Wir schaffen das noch...

Transkript

1 Ausgabe 2/2003 2,20

2 EDITORIAL ORDIX NEWS Wir schaffen das noch... Paderborn, Juni 2003 Die CeBIT haben wir geschafft: War alles positiv, der Besucherrückgang, der Ausstellerrückgang... Die Internet World haben wir geschafft: Ist vielleicht auch positiv, sie findet gar nicht mehr statt. Den Irak haben die Amerikaner geschafft. Wir und die anderen Länder dürfen uns jetzt um den Wiederaufbau kümmern - so weit man dabei den Amerikanern nicht in die Quere kommt. Dass das mit dem Aufbauen aber nicht so einfach zu schaffen ist, sehen wir an Afghanistan. Ergebnis jeweils gleich: Der Terrorismus lebt, das Land ist platt und es trifft immer die, die nichts oder nicht so viel dafür können. Das merken wir jetzt auch - Stichwort: Agenda Geschickt gewählt, denn die 5-Jahres-Pläne von früher taugten sowieso nicht viel. Jetzt sind also 7 Jahre Zeit. Ob das Schröder und seine Regierung noch erleben werden? Dabei fällt mir auf, einiges fehlte bei den Punkten der Agenda 2010: Kürzung der Übergangsgelder für Politiker/Minister/Abgeordnete, die wegen Erfolglosigkeit/Unfähigkeit zurücktreten oder zurückgetreten werden mussten (die sog. Scharping Kürzung), Rückgabe der Pensionsgelder bei sorglosem oder fahrlässigem Umgang mit Steuergeldern, Renten usw. (Herr Kohl, wo ist endlich diese verdammte Portokasse?). Das Problem ist, dass man zwar für die Agenda 2010 eine Mehrheit im Bundestag finden wird (nicht unbedingt die Regierungsmehrheit, aber immerhin), für die anderen Maßnahmen aber leider nur eine Mehrheit außerhalb des Bundestages. Schade! Der Politiker kürzt nur dort, wo es ihn selbst nicht trifft. Aber vielleicht schaffen wir das noch. Die Hoffnung soll nicht sterben. Das andere schaffen die Politker, so oder so. Und wenn nicht, helfen ihnen die Gewerkschaften. Alle vornehmlich die Verbände - jammern immer nur. Wenn dies und das nicht wäre, ja dann... ist aber noch jenes, und deshalb geht eigentlich gar nichts. Es muss erst einmal alles anders werden - nur nicht bei mir. Ach ja, und mein Nachbar hat da auch noch ein Problem. Bei ihm darf es auch nicht anders werden. Und die Gruppe dort, da kann sich auf gar keinen Fall was ändern. Das nennt man dann Lobby. Je größer sie ist, desto weniger wird sich ändern. Wenigstens eine direkte Proportionalität: viel Lobby = wenig Bewegung. Die Internet World hatte anscheinend keine Lobby, deshalb hat man sich zu einer Absage bewegt. Ist vielleicht auch besser. Vielleicht sollten die Leute einfach überlegen, was und wie sie es im Internet machen können. Wir helfen dabei und Dutzende andere Firmen auch. Die kann man im Internet besuchen. Das geht meist schneller und ist auch noch billiger. Manchmal rufen wir auch an. Denn wir wollen ja nicht jammern, sondern einfach mit den vorherrschenden Gegebenheiten zurechtkommen. Das ist vernünftiger, als wie das Kaninchen auf die Schlange/Bundestag/ Agenda 2010 zu starren und zu hoffen, dass sich was bewegt. Sie wissen ja, Lobby... Für einiges an Bewegung sorgen dieses Mal wieder unsere Artikel. Die Lindenstraße unter den Oracle Artikeln: Oracle New Features VII. Sparen können Sie jetzt mit PATROL Express, gewinnen wiederum mit Larry Ratlos. Fürs nächste Mal können die Oracler schon mal versuchen, die gleiche Aufgabe wie für Informix zu lösen. Weiterhin auf der Datenautobahn: VPN. Und natürlich J2EE, das schaffen wir auch noch... Viel Spass beim Lesen wünscht Ihnen Wolfgang Kögler (Vorstandsvorsitzender) Ausgabe 2/2003 3

3 ORDIX NEWS STANDARDS Inhalt Ausgabe 2/2003 Standards Editorial Inhalt Impressum Java J2EE... mehr als nur ein Schlagwort? JSP, EJB, Stateless Session Beans... viele Begriffe und ihre Erklärung Die eselect Suite, Teil IV: Konfiguration von Automobilen im weltweiten Vergleich Überblick über die Funktionalitäten eines modularen Preis- und Ausstattungsinformationssystems auf Basis der eselect Suite Java 1.4 Neuheiten, Teil II: Java Print Service API Das Druckmodell, das echte Erleichterung bei der Umsetzung von Drucklösungen in Java verschafft, basiert auf einem völlig neuen Konzept. Systeme & Datenbanken Synergien mit Data Warehouse Technologien, Teil II: ETL: Der schnelle Weg zum Data Warehouse Lesen Sie, wie ETL-Tools funktionieren und welche Vorteile sich daraus gegenüber der konventionellen Programmierung ergeben Oracle New Features, Teil VII: Segment Space Management Auto Optimale Belegung der Blöcke mit Daten ohne viele Storage Parameter. ORDIX Prädikat: sehr empfehlenswert Oracle REAL Application Cluster auf einem Linux VMware System Zum Testen und Kennenlernen optimal, für einen Produktiveinsatz fehlen aber Skalierbarkeit und Lastverteilung Die Standby-Datenbank: Data Guard aus Kundensicht Die zweiteilige Reihe stellt die neue Philosophie bei Standby Datenbanken vor. System Management PATROL Express - Her mit den kleinen Preisen Der ICE unter den D-Zügen zum Preis einer Bimmelbahn - oder: Wie Sie trotz kleinem Budget zu PATROL kommen können. Aktuell ORDIX und Paderborner Lions Club unterstützen Hilfsprojekt Friedensdorf Auflösung unseres Quiz Wer wird Spar-Millionär? Chess Classic Jubiläum 2003: 10 Jahre ORDIX Open Schnell. Nah. Verfügbar. Neuer ORDIX Standort im Süden: Neu-Ulm Larry Ratlos: Können Sie mir bei der Ausgabe einer Baumstruktur helfen? Die Aufgabe für Ihre nächste Gewinn- Chance und die Gewinner-Skripte vom letzten Mal. Systeme & Netze CUPS - Plattformunabhängig drucken unter Unix Die Nutzung des IPP ermöglicht nicht nur einfaches Drucken, sondern gleichzeitig Zugriffskontrollen, Authentifizierungen und Verschlüsselung Virtuelle Private Netze, Teil II: Tunnelblick Überblick über die technischen Hintergründe beim Aufbau von VPN auf IPsec-Basis. Aus- & Weiterbildung Vorstellung der Seminare Windows 2000/XP Grundlagen für Einsteiger und Windows 2000 Active Directory Grundlagen Herausnehmbare Seminarübersicht Preise, Termine... bis Ende Seminarvorstellung: Oracle SQL Advanced Seminarvorstellung: PATROL Express 4 Ausgabe 2/2003

