Edel, kostspielig und gut. Das trifft nicht nur auf Kaviar sondern auch auf den OS X Server zu. Wer nur eine kleine Arbeitsgruppe mit wenigen Diensten zu versorgen hat, wird selbst vor den – mit rund 480 EUR an sich moderaten – Kosten einer 10er Lizenz für OS X Server zurückschrecken. Daher hier ein paar kleine Tipps wie man mit wenig Aufwand und kleinem Shareware-Geld ein auf jedem Mac installiertes OS X Client System aufbohrt und zum Server macht.
Filesharing
Elementare Funktionen um Dateien zwischen Windows- und Macintosh-Clients auszutauschen, bzw. gemeinsam zu nutzen bringt jedes OS X ab Werk mit. Ein einfacher Haken bei »Personal FileSharing«, bzw. »Windows FileSharing« in der Systemeinstellung »Sharing« und los geht’s. Leider sind die Funktionen sehr rudimentär und insbesondere die Verwaltung von Benutzer- und Gruppenrechten alles andere als komfortabel. Da war selbst OS 9 besser aufgestellt. Abhilfe schafft das Programm SharePoints, welches neben der selektiven Freigabe von Ordnern auch gleich die zugehörigen Benutzerrechte mitverwaltet. SharePoints läuft als Universal Binary auch auf Intel Macs und ist Donationware – sprich der Autor freut sich über jede beliebig hohe Spende.
NFS-Shares
Wer neben Windows- und Mac-Rechnern auch noch Linuxrechner optimal mit gemeinsam genutzten Verzeichnissen versorgen will, kann dazu auf das NFS-Protokoll zurückgreifen. Da OS X über einen Unix-Kern verfügt ist auch das NFS-Protokoll als solches bereits enthalten und kann mit entsprechenden Kenntnissen auch über die Kommandozeile eingerichtet werden. Eine sehr viel komfortable Konfigurationsmöglichkeit bietet der NFS-Manager von Marcel Bresink. Das Tool ist als Shareware für $15 sowohl für PPC als auch Intel Macs erhältlich.
Gemeinsame Nutzung von Druckern und Faxmodem
Lokal per USB am Server angeschlossene Drucker sind ebenfalls über einen Haken unter »Sharing« freizugeben. Über den Reiter »Sharing« in den Systemeinstellungen »Drucken und Faxen« werden dann noch die einzelnen Drucker die im Netzwerk erscheinen sollen festgelegt. Hier wird ebenfalls die Freigabe des Faxmodems eingerichtet. Kosten für Software: keine.
Webserver
Insbesondere als lokale Entwicklungsumgebung ist der eingebaute Webserver von OS X sehr gut zu gebrauchen. Als Basis verwendet OS X den Apache-Webserver, so fast schon so etwas wie der Quasistandard als Webserver geworden ist. Sofern eine genügend schnelle Leitung (wichtig: die Upstreamleistung ist hier entscheidend!) zur Verfügung steht, spricht auch nichts dagegen den Webserver im Internet öffentlich zu betreiben. Wer lediglich statische HTML-Seiten erstellt und vorhält ist mit dem schon mehrfach angesprochenene Haken unter »Sharing« fertig. Wer es etwas komfortabler mag, nimmt in der Datei /etc/httpd/httpd.conf die Kommentarzeichen für die PHP-Einbindung raus und bekommt damit die Möglichkeit auch dynamische Seiten unter PHP zu erstellen. Zusammen mit einer Datenbank Installation, z.B. gibt es fertige Binaries von MySQL für OS X, entsteht so mit wenigen Klicks ein sehr leistungsfähiger Webserver. Auch die Möglichkeit zum WebDAV-Zugriff ist mit wenigen Einträgen in der Konfigurationsdatei zu ermöglichen, so daß der WebServer als Basis für den Austausch von iCal-Terminen genutzt werden kann.
Ein Wort zu den immer gerne gepriesenen „Instant-Webservern“ wie XAMPP oder MAMP oder den recht komfortablen Installationen von Serverlogistics. Grundsätzlich vereinfachen sie jemandem ,der zuvor noch nie einen Webserver aufgesetzt hat, das Geschäft. Allerdings stehen einem diese fertigkonfektionierten Installationen mit etwas mehr Kenntnissen sehr schnell im Weg, weil doch einiges „verbogen“ wird, um z.B. dem bereits vorhandenen Apachen nicht ins Gehege zu kommen. Ein kleiner Lernaufwand an Anfang, um die Einträge der httpd.conf kennen zu lernen ist langfristig wesentlich ergiebiger als der schnelle Erfolg der Instant-Webserver Installationen. Apache, PHP, WebDAV sind an Bord, MySQL ist Freeware.
FTP-Server
Auch hier böte OS X einen einfachen Klick und fertig wäre der FTP-Server. Aber: die Implementation des eh etwas anfälligen FTP-Protokolls ist so unsicher gelöst, das man dringend von den OS X eigenen Ressourcen abraten muß. Besser gelöst ist diese Aufgabe mit dem PureFTPd Manager. Auch der PureFTPd Manager läuft bereits nativ auf den Intel Macs und ist ebenfalls Donationware.
Mailserver
Für etwa $20 bekommt man mit MailServe »a totally-functional buzzword-compliant mail server in less than a minute, the Mac Way«, also einen fix und fertigen Mailserver, der sowohl POP, IMAP und SMTP mit wenigen Klicks auf einem beliebigen PPC oder Intel Mac unter OS X zur Verfügung stellt. Wer lediglich einen SMTP-Server für den Versand von eMails betreiben will, kann für’s halbe Geld auch auf den PostfixEnabler zurückgreifen.
DomainName-Server (DNS)
Insbesondere wenn das Netz etwas wächst wird man es zu schätzen wissen, die Rechner beim Namen nennen zu können und sich nicht kryptische IP-Nummern merken zu müssen. Aus gleichem Haus wie der PostfixEnabler und MailServe kommt daher für weitere $9,99 der DNSEnabler an Bord.
DHCP-Server
Als Grundlage für den DNS empfiehlt es sich auch einen DHCP-Server zu betreiben. Leider gibt es keinen fertigen DHCP-Server für den OS X Client, sondern lediglich den Source Code des Internet Systems Consortiums, der dann noch zu komplieren wäre. Wer diese Aufgabe scheut, sollte auf die DHCP-Server Funktionen zurückgreifen, die heute so ziemlich jeder DSL- oder ISDN-Router enthält.
VPN-Server
Auch hier bietet sich leider nur die Wahl zwischen selbst kompilierten Lösungen oder dem Rückgriff auf einen – meist schon etwas leistungsfähigeren – Router, der eine VPN-Anbindung mitbringt.
NTP-Server
Um innerhalb des Netzes eine gemeinsame Uhrzeit zu haben verfügen bietet OS X die Möglichkeit in der Systemeinstellung »Datum und Uhrzeit« einen Timeserver anzugeben. Neben den Apple-Timeservern bietet sich der Rückgriff auf die Pysikalisch-Technische Bundesanstalt – dem Betreiber der deutschen Atomuhr – unter ptbtime1.ptb.de oder ptbtime2.ptb.de an. Auch hier verfügen die meisten Router über eine entsprechende Funktion, so dass diese einmalig einen Netzverkehr nach aussen produzieren und die Clientrechner wiederum auf den Router als Timeserver zurückgreifen können.
Firewall und NAT
Einen elementaren Angriffsschutz bietet OS X – wiederum in der Systemeinstellung »Sharing« – mit seiner eingebauten Firewall. Zu beachten ist: wer neben den Standarddiensten die unter »Sharing« verwaltet werden, weitere in sein System implementiert, muß notwendige Ausnahmen für die Firewall manuell einpflegen. Ggf. ist es überlegenswert in einem überschaubaren und vertrauenswürdigen internen Netz die OS X Firewall ganz abzuschalten, wenn dafür nach aussen über den DSL-Router eine entsprechende Firewallfunktionalität zur Verfügung steht. Auch bei der Weitergabe der DSL-Verbindung an andere Rechner und dem dafür notwendigen NAT (Network Address Translation – kurz: die externe IP im internen Netz nutzbar machen) ist ein expliziter Router ungleich leistungsfähiger als die Möglichkeit die OS X unter »Sharing« »Internet« dafür bietet. Insbesondere können in einem Router dafür weitreichende Regeln hinterlegt werden, welcher Rechner, welche Dienste zu welchen Zeiten nutzen oder eben auch nicht nutzen darf.
iChat-Server
Um den Funktionen eines OS X Servers nahe zukommen, gehen wir einfach mal alle Dienste durch, die dieser ansonsten noch so bietet. Dazu gehört auch die Möglichkeit einen eigenen iChat-Server aufzusetzen. Dieser basiert unter OS X Server auf Jabber. Neben zwei Java-Lösungen (Wildfire und Open-IM), die „out-of-the-box“ eingesetzt werden können, gibt es nur noch von ejabberd ein fertiges Binary (allerdings derzeit ausschliesslich für PPC-Macs) um einen entsprechenden Server zu betreiben.
Anwendungsserver
Unter OS X gehören dazu neben Tomcat und JBoss auch noch das appleeigene WebObjects. Letzteres ist seit der Version 5.3 kostenloser Bestandteil der Developer Tools, die zu jeder Tiger-Version mitgeliefert werden. Kostenlos sind auch die Java-Applikationsserver Tomcat und JBoss die kostenlos heruntergeladen werden können.
