Mac mini Server

PPC oder Intel?

Zwar sind die älteren PPC-basierten Geräte inzwischen vergleichsweise preisgünstig zu bekommen, allerdings kann man ihre Verwendung nur noch für private Umgebungen mit entsprechend niedrigem Anforderungsprofil empfehlen. Das liegt auch daran, dass für die auf dieser Architektur laufende Systemsoftware seit Jahren keine Sicherheitsupdates mehr erscheinen. Die letzte Version von OS X für PPC ist 10.5.8 "Leopard".

Viel problematischer ist aber das Limit für den maximalen Arbeitsspeicher. Dieses liegt bei allen PPC-Modellen bei 1GB - für anspruchsvolle Aufgaben einfach zu wenig. Die frühen Intel-basierten Modelle, die vor 2009 auf den Markt kamen, können zwischen 2 und 3 GB RAM aufnehmen, auch dies ist vergleichsweise bescheiden. Alle neueren Modelle verkraften 8 GB RAM oder mehr.

Während die PPC-Modelle nur mit PATA-Festplatten ausgestattet werden können, die heute mit Kapazitäten bis 160 GB zu bekommen sind, können alle Intel-minis SATA-HDDs und SSDs aufnehmen. Die übrige Hardwareausstattung der frühen Modelle (optisches Laufwerk, analoger Modem) ist für den Serverbetrieb nachrangig. Wichtiger ist, dass die ersten beiden Gerätegenerationen mit PPC-CPU kein Gigabit-Ethernet, sondern nur Fast-Ethernet an Bord haben.
Die Büchse der Pandora

Putty knife at its best: Der Teufel weiß, warum man die älteren Modelle des mini nicht mit einem Schraubendreher öffnen kann. Egal, wenn man die Prozedur einmal hinter sich gebracht hat, verwendet man ohne zu zögern nicht nur den von Apple empfohlenen Spachtel, sondern auch Pizzacutter, ein elastisches Küchenmesser oder ähnliche Gerätschaften. Auf das richtige Maß an Gewalt kommt es an.

Alle anderen Hardwarebasteleien an den unterschiedlichen Modellen des Mac mini sind vergleichsweise einfach zu bewerkstelligen und auch von Administratoren ohne ausgeprägtes handwerkliches Geschick mit Geduld leicht zu bewältigen. Anleitungen für die unterschiedlichen Upgrades und Reparaturen finden sich bei ifixit.com.

Wenn man das Betriebssystem erst mal installiert und zumindest die Netzwerkparameter eingestellt hat, ist außer einem Netzwerkkabel eigentlich keine weitere Peripherie erforderlich. Der Server wird im Regelfall "headless", also ohne Monitor betrieben und über das Netzwerk administriert. Ein VNC-Server gehört zum Funktionsumfang des Betriebssystems. Er wird in den Systemeinstellungen, in der Rubrik "Sharing" bzw. "Freigaben" mit einem Häkchen bei "Screen Sharing" eingeschaltet. Für den Großteil der administrativen Arbeiten greift man auf die Konsole zurück und verbindet sich per ssh mit seinem Server.
Netzwerkfragen

Eine wichtige Größe für die Tauglichkeit des Servers im Alltagsbetrieb ist die Upstream-Datenrate der eigenen Internet-Anbindung. Es bringt nichts, wenn man riesige Dateien über das Netz bereitstellt, die dann mit 50 KB/s durch die Leitungen tröpfeln. Selbst bei einem DSL18.000-Anschluss ist der Upstream vergleichsweise bescheiden, zu empfehlen ist daher ein VDSL- oder Kabelanschluss.

Der Server kommuniziert über offene Ports mit dem Rest der Welt, über die die typischen Dienste (Webserver, FTP-Server, VPN-Server etc.) angeboten werden. Um Sicherheitsrisiken zu minimieren empfiehlt es sich mit einem geeigneten Router und einer vernünftigen Firewall-Lösung mittels NAT eine DMZ für den Server einzurichten. Im einfachsten Falle hängt man den Server direkt an den DSL-Router, alle weiteren lokalen Maschinen aber hinter einen weiteren Router. Auf dem "äußeren" Router sollte man z.B. die freie Firmware DD-WRT installieren, die eine vernünftige Firewall beinhaltet.

