Závěrečná zpráva o řešení projektu č. 237/2004 Zvyšování integrity informačních systémů Ostravské univerzity realizovaného v rámci Transformačních a rozvojových projektů pro veřejné VŠ na rok 2004 programu MŠMT ČR Řešitel: Program: Podprogram: Bod: Pracoviště: Mgr. Martin Malčík 1 e a Ostravská univerzita v Ostravě, Centrum informačních technologiíbráfova 5, 701 03 Ostrava Spoluřešitel: Tomáš Kamrád, Ing. Jaroslav Švehlák Cíle projektu Vytvoření celouniverzitního integrovaného Informačního systému na bázi portálového řešení. Tento cíl byl rozdělen do několika realizačních kroků: 1. Nákup nových databázových serverů a instalace clusteru 2. Instalace Oracle 9i na tyto servery 3. Instalace WebSphere AS a portálu 4. Integrace IS OU do portálu, jednotná autentizace, autorizace Řešení projektu 1. Nákup nových databázových serverů a instalace Pro provozování každého informačního systému je velice důležité dobře vybrat hardwarovou a softwarovou platformu, na které bude provozován. Pro naše účely bylo nutno vzít v úvahu budoucí velké zatížení systému - velké množství uživatelů přistupujících k aplikacím a nutnou spolehlivost systému. Po pečlivém zvážení byl zvolen vysoce výkonný a spolehlivý hardware firmy IBM : 2x IBM @server xseries 345 a 2x IBM @server xseries 365. Jejich konfigurace zaručuje maximální možnou bezpečnost na úrovni hardware - většina komponent je duální (zdroje, procesory) Všechny servery jsou vybaveny velikostí paměti (6GB) dostatečnou na to, aby na nich mohly být provozovány náročné on-line aplikace a aby zvládaly v krátkých časech vyřizovat požadavky velkého množství uživatelů. To je podporováno rovněž rychlými procesory typu Xeon 2,7 GHz.
Významná pozornost je věnována bezpečnosti ukládání dat. Diskový prostor každého ze serverů tvoří interní hardwarové diskové pole o velikosti cca 200 GB složené z SCSI HotSwap disků, které mohou být vyměňovány během provozu serveru bez nutnosti odstávky a jejich případná závada neohrozí bezpečnost dat ani neomezí provoz. Data jsou uložena v RAID5 nebo jsou mirrorována. Také rychlost připojení do sítě hraje v případě poskytování on-line služeb významnou roli. Servery jsou proto připojeny do sítě OU kartami s přenosovou rychlostí 1Gbit. Spolehlivý, bezpečný a výkonný hardware je podporován i vybraným operačním systémem. Jedná se o SuSE Linux Enterprise Server (SLES) verze 8. Linuxové distribuce jsou obecně považovány za velice stabilní a spolehlivé operační systémy. Od roku 1992 je SUSE jedním ze světově nejrozšířenějších poskytovatelů linuxového softwaru a služeb. Díky jednomu z největších výzkumných týmů dokáže SUSE poskytovat software připravený pro podnikovou sféru a služby. Důležitou výhodou SLESu jsou certifikace, které garantují, že SLES bude možné použít k zamýšleným účelům. V současné době je kromě jiného pro něj certifikován databázový server Oracle, IBM Portal i aplikace WorkPlace, které jsou na zakoupených serverech nainstalovány. Kromě toho je certifikována celá řada serverů od velkých firem, například IBM, tedy i námi zakoupené servery. Získali jsme tak konfiguraci, kdy nové aplikace jsou provozovány na certifikovaném hardwaru i softwaru, což zaručuje optimální podmínky pro jejich bezpečný, stabilní a spolehlivý provoz. Po analýze předpokládané zátěže a náročnosti aplikací byly konkrétní instalace aplikací na servery rozloženy následovně: 1. IBM x345 - aplikace IBM WebSphere Portal - portál OU 2. IBM x345 - aplikace IBM Lotus WorkPlace - e-learning 1. IBM x365 - databázový server Oracle pro uložení dat výše uvedených aplikací 2. IBM x365 - uživatelsky orientovaný server sloužící hlavně pro přípravu dat k výše uvedeným aplikacím
2. Instalace databáze Oracle 9i pro cluster S ohledem na nároky a trend vývoje IS na OU byl vybrán a nainstalován jako databázový engine RDBMS Oracle 9i Enterprise edition. Tato verze disponuje oproti předcházející daleko lepší podporou LDAP a také obsahuje mnoho dalších velmi silných nástrojů pro zajištění bezpečnosti dat, a spolehlivosti systémů. V dalších odstavcích je stručně popsán způsob zajištění těchto cílu v prostředí tohoto databázového stroje. Bezpečnost Fine Grained kontrol umožňuje zavádět tzv. virtuální privátní databáze. Jejich základní charakteristikou je, že každému uživateli je dostupná jiná množina dat, každý tedy může vidět databázi jinak, podle specifikovaných pravidel pro přístup k datům. Zabezpečení dat je provedeno na úrovni databáze, nikoli