»es füllt sich der speicher mit köstlicher habe« · »es füllt sich der speicher mit...
TRANSCRIPT
»Es füllt sich der Speichermit köstlicher Habe«(Schiller, Das Lied von der Glocke)
Oracle Beehive im Deutschen Literaturarchiv Marbach
DOAG-Konferenz 2010Thomas Meyer, DLA MarbachTorsten Grambs, Oracle EMEA Beehive Support Team
Agenda
- DLA Marbach - Kurzportrait- Mailserver im DLA- OCS vs. Beehive- Installation und Konfiguration- Migration- Praxiserfahrungen- Beehive Stärken- DLA Wunschliste
Kurzportrait DLA Marbach
- Deutsches Literaturarchiv: Sammlung und Erschließung der deutschen Literatur seit 1750 bis zur Gegenwart (Handschriften, Bücher, Zeitschriften, Bildobjekte ...)
- Schiller-Nationalmuseum und Literaturmuseum der Moderne- ca. 180 Mitarbeiter auf 100 Planstellen- Deutsche Schillergesellschaft e.V. als Träger, Finanzierung
überwiegend durch Bund und Land Baden-Württemberg
Archiv: Nachlässe und Autographen, z.B.Kafkas »Process«-Manuskript
Archiv, Bilder und Objekte: Bilder, Fotos, Grafiken, Objekte, z.B. Totenmasken
Bibliothek: Bücher, Zeitschriften, Beiträge, AV-Materialien
»Born Digitals« aus Nachlässen: z.B.Disketten von Thomas Strittmatter
Campus mit Schiller-Nationalmuseum und Literaturmuseum der Moderne
Mailserver im DLA – kleine Historie
- Juni 1994: Inbetriebnahme Teamlinks/DEC Mailworks- moderne Client-Server Lösung (für die damalige Zeit)- Produkt am Markt nicht erfolgreich, Verkauf an OpenOne, neuer
Name: MailOne
- November 1999: Ablösung durch Teamlinks/MailOne unter Tru64 UNIX
- neue Versionen mit Linux-Support und IMAP-Support nicht stabil einsetzbar
- Firma OpenOne ca. 2005 im Konkurs: Support in Eigenleistung
Mailserver im DLA – kleine Historie
- DLA sucht nach Mailserver mit Linux-Support, offenen Protokollen, professionellem Support
- DOAG Mannheim 2004: Oracle Collaboration Suite (OCS) in Vortrag kennengelernt
- August 2007: Testinstallation OCS im DLA- November 2007: Abbruch wegen funktionaler Mängel:
– keine durchgängige Administration– unzureichender Support von Gruppen– Calendering nicht integriert (eigene Clients, non-DB)– unüberschaubare Dokumentation (bis hin zu OID ...)
»Was tun? spricht Zeus«(Schiller, »Die Teilung der Erde«)
Mailserver im DLA – kleine Historie
- Januar 2008: Oracle positioniert Beehive als neue Kommunikationsplattform
- Mai 2008: Testinstallation Beehive 1.2, Teilnahme am Betaprogramm, intensiver interner Test funktionaler Anforderungen
- Juni 2009: Produktive Installation Beehive 1.5- Juli 2009: Produktiver Testbetrieb (ca. 10 Teilnehmer)- November 2009: Gesamtumstellung, Migration der Mailboxen- Juni 2010: Beehive 2.0.1
Anforderungen DLA, aktueller Ausbau
- Basisfunktionen Collaboration-Server (Mail, Calendering)- Office-Integration- Abbildung der Organisationseinheiten durch Team-Workspaces- verlässliche, überpersonale Mailadressen- zentrale Regelung aller Zugriffe über Gruppen- sicherer Remote Zugriff über Web-Interface- alternative Clients über offene Protokolle- Datenmigration
Beehive vs. OCS
- stringente Architektur (alles aus einem Guss, Stichwort BOM)- breiteres Angebot für Integration von Directory Services- übersichtlichere Dokumentation- stark vereinfachte Installationsprozeduren, insbesondere
SSL/TLS- mächtiges beectl CLI- Beekeeper Admin GUI- CalDAV statt proprietärem Calendering-Client- OBEO statt OCFO für Outlook (single socket protocol),
Document Drag&Drop- OBEE für Explorer-Integration
Firewall
HTT
PS
MA
PI
BTI
/MX IM
AP
/SM
TP+C
alD
AV
LDA
P
HTT
PS
[IMA
P/S
MTP
,] C
alD
AV
, Syn
cML
SQ
L*N
et
SM
TP
Beehive im DLA Marbach
Deployment Beehive im DLA
