home	education	contact	library	calendar	search
		research	people	archive	services	jobs

stand van zaken ICT cs.uu.nl 2005

author	Henk Penning
date	1 juli 2005

inhoud

• doelstelling
• aanleiding
• Computer Systems Groep
  • personeel
  • bestuurlijke inbedding
• middelen
  • colo's
  • netwerken
    • netwerk-aansluitingen in CGN, BBL
  • hardware
    • servers
    • desktops
    • printers
  • software
    • Windows
    • Linux
    • Solaris
    • MacOs
• beheren
  • productie
    • basis omgeving desktops
      • Windows
      • Solaris
      • Linux
      • MacOs
    • services
      • authentication
      • files
      • mail
      • web
      • print
      • database
      • cross platform computing
      • VPN
      • usenet
      • version control system
  • problemen
  • verandering
  • asset management
• beschermen
  • security
    • preventie
    • detectie
    • reactie
  • coninuïteit
• planning
  • capaciteit planning
  • technologie planning

doelstelling

Het doel is te komen tot een beschrijving van de stand van zaken ten aanzien van ICT bij het Departement Informatica.

aanleiding

Door het tot stand komen van de β-faculteit, moeten de taken en verantwoordelijkheden van ICT-β worden bepaald. Daartoe moet een zg nulmeting gedaan worden voor de ICT stand van zaken bij de deelnemende departementen. De voorlopige uitgangspunten tav ICT-β zijn het vertrekpunt.

Computer Systems Groep

De Computer Systems Group (CSG) is verantwoordelijk voor de automatisering van het Departement

Sommige leerstoelgroepen hebben een lab tbv onderzoek en master-onderwijs ; een medewerker van de groep treedt op als lab-beheerder (eventueel bijgestaan door een student-assistent) en is de eerstverantwoordelijke voor de apparatuur in het lab ; GCS ondersteunt de lab-beheerders.

personeel

functie	fte	gebied
CSG, 6.0 fte
hoofd	1.0	leiding, ontwikkeling
senior	2.0	netwerk, services
gevorderd	1.0	services
junior	2.0	helpdesk, inventaris
overig, 2.2 fte
wetenschappelijk programmeur	2.0	ontwikkeling O&O, lab beheer
student assistent	0.2	ontwikkeling O&O, lab beheer
TOTAAL 8.2 fte

bestuurlijke inbedding

• het hoofd GCS valt onder het hoofd van het department (voorzitter Vakgroep Informatica, voorzitter Instituut Informatica en Informatiekunde)
• in het algemeen werkt GCS naar aanleiding van (of anticiperend op) wensen van gebruikers (soms na afstemming van de betreffende leerstoelhouder) ; het heeft een eigen verantwoordelijkheid tav efficiëntie en doelmatigheid het legt verantwoording af aan het bestuur van het departement ;
• tav onderwijs stemt GCS regelmatig af met het onderwijsbestuur, meestal mbt gewenste capaciteit, platforms, standaard software en licenties
• GCS publiceert overzichten van aanschaf op het intranet ; per soort hardware, per jaar, per leerstoelgroep etc ; er is eerder sprake van controle achteraf dan toestemming vooraf
• De lab-beheerders maken deel uit van een leerstoelgroep

middelen

Aanschaf van alle middelen loopt via CSG.

colo's

CSG beschikt over een goed uitgeruste computerruimte waar alle servers zijn ondergebracht:

• een verhoogde vloer tbv bekabeling en ventilatie
• een stevige airco, betaald en onderhouden door de TD ; een aantal jaren geleden vervangen
• een oudere (2000), grote UPS (aprx 6000 VA) ; meer recent, per server rack, een 3000 VA UPS met remote management
• in progress, per server rack een vlan aware network switch ; dit vereenvoudigt de netwerk bekabeling aanzienlijk ; in het rack, per U, is er een vaste kabel naar de switch ; de switch is verbonden aan het netwerk met 1 kabel per benodigd vlan ; dit wordt gebruikt voor low volume servers, dwz, voorheen via een gewone switch of hub verbonden waren met het netwerk ; high volume servers hebben een eigen link per vlan naar het wire center ; soms zelfs meerdere trunks per vlan
• per server rack een KVM console switch ter vereenvoudiging van de console (Keyboard, Video, Mouse ) bekabeling en remote management
• de ruimte is beveiligd tegen inbraak, en zit in een CSG-only sleutel regime
• er is geen brandalarm, rookdetectie of blus-installatie
• een telefoonlijn met internationale toegang is gewenst igv storing waarbij support van een internationale supplier nodig is

