MISPi kasutamine

Sissejuhatus

Genereerides X-tee andmekogude päringute WSDL andmete abil automaatselt kasutajaliidese võimaldab MISP (Mini Infosüsteem Portaal) tarkvara esitada X-teele veebibrauseriga päringuid. MISP kasutamiseks on lisaks tarvis registreerida X-teel asutus ning kasutada X-teega andmevahetuse pidamiseks turvaserverit. MISP ja X-tee turvaserveri tarkvara jagatakse kasutamiseks tasuta.

Antud tekstis kirjeldatakse MISP seadistamist selliste komponentide baasil

• Debian GNU/Linux v 4.0 (Etch) 32 bit operatsioonisüsteem
• PostgreSQL v. 8.x andmebaas

Tõõpõhimõte

MISP kasutamist X-tee suhtes võiks illustreerida sellise skeemiga

      ___
     |   | MISP (X-tee asutus, X-tee infosüsteem)
     |___|
       |
       |
      _|_
     |   | Turvaserver
     |___|
       |
      -|--------- .....
 
                 avalik võrk
                      ....
                           -----|---
                                |
                               _|_ 
                              |   | Turvaserver
                              |___|
                                |
                                |
                               _|_
                              |   | X-tee andmekogu (Adapter)
                              |___|

kus

• all kujutatud X-tee andmekogu pakub oma turvaserveri kaudu teenuseid (päingute vormis) X-teele
• MISP on klient ja esitab läbi oma turvaserveri päringuid X-tee andmekogudele
• turvalisuse ühe komponendina andmekogude ees töötavad turvaserverid kontrollivad, milliste asutuste turvaserverite kaudu saab nende taga töötavatele andmekogudele päringuid esitada

Turvaserverid on teatud mõttes lüüsid või tulemüürid kuigi tehnilises mõttes võib turvaserver paikneda asutuse tulemüür taga või siis otse avalikus võrgus.

Tarkvara paigaldamine

MISP kasutamiseks on sellised lähtematerjalid

• http://ftp.aso.ee/pub/x-tee/misp/ - tarkvara
• http://ftp.aso.ee/pub/x-tee/doc/ - dokumentatsioon, portaalide installeerimise ja kasutamise juhendid

MISP kasutamiseks tuleb kasutajal valida omale meelepärane operatsioonisüsteem ning sellele paigaldada MISP tarkvara. Käesolevas tekstis tutvustatakse MISP kasutamist Debian Etch 32 bit operatsioonisüsteemiga.

Debian Etch keskkonna ettevalmistamine

MISP vajab enda tööks andmebaasi, käesoleval juhul on valitud PostgreSQL v 8, paigaldamiseks sobib nt lisada /etc/apt/sources.list faili

 deb http://www.backports.org/debian etch-backports main contrib non-free

ja PostgreSQL paigaldamiseks öelda

 # apt-get -t etch-backports install postgresql

Lisaks tuleb teha link libpq teegile

 # ln -s /usr/lib/libpq.so.5 /usr/lib/libpq.so.4

MISP tarkvara paigaldamine

MISP tarkvara koosneb kolmest komponendist

• xtee-postgresql - andmebaasi skeemid ja skriptid
• xtee-base - veebiserver, põhineb Apache 1.3 versioonil
• xtee-portal - PHP veebirakendus

MISP tarkvara paigaldamiseks tuleb lisada /etc/apt/sources.list faili rida

 deb http://ftp.aso.ee/pub/x-tee/misp deb/

ja paigaldamiseks öelda

 # apt-get install xtee-postgresql xtee-base xtee-portal

Paigaldamise käigus esitatakse kasutajale rida küsimusi, millele tuleb korrektselt vastata, nt andmebaasi ligipääsu osas.

MISP tarkvara asub failisüsteemis

• /usr/xtee/conf - seadistusfailid
• /usr/xtee/htdoc - veebiserveri dokumendijuurikas
• /usr/xtee/bin - deemon ja veebiserveri utiliidid
• /usr/xtee/logs - logi

MISP käivitamine

Iseenesest on MISP Apache veebiserver ja sellega töötav PHP rakendus. Käivitamiseks tuleb öelda

 # /usr/xtee/bin/apachectl startssl

ja seiskamiseks

 # /usr/xtee/bin/apachectl stop

MISP haldamine

MISPi seadistatakse veebipõhise kasutajaliidese kaudu aadressilt https://misp.loomaaed.tartu.ee/xadmin

kusjuures veebiserveri seadistusfaili /usr/xtee/conf/httpd.conf tuleb lisada MISPi halduri brauseri ip aadress

 <Directory "/usr/xtee/htdocs/xadmin">
   Options None
   Order allow,deny
   Allow from 127.0.0.1 192.168.10.10
   AuthUserFile /usr/xtee/conf/adminpwd
   AuthType Basic
   AuthName "X-tee portaaliylem"
   require valid-user
 </Directory>

