Für Linux-Clients gab es bisher kein Produkt, das alle Anforderungen an deren Administration vollumfänglich und ganzheitlich erfüllt – insbesondere über diverse Distributionen hinweg. Zwar gibt es auch in der Linux-Welt bewährte Anwendungen wie Foreman, Salt, Ansible und Puppet, die vor allem in der Cloud unterschiedliche Aufgaben des Konfigurationsmanagements und der damit einhergehenden Automatisierung vorbildlich und zuverlässig erledigen. Dennoch waren IT-Verantwortliche mit deren Integration bisher weitgehend allein gelassen und professionellen Support für Desktops suchten sie bisher vergeblich.

Hier setzt das Linux-Clientmanagement des oberbayerischen Open-Source-Systemhauses B1 [1] an. Der Anbieter definiert sein Angebot weniger als "Produkt", sondern eher als Open-Source-Dienstleistung. Das Unternehmen gibt alle Beiträge und Veränderungen an den beteiligten OSS-Tools upstream und die Kunden erhalten ein maßgeschneidertes, vorkonfiguriertes System.

Die Stoßrichtung ist klar: Red Hats Satellite-Produkte unterstützen nur Red-Hat-Clients und adressieren, wie auch der SUSE Manager, vorwiegend Serversysteme. Im Markt sind Linux-Desktops ja auch rar – sowohl SUSE als auch Red Hat hatten wenig Erfolg mit ihren etwas stiefmütterlich behandelten Desktopprodukten und fast alle wurden wieder eingestampft. Ubuntus Landscape adressiert analog nur Ubuntu-Clients, kommt dem Desktopmanagement aber am nächsten. In der Regel setzen die drei Großen auf die hausinternen Werkzeuge, spätestens bei der Integration mit fremden Diensten wie Entra ID oder Microsoft Teams wird es für den IT-Verantwortlichen schwierig bis unmöglich; derlei liegt schlicht nicht im Fokus der Hersteller.

B1 Systems will eine zentral verwaltete Infrastruktur für Linux-Clients schaffen, egal ob Desktops, Edge, Jetsons, IoT-Geräte oder Server – physisch oder virtuell. Mit Open-Source-Komponenten soll so eine einheitliche, sichere und zentrale Installation und Verwaltung von Linux-Systemen auch in anspruchsvollen Umgebungen möglich werden. Dies soll komplett mit Freier und Open-Source-Software (FOSS) gelingen. Das System kommt in verschiedenen Container-Images daher, was einfache Updates und Upgrades ermöglicht. Prinzipiell soll es verschiedenste Linux-Distributionen managen können, den Fokus legt der Hersteller jedoch auf Ubuntu Linux als Client- beziehungsweise Desktop-OS. Ubuntu deshalb, weil die Shuttleworth-Distribution selbst bereits den Desktop besonders im Fokus hat.

Im Backend werkeln Foreman, Ansible und Saltstack. Git dient als Speicher für die Konfiguration im Hintergrund. Clients lassen sich auf verschiedene Arten ausrollen, das imagebasierte Deployment unterstützt voll- und teilautomatische Installationen per PXE und TFTP mit angepassten USB- oder DVD-Bootmedien, wobei Rollouts auch remote und an externen Standorten möglich sind.

Mit der Kombination aus Foreman, Salt, Ansible (auf Wunsch auch Puppet) geben Administratoren Einstellungen auf den verwalteten Clients zentral vor. Dazu kommen Tools etwa für das Software-Repository-Management, damit Firmen beispielsweise eigene Repositories als Softwarequelle nutzen können. Katello übernimmt das CVE-Management und macht so die Patchlevel der Clients transparent. Foreman als Lifecycle-Manager sowohl für physische als auch virtuelle Server (und Clients) automatisiert alle sich wiederholenden Aufgaben, stellt Anwendungen bereit und kann Server proaktiv verwalten – lokal oder in der Cloud. Dafür kann Foreman diverse Konfigurationsmanagement-Tools anbinden (eben Puppet, Ansible, Chef und Salt) und lässt sich über mehrere Standorte, Organisationen und Firmen verteilen und skalieren. Organisatorische Einheiten wie Büros, Rechenzentren und Niederlassungen kann das Werkzeug abbilden. Foreman verspricht dabei, stets die "Single Source of Truth" bereitzustellen, also die eine, zentrale und verifizierte Quelle für Konfigurationsdaten im Unternehmen.

B1 LCM konzentriert sich auf Ansible und Salt, unterstützt aber auch das Konfigurationsmanagement mit Puppet. Doch in der Regel kommt die Kombination aus Ansible und Salt zum Einsatz, Puppet findet sich eher aus historischen Gründen in Setups. Foreman erlaubt den Import von Ansible-Rollen, um die Automatisierung von Routineaufgaben zu beschleunigen, und da ergänzt sich Ansible gut mit Saltstack. Denn während Ansible agentenlos arbeitet, etwa über SSH, nutzt Saltstack Agenten. Eine Maschine, deren Netzwerkkabel physisch durchtrennt wird, ist durch Ansible nicht mehr managebar, der Saltstack-Agent ist in diesem Fall jetzt aber immer noch in der lage, alle USB-Anschlüsse zu deaktivieren oder andere vordefinierte Konfigurationen vorzunehmen.

