Hlavní stránkaAplikaceMacOS server do firmy + spuštění služeb DEP a VPP v České republice

MacOS server do firmy + spuštění služeb DEP a VPP v České republice

Velmi často se setkávám s názorem, že dnes ve firmě není potřeba server, protože cloudové řešení tyto služby plně nahrazuje. Tento pohled na technologie pro firmu považuji za přehnaně optimistický a neúplný. Vzpomeňte si, kolik prezentací obsahuje slogan „It Just Works“. Co se ale stane, když tomu tak není? A co vlastně dnes takový server nabízí?

Hned samotný výpadek internetového připojení znamená v případě cloudu nedostupnost služeb. Popřípadě oznámí poskytovatel cloudových služeb ukončení provozu. Naposledy doslova před pár dny – 31. ledna 2017 ukončil aktivní prodej Bamboo Cloud společnosti Atlassian.

Dalším problémem je rychlost přenosu dat a jejich kapacita. Velký počet dat bude znamenat zákonitě delší čas potřebný pro dokončení samotné synchronizace. Navíc kvůli menší kapacitě úložiště v počítači není možné synchronizovat všechna data z cloudu najednou. To se řeší tzv. selektivní synchronizací. Dokážete si ale představit, že budete pokaždé ručně zapínat a poté vypínat synchronizaci pro složku, se kterou chcete aktuálně pracovat?

Pomyslným Damoklovým mečem je bezpečnost dat cloudových služeb. Pokud pracujeme s klientskými daty a zavazujeme se tato data před únikem chránit, přesunutím zodpovědnosti na externí subjekt může paradoxně dojít k vyššímu bezpečnostnímu riziku. Například v roce 2012 došlo k masivnímu odhalení hesel u více než 68 milionů uživatelů služby Dropbox. Tato skutečnost vyplynula na povrch se značným zpožděním a pro některé firmy byly potíže na světě. Posledním problémem je rozsah služeb, které vždy konkrétní cloudové řešení nabízí. Některé nabízí sdílené kalendáře a kontakty, jiné poskytuje velké úložiště. Možná bychom našli další řešení, které nabízí zálohování počítačů. Více systémů pro správu znamená složitější nastavení a některé služby tato cloudová řešení nejsou schopna nabídnout. Je ale z čeho vybírat?

macOS Server

Na trhu existuje několik řešení, které nabízí pokročilé funkce pro potřeby moderní firmy. Dnes se však zaměříme na jedno – konkrétně aplikaci macOS Server. Aplikaci lze zakoupit v Mac App Store, cena za aplikaci je 19,90 Euro. Historicky se pod pojmem server skrývala kombinace výkonného hardware a specializovaného software. Proto se nabízí otázka, proč se dodává macOS Server pouze jako aplikace. Důvodem je fakt, že si pro běh serverových služeb můžete vybrat prakticky jakýkoliv hardware, který podporuje operační systém macOS. Nemusí jít vždy o poslední model nebo specifický typ. Potřebujeme pouze velkou operační paměť, rychlé úložiště a relativně slušný výkon procesoru. Investice do hardware je tak relativně nízká.

Instalace-serveru

Poznámka: V článku odkazuji na výkon některých služeb serveru. Jako hardware byl použit počítač Mac mini z roku 2011 s 16 GB operační pamětí RAM a procesorem Intel Core i5 s taktovací frekvencí 2,3 GHz. Interní úložiště má kapacitu 256 GB a pro testovací účely bylo rozšířeno o externí diskové pole Drobo.

Proč právě macOS Server?

Jistě bychom mohli začít tradičními službami jako například Web, Mail a FTP. I toto jsou služby, které macOS Server nabízí. Používá přitom standardy, které známe z UNIX světa. Pokud by rozsah služeb skončil tímto seznamem, nebyl by macOS Server vlastně vůbec zajímavý. Skutečnost je ale taková, že jsou to právě všechny ostatní funkce, které přináší firmě zjednodušení anebo zrychlení práce a v konečném důsledku také finanční úsporu. Pojďme se tedy podívat, co s ním můžeme dělat. Ještě předtím se ale podíváme kam s ním…

Zatížení-serveru

Zabezpečení serveru

Fyzicky by měl být server umístěn na takovém místě ve firmě, aby jej nebylo možné zcizit. Ideální je tedy místnost s rackovou skříní, kde jsou umístěny další důležité technologické prvky firmy. Další ochranu serveru by měl zajistit předřazený síťový prvek (firewall), pomocí kterého přesně definujeme, jaký přístup k serveru je povolen a který zakázán. Ten můžeme zkombinovat s prostředky serveru. Jde především o adaptivní firewall, který po deseti nezdařených pokusech vytvoří vlastní pravidlo a zamezí tak neautorizovanému přístupu. Dalším bezpečnostním prvkem je Služba Caching server.

Služba Caching server

Hned první služba znamená zásadní změnu pohledu na to, jakým způsobem využíváme připojení k internetu. Přestavte si, že máte ve firmě deset počítačů a deset telefonů iPhone. Kolik dat se přenáší mezi internetem a koncovými zařízeními? Hodně, teď myslím opravdu hodně… Například pro aktualizaci všech zařízení na macOS Sierra a iOS 10 potřebujete stáhnout celkem asi 100 GB dat. K tomu připočítejte drobné aktualizace systémů, obsah pro aplikace, obrazy pro Recovery režim, nákupy v obchodech iTunes, iBooks a Mac App atd. Ale pozor, výčet ještě nekončí. Většina uživatelů iOS používá osobní iCloud účet, který se neustále synchronizuje.

Tento problém řeší elegantně služba Caching server, která funguje vlastně velmi jednoduše – první uživatel si vyžádá stažení dat a data stahuje do svého zařízení. Na pozadí ukládá server kopii těchto dat. Všichni další uživatelé, kteří jsou na stejné síti, stahují stejný obsah již ze serveru. To platí i pro uživatele, kteří využívají službu iCloud, protože dokumenty a data jsou pro tyto uživatele taktéž uloženy v kopii na serveru. Kopie dat je samozřejmě zašifrována.

Služba Time Machine server

Další službou, kterou ocení firemní uživatelé, je možnost spravovat zálohování počítačů centrálně namísto externích disků připojených k jednotlivým počítačům. Služba Time Machine umožňuje jednoduchým způsobem průběžně zálohovat vybraná data na jiné úložiště. První záloha je záloha těchto vybraných dat a každé další zálohování ukládá pouze změny. Toto zálohování probíhá jednou za hodinu. Za několik dní dojde ke sloučení těchto hodinových záloh do jedné denní zálohy a ty jsou pak po čase zjednodušeny do tzv. týdenní zálohy. Touto technikou se šetří místo, které Time Machine potřebuje.

Služba Time Machine server umožňuje jednoduchým způsobem nastavit limit pro zálohy jednotlivých uživatelů a spravovat je. Tento systém zálohování lze nastavit dokonce i tak, že uživatelé přenosných počítačů zálohují stále na stejný server bez ohledu na to, jestli jsou nebo nejsou na lokální síti.

Profile Manager

Profile Manager je určen především pro firmy, školy anebo ostatní organizace s více uživateli. S jeho pomocí můžete velmi rychle nastavit velké množství zařízení. Jde především o bezpečnost, možnost používat firemní aplikace a data na osobních zařízeních anebo naopak používat osobní aplikace a data na firemních zařízeních. Často se tato funkcionalita označuje jako vzdálená správa zařízení (Mobile Device Management anebo MDM).

