[ENC]BladeXP's Blog

Unter linuxfonts.narod.ru findet man Gründe warum Linux nichts für den Desktop ist, zumindest nicht im Moment.

Nun, einige Punkte mögen Stimmen, aber andere werden einfach nur gepusht damit man mal wieder was zu jammern hat ;-)

Das ganze fängt schon recht Lustig mit dem Punkt 0 auf dieser Seite an. Soll das ein Witz sein? Komplizierte Software die Spiele und Datenbanken werden immer Closed Source sein? Sehr komische Einstellungen welche die da haben! Den Datenbanken gibt es genug im OpenSource Bereich, man denke nur mal an MySQL oder noch eher PostgreSQL! Klar, bei Spielen ist aktuell die Entwicklung noch nicht so Stark, aber auch hier hat sich die letzten Jahre einiges getan!

Der Punkt 1 fällt mal wieder so richtig über das so schlechte Soundsystem von Linux her. Nur warum? Sound ist im Gegensatz zu dem Stand vor einigen Jahren nicht mehr das große Problem unter Linux. In 90% der Fällen läuft alles Out-Of-Box! Und dafür das irgendwelche alten und Proprietären Programme von PulseAudo, ALSA & Co noch nichts gehört haben können wir nun wirklich nichts! Wenn Microsoft mal eine Schnittstelle über den Haufen wird heult den alten Programmen ja auch keiner hinterher.

Punkt 2 geht mal wieder an X11, war ja klar. Eigentlich dachte ich das dies der Schwachpunkt an Linux schlechthin wäre, aber so kann man sich täuschen. Wir haben keine guten APIs für GUI Programmierung? Nein, Qt und Gtk+ ändern natürlich alle 3 Monate komplett ihre Schnittstellen. So langsam frage ich mich da schon wer da Recherche Betrieben hat (oder was der dabei gesoffen hat). Auch ist GUI laut dem Autor sehr langsam und nur an wenigen Stellen beschleunigt. Von Double-Buffering weiß ein Linux User angeblich auch nichts.

Punkt 3 geht mal wieder an die Distributoren. Den jeder Kocht hier sein eigenes Süppchen was Konfiguration, Installation, Softwareverwaltung und Updates angeht. Hier wünscht sich der Autor ein einheitliches System, und der nervige Dreisatz ist für User auch eine Zumutung. Ist das wirklich so? Nun, kaum ein normaler Office & Internet Anwender wird wohl jemals ein Paket selbst kompilieren müssen. Das machen in der Regel nur Leute die eine spezielle Version brauchen die noch nicht in den Paketquellen ist, oder welche wo einfach nur Featuregeil sind. Was der Author aber verschweigt ist das es auch unter Windows kein einheitliches Installationskonzept gibt, zumal man unter Windows ja schon genug Probleme hat eine Software wieder sauber aus dem System zu bringen. Eine Zentrale Architektur um alle installierte Software zu aktualisieren gibt es bei Microsoft ja immer noch nicht ;-)

Punkt 4 erwartet das es doch bei einem modernen Betriebssystem möglich sein muss alles über eine GUI zu erledigen. Dieser Wunsch wird von vielen "Fachzeitschriften" immer wieder mal abgedruckt. Dabei wird aber oft vergessen in welchem Fall man mal als normaler User wirklich ne Shell braucht. Auch wird verschwiegen welche Vorteile das eine Shell in verschiedenen Szenarien hat (Serverkonfiguration, Replikation, ...). Das man unter Windows bestimmte Sachen nur durch Setzen von Umgebungsvariablen oder Registry Keys erreicht juckt ja mal wieder niemanden.

Punkt 5 ist mal wieder ein Hard und Softwarerundumschlag. Zum einen fehlen die Treiber (die für Windows ja auch der Hersteller liefert) zum anderen wird kritisiert das Windows Programme und Spiele ja nicht unter Linux gehen. Selbst Schuld wenn der Softwareanbieter die Software nur für eine Proprietäre Schnittstelle aus dem Hause Microsoft anbietet. Linux ist mal wieder nicht reif für den Desktop weil Hersteller keine Standards einhalten? Linux ist schuld weil es GDI-Drucker gibt?

