Test: Raritan Dominion-SX-Serie

Serielle Konsolenzugriffe über IP

30.03.2007 | Autor / Redakteur: Dr. Götz Güttich / Andreas Donner

Die Dominion-SX-Produkte von Raritan kommen als 19-Zoll-Appliance mit einer Höheneinheit und stellen – je nach Modell – bis zu 48 serielle Konsolen über IP-Netzwerke zur Verfügung. Um die Zugriffe abzusichern, wird die gesamte IP-Kommunikation SSL verschlüsselt. Im Testlabor des IAIT konnte das Produkt seine Leistungsfähigkeit unter Beweis stellen.

Mit dem Dominion SX steuern Administratoren seriell konfigurierbare Netzwerkgeräte über LAN/WAN, Internet oder ein DFÜ-Modem. Dazu ist es lediglich erforderlich, den seriellen Port des zu verwaltenden Geräts (also Server, Firewalls, Switches, Router, Telefonanlagen oder sonstige Appliances) mit dem Konsolenswitch zu verbinden, um dann mit Hilfe eines beliebigen Java-fähigen Web-Browsers darauf zugreifen zu können.

Damit wird die Installation von Software-Agenten auf den Zielsystemen überflüssig und die Management-Zugriffe sind hervorragend gegen Angriffe von außen geschützt. Darüber hinaus ermöglicht das Produkt das Automatisieren der Verwaltung der Clientsysteme per Skripting (damit lassen sich beispielsweise auf Unix-Systemen Festplattenkapazitäten überprüfen oder Datenbanken reorganisieren), den gleichzeitigen Zugriff mehrerer Benutzer auf einen Port und eine Chat-Kommunikation mit anderen Anwendern. Zudem verschickt die Appliance auf Wunsch auch E-Mail-Benachrichtigungen an die Administratoren und hält bis zu 64 KByte der letzten Konsolenaktivitäten als Verlaufsdaten bereit. Ein Telnet-Zugriff sowie Support für SNMP und Syslog gehören ebenfalls zum Leistungsumfang des Serial-Port-Switches.

Abgesehen von der bereits erwähnten SSL-Verschlüsselung bietet die Lösung im Sicherheitsbereich auch eine Firewall sowie Unterstützung für SSH und kooperiert zur Authentifizierung mit Radius-, TACACS+- und LDAP-Servern. Benutzerdefinierte und installierbare Sicherheitszertifikate sorgen außerdem für einen bestmöglichen Zugriffsschutz.

Inbetriebnahme

Für den Test integrierten wir den Dominion SX in ein heterogenes Netzwerk, in dem diverse Server unter Debian-, Gentoo-, Redhat- und Suse-Linux auf unterschiedlichen Hardware-Plattformen von CTT, Dell und Lynx liefen. Zusätzlich verwendeten wir Systeme unter Windows Server 2003 R2 sowie einen verwaltbaren Dell-Switch vom Typ Powerconnect 5324 und einen X2300i-Router von Funkwerk. Darüber hinaus schlossen wir noch eine Funkwerk-Telefonanlage des Typs Elmeg ICT 46 und eine Sun Ultrasparc an das System an. Das gleiche galt für einen auf dem Prolific-Chipsatz aufsetzenden Serial-to-USB-Adapter. Mit diesem wollten wir sicherstellen, dass sich auch neuere Hardwareplattformen, die über keinen eigenen seriellen Port mehr verfügen, über das Dominion-SX-System fernwarten lassen. Leider war es uns im Test aber nicht möglich, auf diesem Weg eine serielle Verbindung aufzubauen, die anderen genannten Geräte funktionierten dagegen alle.

Das Gerät startet mit einer Default-IP-Adresse von 192.168.0.192. Die zuständigen Mitarbeiter müssen daher zunächst von ihrem Konfigurations-Client aus eine entsprechende Route setzen oder den Client ganz in das genannte Subnetz verschieben, damit sie dann über die Standart-IP-Adresse auf das Konfigurationsinterface des Produkts zugreifen können.

