Forudsætningsnotat for implementering af it-systemer og services i Metropol (teknisk del)



Relaterede dokumenter
APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

Bilag 10 Nuværende IT-installation

EasyIQ ConnectAnywhere Release note

EasyIQ ConnectAnywhere Release note

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

EasyIQ Opdatering > 5.4.0

LUDUS Web Installations- og konfigurationsvejledning

Mindstekrav til udstyr (fase 1) Løsningsbeskrivelse

Underbilag 2.24 Kommunernes it-miljø

Erfaringer med Information Management. Charlottehaven Jens Nørgaard, NNIT A/S

Beskrivelse af UCL s IT-miljø for LMS Bilag 7A til Contract regarding procurement of LMS. INDHOLD

Underbilag 2.24 Kommunernes it-miljø Kommunernes Ydelsessystem

Service Level Agreement (SLA)

Produktspecifikationer Hosted Firewall Version 2.5

LUDUS Web Installations- og konfigurationsvejledning

Projektopgave Operativsystemer I

KRAV TIL INFRASTRUKTUR

TEKNISK IT-MILJØ AARHUS KOMMUNE

Tjekliste. Til brug ved anskaffelse af nye systemer og/eller programmer

Løsningerne skalerer fra små afdelingskontorer til store netværk. Du kan se en liste over referencekunder her på Merakis hjemmeside.

ISA Server 2006 Del 5. Jesper Hanno Hansen

LUDUS Web Installations- og konfigurationsvejledning

Single sign-on cases. SolutionsDay Morten Strunge Nielsen Globeteam Virumgårdsvej 17A 2830 Virum

Produktspecifikationer Private Cloud Version 2.5

Projektoplæg - AMU kursus Netteknik - Server - Videregående

Alex Ø. T. Hansen UDDANNELSE PERSONLIGHED ERFARING TEKNOLOGIER. IT-Konsulent. System Administrator

Brian Ladefoged Albert Dams Vej 4, 8660 Skanderborg Tlf.:

AVANCERET MULTI-FAKTOR SIKKERHED VIA BRUGERENS MOBILTELEFON

CV: På de efterfølgende sider er mit karriereforløb beskrevet.

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web...

UC Partnerprofil. NetDesign A/S Gammelgårdsvej Farum. Profil

Windows system administration 1

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

Konfigurationsguide. Krav til hardware og software for SonWin og SonWins moduler. Side 1 af 17

Bilag 1 Arkitektur- og Infrastruktur beskrivelse (v1.2)

Kravspecification IdP løsning

Salg af servere. Torben Vig Nelausen Produktchef Windows Server Familien

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Projekt: VAX Integrator

Regeringen, KL og Danske Regioner indgik i 2011 Den Fællesoffentlige Digitaliseringsstrategi : DEN DIGITALE VEJ TIL FREMTIDENS VELFÆRD.

Integrationsvejledning til Management Reporter til Microsoft Dynamics GP

Produktspecifikationer Private Cloud Version 2.7

Tilbudsmateriale: Udvidelse af eksisterende serverplatform.

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)... 2

Netværksdesign I. Rasmus Elmholt Netværksdesign I Side 1 af 6 RaEl@mercantec.dk

NOTAT. ITafdelingen. IT og sikkerhedsmæssige udbudskrav ved indkøb af fagsystemer

Indhold Indledning Ansvar ifm. MODST SSO I drift på MODST SSO Institutionen skal have egen føderationsserver (IdP)...

Produktspecifikationer Private Cloud Version 2.6

FairSSL Fair priser fair support

NemTid. Produktbeskrivelse

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

BILAG 2. Notat. Vedrørende: Forslag til prioritering af it-investeringer på folkeskoleområdet. Skoleafdelingen og it-afdelingen.

