Innhold
1 Oversikt
Litt bakgrunnsinformasjon som trengs for klargjeringa av miljøet.
1.1 Kontaktpunkt
Kven som kan kontaktast i kva situasjon.
1.1.1 Uninett
Uninett har ansvar for og forvalter ePhorte-databasane på vegne av alle instansane. Alle endringar i ePhorte-miljøet skal gå gjennom dei.
Systemeigar for ePhorte er Armaz Mellati, men kontakt skjer normalt gjennom eSAK eller trofast-drift.
Uninett har ansvar for innholdet i ePhorte-databasane, styrer tilgangane til databasane og har også kontroll over port-tilgangane inn til ePhorte-miljøet. Ingen på USIT skal gjere noko i ePhorte som ikkje går under vanleg drift, utan at Uninett først har sagt ja til det. Uninett har allereie godkjent at UiO kan installere og køyre EIS i trofast-miljøet, så dette treng vi ikkje å vere i dialog med dei om.
1.1.2 eSAK
Arkiv på UiO, er dei som held avtalen med Uninett om bruk av ePhorte for UiO. Det er eSAK som kan ta opp avtaler og bestillingar med Uninett.
Kontaktpersonen vår hos eSAK er arkivleder Lena Andersen.
1.1.3 Trofast-drift
Har ansvar for driftsmiljøet, dvs. at miljøet og maskinene er oppe og køyrer. Har ikkje ansvar for innholdet i sjølve databasane, og forvaltinga av desse. Det er trofast-drift som kan hjelpe oss med å sette opp og oppdatere webservicen.
Kontaktpersonen vår i trofast-drift er Arild Marthinsen.
Ansvarleg for ressursar er tenestegruppeleiar Ola Ødegård, evt. gruppeleiar Are Garnåsjordet.
1.1.4 Database-drift
Database-drift drifter sjølve ePhorte-databasane på vegne av Uninett. Dei har difor innsikt og tilgang til å gjere endringar, men ikkje utan at Uninett først har godkjent det. Trofast-drift og database-drift er her to separate driftsledd under Uninett, som begge skal snakke med Uninett.
Kontaktpersonen vi har brukt for ePhorte er Elizabeth Santos, men ukevakta til DBA skal kunne hjelpe oss med det meste.
1.1.5 Nett-drift
Styrer port-tilgangar lokalt på USIT og UiO, men ikkje for ePhorte-miljøet.
Kontaktpunktet vårt hos nett-drift er lista nett-drift@usit.uio.no.
1.1.6 Cerebrum drift
Har ansvar for Cerebrum sitt driftsmiljø, og kan bistå med test-databasar og anna. Cerebrum drift vil få ansvaret for å drifte integrasjonen med ePhorte når den er ferdigutvikla.
Kontaktpunktet vårt er lista cerebrum-uio@usit.uio.no.
1.1.7 UAIT
Utviklarane som skal lage integrasjonen til Cerebrum. Dette er ei rein utviklingsgruppe, og har ikkje driftsansvar.
Kontaktperson i UAIT er Hans Kristian Fjeld.
1.1.8 Evry
Evry har utvikla EIS, og servicen som Cerebrum skal kommunisere med for å oppdatere ePhorte. Evry har ikkje tilgang til miljøet vårt, men får det når dei sit saman med trofast-drift.
Utviklaren som skal sette opp integrasjonen er Robin Berg Pettersen. Tidlegare konsulent var Frank Sandersen.
1.2 Systemet
Ein oversikt over korleis systema heng saman:
+---------------------------------------------+
| |
+---------------+ | +----------------+ +----------------+ | +---------------+
| | SOAP | | | SOAP | | | SQL | |
| Cerebrum |-------->| Evry-WS |------>| EIS |------->| ePhorte-db |
| | | | | | | | | |
| | | | | | | | | dba-drift |
+---------------+ | +----------------+ +----------------+ | +---------------+
| trofast-drift |
+---------------------------------------------+
| Stadie | Cerebrum-miljø | Trofast-host | ePhorte-database |
|---|---|---|---|
| Test/utvikling | cere-utv01.uio.no | ephuiotest.trofast.uio.no | test |
| Staging | TODO: test- eller prod-miljø? | TODO | TODO: kurs? |
| Produksjon | cerebrum-uio.uio.no | ephuio.trofast.uio.no | prod |
ePhorte er i utgangspunktet ein database. Det krevast brukarkonto med tilgangar på databasenivå for å gjere endringar i denne. Maskina databasen køyrer på er ikkje relevant for oss, den køyrer i dba-drift sitt miljø. Det er ein eigen database for test, kurs og produksjon.
Det er Uninett som forvalter tilgangane til databasen, så det er dei som må bli spurd om slikt, men det er dba-drift på USIT som drifter miljøet og utfører endringane.
EIS er satt opp og køyrer på trofast-hosten, dvs. den er installert samme stad som ePhorte. EIS består av fleire webservices.
Evry sin webservice er satt opp og køyrer på maskiner i trofast-miljøet. Cerebrum sin klient skal ha tilgang til ein port på desse maskinene, og maskinene skal ha vidare tilgang inn til ePhorte-databasane.
Cerebrum er i denne situasjonen ein klient og køyrer frå test- eller produksjonsmiljøet til Cerebrum. Cerebrum må ha tilgang til å snakke med Evry-WS. UAIT har tilgang til testmiljøet, men berre Cerebrum drift har tilgang til produksjonsmiljøet.
2 Tilgangar og oppsett
Målet før ein kan starte vidareutviklinga:
- Evry-konsulenten må få tilgang til ePhorte sitt test-, kurs- og produksjonsmiljø for å kunne sette opp og vidareutvikle webservicen. Han treng også tilgang til å kommunisere med Evry-WS frå sin laptop.
- Cerebrum sitt testmiljø må ha tilgang inn i ePhorte. Dette gjerast gjennom Evry sin webservice, som igjen snakker med EIS.
2.1 Konsulenttilgangar
2.1.1 Port-tilgangar
Konsulenten treng å kunne snakke med webservicen sin frå sin laptop, grunna testverktøy og oppsett som ligg på laptopen. Webservicen køyrer på ei maskin i trofast-miljøet.
Uninett har opna opp tilgang til port 80, 443 og 3389 frå 129.240.202.*/129.240.203.*. Dette er bl.a. "USIT-internt klientnett", som gjer at UAIT sine kontormaskiner har tilgang, men ikkje subnettet for trådlausnettet.
Bruk av VPN hjelper ikkje, då det gir tilgang i eit subnett som ikkje har tilgang til ePhorte.
Enn så lenge har vi løyst dette ved å satte opp SSH-proxy ved å gje konsulenten påloggingstilgang til ein av kontormaskinene til UAIT. Dette er berre ei midlertidig løysing. Dette krever også eit meir stabilt nett enn trådlausnettet, då SSH er sensitiv for timeouts, så det er då ønskeleg med trådfast-nett for konsulenten sin laptop.
2.1.2 Administrasjon av ePhorte
Konsulenten treng administrasjonstilgang til ePhorte-miljøet for å bl.a. kunne sette opp og oppdatere webservicen.
Administrasjonsgrensesnittet har konsulenten tilgang til gjennom Remote Desktop. Obs: Dette skal berre gjerast når trofast-drift overvåker gjennom Teamviewer. Det ser ikkje ut til å vere noko omveg rundt dette, som gjer at trofast-drift må vere parat til å bistå i utviklingsperioden.
Eit alternativ, er at trofast-drift kan sjølv oppgradere webservicen når dei får tilsendt ny versjon. Ifølge Robin går oppgraderinga berre ut på å bytte ut ei kodefil og resten skal ordne seg sjølv. Trofast og Evry må bli enige om kva som er enklast for dei.
Konsulenten sin brukar har fått ein lokal administratorkonto på maskina som webservicen køyrer på i trofast-miljøet.
2.1.3 Gjenståande
| Id | Kva | Status | Kommentar |
|---|---|---|---|
| 1 | Feide-brukar | Fullført | Konsulenten har fått brukaren robinbp, med gyldig rolle frå SAPUiO. |
| 2 | Tilgang til adm- grensesnitt i ePhorte test | Fullført | Er blitt gitt adminrettigheter på ephuiotest. |
| 3 | Port-tilgang til WS | Fullført | Har fått proxy-tilgang gjennom UAIT sine kontormaskiner |
| 4 | Vite kva konsulent treng | Fullført | |
| 5 | Tilgang til å oppgradere webservicen | Pågår | Får tilgang, men under overvåking av trofast-drift. Ikkje optimalt, må då skje i vanleg arbeidstid. Ser på andre løysingar, som at trofast-drift kan sjølv oppgradere, eller at konsulenten får tilgang til å gjere berre ein ting, nemleg å oppgradere akkurat WS-koden og ingenting anna. Trofast ser på alternativ. |
| 6 | Få bekrefta ressursar frå trofast-drift | Fullført | Aril Marthinsen støtter oss dei nærast vekene |
| 7 | Trådfast-tilgang | Fullført | Konsulent sit på laptop, men wifi er for ustabilt, så ssh-proxy kobler frå og alt må settast opp att. UAIT har fått trådfast-tilkobling på 1305, i stikk 1068. |
| 8 | Tilgang til kurs | Få avklart med trofast-drift om kva konsulenten får tilgang til for kurs-databasen | |
| 9 | Tilgang til prod | Få avklart med trofast-drift om kva konsulenten får tilgang til for prod-databasen |
2.2 Tenestetilgangar
2.2.1 Port-tilgangar
Både trofast-miljøet og Cerebrum sitt test- og produksjonsmiljø ligg på USIT sitt servernett, så alt av port-tilgangar er ok.
2.2.2 Oppsett av EIS
Er EIS installert, og kva database snakker den med? Trofast mangla dokumentasjon om tenesta, og var ikkje sikker på om den var installert.
2.2.3 Rettigheter i ePhorte
Eg har ikkje forstått korleis rettighetene i ePhorte fungerer, og skal strengt tatt ikkje ha behov for å forstå det heller, men det fungerer ved at vi treng:
- Ein brukar med tilgang til å opprette brukarar og tilordne rettigheter
- Ein brukar med "tilgang til alt". For Cerebrum sin del kan denne gjerne sperrast ned så vi berre har tilgang til akkurat det vi har behov for, og ikkje td. kunne sjå dokument i arkivet. Det er framleis uklart kva som trengs av tilgangar, så
Det er blitt oppretta ein brukar i ePhorte sitt testmiljø, som "har tilgang til alt". Dette skal difor no fungere, men det må testast.
2.2.4 Gjenståande
| Id | Kva | Status | Kommentar |
|---|---|---|---|
| 1 | Verifisere EIS | Fullført | Robin har bekrefta at EIS er satt opp og fungerer som den skal. |
| 2 | Verifisere kontakt med WS | Fullført | UAIT sine kontormaskiner og Cerebrum sitt testmiljø får kobla seg opp mot WS |
| 3 | Verifisere at WS fungerer | Pågår | WS gir feilmeldingar når ein kaller på dei definerte funksjonane. Det er blitt gjort ein god del feilsøking av trofast-drift for å finne årsaken til dette, men utan resultat endå. |
| 4 | Tilgang i test-db | Pågår | Trofast/DBA har oppretta brukar i EPHUIOTEST, men det er usikkert kva denne har gitt tilgang til og ikkje. Trofast har dialog med Uninett og DBA for å ordne dette. |
| 5 | EIS-dokumentasjon | Pågår | Trofast-drift treng dokumentasjon om EIS. Robin er blitt spurd om dette. |
| 6 | Info om ePhorte- rettigheter | Vi treng informasjon om kva rettigheter vi treng i ePhorte. | |
| 7 | Bestille oppsett | Trofast må få bestilling på samme oppsettet av miljøet som skal brukast for staging/akseptansetest. Vi treng då ack frå eSAK om kva miljø som skal brukast. | |
| 8 | Bestille oppsett av prod | Trofast må få bestilling på samme oppsettet av prodmiljøet. Cerebrum drift må verifisere at tilgangen fungerer. | |
| 9 | Sperre ned tilgangen til brukaren | Det er ønskeleg å sperre ned tilgangen som Cerebrum sin ePhorte-brukar har tilgang til. Vi ønsker ikkje admin-tilgang, sidan vi då står i fare for å lese sensitive data ved innbrot i Cerebrum sitt system. |