UHAD

Report
FS i UHAD
Anders Lefébure-Henriksen, TD/GAD
Windows-forum, 17.9.2014
Hva er FS?
• Felles Studentsystem
– Holder rede på alle studenter og alle data knyttet
til dem
– Utviklet på USIT, nå skilt ut i SFS/FST
– Tykk Windows-klient + Oracle
– Driftes i dag under Trofast-paraplyen
– Alle U&H bortsett fra UIB, NTNU og UIT (nesten)
– Citrix som terminalserverplattform
– Normalt 900-1000 samtidige aktive
3
Hva er UHAD?
•
•
•
•
Active Directory uten direkte organisasjonstilhørighet
Samarbeid mellom UIO, UIB, NTNU og Uninett
Andre U&H i sektoren setter opp trust mot UHAD
Opprinnelig beregnet på SCCM-samarbeid og innbyrdes
programvarepakking
• Fortsatt noe vagt hvordan samarbeidet skal organiseres, er
under utredning
– Nevnes ofte i samme åndedrag som UH-sky, men ingen
direkte kobling enda
• For FS-formål: UHAD har maskinressursene, de andre AD har
brukerne
4
Hvorfor UHAD + FS?
• SFS overtok driftsansvaret fra Uninett fra 1.1 2014.
• Med ny oppdragsgiver fikk vi mulighet til å
modernisere og samtidig bytte ut Citrix med RDS
• Gode erfaringer med RDS fra kiosk.uio.no, men RDS
støtter ikke uten videre FEIDE
• UHAD:
–
–
–
–
Erstatter FEIDE som autentiseringsplattform
Gir mulighet for SSO
Ingen dobbel brukeradministrasjon for superbrukere
Mye jobb i etableringsfasen
5
Komponenter i UHAD
Domenekontrollere
158.37.3.0/28
SCCM-Servere
158.37.3.16/28
Terminalservere FS
158.37.3.64/26
Reservert andre
tjenester
6
Hva trengs fra skolens side?
• Windows Server 2008 eller senere på DCer
• Et par registerendringer for å blokkere
Kerberos over UDP
• Tilgang til skolens DNS
–
–
–
–
DCer må ha ekte IP-adresser
De fleste skolene har .local-domener
Settes opp med conditional forwarding i UHAD
UHADs DNS-records inkl SRV records ligger i UIOs DNS
• Portåpninger!!!!
– https://www.usit.uio.no/om/organisasjon/itdrift/td/gad/dokumentasjon/Systemer/ny_fs/oversikt_nett_og_protokoller.ht
7
ml
Brukeres rettigheter
• Alle brukere i skolens AD kan autentisere seg mot alle
maskiner i UHAD og omvendt
• Dette begrenses i praksis med gruppetilhørighet, slik at
bare de som skal ha påloggingstilgang får det
• Brukere hos skolene kan ikke autentisere seg, få
rettigheter, eller lese andre skolers AD
• UHAD skal ikke ha noen vanlige brukere, bare
adminbrukere
• Hvis en skole ikke har et passende AD, vil de få
rettigheter til å opprette brukerkontoer i et eget bruker-AD
utenfor UHAD
8
Utfordringer underveis
• Sikkerhet!
– VPN for dyrt og tidkrevende, vi bruker åpent
Internett
– Finne ut hvilke porter som er nødvendig å åpne
– Sikre kryptering eller signering på alle protokoller
som går over åpent nett
• SSO
– Skal være ok nå, men krevde ekstra nettåpninger
9
What’s next?
• Vi har nå en terminalserverløsning som alle
administrativt ansatte i UH-sektoren kan
autentisere seg mot
10

similar documents