Public:Phanousk/FRCesnet2006/Chemnitz

Stručné shrnutí získaných informací

Tato univerzita má, co se týče používaných technologií, k ZČU nejblíže. Při návštěvě bylo jedním z hlavních témat nasazení a správa centrálních distribucí OS v prostředí založeném převážně na otevřených standardech. Vyjma široké diskuse nad základními otázkami uvedenými výše bylo hlavním přínosem získání poznatků o technologiích a používání systému mikroplateb v rámci identifikačního systému. Kontaktní osobou pro návštěvu pracovníků ZČU byl Thomas Müller, vedoucí skupiny uživatelské podpory univerzitního informačního centra.

Podrobné informace

Základní informace o univerzitě

10 – 11 tisíc studentů na škole.
Infrastruktura AFS/Kerberos, přístupové karty, podpora Linuxu i Windows.

Bezpečnost

Zavedení testů

Testování schopností uživatelů připojených na koleji ohledně práce s počítačem. Je to podmínka užívání kolejní sítě. Má i anglickou verzi, byl to požadavek URZ (vymohlo si to). S iniciativou přišel ředitel URZ, byl potřeba „certifikát pro užívání internetu“, byl to i autor testu. Původně byl záměr testování znalostí i zaměstnanců provozujících webové stránky, ale toto testování se muselo zrušit kvůli protestům.

Test obsahuje základy síťování, základy bezpečnosti, přenosy dat (maily, spam, video), základy AFS (quota, síťový disk, zálohování), návodné otázky o univerzitním prostředí (služby, zodpovědnosti, kontaktní adresy), základy surfování (adresy, bezpečnost, ...). Je to 42 otázek na 45 minut, na webu mají výukové materiály.

Pravidla sítě

Nedělají žádné aktivní kontroly dodržování pravidel sítě (nekontrolují e-maily nebo obsah webových stránek). Porušování pravidel, o kterém se dozvědí, vede ovšem k zakázání konta. Zůstává však otázka, jak pak může například takový zaměstnanec pracovat? Možná odpověď se skrývá zde.

Tresty za porušování pravidel – povolit hříšníkovi používat jen nezbytné služby. Zatím pouze myšlenka, neimplementováno.

Filtrování spamu a virů

Dá se konfigurovat přes www. Výchozí nastavení je „zapnuto“, rektor to rozhodl.

Problematické stanice

Mají systém pro sledování bezpečnostních problémů (Intrusion detection system).

Problémové stanice byly automaticky umístěny do karanténní sítě, kterou nemůžou opustit. Síťový provoz je přesměrován na webovou stránku, která informuje uživatele o vyskytnuvších se problémech (že mají vira a podobně). Nakonec museli od automatiky ustoupit, protože generovala moc falešných poplachů.

Bezpečná distribuce hesel

Pro nové studenty se vytvoří nové konto. Studentům se pak pošle papír se „servisním kódem“, který jim umožní přihlásit se na webovou stránku, kde si můžou nastavit kerberovské konto.

Uživatel může konto několik týdnů používat, ale nakonec musí přinést podepsaný souhlas s používáním sítě, jinak se mu konto zablokuje.

Správa uživatelů

• Používají systém MOUSE, jde o ručně dělaný systém na bázi MySQL
• Používají kerberovské principaly, záznamy v LDAPu dělají na základě té databáze MOUSE

Databáze zaměstnanců je spravována Personálním oddělením. Blokování kont bývalých zaměstnanců je jejich zodpovědnost.

Administrativní pracoviště, jako například personální, si spravují své počítače samy. URZ nemá přístup ani do studentských, ani do zaměstnaneckých databází. Zpracovává pouze nezbytné exporty do jiných systémů.

V systému je zapracována informace o stavu peněz. Tyto jsou logicky uloženy na kartě (elektronická peněženka), ne v databázi. Mohou se přenést do dalších systémů (třeba do tiskového). Uživatelé mohou mít „sdílené konto“, aby mohla z jednoho účtu čerpat celá skupina lidí.

Podpora uživatelů

Lokální správci

Když lokální správce nefunguje, nebo není, nebo špatně odvádí práci, informují šéfy oddělení. Když na oddělení nemají vliv, tak ho občas musí odříznout od sítě, například speciálním firewallem.

Lokální stanice

Speciální instalace Windows a Linuxu spravované URZ, včetně předinstalovaného SW. URZ má vliv na pořizování nových počítačů, spravuje seznam podporovaného HW. S odděleními mají psanou Service Level Agreement pro správu systémů, zabývají se jen podporovaným HW.

Počty strojů a lidí

3 lidi na administraci 500 windowsových strojů, 3 lidi na zkrácený úvazek pro administraci 300 linuxových strojů. Nepoužívají studenty na podporů koncových uživatelů.

