Lotus Domino auf Debian

[fred08]

Hallo,

ich habe von meinem Chef den Auftrag erhalten einen Server (Hardware und Software)
für einen Lotus Domino Server einzurichten.

Der Lotus Domino Server ist in der Version 6.5

Als Betriebssystem soll Debian Linux 3.1 eingesetzt werden.

Jetz kommen für mich ein paar Fragen.

1.) Funktioniert der Lotus Domino Server auf dem Debian Betriebssystem.

Wenn ja, gibt es Installationsanweisungen und sowas???

2.) Der Lotus Spezialist will die Datenbank vom Mailsystem trennen und auf einen windows 2003 Server installieren.

Ist das möglich ? oder hat er unfug erzählt.

Meine Lotus Domino Kenntnisse sind mangelhaft bis ungenügend.

Danke

Fred

[hallo.dirk]

zu 1. Das muss ein anderer Beantworten

zu 2.

.) Der Lotus Spezialist will die Datenbank vom Mailsystem trennen und auf einen windows 2003 Server installieren.

Ist das möglich ? oder hat er unfug erzählt

Also für eine einzige DB 2 Server anschaffen halte ich bei zunächst für übertrieben.
Er hat aber keinen Unfug erzählt !

[koehlerbv]

Zu 1) Debian Linux wird für Domino 6.5.x von IBM nicht unterstützt. Siehe die entsprechenden Release Notes bei IBM. Ob man das trotzdem "irgendwie" zum Laufen bringen könnte, sei dahingestellt.
Siehe Domino 6.5.5 Relase Notes.
Die Frage mit den Installationsanweisungen erübrigt sich damit. Für die unerstützten OS sind diese natürlich in epischer Breite verfügbar.

Zu 2)

2.) Der Lotus Spezialist will die Datenbank vom Mailsystem trennen und auf einen windows 2003 Server installieren.

Zwei Fragen: Was kann der Lotus Spezialist, und was ist bitte mit "die Datenbank" gemeint?

Meine Lotus Domino Kenntnisse sind mangelhaft bis ungenügend.

Fred, wir helfen hier gerne, aber ebenso können wir prophezeihen, dass Du unter diesen Umständen Dich und Eure User ins Unglück stürzen wirst. Ohne Kennung wird das nichts ...

Vorschlag: Stelle diese Frage nochmals gemeinsam mit Deinem Lotus-Spezialisten. Irgendwie ahne ich, dass hier OS-Spezi und Middleware-Mensch nicht gemeinsam agieren.

Bernhard

[fred08]

Erst einmal Danke für Eure Informationen,

In der Datenbank sind alle Firmen Dokumente (auch Personaldokumente) enthalten.

Nun soll das System ins Internet gestellt werden, damit auch über ein Werbfrontend auf die E-Mail zugegriffen werden kann.

Ich halte es für sträflich einen Server mit Firmeninternen Daten (auch wenn er hintern einer Firewall ist) in das Internet zu stellen.

Daraufhin wurde besprochen, das Mail System und die Datenbank mit den Daten zu trennen und auf unterschiedlichen Systemen zu installieren.

Wenn ich aber sehe, das der Server nur unter Red Hat Enterprise oder SLES läuft, dann kann ich auch gleich ein Windows 2003 Server kaufen und installieren.
Der Preisvorteil ist somit nicht mehr gegeben.

Ich muss mich tatsächlich nur um das Grundsystem kümmern, die Lotus Installation und Konfiguration macht der Lotusmann.

Fred

[hallo.dirk]

Erst einmal Danke für Eure Informationen,

In der Datenbank sind alle Firmen Dokumente (auch Personaldokumente) enthalten.

Nun soll das System ins Internet gestellt werden, damit auch über ein Werbfrontend auf die E-Mail zugegriffen werden kann.

Habt Ihr schon mal daran gedacht eine Art Reverse Proxy einzusetzen ?
Es gibt fertige Appliances die sowas können, somit spart man sich einen Server in der DMZ und könnte ggf. noch andere Services den Usern bieten.

Mir fällt da z.B.
http://www.netscreen.de/
oder
"Nun fällt mir der Name nicht ein, irgendetwas mit Gutilla Box oder so ähnlich)
oder
DER MERCEDES: Das E-Gap System www.whalecommunications.com (zugriff aufs LAN OHNE Netzverbinding !)

Aber solche Konzepte kann man nicht mal eben in einem Forum Besprechen.....das muss wohl durchdacht sein.....

