unified Communications gebruik maken kunnen zaken als Outlook, Office Communicator, webcam en headset uitbreiden met een apparaat dat Microsoft zelf verkoopt voor ongeveer 2.500,- euro. Het is een heel geavanceerde webcam met speaker en microfoon erin. Het heet RoundTable en wordt in vergaderruimten geplaatst. Als er een vergadering is belegd waarbij niet alle deelnemers in de vergaderruimte aanwezig kunnen zijn, wordt RoundTable ingezet. Deze camera filmt de vergaderruimte compleet in een 360 graden weergave. Eventuele deelnemers die via internet deelnemen aan de vergadering kunnen zo alle deelnemers zien. Conference calls zullen met behulp van deze hardware altijd worden voorzien van videobeelden. En dat is voor veel mensen een heel prettige manier van communiceren. Een grapje kan verkeerd worden geïnterpreteerd als het gezicht van de grapjas niet gezien wordt. Een serieuze opmerking kan als grapje worden afgedaan als de ernst niet van het gezicht is af te lezen. Je kunt je natuurlijk afvragen op wat voor manier de deelnemer op afstand ‘opvalt’ in een vergadering waarbij de meeste deelnemers bij elkaar aan tafel zitten. Een groot scherm op de muur of een aantal laptops op tafel zouden daarvoor uitkomst kunnen bieden, maar of dat voor veel mensen prettig werkt moet nog blijken. Is Microsoft de enige leverancier van dit soort functionaliteit? Nee, er zijn ook andere spelers. Het probleem daarbij is alleen dat er vaak alleen gebruik kan worden gemaakt van hardware
Windows
van die leverancier. Denk bijvoorbeeld aan Cisco. Als je dezelfde functionaliteit van Cisco wilt gebruiken ben je gebonden aan Cisco hardware, andere hardware zal niet werken en uiteraard is dat niet de goedkoopste oplossing. Microsoft ondersteunt een groot scala aan hard- en software en dat werkt ook allemaal erg goed. Als je de integratie met Microsoft Office en Sharepoint Services daarbij optelt heb je een fantastisch pakket. En de auteur van dit artikel heeft niet eens aandelen! ... De videoconference heeft succes, Susanne kan een scherpe prijs aanbieden aan haar klant door wat extra inkopen te doen en de vegetarische hamburgers gaan weer al warme broodjes over de toonbank. Zoals met veel producten zullen ook third parties doorontwikkelen en is het niet ondenkbaar dat de functionaliteit van Unified Communications zal worden uitgebreid. Bijvoorbeeld met sms functie, of met integratie met nog meer softwarepakketten. In dit eerste deel heb je kennisgemaakt met het idee achter Unified Communications, in het tweede deel gaan we verder in op de technologie hierachter en gaan we een testlab bouwen op basis van Exchange Server 2007: Unified Messaging. [email protected]
|
Adri Mathlener
|
Gadgets
Acer Aspire One Na het onverwachte en grote succes van de Asus Eee PC zijn andere fabrikanten ook wakker geworden en hebben hun eigen variant op de markt gebracht. Acer heeft met zijn Aspire One de markt betreden. Het is een zeer handzame en compacte laptop met een 8,9” scherm dat een resolutie van 1024x600 heeft. Sluit je ‘m aan op een externe vga monitor dan blijft de resolutie hetzelfde, dus daar komt wel enige Linux kennis aan te pas om de resolutie aan te passen. Er zit een 1,6 Ghz Atom processor in en 512 MB geheugen. Het geheugen kan worden uitgebreid tot 1.5 Gb. Afhankelijk van het model is deze voorzien van een 8 Gb NAND flashdisk of een 2.5” 120 Gb harddisk. Internet is bereikbaar via utp of Wi-Fi 802.11b/g, en het configureren van Wi-Fi, met keuze uit wep of wpa2, gaat snel en eenvoudig. Het model dat ik ter test had was voorzien van een eigen Linux variant, te weten Linpus Linux Lite op basis van een 2.6.23.91w kernel. Windows XP kan er ook op draaien. Op de accu kun je bijna 2,5 uur werken. Er is ook een krachtigere batterij te koop, zodat je bijna 7 uur op de accu kunt werken. De Aspire One wordt na enige tijd wel warm aan de linker onderzijde, maar niet zodanig dat het hinderlijk wordt. Aan de linker- en rechterzijkant vind je in totaal 3 usb poorten, een aansluiting voor microfoon en hoofdtelefoon. Ook het uitlezen van een SD-kaartje is via de ingebouwde cardreader geen probleem. Er is nog een tweede SD-slot. Zodra je hier een SD kaart in plaatst wordt deze toegevoegd aan het filesystem. Op deze manier kun je snel de hoeveelheid diskruimte uitbreiden, zonder dat je een externe usb-disk moet aansluiten. Al dat moois bij elkaar is iets groter dan een velletje A5 en weegt nog net geen kilo. Zodra je de Aspire One aanzet komt er een grafische interface tevoorschijn die is opgedeeld in 4 aandachtsgebieden: verbinden, werk, plezier en bestanden. Vanuit verbinden en werk kun je browsen, e-mailen, im’en en de bekende OpenOffice applicaties benutten. Onder plezier staan de spelletjes, de diverse media tools voor video, foto’s en muziek en kun je de ingebouwde webcam, die een resolutie van 640x480 pixels biedt, gebruiken. Het onderdeel bestanden spreekt voor zich. Om een root shell te openen kies je voor en dan ‘sudo terminal’. Wat o.a. ontbreekt is ssh. Maar na het tweaken van de xfce window manager heb je de mogelijkheid om RedHat/Fedora packages te installeren. Deze site [1] biedt een schat aan informatie, en Linpus [2] vindt hier haar thuis. De Acerguy [3] laat zien wat er zoal nog meer mogelijk is met de Aspire One. De Acer Aspire One is een mooie, lichte, goed bruikbare en betaalbare minilaptop met een prijs van 339 euro. Als ik al een kritiekpuntje mag hebben, dan is het wel dat je werkelijk elke vinger- en vetvlek op de glanzende blauwe buitenkant kunt zien zitten. [1] www.aspireoneuser.com [2] www.linpus.com [3] www.theacerguy.com O K TO B E R 2 0 0 8
|
LANVISION 5
17
Ron Onrust
|
Interview
|
Interview met Robert Rosier, GlidePath
De toekomst van ‘computing’ Robert Rosier heeft ideeën over de it-industrie en die brengt hij in de praktijk. In een van zijn vorige functies was hij bij Exodus verantwoordelijk voor zeven Europese datacenters. Na de overname van Exodus in 2002 door Cable & Wireless besloot hij het zelf te gaan proberen met GlidePath. Inmiddels is dat initiatief uitgegroeid tot een conglomeraat van bedrijven, met 70 werknemers. Ron Onrust ging praten met Rosier en schreef zijn soms wat vreemd klinkende ideeën op. Hoe komt hij erbij dat de servers weer in de bezemkasten terugkomen?
24
LANVISION 5
|
O K TO B E R 2 0 0 8
|
GlidePath Hoe ziet GlidePath er uit? Rosier: “Wij beheren hier 2.500 servers. 24 uur per dag. Wij zijn 70 man groot, er zitten er 42 in het directe beheer.” Voorbeelden van klanten? “Voor PricewaterhouseCoopers doen wij het beheer van het email en applicatieplatform waar 5.500 accountants op zitten. Maar dat is niet alles; wij beheren een groot deel van hun centrale netwerk, storage en applicatieomgeving. Nee, niet alleen Notes. PwC houdt zichzelf bezig met innovatie, ontwikkeling, applicatie- en servicemanagement. Alle zwaardere 24-uursdiensten doen wij allemaal voor PwC. Ja, zij hebben ook nog eigen servers staan. Maar alle dingen die centraal moeten zijn, staan op centrale plaatsen. Dat is wat wij doen. Dat doen we ook voor de BAM en de KNVB. Voor BAM doen we het datacenter management en de netwerklaag, bestaande uit Cisco switches en routers, waar alle werkmaatschappijen verbinding mee maken. Wij doen ook cablemanagement en config-assetmanagement.” En waar bevindt zich dat allemaal fysiek, behalve bij de klant? “Wij beheren vanuit hier op afstand zeven datacenters infrastructuur. GlobalSwitch, TeleCity, CyberCentre Oude Meer en Haarlem van KPN, InterXion, euNetworks en TeleCity Frankfurt, en in de toekomst gaan we mogelijk ook naar Almere en Lelystad.”
Interview
lay-out proberen te maken; multi-tier provisioning. Dus niet één server, wat storage en een netwerkkoppeling, nee, je moet LAN’s kunnen maken. Met meerdere servers erin. Met DMZ’s in het midden. Dus de ‘provisioning-straat’ wordt heel complex als je gebruik maakt van standaard bouwblokken. Daar zit de uitdaging. Wij hebben daar een oplossing voor in de vorm van Cloud Computing van IBM. De blue-chip technology noemen ze dat. Dat is een software-laag, die meerdere lagen kan leveren.” “Overigens vind ik dat de term cloud computing negatief wordt beïnvloed door wat bijvoorbeeld Amazon.com of Google doen, waar je een server en een stukje storage krijgt. Dat krijg je dan nog vaak nog gratis ook. Dat wordt ook cloud computing genoemd, maar dat is een beetje quick and dirty. Je krijgt vaak geen garantie voor beschikbaarheid of beveiliging.”
Wat Rosier met zijn bedrijven doet is een heel gespecialiseerde vorm van cloud computing leveren. Zelf ziet hij zijn diensten als een verlengstuk van de interne it-afdeling, maar dan wel een die ten eerste geheel volgens eigen werkwijze opereert en zich dus geen werkwijzen laat voorschrijven, en ten tweede diensten leveren die een duidelijke meerwaarde hebben. Voor bedrijven die bijvoorbeeld aan hoge eisen moeten voldoen voor wat betreft beveiliging. Dat kan GlidePath volledig uit handen nemen. “Wij hebben klanten die moeten voldoen aan de SOX-eisen. Of Cloud computing aan die van de AFM, of aan NEN 7510 voor ziekenhuizen. ‘Cloud computing’ is een belangrijk gegeven voor GlidePath. Daarvoor leveren wij alles. Wij dekken het hele deel; van het GlidePath brengt dit op de markt onder de naam iTricity; it als strategische, tot de tactische implementatie en de operationele electriciteit. Voor cloud computing zijn verschillende definities. uitvoering. Uiteindelijk leveren we de bewijsvoering dat we Wat verstaat Rosier onder cloud computing? zaken gedaan hebben overeenkomstig de doelstellingen. We Rosier: “cloud computing is het op afstand gebruik maken van hebben een bedrijfsonderdeel dat heet GRC, dat kijkt op basis een infrastructuur die uit basiscomponenten bestaat, en waarvan van Cobit naar wat er voor bepaalde marktsectoren noodzakelijk van tevoren niet vaststaat waarvoor die infrastructuur wordt is. Zij zetten Cobit control-objectives om naar operationele uitgebruikt. Dus je bouwt een wolk van capaciteit die we later pas voering. Op basis van managed continuity beheren we op basis gaan toedelen; welke capaciteit naar welke klant en welk proces van BS25999, de British Standard voor business continuity. En gaat. Dat is een hele andere manier van met infrastructuur dan hebben we een Network Operations Center, die monitort.” omgaan dan een infrastructuur ontwerpen en zeggen ‘die krijgt deze functie, voor die behoefte’. Nee, dat ga je loskoppelen. Wij De beheerder verdwijnt niet bij bedrijven kunnen die componenten in die infrastructuur ook nog op Maar als we deze trend van uitbesteden doorzetten, dan werken afstand, middels een portal, een functie geven. Dan kun je de beheerders van bedrijven over een tijdje niet meer bij die bepalen; ‘zoveel servers worden nu toegewezen aan die klant’. bedrijven, maar allemaal bij bedrijven zoals GlidePath? Dus het is een infrastructuur die kan reageren op basis van Rosier: “Nee, dat denk ik niet. Ik denk dat de beheerders meer remote provisioning. Dat is cloud computing. richting de bedrijfsprocessen gaan. Die gaan naar innovatie kijHet is een omgeving die variabel moet zijn in termen van hoeken. Wij leveren een vrij generieke dienst, maar wij zitten niet veelheid, in aantallen servers en hoeveelheden storage, maar helemaal vooraan bij het bedrijf. Dus de omzetting van bedrijfsvast moeten de veiligheid en de continuïteit zijn. Wij hebben processen naar it-middelen, dat is wat it-ers steeds vaker bij technologie die ervoor zorgt dat je kunt opschalen zonder dat je bedrijven gaan doen, of zouden moeten gaan doen. En daarbij gaat inboeten ten aanzien van veiligheid.” gaan ze steeds meer gebruik maken van standaard hulpmiddelen. Commodity-producten. Vroeger was het zo dat je je eigen Maar dan nu het probleem van cloud datacenter bouwde. Maar dat is niet meer zo. Je neemt nu een rack af in een datacenter. Dat gaat steeds verder.” computing “Een infrastructuur die je ontwerpt voor een specifiek doel heeft “Nee, die systeembeheerder gaat binnen bedrijven niet verdwijeen specifieke lay-out. Cloud computing heeft een standaard nen. Dat cloud computing wat wij aanbieden, dat is een comlay-out. En in die standaard lay-out moet je een specifieke plex product. Daar kan een niet-it-er bij een bedrijf niets mee. Je
O K TO B E R 2 0 0 8
|
LANVISION 5
25
|
hebt het dan over streched LAN’s, je hebt het over provisioning straten, daar heb je heel veel kennis van it voor nodig om je bedrijfsbehoeften om te zetten in it-middelen.”
Uit het datacenter en terug in de gangkast Maar als de trend zich doorzet dat alle it richting de grote datacenters verdwijnt, dan is het toch onvermijdelijk dat ook de beheerders die kant op verdwijnen? “De trend om naar datacenters te gaan is tijdelijk. Dat zal nog drie, vier jaar doorgaan. Dat zal veranderen door de grote bandbreedte die je krijgt op de werkplek, op kantoren en in de gangkast bij de kantoren. In de toekomst heb je overal 100 megabit of gigabit verbindingen. De reden om voor een datacenter te kiezen heeft met data te maken. Maar niet met processing. Dus een virtuele infrastructuur kan in het kantoor beginnen. Je kunt best een server met Citrix in een gangkast zetten en als dat ding uit is dan kan iemand die kwaad wil daar niks mee. Die hele keten kan je dusdanig veilig maken dat je processing in de gangkast begint. Straks breidt die wolk van cloud computing, die internet-onderlaag, dat ip-protocol, zich helemaal uit tot en met je werkstations, straks op je bureau. Dus je begint met verwerking op je lokale station, maar een onderdeel van de verwerking zal in de gangkast gebeuren, het zwaardere deel zal in het datacenter gebeuren, of zelfs in twee datacenters tegelijk. Dat komt omdat energie in datacenters eindig is. Dat gaat zo hard. Daar is niet tegenaan te bouwen. En het creëert een risico. Als je straks alles in een datacenter hebt, is het geconcentreerd, en alles wat geconcentreerd is, creëert risico’s. Straks kunnen bedrijven een groot LAN maken, met daarin de processing gevirtualiseerd. En als er een server uitvalt dan merkt niemand daar wat van, want de functies van die ene machine-in-de-meterkast worden ogenblikkelijk overgenomen door een andere machine.”
Interview
Company cloud computing “Straks is het niet meer duidelijk waar data staat. Het is niet meer duidelijk waar processing plaatsvindt. Dat is ook een van de kanttekeningen bij cloud computing die Gartner ook aangeeft. Maar die uitdaging hadden we vroeger met internet ook, en tegenwoordig gebeurt alles over internet. Dus omdat het nieuw is, zijn daar nog geen pasklare antwoorden op. Maar dat duurt geen twee jaar meer. Dan heb je secure cloud computing. Dan wordt er middels tunnels of een MPLS laag een soort van company-cloud gemaakt, die voldoet aan een bepaalde securitycompliancy. Dus het is nog maar het begin. Cloud computing is een nieuwe processing-manier. Een nieuwe manier van werken. Het verandert alles. Cloud computing is de virtuele server-laag, de processing-laag, internet is het netwerk-deel. Gartner zegt ook heel duidelijk, besef je wel, je weet niet meer wie het doet, je weet niet meer waar het staat, je weet niet meer waar het belandt. Maar wij gaan in het doorvoeren van de architectuur niet zo ver. Wij doen de eerste stap door variabiliteit van capaciteit te brengen in het fixed hosting platform.”
Handelen in capaciteit
Rosier ziet het als een uitdaging om het uiteindelijk voor elkaar te proberen te krijgen om computercapaciteit te verhandelen; “Precies zoals bedrijven met eigen stroombronnen terug kunnen leveren aan het net, willen wij dat ook met it-capaciteit gaan doen.” Momenteel bouwt GlidePath al ‘company clouds’ voor bedrijven, waarbij vestigingen bijvoorbeeld tientallen servers krijgen, en de vestigingen van elkaars (over)capaciteit gebruik kunnen maken. “Vergelijk het met mobiele telefoons. De klant krijgt van ons een capaciteitscel van bijvoorbeeld 30 blade servers. Die krijgt hij gratis bij een abonnement. En vervolgens betaal je dus de verbruikskosten. Zo’n capaciteitscel kan in de gangkast. En via internet kan je ze toewijzen. En de klant kan eventueel via het interNoodstroom weg uit datacenter net een grotere basiscapaciteit bestellen. Krijgt hij lokaal tien “Ik denk ook dat de datacenters in de toekomst gaan verandeblades extra. Dit doen we nu al allemaal. Wat we nog niet doen, ren. Nu is het zo dat de grootste waarde van een datacenter zit is trading. Stel de klant betaalt een euro per cpu, en hij heeft in de koeling, en de andere in de continuïteit van stroom. Maar tien cpu’s. Hij betaalt dus tien euro per uur. Maar wat nou als hij stel nou dat je twee gekoppelde datacenters hebt, je hebt aan er maar vijf gebruikt? Dat kunnen wij zien. Ik wil die klant in de beide kanten processing-power, dat op data-niveau wordt op toekomst 50 cent gaan terugbetalen voor de niet-gebruikte secondenbasis gesynchroniseerd. Stel nou dat de processing capaciteit. En die verhandel ik vervolgens voor 75 cent aan de aan de ene kant wegvalt, en door de andere kant kan worden gebruikers die het wel nodig hebben. Nee dat laatste doen we overgenomen. Waarom mag dan niet de stroom aan de ene nog niet. Daarvoor moet je eerst een platform hebben. Ik moet kant wegvallen? Ik denk dat de datacenters zullen veranderen en eerst iets te verhandelen hebben. Als je energie gaat verkopen, straks geen generatoren meer zullen hebben. Er zal een web dan moet je het eerst opwekken. Anders heb je niks te verhanvan datacenters ontstaan, waarbij stroom geen kritische factor delen. Dus ik ben nu bezig met de opwekkingsfase. Ja, we meer is. En als die trend zich doorzet, waarom ga je dan niet hebben wel iets, maar dat is nog niet groot genoeg. We hebben naar de bezemkast van de klant? Dit is nog maar het begin. het nu op zo’n vijftien plaatsen staan. Ik kan nu misschien Ik denk dat het drie tot vijf jaar duurt voordat de eerste datacen- twintig blades verhandelen. Dat is te weinig. Maar ik ben wel ters op deze manier worden gebouwd; zonder generatoren en met de eerste gesprekken bezig om tot die verhandeling te met veel processing-power ‘in de cloud’, en zelfs op het bureau komen, ja. Nee, beveiliging is geen issue. Het beheer gebeurt van de klant. De software daarvoor is er. En het netwerk wordt volgens ISO 27001. Dus de klant krijgt een certificaat dat de dermate krachtig, dat het een soort bus wordt. Vanuit je gangcode van informatiebeveiliging daarop van toepassing is. En dat kast naar een snelweg. Dan ga je risico’s spreiden.” mag ge-audit worden.”
O K TO B E R 2 0 0 8
|
LANVISION 5
27