Quicktime Streaming Server
Die Grundlage für diesen Dienst unter OS X Server bildet der Darwin Streaming Server der von Apple selbst als kostenloses OpenSource Programm zur Verfügung gestellt wird.
NetBoot-Server
Neben der Möglichkeit Clients ohne eigene Festplatte über das Netzwerk zu booten, wird dieser Dienst sehr häufig genutzt um von zentraler Stelle aus, eine (möglichst) einheitliche Installation auf allen Clients zu erstellen. Als kostenlose Alternative bietet sich dazu NetRestore von Mike Bombich an.
Softwareaktualisierungs-Server (SUS)
Der OS X Server bietet die Möglichkeit einmal zentral alle verfügbaren Updates für Apples Software Produkte zu holen und innerhalb des lokalen Netzes den Clientrechnern zur Verfügung zu stellen. Faktisch veringert sich dadurch lediglich der verbrauchte Traffic, verglichen mit dem Standardverhalten, das jeder einzelne Client auf das Internet zugreift um die verfügbaren Softwareupdates vom Apple-Server zu laden. Eine einfache und elegante Möglichkeit den SUS auf OS X Clientsystemen nachzubilden ist mir leider nicht bekannt. Nach meiner Einschätzung wäre es aber mit etwas Shell-Scripting zu lösen.
Update 04.05.2007 : Heise hat ein nettes Tool namens »OliU – c’t Offline Updater für Mac OS X 10.4.« auf der Basis des Kommandozeilentools »wget« veröffentlicht, mit dem man sich die Updates vom AppleServer auf ein lokales Volume ziehen kann. Einstellbar ist, für welche Architektur – PPC und/oder Intel – die Pakete geladen werden sollen und wo und wie sie gespeichert werden. Für unseren Zweck als Server wäre sicherlich das Verzeichnis „Web-Sites“ und die Freigabe via Webserver im lokalen Netz sicherlich das Mittel der Wahl.
OpenDirectory
Last but not least – der zentrale Dienst des OS X Servers überhaupt. Fast alle o.g. Dienste kennen unterschiedliche Rechte für einzelne Benutzer. Und sei es, das ein Benutzer den betreffenden Dienst überhaupt nutzen darf. Aus diesem Grund bauen unter OS X Server fast alle Dienste auf einer zentralen Benutzerverwaltung – dem OpenDirectory – auf. Grundlage für OpenDirectory ist ein LDAP-Server. Auch hierzu gibt es mit OpenLDAP einen kostenlose OpenSource Ersatz, der allerdings nur Source-Code zur Verfügung steht, also selbst kompiliert werden muß. Grundsätzlich kann man aber festhalten: alle o.g. Dienste, die eine Konfiguration von Benutzerrechten erfordern bringen – jeder für sich – die notwendigen Einstellmöglichkeiten mit. Die zentrale Verwaltung ist damit vorallem ein Komfortgewinn und minimiert potentielle Fehlermöglichkeiten. Wer wirklich so viele Dienste auf seinem Server anbietet, das eine solche zentrale Benutzerverwaltung Sinn macht, sollte ernsthaft über die Anschaffung des OS X Servers nachdenken! Der Rest kann wie oben gezeigt mit wenigen Dollar für Shareware und etwas Fleiss bei der Einrichtung schon recht weit kommen.
Vorteil aller hier gezeigten Lösungen: sie unterliegen keiner Lizenzbeschränkung, wären daher vom Gegenwert her eher mit der unbegrenzten Lizenz des OS X Servers (ca. 970 EUR) zu vergleichen. Die meisten Programme liegen zudem schon als Universal Binary vor und können damit auf den aktuellen Intel Macs eingesetzt werden, während OS X Server noch auf PPC-Macs ausschliesslich läuft. Grundsätzlich sollte für eine kleine Arbeitsgruppe mit bis zu 5 Clients und einer handvoll Dienste aber jeder OS X fähige Rechner ausreichen. Selbst ältere G3- und G4-PowerMacs sind mit genügend RAM und einer schnellen Festplatte dieser Aufgabe locker gewachsen.
Man kann auch unter Mac OS X Client den vorhandenen racoon als PPTP und L2TP VPN Server konfigurieren! Kompiliert werden mu& da nichts. Auch OpenVPN wäre eine Lösung.
Sehr gute Anleitung für racoon:
http://mopoinfo.vpn.uni-freiburg.de/docs/ipsec-racoon.php.de
und speziell für OSX:
http://mopoinfo.vpn.uni-freiburg.de/ml/0200.php