- Installation der zugrundeliegenden Datenbank- Installation Beehive Application Tier(s)- Installation Beehive DMZ Tier- Installation Beekeeper Administation
Beehive Installation
- Prerequisites peinlich genau beachten- Oracle Beehive Release 2 Master Note (Doc ID 1058232.1)- Sizing via Oracle
»Ernst ist der Anblick der Notwendigkeit«(Schiller, »Wallensteins Tod«)
DB-Installation
- single purpose DB Instance mit AL32UTF8 charset- intensive Nutzung von DB-Features (Partitioning, Expression
Indexes, Advanced Queuing, Oracle Text, XML DB ...)- Nutzung von Advanced Compression erwägen- RAC Support
Installation Mid-Tier(s) / Beekeeper
- Installation auf 64-Bit Linux derzeit mit »/usr/bin/linux32 bash«- Installation immer funktional vollständig (Installer ermöglicht kein
Abwählen von Diensten)- wenige, einfache Installationsdialoge
Installation DMZ
- separater Host in DMZ Segment- administrative Funktionen werden nicht mitinstalliert (z.B. beectl
CLI)- Kommunikation mit Mid-Tiers über AJPS, ONS und BTPS
Einrichtung SSL/TLS
- Aller Verkehr mit den Clients über SSL oder TLS abgesichert- auf Protokollbasis granular einstellbar- Besonderheit bei DMZ-Installation: Wallet muss 1:1 übertragen
werden- »Split-Brain« DNS: transparenter Hostnamen nach innen und
nach außen (_VIRTUAL_SERVER muss konfiguriert sein und dem Zertifikatsnamen entsprechen)
Fronting sendmail/postfix
- starke Empfehlung, einen MTA wie Postfix vor Beehive zu schalten (Note:459554.1: Fronting and Relaying the Oracle MTA via a 3rd party product)
- Mail-Queuing im Wartungsfall- einfachere Implementierung vieler SMTP-Funktionen (z. B.
Masquerading, Spam-Abwehr, Virenscan)- Maillogs für externen Traffic
Mail Configuration
- Endpoint »fronted_postfix« auf Port 24- Endpoint »client_submission« auf Port 587 (RFC Client-
Submission) mit TLS- IMAP auf Port 143 mit TLS
Beekeeper Mail Config.
Directory Integration
- Feature OpenLDAP-Unterstützung auf Kundenwunsch implementiert, relativ zeitnahe Umsetzung
- Unterstützung von groupofnames-Gruppen- posixgroup-Strukturen erfordern noch einen Workaround- LDAP ist informationsführend, Änderungen werden automatisch
synchronisiert- automatisches Provisioning im UDS (User Directory Service)
durch wenige, einfache Schemaerweiterungen- Oracle-Support Notes Doc ID 1060767.1 und 787708.1 wurden
in Zusammenarbeit entwickelt
»Die Axt im Haus erspart den Zimmermann«(Schiller, aus »Wilhelm Tell«)
# PEN des DLAobjectIdentifier dlaOID 1.3.6.1.4.1.xyz# unsere LDAP-IDsobjectIdentifier dlaLDAP dlaOID:2# einene AttributtypenobjectIdentifier dlaAttributeType dlaLDAP:1# eigene ObjektklassenobjectIdentifier dlaObjectClass dlaLDAP:2
attributetype ( dlaAttributeType:1 NAME ( 'x-de-dla-use-Person-for' )DESC 'applications where this user account should be registered; valid entries as of 26.06.2009: "beehive-enterprise-user, beehive-extended-
enterprise-user, beehive-external-contact"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
attributetype ( dlaAttributeType:2 NAME ( 'x-de-dla-use-Group-for' )DESC 'applications where this group account should be registered; valid entries as of 26.06.2009: "beehive"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
attributetype ( dlaAttributeType:3 NAME ( 'x-de-dla-Group-mail-address' )DESC 'mail address of this group, e.g. "[email protected]"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
objectclass ( dlaObjectClass:1NAME 'x-de-dla-Person'
DESC 'DLA Extensions for Persons'SUP TOPAUXILIARY
MAY (x-de-dla-use-Person-for )
)
objectclass ( dlaObjectClass:2NAME 'x-de-dla-Group'
DESC 'DLA Extensions for Groups'SUP TOPAUXILIARY
MAY (x-de-dla-use-Group-for $ x-de-dla-Group-mail-address )
)
