ADMIN

2021

12

2021-12-01T12:00:00

Small Business IT

SCHWERPUNKT

098

Small Business IT

Server

Linux-Infrastrukturserver für KMU

Kompaktklasse mit Mängeln

von Andreas Stolzenberger

Veröffentlicht in Ausgabe 12/2021 - SCHWERPUNKT

Für KMU stehen spezialisierte Linux-Distributionen zur Verfügung, die versprechen, Serveranwendungen und ganze IT-Infrastrukturen wirtschaftlich zu betreiben und einfach zu administrieren. Diese Distributionen wollen auf kleine Unternehmen zugeschnittene Dienste und Verwaltung bieten und helfen, Lizenzkosten zu sparen. Doch von den vier bekanntesten Vertretern kann nur einer überzeugen.

Größere Netzwerke beherbergen mindestens eine VM pro Dienst. Kleinere Netzwerke brauchen diese Komplexität nicht und vereinen eine ganze Reihe von Services auf einer einzigen Maschine. Damit es den Administratoren nicht zu schwerfällt, alle diese Dienste einzurichten und zu verwalten, gibt es besondere SMB-Editionen (Small and Medium Business), die den Umgang mit Diensten erheblich vereinfachen. Alternativ könnten Administratoren reguläre Linux-Distributionen mit Erweiterungen versehen, die die Dienstkonfiguration per Web-UI erlauben. Aber diese Tools decken meistens nicht alle Dienste ab. Die speziellen Linux-Distributionen für KMU liefern nicht nur komfortable Konfigurationstools. In der Regel steht ein Unternehmen dahinter, das neben der rohen Distribution auch Service und Support offeriert. Vier dieser Linux-SMB-Distributionen sind einen Blick wert.
ClearOS auf dem Abstellgleis
Das Linux-Derivat ClearOS [1] stellt die Non-Profit-Organisation "ClearFoundation" aus Neuseeland zur Verfügung und war früher unter dem Namen "ClarkConnect" bekannt. ClearOS basiert wie Oracle Linux oder das frühere CentOS (heute Rocky Linux) auf den offenen Quellen von Red Hat Enterprise Linux (RHEL). Anders als RHEL und Rocky setzt Clear-OS allerdings noch auf der alten Version 7 auf und nicht dem aktuellen Release 8.
ClearOS vertreibt mehrere Versionen: Neben der freien Community-Edition gibt es kostenpflichtige Varianten mit Support. Zu den Unterstützern von ClearCenter gehört unter anderem HPE, das ClearOS auf seinen ProLiant-Servern inklusive der MicroServer offeriert. ClearOS betreibt einen App-Store, über den ClearOS-Installationen zusätzliche Dienste beziehen können. Darunter gibt es sowohl freie als auch kostenpflichtige Add-ons.
Größere Netzwerke beherbergen mindestens eine VM pro Dienst. Kleinere Netzwerke brauchen diese Komplexität nicht und vereinen eine ganze Reihe von Services auf einer einzigen Maschine. Damit es den Administratoren nicht zu schwerfällt, alle diese Dienste einzurichten und zu verwalten, gibt es besondere SMB-Editionen (Small and Medium Business), die den Umgang mit Diensten erheblich vereinfachen. Alternativ könnten Administratoren reguläre Linux-Distributionen mit Erweiterungen versehen, die die Dienstkonfiguration per Web-UI erlauben. Aber diese Tools decken meistens nicht alle Dienste ab. Die speziellen Linux-Distributionen für KMU liefern nicht nur komfortable Konfigurationstools. In der Regel steht ein Unternehmen dahinter, das neben der rohen Distribution auch Service und Support offeriert. Vier dieser Linux-SMB-Distributionen sind einen Blick wert.
ClearOS auf dem Abstellgleis
