Ruhiges IT-Forum

Guten Morgen,

Ich melde mich sehr spät zurück, aber die Dinge entwickeln sich hier in ihrem eigenen Tempo.

Dank Ihrer hilfreichen Tipps konnte ich meine Tests in VirtualBox problemlos durchführen und meinen Vorgesetzten eine Präsentation/Demo geben. Sie waren von dem Tool angetan und genehmigten die Einrichtung eines Testlaufs vor einem möglichen Einsatz in der Praxis.
Anschließend haben wir einen Test unter Einrichtungsbedingungen durchgeführt, und er funktioniert einwandfrei unter den oben in früheren Beiträgen genannten Bedingungen (zentraler Server, der als zentrales Repository dient, lokales Repository in Einrichtung für lokale Gruppen und Maschinen sowie sekundäres Repository, das mit dem zentralen synchronisiert ist, Clients, die für diese beiden Repositories konfiguriert sind).

Ich bin zuversichtlich, dass ich Produktschulungen für meine Kollegen und mich organisieren und sogar einen Systemimplementierungsservice einrichten kann, einschließlich der Migration von SE3 zu Samba4. Das ist jedoch ein anderes Thema, und zuvor muss ich noch einige zusätzliche Informationen bereitstellen.

Daher habe ich nach diesen Praxistests und Anfragen meiner Vorgesetzten einige Fragen zum vorgesehenen Verwendungszweck:

• Gibt es eine Möglichkeit, Zertifikate in großen Mengen zu erstellen (z . B. über die Kommandozeile vom Server aus), sodass sie im Voraus für alle Standorte generiert werden können und die lokalen Server/Konsolen/Clients diese Zertifikate verwenden sollen, anstatt bei der lokalen Konsoleninstallation ein Zertifikat neu generieren zu müssen? Ich denke schon, aber ich würde Sie gerne nach dem Befehl oder einigen Hinweisen fragen. – Eine weitere sehr wichtige Frage für uns: Gibt es auf den lokalen Servern der Institutionen eine Möglichkeit, die Funktionen „Aus dem Internet importieren“ und „Aus Datei importieren“ zu unterbinden , um sicherzustellen, dass autorisierte Konsolenbenutzer keine nicht autorisierten Pakete aus dem Internet beziehen können? Ich sehe zwar die Möglichkeit, nur unser Repository durch eine Firewall zuzulassen, aber ich würde es vorziehen, wenn diese Funktion nicht nutzbar wäre. – Zur Bestätigung: Der Unterschied zwischen der Verwendung des zentralen sekundären Repositorys und dem manuellen Import über die Konsole besteht darin: Im ersten Fall wird ein Paketupdate automatisch und ohne menschliches Eingreifen in den Einrichtungen bereitgestellt, sobald die Synchronisierung (rsync) zwischen dem zentralen und dem sekundären Repository abgeschlossen ist. Im zweiten Fall, in dem das aktualisierte Paket manuell in eine lokale Konsole importiert wird, wird es nicht aktualisiert, da es als neues Paket mit der lokalen Signatur betrachtet wird. Stimmt das? – Zur Bestätigung: Ein verlorenes Zertifikat ist unwiederbringlich verloren. Muss in diesem Fall ein neues Zertifikat generiert und alle Pakete neu importiert werden, damit sie die neue Signatur übernehmen? (Das erscheint mir selbstverständlich, aber ich hätte gerne eine Bestätigung.)
  
  
  

Vielen Dank für Ihre unschätzbare Hilfe in der Vergangenheit und auch in Zukunft.
@micalement,

Benjamin

Benjamin schrieb:Guten Morgen,

Ich melde mich sehr spät zurück, aber die Dinge entwickeln sich hier in ihrem eigenen Tempo.

Dank Ihrer hilfreichen Tipps konnte ich meine Tests in VirtualBox problemlos durchführen und meinen Vorgesetzten eine Präsentation/Demo geben. Sie waren von dem Tool angetan und genehmigten die Einrichtung eines Testlaufs vor einem möglichen Einsatz in der Praxis.
Anschließend haben wir einen Test unter Einrichtungsbedingungen durchgeführt, und er funktioniert einwandfrei unter den oben in früheren Beiträgen genannten Bedingungen (zentraler Server, der als zentrales Repository dient, lokales Repository in Einrichtung für lokale Gruppen und Maschinen sowie sekundäres Repository, das mit dem zentralen synchronisiert ist, Clients, die für diese beiden Repositories konfiguriert sind).

