Embed Size (px)
Citation preview
Gruppo WindowsGruppo Windows
Gian Piero Siroli, Dip. di Fisica, Universita’ di Bologna e INFN
Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006
Otranto, Giugno 2006
Gian Piero Siroli
Il futuro Il futuro (presentazione Gruppo Windows, Bologna 16.2.06)(presentazione Gruppo Windows, Bologna 16.2.06)
E’ utile ed auspicabile un coordinamento tra Sezioni diverse? C’e’ volonta’ e disponibilita’ di manpower per affrontare
argomenti di interesse comune (e quali?) In quali forme? Strategie alternative:
Workshop periodici su argomenti di carattere generale con presentazioni e discussioni (“Windows Days”).
+ condivisione e scambio di informazioni, non necessita di manpower
- non c’e’ sviluppo / integrazione collettiva Piccoli gruppi di lavoro su argomenti specifici con produzione di
report + produce valore aggiunto - necessita di risorse umane
???
Documento di indirizzo
Schede di progetto
?
Otranto, Giugno 2006
Gian Piero Siroli
ProspettivaProspettiva
Il GdL Windows, nella sua lunga vita, ha operato in modi diversi nel tempo
2000/2001 - gruppo numeroso per progetto NICE (periodo di evoluzione della piattaforma, sviluppo infrastrutture, implementazione dominio W2K / WAN)
2003 - organizzazione “Windows Day” (info sharing), organizzazione corsi MS (formazione)
2004 - organizzazione “II INFN Security Workshop” in collaborazione con Gruppo Security (info dissemination)
2006 – riunione (febbraio), documento di indirizzo (priorita’ e strategie) e schede progetti: proposta di sottogruppi su argomenti specifici (Windows si e’ esteso e stabilizzato, piattaforma standard di produzione, manpower ??). Programmi piu’ dettagliati saranno elaborati dagli specifici sottogruppi. Richiesta risorse
//calcolo.infn.it/windows , [email protected]
Otranto, Giugno 2006
Gian Piero Siroli
ProspettivaProspettiva
Abbiamo a disposizione una piattaforma estremamente diffusa
I progetti proposti sono infrastrutturali (priorita’ piu’ elevata) ma forse si potrebbe (dovrebbe?) iniziare a costruire sopra questo sistema (servizi a livello applicativo)
sviluppo/integrazione di collaborative tool (A.Pace) info/doc sharing (DFS, file system/WAN, mail, web,
WTS) quick message exchange (NetMeeting, Win Messenger),
forum per amministratori, gruppi di utenti Integrazione Windows/UNIX (le due piattaforme si
condivideranno lo spazio ancora per qualche tempo)
Otranto, Giugno 2006
Gian Piero Siroli
Da approfondireDa approfondire in CCR in CCR Confronto tecnico/metodologico Risorse umane ???
In contesto INFN? Responsabili del calcolo locale All’esterno? Universita’, compagnie, esperienze dirette? I centri di calcolo sono completamente “affogati”?? L’interesse e’
orientato verso altri argomenti? I progetti proposti si attivano se si coagula massa critica (persone
e sedi) Condizioni per intercollaborazione tra Sezioni?
E’ possibile? Cosa si e’ disposti ad offrire? In cambio di cosa? Metodologie alternative a quelle gia’ utilizzate nel passato
(bottom-up, top-down, sharing)? Nessun interesse per ulteriori corsi di formazione!? Futuro workshop: specifico su Windows o integrazione con
annuale workshop CCR?
