Inventory Tool OCS/Fusion an der LUH

Ein FusionInventory-Agent erhebt regelmäßig die Hard- und Software-Daten auf den Rechnern (im Inventory-Sinne Clients, was aber auch Web-Server sein können) und überträgt diese Daten als XML via https an den zentralen Inventory-Server im LUIS.

EINSTELLUNGEN

Die für den Dienst notwendigen Einstellungen am Agent:

  • Inventory-Server: inventory-agent.luis.uni-hannover.de/ocsinventory
  • Ausstellende CA des Serverzertifikats: UH-CA (G2) in der DFN-PKI mit TeleSec-Root-CA
  • Taskplanung: einmal täglich und zusätzlich nach Rechnerstart
  • keine Erhebung der Kategorien "Process,User'
  • keine Software-Verteilung
  • keine Inventarisierung mittels Network-Discovery oder SNMP
  • mit Software-Inventarisierung

ABSICHERUNG DES DIENSTES

Der auf den Clients laufende Agent wird grundsätzlich nicht als Dienst installiert, sondern als regelmäßiger Task eingeplant (mittels cron oder Aufgabenplanung). Er öffnet keinen Port am Client, der Client wird dadurch nicht von Außen ansprechbar. Daher holt auch der Inventory-Server nicht die Daten vom Client, sondern der Client liefert die Daten an den Server. Dadurch sind auch normalerweise keine Firewall-Öffnungen notwendig. Nicht benötigte Funktionen des Agents wie z.B. eine Software-Verteilung werden in den empfohlenen Installationen deaktiviert.

Die Kommunikation zwischen Client und Inventory-Server erfolgt via TLS verschlüsselt, wobei das Zertifikat des Servers mittels Server-Namen und am Client hinterlegten CA-Zertifikat geprüft wird (also keine Inventar-Meldung an gefälschten Server). Der Server ist für Inventar-Übermittlungen nur aus dem LUH-Netz erreichbar, administrativ nur für einige Mitarbeiter des LUIS.

ZUORDNUNG ZU INSTITUTEN / EINRICHTUNGEN

Die Server und PCs werden nach Organisationseinheiten der LUH gruppiert. Dieses geschieht über ein "Tag", das bei der Erstinventarisierung vom Agent an den Server übermittelt werden kann. Danach kann das "Tag" nur noch am Inventory-Server, d.h. von Administratoren im LUIS, geändert werden.

Aufgrund der gewählten Abläufe im LUIS ist es unnötig, bei der Installation den "Tag" passend zu setzen: Im LUIS wird diese Zuordnung regelmäßig anhand der IP-Adresse des Rechners und der vorhandenen Zuordnung der IP-Adressbereiche (CIDRs) zu den Organisationseinheiten überprüft. Dennoch sollten Fehlzuordnungen ggf. dem LUIS zwecks Korrektur mitgeteilt werden.

EINGESETZTE PROGRAMME