dla.schema
Beispiel Beehive User
version: 1
# LDIF Export for: ...
dn: uid=duck,ou=people,dc=dla-marbach,dc=de...objectClass: sambaSamAccountobjectClass: x-de-dla-Person...sn: Duckuid: duckuidNumber: 4711displayName: Duck, Dagobert...mail: [email protected]: [email protected]: [email protected]: beehive-enterprise-user
beectl CLI
- deutlich mächtiger als Beekeeper GUI- eignet sich für Skripting- Auto-Complete, Wiederholungsfunktionen- umfangreiche Hilfe-Funktion
Migration
Anforderungen zum Übergang auf Beehive:- Parallelbetrieb, da nicht alle Anwender gleichzeitig umgestellt
werden konnten- Transparenz (unveränderte Mailadressen) nach innen und nach
außen- komplette Übernahme der Maildaten ins Zielsystem
Beehive in Migrationsszenarien
- Server kann in Subdomain betrieben werden- Eigenschaft »enable external inbox« für noch nicht migrierte
User: Umleitung auf das Altsystem
Migration über Zwischenstation Dovecot- BMT mit Support für IMAP, OCS, Exchange u.a.- Mail-Daten des Altsystems nur über Offline-Export (MBox)- deswegen Zwischenstufe IMAP-Server Dovecot (kann EML-
Mailboxen direkt per IMAP zur Verfügung stellen)- IMAP-Protokoll erforderte Maskierung nicht unterstützter
Zeichen (z.B. +, *, &, %) in Ordnernamen- eigene Scripte
Migration Dovecot nach Beehive
- Support-Tool BMT:IMAP (Limited Distribution)- Java-Tool mit einfachem Setup / Parametrisierung- Reentrance (»never fail approach«)- hoher Datendurchsatz, vertikale und horizontale Skalierbarkeit- Rückübersetzung maskierter Zeichen in Ordnernamen- Rekonstruktion fehlende Sender- oder Empfängerangaben- Migration in Unterordner der Ziel-Accounts- ca. 160 Benutzer, 870.000 Mails in 7.000 Ordnern, 83 GB
MigrationsverfahrenMailOneServer
Beehive Server
Export als MBox, Migration über IMAP nach Beehive
Dovecot IMAP
pers. Fach „MAIL“
optionale, weitere Fächer(Arbeitsgruppen / Projekte)
optionale, weitere,selbst angelegte Fächer
„Mein Arbeitsbereich“,Unterordner „TL-Mail-1“
„Mein Arbeitsbereich“,Unterordner „TL-Mail-2/3/4/...“
Team-Arbeitsbereich,ws_abt_...,ws_ref_...,ws_ak_...,ws_prj_...
MBoxBMT-IMAP
DLA – Praxiserfahrungen
»Dem Mann kann geholfen werden«(Schiller, aus »Die Räuber«)
Bessere RFC-Conformance
- Beehive per Voreinstellung bei unbekannten Empfängeradressen als »Honey Pot«
- unmittelbare Abweisung unbekannter Empfänger per Groovy-Skript oder LDAP-Match
- Einrichtung einer Postmaster-Adresse (Alias)
Überlegungen zum Datenrecovery
- derzeit noch aufwändige Prozeduren für typische Alltagsanforderungen zum selektiven Datenrecovery
- logischer Export derzeit nur für Maildaten (beectl export_email_data)
- Support hat »Cookbook« für Einrichten einer Clone-Instanz zum Recovery, basierend auf Beehive Cloning und Oracle Backup&Recovery
- Nachteil: umfangreiche Vorbereitung und u.U. hohe Laufzeit- Vorteil: Recovery auf beliebigen Zeitpunkt
Funktionale »Poolkennungen«
- offizielle Kontaktadressen wie etwa [email protected] gehen an vollwertige Pseudo-Accounts
- Pseudo-Accounts delegieren an natürliche Personen- natürliche Personen binden Pseudo-Accounts ein- Vorteile: Mailverkehr wird transparent über eine einheitliche
Mailadresse abgewickelt, keine Verteilungsproblematik, keine Vervielfachung externer Anfragen über Verteilerlisten, effiziente Abwesenheitsvertretungen, zuverlässige Erreichbarkeit, keine informellen Dialoge über persönliche Adressen
Mailempfang: Pool-Kennungen vs. Team-ArbeitsbereicheTeam-Arbeitsbereiche:- keine Mechanismen zur Delegation- keine mehrfachen Mailadressen definierbar- noch kein IMAP-Zugriff (erwartet in zukünftigen Versionen)