Otranto, Giugno 2006
Gian Piero Siroli
Documento di indirizzoDocumento di indirizzo Presentato a CCR nel marzo 2006 Identificate aree tematiche principali
Procedure di deploy e management: installazione, aggiornamento, GPO
Politiche di security: antivirus, GPO, antispyware Accesso remoto: condivisione di risorse, storage,
autenticazione/autorizzazione Collaborative tools: condivisione di risorse ed informazioni Attivita’ trasversali di sviluppo, test e supporto: autenticazione
incrociata Gli aspetti relativi alla gestione dei sistemi ed alla sicurezza
sono considerati prioritari. Proposta di tre progetti
Otranto, Giugno 2006
Gian Piero Siroli
1 - Aggiornamento e messa 1 - Aggiornamento e messa in sicurezza dei sistemiin sicurezza dei sistemi
Obiettivi: Definizione delle strategie e di procedure di
configurazione e deploy degli aggiornamenti di sistema utilizzando la tecnologia WSUS, con monitoraggio dello stato dei nodi. Ottimizzazione ed eventuale produzione di tool e di un pacchetto di installazione e configurazione di un ambiente antivirus (Sophos)
Scopo del progetto e’ facilitare, in particolare per le Sezioni con ridotto manpower, la configurazione dei principali servizi di aggiornamento (sistema operativo ed antivirus) con miglioramento della sicurezza complessiva dell'ambiente
Partecipanti: S.Arezzini (coord), N.Amanzi, F.Del Corso
Otranto, Giugno 2006
Gian Piero Siroli
1 - Aggiornamento e messa 1 - Aggiornamento e messa in sicurezza dei sistemiin sicurezza dei sistemi
Fasi del progetto: analisi comparativa delle soluzioni attualmente esistenti nelle varie Sezioni, implementazione di una infrastruttura locale pilota, test su larga scala e deploy
Deliverables: Tecnologia WSUS per l’aggiornamento
How-to Antispyware integrato (Windows Defender) Kit di installazione con preconfigurazione
Antivirus Sophos How-to Analisi di possibili tool
Hardening del sistema operativo How-to
Integrity checking Tool di verifica integrita’ file di sistema
Otranto, Giugno 2006
Gian Piero Siroli
2 - GPO2 - GPO Obiettivi:
Ricognizione tra le sedi e coordinamento delle Group Policy in un contesto nazionale. Applicazione delle impostazioni relative alla sicurezza, alla configurazione di applicativi e servizi, alle user preferences, mediante approccio centralizzato finalizzato a:
la riduzione degli interventi di configurazione da eseguire localmente su ciascun client Windows
la minimizzazione dell’impatto sulle risorse di gestione il management coordinato delle infrastrutture Windows
Definizione di un modello consigliato per AD orientato al serving centralizzato delle politiche comuni
Scopo del progetto e’ il Coordinamento dell’infrastruttura Windows INFN e delle politiche comuni con riduzione delle risorse di gestione
Partecipanti: N.Amanzi (coord), laureando
Otranto, Giugno 2006
Gian Piero Siroli
2 - GPO2 - GPO
Fasi del progetto: Definizione di un set di policies utente/macchina rilevante in
ambito comune, contraddistinte da: l’individuazione delle specifiche e degli strumenti per la
costruzione di criteri GPO la definizione delle impostazioni per il set comune dei
criteri Applicazione sincrona dei criteri nell’ambito delle infrastrutture
locali di dominio Windows Individuazione dei container AD dove distribuire le GPO Definizione della strategia di propagazione
Estensione dell’applicazione delle GPO sia in ambito geografico che ai client fuori dominio mediante serving asincrono dei relativi file di definizione
Otranto, Giugno 2006
Gian Piero Siroli
2 - GPO2 - GPO
Deliverables: Procedure di allineamento per le GPO mediante rilascio
di: report specifici di definizione dei criteri comuni e
delle relative impostazioni procedure e kits per la generazione di criteri GPO da
chiavi/valori di registro file di aggiornamento che definiscono le impostazioni
per i criteri comuni e relative procedure di import procedure e eventuali kits per il get asincrono dei
criteri in ambito geografico e/o per i client fuori dominio
Otranto, Giugno 2006
Gian Piero Siroli
3 – X-AUTH3 – X-AUTH
Obiettivi: Studio di un’infrastruttura geografica, in ambito INFN, per
l’interoperabilita’ Windows/UNIX finalizzata a: l’autenticazione centralizzata, su protocollo Kerberos v.5,
in regime di single sign-on l’autorizzazione per l’accesso a risorse e servizi basata
sulle relazioni di fiducia, definite tra MIT K5 Realms e Windows Domains, e sulle membership degli utenti attribuite in ambito locale
Scopo del progetto e’ la coordinazione degli ambienti Windows/UNIX in relazione ai meccanismi di autenticazione ed autorizzazione all’accesso delle risorse
Partecipanti: E.Fasanelli (coord), N.Amanzi
Otranto, Giugno 2006
Gian Piero Siroli
3 – X-AUTH3 – X-AUTH
Fasi del progetto: Implementazione di infrastrutture pilota locali
Individuazione della configurazione ottimale dei DCs Windows come KDC
Definizione delle specifiche per l’implementazione delle relazioni di trust tra UNIX/LINUX realm e Windows domain e procedure di configurazione dei client Windows
Implementazione di automatismi per l’import degli account utenti MIT Kerberos nell’ambito dello spazio dei nomi relativo all’AD del Windows trusting domain
Esecuzione di test in cross autenticazione/autorizzazione Porting dell’implementazione in ambito geografico/nazionale e
valutazioni di fattibilita’
Otranto, Giugno 2006
Gian Piero Siroli
3 – X-AUTH3 – X-AUTH
Deliverables: Procedure per:
l’implementazione di un’infrastruttura modello di AD orientata al remapping degli account locali
la configurazione dei Domain Controller come KDCs la configurazione dei client
Strumenti di management e monitoraggio relativi a: la definizione e il management degli account di AD il tracciamento del traffico di rete e il logging degli eventi
che interessano il servizio KDC, il feedback per il serving LDAP Windows
la gestione dei tickets e la visualizzazione delle relative proprieta’
