Stefan Kremer

Über die unvollständig entwickelten Groupware Funktionen von OS X Server (Tiger) hatten wir es ja schon mal. Neben der sehr eleganten, aber immerhin noch rund $ 500 teuren Kerio Lösung hat Alex Hartner nun fleissig an ABxLDAP weiterentwickelt und bietet zwischenzeitlich eine gute und preiswerte Alternative.

ABxLDAP besteht im Wesentlichen aus 3 Teilen

• einer Systemerweiterung, die auf dem/den Clientrechnern installiert wird
• einer Applikation namens AB4LDAP, die ein paar Adressbuch-Informationen mehr anzeigen und verarbeiten kann, als das Apple Adressbuch
• einem LDAP-Schema, welches in den OS X Server includiert werden muß.

Die Installation von Programm und Systemerweiterung laufen bequem über einen Installer. Etwas Handarbeit ist auf Serverseite für das ABxLDAP-Schema von Nöten. Die mitgelieferte Datei »abxldap.schema« wird ins Verzeichnis /etc/openldap/schema kopiert und in der Datei /etc/openldap/slapd.conf mit dem Eintrag

include      /etc/openldap/schema/abxldap.schema

eingebunden. Nach einem Neustart des OD ist das Schema aktiviert. Mit Hilfe dieses Schemas wird die bisherige Begrenzung, die das Standardschema InetOrgPerson bot umgangen und stattdessen weitgehend die Adressbuch Feldbelegungen übernommen.

In der Systemerweiterung wird der Suchpfad zum LDAP-Verzeichnis „People“ hinterlegt. Nehmen wir einen Server im lokalen Netz mit dem FQDN »server.netz.lan«, so wäre der Suchbereich mit

»cn=people,dc=server,dc=netz,dc=lan«

anzugeben. Auch die Angabe des Benutzernamens erfordert LDAP-Syntax:

»uid=benutzerkurzname,cn=users,dc=server,dc=netz,dc=lan«.

Zusammen mit dem Passwort des Benutzers und der Schemaauswahl „Addressbook X LDAP Person“ ist damit der Weg zum Server gelegt um die Daten aus dem lokalen Adressbuch im Verzeichnis „people“ zu veröffentlichen.

Im Reiter „Gruppen“ lassen sich zudem noch die zu übermittelnden Gruppen des Apple Adressbuchs bestimmen. So können z.B. private Kontakte vom der Veröffentlichung ausgenommen werden. In der Auswahl werden sowohl statische, wie intelligente Gruppenordner zur Synchronisation angeboten.

Nach erfolgter Synchronisation erscheinen die Einträge auch schon im Arbeitsgruppen-Manager (Einstellungen -> Titel „Alle Einträge“ und „Detailansicht“ einblenden) unter dem Auswahlpunkt „People“.

Sowohl im Apple Adressbuch unter Verzeichnisse, wie auch in AB4LDAP sind künftig die im LDAP vorhandenen Adressbuch Einträge sichtbar, die zuvor ausschliesslich lokal vorhanden waren.

Um Adressbestände vom Verzeichnis unterwegs verfügbar zu haben, genügt es das vCard-Symbol per Drag’nDrop ins lokale Adressbuch zu befördern.

Damit wäre die erste Hälfte eines Groupware-Servers abgedeckt. Über die bekannten WebDAV-Freigaben von iCal ist – wenn auch noch mit einigen Workarounds behaftet – die zweite Hälfte abgedeckt. Spätestens mit Erscheinen von Leopard, der über einen iCal-Server verfügen wird, sollte diese zweite Hälfte dann aber auch vollständig und ohne Umwege nutzbar sein.

ABxLDAP ist Shareware, eine Site-License (also für ein komplettes Netzwerk, einmalig!) kostet £ 15 (ca. 22 €, Stand 9.3.07). Ein geradezu lächerliches Geld für den Zugewinn an Funktion.

