Vi har samlet vedligeholdelses- og udviklingsopgaver i oktober sammen i denne oversigt. I må meget gerne give os feedback, hvis I vil høre nærmere eller har ideer til udviklings- eller vedligeholdelsesopgaver.

Vigtig rettelse: Opdatering af scripts til at sætte kodeord for superuser og Borger

Brian Løvendahl fra Vordingborg opdagede fredag d. 3/11 og meldte ind, at loginprompten ignorerede alle tegn efter de første 8 i kodeordet. Dvs. så længe de første 8 tegn i kodeordet er korrekte, så logges man ind. Vores scripts til at sætte kodeord for Borger og superuser brugte en indbygget systemfunktion kaldet “crypt”, og efter noget undersøgelse viste det sig, at denne funktion har den omtalte begrænsning, at alle tegn ud over de første 8 blev ignoreret.

Ubuntu understøtter dog flere forskellige protokoller til hashing af kodeord, så vi har nu omskrevet begge scripts til at bruge en nyere, sikrere metode, der ikke har denne begrænsning.

Vi anbefaler derfor alle at genkøre scriptet “System - Skift kodeord for superuser”, så jeres superuser-konti er bedre beskyttet.

Kodeordet for Borger er af mindre betydning, da de fleste af jer benytter automatisk login, og dette kodeord som udgangspunkt er låst. Det er først, når man har kørt scriptet til at sætte kodeordet for Borger, at det reelt bliver muligt at autentificere sig som denne konto. Og selv herefter har kontoen ikke superuser-rettigheder.

Opdaterede sikkerhedsscripts

Detekter sudo-kørsel

Flere af vores kunder har oplevet, at printprogrammet Princh hyppigt genererer sudo-advarsler, fordi programmet gør unødvendig brug af sudo. Århus og Lejre har finansieret en opdatering af sudo-sikkerhedsscriptet, så det nu frafiltrerer sudo-hændelser fra root, hvilket inkluderer hændelserne fra Princh. Der er ingen risici ved denne frafiltrering, da man ikke behøver sudo for administratorrettigheder, hvis man allerede er root. Det globale sikkerhedsscript er blevet opdateret den 02/11-23, og der burde ikke opleves flere sudo-hændelser fra Princh efter denne dato.

Opdaterede scripts

De sidste to globale scripts, der stadig brugte ja/nej som tekstinput som parametre, er nu blevet opdateret til at bruge afkrydsningsfelter i stedet:

• OS2borgerPC Kiosk - Skjul musemarkør ved muse-inaktivitet
• Sikkerhed - Vedvarende mappe på skrivebordet

System - Skift skærmopløsning

Dette script, som blev nævnt i nyhedsdokumentet fra i sommer, er nu blevet testet og gjort globalt. Vi har også rettet en mindre fejl, der bevirkede, at scriptet ikke altid viste de tilgængelige skærmopløsninger korrekt.

Login - Automatisk borgerlogin til/fra

På forespørgsel fra Brøndby har vi opdateret dette script, så det nu også er muligt at deaktivere automatisk borgerlogin, uden at der kræves kodeord for borger. Dette gør det lettere at sikre, at nye brugere mødes af loginskærmen, så borgerne kan være sikre på, at de får en frisk session. Derudover er det relevant i forhold til indrapportering af antal daglige logins. Se afsnittet om det relaterede script længere nede.

Nye scripts

Chrome - Åbn PDF i standard PDF-program

På forespørgsel fra Brøndby har vi udviklet et script, som tilføjer en Chrome-policy, der får Chrome til automatisk at downloade PDF’er og åbne dem i maskinens standard PDF-program frem for at åbne dem i Chrome. Det kan bl.a. være relevant, hvis man har problemer med at print fra Chrome ikke virker korrekt.

Login - Send løbende antal login dagligt til adminsitet

Som en del af den udvidede API-løsning har vi udviklet et script, som får maskinen til at begynde at indrapportere antal logins per døgn til adminsitet. Denne information kan så tilgås via API’et. Maskinen vil først indrapportere antal logins for en given dag på den efterfølgende dag. Der vil blive gemt antal logins for op til 90 dage for en given maskine, hvorefter de ældste værdier slettes, når nye tilføjes.