[MartinG]

Grundsätzlich fehlen hier eine Menge Infos um die gesamte Situation vernünftig einschätzen zu können? Anzahl User und wer greift vor allem wie auf alles zu? Sind das Kunden oder Interne User? Kommen diese über Ihre Notebooks oder über irgendeinen Internetzugang rein?

  Nun soll das System ins Internet gestellt werden, damit auch über ein Werbfrontend auf die E-Mail zugegriffen werden kann.
Ich halte es für sträflich einen Server mit Firmeninternen Daten (auch wenn er hintern einer Firewall ist) in das Internet zu stellen.   

Da kann ich Dir nur zustimmen. Allerdings halte ich den Aufwand eines zusätzlichen Dominoservers in die DMZ zu stellen für vermutlich übertrieben. Grundsätzlich würde ich Verbindungen auf Euren Domino vom Internet nur per VPN / SSL-VPN erlauben. Alles andere wäre mir zu heiss...

[m3]

1) Ja, Domino läuft auch auf einem Debian Sarge System. Ich hab das in einem Setup laufen. ABER: Du bekomst von der IBM keinen Support dafür und stehts bei Problemen "alleine" da (wo hier der Unterschied zu einer "Supported Plattform" ist, habe ich noch nicht herausbekommen).
Installationstipps:
Domino on Debian Sarge

2) Über einen Reverse Proxy direkt ins Produktionssystem zu gehen halte ich für ebenso gefährlich, wie alle Produktionsdaten  in die DMZ zu stellen. Ohne das Umfeld genau zu kennen würde ich sagen: Domino-Server mit den Mail-DBs in der DMZ, abgesichert durch Firewall und Reverse Proxy.

[fred08]

Es sind nur 30 Mitarbeiter,

davon sind 15 mit VPN an das Firmennetz angebunden.
Der Rest soll Weltweit über Web nur Mail lesen und senden können.

Fred

[hallo.dirk]

2) Über einen Reverse Proxy direkt ins Produktionssystem zu gehen halte ich für ebenso gefährlich, wie alle Produktionsdaten  in die DMZ zu stellen. Ohne das Umfeld genau zu kennen würde ich sagen: Domino-Server mit den Mail-DBs in der DMZ, abgesichert durch Firewall und Reverse Proxy.

Eine direkten Reverse Proxy habe ich auch nicht gemeint !
Allerding muss ich einschränken, dass ich lediglich das E-Gap System kenne. Und dieses System halte ich für unschlagbar in puncto Sicherheit, allerdings sind der administrative Aufwand und die Kosten nicht zu unterschätzen. (Grade weil es mit einer Whitelist der erlaubetn URL's arbeitet)
Und wenn man keine Netzverbindung zwischen DMZ und LAN hat, was soll daran denn gefährlich sein ?
Die Intelligenz und die Verschlüsselung liegen im LAN und das externe System macht nix anderes als URL auf eine HD zu schreiben.
Und im Zusammenspiel mit einem ACE Server halten wir diese Lösung für absolut Sicher.
Dagegen spare ich mir dann eine 2te Domino Infratruktur in der DMZ, ausserdem kann ich noch anderere Services Hosten.....


Aber für 30 User die nur Mails machen wollen lohnt sowas wahrscheinlich nicht.
Sorry, ich Rechne da in anderen Grössenordungen

[m3]

Und wenn man keine Netzverbindung zwischen DMZ und LAN hat, was soll daran denn gefährlich sein ?

Das ist sicherlich die "sicherste" Lösung, aber wie kommen dann z.B. neue Mails vom Server im LAN auf den Server in der DMZ? 

[hallo.dirk]

Und wenn man keine Netzverbindung zwischen DMZ und LAN hat, was soll daran denn gefährlich sein ?

Das ist sicherlich die "sicherste" Lösung, aber wie kommen dann z.B. neue Mails vom Server im LAN auf den Server in der DMZ?

Auch darüber natürlich !
Ich schrieb ja, alle Dienste sind denkbar, der Hersteller greift hier ganz klar das klassische FW Konzept an (kleine FW vorne, DMZ, dicke FW dahinter). Die behaupten sogar das man lediglich die Kleine vorne benöigt.
Aber im Ernst, so weit gehen wir dann doch nicht. Es soll aber Kunden geben die soetwas tun, sogar eine Sparkasse soll dabei sein......

Aber solche Konzepte hier zu erörtern, geht in meinen Augen nicht, lediglich anreissen.
Bis wir uns damals dafür entschieden haben, hat es schliesslich auch mehrere Monate gebaucht bis alle Bedenken ausgeräumt waren....