Peale basic-autentimist kasutaja admin ning portaali tarkvara paigaldamise ajal näidatud parooliga paistab brauseris selline pilt

kus

• sisestades lahtrisse 'Uue portaali kataloog', mis pärast hakkab paistma aadressina https://misp.loomaaed.tartu.ee/x/katalooginimi
• portaali tüüp - kui soovitakse, et asutuse kasutajad saavad esitada päringuid X-teele, siis on kõige otstarbekam valida tüüp 'Asutuse infosüsteem'

MISPi adminstraator töötab aadressil

 https://misp.loomaaed.tartu.ee/xadmin/

ning tema ülesanne on luua MISPi asutusi ehk portaale, mis ise hakkavad asuma aadressidel

 https://misp.loomaaed.tartu.ee/x/portaalinimi/

Portaali loomiseks tuleb sisestada 'Uue portaali kataloog' lahtrisse portaali nimi, nt 'loomaaed' ning valida Lisa.

• Seejärel tuleb sisestada turvaserveri ligipääs, mille kaudu MISP X-teega suhtleb

• Järgmisena tuleb kirjeldada andmebaasi ligipääs, mida MISP kasutab mitmesuguste klassifikaatorite ning MISPi kasutajate andmete hoidmiseks

kus on ülaosas näha toimunud muudatus, MISP räägib, et tegeldakse Tartu Loomaaed (registrikood) asutusega.

• Seejärel küsitakse asutuse kirje kohta andmebaasis, jääda vaikeväärtuste juurde ning kinnitust, kas teha andmebaasi vastavad sissekanded, vastata jaatavalt.
• Järgmisena tuleb näidata ära loodud portaali pääsuõiguste haldur. See on privilegeeritud kasutaja, kes saab lisada ja eemaldada asutuse kasutajaid ning määrata, milliseid päringud on millistel kasutajatel õigus sooritada MISPi kaudu. Valida 'Lisa uus isik' ning täita lahtrid nt selliselt

Tulemusena on näha, et lisatud haldus on haldurite nimekirjas ning MISPi administraatori tegevused on asutuse portaali seadistamise osas valmis. Edasi töötab portaaliga asutuse haldur.

Vasakul äärel on menüü, kust saab otse liikuda läbitud sammude juurde

• TS - turvaserveriga ühendusmise seadistused
• AB - andmebaasiühenduse seadistused
• Asutus - asutuse kirjeldus
• Haldur - portaali haldurite seadistamine

ja lisaks nupud

• X - väljalogimine
• maja - avaleht
• nool vasakule - samm tagasi kasutajaliideses
• i - abi

Asutuse portaali haldamine

Asutuse portaali halduri ülesanneteks on

• X-tee andmekogude teenuste (päringute) valimine, millele portaali kasutajad hakkavad päringuid esitama
• Portaali kasutajate ja kasutajagruppide tekitamine
• Portaali kasutajagruppidele päringute esitamiseks õiguste andmine
• Neile portaali kasutajatele genereerida ülevõtmiskood, kellel puudub ID-kaardi kasutamise võimalus

Asutuse portaali haldamiseks peab haldur pöörduma MISP poole aadressil

 https://misp.loomaaed.tartu.ee/x/loomaaed/

ning erinevalt tavalisest MISPi kasutajast näeb ta rohkem menüüvalikud

Teenuste värskendamine

Portaalis X-tee andmekogu päringute kasutamiseks tuleb reeglina esmalt andmekogu pidajalt saada luba vastavate päringute esitamiseks, aga X-teel on ka nö avalikuks kasutamiseks mõeldud päringuid, mille kasutamiseks piisab olla X-teega liitunud. Selliseid päringuid pakub nt andmekogu on Maa-ameti Maainfosüsteem (mis). Teenuste (päringute) värskendamiseks tuleb liikuda portaalis

Teenuste värskendamine -> Andmekogude täielik loetelu

ning nimekirjast valida huvipakkuv andmekogu, nt andmekogu mis ning öelda Salvesta. Seejärel on Kasutusel andmekogude nimekirjas Maainfosüsteem

Päringute nimekirja värskendamiseks, mis on MISPis nende päringute kasutamise eelduseks tuleb valida andmekogu ning seejärel avanenud ekraanil valida

 Värskenda päringute loetelu

ning seejärel

 Värskenda päringukirjeldused

Tulemusena avaneb selline pilt

kust on näha

• Lubatud päringute loetelu - andmekogu võib sisaldada lisaks konkreetsele asutusele lubatud päringuid ka teisigi
• Päringukirjeldused - ...
• tabeli all järgneb nimekiri andmekogu kõigist päringutest, antud juhul on see oluliselt pikem, kui ekraanilasule on jäädvustatud

Kasutajate grupid ja õiguste haldamine

Portaali haldamisel on oluline määratleda millised kasutajad saavad MISP abil sooritada X-teel milliseid päringuid. Kasutaja on identifitseeritud isikukoodiga, lisaks on kasutajaga seotud tema ees- ja perekonnanimi. Õigusi ei seostata otsesel ühe või teise konkreetse kasutajaga vaid kasutajate grupiga mille liikmeteks kasutajad saavad olla. Kasutajate gruppide ja õiguste haldamiseks tuleb valida

 Kasutajate grupid ja õiguste haldamine

ning paistab nt selline pilt

kust on näha, et on kirjeldatud neli gruppi.

Grupi kasutajate haldamiseks tuleb valida grupp ning seejärel Kasutajad ning seejärel saab hallata valitud grupi kasutajaid, nt lisada

Portaali kasutamine

Portaali kasutamiseks

• peab portaali haldur olema lisanud kõnealuse kasutaja portaali kasutajate hulka ning andma talle õigused mingeid päringuid sooritada
• peab kasutaja saama ennast portaalile autentida kasutades kas ID-kaarti või MISP poolt genereeritud failipõhist kliendisertifikaati

ID-kaardiga

Kasutaja peab kasutama nö ID-kaari võimelist brauserit ning suunduma aadressile

 https://misp.loomaaed.tartu.ee/x/loomaaed/

ning avaneb nt selline pilt

Kasutamiseks tuleb valida sobiv päring ja jälgida ekraani.

Failipõhise kliendisertifikaadiga

Failipõhise kliendisertifikaadi kasutamiseks tuleb sooritada MISPiga kaks tegevust

• MISPi haldur registreerib kasutades kasutaja isikukoodi ja nime MISPi uue kasutaja ja tekitab talle personaalse nn ülevõtmiskoodi
• MISPi kasutaja laseb veebiliidese abil genereerida endale sertifikaadi ja laadida see brauserisse

Kuigi käesolevas punktis kõneldakse kasutaja sertifikaadist, siis tehniliselt on tegu sertifikaadi ja vastava salajase võtme komplektiga.

Eeldame, et kasutajale on usaldatud ülevõtmiskood, mis esineb kujul

 HurtPSd7QSZIdbVpijiH

edasi, tuleb minna aadressile https://misp.loomaaed.tartu.ee:4443/x/loomaaed/ ning valida

 Sertifikaadi loomine -> Genereeri sertifikaat -> Jaatada -> Lae sertifikaat brauserisse -> Jaatada

Tulemusena moodustati kasutaja soovil MISPi poolt talle sertifikaat ja see on laaditud brauserisse. Tulemust saab vaadata nt IE brauseris avades

 Tools -> Internet Options -> Content -> Certificates -> Personal

mille all on näha üks sertifikaat Issued To väärtusega 'Klient'.

Seejärel tuleb brauser sulgeda ja järgmisel pöördumisel sama aadressi poole kui teenus küsib sertifikaati, siis klient st brauser juba oskab pakkuda sobivat kliendisertifikaati.

Seejärel tuleb esmakordsel kasutamisel seostada MISPi konto kliendi sertifikaadiga ja selleks kasutada MISPi halduri poolt kasutajale usaldatud ülevõtmiskoodi.

Kasutaja valib 'Sertifikaadi seostamine kontoga' ning sisestab oma ülevõtmiskoodi, tulemusena öeldaks, et

 Seostatud kasutajaga Priit Kask
 Uus ülevõtmiskood hjfurtuhfuhrtitlokif

Edaspidisel kasutamisel kasutaja vastab brauseri küsimusele sertifikaadi kasutamise osas jaatavalt ning seejärel saab jätkata MISP kasutamisega. Uus ülevõtmiskood on vajalik nt töötava sertifikaadi riknemisel ja selle alusel genereeritakse kasutajale uus sertifikaat.

Märkused

• Nö failipõhise kliendisertifikaadi kasutamiseks tuleb failis /usr/xtee/portal/user.php kommentaar eemaldada rea eest, tulemusena peab jääma selline rida

 addButton("javascript:with(document.forms[0]){operation.value='generate';submit()}", 'Genereeri ülevõtmiskood');

• Soovides kasutada portaali aadressina /x/loomaaed asemel / tuleb veebiserver seadistusfailis /usr/xtee/conf/httpd.conf kasutada VirtualHost alguses rida

 Alias /index.php /usr/xtee/htdocs/x/loomaaed/index.php

Kasulikud lisamaterjalid

• http://kuutorvaja.eenet.ee/wiki/Turvaserveri_kasutamine
• http://www.ria.ee/x-tee
• https://riha.eesti.ee/