Kapitel 5 Desktop-Komponenten - Linux

Für den Zugriff auf die Konfigurationsdaten über Configuration Manager benötigen Desktop-Clients Sun Java^TM Desktop System Configuration Agent. Configuration Agent kommuniziert mit der entfernten Konfigurationsdatensammlung und den Adaptern und fügt Daten in spezifische Konfigurationssysteme ein. Derzeit werden die Konfigurationssysteme GConf, Mozilla-Einstellungen und StarOffice Registry unterstützt.

All diese Komponenten werden mit Java Desktop System geliefert und installiert.

Zugriff auf Daten/Benutzerauthentifizierung

Configuration Agent ruft in Abhängigkeit von der Anmelde-ID des jeweiligen Desktop-Benutzers Informationen vom LDAP-Server ab. Durch die User/UniqueIdAttribute-Einstellung der organisatorischen Zuordnungsdatei wird die Anmelde-ID einer Benutzerentität auf dem LDAP-Server zugeordnet. Außerdem ruft Configuration Agent Informationen über den Rechner ab, wie zum Beispiel dessen Namen oder IP-Adresse. Diese Informationen werden durch die Host/UniqueIdAttribute-Einstellung der organisatorischen Zuordnungsdatei einer Rechnerentität auf dem LDAP-Server zugeordnet.

Es kann anonym oder mit der GSSAPI-Methode auf den LDAP-Server zugegriffen werden. Der anonyme Zugriff erfordert keinen Eingriff seitens des Desktops. Für die GSSAPI-Methode müssen auf dem Desktop Kerberos-Berechtigungsnachweise erworben werden. Damit der Kerberos-Berechtigungsnachweiserwerb in die Benutzeranmeldung integriert werden kann, muss das Modul pam_krb5() auf dem Java Desktop System-Rechner installiert und konfiguriert sein. Im Verzeichnis /usr/share/doc/packages/pam_krb5/README.SuSE auf der Java Desktop System-CD finden Sie Beispielkonfigurationen für das pam()-Modul. Auch mithilfe von gdm lässt sich Kerberos in die Benutzeranmeldung integrieren. Verwenden Sie hierzu beispielsweise die folgende Datei /etc/pam.d/gdm:

#%PAM-1.0
auth   required    pam_unix2.so  nullok #set_secrpc
auth   optional  pam_krb5.so use_first_pass missing_keytab_ok ccache=
SAFE putenv_direct
account required    pam_unix2.so 
password required    pam_unix2.so  #strict=false
session required    pam_unix2.so  # trace or none
session required    pam_devperm.so 
session optional    pam_console.so 

Configuration Agent

Configuration Agent ist Bestandteil des apoc-Packages. Wenn Sie die entsprechende RPM-Build installieren, werden die für diese API benötigten Datein mit inetd installiert und registriert. Sie können den RPM-Build entweder manuell oder gemeinsam mit Java Desktop System installieren.

Startinformationen

Für den Zugriff auf die entfernten Konfigurationsdaten benötigt Configuration Agent die Adresse des LDAP-Servers. Diese Adresse können Sie mit dem Konfigurationstool YaST2, mit autoYaST oder manuell hinzufügen, indem Sie die Eigenschaftendatei policymgr.properties im Verzeichnis /opt/apoc/lib bearbeiten. In YaST2 fügen Sie diese Angaben im Bereich Netzwerk/Erweitert ein.

Abbildung 5–1 Java Desktop System Configuration Agent in YaST

Für die Ausführung von Configuration Agent werden die folgenden Informationen benötigt:

Sofern zutreffend, sind die Schlüssel der entsprechenden Eigenschaftendatei in Klammern angegeben.

• Rechnername (Server): Rechnername des LDAP-Servers.

• Port (Port): Port-Nummer des LDAP-Servers.

• Benutzername für den Zugriff auf die Metakonfiguration (AuthDn): vollständiger DN eines Benutzers mit Lese- und Suchberechtigung für die Datensammlung.

  ---

  Hinweis –

  Wurde für das Verzeichnis der anonyme Zugriff aktiviert, kann diese Einstellung leer bleiben.

  ---

• Passwort für den Zugriff auf die Metakonfigurator (Passwort): Passwort eines registrierten LDAP-Benutzers.

  ---

  Hinweis –

  Wurde für das Verzeichnis der anonyme Zugriff aktiviert, kann diese Einstellung leer bleiben.

  ---

• Authentifizierungsmethode für den Zugriff auf die Richtliniendaten (AuthType): Anonym oder GSSAPI, je nach der Methode zur Benutzerauthentifizierung auf dem LDAP-Server

• Root-Ort (BaseDn): Base-DN der LDAP-Datensammlung

• Rechner-Bezeichner (HostIdentifier): HostName oder IP-Adresse. Diese Angabe muss mit dem Inhalt des LDAP-Attributs übereinstimmen, das zur Identifikation von Rechnern eingesetzt wird. Dieses Attribut ist in den Zuordnungsdateien als Host/UniqueIDAttribute definiert.

• Zeitüberschreitung für Verbindungen (Connect Timeout): Dauer in Sekunden, nach deren Ablauf der Versuch, eine Verbindung zum LDAP-Server herzustellen, abgebrochen wird. Der Standardwert ist 1 Sekunde.

Nach jeder Änderung dieser Einstellungen muss Configuration Agent neu gestartet werden.

Um Configuration Agent auf dem Desktop neu zu starten, vergewissern Sie sich, dass keine der dazugehörigen Client-Anwendungen ausgeführt wird. Melden Sie sich als Root an, und geben Sie den Befehl /opt/apoc/bin/apocd restart ein.

Betriebseinstellungen

Die Betriebseinstellungen für Configuration Agent lassen sich sowohl lokal als auch entfernt konfigurieren. Für eine lokale Konfiguration bearbeiten Sie die Datei apocd.properties im Verzeichnis /opt/apoc/lib. Um die Einstellungen entfernt zu konfigurieren, greifen Sie auf die Configuration Agent-Richtlinie in Configuration Manager zurück. In der Eigenschaftendatei können die folgenden Einstellungen konfiguriert werden:

• DaemonPort: Port, den Configuration Agent auf Anfragen der dazugehörigen Clients auf dem Desktop abhört

• MaxClientThreads: Höchstanzahl für Client-Threads, die gleichzeitig abgearbeitet werden können

• MaxClientConnections: Höchstanzahl für Client-Verbindungen

• MaxRequestSize: maximale Größe für Client-Anforderungen

• DaemonChangeDetectionInterval: Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an dieser Liste von Konfigurationseinstellungen

• ChangeDetectionInterval: Intervall in Minuten zwischen Zyklen zur Erkennung von Änderungen an Client-Konfigurationsdaten

• GarbageCollectionInterval: Intervall in Minuten zwischen Zyklen zur Bereinigung (garbage collection) der lokalen Konfigurationsdatenbank

• TimeToLive: Aufbewahrungsdauer in Minuten für Nicht-Offline-Konfigurationsdaten in der lokalen Datenbank

• LogLevel: Genauigkeit der Agent-Protokolldateien

Die Einstellung DaemonPort kann ausschließlich lokal geändert werden und wird erst nach einem Agent-Neustart wirksam. Alle übrigen Einstellungen werden mit dem nächsten Zyklus zur Erkennung von Änderungen an der Agent-Konfiguration wirksam. Bei der mit LogLevel festgelegten Genauigkeit muss es sich um einen der Java Logger-Levelwerte handeln. Diese lauten, nach abnehmender Wichtigkeit geordnet: ERNST, WARNUNG, INFO,KONFIGURATION, DETAILS, MEHR DETAILS und MAX. DETAILS.

Weitergabe von Konfigurationsdatenänderungen

Mit der unter Betriebseinstellungen beschriebenen Einstellung ChangeDetectionInterval lässt sich die Weitergabe von entfernten Konfigurationsdatenänderungen an clientseitige Anwendungen einstellen. Der Wert, den Sie für diese Einstellung festlegen, bestimmt, wie viele Minuten maximal verstreichen, bevor entfernt vorgenommene Änderungen auf die Client-Anwendungen übertragen werden. Je niedriger der Wert von ChangeDetectionInterval ist, desto höher fällt die Configuration Agent- und LDAP-Server-Aktivität aus. Bedenken Sie dies bitte, wenn Sie einen Wert für diese Einstellung wählen. Geschickt wäre es zum Beispiel, den Wert für die anfängliche Bereitstellungsphase auf eine Minute einzustellen, damit sich die Auswirkung der entfernten Konfiguration auf die Client-Anwendungen leicht testen lässt, und die Einstellung nach Abschluss dieser Tests auf den Ausgangswert zurückzusetzen.

Port-Informationen für Configuration Agent

Configuration Agent verwendet zwei Ports:

• Daemon-Port (Standardeinstellung ist 38900), über den der Daemon mit den Client-Anwendungen kommuniziert.

• Daemon-Administrationsport (Standardeinstellung ist 38901), über den das Daemon-Controllerprogramm apocdct1 mit dem Daemon kommuniziert.

Ändern des Daemon-Ports:

Wenn Sie einen anderen Daemon-Port angeben möchten, müssen Sie die Eigenschaft DaemonPort in der Datei apocd.properties für den Daemon sowie die apocd-Einträge in /etc/services und /etc/inetd.conf ändern. Anschließend müssen Sie den Daemon neu starten und inetd neu laden.

Ändern des Daemon-Administrationsports:

Wenn Sie einen anderen Daemon-Administrationsport angeben möchten, müssen Sie die Eigenschaft DaemonAdminPort in der Datei apocd.properties für den Daemon ändern. Starten Sie den Daemon anschließend neu.

GConf-Adapter

Der GConf-Adapter ist Bestandteil des Packages apoc-adapter-gconf. Wenn Sie den Adapter aus dem entsprechenden RPM-Build installieren, wird der Pfad der GConf-Datenquellen in /etc/gconf/2/path aktualisiert, d. h., die Configuration Manager-Quellen werden aufgenommen. Unter /etc/gconf/2/path.apocBackup wird eine Sicherungskopie des alten Pfads abgelegt. Bezieht sich der alte Pfad auf benutzerdefinierte Datenquellen, müssen Sie den Pfad aktualisieren, indem Sie die Abweichungen vom Standardpfad in den neu installierten Manager-Pfad übertragen. Der Adapter stellt die folgenden beiden Datenquellen zur Verfügung:

• "apoc:readonly:": ermöglicht den Zugriff auf ungeschützte Einstellungen über die Richtlinien. Fügen Sie diese Datenquelle nach den Benutzereinstellungen und vor den lokalen Standardwerten ein.

• "apoc:readonly:mandatory@": ermöglicht den Zugriff auf geschützte Einstellungen über die Richtlinien. Fügen Sie diese Datenquelle nach den obligatorischen lokalen Einstellungen und vor den Benutzereinstellungen ein.

Mozilla-Adapter

Der Mozilla-Adapter ist Bestandteil des Packages mozilla-apoc-integration. Wenn Sie den Adapter aus der entsprechenden RPM-Build installieren, werden die erforderlichen Dateien einer vorhandenen Mozilla-Installation hinzugefügt und automatisch registriert.

StarOffice-Adapter

Der StarOffice-Adapter ist in Standardinstallationen von StarOffice enthalten und ermöglicht den Zugriff auf Richtlinienkonfigurationsdaten, ohne dass Sie spezielle Änderungen vornehmen müssen.