Uppdatering av KTH:s datorarbetsplats

IT-avdelningen håller som bäst på att uppdatera vår största datorarbetsplats, WIKS, till den senaste versionen av Windows. I denna uppdatering ingår även mer grundläggande förändringar i hur datorarbetsplatsen är uppbyggd och fungerar i relation till kringliggande system. I ett par inlägg tänker jag utveckla bakomliggande resonemang som inte är begränsade till just WIKS utan i mångt och mycket även gäller våra Linux- och Mac OS X-system. Syftet är att vara transparent med vart vi är på väg och öppna för diskussion.

Först ut är en återpublicering av ett dokument som har funnits internt på IT-avdelningen sedan i våras och fokuserar på hur data kommer att hanteras i datorarbetsplatsen framöver. I ett senare inlägg tänker jag utveckla grundläggande värderingar för, och vilken riktning jag tror att datorarbetsplatserna kommer att röra sig framgent mer allmänt, men vill ha denna text publicerad för att alla, såväl inom som utanför IT-avdelningen, ska ha tillgång till samma bakgrund.

TL;DR, men se det som en ursäkt att sitta ner med en glögg i soffan en stund och slippa ge sig ut i mellandagsrean när själva julafton passerat.


Om lagring av data i datorarbetsplatsen

Med bakgrund av teknikutvecklingen och behov av förändring i datorarbetsplatsen har vi diskuterat hur man ska se på den och dess förhållande till datalagring av olika slag.

Bakgrund

ITA har ursprungligen förvaltat en datorplats baserad på Windows. Den utvecklades till nuvarande WIKS med inblandning av andra utanför UF och en högre grad av flexibilitet infördes. Miljön är dock fortfarande fokuserad på stationära datorer i en kontrollerad miljö, såsom datorsalar och traditionell hårt kontrollerad miljö för administrativ personal.

Även om koncept som delad admin införts för att göra miljön användbar för en vidare krets är fortfarande basdesignen den ovanstående, med roaming profiles, enträgna försök att driva data till nätverksmonterade enheter som H: m.fl. Förutom prestandaproblem orsakade av att stora mängder data flyttas vid uppstart och inloggning fungerar detta dåligt i en kraftigt mobil miljö med bärbara datorer och där man vill komma åt samma information från en mängd olika enheter, datorer, mobiltelefoner, surfplattor osv.

Exekutiv summering

  • Skilj på delade datorer som datorsalsdatorer och enskilda datorer, framför allt mobila. Återanvänd gemensamma lösningar där det är lämpligt, men tvinga inte fram dem.
  • Håll det så enkelt som möjligt.
  • Se enskilda datorer som mobila enheter – spara data och inställningar lokalt, lokala profiler. Betrakta enheten som en konsument av tjänster i förhållande till övriga system, inte som en integrerad del av hela systemet.
  • Kryptera lokal hårddisk.
  • Använd Box för filsynkronisering och säkerhetskopiering av dokument och filer.
  • Använd ett system för säkerhetskopiering, där Box inte fyller hela behovet.

Värderingar

Vara ett stöd för användaren

Traditionellt har systemadministratörer en tendens att fokusera på att hindra användare från att göra fel, oftast med goda avsikter. Det leder dock till inflexibla system med fokus på spärrar och hinder där funktioner som användare behöver för att hantera den situation de befinner sig i är avstängda för att systemadministratören inte förutsåg eller värderade behovet på samma sätt som användaren. Inse att vi inte kan förutse alla behov alla användare har, även användare som inte är avancerade, i synnerhet i en mobil miljö. Hjälp användaren att göra rätt och se till att standardinställningar är rätt. Undvik att låsa funktioner för att förhindra användare att göra fel. Hjälp användare som tappat bort sig att komma tillbaka till standardinställningar.

Hjälp användaren att göra rätt, övervaka för att kunna följa upp när de gör fel, men hindra dem inte.

Systemadministratörer har traditionellt gärna självsvåldigt roffat åt sig av användarens resurser som CPU, tid och uppmärksamhet för att göra saker med enheten som är väsentliga för systemadministratören, men inte alltid för användaren. I alla fall inte just då. Minns att det är användarens dator, ofta inköpt med användarens forskningsmedel, för att fylla användarens behov, dina kommer i andra hand. Ingen säkerhetspatch är viktigare än att användaren just då kan genomföra sin presentation.

Det är användarens dator.

