| Název: | Technologie pro teleworking |
| Autor: | David Čečelský |
| Publikováno: | Network Computing 11/2003 |
V poslední době věnují IT časopisy značnou pozornost pojmům "teleworking" a "homeworking". Dá se očekávat, že v blízké budoucnosti půjde o velmi zajímavé téma. V mnohých společnostech již pracují zaměstnanci tzv. "v terénu" - tj. provádějí práci vzdáleně a pro spojení s mateřskou firmou využívají telekomunikační technologie. V následujícím příspěvku se nebudeme zabývat definicí pojmů teleworking a homeworking, jejich přínosy a nedostatky, ale zaměříme se na technickou stránku věci. Podíváme se podrobněji na technologie, které umožní vybudování "telecentra" - pracoviště s pronajímanou výpočetní a kancelářskou technikou a zajistí jeho fungování v různých režimech. Pod pojmem telecentrum si představme pracoviště, kde bude umístěn pracovní stůl s možností připojení vlastního notebooku, PDA či jiného přenosného zařízení, nebo lokálně připojený "veřejný počítač". Dále je nezbytná vhodná konektivita k provozovateli teleworkingového centra, možnost provedení videokonferencí apod. a samozřejmě také tradiční kancelářský servis (kopírka, fax, telefon, tiskárna atd.).Telecentrum musí mít vybudovanou komunikační infrastrukturu, zajišťující lokální provoz a administraci telecentra a dále připojení na mateřskou společnost, která může být pronajímatelem telecentra a kam se z telecentra uživatelé (zaměstnanci) připojují, pořizují zde data apod. Uživatelem nemusí být nutně jen zaměstnanec (resp. zaměstnanci) nějaké společnosti. Takové pracoviště lze využívat v mimopracovní dobu například jako veřejné přístupové místo do sítě Internet apod.
Konfigurace pracoviště telecentra
Nejprve se zaměřme na vlastní telecentrum, které si můžeme schématicky znázornit jako malou LAN síť s připojením do sítě Internet - viz. následující obrázek.
Obr. 1 - Schéma telecentra
Realizace internetového připojení je možné řešit mnoha způsoby, kde patrně hlavním aspektem bude zabezpečená komunikace telecentra s pronajímatelem. Zabezpečení připojení lze realizovat pomocí firewallu a šifrovaného VPN tunelu, který zajistí přenos dat v zakryptované podobě. Všimněme si, že součástí výpočetního prostředí telecentra je také server. Ten má svoje opodstatnění a to zejména ze dvou hlavních důvodů. Jednak nese adresářovou službu, která slouží pro autentizaci uživatelů a správu síťových zdrojů telecentra a navíc jsou na tomto serveru umístěny obrazy pracovní stanice (resp. stanic), které slouží pro rychlou a automatickou instalaci/obnovu stanic podle požadavků.
A nyní pojďme na konkrétní technologie. Zajímavým řešením by mohlo být spojení adresářové služby eDirectory od firmy Novell s produktem ZENworks for Desktops od téhož výrobce. Adresář eDirectory má dnes mezi svými dalšími konkurenty výsadní postavení a rovněž produkt ZENworks for Desktops patří ve své kategorii ke špičce. Instalace těchto komponent může být provedena na platformě NetWare 6/6.5, nebo na serveru Windows 2000. Serveru NetWare se není třeba bránit, neboť adresář je na něm pochopitelně vyladěn nejlépe a server i adresářová služba se výborně vzdáleně spravují přes webovské rozhraní.
Princip správy takového prostředí je realizováno přes adresářovou službu. Ta řídí jednak správu identit uživatelů, řídí jejich autentizaci a umožňuje i vzdálenou správu pracovních stanic telecentra. Správa pracovních stanic se provádí na dálku bez nutnosti fyzické asistence administrátora či jiné oprávněné osoby. V případě jakékoli poruchy na pracovní stanici nebo nutnosti distribuce jiného prostředí provede administrátor vzdáleně nastavení politiky distribuce daného obrazu na pracovní stanici. Při startu se pak pracovní stanice pomocí PXE připojí na ZEN for Desktops server, v adresáři si přečte jaký image má použít pro instalaci a instalace se při následujícím bootu provede. Během 10-15 minut je stanice odpovídající konfigurace připravena pro použití. Klíčem úspěchu je správná konfigurace ZEN prostředí a stanice, vybavena síťovou kartou s podporou PXE bootování.
Princip práce
Aby mohl pracovník telecentra zahájit práci, musí se nejprve autentizovat do adresářové služby a na základě své identity obdrží na pracovní ploše pronajímané pracovní stanice své prostředí. Stupeň autentizace může například ovlivňovat pracovní prostředí pro zaměstnance a pracovní prostředí pro veřejnost (tj. když je pracoviště volné, je například možné jej nabídnout veřejnosti). V tomto případě je vhodné, aby vlastní zaměstnanec používal z bezpečnostních důvodů některých metod zesílené autentizace, např. oblíbenou čipovou kartu s certifikátem. Adresářová služba v místě telecentra může a nebo nemusí obsahovat uživatelské účty. Uživatel se může autentizovat přímo do adresářové služby pronajímatele po VPN tunelu, a to buď přímo na server s adresářovou službou uvnitř sítě, nebo pomocí autentizační proxy. To samozřejmě závisí na celkové implementaci adresářového stromu a dalších komponent.