Damit beispielsweise der Web-Server unseres mini nun von außen erreichbar ist, muss mittels Port Mapping der entsprechende Port (zB. 80 für HTTP) auf dem DSL-Router mit der festen internen IP des Servers verknüpft werden. Man sollte nur die Ports auf den Server mappen, die auch tatsächlich benötigt werden. Je nach dem, um welchen Dienst es geht, kann es von Vorteil sein, nicht den eigentlich vorgesehenen Standardport zu verwenden, dazu später mehr.

Falls man den Server über einen Zugang ohne statische IP-Adresse betreibt, muss man sicherstellen, dass die veränderliche externe IP-Adresse stets einem unveränderlichen DNS-Namen zugeordnet werden kann. Dies erreicht man durch die Einrichtung eines Accounts bei dnsdynamic.com oder einem anderen entsprechenden Dienstleister.
Lokale Arbeitsgruppen

Von einem Server in einer Arbeitsgruppe wird gemeinhin erwartet, dass er auch als lokaler DNS-Server fungiert. OS X bringt mit BIND einen solchen Dienst mit, der aber im Auslieferungszustand nicht aktiviert ist und natürlich konfiguriert werden muss. Eine lokale Top-Level-Domain ist leicht zu realisieren. Man sollte beachten, dass die Domain .local von Apples eigenem zeroconf DNS-Dienst "Bonjour" verwendet wird, weshalb man auf eine andere Bezeichnung ausweichen sollte.

Die Bereitstellung und Verwaltung von Freigaben ist bei der Einzelplatzversion von OS X natürlich lange nicht so komfortabel wie bei OS X Server. Das Anlegen und Verwalten von Benutzern, Gruppen und gemeinsam genutzten Verzeichnissen kann aber mit Hilfe der freien Software "Sharepoints" enorm vereinfacht werden, die zwar seit ein paar Jahren nicht mehr gepflegt wird, aber immerhin als Universal Binary vorliegt.

Noch ein paar Worte zur gemeinsamen Nutzung von Druckern: Das Printer-Sharing in OS X funktioniert im Grunde prima (auch für Windows-Clients), man kann also im Prinzip alle Arbeitsgruppendrucker am mini-Server lokal anschließen, freigeben und über die CUPS-Webseite (http://localhost:631) managen. Auf dem Server hat man sogar eine rudimentäre, gemeinsame Printer-Queue pro Drucker zur Verfügung.
Die Konsole

Der typische Macnutzer ist es gewohnt Häkchen zu setzen und als Mausschubser unterwegs zu sein. Davon sollte man sich als angehender Server-Admin verabschieden. Die grundlegenden Konsolenbefehle zum Anzeigen, Erstellen, Kopieren, Verschieben und Löschen von Verzeichnissen und Dateien sollte man kennen, genau wie die Befehle zur Manipulation von Benutzerrechten und Datei-Inhaberschaft:

cd, pwd, ls, touch, mkdir, mv, cp, rm, more, less, chown, chmod, su, sudo

Am Anfang kommt man um ein gründliches Studium der man-pages nicht herum. Mit folgenden Funktionen im unixoiden Unterbau des Betriebssystems sollte man sich außerdem näher beschäftigen:

- Editoren wie pico bzw. nano oder vi

- Die Systemvariable path

- Die Befehle launchctl und newsyslog und ihre Konfigurationsdateien
Sicherung

Natürlich muss der Datenbestand des Servers regelmäßig und am besten automatisch gesichert werden. Und natürlich benötigen wir mehrere so genannte Datenhaltungen. Eine minimale Lösung könnte so aussehen: Mit "Time Machine" liefert Apple bereits eine sehr komfortable Variante der automatischen Sicherung, diese kann auch mit rotierenden Sicherungsmedien betrieben werden, da mehrere Time Machine-Volumes definiert werden können und die Sicherung sozusagen nachgeholt wird, wenn eines dieser Volumes eine Zeit lang nicht verfügbar war. Also verwendet man ein TM-Volume für die kontinuierliche Sicherung, ein weiteres regelmäßig zu einem festgelegten Termin, beispielsweise als Wochensicherung, und bewahrt dieses 2. Volume auch an einem anderen Ort auf (Schutz vor Brand/Diebstahl).