Punkt 6 ist mein Liebling, da wird auf Regressionen im Kernel eingegangen. Es gibt dem Autor zu folge zu wenige Regressionstests bei der Entwicklung vom Kernel. Selbst in der Geschichte von Microsoft gab es und gibt es Regressionen (MS-IIS und Unicode lässt Grüßen). Auch wird verschwiegen das diese Regressionen recht schnell gefixt werden, bei anderen Herstellern von Betriebssystemen ist sowas nicht selbstverständlich. Man kauft halt neue Hardware, was solls.

Punkt 7 könnte man eigentlich auch unter Punkt 6 schreiben, hier geht es um Bugs die schon ewig (10 Jahre usw...) offen sind, etliche Duplikate haben aber einfach nicht gefixt werden wollen. Ist sich der Autor sicher das es wirklich Bugs sind? Langsam zweifle ich an dessen Verstand... unter Windows gibt es auch (fragt google) lange Listen von Fehlern und wie man diese Umgehen kann. Dort nennt man sowas aber nicht Bug (wird ja eh nicht alles öffentlich dokumentiert) sonder man spricht von einer Unzulänglichkeit für die es ein Workaroung gibt.

Punkt 8 geht auf die Zusammenarbeit der verschiedenen Programme ein, gut den Punkt lasse ich mal wirklich zählen. Aber auch hierfür gibt es mittlerweile Standards wie die von freedesktop.org! Aber bei Punkt 8.1 muss ich mir an den Kopf fassen: Most distros don't allow you to easily set up a server with e.g. such a configuration: Samba, SMTP/POP3, Apache HTTP Auth and FTP where all users are virtual. Das sich aber easy und diese Arten von Server schon fast Gegenseitig ausschließen wird vergessen. Klar, Samba kann man ja schon mit GUIs machen. Aber wer bitte schön tut sich freiwillig eine Unflexible GUI an um einen Apache zu Konfigurieren? Oder gar einen Mailserver *grusel*.

Punkt 9 ist auch ein Brüller. Hier geht es darum wie langsam doch Linux ist. Als Beispiel wird OpenOffice genannt, welches unter Windows ja viel viel schneller als unter Linux ist. Aber auch nur wenn man den Autostart verwendet (steht so aber nicht im Artikel). Und der Linker von Linux ist lahm, aber es wird vergessen das dieser Problemlos mehre Versionen einer Library nebeneinander dulden und Verwalten kann. Wer das schon mal unter Windows versucht hatte weis was man da vor sich hat! Auch das nicht Verzögerte Laden von System Diensten wird stark kritisiert, aber warum? Wenn ich meinen Desktop sehe will ich damit was arbeiten und nicht erst noch 5 Minuten warten bis die Festplatten-LED sich wieder beruhigt hat. Die Bootzeit von Linux wurde in den letzten Jahren immer wieder mal überarbeitet! Aber der Brüller bei diesem Punkt ist das Linux sehr lange braucht bis es sich endlich mal heruntergefahren hat. Ich habe mal nachgemessen, mein Linux braucht ca. 21 Sekunden für einen Shutdown. Auf der gleichen Maschine benötigt ein Windows XP je nach Lust und Laune (Solarstürme als Ursache?) gerne mal 90 Sekunden, ab und an auch mal nur 30.

Punkt 10 geht auf die Fehlermeldungen ein, ein Knaller wie ich finde. Lustige Fehlermeldungen kennt man ja von Windows mehr als genug :-D

Punkt 11 geht auf die schlechte Dokumentation ein, natürlich wurde in der Windows Welt jeder Registry Key und Button schön Dokumentiert. Warum man bei vielen Knöpfen aber mit der Direkthilfe keine Hilfe bekommt kann mir irgendwie keiner so richtig erklären.

Punkt 12 kümmert sich um das Sicherheitsmodell von Linux, welches ja sehr fragwürdig ist. Auf diesen Punkt gehe ich jetzt einfach mal nicht weiter ein, sonst wird dieser Blog Eintrag länger als Harry Potter.