Das Linux-Derivat ClearOS [1] stellt die Non-Profit-Organisation "ClearFoundation" aus Neuseeland zur Verfügung und war früher unter dem Namen "ClarkConnect" bekannt. ClearOS basiert wie Oracle Linux oder das frühere CentOS (heute Rocky Linux) auf den offenen Quellen von Red Hat Enterprise Linux (RHEL). Anders als RHEL und Rocky setzt Clear-OS allerdings noch auf der alten Version 7 auf und nicht dem aktuellen Release 8.
ClearOS vertreibt mehrere Versionen: Neben der freien Community-Edition gibt es kostenpflichtige Varianten mit Support. Zu den Unterstützern von ClearCenter gehört unter anderem HPE, das ClearOS auf seinen ProLiant-Servern inklusive der MicroServer offeriert. ClearOS betreibt einen App-Store, über den ClearOS-Installationen zusätzliche Dienste beziehen können. Darunter gibt es sowohl freie als auch kostenpflichtige Add-ons.
Leider zeigen die Community und die Aktivität des Herstellers im Internet, dass es um ClearOS immer ruhiger wird. Auf den Github-Repositories von ClearOS gibt es seit 2019 keine Commits mehr, der Bugtraker listet kaum neue Einträge und die Website zeigt lange veraltete Roadmap-Dokumente. Von dem bereits 2019 angekündigten ClearOS-8-Beta-Release fehlt nach wie vor jede Spur. Ende September 2021 brachte ClearOS das Update auf die Version 7.9 heraus – genau ein Jahr nach dem 7.9-Release von RHEL und CentOS. Das Release 7.9 wiederum ist die finale Version von RHEL/Centos 7. Dafür wird es zwar noch bis 2024 Fixes geben, aber keine funktionellen Updates oder neue Software mehr. Wer ClearOS für seine Umgebung nutzen möchte, sollte sehr genau im Auge behalten, wie und wann weitere Updates erscheinen, und vor allem, ob die ClearFoundation endlich das lang versprochene Release 8 vorstellt.
Das Aufsetzen von ClearOS geht schnell von der Hand und unterscheidet sich nicht von einer RHEL/Centos-Installation. Sobald das System läuft, stellt es dem Anwender eine Web-Admin-UI auf dem Port 81 des Serversystems zur Verfügung. Diese Verwaltungsanwendung nutzt die Sprache des Webbrowsers. Das ist leider nicht wirklich hilfreich, denn die deutsche Übersetzung der UI lässt stark zu wünschen übrig. Der "Account-Manager" heißt dann leider nicht "Benutzerverwaltung", sondern "Buchhalter" und das "Dashboard" wird zur "Instrumententafel". Leider fehlt der UI die Option, die Sprache händisch auszuwählen. Auch sonst ist die Web-UI von ClearOS nicht sehr intuitiv oder übersichtlich. Geht es darum, Dienste einzurichten, springt die Anzeige ohne weitere Erklärung immer nur auf den "Directory Server", denn der scheint eine Voraussetzung zu sein. Läuft dieser Dienst, erlaubt dies die Konfiguration anderer Services, aber auch hier fehlt es an Dialogen. Im Menü "Datei" stellt der Admin den Samba-Server ein, aber eine so wichtige Option wie "Freigabe hinzufügen" fehlt. Manche Dienste wie den Druckserver verwaltet ClearOS nicht über die eigene GUI, sondern leitet den Administrator einfach auf die UI des jeweiligen Dienstes wie Cups weiter.
Das Grundkonzept von ClearOS passt auch mit verschiedenen Editionen und Subskriptionen für den Support, doch die Implementierung hakt. Der UI mangelt es an Funktionalität und Übersicht. Das KO-Kriterium für ClearOS ist jedoch, dass es scheinbar nicht aktiv weiterentwickelt wird. Das erst vor Kurzem vorgestellte Update basiert auf einem zwölf Monate alten CentOS/RHEL-Release und von einer neuen Version auf Basis Rocky Linux/RHEL 8 fehlt jede Spur.
Nethserver will neue Wege beschreiten
