ADMIN

2022

09

2022-08-30T12:00:00

Datenbanken und Applikationen

PRAXIS

052

Clientmanagement

Thin-Client

Open-Source

Open-Source-Software für Thin-Client-Umgebungen

Extrem sparsam

von Dr. Holger Reibold

Veröffentlicht in Ausgabe 09/2022 - PRAXIS

Neben einem Plus an Sicherheit, möglichen Kostenreduktionen und dem Mehrwert einer zentralisierten Verwaltung helfen Thin Clients auch, Strom zu sparen. Nicht zuletzt die drohende Energieknappheit durch die Ukrainekrise verstärkt den Druck auf Unternehmen, Energieeinsparpotenziale zu erschließen. Schlanke Endgeräte sind hier eine Option und wir betrachten freie Werkzeuge für Betrieb und Verwaltung.

Thin Clients blicken auf eine lange Tradition zurück: Mit der Entwicklung des ENIAC (Electronic Numerical Integrator and Computer) in den 1940er Jahren durch die US-Armee entstanden die ersten "Lightweight Devices" und der Thin Client war geboren. 80 Jahre später hat sich an dem Grundprinzip wenig geändert: Ein leistungsstarker Server stellt den Clients seine Funktionalität zur Verfügung und entlastet diese von rechenintensiven Aufgaben. Die Endgeräte sind auf das Notwendigste reduziert und erhalten vom Server verschiedene Vorgaben, was zu mehr Sicherheit und einer verbesserten Skalierbarkeit führt. Gleichwohl unterliegen Thin Clients gewissen Einschränkungen, denn sie sind insbesondere in hohem Maße von der Netzwerkfunktionalität und der Leistung der Server abhängig.
Mit Thin Clients Stromkosten reduzieren
Bereits seit über einer Dekade liegt der Stromverbrauch des IT-Sektors global betrachtet hinter China und den USA auf Platz 3. Und es bedarf keines Propheten, um angesichts der zunehmenden Digitalisierung einen weiteren signifikanten Anstieg vorherzusagen, etwa in der Industrie 4.0 und ihrem explosionsartigen Anstieg von IoT-Devices. Laut Bitkom verbrauchte IT im Jahr 2020 rund 16 Milliarden Kilowattstunden, 2016 lag dieser Wert noch bei 12,4 Milliarden kWh.
Insbesondere der gestiegene Kostendruck dürfte dafür verantwortlich sein, dass Verantwortliche die Optimierung des Ressourcenverbrauchs anstreben. Als ein wichtigster Ansatzpunkt gilt dabei die Virtualisierung, die die Konsolidierung der Serverbestände noch immer vorantreibt.
Thin Clients blicken auf eine lange Tradition zurück: Mit der Entwicklung des ENIAC (Electronic Numerical Integrator and Computer) in den 1940er Jahren durch die US-Armee entstanden die ersten "Lightweight Devices" und der Thin Client war geboren. 80 Jahre später hat sich an dem Grundprinzip wenig geändert: Ein leistungsstarker Server stellt den Clients seine Funktionalität zur Verfügung und entlastet diese von rechenintensiven Aufgaben. Die Endgeräte sind auf das Notwendigste reduziert und erhalten vom Server verschiedene Vorgaben, was zu mehr Sicherheit und einer verbesserten Skalierbarkeit führt. Gleichwohl unterliegen Thin Clients gewissen Einschränkungen, denn sie sind insbesondere in hohem Maße von der Netzwerkfunktionalität und der Leistung der Server abhängig.
Mit Thin Clients Stromkosten reduzieren
Bereits seit über einer Dekade liegt der Stromverbrauch des IT-Sektors global betrachtet hinter China und den USA auf Platz 3. Und es bedarf keines Propheten, um angesichts der zunehmenden Digitalisierung einen weiteren signifikanten Anstieg vorherzusagen, etwa in der Industrie 4.0 und ihrem explosionsartigen Anstieg von IoT-Devices. Laut Bitkom verbrauchte IT im Jahr 2020 rund 16 Milliarden Kilowattstunden, 2016 lag dieser Wert noch bei 12,4 Milliarden kWh.
Insbesondere der gestiegene Kostendruck dürfte dafür verantwortlich sein, dass Verantwortliche die Optimierung des Ressourcenverbrauchs anstreben. Als ein wichtigster Ansatzpunkt gilt dabei die Virtualisierung, die die Konsolidierung der Serverbestände noch immer vorantreibt.
