User:Bourke/dvtreffen2011

From MPDLMediaWiki
Jump to navigation Jump to search

DV Treffen 2011[edit]

DNSSec[edit]

  • signierte zonen. Nicht zwingend notwendig
  • anpassung von firewallregeln notwendig
  • schlüssel. (wer ist CA?)
  • stand 2010. Root-zone ist signiert.
  • DNS providers (.de, .com .org usw) sind jetzt signiert
  • GWDG hat ein validierender DNS-Server
  • IPAM ?? (GWDG)

wikipedia artikel über dnssec

protects against for example dns cache poisoning

Metro-Netz (mpg berlin-brandenburg)[edit]

  • 40 km between mpi instituten
  • 2005 ATM 155 mbit/s - 1 gbit/s ethernet
  • backup-daten für regionale institute
  • 2006 TDM (time division multiplex 2 x 1Gbit/s channels).
  • TDM included Fibre Channel: wacklig. Fibre Channel over Internet / Firechannel over Ethernet
  • default flow controll ("buffer credits") not suitable for over 10 km distance
  • cwdm (course wavelength multiplex). Up to 16 channels, c. 1GBit/s per channel, only within metro area
  • DWDM (dense wavelength multiplex) Anything above 10GBit/s needs this.
  • 2010 redundante cable
  • (mir) unbekannte Akronyme: bgp i-bgp e-bgp dfn x-win

Opensource captive portal solution[edit]

  • viele gäste, alle mit einigen Geräten.
  • Gästenetz: getrennt von internen Netz für wlan, für wired - unbekannten MAC-Addressen fallen ins Gäste-Netz
  • Konferenz Management Suites available (opensource / commercial). Not suitable for conferences with vouchers
  • gast-rechner wird an authentifizierungs-Seite geleitet. Voucher code (20-stellig !!) angeben. Internet-Zugang bis Voucher-Verfall ist gewährt.
  • workflow
    • it erstellt/druckt voucher
    • voucher hinterlegt am rezeption

automatisierung: puppet und preseed, augeas und ???[edit]

Dozent möchte Mitstreiter haben.

  • Vorgänger: FAI
    • nachteile: keine windows unterstützung, keine management danach
  • Puppet: vorteile
    • besseres management
    • mit/ohne gui
    • module - also erweiterbar
  • puppet forge Puppet Forge
    • aktive community (380 commits / monat)
    • anbindungs abeilungsadmins
  • besteht aus: linux, ruby, apache. client ist ruby
  • noch nicht auf windows
  • puppet workflow
    • bestandsaufnahme: (facter)
    • anhand bestandaufnahme + node-klassifierung (in ldap) ergibt einen satz befehle
    • befehlsatz an client ausgeführt.
  • definiert mit reousrcefiles (deklarativ)
    • reihenfolge nur über abhändigkeiten möglich
  • augeas (herkules augean-stall)
    • schafft ordnung in /etc Baum.
  • Foreman Web-GUI
  • logs, reporting von installationen usw.
  • erstinstallation nur auf "nackte platte" - man könnte es über PXE

casper suite (mac system-management / provisioning)[edit]

mpi biophysikalische chemie

  • mehrere reine "mac-abteilungen" und auch Post-Docs als "einzelkämpfer"
  • alternative: apple system image utility - schlecht wartbar, fehleranfällig
  • alternativ: instdmg : komplex, keine support
  • casper: umfangreich, gut dokumentiert, gut support. Kommerziell
  • casper suite besteht aus:
    • webserver
    • repository
    • recon /(läuft nur auf mac) inventisierung
    • casper-image (nur auf mac) : disk images
    • composer: (nur auf mac) erstellung installationspakete
    • casper remote: fernwartung
    • casper vnc
    • casper admin
    • self-service: benutzer-portal: praktisch, man muss admin-rechte entziehen
  • os-unterstützung: 10.4 - 10.7 macOS. (letzteres läuft in Richtung iOS Unterstützung ??)
  • fazit: teuer, umfangreich, schulung unbedingt notwendig
  • ausblick: aufbau selfservice. Verwaltung iOS umgebung, SYMBY - setup your mac by yourself
  • apple appstore: wurde bei mpdbpc per policy verboten (!)

win7 rollout mit netinstaller[edit]

  • migrieren von winXP direkt nach win7.
  • von domain nach active directory

keynote : andreas bechtolsheim the road to exaflop[edit]

ms sharepoint 2010 sp1[edit]

  • "eierlegendende Wollmilchsau". Kann alles, verbindet alles. So komplex, dass es kaum zu erklären ist. client-seite windows-unabhängig. Server-seite win7 64-bit + sqlserver 2008 r2.
  • Mit den üblichen Upgrade-Hickhack. Lieber sharepoint 2007 vollständig deinstallieren.
  • fazit. "Segen und Fluch", nur 80% fertig. Standard-Sachen funktionieren ok, individuelle Lösungen eher haarig.

neues von der MPDL[edit]

awob, digilifecycle, pubman neuigkeiten präsentiert.

MPIfR Livestream und Podcast Dienst[edit]

  • anforderung: gute bild/ton qualität, einfache bedienung, geringe Kosten (= opensource)
  • Camera: IP-fähig und über netzgesteuert
  • hardwarekodierung im H264/AAC standard. derzeit optimalste Qualität/Komprimierungs Grad für Bild resp Ton)
  • streaming in RTSP (echtzeit-protokoll für A/V)
  • server: http (80) + drei Auflösungen für video 10001/2/3, 554 FÜR tON
  • Software: lamp, flowtec ...
  • client-seitig: browser, flash
  • vlc : nimmt streams von camera entgegen
  • handbrake video-konveriterung
  • flowplayer: flashplayer (opensource)
  • podcasts übernacht per cronjob erzeugt (konvertierung ist rechenintensiv)
  • ausblick: html5 als ersatz für flash, zugang von mobil-geräten

planung und realisierung moderner Rechenzentrenbau[edit]

  • änderung ab z. 2005. Stromverbrauch, Nachhaltigkeit kommen in den Vordergrund
  • Zertifizierbar
  • Fläche mittlerweile nicht so wichtig (wegen Blades usw.)
  • Serverraum üblicherweise im Kellerraum. Hochwasser Risiko
  • proRZ machen auch Planung nach HOAI (Architekten) für RZ.
  • Resonanz: Überschneidet teilweise mit MPGZ Bauabteilung

ergebnis energie umfrage[edit]

  • mpdl hat nicht dran teilgenommen.

ipv6 in MPG[edit]

  • don't panic. kurzfristig kein Problem (in Deutschland)
  • vergabe-prozess (RIRs)
  • ipv4 knappheit betrifft momentan Asian hauptsächlich
  • nat schafft mittelfristig abhilfe (und man könnte rekursiv 'nat' en)
  • kommt ipv6 überhaupt noch. (antwort: ja)
  • Steigende Erwartungen / Image-Pflege
  • migrationstrategie
    • big-bang: unsinnig
    • dual-stack: (alle hardware-geräte fahren gleichzeitig ipv4 und ipv6 <- empfohlen
      • nachteil: mehr konfigurationsaufwand - aber ipv6 hat auto-config optionen
      • nachteil: verhindert strukturelle Änderungen
    • translation
    • tunnelling
  • ipv6 vergabe. Provider-specific (DFN verein). Oder provider-independt (pi) addressen
    • keine address-raum bestellung (sowie class a, class b, class c bei ipv4), weil route aggregation bei ipv6 ist strategie.
    • bleiben im besitz des providers, nicht des nutzers - grosse migrationsaufwand bei provider-wechsel

inventar / lifecycle management mit lotus notes[edit]

sehr viele komplexe workflows. rollen verwaltung, zugänge (netz, kvm, san), einbau, fachliche ansprechpartner bestellung erst, wenn alle zustimmungen eingeholt wird = alle details für den Einbau bekannt sind

  • lotus notes enterprise integrator - mahnungen usw.
  • umzüge und nachbauen alles über inventar-db (oracle).
  • gegenüberstellung sharepoint / lotus quicker. Aufbau verteilte arbeitsgruppe

neues von ikt[edit]

  • identiy management: aus sicht der verwaltungessysteme
    • historisch gewachsen, inkonsisten, unvollständig, zu hoher aufwand
    • es ist langsam nicht mehr per hand zu bewältigen
    • lizenzkosten steigen
    • shibboleth "nicht erfüllbar" (?)
    • anschaffung idm-systems (authentifizierung in instituten, autorisierung in verwaltung (aber kann auf die Instituen delegieren).
    • Tool bereits ausgewählt. SAP Netweaver IDM
    • ausschreiben und implementierung noch nicht gemacht.
    • zwingender voraussetzung für sso.
    • angedacht. weiterreichen der shibboleth cookies für sso.
  • voice over ip
    • pilot-phase bei GV und freiwilligen Instituten
  • video-conferencing
    • min 1 VC-Raum pro Institut
  • arbeitsplatz 2010
    • abschlussbericht. 90% der Institute erfolgreich umgestellt.

identity management mit spml daasa[edit]

  • forschungsorientiert, kommt aus Uni Tübingen (DFN-Projekt im Rahmen LDAP)
  • aktive in Dariah-DE
  • gehört oasis oasis smpl seite
  • unterstützt von sap, der auch zum tc gehört sap sgml über netweaver
  • nachteil: spml geht davon aus, dass daten nur darüber geändert werden

guira zertifikatverwaltung[edit]

dfn-pki

guira main link

[1]

[wiki?]

  • voraussetzung: oracle jdk 1.6.x
  • laufzeit benutzer zertifikate: 3 jahre: kann aber gesperrt werden.
    • bei verlängerung hat man eine lange kette von zertifikaten, alle mit gleichen serien-nummern.(ms-outlook:
  • profiles: user, code-signing
  • Bestellung: braucht unterschriebenen Antrag von Benutzer, auch für Verlängerungen
  • CN Namenskonvention für benutzer-zertifikate: GRP: für group, PN: für pseudonym - dort steht keinen natürlichen Person dahinter
  • Serverzertifikate: Laufzeit 5 Jahre: Webserver als hauptprofil wiki
  • Subject Alternate Names. Put in any possible ones here.
  • Verwaltung
    • RA-OperatorZertifikat
    • konfiguration ~/.dfn-pki/configuration.xml
    • pkcs11 (smartcard standard) auch unterstützt
  • assisten modular, erweiterbar auf anfrage
  • domainnamen prüfen
  • DFN verwaltet eine White-Liste von Domains, worauf der Operator ausstellen darf. Überprüft mit whois (adminC, TechC).
  • eventuell autorisierungsschreiben von whois-Besitzer