Met zo’n 225 werkplekken is de gemeente Epe een middelgrote organisatie. Je zou dan ook niet verwachten dat juist hier een early adopter is te vinden die voor het grootste gedeelte is overgestapt op Linux. Volgens Bart van der Helm, verantwoordelijk voor de ict in deze gemeente, had dat weinig te maken met een behoefte om voorop te lopen, maar was de keuze voor de Novell Open Enterprise Server gewoonweg de meest logische.
“We zaten met Novell 6.0 op het punt dat we allerlei problemen hadden op het gebied van performance en datacapaciteit. Het onderhoud werd steeds lastiger, dus dan kom je voor de keuze wat je wilt gaan doen. Probeer je een oud systeem zo lang mogelijk in de lucht te houden of ga je op zoek naar iets wat ook voor de toekomst meer perspectief biedt? NetWare 6.5 met een SAN bood ons wel de mogelijkheden die we zochten, maar NetWare heeft volgens mij geen lang leven meer. Op dat moment kwam net Open Enterprise om de hoek kijken, maar er waren nog grote problemen met ZENworks. Op zijn zachtst gezegd liep dat niet lekker. Vlak voordat we knopen zouden doorhakken, bleek dit probleem zichzelf op te lossen. Zowel AAC Cosmos, HP en Novell waren bereid meer dan de gebruikelijke ondersteuning te geven. Dan lijkt zo’n vroege implementatie verantwoord. Op zich zijn wij geen early adopters die zo nodig voorop willen lopen, maar als je kijkt naar een systeem dat op toekomstige toepassingen is voorbereid, moet je soms wel. Belangrijk was dat we de garantie kregen dat we alles naast de toenmalige configuratie konden opzetten en we er op elk moment uit konden stappen. Onder die condities wilden we Linux zeker een kans geven.”
Escape-route
Van der Helm ziet het als een groot voordeel dat men op dat moment nog een volledig operationeel systeem had lopen. Zo hoefde men niet bang te zijn voor continuïteitsproblemen op momenten dat het mis zou gaan. Tijdens de implementatie was er ook daadwerkelijk een aantal keren dat men heeft overwogen gebruik te maken van de ontsnappingsmogelijkheid binnen het contract. Zo waren er problemen met de HBA-controllers die slecht met securepath-functionaliteit richting het SAN overweg konden, maar tijdens de implementatie bleek het toch iedere keer weer mogelijk om de hindernissen te overwinnen. “Doordat we de zekerheid hadden van korte lijnen met leveranciers en fabrikanten, hebben we deze stap aangedurfd en uiteindelijk konden we een probleemloos systeem opleveren. Die supportgarantie is essentieel geweest. We hebben zelf niet de expertise om zo’n grootschalige implementatie aan te kunnen. Zonder die garanties hadden we het niet aangedurfd.”
Server based
Net als de overstap naar Linux een logisch gevolg was van de noodzaak om opnieuw te investeren, was de overstap in 2004 naar thin clients voor de hand liggend. Van der Helm: “Op de werkplekken hadden we een behoorlijk aantal verouderde pc’s die vervangen moesten worden. Dat is een moment waarop je toekomstgericht gaat kijken. De combinatie van een Citrix-omgeving met thin clients is dan een van de mogelijkheden die je tegen het licht houdt. Inmiddels waren er al behoorlijk wat gemeentes op deze werkwijze overgeschakeld, dus we hadden hier geen angst voor kinderziektes. Vooral qua beheer is dit een goede oplossing gebleken en ook de gebruikers zijn erg tevreden met deze manier van werken. Het bleek eenvoudig om de mensen hier uit te leggen dat dit een betere oplossing was dan wat ze gewend waren. Het opstarten van een pc kost bijvoorbeeld veel te veel tijd. Je bent al snel een paar minuten bezig. Met een domme terminal is die opstarttijd teruggebracht naar een paar seconden. Dat is een voordeel wat de meeste gebruikers direct aanspreekt.”
Opnieuw kijken
De overgang naar Citrix betekende vooral dat er flink het mes moest worden gezet in het aantal gebruikte applicaties. “We wisten van collega’s uit andere gemeentes al wat er mogelijk was. Daarom zijn we eerst begonnen met eens goed te inventariseren welke applicaties er daadwerkelijk in gebruik waren. Het bleek dat er een behoorlijk aantal was dat niet meer werd gebruikt of prima samen was te voegen met iets anders. Slechts een enkel DOS-pakketje rond genealogie is gesneuveld, en de grafisch zware pakketten als InfoCAD kunnen niet via een thin client draaien. We zijn zo van een applicatie of tweehonderd terug gegaan naar zo’n 120 en dat scheelt weer in het beheer.” Diezelfde eenvoud was voor de gemeente Epe tevens reden om opnieuw te kijken hoe identiteiten werden beheerd. “Je wilt niet dat er op verschillende plekken gebruikers worden aangemaakt”, legt van der Helm uit. “Dat betekent in de praktijk altijd dat er fouten worden gemaakt. We hebben dat nu redelijk gecentraliseerd, maar willen daarin nog verder gaan, zodat we ook de SAP-gebruikers daarin onder kunnen brengen. Bij identity management draait het tenslotte om die ene plek waar je alle gebruikers voor alle applicaties kan beheren. De koppeling tussen eDirectory en ActiveDirectory betekent dat alle mutaties automatisch over het gehele systeem worden doorgevoerd. Dat is minder werk voor het beheer, maar tevens is de kwaliteit van je gegevens beter. Je ondervangt zo eenvoudig verschillende schrijfwijzes van namen, vergeten koppelingen van mensen of het toekennen van bepaalde rechten.”
Rollen toebedelen
Role based identities zullen hierbij straks een belangrijke rol spelen. Door de rechten van een gebruiker te koppelen aan zijn functie binnen een organisatie, is het niet nodig deze steeds weer aan te maken. Een bepaalde werknemer of ambtenaar heeft voor zijn of haar werk simpelweg maar een bepaalde hoeveelheid applicaties en toegangen nodig. Komt er iemand op een balieplaats bij Burgerzaken werken, dan hoeft deze slechts die bepaalde rol te krijgen. Zo kan iemand met een minimale handeling de juiste rechten krijgen of worden ontnomen. Van der Helm: “De hele organisatie zit in de eDirectory en alle applicaties zijn gedefinieerd binnen applicatiegroepen. Door een gebruiker aan een groep te koppelen, hebben ze direct en alleen toegang tot die delen van het systeem die voor hun functioneren nodig zijn.” Om alle gegevens voor de eDirectory boven tafel te krijgen, is er een sjabloon ontwikkeld waarmee een leidinggevende of management-assistent een nieuwe werknemer snel de juiste rol kan toebedelen. “Dat formulier wordt hier verwerkt en binnen een kwartier heeft iemand toegang tot alle gegevens die voor die functie noodzakelijk zijn. De volgende stap is dat we deze papieren sjabloon digitaal gaan aanbieden. Het betekent dat de leidinggevende op een afdeling, degene die tenslotte het dichtst op het werk zit, dit straks zelf kan doen. Vooral bij het uitschrijven van een gebruiker is dit wenselijk. Bij het aanmaken van een nieuwe gebruiker is men altijd heel punctueel, maar het verwijderen van rechten wanneer iemand de organisatie verlaat, wil nog wel eens lang op zich laten wachten. Niet zelden moeten we vanuit de wandelgangen vernemen dat iemand een andere baan heeft.”