Punkt 13 hat es mit der Abwärts- und Aufwärtskompatibilität zu tun. Also Abwärtskompatible kenne ich, das geht bei vielen Sachen ganz prima egal welches OS man hat. Aber die Behauptung das sogar noch viele Windows 95 noch prima unter Windows 7 laufen wage ich doch Stark zu bezweifeln! Aber was ist eigentlich eine Aufwärtskompatibilität? Sowas habe ich bei Software bisher noch nicht gesehen, den fast jede Software die ich kenne Konvertiert Daten in das neue Format, nicht aber wieder zurück in das alte Format.

Punkt 14 (Sie haben Ihr Ziel erreicht!) geht auf Probleme einer Einheitlichen Zentralen Verwaltung ein. Das aber eine Einheitliche Policy kaum alle Probleme Lösung kann wird verschwiegen ;-)

So, ich habe fertig. Meiner Meinung nach wäre es wirklich schade wenn jemand den Mist von diesem Autor auch noch ausdruckt. Futter für die doofen könnte man sagen, den genauso schlecht wie ich Argumentiert habe wurde auch in dem verlinkten Artikel Argumentiert. Wenn man einen Fehler sucht, dann wird man auch einen Finden könnte man wohl meinen. Den viele seiner Argumentationen bzw. Behauptungen kann man mit nur 3 anderen Wörtern auch auf Windows oder sogar Mac OS X anwenden.

Merkeregel: Wer im Glashaus sitzt sollte nicht mit Steinen werfen (welche ein Ironie wenn man an Windows dabei denkt).

Fazit

Linux nicht reif für den Desktop? Ist es nicht eher andersrum? Ich denke eher das die Hardwarehersteller und die User nicht bereit sind für Linux. Den viele Suchen eine Alternative zu Windows, und genau das ist auch das Problem. Die Leute sollen keine Alternative zu Windows Suchen wo genauso ist wie Windows, die Leute müssen einfach mal kapieren das Linux und Windows 2 Unterschiedliche Betriebssystem sind. Linux soll und will kein Windows sein, dafür gibt es schon ReactOS.

Es ist wieder so weit, ich will was anderes als GNOME haben!

Nur was darf es sein, auf der Wunschliste stehen verschiedene Lösungen.

Lösung 1: Fluxbox

Zweifelsohne, Fluxbox ist geil. Aber damit ein komplettes Desktop Environment zu machen ist viel Arbeit. Was ich vermisse sind gut integrierte Tools. Einen guten eingebauten Pager, und noch viel mehr von dem was man heute als Modern bezeichnen würde.

Lösung 2: XFCE

Auf dem Arbeitsnotebook (ja, für manchen Netzwerkkrams habe ich da eine Ubuntu Partition) habe ich ja seit einiger Zeit XFCE. XFCE an sich gefällt mir schon sehr gut, das Panel ist Ultrageil und sehr Praktisch (warum hat GNOME keine so geile Starterimplementierung im Panel?). Viel fehlt eigentlich nicht an XFCE, außer das mit die Version von Ubuntu Hardy doch etwas zu alt ist. Den eine 4.4.* will ich in Zeiten von 4.6.* nicht mehr haben. Es wird wohl darauf hinauslaufen das ich mir XFCE mal selbst nach /usr/local kompiliere. Denn den meisten PPAs fehlt irgendwie immer was.

Lösung 3: ?

Da habe ich noch nichts gefunden, LXDE ist irgendwie einfach nur doof. Von KDE halte ich seit mind. 2.* nicht mehr die Welt. Aber auch was ich zuvor schon hatte (WindowMaker 2 Jahre, Enlightenment 1 Jahr, fvwm 2 Jahre) will mir heute nimmer so richtig gefallen.

Insgeheim hoffe ich ja das e17 meine Anforderungen alle erfüllen wird!

Meine Anforderungen sind eigentlich sehr bescheiden:

• GNOME Programme sollten gut damit laufen (Keyring, Settings, Session)
• Multihead Support, ich hab ja 2x22" TFTs an einer nVidia (TwinView)
• Wenig Platzbedarf
• Compositing ist nett, aber nicht erforderlich da überbewertet
• Geiles Panel, nein nicht nur die Optik... vor allem die Usablity muss stimmen
• Wenig Ressourcenverbrauch, auch wenn ich 4GB RAM habe

So, nachdem ich ihn am Montag bestellt habe ist er auch heute schon da!

Zur Verpackung werde ich einfach mal nichts weiter sagen, die ist nämlich vorbildlich. D.h. man hat sogar ne faire Chance es wieder in die Verpackung zu bekommen!

Windows

Ich hatte den Vorteil das ich gleich 2 Stück bestellen konnte, so hatte ich auch mal das Vergnügen mit Windows auf dem Teil. Natürlich wurde unter Windows gleich jede Menge OEM Software (welche in der Regel sinnlos ist) installiert:

• WinDVD 8 (sehr sinnvoll in Verbindung mit einem nicht vorhandenen DVD Drive)
• Microsoft Works (besser bekannt als OEM Büropest)
• Adobe Reader 8.1.0 (wie immer veraltet)
• Skype (wers braucht)
• EEE Storage (so ein Tool um sich für nen begrenzten Zeitraum 10GB Online Speicher zu gönnen, sinnlos)
• Microsoft Office Home & Stundent 2007 (natürlich ne 60 Tage Demoversion)
• Microsoft SQL Server 2005 Compact Edition (für Poweruser)
• Symatec Internet Security (schade das kein ZoneAlarm dabei ist)
• Windows Live * (ja, die haben wirklich alles davon installiert!)

So aber jetzt mal Schluss mit Windows, ist ja nicht meine Kiste!

Ubuntu

Natürlich kommt auf meinen EEE nur ein ordentliches System, d.h. Ubuntu oder halt Debian. Da die Pakete in Ubuntu etwas neuer sind habe ich mich natürlich für Ubuntu (9.04 Jaunty Jackalope) entschieden.

Natürlich habe ich wie immer eine Netinstall gemacht (was ja nahe liegt wenn man nen apt-proxy daheim hat). Viel besonderes gibt es an dieser Stelle nicht zu sagen, außer das mit Jaunty alles ohne Probleme geht (WLAN, LAN usw...).

Was Features angeht habe ich gleich mal alles genutzt (Netbook Remix, ext4 als Dateisystem, grub2 als Bootloader). Die Performance vom System ist echt gut aber eine genaue Messung habe ich noch nicht gemacht, davon gibt es wohl auch schon genug im Internet.

Hardware

Die Hardware macht einen sehr guten Eindruck und hat nicht mehr viel mit einem 701er am Hut. Der EEE ist jetzt groß geworden was man auch an der Verarbeitung usw.. merkt. Das Display ist (Danke Asus!!!) Matt und nicht mit einem Schminkspiegel ausgestattet.

Die Tastatur liegt sehr gut in der Hand, nur Shift und Fn hätte man wohl tauschen sollen, den mein kleiner Finger will immer auf Fn statt Shift drücken.

Den Akku konnte ich in der kurzen Zeit leider noch nicht richtig testen (laut der GNOME Statusanzeige ca. 6 Stunden, aber der Akku wurde auch noch nicht trainiert), dafür gibt es aber natürlich noch Nachschub von meiner Seite...

... und ich hab Angst!

Warum? Nun weil ich mir unsicher bin was Oracle mit MySQL, Java, OpenOffice und VirtualBox will!

VirtualBox

Sun hat in letzter Zeit sehr viel Energie in VirtualBox gesteckt. Aber was will Oracle damit?

MySQL

Tja, MySQL ist Oracle ja in einigen punkten ein Dorn im Auge. Den Oracle ist und bleibt ein Hersteller von Datenbanken. Daran wird auch der Zukauf von Sun wenig ändern. Gerade für den Massenmarkt (auch hier ist Geld wo man verdienen kann) hat MySQL einen schönen Marktanteil. Klar ist Oracle ne andere Liga was die Datenbank angeht, aber es gibt genug Software die eben MySQL verwendet weil es zumindest in einer Kastrierten Version nichts kostet.