4 JAVA ORDIX NEWS J2EE... mehr als nur ein Schlagwort? Bei der Entwicklung von Java-basierten Client/Server-Anwendungen kommt man heute um das Thema Java 2 Enterprise Edition (J2EE) nicht herum. Dass es sich bei diesem Begriff um ein schon mehrere Jahre gereiftes Thema handelt, was man mit J2EE alles machen kann und welche Vorteile es bietet, klärt dieser Artikel. Positionierung Im Gegensatz zur Java 2 Standard Edition (J2SE), die für die clientseitige Entwicklung von Java-Anwendungen gedacht ist, zielt die J2EE auf die Entwicklung von Serveranwendungen unter Java ab. Diese Serveranwendungen sind keine Anwendungen, die für sich allein stehen, sondern sie laufen immer innerhalb eines Applikationsservers ab. Je nach benutzter J2EE-Technologie [Servlets, Java- Server Pages (JSP) oder Enterprise JavaBeans (EJB)] muss der Applikationsserver einen Servlet- Container oder/und einen EJB- Container bereitstellen. Die J2EE selbst besteht aus zwei Teilen. Der erste Teil ist eine Sammlung von Schnittstellen-Implementierungen, die für die Entwicklung von J2EE-Anwendungen notwendig bzw. nützlich ist. Hierbei handelt es sich um ein Add-on, welches zu einer bestehenden J2SE-Installation hinzu installiert wird. Den zweiten Teil bilden die Spezifikationen für die einzelnen J2EE- Technologien, die die Architektur einer J2EE-Anwendung beschreiben und die Schnittstellen eines Applikationsservers definieren. Da die Vorstellung aller Technologien der J2EE den Rahmen dieses Artikels sprengen würde, konzentrieren wir uns im Folgenden auf die EJB-Technologie und deren Möglichkeiten. Grundlegendes Eine EJB-Anwendung setzt sich aus Enterprise JavaBeans (EJB) und normalen Java-Klassen zusammen. EJBs sind natürlich auch Java-Klassen, die aber bestimmten und festgelegten Konventionen entsprechen müssen. Die EJB-Spezifikation definiert drei verschiedene Arten von Enterprise JavaBeans. Diese sind: Entity Beans Entity Beans kapseln Daten, die eine J2EE-Anwendung verarbeitet. Überlicherweise stammen diese Daten aus einer Datenbank oder wurden von einem Benutzer eingegeben. Wie und wann diese Daten aus der Datenbank gelesen bzw. wieder geschrieben werden, kann in der Verantwortung des EJB-Containers (container managed persistence) oder der Entity Bean (bean managed persistence) selbst liegen. Session Beans Session Beans dienen zur Implementierung der Geschäftslogik, d. h. der diversen Workflows, die der Server unterstützen soll. Hierbei können Session Beans auf andere Session Beans, Message- Driven Beans und Entity Beans zugreifen. Zusätzlich werden Session Beans in Stateless Session Beans und Stateful Session Beans unterteilt. Stateless Session Beans besitzen keinen Zustand und können nacheinander Aufrufe von diversen Clients entgegennehmen. Stateful Session Beans sind zustandsbehaftet und werden vom Applikationsserver mit einem bestimmten Client assoziiert. D. h. sie behalten ihren Zustand zwischen zwei Ausgabe 2/2003 5

5 ORDIX NEWS JAVA Die verschiedenen Architekturvarianten basierend auf der EJB-Technologie. Client-Anfragen bei und können so bei jeder Anfrage auf Informationen zurückgreifen, die mit dem Client assoziiert sind, wie z. B. Login/Passwort/Einstellungen etc. Message-Driven Beans Ab der EJB 2.0-Spezifikation müssen J2EE-Applikationsserver sogenannte Message-Driven Beans unterstützen. Message-Driven Beans sind zustandslos und dienen der Verarbeitung von asynchronen Java Message Service -Nachrichten (JMS). Normale, synchrone Methodenaufrufe über die Java RMI API, wie bei Entity- und Session Beans üblich, werden von Message-Driven Beans nicht unterstützt. Eine Message-Driven Bean kann natürlich zur Abarbeitung der JMS-Nachrichten auf Session Beans und Entity Beans zurückgreifen. Für den Empfang und die Verwaltung von ankommenden Nachrichten ist der EJB-Container zuständig. Dienste Bei der Implementierung eines EJB-basierten Servers muss sich der Entwickler nicht um alles selbst kümmern. Gemäß der Spezifikation muss der EJB-Container bestimmte Dienste - wie etwa einen Transaktionsdienst, Namensdienst, Sicherheitsdienst usw. - zur Verfügung stellen. Diese Dienste können also von einer EJB benutzt werden bzw. werden schon implizit von dem EJB-Komponentenmodell verwendet. Anwendungsarchitekturen Die EJB-Technologie eignet sich für eine Vielzahl von Anwendungen mit jeweils unterschiedlichen Architekturen. Im einfachsten Fall handelt es sich um eine Serveranwendung, mit der Java-Clients direkt kommunizieren. Als Beispiel kann man sich einen Server vorstellen, dem Clients rechenintensive Berechnungen zuschicken. Nach der Berechnung schickt der Server das Ergebnis an den Client zurück. Solche Anwendungen beruhen auf der Zweischichten-Ar- 6 Ausgabe 2/2003

6 JAVA ORDIX NEWS chitektur: es gibt nur die Schichten Client und Server. Etwas komplexer wird die Architektur bei einer Anwendung, in der der Server auf Daten eines oder mehrerer Enterprise Information Systems zugreift. Das können Datenbanken oder beliebige andere Informationssysteme sein. Auch hier greifen die Clients direkt auf den Server zu. Das Einbeziehen der Enterprise Information Systems führt also zu einer Dreischichten-Architektur. Nimmt man die restlichen J2EE- Technologien wie Servlets und JSP hinzu, dann gelangen wir zu der Vierschichten-Architektur. Hierbei wird die mittlere Schicht der Dreischichten-Architektur aufgeteilt in eine serverseitige Präsentationsschicht und eine serverseitige Schicht mit Geschäftslogik. Diese beiden Schichten greifen aufeinander zu. Die Präsentationsschicht wird dann mit Hilfe von Servlets und/oder JSP und die Schicht mit der Geschäftslogik mit EJB realisiert. Oft besitzen Webanwendungen, deren clientseitige Schicht aus einem Webbrowser besteht, eine Vierschichten-Architektur. Die Abbildung zeigt die Architekturvarianten in einem gemeinsamen Schaubild. Kommunikation Die Anwendungskomponenten in den jeweiligen Schichten können zur Kommunikation transparent auf diverse Standards zurückgreifen: HTML, XML, HTTP, SSL, RMI, IIOP und weitere. Beispielhaft seien hier zum einen die Kommunikation zwischen einem Webbrowser als Client und der serverseitigen Präsentationsschicht und zum anderen die Kommunikation zwischen zwei EJBs angeführt. Im ersten Fall kommunizieren die Komponenten mittels HTTP/HTML miteinander. Im zweiten Fall kommunizieren die beiden EJBs nie direkt miteinander, sondern immer über den verwendeten EJB- Container. Befinden sich beide EJBs in einem EJB- Container, dann leitet der EJB-Container den Aufruf intern direkt an die angefragte EJB weiter. Befindet sich die angefragte EJB aber in einem anderen EJB-Container, dann werden die beiden EJB- Container zur Kommunikation untereinander RMI oder IIOP nutzen - vollkommen transparent für die beiden beteiligten EJBs. Fazit Der Einsatz der J2EE-Technologien, insbesondere der EJB-Technologie, verspricht eine schnelle Entwicklung von Serveranwendungen. Diese können durch die Verwendung der unterstützten Kommunikationsstandards in den meisten IT-Bereichen eingesetzt werden. Auch die Integration in schon bestehende, heterogene Systemumgebungen ist in den meisten Fällen problemlos möglich, wie viele Beispiele aus der Wirtschaft zeigen. Ein weiterer Pluspunkt ist der Kostenvorteil. Es gibt sowohl kostenlose EJB-Container (z. B. JBoss) als auch kostenlose Servlet-Container (z. B. Tomcat). Beide sind OpenSource, werden aktiv weiterentwickelt und haben sich im harten Produktiveinsatz bereits bewährt. Java selbst, d. h. das J2SE, das J2EE und viele zusätzliche Pakete sind natürlich auch kostenlos. Ähnliches gilt für die zur Entwicklung notwendigen Entwicklungsumgebungen (z. B. Eclipse). Als weiteren Vorteil darf man auch nicht die Portabilität von J2EE-Anwendungen vergessen. Mit gar keinem bzw. minimalem Portierungsaufwand lassen sich die J2EE-Anwendungen auf anderen EJBund Servlet-Containern installieren. Damit ist man nicht an einem bestimmten EJB- oder Servlet-Container gebunden. Haben Sie nun weiteres Interesse an diesem Thema? Dann möchten wir Ihnen unsere Seminare Webprogrammierung mit J2EE und WebSphere und Einführung in die EJB-Entwicklung mit Web- Sphere ans Herz legen. Seminarinhalte finden Sie jederzeit im Internet, Termine auch in der herausnehmbaren Seminarübersicht in der Mitte dieser ORDIX News. Christoph Borowski (info@ordix.de). Ausgabe 2/2003 7

7 ORDIX NEWS SYSTEME & NETZE CUPS - Plattformunabhängig drucken unter Unix Historisch gesehen gibt es unter Unix zwei Drucksysteme: Das von BSD herrührende LPD und das System V LP. Diese Drucksysteme waren in den 70er Jahren für die Ansteuerung von Zeilendruckern (ASCII-Text) konzipiert. Die Möglichkeiten moderner Drucker können damit aber häufig gar nicht oder nur teilweise ausgeschöpft werden. Durch einen neuen Ansatz soll hier - plattformübergreifend - Abhilfe geschaffen werden. In der Vergangenheit gab es bereits verschiedene Verbesserungen der Druckdienste. Dabei handelt es sich häufig um mehr oder weniger erfolgreiche Erweiterungen und Weiterentwicklungen der bestehenden Konzepte (wie z. B. LPRng). Aber auch heute ist es in vielen Fällen noch nicht trivial, unter Unix etwas anderes als ASCII-Dateien auszudrucken. Einen ganz anderen Ansatz verfolgt hingegen CUPS. Ende 1999 wurde von einem losen Verbund von Drucker-Herstellern (PWG) das Internet Printing Protocol (IPP) definiert. IPP setzt auf den weit verbreiteten Standard HTTP (1.1) auf. Es erlaubt die Handhabung von Druckjobs und unterstützt zudem die Zugriffskontrolle, Authentifizierung und Verschlüsselung. CUPS ist die älteste und momentan wohl auch am weitesten fortgeschrittene Implementierung von IPP. Aufbau Der prinzipielle Aufbau von CUPS ist in Abb. 1 dargestellt. Zentrale Stelle ist der sogenannte Scheduler, der die Druckjobs entgegennimmt, verwaltet und ebenso für Status-Informationen zuständig ist. Abb. 1: Schematischer Aufbau von CUPS. Der Scheduler fungiert gleichzeitig als HTTP-Server. Dadurch können z. B. administrative Aufgaben bequem über das Web(-Frontend) getätigt werden. Dort findet man auch eine sehr ausführliche Dokumentation. Erreichbar ist der Dienst zunächst lokal über den Port 631 ( Server Konfiguration Hilfsmittel sind z. B. cupsdconf unter KDE/SuSE-Linux. Alternativ kann man auch die gut dokumentierte Datei /etc/cups/cupsd.conf direkt manuell editieren. In diesem Fall muss anschließend das Signal SIGHUP an den CUPS-Dämon gesendet werden, damit die neue Konfiguration wirksam wird. Beispiel Sicherheit: Wer darf was und von wo aus? Der Zugriff auf den Webserver (und damit auf den Druckdienst) kann detailliert geregelt werden. Im Folgenden wird beispielhaft mit cupsdconf gearbeitet. Unter Security (s. Abb. 2) kann im Feld Locations der Bereich eingetragen werden, dessen Zugang eingeschränkt werden soll. Voreingestellt sind hier der generelle Zugang (Eintrag Root ) und der Administrationsbereich ( Ad- 8 Ausgabe 2/2003

8 SYSTEME & NETZE ORDIX NEWS ministration ). Hier können auch die weiteren, relevanten Top Level des Root-Dokumentes ( Classes, Jobs, Printers ) sowie die einzelnen, konfigurierten Drucker explizit hinzugefügt werden. Dabei kann angegeben werden, ob und wie sich der Administrator authentifizieren soll. Bei der Authentifizierung stehen Basic und Digest zur Auswahl. Die Einstellung Basic verwendet die Unix- Authentifizierung, bei Digest wird ein CUPS-eigenes Passwort verwendet. Dazu muss im Vorfeld mit dem Kommando lppasswd(1) ein User in die CUPS-Passwort-Datei (/etc/cups/passwd.md5) eingepflegt werden. Über Access Control Lists kann geregelt werden, von wo aus der Zugriff erlaubt bzw. verboten ist (s. Abb. 3). Glossar ACL CLI CUPS ESP ESP PrintPro IETF IPP LPRng MIME PPD PWG RIP URI Access Control Lists Command Line Interface Common Unix Printing System Easy Software Procucts ( Kommerzielles Produkt von ESP zur Erweiterung des CUPS-Servers. Internet Engineering Task Force Internet Printing Protocol LPR Next Generation. Eine Weiterentwicklung des Berkeley Druckstandards. Multipurpose Internet Mail Extensions. CUPS arbeitet bei der Entgegennahme, Erkennung, Behandlung, Konvertierung und Weiterverschickung von Druckdaten mit MIME-Types. PostScript Printer Description. Datei, die die Möglichkeiten eines Druckermodells in standardisierter Syntax beschreibt. Printer Working Group ( Raster Image Processor Universal Ressource Identifier Einrichtung und Administration des Druckers Voraussetzung für die Administration ist, dass der Dämon-Prozess cupsd läuft. Ist das sichergestellt, kann man eine der beiden vorhandenen Schnittstellen einsetzen: (1) Web-Frontend Wie oben beschrieben, kann über den Port 631 der Webserver von CUPS erreicht werden. Zur Einrichtung eines neuen Druckers wird im ersten Schritt ein Name und eine Beschreibung für diesen Drucker vergeben. Als nächstes wird der Devicetyp ausgewählt und das Device eingetragen, über das der Drucker angesprochen werden soll. Abb. 2: Sicherheitseinstellungen von CUPS durch das grafische Frontend cupsdconf. Dann werden das Druckermodell und der Typ ausgesucht. In der Regel werden hier mehrere Treiber angeboten, von denen man sich den aussucht, der das beste Ergebnis erzielt. Danach steht der Drucker direkt zur Verfügung (s. Abb. 4). (2) CLI Alternativ kann mit der CLI gearbeitet werden. Zum Einrichten eines Druckers wird das Kommando lpadmin(8) verwendet. Beispiel: Einrichten eines Druckers namens silli, der über die Adresse hp2200dn.ordix.de erreichbar ist. Die druckerspezifische PPD-Datei (der Treiber) wird über den Schalter -P spezifiziert: Abb. 3: Zugriffskontrolle durch ACLs. # lpadmin -p silli -E -v ipp:// hp2200dn.ordix.de/ipp -P/tmp/silli.ppd Ausgabe 2/2003 9

