O tom, ako sa Linux a open source na mestskom úrade v Banskej Bystrici dostal z okraja pozornosti do pozície ústrednej technológie, mal Peter začiatkom leta 2011 prednášku na žilinskej Linux OSS Conf. My prinášame len stručné zhrnutie jeho príspevku (1, 2).
Pôvodná situácia
Informatizácia na mestskom úrade sa rozbehla okolo roku 2000 nasadením informačného systému pre samosprávy (v skratke ISS) od firmy Corageo, ktorý obsahoval základné moduly pre evidenciu obyvateľstva, dane a ekonomiku. Klient bol napísaný v Microsoft Visual Foxpro a pripájal sa na databázu od Oracle. Databáza spolu so súborovým serverom, tlačovým serverom a doménovými službami bežala na už zmienenom Windows NT4. Na úrade bolo približne štyridsať tlačiarní, štyridsať počítačov so staršími Windows, ktoré slúžili hlavne ako písacie stroje a okolo šesťdesiatich novších počítačov pripojených k sieti.
Rok 2003
S pribúdajúcimi počítačmi zapojenými v sieti prestávalo statické nastavovanie IP adries stačiť. Bolo preto nutné sprevádzkovať server, ktorý by nastavovanie zvládol zautomatizovať. Na nákup servera neboli peniaze, ale v sklade ležali vyradené HP PA/RISC servery. Pretože distribúcia Debian túto architektúru podporovala, bolo možné dva z týchto ináč nepoužiteľných serverov sprevádzkovať ako DHCP/DNS servery v redundantnom zapojení. „Napriek tomu, že tieto stroje mali menší výkon než najslabší funkčný počítač na úrade, svoje úlohy plnili spoľahlivo a s ľahkosťou (zaťaž CPU 1 %).“
Ukážka časti pôvodného serverového vybavenia: Zľava DNS a DHCP server, prvý linuxový file server (s nálepkou tučniaka) a dva servery slúžiace ako LDAP a Samba
Mozilla Firefox a Thunderbird
Na všetky pracovné stanice, ktoré boli zapojené do internetu, bola nasadená dnes už tradičná kombinácia Firefox a Thunderbird. Ako open-source programy dobre zapadali do celkovej koncepcie IT na MsÚ a ich nasadenie bolo motivované aj funkčnosťou a bezpečnosťou, keďže škodlivý softvér napádal prakticky výlučne zraniteľnosti v softvéri Microsoftu – Internet Explorer a Outlook Express.
Najjednoduchší bol práve prechod z e-mailového klienta Outlook Express na Thunderbird. Ten bol rýchlejší, stabilnejší a mal viac funkcií, vrátane dobrého spam filtera a podpory pre protokol IMAP.
S Firefoxom to bolo trochu zložitejšie. V roku 2004 mal Internet Explorer prakticky absolútny monopol, preto bolo veľké množstvo stránok optimalizovaných práve na Internet Explorer 5 a odmietali sa spustiť v iných prehliadačoch. Na jednej strane bolo nutné vysvetľovať zamestnancom, ktorým sa stránky nesprávne zobrazovali, že „chyba nieje v ich prijímači“, na strane druhej u administrátorov inkriminovaných stránok žiadať nápravu.
Dnes je kombinácia webového prehliadača a e-mailového klienta od Mozilly bežná aj vo firmách a medzi prehliadačmi funguje tuhý konkurenčný boj, takže obávaný nápis „Táto stránka je optimalizovaná pre prehliadač“ je už našťastie raritou.
V roku 2004 vyzerala podpora rôznych prehliadačov zo strany tvorcov web stránok aj takto
OpenOffice.org
Kvôli množstvu nových počítačov bolo nutné zvoliť tiež kancelársky balík. Dovtedy sa používal hlavne PCSuite od Software602 a na niekoľkých pracovných staniciach Microsoft Office 97. Software602 však začínal byť čoraz viac pozadu za Microsoftom, aj rýchlo rozvíjajúcim sa OpenOffice.org. Nakúpiť licencie Microsoft Office bolo príliš drahé, navyše ďalšie upgrady si často vynucovali aj upgrade operačného systému a spolu s tým upgrade celého stroja, čo by investíciu do licencií ešte viac predražilo. Preto zvíťazil OpenOffice.org, ktorý mal navyše tú výhodu, že na ňom nefungovali vírusy zneužívajúce makrá v dokumentoch Microsoft Office.
S novými verziami sa tiež zlepšoval import dokumentov ostatných kancelárskych balíkov, a tak sa podarilo presadiť, aby sa otvorený formát ODF stal povinným pre celý MsÚ.
S nasadzovaním OpenOffice.org boli spomedzi týchto troch programov asi najväčšie problémy. Na jednej strane boli zamestnanci navyknutí na T602 alebo Microsoft Office. Problém nad rámec sily zvyku to bol hlavne u pokročilejších užívateľoch, ktorým niektoré funkcie v OpenOffice.org jednoducho chýbali.
Asi najväčší problém mali pracovníčky referátu daní, ktoré v Exceli robili časť svojej agendy. Tie videli v OpenOffice.org, ktorému niektoré funkcie Excelu chýbali, svojho úhlavného nepriateľa. Treba však na obranu OpenOffice.org povedať, že správne riešenie tohto problému by bolo vylepšenie ISS, v ktorom mala byť celá agenda robená, a nie suplovanie funkcii ISS Excelom, alebo neskôr Calcom.
„Mali sme ale aj pozitívnu skúsenosť, keď sme OpenOffice.org nasadili na útvare kontroly. Prvých pár dní si s niektorými vecami nevedeli rady, tak sme im niekoľkokrát pomohli, potom si od nás požičali knihu o OpenOffice.org, po týždni ju vrátili a odvtedy pracovali bez akýchkoľvek ďalších otázok.“
Posledným problémom sa ukázala byť komunikácia s okolitým svetom, kde je samozrejme DOC formát od Microsoftu de facto štandardom. Podľa slovenskej legislatívy našťastie musia byť všetky úrady schopné komunikovať vo formátoch, ktoré sú oficiálnymi štandardmi, takže sa nakoniec väčšinou podarilo dohodnúť, aby komunikácia s ostatnými prebiehala aspoň v RTF dokumentoch. V roku 2006 bol ako štandard uzákonený formát OpenDocument, čím OpenOffice.org získal plnú podporu legislatívy.
Súborový server
Ďalší problém, ktorý bol elegantne vyriešený pridaním nového linuxového serveru, bolo zálohovanie dát zamestnancov. Základným prvkom bol súborový server, na ktorom boli uložené všetky domovské adresáre, takže už pri servise zamestnaneckých počítačov nebolo nutné zálohovať dáta zvlášť. Súborový server bol zálohovaný na sekundárny server a následne na pásky.
Okrem toho sem boli premiestnené súbory klienta ISS. Dodávateľ ISS síce počítal s tým, že klient bude spúšťaný zo servera, predpokladal však, že databázový aj súborový server budú bežať na rovnakom stroji, kvôli zjednodušeniu procesu upgradovania. Tento problém sa podarilo vyriešiť až s novšou verziou ISS, ktorá spôsob upgradovania zmenila. Tiež bolo nutné vyriešiť problém s „rannou špičkou“, keď na začiatku pracovného dňa server nestíhal obslúžiť všetky požiadavky na prístup ku klientovi, ktorý sa kvôli tomu často ani nespustil. Po presune servera na aspoň trochu modernejší stroj tieto ťažkosti prestali.
Doména
Kvôli problémom s Windows NT4 a po úspechu s nasadením DNS a DHCP bolo rozhodnuté premigrovať doménu na Linux. Na Linuxe by doména fungovala kombináciou Samba a LDAP serveru. Tento presun však bol z niekoľkých dôvodov oveľa náročnejší, než sa predpokladalo, a trval približne rok.
Samba bola práve vo fáze prechodu z verzie 2.x na 3.x, s každou novou verziou sa robilo veľké množstvo zmien, nových chýb a dokumentácia bola nekompletná. Toto sa našťastie v priebehu ďalšieho roku výrazne zlepšilo. Ďalším problémom bolo samotné získanie dát Windows NT servera. Windows sa bol ochotný o údaje deliť len so strojom vo funkcii záložného doménového radiča. Samba síce mala mať schopnosť vytiahnuť tieto dáta, ale z nejakého dôvodu „vampire process“ zlyhal. Preto nakoniec migrácia prebehla ručne. Bola nastavená prázdna doména, v ktorej boli duplicitne vytvorené všetky záznamy a postupne boli jednotlivé užívateľské stanice presmerovávané z pôvodného serveru na nový. Nakoniec mohla byť pôvodná doména vypnutá. „Napriek všetkým problémom, takto postavená doména sa javí ako stabilnejšia, než bol jej Windows NT predchodca, za predpokladu, že sa za chodu nemenia verzie softvéru, ktorý ju zabezpečuje.“
Okrem zvýšenia stability bolo výhodou nového systému zhromaždenie všetkých užívateľských účtov na jednom mieste, v LDAP databáze. Cez LDAP potom mohla bežať autentifikácia pre e-mailové schránky, alebo neskôr spustený e-groupware.
Serverová infraštruktúra samozrejme prebiehala postupnými upgradmi, vľavo server, na ktorom bežal ISS, vpravo v súčasnosti používaný HP Blade c7000
Oracle
Poslednou službou, ktorú server s Windows NT4 poskytoval, bol práve databázový server pre ISS. Vyťaženie databázy ale postupne rástlo nad únosnú medzu, keď jeden rozsiahlejší dotaz dokázal na niekoľko sekúnd znemožniť prácu všetkých ostatných užívateľov. Preto bolo rozhodnuté presunúť databázu na novší stroj, na ktorom by pobežal osvedčený Linux. Táto migrácia prebehla v roku 2005, problém sa vyskytol len pri nastavovaní kompatibilnej verzie Javy na Debiane Woody. Databáza Oracle 8 totiž bežala správne len pod určitou verziou Javy, pri novších sa začali vyskytovať problémy.
Linuxový entuziazmus však občas narážal na nepochopenie zo strany vývojárov ISS, firmy Corageo. „Dodávateľ ISS mal už veľké starosti z našich experimentov s nepodporovanou platformou (na všetkých ostatných mestách bežala databáza i súborový server na Windows) a pri niektorých chybách ISS mali niektorí vývojári sklony vyhovárať sa, že to preto, lebo tam máte ten Linux“. Aby sa takýmto sťažnostiam zamedzilo, bola databáza ešte raz migrovaná, z Debianu na SUSE Enterprise Linux. Ten Oracle uvádza ako jednu z oficiálne podporovaných linuxových distribúcií. Po jej nasadení spolu s novou verziou Oracle databázy boli zástupcovia firmy Corageo pozvaní na priateľskú návštevu, zlepšilo sa vzájomné porozumenie a sťažnosti prestali.
Proxy Server
Na zvýšenie bezpečnosti stále viac využívaného internetového pripojenia sa v roku 2004 rozhodli správcovia siete zlepšiť služby firewallu a proxy servera. Išlo hlavne o to, aby sa na klientské počítače dostávalo čo najmenej škodlivého softvéru. Znovu išlo o starší stroj, na ktorom bol Debian Woody s proxy serverom Squid. Zo začiatku bolo blokované hlavne sťahovanie spustiteľných súborov a prístup k pornostránkam. Postupným dolaďovaním proxy servera sa podarilo dosiahnuť pokrytia až 30 % dopytov priamo z cache. „To predstavovalo nielen značné zrýchlenie pre používateľov, ale aj úsporu nákladov na pripojenie, keďže prekračovanie predplateného prenosu dát bolo spoplatnené.“
Neskôr, po niekoľkých neúspešných testoch pripojiť k filteru proxy servera aj antivírus, bol server rozšírený o filter obsahu Dansguardian, ktorý vie spolupracovať s antivírom ClamAV. Celoplošná kontrola prechádzajúceho obsahu antivírom mala drasticky vyššie nároky na hardvér, preto bola sprevádzkovaná až v roku 2005 s kúpou nového serveru.
Až po kúpe nového serveru bolo možné zapojiť do filtrovania aj antivír
Mail server
Ako bolo spomenuté, mail server bol prvou službou na MsÚ, ktorá používala open source, a dlho fungovala v počiatočnom stave. K prevádzkovaniu vlastného mailového servera samozrejme patrí boj so spamom a zavírenými prílohami, čo je momentálne pokryté osvedčenou kombináciou spam filteru Spamassasin a antivíru ClamAV, prepojených cez filter Amavis.
