Inventory-Tool an der LUH

Das Inventory-Tool “Fusion Inventory“ erhebt regelmäßig die Hard- und Software-Daten auf den Endgeräten und überträgt diese Daten als XML über https an den zentralen Inventory-Server. 

Der Umfang der erhobenen Daten sowie der Zweck der Datenerhebung sind in der Dienstvereinbarung festgelegt. 

EINSTELLUNGEN

Die für den Dienst notwendigen Einstellungen am Inventory-Tool können je nach Betriebssystem und Version des Agents syntaktisch abweichen. Grundsätzlich immer gleich bleibende Eigenschaften sind:

  • Die URL des Inventory-Servers: inventory-agent.luis.uni-hannover.de
  • Das ausstellende CA des Serverzertifikats: UH-CA (G2) in der DFN-PKI mit TeleSec-Root-CA
  • Die Taskplanung: einmal täglich und zusätzlich nach Rechnerstart
  • keine Erhebung der Kategorien Benutzer und Prozesse
  • keine Software-Verteilung
  • keine Inventarisierung mittels Network-Discovery oder SNMP
  • keine Inventarisierung von Home-Verzeichnissen unter Linux-Distributionen
  • keine Inventarisierung von Benutzer-Profilen    

ABSICHERUNG DES DIENSTES

Der auf den Endgeräten laufende Agent soll grundsätzlich nicht als Dienst installiert, sondern als regelmäßige Aufgabe eingeplant werden. Dazu ist je nach Betriebssystem eine entsprechende Einstellung zu treffen. Es wird kein Port am Endgerät geöffnet und wird von außen auch nicht ansprech- oder sichtbar. Der Server holt sich die Daten somit auch nicht, sondern bekommt sie vom Endgerät übermittelt.

Firewall-Öffnungen sind grundsätzlich nicht notwendig. Nicht benötigte Funktionen des Agents werden über die Vorkonfiguration deaktiviert. Bei Linux-Distributionen sind die Konfigurationen entsprechend der Empfehlungen maßgebend und stellen die Deaktivierung sicher.

Die Kommunikation zwischen Client und Inventory-Server erfolgt via TLS verschlüsselt, wobei das Zertifikat des Servers mittels Server-Namen und am Client hinterlegten CA-Zertifikat geprüft wird. Der Server ist für Inventar-Übermittlungen ausschließlich aus dem Netz der LUH erreichbar. Die Übermittlung über VPN ist nicht möglich. Die Administration wird von den Mitarbeiterinnen und Mitarbeitern des LUIS übernommen. 

ZUORDNUNG VON IT-GERÄTEN ZU ORGANISATIONSEINHEITEN DER LUH

Für eine bessere Übersicht der Inventarsituation strebt das LUIS an, die erfassten IT-Geräte zu Organisationseinheiten zu gruppieren.

Dazu wird ein Merkmal genutzt, welches die Organisationseinheit über den Netzbereich eindeutig identifiziert. Dieses Merkmal wird als "Tag" etwa bei der erstmaligen Installation ermittelt und in die Konfiguration des Agenten eingetragen. Die Ermittlung des Tags kann je nach Betriebssystem und Installationsweise des Agenten entweder automatisch geschehen oder manuell erfolgen. Hinweise dazu finden sich auch in den Anleitungen des LUIS.

Die Zuordnung von IT-Geräten zu Organisationseinheiten ist weitestgehend unproblematisch, es kann aber trotzdem zu Fehlzuordnungen kommen. In diesem Fall kann das LUIS nach Aufforderung das Tag korrigieren.

Wie funktioniert das "Tag"?

Das LUIS ordnet den einzelnen Organisationseinheiten feste IP-Adressbereiche aus dem Datennetz der LUH zu. Zusätzlich ist noch die LUH-OE-ID als eindeutiger Bezeichner hinterlegt, welche gleichzeitig das Tag darstellt.

Ein IT-Gerät kann somit über einen einfachen Aufruf einer bestimmten LUIS-Webseite seine eigene IP-Adresse in ein Tag auflösen lassen. Dieser Vorgang ist bei automatischer und manueller Ermittlung des Tags gleich.