Forskjell mellom sidene «Beskrivelse av tjenesten installasjon og drift av klientmaskin» og «SSL for sikker datakommunikasjon»

Fra IT-hjelp UiB
(Forskjell mellom sider)
 
m (Kategorisert: SSL)
 
Linje 1: Linje 1:
{{Autoritativ informasjon}}
+
== Hva er SSL?  ==
Dette er et vedlegg til IT-avdelingens [[https://wikihost.uib.no/ithjelp/index.php/Serviceerkl%C3%A6ring_fra_IT-avdelingen serviceerklæring]]
 
===Hovedfunksjoner===
 
  
 +
SSL står for Secure Sockets Layer og betyr at datamengden som sendes mellom brukermaskin og tjenermaskin er kryptert.
  
IT-avdelingens driftsopplegg med sentralisert og standardisert klientdrift innbefatter:
+
Det foregår ved at tjenermaskinen har en krypteringsnøkkel med to passord. Det ene kan bare brukes til å kryptere innholdet og kan derfor gis ut til alle. Det andre kan brukes til å dekryptere innholdet og må selvsagt bare være kjent for eieren.
  
* Automatisk installert operativsystem (Windows Xp, Fedora Linux eller Mac OS X).
+
Når SSL brukes f.eks for å lese e-post så sender tjenermaskinen det offentlige passordet til brukermaskinen. Det skal skje uten at den som benytter maskinen trenger å være klar over det. Men brukermaskinen mottar passordet, bruker det til å lage meldingen uleselig for tredjepart og sender meldingen over nettet. Tjenermaskinen mottar meldingen og dekrypterer den ved hjelp av sitt hemmelige passord, og leverer meldingen videre inn i sitt lokale system. Dermed vil ingen mellom bruker og tjener kunne avlytte kommunikasjonen. Det er det samme som skjer når du leser websider som begynner med "https" i motsetning til "http".
  
* Automatisk oppdatering av operativsystem og programmer (sikkerhetsoppdateringer).
+
[[Kategori:SSL]]
 
 
* Antivirus med automatisk oppdatering av virus signaturfiler på Windows.
 
 
 
* Automatisk distribusjon av programvare i den grad det er teknisk mulig og kostnadseffektivt, herunder fagspesifikke programmer.
 
 
 
* Et oppsett som medfører liten fare for at brukernes data går tapt, da alle programmer settes opp til å lagre på tjenermaskin
 
 
 
(unntak for bærbart, og helt spesielle tilfeller).
 
 
 
 
 
===Krav til maskinvare===
 
 
 
 
 
Minimum spesifikasjoner på klientmaskiner for klientdrift:
 
 
 
* Pentium IV eller Athlon XP med ACPI støtte, eller bedre.
 
* Minimum 512 MB internminne.
 
* Minimum 20 GB harddisk
 
* Støtte for nettverksbooting
 
 
 
 
 
===Driftsklasser av Windows klientmaskiner===
 
 
 
 
 
IT-avdelingen opererer med forskjellige klasser av installasjoner på Windows  klientmaskiner.
 
 
 
Klassen maskinen tilhører er definert av rollen klientmaskinen  har.
 
 
 
De fire klassene kaller vi fulldriftet maskin (managed computer),
 
 
 
basisdriftet maskin (unmanaged computer), laboratoriemaskin og bærbar maskin.
 
 
 
 
 
IT-avdelingens målsetning er at de fleste klientmaskiner skal være fulldriftet.
 
 
 
IT-avdelingen vedlikeholder et stort og voksende bibliotek med programvare
 
 
 
(jfr Beskrivelse av tjenesten installasjon av programvare på klientmaskin).
 
 
 
Dette er den kritiske faktor i forhold til hvor stor del av maskinparken
 
 
 
som kan klassifiseres som fulldriftet.
 
 
 
Årsaken til IT-avdelingens ønske er at det ofte utløses betydelig
 
 
 
ressursbruk ved bruk av basisdriftet maskin i tillegg til den
 
 
 
sikkerhetsrisiko som er heftet til brukerens installasjonsrettigheter.
 
 
 
 
 
===Fulldriftet maskin===
 
 
 
 
 
Dette er klientmaskiner med standard programvare.
 
 
 
Standard programvare er her definert som all programvare IT-avdelingen
 
 
 
har opprettet sentralisert installasjon for (se  http://bs.uib.no/adprogs/).
 
 
 
De fleste brukere vil dekke sine behov med dette opplegget:
 
 
 
 
 
* Bruker skal ikke lagre andre data eller programvare på systemdisken (C:)
 
 
 
enn det som kommer via IT-avdelingens Windows-installasjon og regelsett fra Active Directory.
 
 
 
* Ved problemer eller vedlikeholdsarbeid vil maskinen (system og programvare)
 
 
 
kunne bli reinstallert av IT-avdelingen etter avtale med brukeren.
 
