Università degli studi di Pavia
Contenuto della pagina
2008
L’adeguamento alla legge del 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale, richiede che nelle aule didattiche informatizzate e per le postazioni Internet non custodite presso le biblioteche, vengano memorizzati e mantenuti i dati relativi alla data e all'ora della comunicazione, unitamente alla tipologia del servizio utilizzato dagli studenti ed in generale dagli utenti dell’Università, in modo che siano abbinabili univocamente alla postazione di lavoro utilizzata. Sono esclusi comunque i contenuti delle comunicazioni.
Implementazione di un sistema per l’autenticazione centralizzata degli utenti che utilizzano le postazioni di lavoro presso le aule didattiche informatizzate o presso ubicazioni non custodite delle biblioteche, per monitorare l’accesso alla rete Internet.
- Fedora Server, Fedora Directory Server, LDAP e Autorità di certificazione, da collocare presso la sede dell’Area Sistemi Informativi;
- Server Windows o Linux, Firewall e Squid Proxy, per ogni aula didattica;
- GINA client per postazioni Internet non custodite e per le aule gestite da Windows quale Domain Controller;
- Fedora Server: È il sistema operativo alla base dell’intera infrastruttura. Si occupa di ospitare e rendere disponibili i servizi per l’accesso al Fedora Directory Server, all’LDAP Server e al sistema di emissione dei certificati di autenticazione (Autorità di certificazione);
- Fedora Directory Server: Rappresenta il servizio di directory che fornisce informazioni alle richieste dai server (in particolare i server delle aule didattiche e i processi di autenticazione dei client per postazioni internet non custodite). Tali informazioni vengono memorizzate in un LDAP e accedute tramite l’omonimo protocollo. Tramite esso vengono memorizzate le informazioni degli utenti che avranno accesso alle aule informatiche;
- LDAP: consente la memorizzazione permanente delle informazioni. Rappresenta uno strumento particolarmente indicato quando si tratta di memorizzare informazioni sulle quali vengono eseguite molteplici operazioni in lettura e limitate operazione in scrittura;
- Autorità di certificazione: Rilascia certificati di autenticazione alle componenti dell’infrastruttura, allo scopo di garantire una trasmissione cifrata (SSL/TSL) tra le parti. Mantiene un repository dei certificati emessi, quelli scaduti e quelli revocati;
- Windows, Linux: Consentono agli utenti delle aule informatiche di essere riconosciuti e di usufruire dei servizi che l’aula offre. Per le aule gestite da Linux, oltre alla opportuna configurazione del Sistema Operativo, si richiede ul’utilizzo di Samba quale Domain Controller. In alternativa è possibile utilizzare Windows Server, ma in questo caso, in ogni client deve essere installato l’utility GINA e il relativo plugin ldap. È responsabilità dei server locali il mantenimento dei messaggi log di accesso alle macchine fisiche e la definizione delle policy di sistema;
- Firewall: Rappresentata generalmente da un dispositivo hardware, garantisce l’utilizzo del protocollo NAT all’interno dell’aula e, opzionalmente, il DHCP; esegue un filtering (sia in entrata che in uscita) sul traffico IP;
- Squid Proxy: Intercetta e filtra tutte le richieste http provenienti dai computer client delle aule locali; esegue un filtering a livello TCP, negando eventualmente le richieste ritenute scarse sui contenuti didattici, attraverso l’indicazione di un repository di black list, ovvero siti e domini a cui l’accesso è interdetto. Se abilitata, esegue nuovamente l’identificazione dell’utente. Tale operazione, rispetto all’utente, potrà essere visibile o resa trasparente;
- GINA: Plugin (da usare esclusivamente nelle aule gestite da Windows Server) che intercetta la login dell’utente che intende accedere a una macchina non custodita (es. biblioteche), dirottando il controllo al Fedora Directory Server;
Il progetto prevede l’utilizzo delle succitate componenti Open Source le quali risultano essere già disponibili. È inoltre stato sviluppato un sistema di importazione dei dati, scritto in Java, dagli strumenti attualmente utilizzati dall’Ateneo verso la nuova piattaforma. In questo contesto, si prevede l’utilizzo di procedure in Java e di conversione nel formato LDIF, il formato di interscambio di dati tra LDAP.
- estendere il progetto alle strutture didattiche interessate;
- estendere il progetto alle strutture che hanno in dotazione postazioni di lavoro non custodite.
Risorse Hardware
- Super Server Side:
N° 1 PC per l’infrastruttura Super Server (requisiti minimi: 1 GB di RAM; 80 GB di HD RAID; Processore 3 Ghz; Piena compatibilità a Linux di tutte le componenti hardware) collegato anche ad un gruppo di continuità;
N° 1 PC per Autorità di Certificazione (può essere utilizzato un PC client qualsiasi, consigliato comunque l’utilizzo del medesimo PC per l’infrastruttura Super Server); - Server Side:
N° 1 PC con Windows 2003 Server per ogni aula (requisiti minimi: 1200 Mhz di Processore, 1 GB di memoria RAM, 25 GB di HD);
N° 1 Firewall (consigliato un PC con Linux e IPTables senza interfaccia grafica, con requisiti minimi: 800 Mhz di Processore, 256 Mb di RAM, 2 GB di HD, 2 schede di rete. Dato il ruolo e i compiti che vengono delegati a questo PC, è fortemente consigliato l’impiego di PC obsoleti ma, ovviamente, funzionanti. Questi requisiti risultano tuttavia essere minimi nel caso in cui si configuri Linux privo di interfaccia grafica.) - Postazioni client:
in ambiente Windows con il software GINA;
Risorse Software
- Super Server Side:
Fedora Server;
Fedora Directory Server;
OpenCA; - Server Side:
Windows 2003 Server;
PassSync;
Squid Proxy;
Repository Black List;
Medesima configurazione delle policy fra le aule - Postazioni client:
GINA;
Coordinamento
Michele Ponzio michele.ponzio@unipv.it
Persone partecipanti
Luigi Santangelo (project manager)
Daniela Boggiani - Enrica Crivelli – Annalisa Golfredi – Donata Locatelli – Gabriele Malinverni - Ivana Marenzi
Luigi Santangelo luigi.santangelo@unipv.it
