»es füllt sich der speicher mit köstlicher habe« · »es füllt sich der speicher mit...

»Es füllt sich der Speichermit köstlicher Habe«(Schiller, Das Lied von der Glocke)

Oracle Beehive im Deutschen Literaturarchiv Marbach

DOAG-Konferenz 2010Thomas Meyer, DLA MarbachTorsten Grambs, Oracle EMEA Beehive Support Team

Agenda

- DLA Marbach - Kurzportrait- Mailserver im DLA- OCS vs. Beehive- Installation und Konfiguration- Migration- Praxiserfahrungen- Beehive Stärken- DLA Wunschliste

Kurzportrait DLA Marbach

- Deutsches Literaturarchiv: Sammlung und Erschließung der deutschen Literatur seit 1750 bis zur Gegenwart (Handschriften, Bücher, Zeitschriften, Bildobjekte ...)

- Schiller-Nationalmuseum und Literaturmuseum der Moderne- ca. 180 Mitarbeiter auf 100 Planstellen- Deutsche Schillergesellschaft e.V. als Träger, Finanzierung

überwiegend durch Bund und Land Baden-Württemberg

Archiv: Nachlässe und Autographen, z.B.Kafkas »Process«-Manuskript

Archiv, Bilder und Objekte: Bilder, Fotos, Grafiken, Objekte, z.B. Totenmasken

Bibliothek: Bücher, Zeitschriften, Beiträge, AV-Materialien

»Born Digitals« aus Nachlässen: z.B.Disketten von Thomas Strittmatter

Campus mit Schiller-Nationalmuseum und Literaturmuseum der Moderne

Mailserver im DLA – kleine Historie

- Juni 1994: Inbetriebnahme Teamlinks/DEC Mailworks- moderne Client-Server Lösung (für die damalige Zeit)- Produkt am Markt nicht erfolgreich, Verkauf an OpenOne, neuer

Name: MailOne

- November 1999: Ablösung durch Teamlinks/MailOne unter Tru64 UNIX

- neue Versionen mit Linux-Support und IMAP-Support nicht stabil einsetzbar

- Firma OpenOne ca. 2005 im Konkurs: Support in Eigenleistung

Mailserver im DLA – kleine Historie

- DLA sucht nach Mailserver mit Linux-Support, offenen Protokollen, professionellem Support

- DOAG Mannheim 2004: Oracle Collaboration Suite (OCS) in Vortrag kennengelernt

- August 2007: Testinstallation OCS im DLA- November 2007: Abbruch wegen funktionaler Mängel:

– keine durchgängige Administration– unzureichender Support von Gruppen– Calendering nicht integriert (eigene Clients, non-DB)– unüberschaubare Dokumentation (bis hin zu OID ...)

»Was tun? spricht Zeus«(Schiller, »Die Teilung der Erde«)

Mailserver im DLA – kleine Historie

- Januar 2008: Oracle positioniert Beehive als neue Kommunikationsplattform

- Mai 2008: Testinstallation Beehive 1.2, Teilnahme am Betaprogramm, intensiver interner Test funktionaler Anforderungen

- Juni 2009: Produktive Installation Beehive 1.5- Juli 2009: Produktiver Testbetrieb (ca. 10 Teilnehmer)- November 2009: Gesamtumstellung, Migration der Mailboxen- Juni 2010: Beehive 2.0.1

Anforderungen DLA, aktueller Ausbau

- Basisfunktionen Collaboration-Server (Mail, Calendering)- Office-Integration- Abbildung der Organisationseinheiten durch Team-Workspaces- verlässliche, überpersonale Mailadressen- zentrale Regelung aller Zugriffe über Gruppen- sicherer Remote Zugriff über Web-Interface- alternative Clients über offene Protokolle- Datenmigration

Beehive vs. OCS

- stringente Architektur (alles aus einem Guss, Stichwort BOM)- breiteres Angebot für Integration von Directory Services- übersichtlichere Dokumentation- stark vereinfachte Installationsprozeduren, insbesondere

SSL/TLS- mächtiges beectl CLI- Beekeeper Admin GUI- CalDAV statt proprietärem Calendering-Client- OBEO statt OCFO für Outlook (single socket protocol),

Document Drag&Drop- OBEE für Explorer-Integration

Firewall

HTT

PS

MA

PI

BTI

/MX IM

AP

/SM

TP+C

alD

AV

LDA

P

HTT

PS

[IMA

P/S

MTP

,] C

alD

AV

, Syn

cML

SQ

L*N

et

SM

TP

Beehive im DLA Marbach

Deployment Beehive im DLA

- Installation der zugrundeliegenden Datenbank- Installation Beehive Application Tier(s)- Installation Beehive DMZ Tier- Installation Beekeeper Administation

