• TU Chemnitz
• UNIVERSITÄTSRECHENZENTRUM

In dieser Ausgabe Windows7 am Campus der TUC Active Directory Dienste Scientific Linux 6 am Campus der TUC Poolnutzung im Wintersemester 2011/12 Sichere Geheimnisse für Webanwendungen auf zentralen Webservern E-Mail-Bearbeitung sichern - ein Drama in mehreren Akten Kurzinformationen: Compute- und Referenz-Server für SL 6 Windows Server 2008 R2 im Pilotbetrieb Portal zur Beschaffung von Standard-PC-Technik Renovierung Computerpools Azubis im URZ Facettierung im WebOPAC der UB Software-News: Neue Handbücher im Angebot Infos, Termine, Impressum

Printversion (.pdf)  

Windows 7 am Campus der TUC

Windows 7 wird als strategische Betriebssystemplattform intensiv erprobt, damit ab Wintersemester 2011/12 alle Ausbildungspools damit ausgestattet sind - das URZ hat schon mehrfach darüber berichtet.

Ausgangspunkt

Für uns ergaben sich damit im Wesentlichen drei eng miteinander verknüpfte Teilaufgaben:

• Untersuchung der Funktionalität des Systems insgesamt (Benutzeroberfläche, Update-Mechanismen u.a.)
• Erarbeitung neuer Technologien zur Integration von Windows 7-Systemen in die Infrastruktur der TU Chemnitz (z.B. Nutzerverwaltung, Profile-Handling)
• Bereitstellung von Anwendungssoftware in Form von automatisiert installierbaren Paketen.

Es hat sich gezeigt, dass die Bewältigung dieser Teilaufgaben enorme personelle Kapazitäten erforderten, sowohl bezüglich des zeitlichen Aufwands als auch hinsichtlich der Komplexität der Fragestellungen. Wir mussten viel Kraft investieren, haben aber jetzt einen Stand erreicht, der uns optimistisch in die Zukunft blicken lässt.

Ausbildungspools

Darüber hinaus steht Windows 7 seit Beginn des Sommersemesters in zwei Pools als lokales Betriebssystem zur Verfügung:

• Reichenhainer Straße 70, Raum B301
• Straße der Nationen 62, Raum B207

In der Semesterpause im August/September wird auf allen PC Windows 7 installiert. Der genaue Zeitplan für diese Arbeiten wird rechtzeitig bekannt gegeben.

Daraus ergibt sich, dass sich alle Nutzer schon jetzt und in den kommenden Wochen über die neuen Möglichkeiten und Besonderheiten der Arbeit unter Windows 7 informieren und damit praktisch vertraut machen können. Insbesondere die Lehrbeauftragten, die im Rahmen des Studiums Praktika und andere computergebundene Veranstaltungen anbieten, müssen sich angesprochen fühlen, Ihre Abläufe und gegebenenfalls auch Lehrinhalte zu testen und anzupassen. Wir können nur die Voraussetzungen bereit stellen, indem die Pools rechtzeitig und ordnungsgemäß verfügbar sind - für den reibungslosen Ablauf der Lehre ist jeder Lehrbeauftragte selbst verantwortlich.

Bei der Nutzung von Windows 7 in den Pools ergeben sich einige Neuerungen, von denen zumindest eine einen Bruch mit der bisherigen Pooltechnologie und eine Änderung in der Arbeitsweise für alle Nutzer darstellt: die Benutzung des Home-Verzeichnisses.

Nutzung von virtuellen Desktops

Nach erfolgreicher Anmeldung wird der Nutzer mit einem freien virtuellen Desktop verbunden und es wird Windows 7 gestartet. Es gibt keine Möglichkeit, dabei eine bestimmten "Maschine" auszuwählen. Daraus ergibt sich, dass lokal gespeicherte Daten in einer späteren Sitzung nicht wieder erreichbar sind.

Homeverzeichnis

Jeder Nutzer verfügt nun über ein gesondertes Windows-Homeverzeichnis für die Speicherung von Dokumenten, Daten und Einstellungen (z.B. Profil). Dieses Windows-Homeverzeichnis wird unter dem Laufwerksbuchstaben P:\ bereitgestellt. Der Ordner Eigene Dateien entspricht dem Pfad P:\Dokumente.

Im Moment werden die Windows-Homeverzeichnisse über eine temporäre Lösung bereitgestellt. In den nächsten Wochen wird eine Speicher-Appliance in Betrieb genommen, die dann dauerhaft die Windows-Homeverzeichnisse enthält.

Zusätzlich zum Windows-Homeverzeichnis wird das bekannte AFS-Homeverzeichnis unter dem Laufwerksbuchstaben H:\ bereitgestellt.

Die Erschließungsarbeiten des URZ zu Windows 7 haben ergeben, dass mit dem AFS-Homeverzeichnis als alleinigem Homeverzeichnis kein stabiler Betrieb gewährleistet werden kann, deshalb die - für unsere Infrastruktur erstmalige - Aufspaltung in Windows- und AFS-Homeverzeichnisse.

Anwendungen

Web-Browser

E-Mail

Weitere Anwendungen

• Büro:
  • Adobe Acrobat Pro 10
  • MS Office Professional Plus 2010
  • MS Project Professional 2010
  • MS Visio Professional 2010
  • MindManager Viewer 7.0
  • OpenOffice.org 3.2
• CAD:
  • AutoCAD Mechanical 2011
  • Autodesk Inventor Professional 2011
  • CADENAS PARTsolutions 8.1
  • Catia V5 R19
  • Creo Elements/Pro Wildfire 5 (vormals: Pro/ENGINEER Wildfire 5)
• FEM:
  • ANSYS 13.0
  • Autodesk Moldflow 2011
  • ESAComp 4.1
  • RecurDyn V7R4
• Grafik:
  • Gimp 2.6
  • Inkscape 0.48
  • IrfanView 4.25
  • OriginPro 8.5
• Internet:
  • Firefox 3.6
  • Thunderbird 3.1
• Mathematische Software:
  • Maple 14
  • Mathcad 15.0
  • Matlab R2010b
  • Mathematica 8.0
• Simulation:
  • ITI SimulationX 3.4 Professional Edition
  • KISSsoft 04/2010
• Softwareentwicklung:
  • Java 1.6
  • MS Visual Studio Professional 2010
• Statistik:
  • AMOS 18
  • SPSS 18
  • SigmaPlot 9.01
  • SYSTAT 11.0
• Werkzeuge:
  • Adobe Reader 10
  • GVim 7.3
  • PeaZip 3.6
  • Putty 0.6