Profile-Manager

Profile Manager vytváří a rozesílá tzv. konfigurační profil (s koncovkou .mobileconfig). Konfigurační profil je ve skutečnosti XML soubor, který obsahuje systémová nastavení, která se mají aplikovat na dané zařízení. Pokud se tato nastavení vztahují ke specifickému uživateli, aplikují se na všechna zařízení uživatele. Pokud se vztahují k zařízení, aplikují se na specifické zařízení bez ohledu na to, jaký uživatel toto zařízení používá. Tato specifická nastavení zahrnují například firemní politiku nastavení hesel, přednastavené bezdrátové sítě anebo VPN připojení, nastavení sdílených kontaktů a kalendářů anebo úplné odmítnutí přístupu k některým funkcím (např. kamera). Zařízení lze v případě ztráty i vzdáleně zamknout nebo smazat.

Profile manager se skládá ze dvou částí – administrační rozhraní slouží pro vytváření konfiguračních profilů, správu uživatelů, skupin a zařízení. A samozřejmě k nastavení, jak se profily, aplikace a další obsah budou distribuovat. Samoobslužný portál pak slouží uživatelům, kteří si po přihlášení do tohoto portálu stáhnou základní pro l pro zařízení a připojí své zařízení k Profile Manager serveru. Na pozadí se následně stáhnou ostatní konfigurační profily, aplikace a další obsah. Z pohledu uživatele jde tedy o velmi jednoduchý proces.

#DEP a VPP

Absolutní novinkou je spuštění služeb Program hromadných nákupů (Volume Purchase Program anebo také VPP) a Program registrace zařízení (Device Enrollment Program neboli DEP). Spuštění obou těchto služeb v České republice tak znamená plnohodnotné využití možností správy zařízení. Program hromadných nákupů totiž umožňuje nakoupit licence aplikací pro firmu a tyto aplikace distribuovat na jednotlivá zařízení anebo jednotlivým uživatelům. Vlastníkem aplikací je firma, která aplikace vlastně rozdává uživatelům. Jde tedy o čisté řešení legálního software.

Program registrace zařízení zjednodušuje správu macOS a iOS zařízení tím, že zařízení, která se předávají zaměstnanci, jsou téměř automaticky nastaveny a není potřeba procházet zdlouhavou konfiguraci pomocí průvodce nastavením. V praxi celý proces funguje následovně – ve speciálním DEP portálu určeném pro registraci zařízení si nastaví firma svůj MDM server.

Zaměstnanec dostane zařízení na stůl a díky předchozí registraci se toto zařízení automaticky zaregistruje ve službě Profile Manager, která se postará o zbytek.

Dobrou zprávou je to, že do DEP programu lze zařadit zařízení zakoupená od roku 2012. Nevztahuje se tedy pouze na nové kusy. Pro správu VPP a DEP potřebujete dvě nová Apple ID – jedno samostatně pro VPP program a jedno pro DEP program. U obou Apple ID budete nastavovat dvoufázové ověřování, proto je potřeba před vlastním vytvořením těchto dvou Apple ID mít po ruce ještě třetí, které bude sloužit pro ověření. Další podmínkou nutnou pro využití služby DEP je tzv. Chain of Trust. V podstatě jde o to, že firma nakupuje od dodavatele, který má své vlastní DEP IP, ten nakupuje od českého distributora, který má také vlastní DEP IP, a ten nakupuje přímo od Apple.

AssetCard_SFHeimat_1260x710

NetBoot a NetInstall server

Pokud ve firmě často reinstalujete počítače, oceníte službu NetBoot nebo NetInstall. Namísto toho, abychom instalovali operační systém a aplikace na počítačích samostatně, můžeme si konfigurace ACL přístupových práv dopředu připravit jednotnou instalaci a tu pak po síti nainstalovat do jednotlivých počítačů (funkce NetInstall). V některých případech nepotřebujeme, aby počítače měly vlastní diskové úložiště. Tehdy můžeme využít funkci startu operačního systému po síti (funkce NetBoot).

