joriske
joriske Nieuws 3 februari 2004

Mac OS X Server van begin af aan

Open source made easy. Dat claimt apple met de nieuwste versie van z’n server OS. Zonder eerdere server-ervaring op Mac of andere platforms begon ik enige tijd geleden met een blanco installatie ervan op een G4 Xserve. In dit verslag vertel ik wat bij mij wél en niet goed ging bij het instellen en gebruiken van de verschillende opties die het OS biedt. Met andere woorden: werkt het nu écht allemaal als je gewoon begint en kijkt waar je uitkomt?


Netboot
In de omgeving waar de Xserve in gebruik is, is de omloopsnelheid van computers nogal groot. En vaak zijn er ook machines die er tijdelijk staan. De Netboot/Netinstall functie klinkt dan ook erg aantrekkelijk; op de server staan één of meerdere images, die een Mac in het netwerk gebruikt om van op te starten of om van te installeren. Beide functies werken probleemloos. De boot-image heb ik gemaakt door een volledig in orde gemaakte harde schijf naar een iPod te klonen. Vervolgens heeft de server daar een image van getrokken. Voor de Netinstall ben ik uitgegaan van een verse set Panther cd’s.

Zowel bij Netboot als bij Netinstall kun je de images updaten, bijvoorbeeld als er een Mac OS update verschenen is. Dit doe je simpelweg door in de zgn. Netimage utility de betreffende image te selecteren en packages erop te droppen. Er is dus niet zoiets als een programmatuurupdate voor Netboot-images, maar vooralsnog zijn alle updates ook als package te downloaden. Bij Netinstall is dit ook erg handig: niet langer hoef je je na iedere installatie van de Panther cd’s door bergen security- en andere updates te worstelen. De eerste keer ging dit trouwens helaas mis bij de Netinstall image, maar een nieuwe poging was wél succesvol. Programma’s die niet in een package zitten voeg je toe door de Netboot image gewoon op de server te mounten en de mappen er naartoe te slepen.
De snelheid van Netboot is zeker in orde. Het voelt absoluut niet als een soort remote access terminal. Door cache-bestanden op de lokale harde schijf merk je eigenlijk niet dat je data allemaal over het netwerk komen. Bij het lostrekken van de netwerk-kabel terwijl je in de Finder zit crasht de computer meestal niet, maar tijdens het opstarten van een programma wil hij wel eens gaan hangen. Maar goed, dit hoor je dan ook niet te doen. Opstarten vanaf het netwerk via Airport lukte mij niet.

Om een stuk of 7 geNetbootte machines draaiende te houden, hoeft de Xserve nauwelijks een inspanning te leveren. De machine komt nauwelijks boven 10% processoractiviteit uit, terwijl de andere nog te noemen services ook draaien. Al met al een uitkomst dus, al moet je goed onthouden dat bij Netboot elke wijziging op een client computer verloren gaat bij de volgende keer opstarten. Het installeren via Netinstall duurt iets korter dan een normale installatie, en bovendien heb je dan dus alle updates al erbij.

Router en firewall
Mijn idee was de dubbele netwerkpoort van de Xserve te benutten voor een router/firewall functie. De ene poort zou het externe ip-adres dragen (middels een modem met DHCP-spoof – verder niet relevant voor dit verhaal) en de andere zou verbonden zijn met het lokale netwerk en daar network address translation (NAT- toegang geven tot internet van computers in een LAN d.m.v. één gezamenlijk extern ip-adres). Een soort veredelde internet connection sharing dus. Waar dit echter in 10.3 client met een paar klikken te bereiken is, lijkt het in server welhaast onmogelijk. De firewall is zó terug te vinden in het overzichtelijke server admin programma, maar hoe je nou dat internetverkeer doorgesluisd krijgt…

Na veel speuren op internet, blijkt deze functie gewoon niet in de GUI terug te vinden te zijn. Je moet in het bestand hostconfig IPFORWARD=YES in plaats van NO instellen. Dit kan allemaal via pico, maar een eenvoudigere optie is met bijv. Tinkertool de verborgen bestanden zichtbaar te maken, te zoeken naar hostconfig en in tekstedit de regel aan te passen. Niet opslaan als rtf a.u.b.

Na dit trucje werkt internet prima, maar de firewall configuratie wordt er niet intuitiever op. In de envoudige modus zijn er een aantal vakjes die je aan kunt klikken om bijv. Apple Filesharing protocol op poort 548 mogelijk te maken. Maar een pakket als bijvoorbeeld Filemaker staat niet in de lijst. Ook is het niet duidelijk naar welke van de twee (of allebei?) ethernet aansluitingen deze poorten open gezet worden.

De advanced modus biedt vast uitkomst, maar echt duidelijk is de documentatie niet over de toch redelijk eenvoudige eisen die ik heb; naar buiten toe slechts VPN poorten open zetten, en naar binnen toe gewoon alles toestaan. Met andere woorden, de mogelijkheden zijn er vast, maar zijn niet echt intuitief.

Virtual Private Network
Een andere reden waarom ik graag het externe ip-adres wilde hebben op één van de netwerkpoorten van de Xserver, was dat dit het eenvoudiger maakt een VPN verbinding tot stand te brengen. Een VPN is eigenlijk een soort tunnel naar je eigen netwerk via internet. Na een stevig beveiligde login, lijkt het net alsof je je in het lokale netwerk van je huis of bedrijf bevindt. Als je bijvoorbeeld op je werk naar een netwerkprinter op ip-adres 10.0.0.8 print, kun je dit via de VPN verbinding ook doen. De datapakketjes gaan gewoon via internet naar jouw computer – maar stevig versleuteld en dus veilig.

Mac OS kan als VPN server fungeren op twee manieren: PPTP en L2TP via IPSec. De eerste is een Windows standaard en veelgebruikt, de tweede is een open standaard en vooral veiliger. Na wat gesukkel met het toewijzen van de juiste IP-range -waarbij de documentatie best behulpzaam is- lukt inloggen zowel via PPTP als L2TP. Maar daadwerkelijk bijv. de fileserver benaderen en printen lukt alleen via L2TP. Omdat wij in een complete Mac-omgeving werken en bovendien L2TP in de nieuwere Windows versies ook ondersteund wordt, heb ik deze problemen verder niet onderzocht. Denk bij het instellen van een VPN verbinding op de client computer via het programma internet toegang aan het zgn. Shared Secret (een soort extra wachtwoord) indien je L2TP gebruikt. Toegang tot het LAN verloopt in mijn ervaring vlekkeloos vanaf de meeste locaties. Ik ondervind alleen nog problemen met een client computer die van achter een Netopia router uit de R-serie verbinding probeert te maken met het LAN, maar dit ligt waarschijnlijk niet aan OS X server.

Om een VPN server succesvol te gebruiken moet je gebruikers en bevoegdheden ingesteld hebben. En als je dan toch gebruikers ingesteld hebt, dan wil je eigenlijk ook networked home directories. Onder andere deze zaken bespreek ik in deel twee van dit verslag dat zo snel mogelijk volgt.

Met dank aan Apple Centre Maastricht

Reageer op artikel:
Mac OS X Server van begin af aan
Sluiten