[MartinG]

Ich persönlich würde mich bei dieser Anforderung von einem guten externen Berater im Securitybereich beraten lassen.  So wie ich das auf die schnelle einschätze, bleibt als halbwegs vernünftige und sichere Lösung aber nur SSL VPN übrig...

Das Zeugs von Aventail soll hier recht gut sein. Ein Bekannter von mir arbeitet in diesem Bereich. Bei Bedarf kann ich hier gerne einen Kontakt vermitteln (Grossraum Stuttgart)...

http://de.aventail.com/

Für 15x User stellt sich halt schon die Frage, ob sich das lohnt? Ich meine die kleinste Kiste von denen kostet auch schon 5000EUR...

[m3]

Ich persönlich würde mich bei dieser Anforderung von einem guten externen Berater im Securitybereich beraten lassen.  So wie ich das auf die schnelle einschätze, bleibt als halbwegs vernünftige und sichere Lösung aber nur SSL VPN übrig...

Warum brauch ich für den Webzugriff auf meine Mails eine VPN-Lösung (egal ob SSL oder IPSEC oder ...) ?

Das läuft doch dem Prinzip der Webmail (Zugriff immer und überall, auch aus dem Internetcafe, wo ich nix installieren darf) zuwieder.

[MartinG]

Warum brauch ich für den Webzugriff auf meine Mails eine VPN-Lösung (egal ob SSL oder IPSEC oder ...)   

Grundsätzlich brauchst Du das natürlich nicht, sondern das ganze geht natürlich auch direkt. Ich bin auf diesem Gebiet auch nicht der grosse Experte, nur steht bei Deiner Variante der Dominoserver quasi direkt im Internet und kann per http direkt attackiert werden und Du musst sowohl den Dominoserver, als auch das drauflaufende Betriebssystem entsprechend härten.

Ein SSL-VPN bietet hier m.W. noch einiges mehr an Sicherheiten als ein einfacher Webzugriff. SSL-VPN mit zweistufiger Sicherheit z.B. mit Passwort und USB-Token halte ich persönlich für recht sicher...

[m3]

Ok, und wie richtest Du das ein, wenn Du auf den Kaiman-Island im Internet-Cafe sitzt?

[MartinG]

Es gibt IMHO auch hierfür höhere Sicherheitslevels mit "normalem" Passwort und dann noch Einmalpasswörtern, die nach erfolgreicher Authentifzierung verfallen...

Ich persönlich würde bei uns allerdings sowas eher blocken. Klar ist diese Anforderung einerseits verständlich, es ist halt immer auch die Frage was für einen Aufwand man betreiben will. Bei uns gestatte ich ausschliesslich die Variante per VPN-Client mit Zertifikat und Passwort, und das hat bisher eigentlich immer ausgereicht. Internet-Cafes und Hotspots sind vielleicht eher hipp, aber halte ich persönlich für zu heiss für Zugriff auf wichtige interne Firmendaten (und das sind Mails m.E. auch).

Ich denke hier muss jede Firma aber Ihren eigenen, für sich sinnvollen Weg finden. Der Trend bei uns in der Firmengruppe geht im Moment sehr stark zu Mininotebooks, bei uns das DELL D410 (1,7kg) mit UMTS-Karte und das ist m.E. eine einfache, sichere und easy zu administrierende Lösung...

[m3]

Ich denke hier muss jede Firma aber Ihren eigenen, für sich sinnvollen Weg finden. Der Trend bei uns in der Firmengruppe geht im Moment sehr stark zu Mininotebooks, bei uns das DELL D410 (1,7kg) mit UMTS-Karte und das ist m.E. eine einfache, sichere und easy zu administrierende Lösung...

ACK.

[hallo.dirk]

Ach, es müsste eine Stammtisch geben........ich sehe uns da zusammen Sitzen um uns gegenseitig unsere Konzepte an den Kopf werfen, Prost

Ihr kennt doch sicherlich auch die eierlegende Wollmilchsau ? Ich habe sie noch nicht gefunden


P.S.:
Meine Kollegen haben bei UMTS/GPRS (oder gibt es auf Kaiman schon UMTS?)  noch Bedenken, wegen der Kosten. Da bei uns zu viele Daten aufkommen würden (noch kein Cirtix im Einsatz), aber da soll es ja bald richtige Flats geben...

Aber Ihr habt Recht, da geht jeder den für sich besten Weg.......DIE LÖSUNG gibt es nicht...