Ubuntu, van Desktop naar Server

| Wednesday, 7 May, 2008

Carl Richell, President van Ubuntu hardware partner System76 bevestigt iets waar ik reeds lang in geloof.

Ubuntu’s early focus on delivering a stellar desktop operating system has proven extremely valuable to the server side. Many System76 business customers started with System76 laptops and desktops–their first Linux computers–and are now deploying Ubuntu servers. That focus and success has changed what we think of as the traditional Linux customer. We’re moving from those requiring the customization capabilities offered by Open Source to those requiring simple deployment and management of common network services.

Verover de markt door onderaan te beginnen, met de “Desktop”, en werk je van daar op. En houd intussen goed rekening met de gebruikerservaring. Dat heeft Microsoft tenslotten ook gedaan. Een strategie waar Redhat na jaren nog steeds niet in geïnteresseerd is, omdat ze zoals velen kiezen voor het gemakkelijkere geld van de TOP-n enterprise ondernemingen.

Deze strategie zal zijn vruchten afwerpen om tot een meer samenhangend aanbod te komen, waar onze kmo’s ook sneller toe zullen geïnteresseerd zijn: de link tussen desktops en servers, en hiermee snelle en eenvoudige manieren om beide op te zetten en te beheren, standaard en vlot beschikbaar op het Ubuntu platform.

Ubuntu Hardy Release Party

| Friday, 2 May, 2008

Op 3 mei 2008, in GC De Markthallen, Herk-de-Stad, is er een Belgische Ubuntu release-party ter gelegenheid van de het uitbrengen van Ubuntu’s laatste LTS release, Ubuntu 8.04 Hardy Heron.

Ter deze gelegenheid geef ik er een voordrachtje over Linux en Ubuntu in de KMO. De presentatie is gebaseerd op deze die ik in Maart gaf op Barcamp Gent, en vind je hier in bijlage.

Ubuntu op Linux World Brussel 2008

| Wednesday, 19 March, 2008

Op 20 maart 2008 geeft ondergetekende een talk over Ubuntu op Linux World Brussel, waar ons de gelegenheid gegeven wordt om de ubuntu-be.org”>Belgische Ubuntu community aldaar te vertegenwoordigen met een aanwezigheid op het op het Open Source paviljoen.

Het is het eerste jaar dat de Belgische Open Source community de kans krijgt op dit commercieel, bedrijfsgericht evenement aanwezig te zijn. Onder meer Dag Wieers en Leo Eraly waren de drijvende krachten om dit gedaan te krijgen.

  • Wednesday 19/3
    • 11h: Profoss – Raphael Bauduin
    • 13h: OpenDoc Society – Machtelt Garrels
    • 14h: Drupal – Roel Guldemond
    • 15h: CentOS – Dag Wieers
  • Thursday 20/3
    • 11h: Open Source at Hogent – Ilse Baetsle
    • 13h: Ubuntu LTS – Serge van Ginderachter
    • 14h: Joomla – Johan Janssens
    • 15h: OpenQRM – Kris Buytaert

Mijn presentatie gaat over een beetje alles Ubuntu, met een algemene introductie erover, de organisaties erachter, Ubuntu LTS, de specifieke aanpak van Ubuntu en waarom ik denk dat ze goed bezig zijn met een product die niet alleen de consument, maar ook de KMO kan aanspreken, en hoe ze dat doen door eerst de desktop te veroveren.

De presentatie kan je hier downloaden, in OpenDocument formaat. Je kan deze bekijken en bewerken met OpenOffice Impress, of in Microsoft Office met de SUN ODF Plugin.

ODF bestanden openen met Microsoft Office

| Tuesday, 18 March, 2008

U kreeg een bestand met een extensie .odt?

De OpenDocument-indeling (ODF), oftewel het OASIS Open Document Format for Office Applications, is een open standaard voor het bewaren en uitwisselen van tekstbestanden, rekenbladen, grafieken en presentaties en is sinds november 2006 een officiële ISO standaard.

OpenDocument
Het garanderen van langetermijntoegang tot data zonder technische of wettelijke barrières is een hoofddoel van open indelingen als OpenDocument. Op 23 juni 2006 heeft de Belgische federale regering beslist dat het ODF-formaat als één van de open standaarden in aanmerking komt om documenten uit te wisselen tussen de verschillende Belgische overheden. (bron: Wikipedia)

Het bekendste software pakket om ODF bestanden te lezen en te bewerken, is het gratis open bron pakket OpenOffice

Via een extra stukje software (de odf-plugin), kan u deze formaten ook gebruiken in Microsoft Office.