Der Umfang der verfügbaren Anwendungen wird schrittweise erweitert, der aktuelle Stand kann der Webseite http://www.tu-chemnitz.de/urz/anwendungen/windows/sw-w7videsk.html entnommen werden. Hierbei erwarten wir die Bedarfsmeldungen für weitere kommerzielle Produkte und OpenSource-Software, die ab Wintersemester in den Pools eingesetzt werden soll. Beachten Sie dazu bitte den Artikel "Poolnutzung im Wintersemester 2011/12" in dieser Ausgabe der "Mitteilungen des URZ".
Melden Sie unbedingt und rechtzeitig den Bedarf an Software für Ihre Lehrveranstaltungen!
Wir können erfahrungsgemäß zu Beginn des Semesters aus Kapazitätsgründen nicht kurzfristig auf weitere Meldungen reagieren. Außerdem dürfen wir auf keinen Fall die Stabilität der bereits installierten Produkte durch Nachinstallation anderer Anwendungen gefährden.

Arbeitsplatzrechner

Zum Betrieb von Windows7-Rechnern als lokaler Arbeitsplatz bieten wir unter dem Stichwort "Hilfe zur Selbsthilfe" (http://www.tu-chemnitz.de/urz/w7/index.html) viele Informationen und Tipps an. Wir empfehlen neu - über die Rahmenvereinbarung der TU Chemnitz (http://www.tu-chemnitz.de/verwaltung/haushalt/formular_pc.php) - erworbene Rechner in das Campusnetz zu integrieren, die dazu notwendigen Schritte sind auf o.g. Webseite ausführlich erläutert.
Ein solcher Rechner wird in Eigenverantwortung des Nutzers betrieben.

Darüberhinaus erarbeitet das URZ derzeit ein Angebot für einen Basis-Administrationsdienst. Dabei installiert das URZ das Betriebssystem und richtet grundlegende Dienste wie Campusnetzintegration, Active Directory usw. ein. Gleichzeitig werden die automatischen Systemupdates konfiguriert. Danach geht der Rechner (einschließlich Administratorrechten) in die Verantwortung des Auftraggebers über.
Wir werden in Kürze ein entsprechendes Angebot innerhalb der TU Chemnitz veröffentlichen.

Autor: Dr. Wolfgang Riedel

Active Directory Dienste

Mit dem Betrieb einer Active Directory Infrastruktur stehen AD-Dienste campusweit zur Verfügung.

Ein wesentliches Ziel der AD-Dienste ist die Unterstützung dezentraler und eigenverantwortlich administrierter Windows-Computer durch Integration in eine AD-Domäne. Dabei verbleibt die Administrationsverantwortung für die Windows-Computer beim Betreiber.

Aktuell werden für die Windows-Computer folgende Systemplattformen unterstützt:

• Windows 7 Professional, Ultimate und Enterprise
• Windows Server 2008 R2

Die AD-Domäne ist redundant ausgelegt und bildet folgenden Namensraum ab:

Pilotbetrieb

Im Rahmen des Pilotbetrieb (bis 31.05.2011) sind folgende AD-Dienste verfügbar:

Authentifizierung

Kernbestandteil der AD-Dienste ist die Nutzerauthentifizierung auf Basis des URZ-Loginkennzeichens.

Die Pflege der Loginkennzeichen erfolgt aus einem zentralen Datenbestand. Kennwortänderungen für Ihre Loginkennzeichen realisieren Sie über das Portal http://www.tu-chemnitz.de/urz/ -> Mein Konto.

Die Anmeldung erfolgt mit Ihrem Loginkennzeichen gegenüber der AD-Domäne. Zum Beispiel TUC\otto wobei Sie otto durch Ihr eigenes Loginkennzeichen ersetzen.

Gruppenverwaltung

Für die Adressierung von Nutzergruppen ist die Abbildung aller AFS-Gruppen in AD-Gruppen realisiert. Die Synchronisation erfolgt einmal am Tag.

Nutzerdaten und Benutzerprofil

Jedem Loginkennzeichen ist ein Nutzerdaten- und ein Profilverzeichnis zugeordnet.

(Ersetzen Sie im Beispiel o durch den ersten Buchstaben und otto durch Ihr eigenes Loginkennzeichen.)

Nutzerdaten

Das Nutzerdatenverzeichnis wird beim Login unter dem Laufwerksbuchstaben P:\ bereitgestellt.

Der Ordner "Eigene Dateien" ist auf P:\Dokumente gemappt.

Einstellungen von Anwendungen, der persönliche Desktop und das Startmenü werden im ausgeblendeten Verzeichnis P:\Profil, also im Nutzerdatenverzeichnis abgelegt.

Benutzerprofil

Das Benutzerprofil (auch Roaming Profile) liegt in einem gesonderten Speicherbereich. Zu den im Benutzerprofil abgelegten Informationen gehören beispielsweise die Darstellung im Windows-Explorer, der Standarddrucker und andere.

Voraussetzung für die Integration von Windows-Computern

Für die Integration von Windows-Computern in die AD-Domäne ist eine Registrierung als Auftraggeber erforderlich.
Der Windows-Computer muss mit einer der unterstützten Systemplattformen betrieben werden und in das Campusnetz integriert sein.
Der Computername darf in der AD-Domäne noch nicht vorhanden sein.
Für jeden in die AD-Domäne zu integrierenden Windows-Computer ist eine sogenannte Windows Server Client-Access-Lizenz erforderlich.

Integrationsschritte

Die Integration eines Windows-Computers in die AD-Domäne erfolgt formularbasiert im Webbrowser und kann direkt vom zu integrierenden Computer oder einem Drittsystem erfolgen.

Für die Integration übermittelt der Auftraggeber den vollständigen Computernamen des in die AD-Domäne aufzunehmenden Computers sowie das Kennwort des Administrator-Accounts. Über die übermittelten Anmeldeinformationen für den Windows-Computer wird gleichzeitig die Zuordnung zum Auftraggeber abgebildet. Alle Informationen werden über gesicherte Protokolle übertragen, Passworte werden nicht gespeichert.

Das Ergebnis der Integration in die AD-Domäne wird über das Webformular angezeigt und durch einen Neustart des Windows-Computers abgeschlossen.

Autor: Andreas Heik

Scientific Linux 6 am Campus der TUC

Das URZ bereitet gegenwärtig den produktiven Einsatz von Scientific Linux 6 (SL6) im Campus vor. Im Rahmen einer Pilotphase kann SL6 in einigen Ausbildungspools erprobt werden. Während die vom URZ betreuten Pool- und Arbeitsplatzsysteme bis Beginn des Wintersemsters 2011/2012 von SL5 auf Scientific Linux 6 migriert werden, können die Serversysteme unter Kontrolle der Dienste- und Funktionsverantwortlichen auf SL6 migriert werden.

Projekt TUC Linux Six (TLSix)

Anfang März 2011 wurde die Freigabe von Scientific Linux 6 (Abk. SL6) in den Heise News angekündigt. Zu diesem Zeitpunkt lief die Einsatzvorbereitung für SL6 an der TU Chemnitz bereits auf Hochtouren. Die Ziele, Meilensteine, Aufgabenkomplexe und Verantwortlichkeiten wurden in einem URZ-internen Projekt mit dem Arbeitstitel TUC Linux Six definiert und im Verlaufe der Arbeiten stetig fortgeschrieben.

Ziele

• die Ausbildungspools (zentral, dezentral) bis Beginn Wintersemester 2011/2012
• die öffentlichen Computerarbeitsplätze der UB
• alle Arbeitsplätze( URZ, UB, Physik usw.)

Ein weiterer Schwerpunkt besteht in der schrittweisen Migration von Servern und Entwicklungssystemen (ca. 250 virtuelle bzw. reale Systeme) von SL5 auf SL6.

Orientierungen und Randbedingungen

SL6 wird für die Architekturen 32-Bit (X86) und 64-Bit (x86_64) zum Einsatz kommen. Im Desktop-Bereich wird auf X86 orientiert, bei begründetem Bedarf auch auf x86_64. Im Server-Einsatz orientieren wir vorrangig auf x86_64, die Architektur X86 ist insbesondere für Server mit geringen Ressourcenanforderungen (RAM, ...) sinnvoll.

Bei der Entwicklung der Dienste für SL6 geht es insbesondere darum, unter dem Gesichtpunkt des effektiven Personaleinsatzes skalierbare Dienste in hoher Qualität und Konsistenz für einen Zeitraum von ca. 5 Jahren bereitzustellen.

Was ist neu im Scientific Linux 6?

SL6 basiert auf den frei verfügbaren Quellen von Red Hat Enterprise Linux 6 sowie einigen zusätzlichen SW-Paketen, wie z.B. das Distributed Filesystem OpenAFS. Insgesamt gehören ca. 4500 SW-Paketen zur Distribution. Das URZ unterstützt zusätzlich das Softwaredepot EPEL (Extra Packages for Enterprise Linux), aus dem bei Bedarf einzelne SW-Paktete nachinstalliert werden können. EPEL enthält gegenwärtig ca. 5000 - 6000 SW-Pakete für unterschiedlichste Anwendungszwecke. Schließlich stellt das URZ noch ein spezielle SW-Depot (URZ_CONTRIB) zur Verfügung, in dem einige hundert SW-Pakete in Eigenentwicklung bereitgestellt und gepflegt werden.

Natürlich macht es keinen Sinn, die gesamte verfügbare Paketmenge auf einem bestimmten System zu installieren, nicht nur aus Gründen der Plattenkapazität, sondern auch aus Gründen der Effektivität und der Wartbarkeit des Systems.

Bei Desktopsystemen wird eine sinnvolle Menge von System- und Anwendungspaketen vorinstalliert. Auf begründete Anforderung können zusätzliche SW-Pakete bereitgestellt werden.

Bei Servern wird nur eine Basismenge vorinstalliert, die in Verantwortung der Dienste-Admins nach Bedarf erweitert werden kann.

Nachfolgende Tabelle gibt einen Überblick über einige wesentliche Softwarekomponenten und die neuen Versionen im Vergleich zu SL5.

Tabelle: Wichtige Software - Vergleich SL6 zu SL5

Abgesehen von der weiterentwickelten Softwarebasis sind eine Reihe technischer und technologischer Entwicklungen auf Betriebssystemebene in die Distribution eingeflossen. Entsprechende Informationen sind in den u.g. Dokumenten enthalten.

Graphische Arbeitsumgebung: GNOME oder KDE?

Wie bisher werden die graphischen Benutzeroberflächen GNOME und KDE bereitgestellt. Zusätzlich kann mit IceWM ein einfacher Fenstermanager genutzt werden.

Die durch die BS-Entwickler bereitgestellte Version 4.3 der grafischen Arbeitsumgebung KDE erscheint nicht hinreichend ausgereift. Ein Grund ist wohl darin zu sehen, dass Red Hat bei den grafischen Arbeitsumgebungen auf GNOME orientiert. Vermutlich konnten höherere Versionen von KDE 4 aus terminlichen Gründen nicht mehr in die Distribution aufgenommen werden.

Als Konsequenz empfiehlt das URZ, die graphische Arbeitsumgebung GNOME zu nutzen. Demzufolge sollten bisherige KDE-Nutzern den Umstieg auf GNOME erwägen. Im Regelfall ist das URZ nicht in der Lage, Unzulänglichkeiten und Fehlverhalten bei der Nutzung von KDE 4 zu beseitigen. Im übrigen sind die meisten Anwendungen aus dem KDE-Umfeld auch unter GNOME nutzbar.

Welche Dienste und Unterstützung bietet das URZ für SL6 an?

Ausbildungspools

• Reichenhainer Straße 70, Raum B301
• Straße der Nationen 62, Raum B207

Alle Lehr- und Praktikaverantwortlichen, die gegenwärtig Praktika unter SL5 durchführen, sollten im laufenden Semester Scientific Linux 6 in den beiden Pools erproben. Bei Problemen, wie z.B. fehlenden SW-Voraussetzungen, bitten wir um sofortigen Kontakt zum Nutzerservice bzw. eine E-Mail an support@hrz.tu-chemnitz.de

Außer in den Pools mit SL6-Pilotnutzung kann in allen anderen Ausbildungspools bis Ende des Sommersemesters 2011 weiterhin SL5 genutzt werden.

