[linux-misc] Mal wieder eine Frage

Markus Wernig wernigm at lugbe.ch
Thu May 23 01:42:10 CEST 2019 

Hi Kim

On 5/22/19 8:16 PM, Hasenclever Informatikberatung wrote:

> Tja, und da bin ich bei der "Gretchen-Frage", die da heisst, was
> brauche ich? ;-) Das Neuesten vom Neuen ist zwar immer schön, aber wie
> beim Autokauf ist das Vorjahresmodell vielfach ebenfalls gut genug. 

Meiner Erfahrung nach ist man ganz allgemein (zumindest beim Gerätekauf)
besser beraten, wenn man nicht das allerneueste Gimmick kauft. Die
neigen nämlich in der Regel zu Kinderkrankheiten, die erst nach ein paar
Monaten behoben werden, und oft verschwinden sie schnell wieder von der
Bildfläche, wenn sie dem Hersteller nicht die gewünschten Umsatzzahlen
bringen.
> Wie heisst es so schön: zwei Berater, drei Meinungen. :-)

Nur drei? Die Berater möchte ich kennenlernen ...

> Denn von den beiden SAP-Berater, die ich gefragt habe, war die 1.
> Aussage: klar geht alles mit Linux. Der andere plädierte für eine
> Parallelinstallation von Windows 10 Pro & Linux (ich zitiere: Manjaro
> Linux mit den properitären Paketen und der GNOME Oberfläche). Der
> erzählte dabei auch von den mir bekannten Problemen, den Citrix
> Receiver mit Firefox zu verbinden. Seine Analyse war, dass es dann
> immer Zertifikatsfehler beim Verbindungsaufbau gibt. Allerdings
> arbeitet der schon länger mit Linux.

Die "Zertifikatsfehler" des Citrix-Clients rühren daher, dass der seinen
eigenen Truststore (CA-Liste) verwendet und nicht den des Systems. Die
von Citrix vorkonfigurierten CA-Listen sind absurd. Siehe die Ausgabe
des folgenden Kommandos:

for pem in /opt/Citrix/ICAClient/keystore/cacerts/*.pem; do openssl x509
-subject -noout -in $pem; done

(je nach Distro können die CA-Certs bei dir auch woanders als in
/opt/Citrix/ICAClient/keystore/cacerts liegen)

subject= /C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root
subject= /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification
Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized use
only/OU=VeriSign Trust Network
subject= /C=US/O=VeriSign, Inc./OU=Class 4 Public Primary Certification
Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized use
only/OU=VeriSign Trust Network
subject= /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
subject= /C=US/O=DigiCert Inc/CN=DigiCert SHA2 Secure Server CA
subject= /C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
subject= /C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions,
Inc./CN=GTE CyberTrust Global Root
subject= /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification
Authority

Vermutlich keine einzige Schweizer Firma hat Zertifikate dieser Anbieter
auf ihrem Citrix-Gateway installiert (alles US-Markt). Daher muss man
entweder die entsprechenden CA-Zertifikate von Hand im Citrix-Truststore
nachinstallieren, oder man hängt den Citrix-Truststore auf den
System-Truststore um (der unter Linux quasi deckungsgleich mit dem
Mozilla-Truststore ist - auch hier wieder sind die Pfade abhängig von
deiner Distribution):

# sudo mv /opt/Citrix/ICAClient/keystore/cacerts
/opt/Citrix/ICAClient/keystore/cacerts.dist
# sudo ln -s /etc/ssl/certs /opt/Citrix/ICAClient/keystore/cacerts

>>  (Ich z.B. habe seit 20 Jahren nichts anderes mehr.)
> Stell Dir vor, da will ich auch hin... :-)

Na dann: Auf gehts! Ziele erreicht man nur, wenn man sich auf den Weg
macht... aber du scheinst mir schon in die richtige Richtung unterwegs ;-)
> Aktuelle Kriterien für ein neues Notebook sind:
> - Schweizer Tastatur mit Nummernblock (tendenziell: 15.6")
> - Intel Core i7
> - gute Grafikkarte (NVIDIA ?)
> - guter Massenspeicher
> - lange Akku-Laufzeiten
> - um die 2 kg schwer

Nummernblock bei 15.6" ist wohl nicht sehr häufig. Tuxedo hat da
scheinbar was:
https://www.tuxedocomputers.com/de/Linux-Hardware/Linux-Notebooks/15-6-Zoll/TUXEDO-InfinityBook-Pro-15-v4-15-6-matt-Full-HD-IPS-Aluminiumgehaeuse-bis-Intel-Core-i7-Quad-Core-bis-64GB-RAM-bis-zwei-HDD/SSD-bis-10h-Akku-USB-C-Thunderbolt-3.tuxedo.
(Allerdings wenn du den Preis anschaust, siehst du, dass das nicht sehr
hochwertige Hardware sein kann - sieht aber schick aus ;-))

> Ganz praktisch ist natürlich:
> - Fingerprint-Reader
> - Kensington Lock
> - SD-Kartenleser

Also die meisten FP-Reader auf dem Markt haben eine dermaßen schlechte
Auflösung, dass sie nicht sicherer als ein vierstelliges numerisches
Passwort sind. Ich hatte in all den Jahren noch nicht eine Situation, wo
ich das gebraucht hätte. (Ich sage allerdings auch nicht: "Siri,
entsperre meinen Computer!" oder "Alexa, buy me a dollhouse!")

Ich weiß ja nicht, in welchem Umfeld du dich bewegst, aber Kensington
ist doch eher optional, oder? Und Kartenleser gibt es notfalls für wenig
Geld extern, und dann erst noch mit mehreren verschiedenen Slots.

> Irgendwie habe ich jetzt wieder das Gefühl, mich wie bei Monopoly
> wieder auf Los zu befinden...

Mit dem derzeitigen Mobile-Boom hat die Notebook-Branche leider einen
deutlichen Qualitätseinbruch erlebt. Die daraus resultierende
Unsicherheit hat ausnahmsweise nichts mit dem Betriebssystem zu tun.
Aber die hohe Volatilität der eingesetzten Bauteile macht es für die
Linux-Community natürlich unverhältnismäßig schwerer, Treiber zu
entwickeln. Daher wiederhole ich meinen Rat, Geräte frühestens ca. ein
Jahr nach ihrer Markteinführung zu kaufen und auf jeden Fall vorher mal
die Suchmaschine anzuwerfen und mit "Linux+Typenbezeichnung" zu füttern.

Bis bald mal

/markus

-- 
Markus Wernig                              🐧
Präsident Linux User Group Bern
PGP: D9203D2A4AD9FC3333DEEF9DF7ACC6208E82E4DC
---------------------------------------------
Linux User Group Bern    -   https://lugbe.ch
---------------------------------------------


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://maillists.lugbe.ch/pipermail/linux-misc/attachments/20190523/5ae99e8c/attachment.sig>

More information about the Linux-misc mailing list