Pool-Kennungen:- Ordner müssen in OBEO subskribiert werden (ER 9210325:
display additional folders in workspaces of other users)
Eingebundene Arbeitsbereiche
Senden als [email protected] Sendenals
verwaltung@dla-m
arbach.de
Duck, [email protected]
Arbeitsbereich Verwaltung (ws_abt_verwalt)
Rührig, [email protected]
PersönlicherArbeitsbereich
mit Posteingang
PersönlicherArbeitsbereich
mit Posteingang
PersönlicherArbeitsbereich
mit Posteingang
Send
enun
de m
p fan
gen
Send
enun
de m
p fan
gen
Lese
n,Ab
lage
DLA, Abteilung [email protected]
(Funktionsstelle, Poolkennung)
Delegation an
Lese
n ,A b
lage
Lese
n,Ab
lage
Empf
ange
n
Delegation an
EinbindenEinbinden
Client-Konfiguration
- Default-Policy: DMS mit Auto-Update der Clients- DLA-Policy: »Lock-Down« Environment, Installation von OBEO
Patchscripts- DLA Eigenentwicklung: Skripte zur komplett automatisierten
Konfiguration von Outlook und Thunderbird (mit Lightning)- vollwertige Suche mit dem Outlook-Connector OBEO erfordert
manuelle Einstellungen durch den Anwender (Extras - Optionen - E-Mail Setup - Senden/Empfangen)
Outlook lokaler Datencache
sync
hron
isie
ren
Outlook lokaler Datencache (cont‘d)
Kontakte / Adressbuch
- hausweites Adressbuch in der GAL (Globale Adressliste, indirekt basierend auf OpenLDAP)
- persönliches Adressbuch und Adressbücher in den Team Workspaces im Modul Kontakte (OBEO) bzw. Adressbuch (Zimbra)
- Thunderbird über OpenLDAP konfiguriert
Ausbaupotentiale im DLA
- derzeit noch ungenutzt: Beehive Conferencing, Chat Server, Explorer Integration (OBEE), Team Collaboration Web-Client
- Integration mit TK-Anlage erfordert Cisco ISR (Integrated Services Router)
Beehive Stärken
- zügige, an Kundenwünschen orientierte Weiterentwicklung- Single Point of Administration - Installations-Assistent: alles in einem Aufwasch - intuitive und leistungsfähige Administration mit Beekeeper - offene Protokolle - robuste Architektur (Beehive überlebt DB Bounces)
Beehive Stärken (cont‘d)
- sehr leistungsfähiges Migrationstool BMT - Support offener Verzeichnisdienste (OpenLDAP) - leistungsfähiger Web-Client Zimbra - Benutzereinstellungen in OBEO / BCentral synchron (z.B.
Abwesenheitsassistent, Delegationen)- Mobile Support- Cross-Platform Conferencing (inklusive FD Voice)- Starkes Support-Team
DLA Wunschliste
- vereinfachte Recovery-Prozeduren (Read-Only Flashback-Nutzung?)
- Server-based Search in OBEO- Server-based Import/Export für alle Daten, in offenen Formaten
(2.0.1.4 bringt neues Kommando »beectl export_workspace«)- besserer Support von Team-Workspaces (Ablage) in Zimbra:
Ablage und Suche - GAL für offene Clients zugänglich machen, z.B. Thunderbird
(CardDAV)
»Wenn gute Reden sie begleiten, dann fließt die Arbeit munter fort.«(Schiller, »Das Lied von der Glocke«)
DLA Wunschliste (cont‘d)
- Certificate based Authentication für genauere Steuerung des Zugriffs aus dem Internet
- Volltextsuche in SSR (Server Side Rules)- OBEO-Profile abspeichern und auf neuen Rechner übernehmen - Support alternativer, vollintegrierter Virenscanner (derzeit nur
Symantec)- Unterstützung von posixgroup im OpenLDAP- Team-Workspaces über IMAP (geplant)- Unterstützung 64 Bit (geplant)- offizielle Roadmap
»Der Mohr hat seine Schuldigkeit getan;der Mohr kann gehen.«(Schiller, aus dem »Fiesco«)
Thomas Meyer, DLA [email protected]
Torsten Grambs, Oracle EMEA Beehive Support [email protected]