Pracovní prostředí zaměstnance vytváří prioritně tenký klient (nemusí být pouze tenký klient) v podobě internetového prohlížeče, který zobrazuje množinu distribuovaných aplikací. Množina aplikací je závislá na identitě uživatele, jak naznačuje předchozí odstavec. V rámci webovského prohlížeče (tedy tenkého klienta) lze dnes uživateli nabídnou většinu síťových služeb jako např. souborový systém, tisk, poštovního klienta, klienta webovské aplikace atd. Samozřejmě lze doručit i klienta aplikace klient-server nebo jinou aplikaci, kterou dodá terminálový server (běžné kancelářské aplikace typu Word, Excel atd.).
Pronajímané stanice se používají k různým účelům a je tedy třeba na nich umožnit především takovou činnost, která se na nich provádět má. Vše ostatní a nežádoucí je potřeba pomocí dostupných prostředků zamezit. Na hardwarové úrovni není problém zajistit stanici proti neoprávněnému používání mechanik, USB disků, čímž zabráníme nežádoucím instalacím neautorizovaného software, ale např. i pořizování dat jinam, než je určeno. Další omezení na softwarové úrovni pak musí pracoviště omezit na spouštění pouze těch aplikací, které jsou pro práci nezbytně nutné (např. právě jen webovský prohlížeč). Tato omezení lze realizovat politikami, které jsou pomocí ZENworks for Desktops vytvářeny v adresáři eDirectory a aplikovány při přihlášení na uživatele (nebo přímo na pracovní stanici reprezentovanou rovněž svým objektem v eDirectory). Lze samozřejmě i využívat běžných politik, kterými disponují klientské operační systémy Windows. Správa přes adresář se z administrátorského pohledu jeví jako vhodnější.
Pracoviště pronajímatele
Na straně pronajímatele telecentra je situace z hlediska instalovaných technologií o něco složitější, neboť se zde nachází podstatná část inteligence systému. Schématicky je pracoviště pronajímatele znázorněno na následujícím obrázku.
Obr. 2 - Schéma pronajímatele telecentra
Technologie firewall a VPN je realizována stejně jako na straně telecentra. Navíc je na obrázku naznačena DMZ (demilitarizovaná zóna) do které lze mimo jiné umístit server ve funkci autentizační proxy. Jedná se pochopitelně o doporučenou variantu využití této služby. Jako autentizační proxy se nabízí produkt Novell iChain, který je plně integrován s adresářovou službou eDirectory. Při autentizaci uživatele tato proxy dodává dialog pro přihlášení. Pro potřeby zesílené autentizace musí tato proxy tyto metody podporovat, což je v případě aplikace iChain samozřejmě splněno. Navíc iChain obsahuje službu Web Single Sing-On, která na pozadí autentizuje uživatele k požadovaným web serverům a eliminuje tak potřebu neustálé nové autentizace uživatele při procházení různými weby, aplikacemi a doménami. Uživatel se přihlašuje pouze jednou, při prvním kontaktu s iChain serverem. Tato vlastnost je příjemná a ocení ji zejména uživatelé v prostředí, kde je více webovských aplikací, vyžadujících autentizaci.
Nyní něco k serverům v síti LAN poskytovatele, které tvoří technologickou základnu teleworkingového systému. Kolik serverů bude potřeba se nedá obecně říci, neboť to závisí na mnoha faktorech (počet připojovaných uživatelů, množina doručovaných služeb a aplikací, HW konfigurace stávajících serverů, atd.)
Klíčovým prvkem v soustavě serverů je portálový server, který dodává personalizované pracovní prostředí uživatelům. Znovu sáhneme do dnes již velmi obsažného a zmiňovaného balíku ZENworks, kde se nachází součást nazývaná Web Self-Service. Tato komponenta obsahuje zjednodušený portál (na bázi produktů Apache/Tomcat) s označením OnDemand Services portal, který umožňuje jednoduchou správu distribuovaných aplikací. Vlastní aplikace pak mohou běžet na dalším serveru, kde je instalován např. Citrix Metaframe nebo Windows Terminal server. Zde jsou fyzicky instalované aplikace, které chceme uživatelům doručit.
Vzdálená pracovní stanice s internetovým prohlížečem pak funguje jako typický terminál, pracující s aplikací, která běží na terminálovém serveru. Správa aplikací se provádí pomocí ZENworks a veškerá nastavení jsou uložena v adresáři eDirectory. Doručení aplikací do browseru stanice zajišťuje technologie, kterou Novell nazývá DeFrame. Ta je pochopitelně součástí produktu ZENworks a představuje na straně stanice plug-in moduly do prohlížeče. Není tedy vyžadován nativní klient Novell, nebo jiná klientská část.
Závěrem
V souvislosti s konfigurací jsme uváděly některé novelovské technologie, které dnes mohou tvořit základ opravdu moderního pojetí zmiňovaného řešení. Popis prostředí vycházel samozřejmě z praktických konfigurací, takže se nepohybujeme pouze v obláčcích teorie, přestože některé ze jmenovaných produktů jsou na trhu poměrně krátkou dobu. Přesto musíme konstatovat, že jsme při nasazování těchto technologií byli příjemně překvapeni jejich funkčností a možnostmi využití.