Tillgång till nätverk

Användare har ofta nät, ganska ofta har de till och med bra nät. Men de har i en mobil miljö också ofta dåligt nät eller inget nät alls. Det handlar t.ex om resor, mellanlandningsplatser och stationer på resor, hotellrum, restauranger, konferenslokaler och andra publika platser osv. Men även arbete bakom brandväggar på andra arbetsplatser och forskningsmiljöer. Vi kommer inte åt detta med olika former av VPN-lösningar. Datorarbetsplatsen får inte bygga på att användaren alltid eller ens oftast har tillgång till nätverk, i synnerhet inte bra sådant.

Till exempel måste användaren närsomhelst kunna starta om sin enhet vid problem och få tillbaka den till användbart skick så fort det alls är möjligt. Det är lätt att förutse den frustration en användare i en föreläsnings- eller presentationssituation upplever om den vid ett sådant tillfälle dessutom behöver vänta på olika timeouter, hantera felmeddelanden osv.

Datorarbetsplatsen kan inte bygga på att användaren alltid eller ens oftast har tillgång till nätverk, i synnerhet inte bra sådant.

Det betyder också t.ex att autentisering och auktorisation behöver ske mot centraliserade tjänster i den mån det går, men enheten behöver ha tillräckligt med information för att kunna hantera det själv när det inte finns tillgång till nät, även efter omstarter, och den behöver kunna detektera den situationen så snabbt som möjligt i så många situationer som möjligt. Enheten behöver sedan kunna hantera att den senare blir ansluten till nät på ett sätt som fungerar så bra för användaren som möjligt och vid behov hjälpa användaren att skaffa erforderliga tokens för tjänster (t.ex Kerberos-biljetter).

Transparens

Användaren måste kunna begripa hur datorarbetsplatsen fungerar, åtminstone beträffande de delar som direkt berör dess arbete, vilket framför allt handlar om den information som hanteras på enheten, dokument, mm. Tjänstemän på myndigheten KTH har ett stort eget ansvar för att hantera information korrekt enligt rådande regelverk. Det är den enskilda tjänstemannens ansvar, inte IT-avdelningens. Det måste gå att förstå vad som händer och var data hamnar för en användare med måttliga IT-kunskaper. Därför behöver det vara rimligt enkelt. Att kopiera data hit och dit under fötterna på användaren är inte transparent eller lätt att förstå.

Det måste gå att förstå vad som händer och i synnerhet var data hamnar för en användare med måttliga IT-kunskaper.

Bli inte förförd av tekniskt komplicerade lösningar. Håll det så enkelt som möjligt, men inte enklare.

Dog fooding

Vi måste komma till en nivå där datorarbetsplatsen är användbar för IT-avdelningen själv. Förbättringar kommer av feedback från användare. De användare som är överlägset närmast kommunikationsmässigt och dessutom är avancerade användare med goda kunskaper sitter på den egna avdelningen, en del kan till och med själva åtgärda den upplevda bristen direkt själv. Om vi väljer bort den datorarbetsplats vi levererar är det svårt att övertyga andra, i synnerhet avancerade användare, att de inte ska göra det. Väljer vi själva bort datorarbetsplatsen kommer andra också att göra det – ofta av samma skäl. Det eroderar grunden som IT-avdelningens verksamhet står på. Vi måste komma dit att miljön fungerar på ett sådant sätt att vi faktiskt vill använda den själv.

Väljer vi själva bort datorarbetsplatsen kommer andra också att göra det – ofta av samma skäl.

Datorsalar och delade datorer

Delade datorer i datorsalar och i andra sammanhang och bärbara datorer skiljer sig fundamentalt i hur de används och behöver olika lösningar. Det som går att återanvända mellan de olika miljöerna ska återanvändas, men det får inte ske på bekostnad av användbarhet för slutanvändaren. För att uppnå en väl fungerande datorarbetsplats behöver vi i högre grad än tidigare skilja lösningarna åt.

I datorsalar kan datorerna förutsättas vara mer lika varandra och det är mer rimligt att inställningar mm följer med användaren mellan dem i den mån det är genomförbart. Även här behöver in- och utloggning ske så snabbt som möjligt och dataöverföringen vid inloggning begränsas. Det är mer rimligt att spara data på nätverksenheter för att transparent komma åt informationen från olika datorer. Vi vet hur många klienter som finns och kan dimensionera bakomliggande system därefter. Dock behöver informationen vara tillgänglig från andra, även privata, enheter och de tjänster som används för att dela information i datorarbetsplatsen vara tillgängliga.

Tillämpning

Lokal disk, lokala inställningar

För att skapa en transparent miljö som fungerar utan tillgång till nätverk behöver enheten vara self contained, autonom, i hög grad. Användaren behöver ha tillgång till den information den behöver på den lokala enheten. När användaren sparar inställningar och data sparas dessa på den lokala enheten.

Det introducerar risk för förlust av information och att information hamnar i orätta händer om enheten förstörs eller går förlorad som behöver hanteras. Därför behöver den lokala lagringen säkerhetskopieras för att skydda mot förlust och krypteras för att skydda mot spridning. Säkerhetskopiering kan ske via filsynkroniseringstjänster och backup-system.

Filsynkronisering och delning – Box

Den tjänst vi använder för filsynkronisering mellan enheter och för att dela filer mellan användare är Box upphandlad via Sunet. Vi har avtal och funktioner i Box för att kunna spara all information dsom inte omfattas av sekretess där. För sekretessbelagd information behöver särskild bedömning göras och särskilda åtgärder vidtas vilket inte på något sätt är unikt för Box utan gäller alla system, även interna, av IT-avdelningen tillhandahållna. För att stödja användningen av box behöver vi:

  1. se till att lämplig klientprogramvara finnas tillgänglig i datorarbetsplatsen i den mån det går.
  2. verka för att vidga användningen och ge studenter tillgång till Box.
  3. undersöka möjligheter för att integrera Box bättre i KTH:s IT-miljö, t.ex provisionering av grupper från UG och integration med andra system och enheter.
  4. långsiktigt verka för en fungerande synkronisering i datorarbetsplatsen för Linux.
  5. undersöka hur vi hanterar Box bäst i datorsalar.

Box har bristen att det inte finns en bra klient att tillgå på Linux. Vi är medvetna om det men kan inte göra så mycket åt det. Det finns nödlösningar för att synkronisera över WebDAV. Det finns API:er som kan användas för att skriva en riktig synkroniseringstjänst för Linux, men inga kända initiativ för att göra det.

Säkerhetskopiering

Säkerhetskopiering av enheter behöver prioriteras och nödvändiga ändringar eller investeringar göras för att möta de behov som finns. Den nuvarande lösningen för att hantera säkerhetskopiering av bärbara datorer är Retrospect.

Säkerhetskopiering i en miljö där nätverk inte går att lita på är alltid best effort, men vi måste veta hur läget är.

Särskilda ansträngningar:

  1. Ha övervakning av säkerhetskopieringen så att vi vet vilka enheter som inte har säkerhetskopieras.
  2. Ha ett inventarium så att vi vet vem som använder vilken enhet, för att kunna:
  3. Ta ansvar för att informera användare vars information är utsatt för förhöjd risk pga utebliven säkerhetskopiering.

Andra tjänster

Det finns många andra tjänster som används för att dela information mellan enheter. Exempel på sådana är E-post och kalender (Exchange), Github Enterprise, Confluence, Social, Canvas. Uppseglade är Office 365, Skype for business, videokonferenser och andra lösningar för att underlätta distansarbete. Datorarbetsplatsen har ett ansvar för att integrera så väl med dessa som möjligt. Det kan handla om att sätta upp och konfigurera programvara, att autentisering fungerar på ett bra sätt mot tjänsten osv.

Särskilda ansträngningar:

  1. Se över webbautentisering på KTH.
    1. Stödja SPNEGO där det är relevant i tjänster (login.kth.se) och programvara i datorarbetsplatsen.
    2. Ta fram nya alternativ som Oauth2/OpenID Connect.
    3. Åter undersöka hur läget är för tvåfaktorautentisering för vissa tjänster.
  2. Särskilt göra en ansträngning på e-postklienter för Linux visavi Exchange (t.ex Evolution).
  3. På sikt se över hur vi använder KTH.SE och UG.KTH.SE-realmerna och vilka förändringar som behöver göras där för att det ska bli så bra för användaren som möjligt.

Traditionella filservrar

Lagring på filservrar kommer även fortsättningsvis att spela en roll, framför allt för datorsalar, befintliga data och processer samt för särskilda behov (projektareor). I första hand hänvisas dock till Box och andra dedicerade tjänster som GitHub. Anta inte att man har tillgång till filservrar. Var t.ex försiktig med automatisk anslutning till filservrar i login-skript om det kan påverkar inloggningen när inte nätverket finns där eller är bristfälligt.

Använd i första hand samma filservrar som Windows-miljön i andra miljöer. Andra lösningar när det konstaterats inte fungera.

Särskilda ansträngningar:

  1. Bi-directional trust KTH.SE – UG.KTH.SE.
Profilbild
Jag arbetar som chef över IT-arkitekturgruppen på IT-avdelningen på KTH.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *