Firefox im Unternehmensnetzwerk

Update 02.02.2012:   

Inzwischen ist der folgende Artikel veraltet.  Es gibt eine Lösung, wie man Firefox zentral administrieren kann, bzw. wie man die Firefox-Einstellungen zentralisieren kann. Eine Beschreibung dazu gibt es z.B. hier:  www.kai-hildebrandt.de/tutorials/firefox_autoconfig.html

Ich habe die bei Kai beschriebene Lösung zwischenzeitlich in unserem Netz umgesetzt. Funktioniert prima. Die zentrale Config-Datei liegt auf dem Intranet-Webserver.

 

Den nachfolgenden Artikel lasse ich (vorerst) dennoch stehen. Why not – it’s history 😉

—————————————————————————————————————-

 

Meinen ersten Blog im IT-Themenbereich auf unserer neuen Website widme ich einem eklatanten Nachteil von Firefox.

Nun bin ich selbst ja einer, der so wenig M$-Produkte wie möglich einsetzen will. Das gilt natürlich auch fürs Firmennetz, wobei ich hier natürlich auf gewisse Vorgaben oder besser gesagt „Umstände“ Rücksicht nehmen muss und leider nicht so kann wie ich gerne würde. So geht beispielsweise OpenOffice nicht sondern es muss MS-Office sein. Ebenso muss es Outlook sein und ein Exchange. Wo es geht, schiesse ich aber quer – sei es beim Einsatz von Debian als Intranetwebserver (mit WordPress übrigens) oder sei es eben mit Firefox auf Browserebene.
Ich selbst habe hier noch nie den IE wirklich benutzt – immer nur testhalber und zum mailen ist auf meinem Rechner auch der Thunderbird drauf – und Outlook nur für bestimmte Exchange-Serviceaufgaben.

Wie auch immer…. nun hatten wir also beschlossen, den Firefox flächendeckend auch unseren Usern zur Verfügung zu stellen – Auslieferung mit den frisch installierten PC’s, bzw. in jedem Image enthalten. So weit so gut. Inzwischen verging über ein Jahr – und nun – wo ich den neuen Intranetserver aufgesetzt habe, muss ich an die Proxy-Einstellungen heran und diesen als Ausnahme eintragen. Dies führte dazu, daß ich ins Grübeln kam wie man denn den Firefox Netzwerkweit administrieren könne….
Nun, die einfache Antwort auf diese einfache Frage lautet: Eigentlich gar nicht!
Aber warum „eigentlich“?

In einer Windows-Domäne kann man globale Einstellungen – auch für Software – in der Regel mit den Gruppenrichtlinien steuern. Beim InternetExplorer funktioniert das auch einwandfrei – soll es ja auch. Ich kann Proxies, Proxyausnahmen und viele weitere einstellen.
Beim Firefox geht das so nicht. Firefox liest seine Einstellungen aus Config-Files. Maßgeblich für alle Benutzer auf einem Rechner ist beispielsweise die „all.js“.

Wie kann man also Firefox-Einstellungen vordefinieren bzw. zentral administrieren? Im Rahmen meiner Recherchen bin ich auf mehrere Möglichkeiten gestoßen, die nach meiner Auffassung allesamt nicht sonderlich sauber sind – aber irgendwie wohl auch funktionieren sollen.

—————————–

Möglichkeit 1 – Firefox über VBA-Startscript und adm-Templates – Gruppenrichtlinien

Bei Sourgeforge.net kann man inzwischen die Version 0.4.0.2 der Firefox-ADM-Templates herunterladen. Mitgeliefert werden Skripte, über die Firefox gestartet werden muss. Diese verbiegen FF so, daß die Registry-Einträge anstatt der Config-Files gelesen werden (oder die Registry in die config-files kopiert wird – so genau hab ich das dann gar nicht recherchiert). Es gibt ein Start- und ein Endeskript. Wird FF auf konventionellem Weg gestartet, greifen die Policies natürlich nicht mehr.
Daher für uns eigentlich irrelevant. Solche Verbiegungen sind nicht mein Ding.

Update: 14.10.09:
Scheinbar ist das inzwischen anders gelöst, kein  Startup-Script mehr, sondern Logon-Scripts….

Möglichkeit 2 – Firefox über Add-On (in-cider-knowledge)Update 14.10.09: nicht mehr relevant!

Mark Sammons hat ein Add-On für Firefox entwickelt, das die Einstellungen aus der Registry liest. Genial dachte ich – und musste feststellen, daß es dazu so gut wie keine Infos im Web gibt – abgesehen von dessen eigener Seite – und scheinbar ist die Entwicklung ganz schön stehengeblieben. Auch wenn er im Feb. 2008 schreibt, es würde unter Firefox 3 laufen… und das letztes Update war September 08 – aber irgendwie fehlen mir da weitergehende Infos.
Für den Produktiveinsatz erscheint es mir jedenfalls ungeeignet.

Möglichkeit 3 – config-files von FF vorgeben und festnageln

Für uns derzeit die wohl gängigste Möglichkeit, allerdings auch wieder mit Turnschuhadministration verbunden, da diese Lösung nur funktioniert, wenn alle FF-Versionen auf dem gleichen Stand sind, und das können wir derzeit nicht garantieren. Ansonsten geht das aber so, wie beispielsweise in Lessis Blog beschrieben.
Hierbei wird ein neues Config-File für FF erstellt, in dem mit der Anweisung „lockPref“ die Einstellungen mitgegeben und festgenagelt werden können. Das heißt, daß die User die vorgegebenen Werte auch nicht mehr verändern können, die Felder in FF sind gelockt.
Das File kann man über Anmeldeskript kopieren und die Änderung in der all.js ist auch per Batch möglich. Notfalls remote im laufenden Betrieb 😉

Update 27.02.09: Im Blog von Horst Scheuer, der sich mit Firefox sehr intensiv beschäftigt, habe ich einen Verweis auf eine sehr ausführliche Beschreibung des Vorgangs im Firefox-Wiki gefunden. Danke – und hier der Link für Euch.

Wenns nur um Proxies geht – Möglichkeit 4 – automatische Proxyerkennung

Über WPAD (Web Proxy Autodiscovery Protocol) kann man Browsern generell die Proxyeinstellungen vorgeben. Dazu benötigt man lediglich ein file namens „wpad.dat“ und einen CNAME-Eintrag im DNS-Server, der dorthin verweist. Startet ein Browser, und ist die automatische Suche eingestellt, guckt er im DNS nach, ob er einen wpad.*-Eintrag findet und liest die Konfiguration aus. Beim IE geht es übrigens auch per DHCP (Wert 252 – neu anlegen); der FF will nach meinen Erkenntnissen aber DNS haben.

Möglichkeit 5 – eine spezielle Firefox-Version – Frontmotion

Einen ganz anderen Weg geht Frontmotion, die eine spezielle Firefox-Version als msi-Package herausgeben, die auch über Gruppenrichtlinien administriert werden kann, die Community-Edition. Hier fehlt mir persönlich aber die Möglichkeit der schnellen Verfügbarkeit von Updates oder überhaupt die Chance, den Firefox auf dem aktuellsten Stand zu halten. Für den ein oder anderen vielleicht ein gangbarer Weg – für uns nicht.

Update 04.06.09:    Im Administrator.de-Forum hat ein Anwender aufgrund meiner Nachfrage etwas mehr über die Versionsstände und Updateverfahren berichtet.

Update März 2010: – siehe ganz unten – Eine sehr ausführliche Anleitung zur Umsetzung der Frontmotion-Lösung bei Administrator.de

——————-

Leider gibt es also (zumindest für meine Anforderungen) keine „ordentliche“ Möglichkeit, den Firefox im Netzwerk zu administrieren. Schade eigentlich, denn dadurch verpasst er den Einzug in viele Firmennetze. Die Zeiten der Turnschuhadministration sind schon lange vorbei – nur bei den Firefox-Entwicklern hat sich das scheints noch nicht herumgesprochen – oder ist es vielleicht sogar Firmenpolitik? Will man gar nicht in die LAN’s der Firmen einbrechen? Will man den Firefox nur für Klein- und Privatinstallationen positionieren?

Nach meiner Auffassung wäre es jedenfalls ein wirklicher Gewinn für die Verbreitung und Akzeptanz von Firefox, wenn dieser entweder ein Netz-Admintool hätte oder im idealsten Falle für alle Windows-Admins über Gruppenrichtlinien und somit über die Windows-Registry anzusprechen wäre. Muss ja nicht generell so sein – ein Schalter in der „about:config“ würde genügen – sucht Firefox seine Einstellungen in den Config-Files oder in der Registry. Schon ist die Sache erledigt und dem Einsatz auf verschiedenen Plattformen würde nichts mehr im Wege stehen – natürlich hab ich Firefox auch auf meinen Linuxen installiert!

Januar 2009 – so long

———————————————————

Update 04.06.2009

Im Forum bei Administrator.de hat sich heute eine interessante Diskussion zur Problematik entwickelt. Das zeigt mir wieder einmal, wie wichtig es für die Akzeptanz und Verbreitung von Firefox im Unternehmensumfeld wäre, hier eine vernünftige Lösung einzubauen! Das ist einfach unumgänglich!

———————————————————-

Update – März 2010

Wieder bei Administrator.de gibt es eine sehr gute hilfreiche und ausführliche Anleitung zum Thema „Firefox mit AddOns – Verteilung und Steuerung über GPO in einer Windows 2003 Domäne“

Hierbei bezieht sich der Autor auf die Verwendung der auch von mir erwähnten Firefox-Spezialversion von „FrontMotion“ (http://www.frontmotion.com). Der entscheidende Vorteil des Autors: er hat sich in die ADM’s von Frontmotion eingearbeitet und diese auch selbst modifiziert. Das war sicher eine Heidenarbeit, aber der Erfolg dürfte ihn bestätigen.

Nachdem hier offensichtlich auch die Updateverfügbarkeit relativ groß ist – bzw. schnell ist, dürfte das auf Zukunft gesehen wohl auch  meine Lösung werden, wenn ich demnächst mal Zeit habe, das umzusetzen…

———————————————————-

Update – 02.02.2012

Inzwischen gibt es eine feine Lösung zur zentralen Administration. Näheres dazu siehe oben – am Anfang des Artikels!

Advertisements

2 Gedanken zu “Firefox im Unternehmensnetzwerk

  1. Nico 24. Januar 2010 / 18:51

    Wieso verwendet Ihr nicht einfach _einen_ (transparenten) Proxy statt jeden Scheiß auf dem bedeutend unsicherem Client einstellen zu wollen? Dort kannst dann abhängig von User/IP/Subnetz deine Regeln zentral vergeben, wie du magst und eben auch an andere Proxys weiterleiten.

  2. Jürgen 25. Januar 2010 / 14:01

    Geht leider nicht. Wir hängen da dummerweise in einem sehr restriktiven Intranet-WAN…

    Wenn ich meinen eigenen DNS-Server so konfigurieren dürfte, wie ich wollte, könnte ich ja ohne Probleme die automatische Konfiguration benutzen…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s