Mit Beginn des Wintersemesters 2011/2012 werden alle Ausbildungspools auf Scientific Linux 6 migriert.

öffentliche Compute- und Referenzserver

Auf den URZ-Webseiten sind alle Login-Dienste aufgelistet.

Vom URZ administrierter Linux-Arbeitsplatz (LADM)

LADM-Neuaufträge werden ab August 2011 standardmäßig mit SL6 realisiert.

Virtual Private Server Hosting (VPSH)

Ab August 2011 werden keine Neuaufträge für SL5-VPS mehr angenommen.

Bereits bestehende VPS, die unter SL5 laufen, können ab April nach SL6 migriert werden. Damit der Migrationsprozess reibungslos verläuft und damit praktisch keine Unterbrechung der Serverdienste verbunden ist, ist eine entgeltfreie dreimonatige Testphase möglich. Dabei beantragt der Auftraggeber für ein bereits existierendes SL5-VPS ein zusätzliches SL6-VPS mit gleicher Ausstattung für den Zeitraum von 3 Monaten. Auf diesem System kann die Funktionalität der Dienste unter SL6-Bedingungen verifiziert werden. Die Testszenarien erarbeitet der Funktionsadmin, wobei eventuell notwendige Unterstützung durch den Auftragnehmer im Rahmen seiner Möglichkeiten gegeben wird.

Nach erfolgreicher Pilotphase kann der Auftraggeber anfordern, dass der "alte" SL5-VPS außer Betrieb genommen wird und der "neue" SL6-VPS die Aufgaben und Dienste übernimmt. Bereits geleistete Entgelte werden angerechnet, die für den zu migrierenden VPS existierenden Modalitäten (Laufzeiten, ...) werden an den neuen VPS vererbt.

Wann der Migrationsprozess für ein VPS beginnen soll, legt der jeweilige Funktionsadmin in Abstimmung mit dem Auftragnehmer fest. Geplant ist seitens des URZ, dass die Migration aller SL5-VPS nach SL6 bis Oktober 2012 abgeschlossen ist.

Die Migration von PROWeb-Servern ist gegenwärtig nicht vorgesehen.

Server Housing Level 2

Die nachfolgende Tabelle enthält einen Grobzeitplan, welche Ziele zu welchem Zeitpunkt erreicht werden sollen.

Tabelle: Zeitplan

Auswahl der Linux-Distribution

Am Campus der TUC wird Linux für unterschiedlichste Zwecke eingesetzt

• als Server-System für verschiedene, z.T. kritische IT-Dienste
• als Desktop-System in Ausbildungspools und in den Lesesälen der UB
• als Arbeitsplatzrechner in einigen Professuren und (zentralen) Einrichtungen
• als Entwicklungs- und Laborrechner

Wichtige Kriterien für Server-basierte Dienste und den Einsatz in der Ausbildung sind Stabilität und Konsistenz der System- und Anwendungssoftware.

Insofern orientiert das URZ auf den Einsatz einer stabilen und eher konservativen Linux-Distribution. Red Hat Enterprise Linux und die daraus abgeleiteten Distributionen zeichnen sich insbesondere durch ein hohes Maß an Stabilität, Kontinuität, Zuverlässigkeit und Sicherheit aus. Für das URZ als Betreiber sind zwei weitere Aspekte von Bedeutung: der langfristiger Support einer Distribution (bei Red Hat bis zu 7 Jahre) sowie die guten Voraussetzungen für effizientes, skalierbares zentrales Management.

Sicher gibt es auch eine Reihe von Studenten und Mitarbeitern der Uni, die auf möglichst neueste Features und SW-Versionen nicht verzichten möchten und deshalb eine andere Linux-Distribution vorziehen würden. Für das URZ als verantwortlichen Betreiber von ca. 1000 realen und virtuellen Linux-Systemen sind jedoch Homogenität der Nutzungsbedingungen sowie Berechenbarkeit und Skalierbarkeit der Betriebsaufwendungen vorrangige Kriterien.

Kurze Historie: Linux im URZ

Scientific Linux (SL) ist eine auf den Quellen von Red Hat Enterprise basierende binärkompatible Linux-Distribution. Das Projekt Scientific Linux wird von verschiedenen Forschungseinrichtungen, darunter dem CERN und Ferminlab sowie einigen Universitäten vorangetrieben.

In den letzten Jahren hat die Verbreitung von Scientific Linux weltweit stark zugenommen, insbesondere im universitären Umfeld.

Die Tabelle verdeutlicht die Entwicklung der Unterstützung von Linux an der TUC.

¹) zusätzlich: Chemnitzer Linux Cluster (CLiC) mit 532 Knoten

Literatur

• Scientific Linux 6 Release Notes
• http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html-single/Release_Notes/index.htm
• www.scientificlinux.org/
• http://www.de.redhat.com/products/rhel/desktop/
• Heise News SL6

Autor: Matthias Clauß

Poolnutzung im Wintersemester 2011/12

Die Anmeldung des Software-Bedarfs für Lehrveranstaltungen in den Ausbildungspools im kommenden Wintersemester muss auch in diesem Jahr wieder frühzeitig erfolgen: bis Mitte Juni 2011.

Verfügbarkeit der Pools

Wie wir bereits mehrfach, und auch in dieser Ausgabe der "Mitteilungen des URZ" informiert haben, wird ab Oktober 2011 in allen Pools Linux und Windows 7 verfügbar sein - und keine andere Windows-Plattform!

Wir bieten im Einzelnen folgende Nutzungsmöglichkeiten an:

Betriebssystemplattformen

Softwareangebot, Softwarebedarf

Traditionell rufen wir an dieser Stelle alle Nutzer, die im kommenden Semester Lehrveranstaltungen in den Pools planen, auf, ihren Bedarf an Anwendungssoftware zu melden. Nur durch diese frühe Information sind wir in der Lage, mit Beginn des Semesters eine attraktive und stabile Softwareumgebung für alle Nutzer zu sichern. Letztlich hängt die Qualität und der Erfolg Ihrer Lehrveranstaltung auch davon ab, ob die benötigte Software reibungslos funktioniert.

Bei Ihrer Bedarfsmeldung beachten Sie in diesem Jahr bitte folgende Besonderheit: bitte melden Sie uns alle von Ihnen für die Ausbildung benötigten Produkte, auch freie Software bzw. solche Anwendungen, die Sie für selbstverständlich halten. Nur so können wir feststellen, ob bestimmte Software überhaupt benötigt wird.

Die Mail sollte folgende Informationen enthalten:

• Bezeichnung der Software, ggf. Version
• Betriebssystemplattform (Windows 7 / Linux)
• Anwendungsgebiet, Lehrveranstaltung
• bei zusätzlicher Software:
  • Bezugsquelle: Herstellerfirma, Webadresse o.ä.
  • Bezugsbedingungen: freie Software (Open Source), kommerziell, ... Wenn Alternativen existieren, empfehlen wir, immer der freien Software den Vorzug zu geben
  • Lizenzbestimmungen: für Lehre und Forschung, ... (bitte prüfen Sie selbst, ob der gewünschte Einsatz mit den Lizenzbestimmungen vereinbar ist)
  • Lizenzform: Klassenraumlizenz, Campuslizenz, ... (Einzelplatzlizenzen können aus Aufwandsgründen in Pools nicht installiert werden)
  • bei kommerzieller, kostenpflichtiger Software: wie erfolgt die Finanzierung

Wir setzen uns dann umgehend mit Ihnen in Verbindung und besprechen das weitere Vorgehen. Bei der Bearbeitung Ihrer Anforderung muss geklärt werden, inwieweit ein breiter Bedarf an dieser Software vorhanden ist und wie die Installation und Verteilung des Produkts mit den uns zur Verfügung stehenden Kapazitäten und Werkzeugen realisiert werden kann.

Nach Abschluss der notwendigen Vorbereitungsarbeiten werden die gewünschten Softwareprodukte auf Testrechnern und - in der Semesterpause - auf den Poolrechnern installiert. Sie sollten unbedingt die Möglichkeit nutzen, "Ihre" Software rechtzeitig und ausführlich zu testen. Ja wir fordern Sie auf, die Software dann explizit "freizugeben". Wir werden Sie informieren, wann und wo das möglich sein wird.

Denken Sie also rechtzeitig an Ihre Bedarfsmeldung. Nur so können Sie sicher sein, dass die Software - sofern nicht prinzipielle Dinge dagegen sprechen - pünktlich zu Semesterbeginn verfügbar sein wird.

Bei Fragen und Beratungsbedarf wenden Sie sich bitte frühzeitig an das URZ, wir helfen Ihnen gern.

An dieser Stelle sei es uns gestattet, alle Lehrbeauftragten nochmals auf unser Angebot von Handbüchern hinzuweisen. Wie viele andere Hochschulen auch bieten wir eine Vielzahl von Schriften an, die vom Rechenzentrum der Uni Hannover (RRZN) herausgegeben werden und durchweg eine hervorragende inhaltliche und didaktische Qualität aufweisen - und das zu studentenfreundlichen Preise. Informieren Sie sich auf unserer Handbuch-Webseite www.tu-chemnitz.de/urz/hb bzw. direkt im URZ-Nutzerservice Straße der Nationen und prüfen Sie, ob ein Einsatz dieser Handbücher als Begleitmaterial in Ihrer Lehrveranstaltung sinnvoll wäre.

Autor: Dr. Wolfgang Riedel

Sichere Geheimnisse für Webanwendungen auf zentralen Webservern

Webanwendungen benötigen häufig schützenswerte Daten. So braucht z.B. ein PHP-Skript für die Arbeit mit Datenbanken das entsprechende Passwort. Bisher müssen diese Passworte in der PHP-Datei selbst stehen, was in der Umgebung unserer zentralen Webserver www.tu-chemnitz.de und insbesondere www-user.tu-chemnitz.de nicht sonderlich sicher ist.

Mit einem neuen Verfahren steht Web-Programmierern nun ein sicherer Weg zur Verfügung, solche Geheimnisse in Webanwendungen zu verwenden, ohne dass diese im zugänglichen Dateisystem abgelegt werden müssen. Über das Webformular unter https://www.tu-chemnitz.de/urz/www/sectoken.html wählt der Webautor einen Schlüssel aus. Das damit verschlüsselte Geheimnis (z.B. das Datenbank-Passwort) kann in eine Datei geschrieben werden. Die zum Entschlüsseln nötigen Daten werden der Anwendung vom Webserver in der Umgebung zur Verfügung gestellt. Dazu kann der Programmierer eine PHP-Funktion verwenden. Andere Programmiersprachen werden bei Bedarf unterstützt.

Warum ist dieses Verfahren sicher?

Im Quelltext der Anwendung steht nicht mehr das Geheimnis im Klartext selbst, sondern nur das mittels kryptografisch sicherem Verfahren erzeugte verschlüsselte Geheimnis. Der Webserver stellt den Schlüssel nur der Anwendung im angegebenen Pfad zur Verfügung. Die Konfigurations-Datei, die die Schlüssel enthält, ist dem Webserver nur zum Startzeitpunk zugänglich, jedoch nicht mehr zur Laufzeit. Der gewählte Schlüssel ist nur dem Web-Programmierer und in kodierter Form dem Webmaster bekannt.

Zu beachten ist, dass der Schlüssel ab dem beauftragten URL allen Webanwendungen in untergeordneten Verzeichnissen zur Verfügung steht. Ändert sich das Geheimnis (z.B. durch Setzen eines neuen Datenbank-Passwortes), muss der Web-Programmierer auch das verschlüsselte Geheimnis ändern. Selbstverständlich können mit diesem Verfahren auch mehrere Geheimnisse für eine Webanwendung sicher verwaltet werden.

Autor: Frank Richter

E-Mail-Bearbeitung sichern - ein Drama in mehreren Akten

Wir kommunizieren immer mehr über das Internet, wir rufen Informationen ab, arbeiten vernetzt, präsentieren uns und kaufen online ein. Nicht erst seit Google, Facebook und Co. muss uns allen der Schutz persönlicher Daten im Internet wichtig sein. Besonders schützenswert sind hierbei natürlich persönliche Passwörter und E-Mails - ein Passwort in fremden Händen ermöglicht missbräuchliche Verwendung bis hin zu Straftaten.

Das URZ investiert in Computer- und Netzsicherheit, indem wir sichere Zugangstechniken einführen (z.B. Portsecurity), Firewalls betreiben, Server auf dem neuesten Software-Stand halten, Mechanismen zur PC-Wartung und zum Virenschutz anbieten, sichere Authentisierungsmethoden und gesicherte Zugänge für viele Dienste zur Verfügung stellen. Viele dieser Maßnahmen zur Sicherheit finden Sie unter http://www.tu-chemnitz.de/urz/security/.

Einen Teil der Verantwortung trägt aber auch der Computerbenutzer. So schützen gesicherte E-Mail-Zugänge nur dann etwas, wenn diese auch benutzt werden.

Wer seine E-Mails im Webbrowser über https://mail.tu-chemnitz.de bearbeitet, ist auf der sicheren Seite: Der Zugang über Webmail wird ausschließlich über verschlüsselten Zugang (https) realisiert, was inzwischen problemlos möglich ist, da die Wurzelzertifikate der Aussteller unserer Serverzertifikate in allen gängigen Webbrowsern enthalten sind. Wer die E-Mail über ein Mail-Programm abruft, z.B. Thunderbird oder Outlook, muss jedoch selbst eine sichere Verbindung konfigurieren.

Im Dezember 2010 haben sich beispielsweise knapp 2700 Benutzer ca. 2,3 Mio. Mal auf dem zentralen Mailbox-Server der TU eingeloggt, ohne dass die Übertragung gesichert war. D.h. Passwörter sind 2,3 Mio. mal offen über das Netz übertragen worden. Insbesondere in fremden Netzen oder in ungesicherten Funknetzen besteht dabei die Gefahr, dass Loginkennzeichen und Passwort in unbefugte Hände gelangen können. Nun unterstützen alle modernen E-Mail-Programme sichere Verfahren zum Schutz von übertragenen Passwörtern und E-Mail-Nachrichten - man muss diese Verfahren nur richtig einstellen. Meist ist es nur ein Klick ("Verbindungsmethode: STARTTLS bzw. SSL"), und schon haben Datenschnüffler keine Chance, denn die kryptografischen Verschlüsselungsverfahren bieten hinreichenden Schutz.

In Absprache mit dem URZ-Beirat hatten wir uns Anfang 2011 die Aufgabe gestellt, alle E-Mail-Benutzer zur sicheren Einstellung Ihrer E-Mail-Programme zu bewegen. Auch wenn wir von der technischen Machbarkeit überzeugt waren, blieben Zweifel:

• Wie erreicht man 2670 E-Mail-Benutzer und motiviert sie, in den Einstellungen ihrer E-Mail-Programme eine wenn auch noch so kleine Änderung vorzunehmen, ohne dass wir unter einer Supportwelle zusammenbrechen?
• Wird es gelingen, auch Benutzer von Uralt-Software zu einem Umstieg zu bewegen?
• Gibt es vielleicht doch Geräte oder Situationen, bei denen ein gesicherter Zugang nicht möglich ist?

Prolog: Sichere Zugänge schaffen

Der zentrale Mailbox-Server der TU Chemnitz heißt mailbox.hrz.tu-chemnitz.de und wird von den allermeisten Benutzern der TU Chemnitz verwendet. Der Server unterstützt als "Posteingangsserver" die Zugangsprotkolle IMAP (empfohlen) und POP3 über die Ports 143 bzw. 110 (dort auch Übergang zur Verschlüsselung via STARTTLS) und Port 993 bzw. 995 (SSL-Verschlüsselung). Das Senden von E-Mail ("Postausgangsserver") erfolgt per SMTP über Port 587 authentisiert (Verschlüsselung per STARTTLS). Die Serverzertifikate sind ausgestellt von der Zertifizierungsstelle der TU Chemnitz, eingebunden in die DFN-PKI mit dem Wurzelzertfikat "Deutsche Telekom Root CA 2".

Unsere E-Mail-Server benötigen zur Authentisierung von Benutzern das Klartext-Passwort (oder aber Kerberos/GSSAPI, was hier nicht zur Debatte steht), Shared-Secret-Methoden (z.B. DIGEST-MD5, NTLM) sind in unserer Umgebung nicht nutzbar. Unser Ziel bestand also darin, dass in Zukunft die Übermittlung des Klartext-Passwortes ausschließlich in einer verschlüsselten Übertragung stattfindet. Dafür stehen mit TLS und SSL technische Verfahren zur Verfügung, die alle modernen E-Mail-Programme und unserer Server unterstützen. Damit werden dann auch alle E-Mails gesichert vom und zum Server übertragen.

1. Akt: Analyse des Benutzerverhaltens

Die Log-Dateien des zentralen IMAP- und POP3-Servers verrieten, dass viele Benutzer natürlich auf unterschiedlichste Art und Weise auf ihre E-Mail zugreifen - vom Desktop-PC an der TU oder zu Hause, mit Notebooks im WLAN oder über andere Internet-Provider und via Smartphones mit mobilen Zugängen, oft parallel, mal gesichert, mal ungesichert. Wir haben diese Protokolldaten so aufbereitet, dass jeder Benutzer für sich nachvollziehen kann, wann er von wo mit welcher Zugangsmethode auf seine Mailbox an der TU zugreift - https://www.tu-chemnitz.de/urz/mail/log/imappop.html - welches Programm jemand verwendet, sehen wir bis auf wenige Ausnahmen (iPhone) nicht.

Die so gewonnenen Daten bereiteten wir auch anonymisiert als Diagramme auf (s.u.), so dass wir einen Überblick über die Änderung des Nutzerverhaltens bekamen. So stellten wir fest, dass über 80% unserer Nutzer bereits ausschließlich gesichert arbeiten, die unsicheren Abrufe jedoch über ein Drittel der Zugriffe ausmachen.

Bei der Analyse fiel uns auf, dass einige ihre TU-Mailbox von anderen Providern (z.B. Google Mail) abrufen ließen. D.h. Benutzer haben tatsächlich ihr TU-Loginkennzeichen und Passwort (was neben E-Mail Zugang zu vielen weiteren Dienste an der Uni gewährt) fremden Providern anvertraut. Diese Benutzer müssen wir gezielt auf die Weiterleitungsmöglichkeit via Mailfilter und auf das Passwortändern hinweisen ...

In dieser Phase erstellten wir eine Webseite mit Informationen, Motivationen und Hinweisen für unsere Benutzer. Schwierigkeit ist hier, die richtigen Formulierungen zu finden (Wie technisch darf/muss es sein?) und die Benutzer zum Ziel zu führen (Was muss jemand tun, wenn wir doch gar nicht wissen, welches Mailprogramm verwendet wird?). Bei aller Mühe - dies wird wohl nie optimal für alle gelingen. Die Webseite ist zu finden unter http://www.tu-chemnitz.de/urz/mail/sicher.html und enthält neben allgemeinen Informationen zu Verfahren auch konkrete Hinweise für verbreitete E-Mail-Programme.

2. Akt: Information betroffener Nutzer per E-Mail

Die Herausforderung: Wie spricht man gezielt und glaubhaft Benutzer per E-Mail an, wo uns doch wöchentlich Phishing-Mails ("Email Konto UPGRADE ... sonst Sperrung") verunsichern? Wir haben die E-Mails personalisiert, d.h. die Benutzer mit ihrer gewählten Anrede mit Vor- und Zunamen angesprochen, auf die oben erwähnte durch https gesicherte Webseite verwiesen und schließlich per S/MIME digital signiert. Viele Überlegungen haben wir wieder in die Formulierungen gesteckt - die erste E-Mail war bewusst etwas zurückhaltender formuliert. Den Inhalt haben wir dezent mit HTML formatiert. Die erste E-Mail haben wir am 20. Januar (also ca. 10 Wochen vor der Abschaltung) an die 2670 Benutzer gesendet, die in den letzten 4 Wochen ungesichert E-Mails abgerufen hatten. Weitere E-Mails mit etwas geändertem Inhalt haben wir am 21. Februar an 1708 Benutzer, am 16. März (760) und am 24. März (366) versendet.

3. Akt: Anfragen beantworten und konkret helfen

Natürlich enthielt die E-Mail auch den Hinweis, wie ein Benutzer Hilfe anfordern kann - Reply-To war an den Helpdesk, d.h. unser Ticketsystem gesetzt. Die Kolleginnen und Kollegen des URZ-Nutzerservice waren hier gefordert und haben vielen Benutzern Unterstützung gegeben. Insgesamt wurden knapp 200 Ticket bearbeitet. Das bedeutet aber auch, dass die meisten Benutzer die Umstellung ohne unsere Hilfe vornehmen konnten.

Als Hauptprobleme erwiesen sich:

• "Ich habe mein E-Mail-Programm wie in der Anleitung eingestellt. Trotzdem kann ich keine E-Mail mehr abholen/senden." Hier erweisen sich so manche Windows-Anti-Virenprogramme, die aus- oder eingehende E-Mails überwachen wollen, als unfähig, wenn die Verbindung verschlüsselt wird. Hier half entweder die Umstellung auf SSL oder das Abschalten dieser Schutzfunktion.
• "Ich habe einen alten PC mit Pegasus-Mail/..., das versteht keine Verschlüsselung." Wenn hier keine neue Version installiert werden konnte, kann Webmail zum Einsatz kommen.
• "Ich finde in meinem Smartphone keine entsprechenden Einstellungen ..." Für iPhone, Android-basierte Systeme und andere Smartphones ist die Verschlüsselung einstellbar - der Hinweis auf TLS oder SSL half in den meisten Fällen.
• "Ich habe mein Mail-Programm sicher eingestellt, ich weiß nicht, wo die unsicheren Zugriffe herkommen." Hier half meist ein Blick in die persönlichen Protokolle (s.o.): Die offenbarten, woher noch E-Mail-Abrufe kamen - oft von einem Mobiltelefon oder einem PC, der hin- und wieder mal eingeschaltet wurde.
• "Ich verstehe von all dem nichts." Natürlich gab es auch schwierige Fälle, in denen eine Unterstützung am Telefon nötig war. Wenn auch das nicht zum Erfolg führte, haben wir auf Webmail verwiesen.

Wie das Diagramm zeigt, haben nach den ersten beiden E-Mails ein große Zahl von Benutzern Ihre E-Mail-Programme gesichert. Zum Schluss blieben dennoch ca. 350 Benutzer übrig ...

4. Akt und Finale: Abschalten der unsicheren Methoden

... die dann ab 4. April keine E-Mails mehr abrufen konnten. Denn seit diesem Tag lassen wir nur noch gesicherte Verbindungen zur E-Mail-Bearbeitung zu. In unserem IMAP-/POP3-Server (cyrus-imapd) musste dafür letztlich nur eine einzige Zeile konfiguriert werden - in /etc/imapd.conf:

allowplaintext: 0 

Natürlich kamen danach die Anfragen von Benutzern, die nun keine E-Mail mehr abrufen konnten - "Oh, diese Hinweis-E-Mails habe ich nicht so ernst genommen." Aber auch hier konnten wir geduldig und freundlich helfen.

Epilog: Was haben wir erreicht und was gelernt?

E-Mail-Abrufe an der TU Chemnitz sind nur noch über kryptografisch sichere Verfahren möglich - dieses Ziel haben wir erreicht. Natürlich können wir "dumme" E-Mail-Programme nicht hindern, Login und Passwort doch unverschlüsselt zu übermitteln. In der Praxis kommt dies jedoch kaum vor.

Die Erhöhung der Sicherheit im Internet erfordert auch die Mithilfe der Benutzer. Die alte Weisheit "Sicherheit hat ihren Preis." hat sich auch bei dieser Aktion bewahrheitet. Allerdings war der Preis hier durchaus bezahlbar. Unser Dank gilt allen, die sich durch die Einstellungen gekämpft und das richtige Häkchen gefunden haben. Doch auch die Nutzung einer sicheren Verbindung schützt nicht vor Schadsoftware auf dem PC oder einem anderem Gerät - hier bleibt der Benutzer in der Pflicht, geeignete Schutzmaßnahmen (Antiviren-Software, Systemaktualisierung) zu ergreifen. Auf fremden Geräten, z.B. in Internet-Cafés, gilt es abzuwägen, ob man das Risiko eingehen will ...

IT-Dienstleister, Informatiker (und alle Techniker) müssen sich immer wieder der Herausforderung stellen, komplexe Verfahren für die Anwender einfach und verständlich umzusetzen und zu beschreiben. Mit den E-Mail-Programmen und unserer Infrastruktur an der TU Chemnitz sind wir auf gutem Wege, aber noch nicht am Ziel.

Die Zukunft liegt in der automatischen Konfiguration von Programmen - auf vom URZ adminstrierten PCs ist dies weitestgehend der Fall. Für Thunderbird ab Version 3.1 bieten wir dies für alle an - http://www.tu-chemnitz.de/urz/mail/thunderbird/mailpref3.html. Hier muss der Benutzer "nur" noch seine E-Mail-Adresse richtig eingeben (was für einige allerdings schon eine Hürde ist) - die zahlreichen Einstellungen zu Servern und Protokollen werden automatisch ermittelt. Für iPhones kann jeder Nutzer sehr einfach über das Mobil-Portal http://m.tu-chemnitz.de ein sicheres WLAN- und E-Mail-Profil laden.

Und noch eine Lehre: Beim Einführen neuer Dienste muss man unbedingt darauf achten, dass ausschließlich sichere Protokolle zum Einsatz kommen, sobald schützenswerte Daten übertragen werden. Ein nachträgliches Ändern ist für Benutzer und Administratoren gleichermaßen aufwändig.

Autor: Frank Richter

Kurzinformationen

Compute- und Referenz-Server für SL 6

Mit der Einführung von Scientific Linux 6 stellt das URZ zwei Referenz-Server zur allgemeinen Nutzung bereit:

• Hostname gog (X86 )
• Hostname magog (x86_64)

• Hostname lilith (X86)
• Hostname lamia (x86_64)

weitere Informationen: www.tu-chemnitz.de/urz/server

Ansprechpartner: Matthias Clauß

Windows Server 2008 R2 im Pilotbetrieb

Das URZ bereitet den produktiven Einsatz des aktuellen Windows-Server-Betriebssystems als VPS vor. Bis Ende Mai 2011 kann dieses System im Rahmen eines Pilotbetriebs ohne zusätzliche Kosten getestet werden. Eine entsprechender VPS kann für "Windows Server 2008 R2 Standard (64-bit, deutsch)" ab sofort beantragt werden.

Informationen: Service Level Agreement Windows VPS
Beantragung: VPSH-Spezifikation und Auftrag

Ansprechpartner: Christoph Ziegler, Jens Wegener

Portal zur Beschaffung von Standard-PC-Technik

Im April 2011 wird ein neues Release dieses Web-Portals (s. Kanzlerrundschreiben 45/2004) auf einem neuen, speziell dafür eingerichteten virtuellen Server bereitgestellt. Hauptgrund ist die Entflechtung dieser Software von der zentralen Nutzer- und Dienste-Verwaltung des URZ sowie von anderen URZ-Geschäftsabläufen.
An der Funktionalität der verschiedenen Portal-Komponenten erfolgte keine wesentliche Änderung.

weitere Informationen: https://it-beschaffung.tu-chemnitz.de

Ansprechpartner: Dietmar Grunewald

Renovierung Computerpools

Die Poolräume 1/066, 2/B302 und 2/B404 stehen wieder zur Verfügung. Durch die umfangreiche Renovierung und dem Einbau von Klimatechnik können wir unseren Nutzern deutlich verbesserte Arbeitsbedingungen bieten.

weitere Informationen: www.tu-chemnitz.de/urz/pools

Ansprechpartner: Dispatcher

Azubis im URZ

Das URZ unterstützt seit Herbst 2010 die Lehrausbildung an der TU Chemnitz für den Ausbildungsberuf Fachinformatiker/in-Systemintegration. Auszubildende dieser Fachrichtung absolvieren im 2. oder 3. Lehrjahr ein Praktikum von ca. 8 Wochen im URZ. Der Einsatz erfolgt überwiegend im Nutzerservice. Die Lehrlinge arbeiten in dieser Zeit u.a. aktiv an der Betreuung der Computerpools mit. Die Nutzerberatung vor Ort, am Telefon und über das Helpdesksystem ist ebenfalls Bestandteil der Ausbildung. Sie lernen Vorgänge wie die Ausgabe und Verlängerung von Loginkennzeichen, Bearbeitung von Anträgen für Software und Handbücher, Organisation von Weiterbildungsveranstaltungen, Bearbeitung von Praktikaanträgen für die Computerpools u.v.m. kennen. Die Erstellung von Nutzerinformationen, Plakaten und Flyer übernehmen die Auszubildenden unter Anleitung weitestgehend selbstständig. Die bisherigen Erfahrungen dieser Praktika haben gezeigt, dass die Praktikanten bei uns sehr viele neue Arbeitsvorgänge kennenlernen und sich aktiv, auch durch neue Ideen, in deren Bearbeitung einbringen. Damit profitieren sowohl die Auszubildenden, als auch das URZ von diesem Einsatz.

Ansprechpartner: Dispatcher

Facettierung im WebOPAC der UB

Die UB und das URZ, als deren IT-Dienstleister, haben im "WebOPAC" der Uni-Bibliothek eine neue Funktionalität erschlossen: die Facettierung nach den Kriterien Autor, Jahr, Schlagwort, Medientyp, Literaturabteilung, Sprache und Standort.
Neben der Treffertabelle einer Suchanfrage taucht dazu die Spalte "Suchergebnisse einschränken" auf. Über diese kann man die Ergebnismenge durch entsprechende Filter sehr bequem schrittweise reduzieren und somit verfeinern.

weitere Informationen: opac.bibliothek.tu-chemnitz.de

Ansprechpartner: Holger Trapp

Software-News

Neue Handbücher im Angebot

• MS Powerpoint 2010, Fortgeschrittene Techniken
• MS Office 2010 im Büroalltag

weitere Informationen: www.tu-chemnitz.de/urz/hb

Ansprechpartner: Dr. Wolfgang Riedel

Infos, Termine, Impressum

Nutzerservice des Universitätsrechenzentrums

Straße der Nationen 62, Raum 072 (Eingang am Hbf.), Tel. 0371/531-13471/13470
Reichenhainer Straße 70, Raum B405 (Rühlmannbau), Tel. 0371/531-13472/13470
Öffnungszeiten: Mo-Fr 8:45 - 11:30 Uhr, Mo, Di, Do, Fr 12:45 - 18:00 Uhr
Helpdesk: support@hrz.tu-chemnitz.de

FESTKOLLOQUIUM

Impressum