Ein automatisierter Prozess besteht im wesentlichen aus zwei Komponenten:

• Eine Aufgabenstellung besteht aus mehreren Teilschritten, die wiederkehrend (weitgehend) identisch sind
  Die Verknüpfung solcher Teilschritte kann z.B. mit Automator, AppleScript, Shell-Scripten oder programminterner Triggermechanismen erfolgen (Beispiel: RagTime kann über entsprechende Rechenblattfunktionen Datensätze aus dem Adressbuch beziehen).
• Es gibt einen Event, der die Aufgabenstellung auslöst
  Im einfachsten Fall ist es ein regelmässig wiederkehrendes Ereignis, das über fixe Zeiten oder Intervalle aufzurufen ist. Andere Event-Trigger liefern z.B. Tastatur-Shortcuts, wie sie Butler von Peter Maurer verwalten kann, Location X, der die Netzwerkumgebung erkennt und bei Veränderung als Anstoss für automatisierte Arbeitsabläufe liefern kann. Ähnlich arbeitet auch DisplayWatcher. Hier wird jedoch nicht die Netzwerkumgebung überwacht, sondern wechselnde Monitoreinstellungen, z.B. wenn ein externes Display oder ein Beamer angeschlossen wird. Tools wie Sofa Control oder Remote Buddy verarbeiten Eingaben der Apple Fernbedienung; Griffin bietet mit Proxi etwas ähnliches für die hauseigene Eingabehardware abzufangen.

Zeit ist Geld

Für die Steuerung von zeit- oder intervallabhängigen Prozessen bietet OS X gleich mehrere Möglichkeiten. Die offensichtlichste ist iCal. Ein regelmässig wiederkehrender Termin zusammen mit einem Programmaufruf bei Erreichend des Termins ist die einfachste Form der Steuerung. Im Idealfall richtet man einen eigenen Kalender für solche Aufgaben ein, der im Normalfall ausgeblendet wird, um den Überblick über seine eigentlichen Termine zubehalten.

Sehr viel eleganter, weil im Unterbau von OS X verhaftet, sind cronjobs oder launched Einträge. Kommandozeilenfexe werden die notwendigen Statements sehr fix mit einem einfachen Texteditor erzeugt haben. Für uns „Normalos“ gibt es erfreulicherweise Tools wie CronniX für die Erzeugung von Crontab-Einträgen und Lingon zur Verwaltung von launchd-Ereignissen. Der entscheidende Unterschied zwischen den beiden: cron arbeitet statisch exakt zur eingestellten Zeit. Ist der Rechner zu dem Zeitpunkt nicht eingeschaltet, findet der Aufruf nicht statt. launchd ist etwas intelligenter. Ist der Rechner zum Zeitpunkt des Aufrufs nicht eingeschaltet, wird der Prozess zur nächsten Gelegenheit, wenn der Rechner wieder an ist, nachgeholt.

Ausführung beim An- oder Abmelden

Ein weiterer wertvoller Trigger ist das Login oder Logout eines Benutzers. So können Prozesse einmalig beim An- oder Abmelden über einen einfachen Kommadozeilenbefehl erzeugt werden:

$ sudo defaults write com.apple.loginwindow LoginHook /pfad/zum/Programm

$ sudo defaults write com.apple.loginwindow LogoutHook /pfad/zum/Programm

Sind die beiden Aufrufe um einen Prozess beim Anmelden (LoginHook) bzw. Abmelden (LogoutHook) zu starten.

Eine ähnliche Funktion für den schnellen Benutzerwechsel bietet WinSwitch über die „Switch-In-Items“ und „Switch-Out-Items“ Ordner.

In den Ordnern können Programme abgelegt werden, die beim Wechsel vom oder zum Benutzer gestartet werden.

Beispiel: regelmässige Synchronisation von Terminen und Adressen zwischen Mobiltelefon und Macintosh

Wer für kleinere Außentermine nicht immer den Laptop mitschleppen mag, vertraut seine Kontakte und Termine einem PDA oder seinem Mobiltelefon an. In meinem Fall bin ich – mal wieder – bei Sony Ericsson gelandet. Die Möglichkeiten der Zusammenarbeit zwischen Mac und Telefon sind mit den Geräten dieses Herstellers einfach maximal, fast unabhängig davon für welches Modell man sich entscheidet.

Um den Datenbestand des Telefons mit dem des Mac abgleichen zu können liefert iSync sehr gute Dienste. Da ich zuverlässig meine Datenbestände immer aktuell halten will und es mir zu mühsam ist immer wieder iSync aufzurufen und die Synchronisation anzustossen, habe ich nach Arbeitserleichterungen gesucht.