 
 
Reinstallering skal ikke medføre endringer i brukerens data eller innstillinger.
 
 
 
* Bruker skal fortrinnsvis ikke ha tilgang til D-disken
 
 
 
* Bruker har ingen installasjonsrettigheter
 
 
 
 
 
===Basisdriftet maskin===
 
 
 
 
 
Denne klassen er beregnet for brukere som har programvare som IT-avdelingen
 
 
 
ikke har kunnet lage sentralisert installasjon for.
 
 
 
Brukeren får selv tilgang til å installere programvare på eget ansvar.
 
 
 
 
 
* Bruker har egen administrasjonskonto for installering av programvare
 
 
 
som ikke er tilrettelagt (pakket) av IT-avdelingen.
 
 
 
* Bruker bør ikke ha data og programvare som ikke bør slettes på systemdisken (C:).
 
 
 
Dette for at maskinen skal kunne reinstalleres mest mulig effektivt av IT-avdelingen.
 
 
 
* Bruker får tilgang på D-disk for midlertidig lagring av data,
 
 
 
men brukeren må være oppmerksom på at dette er data som det ikke tas backup av.
 
 
 
* Løsning på en del problemer vil være å installere maskinen på nytt
 
 
 
eller å nullstille profilen til brukeren i stedet for en tidkrevende feilsøking.
 
 
 
Brukeren må være oppmerksom på at programvare som er installert av bruker da også må installeres på nytt.
 
 
 
 
 
===Bærbar maskin===
 
 
 
 
 
* Samme som basisdriftet maskin, men med bærbare tilpasninger.
 
 
 
* Bærbar maskin gis mulighet for nett tilkobling med mobiltelefon.
 
 
 
Det forutsettes bruk av en telefontype som er godkjent av IT-avdelingen
 
 
 
(se [http://wikihost.uib.no/ithjelp/index.php/Mobiltelefonmodeller mobiltelefonmodeller]).
 
 
 
* Bruker har mulighet for synkronisering av filer med hjemmekatalog.
 
 
 
Dette skjer automatisk når bruker kobler seg til UiBs nettverk.
 
 
 
 
 
===Laboratoriemaskin===
 
 
 
 
 
I spesielle tilfeller finnes det labmaskiner med spesialinstrumenter
 
 
 
som gjerne må samle data i flere døgn i strekk.
 
 
 
Maskinen må som oftest være pålogget for at datainnsamling skal finne sted.
 
 
 
Det ville være uheldig om brukeren skulle logge på som seg selv,
 
 
 
fordi det ofte er flere personer som overvåker datainnsamlingen.
 
 
 
 
 
*  Samme regelsett som basisdriftet maskin.
 
 
 
* Egen lokal konto ”lab” med passord kjent for alle brukerne.
 
 
 
* Maskinen får i utgangspunktet kun nettverkstilgang til UiBs nett
 
 
 
(ingen internett-tilgang).
 
 
 
* Ingen tvungen omstart for oppdateringer av maskinen.
 
 
 
Brukerne må selv starte maskinen på nytt imellom innsamlingsøktene.
 
 
 
 
 
===Spesielle unntak===
 
 
 
 
 
For maskiner som ikke kan installeres med nyeste operativsystem,
 
 
 
men som likevel  må anses som kritiske
 
 
 
(fortrinnsvis utstyr som er direkte tilknyttet laboratorieutstyr som ikke kan erstattes uten større investeringer),
 
 
 
vil det bli benyttet en maskinvare-brannmur som settes mellom maskinen og nettverket.
 
 
 
Denne boksen blir levert ferdig konfigurert og vederlagsfritt av IT-avdelingen.
 
 
 
 
 
I helt spesielle tilfeller kan det være systemer der bruker selv administrerer arbeidsstasjon.
 
 
 
Slike arbeidsstasjoner vil bli plasser på UiBs VPN-nett,
 
 
 
som krever ekstra autentisering og er delvis isolert fra det ordinære nettet.
 
 
 
 
 
===Driftsklasser av Linux klientmaskiner===
 
 
 
 
 
IT-avdelingen opererer med tre klasser av installasjoner
 
 
 
på Linux klientmaskiner, stasjonære maskiner, beregningsressurser og bærbare maskiner. 
 
 
 
I helt spesielle tilfelle kan avvik fra disse klassene vurderes,
 
 
 
men dette må løses etter spesiell dialog med IT-avdelingen.
 
 
 
 
 
===Stasjonær maskin===
 
 
 
 
 
Dette er klientmaskiner med standard programvare.
 
 
 
Standard programvare er her definert som all programvare
 
 
 
IT-avdelingen har opprettet sentralisert installasjon for
 
 
 
(se  http://marimbaconsole.uib.no/software/).
 
 
 
De fleste brukere vil dekke sine behov med dette opplegget:
 
 
 
 
 
* Bruker skal ikke lagre andre data eller programvare på systemdisken (rot-partisjonen) enn det som kommer via
 
 
 
IT-avdelingens Linux-installasjon og regelsett fra administrasjonsverktøy.
 
 
 
* Ved problemer eller vedlikeholdsarbeid vil maskinen (system og programvare)
 
 
 
kunne bli reinstallert av IT-avdelingen etter avtale med brukeren.
 
 
 
Reinstallering skal ikke medføre endringer i brukerens data eller innstillinger.
 
 
 
* Bruker har mulighet til å lagre data og installere programvare på hjemmekatalog
 
 
 
og på scratch-partisjonen (/scratch). 
 
 
 
Det gis ikke brukerstøtte på dette, og rpm-formatet er ikke støttet. 
 
 
 
Data på /scratch tas normalt ikke backup av.
 
 
 
 
 
===Beregningsressurser===
 
 
 
 
 
Denne klassen er en avart av klassen stasjonær maskin. 
 
 
 
Den er beregnet for servere som skal klientdriftes som fellesressurs for grupper av brukere,
 
 
 
da helst som ren innloggings- og beregnignsressurs. 
 
 
 
I helt spesielle tilfeller og etter dialog med IT-avdelingen kan det være aktuelt å sette opp servertjenester på slike.
 
 
 
Slike ressurser kan inngå i regneklynger.
 
 
 
 
 
* Samme som stasjonær maskin, men med mulighet for servertjenester og klyngetilkobling.
 
* Skal være mulig å montere i rack.
 
* Monteres i en av IT-avdelingens maskinhaller.
 
 
 
 
 
===Bærbar maskin===
 
 
 
 
 
* Samme som stasjonær maskin, men med bærbare tilpasninger
 
* Bruker skal kunne konfigurere nettverk selv for tilkobling andre steder enn UiB.
 
* Bruker har mulighet for synkronisering av filer med hjemmekatalog når man er på UiBs nettverk.
 
 
 
 
 
===Beskrivelse av tjenesten installasjon av programvare===
 
 
 
 
 
IT-avdelingen ønsker i utgangspunktet at all programvare som er i bruk
 
 
 
skal ha sentralisert installasjon (være pakket) selv om den bare brukes på et fåtall maskiner.
 
 
 
Dette gjelder også vitenskapelig programvare, labprogramvare m.v.
 
 
 
 
 
I visse tilfeller vil det imidlertid ikke være rasjonelt å pakke programvare
 
 
 
som f.eks. bare skal brukes en kort periode av én bruker.
 
 
 
Alle forespørsler om pakking av programvare vil bli vurdert.
 
 
 
 
 
Pakking av programvare stiller visse krav til hvordan programmet håndterer lisenser.
 
 
 
 
 
IT-avdelingen kan ikke pakke programvare med:
 
 
 
 
 
* Lisenssystemer som krever brukeraktivering for hver maskininstallasjon
 
* Lisenssystemer som krever maskinvarelås ('dongle') under installasjon       
 
* Lisenssystemer som generer lisensinfo basert på maskinvare
 
 
 
 
 
IT-avdelingen kan pakke programvare med:
 
 
 
 
 
* Lisenssystemer som krever maskinvarelås ('dongle') under kjøring av programmet
 
* Lisenssystemer som kan bruke lisensserver ved kjøring
 
* Alle andre lisenssystemer
 
 
 
 
 
I tvilstilfelle bør alltid IT-avdelingen konsulteres før kjøp av programvare.
 
 
 
[[Kategori:Regler, rutiner og retningslinjer]]
 

Revisjonen fra 9. feb. 2010 kl. 18:27

Hva er SSL?

SSL står for Secure Sockets Layer og betyr at datamengden som sendes mellom brukermaskin og tjenermaskin er kryptert.

Det foregår ved at tjenermaskinen har en krypteringsnøkkel med to passord. Det ene kan bare brukes til å kryptere innholdet og kan derfor gis ut til alle. Det andre kan brukes til å dekryptere innholdet og må selvsagt bare være kjent for eieren.

Når SSL brukes f.eks for å lese e-post så sender tjenermaskinen det offentlige passordet til brukermaskinen. Det skal skje uten at den som benytter maskinen trenger å være klar over det. Men brukermaskinen mottar passordet, bruker det til å lage meldingen uleselig for tredjepart og sender meldingen over nettet. Tjenermaskinen mottar meldingen og dekrypterer den ved hjelp av sitt hemmelige passord, og leverer meldingen videre inn i sitt lokale system. Dermed vil ingen mellom bruker og tjener kunne avlytte kommunikasjonen. Det er det samme som skjer når du leser websider som begynner med "https" i motsetning til "http".