Beehive Installation

- Prerequisites peinlich genau beachten- Oracle Beehive Release 2 Master Note (Doc ID 1058232.1)- Sizing via Oracle

»Ernst ist der Anblick der Notwendigkeit«(Schiller, »Wallensteins Tod«)

DB-Installation

- single purpose DB Instance mit AL32UTF8 charset- intensive Nutzung von DB-Features (Partitioning, Expression

Indexes, Advanced Queuing, Oracle Text, XML DB ...)- Nutzung von Advanced Compression erwägen- RAC Support

Installation Mid-Tier(s) / Beekeeper

- Installation auf 64-Bit Linux derzeit mit »/usr/bin/linux32 bash«- Installation immer funktional vollständig (Installer ermöglicht kein

Abwählen von Diensten)- wenige, einfache Installationsdialoge

Installation DMZ

- separater Host in DMZ Segment- administrative Funktionen werden nicht mitinstalliert (z.B. beectl

CLI)- Kommunikation mit Mid-Tiers über AJPS, ONS und BTPS

Einrichtung SSL/TLS

- Aller Verkehr mit den Clients über SSL oder TLS abgesichert- auf Protokollbasis granular einstellbar- Besonderheit bei DMZ-Installation: Wallet muss 1:1 übertragen

werden- »Split-Brain« DNS: transparenter Hostnamen nach innen und

nach außen (_VIRTUAL_SERVER muss konfiguriert sein und dem Zertifikatsnamen entsprechen)

Fronting sendmail/postfix

- starke Empfehlung, einen MTA wie Postfix vor Beehive zu schalten (Note:459554.1: Fronting and Relaying the Oracle MTA via a 3rd party product)

- Mail-Queuing im Wartungsfall- einfachere Implementierung vieler SMTP-Funktionen (z. B.

Masquerading, Spam-Abwehr, Virenscan)- Maillogs für externen Traffic

Mail Configuration

- Endpoint »fronted_postfix« auf Port 24- Endpoint »client_submission« auf Port 587 (RFC Client-

Submission) mit TLS- IMAP auf Port 143 mit TLS

Beekeeper Mail Config.

Directory Integration

- Feature OpenLDAP-Unterstützung auf Kundenwunsch implementiert, relativ zeitnahe Umsetzung

- Unterstützung von groupofnames-Gruppen- posixgroup-Strukturen erfordern noch einen Workaround- LDAP ist informationsführend, Änderungen werden automatisch

synchronisiert- automatisches Provisioning im UDS (User Directory Service)

durch wenige, einfache Schemaerweiterungen- Oracle-Support Notes Doc ID 1060767.1 und 787708.1 wurden

in Zusammenarbeit entwickelt

»Die Axt im Haus erspart den Zimmermann«(Schiller, aus »Wilhelm Tell«)

# PEN des DLAobjectIdentifier dlaOID 1.3.6.1.4.1.xyz# unsere LDAP-IDsobjectIdentifier dlaLDAP dlaOID:2# einene AttributtypenobjectIdentifier dlaAttributeType dlaLDAP:1# eigene ObjektklassenobjectIdentifier dlaObjectClass dlaLDAP:2

attributetype ( dlaAttributeType:1 NAME ( 'x-de-dla-use-Person-for' )DESC 'applications where this user account should be registered; valid entries as of 26.06.2009: "beehive-enterprise-user, beehive-extended-

enterprise-user, beehive-external-contact"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( dlaAttributeType:2 NAME ( 'x-de-dla-use-Group-for' )DESC 'applications where this group account should be registered; valid entries as of 26.06.2009: "beehive"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( dlaAttributeType:3 NAME ( 'x-de-dla-Group-mail-address' )DESC 'mail address of this group, e.g. "wdv@dla-marbach.de"'EQUALITY caseIgnoreIA5MatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

objectclass ( dlaObjectClass:1NAME 'x-de-dla-Person'

DESC 'DLA Extensions for Persons'SUP TOPAUXILIARY

MAY (x-de-dla-use-Person-for )

)

objectclass ( dlaObjectClass:2NAME 'x-de-dla-Group'

DESC 'DLA Extensions for Groups'SUP TOPAUXILIARY

MAY (x-de-dla-use-Group-for $ x-de-dla-Group-mail-address )

)

dla.schema

Beispiel Beehive User

version: 1

# LDIF Export for: ...

dn: uid=duck,ou=people,dc=dla-marbach,dc=de...objectClass: sambaSamAccountobjectClass: x-de-dla-Person...sn: Duckuid: duckuidNumber: 4711displayName: Duck, Dagobert...mail: Dagobert.Duck@dla-marbach.demail: duck@dla-marbach.demail: Dagobert.Duck@garamond.dla-marbach.de...x-de-dla-use-Person-for: beehive-enterprise-user

beectl CLI

- deutlich mächtiger als Beekeeper GUI- eignet sich für Skripting- Auto-Complete, Wiederholungsfunktionen- umfangreiche Hilfe-Funktion

Migration

Anforderungen zum Übergang auf Beehive:- Parallelbetrieb, da nicht alle Anwender gleichzeitig umgestellt

werden konnten- Transparenz (unveränderte Mailadressen) nach innen und nach

außen- komplette Übernahme der Maildaten ins Zielsystem

Beehive in Migrationsszenarien

- Server kann in Subdomain betrieben werden- Eigenschaft »enable external inbox« für noch nicht migrierte

User: Umleitung auf das Altsystem

Migration über Zwischenstation Dovecot- BMT mit Support für IMAP, OCS, Exchange u.a.- Mail-Daten des Altsystems nur über Offline-Export (MBox)- deswegen Zwischenstufe IMAP-Server Dovecot (kann EML-

Mailboxen direkt per IMAP zur Verfügung stellen)- IMAP-Protokoll erforderte Maskierung nicht unterstützter

Zeichen (z.B. +, *, &, %) in Ordnernamen- eigene Scripte

Migration Dovecot nach Beehive

- Support-Tool BMT:IMAP (Limited Distribution)- Java-Tool mit einfachem Setup / Parametrisierung- Reentrance (»never fail approach«)- hoher Datendurchsatz, vertikale und horizontale Skalierbarkeit- Rückübersetzung maskierter Zeichen in Ordnernamen- Rekonstruktion fehlende Sender- oder Empfängerangaben- Migration in Unterordner der Ziel-Accounts- ca. 160 Benutzer, 870.000 Mails in 7.000 Ordnern, 83 GB

MigrationsverfahrenMailOneServer

Beehive Server

Export als MBox, Migration über IMAP nach Beehive

Dovecot IMAP

pers. Fach „MAIL“

optionale, weitere Fächer(Arbeitsgruppen / Projekte)

optionale, weitere,selbst angelegte Fächer

„Mein Arbeitsbereich“,Unterordner „TL-Mail-1“

„Mein Arbeitsbereich“,Unterordner „TL-Mail-2/3/4/...“

Team-Arbeitsbereich,ws_abt_...,ws_ref_...,ws_ak_...,ws_prj_...

MBoxBMT-IMAP

DLA – Praxiserfahrungen

»Dem Mann kann geholfen werden«(Schiller, aus »Die Räuber«)

Bessere RFC-Conformance

- Beehive per Voreinstellung bei unbekannten Empfängeradressen als »Honey Pot«

- unmittelbare Abweisung unbekannter Empfänger per Groovy-Skript oder LDAP-Match

- Einrichtung einer Postmaster-Adresse (Alias)

Überlegungen zum Datenrecovery

- derzeit noch aufwändige Prozeduren für typische Alltagsanforderungen zum selektiven Datenrecovery

- logischer Export derzeit nur für Maildaten (beectl export_email_data)

- Support hat »Cookbook« für Einrichten einer Clone-Instanz zum Recovery, basierend auf Beehive Cloning und Oracle Backup&Recovery

- Nachteil: umfangreiche Vorbereitung und u.U. hohe Laufzeit- Vorteil: Recovery auf beliebigen Zeitpunkt

Funktionale »Poolkennungen«

- offizielle Kontaktadressen wie etwa info@dla-marbach.de gehen an vollwertige Pseudo-Accounts

- Pseudo-Accounts delegieren an natürliche Personen- natürliche Personen binden Pseudo-Accounts ein- Vorteile: Mailverkehr wird transparent über eine einheitliche

Mailadresse abgewickelt, keine Verteilungsproblematik, keine Vervielfachung externer Anfragen über Verteilerlisten, effiziente Abwesenheitsvertretungen, zuverlässige Erreichbarkeit, keine informellen Dialoge über persönliche Adressen

Mailempfang: Pool-Kennungen vs. Team-ArbeitsbereicheTeam-Arbeitsbereiche:- keine Mechanismen zur Delegation- keine mehrfachen Mailadressen definierbar- noch kein IMAP-Zugriff (erwartet in zukünftigen Versionen)

Pool-Kennungen:- Ordner müssen in OBEO subskribiert werden (ER 9210325:

display additional folders in workspaces of other users)

Eingebundene Arbeitsbereiche

Senden als dagobert.duck@dla-marbach.de Sendenals

verwaltung@dla-m

arbach.de

Duck, Dagobertdagobert.duck@dla-marbach.de

Arbeitsbereich Verwaltung (ws_abt_verwalt)

Rührig, Ritarita.ruehrig@dla-marbach.de

PersönlicherArbeitsbereich

mit Posteingang

PersönlicherArbeitsbereich

mit Posteingang

PersönlicherArbeitsbereich

mit Posteingang

Send

enun

de m

p fan

gen

Send

enun

de m

p fan

gen

Lese

n,Ab

lage

DLA, Abteilung Verwaltungverwaltung@dla-marbach.de

(Funktionsstelle, Poolkennung)

Delegation an

Lese

n ,A b

lage

Lese

n,Ab

lage

Empf

ange

n

Delegation an

EinbindenEinbinden

Client-Konfiguration

- Default-Policy: DMS mit Auto-Update der Clients- DLA-Policy: »Lock-Down« Environment, Installation von OBEO

Patchscripts- DLA Eigenentwicklung: Skripte zur komplett automatisierten

Konfiguration von Outlook und Thunderbird (mit Lightning)- vollwertige Suche mit dem Outlook-Connector OBEO erfordert

manuelle Einstellungen durch den Anwender (Extras - Optionen - E-Mail Setup - Senden/Empfangen)

Outlook lokaler Datencache

sync

hron

isie

ren

Outlook lokaler Datencache (cont‘d)

Kontakte / Adressbuch

- hausweites Adressbuch in der GAL (Globale Adressliste, indirekt basierend auf OpenLDAP)

- persönliches Adressbuch und Adressbücher in den Team Workspaces im Modul Kontakte (OBEO) bzw. Adressbuch (Zimbra)

- Thunderbird über OpenLDAP konfiguriert

Ausbaupotentiale im DLA

- derzeit noch ungenutzt: Beehive Conferencing, Chat Server, Explorer Integration (OBEE), Team Collaboration Web-Client

- Integration mit TK-Anlage erfordert Cisco ISR (Integrated Services Router)

Beehive Stärken

- zügige, an Kundenwünschen orientierte Weiterentwicklung- Single Point of Administration - Installations-Assistent: alles in einem Aufwasch - intuitive und leistungsfähige Administration mit Beekeeper - offene Protokolle - robuste Architektur (Beehive überlebt DB Bounces)

Beehive Stärken (cont‘d)

- sehr leistungsfähiges Migrationstool BMT - Support offener Verzeichnisdienste (OpenLDAP) - leistungsfähiger Web-Client Zimbra - Benutzereinstellungen in OBEO / BCentral synchron (z.B.

Abwesenheitsassistent, Delegationen)- Mobile Support- Cross-Platform Conferencing (inklusive FD Voice)- Starkes Support-Team

DLA Wunschliste

- vereinfachte Recovery-Prozeduren (Read-Only Flashback-Nutzung?)

- Server-based Search in OBEO- Server-based Import/Export für alle Daten, in offenen Formaten

(2.0.1.4 bringt neues Kommando »beectl export_workspace«)- besserer Support von Team-Workspaces (Ablage) in Zimbra:

Ablage und Suche - GAL für offene Clients zugänglich machen, z.B. Thunderbird

(CardDAV)

»Wenn gute Reden sie begleiten, dann fließt die Arbeit munter fort.«(Schiller, »Das Lied von der Glocke«)

DLA Wunschliste (cont‘d)

- Certificate based Authentication für genauere Steuerung des Zugriffs aus dem Internet

- Volltextsuche in SSR (Server Side Rules)- OBEO-Profile abspeichern und auf neuen Rechner übernehmen - Support alternativer, vollintegrierter Virenscanner (derzeit nur

Symantec)- Unterstützung von posixgroup im OpenLDAP- Team-Workspaces über IMAP (geplant)- Unterstützung 64 Bit (geplant)- offizielle Roadmap

»Der Mohr hat seine Schuldigkeit getan;der Mohr kann gehen.«(Schiller, aus dem »Fiesco«)

Thomas Meyer, DLA Marbachthomas.meyer@dla-marbach.de

Torsten Grambs, Oracle EMEA Beehive Support Teamtorsten.grambs@oracle.com