Difference between revisions of "User:Bourke/dvtreffen2011"
Jump to navigation
Jump to search
(25 intermediate revisions by the same user not shown) | |||
Line 11: | Line 11: | ||
* IPAM ?? (GWDG) | * IPAM ?? (GWDG) | ||
[http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions] | [http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions wikipedia artikel über dnssec] | ||
protects against for example [http://en.wikipedia.org/wiki/DNS_cache_poisoning] | protects against for example [http://en.wikipedia.org/wiki/DNS_cache_poisoning dns cache poisoning] | ||
=== Metro-Netz (mpg berlin-brandenburg) === | === Metro-Netz (mpg berlin-brandenburg) === | ||
Line 45: | Line 45: | ||
** mit/ohne gui | ** mit/ohne gui | ||
** module - also erweiterbar | ** module - also erweiterbar | ||
* puppet forge [http://forge.puppetlabs.com/ Puppet Forge] | |||
** aktive community (380 commits / monat) | ** aktive community (380 commits / monat) | ||
** anbindungs abeilungsadmins | ** anbindungs abeilungsadmins | ||
Line 55: | Line 56: | ||
* definiert mit reousrcefiles (deklarativ) | * definiert mit reousrcefiles (deklarativ) | ||
** reihenfolge nur über abhändigkeiten möglich | ** reihenfolge nur über abhändigkeiten möglich | ||
* augeas (herkules augean-stall) | |||
** schafft ordnung in /etc Baum. | |||
* Foreman Web-GUI | |||
* logs, reporting von installationen usw. | |||
* erstinstallation nur auf "nackte platte" - man könnte es über PXE | |||
=== casper suite (mac system-management / provisioning) === | === casper suite (mac system-management / provisioning) === | ||
mpi biophysikalische chemie | |||
* mehrere reine "mac-abteilungen" und auch Post-Docs als "einzelkämpfer" | |||
* alternative: apple system image utility - schlecht wartbar, fehleranfällig | |||
* alternativ: instdmg : komplex, keine support | |||
* casper: umfangreich, gut dokumentiert, gut support. Kommerziell | |||
* casper suite besteht aus: | |||
** webserver | |||
** repository | |||
** recon /(läuft nur auf mac) inventisierung | |||
** casper-image (nur auf mac) : disk images | |||
** composer: (nur auf mac) erstellung installationspakete | |||
** casper remote: fernwartung | |||
** casper vnc | |||
** casper admin | |||
** self-service: benutzer-portal: praktisch, man muss admin-rechte entziehen | |||
* os-unterstützung: 10.4 - 10.7 macOS. (letzteres läuft in Richtung iOS Unterstützung ??) | |||
* fazit: teuer, umfangreich, schulung unbedingt notwendig | |||
* ausblick: aufbau selfservice. Verwaltung iOS umgebung, SYMBY - setup your mac by yourself | |||
* apple appstore: wurde bei mpdbpc per policy verboten (!) | |||
=== win7 rollout mit netinstaller === | |||
* migrieren von winXP direkt nach win7. | |||
* von domain nach active directory | |||
=== keynote : andreas bechtolsheim the road to exaflop === | |||
=== ms sharepoint 2010 sp1 === | |||
* "eierlegendende Wollmilchsau". Kann alles, verbindet alles. So komplex, dass es kaum zu erklären ist. client-seite windows-unabhängig. Server-seite win7 64-bit + sqlserver 2008 r2. | |||
* Mit den üblichen Upgrade-Hickhack. Lieber sharepoint 2007 vollständig deinstallieren. | |||
* fazit. "Segen und Fluch", nur 80% fertig. Standard-Sachen funktionieren ok, individuelle Lösungen eher haarig. | |||
=== neues von der MPDL === | |||
awob, digilifecycle, pubman neuigkeiten präsentiert. | |||
=== MPIfR Livestream und Podcast Dienst === | |||
* anforderung: gute bild/ton qualität, einfache bedienung, geringe Kosten (= opensource) | |||
* Camera: IP-fähig und über netzgesteuert | |||
* hardwarekodierung im H264/AAC standard. derzeit optimalste Qualität/Komprimierungs Grad für Bild resp Ton) | |||
* streaming in RTSP (echtzeit-protokoll für A/V) | |||
* server: http (80) + drei Auflösungen für video 10001/2/3, 554 FÜR tON | |||
* Software: lamp, flowtec ... | |||
* client-seitig: browser, flash | |||
* vlc : nimmt streams von camera entgegen | |||
* handbrake video-konveriterung | |||
* flowplayer: flashplayer (opensource) | |||
* podcasts übernacht per cronjob erzeugt (konvertierung ist rechenintensiv) | |||
* ausblick: html5 als ersatz für flash, zugang von mobil-geräten | |||
=== planung und realisierung moderner Rechenzentrenbau === | |||
* änderung ab z. 2005. Stromverbrauch, Nachhaltigkeit kommen in den Vordergrund | |||
* Zertifizierbar | |||
* Fläche mittlerweile nicht so wichtig (wegen Blades usw.) | |||
* Serverraum üblicherweise im Kellerraum. Hochwasser Risiko | |||
* proRZ machen auch Planung nach HOAI (Architekten) für RZ. | |||
* Resonanz: Überschneidet teilweise mit MPGZ Bauabteilung | |||
=== ergebnis energie umfrage === | |||
* mpdl hat nicht dran teilgenommen. | |||
=== ipv6 in MPG === | |||
* don't panic. kurzfristig kein Problem (in Deutschland) | |||
* vergabe-prozess (RIRs) | |||
* ipv4 knappheit betrifft momentan Asian hauptsächlich | |||
* nat schafft mittelfristig abhilfe (und man könnte rekursiv 'nat' en) | |||
* kommt ipv6 überhaupt noch. (antwort: ja) | |||
* Steigende Erwartungen / Image-Pflege | |||
* migrationstrategie | |||
** big-bang: unsinnig | |||
** dual-stack: (alle hardware-geräte fahren gleichzeitig ipv4 und ipv6 <- empfohlen | |||
*** nachteil: mehr konfigurationsaufwand - aber ipv6 hat auto-config optionen | |||
*** nachteil: verhindert strukturelle Änderungen | |||
** translation | |||
** tunnelling | |||
*ipv6 vergabe. Provider-specific (DFN verein). Oder provider-independt (pi) addressen | |||
** keine address-raum bestellung (sowie class a, class b, class c bei ipv4), weil route aggregation bei ipv6 ist strategie. | |||
** bleiben im besitz des providers, nicht des nutzers - grosse migrationsaufwand bei provider-wechsel | |||
=== inventar / lifecycle management mit lotus notes === | |||
sehr viele komplexe workflows. rollen verwaltung, zugänge (netz, kvm, san), einbau, fachliche ansprechpartner | |||
bestellung erst, wenn alle zustimmungen eingeholt wird = alle details für den Einbau bekannt sind | |||
* lotus notes enterprise integrator - mahnungen usw. | |||
* umzüge und nachbauen alles über inventar-db (oracle). | |||
*gegenüberstellung sharepoint / lotus quicker. Aufbau verteilte arbeitsgruppe | |||
===neues von ikt === | |||
* identiy management: aus sicht der verwaltungessysteme | |||
** historisch gewachsen, inkonsisten, unvollständig, zu hoher aufwand | |||
** es ist langsam nicht mehr per hand zu bewältigen | |||
** lizenzkosten steigen | |||
** shibboleth "nicht erfüllbar" (?) | |||
** anschaffung idm-systems (authentifizierung in instituten, autorisierung in verwaltung (aber kann auf die Instituen delegieren). | |||
** Tool bereits ausgewählt. SAP Netweaver IDM | |||
** ausschreiben und implementierung noch nicht gemacht. | |||
** zwingender voraussetzung für sso. | |||
** angedacht. weiterreichen der shibboleth cookies für sso. | |||
* voice over ip | |||
** pilot-phase bei GV und freiwilligen Instituten | |||
* video-conferencing | |||
** min 1 VC-Raum pro Institut | |||
* arbeitsplatz 2010 | |||
** abschlussbericht. 90% der Institute erfolgreich umgestellt. | |||
=== identity management mit spml daasa === | |||
* forschungsorientiert, kommt aus Uni Tübingen (DFN-Projekt im Rahmen LDAP) | |||
* aktive in Dariah-DE | |||
* gehört oasis [http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=provision#announcements oasis smpl seite] | |||
* unterstützt von sap, der auch zum tc gehört [http://www.sdn.sap.com/irj/sdn/index?rid=/webcontent/uuid/b16dc4fa-0a01-0010-2f86-abba2229240c sap sgml über netweaver] | |||
* nachteil: spml geht davon aus, dass daten nur darüber geändert werden | |||
== guira zertifikatverwaltung == | |||
dfn-pki | |||
[https://ra.mpg.de/ guira main link] | |||
[http://pki.gwdg.de] | |||
[[https://pki.pca.dfn.de wiki?]] | |||
* voraussetzung: oracle jdk 1.6.x | |||
* laufzeit benutzer zertifikate: 3 jahre: kann aber gesperrt werden. | |||
** bei verlängerung hat man eine lange kette von zertifikaten, alle mit gleichen serien-nummern.(ms-outlook: | |||
* profiles: user, code-signing | |||
* Bestellung: braucht unterschriebenen Antrag von Benutzer, auch für Verlängerungen | |||
* CN Namenskonvention für benutzer-zertifikate: GRP: für group, PN: für pseudonym - dort steht keinen natürlichen Person dahinter | |||
* Serverzertifikate: Laufzeit 5 Jahre: Webserver als hauptprofil [http://wiki.gwdg.de/index/php/Zertifikatprole_in_der_DFN-PKI wiki] | |||
* Subject Alternate Names. Put in any possible ones here. | |||
*Verwaltung | |||
** RA-OperatorZertifikat | |||
** konfiguration ~/.dfn-pki/configuration.xml | |||
** pkcs11 (smartcard standard) auch unterstützt | |||
* assisten modular, erweiterbar auf anfrage | |||
* domainnamen prüfen | |||
* DFN verwaltet eine White-Liste von Domains, worauf der Operator ausstellen darf. Überprüft mit whois (adminC, TechC). | |||
* eventuell autorisierungsschreiben von whois-Besitzer |
Latest revision as of 09:19, 22 September 2011
DV Treffen 2011[edit]
DNSSec[edit]
- signierte zonen. Nicht zwingend notwendig
- anpassung von firewallregeln notwendig
- schlüssel. (wer ist CA?)
- stand 2010. Root-zone ist signiert.
- DNS providers (.de, .com .org usw) sind jetzt signiert
- GWDG hat ein validierender DNS-Server
- IPAM ?? (GWDG)
protects against for example dns cache poisoning
Metro-Netz (mpg berlin-brandenburg)[edit]
- 40 km between mpi instituten
- 2005 ATM 155 mbit/s - 1 gbit/s ethernet
- backup-daten für regionale institute
- 2006 TDM (time division multiplex 2 x 1Gbit/s channels).
- TDM included Fibre Channel: wacklig. Fibre Channel over Internet / Firechannel over Ethernet
- default flow controll ("buffer credits") not suitable for over 10 km distance
- cwdm (course wavelength multiplex). Up to 16 channels, c. 1GBit/s per channel, only within metro area
- DWDM (dense wavelength multiplex) Anything above 10GBit/s needs this.
- 2010 redundante cable
- (mir) unbekannte Akronyme: bgp i-bgp e-bgp dfn x-win
Opensource captive portal solution[edit]
- viele gäste, alle mit einigen Geräten.
- Gästenetz: getrennt von internen Netz für wlan, für wired - unbekannten MAC-Addressen fallen ins Gäste-Netz
- Konferenz Management Suites available (opensource / commercial). Not suitable for conferences with vouchers
- gast-rechner wird an authentifizierungs-Seite geleitet. Voucher code (20-stellig !!) angeben. Internet-Zugang bis Voucher-Verfall ist gewährt.
- workflow
- it erstellt/druckt voucher
- voucher hinterlegt am rezeption
automatisierung: puppet und preseed, augeas und ???[edit]
Dozent möchte Mitstreiter haben.
- Vorgänger: FAI
- nachteile: keine windows unterstützung, keine management danach
- Puppet: vorteile
- besseres management
- mit/ohne gui
- module - also erweiterbar
- puppet forge Puppet Forge
- aktive community (380 commits / monat)
- anbindungs abeilungsadmins
- besteht aus: linux, ruby, apache. client ist ruby
- noch nicht auf windows
- puppet workflow
- bestandsaufnahme: (facter)
- anhand bestandaufnahme + node-klassifierung (in ldap) ergibt einen satz befehle
- befehlsatz an client ausgeführt.
- definiert mit reousrcefiles (deklarativ)
- reihenfolge nur über abhändigkeiten möglich
- augeas (herkules augean-stall)
- schafft ordnung in /etc Baum.
- Foreman Web-GUI
- logs, reporting von installationen usw.
- erstinstallation nur auf "nackte platte" - man könnte es über PXE
casper suite (mac system-management / provisioning)[edit]
mpi biophysikalische chemie
- mehrere reine "mac-abteilungen" und auch Post-Docs als "einzelkämpfer"
- alternative: apple system image utility - schlecht wartbar, fehleranfällig
- alternativ: instdmg : komplex, keine support
- casper: umfangreich, gut dokumentiert, gut support. Kommerziell
- casper suite besteht aus:
- webserver
- repository
- recon /(läuft nur auf mac) inventisierung
- casper-image (nur auf mac) : disk images
- composer: (nur auf mac) erstellung installationspakete
- casper remote: fernwartung
- casper vnc
- casper admin
- self-service: benutzer-portal: praktisch, man muss admin-rechte entziehen
- os-unterstützung: 10.4 - 10.7 macOS. (letzteres läuft in Richtung iOS Unterstützung ??)
- fazit: teuer, umfangreich, schulung unbedingt notwendig
- ausblick: aufbau selfservice. Verwaltung iOS umgebung, SYMBY - setup your mac by yourself
- apple appstore: wurde bei mpdbpc per policy verboten (!)
win7 rollout mit netinstaller[edit]
- migrieren von winXP direkt nach win7.
- von domain nach active directory
keynote : andreas bechtolsheim the road to exaflop[edit]
[edit]
- "eierlegendende Wollmilchsau". Kann alles, verbindet alles. So komplex, dass es kaum zu erklären ist. client-seite windows-unabhängig. Server-seite win7 64-bit + sqlserver 2008 r2.
- Mit den üblichen Upgrade-Hickhack. Lieber sharepoint 2007 vollständig deinstallieren.
- fazit. "Segen und Fluch", nur 80% fertig. Standard-Sachen funktionieren ok, individuelle Lösungen eher haarig.
neues von der MPDL[edit]
awob, digilifecycle, pubman neuigkeiten präsentiert.
MPIfR Livestream und Podcast Dienst[edit]
- anforderung: gute bild/ton qualität, einfache bedienung, geringe Kosten (= opensource)
- Camera: IP-fähig und über netzgesteuert
- hardwarekodierung im H264/AAC standard. derzeit optimalste Qualität/Komprimierungs Grad für Bild resp Ton)
- streaming in RTSP (echtzeit-protokoll für A/V)
- server: http (80) + drei Auflösungen für video 10001/2/3, 554 FÜR tON
- Software: lamp, flowtec ...
- client-seitig: browser, flash
- vlc : nimmt streams von camera entgegen
- handbrake video-konveriterung
- flowplayer: flashplayer (opensource)
- podcasts übernacht per cronjob erzeugt (konvertierung ist rechenintensiv)
- ausblick: html5 als ersatz für flash, zugang von mobil-geräten
planung und realisierung moderner Rechenzentrenbau[edit]
- änderung ab z. 2005. Stromverbrauch, Nachhaltigkeit kommen in den Vordergrund
- Zertifizierbar
- Fläche mittlerweile nicht so wichtig (wegen Blades usw.)
- Serverraum üblicherweise im Kellerraum. Hochwasser Risiko
- proRZ machen auch Planung nach HOAI (Architekten) für RZ.
- Resonanz: Überschneidet teilweise mit MPGZ Bauabteilung
ergebnis energie umfrage[edit]
- mpdl hat nicht dran teilgenommen.
ipv6 in MPG[edit]
- don't panic. kurzfristig kein Problem (in Deutschland)
- vergabe-prozess (RIRs)
- ipv4 knappheit betrifft momentan Asian hauptsächlich
- nat schafft mittelfristig abhilfe (und man könnte rekursiv 'nat' en)
- kommt ipv6 überhaupt noch. (antwort: ja)
- Steigende Erwartungen / Image-Pflege
- migrationstrategie
- big-bang: unsinnig
- dual-stack: (alle hardware-geräte fahren gleichzeitig ipv4 und ipv6 <- empfohlen
- nachteil: mehr konfigurationsaufwand - aber ipv6 hat auto-config optionen
- nachteil: verhindert strukturelle Änderungen
- translation
- tunnelling
- ipv6 vergabe. Provider-specific (DFN verein). Oder provider-independt (pi) addressen
- keine address-raum bestellung (sowie class a, class b, class c bei ipv4), weil route aggregation bei ipv6 ist strategie.
- bleiben im besitz des providers, nicht des nutzers - grosse migrationsaufwand bei provider-wechsel
inventar / lifecycle management mit lotus notes[edit]
sehr viele komplexe workflows. rollen verwaltung, zugänge (netz, kvm, san), einbau, fachliche ansprechpartner bestellung erst, wenn alle zustimmungen eingeholt wird = alle details für den Einbau bekannt sind
- lotus notes enterprise integrator - mahnungen usw.
- umzüge und nachbauen alles über inventar-db (oracle).
- gegenüberstellung sharepoint / lotus quicker. Aufbau verteilte arbeitsgruppe
neues von ikt[edit]
- identiy management: aus sicht der verwaltungessysteme
- historisch gewachsen, inkonsisten, unvollständig, zu hoher aufwand
- es ist langsam nicht mehr per hand zu bewältigen
- lizenzkosten steigen
- shibboleth "nicht erfüllbar" (?)
- anschaffung idm-systems (authentifizierung in instituten, autorisierung in verwaltung (aber kann auf die Instituen delegieren).
- Tool bereits ausgewählt. SAP Netweaver IDM
- ausschreiben und implementierung noch nicht gemacht.
- zwingender voraussetzung für sso.
- angedacht. weiterreichen der shibboleth cookies für sso.
- voice over ip
- pilot-phase bei GV und freiwilligen Instituten
- video-conferencing
- min 1 VC-Raum pro Institut
- arbeitsplatz 2010
- abschlussbericht. 90% der Institute erfolgreich umgestellt.
identity management mit spml daasa[edit]
- forschungsorientiert, kommt aus Uni Tübingen (DFN-Projekt im Rahmen LDAP)
- aktive in Dariah-DE
- gehört oasis oasis smpl seite
- unterstützt von sap, der auch zum tc gehört sap sgml über netweaver
- nachteil: spml geht davon aus, dass daten nur darüber geändert werden
guira zertifikatverwaltung[edit]
dfn-pki
[wiki?]
- voraussetzung: oracle jdk 1.6.x
- laufzeit benutzer zertifikate: 3 jahre: kann aber gesperrt werden.
- bei verlängerung hat man eine lange kette von zertifikaten, alle mit gleichen serien-nummern.(ms-outlook:
- profiles: user, code-signing
- Bestellung: braucht unterschriebenen Antrag von Benutzer, auch für Verlängerungen
- CN Namenskonvention für benutzer-zertifikate: GRP: für group, PN: für pseudonym - dort steht keinen natürlichen Person dahinter
- Serverzertifikate: Laufzeit 5 Jahre: Webserver als hauptprofil wiki
- Subject Alternate Names. Put in any possible ones here.
- Verwaltung
- RA-OperatorZertifikat
- konfiguration ~/.dfn-pki/configuration.xml
- pkcs11 (smartcard standard) auch unterstützt
- assisten modular, erweiterbar auf anfrage
- domainnamen prüfen
- DFN verwaltet eine White-Liste von Domains, worauf der Operator ausstellen darf. Überprüft mit whois (adminC, TechC).
- eventuell autorisierungsschreiben von whois-Besitzer