Nástroje pro týmovou práci Sdílené kalendáře, kontakty, soubory a Wiki Standardní servery jsou historicky spojeny s takovými službami, jako jsou sdílené kalendáře, kontakty a sdílené soubory. V tomto ohledu není macOS Server výjimkou. Funkce stačí doslova zapnout a jsou připraveny k okamžitému použití. U kalendářů však stojí za zmínku pokročilé funkce alokování zdrojů pro tým (projektor, auto, zasedací místnost apod.) anebo bonus v podobě vestavěného webového rozhraní pro kalendáře. U služby Sdílení souborů můžeme velmi přesně de novat, kdo má a kdo nemá přístup ke sdíleným složkám a souborům díky podpoře ACL (Access Control List). Nastavení ACL se však řeší z nabídky Storage. Dalším nástrojem pro výměnu informací je pak Wiki, která obsahuje všechny nástroje pro HTML editaci, možnost vkládání příloh anebo jednoduchou správu dokumentů.

Web, Mail a Zprávy

Pro práci s weby se dodává HTTP server Apache. Jde o velmi rychlý HTTP server, který si svou oblibu získal již v 90. letech a od té doby hraje dominantní roli na trhu. Součástí macOS Serveru je aktuální řada Apache/2.4. Nastavení je opět velmi jednoduché – služba se zapne a vše je připraveno k použití. Přidáním nového webu se pak vytvoří tzv. „virtuál“, jehož základní konfiguraci lze provést přímo z grafického rozhraní aplikace Server. Na našem testovacím počítači bylo vytvořeno necelých 40 webů, které obsahovaly celkem 16 GB kódu a ostatních dat. Během měsíce bylo zaznamenáno více než 38 000 unikátních návštěv a jak je vidět ze zatížení procesoru, není to pro Mac mini žádný problém. Součástí základní instalace je databázový server PostgreSQL. Pokud jste zvyklí na MySQL anebo MariaDB, jednoduše si tyto balíčky doinstalujte z dev.mysql.com anebo mariadb.com. Pro práci s maily se pak používají neméně oblí- bené a roky prověřené služby Post x (pro odesílání pošty) a Dovecot (pro doručování pošty). Samozřejmostí je možnost vytváření virtuálních emailových domén, ochrana proti virům, spamům a další pokročilejší funkce jako například whitelisting, blacklisting a greylisting. V základní instalaci aplikace macOS Server chybí webové rozhraní pro e-maily. Doporučuji velmi oblíbený Roundcube (https://www.roundcube.net). Při testování si naše Mac mini hravě poradilo s 200 uživateli.

Rád bych ještě zmínil službu Messages. Pouhým zapnutím této služby umožníte jednotlivým uživatelům posílat vzkazy přes aplikaci Zprávy. Kolaborace v týmu tak dostává kompletní obrys. DHCP, DNS, VPN a FTP servery. Ve výčtu služeb, které jsou součástí aplikace macOS Server, najdeme tradičnější služby. Například FTP server, který umožňuje jednoduchý přenos souborů mezi serverem a uživatelem. Nastavení je ale v tomto případě až příliš zjednodušené – lze totiž nastavit pouze jeden výchozí adresář pro uživatele. Dodatečné nastavení lze provést z příkazové řádky. Připojení VPN (Virtual Private Network) vytvoří mezi serverem a koncovým zařízením tzv. tunel, tedy zabezpečené projení, díky kterému nelze přenášená data odposlouchávat. macOS Server podporuje L2TP připojení.

DNS server a DHCP server budou nejspíše služby, které budete využívat nejméně. Tyto funkce dnes přebírají jiné síťové prvky. Za zmínku snad stojí služba Domain Name Server (DNS), kterou je vhodné nastavit tak, aby dotaz na doménové jméno odkazoval na IP adresu serveru.

Závěr

Server ve firmě dnes není pouhým nástrojem pro sdílení souborů či kalendářů. Jeho role se posouvá ke specializovaným úkolům, které mohou pozitivně ovlivnit chod firmy a ještě snížit náklady. Je zajímavé, že ruku v ruce s touto specializací nastává posun od velkých nákladných řešení k menším a dostupnějším. Dokázali byste si před 10 lety představit, že tyto služby zastane obyčejné Mac mini a aplikace za 20 Euro?

pronajem-apple

článek je otagován
Článek je bez komentáře

Sorry, the comment form is closed at this time.