UU.NL home education contact library calendar search HOME cs.uu.nl
research people archive services jobs

stand van zaken ICT cs.uu.nl 2005

author Henk Penning
date 1 juli 2005

inhoud

doelstelling

Het doel is te komen tot een beschrijving van de stand van zaken ten aanzien van ICT bij het Departement Informatica.

aanleiding

Door het tot stand komen van de β-faculteit, moeten de taken en verantwoordelijkheden van ICT worden bepaald. Daartoe moet een zg nulmeting gedaan worden voor de ICT stand van zaken bij de deelnemende departementen. De voorlopige uitgangspunten tav ICT-β zijn het vertrekpunt.

Computer Systems Groep

De Computer Systems Group (CSG) is verantwoordelijk voor de automatisering van het Departement

Sommige leerstoelgroepen hebben een lab tbv onderzoek en master-onderwijs ; een medewerker van de groep treedt op als lab-beheerder (eventueel bijgestaan door een student-assistent) en is de eerstverantwoordelijke voor de apparatuur in het lab ; GCS ondersteunt de lab-beheerders.

personeel

functieftegebied
CSG, 6.0 fte
hoofd 1.0 leiding, ontwikkeling
senior 2.0 netwerk, services
gevorderd 1.0 services
junior 2.0 helpdesk, inventaris
overig, 2.2 fte
wetenschappelijk programmeur 2.0 ontwikkeling O&O, lab beheer
student assistent 0.2 ontwikkeling O&O, lab beheer
TOTAAL 8.2 fte

bestuurlijke inbedding

middelen

Aanschaf van alle middelen loopt via CSG.

colo's

CSG beschikt over een goed uitgeruste computerruimte waar alle servers zijn ondergebracht:

netwerken

netwerk-aansluitingen in CGN, BBL

vlan CGN BBL total
79 toeter 1 16 17
80 staff 159 18 177
82 students 28 210 238
83 zoo 3   3
84 labs-give-is 11   11
210 UBUnet 1   1
303 DMZ 1   1
TOTAL 204 244 448
not active 212 61 273
active, not used 38 55 93

hardware

servers

GCS beheert vijf grotere (file) servers en zo'n 25 kleinere servertjes. De grotere : De kleinere servers vervullen 1 of een klein aantal taken. Het vereenvoudigt beheer en upgrades. Voorbeelden: Behalve de domain controlers draaien alle servers Solaris of Linux. De file servers draaien samba (SMB) daemons tbv de Windows clients.

De Solaris productie servers zijn in 8-uurs onderhoud. De administratieve afhandeling wordt gedaan door het Department Wiskunde. Voor de kleinere Linux en Windows servers wordt vervangende hardware beschikbaar gehouden.

desktops

Bij ICS zijn ongeveer 400 desktops in gebruik ; ruwweg 200 tbv staf en 200 tbv studenten. Het merendeel komt van Dell ; daarnaast zijn er zo'n 20 Apple's en 20 Sun's in gebruik.

Een standaard werkplek is een Dell, P4, 3.6 GHz, 512MB, 80GB, 19" flatpanel, DVD-RW, optical mouse. De meest voorkomende uitbreiding is een memory upgrade naar 1 GB.

Gebruikers krijgen de apparatuur die ze nodig hebben om hun werk te doen. Bij duurdere machines wordt akkoord gevraagd van de leerstoelhouder. Gebruikers hebben geen vrije keuze voor laptop of desktop. Lettend op de kosten, wordt een laptop gezien als een privilege ; speciale verdiensten en/of omstandigheden spelen daarbij rol ; de leerstoelhouder beslist.

Voor staf en studenten wordt een afschrijftijd gehanteerd van vier jaar. Op plekken waar een machine slechts incidenteel of beperkt gebruikt wordt (collegezalen, overlegruimtes) staat oudere apparatuur. Apparatuur die uit productie genomen wordt, gaat naar

Apparatuur voor staf wordt passief vervangen, dwz, als men er om vraagt. Behoudens de Apple hoek, wordt er weinig apparatuur doorgeschoven van power users naar minder veeleisende gebruikers.

De aard en omvang van de onderwijs faciliteiten wordt vastgesteld door het onderwijsbestuur.

Onderstaand is een overzicht van de machines jonger dan vier jaar. De telling valt wat laag uit omdat juist in de zomer vervangen en afgevoerd wordt. Vier jaar geleden is vroeg in de zomer enorm uitgebreid.

location rooms clients vlans
types count no price price
[k€]
multiple 79 80 82 83 84
BBL 29 11 139 0 1.8   2 8 129    
CGN 114 43 190 0 2.1 2 5 148 28 1 6
total 143 50 329 0 2.0 2 7 156 157 1 6

printers

Voor de staf is er voor iedere 30 gebruikers een kleuren- (sheets-) en een zwart/wit-printer. Ieder staflid kan elke printer gebruiken, dus er is voldoende redundancy.

Voor algemeen gebruik kopen we uitsluitend betrouwbare netwerk laser printers die zo min mogelijk verschillende soorten consumables (toners etc) gebruiken. We gaan er van uit dat de waardering voor de groep, sterk bepaald wordt door de bedrijfszekerheid van de printer faciliteiten.

software

GCS beheert alle software licenties. Aanschaf gaat in toenemende mate met de onontbeerlijke credit card.

Het onderwijsbestuur beslist over aanschaf van software tbv het onderwijs. Het is zeer wenselijk dat aangeschafte software mag draaien op alle onderwijscomputers van het betreffende platform en dat studenten de software mogen draaien op computers thuis. Docenten dienen verzoeken in bij het onderwijsbestuur ; GCS adviseert over inpasbaarheid. Grosso modo wordt weinig gebruik gemaakt van software waarvoor betaald moet worden.

Tbv onderzoek krijgen medewerkers de software die ze nodig hebben ; bij kleine bedragen (een paar honderd euro) akkordeerd de leerstoelhouder ; bij grotere bedragen beslist het onderzoeksbestuur tenzij eea aangeschaft wordt in het kader van (eerder goedgekeurd) onderzoeksproject.

Windows

Het Departement Informatica is geabonneerd op Microsoft's MSDN Academic Alliance Program ($800 initieel, $400 jaarlijks). Alle Microsoft producten (behalve Office) mogen onbeperkt gebruikt worden tbv onderwijs en onderzoek, ook thuis door staf en studenten die actief een vak volgen.

Linux

Het Departement maakt veel gebruik van open source software. Voor Linux gebruiken we de CentOs distributie.

Solaris

Solaris wordt gebruikt op een aantal Sun servers ; Sun Solaris desktops worden uitgefaseerd en veelal vervangen door Linux desktops.

MacOs

Er is een actieve groep MacOs gebruikers, grotendeels geconcentreerd binnen een leerstoel groep. MacOs licenties zullen waarschijnlijk via Faculteit Wijsbegeerte gaan lopen.

beheren

productie

basis omgeving desktops

Windows
De medewerkers en de studenten hebben ieder hun eigen Windows2000 domain (AD). In de AD slaan we de usernaam, password, profile path, en homedrive op. We maken gebruik van simpele group policies, waarbij we voor de studenten vooral wat rechten beperken, en bij de medewerkers alleen de grootte van de roaming profiles enigzins beperken. Updates in de AD's worden niet meer rechtstreeks via GUI's gedaan, maar via (perl)scripts vanaf de centrale beheersmachine. Dit geldt voor het aanmaken van nieuwe account, het wijzigen van het password en het verwijderen van accounts.

Software installatie gebeurt bij de studenten door het verspreiden van Ghost images. De installatieprocedure is geautomatiseerd met PXEboot, bpbatch en wat eigen scripts. Na het starten van de procedure gaat het helemaal automatisch, zonder verdere menselijke handelingen. De machines worden gemiddeld eens per drie weken van een nieuw image voorzien. De medewerkers krijgen eenmalig een vrij simpel image. Ze moeten zelf de software installeren die ze verder voor hun onderzoek en/of onderwijs nodig hebben. De meeste medewerkers hebben toegang tot een administrator account op hun eigen machine om probleemloos software te kunnen installeren.

