Installationsvägledning Multifråga

Relevanta dokument
Installationsvägledning Multifråga

Datum INNEHÅLLSFÖRTECKNING

Innehåll. Dokumentet gäller från och med version

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

OBS! Det är av största vikt att innan konfiguration av modulen, genomfört de inställningar som presenteras med bilagorna till denna manual.

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Microsoft Internet Information Services 7 / 7.5

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Instruktion för användande av Citrix MetaFrame

Uppdatering av MONITOR Mobile 8.0

Konfigurering av eduroam

Vision WEB Komma igång med Electrolux Webbokning Windows Server 2012 R2 8/31/2017

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Uppdatera Easy Planning till SQL

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

Innehållsförteckning:

SITHS inloggning i AD

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Installationsguide, Marvin Midi Server

JobOffice SQL databas på server

Installationsanvisningar

Installationsguide för mysql och OLA Server/OLA Klient

Installationsanvisning Boss delad databas

Övning 1: Skapa virtuell maskin för utveckling.

Del 1: Skapa konto i Exchange

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Boss installationsmanual förberedelser

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Systemkrav. Åtkomst till Pascal

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Installationsguide fo r CRM-certifikat

Installation xvis besökssystem, Koncern

Konfiguration av NAP VPN

Checklista för driftning av Sambruks Multifråga

Compose Connect. Hosted Exchange

Instruktion för användande av Citrix MetaFrame

Telia Centrex Avancerad Svarsgrupp - administratörswebb. Handbok

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

Uppdateringsguide v6.1

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Uppdatera Easy Planning till SQL

Ladda upp filer fra n PLC till PC

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Ny installation...2. Översikt...2. Filer som behövs...2. Installera SQL Server Express (om det behövs)...3. Skapa en databas i SQL Server...

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Att koppla FB till AD-inloggning

Startanvisning för Bornets Internet

Blackboard learning system CE

VPN (PPTP) installationsguide för Windows 7

Telia Connect för Windows

Chaos VPN - Installera Cisco AnyConnect Windows 8

Chaos VPN - Installera Cisco AnyConnect Windows 7

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Åtkomst till Landstingets nät via Internet

Telia Centrex IP Administratörswebb. Handbok

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

Installationstjänst. maj 2011

Small Business Server 2011 SSL certifikat administration

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum:

Administrationsmanual ImageBank 2

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Årsskiftesrutiner i HogiaLön Plus SQL

Installation av MONITOR Mobile 8.0

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Installationsguide, Marvin Midi Server

Åtkomst till Landstingets nät via Internet

Instruktioner för uppdatering från Ethiris 4.10 till 5.x

DGC IT Manual Citrix Desktop - Fjärrskrivbord

Övning: Arbeta med Azure Explorer

Instruktion för installation av etikettskrivare 2.31

Så här byter du från Unifaun WebOrder (UWO) till Unifaun OnlineConnect (UOCT)

Server Inställningar för. Inställningar för Server 2003

Kundverifiering av SPs digitala signaturer

LW053 Sweex Wireless LAN USB 2.0 Adapter 54 Mbps

Instruktion för användande av Citrix MetaFrame

FLEX Personalsystem. Uppdateringsanvisning

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Administrationsmanual ImageBank 2

Installationsanvisningar

Installationsguide ELCAD 7.10

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Instruktioner för uppkoppling mot NyA Open

Webbokning Windows 7,8.1 &10 Installationsmanual

Instruktion för användande av Citrix MetaFrame

Byggsektorns Miljöberäkningsverktyg Användarmanual

SDC Web-Access. Installationsanvisning v 2.0.2

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver

Infoga dokument i Connect med hjälp av FlashPaper

Instruktion för installation av etikettskrivare 2.27

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Installationsguide Junos Pulse för MAC OS X

Visma Proceedo. Att logga in - Manual. Version 1.3 /

Att koppla FB till AD-inloggning

Statistiska centralbyrån

Transkript:

Framställd från en av FORMsoft ABs mallar INSTRUKTION Version 1.0 1(19) Utfärdare Sven-Håkan Olsson Installationsvägledning Multifråga INNEHÅLLSFÖRTECKNING 1. Installationsvägledning 2 1.1. Windows Server 2012R2 med IIS8 2 1.1.1. Att skapa en IIS-sajt (2012R2) 2 1.1.2. Att kopiera in distributionen (2012R2) 3 1.1.3. Att definiera filrättigheter (2012R2) 3 1.2. Windows Server 2008R2 med IIS7 3 1.2.2. Att skapa en IIS-sajt (2008R2) 3 1.2.3. Att kopiera in distributionen (2008R2) 5 1.2.4. Att definiera filrättigheter (2008R2) 5 1.3. Windows Server 2003 med IIS6 6 1.3.1. Att skapa en IIS-sajt (2003) 6 1.3.2. Att kopiera in distributionen (2003) 7 1.3.3. Att definiera filrättigheter (2003) 7 1.4. Att installera certifikat 8 1.5. Att installera klient-certifikat för SHS-IWSI (ifall behövs) 9 1.6. Att installera server-certifikat för intern https (ifall behövs) 10 1.7. Att modifiera web.config 11 1.8. Loggfiler 13 1.9. Felsökningstips 14 1.10. Multifråga som slav under verksamhetsapplikation 15 1.11. Multifråga kan leverera strukturerat svarsdata till verksamhetsapplikation 18 Postadress Föreningen Sambruk Högbovägen 45 SE-811 32 Sandviken Hemsida www.sambruk.se E-post info@sambruk.se Organisationsnr 802428-2785 Dok.namn Multifraga_installations vagledn_20160225.doc