Hoe installeer je de Sun ODF Plugin voor Microsoft Office?
download de plugin

  1. Download de plugin.
  2. Dubbelklik op het installatiebestand. (Krijg je een beveiligingswaarschuwing te zien? Klik dan op “Uitvoeren”.)
  3. Klik in het installatiescherm op “Next”.
  4. Klik op “Unpack”. De installatiebestanden worden uitgepakt.
  5. Klik in welkomsvenster op “Next”.
  6. Lees de voorwaarden door en klik op “I accept the terms in the license agreement” en vervolgens op “Next”.
  7. Er wordt aangegeven in welke map de plugin wordt geïnstalleerd. Klik op “Next”.
  8. Klik op “Install” om het installatieproces te starten. Het installatieprogramma wordt automatisch afgesloten.
  9. Start het programma Microsoft Office Word op. Ga via het menu “Extra” en kies in de lijst “Opties”. Klik in het “Opties” venster op het tabblad “Opslaan”. Kies uit de “Word bestanden opslaan als:”-lijst de optie “ODF Text Document (*.odt)”. Klik “Ok” om deze instelling te bewaren.

De ODF bestandsformaten worden nu ondersteund in Microsoft Office.

Met dank aan de Opendoc Society voor het ter beschikking stellen van deze informatie.

Zender en ontvanger specifieke restricties in Postfix

| Tuesday, 29 January, 2008

Een organisatie die diverse domeinen beheert, huurt voor een aantal van die domeinen een specifieke anti-spamdienst in, waarbij de mx records van deze specifieke domeinen naar de servers van deze dienst wijzen.

Deze servers ontvangen de email, filteren deze en sturen die dan door naar de mail server van de organisatie. Op deze mail server komt ook rechtstreeks e-mail toe voor de andere domeinen waarvoor de anti-spamdienst niet ingehuurd wordt.

Soms wordt een domein omgezet van het ene systeem naar het andere. Zo gebeurt het dat een domein die oorspronkelijk niet gefilterd werd, omgezet wordt naar een gefilterd systeem, en diens mx records dus niet meer naar de server van de organisatie verwijzen, maar naar deze van de anti-spamdienst.

Nu zijn spammers nogal slim, en die onthouden het adres van de mail server van de organisatie, en voor welk domein die (vroeger) dienst deed. En aangezien de anti-spamdienst uiteindelijk de email naar diezelfde server doorstuurt, blijft die server ook daadwerkelijk email ontvangen voor dat domein.

De slimme spammer omzeilt dan gemakkelijk het anti-spam systeem door e-mail nog steeds rechtstreeks naar de server van de organisatie te sturen.

Om dit tegen nu te gaan willen we toegang tot de server van de organisatie gaan beperken. Zuiver op basis van het ip adres van de zender kan dat gemakkelijk. Evenwel willen we die restrictie enkel toepassen voor die domeinen die van de anti-spamdienst genieten, en zodanig dat enkel nog de mail servers van die anti-spamdienst e-mail voor die domeinen kunnen sturen naar de server van de organisatie. De andere domeinen moeten nog steeds vlot e-mail kunnen ontvangen van overal.

Om dit op te lossen hebben we dus een manier nodig om de mail server (de Postfix MTA in dit geval) zo in te stellen dat alle mail voor een specifiek domein, die van de anti-spamdienst geniet, enkel maar afkomstig mag zijn van bepaalde mailservers, namelijk deze van de anti-spamdienst, en dit zonder deze beperking te leggen aan de andere domeinnamen.

Dit kunnen we implementeren door restriction classes te gebruiken:

  • /etc/postfix/main.cf: 
    smtpd_recipient_restrictions =
      recipient_access hash:/etc/postfix/mailscan_domains
smtpd_restriction_classes = mailscan_only
mailscan_only =
      check_client_access hash:/etc/postfix/mailscan_client_ip, reject
  • /etc/postfix/mailscan_domains: 
    this.domain     mailscan_only
that.domain     mailscan_only
  • /etc/postfix/mailscan_client_ip: 
    x.y.z.a      OK
c.d.f.g      OK

We vertellen Postfix om gebruik te maken van een beperking naar ontvanger op smtp niveau (smtpd_recipient_restrictions), en configureren deze beperking via een hash table die de domeinen van de anti-spamdienst oplijst, en er een specifieke “actie” aan geeft (/etc/postfix/mailscan_domains).

Die actie is niet de klassieke OK of REJECT, maar een restrictie class (smtpd_restriction_classes = mailscan_only), die op zich weer een extra beperking bevat, namelijk de controle op het ip adres van de zender (check_client_access), welke moet overeenstemmen met een adres van een van de mail servers van de anti-spamdienst (/etc/postfix/mailscan_client_ip).

Aldus zal postfix controleren voor welk domein email ontvangen wordt, en in het geval het een domein is die via de anti-spamdienst loopt, controleren dat de email wel degelijk van een server van die dienst afkomstig is. Zo niet wordt de mail geweigerd.

And it’s really free

| Sunday, 2 December, 2007

And it’s really free?!

Yes. Once upon a time I had to deal with a company who sell flash charting components, their component had a bug that I needed fixing, so I emailed them about it asking when it’d be fixed.

Remember that I had paid real money for this software.

They were so incompetent, rude and obnoxious that after three or four weeks of emails I thought to myself “I could learn Flash and Actionscript and write my own charting component, release it as Open Source, host it on sourceforge and build up a community of helpful coders faster than they can fix a single bug.

And that is what I did. And that is why it is free. I guess the moral of the lesson is: don’t piss off your customers.

Software licenties zijn kunstmatig

| Friday, 20 July, 2007

Wie met openbronsoftware werkt, of eraan meewerkt, durft zich wel al eens storen aan de klassieke, zogenaamd propriëtaire programmatuur, waar het gebruik ervan heel wat meer aan banden gelegd wordt.

En hoewel ik een grote voorstander ben van het openbronsoftware model (wat op de eerste plaats een ontwikkelingsmethodologie is met een aantal afgeleide voordelen, en niet op de eerste plaats gewoon gratis is), hoort u mij niet zeggen dat alle software zonder meer “vrij” moet zijn. (Over de betekenis van “vrije” software kan ook nog veel gezegd worden, maar dat is stof voor een andere discussie.)

Het probleem met de klassieke softwarelicenties, is wanneer deze de toepassing zijn van de klassieke denkwijze over het “verkopen” van een “product”. Software is evenwel geen klassiek product. Software is iets heel verschillend: het is geen “goed”, het is digitale informatie. (Boekhouders weten dat trouwens al langer, wanneer ze kosten gerelateerd aan software inboeken.) En met digitale informatie kan je zo veel meer verschillende dingen gaan doen dan met klassieke goederen, of zelfs klassieke informatie.

Muziekuitgevers ondervinden dit momenteel aan den lijve. Hoewel zij zich krampachtig vasthouden aan hun oude modellen, verliezen zij steeds meer hun greep op de markt. Zelfs de software-industrie, wiens product al pakweg 30 jaar digitale informatie is, heeft het moeilijk met zich aan te passen aan deze verandering.

Een van die veranderingen die nu steeds meer aan het opkomen is, is bijvoorbeeld virtualisatie. Denk aan waarmee VMWare op de pc markt enkele jaren pionier was. Het draaien van programmatuur, namelijk een heel stuursysteem, onder een virtuele abstractielaag: bijvoorbeeld “in” een programma op je Windows PC. Nu deze technologieën exponentieel groeien, willen fabrikanten zich indekken tegen wat op hun afkomt.

Consumers cannot run home versions of Windows Vista as virtual machines because virtualization is not mature enough for broad adoption, says Microsoft. They claim “that consumers don’t understand the risks of running virtual machines, and they only want enterprises that understand the risks to run Vista on a VM”. (bron )

Resultaat is dat men via de licentie-overeenkomst het gebruik van de software gaat inperken. Dit is nu slechts één voorbeeld, maar zo zijn er verscheidene. Terwijl digitale informatie van nature heel versatiel is, wil men deze beperken om de controle erover te houden. Zo komt men dan in situaties zoals hier waarbij Microsoft de stroeve redenering maakt dat consumenten niet aan virtualisatie doen, en enkel bedrijven dat doen. En per definitie moeten prosumers en bedrijven dus een duurdere licentie kopen. “Is deze redenering oorzaak of gevolg ?”, kan men zich ook afvragen.