EU-udbud af WAN infrastruktur

Network Services Location Manager. Håndbog for netværksadministratorer

10. Rapporter i BBR... 2

Tilbudsmateriale: Ny Storage løsning. 1. Introduktion. 2. Løsningsoverblik. 2. januar 2012

Basal TCP/IP fejlfinding

Agenda. Kort om Professionshøjskolen Metropol Metropols sourcingovervejelser Mulige scenarier fordele og ulemper Afrunding og spørgsmål

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

Network Requirements - checklist SALTO proaccess space software SPACE ProAccess 3.0

BILAG 2 KUNDENS IT-MILJØ

FairSSL Fair priser fair support

beskrivelse af netværket på NOVI

Indholdsfortegnelse. Systembeskrivelse Rapporter

Tilbud på etablering af netværk på Ørsted skolen

FairSSL Fair priser fair support

Cisco ASA Vejledning. Opsætning af DMZ-zone

Filr: Næste generation af Fildeling. Flemming Steensgaard

Copyright 2010 Netcompany A/S. Alle rettigheder forbeholdes.

Svendeprøveprojekt: GREEN CLASS

Bilag 2 Kundens it-miljø

Router U270 funktionsbeskrivelse

Going for Global Growth with Microsoft. Morten Waltorp Knudsen & Flemming Blåbjerg

Application Note: AN-Z05

ALM / QualityCenter 11 Opgradering

It-provenu 2017 og 2018: Plan for prioritering af it-investeringer på folkeskoleområdet

Opsætning af klient til Hosted CRM

Netværksmålinger. - en introduktion! Netteknik. TCP - IP - Ethernet

Projekt: VAX NemHandel 4.0

Citrix AppDNA 6.1 SP1. 8. november 2012 Flemming Hjorth Andersen, infrastructure specialist

Bilag 2C ATP PC-arbejdsplads

Google Cloud Print vejledning

FairSSL Fair priser fair support

Uddannelse: Født: 1973

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Besvarelse af spørgsmål

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

FairSSL Fair priser fair support

Robtech Esbjerg Erhvervskonsulent Udekørende konsulent til firmaets erhvervskunder, samt generel software/hardware konfigurering

Hosted løsning Hosted produkter Dedikeret server hosting Virtuel server hosting Shared Office hosting... 7

Mobile løsninger til salg, service og flådestyring. Jens Davidsen CEO WPA Mobile ApS.

Dan Rolsted PIT. Side 1

Navision Stat (NS 9.2)

Sikkerhed i trådløst netværk

NemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse

Transkript:

Dato 15. december 2011 Initialer NIHO It Koncernadministration Tagensvej 18 2200 København N Tlf. nr. 72 48 75 00 info@phmetropol.dk www.phmetropol.dk CVR. 3089 1732 Forudsætningsnotat for implementering af it-systemer og services i Metropol (teknisk del) Formålet med dette notat er at sikre de bedst mulige forudsætninger for leverandører af it-systemer og services til Metropol. Notatet er således vigtigt at medtage for projektledelse og systemejer allerede i idéfasen af projekter og større opgaver, som involverer it-implementeringer. Det tekniske notat understøttes af forudsætningsnotat for it-implementeringers organisatoriske og praktiske forhold. 1.0 Kort om Metropols infrastruktur Metropols infrastruktur er baseret på Microsoftprodukter; primært Windows Server 2012, men også i vist omfang Windwos Server 2008/R2 og et mindre antal legacy OS servere. Vi har et centralt datacenter placeret på Nørrebro i København. Metropol har en 1Gb fiberring (TDC sort fiber). Internetforbindelsen er 100 Mb og fremført redundant til lokationer på hhv. Nørrebro og Frederiksberg i København. Serverhardware er primært HP. Core og LAN switche er ligesom AP (WCS-styret) bestykket med Cisco komponenter. 2.0 Bring Your Own Device (BYOD) Metropol har en strategi, som sigter på anvendelsen af webservices og portaler på alle brugervendte services samt i nødvendigt omfang anvendelse af vores nuværende Citrix-farm til levering af legacy og/eller vanskeligt integrerbare services. Det er således vigtigt at medtage overvejelser om web eller Citrixunderstøttelse af Mac OSX, Android, ios samt øvrige betydende klientoperativsystemer. 1

3.0 Sikkerhed og begrænsninger 3.1 Sikkerhedszoner Metropols infrastruktur er segmenteret i ADM, UNV og Shared samt DMZ Betegnelse ADM Shared UNV Root Guest DMZ Beskrivelse Her findes infrastruktur, der anvendes til administration Her findes infrastruktur, der deles mellem studerende og ansatte Her findes infrastruktur, der anvendes til undervisning Her findes centrale systemressourcer Her placeres ikke domain joined enheder (BYOD) Her placeres ressourcer, der tilgås fra internettet uden krav om validering 2