Die Liste der Features, die die Konfiguration von Clients ergänzt, ist lang:

- Zentrale Softwareverteilung

- Device-based Security (TPM 2.0)

- Festplattenverschlüsselung (Clevis oder systemd)

- Netzwerk- und Zertifikatsverwaltung

- Anpassungen von GNOME-, KDE-Desktops und PolicyKit-Vorgaben

- GNOME-Shell-Extensions

- USBGuard für USB-Device-Policies

- Profilverwaltung

- Monitoring und Reporting

- Staging mit Rollback-Mechanismen

Die B1-Systemanforderungen sind vergleichsweise gering: Ein Linux-Server mit Support für Docker-Container sollte mindestens vier Cores haben und 16 GByte RAM (mit Katello 64 GByte RAM) mitbringen. Eine PostgreSQL-DB muss bereitstehen, diese wird mitgeliefert oder der IT-Verantwortliche greift auf eine eigene Instanz zurück. Getestet hat B1 das LCM auf Ubuntu LTS, SUSE, Red Hat und kompatiblen OS.

Der Anbieter stellt LCM als Container über seine eigene Container-Registry zur Verfügung. Wer den Standardsupport für rund 6000 Euro (zehn Clients) erwirbt, bekommt eine garantierte Reaktionszeit von maximal vier Stunden, für 8400 Euro (Premium) garantiert B1 Feedback innerhalb einer Stunde (beides während der Bürozeiten, 24/7 gegen Aufpreis.) Ein Proxy kann bis zu 2000 Clients verwalten, die Skalierbarkeit ist getestet in Setups mit bis zu 5000 Linux-Clients.

Das Geschäftsmodell sieht vor, die zugrunde liegende Konfiguration als Dienstleistung zu verkaufen, sodass der Betrieb später durch die Administratoren erfolgt – unterstützt von B1 Systems und abgesichert durch einen der angesprochenen Supportverträge. Auch ein gehostetes Setup von B1 ist im Angebot.

Um zu zeigen, wie der IT-Verantwortliche mit dem System arbeitet, wollen wir uns ansehen, wie sich ein erster Client anlegen lässt. Im B1-Webinterface (das ein angepasstes Foreman ist) legt der Administrator dazu einen neuen Host an, trägt die passende MAC-Adresse des Rechners ein und wählt ein "Operating System" aus. Dann nimmt er die Maschine in die gewünschte Host-Gruppe, beispielsweise "Office-Desktop", auf und packt ihn in die Lokation "Berlin". Zahlreiche Clienteinstellungen lassen sich hier vergeben: Ist beispielsweise kein zentraler Anmeldedienst verfügbar, definieren die Optionen einen oder mehrere lokale User. Deren Steuerung erfolgt zentral über Host- Parameter.

Jetzt kann der Client booten: Über PXE/ TFTP oder via Installer konfiguriert LCM die Maschine, bis am anderen Ende ein nach den Vorgaben konfigurierter Rechner herausfällt, sofort bereit für die Nutzung. Anschließend findet sich im LCM-Management unter "Hosts / Reports" ein Konfigurationsbericht ("Config Report"). Sofern dort alles grün ist, hat die Installation geklappt und die Konfiguration ist sauber auf dem Rechner angekommen.

Foreman bringt dafür, wie angesprochen, ein Webfrontend, eine Kommandozeile und ein REST-API mit. Die Anwendung beherrscht rollenbasierte Zugriffskontrolle, Host-Gruppen, Audits, Provisionierung, Monitoring und besagte Konfiguration via Salt und Puppet. Zudem stehen zahlreiche Plug-ins zur Verfügung, die die Funktionalität noch weiter aufbohren. Wie üblich bei Open Source ist Foreman frei verfügbar, B1 ist direkt an der Entwicklung beteiligt und gibt alle eigenen Weiterentwicklungen frei – bisher gibt es daher auch keine separaten Downloads des B1 LCM. Das Verwaltungstool integriert mit zahlreichen proprietären Diensten wie dem Active Directory diverse VPNs, Office 365 oder auch diverse Cloudservices (AWS, Azure).

Das zentrale Konfigurationsmanagement dient auch dazu, DevOps- und GitOps-Methoden zu erzwingen. Integriertes Staging erlaubt das konsequente Testen von Software und ihren Einstellungen, bevor Probleme beim Anwender aufschlagen. Alle für die Konfiguration relevanten Daten landen in Git, auch die Integration eines Buildservice ist denkbar. Damit ist die nachweisbare Umsetzung von Compliance- und Sicherheitsrichtlinien möglich und auch eine zentrale Authentifizierung oder ein VPN auf mobilen Geräten lassen sich so erzwingen. Das zentrale Patchmanagement stellt dabei sicher, dass alle Geräte stets auf dem aktuellen Stand sind.

B1 LCM orientiert sich an bewährten Open-Source-Standards und setzt auf etablierte Software. Über einen Testzugang können Sie das System mit dem Foreman-Webinterface ausprobieren; dort finden sich bereits erstaunlich umfangreiche Funktionen. Vertrauen schafft zudem, dass der Anbieter kein Start-up ist, sondern seit vielen Jahren im Enterprise-Linux-Bereich unterwegs ist und dort einen guten Ruf genießt.

Die Clientverwaltung kommt bereits in großen Setups der Automobilindustrie zum Einsatz und hat kürzlich die Ausschreibung für Betrieb und Entwicklung des Behördendesktops OpenDesk beim ZenDIS gewonnen. Das Geschäftsmodell scheint valide, auch wenn B1 sein LCM nicht als Produkt vertreibt, sondern eher als Dienstleistung versteht. So zahlen IT-Verantwortliche im Prinzip für das Customizing statt für den Erwerb einer Software.