Fellesmøte med Cerebrum-partnarane

Fellesmøte mellom USIT og Cerebrum-partnarane.

Send gjerne innspel til agenda!

Tid og sted: , Telefon 228-43019

Tilstades

  • Joakim Hovlandsvåg (USIT, ref)
  • Fredrik Larsen (Cerebrum utvikling)
  • Tobias Langhoff (Cerebrum drift)
  • Dag Løvlie (UiA)
  • Helge Høynes (UiA)
  • Trond Henry Akerbæk (HiØ)
  • Hans Erik Conrad Hansen (UiA)
  • Lars Øimoen (HiØ)
  • Linda Sekkelsten (HiØ)
  • Robert Haugan (NMH)
  • Karine Justad (NIH)
  • Simon Oliver Olavus (ØFK)
  • Willy Jensen (NIH)

Sak 1: Nytt sidan sist [informasjon]

Informasjonsrunde frå USIT og partnarane om kva som har skjedd i og rundt Cerebrum i det siste, rundt utviklingsarbeid og driftsaktiviteter. Vi oppfordrer til spørsmål undervegs.

Sjå også referat frå forrige fellesmøte.

Frå USIT:

  • UiO IntArk:
    • API manager vald: Gravitee.io. Teamet jobber med å sette i drift.
    • RabbitMQ er i prod. Jobbast med driftsrutiner.
    • ADMS finpussast på, blant anna enklare installasjon. Skal testast og vere klar før 2018.
  • Prosjekt eValg 3.0 i frys. Kan evt. starte att på hausten 2018.
  • Tentativ årsplan for 2018 er lagt ut. Mykje integrasjon. Vil endre seg.
  • HiØ og UiA tar i bruk CerebrumWS, USIT utvikler og bøggfikser :)
  • BOTT-Cerebrum: UiO, UiT og NTNU har lovd samla bidrag på 1 årsverk for å slå saman Cerebrum. Skjer i 2018, starter første fase i desember.
  • Utkast til ny Cerebrum-avtale. Føring på responstid på saker, bl.a. svar innan eit døgn.
  • Ang. passord til utanlandske studentar: UiO har samme behovet, og ønsker truleg samme løysing - å bruke fødselsdato.

Diskusjon

UiA: Conrad tester CerebrumWS for å opprette heimeområde i NIS. Conrad fann ein bøgg, sender rapport innan veka, i håp om å få den med til sprinten som starter neste veke.

Sak 2: Planar for Active Directory [diskusjon]

Oppfølging frå forrige møte, der USIT bad partnarane om å sjekke om det er hensyn ny AD microservice må ta hensyn til?

Diskusjon

UiA skal få AD opp på 2016-nivå ganske snart. HiØ har 2012R2 foreløpig, ingen plan om 2016, men det kjem nok.

Elles ingen andre hensyn som vart tatt opp.

UiA var innom behov for at grupper får mail-adresse. Korleis handtere det? Bør helst også påvirke MX. UiA har behovet, og set opp plan for korleis dei ser for seg bruk av dette. UiA tek det opp att når dei har funne ut korleis dei vil ha det.

Oppfølging

USIT blir ferdig med ADMS og seier frå når klar.

UiA kjem tilbake med bestilling/diskusjon om mail-adresser for grupper.

Sak 3: Passordtjenester og API manager [diskusjon]

I forslag til ny Cerebrum-avtale er Passordtjenester inkludert i pakken - USIT ønsker drifte den for alle. API manager er klar til bruk frå 1. januar 2018. USIT ser for seg å sette opp kvar partner sin CerebrumWS i UiO sin API manager, og derfrå styre tilgangen vidare til Passordtjenestene. Etterkvart kan fleire tenester få tilgang gjennom API manager.

  • Nye Passordtjenester følger berekna entropi, og ikkje spesfikke krav i passordet. Ønsker partnarane meir informasjon om denne formen for passordkrav?
  • Passordkrava støtter passfraser, dvs dei inkluderer mellomrom og er meint å vere lenger. Støtter partnarane sine tenester passfraser, dvs. lange passord med mellomrom? USIT kan bistå for å sjekke dette, td. ved å overstyre enkeltbrukarar sitt passord til å følge nye passordkrav.
  • Kommentarar frå partnarane om å sjølv få tilgang til API manager for å styre kven som får tilgang til sin CerebrumWS? Ønskeleg?