Aber auch durch die Thin-Client-Technologie lassen sich bedeutende Ressourcen einsparen. Doch wie erschließen IT-Verantwortliche dieses Potenzial im Unternehmensalltag? Der Thin Client verzichtet im Unterschied zum Fat Client üblicherweise auf bewegliche Teile und eine Ausstattung mit Peripheriegeräten. Wichtig ist eigentlich nur, dass der Zugriff auf die virtuelle Desktopumgebung (Virtual Desktop Infrastructure, VDI) in einer ausreichend hohen Qualität möglich ist. Dazu dienen ausgediehnte PCs ebenso wie kostengünstige Thin-Client-PCs, die im Fachhandel ab 300 Euro verfügbar sind. Die Grenzen zwischen einem Thin, Thick und Zero Client sind dabei fließend.
Weiter gilt es, die Frage zu beantworten, mit welchem Betriebssystem die Thin-Client-Umgebung inklusive Management implementiert werden soll. Neben bekannten kommerziellen Lösungen bietet sich insbesondere der Einsatz von Open-Source-Werkzeugen an, die die serverseitige Managementumgebung und abgestimmte Clients zur Verfügung stellen. Dabei ist insbesondere darauf zu achten, dass diese gängige Verbindungsprotokolle wie Citrix ICA, Microsoft Windows Terminal Services, VMware Horizon View et cetera unterstützen.
Mit DRBL einfach zu Thin Clients
Eine traditionelle Linux-Umgebung mit der Möglichkeit zur einfachen Implementierung einer Thin-Client-Infrastruktur bietet DRBL (Diskless Remote Boot in Linux) [1]. Wie diese Bezeichnung bereits erkennen lässt, handelt es sich um eine festplattenlose Umgebung für Clients. DRBL läuft unter Debian, Ubuntu, Red Hat, Fedora, CentOS und SuSE und verwendet verteilte Hardwareressourcen.
Damit das Programm friedlich mit anderen Betriebssystemen koexistiert, integriert es Clonezilla, ein Dienstprogramm zum Partitionieren und Klonen von Festplatten. DRBL verwendet festplattenlose Client-Bootvorgänge mit PXE/Etherboot sowie NFS und NIS, um Clientrechnern die gewünschten Dienste bereitzustellen. Dabei berührt DRBL bestehende Festplatten am Client nicht.
Der zentrale Vorteil von DRBL ist der minimale Aufwand, mit dem sich ein Standard-PC in eine Thin-Client-Umgebung überführen lassen kann. Dazu laden Sie sich einfach das DRBL-Paket herunter und führen die Setup-Skripte aus. Dafür benötigen Sie kaum mehr als eine Stunde – inklusive der Client-Inbetriebnahme.
Optional können Sie die DRBL-Clients auch mit einem Speichermedium ausstatten. Steht auf dem Endgerät eine HD/SDD zur Verfügung, können Sie die Clientkonfiguration so anpassen, dass diese Medien als Auslagerungsspeicher zum Einsatz kommen. Die zentralisierte Boot-Umgebung von DRBL erlaubt die einheitliche System- und Softwarekonfiguration für die Clients. Zur Systemadministration der DRBL-Umgebung stehen eine Fülle von spezifischen Konsolenwerkzeugen zur Verfügung. Zur Verwaltung von Benutzern kommt beispielsweise "drbl-useradd" zum Einsatz und mit "drbl-login-switch" ändern IT-Verantwortliche den grafischen Login-Modus der Clients.
Die Entwickler stellen außerdem mit "DRBL-Winrollist" ein Tool zur Verfügung, das Windows-Clients die Verarbeitung von Befehlen eines DRBL-Servers erlaubt. Damit gehören Windows- Hostnamen- und SID-Duplizierungsprobleme durch die Verwendung des Image-Clone-Tools in einem lokalen LAN der Vergangenheit an.
Bild 1: Das Auswahlmenü der DRBL-Ausführungsmodi erinnert an alte Zeiten – tut aber, was es soll.
Zentraler Ansatz mit openthinclient
Hinter openthinclient [2] steht eine Java-basierte Thin-Client-Serverumgebung, die unter der GNU-GPL lizenziert und für den Betrieb mit bis zu 49 Benutzern kostenfrei ist. Die Software unterscheidet sich hinsichtlich der Funktionsweise von anderen hier vorgestellten Werkzeugen: Statt auf eine Sammlung verschiedener Dienste zu setzen, die Admins über textbasierte Konfigurationsdateien steuern, basiert openthinclient auf einem monolithischen System, in dem Sie alle Dienste gebündelt über eine grafische Oberfläche verwalten und das openthinclient-OS per Netzwerk bootet.
Der zentrale Managementserver stellt im Netzwerk sämtliche Dienste, Programmdateien und Konfigurationen zur Verfügung, die den Thin Clients erlauben, über das Netzwerk zu booten, und gleichzeitig deren zentrale Verwaltung ermöglichen. Der Managementserver stellt mehrere zentrale Dienste bereit:
- LDAP
- NFS/Portmapper: Stellt Dateien für Thin Clients zur Verfügung.
- Proxy-DHCP: Fängt DHCP-Anfragen ab und sendet Boot-Informationen.
- Syslog: Speichert Logs der Thin Clients auf Server.
- TFTP: Stellt Boot-Dateien bereit.
- Webserver für das openthinclient-Management.
Das Highlight von openthinclient ist zweifelsohne die webbasierte Administrationszentrale. Das übersichtlich gestaltete Dashboard gibt einen Überblick über den Systemzustand, bestehende Clientverbindungen, die ausgeführten Dienste und die Verfügbarkeit von Updates. Eine weitere Besonderheit ist die mögliche Integration in das Active Directory. Damit vereinfacht sich die Benutzerverwaltung. Der Umgang mit serverseitig bereitgestellter Software optimiert der integrierte Paketmanager und auch Backups der Umgebung sind problemlos möglich.
Von der Schule ins Büro: linuxmuster.net
Für den Einsatz in Bildungseinrichtungen ist linuxmuster.net [3] konzipiert. Dabei handelt es sich um eine Weiterentwicklung des Schulservers "openML" und damit um den direkten Nachfolger von PaedML-Linux. Seit nunmehr über 20 Jahren wird dieses Projekt von verschiedenen staatlichen Institutionen mit dem Ziel gefördert, eine stabile und sichere Umgebung für spezifische Anforderungen in Ausbildungsstätten zu entwickeln. Heute treibt der gleichnamige Verein die Weiterentwicklung voran.
Die Anwendung ist als Zwei-Server-Infrastruktur konzipiert und kombiniert den eigenen Terminalserver mit einer Firewall. Alternativ ist die Installation als Docker- oder opsi-Container sowie als VM möglich. Die Administration erfolgt über eine Web-GUI beziehungsweise ist eine Erstkonfiguration mit dem konsolenbasierten Setup möglich. Die Clients greifen per PXE auf den Server zu. Die Nutzung vereinfacht sich für Windows-Clients durch die Verwendung des Imaging-Tools LINBO.
Linuxmuster bietet eine Fülle an administrativen Optionen: In Verbindung mit dem Proxy-Server ist ein Single-Sign-On-Zugriff konfigurierbar, alternativ lässt sich ein RADIUS-Server wie FreeRADIUS einbinden. Die Umgebung ist außerdem für das Zusammenspiel mit dem Active Directory gerüstet. Außerdem erlaubt der integrierte OpenVPN-Server den gesicherten externen Zugriff. Auch wenn diese Umgebung auf den Einsatz im schulischen Umfeld zielt, macht sie auch im Unternehmenskontext eine gute Figur. Dank der umfangreichen Dokumentation gestaltet sich der Einstieg einfach.
Bild 2: Die openthinclient-Software eröffnet den kostengünstigen Einstieg in die Welt der Thin Clients und glänzt durch eine hohe Benutzerfreundlichkeit.
Robuste Umgebungen mit LTSP
Das Linux Terminal Server Project (LTSP) [4] ist ein wahrer Klassiker unter den Terminalinfrastrukturen. Das Projekt wurde bereits im Jahr 1999 von Jim McQuillan initiiert und er ist nach wie vor als Projektleiter aktiv. Wie bei anderen hier vorgestellten Umgebungen erfolgt der Boot von LAN-Clients über das Netzwerk. Dazu bedient sich die Software eines Templates, das sich in einem Image einer VM oder einem Chroot auf dem LTSP-Server beziehungsweise dem Server-Root befindet. LTSP wurde 2019 von Grund auf neu gestaltet und geschrieben, um aktuelle Technologien wie systemd, aktualisierte Desktopumgebungen, das Wayland-Protokoll, UEFI und so weiter zu unterstützen. Die neue Version wird aktiv weiterentwickelt, während die alte nur noch mit minimalem Aufwand im Wartungsmodus gepflegt wird.
In LTSP kommt der iPXE-Netzwerk-Bootloader zum Einsatz, der das Startmenü des Clients anzeigt und den Kernel (initrd) lädt. Der DHCP-Server "isc-dhcp-server" weist den Clients die IP-Adressen zu. Für die DHCP-Funktionen eines Routers kommt der Proxy-DHCP-Server zum Einsatz. Optional kann "dnsmasq" als DNS-Server für DNS-Caching oder Blacklisting dienen.
Für das Erstellen einer komprimierten Kopie des Vorlagenimages ist "mksquashfs" zuständig, das per NFS oder NBD für das Netzwerk bereitgestellt wird. Die beiden Tools "tmpfs" und "overlayf" machen das squashfs-Image temporär für jeden Client beschreibbar – so wie von Live-CDs bekannt. Der Zugriff auf das Home-Verzeichnis des Benutzers erfolgt entweder per NFS oder SSHFS, wobei die Authentifizierung gegenüber dem Server auf SSH oder LDAP basiert.
Der LTSP-Server ist für die Ausführung auf einem Debian- oder Ubuntu-System konzipiert. Auf Clientseite ist die Verwendung eines iPXE-Treibers erforderlich. Im Praxiseinsatz erweist sich LTSP als ausgesprochen stabil. Die Umgebung tut, was sie soll – nicht mehr und nicht weniger.
Bild 3: Linuxmuster.net liefert solide Thin-Client-Funktionalität und ist einfach zu implementieren.
Thinstation bietet die meisten Protokolle
Hinter Thinstation [5] verbirgt sich ein Framework für Thin-Client-Umgebungen und Cloud-basierte VDIs. Diese Infrastruktur hebt sich durch eine breite Protokollunterstützung von anderen hier vorgestellten Umgebungen ab. ThinStation unterstützt insbesondere folgende Verbindungsprotokolle: Citrix ICA, Redhat Spice, NoMachine NX, 2X ThinClient, Microsoft-Windows-Terminaldienste (RDP, über RDesktop/FreeRDP), VMware Horizon View, Cendio ThinLinc, Tarantella, X, Telnet, tn5250, VMS-Terminal und SSH.
Während ThinStation auf einem Linux-System läuft, spielt die Leistungsfähigkeit des Clients kaum eine Rolle. Auch Workstation-Geräte (Floppy/HD/CD/USB) und Drucker (LPT/USB) sind unterstützt. Das Booten kann über das Netzwerk mit Etherboot/PXE oder von einem lokalen Medium erfolgen. Die Entwickler stellen auch eine Live-CD zur Verfügung.
Üblicherweise erfolgt die Thin-Client-Konfiguration zentralisiert, um die Verwaltung zu vereinfachen. Zu beachten ist, dass ab Version 6.0 lediglich 64-Bit-Systeme für die Thinstation-Ausführung unterstützt werden; die aktuell stabile Version ist 6.2.13. Die Handhabung gestaltet sich hier und da ein wenig umständlich, doch das dürfte routinierte Administratoren nicht schrecken.
Bild 4: Univention Corporate Server bietet eine Kombination von Enterprise-Server und Thin-Client-Anbindung.
Mehr als Thin Clients: Univention Corporate Server
Die meisten Thin-Client-Server sind auf die ausschließliche Anbindung von Thin Clients beschränkt – nicht so der Univention Corporate Server (UCS) [6]. Es handelt sich dabei um ein Debian-basiertes System mit integriertem Identity- und Infrastrukturmanagementsystem, das die zentrale und plattformübergreifende Verwaltung von Servern, Diensten, Clients, Desktops und Benutzern sowie von unter UCS betriebenen virtualisierten Computern erlaubt. UCS unterscheidet sich in einem weiteren Punkt: Neben dem Betrieb lokaler virtueller Instanzen kann das System auch in OpenStack-basierten Clouds, Microsoft-Azure-Clouds und in Amazon-EC2-Cloud-Umgebungen arbeiten.
Das Univention-App-Center verfügt über ein flexibles Clientmanagement-System, das die Anbindung von Standard-PCs, Notebooks und Thin Clients erlaubt. Grundsätzlich ist UCS als Unternehmensplattform konzipiert, die eine Fülle von relevanten Enterprisesystemen wie Mailserver, Groupware, ERP oder auch Virtualisierung bietet. Damit bringt dieses System ein größtmögliches Maß an Flexibilität, gerade auch dank der Abstimmung zu Windows-basierten Servern. Weitere Pluspunkte: Univention hat seinen Hauptsitz in Bremen und Unternehmen, die über die kostenlose UCS-Core-Edition hinaus Support, zeitnahe Updates und verschiedene Zusatzmodule benötigen, können auf kommerzielle Varianten umsteigen.
 Fazit
Die Open-Source-Gemeinde hat eine ansehnliche Palette an Thin-Client-Implementierungen zu bieten. Für Unternehmen besteht die Herausforderung in der Wahl einer geeigneten Umgebung. Überall dort, wo eine einfach administrierbare Infrastruktur für Standardaufgaben gewünscht ist, ist openthinclient dank seiner Funktionalität und Benutzerfreundlichkeit eine gute Option. Für gemischte Installationen, die auf Think und Thin Clients setzen, ist UCS erste Wahl.
(jp)
Link-Codes
[2] openthinclient: https://openthinclient.com/de/
[4] Terminal Server Project: https://ltsp.org/
[6] Univention Corporate Server: https://www.univention.de/produkte/ucs/