netwerken

• we maken gebruik van meerdere vlans
  • staff -- voor medewerkers
  • edu -- voor studenten
  • labs -- voor research facilities ; alleen toegangelijk vanuit staff en edu
  • dmz -- voor CSG hosts die toegankelijk moeten zijn vanaf Internet
  • zoo -- voor andere hosts die toegankelijk moeten zijn vanaf Internet
  • toeter -- voor inprik plekken en wireless lan ; geeft alleen toegang tot de VPN switch
  In de bibliotheek van CGN zit een vap in het UBU netwerk tbv van twee UBU thin clients
• voor routing/filtering heeft Informatica altijd een eigen router gehad. De huidige router (1998) is onderdeel van het wire center in CGN
• verreweg de meeste werkplekken hebben een eigen netwerk-aansluiting

netwerk-aansluitingen in CGN, BBL

vlan		CGN	BBL	total
79	toeter	1	16	17
80	staff	159	18	177
82	students	28	210	238
83	zoo	3		3
84	labs-give-is	11		11
210	UBUnet	1		1
303	DMZ	1		1
TOTAL		204	244	448
not active		212	61	273
active, not used		38	55	93

hardware

servers

GCS beheert vijf grotere (file) servers en zo'n 25 kleinere servertjes. De grotere :

• home server, staf en edu, 500 GB, raid 5 ; ook voor staf/studenten projecten
• web server, staff en edu, 250 GB, raid 5 ; mirrored sw repository Linux en applicaties
• software server, 100 GB ; collectie Solaris en Linux sw
• labs server, staff en edu, 250 GB, raid 5
• backup server, 4 TB

De kleinere servers vervullen 1 of een klein aantal taken. Het vereenvoudigt beheer en upgrades. Voorbeelden:

• 2 mail servers staf, studenten
• 2 database servers staf, studenten
• bscw (community system), svn (subversion, version management), tomcat
• 3 dns servers, 1 authoritive, 2 resolvers (staf, edu)
• network administration, loging, monitoring, tbv CSG
• Solaris compute servers staf
• Linux compute servers, staf, studenten, desktop bibliotheek
• Linux virtual host server, experimental generic Linux server platform
• research database server
• usenet news server
• 2 MS domain controlers staf, studenten
• wiki server
• MacOS server, client support, repository, backup
• NTP time server
• borbala server, conference management system tbv externe gebruikers

Behalve de domain controlers draaien alle servers Solaris of Linux. De file servers draaien samba (SMB) daemons tbv de Windows clients.

De Solaris productie servers zijn in 8-uurs onderhoud. De administratieve afhandeling wordt gedaan door het Department Wiskunde. Voor de kleinere Linux en Windows servers wordt vervangende hardware beschikbaar gehouden.

desktops

Bij ICS zijn ongeveer 400 desktops in gebruik ; ruwweg 200 tbv staf en 200 tbv studenten. Het merendeel komt van Dell ; daarnaast zijn er zo'n 20 Apple's en 20 Sun's in gebruik.

Een standaard werkplek is een Dell, P4, 3.6 GHz, 512MB, 80GB, 19" flatpanel, DVD-RW, optical mouse. De meest voorkomende uitbreiding is een memory upgrade naar 1 GB.

Gebruikers krijgen de apparatuur die ze nodig hebben om hun werk te doen. Bij duurdere machines wordt akkoord gevraagd van de leerstoelhouder. Gebruikers hebben geen vrije keuze voor laptop of desktop. Lettend op de kosten, wordt een laptop gezien als een privilege ; speciale verdiensten en/of omstandigheden spelen daarbij rol ; de leerstoelhouder beslist.

Voor staf en studenten wordt een afschrijftijd gehanteerd van vier jaar. Op plekken waar een machine slechts incidenteel of beperkt gebruikt wordt (collegezalen, overlegruimtes) staat oudere apparatuur. Apparatuur die uit productie genomen wordt, gaat naar

• studenten -- zeer oud spul
• bevriende instellingen -- specialistisch spul zoals Suns
• basisscholen in Utrecht -- oud spul
• FBU afvalbeheer -- de rest

Apparatuur voor staf wordt passief vervangen, dwz, als men er om vraagt. Behoudens de Apple hoek, wordt er weinig apparatuur doorgeschoven van power users naar minder veeleisende gebruikers.