Diskusjon

UiA ønsker teste ut passordtenesta før dei evt. går i prod. UiA ønsker å vite våre konkrete krav. UiO har krav om 33 poeng i dag, men skal senke den til 32 poeng.

Ønskeleg å ha god testperiode før studentinnrykket.

Positiv til å ha sjølv kunne styre tilgangen via API manager sjølv.

Oppfølging

Joakim informerer om krava. (Ref.anm: Forenkla forklaring, samt teknisk utreding)

Joakim ringer Trond for å sette nytt, langt passord.

Sak 4: pybofh [diskusjon]

USIT har planlagt å ferdigstille pybofh, og med det fase ut jbofh. pybofh støtter berre linux - støtte på windows må evt. settast opp sjølv. Ønsker innspel frå partnarane rundt dette.

Diskusjon

Både UiA og HiØ får praktiske problem om windows ikkje støttast. Håper det kan tilpassast for windows.

Treng spesielt eit overgangsvindu for å teste.

Forøvrig jobbe UiA med å lage løysingar så førstelinje slepp å bruke kommandolinja, då førstelinje er utvida og etterkvart mindre teknisk personell.

Oppfølging

Joakim tek med vidare tilbake at pybofh treng windows-støtte.

Sak 5: CerebrumWS [diskusjon]

UiA har ymse spørsmål om CerebrumWS.

Diskusjon

UiA ønsker å kunne styre forwards, så det er mulig å endre det i Office365 og få det til å funke i alle relevante system. E-postdata er ikkje ein del av fokusområdet til Cerebrum, og kjem difor ikkje inn i CerebrumWS. Det kan hende Cerebrum får eit eige API for e-postdata, men det er ikkje konkretisert.

UiA ønsker å kunne ha eigen, rein lese-tilgang til tenesten, til å dele med eksterne system. Dette kjem med API manager, så avventer den.

Oppfølging

USIT vurderer forwards i eige API, eller anna løysing. Lågare prioritet. Vidare diskusjon i saka, CRB-2242.

Sak 6: Passordbytte for kritiske brukarkontoar [diskusjon]

UiA har tatt opp behovet for å beskytte kritiske/viktige brukarkontoar frå passordbytte frå førstelinja og andre. UiO har eit opplegg på plass for denne situasjonen.

Kort oppsummert: Brukarkontoar må eksplisitt få satt eit trait important_account, som gjer at ingen med vanleg passordbytte-tilgang (set_password) kan sette passord på dei. Du må ha rettigheten "set_password_imp" eller vere superbrukar for å bytte passord. Det er få personar som har denne tilgangen. Erfaringa frå UiO er at det fungerer som det skal, men det er få personar som er markert med dette traitet - kanskje fordi vi allereie har meir granulert passordbyttetilgang fordelt på kven som eig disken heimeområdet ligg på (fakultet og institutt).

Diskusjon

Gjeld hovudsakleg passord, men også andre endringar på brukarkontoar.

Helst ønskeleg å kunne melde folka inn i ei gruppe, heller enn å bruke traits direkte.

Oppfølging

UiA sender bestilling på å få dette. (Ref.anm: Oppretta sak CRB-2367, då det trengde litt utvikling).

Sak 7: Cerebrum-logging til Uninett Logganalyse [diskusjon]

Cerebrum har spurd internt om å gje partnarane innsyn i sin ELK-stack for å sjølv kunne sjå i Cerebrum sine loggar. Dei henvendte til Uninett sin LaaS. Ønsker partnarane å få Cerebrum sine loggar over til Uninett, for å kunne få fullt innsyn?

  • Bruker nokon av partnarane tenesten i dag? Kva er i så fall inntrykket?
  • Tenesten har ein kostnad hos Uninett. På ein tilfeldig dag (16. nov) loggast det 450 MB hos UiO, 225 MB hos UiA og 100 MB hos HiØ.
  • Kva er partnarane interessert i av loggar? Alt? Spesifikke tenester eller operasjonar?

USIT er ikkje kjend med tenesten, anna enn at den skal bruke samme komponentane som på UiO. Det er difor ønskeleg å vite om dette er eit prioritert ønske frå partnarane.

Diskusjon

Klar forbedring frå dagens status, der partnarane har null loggar. HiØ bruker allereie Uninett Logganalyse.

Positive, og interesserte, men ønsker helst å sjå om loggane er interessante først.

Oppfølging

Joakim høyrer om det er greit, og køyrer rsync av loggar til UiA og HiØ sine maskiner. UiA og HiØ kan deretter vurdere om det er aktuelt å få det i Uninett LaaS.

Sak 8: Sikkerhetsforbedringar [diskusjon]

UiA har køyrd ROS-analyse og ønsker diskutere mulige forbedringar:

  • To-faktor-autentisering mot bofhd
  • ID-porten-kobling mot Passordtenesten
  • Passordbrev til digital postkasse

USIT har vore innom fleire av desse, men har ikkje prioritert dei. Kva ønsker partnarane, og med kva prioritering?

Diskusjon

To-faktor-autentisering: mot pybofh. Ønskeleg. USIT har ikkje vurdert det.

ID-porten: Use cases: Dei som har mista mobilen, eller ikkje ønsker å ha mobilnummeret sitt registrert hos instansen. I behov for å bygge ned førstelinje for passordbytte. BankID er bra.

Passordbrev til digital postkasse: Folk i utlandet som har mista mobilen sin, korleis skal dei få tilgang til nytt passord? Altså ikkje fast, men å kunne ha muligheten. Sjeldan bruk for, men når det først skjer tek det mykje tid å få løyst - difor ønskeleg å ha fleire muligheter å kunne bruke.

Kanskje mulighet å kunne sende ut passordbrev manuelt via nettsider, td. digipost.no, hvis mulig. UiA sjekker ut.

Oppfølging

Joakim høyrer internt om to-faktor for pybofh. (Ref.anm: CRB-2369)

UiA sender bestilling på bruk av ID-porten mot Passordtenesten. HiØ også interessert, så Joakim legg dei til på innsendt bestilling. (Ref.anm: RT#2758904)

Joakim høyrer på nytt om bruk av digital postkasse, kostnad og prioritet, frå USIT.

Sak 9: Tid og tema for neste møte [beslutting]

Avtaler tid for neste møte, og evt. tema.

Diskusjon

Joakim går ut i pappaperm frå 1. januar 2018 til starten av april.

Tentativt første halvdel av februar, eventuelt etter at Joakim er tilbake.

Oppfølging

Joakim sjekker med Hans Kristian, og sender evt. ut forslag til ny tid. (Ref.anm: Neste møte vert i april 2018).

Eventuelt

Frå UiA: Spørsmål om GDPR? Andre som har starta?

Var visstnok ikkje lov å ha historikk i anna enn arkiv og kjeldesystem (SAP og FS). Kva med brukarnamn og e-postadresser? Mykje er usikkert. USIT avventer kva juristane sin konklusjon.

Frå UiA: Mail-enabled grupper i Cerebrum.

Var innom det i Sak 2.

Frå UiA: Canvas-integrasjon:

UiA-folk er interessert i integrasjonen til USIT mellom Cerebrum og Canvas. Den tek blant anna ikkje alle folk, dvs. dei som ikkje har roller i FS. Om SAP-folk importerast til Canvas, korleis skal dei kunne leggast inn, men utan riktig plassering?

Joakim sjekker opp kvifor saka om import av ansatte frå FS til SAP har stoppa opp (RT#2159711). Enkel jobb, så rart at det har tatt over eit år.

Etter møtet

Set av litt tid etter møtet for tekniske og meir snevre tema, for spesielt interesserte.

Emneord: cerebrumfelles
Publisert 4. okt. 2017 15:15 - Sist endret 13. jan. 2023 12:35
Del på e-post