Zaujímavejším problémom bolo vyriešenie zálohovania e-mailov. POP3 protokol sťahuje všetky e-maily priamo na pracovné stanice užívateľov a v štandardnom nastavení kópiu na serveri zmaže. Pri poruche stolného počítača bol potom problém s rýchlou obnovou, alebo aj s úplnou stratou pošty. Najlepším riešením bola zmena protokolu na IMAP, ktorý v základnom nastavení udržiava všetky správy na serveri a umožňuje s nimi manipulovať aj bez nutnosti stiahnutia. Pri IMAP protokole potom u vymeneného počítača stačí nastaviť prihlasovacie údaje a užívateľ má znovu prístup ku všetkým svojim e-mailom.
Táto zmena si vyžiadala svoju daň hlavne v nárokoch na rýchlosť a veľkosť diskového priestoru na mail serveri. Na začiatku roku 2011 zaberali e-maily zamestnancov približne 500 GB miesta.
EGroupware
V roku 2006 bola na intranete MsÚ sprístupnená webová aplikácia EGroupware. Pôvodným zámerom bolo naučiť zamestnancov používať helpdeskovú aplikáciu v rámci groupware, aby nevznikal zmätok pri rôznych požiadavkách na oddelenie informatiky. Často sa totiž stávalo, že ústnym podaním došla požiadavka buď niekoľkokrát, alebo vôbec.
Jednotlivé časti groupware začínali zamestnanci používať postupne. Na rozsiahle školenia neboli prostriedky a bez zaučenia užívateľov by bolo zbytočné vydávať ohľadom groupware plošné nariadenia. Najprv aplikáciu používalo len zopár užívateľov ako kalendárovú aplikáciu, kde si značili pracovné stretnutia. Potom sa pridala možnosť rezervácie zasadačiek. Neskôr bolo do groupware prenesené plánovanie stretnutí na sekretariáte primátora a prednostu. Niektorí zamestnanci mali požiadavku, aby sa dali aj služobné vozidlá rezervovať podobne ako miestnosti a EGroupware plnil čím ďalej tým viac úloh. "Taký benevolentný prístup bol možný len vďaka bezplatnosti EGroupware, ktorá nám dovolila sprístupniť ho každému zamestnancovi bez potreby riešiť počty licencií. Keby išlo o komerčný produkt, v prvých rokoch by jeho nepoužívanie robilo investíciu neudržateľne neefektívnou."
EGroupware vznikol z PHPGroupware a na prevádzku mu stačí webový server s podporou PHP a mysql-server. Navyše vie prihlasovacie údaje natiahnuť z LDAP databázy. Jedným z plánov bolo využiť webmailový klient v EGroupware ako primárneho poštového klienta pre všetkých zamestnancov namiesto Thunderbirdu. Pri porovnaní oboch klientov však Thunderbird vyhral na plnej čiare, a tak bol webmail prevádzkovaný ako záložné riešenie pre prípad, že sa zamestnanec musí k mailom dostať mimo budovy.
Keď sa pod správu MsÚ dostali aj školy a škôlky, mohol im byť cez groupware jednoducho poskytnutý prístup k e-mailom bez nutnosti nastavovať desktopových klientov.
Jednou z aplikácií eGroupware je aj kalendár
GIS
Portál Geografického informačného systému pre potreby MsÚ bol zabezpečený v spolupráci s firmou Swagis. Zo strany MsÚ na tom mal zásluhu hlavne Bc. Voskár, tiež veľký open-source nadšenec, ktorý zabezpečoval technickú stránku práce Útvaru hlavného architekta. Riešenie bolo postavené na kombinácii Debian, PostreSQL s nadstavbou PostGIS a samotný mapový server z dielní University of Minesota (UMN Mapserver). Ako klient slúžila aplikácia Cartoweb. Tá k svojmu fungovaniu potrebovala len prítomnosť platformy Java. Pre porovnanie, katastrový portál vyžadoval stiahnutie ActiveX komponentu.
Toto riešenie bolo o dva rády lacnejšie než pôvodne plánované komerčné riešenie a v roku 2007 bolo ocenené cenou Zlatý Erb. Roku 2011 bol tento systém vymenený za modernejší od firmy Gista, stále však postavený na rovnakých open-source technológiách. Ako vyzerá dnes, si môžete pozrieť na portáli Útvaru hlavného architekta.
Geografický informačný systém bol postavený výlučne na open-source komponentách, na obrázku jedna zo starších verzií
Linux na desktopoch
Pôvodným zámerom bolo postupne doviesť celú informačnú infraštruktúru na technológiu tenkých klientov a linuxových serverov, ktoré by boli menej náročné na údržbu než armáda desktopových počítačov s Windows. Na priame financovanie takéhoto riešenia samozrejme nebol rozpočet, preto bola prvým krokom k tomuto cieľu verejná súťaž na nákup počítačov. Tá bola uskutočnená v roku 2005 a hlavnými kritériami bola kompatibilita operačného systému s Visual Foxpro, na ktorom bol postavený klient ISS, schopnosť bootovania po sieti a kompatibilita hardvéru s Linuxom. Ak by prišiel dodávateľ s funkčným riešením na báze Linuxu, bez problémov by vyhral vďaka cenovej výhode oproti zostavám s Windows. Ak by migrácia zlyhala, stále budú k dispozícii počítače za výhodnú cenu, na ktoré bude možné nainštalovať Windows (čo by pri čisto tenkých klientoch nebolo možné). Naopak, ak by sa našli len dodávatelia s Windows, dodaný hardvér by bol stále plne kompatibilný s Linuxom.
Víťaz súťaže, žilinská firma ESMO, dodal päťdesiat linuxových desktopov postavených na distribúcii Mandrake Linux. Ako desktopové prostredie bolo pre svoju jednoduchosť nakoniec zvolené IceWM a distribúcia Debian Sarge, celá inštalácia systému prebiehala naklonovaním disku na počítači a programátori firmy Corageo, dodávateľa ISS, vyšli v ústrety vo forme informácií o potrebných knižniciach.
Takto vyzeral používaný linuxový desktop, neskôr bolo zmenené logo Debianu
Pretože väčšina doteraz používaných aplikácií (Firefox, Thunderbird, OpenOffice.org) bola multiplatformná, nebol s prechodom na novú platformu až taký problém. Zamestnanci mali k dispozícii rovnaké programy, ich domovský adresár sa pripájal pomocou Samby, a pretože šlo o nové počítače s dobrým výkonom a nadpriemernou ergonómiou, nemali pocit, že dostávajú niečo menej hodnotné. Drobnejšie problémy sa vyskytli hlavne u periférií, ako boli tlačiarne, ktoré nemali veľmi dobré linuxové drivery.
Vážny problém nastal začiatkom roku 2006, keď dodávateľ ISS zmenil verziu knižníc Visual Foxpro zo 7 na 8. Tento krok mal zlepšiť tlač, jeho dôsledkom však prestala fungovať pod Windows 98 aj pod Wine. Jediným systémom, kde tlač ako tak fungovala, bol Windows XP. Presvedčiť dodávateľa, aby podporoval aj staršiu knižnicu, sa nepodarilo. Ten bol viazaný na podporu knižníc Microsoftom, a preto keď starším knižniciam končila podpora, snažil sa previesť na novšie knižnice aj všetkých svojich klientov. Kvôli tomu skončila v konečnom dôsledku migrácia na Linux neúspešne a na všetky počítače museli byť zakúpené licencie na Windows XP. Iróniou osudu zostáva, že kvôli problémom s tlačou na Windows 98 sa o niekoľko mesiacov podpora pre staršie knižnice vrátila.
Úspora a žiaden vendor lock-in
Samozrejme financie boli jedným z dôvodov, prečo MsÚ Banská Bystrica v takom množstve využíva open source. Ak by boli v podobnom rozsahu nasadené komerčné licencované produkty, stálo by to mesto takmer o 800 000 € viac. Používanie open source v prvom rade slúži ako dobrá prevencia pred závislosťou na konkrétnom dodávateľovi, ktorá sa nazýva „vendor lock-in“, v preklade uzamknutie na dodávateľa. Dodávateľ, ktorému sa takéto uzamknutie podarí urobiť, potom má oproti svojim klientom značnú výhodu, ako môžeme vidieť na prípade s dodávateľom ISS a Microsoftom.
Práve takýchto tesných naviazaní je veľmi obtiažne sa zbaviť (v prípade MsÚ ide minimálne o naviazanie na dodávateľa ISS, ktorý je v druhom rade závislý na databáze od firmy Oracle a knižniciach firmy Microsoft). V dlhodobom horizonte sa takéto uzamknutie kvôli nevyhnutným upgradom rapídne predražuje.
Na druhú stranu pri open-source riešení, akým bol Geografický informačný systém, nebol problém po štyroch rokoch prejsť k novému dodávateľovi (od roku 2011 funguje riešenie od firmy Gista).