Zachęcony zapoczątkowaną przez antymona ofensywą wdrożeniową, rozochocony nagłym zwróceniem uwagi przez polski świat polityki na wolne oprogramowanie, spieszę donieść o kolejnym udanym wdrożeniu. Miało ono miejsce za miedzą, w Niemczech, gdzie zaczynają pojawiać się pierwsze sprawozdania z zakończonych projektów. Może wzmogą one apetyt polskich polityków na wolne oprogramowanie. Bo czy można wyobrazić sobie coś piękniejszego, niż polskie ambasady połączone w globalną sieć VPN z polskim MSZ na podobieństwo rozwiązania realizowanego właśnie przez niemieckich kolegów? Można: Open Source dla wszystkich w monopolowym…

…urzędzie. A dokładniej: w niemieckiej Komisji ds. Monopoli.
W czerwcu 2002 roku niemieckie ministerstwo spraw wewnętrznych zainicjowało wdrażanie w urzędach federalnych projektów pilotowych opartych na Open Source. Federalny Urząd ds. Bezpieczeństwa w Informatyce (BSI, urząd podlegający niemieckiemu MSW, nota bene ten sam, który kiedyś rozsyłał za darmo Knoppiksa) poszukiwał w następstwie urzędów, które gotowe by były przeprowadzić migrację na wolne oprogramowanie. Gotowość taką zgłosiła niemiecka Komisja ds. Monopoli, a firma realizująca migrację opublikowała po fakcie swoje sprawozdanie na łamach portalu Pro-linux.de (bardzo obszerne, pełne nużących szczegółów polskie streszczenie tego artykułu wraz z podkładką argumentacyjną w PDF dostępne jest tutaj).

Do przetargu o realizację zamówienia zgłosiło się osiem firm. Pytane o dystrybucję, która najlepiej spełni wymóg niezawodności stacji roboczych i decentralizacji oprogramowania, te niemieckie firmy opowiedziały się za … Nie, nie za SuSE, za Debianem.

Celem migracji było między innymi:

  • stworzenie harmonijnej infrastruktury klientów i serwerów
  • łatwa administracja, dostępność i możlwość szybkiej rekonstrukcji systemu
  • zamiana programów działających na klientach przez odpowiedniki Open Source lub aplikacje, które dają się uruchomić pod GNU/Linuksem
  • jak najszybsza adaptacja użytkowników do nowego otoczenia i udostępnienie im wszystkich istotnych funkcji ich dotychczasowego stanowiska roboczego
  • znaczące ograniczenie dotychczasowej praktyki lokalnego administrowania systemu
  • centralna archiwizacja ważnych danych
  • kontrola i ograniczenie dostępu do danych
  • uniknięcie dodatkowych wydatków na zakup sprzętu

W realizacji zastosowano następujące rozwiązania:

  • Serwer INFRAppliance firmy SFI Technology Services AG jako centralny serwer administracyjny
  • wszystkie aplikacje komisji zostały zastąpione przez oprogramowanie OS lub działające pod OS. Jedyny wyjątek stanowił CD-ROM zawierający windowsową aplikację z danymi o firmach. Również tutaj dzięki wymianie doświadczeń z kolegami realizującymi inny projekt pilotowy w Federalnym Urzędzie ds. Karteli udało się uruchomić tę aplikację pod Linuksem (z użyciem WINE)
  • jako menedżer okien zastosowano IceWM
  • jako pakiet biurowy wybrano StarOffice, a nie OpenOffice.org, głównym argumentem za była tutaj jakość sprawdzania pisowni.
  • jako menedżer plików posłużył GNOME Midnight Commander (GMC), który oferuje wszystkie potrzebne funkcje oraz intuicyjną obsługę znaną z Windows Explorera, a oprócz tego umożliwia otwieranie i oglądanie archiwów (zip, tar) bez koniecznności sięgania po inne narzędzie
  • do obsługi poczty elektronicznej wybrano program Sylpheed
  • jako standardową przeglądarkę internetową zastosowano Galeon
  • jako narzędzie do skanowania posłużył SANE (Scanner Access Now Easy z interfejsem Xsane)
  • tworzenie dokumentów w PDF możliwe jest dzięki funkcji tworzenia PDF będącej częścią dialogu drukarki programów StarOffice 6.0 i OpenOffice.org. Do czytania i wydruku dokumentów w formacie PDF używany jest program Acrobat Reader 5.0

Na stanowiskach roboczych wdrożono szczególne wymogi bezpieczeństwa. Użyto dwu metod identyfikacji: kombinacji karty elektronicznej z mikroprocesorem oraz identyfikacji za pomocą biometryki (odcisku palca). Dzięki specjalnie stworzonej na ten cel aplikacji można tworzyć karty elektroniczne, zapisywać odciski palców użytkowników oraz tworzyć klucze GNUpg, potrzebne do podpisu cyfrowego. Dane biometryczne pozyskiwane są za pomocą produktu firmy Siemens AG i przechowywane w zaszyfrowanej formie na serwerze LDAP.

Jako przeważający tryb pracy dla pracowników komisji założono pracę w sieci. W tym tzw. „środowisku online” dostępne są wszystkie usługi i aplikacje. Pracownik identyfikuje się za pomocą karty elektronicznej i odcisku palca. Integracja karty elektronicznej w systemie zrealizowana została za pomocą interfejsu PAM (Pluggable Authentification Module), tak że identyfikacja możliwa jest za pośrednictwem menedżera okien odpowiedzialnego za ekran loginu, jak też przez wygaszacz ekranu. Po włożeniu karty do czytnika zaszyfrowane dane biometryczne ładowane są z serwera i rozkodowywane za pośrednictwem odcisku palca. Na ekranie loginu i na wyświetlaczu LED myszy pojawia się zachęta do położenia palca na sensorze. Następnie pobrane dane biometryczne porównywane są z rozszyfrowanymi danymi. Jeśli po zameldowaniu się w systemie użytkownik wyjmie kartę z czytnika, jego stacja robocza zostanie zablokowana przez wygaszacz ekranu. Po ponownym włożeniu karty następuje porównanie danych biometrycznych i w przypadku pozytywnego wyniku dostęp do stacji roboczej zostaje odblokowany.

Kiedy występują zakłócenia pracy sieci i stacja robocza nie ma dostępu do serwerów, niemożliwe jest normalne zameldowanie się na stanowisku roboczym. Użytkownik rozpoznaje to po innym wyglądzie ekranu loginu.

W takich przypadkach użytkownik może się zameldować tylko w tzw. „środowisku offline”. Do tego celu konieczna jest tylko karta elektroniczna, ponieważ dane biometryczne nie mogą zostać porównane z danymi z katalogu LDAP, który jest dostępny tylko przez sieć.

Ponieważ użytkownik w trybie offline nie ma dostępu do centralnego serwera plików, po zameldowaniu w „środowisku offline” tworzony jest katalog domowy użytkownika, w którym może on zapisywać swoje dane. Kiedy użytkownik później zamelduje się w trybie online, jego katalog domowy zostanie zamontowany, tzn. będzie miał on dostęp do swoich lokalnych danych. Musi on sam zadbać o synchronizację danych na serwerze plików z danymi lokalnymi.

Jako lokalne aplikacje użytkownik ma do dyspozycji StarOffice i Sylpheed jako klienta poczty elektronicznej. W ramach migracji Komisji ds. Monopoli zaplanowano stosowanie podpisu cyfrowego przy przesyłaniu poczty elektronicznej. Podpis cyfrowy zrealizowany został w formie kluczy GNUpg – dane GNUpg zapisywane są w zakodowanej formie na karcie elektronicznej.

Oferta w dziedzinie serwerów obejmowała rozwiązanie INFRAppliances firmy SFI Technology Services AG, które jako oprogramowanie Open Source zostało w ramach projektu poddane przeróbkom, pozwalającym spełnić wymóg centralnego administrowania całej infrastruktury serwerów i klientów. Konsola administracyjna wchodząca w skład tego rozwiązania to narzędzie bazujące na interfejsie internetowym, które pozwala na administrację najważniejszych parametrów dla serwerów, klientów, aplikacji i użytkowników. Dane przechowywane są przy tym na serwerze LDAP (OpenLDAP).

Serwer plików INFRAppliance przechowuje wszystkie dane użytkowników w Komisji ds. Monopoli w ich katalogach domowych. Jednocześnie w celu wymiany danych oraz umożliwienia współpracy utworzono katalogi grupowe, których członkowie danej grupy mogą używać do zapisywania i wczytywania danych. W systemie został rownież zintegrowany moduł archiwizacyjny, za pomocą którego można wykonywać kopie zapasowe i odtwarzać dane z serwera plików zgodnie z dającymi się konfigurować parametrami.

Serwer administrac
yjny umożliwia również zarządzanie pakietami programów dla klientów. Instalacja łat, aktualizacji oprogramowania i nowych aplikacji dokonuje się za pośrednictwem konsoli administracyjnej dla grup klientów. W ten sposób można przetestować aktualizacje lub nowe programy na pojedynczych klientach, nie naruszając otoczenia produkcyjnego. Można również dokonywać indywidualnej konfiguracji klientów, ale to może ograniczyć lub całkowicie uniemożliwić funkcję „roamingu”.

Programy pakowane są w pakiety Debiana i udostępniane klientom do automatycznej instalacji. Podczas bootowania stacji roboczej sprawdzany jest stan oprogramowania klienta. Jeśli jest on nieaktualny, ewentualne aktualizacje instalują się automatycznie.

Do zarządzania biblioteką stworzono katalog z interfejsem internetowym, dzięki któremu każdy uprawniony pracownik może sprawdzić listę dostępnych książek i przeszukiwać zasoby wg. określonych kryteriów. Pracownicy uprawnieni do administracji mogą edytować dane książek. Dane te przechowywane są w bazie danych PostgreSQL, administracja podstawowych parametrów zintegrowana jest w konsoli administracyjnej.

W komisji archiwizowano zakończone projekty, np. wykonane ekspertyzy, na płytkach CD. Do zarządzania tymi danymi stworzono katalog CD z interfejsem internetowym. Katalog ów udostępnia następujące funkcje:

  • przeszukiwanie zasobów na CD wg. określonych kryteriów (np. kategorii, roku)
  • poszukiwanie CD wg. jego atrybutów
  • poszukiwanie plików
  • pracownicy z odpowiednimi uprawnieniami mogą edytować dane w katalogu
  • dane zapisywane są na serwerze administracyjnym w bazie danych PostgreSQL
  • administracja podstawowych parametrów jest zintegrowana w konsoli administracyjnej

Funkcję kalendarza przejęło rozwiązanie PHP-Groupware, które zostało udostępnione przez interfejs internetowy.

Również książka adresowa bazuje na interfejsie internetowym, który później zintegrowano w PHP-Groupware. Pracownicy mają do wyboru parę książek adresowych, które dzięki podłączeniu StarOffice do bazy danych mogą być wykorzystywane do korespondencji seryjnej.

Szczególnych rozwiązań wymagała migracja stanowisk roboczych dwu pracowników zajmujących się ankietami dotyczącymi workflow, analizą danych statystycznych, ekspertyzami oraz zbieraniem danych o firmach pozyskiwanych z ankiet. Posługiwali się oni głównie programami MS Office, MS Access, Excel i Visual Basic. Ponieważ StarOffice nie zawierał bazy danych i języka programowania w 100% kompatybilnego z Visual Basic, zdecydowano się na PostgreSQL jako zastępstwo dla Accessa. Visual Basic zastąpiono językiem Perl. Dodatkowo zastosowano mniejsze programy Open Source dla podołania wielu specyficznym wymaganiom obu działów, np. program do wizualizacji danych Ploticus, jak też różne programy do obsługi bazy danych. Narzędzie pgadminII okazało się doskonałym rozwiązaniem dla migracji istniejących baz danych z MS Access do PostgreSQL.

Migracja stanowisk roboczych i serwerów zaczęła się dopiero na 2 tygodnie przed planowanym ukończeniem projektu z powodu długich prac przygotowawczych. Najpierw w środowisku testowym uruchomiomo INFRAppliance Webserver i INFRAppliance Fileserver równolegle do działającego już serwera plików. Na migrację wybrano piątek, ponieważ konieczne było zebranie od pracowników odcisków palców, wymaganych do przyszłej identyfikacji oraz wydanie im kart elektronicznych. Podczas instalacji oprogamowania z instalacyjnego CD (tzw. Client-CD) na stacjach roboczych wystąpiły problemy z wykryciem hardware’u kart sieciowych LWL. Karty te pochodziły od tego samego producenta i miały te same nazwy, ale wyposażone były w inne mikroprocesory. W następstwie tego stanu rzeczy musiano stworzyć dodatkowe CD instalacyjne (Client CD), zawierające dodatkowy sterownik dla kart sieciowych.

Zarejestrowani pracownicy mogli od razu przystąpić do pracy. Otrzymali oni przedtem krótki instruktaż z logowania się w systemie przy użyciu karty elektronicznej i biometryki.

W następny poniedziałek po migracji na miejscu znajdowali się informatycy, których zadaniem było spieszenie z pomocą w razie wystąpienia problemów. Jednocześnie rozpoczęto szkolenia indywidualne dla pracowników w ich zakresach działania.

Podsumowanie

Migracja struktury informatycznej niemieckiej Komisji ds. Monopoli na oprogramowanie Open Surce zakończyła się sukcesem. Wymagane funkcje zostały zrealizowane dającym się uzasadnić nakładem sił i środków.

Najistotniejszymi punktami migracji było przede wszystkim zgranie ze sobą dostępnych komponentów Open Source, stworzenie możliwości centralnego administrowania, implementacja wymogów bezpieczeństwa, jak też zastąpienie funkcji, które poprzednio realizowane były za pomocą MS Access.

Największym wyzwaniem dla firmy realizującej projekt okazała się jednak konieczność zmieszczenia się w ramach czasowych 3 miesiący. Niektóre funkcje musiały być stworzone od podstaw lub przystosowane do wymagań urzędu. Prace te tylko z największą trudnością dały się zmieścić w bardzo napiętym planie czasowym.

Rozwiązanie, które powstało, nadaje się wg. autora artykułu do szybkiej implementacji przy podobnie sformułowanych wymaganiach. Przy innych wymaganiach może posłużyć za podstawę nowego rozwiązania, co pozwoli na zmniejszenie trudności migracji na OSS lub na jej przyspieszenie.

Archiwalny news dodany przez użytkownika: kurt.
Kliknij tutaj by zobaczyć archiwalne komentarze.

Share →