2(19) 1. Installationsvägledning Denna installationsvägledning handlar om installation av själva webbapplikationen i en befintlig ASP.NET-server (främst Windows Server 2003, 2008R2 och 2012R2). Vägledningen används med fördel tillsammans med checkliste-dokumentet Multifraga_checklista_drift_2010-01-18.doc (eller senare version) som behandlar hela driftsupssättningen, inte bara webbapplikationen. Andra varianter än nedan beskrivna är självfallet möjliga, IIS/ASP.NETkunnig personal kan tänkas utforma andra lösningar baserat på applikationskodens egenskaper och konfigurationsparametrarna. Observera dock att det är ganska snårigt i IIS/ASP.NET att gå ifrån den inloggningskonfiguration som beskrivs nedan. 1.1. Windows Server 2012R2 med IIS8 1.1.1. Att skapa en IIS-sajt (2012R2) Kolla att ASP-rollen finns definierad för servern: o Gå in i Server Manager o Gå in i Add Roles på Dashboard, klicka Next i wizarden till du ser Server Roles. Expandera Web Server. Använd defaults, men: o Under Security, slå på Windows Authentication o Slå på Server Side Includes o Om slav-varianten ska användas (se särskilt kapitel nedan): Under Security, slå på Basic Authentication. o Under Application Development, se till att ASP.NET 3.5 är påslaget. Eventuell får du en följdfråga om Features, acceptera. Starta om Server Manager. I trädet till vänster, expandera IIS ( alternativt starta IIS Mgr separat). I trädet i mitten, expandera ner till Sites, skapa ny sajt: o Namn Multifraga o Välj application pool: Classic.NET AppPool o Physical path: Skapa C:\inetpub\wwwroot\Multifraga (eller annan anvisad path driften vill ha) härinne, skapa inte i vanliga Winexplorer. o Välj http ifall säkring sker t ex med Citrix, annars https och ange ett cert enligt kommunens normala rutiner för interna SSL-sajter, se separat kapitel om cert.

3(19) Välj sajten i trädet och: o Dubbelklicka IIS Authentication. För raden Windows Authentication ska status vara Enabled. Om det inte är så, högerklicka på Windows Authentication och välj Enable. (Detta gäller det vanligaste fallet, AD-autenticering och måste samspela med inställningar i web.config, se nedan.) Stoppa Default Web Site, ta bort den eller byt till någon annan IP-port på den (annars funkar det inte att default på servern går till Multifraga). Starta Multifraga-sajten om det inte redan gjorts. När du provkör, observera att webbläsaren måste tillåta Javascript (i IE t ex: Options > Securoty > Custom > Scripting > Active scripting > Enable). (Alternativ installationsvariant: Ifall man vill ha flera sub-sajter på samma ip/port/dns-namn kan man istället starta med att under Default Web Site göra Add Application med namnet Multifraga, istället för Add Web Site en trappa upp.) 1.1.2. Att kopiera in distributionen (2012R2) Se: Att kopiera in distributionen (2008R2) nedan. 1.1.3. Att definiera filrättigheter (2012R2) Se: Att definiera filrättigheter (2008R2) nedan. Använd varianten med run-usern IIS APPPOOL\Classic.NET AppPool. OBS att du kan behöva ange lokala datornamnet under Locations vid Add i filrättighets-dialogen i Winexplorer för att hitta sådana här speciella runusers. 1.2. Windows Server 2008R2 med IIS7 1.2.1. Att skapa en IIS-sajt (2008R2) Kolla att ASP-rollen finns definierad för servern: o Gå in i Server Manager o Expandera Roles i vänsterträdet, välj sen Web Server (IIS), gå ner till höger till Role Services, se ifall ASP.NET är installerad. o Om icke, klicka Add Role Services, välj ASP.NET och installera.

4(19) Fortsätt i Server Manager, i trädet till vänster, expandera IIS, i trädet i mitten, expandera ner till Sites, skapa ny sajt: o Namn Multifraga o Välj Classic.NET AppPool (dvs IIS6-emuleringen, inte äkta IIS7 mode) o Physical path: Skapa C:\inetpub\wwwroot\Multifraga_dir härinne, inte i vanliga Winexplorer. o Välj http ifall säkring sker t ex med Citrix, annars https och ange ett cert enligt kommunens normala rutiner för interna SSL-sajter. Välj sajten i trädet och: o Dubbelklicka Default Document och addera default.aspx överst till listan om det inte redan finns. o Dubbelklicka också Authentication. För raden Windows Authentication ska status vara Enabled. Om det inte är så, högerklicka på Windows Authentication och välj Enable. (Detta gäller det vanligaste fallet, AD-autenticering och måste samspela med inställningar i web.config, se nedan.) o Skulle inte raden Windows Authentication alls finnas med så måste denna del först installeras: Starta Server Manager, expandera Roles, klicka Web Server (IIS) I mitten kan man nu gå ner en bit till Role Services Under Security finns Windows Authentication Ifall den är Not installed : Titta till höger, klicka Add Role Services, välj Windows Authentication, gör Next och Install. Starta ev om Server Manager, annars dyker kanske inte rollen upp i IIS-delen. Stoppa Default Web Site, ta bort den eller byt till någon annan IP-port på den (annars funkar det inte att default på servern går till Multifraga). Starta Multifraga-sajten om det inte redan gjorts. (Alternativ installationsvariant: Ifall man vill ha flera sub-sajter på samma ip/port/dns-namn kan man istället starta med att under Default Web Site göra Add Application med namnet Multifraga, istället för Add Web Site en trappa upp.)

5(19) 1.2.2. Att kopiera in distributionen (2008R2) Vanligen får man tillgång till distributionen av en version av Multifråga som en zip-fil. Lägg den på My Documents e.dyl, öppna zip:en och kopiera alla filer/kataloger till Multifraga_dir. Aktuell kommuns logga ska även läggas in i Multifraga_dir/bild_kalla/ under namnet aktuell_kommunlogga.jpg (visas på startsidan). Tips: En udda sak med Winservers filhantering är att det tycks bli olika rättigheter beroende på ifall man kopierar eller flyttar distributionens alla filer in till webbserverkatalogerna. Om man kopierar blir det rätt, ifall man flyttar måste man manuellt ändra rättigheterna (eller enklare, ta bort och gör om via kopiering istället). 1.2.3. Att definiera filrättigheter (2008R2) Eftersom ASP.NET:s parameterfil web.config i detta fall inte tänks innehålla någon impersonate-tag (eller False) så kommer run-user för arbetstrådarna som kör ASP.NET-programmen default att vara IIS APPPOOL\Classic.NET AppPool. Denna special-user måste alltså ha skrivrättigheter till t.ex: o Loggfilskatalog (path/namn konfigureras i web.config) o Vår temporärfilskatalog för xml-svarsfiler (som vanligen är Multifraga_dir\App_Data även om det går att konfigurera om). Se parametrarna SB_MF_SvarsDirsPlats och SB_MF_LoggFilsPlats i filen web.config (mer om den nedan). Eftersom run-usern är lite speciell följer här en detaljerad, lånad arbetsgång för hur man sätter rätt permissions till t.ex. App_Data: 1. Open Windows Explorer 2. Select a file or directory (Multifraga_dir\App_Data). 3. Right click the file and select "Properties" 4. Select the "Security" tab 5. Click the "Edit" and then "Add" button 6. Click the "Locations" button and make sure you select your machine (alltså EJ er stora domän). 7. Enter "IIS AppPool\Classic.NET AppPool" in the "Enter the object names to select:" text box. 8. Click the "Check Names" button and click "OK". Sätt sedan Modify permissions för den usern du fick fram. Sedan motsvarande för loggfilskatalogen.

6(19) Noteringar: I den äldre varianten Windows Server 2008 SP1 kör IIS istället under användaren NETWORK SERVICE se WinServer 2003-kapitlet nedan.. I fallet att simpel inloggning används (se web.config-parametern MF_Egen = egenskriven enkel katalog i programmet ) så blir runusern istället nodnamn\iis_iusrs. Möjligen går det att köra under default app-pool i framtiden ifall Classic skulle försvinna, men det är i dagsläget (feb 2011) inte uttestat. I så fall blir troligen run-usern IIS AppPool\DefaultAppPool. Om ni väljer att inte lägga webbfilerna under default (C:\Inetpub\wwwroot) så är det viktigt att definiera rättigheterna Read&Exec, List, Read för både IUSR (verkar användas i vissa fall av systemet - kontohanteringen är mycket svårförståelig i nyare IIS) och för IIS APPPOOL\Classic.NET AppPool. 1.3. Windows Server 2003 med IIS6 1.3.1. Att skapa en IIS-sajt (2003) Gå in i Admingränssnittet i Winserver2003: Startknappen > Administrative > IIS... Högerklicka på Web Sites under serverdatorns namn i trädet, skapa ny site: o Namn (description) Multifraga o Physical path: Skapa C:\inetpub\wwwroot\Multifraga_dir härinne, inte i vanliga Winexplorer. o Permissions: Read + Run scripts such as ASP Högerklicka på den nya webbsajten i trädet, välj Properties: o Välj sedan filken ASP.NET och ASP.NET version 2.xxx (att välja v2 ger lustigt nog funktionaliteten hos även 3.0 och 3.5 i dagsläget). o Fortfarande i Properties, välj fliken Documents och addera default.aspx till listan om det inte redan finns. o Välj också fliken Directory Security, sedan Authentication and access control Edit. Välj bort anonymous, men välj Integrated Windows authentication. (Detta gäller det vanligaste fallet, ADautenticering och måste samspela med inställningar i web.config, se nedan.) o Samt, välj https-port under Web Site ifall säkring inte sker t.ex. med Citrix, annars http. Gå in i Directory Security, Edit, Require SSLoch ange ett cert enligt kommunens normala rutiner för interna SSLsajter.