Det bør bemærkes, at maskinen og derfor scriptet ikke kan kende forskel på automatiske logins og manuelle logins. Værdierne fra dette script vil derfor kun repræsentere den reelle brug af maskinen, hvis automatisk borgerlogin slås fra via scriptet “Login - Automatisk borgerlogin til/fra”.

Under Test - OS2borgerPC Kiosk - Genstart maskinen, hvis Chromium ikke starter korrekt

Gladsaxe indrapporterede, at nogle af deres OS2borgerPC Kiosk-maskiner ikke altid fik startet Chromium-browseren korrekt. Vi har udviklet et script til OS2borgerPC Kiosk, som ændrer maskinens indstillinger, så den forsøger at starte Chromium-browseren op til tre gange, hvis browseren ikke starter korrekt i første omgang. Hvis browseren stadig ikke er startet korrekt efter tredje forsøg, genstartes maskinen. Scriptet vil maksimalt genstarte maskinen fem gange i træk.

Forbedrede muligheder for at undersøge og løse boot-relaterede problemer (GRUB)

GRUB er Ubuntus boot-manager, som svarer til BOOTMGR / NTLDR i Windows-verdenen. Herfra kan man normalt sætte forskellige opstartsindstillinger, såsom at man kan vælge hvilken kerneversion, der anvendes. Drivere er tilknyttet denne kerneversion, så hvis der pludselig opstår et problem, der kan være driver-relateret, kan det være relevant at eksperimentere med.

System - GRUB: Gør menuen tilgængelig

I tilknytning til et driver-problem med nogle maskiner i Frederikshavn har vi udviklet dette script, der gør, at GRUB-menuen vises. Normalt er denne menu skjult på OS2borgerPC. Hvis et problem, der potentielt kunne være driver-relateret, skulle opstå, kan man med dette script afprøve, om det forsvinder ved at skifte til en tidligere kerneversion. Eller ved at ændre i indstillingerne til kernen.

Dette er primært relevant til fejlfinding/tests, da maskinen ved næste boot vil gå tilbage til standard, som er at starte nyeste-kerneversion med de indstillinger, der står i den konfigurationsfil.

System - GRUB: Gør det muligt at boote alle kerneversioner uden brugernavn/kode

Normalt på OS2borgerPC er alt andet end nyeste kerneversion med dens standardindstillinger låste i menuen, selv hvis menuen vises. Dvs. ved valg af alt andet skal der indtastes brugernavn og kodeord. Med dette script løsnes der op for dette, så alle muligheder på listen kan vælges uden at indtaste brugernavn/kode. Der er stadig låst ned for helt manuel redigering af boot-indstillingerne fra GRUB-menuen.

Dette script er bl.a. relevant, hvis du vil konfigurere en maskine til altid at opstarte en tidligere kerneversion for at undgå, at du ved hver opstart bliver bedt om brugernavn/kode.

Øvrige fejlrettelser

Der opstår ikke længere en fejl på admin-sitet, hvis man forsøger at tilgå en kategori på nyhedssitet, som ikke findes.

Ændringer i konfigurationsværdier vil nu korrekt blive reflekteret på adminsitet, når man har foretaget ændringen, men endnu ikke klikket på “Gem ændringer”. Eventuelle ændringer vil fortsat først blive permanente, når man har klikket på “Gem ændringer”.

Hvis man tilføjer et nyt afkrydsningsfelt-input til et script, som allerede bruges som tilknyttet script, vil det nye afkrydsningsfelt for de tilknyttede scripts nu korrekt få den indledende værdi “True” (hak).

Forbedringer på admin-sitet

Revisionsdokument

Vi har samlet svarene på de revisionsrelaterede spørgsmål, som vi har modtaget, i et enkelt dokument. Dette dokument er nu blevet gjort tilgængeligt på admin-sitet og kan findes under site-dokumentationen. Dokumentet opdateres løbende, efterhånden som vi modtager nye revisionsrelaterede spørgsmål.