Nethserver [2] ist ein Open-Source-Projekt des italienischen IT-Dienstleisters Nethesis. Das grundlegende Konzept von Nethserver gleicht derzeit noch dem ClearOS-Ansatz. Auch Nethserver basiert auf CentOS 7, offeriert mehrere freie und kostenpflichtige Modelle und bringt eine Web-UI für die vereinfachte Konfiguration mit. Allerdings strickt Nethserver keine komplett eigene Webapplikation wie ClearOS, sondern nutzt das modulare Cockpit-Webmanagement. Das liefert deutlich mehr Übersicht als die ClearOS-UI.
Bild 1: ClearOS kommt mit einer Samba-Verwaltung daher, hat aber schon verdächtig lange keine Updates mehr erfahren.
Viel wichtiger ist bei Nethserver jedoch, dass das Community-Projekt der Version 7 lebt. Für die Version 8 plant Nethesis eine ziemlich radikale Neustrukturierung des Systems. Die anstehende Version bringt dabei gar keine eigene Linux-Distribution mehr mit. Als Basis dienen aktuell Debian 11 oder Fedora 34. Darauf laufen die Dienste dann innerhalb von Podman-Containern. Die Benutzer können mehrere Nethserver-Instanzen zu einem Cluster zusammenfügen und ihre Dienste darauf verteilen. Im Prinzip will Nethesis eine Art "Kubernetes light" für kleinere Umgebungen mit einer simplen Web-UI entwickeln. Das ist ein ziemlich großes Vorhaben für einen IT-Dienstleister mit 35 Mitarbeitern, vor allem wenn Nethesis für dieses große Projekt künftig auch kommerziellen Support liefern will. Im GitHub-Repository des Projekts zeigt sich allerdings, dass aktuell nur fünf Entwickler am Projekt arbeiten und deren Aktivität seit Juli nahezu zum Erliegen gekommen ist.
Auch Nethserver basiert auf den CentOS/RHEL-Sourcen der Version 7. Die Web-UI basierend auf Cockpit liefert mehr Übersicht und lässt sich besser bedienen als das UI von ClearOS. Aber auch bei Nethserver fehlen Konfigurationsoptionen wie beispielsweise die Verwaltung von Samba-Freigaben via Web-UI. Das Projekt ist aktiv und besser gepflegt als ClearOS. Einen sehr interessanten Ansatz verfolgt Nethesis mit dem Nethserver-8-Konzept. Ein Kubernetes-freier Container-Cluster mit einer schicken Web-UI würde sich perfekt für SMB-Installationen eignen. Es bleibt zu hoffen, dass dieses Projekt nicht einschläft und in absehbarer Zeit eine Beta-Version veröffentlicht.
Bild 2: Die angekündigte Version 8 von Nethserver will Anwendungen als Container ausliefern. Wann dieses Release zur Verfügung stehen wird, ist jedoch noch nicht absehbar.
Vorsicht bei Zentyal
Das spanische Open-Source-Projekt Zentyal [3], das früher den Namen "eBox Platform" trug, wurde eigentlich als Exchange-Klon bekannt. Dazu nutzte die Lösung eine MAPI-Implementierung, die Outlook-Clients bedienen konnte. Zentyal und seinen Vorläufer gab es sowohl als Stand-alone-Lösung als auch als Hosted-Service. Doch bereits zum Release 5 trennte sich das Projekt von der MAPI-Implementierung und arbeitet heute mit den regulären Internet-Protokollen wie IMAP und SMTP.
Das aktuelle Zentyal 7 basiert auf Ubuntu 20.04 und lässt sich entweder mit einem eigenen Image oder einem bereits laufenden Ubuntu-Server installieren. Anders als ClearOS oder Nethserver offeriert Zentyal keinen großen App-Store für viele verschiedene Server-Apps wie Bildergalerien oder Ähnliches. Das System konzentriert sich auf die wesentlichen Groupware-Funktionen: Directory, File- und Printsharing, Zertifikatsmanagement, Mail/Chat/Groupware-Server und Internet-Gateway.
Die Grundinstallation mit der eigenen DVD führt durch das bekannte Ubuntu-Setup und fügt am Ende die Zeytal-Komponenten hinzu. Nach einem Neustart steht die Web-UI der Installation auf der Server-IP-Adresse unter Port 8443 zur Verfügung. Parallel startet der Server die lokale X11-UI, meldet den zuvor definierten Benutzer automatisch an und öffnet den Browser mit der Admin-Oberfläche. Das Auto-Login auf die lokale X11-Oberfläche findet jedoch nur beim ersten Start des Zentyal-Servers statt, danach muss sich der Verwalter regulär mit Usernamen und Passwort anmelden.
Die Web-UI erscheint aufgeräumt und übersichtlich. Fast alle Konfigurationsoptionen sind enthalten – aber eben nur fast. Wer beispielsweise die Windows-Dateifreigabe via Samba konfiguriert, sieht die UI der Dienstkonfiguration für Samba – aber nur ein einziges Mal. Denn nach der initialen Samba-Konfiguration verschwindet die Samba-Settings-UI hinter einer Paywall. Der Administrator findet an dieser Stelle dann nur noch den Text: "This GUI feature is just available in the Commercial Zentyal Edition ...". Solche Einschränkungen der Community-Edition gibt es bei den anderen beiden Servern nicht. Entweder ist eine Funktion in der freien Variante verfügbar oder eben nicht.
Nach unserem aktuellen Kenntnisstand sollten Anwender sehr genau überlegen, ob sie eine kommerzielle Version von Zentyal und damit Support erwerben. Der Webdienst Infoempresa, der seine Informationen aus dem spanischen Handelsregister bezieht, führt "Zentyal SL" seit 2016 als "Insolvent" auf. Zudem wurde es in letzter Zeit ruhiger um die Lösung, sowohl auf der offiziellen Webseite als auch in den Community-Foren. Die letzte "News" auf der Webseite ist die Ankündigung der Zentyal Version 7 im Juli 2021, der letzte Commit im Github-Repository war bereits am 18.5.21. Im Bugtracker passiert seit August nicht mehr viel.
Zentyal Server 7 wäre insgesamt eigentlich eine durchdachte Lösung. Die UI ist aufgeräumt und übersichtlich und die Funktionen beschränken sich auf die wesentlichen Dienste, die eine KMU Installation wirklich braucht. Sehr gut gefällt dabei unter anderem die integrierte CA, mit der sich Zertifikate für lokale Dienste und Systeme sehr einfach verwalten lassen. Schade ist im Gegenzug, das einige wichtige Menüs hinter der "Gibt es nur in der kommerziellen Version"-Paywall verschwinden. Und ob der IT-Verantwortliche einen Supportvertrag mit einem möglicherweise bald nicht mehr existierenden Unternehmen abschließt, sollte er sich sehr genau überlegen.
Bild 3: Die freie Variante von Zentyal baut vor gewissen Administrationsvorgängen eine Paywall auf.
Univention Corporate Server
Der Univention Corporate Server [4] der deutschen Univention GmbH feiert im kommenden Jahr seinen zwanzigsten Geburtstag. Der Hersteller vertreibt auch hier unterschiedliche Varianten. Bis 2015 gab es eine freie Version für den persönlichen Gebrauch, die nicht kommerziell betrieben werden durfte. Von diesem Modell hat sich der Hersteller jedoch abgewandt. Die freie "UCS Core Edition" dürfen auch Unternehmen nutzen, nur Support gibt es dann keinen. Wer diesen benötigt, kann Subskriptionen mit verschiedenen SLAs erwerben. Zudem existiert eine spezielle Edition für Schulen.
Die aktuelle Version 5 basiert im Kern auf Debian 10.9 und bringt eine Reihe eigener Erweiterungen mit. An erster Stelle steht bei Univention immer das Benutzerverzeichnis. Ein neuer UCS-Server tritt entweder einer bestehenden Domäne bei oder erstellt eine neue – ohne LDAP/Kerberos-Backend geht also nichts. Im Gegenzug integriert UCS auch die Applikationen aus dem App-Store konsequent in das Directory. Kein Service kommt hier mit seiner eigenen Admin-UI und einem eigenen lokalen Nutzermanagement daher. Installieren Sie beispielsweise den Jitsi-Videokonferenzserver aus dem UCS-Appstore, integriert sich dieser umgehend mit dem Directory. Anwender mit einem gültigen Account und einer App-Freigabe für Jitsi im Directory können daraufhin den Videokonferenzservice sofort nutzen. UCS kann sich via SAML auch mit Internet-Account-Services wie Google oder Salesforce verbinden.
Univention implementiert viele seine Add-on-Apps bereits via Container. Im Hintergrund des Servers läuft der Docker-Dienst auf dem UCS-Rechner. Die Apps bezieht UCS dabei nicht vom unsicheren "dockerhub", sondern von einer hauseigenen Registry. Den Zugang zu den containerisierten Diensten schaltet der Apache-Webserver des UCS via Reverse-Proxy und Name-based-Routing durch. Damit Letzteres sauber funktioniert, muss natürlich der DNS-Dienst im Netzwerk passen. Das ist einer der kleinen Stolpersteine von UCS. Tritt der Server selbst als DNS-Dienst im lokalen LAN auf, klappt alles wie gewünscht. Läuft UCS in einem LAN mit einem bereits bestehenden DNS-Server, muss der Administrator unter Umständen die DNS-Konfiguration des bestehenden Dienstes anpassen.
Bei der Web-UI hat das System in den letzten Jahren massiv zugelegt. Die UIs der UCS-2.x-Versionen ließen damals noch etliche Wünsche offen, doch das hat sich entschieden geändert. Das Portal gruppiert Funktionen und Einstellungen übersichtlich. Als Lösung eines deutschen Herstellers muss sich der Admin in der deutschen Web-UI auch nicht mit schlecht übersetzten Dialogen und "Buchhaltern" herumärgern. Auch das Umfeld um den UCS passt: Das GitHub-Repository mit den UCS-Source ist gut gepflegt mit rund 25 aktiven Code-Contributoren.
UCS gehört mit 19 Jahren wohl zu den dienstältesten KMU-Linux-Servern auf dem Markt. Zu seinen Stärken zählen die sehr gute Directory-Integration und -Verwaltung sowie sein gewachsenes, stabiles Web-UI. Debian 10 sorgt für eine solide OS-Basis und die Migration zu containerisierten Apps auf Basis von Docker ist zukunftsweisend. Zudem steht hinter UCS ein Unternehmen, das Produkt und Support bereits seit fast 20 Jahren anbietet.
Bild 4: UCS liefert Apps als Container aus und ist auch ansonsten gut gepflegt und supportet.
Fazit
Zwar zeigen alle vier Linux-Server für KMU auf den ersten kurzen Blick vielversprechende Ansätze, vor allem die SMB-Container-Cluster-Idee von Nethserver 8 ist interessant. Das kann aber leider nicht darüber hinwegtäuschen, dass zwei der Server eher mäßig gepflegt erscheinen und Nethserver 8 noch auf ein Alpha-Release wartet. Lediglich der Univention Corporate Server weist eine lebendige Community und den Support eines zuverlässigen Unternehmens auf. Wer auf der Suche nach einer Linux-SMB-Distribution ist, sollte hier anfangen. Alternativ müsste sich der Administrator selbst eine Infrastruktur aus einer zeitgemäßen Linux-Distribution mit UI-Management-Tools wie Cockpit zusammenbauen, dann aber auf den kommerziellen Support verzichten.
(jp)
Link-Codes