7(19) I trädet till vänster, klicka på serverdatorns namn, dubbelklicka sedan på Web Service Extensions i högerrutan. o ASP.NET v1 är formodligen Allowed redan från början, men kanske inte Active Server Pages (som delvis betyder ASP.NET v2 - namnsättningen är inte ett under av tydlighet). Slå på Allow även på den. ASP.NET version 2.xxx ska också vara allowed. Stoppa Default Web Site, ta bort den eller byt till någon annan IP-port på den (annars funkar det inte att default på servern går till Multifraga). Starta Multifraga-sajten om det inte redan gjorts. 1.3.2. Att kopiera in distributionen (2003) Vanligen får man tillgång till distributionen av en version av Multifråga som en zip-fil. Lägg den på My Documents e.dyl, öppna zip:en och kopiera alla filer/kataloger till Multifraga_dir. Aktuell kommuns logga ska även läggas in i Multifraga_dir/bild_kalla/ under namnet aktuell_kommunlogga.jpg (visas på startsidan). Tips: En udda sak med Winservers filhantering är att det tycks bli olika rättigheter beroende på ifall man kopierar eller flyttar distributionens alla filer in till webbserverkatalogerna. Om man kopierar blir det rätt, ifall man flyttar måste man manuellt ändra rättigheterna (eller enklare, ta bort och gör om via kopiering istället). 1.3.3. Att definiera filrättigheter (2003) Eftersom ASP.NET:s parameterfil web.config i detta fall tänks innehålla bl.a.: <authentication mode="windows"/> Ingen impersonate-tag (eller False) så kommer run-user för arbetstrådarna som kör ASP.NET-programmen default att vara NETWORK SERVICE. Denna special-user måste alltså ha rättigheter till t.ex. loggfilskatalog och vår temporärfilskatalog för xmlsvarsfiler (som vanligen är Multifraga_dir\App_Data även om det går att konfigurera om). Se parametrarna SB_MF_SvarsDirsPlats och SB_MF_LoggFilsPlats i filen web.config (mer om den nedan). Rättighetsintsällningen görs som vanligt genom högerklick på filen i Winexplorer, Properties, Security. Sätt exempelvis Full för NETWORK SERVICE. I fallet att simpel inloggning används (se web.config-parametern MF_Egen = egenskriven enkel katalog i programmet ) så blir run-usern istället nodnamn\iis_iusrs.

8(19) 1.4. Att installera certifikat Certifikaten spelar i det här sammanhanget några olika roller: 1. Dels används ett klient-cert i maskinen för att programmet ska identifiera sig säkert för myndigheterna som vi anropar. a. Detta ska vara ett organisationscert från Steria (eid.steria.se). Kommunens organisationsnummer står bl a i certet. b. Certets p12-fil läggs i lämplig diskfolder och denna path/filnamn ska pekas ut av parametern SB_MF_KommunCertFilPath i web.config. c. Certets lösenord ska anges i paramentern SB_MF_KommunCertPw i web.config. 2. Dels installeras ett CA-rot-cert i maskinen för att vi ska kunna lita på myndigheterna (som i sin tur baserar sina server-cert på denna rot). a. Starta mmc, addera snap-in för Certificates för Computer account b. Enklast används det rot-cert som finns inkluderat tillsammans med orgaisationscertet från förra punkten. I mmc, expandera Certificates > Trusted Root, högerklick, All tasks, Import, peka ut p12-filen, använd sedan defaultval. Du ska sedan se ett rot-cert som heter i stil med Steria EID CA v2. c. Alternativt hämtar man endast rot-certet direkt från eid.steria.se och installerar som ovan. 3. Dels kan det behövas SSL-cert till IIS i servern så att https kan användas från användarnas webbläsare inom kommunens nät. Använd kommens normala rutiner för sådana interna SSL-cert. Om kommunikationen skyddas av annan kryptering etc kan tänkas att man kan använda vanlig http istället. För mer detaljinfo, främst vad gäller punkt 1 och 2 ovan, se det relaterade kapitlet 1.5. Att installera klient-certifikat för SHS-IWSI (ifall behövs). Eftersom det är lätt hänt att glömma skaffa nytt cert när det gamla går ut (vanligen efter 24 mån) är det bra att göra en anteckning i ens kalender om utgångstidpunkt.

9(19) 1.5. Att installera klient-certifikat för SHS-IWSI (ifall behövs) Kommentar: Numera använder vi i princip inte längre SHS, men Steriacertifikatet ska installeras på samma sätt för de Webservices som vi nu använder. Varianten liknar Fjärr-IWSI i Checklistan. Dessa klient-certificat behövs endast i de fall då SHS används och då kommunikationen mellan webbapplikationens server och SHS-noden behöver säkras med dubbelriktad SSL (vilket betyder att både anropare och anropad har cert detta kan förhindra man-in-the-middle-attacker etc). Certifikatet behövs även om man går ifrån SHS och använder direkt Webservice-kommunikation mot myndigheterna - det identifierar kommunen gentemot myndigheten, där Multifråga alltså har rollen av klient mot deras servrar. Ett typfall när dubbelriktad SSL behövs är då Logicas Infratjänst anropas direkt över Internet med IWSI. Varianten kallas Fjärr-IWSI i Checklistan. Vid egendriftning av SHS-agent, -satellit eller -nod behövs däremot vanligen inte klient-certifikat (varianten Egen-IWSI ). Klientcertifikatet som används i detta fall är detsamma som kommunens myndighetscertifikat (även kallat organisationscertifikat eller servercertifikat) och detsamma som används i SHS. Köps normalt från Steria. Deras sajt kan vara lite svårnavigerad, men följande tips kanske kan hjälpa: Se eid.steria.se > Tjänster > Beställning av E-leg > Serverlegitimation Som servernamn, ange shs.ert-kommunamn.se (den gamla namnkonventionen, trots att vi inte alltid längre använder SHS). Certifikatinstallation består av ett antal steg. Det finns för övrigt ett antal beskrivningar att hitta via sökmotorer på Internet. Du behöver själva kommun-certet, dess password samt Sterias root-cert. Här kommer ett exempel på installationsgång som befunnits fungera: Först root-ca-certet från Steria. 1. Select Start > Run and type "mmc" to open the Microsoft Management Console (Beroende på inloggning och OS kan du behöva se till att köra som administrator) 2. Select File > Add / Remove Snap-in 3. Click the Add button 4. Select Certificates and click the Add button 5. Select Computer Account and click the Next button 6. Click the Finish button 7. Click the Close and OK buttons

10(19) 8. Expand Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates 19. Right-click Certificates, point to All Tasks, and then click Import. 20. Click Next to move past the Welcome dialog box of the Certificate Import Wizard. 21. Enter the path and filename of the CA's.cer file. T ex Steria_AB_EID_CA_v1.cer 22. Click Next. 23. Select Place all certificates in the following store, and then click Browse. 24. Select Show physical stores. 25. Expand Trusted Root Certification Authorities within the list, and then select Local Computer. 26. Click OK, click Next, and then click Finish. 27. Click OK to close the confirmation message box. 28. Refresh the view of the Certificates folder within the MMC snap-in and confirm that the CA's certificate is listed. Notering: mmc verkar även kunna importera en.p12-fil som rot-cert, men ibland kan både myndighets-cert och tillhörande rot-cert ligga i samma.p12, då verkar båda läggas in, så man kanske bör städa bort myndighets-certet sen ur rot-trädet. Nu finns root-ca-certet nåbart från ASP (roten behövs främst för att vi ska godkänna myndigheternas servercert). Cert-filen (t ex: shs.botkyrka.se.p12) ska också kopieras till en filplats där applikationskoden kan hitta den (lägg den exempelvis vid loggarna så blir det hög säkerhet plus backup på den). Ska pekas på av SB_MF_KommunCertFilPath, se nästa stycke. Se också kapitlet om web.config nedan. Fälten o SB_MF_Tvavags_SSL o SB_MF_KommunCertFilPath (cert-filens path) o SB_MF_KommunCertPw (certets lösenord) ska redigeras enligt hur ni installerat ovan. 1.6. Att installera server-certifikat för intern https (ifall behövs) Normalt behövs ytterligare ett servercertifikat förutom från Steria och det är för att säkra upp kommunikationen med hjälp av https mellan handläggarens webbläsare och Multifrågeservern inom kommunens interna nät. Det kan röra sig om ett s.k. stjärncertifikat (*.ert-kommunnamn.se) som ni köpt från en välkänd CA-utgivare såsom Verisign (någon som finns med i listan över betrodda CA i era handläggares webbläsare).

11(19) Om det är så att kommunikationen krypteras på annat sätt, såsom via Citrix, kan man hoppa över detta cert och tillhörande https-inställningar. Lägg in kommunens https-cert: a. To import the client certificate to the local machine store, follow these steps: Expand Certificates (Local Computer), and then expand Personal. b. Right-click Certificates, click All Task, click Import, and then click Next. c. In the File name box, type the file name of the cert, and then click Next. T ex: shs.botkyrka.se.p12 d. In the Password box, type the password that you got when ordering the cert, and then click Next two times. e. Click Finish, and then click OK. f. Refresh the view of the Certificates folder within the MMC snap-in and confirm that the client certificate is listed. g. Stäng mmc (du behöver inte "spara" här) Gå sedan in i IIS Manager, Bindings och slå på https, varvid du får peka ut https-certet som lades upp ovan. Lämpligen slås http av så man inte av misstag använder okrypterad kommunikation. 1.7. Att modifiera web.config ASP.NET:s parameterfil web.config (som ska ligga direkt under Multifraga_dir) innehåller en mängd olika definitioner. De flesta får inte ändras utan ska vara exakt som de genererats av Visual Studio för att hela runtime-miljön ska fungera. Andra parametrar däremot måste anpassas till kommunen och till webbservermaskinen. När man installerar Multifråga för första gången utgår man ifrån den mall för web.config som följer med i distributionen. Filen har relativt omfattande kommentering som ska göra det enkelt och självförklarande att förstå vad man ska ändra på för att anpassa till aktuell miljö. Filen är i xml-format varför man måste vara kunnig i enkel xml-syntax. Filen redigeras lämpligen i Notepad. I vissa fall kan det vara trassligt att redigera på plats under Multifraga_dir pga anti-hacking-skydden i Winserver 2008R2. Då kan man förstås kopiera till någon annan katalog, redigera flien och sedan kopiera tillbaks. En klassisk fälla är att inte ha påslaget visning av filändelser (extensions) i File Explorer. När då Notepad sparar konfigurationen blir det by default under namnet web.config.txt vilket inte i det läget framgår av visningen i File Explorer och vilket förstås inte fungerar alls (kan t o m ge skada eftersom en txt-fil kan tänkas serveras av IIS till en ev angripare).

12(19) Framförallt är det ett antal konfigurationsparametrar för själva applikationen som ska modifieras. De ska ligga under xml-taggen <appsettings> och har format i stil med följande (se kommentarer i filen): <add key="sb_mf_kommunorgnr" value="2120002411"/> Tid-innan-automatisk-utloggning ska konfigureras på flera ställen. Dels parametern SB_BE_CF_UtloggnTimeout som används av den egenprogrammerade automatutloggningen. Dels ska <sessionstate timeout="35" /> t.ex. sättas i web.config, under system.web. (Dels, om Forms Authentication används av någon anledning, finns där en timeoutparameter.) För att få inloggning/autentisering rätt så behövs några rader i web.config som dessutom ska samspela med definitioner i IIS-konfigureringen. Det finns tre fall för autentisering som stöds och dessa styrs av parametern SB_MF_Autent, enligt följande parti lånat från en web.config-mall: <!-- Vilken autenticering som används. OBS! att det är mycket noga att denna parameter konfigureras i samklang med ASP-parametrar som Windows Authent, noanonymous etc, se installationsvägledningen ovan. Alternativ: "Novell"/"AD"/"MF_Egen" Novell = edirectory AD = MS Active Directory MF_Egen = egenskriven enkel katalog i programmet --> <!-- --> <add key="sb_mf_autent" value="ad"/> Två av varianterna är färdigutprovade i dagsläget (2010-03-03): AD och MF_Egen. MF_Egen bör bara användas i undantagsfall eller för test. Följande exempel på parametersättning gäller för varianten för AD: Under <system.web> i web.config: <authentication mode="windows"/> <authorization> <allow roles="botkyrka\grp-app-socmultifråga"/> <deny users="*"/> </authorization> Dessa inställningar samverkar alltså med IIS-inställningen för autentisering enligt Integrated Windows, se avsnittet Att skapa en IIS-sajt ovan. Funktionen blir att alla tillåtna användare ska finns i en viss AD-grupp (i exemplet är gruppnamnet grp-app-socmultifråga ). Därmed sköts lämpligen uppläggningen av tillåtna användare av Multifråga av kommunens IT-avdelning (Ifall varianten MF_Egen ska användas ska partiet med <authorization> inte vara med i web.config.)

13(19) När web.config har modifierats klart är det MYCKET viktigt att kopiera filen till en kopia på något ställe där man kan återfinna den senare. Sätt gärna ett efternamn på kopian som anger när den redigerats. Orsaken är att när nästa version av Multifråga distribuerats är det lätt hänt att den mall-web.config som kan följa med kör över den med möda anpassade lokala filen. ASP.NET har tyvärr inte något riktigt bra mönster för att hantera programversionering och denna parameterfil. Det är att rekommendera att inkludera modifieringshistorik i web.config så man kan spåra ändringar som möjligen ger problem långt senare. Görs med xml-kommentarer, t.ex enligt följande mönster: <!-- #Ändr 2010-02-17 Sven-Håkan Olsson: Flyttat loggfilskatalogen --> Tips: Att testa att AD-inloggning funkar på avsett sätt kan vara lite pyssligt. En hjälp kan vara att ha möjlighet att kolla exakt vad saker heter i kommunens AD-installation. Exempelvis, lägg i 2008R2 till Active Directory Domain Services role i Server Manager (om den inte redan finns). Därefter är kommandoradskommandona dsquery och dsget tillgängliga, t ex: C:\>dsquery group -name multi* "CN=Multifraga,CN=Users,DC=kommun,DC=storstad,DC=se" C:\>dsget group -members "CN=Multifraga,CN=Users,DC=kommun,DC= storstad,dc=se" "CN=Pia Provsson,CN=Users,DC=kommun,DC= storstad,dc=se" "CN=Tore Testsson,OU=Users,OU=IT,OU=TSF,DC=kommun,DC= storstad,dc=se" 1.8. Loggfiler På den loggfilskatalog som pekats ut av web.config-parametern SB_MF_LoggFilsPlats placerar applikationen två filer (om filrättigheterna är rätt satta förstås). o Multifraga_Tekn_logg.txt o Tänkt för tekniker för att kunna leta efter konfigureringsfel, kommunikationstrassel, hitta felutskrifter från runtime-fel, se svarstider mot de olika myndigheterna mm. o Multifraga_Funk_logg.txt o Denna funktionella logg är tänkt att ge spårbarhet kring hur användarna utnyttjar applikationen och hur/vad/när de frågar myndigheterna. Missbruk är ju tänkbart eftersom det rör dig om sekretesskyddat material. o Kommunen bör ha en rutin så att en superanvändare kan göra stickprovskontroll bland användarna för att försäkra om att inte missbruk sker. o Denna fil är gjord för att vara kompatibel med kalkylarksprogram som Office Excel eller OpenOffice Calc.

14(19) Fälten i varje rad separeras av semikolon vilket gör att det går att importera som comma separated file. Ett användningssätt är att kopiera filen, göra rename till.csv och ta in den som kalkylark. o Loggen i sig ska betraktas som sekretessbelagd. o Loggen ska ha backup. För båda loggfilerna gäller: o Om man tycker loggfilerna blir för stora för att titta i så kan man lätt göra rename till t.ex. Multifraga_Funk_logg_t_o_m_2010-02-17.txt. Sedan skapar Multifråga automatiskt en ny current log file. o Filerna kan lätt öppnas och betraktas i Notepad eller i webbläsare. o Man kan då lätt göra ctrl-f för att söka efter något specifikt. o Man kan också lätt göra ctrl-end för att komma till de mest aktuella loggningarna (vilka alltid appendas i slutet). Även om det är utanför scope för denna installationsvägledning så har vanligen också den SHS-lösning man kommunicerar via mot myndigheterna loggar. Många gånger kan kommunikationstrassel bero på felkonfigurering i SHS-noden eller i brandvägg mellan webbserver och SHS-lösning, eller i brandvägg mellan SHS-lösning och Internet (i förekommande fall). Se Checklistan. 1.9. Felsökningstips Några felsökningstips: o Vid trassel med IIS eller ASP.NET i sig, använd sökverktyg för Internet, det finns mängder med tips om installation/konfiguration. o Autentisering, run-users och filrättighetshantering för IIS och Windows Server är verkligen komplext, läs på noga ifall ni väljer en annan variant än som beskrivs ovan. o Webbläsaren måste ha Javascript påslaget (Active scripting i IE) för att Multifråga ska fungera. Ibland är säkerhetsinställningarna i servern sådana att webbläsaren där är initialt nerlåst, vilket man kan behöva lösa för att kunna testa. o Lusläs eventuella detaljerade felutskrifter på Multifrågas webbsidor. I vissa fall kan det tänkas stå intressanta saker i småramarna uppe till höger. Deras yta kan ökas genom att dra i gränslinjerna så att det går att läsa fel-infon. o Kolla Multifrågas två egna loggar. o Kolla SHS-lösningens administrationsgränssnitt och loggar. Ifall du köper via Infratjänst eller annan outsourcing behöver du ibland gå via deras personal. o Läs på om kommunikationskedjan i checklistan (för dokumentnamn, se början av installationsvägledningen). o Dubbelkolla att alla brandväggsöppningar verkligen blivit åt rätt håll, på rätt port och eventuellt med rätt IP-avgränsning. o Dubbelkolla så att inte NAT/masquerading missuppfattats så att det är en annan IP-adress som ska användas.

15(19) o Testa brandväggsöppningarna genom att provanropa från rätt ställe med telnet. Om det är en http-förbilndelse som testas ska det gå att få connect och sedan slå GET / och något ska komma tillbaks. Om det är https torde åtminstone initial connect ske. o Är det ändå mystiskt får man ansluta en IP-sniffer på olika ställen av kommunikationskedjan och testa sig fram stegvis. o Kontakta respektiv myndighet och hör ifall de har driftsproblem, ifall de kan spåra om något anrop inkommer från oss, etc. 1.10. Multifråga som slav under verksamhetsapplikation En intressant lösning är att låta en verksamhetsapplikation direkt få Multifråga att gå igång. Därmed slipper användaren mata in alla frågeparametrarna. En sådan lösning är under 2010 utvecklad i samarbete med Ilab, för deras verksamhetsapplikation Viva. Något år senare även för Nectar Isox. Se dokumentet Nyttomedd_Multifraga_v04.doc (eller senare), särskilt avsnitten om SBAMultifraga. I en senare fas skulle man kunna tänka sig att sedan myndighetsdata även skulle gå att automatiskt överföra till verksamhetsapplikationen, men i första läget används copy/paste för detta - se dock kapitel 1.11. Multifråga kan leverera strukturerat svarsdata till verksamhetsapplikation. Huvudsakligen sätts Multifråga upp enligt anvisningarna ovan, men några saker skiljer: Om vanlig stand-alone-multifråga också ska användas parallellt (eller under en testperiod) ska de två varianterna vara installerade i varsin webbapp eller webbsajt i IIS. De kan köra samma version av programkoden men hela programkoden måste kopieras in i respektive webbrot och de är konfigurerade olika. Skapa en webbapp eller webbsajt i IIS för slav-multifråga enligt beskrivningarna ovan och installera programkoden för Multifråga där. En parameter i web.config styr att en Multifrågeinstallation ska vara slav istället för som vanligt stand-alone, sätt: <add key="sb_mf_appbeordring" value="true" /> Därför ska man här välja Anonymous Auth En ytterligare webbapp eller webbsajt i IIS ska definieras, SBAMultifraga, enligt instruktionerna ovan. Dock är det alltså annan programkod som installeras här. Denna lilla applikation har ett enkelt REST-maskingränssnitt som verksamhetsapplikationen anropar, se dokumentet Nyttomedd_Multifraga_vxx.doc.