De aard en omvang van de onderwijs faciliteiten wordt vastgesteld door het onderwijsbestuur.

Onderstaand is een overzicht van de machines jonger dan vier jaar. De telling valt wat laag uit omdat juist in de zomer vervangen en afgevoerd wordt. Vier jaar geleden is vroeg in de zomer enorm uitgebreid.

location	rooms	clients				vlans
		types	count	no price	price [k€]	multiple	79	80	82	83	84
BBL	29	11	139	0	1.8		2	8	129
CGN	114	43	190	0	2.1	2	5	148	28	1	6
total	143	50	329	0	2.0	2	7	156	157	1	6

printers

Voor de staf is er voor iedere 30 gebruikers een kleuren- (sheets-) en een zwart/wit-printer. Ieder staflid kan elke printer gebruiken, dus er is voldoende redundancy.

Voor algemeen gebruik kopen we uitsluitend betrouwbare netwerk laser printers die zo min mogelijk verschillende soorten consumables (toners etc) gebruiken. We gaan er van uit dat de waardering voor de groep, sterk bepaald wordt door de bedrijfszekerheid van de printer faciliteiten.

software

GCS beheert alle software licenties. Aanschaf gaat in toenemende mate met de onontbeerlijke credit card.

Het onderwijsbestuur beslist over aanschaf van software tbv het onderwijs. Het is zeer wenselijk dat aangeschafte software mag draaien op alle onderwijscomputers van het betreffende platform en dat studenten de software mogen draaien op computers thuis. Docenten dienen verzoeken in bij het onderwijsbestuur ; GCS adviseert over inpasbaarheid. Grosso modo wordt weinig gebruik gemaakt van software waarvoor betaald moet worden.

Tbv onderzoek krijgen medewerkers de software die ze nodig hebben ; bij kleine bedragen (een paar honderd euro) akkordeerd de leerstoelhouder ; bij grotere bedragen beslist het onderzoeksbestuur tenzij eea aangeschaft wordt in het kader van (eerder goedgekeurd) onderzoeksproject.

Windows

Het Departement Informatica is geabonneerd op Microsoft's MSDN Academic Alliance Program ($800 initieel, $400 jaarlijks). Alle Microsoft producten (behalve Office) mogen onbeperkt gebruikt worden tbv onderwijs en onderzoek, ook thuis door staf en studenten die actief een vak volgen.

Linux

Het Departement maakt veel gebruik van open source software. Voor Linux gebruiken we de CentOs distributie.

Solaris

Solaris wordt gebruikt op een aantal Sun servers ; Sun Solaris desktops worden uitgefaseerd en veelal vervangen door Linux desktops.

MacOs

Er is een actieve groep MacOs gebruikers, grotendeels geconcentreerd binnen een leerstoel groep. MacOs licenties zullen waarschijnlijk via Faculteit Wijsbegeerte gaan lopen.

beheren

productie

basis omgeving desktops

Windows

De medewerkers en de studenten hebben ieder hun eigen Windows2000 domain (AD). In de AD slaan we de usernaam, password, profile path, en homedrive op. We maken gebruik van simpele group policies, waarbij we voor de studenten vooral wat rechten beperken, en bij de medewerkers alleen de grootte van de roaming profiles enigzins beperken. Updates in de AD's worden niet meer rechtstreeks via GUI's gedaan, maar via (perl)scripts vanaf de centrale beheersmachine. Dit geldt voor het aanmaken van nieuwe account, het wijzigen van het password en het verwijderen van accounts.

Software installatie gebeurt bij de studenten door het verspreiden van Ghost images. De installatieprocedure is geautomatiseerd met PXEboot, bpbatch en wat eigen scripts. Na het starten van de procedure gaat het helemaal automatisch, zonder verdere menselijke handelingen. De machines worden gemiddeld eens per drie weken van een nieuw image voorzien. De medewerkers krijgen eenmalig een vrij simpel image. Ze moeten zelf de software installeren die ze verder voor hun onderzoek en/of onderwijs nodig hebben. De meeste medewerkers hebben toegang tot een administrator account op hun eigen machine om probleemloos software te kunnen installeren.

Een aantal software pakketten is op een softwareserver geinstalleerd. Dat maakt centrale updates simpeler. Maar voor de meeste pakketten is een centrale installatie lastiger en die worden gewoon op elke machine geinstalleerd. We hebben geen policy dat we voor de medewerkers nieuwe versies van programma's afdwingen.

Op alle machines staat WindowsUpdate aan en draait een virusscanner met automatische updates.

De studenten krijgen bij het inloggen via een loginscript een aantal netwerkdrives (homedirectory, homepage, softwareserver, etc) gemapped. Door de vaste mapping zijn de aangeboden services beter zichtbaar en beter bereikbaar. De medewerkers krijgen alleen de homedirectory automatisch gemapped, de rest mogen ze zelf doen.

Solaris

Op de Solaris clients is er een stricte scheiding tussen systeem en gebruiker. Het systeem wordt dmv een jumpstart automatisch geinstalleerd. Al het spul van gebruikers en additionele software komt van file servers.

Linux

Tbv studenten wordt dmv ghost een standaard image geïnstalleerd. De staf machines werden tot voor kort door de gebruikers zelf beheerd. Met de geleidelijke vervanging van Solaris machines door Linux machines, wordt gewerkt aan een beheersmodel waarbij de gebruiker passief is (als in het Solaris model). Centraal beheerde machines (staf en studenten) worden dagelijks voorzien van software updates.

MacOs

De MacOs gebruikers zijn op zichzelf en elkaar aangewezen. Er is een dedicated server voor backup, software distributie etc.

services

authentication

Iedere gebruiker heeft twee passwords (Windowns, Unix). Unificatie zou wenselijk zijn maar een bevredigende oplossing is nog niet gevonden. Het gebruiken van twee simple systemen lijkt flexibeler en krachtiger dan een enkel complexer systeem dat lijdt aan vendor lock in.

Unix authenticatie maakt gebruik van een OpenLDAP user database en wordt gebruikt voor Linux/Solaris login en authentication van bijvoorbeeld mail en web applicaties. Authenticated SMTP is in de maak.

Studenten krijgen een login/passwd nadat ze een gebruikers-verklaring getekend hebben. De verklaring (in nederlands en engels) geeft en aan wat het bedoeld gebruik is van het account, en bevat een opsomming van een aantal wettelijke en praktische ge- en verboden. Het is een aantal malen practisch gebleken om zich misdragende studenten te confronteren met de getekende verklaring. Er zijn eigenlijk zelden problemen ; vroeger vooral security incidents, recent meestal netwerk p2p misbruik. Het is onduidelijk of het laten tekenen van een verklaring een preventieve werking heeft.

files

Elke client heeft toegang tot een aantal file trees in verschillende security domains:

• home directories - de staf ziet alle staf home directories (mutatis mutandis voor studenten) ;
  staf en studenten zijn strict gescheiden
• projects - een file tree waar staf en studenten read/write toegang hebben
• software - een file tree waar staf en studenten readonly toegang hebben
• web space - de staf ziet de hele staf web file tree (mutatis mutandis voor studenten) ;
  staf en studenten zijn strict gescheiden
• temp - een file tree voor staf en studenten ; geen quota restricties, automatische cleanup ; bedoeld voor transport tussen machines en netwerken

File backup wordt gedaan op een 4 TB backup server ; er zijn 15 snapshots, veel recente, en een paar oudere ; wekelijks worden offsite, offline backups gemaakt op removable disks.

mail

Er zijn aparte mailservers voor staf en student. De setup is nagenoeg identiek. Karakteristieken: postfix smtp, secure imap, maildrop local delivery, spamassassin spam filtering, clamav virus checking, vacation auto reply, mailman mailing lists ; spam wordt desgewenst gefilterd naar een aparte mailbox en na 6 weken automatisch opgeruimd ; virussen gaan in quarantaine en worden na een week opgeruimd ; uitgebreide logging wordt een jaar bewaard ; dagelijkse mailstats zijn beschikbaar.

De fysieke mailboxen zijn op een paar Linux computeservers via het file systeem read only beschikbaar voor gebruikers.

Voor medewerkers is er geen file quotum ; voor studenten geldt een quotum van 150 MB. De top-20 staf gebruikers worden twee-wekelijks per mail geïnformeerd ; studenten die over quotum zijn, of dreigen te raken, worden wekelijks geïnformeerd.

web

De webserver bedient staf en studenten uit gescheiden file trees. Karakteristieken: apache httpd, php met postgres database access, graphics, ldap etc, basic authentication ; secure https tbv authenticated applications. De server bedient vele domains voor ICS, relatives and friends. Er zijn uitgebreide statistics.

Verschillende delen van de website zijn alleen intern (of alleen voor staf) zichtbaar. Het onderscheid wordt gemaakt op grond van client IP. Intranet pages zijn extern zichtbaar gemaakt dmv een Squid web proxy server, die simpel aan te spreken is dmv ssh tunnels.

print

A messy subject ; we zijn in transitie van LPRng naar CUPS.

Voor studenten is printen niet gratis. Er is een quotum systeem. Studenten krijgen per jaar een basis print-quotum van 250 bladzijdes. Ze kunnen niet printen als hun quotum negatief is. Quotum is te koop bij de studentenbalie voor 5 eurocent per bladzijde. De prijs wordt bepaald door de drukkosten (per bladzijde) van college-dictaten: De prijs van een geprint dictaat moet hoger zijn dan een gedrukt exemplaar.

database

Voor staf en studenten hebben we twee postgres database servers. Voor staf tbv organisatie en onderzoek mede tbv web applicaties ; voor studenten voornamelijk tbv het studie onderdeel software project.

cross platform computing

Linux/Unix gebruikers hebben toegang tot MS applicaties dmv een citrix server. Deze wordt ook gebruikt voor standaard UU applicaties zoals metis, zier etc. Het voorkomt dat deze applicaties geïnstalleerd moeten worden op PC's van de diverse gebruikers. Het succes is wisselend omdat draaien op een citrix server helaas voor standaard UU applicaties nog niet algemeen vereist is.

Voor Windows gebruikers zijn er verschillende Linux en Solaris servers, algemeen toegankelijk dmv ssh. Er is een Exceed licentie zodat ook X-applicaties op Windows machine gedraaid kunnen worden. Deze machines kunnen ook remote worden gebruikt.

VPN

We maken gebruik van UU VPN server ; het regelt (ook) toegang tot Internet voor de inprik plekken en het wireless lan.

usenet

We hebben een Usenet service met een zeer beperkte set newsgroups (big 8, nl, ruuinf). Het wordt voornamelijk gebruikt voor interne communicatie en specialistische interesse. Het draait op obsolete hardware en vergt zeer weinig beheersinspanning.

version control system

We hebben een subversion (svn) server die gebruikt wordt voor allerlei doelen, vooral software ontwikkeling met remote partners.

problemen

Voor het afhandelen van problemen wordt de (gratis) RT request tracker gebruikt. Mail naar helpdesk@cs.uu.nl beland in het systeem. Afhandeling gaat dmv een web applicatie (voor de helpdesk) en mail van/naar gebruikers. Voor ict@science.uu.nl is het systeem inmiddels ingevoerd.

verandering

Er is geen formeel systeem in gebruik voor change management. Wel is er een blauwdruk voor het documenteren van projecten (doel, aanleiding, alternatieven, keuze, planning, voortgang, evaluatie).

asset management

Voor het beheer van de materiële zaken, hebben we een geïntegreerde database csbase met onder andere de volgende entiteiten en relaties:

De rode entiteiten zijn UU data systemen ; data in die systemen wordt geschreven vanuit csbase (zoals UU ldap), of alleen vergeleken (UU netwerk adm, phone adm) of gewoon gebruikt (metis).

Tbv van asset management zijn voor deze entiteiten belangrijk: host, nic (network interface), vlan, vap, ip en room. Verder wordt bijgehouden welke services (anders dan desktop) een machine levert.

Met een flinke php library met primitiva voor database selecties en presentatie, is het vrij eenvoudig om www pages met allerlei overzichten en consistency checks te genereren. Verder wordt de database gebruikt om bijvoorbeeld DNS en DHCP tabellen te genereren.

beschermen

security

preventie

detectie

reactie

coninuïteit

planning

capaciteit planning

technologie planning