9 ORDIX NEWS SYSTEME & NETZE Kommandoübersicht: accept (8) reject (8) enable (8) disable (8) lp (1) lpr (1) lprm (1) cancel (1) lpq (1) lpc (8) lpstat (1) lpadmin (8) lpoptions (1) lppasswd (1) - accept jobs sent to a destination - reject jobs sent to a destination - start printers and classes - stop printers and classes - print files - print files - cancel print jobs - cancel jobs - show printer queue status - line printer control program - print cups status information - configure cups printers and classes - display or set printer options and defaults - add, change, or delete digest passwords Abb. 4: Druckeransicht mit dem CUPS-Webfrontend. Bei (neueren) Linux-Systemen befindet sich meistens bereits eine große Auswahl von Treibern auf dem System. Diese sind in herstellerspezifischen Unterverzeichnissen im sogenannten Modellverzeichnis /usr/share/cups/model abgelegt. Alternativ können die benötigten Treiber auch aus dem Internet geladen werden, z. B. bei Soll der soeben zur Verfügung gestellte Drucker als Standard definiert werden, lässt sich dass ebenfalls mit lpadmin erreichen: # lpadmin -d silli Generell gilt: Es werden die wichtigsten Kommandos aus beiden Welten (SVR4 und BSD) unterstützt (s. Kommandoübersicht). Das hat den Vorteil, dass Skripte gar nicht oder nur leicht angepasst werden müssen. Mit lpstat kann man sich den Zustand der Drucker aus Sicht von CUPS anzeigen lassen. Ohne weitere Angaben bekommt man eine Liste der aktiven Druckjobs. Beispiel: Welcher Drucker ist als Standarddrucker definiert? $ lpstat -d system default destination: silli In welchem Zustand befindet sich der Drucker lp (und alle seine Instanzen, s. u.)? $ lpstat -p lp printer lp is idle. enabled since Jan 01 00:00 printer lp/txt is idle. enabled since Jan 01 00:00 Druckoptionen und Druckerinstanzen Mit dem Druckkommando (lp (1), lpr (1)) können eine Vielzahl von Optionen für den Druckauftrag mitgegeben werden. Sollen die gleichen Optionen immer wieder eingesetzt werden, ist es sinnvoll, diese einmalig einzustellen und damit als Standard festzulegen. Das kann auf zwei Ebenen sinnvoll sein: auf Benutzerebene und systemweit. Das Kommando lpoptions(1) dient zur Anzeige und Einstellung der Standardoptionen von Druckern. Dabei können lokal eingerichtete Drucker angesprochen werden, ebenso wie Drucker an einem entfernten CUPS-Server. Die Daten werden direkt aus der entsprechenden PPD-Datei unter /etc/ cups/ppd ausgelesen, wobei die jeweils eingestellten Werte bei der Ausgabe mit einem Asterisk (*) versehen sind. Beispiel: Welche Möglichkeiten bietet der Standarddrucker? Darüber hinaus können mit lpoptions weitere Druckerinstanzen angelegt werden. Diese basieren auf bereits konfigurierten Druckern, die dann mit bestimmten Eigenschaften gefahren werden. 10 Ausgabe 2/2003

10 SYSTEME & NETZE ORDIX NEWS Beispiel: Anlegen von Druckerinstanzen $ lpoptions -l Duplex/Double-Sided Printing: DuplexNoTumble *None DuplexTumblelp InputSlot/Media Source: *Default Upper Lower Envelope LargeCapacity Manual MPTray Auto PageSize/Page Size: *A4 Letter Photo 3x5 5x8 A5 A6 B5JIS Env10 EnvC5 EnvC6 EnvDL EnvISOB5 EnvMonarch Executive FLSA Hagaki Legal Oufuku w558h774 w612h935 PageRegion/PageRegion: *A4 Letter Photo 3x5 5x8 A5 A6 B5JIS Env10 EnvC5 EnvC6 EnvDL EnvISOB5 EnvMonarch Executive FLSA Hagaki Legal Oufuku w558h774 w612h935 PrintoutMode/Printout Mode: Draft *Normal High Quality/Resolution, Quality, Ink Type, Media Type: *FromPrintoutMode 300DraftGrayscaleK 300GrayscaleK 600GrayscaleK Es soll eine Instanz des Standarddruckers (lp) mit Namen lp/txt erstellt werden, die zwei Seiten pro Blatt mit Überschriften und Seitenzahl druckt, wobei die Seiten einfach gerahmt sein sollen: $ lpoptions -p lp/txt \ -o number-up=2 \ -o prettyprint \ -o page-border=single Druckereinstellungen, die vom Administrator (root) vorgenommen werden, werden unter /etc/cups/ lpoptions abgelegt und sind damit allgemein zugänglich. Definiert ein normaler Benutzer Optionen für Drucker, werden sie in der Datei ~/.lpoptions gespeichert und übersteuern die systemweiten Definitionen. Die Logdateien befinden sich unter /var/log/cups. In page_log wird festgehalten, wer wann auf welchen Drucker zugegriffen hat. In access_log werden die HTTP-Zugriffe, und in error_log die Fehlermeldungen protokolliert. Über den Parameter Loglevel in der Konfigurationsdatei cupsd.conf kann die Menge der logging-informationen bestimmt werden. Fazit Neben einer schnellen Installation und einer bequemen, einheitlichen Administration sprechen noch eine Reihe weiterer Möglichkeiten (z. B. Verschlüsselung, Klassenbildung CUPS in Kürze Common Unix Printing System (CUPS) - entwickelt von der Firma ESP ( Easy Software Products ). - Ziel: Vereinheitlichte Druckerschnittstelle unter allen Unix-Derivaten! - unterstützt SVR4- und BSD-Druckkommandos - verwendet das Internet Printing Protocol (IPP) - bietet HTTP-Schnittstelle durch eigenen Webserver - Administration und Dokumentation über WWW - unterstützt die Klassenbildung von Druckern - verwendet Filter zur Konvertierung diverser Formate. - verschiedene Backends unterstützen diverse Protokolle und Schnittstellen - Treiber für sehr viele Drucker sind verfügbar - Netzwerkfreigabe von Druckern Links Dokumentation des CUPS-Servers (HTML- und PDF-Dateien). CUPS-Home-Page. Deutsches FAQ. Homepage des IPP-Projektes. Unterstützte Geräte. RFCs , 2639, 2910 und Große Auswahl von Druckertreibern. Argumente für die Unzulänglichkeit des alten LPD-Drucksystems. Fachartikel zum Thema CUPS im Linux-Magazin. oder Netzwerkfreigaben, etc.) für CUPS. Die Unterstützung von IPP durch die meisten Drucker- Hersteller und die Verfügbarkeit von Treibern ist als ein weiterer Pluspunkt zu werten. Damit dürfte sich eine genauere Evaluierung dieser Software für den einen oder anderen Administrator als eine lohnenswerte Angelegenheit erweisen. Roger Niemeyer (info@ordix.de). Ausgabe 2/

11 ORDIX NEWS AUS- & WEITERBILDUNG Seminarvorstellung: Windows 2000/XP Grundlagen für Einsteiger Die Teilnehmer werden Schritt für Schritt mit den Möglichkeiten der Konfiguration von Microsoft Netzwerkbetriebssystemen vertraut gemacht. Zielgruppe Angehende Systemadministratoren, Power-User. Seminarinhalte Systemvorstellung: Historie, Architektur, Positionierung, Vergleich NT 4.0/W2000/XP, Workstation/Server, Installation Begriffe im Netzwerk: Arbeitsgruppe, Domäne, Server, Peer, Client Netzwerkkomponenten des Betriebssystems TCP/IP-Konfiguration: Adressen, Adressklassen, Subnet-Mask, Subund Supernetting, Routing, TCP/IP-Protokolle: ARP, IP, TCP/UDP, FTP, DHCP, etc; Diagnosetools: ping, tracert, arp, netstat, etc. Konfiguration von Benutzerumgebungen: Profile, Richtlinien, Anmeldescripts, Aufbau der Registry Voraussetzungen Sie kennen die Oberfläche von Windows NT/95/98/ME. Die Arbeit als Benutzer in Netzwerken ist vorteilhaft. Namensauflösung im TCP/IP-Netzwerk: DNS, WINS, Computersuchdienst, Diagnosetools: nslookup, nbtstat, etc. Lokale und zentrale Benutzerverwaltung: Privilegien, Benutzerrechte, vordefinierte Benutzer und Gruppen Zentrale Ressourcenverwaltung: Netzwerksicherheit, Domänenkonzepte, Rechtevergabe/ Schutz von Ressourcen, Rechte im Filesystem NTFS Administrative Aufgaben: Backup und Restore von Daten, Festplattenverwaltung/ Fehlertoleranz, Softwareinstallation, Drucken, RAS unter WinNT/RRAS unter Win 2000 ID: MS-ADM-01 Dauer: 5 Tage Kursgebühr/Teilnehmer: 2.050,00 Euro zzgl. MwSt. Termine/Orte: Wiesbaden Wiesbaden Inhouse Seminare nach Absprache. Zusatztermine finden Sie im Internet unter Seminarvorstellung: Windows 2000 Active Directory Grundlagen Die Teilnehmer werden mit den umfangreichen Möglichkeiten der Administration von Windows 2000-Netzwerken bekannt gemacht. Zielgruppe Systemadministratoren, Back-Office-Administratoren, Verantwortliche für Netzwerkplanung und -betrieb. Voraussetzungen Fundierte Kenntnisse Windows NT 4.0 (MCP/MCSE Niveau). Vorteilhaft: Kenntnisse Domain Name System (DNS) und Verzeichnisdienste (z. B. Exchange Server). Installation: Hardwareanforderungen, erweiterte Möglichkeiten Festplattenverwaltung: Partitionierung, Filesysteme, Volume Mount Points, Verschlüsselung, Defrag, Quotierung, Komprimierung Dateiressourcen im Netzwerk: Shared Folders, Veröffentlichungen im Active Directory, Distributed Filesystem Aufbau und Arbeitsweise des Active Directory: logische Komponenten, dynamisches DNS, Global Catalog und FSMOs (spezielle Server), Architektur, Forest Tree, Domain Tree, OUs, physikalischer Aufbau: Sites, Administrationsgrenzen, Sicherheitsgrenzen, Sicherheit im Active Directory, Einsatz von Richtlinien Backup- und Restore Active Directory Datenbanken Tools für den Administrator: Arbeit mit der Management Console (MMC), neue Verwaltungs- und Support-Tools, effektiver Umgang mit den Hilfesystemen Namensschema und Unternehmensstruktur: Grundlagen des DNS - am Beispiel erarbeitet, Überlegungen zum Entwurf des Namensbereiches, Berücksichtigung von DNS und IP-Adressbereichen, Partitionierung von Verzeichnissen Ein Migrationpfad: Server-Upgrade Praxis: Entwurf, Planung und Einrichtung eines komplexen ADbasierten Windows 2000-Netzwerks ID: MS-AD-01 Dauer: 5 Tage Kursgebühr/Teilnehmer: 2.050,00 Euro zzgl. MwSt. Termine/Orte: Wiesbaden Wiesbaden Inhouse Seminare nach Absprache. Zusatztermine finden Sie im Internet unter 12 Ausgabe 2/2003

12 AKTUELL ORDIX NEWS ORDIX und Paderborner Lions unterstützen Hilfsprojekt Friedensdorf In 2002 verzichtete die ORDIX AG auf Kunden-Grußkarten. Sie unterstützt stattdessen den Lions Club in seiner karitativen Arbeit für das Friedensdorf in Oberhausen. Der Lions Club wird auf Anregen der ORDIX AG mit den 1.500,- Euro das Friedensdorf in Oberhausen unterstützen so Dr. Rixe, denn das Hilfsprojekt hat weitere Aufmerksamkeit verdient. Die Aktion Friedensdorf e. V. Sitz Oberhausen ist eine Hilfsorganisation und Heimeinrichtung zugleich und besteht in dieser Form seit Sie engagiert sich weltweit für die durch Krieg und Gewalt verletzten und misshandelten Kinder, indem sie für den Transport der Kinder nach Europa sorgt, um sie hier mit allem medizinisch Notwendigem zu versorgen. Für die betroffenen Kinder ist dies oft auch die letzte Chance, überhaupt eine angemessene medizinische Versorgung zu erhalten erläutert Vizepräsident Rixe. Im Rahmen einer bundesweiten Sammelaktion hatten alle deutschen Lions Clubs anlässlich ihres Jubiläums im vergangenen Jahr gemeinsam bereits mehr als 1 Mio. Euro für den Ausbau des Hilfsprojektes zusammengetragen. Die ORDIX AG unterstützt seit vielen Jahren solche und ähnliche Projekte erklärt Helma Jenniches. Das Friedensdorf ist eine Oase des Lichtblicks für Kinder als Opfer von Kriegen und Gewalt, die es verdient haben, unterstützt zu werden. ORDIX und die Lions hoffen, dass noch viele weitere Spenden Erfreut nahm am der erste Vizepräsident des lokalen Lions Club Paderborn-3-Hasen, Herr Dr. Kai Rixe, einen Spendenscheck von Helma Jenniches, Pressesprecherin der ORDIX AG entgegen. für diese gute Sache eingehen werden. Alle Spendengelder werden über das Hilfswerk der Deutschen Lions e. V. (HDL) registriert und verwaltet: Spendenkonto: Friedensdorf Oberhausen, Projekt-Nr /10 Dresdner Bank AG, Wiesbaden: BLZ , Konto Nr Weitere Informationen zum Friedensdorf Oberhausen finden Sie auf der ORDIX Homepage: oder unter Einen Bericht zu den Aktivitäten des Lions Club für das Friedensdorf finden Sie im Bereich Aktuelles unter Ausgabe 2/

13 ORDIX NEWS SYSTEME & DATENBANKEN Synergien mit Data Warehouse Technologien, Teil II: ETL: Der schnelle Weg zum Data Warehouse Im ersten Teil dieser Artikelserie wurde der Nutzen von analytischen Systemen dargestellt. Dabei werden Daten über Kunden, Partner, Lieferanten, Lagerbestände, Produkte, Verkäufe usw. aus operativen Systemen in einer integrierten Sicht abgebildet. Aus heterogenen Daten werden nutzbare Informationen entlang der gesamten Wertschöpfungskette im Unternehmen. Ein zentrales Data Warehouse enthält dabei alle Daten in integrierter Form. Bei der Zusammenführung verschiedener Datenquellen reicht eine einfache Anbindung des Data Warehouses an die operativen Systeme nicht aus. Werkzeuge zur Datenintegration werden beim Aufbau von Data Warehouse Lösungen immer wichtiger. Extraktions-, Transformations- und Ladewerkzeuge (ETL-Tools) unterstützen den gesamten Prozess der Datenaufbereitung und -überführung zwischen den Quellsystemen und dem Data Warehouse. 1. Data Warehousing mit ETL-Tools Der Ursprung für das Scheitern von DWH-Projekten ist häufig im Fehlen einer Infrastruktur für die Datenintegration zu finden, die den sich stetig verändernden Geschäftsanforderungen gerecht werden muss. Die Wahl und der Einsatz eines professionellen ETL-Tools anstelle von konventioneller Programmierung ist hier von besonderer Bedeutung. Abb. 1 zeigt auf, wo ein ETL-Tool im Rahmen des technischen Umfeldes eines DWH zu positionieren ist. Die operativen Systeme eines Unternehmens dienen als Datenbasis für das DWH. Mit Unterstützung eines ETL-Tools werden die relevanten Daten aus diesen heterogenen Quellsystemen (z. B. relational, ASCII, XML, Mainframe) extrahiert. Sie werden abgeglichen, transformiert und in ein DWH geladen, wo sie dann in konsolidierter Form vorliegen. Rund % der gesamten Projektzeit (siehe Abb. 2) für den Aufbau eines DWH werden für diesen Prozess benötigt. Einem Unternehmen muss ermöglicht werden, Daten aus unzähligen Systemen, Formaten, Applikationen, Datenbanken und Niederlassungen zusammenzutragen, um sie dann konsistent und sauber aufzubereiten und für eine breite Palette von analytischen Applikationen nutzbar zu machen. Abb. 1: Positionierung eines ETL-Tools innerhalb der Gesamtarchitektur. Aus dem anwendungsneutralen DWH heraus können unterschiedliche Data Marts zur weiteren Verdichtung und gezielten Bereitstellung von Ausschnitten aus dem DWH generiert werden. Hierzu 14 Ausgabe 2/2003

14 SYSTEME & DATENBANKEN ORDIX NEWS Abb. 2: Schwerpunkt des Arbeitsaufwands. Verdichtung, Anreicherung Umwandlung von Codes und Steuerzeichen Umwandlung unterschiedlicher Zeichensätze Plausibilitätsprüfungen Dublettenidentifikation Anlegen von Mapping-Tabellen und Logdateien Automatisches Job-Controlling wird wiederum ein ETL-Tool eingesetzt. Bei Data Marts stehen die individuellen Bedürfnisse der Benutzer im Vordergrund. Die Daten sind in einer Art und Weise strukturiert, die es erlaubt, die Anforderungen des Benutzers effizient und schnell realisieren zu können. Data Marts sind die Datenquelle für entscheidungsunterstützende Tools, individuelle Applikationen oder Reportgeneratoren die onoder offline betrieben werden. Gewonnene Erkenntnisse aus den diversen Auswertungen fließen als Qualitätsverbesserungen zurück in die operativen Systeme. Die Gesamtarchitektur zeigt somit auch den Weg von den Daten, daraus abgeleiteten Informationen und der Weiterentwicklung zu Wissen, aus dem dann gezielte Aktionen entstehen (Unternehmens-Performance-Analyse). 2. Funktionsbereiche eines ETL-Tools (ETL) Extraktion der Quelldaten Die Extraktion der Quelldaten ist ein rein technisch ausgerichteter Prozess. Er beinhaltet insbesondere die nachfolgenden Vorgänge: Temporäre Selektion in Staging Areas Harmonisierung von Datentypen Fehlerbereinigung Die Selektion der Quelldaten erfolgt in eine sogenannte Staging Area. Diese temporäre Zwischenspeicherung ermöglicht die systematische Durchführung der oben aufgeführten Vorgänge. In die Extraktionsprozeduren werden Regeln zur Datenbereinigung integriert. Anomalien, die nicht mit Hilfe einer bekannten Regel zu lösen sind, werden in einer Logdatei dokumentiert. Extraktionsergebnisse führen deshalb auch immer zu Qualitätsverbesserungs-Maßnahmen in den operativen Systemen. Bei der Extraktion sind der Startzeitpunkt und die Reihenfolge der einzelnen Schritte von großer Bedeutung. Alle relevanten Daten in den Quellsystemen müssen sich in einem kompletten und konsistenten Zustand befinden. Um sicherzustellen, dass die verschiedenen Routinen in der richtigen Reihenfolge und zur richtigen Zeit gestartet werden, ist ein entsprechender Steuermechanismus innerhalb eines ETL-Tools erforderlich. (ETL) Transformation der Rohdaten Bei der Transformation der selektierten Rohdaten steht der betriebswirtschaftlich logische Aspekt im Mittelpunkt. Die folgenden Vorgänge bestimmen diese Phase: Homogene Darstellung von Zeit- und Währungsdaten DWH: Data Warehouse ETL: Extrahieren - Transformieren - Laden (R)DBMS: (Relationales) Datenbank Management System OLAP: Online Analytical Processing XML: Extensible Markup Language Ausgabe 2/

15 ORDIX NEWS SYSTEME & DATENBANKEN Alle Fehler bei der Übertragung werden protokolliert. Daten mit Geheimhaltungspflicht können verschlüsselt abgelegt werden. Für das Laden aus den Staging Areas bieten Datenbankhersteller häufig leistungsfähige Load-Utilities an, die von dem jeweiligen DBMS unterstützt werden und das parallele Laden gestatten. Abb. 3: Der ETL-Prozess im Überblick. Beseitigung von Attributs- und Schlüsseldisharmonien Aggregation und Berechnung von Kennzahlen Logische Integration zusammengehöriger Datenkategorien Konsolidierung verschiedener Bereiche Die Transformation der Daten erfolgt in der Staging Area. In dieser Phase werden die organisatorischen Fähigkeiten der ETL-Tools sichtbar. Daten aus den unterschiedlichsten Anwendungsbereichen der operativen Systeme werden logisch kombiniert und neu verschlüsselt. Rohdaten werden damit zu Informationen. Bei der Transformation wird eine Menge von Berechnungen durchgeführt, die die Abfrage auf die Daten erheblich beschleunigen. Der Transformationsprozess wird durch Mehrprozessor-Architekturen unterstützt, die die parallele Abarbeitung von Transformationsschritten gewährleisten. (ETL) Laden in das DWH Beim abschließenden Ladeprozess werden die Daten automatisch zeit- oder ereignisgesteuert an das DWH übermittelt. Diese Phase beinhaltet die folgenden Vorgänge: Urladung bei Inbetriebnahme Fortlaufende Aktualisierung bzw. Ergänzung Übertragungsprotokollierung Änderungsverfolgung (z. B. Zeitstempelverfahren) Historisierung von Daten Die fortlaufende Aktualisierung kann inkrementell oder vollständig durchgeführt werden. Die Wahl der Aktualisierungsvariante hängt dabei von der Größe des Datenvolumens und von der Komplexität der notwendigen Prozesse ab. ETL-Tools unterstützen mit dem Aufbau von Zeitreihen ein wesentliches Kennzeichen eines Data Warehouses. Die Historisierung von Informationen ermöglicht eine Datenanalyse über mehrere Zeitperioden. Metadaten ETL-Tools verfügen über ein Repository, in dem Metadaten abgelegt werden. Die beim ETL-Prozess erzeugten Metadaten sind für die Nutzung des Data Warehouses durch die unterschiedlichen Benutzergruppen von sehr großer Bedeutung. Metadaten bilden die unterschiedlichsten Arten von detaillierten Informationen ab: Logische und physische Definitionen von Tabellen und Spalten in Quellund Zielsystemen, Extraktionshistorien, Bereinigungsparameter, Umwandlungsformeln, Geschäftsregeln und Benutzer- und Berechtigungsdaten. 3. DataStage Suite Die Firma Ascential Software bietet mit der DataStage XE Series eine Lösung mit integrierter Metadaten-Verwaltung und Qualitätssicherung, die die hohen Anforde- 16 Ausgabe 2/2003

16 SYSTEME & DATENBANKEN ORDIX NEWS rungen an ein ETL-Tool erfüllt. Mit DataStage können komplexe, skalierbare Integrationsprojekte für Enterprise-Anwendungen geplant und durchgeführt werden. Kernkomponente der DataStage XE Series ist die DataStage ETL- Plattform. Sie unterstützt sowohl Client/Server-Umgebungen als auch Mainframe- und gemischte Umgebungen. DataStage XE Series verfügt über eine Schnittstelle für die Extraktion und Umsetzung von Daten aus allen wichtigen Ausgangssystemen wie Mainframe, relationale Datenbanken und Standard Softwarepaketen, einschließlich der Generierung und Ausführung von nativem CO- BOL-Code mit DataStage XE/390. Designer Mit dem Point-and-Click-Tool ist ein visuelles Modellieren des Datenflusses und der Datenumwandlung von der Quelldaten-Extraktion bis zum Laden in das Ziel-Warehouse möglich. Es bietet eine vollständige Entwicklungsumgebung mit integriertem Debugger und Datenbrowser, die sich beliebig - von einfachen bis zu äußerst komplexen Datenmigrations- und Konvertierungsroutinen - skalieren lässt. Integrierte Bibliotheken und Konvertierungsfunktionen und eine eigene Skriptsprache vereinfachen die Entwicklung von Jobs zusätzlich. Der Grafikbrowser ermöglicht das Einsehen, Bearbeiten, Erstellen und Importieren von Metadaten, die im Repository (zentrale Datenbank) gespeichert werden. Die integrierte Metadaten-Verwaltung liefert eindeutige Informationen über Art und Herkunft unternehmenskritischer Daten und verbindet damit alle Komponenten der Integrations-Infrastruktur. Director Der Director ist das Tool, um Jobs auszuführen und zu planen, Aktivitäten zu überwachen, Statistiken zu prüfen, Ausnahmen zu handhaben und das System nach einem Fehler wiederherzustellen (Recovery). Die integrierte Scheduling-Funktionalität mit Command Line Interface realisiert das Einbinden hausinterner Scheduling-Systeme. Bei der Ausführung von Integrations-Jobs lässt sich die Verarbeitungslast flexibel verteilen, von einem bis zu mehreren hundert Prozessoren. Auf diese Weise können auch größte Datenmengen innerhalb kürzester Zeit parallel verarbeitet werden. Administrator Der Administrator hilft bei grundlegenden Entwicklungsaufgaben, wie der Einstellung von Defaults, der Zuordnung von Benutzerprivilegien und der Definition und Verteilung von DataStage Projekten. Mit diesen mächtigen Modulen beschleunigt Data- Stage die Entwicklung, Implementierung und Aktualisierung von Integrationsprojekten durch vereinfachte Administration und bessere Nutzung vorhandener Entwicklungsressourcen. Im aktuellen Teil der Serie eselect Suite (siehe S. 32) wird ein Analysetool aus dem Automobil-Bereich vorgestellt, das auf Daten eines von Data Stage erzeugten Data Marts zugreift. In den nächsten Ausgaben der ORDIX News werden wir Technologien und Methoden vorstellen, die das Auswerten von unternehmensweit verfügbaren Informationen unterstützen. Repository Manager Angela Völker-Silva, Object Systems GmbH (info@ordix.de). Ausgabe 2/

17 ORDIX NEWS SYSTEME & NETZE VPN - Virtuelle Private Netze, Teil II: Tunnelblick Im letzten Artikel wurde Ihnen an dieser Stelle ein Einblick in das Thema Virtuelle Private Netze gegeben, sowie mögliche Einsatzgebiete und Sparpotenziale aufgezeigt. In dieser Ausgabe werden wir die technischen Hintergründe darstellen, die bei der Realisierung eines VPN in IP-Netzwerken Anwendung finden. Virtuelle Private Netze (VPN) nutzen öffentliche Kommunikationsmedien wie das Internet, um private Daten zu übertragen. Um diese Daten vor unberechtigtem Zugriff zu schützen, sind drei Punkte zu beachten. 1. Geheimhaltung Es muss sichergestellt werden, dass ausschließlich berechtigte Personen an den Inhalt der Daten gelangen können. Deshalb sind diese Daten mit sicheren Verschlüsselungsverfahren zu chiffrieren. 2. Integrität Wichtig ist zudem die Gewissheit, dass die Daten während der Übertragung nicht verändert wurden. Zu diesem Zweck werden Verfahren zur Integritätsprüfung benötigt, welche die Authentizität einer Nachricht verifizieren können. Dies geschieht durch den Einsatz von Prüfsummen bzw. Hash-Werten. Zusätzlich zur eigentlichen Nachricht wird eine Prüfsumme übertragen. Beim Empfang wird die Funktion zur Erstellung der Prüfsumme auf die empfangenen Nachrichten erneut angewendet. Stimmt das Ergebnis nicht mit der übertragenen Prüfsumme überein, so sind die Daten verändert worden. Um einem Angreifer keine Möglichkeit zu geben, eine Nachricht zu verändern und anschließend mit einer neuen, gültigen Prüfsumme zu versehen, geht ein geheimer Schlüssel mit in deren Berechnung ein (Keyed Hash). Abb. 1: Die Einordnung von IPsec in den Netzwerk-Protokoll-Stack. 3. Authentifizierung Die Gesprächspartner müssen sich vor der Datenübertragung durch den Einsatz geeigneter Methoden eindeutig identifizieren lassen. Dies geschieht in der Regel über digitale Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle signiert werden. Möglich ist ebenfalls die Authentifizierung über vorher ausgetauschte, öffentliche Schlüssel (Public Key Verfahren) oder im einfachsten Fall über einen gemeinsamen Schlüssel, d. h. ein Passwort (Shared Secret Verfahren). IPsec Daten werden in IP-Netzwerken - wie dem Internet - in Form von IP- Paketen versendet. In diesen Paketen befinden sich die eigentlichen Nutzdaten. Sie werden von den zugehörigen Anwendungen verarbeitet. Zur Realisierung der genannten Anforderungen an den Schutz der Daten könnten nun die Anwendungen mit entsprechenden kryptografischen Funktionen ausgestattet werden. Auf Grund der Vielzahl der Anwendungen würde dies allerdings einen nicht überschaubaren Aufwand bedeuten. Aus diesem Grund wird die Implementierung der kryptografischen Funktionen auf die IP-Ebene verlagert. Denn ist die IP-Kommunikation zwischen zwei Systemen geschützt, so sind auch alle Daten der Anwendungen geschützt, die diese Verbindung zur Kommunikation nutzen. 18 Ausgabe 2/2003

18 SYSTEME & NETZE ORDIX NEWS IP Security (IPsec) stellt eine Sammlung von Protokollen dar, welche die benötigten Funktionalitäten bereitstellen. Es wurde von der Internet Engineering Task Force (IETF) entwickelt und ist im RFC 2401 beschrieben. IPsec kennt die folgenden beiden unterschiedlichen Betriebsarten: Tunnel-Modus Bei dieser Variante wird der gesamte Inhalt eines IP-Paketes inklusive der IP-Header in ein komplett neues Paket eingekapselt. Dieses ist somit vollständig geschützt - inklusive Absender- und Adressinformationen des IP-Paketes. Transport-Modus Beim Transport-Modus wird lediglich der Inhalt des IP-Paketes geschützt, nicht aber der IP-Header. Die Informationen über Quell- und Zieladresse sind somit weiterhin für Angreifer lesbar. Der Vorteil dieses Verfahrens ist der geringere Overhead, da kein komplett neuer IP-Header erzeugt werden muss. Komponenten der IPsec- Protokoll-Familie Die Umsetzung der Funktionen zur Verschlüsselung, Integritätsprüfung und Authentifizierung der IP-Pakete wird wahlweise von den Protokollen Authentication Header (AH) oder Encapsulating Security Payload (ESP) realisiert. IP Authentication Header Der IP Authentication Header wird in RFC 2402 beschrieben und ist Teil des IPsec. Er kann zur Sicherstellung der Identität des Kommunikationspartners sowie zur Integritätsprüfung eingesetzt werden. Dazu wird ein bestehendes IP- Paket mit einem zusätzlichen Header versehen. Ähnlich einer digitalen Signatur verifiziert er Herkunft und Integrität des Paketes. Er sorgt aber nicht für die Geheimhaltung der Daten, die unverschlüsselt übertragen werden. IP Encapsulating Security Payload Das ESP-Protokoll bietet zusätzlich zu den Funktionalitäten eines AH die Geheimhaltung der übertragenen Daten durch den Einsatz von Verschlüsselungstechniken. Welche Verschlüsselung eingesetzt wird, ist im ESP-Protokoll nicht festgelegt, sondern lediglich eine Liste der notwendigen und optionalen Verfahren. So muss beispielsweise jede ESP-Implementierung den Data Encryption Standard (DES) unterstützen. Seine genaue Spezifikation ist in RFC 2406 beschrieben. Internet Key Exchange Protokoll IPsec beschreibt zwar die Art und Weise, wie AH oder ESP funktionieren, die eingesetzten Verschlüsselungs- und Hash-Algorithmen sind allerdings nicht spezifiziert. Zwei Systeme, die eine IPsec-Verbindung mit AH oder ESP absichern wollen, müssen daher zunächst eine Security Association erstellen. Dies ist eine Abmachung über die Modalitäten einer IPsec-Verbindung. In einer Security Association werden folgende Parameter definiert: IP-Adressen der Partner Verfahren zur Verschlüsselung, Integritätsprüfung und Authentifizierung Art der Verbindung (Transport- oder Tunnel-Modus) Verwendung von ESP oder AH geheimer Schlüssel für die Verbindung Gültigkeit der verwendeten Schlüssel Abb. 2: Der Einsatz von ESP im Tunnel-Modus. Zum Aufbau einer Security Association dient wiederum das Internet Key Exchange Protocol (IKE), welches auch Bestandteil der IPsec Protokoll- Sammlung ist. Dieses beschreibt die notwendigen Schritte und die zu übertragenden Informationen, welche zum Aufbau einer Security Association notwendig sind. In der nächsten Ausgabe stellen wir die konkrete Umsetzung einer VPN-Lösung auf Grundlage des freien Betriebssystems Linux dar - im Zusammenspiel mit Open Source Software und IPsec. Christof Amelunxen (info@ordix.de). Ausgabe 2/

