FS i UHAD Anders Lefébure-Henriksen, TD/GAD Windows-forum, 17.9.2014
Hva er FS? Felles Studentsystem Holder rede på alle studenter og alle data knyttet til dem Utviklet på USIT, nå skilt ut i SFS/FST Tykk Windows-klient + Oracle Driftes i dag under Trofast-paraplyen Alle U&H bortsett fra UIB, NTNU og UIT (nesten) Citrix som terminalserverplattform Normalt 900-1000 samtidige aktive Samarbeidsforetaket FS -> Felles studieadministrativt tjenestesenter
Hva er UHAD? Active Directory uten direkte organisasjonstilhørighet Samarbeid mellom UIO, UIB, NTNU og Uninett Andre U&H i sektoren setter opp trust mot UHAD Opprinnelig beregnet på SCCM-samarbeid og innbyrdes programvarepakking Fortsatt noe vagt hvordan samarbeidet skal organiseres, er under utredning Nevnes ofte i samme åndedrag som UH-sky, men ingen direkte kobling enda For FS-formål: UHAD har maskinressursene, de andre AD har brukerne
Hvorfor UHAD + FS? SFS overtok driftsansvaret fra Uninett fra 1.1 2014. Med ny oppdragsgiver fikk vi mulighet til å modernisere og samtidig bytte ut Citrix med RDS Gode erfaringer med RDS fra kiosk.uio.no, men RDS støtter ikke uten videre FEIDE UHAD: Erstatter FEIDE som autentiseringsplattform Gir mulighet for SSO Ingen dobbel brukeradministrasjon for superbrukere Mye jobb i etableringsfasen
Reservert andre tjenester Komponenter i UHAD Domenekontrollere 158.37.3.0/28 SCCM-Servere 158.37.3.16/28 Terminalservere FS 158.37.3.64/26 Reservert andre tjenester
Hva trengs fra skolens side? Windows Server 2008 eller senere på DCer Et par registerendringer for å blokkere Kerberos over UDP Tilgang til skolens DNS DCer må ha ekte IP-adresser De fleste skolene har .local-domener Settes opp med conditional forwarding i UHAD UHADs DNS-records inkl SRV records ligger i UIOs DNS Portåpninger!!!! https://www.usit.uio.no/om/organisasjon/it-drift/td/gad/dokumentasjon/Systemer/ny_fs/oversikt_nett_og_protokoller.html Skole = FS-Institusjon
Brukeres rettigheter Alle brukere i skolens AD kan autentisere seg mot alle maskiner i UHAD og omvendt Dette begrenses i praksis med gruppetilhørighet, slik at bare de som skal ha påloggingstilgang får det Brukere hos skolene kan ikke autentisere seg, få rettigheter, eller lese andre skolers AD UHAD skal ikke ha noen vanlige brukere, bare adminbrukere Hvis en skole ikke har et passende AD, vil de få rettigheter til å opprette brukerkontoer i et eget bruker-AD utenfor UHAD
Utfordringer underveis Sikkerhet! VPN for dyrt og tidkrevende, vi bruker åpent Internett Finne ut hvilke porter som er nødvendig å åpne Sikre kryptering eller signering på alle protokoller som går over åpent nett SSO Skal være ok nå, men krevde ekstra nettåpninger
What’s next? Vi har nå en terminalserverløsning som alle administrativt ansatte i UH-sektoren kan autentisere seg mot