Sobald der Browser die Adresse des Dominion SX kontaktiert hat, erzeugt die Appliance ein Zertifikat und zeigt das Login-Fenster an. Die erste Anmeldung läuft über das „admin“-Konto mit dem Passwort „raritan“. Nach erfolgreichem Zugriff fragt das Produkt zu allererst nach einem neuen Passwort für das Administratorenkonto. Dieses Verhalten ist vorbildlich, verhindert es doch, dass irgendwelche Konsolenserver mit Default-Passwörtern im Netz arbeiten. Erst nach der Definition eines neuen Passworts landet der Nutzer im Web-Interface der Lösung.

Hier bietet der erste Punkt „Port Access“ sofort Zugriff auf die einzelnen seriellen Anschlüsse. In dieser ersten Login-Phase ist es jedoch sinnvoll, die Ports noch unbeachtet zu lassen und stattdessen zunächst die Grundkonfiguration des Produkts abzuschließen.

Dazu dient der vierte Konfigurationspunkt „Setup“. Hier lassen sich unter „Network“ sämtliche Einstellungen vornehmen, die erforderlich sind, um die Appliance ins Unternehmensnetz zu integrieren, also IP-Adresse, Name, Gateway, Domäne und so weiter. Soll eine Modemeinwahl für den Remote-Access zum Einsatz kommen, erfolgt deren Konfiguration ebenfalls im Setup-Bereich. Sobald die Netzwerkeinstellungen gesichert wurden, startet die Appliance neu und die Initialkonfiguration ist abgeschlossen.

Administration

Wenn sich die Verantwortlichen nach dem Abschluss des Netzwerk-Setups wieder beim Dominion SX anmelden, so können sie via Port Access bereits auf die Ports und die daran angeschlossenen Geräte zugreifen, falls diese Geräte ihre serielle Kommunikation über die Standardeinstellungen 9.600 Baud, keine Parity, acht Bits sowie Xon/Xoff und Hardware-Flow disabled abwickeln. In diesem Fall öffnet das Produkt eine Konsole, die direkt auf den seriellen Port des jeweils angeschlossenen Devices verzweigt. Abweichende Kommunikationsparameter werden im Setup-Sub-Menü „Port Configuration“ vorgenommen.

Die Konsole arbeitet wahlweise mit den Code-Sets US-ASCII (True VT100), ISO-8859-1 (Latin-1), ISO 8859-15 (Latin-9) und UTF-8. Der Cursortyp lässt sich auf Line-Cursor oder Block-Cursor setzen und der Administrator hat zudem im Menübereich der Konsole die Option, einen Schreibzugriff zu aktivieren, eine Benutzerliste für den betroffenen Port einzusehen oder ein Break zu senden. Es ist sogar möglich, den Konsoleninhalt per Copy-and-Paste in das Clipboard des Steuerungsrechners zu übernehmen. Zusätzlich steht an gleicher Stelle die bereits erwähnte Logging-Funktion zur Verfügung, die die letzten über den seriellen Port übertragenen Daten vorhält. Die ebenfalls angesprochene Chat-Funktion schließt den Leistungsumfang der Konsole ab.

Die Funktionalität des Dominion-SX-Systems bleibt aber nicht auf Konsolenzugriffe beschränkt. Es ist möglich, nach dem Aufbau einer Port-Verbindung auch andere Anwendungen zu starten, als Beispiel dafür gilt ein Applet zum Steuern von Power-Leisten.

Zusätzlich findet sich unter Setup noch ein Konfigurationspunkt zur Remote-Authentifizierung, über den die Kommunikationsparameter für den Datenaustauch mit Radius-, LDAP- und TACACS+-Servern festgelegt werden. An gleicher Stelle steht auch eine Service-Seite zur Verfügung, in der sich Dienste wie HTTP, HTTPS, Telnet und SSH aktivieren und deaktivieren lassen. Die Administratoren haben hier sogar die Option, HTTP-Verkehr automatisch auf HTTPS umzuleiten, was das Sicherheitsniveau deutlich erhöht. Ebenfalls von Bedeutung: Dialoge zur Konfiguration des statischen Routings, der Systemzeit (mit NTP-Servern) und der Port Keywords.

Die Keywords lassen sich mit Events assoziieren. Auf diese Weise ist die Appliance beispielsweise in der Lage jedes Mal, wenn sie in dem auf einem Port auftretenden Datenstrom das jeweilige Schlüsselwort erkennt, eine Notifikationsmail an einen IT-Verantwortlichen zu schicken.

Für viele Administratoren sollte die IPMI-Unterstützung der Raritan Appliance von Interesse sein, die sich unter dem gleichnamigen Menüpunkt einrichten lässt. Damit kann über den Dominion SX die „Intelligent Platform Management Interface“-Funktionen von entfernten Systemen genutzt werden.

Im Betrieb

Um im praktischen Einsatz eine Kommunikation zu den zu steuernden Endgeräten aufzubauen, spielt es eine wesentliche Rolle, das richtige Kabel zu verwenden. Als Grundregel hierbei gilt: Die speziellen Cisco-kompatiblen-Kabel von Raritan eignen sich vor allem für Verbindungen zu Appliances und Routern sowie Switches, aber auch für manche Sun-Systeme. Normale Ethernet-Kabel – im Test verwendeten wir dazu Standard-Kat-5-Kabel – sollten eher für die Kommunikation mit Standardhardware (also PCs) verwendet werden.

Wenn sich das anzusprechende Gerät nicht meldet, hilft es oft schon, einen anderen Kabeltyp auszuprobieren. Ansonsten sind kaum Besonderheiten zu beachten, weil Switches, Router, Telefonanlagen und Appliances in der Regel bereits so konfiguriert wurden, dass sie standardmäßig einen seriellen Konfigurationszugang bereit stellen und deswegen sofort über den Dominion SX zur Verfügung stehen. Lediglich Betriebssystem-Clients stellen hier eine Ausnahme dar, da diese nicht unbedingt mit einer Unterstützung der seriellen Konsole installiert wurden, obwohl es auf manchen Sun-Rechnern reicht, das Keyboard abzuziehen, um den seriellen Anschluss zu aktivieren.

Deswegen möchten wir an dieser Stelle noch kurz exemplarisch anhand von Windows Server 2003 (ältere Windows-Server-Versionen unterstützen die Kommunikation via serielle Konsole nicht) und Linux demonstrieren, wie die genannten Systeme konfiguriert werden müssen, um mit dem Dominion SX zusammenzuarbeiten.

Bei Windows Server 2003 übernehmen die Notverwaltungsdienste (Emergency Management Services – EMS) die Remote-Administration des Betriebssystems, falls dieses nicht mehr über das Netzwerk erreichbar sein sollte und stellen somit auch einen seriellen Zugang bereit. Da diese Dienste auf jedem Windows-Server-2003-System vorhanden sind, müssen sie nur aktiviert werden. Dazu genügt ein Eintrag in der boot.ini-Datei, der sich beispielsweise über den Befehl

bootcfg.exe /EMS ON /PORT COM1 /BAUD 19200 /ID 1

realisieren lässt. Dieser Befehl ist praktisch selbsterklärend, die Administratoren müssen lediglich den von ihnen gewünschten seriellen Port sowie die Baudrate angeben und EMS einer bestimmten Boot-ID zuordnen. Auf Systemen mit nur einem Boot-Menü-Eintrag lautet diese ID immer eins, bei mehreren Einträgen kann man sich an der Reihenfolge der Boot-Optionen in der boot.ini orientieren. Im Betrieb steht Anwendern damit die „Special Administration Console“ (SAC) zur Verfügung, über die sie Administrationszugriff auf den Windows-Server erhalten.

Unter Linux muss zunächst sichergestellt werden, dass der verwendete Kernel eine Umleitung an die serielle Konsole unterstützt. Das lässt sich in der Kernelkonfiguration unter „Device Drivers/Character Devices/Serial Drivers/Console on 8250/16550 and compatible Serial Port“ herausfinden. Wurde diese Option nicht aktiviert, ist es zunächst erforderlich, einen neuen Kernel zu kompilieren. Sobald dieser läuft, muss diesem noch die serielle Schnittstelle für die Ausgabe zugewiesen werden. Dazu übergibt man beim Start den Parameter „console“. Sollen die Kernelmeldungen beispielsweise mit 9.600 Baud ohne Parität und mit acht Datenbits auf die erste serielle Schnittstelle ausgegeben werden, so lautet der entsprechende Eintrag:

console=ttyS0,9600n8

Bleibt dieser Eintrag alleine stehen, so erfolgt nun am Bildschirm keine Ausgabe mehr. Für eine gleichzeitige Ausgabe am Display ist ein zweiter Eintrag nötig, der die Ausgabe zusätzlich an die erste lokale Konsole schickt:

console=tty0

Die Übergabe der Boot-Parameter an den Kernel erfolgt üblicherweise im Boot-Manager. Beim Bootmanager „Grub“ sieht die Kernel-Zeile in der Konfigurationsdatei „/boot/grub/menu.lst“ des Debian-Testsystems beispielsweise so aus:

title Debian GNU/Linux
root hd(0,0)
kernel /boot/vmlinuz root=/dev/sda1 ro console=tty0 console=ttyS0,9600n8
initrd /boot/initrd.img
savedefault
boot

Nach einem Neustart gibt der Rechner dann alle Meldungen ordnungsgemäß auf den Bildschirm und die erste serielle Schnittstelle aus. Jetzt ist es nur noch erforderlich, eine Konsole zu aktivieren, die Eingaben über die serielle Schnittstelle annimmt. Dies geht über den Eintrag

T0:23:respawn:/sbin/getty –L ttyS0 9600 vt100

in der Datei „/etc/inittab“. Anschließend arbeitet Linux genau wie die anderen Systeme mit dem Dominion SX zusammen.

Fazit

Die Dominion-SX-Serie von Raritan bietet einen leistungsfähigen Konsolenserver für das professionelle Umfeld mit hervorragenden Sicherheitsfunktionen. Administratoren, die die Arbeit über die Kommandozeile noch nicht verlernt haben und die viele Geräte mit seriellen Schnittstellen verwalten müssen, finden darin eine erstklassige Alternative zum „klassischen“ Remote-Zugriff über das Web.

Darüber hinausgehen die seriellen Konsolen auf den meisten Systemen eine ganze Ecke weiter als der Netzwerkzugriff, da sie auf vielen Geräten beispielsweise auch Meldungen während des Systemstarts ausgeben.

Für Umgebungen mit hohen Anforderungen an die Verfügbarkeit ist die Appliance auch mit zwei Netzteilen erhältlich. Zudem bietet Raritan auch eine redundante Installation des Konsolenservers an, so dass der Zugriff auf die zu wartenden Geräte jederzeit sichergestellt ist. Steht eine Appliance mit zwei Netzwerkanschlüssen zur Verfügung, lässt sich diese sogar so konfigurieren, dass der eine Port für öffentliche und der andere für private Zugriffe aus dem LAN bereit steht, was die genannten Netzwerksegmente sauber voneinander trennt.

Administratoren, die die Kommandozeile bevorzugen, können außerdem sämtliche Funktionen der Dominion-Appliance über ein Command Line Interface konfigurieren, dass genau den gleichen Leistungsumfang hat wie die Web-Konsole. Mit diesem Funktionsumfang bleiben praktisch keine Wünsche offen.

Über den Autor:

Dr. Götz Güttich leitet das Institut zur Analyse von IT-Komponenten (IAIT) in Korschenbroich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2003657 / Server und Desktops)