Software, digitale informatie, is te versatiel om op een beperkte manier te beschermen. Iedere poging om digitale informatie in te perken, resulteert steevast in een te grove beperking van wat mensen met digitale informatie mogen gaan doen. Diezelfde eigenschap is trouwens ook de basisreden waarom patenten op software zeer gevaarlijke dingen zijn. Wie zich hierin wil verdiepen heeft nog een goede reden om teksten van Richard Stallman te lezen.

De typische klassieke softwarelicenties zijn dus onnatuurlijk. Want ze roepen kunstmatige beperkingen in het leven. Uiteraard heeft iedere ondernemer het liberale recht zijn business model uit te werken. Het is dan wel jammer wanneer zo’n business model niet meer gaat over de basisbehoefte van de klant, maar wel de klant meetrekt in het creëren van artificiële behoeftes en het afschermen van de eigen markt.

Niet dat dit nu zo nieuw is. Printerfabrikanten maken zich al jaren schuldig aan het bevoordelen van hun eigen inktcartridges. IBM hanteerde vergelijkbare praktijken decennia eerder. Nespresso capsules hebben dacht ik geen concurrentie, terwijl Senseo concurrentie heeft moeten toelaten. Sommige voorbeelden zijn redelijk en onschuldig, andere op basis van liberale en economische principes zeker niet af te keuren. Maar sommige zijn ofwel op zijn minst klantonvriendelijk te noemen, of leiden tot ronduit gevaarlijk principes. Vaak vallen beperkingen inzake digitale informatie in deze laatste categorie.

Bij een softwareproducent die het vooral moet hebben van verkoop van licenties, gaat het dan niet meer om hoe je de klant het beste helpt om een passende IT-infrastruktuur op te zetten, maar wel over hoe je hem zo snel mogelijk wegwijs maakt in de diverse ingewikkelde licentie schema’s en welke licenties hij nodig heeft en dan moet kopen om “mee te zijn”. Want stil staan is achterophinken in deze snel veranderende informatica wereld, mijnheer. De nieuwe-versie-is-uit-snel-iedereen-overtuigen politiek. Marketing die in eigen business baadt, niet meer in die van hun klanten.

Niet dat nu alle softwarelicenties daarom niet goed zijn. Zelfs binnen de Open Source gemeenschap is er veel discussie over diverse varianten van open bron licenties, zeker waar het over “vrije” software gaat.

Maar als consument blijft het toch belangrijk oog te hebben voor de licenties waarvoor men wil kiezen. Feit is dat openbronlicenties vaak gewoon veel eenvoudiger zijn in gebruik. Men hangt niet zo sterk vast aan een resem keuzes die de fabrikant maakt omwille van de positionering van zijn producten.

Anderzijds blijft het voor een fabrikant vaak een uitdaging om een klantvriendelijke licentie te bedenken. Open Source is handig als men bereid is alles vrij te geven, en er zelf ook van te genieten, maar voor wie niche producten maakt en er zijn eigen kennis en kunde in stopt is het vaak niet zo eenvoudig om een concurrentieel voordeel te behouden. Zomaar overschakelen van het verkopen van software naar een puur dienstenmodel is praktisch niet altijd of volledig haalbaar. Er zijn altijd wel wat keukengeheimen die men voor zich houdt. En soms zitten die nu eenmaal in de implementatie van de software.

(Dit artikel is geïnspireerd op een eerder geschreven blog artikel.)

Windows Active Directory en DNS namespaces

| Monday, 18 June, 2007

Microsoft Windows Active Directory. Afgekeken van Novel Netware, ldap en kerberos met extra netwerk beheers mogelijkheden.

De eerste grote nieuwigheid, toen Microsoft dit eind 1999 introduceerde in Windows 2000, was dat een “NT domeinnaam” niet langer één woordje was (à la WORKGROUP) maar samenhing met een dns domeinnaam (à la contoso.com). Over DNS zelf – iets dat eigenlijk héél eenvoudig is, maar waar velen het toch moeilijk mee hebben, omdat ze zich beperken tot de mogelijkheden die de Microsoft “Windows” interface voorschotelt – zal ik het later nog wel eens hebben, maar vandaag wil ik even uitweiden over wat een goede naamkeuze is bij het kiezen van een domeinnaam voor je Active Directory.

Typisch wordt er gemakkelijkheidshalve als Active Directory domeinnaam hetzelfde gekozen als de geregistreerde internet DNS domeinnaam van het bedrijf, company.com. Om meerdere redenen is het evenwel aan te raden om een aparte dns namespace te gebruiken.

    Vanuit de algemene dns topologie: DNS dient voor een stuk de fysische (maar daarom nog niet geografische) topologie weer te geven. Het meest evidente voorbeeld hiervan is het verschil tussen externe of publieke en interne of private ip adressen.
    Gebruik van dezelfde domeinnaam intern en extern verplicht tot een opzet van “split brain” dns, wat betekent dat je éénzelfde zone hebt op uw interne server als op uw publieke server bij uw dns hoster. (bijv. Openminds) Met als typisch gevolg dat als men niet oplet, de interne gebruikers niet kunnen surfen op hun eigen website, want men is vergeten om een record “www” extra aan te maken die naar het juiste ip verwijst. (In sommige gevallen, met name waar men een host in het DMZ wil benaderen, vanop het LAN, via diens publieke IP adres, kan dit handig zijn, meer bepaald waar de firewall de adrestranslatie vanop het LAN niet kan uitvoeren.)
    Bij de implementatie van Exchange 2000 merkt men een aantal voordelen: default wordt dat interne Active Directory domein gebruikt voor het aanmaken van emailadressen. Voor objecten die extern bereikbaar moeten zijn (bvb. gebruikers uiteraard maar er zijn nog voorbeelden) is dit uiteraard onzinnig en voor die gevallen kan men best de default creatie van emailadressen aanpassen. Doch in deze setup krijgen alle public folders, system folders en distributielijsten een intern adres. Dit heeft als voordeel dat ze niet van buitenaf bereikbaar zijn, wat meestal niet nodig is en soms zelfs ongewenst, maar bijkomend heeft men alzo een meer diverse mogelijkheid om mailaliassen te creëren. Voorbeeld: de dienst verkoop beschik over een public folder “sales” voor interne communicatie en moet ook van buitaf bereikbaar zijn via een andere public folder of via een distributielijst!

Men kan er over discussiëren welke benaming men nu intern gaat gebruiken. De mogelijkheden zijn hieronder opgesomd.
(“company” staat voor een domeinnaam die verwijst naar de bedrijfsnaam, “foobar” staat voor een domeinnaam die geen verband heeft met het bedrijf.)

    ginsys.be
    Zoals hierboven beschreven af te raden
    locallan.local
    foobar.internal
    Een 100% private benaming aangezien het top-level domein niet officieel is. Daarenboven kiest men een nietszeggende naam voor het secundaire deel, los van het bedrijf.
    ginsys.local
    een mix van een onbestaande top level domein met een benaming die verwijst naar de firma. Een veelgebruikte oplossing, welke ook standaard in Microsoft “Small Business Server” door de installatie routine voorgesteld wordt.
    lan.ginsys.be
    Hier maken we een private subzone binnen de publieke domeinnaam. Een vergelijkbare oplossing als de vorige, met het voordeel dat men binnen één namespace blijft werken.
    localwan.net
    een nietszeggende naam die ook werd geregistreerd (bijvoorbeeld localwan.net)

In bovenstaande voorbeelden werd typisch .local gekozen als top level privaat domein. Technisch gezien kan eender welke niet reeds-bestaande lettercominatie gebruikt worden (.lan wordt vaak gekozen) doch het verdient de aanbeveling om hierin de richtlijnen van RFC 2606 Reserved Top Level DNS Names te volgen.

Een nietszeggende of generieke (“foo”) second level domeinnaam is aan te bevelen indien er niet dadelijk een link is tussen het interne netwerk en het publieke aanzicht (denk localwan), of als de kans groot en reël is dat men geconfronteerd wordt met een nieuwe bedrijfsnaam.

In een KMO omgeving zal men meestal veilig kunnen kiezen voor een AD benaming zoals lan.company.com of company.local. Deze laatste is ook de standaard die Microsoft in zijn SBS setup wizard aanbiedt. In het ergste geval zou Windows 2003 een uitkomst bieden als men nood zou hebben om de zaak te hernoemen, doch als je de procedure even naleest, dan weet je alvast dat je dat niet wil doen.

Onze persoonlijke voorkeur gaat gewoonlijk uit naar de derde optie, lan.ginsys.be