Dato 15. december 2011 Initialer NIHO It Koncernadministration Tagensvej 18 2200 København N Tlf. nr. 72 48 75 00 info@phmetropol.dk www.phmetropol.dk CVR. 3089 1732 Forudsætningsnotat for implementering af it-systemer og services i Metropol (teknisk del) Formålet med dette notat er at sikre de bedst mulige forudsætninger for leverandører af it-systemer og services til Metropol. Notatet er således vigtigt at medtage for projektledelse og systemejer allerede i idéfasen af projekter og større opgaver, som involverer it-implementeringer. Det tekniske notat understøttes af forudsætningsnotat for it-implementeringers organisatoriske og praktiske forhold. 1.0 Kort om Metropols infrastruktur Metropols infrastruktur er baseret på Microsoftprodukter; primært Windows Server 2012, men også i vist omfang Windwos Server 2008/R2 og et mindre antal legacy OS servere. Vi har et centralt datacenter placeret på Nørrebro i København. Metropol har en 1Gb fiberring (TDC sort fiber). Internetforbindelsen er 100 Mb og fremført redundant til lokationer på hhv. Nørrebro og Frederiksberg i København. Serverhardware er primært HP. Core og LAN switche er ligesom AP (WCS-styret) bestykket med Cisco komponenter. 2.0 Bring Your Own Device (BYOD) Metropol har en strategi, som sigter på anvendelsen af webservices og portaler på alle brugervendte services samt i nødvendigt omfang anvendelse af vores nuværende Citrix-farm til levering af legacy og/eller vanskeligt integrerbare services. Det er således vigtigt at medtage overvejelser om web eller Citrixunderstøttelse af Mac OSX, Android, ios samt øvrige betydende klientoperativsystemer. 1
3.0 Sikkerhed og begrænsninger 3.1 Sikkerhedszoner Metropols infrastruktur er segmenteret i ADM, UNV og Shared samt DMZ Betegnelse ADM Shared UNV Root Guest DMZ Beskrivelse Her findes infrastruktur, der anvendes til administration Her findes infrastruktur, der deles mellem studerende og ansatte Her findes infrastruktur, der anvendes til undervisning Her findes centrale systemressourcer Her placeres ikke domain joined enheder (BYOD) Her placeres ressourcer, der tilgås fra internettet uden krav om validering 2
4.0 ISA / flere arrays 4.1 Begrænsninger. Nedenstående beskriver begrænsninger og tilladelser for IP-trafik, der er initieret fra en specifik zone og mod en specifik zone med tilhørende returtrafik, men disse skal ikke ses som tovejs tilladelser. Fx betyder en åbning fra ADM mod UNV ikke at der implicit også er en tilsvarende åbning fra UNV mod ADM. Denne definition går på klientpc ens placering, ikke brugerens placering. Brugerens placering og rettigheder bruges til at opnå en eventuel tilladt IP-adgang. Fx fra internettet mod UNV-zonen : Adgang tilladt, men kun for en bruger der kan valideres med one-factor authentication på ISA. 4.2 UNV Adgang fra internet: Kun valideret på ISA med one factor authentication Adgang fra følgende interne zoner o UNV Implicit, men kun for UNV domain joined computere o Guest (valideret på ISA) Https ressourcer vil være tilgængelige efter hotspot-validering Alle øvrige ressourcetyper vil kunne tillades efter hotspot-validering, hvis det kan påvises at der er en fornuftig protocol encryption, da der ikke vil være network layer encryption. o ADM Reguleret adgang efter behov, og kun for ADM domain joined computere o DMZ Meget begrænset og kun med separat godkendelse o Shared Begrænset, men muligt 4.3 ADM Adgang fra internet: Kun valideret på ISA med two factor authentication Adgang fra følgende interne zoner o UNV Ingen adgang o Guest (valideret på ISA) Ingen adgang hotspot-validering Https-ressourcer vil være tilgængelige via TMG publishing og two-factor authentication Øvrige ressourcer vil være tilgængelige via Citrix og two-factor (begrænset til ca. 75 administrative brugere i nuværende farm) o ADM Implicit, men kun for ADM domin joined computere o DMZ Meget begrænset og kun med separat godkendelse 3
4.4 Shared Adgang fra internet : Kun valideret på ISA med one factor authentication Adgang fra følgende interne zoner o UNV o Guest (valideret på ISA) Https-ressourcer vil være tilgængelige efter hotspot-validering Alle øvrige ressourcetyper vil kunne tillades efter hotspot-validering, hvis det kan påvises at der er en fornuftig protocol encryption, da der ikke vil være network layer encryption. o ADM o DMZ Meget begrænset og kun med separat godkendelse o Shared Implicit 4.5 DMZ Adgang fra internet : Adgang tillades fra ikke-validerede brugere Adgang fra følgende interne zoner o UNV o Guest (valideret på ISA) Tilladt efter hotspot-validering o ADM o DMZ Implicit o Shared 5.0 DMZ Metropol placerer alle servere og services i DMZ, hvis de skal tilgås fra internet eller guest zonen og ikke understøtter korrekt prevalidering på ISA. 6.0 One and Two factor Authentication Der anvendes Forms Based Authentication på ISA til at prevalidere brugere. Denne sendes efter succesful validering på ISA videre til den interne webservice, som enten basic eller intergrated authentication. Derfor skal alle webservices, der skal placeres på ADM, UNV eller shared og som skal tilgås fra internet eller guest zonen, understøtte en af disse to typer validering. En formsbased validering på selve webservicen er IKKE understøttet. Til two factor authentication anvendes en 3. parts løsning (SMS Passcode) sammen med ISAs Forms Based Authentication. 4
7.0 Dataadgang Ved dataadgang skelnes der mellem data indenfor sammen zone og data fra en anden zone. 7.1 Fildata Adgang til fildata er i udgangspunktet tilgængelig for services indenfor samme zone, hvis de korrekte rettigheder haves. Hvis en service ønsker fildata-adgang med henblik på at videreformidle disse data udenfor zonen (fx en webservice, der giver adgang til et fildataindex og metadata), skal der laves en konkret risikovurdering, inden en sådanne tillades. Hvis der ønskes adgang til fildata fra andre zoner, skal der laves en risikovurdering, før dette vil være muligt. 7.2 Databaser Databaseadgang er ligeledes i udgangspunktet tilgængelig indenfor samme zone, hvis de korrekte rettigheder haves. Hvis en service ønsker adgang til en database med henblik på at stille databasens indhold til rådighed for brugere udenfor zonen, skal der laves en konkret risikovurdering, inden dette tillades. Hvis der ønskes adgang fra en service til en database i en anden zone, vil dette kun være muligt i visse situationer, og kun efter der er lavet en risikovurdering. Hvis den ønskede database er placeret på et SQL cluster, vil det ikke være muligt at tilgå denne via UDP fra en anden zone på grund af TCP/IP-begrænsninger i Windows Server Clustering. SQL clusteret består af to servere, som er installeret med SQL Server 2005 standard 64bit edition. I nær fremtid (senest med udgangen af Q2, 2012) vil Metropol kunne tilbyde adgang til SQL Server 2008 R2 cluster. For at sikre bedst mulig etablering af databaser er det vigtigt at potentielle leverandører redegør for hvilken database der er tale om, hvilke porte der anvendes og hvilke funktionaliteter som skal være installeret. Ligeledes skal der før implementeringstidspunktet være en oversigt over systembrugere samt eventuelle pre-reqeusites for databasen. 8.0 AD og validering 8.1 AD struktur Metropols Active Directory er opbygget af et root domæne og tre child domæner. 5
Domæne FQDN Domæne Netbios navn Type Indholder Campn.local campnroot Forest Root Placeholder/Parent for infrastrukturen Core Service: ISA, SCOM, SCCM mv. ADM.campn.local campnadm Forest Child Computere, der udelukkende anvendes af ansatte Administrative serverressourcer med undtagelse af SIS Ansattes brugerkonti og grupper Shared.campn.local campnshared Forest Child Fælles ressourcer, der skal kunne deles mellem ADM og UNV brugere UNV.campn.local campnunv Forest Child Computere, der anvendes af studerende og undervisere Undervisnings server ressourcer Studerendes brugerkonti og grupper 8.2 Authentication (Transport) Der understøttes flere typer validering mod Active Directory. Kerberos NTLM LDAP LDAPS 6
RADIUS Desuden er det muligt at anvende WayF validering services - se herunder. 8.3 Brugerstyring Bruger-, gruppe- og maildistributionslisteoprettelse, -vedligeholdelse og nedlæggelse håndteres automatisk ud fra SIS-databasen. Det er dog muligt at foretage manuelle oprettelser, men dette skal godkendes separat. 8.4 WayF WayF-infrastrukturen understøtter logon for båbe studerende og ansatte. Ved anvendelse af WayFauthentification anmodes/ansøges om tilslutning af tjeneste. Metropol driver en WayF-server, men Metropols it-afdeling kan ikke lave aftaler med WayF på vegne af specifikke tjenester og projekter. Dette gøres af systemejer og/eller projektejer og den givne leverandør. Læs mere om WayF på https://www.wayf.dk/ 8.5 Split zone DNS Der er i dag etableret en split DNS løsning for følgende domæner: Phmetropol.dk Phoe.dk (legacy, som ikke anvendes længere) En række tidligere domænenavne fra underliggende institutioner (primært mail alias anv.) Dette medfører, at en DNS registrering skal foretages både i DNS zoner på internettet og i interne DNS-servere, og det muliggør, at der internt i Metropol kan registreres interne ip-adresser på services, der driftes på interne servere. 