Hier sehe ich ein Positionierungsproblem, den wesentlich verbessern wird Oracle MySQL wohl kaum... wer baut sich schon seine eigene Konkurrenz?

OpenOffice

OpenOffice hätte wirklich gut zu IBM gepasst, auch hier passen die Produkte von Oracle nicht wirklich zu OpenOffice...

Java

Das dürfte wohl das einzige sein was Oracle wirklich will. Den Oracle verwendet in vielen Bereichen gerne Java, und da direkt am Ruder sitzen hat natürlich Vorteile!

Fazit

Bis auf Solaris (habe ich nicht weiter erwähnt) und Java sehe ich keine größeren Sachen von Sun wo Oracle wirklich brauchen würde. Es ist sehr fraglich was aus den OpenSource Projekten wird in welche Sun viel Energie gesteckt hat!

Schön beschrieben hat das Problem auch das EDV Blog wie ich finde.

Hier steht es Schwarz auf Weiss: Windows hat 90% Marktanteil auf Netbooks. Angefangen haben die mal mit 10%...

Auf den ersten blick liest sich das als ob Linux auf Netbooks versagt hätte, tja ganz so einfach ist es dann aber doch nicht!

Zum einen ist es aktuell Schwer noch ein Linux Netbook zu bekommen, der größte Teil wird ja nur noch mit XP Home (wo bleibt das Innovative Vista???) und Kastriertem Arbeitsspeicher ausgeliefert. Auf der anderen Seite haben natürlich auch die Hersteller bewiesen das man ein gutes Konzept durch eine dämliche Vorkonfiguration versauen kann.

Das geht schon bei der Wahl der Distribution an, den niemand will Linpus, Xandros usw...: Die Leute wollen ein richtiges System haben wo man nachträglich auch anpassen kann! D.h. es kommt aktuell nur noch Fedora oder Ubuntu in Frage (Geeks nehmen eh Debian, aber das läuft eh überall und zählt daher nicht).

Stattdessen bekommt man aber ein Kastriertes Linux, mit beschränkten Support, noch beschränkterem Update-Managment und an jeder nur denkbaren Stelle fehlt was!

Auf der anderen Seite werden Linux Netbooks oft zwar für weniger Geld verkauft, dann aber auch gleich mit einer (wenn auch nur Minimal) schlechteren Hardwareausstattung. Was haben sich die Hersteller den dabei gedacht?

Fassen wir also mal zusammen (angenommen Microsoft hätte wirklich mal Zahlen die auch der Wahrheit entsprechen, was ich sehr stark bezweifle): Linux auf Netbooks wäre kein Problem, wenn bis auf wenige (z.B. Dell) die Hersteller endlich mal was richtig machen würden. Gleichzeitig hinkt wohl der Vergleich mit einem mittlerweile 8 Jahre alten Betriebssystem welches nur (weil das neue ja nix taugt) für diese Gerätesparte herhalten muss.

Heute habe ich mal Imapbiff wieder etwas aktualisiert, u.a. gibt es jetzt auch Support für Server die kein CRAM-MD5 können (wie z.B. GMX). Hat man eine ältere Version von Imapbiff drauf muss man natürlich seine ~/.imapbiffrc etwas anpassen.

Es genügt pro Profil diese Zeile hier einzufügen:

plain = no

Wie immer kann man Imapbiff via

svn co http://svn.stefan-betz.net/imapbiff/trunk imapbiff

In einer späteren Version werde ich natürlich eine Migration der Konfigurationsdatei beim Upgrade implementieren.

So, endlich habe ich es mal geschafft pyNeighborhood in der Version 0.5.0 zu veröffentlichen!

pyNeighborhood ist ein Tool ähnlich der Netzwerkumgebung von Windows, es gibt bei Ubuntuusers dazu auch einen Wiki Artikel der das ganz gut erklärt (wobei der Wiki-Artikel noch für die alte Version 0.4 ist!).

Für Ubuntu Anwender habe ich hier ein PPA erstellt, alle anderen müssen das Quellpaket von Sourceforge runterladen.

Installation

Das Quellpaket kann wie folgt installiert werden:

sudo apt-get install python-glade2 gettext
tar xjvf pyneighborhood-0.5.0.tar.bz
cd pyneighborhood-0.5.0
sudo python setup.py install
cd po
sudo make install

Start

Starten kann man pyNeighborhood am einfachsten über das GNOME Menü, oder auf dem Terminal mit:

pyNeighborhood

Seit einiger Zeit nimmt Firefox ja für mehr und mehr Sachen sog. SQLite Datebanken. Diese sind zwar recht praktisch, werden aber mit der Zeit doch recht groß, und der Firefox natürlich dadurch relativ lahm.

Jemand vom Ubuntuusers Webteam hat mir daher folgenden Tip gegeben:

for f in ~/.mozilla/firefox/*/*.sqlite; do sqlite3 $f 'VACUUM;'; done

Der Befehl sorgt dafür das SQLite die Datenbanken von Sachen befreit die schon längt gelöscht wurden, wie viele andere Dateibasirende Datenbanken gibt auch SQLite seinen schon belegten Speicher nicht einfach so frei. Erst durch VACUUM wird das erledigt, welches Firefox dummerweise nicht selbst macht.

Zuvor sollte Firefox unbedingt beendet werden!

Das hat mir bei meinem Firefox ca. 30 MByte mehr freien Platz gebracht, und natürlich hakt Firefox nichtmehr so sehr wenn man mal in der History rumwühlt.

Heute habe ich folgendes Bemerkt als ich Userdaten von einer Ubuntu Gutsy Installation unter Intrepid wiederherstellt habe. Und zwar bekommt man in Evolution wenn man STRG+E (Dieser Shortcut steht für Ordner Säubern) drückt die Fehlermeldung:

  Fehler bei Ordner wird gesäubert.
  Zusammenfassung und Ordner stimmen nicht überein, sogar nach einer Synchronisierung

Im Internet wird oft geraten doch einfach alles aus dem Posteingang in einen neuen Ordner zu sichern und dann den Posteingang zu löschen. Das ist natürlich sehr umständlich, gerade wenn man doch ein paar mehr Ordner hat. Wenn man unter ~/.evolution/mail/local/ schaut findet man dort etliche Dateien. Und zwar für jeden Mailordner eine Datei die so heist wie der Ordner selbst. Dann gibt es für jede Dieser Dateien noch einen Ordner mit dem Namen Ordnername.sbd und dann noch diverse Dateien wie z.B. Ordnername.ev-summary.

Man sollte natürlich vor dem Bearbeiten der Ordnerstruktur den Evolution Data Server mit evolution --force-shutdown beenden! Desweiteren sollte man vor jeder Änderung an der Ordnerstruktur von Evolution ein Backup machen!!!

Man sollte für jeden Unterordner ab ~/.evolution/mail/local/ das hier machen:

rm *.ibex* *.cmeta *.ev-summary*

Dadurch werden die Ordnermetadaten gelöscht, Evolution kümmert sich beim nächsten Start darum das alles wieder passt. Nun wird auch STRG+E wieder funktionieren.

Nein, ich heirate nicht. Aber ich habe Squid 3 erfolgreich mit einem Active Directory verkuppelt.

Vorbereitungen

Unter Windows muss folgendes erledigt sein:

• Proxy Server muss im Microsoft DNS Dienst bekannt sein
• Proxy Server muss als "Trusted Host" im AD angelegt sein

Der Proxy Server sollte entweder eine "richtige" statische IP, oder auch eine Reservierung via DHCP haben. Auch muss die Uhrzeit mit NTP Synchron gehalten werden, den Kerberos ist sehr pingelig was das angeht!

Auf der Linux Seite benötigt man natürlich den root-Account, oder ähnliche Rechte (sudo usw...). Alle nachfolgenden Befehl müssen als root eingegeben werden!