Sync Now

Das erste Tool findet sich bei Julian Wright. Mit der Einführung von Tiger hat sich das Verhalten des iSync-Menüleisten Icons verändert. So ruft es heute nur noch iSync auf, während unter Panther noch eine sofortige Synchronisierung möglich war. An dieser Stelle hilft Julians Sync Now weiter, das genau diese Funktionalität wiederherstellt. Zum Aufruf aus der Menüleiste muß jedoch ein Tool wie z.B. der schon erwähnte Butler zur Hilfe genommen werden. Bei mir ist so ein komplettes Menü für alles rund um die Handysynchronisation entstanden.

Damit ist zumindest ein schneller Aufruf zwischendurch möglich. Eine Regelmässigkeit entsteht noch nicht.

Einmal täglich bitte …

Im vorliegenden Fall habe ich mich für einen Cronjob entscheiden und entsprechend per CronniX erzeugt:

Hier wird also um 12:00 Uhr, an jedem Tag, jeden Monat das Programm Sync Now gestartet.

Wer als Windowsuser schon mal mit Outlook im Team gearbeitet hatte, konnte auf dem Mac wirklich verzweifeln. iCal, Mail, Adressbuch, iSync – ein wirklich geniales Team, das leicht und schnell das »Personal Information Management« abhandeln kann. Aber eben nur »personal«. Sobald die Anforderung nach professionellen Gruppenfunktionen hinzutrat, blieb dem Apple User nur ein Backenaufblasen und ein peinliches Stammeln. Das an dieser Stelle gerne und spontan eingeworfene „… vielleicht über Dot-Mac …“ greift bei genauerem Hinsehen leider nicht. Die von Apple gebotene Lösung mit .mac ist wesentlich mehr darauf fokusiert, dass ein Benutzer seine Datenbestände auf mehreren Rechnern konsitent halten kann, nicht jedoch um damit Gruppenfunktionen oder gar Workflows abzubilden. Und die Einbindung von Windows-Clients ist nicht mal als Idee bei .mac vorhanden.

Der zweite Gedanke geht natürlich zum OS X Server. Leider weist auch der an einigen Stellen noch kräftigen Nachholbedarf auf, was Groupwarefunktionen angeht. Beispiele gefällig? Bitte sehr:

Das Apple Adressbuch (und damit auch Mail) kann sehr gut Daten aus dem LDAP-Verzeichnis von OpenDirectory beziehen. Seit 10.4. erfolgt auch ein automatisches Update wenn vCards, die als lokale Kopie von LDAP-Einträgen vorliegen (zumindest dem Prospekt nach; in der Praxis ist mir zumindest genau das noch nicht gelungen). Aber: die Struktur des InetPersonOrg-Schemas im LDAP-Verzeichnis und die Struktur eines Apple Adressbucheintrags unterscheiden sich sehr deutlich. Ein Mapping der Informationen ist damit nur sehr unvollständig und holprig möglich. Sprich: das zentrale Verzeichnis behinhaltet nur einen Bruchteil der Informationen, die das Apple Adressbuch verwalten kann. Weiterhin ist der Bezug von Adressen vom Server eine Einbahnstraße. Werden am lokalen Datenbestand Änderungen vorgenommen ist keine Strategie vorhanden, mit der die Änderungen auf den Server zurückfliessen! Bestenfalls über Alex Hartners „Adressbook4LDAP“ (als einziges noch Mac-Like), der Weboberfläche phpLDAPadmin oder dem häßlichen Java-Tool „JXplorer“ lassen sich Änderungen etwas mühselig an den Server übergeben. Wiederum mit der Einschränkung des fehlenden oder unvollständigen Mappings. Apple wäre gut beraten ein eigenes Schema für das Adressbuch auf Basis des InetOrgPerson Schemas im OpenDirectory zu implementieren und die Syncronisation in beide Richtungen zu organisieren!