16(19) Ifall man väljer varianten att ha flera webappar i samma websajt ska de typiskt gå mot varsin IP-port. Basic Authentication ska slås på för SBAMultifraga, görs i IIS Manager under IIS Authentication. Ifall inte detta finns valbart, se instruktionerna ovan om Add Role Services. Addera en lokal user i servern som ska utgöra maskinanvändare och s.k. shared secret för att verksamhetsapplikationen ska få anropa SBAMUltifraga: o Kör mmc, add snap-in Local users and Groups o Lägg till exempelvis SBAMultifragaUser med ett starkt password o Sätt never expires och att man inte behöver ändra vid första inloggning. o User/pw måste hanteras med sekretess. Meddela user/pw till ansvarig för verksamhetsapplikationens konfigurering, framhåll sekretessen. Meddela även url:en som SBAMultifraga får. Redigera in maskininloggningskraven i web.config för SBAMultifraga (server_x i exemplet ersätts förstås med aktuellt servernamn): o <authentication mode="windows"/> <authorization> <allow users=" server_x \SBAMultifragaUser" /> <deny users="*" /> </authorization> Ifall inte kommunikationen mellan verksamhetsapplikation och SBAMultifraga går i ett säkert nät så ska https slås på eftersom Basic Authentication ginge att sniffa. Testa att accessa SBAMultifraga via en webbläsare. o Om det är rätt ska du tvingas ange user/pw och sedan få en felsida från applikationen själv (om du inte skrivit in korrekta url-parametrar). o Det går också att sedan testa REST-api:et enligt Nyttomeddelandespecen med handgjorda url-parametrar. o Svaret som visas i webbläsaren om det gått bra innehåller en visnings-url. Kopiera in denna i en webbläsare så ska själva slav-multifråga gå igång, ställa myndighetsfrågorna och visa resultatet.

17(19) Nedanstående är lånat och modifierat från Nyttomeddelandespecen för att förtydliga, sekvensen exemplifierar kontexten som Nyttomeddelandet (understruket) används inom. Den övre delen använder SBAMultifraga, den nedre använder slav-multifraga: Verksamhetsapplikation Begäran <sökkriterier> Multifråga-server (SBAMultifraga, temporärlagring) Svar <unik visnings-url> Verksamhetsapplikation <visnings-url> Webbsida inom slav-multifråga (externvisa.aspx) <frågor> Myndigheter <svar> Multifråga-server...går nu att klicka för att visa olika info Tidssekvensen ovan kan variera eftersom de olika myndigheterna kan svara olika fort (eller möjligen inte alls, vid fel). Varje fråga är synkron men Multifråga har parallellitet t.ex. så att det inte låser sig ifall en myndighet inte ännu levererat svar när man klickar på visning.

18(19) 1.11. Multifråga kan leverera strukturerat svarsdata till verksamhetsapplikation Under 2015 utvecklades en integration som kan leverera strukturerat myndighetssvarsdata direkt in i verksamhetsapplikationen (i xml-form) för att t ex användas i en biståndskalkyl. Funktionen finns specifierad i dokumentet Nyttomedd_Multifraga_v11_2015-08-11.doc (eller senare), särskilt i avsnitten om SBAMultifragaStruktData. Funktionen bygger vidare på SBAMultifraga, se avsnitt 1.10. Multifråga som slav under verksamhetsapplikation den funktionen ska alltså först installeras och verifieras. Anropssekvensen för SBAMultifraga ovan behålls, och används initialt vid varje fråga, men efteråt är det möjligt för verksamhetsapplikationen att göra ett ytterligare REST-anrop till slav-multifråga. Som synkront svar erhålls det strukturerade datat som då slav- Multifråga innehar (ligger i temporära filer anropsrättighet gäller endast en kort tid). Detta nya anrop görs alltså INTE till SBAMultifraga.aspx utan till SBAMultifragaStruktData.aspx i den "vanliga" IIS-grenen för slav- Multifråga som externvisa.aspx ligger i (dvs i den gren som har SB_MF_AppBeordring True inställt). Detta för att ligga inom samma "rättighetsområde" som externvisa.aspx. Detta sista anrop identifierar sig med samma tidsbegränsade, långa "guid" som ingår i den unika visnings-url som nämns ovan och som använts till externvisa.aspx. För att ytterligare höja säkerheten för denna maskin-maskin-kommunikation rekommenderas att skydda den t ex med Windows/Basic Authentication. Man kan använda samma maskinanvändare som nämns ovan. Glöm ej att slå på sådan Authentication i IIS Mgr för slav-multifråga-grenen. Infoga därefter följande konfiguration i web.config i slav-multifråga: <location path="sbamultifragastruktdata.aspx"> <system.web> <authorization> <allow users="server_x\sbamultifragauser"/> <deny users="*" /> </authorization> </system.web> </location> Ifall inte kommunikationen mellan verksamhetsapplikation och SBAMultifragaStruktData går i ett säkert nät så ska https slås på eftersom Basic Authentication ginge att sniffa. Testa att accessa SBAMultifragaStruktData.aspx via en webbläsare.

19(19) Om det är rätt ska du tvingas ange user/pw och sedan få en felsida från applikationen själv (om du inte skrivit in korrekta urlparametrar). Det går också att sedan testa REST-api:et enligt Nyttomeddelandespecen med handgjorda url-parametrar på liknande sätt som för SBAMultifraga.aspx. Svaret som visas i webbläsaren om det gått bra innehåller det strukturerade xml-datat.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss