User:Bourke/dvtreffen2011

DNSSec

 * signierte zonen. Nicht zwingend notwendig
 * anpassung von firewallregeln notwendig
 * schlüssel. (wer ist CA?)
 * stand 2010. Root-zone ist signiert.


 * DNS providers (.de, .com .org usw) sind jetzt signiert
 * GWDG hat ein validierender DNS-Server
 * IPAM ?? (GWDG)

wikipedia artikel über dnssec

protects against for example dns cache poisoning

Metro-Netz (mpg berlin-brandenburg)

 * 40 km between mpi instituten
 * 2005 ATM 155 mbit/s - 1 gbit/s ethernet
 * backup-daten für regionale institute
 * 2006 TDM (time division multiplex 2 x 1Gbit/s channels).
 * TDM included Fibre Channel: wacklig. Fibre Channel over Internet / Firechannel over Ethernet
 * default flow controll ("buffer credits") not suitable for over 10 km distance
 * cwdm (course wavelength multiplex). Up to 16 channels, c. 1GBit/s per channel, only within metro area
 * DWDM (dense wavelength multiplex) Anything above 10GBit/s needs this.
 * 2010 redundante cable
 * (mir) unbekannte Akronyme: bgp i-bgp e-bgp dfn x-win

Opensource captive portal solution

 * viele gäste, alle mit einigen Geräten.
 * Gästenetz: getrennt von internen Netz für wlan, für wired - unbekannten MAC-Addressen fallen ins Gäste-Netz
 * Konferenz Management Suites available (opensource / commercial). Not suitable for conferences with vouchers
 * gast-rechner wird an authentifizierungs-Seite geleitet. Voucher code (20-stellig !!) angeben. Internet-Zugang bis Voucher-Verfall ist gewährt.
 * workflow
 * it erstellt/druckt voucher
 * voucher hinterlegt am rezeption

automatisierung: puppet und preseed, augeas und ???
Dozent möchte Mitstreiter haben.
 * Vorgänger: FAI
 * nachteile: keine windows unterstützung, keine management danach
 * Puppet: vorteile
 * besseres management
 * mit/ohne gui
 * module - also erweiterbar
 * puppet forge Puppet Forge
 * aktive community (380 commits / monat)
 * anbindungs abeilungsadmins
 * besteht aus: linux, ruby, apache. client ist ruby
 * noch nicht auf windows
 * puppet workflow
 * bestandsaufnahme: (facter)
 * anhand bestandaufnahme + node-klassifierung (in ldap) ergibt einen satz befehle
 * befehlsatz an client ausgeführt.
 * definiert mit reousrcefiles (deklarativ)
 * reihenfolge nur über abhändigkeiten möglich


 * augeas (herkules augean-stall)
 * schafft ordnung in /etc Baum.


 * Foreman Web-GUI
 * logs, reporting von installationen usw.


 * erstinstallation nur auf "nackte platte" - man könnte es über PXE

casper suite (mac system-management / provisioning)
mpi biophysikalische chemie


 * mehrere reine "mac-abteilungen" und auch Post-Docs als "einzelkämpfer"
 * alternative: apple system image utility - schlecht wartbar, fehleranfällig
 * alternativ: instdmg : komplex, keine support
 * casper: umfangreich, gut dokumentiert, gut support. Kommerziell
 * casper suite besteht aus:
 * webserver
 * repository
 * recon /(läuft nur auf mac) inventisierung
 * casper-image (nur auf mac) : disk images
 * composer: (nur auf mac) erstellung installationspakete
 * casper remote: fernwartung
 * casper vnc
 * casper admin
 * self-service: benutzer-portal: praktisch, man muss admin-rechte entziehen
 * os-unterstützung: 10.4 - 10.7 macOS. (letzteres läuft in Richtung iOS Unterstützung ??)
 * fazit: teuer, umfangreich, schulung unbedingt notwendig
 * ausblick: aufbau selfservice. Verwaltung iOS umgebung, SYMBY - setup your mac by yourself
 * apple appstore: wurde bei mpdbpc per policy verboten (!)

win7 rollout mit netinstaller

 * migrieren von winXP direkt nach win7.
 * von domain nach active directory

ms sharepoint 2010 sp1

 * "eierlegendende Wollmilchsau". Kann alles, verbindet alles. So komplex, dass es kaum zu erklären ist. client-seite windows-unabhängig. Server-seite win7 64-bit + sqlserver 2008 r2.


 * Mit den üblichen Upgrade-Hickhack. Lieber sharepoint 2007 vollständig deinstallieren.


 * fazit. "Segen und Fluch", nur 80% fertig. Standard-Sachen funktionieren ok, individuelle Lösungen eher haarig.

neues von der MPDL
awob, digilifecycle, pubman neuigkeiten präsentiert.

MPIfR Livestream und Podcast Dienst

 * anforderung: gute bild/ton qualität, einfache bedienung, geringe Kosten (= opensource)
 * Camera: IP-fähig und über netzgesteuert
 * hardwarekodierung im H264/AAC standard. derzeit optimalste Qualität/Komprimierungs Grad für Bild resp Ton)
 * streaming in RTSP (echtzeit-protokoll für A/V)
 * server: http (80) + drei Auflösungen für video 10001/2/3, 554 FÜR tON
 * Software: lamp, flowtec ...
 * client-seitig: browser, flash
 * vlc : nimmt streams von camera entgegen
 * handbrake video-konveriterung
 * flowplayer: flashplayer (opensource)
 * podcasts übernacht per cronjob erzeugt (konvertierung ist rechenintensiv)
 * ausblick: html5 als ersatz für flash, zugang von mobil-geräten

planung und realisierung moderner Rechenzentrenbau

 * änderung ab z. 2005. Stromverbrauch, Nachhaltigkeit kommen in den Vordergrund
 * Zertifizierbar
 * Fläche mittlerweile nicht so wichtig (wegen Blades usw.)
 * Serverraum üblicherweise im Kellerraum. Hochwasser Risiko
 * proRZ machen auch Planung nach HOAI (Architekten) für RZ.
 * Resonanz: Überschneidet teilweise mit MPGZ Bauabteilung

ergebnis energie umfrage

 * mpdl hat nicht dran teilgenommen.

ipv6 in MPG

 * don't panic. kurzfristig kein Problem (in Deutschland)
 * vergabe-prozess (RIRs)
 * ipv4 knappheit betrifft momentan Asian hauptsächlich
 * nat schafft mittelfristig abhilfe (und man könnte rekursiv 'nat' en)
 * kommt ipv6 überhaupt noch. (antwort: ja)
 * Steigende Erwartungen / Image-Pflege
 * migrationstrategie
 * big-bang: unsinnig
 * dual-stack: (alle hardware-geräte fahren gleichzeitig ipv4 und ipv6 <- empfohlen
 * nachteil: mehr konfigurationsaufwand - aber ipv6 hat auto-config optionen
 * nachteil: verhindert strukturelle Änderungen
 * translation
 * tunnelling
 * ipv6 vergabe. Provider-specific (DFN verein). Oder provider-independt (pi) addressen
 * keine address-raum bestellung (sowie class a, class b, class c bei ipv4), weil route aggregation bei ipv6 ist strategie.
 * bleiben im besitz des providers, nicht des nutzers - grosse migrationsaufwand bei provider-wechsel

inventar / lifecycle management mit lotus notes
sehr viele komplexe workflows. rollen verwaltung, zugänge (netz, kvm, san), einbau, fachliche ansprechpartner bestellung erst, wenn alle zustimmungen eingeholt wird = alle details für den Einbau bekannt sind
 * lotus notes enterprise integrator - mahnungen usw.
 * umzüge und nachbauen alles über inventar-db (oracle).
 * gegenüberstellung sharepoint / lotus quicker. Aufbau verteilte arbeitsgruppe

neues von ikt

 * identiy management: aus sicht der verwaltungessysteme
 * historisch gewachsen, inkonsisten, unvollständig, zu hoher aufwand
 * es ist langsam nicht mehr per hand zu bewältigen
 * lizenzkosten steigen
 * shibboleth "nicht erfüllbar" (?)
 * anschaffung idm-systems (authentifizierung in instituten, autorisierung in verwaltung (aber kann auf die Instituen delegieren).
 * Tool bereits ausgewählt. SAP Netweaver IDM
 * ausschreiben und implementierung noch nicht gemacht.
 * zwingender voraussetzung für sso.
 * angedacht. weiterreichen der shibboleth cookies für sso.
 * voice over ip
 * pilot-phase bei GV und freiwilligen Instituten


 * video-conferencing
 * min 1 VC-Raum pro Institut


 * arbeitsplatz 2010
 * abschlussbericht. 90% der Institute erfolgreich umgestellt.

identity management mit spml daasa

 * forschungsorientiert, kommt aus Uni Tübingen (DFN-Projekt im Rahmen LDAP)
 * aktive in Dariah-DE
 * gehört oasis oasis smpl seite
 * unterstützt von sap, der auch zum tc gehört sap sgml über netweaver
 * nachteil: spml geht davon aus, dass daten nur darüber geändert werden

guira zertifikatverwaltung
dfn-pki

guira main link



[wiki?]


 * voraussetzung: oracle jdk 1.6.x
 * laufzeit benutzer zertifikate: 3 jahre: kann aber gesperrt werden.
 * bei verlängerung hat man eine lange kette von zertifikaten, alle mit gleichen serien-nummern.(ms-outlook:
 * profiles: user, code-signing
 * Bestellung: braucht unterschriebenen Antrag von Benutzer, auch für Verlängerungen
 * CN Namenskonvention für benutzer-zertifikate: GRP: für group, PN: für pseudonym - dort steht keinen natürlichen Person dahinter
 * Serverzertifikate: Laufzeit 5 Jahre: Webserver als hauptprofil wiki
 * Subject Alternate Names. Put in any possible ones here.


 * Verwaltung
 * RA-OperatorZertifikat
 * konfiguration ~/.dfn-pki/configuration.xml
 * pkcs11 (smartcard standard) auch unterstützt


 * assisten modular, erweiterbar auf anfrage


 * domainnamen prüfen
 * DFN verwaltet eine White-Liste von Domains, worauf der Operator ausstellen darf. Überprüft mit whois (adminC, TechC).
 * eventuell autorisierungsschreiben von whois-Besitzer