aplikace, databáze je tak zabezpečena proti zcizení údajů pomocí nízkoúrovňových nástrojů pracujících přímo na bázi jazyka SQL. Dalším prvkem podílejícím se na zabezpečení databáze je schopnost velmi podrobného auditování v RDBMS ORACLE 9i. Lze auditovat každý pokus o přihlášení do databáze včetně jeho výsledku a také je možné auditovat přístupy k libovolným objektům v databázi. Výsledky je se ukládají do databázové tabulky a efektivně se analyzují pomocí dotazů jazyka SQL. Dalším nástrojem bezpečnosti jsou uživatelské profily. Ty umožňují nastavit různé politiky pro správu hesel a doby připojení k databázi podle výše práv přístupu k datům. Spolehlivost Mezi základní úkony podílející se na spolehlivosti databáze patří zálohování a správa systémových zdrojů. Zálohování a obnova dat Zálohování a obnova dat v Oracle 9i Enterprise Edition je v důsledku dlouholetého vývoje na velice pokročilé úrovni. Je možné zvolit mnoho různých strategií zálohování dle specifických potřeb konkrétní databázové aplikace. Díky existenci transakčního žurnálu je možné snadno obnovovat data při selhání databáze, v mnohých případech probíhá proces obnovy automaticky po opětovném spuštění databáze. Důležitou vlastností databáze Oracle 9i Enterprise Edition je rovněž schopnost provádět zálohy databáze za běhu, bez nutnosti dočasně zastavit běh databáze, čímž se dosahuje vysoké dostupnosti systému. Pro automatizaci procesu zálohování a obnovy lze využít nástroj Recovery Manager. Správa systémových zdrojů Pro řízení systémové zátěže umožňuje Oracle 9i použít skupiny zdrojů, které se podle zadaných pravidel přiřazují uživatelům přihlášeným k databázi. To umožňuje dynamicky určovat například procesorový čas nebo paměťové zdroje v závislosti na celkovém zatížení a prioritě uživatelů a v důsledku toho se dá zabránit přetížení systému.. Pro správu skupin zdrojů a pravidel je k dispozici výkonný nástroj Database Resource Manager.
3. Výběr a instalace portálového prostředí WebSphere AS a portálu probíhala v následujících krocích: a. Instalace WebSphere portálu i aplikačního serveru Portál je úspěšně nainstalován na systémech Linux Redhat 8.0 a SuSE Linux Enterprise Server (SLES) verze 8. Na Ostravské univerzitě existují dvě instance Websphere Portal 5.0.2. První je provozována jako oficiální Portál Ostravské univerzity a můžete jej nalézt na Internetové adrese http://portal.osu.cz/. Součástí instalace WebSphere Portal 5.0.2 byl také nainstalován aplikační server WebSphere Application Server 5.0.2, který se stal hlavním aplikačním serverem Ostravské univerzity. Portálový i aplikační server byly nainstalovány na server od firmy IBM x345. Druhá instance je určena pro vývoj aplikací, nachází se na samostatném serveru, má identické nastavení jako oficiální Portál Ostravské univerzity a je využíván úzkou skupinou vývojových pracovníků na CIT. b. Synchronizace s LDAP serverem a databází ORACLE Portál je spojen s LDAP serverem na zabezpečeném protokolu SSL. LDAP server od firmy Novell je jednoznačným ověřovacím mechanismem pro Ostravskou univerzitu a jsou zde drženy veškeré informace o uživatelích informačních systémů na OU. LDAP server se nachází na samostatných serverech Abik a Dynami, jež tvoří primární a sekundární LDAP server Ostravské univerzity. V případě výpadku jednoho LDAP serveru automaticky přebírá ověřování server druhý, proto nedojde k přerušení práce koncového uživatele. Portál OU je spojen s databází Oracle 9i, která se nachází na dalším serveru od firmy IBM x365. Po implicitní instalaci Websphere Portal 5.0.2, která si automaticky vytváří své datové úložiště v open source databázi firmy IBM Cloudscape, jsme provedli migraci na databázi Oracle. Datové úložiště se tedy přesunulo na další server, který je pečlivě zálohován. c. Převod stávajících aplikací běžících na J2EE pod aplikační server Websphere. Aplikace dříve provozované na aplikačním serveru JBoss jsou aktivně převáděny na aplikační server WebSphere Application Server 5.0.2. Hlavním důvodem je umožnění realizovat prezentační vrstvu na WebSphere Portal. Velké aplikace jsou však vyvíjeny nadále pod aplikačním serverem JBoss, aby byly schopny nadále fungovat také jako samostatné aplikace. Aktivně jsou nyní převedeny aplikace Dipl (registr diplomových prací) a Akros (akreditační systém Ostravské univerzity), u poslední z těchto větších aplikací Publ (publikační systém) se chystá započetí prací v březnu roku 2005.
d. Vytvoření portletů (prezentační vrstva) pro tyto aplikace. Ke každému informačnímu systému je vytvořen jeden či více portletů, které tvoří uživatelské rozhraní. obr č.1 Akros Přírodovědecká fakulta Akreditační informační systém Ostravské univerzity tvoří jeden robustní portlet, který v sobě ukrývá obrovskou funkčnost. V současné době je již aktivně používán. obr č.2 Akros export formulářů
obr č.3 Dipl vyhledávání Dále jsou implementovány portlety pro informační systém Dipl, jeden z nich zahrnuje funkčnost pro studenty, kteří si mohou vyhledávat diplomové práce. Pokud má student dostatečná práva může také svou diplomovou práci přidat. obr č.4 Dipl přidávání práv Pro přidělování práv ke vkládání diplomových prací slouží další portlet, který umožní studijním referentkám udělit přístup k přidávání diplomové práce do databáze. e. Zakomponování Intranetu OU pod portál. Intranet Ostravské univerzity je přesouván pod Portál Ostravské univerzity, veškeré dynamické struktury jsou přesouvány a z větší části je přesun hotov. Veškeré nové návrhy uživatelských aplikací jsou zpracovávány pro Portál Ostravské univerzity, tudíž Intranet pomalu zaniká. obr č.5 Hlášení poruch pro Help desk OU
obr č.6 Výpisy akreditačních informací obr č.7 Vývěska informací o nových úpravách v IS Magion obr č.8 Univerzitní novinky Veškeré informace publikované na Portálu Ostravské univerzity nejsou chráněny jen autentizací (ověřování uživatele), ale také autorizací (přidělení práv určitému uživateli nebo skupině). Tento přístup umožňuje využití flexibility dynamického generování Internetových stránek, založeném na uživatelském profilu.
f. Vytvoření API rozhraní pro aplikace provozované cizími firmami. V této chvíli je vytvořeno API rozhraní pro informační systém STAG. Jedná se o komponenty EJB, které jsou implementovány na aplikační server WebSphere Application Server 5.0.2. obr č.9 Enterprise aplikace na aplikačním serveru Tato EJB komponenta řeší přístup k datům studijní agendy a umožňuje prezentační vrstvě (portletům) tyto data poskytovat uživateli. Stejné komponenty budou vytvořeny pro IS Magion, kde jsme prozatím přistoupili k dílčímu řešení aktuálních potřeb. g. Zpracování portletů (prezentační vrstva) pro aplikace provozované cizími firmami. Nad EJB komponenty pro informační systém STAG je vytvořena prezentační vrstva ve formě portletů. Tyto portlety se lokalizují vždy na aktuálně přihlášeného uživatele a poskytují mu informace o jeho osobě. obr č.10 STAG známky studenta
obr č.11 STAG informace o studentech Prezentační vrstva nad druhým stěžejním informačním systémem od cizí firmy je řešena prozatím dílčím způsobem, ale chystáme komplexnější řešení. V této chvíli poskytujeme jednotlivé portlety, které zobrazují příslušné informace pro přihlášeného uživatele, či umožňují jinou funkčnost. obr č.12 MAGION personální informace obr č.13 MAGION služební cesty
obr č.14 MAGION evidence stravenek IS Magion je prozatím zapojen opravdu dílčím způsobem, nicméně již je velkou mírou využíván. h. Realizace a spuštění MISu. Podklady pro Manažerský informační systém jsou vytvářeny každou novou aplikací, která na Portálu Ostravské univerzity vzniká, protože se stále posiluje datová vrstva. Prvním výstupem v této oblasti je portlet Přehled Ostravské univerzity, který je určen především jako pomoc pro vytváření výročních zpráv a podobných dokumentů. obr č.15 Přehled Ostravské univerzity Manažerský informační systém bude realizován především v konečné fázi projektu. i. Dokončení projektu Portál OU. Předpokládané dokončení projektu se odhaduje na konci roku 2005.
4. Integrace IS OU do portálu, jednotná autentizace, autorizace První největší skupinu tvoří IS, které jsou vyvíjeny, nebo již jsou vyvinuty využívajíc technologii J2EE, u těchto aplikací je integrace velice snadná a k tomuto řešení přímo vybízejí. Z těchto IS právě jsme integrovali systémy AKROS a DIPL, v nejbližší budoucnosti začleníme IS PUBL. Druhou skupinu tvoří informační systémy, které jsou vytvořeny na jiných technologiích, které ovšem využívají databázi Oracle, což nám skýtá možnost využívat přímo data uložené v databázi pro MIS. V případě absolutní integrace IS do portálu je nutno tvořit mezivrstvu, která spojuje oba systémy. Analýza je dokončena a nyní jsme ve fázi implementace jednotlivých modulů. Třetí a z hlediska realizace nejtěžší skupinu tvoří aplikace, které využívají vlastní databázi a navíc ještě nejsou naprogramovány na technologii J2EE. Zde se řeší jak otázka dat, tak otázka aplikační logiky. V tomto případě se nejedná o stěžejní IS a jejich integrace se může řešit jako jedna z posledních. ORACLE 8i Database Novell Forms 6i Applications Other Non-Web Applications LDAP server WebSphere AS WebSphere Portal Single Sign-On J2EE Applications Apache + PHP Other Web Servers PHP Applications Web Applications PHP SSO Module SSO Module obr č.16 Migrace systémů do portálového prostředí Aktuální stav Probíhá synchronizace stávajících produktů a vývoj nových, dle dohodnutých předpisů s cílem dosáhnout jednotné prostředí se snadnou komunikací mezi jednotlivými produkty a kvalitní prezentační vrstvou (Manažerský Informační Systém). Dochází k oddělování dat od aplikační logiky, pomocí využívání aplikačního serveru WebSphere Application Server 5.0.2 a produktů běžící na třívrstvé architektuře s využitím J2EE technologie.
Portál je spojen s LDAP serverem přes protokol SSL, což umožňuje jednotný a bezpečný přístup do Novellu a také do portálu, který by měl v budoucnosti obsahovat veškerou aplikační logiku a tím se zajistí jednotný přístup do veškerých aplikací běžících na OU (SSO Single Sign On). Dále se portál spojuje s databází Oracle, aby mohl poskytovat veškeré údaje uložené v datových skladech. Což umožní přístup k informacím nutných pro MIS.
Přehled využití finančních zdrojů určených na projekt Zvyšování integrity informačních systémů Ostravské univerzity za rok 2004 Rozpočet byl vyčerpán v souladu s návrhem rozpočtu projektu viz následující tabulka. Hospodaření s přidělenými prostředky Kapitálové a finanční prostředky: celkem 700 000 Položka Server IBM @server xseries 365 a diskové pole Doplňkové HDD Aktivní prvky Cisco Catalyst 2950 Doplňkový autorizační a autentizační server Úprava systémů pro IBM portál Web Sphere Celkem 500 000 31 000 87 000 51 000 31 000 700 000 Pro provoz integrovaného portálu byl z projektu zakoupen server IBMX365 v konfiguraci 6 GB RAM, 2 x procesor Xeon 2,2 GHz, interní Raid 5-4 x 73 GB. Tento byl následně rozšířen o další diskovou kapacitu. Všechny prvky Informačních systémů OU (servery, záložní zdroje, zálohovací jednotky, správci ) byly zapojeny do aktivních prvků Cisco Catalyst SW 2950. Některé specifické funkcionality portálu WebSphere tvorba a nastavení certifikátu pro aplikační a http server ve spolupráci s Novell LDAP serverem, byly dodány externími dodavateli. Běžné finanční prostředky: celkem 300 000 Kč rozpočet mzdy a odměny odměny pojistné služby celkem čerpání celkem 180 000 42 000 0 78 000 0 300 000,00 88 545,00 30 992,00 180 463,00 300 000,00 91 455,00 42 000,00 47 008,00-180 463,00 0,00 Neinvestiční prostředky byly čerpány zejména na platy řešitelů projektu a služby související s řešením projektu. Tam, kde na pracovišti řešitele nebyly dostatečné kapacity nebo know how byly potřebné činnosti nakupovány jako služby. Ukázalo se, že zejména při vývoji portletů, kterých je pro nabídku rozumné funkcionality portálu potřeba velké množství, bylo potřeba nakoupit externí programátorskou kapacitu jako službu. Ostrava 15.1.2005 Zpracoval: Mgr. Martin Malčík