19 ORDIX NEWS SYSTEME & DATENBANKEN Oracle New Features, Teil VII: Segment Space Management Auto Mit Oracle 9i ist das Feature Segment Space Management Auto erschienen. Diese Funktionalität soll den administrativen Aufwand beim Block-Tuning minimieren. Inwieweit diese Aussage zutrifft und welche Vor- und Nachteile dieses neue Feature beinhaltet, soll der Artikel aufzeigen. create table t111 (a number) pctfree 20 pctused 50 initrans 2 maxtrans 5 storage (initial 10k next 10k pctincrease 50 minextents 2 maxextents 10 freelists 7 freelist groups 7) tablespace users; Abb. 2: Erstellung einer Tabelle im Locally managed Tablespace. Name pctfree pctused initrans maxtrans initial next minextents T maxextents pctincrease freelists freel. Groups 7 7 Abb. 3: Auszug aus der View USER_TABLES. Parameter in Locally Managed Tablespaces Beim Anlegen von Tabellen können diverse Storage-Parameter und physikalische Attribute mitgegeben werden: Attribute Bedeutung Defaultwert initial Größe des ersten Extents 5 Blöcke next Größe des nächsten Extents 5 Blöcke minextents Anzahl der bei der Erstellung allokierten Extents 1 maxextents maximale Anzahl Extents abhängig von der Blockgröße pctincrease Wachstumsfaktor 50 freelists Anzahl Freispeicherlisten 1 freelist groups Anzahl Freispeicherlisten-Gruppen 1 pctfree freier Platz für spätere Update-Funktionalitäten 10 pctused Mindestfüllgrad je Block 40 initrans Anzahl paralleler Transaktionseinträge je Block 1 maxtrans Maximale, parallele Transaktionseinträge je Block abhängig von der Blockgröße Abb. 1: Storage-Parameter und physikalische Attribute. create tablespace uni_auto datafile e:\oracle\oradata\kr\uni011.dbf size 10m extent management local uniform size 100k segment space management auto; Abb. 4: Erstellung eines Tablespaces mit Segment Space Management Auto. Mit der Einführung von Locally Managed Tablespaces (siehe ORDIX News 1/2003) sind einige dieser Attribute nicht mehr relevant. Diese Attribute sind in Abb. 1 gelb unterlegt. Syntaktisch ist die Verwendung dieser Parameter noch zulässig, sie haben allerdings keinen relevanten Einfluss. Dabei werden die angegebenen Werte zum Teil automatisch konvertiert. Dies soll das Beispiel in Abb. 2 zeigen. Der Auszug aus der View USER_TABLES (Abb. 3) zeigt die im Data Dictionary gespeicherten Werte. Die Werte für NEXT und PCTINCREASE werden ignoriert, MINEXTENTS wird auf 1, MAXEXTENTS wird auf unlimited gesetzt, INITIAL intern berechnet. Hier ist interessant, dass die tatsächliche, allokierte, initiale Extent Byte = 128 Blöcke groß ist. Das hier verwendete Tablespace ist vom Typ SYSTEM. Beim Aufsetzen des Tablespaces im Typ UNIFORM sind nahezu identische Auswirkungen zu beobachten. Parameter bei Verwendung von Segment Space Management Auto Mit der Version 9i ist nun das Feature Segment Space Management Auto hinzugekommen. Diese Funktionalität wird pro Table- 20 Ausgabe 2/2003

20 SYSTEME & DATENBANKEN ORDIX NEWS space fest eingestellt, also bei Definition eines Tablespaces festgelegt (siehe Abb. 4). Im Nachhinein kann diese Grundeinstellung nicht verändert werden. Auch hier erstellen wir nun eine Beispiel-Tabelle (Abb. 5). Abb. 6 zeigt den Auszug aus der View USER_TABLES mit den im Data Dictionary gespeicherten Werten. Wie aus dieser Auflistung zu sehen ist, sind hiermit auch die Parameter PCTUSED, FREELISTS und FREELIST GROUPS irrelevant (in Abb. 1 grau hinterlegt). Somit sind bei Verwendung von Locally Managed Tablespaces mit der Zusatzoption Segment Space Management Auto nur noch die Parameter PCTFREE, INITRANS und MAXTRANS relevant. Wirkungsweise und Effektivität An folgendem Beispiel soll die Wirkungsweise und Effektivität dieser neuen Funktionalität gezeigt werden. Zunächst werden zwei Tablespaces erzeugt (siehe Abb. 7). Beide Tablespaces sind Locally Managed, wobei t_auto vom Typ Segment Space Management Auto ist. In beide Tablespaces wird nun, wie in Abb. 8 gezeigt, jeweils eine Tabelle mit je Sätzen eingestellt. Nach Erstellung der Statistiken bietet sich das in Abb. 9 gezeigte Bild. Die Tabelle T_AUTO hat mehr Blöcke belegt (178 zu 155) als create table t113 (a number) pctfree 20 pctused 50 initrans 2 maxtrans 5 storage (initial 10k next 10k pctincrease 50 minextents 2 maxextents 10 freelists 7 freelist groups 7) tablespace uni_auto; Abb. 5: Erstellung einer Tabelle im Tablespace mit Segment Space Management Auto. Name pctfree pctused initrans maxtrans initial next minextents T maxextents pctincrease freelists freel. Groups 7 7 Abb. 6: Auszug aus der View USER_TABLES. create tablespace t_auto datafile e:\oracle\oradata\kr\ta1.dbf size 10m reuse extent management local uniform size 500k segment space management auto; create tablespace t_manual datafile e:\oracle\oradata\kr\tm1.dbf size 10m reuse extent management local uniform size 500k segment space management manual; Abb. 7: Erstellung zweier Tablespaces. create table t_auto (a number primary key, b char(100)) tablespace t_auto; create table t_manual (a number primary key, b char(100)) tablespace t_manual; begin for i in loop insert into t_auto values (i, test i); insert into t_manual values (i, test i); end loop; end; / commit; Abb. 8: Erstellung und Füllung zweier Beispiel-Tabellen. Tabelle Zeilen Blöcke Freiplatz T_AUTO T_MANUAL Abb. 9: Auszug aus der View USER_TABLES. Ausgabe 2/