Proxy Server

Auf dem Proxy Server selbst braucht man folgende Pakete:

• krb5-user
• squid3
• winbind

Kerberos Setup

Die Kerberos Konfigurationsdatei (/etc/krb5.conf) sollte so aussehen:

[libdefaults]
 default_realm = DOMAIN
[realms]
 DOMAIN = {
  kdc = 192.168.1.1
  admin_server = 192.168.1.1
 }
[domain_realm]
.domain = DOMAIN
[appdefaults]
pam = {
 ticket_lifetime = 1d
 renew_lifetime = 1d
 forwardable = true
 proxiable = false
 retain_after_close = false
 minimum_uid = 1
}

In meinem Fall war DOMAIN der Domänenname und 192.168.1.1 dessen IP-Adresse. Es ist natürlich wichtig das man dafür eine Funktionierende Namensauflösung hat, Optimal ist es wenn man dafür den DNS Server vom AD nimmt. Da sollte ja ohnehin alles drin sein was man braucht.

Natürlich ist für das Kerberos Setup ein Test nicht schlecht:

kinit user@DOMAIN

Man wird nun nach dem Passwort für den AD-User user gefragt. Wenn alles geklappt hat bekommt man von klist folgende Ausgabe:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@DOMAIN

Valid starting    Expires           Service principal
11/26/08 20:57:19 11/27/08 06:57:20 krbtgt/DOMAIN@DOMAIN
        renew until 11/27/08 20:57:19

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

So sieht man das man erfolgreich ein TGT (eine Art "Chef-Ticket") bekommen hat, mit diesem könnte man dann Ticket für einzelne Dienste anfordern, was uns aber jetzt nicht weiter interessiert.

Samba / Winbindd Setup

Nachdem jetzt Kerberos läuft, können wir an den nächsten Schritt gehen: Samba (genauer Winbind) will jetzt Domänenmitglied werden, und das geht mit so einer /etc/samba/smb.conf:

[global]
workgroup = DOMAIN
realm = DOMAIN
password server = HOSTNAME.DOMAIN
security = ADS
winbind refresh tickets = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind use default domain = yes

password server muss der DNS Name vom AD Server sein. Der Rest dürfte selbsterklärend sein. Nun kann man der Domäne beitreten:

net ads join -U user@DOMAIN

Dannach kann man den winbindd starten, was wie gewohnt über

/etc/init.d/winbbind start

geht. Ob dies funktioniert hat kann man mit wbinfo -t prüfen:

checking the trust secret via RPC calls succeeded

Dann kann man auch noch die Gruppen im AD anzeigen lassen, dies geht mit wbinfo -g:

gruppe1
gruppe2
gruppe3
usw...

Damit Squid (genauer ntlm_auth) auch was mit Winbind Anfangen kann muss das Verzeichnis /var/run/samba/winbindd_privileged der Gruppe windbind_priv gehören, und von dieser Lesbar sein.

Squid Setup

Jetzt kommt der letzte Schritt, und zwar die Anpassung der /etc/squid3/squid.conf, hier gehört folgendes noch mit rein:

auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=DOMAIN\\GRUPPE --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --require-membership-of=DOMAIN\\GRUPPE --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

Von dem Parameter cache_effective_user bzw. cache_effective_group sollte man die Finger lassen (die Zeile sollte also ein Kommentarzeichen am Anfang haben), da sonst ntlm_auth nicht mit den nötigen Rechten läuft.

Es ist wichtig das der User proxy auch in der Gruppe winbindd_priv ist:

sudo adduser proxy winbindd_priv

Mit diesen Einträgen erreicht man das SSO bevorzugt wird, jedoch auch noch der alte Benutzername/Passwort Dialog möglich ist. Dies ist vor allem dann sinnvoll wenn man nicht nur NTLM fähige Clients hat. Ich habe bei der Gelegenheit auch gleich eingestellt das nur Mitglieder der AD Gruppe GRUPPE das Recht haben ins Internet zu gehen, was gerade in großen Firmen gewünscht wird.

Jetzt kann man mit /etc/init.d/squid3 start den Squid Proxy starten, und kann einen Test unter Windows machen (z.b. mit dem Internet Explorer). Das der Proxy Server auch schön auf den Clients eingetragen wird, davon gehe ich jetzt einfach mal aus.