[ENC]BladeXP's Blog

Nein, ich heirate nicht. Aber ich habe Squid 3 erfolgreich mit einem Active Directory verkuppelt.

Vorbereitungen

Unter Windows muss folgendes erledigt sein:

• Proxy Server muss im Microsoft DNS Dienst bekannt sein
• Proxy Server muss als "Trusted Host" im AD angelegt sein

Der Proxy Server sollte entweder eine "richtige" statische IP, oder auch eine Reservierung via DHCP haben. Auch muss die Uhrzeit mit NTP Synchron gehalten werden, den Kerberos ist sehr pingelig was das angeht!

Auf der Linux Seite benötigt man natürlich den root-Account, oder ähnliche Rechte (sudo usw...). Alle nachfolgenden Befehl müssen als root eingegeben werden!

Proxy Server

Auf dem Proxy Server selbst braucht man folgende Pakete:

• krb5-user
• squid3
• winbind

Kerberos Setup

Die Kerberos Konfigurationsdatei (/etc/krb5.conf) sollte so aussehen:

[libdefaults]
 default_realm = DOMAIN
[realms]
 DOMAIN = {
  kdc = 192.168.1.1
  admin_server = 192.168.1.1
 }
[domain_realm]
.domain = DOMAIN
[appdefaults]
pam = {
 ticket_lifetime = 1d
 renew_lifetime = 1d
 forwardable = true
 proxiable = false
 retain_after_close = false
 minimum_uid = 1
}

In meinem Fall war DOMAIN der Domänenname und 192.168.1.1 dessen IP-Adresse. Es ist natürlich wichtig das man dafür eine Funktionierende Namensauflösung hat, Optimal ist es wenn man dafür den DNS Server vom AD nimmt. Da sollte ja ohnehin alles drin sein was man braucht.

Natürlich ist für das Kerberos Setup ein Test nicht schlecht:

kinit user@DOMAIN

Man wird nun nach dem Passwort für den AD-User user gefragt. Wenn alles geklappt hat bekommt man von klist folgende Ausgabe:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@DOMAIN

Valid starting    Expires           Service principal
11/26/08 20:57:19 11/27/08 06:57:20 krbtgt/DOMAIN@DOMAIN
        renew until 11/27/08 20:57:19

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

So sieht man das man erfolgreich ein TGT (eine Art "Chef-Ticket") bekommen hat, mit diesem könnte man dann Ticket für einzelne Dienste anfordern, was uns aber jetzt nicht weiter interessiert.

Samba / Winbindd Setup

Nachdem jetzt Kerberos läuft, können wir an den nächsten Schritt gehen: Samba (genauer Winbind) will jetzt Domänenmitglied werden, und das geht mit so einer /etc/samba/smb.conf:

[global]
workgroup = DOMAIN
realm = DOMAIN
password server = HOSTNAME.DOMAIN
security = ADS
winbind refresh tickets = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind use default domain = yes

password server muss der DNS Name vom AD Server sein. Der Rest dürfte selbsterklärend sein. Nun kann man der Domäne beitreten:

net ads join -U user@DOMAIN

Dannach kann man den winbindd starten, was wie gewohnt über

/etc/init.d/winbbind start

geht. Ob dies funktioniert hat kann man mit wbinfo -t prüfen:

checking the trust secret via RPC calls succeeded

Dann kann man auch noch die Gruppen im AD anzeigen lassen, dies geht mit wbinfo -g:

gruppe1
gruppe2
gruppe3
usw...

Damit Squid (genauer ntlm_auth) auch was mit Winbind Anfangen kann muss das Verzeichnis /var/run/samba/winbindd_privileged der Gruppe windbind_priv gehören, und von dieser Lesbar sein.