Opdatering af sektionen om 2FA på Computere

Vi har opdateret sektionen om 2FA på Computere for at øge brugervenligheden. Funktionen af denne side er, at du kan slå totrinsbekræftelse til for login til “superuser”-kontoen på en-til-flere OS2borgerPC eller OS2borgerPC-kiosk-maskiner. Dette overflødiggør til en vis grad sudo-sikkerhedsovervågning.

Specifikt er listen med eksempler på authenticator-apps blevet opdateret, så den indeholder mere relevante eksempler. Derudover er den blevet opdateret, så listen også angiver, hvilke platforme (Android, IOS) den pågældende app kan anvendes på, samt hvorvidt appen er Open Source eller ej.

Sektionen indeholder nu også et direkte link til det script, som skal bruges til at aktivere 2FA for superuser på en OS2borgerPC.

API

Den udvidede udgave af admin-sitets API er nu blevet frigivet. Herunder vises et eksempel på anvendelsen af API’et med Microsoft Power BI.

1. Gå ind på site-indstillinger og vælg “Håndter API-nøgler”.

Dette åbner siden til håndtering af API-nøgler.

1. Klik på knappen “Generer ny API-nøgle” i bunden af billedet. Herved oprettes og gemmes en ny API-nøgle, som derefter vil kunne ses. OBS: Den viste API-nøgle er blevet slettet og er derfor ikke længere gyldig.

1. Kopier denne API-nøgle ved at trykke på knappen til højre for API-nøglen eller ved at markere hele nøglen og trykke Ctrl-C. Den skal bruges i Microsoft Power BI for at programmet kan få adgang til vores API.

2. Åbn Microsoft Power BI Desktop og klik “Hent data”.

3. Find og vælg muligheden “Web”.

1. Klik “Opret forbindelse”.

2. I det nye vindue vælges der “Avanceret”. Herefter udfyldes URL-feltet med adressen på et af de tilgængelige endpoints. I dette eksempel bruges det endpoint, der returnerer data om alle maskinerne på ens site.

1. Det venstre felt under “Parametre for HTTP-anmodningsheader (valgfrit)” skal nu udfyldes med teksten “Authorization” (uden citationstegn), mens det højre felt skal udfyldes med teksten “Bearer” (uden citationstegn) efterfulgt af API-nøglen. Husk mellemrum mellem “Bearer” og API-nøglen. Dette er nødvendigt for, at Power BI kan autentificere sig med vores API.

1. Tryk “OK”.

2. Første gang, du tilgår API’et fra Power BI Desktop, vil du blive spurgt om adgangstype. Forbliv på anonym adgang og vælg, at disse indstillinger skal anvendes på niveauet “https://os2borgerpc-admin.magenta.dk/api”. Så burde programmet ikke spørge igen.

1. Klik “Opret forbindelse”. Trin 11 og 12 kan springes over i fremtidige forespørgsler.

2. Microsoft Power BI vil nu hente den forespurgte data og præsentere den i en Query-editor, hvor man kan behandle den som ønsket.

1. Herefter kan den resulterende rapport, dashboard etc. skubbes til Power BI-tjeneste.

De forskellige endpoints er beskrevet i API’ets egen dokumentation ( https://os2borgerpc-admin.magenta.dk/api/docs ). Brugen af API’et er også beskrevet i vores site-dokumentation (https://os2borgerpc-admin.magenta.dk/documentation/api/ ).

Bedre mulighed for Cicero-integration og anden brugervalidering

Vi har lavet nogle kodeændringer, der betyder, at vi fremover hurtigere kan få nye anvendere op at køre med Cicero-integrationen til login på OS2borgerPC. Ændringerne vil også gøre det lettere at udvikle integrationer til andre, lignende systemer til brugervalidering, hvis det skulle blive relevant.

Release af ny klient

Vi har færdiggjort en ny version af klienten, som sendes ud senere denne uge (uge 45).

Klienten opdateres med et par nye tilføjelser:

• Klienten indrapporterer nu ved hvert login, hvilke IP-adresser maskinen har.
• Klienten indrapporterer nu ved registrering, hvad modellen på computeren er, såfremt det er muligt at detektere.