4.0 ISA / flere arrays 4.1 Begrænsninger. Nedenstående beskriver begrænsninger og tilladelser for IP-trafik, der er initieret fra en specifik zone og mod en specifik zone med tilhørende returtrafik, men disse skal ikke ses som tovejs tilladelser. Fx betyder en åbning fra ADM mod UNV ikke at der implicit også er en tilsvarende åbning fra UNV mod ADM. Denne definition går på klientpc ens placering, ikke brugerens placering. Brugerens placering og rettigheder bruges til at opnå en eventuel tilladt IP-adgang. Fx fra internettet mod UNV-zonen : Adgang tilladt, men kun for en bruger der kan valideres med one-factor authentication på ISA. 4.2 UNV Adgang fra internet: Kun valideret på ISA med one factor authentication Adgang fra følgende interne zoner o UNV Implicit, men kun for UNV domain joined computere o Guest (valideret på ISA) Https ressourcer vil være tilgængelige efter hotspot-validering Alle øvrige ressourcetyper vil kunne tillades efter hotspot-validering, hvis det kan påvises at der er en fornuftig protocol encryption, da der ikke vil være network layer encryption. o ADM Reguleret adgang efter behov, og kun for ADM domain joined computere o DMZ Meget begrænset og kun med separat godkendelse o Shared Begrænset, men muligt 4.3 ADM Adgang fra internet: Kun valideret på ISA med two factor authentication Adgang fra følgende interne zoner o UNV Ingen adgang o Guest (valideret på ISA) Ingen adgang hotspot-validering Https-ressourcer vil være tilgængelige via TMG publishing og two-factor authentication Øvrige ressourcer vil være tilgængelige via Citrix og two-factor (begrænset til ca. 75 administrative brugere i nuværende farm) o ADM Implicit, men kun for ADM domin joined computere o DMZ Meget begrænset og kun med separat godkendelse 3

4.4 Shared Adgang fra internet : Kun valideret på ISA med one factor authentication Adgang fra følgende interne zoner o UNV o Guest (valideret på ISA) Https-ressourcer vil være tilgængelige efter hotspot-validering Alle øvrige ressourcetyper vil kunne tillades efter hotspot-validering, hvis det kan påvises at der er en fornuftig protocol encryption, da der ikke vil være network layer encryption. o ADM o DMZ Meget begrænset og kun med separat godkendelse o Shared Implicit 4.5 DMZ Adgang fra internet : Adgang tillades fra ikke-validerede brugere Adgang fra følgende interne zoner o UNV o Guest (valideret på ISA) Tilladt efter hotspot-validering o ADM o DMZ Implicit o Shared 5.0 DMZ Metropol placerer alle servere og services i DMZ, hvis de skal tilgås fra internet eller guest zonen og ikke understøtter korrekt prevalidering på ISA. 6.0 One and Two factor Authentication Der anvendes Forms Based Authentication på ISA til at prevalidere brugere. Denne sendes efter succesful validering på ISA videre til den interne webservice, som enten basic eller intergrated authentication. Derfor skal alle webservices, der skal placeres på ADM, UNV eller shared og som skal tilgås fra internet eller guest zonen, understøtte en af disse to typer validering. En formsbased validering på selve webservicen er IKKE understøttet. Til two factor authentication anvendes en 3. parts løsning (SMS Passcode) sammen med ISAs Forms Based Authentication. 4