Squid Setup

Jetzt kommt der letzte Schritt, und zwar die Anpassung der /etc/squid3/squid.conf, hier gehört folgendes noch mit rein:

auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=DOMAIN\\GRUPPE --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --require-membership-of=DOMAIN\\GRUPPE --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

Von dem Parameter cache_effective_user bzw. cache_effective_group sollte man die Finger lassen (die Zeile sollte also ein Kommentarzeichen am Anfang haben), da sonst ntlm_auth nicht mit den nötigen Rechten läuft.

Es ist wichtig das der User proxy auch in der Gruppe winbindd_priv ist:

sudo adduser proxy winbindd_priv

Mit diesen Einträgen erreicht man das SSO bevorzugt wird, jedoch auch noch der alte Benutzername/Passwort Dialog möglich ist. Dies ist vor allem dann sinnvoll wenn man nicht nur NTLM fähige Clients hat. Ich habe bei der Gelegenheit auch gleich eingestellt das nur Mitglieder der AD Gruppe GRUPPE das Recht haben ins Internet zu gehen, was gerade in großen Firmen gewünscht wird.

Jetzt kann man mit /etc/init.d/squid3 start den Squid Proxy starten, und kann einen Test unter Windows machen (z.b. mit dem Internet Explorer). Das der Proxy Server auch schön auf den Clients eingetragen wird, davon gehe ich jetzt einfach mal aus.

Heute bin auch ich endlich auf Gigabit Ethernet (oder LAN, wie man will) umgestiegen, was im Endeffekt nichts anders heist als das mein Netgear FS108 Fast Ethernet Switch einem Netgear GS108v2 Gigabit Ethernet Switch weichem musste. Zum neuen Switch kann ich kaum viel sagen, ist ja nur ein Unmanaged Switch. Was aber sofort auffällt ist das er wesentlich kleiner ist, und deutlich weniger LED's hat. Was ich eigentlich schade finde, den die extra Activity LED's beim FS108 werde ich wohl vermissen. Abgesehen davon ist mir nichts weiter Neagtiv aufgefallen, naja bis auf das es Netgear nicht schafft eine Bohrschablone beizulegen :-(

Von der Performance her wollte ich natürlich gleich mal wissen was mein Flepo den so aus seinen Gigabit Slots rausholt:

• FS108 » 10,82 MByte / Sekunde
• GS108 » 21,32 MByte / Sekunde

Das heist also der Flepo ist definitiv zu langsam (Das theoretische Maximum wären übrigens 125 MByte pro Sekunde Brutto) um ein Gigabit Ethernet auszulasten, was bei der lahmen CPU vom Flepo allerdings nur wenig verwunderlich ist! Auch darf man nicht vergessen das die Handelsüblichen NAS Systeme (wo Privatkunden angeboten bekommen) auch ungefähr in dieser Leistungsklasse Operieren.

Wer kennt es nicht, man kauft ein neues Board und es kann sogar RAID. Oder man hat ein ordentliches Betriebssystem, auch das kann RAID. Und dann gibt es noch so ein paar verrückte die für mehrere 100€ einen RAID-Controller verkaufen wollen! Wer denkt RAID == RAID, der irrt gewaltig.

Hardware RAID

Ein Hardware RAID ist die Königsklasse was Performance, Leistung, Features und auch Preis angeht. Hardware RAID Controller haben in der Regel einen eigenen Leistungsfähigen CPU. Diese Controller sind allerdings eher weniger was für den Heimrechner, und das nicht nur weil sie einfach zu Teuer sind: Oft fehlt dem Mainboard einfach der nötige Steckplatz (PCI-X wird man kaum in einem SOHO Rechner finden, um nur mal ein Beispiel zu nenne). Auch schafft es diese Art der RAID-Controller sogar nen Kurzschluss auf den Datenleitungen zu ertragen, ohne gleich den Geist aufzugeben.

Vorteile

• Gute Performance
• Viele Features
• Hohe Ausfallsicherheit
• Das Betriebssystem bekommt nichts vom RAID mit, sondern bekommt das fertige Array als Block Device nutzbar
• Unabhängig vom Installierten Betriebssystem, da Treiber für alle gängigen Betriebssystem vorliegen

Nachteile

• Platten nicht ohne einen Ersatzcontroller (oder zumindest einem der Kompatibel ist) nutzbar
• Teuer

Software RAID

Ein Software RAID ist das was anspruchsvollere Betriebssystem gleich mit dabei haben. Das RAID wird komplett im Hauptprozessor berechnet, d.h. man merkt es etwas an der Performance. Auch hat es nicht jedes Feature eines Hardware RAID Controllers.

Vorteile

• Benötigt keine extra Treiber für einen RAID Controller
• Verschiedene Datenträgertypen (SATA und ATA z.B.) können gemischt werden
• Unabhängig (bis auf die Platten) von einer bestimmten Hardware

Nachteile

• Langsamer als ein Hardware RAID
• Ausfallsicherheit niedriger, da in die meistens Boards bei nem Plattenfehler der den Bus zuknallt einfach dichtmachen und nichts mehr geht
• Abhängig vom Betriebssystem, ein Linux RAID wird nicht mit BSD oder gar Windows laufen

Fake RAID

Und dann gibt es noch die Sagenumwogenen Fake RAID Controller. Nur was ist ein Fake RAID eigentlich? Fangen wir mal mit den verschiedenen Namen an die sowas haben kann:

• FakeRAID
• DriverRAID
• DummyRAID

Leider muss ich euch jetzt enttäuschen, das ist kein Hardware RAID. Sondern nicht anderes wie ein Software RAID wo man nen Treiber für braucht, und natürlich noch die Hardware von $HERSTELLER. Und genau da ist auch das ersten Problem, den was ist wenn mein Board hinüber ist? Bei Hardware RAID kann ich schauen das ich nen neuen Controller bekomme der Kompatibel ist, oder aber der alte ist noch OK. Bei Software RAID baue ich einfach die Platten in eine andere Kiste, fertig. Nicht so einfach bei nem FakeRAID, da gibt es viele Lustige Sachen die sich die Hersteller da einfallenlassen haben:

• RAID Konfiguration wird auf dem EEPROM/Flash vom Board gespeichert, d.h. selbst ein neues Board kann ggf. kein RAID mehr finden (sowas ist heute aber nichtmehr üblich, wird aber der Vollständigkeit halber erwähnt).
• RAID geht nur mit Generation X vom Chipsatz Y. Das ist ne doofe Situation, ein Board für Sockel 478 bekommt man nur noch bei eBay, ob das mit den alten Platten aus dem RAID noch was anfangen kann ist dafür aber wie Lotto spielen.

In der Praxis haben solche FakeRAID's so schöne Namen wie "Intel Matrix RAID", gemeint ist in der Regel so gut wie Ausnahmslos das RAID welches ein Mainboard mitbringt!

Vorteile

• Gäbe es Treiber für so viele Betriebssystem wie bei Hardware RAID Controller wäre es nett, doch das ist leider nicht der Fall!

Nachteile

• Kein echtes Hardware RAID
• Unterstützung für andere Betriebssysteme als Windows oft Fraglich
• Bindung an einen Hersteller, und noch schlimmer vielleicht sogar eine Board Generation

Fazit

Wer ein RAID im Server braucht, und das Geld hat sollte ein Hardware RAID kaufen, aber dann bitte dran denken nen Backup-Controller zu haben, den sonst ist man bei nem Controllerausfall der Gelackmeierte! In allen anderen Fällen, und wenn man nicht zwingend eine Unterstützung für mehr als ein Betriebssystem braucht ist Software RAID der Weg zum Ziel. Die Fake RAID's, sollte man aussen vor lassen, die laufen meistens eh nur unter Windows oder sehr umständlich (dmraid lässt grüßen) mit Linux!

Wer kennt es nicht, man will mal schnell wissen ob es neue Mails in den wichtigsten IMAP Ordnern auf dem Server gibt. Doch leider gibt es (AFAIK) keinen brauchbaren biff Klienten für die Konsole, schade für Leute wo nur mal E-Mail's checken wollen, dafür aber kein X11 brauchen möchten!

Vor ein paar Tagen Stand ich auch vor diesem Problem, da ich sowieso mutt als Mail Client verwende und Python mag, bot es sich an sowas selbst zu schreiben.

Installation

Keine Angst, es muss nix Großartig installiert werden. An die neueste Version von imapbiff.py kommt man über Subversion:

svn co http://svn.stefan-betz.net/imapbiff

Nun hat man im Ordner imapbiff/trunk schon das ganze Programm imapbiff.py welches man sich nach belieben wohin kopieren kann.

Konfiguration

Beim ersten Start legt imapbiff Automatisch eine Konfigurationsdatei mit dem Namen ~/.imapbiffrc. Diese sieht so aus:

[main]
username = youruser
ssl = yes
password = securepassword
port = 993
server = imap.example.com

Die Felder sind IMHO Selbsterklärend und müssen an die Eigene Situation angepasst werden.

Verwendung

Das ganze sieht dann so aus wenn man imapbiff.py das 2. mal startet:

0 NEW and 8 UNSEEN Mail(s) in Mailinglisten/Inyoka
1 NEW and 1 UNSEEN Mail(s) in Mailinglisten/Ubuntu-LoCo
2 NEW and 2 UNSEEN Mail(s) in INBOX

Hinweis: imapbiff.py fragt nur IMAP Ordner nach neuen Mails ab die "Subscribed" (Abonniert) sind, andere Ordner werden nicht Berücksichtigt!

Bugs

Das Programm ist noch nicht richtig fertig, und es fehlt noch so einiges an Features, folgendes müsse noch gemacht werden:

• Imapbiff zählt falsch, neue und ungelesene Nachrichten (sieht man am Beispiel) haben z.b. den selben Zähler.
• Support für mehrere IMAP Konten (Erledigt in SVN Revision 7)
• Support für Kommandozeilenparameter
• Support um alle Ordner abzufragen
• imapbiff.py stolpert aktuell über Ordner die zwar Abonniert sind, die es aber nicht mehr gibt (IMHO eigentlich ein Bug im IMAP Server, kann auch sein das dies nur bei GMX so ist)

Abgesehen davon funktioniert es schon recht brauchbar. Wer Verbesserungsvorschläge oder Patches hat die das ein oder andere Defizit beheben kann mir diese gerne an info@stefan-betz.net mailen.

SVN über Apache 2 auf einem Debian oder Ubuntu System einzurichten ist kein großer Akt. Aber dafür gibt es schon massig schlechte Anleitungen, u.a. von Leuten die noch nie was vom Debian-Way gehört haben. Da wird kein a2enmod oder so modernes Zeug empfohlen, nein da wird noch schön an der /etc/apache2/httpd.conf rumeditiert.

Einfacher, und vor allem schneller geht es natürlich wenn man diesen (oder einen ähnlichen) weg befolgt.

Installation

Ich geh mal davon aus das der Apache Webserver schon installiert und für den "normalen" Betrieb Konfiguriert wurde. Nun fehlen nur noch die Pakete:

• libapache2-svn
• subversion

Vorbereitungen

Meine Repositories liegen unter /var/lib/svn, was auch sehr sinnvoll ist. Auf zusätzliche Verzeichnisse unterhalb vom /-Dateisystem sollte man absehen, den dies werden gerne mal bei Backups vergessen, und sich auch nicht gerade FHS Konform.

Der erste Schritt besteht also darin dieses Verzeichnis anzulegen (Debian Anwender sollten wenn sie eh schon root sind einfach das sudo weglassen):

sudo mkdir /var/lib/svn

Wichtig sind noch die Dateirechte (und Eigentümer!!!) für dieses Verzeichnis, den der Apache Webserver muss darauf sowohl lesen als auch schreiben dürfen. Dies stelle ich mit folgendem Befehl sicher:

sudo chown -R www-data:www-data /var/lib/svn

Natürlich muss man das immer machen wenn man in diesem Verzeichniss was verändert (Ausnahme ist natürlich es wurden durch den Webserver geändert, oder mit dem Pseudouser www-data), da sonst ggf. der Dateieigentümer nicht mehr passt!

Konfiguration

Jetzt geht es an die Konfiguration vom Apache.

Notwendige Module

Nachfolgende Module Apache Module sind nötig damit das ganze auch funktioniert:

auth_basic
authz_default
authn_file
authz_host
authz_user
dav
dav_svn

Dies sollte man einfach mit a2enmod machen. In der Regel sind all diese Module aber schon nach der Installation geladen!

Virtual Host Konfiguration

Nun geht es (in meinem Fall) an die Datei /etc/apache2/sites-available/svn, dies ist der Virtual Host für meine SVN Subdomain:

<VirtualHost *>
        ServerName svn.example.com
        ServerAdmin admin@example.com
        <Location />
         DAV svn
         SVNParentPath /var/lib/svn
         AuthType Basic
         AuthName "Subversion Repository Access"
         AuthUserFile /etc/apache2/svn.htpasswd
         <LimitExcept GET PROPFIND OPTIONS REPORT>
          Require valid-user
         </LimitExcept>
        </Location>
        ErrorLog /var/log/apache2/error.log
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined
        ServerSignature On
</VirtualHost>

Diese Virtual Host kann man nun mit a2ensite svn aktivieren.

Benutzerverwaltung

Natürlich muss man noch die in der Virtual Host Konfiguration angegeben htpasswd Datei anlegen und mit Benutzern füllen:

sudo htpasswd -c /etc/apache2/svn.htpasswd benutzer
sudo chown www-data:www-data /etc/apache2/svn.htpasswd

Weiter Benutzer kann man ebenfalls mit htpasswd anlegen:

sudo htpasswd /etc/apache2/svn.htpasswd neuerbenutzer

Nun kann der Apache Webserver neu gestartet werden:

sudo /etc/init.d/apache2 force-reload

Repositories

Das bringt natürlich alles noch nichts ohne irgendwelche Repositories zu haben. Das Anlegen eines Repositories geht wie gewohnt über:

sudo -i
sudo -u www-data svnadmin create /var/lib/svn/dasisteinrepo
exit

Hat man schon ein anderes Repository, welches man bisher z.b. über file: genutzt hat kann man hiermit

svnadmin dump file:///pfad/zum/repository | gzip --best > svn.dump.gz

einen Dump vom alten Repository erzeugen, und mit

zcat svn.dump.gz | svnadmin load file:///var/lib/svn/dasisteinrepo

in das neue Repository laden. Hier bitte wieder daran denken das die Dateirechte noch passen!

Mit diesem Repository kann man wie mit jedem anderen Arbeiten, nur das man jetzt über http darauf zugreift, ein Checkout würde z.B. jetzt so aussehen:

svn co http://svn.example.com/dasisteinrepo

Sobald man versucht was am Repository zu ändern bekommt man eine Aufforderung wegen Benutzer & Passwort. Hat man keine Zugangsdaten kann man nur Auschecken.

Sicherheit

Es gibt zu dieser Konstellation aber noch ein paar Punkte bezüglich der Sicherheit:

• Jeder Benutzer (valid-user) kann jedes Repository bearbeiten » Abhilfe schafft hier die Dokumentation vom Apache, in dem man z.b. Gruppen usw. anlegt.
• Die Übertragung ist nicht Verschlüsselt, und daher für tcpdump usw.. kein Problem! Es ist sinnvoll bei wichtigen Sachen auf HTTPS auszuweichen!

Wer kennt es noch nicht, das sagenumwogene IPv6. Alles soll damit besser, schneller und sicherer gehen. Andere behaupten das man es nie brauchen wird das es ja CIDR gibt. Da meiner Meinung nach IPv6 über kurz oder lang eh kommt starte ich jetzt schon, bevor es T-Online schafft, IPv6 bei mir zu Hause!

Natürlich macht es nicht unbedingt Sinn zu irgendwelchen 0,3% auf der Welt zu gehören, aber sich schon heute mit Technik von Morgen zu befassen kann kein Fehler sein.

IPv6 ohne IPv6

Leider gibt es heute kaum ISP's die IPv6 Nativ anbieten. Daher habe ich mir bei SixXS einen Account besorgt. Das ganze dauert ca. 1 Tag, und läuft relativ einfach ab. Die Weboberfläche von SixXS ist sehr übersichtlich gehalten, und das Anmelden von Onlinedienste dürfte auch jeder auf die Reihe bringen.

Wenn das erledigt ist sollte man im Webinterface gleich noch einen IPv6 Tunnel beantragen, den ohne einen solchen geht garnix. Was man noch beachten muss ist das man bei SixXS alles bezahlen muss, aber nicht mit Geld sondern mit Credits. Es ist daher sinnvoll sich Gedanken zu machen bevor man einfach irgendwas beantragt.

Da ich IPv6 direkt auf meinen Flepo laufen lasse kommt natürlich nur "Heartbeat" als Typ in Frage, wer hinter einer Firewall/NAT sitzt darf auch gerne AYIYA verwenden.

aiccu einrichten

Die Einrichtung geht dank debconf beim installieren von dem Paket aiccu automatisch, alle relevanten Daten werden schön der Reihe nach abgefragt.

Hat man dies hinter sich sollte schon ein Tunnel laufen:

sixxs     Link encap:IPv6-in-IPv4  
          inet6 addr: DEINEIPV6::2/64 Scope:Global
          inet6 addr: fe80::c0a8:10a/64 Scope:Link
          inet6 addr: fe80::5495:dace/64 Scope:Link
          inet6 addr: fe80::c0a8:201/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:149069 errors:0 dropped:0 overruns:0 frame:0
          TX packets:157669 errors:2041 dropped:0 overruns:0 carrier:2041
          collisions:0 txqueuelen:0 
          RX bytes:17325727 (16.5 MB)  TX bytes:21001712 (20.0 MB)

Wenn das jetzt so oder so ähnlich aussieht, dann sollte auch ein IPv6 Ping auf Google laufen:

stefan@server:~$ ping6 ipv6.google.com
PING ipv6.google.com(2001:4860:0:1001::68) 56 data bytes
64 bytes from 2001:4860:0:1001::68: icmp_seq=1 ttl=59 time=84.7 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=2 ttl=59 time=86.2 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=3 ttl=59 time=391 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=4 ttl=59 time=96.6 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=5 ttl=59 time=82.5 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=6 ttl=59 time=90.4 ms
64 bytes from 2001:4860:0:1001::68: icmp_seq=7 ttl=59 time=84.1 ms

--- ipv6.google.com ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6002ms
rtt min/avg/max/mdev = 82.588/130.879/391.295/106.406 ms

Alle anderen IPv6 Dienste könnte man jetzt von diesem Rechner aus auch schon verwenden.

Warten...

Jetzt muss man erstmal warten, und zwar mind. 1 Woche bis man bei SixXS wieder genug Credit hat um ein Subnet beantragen zu können. Dazu muss dieser Tunnel aber natürlich laufen, den man bekommt nur 5 Credits pro Woche wo der Tunnel läuft! Hat man ein Subnet von SixXS erhalten kann man weitermachen:

radvd einrichten

Jetzt geht es aber ans eingemachte, wir richten radvd (Routing Advertisment Daemon) ein, dieser sagt unserem Netwerk welches IPv6 Präfix wir eigentlich haben. Dazu sollte man den Tunnel auf seinen Router verlegen!

Zuerst aktivieren wir mal das Routing von IPv6:

sudo -i
echo "1" > /proc/sys/net/ipv6/conf/default/forwarding

Dann wird für die verwendete (interne) Netzwerkschnittstelle eine IPv6 Adresse über die /etc/network/interfaces vergeben, in dem so ein Eintrag hinzugefügt wird:

iface eth1 inet6 static
 address 2b0c:1a8:f0d:1::
 netmask 48

Nun endlich kommt die Installation des Paketes **radvd** dran, und anschließend gleich die Passende Konfiguration (/etc/radvd.conf):

sudo apt-get install radvd

interface eth1 {
 AdvSendAdvert on;
 MinRtrAdvInterval 3;
 MaxRtrAdvInterval 10;
 prefix IPV6SUBNETPREFIX::/64 {
  AdvOnLink on;
  AdvAutonomous on;
  AdvRouterAddr on;
 };
};

In die radvd.conf muss natürlich das IPv6 Präfix vom Subnet das man beantragt hat, nicht vom Tunnel den man zuvor beantragt hat. Den für den Tunnel den man zuerst beantragt hat gibt es nur eine IP die geroutet wird!

Jetzt noch ein Neustart vom Dienst radvd und alle Rechner im Netzwerk sollten eine IPv6 Adresse bekommen, ganz ohne DHCP :-D

Sicherheit

Achtung: Bei IPv6 ist man nicht durch das NAT eines Routers "Geschützt", das heißt auch das jeder Dienst der auf einer IPv6 Adresse welche Global ist lauscht auch überall aus dem Internet erreichbar ist.

Nun ist das neue Ubuntu (Intrepid Ibex, 8.10) ja endlich da. Natürlich wurde es dann auch gleich mal Zeit das auf meinen EEE 701 zu installieren. Hier ein kleiner Erfahrungsbericht wie sich der Steinbock auf meinem Netbook schlägt.

Zur Installation brauche ich nicht viel sagen, den Desktop Installer verwende ich sowieso nicht, und die Alternate-CD war eh so wie immer.

Kommen wir also gleich zum fertigen System, Screenshots gibt es ja schon mehr als genug im Netz, daher spare ich mir diese jetzt einfach mal ;-)

WLAN

Was nicht gleich am Anfang geht ist (mal wieder) die Atheros WLAN Karte welche Asus verbaut hat. Aber hierfür gibt es eine Prima Lösung indem man das Paket linux-backports-modules-intrepid installiert und im Restricted Manager den madwifi Treiber abschaltet. Das sieht dann so aus:

Nach einem Reboot funktioniert nun das WLAN wie gewohnt über den neuen Network Manager, welchen Fedora User eh schon kennen.

Shutdown!

Was auch Probleme macht ist das Herunterfahren, Ubuntu wartet einfach unendlich (bis halt der Akku mal leer ist). Hierfür genügt es folgendes an die Datei /etc/default/halt anzuhängen:

rmmod snd-hda-intel

Abgesehen davon gibt es nicht viel was man noch machen muss, die Kamera läuft problemlos (kann man mit cheese probieren, welches leider nachinstalliert werden muss) und der Sound geht auch Prima.

Das man noch die üblichen Einstellungen unter GNOME (und compiz) treffen muss, damit das auf einem kleinen Bildschirm Spaß macht, ist natürlich logisch.

Fazit

Intrepid macht auf dem 701er EEE einen wesentlich besseren Eindruck als Gutsy oder Hardy. Was aber noch fehlt ist eine Automatische Erkennung solch kleiner Bildschirme, so das GNOME dies berücksichtigt. Auch ist es nervig immer wieder die selben Sachen bei compiz einzustellen (Hopping-Windows-Bug, kein Verschieben mit Alt+LMB). Ich bin aber Optimistisch das die Entwickler auch das noch schaffen! Als nächste werde ich mir mal den "Ubuntu Netbook Remix" ansehen, mal schauen was da noch drauß wird...