Begge disse oplysninger vil kunne ses under “Konfigurationer” for en given computer. IP-adresserne er desuden blandt de oplysninger, som man får fra API’et.

Kære OS2borgerPC-kunder

Her kommer vores noter i forbindelse med den seneste release:

Problemer med indtjekning af visse PC’er

Nogle af jer har oplevet problemer med enkelte PC’er, der ikke tjekkede korrekt ind. Det har vi gravet dybt i de sidste par uger. Langt de fleste af disse problemer skulle nu være løst, og vi er i gang med at udrulle en rettelse der gerne skulle få de sidste maskiner, til også at tjekke korrekt ind igen.

Problemet har gjort at de berørte PC’er ikke har afviklet jobs korrekt, og at jobs derfor er endt i "Afsendt".

Med udbedringen af problemet vil disse jobs blive kørt, og de scripts, I tidligere har sat i kø, vil tage effekt.

Opdatering af portalen

Vi har også opdateret portalen:

1. Vi har fået vores nye nyhedssite op at køre. Sitet bliver det primære sted, vi fremover kommer til at melde nyheder og noter ud. Det kan findes på adminsitet under linket til “Status”

På nyhedssitet kan alle jeres brugere kommentere på opslagene, både for at stille uddybende eller afklarende spørgsmål vedrørende opslaget og for nemmere at kunne komme med feedback til os.

I dokumentationen kan man læse, hvordan Nyhedssitet bruges:

https://os2borgerpc-admin.magenta.dk/documentation/changelogs/

Vi hører meget gerne feedback!

2. Vi har redesignet siden til håndtering af sikkerhedshændelser, så man nu kan håndtere flere af dem ad gangen.

Sådan ser den nye oversigt over sikkerhedshændelser ud - med afkrydsningsfelter til at vælge én eller alle hændelser og en info-knap til at se både log-output og den note, man sætter, når man har håndteret hændelsen.

Sådan ser det ud, når en sikkerhedshændelse er valgt: Linjen er markeret, og knappen til håndtering er advarsler, er nu aktiv.

Når man klikker på “Håndter”-knappen, vil man blive mødt af den samme dialogboks som tidligere, hvor det man sætter nu gælder alle de valgte hændelser.

Efter håndtering vil der nu på info-dialog-boksen ikke kun vises log-outputtet, men også den note, der blev sat ved håndteringen.

Tak til Hvidovre for forslaget.

3. Det er blevet muligt at lave et script med valgfrie parametre. For hvert inputparameter kan man nu vælge, om det skal være påkrævet eller ej.

4. Vi har indført nogle begrænsninger for Site Brugere, så de ikke længere har adgang til at oprette eller slette Brugere eller redigere andre Brugere end sig selv. De kan ikke slette Scripts, men de kan godt redigere samt oprette Scripts. Det er nu kun "Site Admins", der kan det.

I bestemmer helt selv, hvilke af jeres Brugere, der skal være "Site Brugere" og "Site Admins" på jeres site. Hvis I ikke pt. har nogen Site Admins, og derfor ikke længere kan oprette Brugere selv, så kontakt endelig os, så kan vi kan gøre én eller flere af jer til Site Admins.

5. Vi har tilføjet en ny inputparameter-type, der hedder "Kodeord". Når denne inputparameter-type vælges, vil den tekst, man indtaster, være skjult (“stjernet”) under indtastning. Teksten vil ligeledes være skjult under Tilknyttede Scripts. Så hvis I sætter en kode under et tilknyttet script (eks. i scriptet til at sætte superuser-kodeord), så husk også at have denne kode gemt et andet sted, for fremover kan den ikke aflæses på adminsitet. Til gengæld behøver I ikke længere være bange for at blive "kigget over skulderen" i de tilfælde.

6. Vi har tilføjet en "Vælg alle"-mulighed ved scriptkørsel både for PC'er og Grupper.

Nye globale scripts

Vi har desuden frigivet nogle nye globale scripts:

• Installationsscript til Microsoft Teams. (med tak til Vordingborg)
• Installationsscript til Teamviewer - og vi har et andet på vej til Bomgar/BeyondTrust. (med tak til Vordingborg)
• Installationsscript til Citrix. (med tak til Vordingborg)
• Installationscript til Heimdal. (med tak til Vordingborg)
• Script til at sætte en logud-genvej med valgfrit ikon i menuen. (med tak til Gladsaxe)
• Script til at sætte et program til at starte automatisk ved login på Borger. (med tak til Vordingborg)

Det var alt for denne gang. Sig endelig til, hvis I har spørgsmål eller kommentarer.

Venlig hilsen
OS2borgerPC-teamet

Kære OS2borgerPC-kunder

I foråret og forsommeren har vi brugt et par arbejdsmåneder på at gennemgå og forbedre sikkerhedsadvarsels-systemet i OS2BorgerPC. Bilal i Hillerød har testet til den store guldmedalje, så vi vil gerne sende en stor tak til Hillerød og Bilal.

Nu, hvor vi har fået gennemskrivningen på plads, skal OS2borgerPC-klienten på jeres PC'er opdateres, for at rettelserne kan slå igennem.

OS2borgerPC-klienten er det program på maskinerne, der er i kontakt med adminsitet, og som afvikler scripts og sikkerhedsscripts. Det vil komme til at højne sikkerheden på maskinerne og hjælpe i forhold til falske advarsler, som nogle af jer har oplevet.

For at forstyrre jer mindst muligt med fejlrettelser har vi lavet en løsning, hvorved vi kan køre scripts på alle computere for alle kunder og brugere. Det betyder, at vi kan opdatere klienten på alle maskiner, og vi vil også kunne frigive rettelser hurtigere end de automatiske opdateringer, hvis vi fx hører om et sikkerhedsproblem i Ubuntu.

Det er vigtigt for os at understrege, at vi ikke kompromitterer sikkerheden på jeres PC'er ved at fjernkøre et eller flere scripts. Vi øger sikkerheden. Og det er altsammen inden for jeres abonnement.

Den, der tier, samtykker Inden vi iværksætter 'fjern-scriptingen' vil vi bede jer vende tilbage, hvis I ikke ønsker, at vi udfører denne form for kørsler på jeres PC'er. Hører vi ikke fra jer, tillader vi os at sætte scriptingen i gang hos jer hver især. I den kommende tid vil I således kunne se, at jeres PC'er har kørt et "Opdater klient"-script som led i denne forbedring.

Fremover vil vi kunne fjern-opdatere jeres klienter automatisk ved større fejlrettelser og forbedringer. Det er noget, mange af jer har efterspurgt.

Øget performance Vi har også kigget på performance på adminsitet, for der har været udfordringer med, at sitet svarer særligt langsomt på bestemte tidspunkter (1-3 sekunder hvert femte minut). Det har vist sig at give en overbelastning af serveren, at alle maskiner tjekker ind samtidig. Vi har derfor udviklet et script, der spreder tjek-ins på den hostede løsning tilfældigt ud. Vi vil gerne kunne køre dette script på alle maskiner inden for de næste par uger.

Maskinerne vil stadig inden for 5 minutter afvikle de scripts, I vælger. Men derefter vil det variere, hvornår de starter og afslutter. Resultatet vil blive, at I fremover ikke vil opleve samme forsinkelse på adminsitet på specifikke tidspunkter.

Nyhedssite Til sidst har vi arbejdet på en ny sektion på adminsitet til nyheder, som vi vil opdatere, når der eksempelvis er: - Nye globale scripts eller forbedringer af de eksisterende - Ny funktionalitet eller større rettelser på adminsitet - Nye images af OS2borgerPC og OS2borgerPC Kiosk

Nyhederne lægges op på nyhedssitet, og når der er tale om særligt vigtige emner, udsendes der også en e-mail.

Med nyhedssitet påtænker vi at komme med opdateringer oftere end tidligere, da vi indtil nu har 'bundtet' nyhederne for ikke at forstyrre jer unødigt med for mange e-mails. Vi regner med at have nyhedssitet oppe at køre umiddelbart efter sommerferien.

Har I spørgsmål, kommentarer eller forslag, så tøv ikke med at skrive eller ringe.

God sommer

OS2borgerPC-teamet