9.0 Loadbalancing og netværk 9.1 Hardware loadbalacing (NLB eller device (TMG eller 3. part)) Hardware loadbalancing understøttes umiddelbart kun for services, når disse præsenteres mod internettet medmindre disse understøtter at blive installeret på et subnet (samme subnet som de servere, der fordeles ip-trafik mellem). 9.2 MS NLB og VMWare Microsoft NLB er supporteret i Metropol infratruktur, men på services, der hostes i Metropols VMWare Cluster er der kun support for Multicast NLB og Multicast NLB med IGMP. Metropol forventer at overgå til ESX 4.0 i løbet af første halvår 2012. 9.3 MB NLB og Cisco Med etablering af MS Multicast NLB eller Multicast NLB med IGMP skal der foretages en separat konfiguration af centrale Cisco-routere. Metropol skal derfor orienteres om NLB VIP adresser og tilhørende MAC adresser, inden en NLB service vil fungere. 7
9.4 SSL Offloading Alle https-baserede webservices skal kunne håndtere, at der anvendes SSL offloading på loadbalancer, således at SSL forbindelser termineres på loadbalacing devices og sendes til de reelle webservere som http-connections. Dette sker af hensyn til vcpu belastning på ESX og muligheden for http content og virus inspection på ISA. 10.0 Øvrige forhold 10.1 Citrix Metropol har en mindre farm med plads til 50 samtidige brugere. Vi har 75 Citrix brugerlicenser, som er fordelt på brugere med særligt behov. Opstår der behov for øget antal brugere på Metropols Citrixfarm skal overvejelser om hardware og licencer ligge som en del af projekteringen af de faciliteter, som fordrer behovet.. 10.2 Adgange til Metropols infrastruktur (remote) Der etableres en ip-valideret.rdp adgang med lokal administratoradgang til den eller de relevante servere eller en overvåget Teamviewer-adgang til relevant systemadministrators klientpc i Metropol for omfatttende administrativ adgang til miljøet. 10.3 AD attributter Metropol anvender et standard active directory. Komplet attributliste og flowdiagrammer til integration, brugerstyring og IdM-håndtering kan rekvireres ved kontakt til Metropols it-afdeling. 10.4 IdM (primært mod AD) I Metropol anvendes EIQ fra SystemTech til styring af AD og andre systemer. Metropol vedligeholder studieadministrative data samt persondata for for studerende og ansatte i Metropol i SIS. EIQ laver kort beskrevet en import til en lokal database fra SIS, hvori der via.xml håndteres vedligehold af blandt andet AD. Systemet indeholder også vedligehold af definerede gæstebrugere af Metropols it-faciliteter via EIQ s administrative webinterface. Kort om EasyIQ produktet og dets opbygning her: http://www.systemtech.dk/easyiq-idm/easyiq-om-easyiq/menu-id-95.html 10.5 Dokumentationer Detaljerede driftsplaner og anden infrastruktur dokumentation kan rekvireres ved kontakt til it-afdelingen Dokumentationer af nye systemer udføres i Metropols driftsplanskabelon af den implementerende leverandør, når en sådan findes, og færdiggøres efterfølgende i samarbejde med Metropols it-afdeling Leverandøren er ansvarlig for dette i samarbejde med Metropols it-afdeling 10.6 Cloud Metropol ser cloud som en driftsform på lige fod med øvrige driftsformer, og cloud anvendes, når det er teknisk og økonomisk forsvarligt. Leverandøren har ansvaret for at definere behovet for integrationer; herunder specielt til AD. 8
10.7 Klientinstallationer Metropol anvender pc er med Windows 7 som det primære værktøj, men en del brugere anvender desuden ipads og Macs, som dog ikke er integreret i Metropols domæne. Hvis der skal installeres programmer på pc'er anvendes SCCM som primært værktøj for deployment. Leverandører af programmer skal som minimum stille.msi eller lignende til rådighed for udrulning til pc'er.. 10.8 Stagning og test miljø Som del af implementeringer i Metropols infrastruktur aftales forud for igangsætning altid placering og håndtering af eventuelle test- og staging faciliteter som grundlag for aftaler om patch, change og upgrade håndtering. 10.9 Hostede systemer i øvrigt SIS SLS ØSLDV Navision Microsoft CRM 11.0 Kontakt Metropols it-afdeling Generelle it-support henvendelser: itsupport@phmetrpol.dk eller 7248 7575 Overordnet ledelse It-chef Hans-Henrik Michelsen hami@phmetropol.dk It-support (brugerrettede ydelser) Afdelingsleder Martin Sørensen maso@phmetropol.dk It-infrastruktur (servere og infrastruktur) Afdelingsleder Nicolai Høglund niho@phmetropol.dk 12.0 Versionshistorik 17. februar 2012: Redigeret HAMI 29. juni 2015: Redigeret HAMI 9