Een aantal software pakketten is op een softwareserver geinstalleerd. Dat maakt centrale updates simpeler. Maar voor de meeste pakketten is een centrale installatie lastiger en die worden gewoon op elke machine geinstalleerd. We hebben geen policy dat we voor de medewerkers nieuwe versies van programma's afdwingen.

Op alle machines staat WindowsUpdate aan en draait een virusscanner met automatische updates.

De studenten krijgen bij het inloggen via een loginscript een aantal netwerkdrives (homedirectory, homepage, softwareserver, etc) gemapped. Door de vaste mapping zijn de aangeboden services beter zichtbaar en beter bereikbaar. De medewerkers krijgen alleen de homedirectory automatisch gemapped, de rest mogen ze zelf doen.

Solaris
Op de Solaris clients is er een stricte scheiding tussen systeem en gebruiker. Het systeem wordt dmv een jumpstart automatisch geinstalleerd. Al het spul van gebruikers en additionele software komt van file servers.
Linux
Tbv studenten wordt dmv ghost een standaard image geïnstalleerd. De staf machines werden tot voor kort door de gebruikers zelf beheerd. Met de geleidelijke vervanging van Solaris machines door Linux machines, wordt gewerkt aan een beheersmodel waarbij de gebruiker passief is (als in het Solaris model). Centraal beheerde machines (staf en studenten) worden dagelijks voorzien van software updates.
MacOs
De MacOs gebruikers zijn op zichzelf en elkaar aangewezen. Er is een dedicated server voor backup, software distributie etc.

services

authentication
Iedere gebruiker heeft twee passwords (Windowns, Unix). Unificatie zou wenselijk zijn maar een bevredigende oplossing is nog niet gevonden. Het gebruiken van twee simple systemen lijkt flexibeler en krachtiger dan een enkel complexer systeem dat lijdt aan vendor lock in.

Unix authenticatie maakt gebruik van een OpenLDAP user database en wordt gebruikt voor Linux/Solaris login en authentication van bijvoorbeeld mail en web applicaties. Authenticated SMTP is in de maak.

Studenten krijgen een login/passwd nadat ze een gebruikers-verklaring getekend hebben. De verklaring (in nederlands en engels) geeft en aan wat het bedoeld gebruik is van het account, en bevat een opsomming van een aantal wettelijke en praktische ge- en verboden. Het is een aantal malen practisch gebleken om zich misdragende studenten te confronteren met de getekende verklaring. Er zijn eigenlijk zelden problemen ; vroeger vooral security incidents, recent meestal netwerk p2p misbruik. Het is onduidelijk of het laten tekenen van een verklaring een preventieve werking heeft.

files
Elke client heeft toegang tot een aantal file trees in verschillende security domains: File backup wordt gedaan op een 4 TB backup server ; er zijn 15 snapshots, veel recente, en een paar oudere ; wekelijks worden offsite, offline backups gemaakt op removable disks.
mail
Er zijn aparte mailservers voor staf en student. De setup is nagenoeg identiek. Karakteristieken: postfix smtp, secure imap, maildrop local delivery, spamassassin spam filtering, clamav virus checking, vacation auto reply, mailman mailing lists ; spam wordt desgewenst gefilterd naar een aparte mailbox en na 6 weken automatisch opgeruimd ; virussen gaan in quarantaine en worden na een week opgeruimd ; uitgebreide logging wordt een jaar bewaard ; dagelijkse mailstats zijn beschikbaar.

De fysieke mailboxen zijn op een paar Linux computeservers via het file systeem read only beschikbaar voor gebruikers.

Voor medewerkers is er geen file quotum ; voor studenten geldt een quotum van 150 MB. De top-20 staf gebruikers worden twee-wekelijks per mail geïnformeerd ; studenten die over quotum zijn, of dreigen te raken, worden wekelijks geïnformeerd.

web
De webserver bedient staf en studenten uit gescheiden file trees. Karakteristieken: apache httpd, php met postgres database access, graphics, ldap etc, basic authentication ; secure https tbv authenticated applications. De server bedient vele domains voor ICS, relatives and friends. Er zijn uitgebreide statistics.

Verschillende delen van de website zijn alleen intern (of alleen voor staf) zichtbaar. Het onderscheid wordt gemaakt op grond van client IP. Intranet pages zijn extern zichtbaar gemaakt dmv een Squid web proxy server, die simpel aan te spreken is dmv ssh tunnels.

print
A messy subject ; we zijn in transitie van LPRng naar CUPS.

Voor studenten is printen niet gratis. Er is een quotum systeem. Studenten krijgen per jaar een basis print-quotum van 250 bladzijdes. Ze kunnen niet printen als hun quotum negatief is. Quotum is te koop bij de studentenbalie voor 5 eurocent per bladzijde. De prijs wordt bepaald door de drukkosten (per bladzijde) van college-dictaten: De prijs van een geprint dictaat moet hoger zijn dan een gedrukt exemplaar.

database
Voor staf en studenten hebben we twee postgres database servers. Voor staf tbv organisatie en onderzoek mede tbv web applicaties ; voor studenten voornamelijk tbv het studie onderdeel software project.
cross platform computing
Linux/Unix gebruikers hebben toegang tot MS applicaties dmv een citrix server. Deze wordt ook gebruikt voor standaard UU applicaties zoals metis, zier etc. Het voorkomt dat deze applicaties geïnstalleerd moeten worden op PC's van de diverse gebruikers. Het succes is wisselend omdat draaien op een citrix server helaas voor standaard UU applicaties nog niet algemeen vereist is.

Voor Windows gebruikers zijn er verschillende Linux en Solaris servers, algemeen toegankelijk dmv ssh. Er is een Exceed licentie zodat ook X-applicaties op Windows machine gedraaid kunnen worden. Deze machines kunnen ook remote worden gebruikt.

VPN
We maken gebruik van UU VPN server ; het regelt (ook) toegang tot Internet voor de inprik plekken en het wireless lan.
usenet
We hebben een Usenet service met een zeer beperkte set newsgroups (big 8, nl, ruuinf). Het wordt voornamelijk gebruikt voor interne communicatie en specialistische interesse. Het draait op obsolete hardware en vergt zeer weinig beheersinspanning.
version control system
We hebben een subversion (svn) server die gebruikt wordt voor allerlei doelen, vooral software ontwikkeling met remote partners.

problemen

Voor het afhandelen van problemen wordt de (gratis) RT request tracker gebruikt. Mail naar helpdesk@cs.uu.nl beland in het systeem. Afhandeling gaat dmv een web applicatie (voor de helpdesk) en mail van/naar gebruikers. Voor ict@science.uu.nl is het systeem inmiddels ingevoerd.

verandering

Er is geen formeel systeem in gebruik voor change management. Wel is er een blauwdruk voor het documenteren van projecten (doel, aanleiding, alternatieven, keuze, planning, voortgang, evaluatie).

asset management

Voor het beheer van de materiële zaken, hebben we een geïntegreerde database csbase met onder andere de volgende entiteiten en relaties:
De rode entiteiten zijn UU data systemen ; data in die systemen wordt geschreven vanuit csbase (zoals UU ldap), of alleen vergeleken (UU netwerk adm, phone adm) of gewoon gebruikt (metis).

Tbv van asset management zijn voor deze entiteiten belangrijk: host, nic (network interface), vlan, vap, ip en room. Verder wordt bijgehouden welke services (anders dan desktop) een machine levert.

Met een flinke php library met primitiva voor database selecties en presentatie, is het vrij eenvoudig om www pages met allerlei overzichten en consistency checks te genereren. Verder wordt de database gebruikt om bijvoorbeeld DNS en DHCP tabellen te genereren.

beschermen

security

preventie

detectie

reactie

coninuïteit

planning

capaciteit planning

technologie planning


valid-html401 penning@cs.uu.nl, Sat Dec 16 00:32:13 CET 2017