Im Idealfall hat man zusätzlich noch einen weiteren mini als Fallback-Maschine zur Verfügung, die man im Normalbetrieb im Firewire Target-Modus an den ersten Server hängt. Mit einer Software wie SuperDuper lässt sich dann Server 1 auf Server 2 zu festgelegten Zeitpunkten klonen, und zwar am besten nachts. An dieser Stelle soll nicht verschwiegen werden, dass das Klonen eines Rechners, insbesondere eines Servers, mit einer ganzen Reihe von laufenden Prozessen nicht unproblematisch ist. Im Normalfall kann man aber bei einem Totalausfall von Server 1 den zweiten mini ausschalten, das Netzwerkkabel umstecken, den Server 2 starten und ist wieder im Geschäft.

Der Mac mini als Server

Leider hat Apple Inc. sich inzwischen weitgehend aus dem Servergeschäft zurückgezogen, jedenfalls wenn es um lärmend-laute Hardware im 19-Zoll-Format und überteuerte RAID-Storages geht. Der professionelle Anwender mag das bedauern, muss aber zugestehen, dass die Firma aus Cupertino in den letzten Jahren hoffnungslos hinter der Konkurrenz (Windows Server, SBS und Exchange, Linux und Solaris) hinterherhinkte. Der derzeit noch im Programm befindliche Mac mini Server ist sicher für kleine und mittlere Unternehmen eine interessante Alternative zu einem selbst konfigurierten Server-System auf Linux- oder BSD-Basis, zumal inzwischen sehr leistungsfähige Speicherlösungen erhältlich sind, die über die Thunderbolt-Schnittstelle angeschlossen werden. Diese Webseite beschäftigt sich jedoch nicht mit der Einrichtung und Verwendung des "offiziellen" Mac mini Servers und damit auch nicht mit der inzwischen leider von Apple ziemlich vernachlässigten Server-Variante des Betriebssystems OS X.

Auch ein älterer Mac mini eignet sich nämlich ausgezeichnet als kleiner Server für Inter- und Intranetanwendungen, sowohl für Privatleute, als auch für SoHo-Umgebungen und kleinere Arbeitsgruppen. Für diesen Einsatzzweck des Geräts spricht seine geringe Leistungsaufnahme, das angenehm leise Betriebsgeräusch (er ist nahezu lautlos) und der geringe Platzbedarf. Als Betriebssystem für den Server-Zwerg kann durchaus eine normale Einzelplatzversion von OS X zum Einsatz kommen, die mit Hilfe frei verfügbarer Software aufgebohrt wird. Übrigens kann man inzwischen in so manchem Rechenzentrum ganze Herden von mini-Servern bei der Arbeit sehen. Sie haben sich dort als wartungsfreundliche, zuverlässige Maschinen mit ausgezeichnetem bang-for-the-buck-Faktor erwiesen. Ob das auch für das offizielle Server-Modell mit zwei (verdammt heiß werdenden) Festplatten auf engstem Raum gilt, das muss sich in Zukunft erst noch zeigen. Diese Seite richtet sich in erster Linie an wenig erfahrene User, keinesfalls an professionelle oder semiprofessionelle Admins. Sie soll einen Einstieg in die nicht besonders bunte, aber spannende Welt der Server-Administration vermitteln.

Macports

Die Macports sind im Grunde ein Paketmanager für frei verfügbare Software, der die Installation und Aktualisierung dieser Komponenten sehr erleichtert. Im Unterschied zu den von Linux bekannten "Repositories" erhält man bei den Macports in der Regel jedoch keine Binaries, sondern nur den Quelltext des Programms einschließlich eines Konfigurationsscripts für den Compiler. Um die Macports verwenden zu können, benötigt man demzufolge die "Developer Tools" von Apple, die einen C-Compiler enthalten. Entweder man installiert sie von der OS-DVD oder läd sie aus dem Netz herunter.
ssh

Der wichtigste Dienst für die Administration ist die "secure shell (ssh)". Sie gestattet uns beispielsweise den Zugriff auf die Dateien des Servers und den Aufruf ausführbarer Dateien und Scripte über die Konsole (bzw. das Dienstprogramm "Terminal" in OS X) eines Rechners im LAN. Damit dieser Zugriff erfolgen kann, muss in den Systemeinstellungen des Servers unter "Sharing" bzw. "Freigabe" die "entfernte Anmeldung" gestattet werden. Gerade wenn man per ssh auf den Servers über das Internet zugreifen möchte, gilt es einiges zu beachten. Im Auslieferungszustand gestattet OS X die Anmeldung per ssh mit Benutzernamen und Passwort und zwar auf dem Standardport 22. Das ist extrem unsicher. Sehr viel sicherer ist die Verwendung von SSL-Keys mit Passphrase. Letztendlich geht es dabei darum, nur solchen Rechnern das Einloggen zu gestatten, auf denen die Schlüsseldatei hinterlegt ist. Eine gute Anleitung zur Einrichtung mit einigen Hintergrundinformationen hat Dave Aaldering geschrieben. Es empfiehlt sich für den Zugriff von außen einen anderen Port als 22 auf dem Router zu öffnen und diesen dann intern auf den Port 22 des Servers zu mappen. Außerdem kann man mit dem Programm denyhosts (Installation via Macports) so genannte Bruteforce-Attacken auf den Server wirkungsvoll unterbinden.
Webserver

Der populäre Webserver Apache ist Bestandteil von Mac OS X. Zum Start des Webservers ist in den Systemeinstellungen unter "Sharing" bzw. "Freigabe" das "Personal Web Sharing" zu aktivieren. Die Konfiguration des Servers ist in der httpd.conf festgelegt, diese findet sich unter /etc/apache2. Möchte man die jeweils aktuelle Version von Apache mit PHP und MySQL verwenden, dann empfiehlt sich die Installation dieser Komponenten via Macports.

Der Zugriff auf WebDAV-Verzeichnisse kann nicht nur über einen Browser, sondern auch über den Finder erfolgen. In diesem Fall verwendet man den Befehl "Mit Server verbinden..." aus dem Finder-Menü, so als würde man sich mit einer AFP-Freigabe verbinden wollen.

Informationen über den aktuellen Hardware-Status des Servers können mit Hilfe des Scripts phpsysinfo auf einer Webseite angezeigt werden. Inzwischen wird auch die Hardware älterer minis vollständig erkannt. Zur Administration des Servers per Webbrowser kann die Oberfläche Webmin verwendet werden. Diese Seite sollte auf keinen Fall für die Öffentlichkeit erreichbar sein. Die Zugriffs-Statistik des Webservers kann mit dem Webalizer sehr ansprechend aufbereitet werden. Eine populäre Anwendung auf dem Webserver für Privatleute ist ein MP3-Streaming-Server, mit dem man seine Lieblingsmusik an jedem Rechner mit Internetanbindung hören kann. Eine einfache Realisierung bietet Subsonic (in der kostenlosen Version mit Werbung, nach Spende werbefrei
OpenVPN und stunnel

Wenn Dienste wie afp, smb oder vnc über das Internet genutzt werden sollen, ist es zwingend erforderlich den Datenverkehr über eine verschlüsselte Verbindung abzuwickeln. Man spricht auch von einem "Virtual Private Network (VPN)", das im folgenden in einer sehr einfachen und einer etwas aufwendigeren Variante vorgestellt wird.

Mit stunnel (Installation via Macports) lassen sich beliebige Dienste über eine verschlüsselte Verbindung nutzen. Wenn man den Dienst öfters benötigt, sollte man ihn als Daemon einrichten und als LaunchDaemon über eine entpsrechende .plist-Datei automatisch starten. Etwas umständlich ist, dass für jeden verwendeten Dienst die zugehörige Konfigurationsdatei bearbeitet werden muss (Daemon) bzw. jeweils der Tunnelbefehl einzeln im Terminal eingegeben werden muss.

Für die komfortablere Realisierung eines "Virtual Private Networks" bietet sich die Gratis-Lösung OpenVPN an. Das Softwarepaket enthält auch das Script-Paket "easy-rsa", das die Erstellung der benötigten Zertifikate und Schlüssel sehr vereinfacht. Der mini lässt sich damit auch als OpenVPN-Server einrichten, so dass weitere Rechner in der DMZ von außen per VPN erreichbar sind. Die Konfiguration der Firewall für OpenVPN ist sehr einfach, da nur ein Port freigegeben werden und eine NAT-Regel einzutragen ist. Der Zugriff auf den Server von außen kann beispielsweise mit dem GUI "Tunnelblick" erfolgen. Die benötigten Treiber für die virtuellen Netzwerkschnittstellen "tun" und "tap" sind inzwischen Bestandteil des Tunnelblick-Installationspakets, für ältere Systemversionen aber auch als Freeware verfügbar.
Mailserver

Man kann trefflich darüber streiten, ob der Betrieb eines eigenen Mailservers sinnvoll ist. Das gilt insbesonders dann, wenn man nicht über eine statische IP-Adresse verfügt. Klar ist in jedem Fall, dass der Mail-Server 24/7 durchlaufen muss, sonst gehen Mails ins Nirvana, oder "bouncen", was den Absender erheblich irritieren dürfte.

Ein Mailserver besteht aus verschiedenen Komponenten: Zunächst benötigt man einen Mail-Transfer-Agent (MTA), zum Beispiel postfix, das mit OS X mitgeliefert wird. Weiterhin wird der eigentliche Mailserver benötigt, der die Zustellung der Mails in die lokalen Postfächer der User übernimmt (Mail Delivery Agent, MDA). Eine beliebte Software für diesen Zweck ist dovecot (zB. via Macports). Und schließlich wird ein Dienst benötigt, der die Mail von externen POP-, oder IMAP-Servern abholt (Mail User Agent, MUA), zum Beispiel fetchmail (ebenfalls Macports). Wenn man sich dazu entschließt einen eigenen Mailserver aufzusetzen, sollte dieser als IMAP-Server konzipiert werden und die Authentifizierung, den Empfang und Versand über TLS/SSL beherrschen. Anleitungen zu der recht komplexen Thematik finden sich hier und hier.

Falls man die Mails bequem über den eigenen Webserver lesen möchte, empfiehlt sich ein Webmailer wie WebMail Lite. Wer die Mails lieber im Terminal liest greift beispielsweise zu mutt.
Weitere Serverdienste

Auch wenn FTP in den Zeiten von iCloud, WebDAV, Dropbox und anderen Webspaces etwas aus der Mode gekommen ist, bleibt ein privater FTP-Server eine praktische Angelegenheit, wenn man sich der damit verbundenen Sicherheitsrisiken bewusst ist. Möchte man einen FTP-Server mit Authentifizierung, sowie lesendem und schreibenden Zugriff bereitstellen, dann sollte man pureftpd via Macports installieren und beispielsweise mittels des GUI "PureFTPd-Manager" konfigurieren. Damit ist auch die Überwachung der laufenden Sessions sehr bequem. Die zugreifenden Benutzer bleiben in jedem Fall in ihr zugewiesenes FTP-Verzeichnis eingesperrt. Man sollte keinesfalls für den eigenen Zugriff Namen und Kennwort der lokalen Benutzer auf dem Server, sondern eine eigene FTP-Identität verwenden.

Web Desktop:

Eine weitere Anwendung für den Server, die wenigstens kurz erwähnt werden soll, ist der so genannte Web Desktop. Im Grunde handelt es sich dabei um die Nachbildung eines mehr oder weniger kompletten Rechners mit Officeprogrammen, Bildbetrachter etc. in einem Browserfenster. Sehr beliebt war eine Zeit lang das Projekt EyeOS, das nun aber als kommerzielles Produkt fortgeführt wird. Ein derzeit freier Ableger dieser Software ist Oneye.