Kapitel 5 Installation von Desktop-Komponenten unter Linux und Solaris^TM

Dieses Kapitel enthält spezielle Informationen für die Betriebssysteme Linux und Solaris.

Für den Zugriff auf die Konfigurationsdaten über Configuration Manager benötigen Desktop-Clients Java^TM Desktop System Configuration Agent. Configuration Agent kommuniziert mit der entfernten Konfigurationsdatensammlung und den Adaptern und fügt Daten in spezifische Konfigurationssysteme ein. Derzeit werden die Konfigurationssysteme GConf, Java-Einstellungen, Mozilla-Einstellungen und StarOffice Registry unterstützt.

Configuration Agent

Configuration Agent ist Bestandteil verschiedener Packages, die in folgender Tabelle aufgeführt sind:

Mit der Installation dieser Packages werden die für diese API erforderlichen Dateien installiert. Sie können die Packages entweder manuell oder gemeinsam mit Java Desktop System installieren. Nach der Installation müssen Sie Configuration Agent auf Ihrem System konfigurieren und aktivieren.

Für den Zugriff auf die entfernten Konfigurationsdaten benötigt Configuration Agent einige Bootstrap-Informationen wie den Rechnernamen und den Port des LDAP-Servers. Diese Informationen werden in einem Satz Eigenschaftendateien wie policymgr.properties, apocd.properties und os.properties geführt. Diese Dateien sind lokal im Verzeichnis /etc/apoc gespeichert. Die Eigenschaftendateien lassen sich sowohl manuell als auch mithilfe des Konfigurationsassistenten für Configuration Agent bearbeiten.

Der Konfigurationsassistent bietet eine grafische Benutzeroberfläche, die Sie durch die für Configuration Agent erforderlichen Einstellungen leitet. Für jede Seite im Assistenten steht Ihnen ein Hilfefenster zur Verfügung. Sie können den Assistenten mit dem Skript /usr/bin/apoc-config als Superuser (root) starten. Außerdem steht unter Einstellungen/ Systemtools/Netzwerkeinstellungen oder unter Systemeinstellungen:///Netzwerkeinstellungen im Nautilus-Dateimanager ein entsprechender Desktop-Menüeintrag zur Verfügung.

Der Assistent kann auch ohne die grafische Benutzeroberläche gestartet werden. Führen Sie beispielsweise /usr/bin/apoc-config -nodisplay aus, um den Assistenten im Konsolenmodus zu starten.

Startinformationen

Abbildung 5–1 Configuration Agent, Konfigurationsdatensammlung

Sofern zutreffend, sind die Schlüssel der entsprechenden Eigenschaftendatei in Klammern angegeben.

• Server-Kennung (Server): Rechnername des LDAP-Servers.

• Server-Port (Port): Port-Nummer des LDAP-Servers.

• Suffix (BaseDn): Base-DN der LDAP-Datensammlung

• Status: Status von Configuration Agent. Das Kontrollkästchen dient zum Aktivieren bzw. Deaktivieren von Configuration Agent. Auf die Konfigurationsdatensammlung kann nur zugegriffen werden, wenn Configuration Agent aktiviert ist. Zum Aktivieren gehört automatisch auch die Registrierung bei inetd.

  ---

  Hinweis –

  Um Configuration Agent manuell zu aktivieren oder zu deaktivieren, melden Sie sich als root an, und geben Sie den Befehl /usr/lib/apocd enable bzw. /usr/lib/apocd disable ein.

  ---

Abbildung 5–2 Configuration Agent, Authentifizierungsmechanismus

• Rechner-Bezeichner (HostIdentifier): Entweder "HostName" oder "IPAddress". Diese Angabe muss mit dem Inhalt des LDAP-Attributs übereinstimmen, das zur Identifikation von Rechnern eingesetzt wird. Dieses Attribut ist in den Zuordnungsdateien als Host/UniqueIDAttribute definiert.

• Authentifizierungsart für Configuration Agent: Entweder "Anonym" oder "Einfach". Bei Auswahl von "Anonym" werden die Felder Qualifizierter Benutzername und Passwort automatisch deaktiviert.

• Qualifizierter Benutzername (AuthDn): vollständiger DN eines Benutzers mit Lese- und Suchberechtigung für die Datensammlung.

• Passwort (Passwort): Passwort eines registrierten LDAP-Benutzers

  ---

  Hinweis –

  Wenn für das Verzeichnis der anonyme Zugriff aktiviert ist, können die Einstellungen Qualifizierter Benutzername und Passwort leer bleiben.

  ---

• Authentifizierungsart für Anwendungen (AuthType): Entweder “Anonym” oder “GSSAPI”, je nach der Methode zur Benutzerauthentifizierung auf dem LDAP-Server.

  ---

  Hinweis –

  Weitere Informationen finden Sie im Abschnitt Zugriff auf Daten/Benutzerauthentifizierung.

  ---

Port-Einstellungen

Configuration Agent verwendet zwei Ports:

• Agent-Port (DaemonPort): Port, den der Agent für die Kommunikation mit Client-Anwendungen nutzt (Standardeinstellung ist 38900).

• Administrations-Port (DaemonAdminPort): Port, über den das Agent-Controller-Programm apocd mit dem Agent kommuniziert (Standardeinstellung ist 38901).

Abbildung 5–3 Configuration Agent, Port-Einstellungen

Intervall zur Erkennung von Änderungen

Configuration Agent prüft die Konfigurationsdaten regelmäßig auf Änderungen. Hierbei gelten die folgenden Intervalle:

• Allgemeines Erkennungsintervall (ChangeDetectionInterval): Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an Konfigurationsdaten der Desktop-Anwendung (des Clients).

  ---

  Hinweis –

  Durch Angabe von -1 wird die Änderungserkennung deaktiviert.

  ---

• Intervall für Agent-Einstellungen (DaemonChangeDetectionInterval): Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an Agent-spezifischen Konfigurationseinstellungen.

  ---

  Hinweis –

  Durch Angabe von -1 wird die Änderungserkennung deaktiviert.

  ---

Mit dem allgemeinen Erkennungsintervall lässt sich die Weitergabe von entfernten Konfigurationsdatenänderungen an clientseitige Anwendungen einstellen. Der für diese Einstellung festgelegte Wert bestimmt, wie viele Minuten maximal verstreichen, bevor entfernt vorgenommene Änderungen auf die Client-Anwendungen übertragen werden.

Je niedriger der Wert, desto höher die Configuration Agent- und LDAP-Server-Aktivität. Bedenken Sie dies bitte, wenn Sie einen Wert für diese Einstellungen wählen. Geschickt wäre es zum Beispiel, den Wert für die anfängliche Bereitstellungsphase auf eine Minute einzustellen, damit sich die Auswirkung der entfernten Konfiguration auf die Client-Anwendungen leicht testen lässt, und die Einstellung nach Abschluss dieser Tests auf den Ausgangswert zurückzusetzen.

Betriebseinstellungen

Abbildung 5–4 Configuration Agent, Datenverzeichnis

Die folgenden Einstellungen können konfiguriert werden:

• Datenverzeichnis (DataDir): Verzeichnis, in dem Laufzeitdaten abgelegt werden. Das Standardverzeichnis ist /var/opt/apoc.

• Aufbewahrungsdauer für zwischengespeicherte Daten (TimeToLive): Aufbewahrungsdauer in Minuten für Nicht-Offline-Konfigurationsdaten in der lokalen Datenbank

Abbildung 5–5 Configuration Agent, Anforderungsbehandlung und Protokollierung

• Zyklus zur Cache-Bereinigung (GarbageCollectionInterval): Intervall in Minuten zwischen Zyklen zur Bereinigung (garbage collection) der lokalen Konfigurationsdatenbank

• Max. Client-Threads (MaxClientThreads): Höchstanzahl für Client-Anforderungen, die gleichzeitig abgearbeitet werden können.

• Max. Client-Verbindungen (MaxClientConnections): Höchstanzahl für Client-Verbindungen

• Max. Anforderungsgröße (MaxRequestSize): maximale Größe für Client-Anforderungen

• Zeitüberschreitung für Verbindungen (ConnectTimeout): zulässige Verzögerung der Reaktion des LDAP-Servers auf Verbindungsanforderungen. Das Standardintervall beträgt eine Sekunde.

• Protokollgenauigkeit (LogLevel): Genauigkeit der Agent-Protokolldateien. Die Stufen der Protokollgenauigkeit stimmen mit den Java Logger-Levels überein. Diese lauten, nach abnehmender Wichtigkeit geordnet:

  • ERNST

  • WARNUNG

  • INFO

  • KONFIGURATION

  • DETAILS

  • MEHR DETAILS

  • MAX. DETAILS

Die meisten Betriebseinstellungen außer Datenverzeichnis und Zeitüberschreitung für Verbindungen lassen sich auch zentral mithilfe entsprechender auf dem LDAP-Server gespeicherter Richtlinien verwalten. Wenn Sie dieses Leistungsmerkmal verwenden möchten, passen Sie diese Einstellungen nicht über den Assistenten an, sondern geben Sie die Betriebseinstellungen zentral mit den Configuration Agent-Richtlinien in Configuration Manager an.

Anwenden der Agent-Einstellungen

Betriebseinstellungen außer "Datenverzeichnis" und "Zeitüberschreitung für Verbindungen", die mithilfe von Configuration Manager auf dem LDAP-Server gespeichert wurden, werden beim nächsten Erkennungsintervall für Änderungen an der Agent-Configuration (siehe DaemonChangeDetectionInterval) automatisch wirksam.

Abbildung 5–6 Configuration Agent, Zusammenfassung

Für alle anderen lokal geänderten Einstellungen muss Configuration Agent neu geladen oder gestartet werden. Bei Verwendung des Konfigurationsassistenten erfolgt das erneute Laden oder der Neustart automatisch.

Um Configuration Agent manuell neu zu starten, vergewissern Sie sich, dass keine der dazugehörigen Client-Anwendungen ausgeführt wird. Melden Sie sich als Root an, und geben Sie den Befehl /usr/lib/apoc/apocd restart ein.

Zugriff auf Daten/Benutzerauthentifizierung

Configuration Agent ruft in Abhängigkeit von der Anmelde-ID des jeweiligen Desktop-Benutzers Informationen vom LDAP-Server ab. Durch die User/UniqueIdAttribute-Einstellung der organisatorischen Zuordnungsdatei wird die Anmelde-ID einer Benutzerentität auf dem LDAP-Server zugeordnet. Außerdem ruft Configuration Agent Informationen über den Rechner ab, wie zum Beispiel dessen Namen oder IP-Adresse. Diese Informationen werden durch die Host/UniqueIdAttribute-Einstellung der organisatorischen Zuordnungsdatei einer Rechnerentität auf dem LDAP-Server zugeordnet.

Es kann anonym oder mit der GSSAPI-Methode auf den LDAP-Server zugegriffen werden. Der anonyme Zugriff erfordert keinen Eingriff seitens des Desktops. Für die GSSAPI-Methode müssen auf dem Desktop Kerberos-Berechtigungsnachweise erworben werden. Damit der Kerberos-Berechtigungsnachweiserwerb in die Benutzeranmeldung integriert werden kann, muss das Modul pam_krb5 auf dem Java Desktop System-Rechner installiert und konfiguriert sein.

Mithilfe von gdm lässt sich Kerberos in die Benutzeranmeldung integrieren. Verwenden Sie hierzu beispielsweise die folgende Datei /etc/pam.d/gdm:

#%PAM-1.0
auth   required    pam_unix2.so  nullok #set_secrpc
auth   optional  pam_krb5.so use_first_pass missing_keytab_ok ccache=
SAFE putenv_direct
account required    pam_unix2.so 
password required    pam_unix2.so  #strict=false
session required    pam_unix2.so  # trace or none
session required    pam_devperm.so 
session optional    pam_console.so 

Wenn Sie Kerberos auf diese Weise in die Benutzeranmeldung einbinden, sollten Sie die Kerberos-Unterstützung im Bildschirmschoner aktivieren. Verwenden Sie hierzu beispielsweise die folgende /etc/pam.d/xscreensaver-Datei:

auth required pamkrb5.so use_first_pass missing_keytab_ok 
ccache=SAFE putenv_direct

GConf-Adapter

Der GConf-Adapter ist Bestandteil des SUNWapoc-adapter-gconf-Packages für Solaris und des apoc-adapter-gconf-RPMs für Linux. Bei der Installation des Adapters aus dem entsprechenden Package bzw. RPM wird der GConf-Datenquellenpfad in /etc/gconf/2/path aktualisiert, d. h. die Configuration Manager-Quellen werden hinzugefügt. Der Adapter stellt die folgenden beiden Datenquellen zur Verfügung:

• "apoc:readonly:": ermöglicht den Zugriff auf ungeschützte Einstellungen über die Richtlinien. Fügen Sie diese Datenquelle nach den Benutzereinstellungen und vor den lokalen Standardwerten ein.

• "apoc:readonly:mandatory@": ermöglicht den Zugriff auf geschützte Einstellungen über die Richtlinien. Fügen Sie diese Datenquelle nach den obligatorischen lokalen Einstellungen und vor den Benutzereinstellungen ein.

Java-Einstellungen-Adapter

Der Java-Einstellungen-Adapter ist Bestandteil des Packages SUNWapcj für Solaris und des RPMs apoc-adapter-java für Linux. Wenn Sie den Adapter aus dem entsprechenden Package bzw. RPM installieren, werden die erforderlichen Dateien in das Verzeichnis /opt/SUNWapcj unter Solaris bzw. /opt/apocjava unter Linux eingefügt.

Mozilla-Adapter

Der Mozilla-Adapter ist Bestandteil des Packages SUNWmozapoc-adapter für Solaris und des RPMs mozilla-apoc-integration für Linux. Wenn Sie den Adapter aus dem entsprechenden Package bzw. RPM installieren, werden die erforderlichen Dateien einer vorhandenen Mozilla-Installation hinzugefügt und automatisch registriert.

StarOffice-Adapter

Der StarOffice-Adapter ist in Standardinstallationen von StarOffice enthalten und ermöglicht den Zugriff auf Richtlinienkonfigurationsdaten, ohne dass Sie spezielle Änderungen vornehmen müssen.