Nabírání pracovníků URZ: Dlouhodobě zaměstnaní lidé, malý pohyb osob. Posledního nabrali před deseti lety (nebo kdy).

HelpDesk

Telefonní a osobní podpora (lidi si k nim dojdou). Personál HelpDesku se nepodílí na vývoji prostředí. Vzdělávájí se zkušenostmi v práci, občas se jim udělá školení na nově zaváděné služby. Skoro žádné změny v personálu, nepotřebují nikoho často přijímat. Operátoři zažili ještě sálové počítače ;-)

• Školení: někdy se sejdou na popovídání, v předem určeném čase (například středa odpoledne)
• 2^nd level support: Osobní návštěvy u uživatelů zajišťují Central Service Administrators.

Monitorování systémů

Aplikace BigBrother – používaná HelpDeskem, uměji ji používat na základě svých zkušeností.

Správa requestů

Jednoduchý odkaz na „moje předchozí požadavky“. Na webu mají v databázi strojů vystavené klikátko pro „vytvoření requestu pro můj počítač“.

FAQ – spravují manuálně, ale na základě requestu. U každého requestu jde zvolit, že se má zařadit do FAQ, neumějí to z toho ale jednoduše dostat pryč.

Kategorizace strojů

Mají seznam užitných modelů – uživatel si odpoví na několik otázek, co že vlastně chce s počítačem dělat a podle toho si zvolí kategorii. Úrovně podpory:

• Kat. 1 – podporovaný HW, připravené balíčky.
• Kat. 2 – URZ poskytuje akorát instalaci, uživatelé mají admin práva.
• „nepodporované“ počítače - Odpovídají jen na jednoduché otázky. Žádná návštěvní podpora, uživatel musí přijít.

Seznam podporovaných aplikací

Mají speciální tým pro vybírání aplikací, které se objeví na seznamu podporovaného SW. Ovšem až poté co rozhodnou, že žádná nabízená aplikace nenabízí uživateli ty samé potřebné funkce. Používají všude, kde je to možné, MSI balíčky. Kde to možné není, tam si dělají vlastní.

Návštěvy u uživatelů provádějí tak málo, jak je to jen možné. Preferují to, že si uživatel zajde k nim a přinese jim počítač. 2,5 člověka mají přidělené pro knihovnu.

• Speciální problémy uživatelů zkoumají přes VNC.

Rektorát má vlastní centrum technické podpory, URZ jim poskytuje jenom konektivitu a konta.

Je složité přesně říct, kde jsou hranice podpory, rozdělení požadavků od lidí, jak se k žadatelům chovat (kdo má přednost a kdo ne). Rozhoduje jejich šéf.

VNC

Používají ho jako standardní nástroj popdory. Uživatelé si VNC servery zapínají sami, po žádosti o podporu. Identitu uživatele ověřují přes telefon, který jim ukáže číslo volajícího. (stejně ale nemají jistotu, že jim volá správný člověk)

Vícejazyková podpora v systémech

Skoro žádné stránky v dalších jazycích.

ID karty

MiFare + Magnetický proužek (zastaralé) + elektronické peněženky s kryptočipem.

Elektronická peněženka (EP)

Kartu vlastní externí firma, je na ní několik čipů. Mifare, kontaktní, ... Používá se na spoustu věcí, jedna z nich je EP (spravovaná externí firmou). Peníze jsou fyzicky na účtu externí firmy, je to jen jedno konto, firma neposkytuje žádná konta pro studenty. Všechny peníze jsou na EP.

Organizace pod univerzitou, jako třeba Menza a URZ, mají zpřístupněné klíče pro přístup k EP a je jim umožněno snižovat množství peněz v EP. Jednou za týden posčítají získané peníze a pak to vyúčtují té firmě.

Každá organizace si hlídá operace s kartami. Jakmile se databáze synchronizují, je možné správně určit množství peněz. Když student ztratí kartu, převedou se mu peníze na novou až po synchronizaci databází.

Údržba (profylaxe)

Původní cíl byl poskytovat 24/7 podporu, ale to se ukázalo nedosažitelné. Je na ně silný tlak, aby poskytovali podporu v pracovních hodinách a to od 7:00 do 22:00. Normální údržbu provádějí přes noc nebo o víkendech, také v týdnu mezi vánočními svátky.

Systémy se kvůli údržbě shazují po předchozím upozornění uživatelům do mailinglistů a novinek. Oznamování na webové stránce skoro nikdo nečte, někdy vyrobí nějaké vyskakovací okno do windows při přihlášení.

Záložní služby (redundance)

L4 switche od Cisca. Některé servery, FTP, databáze, mail. Scientific Linux – Cluster Manager

Zálohování

http://www-user.tu-chemnitz.de/~thm/ws03/nutzersicht.htm

Softwarová řešení

• Cfengine – automatická instalace systémů včetně windows
• pGina – alternativní msgina, pro kerberovskou autentizaci není potřeba doména