In iCal kann jeder Benutzer nur seine eigenen Kalender verwalten. Eine Freigabe erfolgt über eine WebDAV-Freigabe, die sowohl mit einer OS X Client-Version als auch mit dem OS X Server zum Glück recht einfach zu realisieren ist. Aber: Solcherlei freigegebene Kalender sind für Kollegen, die diesen dann abonnieren, grundsätzlich read-only. Eine Vertretungsregelung oder Assistenzfunktion ist damit grundsätzlich ausgeschlossen, bzw. nur sehr umständlich und unvollständig über Workarounds zu realisieren. Dabei zeigt schon heute der Mozilla Ableger Sunbird, dass es auch anders geht! Sunbird ist der Standalone-Kalender des Mozilla-Projekts der sich aus dem Browser-Plugin der WebSuite ableitet. Abonnierte Kalender können hier editiert werden. Bevor ein Eintrag, der durch einen Dritten erzeugt oder editiert wurde freigegeben wird, stellt Sunbird die Verbindung zum Server her, prüft dort den letzten Stand des Kalenderfiles und übergibt erst dann die Änderung. Eine sehr einfache, wenn auch in extremen Situationen durchaus etwas lastanfällige Lösung. Auch hier hätte Apple alle Möglichkeiten dies schnell und einfach zu lösen. In Verbindung mit dem LDAP-Server könnten die Assistenzregelungen zudem sehr leicht durch die dort schon hinterlegten Benutzer- und Gruppenrechte konfiguriert werden.

Genug über OS X Server gejammert. Es gibt schliesslich schon heute eine Lösung!

Der Kerio Mailserver bietet die notwendigen Features und ist ein vollwertiger Ersatz für den ungleich teureren Microsoft Exchange Server, der zudem die Notwendigkeit eines Windows Rechners als Server mitbringt. Zum Vergleich: eine 20 User Lizenz des Kerio Mailservers ist für 500 EUR zu bekommen, während Microsoft für eine 5er Lizenz des Exchange Servers bereits 1400 EUR aufruft! Und: der Kerio Mailserver läuft auf OS X – sowohl auf der Clientversion als auch auf OS X Server. Für den Betrieb auf OS X Client bringt der Kerio Mailserver einen eigenen LDAP-Server mit. Ist – wie bei OS X Server – bereits ein LDAP-Server im Einsatz, läßt er sich bei der Installation sehr einfach in das vorhandene OpenDirectory einbinden, so daß keine zusätzlichen Arbeiten für die Bereitstellung der Benutzeraccounts anfallen. Mit wenigen Klicks sind die Benutzer samt ihren Accountdaten im Kerio Mailserver hinterlegt.

Mit dem Schlagwort „Exchange Ersatz“ sind auch schon die wichtigsten Features angrissen. Neben den privaten Informationen zu Terminen, Kontakten und eMails, die ein Benutzer auf seiner lokalen Platte ablegen kann, können Termine, Kontakte und eMails auch öffentlich für eine Gruppe bereitgestellt werden. Für alle öffentlichen Elemente können auch Vertretungsrechte vergeben werden, so daß z.B. auch das Sekretariat Termine für Dritte annehmen und pflegen kann, eMails in Urlaubsabwesenheit von Kollegen beantwortet werden können usw. Dabei können sowohl Windows Clients mit Outlook als auch Mac-Rechner auf diese Groupware-Funktionen zugreifen.

Grundsätzlich ist Apple Mail als Client unterstützt, da jedoch für die Terminverwaltung iCal und für den Adressbestand das Adressbuch benötigt wird und nicht wie bei Outlook alles in einem Programm verwaltet wird, ist die Arbeit von Apple Mail als Exchange-Clien etwas holprig. Für Termine, Adressen und Aufgaben werden zusätzliche Mail-Ordner angelegt in denen dann je eine Mail pro Kontakt, Termin oder ToDo enthalten sind. Diese vCard-, bzw. vCal-formartierten Informationen können dann von dort zu iCal oder Adressbuch übernommen werden – nicht sehr elegant. Sehr viel besser taugt daher Microsoft Entourage als Kerio-Client. Die Version OfficeX ist dabei bekanntermassen etwas „zickig“ was die Anbindung an Exchange (und eben auch an einen Exchange Ersatz) angeht. Empfehlenswert ist daher die Version Office2004, zumal das dort enthaltene Projektcenter einen echten Mehrwert bietet!

Kontakte, Termine und eMails können einem Projekt zugeordnet werden und sind damit sehr schnell und übersichtlich organisiert. Richtig genial wird diese Projektzuordnung aber erst dann, wenn man auf Finderebene eine entsprechende Projektstruktur abbildet und pro Projekt einen Ordner unterhält, in dem sämtliche Dokumente enthalten oder per Alias zumindest verlinkt sind. Dabei beschränkt sich die Dokumentenverwaltung nicht auf MS Office Dokumente, sondern inkludiert alle anderen Dateiformate. Wird der Ordner zudem auf einem Filesharing-Volume gehalten, ist auch damit ein zentraler Zugriff auf die Dokumente für alle Mitarbeiter einer Gruppe gewährleistet. Einen solchen Projektordner im Finder kann das Projektcenter von Entourage ebenfalls einbinden, so dass sämtliche zu einem Projekt angefallenen Daten, Termine, Kontakte, Dokumente mit einem Klick übersichtlich zur Verfügung stehen.

Nachteile

• während ein Offline-Arbeiten mit Entourage (z.B. bei mobilen Benutzern) durchaus möglich ist, verbleiben die Dokumente des Projektes natürlich auf dem Fileserver während der Abwesenheit aus dem internen Netz.
• Um den Abgleich der Entourage-Daten über iSync mit Mobiltelefonen, PDAs etc. sicherzustellen bedarf es zusätzlicher Software wie z.B. e2sync, GoBetween o.ä. Mit dem Office-Update 11.2.3 hat sich das wohl erledigt und seit 11.2.5 scheint es wohl sogar zuverlässig zu sein.
• Einige speziellere Funktionen, die über das Apple Adressbuch realsiert sind, wie z.B. der Versand von SMS über ein gekoppeltes Handy, die Anwahlübergabe an die Telefonanlage oder der Durchgriff auf Kartendaten von GoogleMaps, Route66 o.ä. aus dem Adressbuch heraus gehen mit dem Einsatz von Entourage verloren. Auch das löst das o.g. Office-Update, wenn auch um den Preis zwei Adressbestände – im Apple Adressbuch und in Entourage – zu haben, die sich gegenseitig abgleichen.
• Entourage ist Bestandteil des Microsoft Office Pakets und damit nicht einzeln erhältlich. Wer Word, Excel und PowerPoint nicht nutzen mag, müsste 400 EUR nur ein PIM-System ausgeben, was doch recht reichlich ist.

Tröstlich für uns Macuser: Windows Outlook Benutzer bekommen dieses wunderschöne Mac-only Feature des Entourage Projektcenters weder für Geld noch gute Worte.

Darüberhinaus ist der Kerio Mailserver eben nicht nur eine Groupware-Lösung sondern auch ein sehr leistungsfähiger Mailserver, der sehr leicht zu konfigurieren ist. Sofern bereits POP-Accounts bei einem ISP vorhanden sind, kann der Kerio Mailserver diese abfragen und automatisch an lokale Accounts durchstellen. Auch der Versand von eMails kann auf diese Art organisiert werden, so daß keine Gefahr besteht, dass der eigene SMTP-Server, der i.d.R. hinter einer Dialup Verbindung mit wechselnden IP-Adressen arbeitet, mal einem Spamfilter auf Empfängerseite zum Opfer fällt. Eingehende Mails unterzieht der Kerio Mailserver – nach einstellbaren Kriterien – einer sehr gründlichen Spam- und Virenuntersuchung und ggf. Filterung. Neben einem mitgelieferten Virenfilter von MacAfee (dann kostet die 20er Lizenz 750 EUR statt 500 EUR) kann zusätzlich unter OS X der kostenpflichtige (ab 100 EUR, abhängig von der Zahl der Benutzer und der Laufzeit des Updatebezugs) Sophos SAVI Virenscanner eingebunden werden. Über Black- und Greylisting erfolgt eine zuverlässige Spamerkennung.

Fazit

Der Kerio Mailserver ist sowohl eine gelungene – für Groupware-Funktionen sogar notwendige – Ergänzung zum OS X Server, wie auch ein sehr preiswerter und vollwertiger Ersatz für den Microsoft Exchange Server. Er bietet damit eine einfache Lösung zur Integration von Windows- und Mac-Clients. Zusammen mit Entourage als Exchange Client kann er seine Stärken voll ausspielen. Sollte Apple nicht kurzfristig das Gespann aus Mail, Adressbuch, iCal, iSync und OS X Server zu einer vollwertigen Groupware ausbauen, ist der Kerio Mailserver eine Pflichtinstallation.