Ich bin zuversichtlich, dass ich Produktschulungen für meine Kollegen und mich organisieren und sogar einen Systemimplementierungsservice einrichten kann, einschließlich der Migration von SE3 zu Samba4. Das ist jedoch ein anderes Thema, und zuvor muss ich noch einige zusätzliche Informationen bereitstellen.

Daher habe ich nach diesen Praxistests und Anfragen meiner Vorgesetzten einige Fragen zum vorgesehenen Verwendungszweck:

• Gibt es eine Möglichkeit, Zertifikate in großen Mengen zu erstellen (z. B. über die Kommandozeile vom Server aus), sodass sie im Voraus für alle Standorte generiert werden können und die lokalen Server/Konsolen/Clients diese Zertifikate verwenden sollen, anstatt bei der lokalen Konsoleninstallation ein Zertifikat neu generieren zu müssen? Ich denke schon, aber ich würde Sie gerne nach dem Befehl oder einigen Hinweisen fragen.

Wir verwenden OpenSSL, also ja!

Benjam schrieb: – Eine weitere sehr wichtige Frage in unserem Fall: Gibt es eine Möglichkeit, auf den lokalen Servern der Institutionen die Nutzung der Funktionen „Aus dem Internet importieren“ und „Aus Datei importieren“ zu unterbinden , um sicherzustellen, dass autorisierte Konsolenbenutzer keine unautorisierten Pakete über das Internet beziehen können? Ich sehe zwar, wie man unser Repository nur über eine Firewall zulässt, würde es aber vorziehen, wenn diese Funktion gar nicht nutzbar wäre.

Tja, da wird es kompliziert, denn meines Wissens ist das nicht standardisiert.
Ich bin erst seit Kurzem bei tranquil.it und weiß, dass der Fall, den Sie aufsetzen möchten, in Arbeit ist. Ich denke, wir könnten Ihnen da etwas anbieten.

Ich schlage vor, dass Sie sich an Vincent Cardon von tranquil.it wenden; er wird Ihre Frage beantworten können.

Benjam schrieb: – Zur Bestätigung: Der Unterschied zwischen der Verwendung des zentralen sekundären Repositorys und dem manuellen Import über die Konsole besteht darin: Im ersten Fall wird ein Paketupdate automatisch in den Einrichtungen bereitgestellt, sobald die Synchronisierung (rsync) zwischen dem zentralen und dem sekundären Repository abgeschlossen ist. Im zweiten Fall hingegen, wenn das aktualisierte Paket manuell in eine lokale Konsole importiert wird, wird es nicht aktualisiert, da es als neues Paket mit einer lokalen Signatur betrachtet wird. Stimmt das?

Das war's!

Benjam schrieb: – Zur Bestätigung: Ein verlorenes Zertifikat ist endgültig unwiederbringlich verloren. Muss in diesem Fall ein neues Zertifikat generiert und alle Pakete neu importiert werden, damit sie die neue Signatur übernehmen? (Mir erscheint das selbstverständlich, aber ich hätte gerne eine Bestätigung.)

Ja, genau das ist es!

Benjam schrieb: Vielen Dank für Ihre unschätzbare Hilfe in der Vergangenheit und auch in Zukunft.
Mit freundlichen Grüßen,

Benjam

Hallo und vielen Dank für Ihre Antworten, die meine Vermutung bestätigen.

Bezüglich OpenSSL werde ich mir die Massengenerierung aller Zertifikate und die notwendigen Schritte (vermutlich das Kopieren in private und SSL-Konten und insbesondere die Automatisierung der Client-Bereitstellung mit diesem Zertifikat) auf den Remote-Konsolen genauer ansehen, damit diese es nutzen können.
Wir führen es in unseren Institutionen noch nicht ein, daher besteht keine Eile. Ich möchte aber vorsorglich ein kleines Skript vorbereiten.

Vielen Dank auch für die Bestätigungen.

Bezüglich der blockierten Importfunktionen aus anderen Repositories werde ich Vincent erneut kontaktieren.
Wir (meine Vorgesetzten und/oder ich) müssen ihn ohnehin bald wegen Samba4/WAPT/Paketerstellung kontaktieren, und ich werde die Gelegenheit nutzen, ihn nach einer Lösung für dieses Problem zu fragen, das ein echtes Hindernis für die Implementierung dieser Lösung für meine Vorgesetzten darstellen könnte.

Nochmals vielen Dank für Ihre Antworten.
Beste Grüße,

Benjam