7.0 Dataadgang Ved dataadgang skelnes der mellem data indenfor sammen zone og data fra en anden zone. 7.1 Fildata Adgang til fildata er i udgangspunktet tilgængelig for services indenfor samme zone, hvis de korrekte rettigheder haves. Hvis en service ønsker fildata-adgang med henblik på at videreformidle disse data udenfor zonen (fx en webservice, der giver adgang til et fildataindex og metadata), skal der laves en konkret risikovurdering, inden en sådanne tillades. Hvis der ønskes adgang til fildata fra andre zoner, skal der laves en risikovurdering, før dette vil være muligt. 7.2 Databaser Databaseadgang er ligeledes i udgangspunktet tilgængelig indenfor samme zone, hvis de korrekte rettigheder haves. Hvis en service ønsker adgang til en database med henblik på at stille databasens indhold til rådighed for brugere udenfor zonen, skal der laves en konkret risikovurdering, inden dette tillades. Hvis der ønskes adgang fra en service til en database i en anden zone, vil dette kun være muligt i visse situationer, og kun efter der er lavet en risikovurdering. Hvis den ønskede database er placeret på et SQL cluster, vil det ikke være muligt at tilgå denne via UDP fra en anden zone på grund af TCP/IP-begrænsninger i Windows Server Clustering. SQL clusteret består af to servere, som er installeret med SQL Server 2005 standard 64bit edition. I nær fremtid (senest med udgangen af Q2, 2012) vil Metropol kunne tilbyde adgang til SQL Server 2008 R2 cluster. For at sikre bedst mulig etablering af databaser er det vigtigt at potentielle leverandører redegør for hvilken database der er tale om, hvilke porte der anvendes og hvilke funktionaliteter som skal være installeret. Ligeledes skal der før implementeringstidspunktet være en oversigt over systembrugere samt eventuelle pre-reqeusites for databasen. 8.0 AD og validering 8.1 AD struktur Metropols Active Directory er opbygget af et root domæne og tre child domæner. 5

Domæne FQDN Domæne Netbios navn Type Indholder Campn.local campnroot Forest Root Placeholder/Parent for infrastrukturen Core Service: ISA, SCOM, SCCM mv. ADM.campn.local campnadm Forest Child Computere, der udelukkende anvendes af ansatte Administrative serverressourcer med undtagelse af SIS Ansattes brugerkonti og grupper Shared.campn.local campnshared Forest Child Fælles ressourcer, der skal kunne deles mellem ADM og UNV brugere UNV.campn.local campnunv Forest Child Computere, der anvendes af studerende og undervisere Undervisnings server ressourcer Studerendes brugerkonti og grupper 8.2 Authentication (Transport) Der understøttes flere typer validering mod Active Directory. Kerberos NTLM LDAP LDAPS 6

RADIUS Desuden er det muligt at anvende WayF validering services - se herunder. 8.3 Brugerstyring Bruger-, gruppe- og maildistributionslisteoprettelse, -vedligeholdelse og nedlæggelse håndteres automatisk ud fra SIS-databasen. Det er dog muligt at foretage manuelle oprettelser, men dette skal godkendes separat. 8.4 WayF WayF-infrastrukturen understøtter logon for båbe studerende og ansatte. Ved anvendelse af WayFauthentification anmodes/ansøges om tilslutning af tjeneste. Metropol driver en WayF-server, men Metropols it-afdeling kan ikke lave aftaler med WayF på vegne af specifikke tjenester og projekter. Dette gøres af systemejer og/eller projektejer og den givne leverandør. Læs mere om WayF på https://www.wayf.dk/ 8.5 Split zone DNS Der er i dag etableret en split DNS løsning for følgende domæner: Phmetropol.dk Phoe.dk (legacy, som ikke anvendes længere) En række tidligere domænenavne fra underliggende institutioner (primært mail alias anv.) Dette medfører, at en DNS registrering skal foretages både i DNS zoner på internettet og i interne DNS-servere, og det muliggør, at der internt i Metropol kan registreres interne ip-adresser på services, der driftes på interne servere. 9.0 Loadbalancing og netværk 9.1 Hardware loadbalacing (NLB eller device (TMG eller 3. part)) Hardware loadbalancing understøttes umiddelbart kun for services, når disse præsenteres mod internettet medmindre disse understøtter at blive installeret på et subnet (samme subnet som de servere, der fordeles ip-trafik mellem). 9.2 MS NLB og VMWare Microsoft NLB er supporteret i Metropol infratruktur, men på services, der hostes i Metropols VMWare Cluster er der kun support for Multicast NLB og Multicast NLB med IGMP. Metropol forventer at overgå til ESX 4.0 i løbet af første halvår 2012. 9.3 MB NLB og Cisco Med etablering af MS Multicast NLB eller Multicast NLB med IGMP skal der foretages en separat konfiguration af centrale Cisco-routere. Metropol skal derfor orienteres om NLB VIP adresser og tilhørende MAC adresser, inden en NLB service vil fungere. 7

9.4 SSL Offloading Alle https-baserede webservices skal kunne håndtere, at der anvendes SSL offloading på loadbalancer, således at SSL forbindelser termineres på loadbalacing devices og sendes til de reelle webservere som http-connections. Dette sker af hensyn til vcpu belastning på ESX og muligheden for http content og virus inspection på ISA. 10.0 Øvrige forhold 10.1 Citrix Metropol har en mindre farm med plads til 50 samtidige brugere. Vi har 75 Citrix brugerlicenser, som er fordelt på brugere med særligt behov. Opstår der behov for øget antal brugere på Metropols Citrixfarm skal overvejelser om hardware og licencer ligge som en del af projekteringen af de faciliteter, som fordrer behovet.. 10.2 Adgange til Metropols infrastruktur (remote) Der etableres en ip-valideret.rdp adgang med lokal administratoradgang til den eller de relevante servere eller en overvåget Teamviewer-adgang til relevant systemadministrators klientpc i Metropol for omfatttende administrativ adgang til miljøet. 10.3 AD attributter Metropol anvender et standard active directory. Komplet attributliste og flowdiagrammer til integration, brugerstyring og IdM-håndtering kan rekvireres ved kontakt til Metropols it-afdeling. 10.4 IdM (primært mod AD) I Metropol anvendes EIQ fra SystemTech til styring af AD og andre systemer. Metropol vedligeholder studieadministrative data samt persondata for for studerende og ansatte i Metropol i SIS. EIQ laver kort beskrevet en import til en lokal database fra SIS, hvori der via.xml håndteres vedligehold af blandt andet AD. Systemet indeholder også vedligehold af definerede gæstebrugere af Metropols it-faciliteter via EIQ s administrative webinterface. Kort om EasyIQ produktet og dets opbygning her: http://www.systemtech.dk/easyiq-idm/easyiq-om-easyiq/menu-id-95.html 10.5 Dokumentationer Detaljerede driftsplaner og anden infrastruktur dokumentation kan rekvireres ved kontakt til it-afdelingen Dokumentationer af nye systemer udføres i Metropols driftsplanskabelon af den implementerende leverandør, når en sådan findes, og færdiggøres efterfølgende i samarbejde med Metropols it-afdeling Leverandøren er ansvarlig for dette i samarbejde med Metropols it-afdeling 10.6 Cloud Metropol ser cloud som en driftsform på lige fod med øvrige driftsformer, og cloud anvendes, når det er teknisk og økonomisk forsvarligt. Leverandøren har ansvaret for at definere behovet for integrationer; herunder specielt til AD. 8

10.7 Klientinstallationer Metropol anvender pc er med Windows 7 som det primære værktøj, men en del brugere anvender desuden ipads og Macs, som dog ikke er integreret i Metropols domæne. Hvis der skal installeres programmer på pc'er anvendes SCCM som primært værktøj for deployment. Leverandører af programmer skal som minimum stille.msi eller lignende til rådighed for udrulning til pc'er.. 10.8 Stagning og test miljø Som del af implementeringer i Metropols infrastruktur aftales forud for igangsætning altid placering og håndtering af eventuelle test- og staging faciliteter som grundlag for aftaler om patch, change og upgrade håndtering. 10.9 Hostede systemer i øvrigt SIS SLS ØSLDV Navision Microsoft CRM 11.0 Kontakt Metropols it-afdeling Generelle it-support henvendelser: itsupport@phmetrpol.dk eller 7248 7575 Overordnet ledelse It-chef Hans-Henrik Michelsen hami@phmetropol.dk It-support (brugerrettede ydelser) Afdelingsleder Martin Sørensen maso@phmetropol.dk It-infrastruktur (servere og infrastruktur) Afdelingsleder Nicolai Høglund niho@phmetropol.dk 12.0 Versionshistorik 17. februar 2012: Redigeret HAMI 29. juni 2015: Redigeret HAMI 9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback