Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
1 Introduzione ai calcolatori Parte II Software di base.
Modulo 1 – Ambiente di lavoro Windows 7
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Introduzione ad Active Directory
Controllo accessi ai PC con OpenVPN
Sicurezza e Policy in Active Directory
Introduzione ad Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
SEVER RAS.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
Struttura dei sistemi operativi (panoramica)
Il Client Windows98 Client nel dominio Windows 2000.
File System NTFS 5.0 Disco: unità fisica di memorizzazione
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Microsoft Windows Installazione, gestione ed utilizzo delle risorse Microsoft nella sezione INFN di BOLOGNA.
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.
Usare la posta elettronica con il browser web
Guida IIS 6 A cura di Nicola Del Re.
Iniziamo a usare il computer
GESTIONE GRANULARE DEGLI ACCESSI FINESTRE DI DETTAGLIO INTERSCAMBIO DEI DATI CON LARCHIVIO DI ALTRE PROCEDURE GESTIONE VERSAMENTI MANCATI TABELLIZZAZIONE.
SERVIZIO EDI – Primo Accesso
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Architettura di storage ad alta affidabilita e bilanciamento di carico per volumi centrali e di esperimento A.Brunengo, M.Corosu INFN Sezione di Genova.
Fabrizio Grossi. 11) Adozione procedure di back-up centralizzato.
Un problema importante
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
Active Directory e Gestione Utenti di Valerio Di Bacco.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Certificati e VPN.
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI dicembre revisione maggio 2003 AMANZI NUNZIO –
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Reti di calcolatori e sicurezza “Configurare il web-server Apache” a cura di Luca Sozio.
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
CORSO INTERNET la Posta elettronica
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
Integrazione con e /. Integrazione e/ - Banche24 Aggiornamenti previsti nel 2012 Sono previsti due momenti di rilascio per le funzionalità di integrazione.
Nuova architettura aule informatiche POLO2. Perché cambiare ? 1. Architettura infrastruttura vecchia (NIS) Difficile manutenzione Mancanza di aggiornamenti.
I Sistemi Operativi. Che cosa sono? Il sistema operativo è un software di base che fa funzionare il computer. I Sistemi operativi più importanti sono:
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
I sistemi operativi Funzioni principali e caratteristiche.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Windows Deployment Services Ai LNF e’ stato realizzato il servizio WDS su Windows Ent 2008 R2. Il sistema e’ stato virtualizzato sul cluster Linux Xen.
Installazione Sistemi Operativi Windows tramite PXE INFN Bologna - Antonella Monducci.
LA GESTIONE TELEMATICA DEI CERTIFICATI DI ORIGINE presentazione WebCO IBSsas.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Transcript della presentazione:

Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati

Dominio Windows ai LNF Ai LNF e’ stato implementato il dominio Windows su cluster di tipo failover con due server Enterprise Windows 2008 R2 fisici. Sul cluster sono stati implementati i seguenti servizi: Active Directory : Gestione centralizzata dei pc client Gestione degli account di dominio Integrazione con il sistema di autenticazione Kerberos dei LNF Applicazione del folder redirection Storage Utilizzo spazio disco per memorizzare le cartelle remote degli utenti Print server centralizzato Rende disponibili le stampanti di rete dislocate nei LNF

Account in Active Directory Lo script viene realizzato con i seguenti passi: Connessione ad LDAP. Interrogazione LDAP con richiesta username di tutti gli utenti del ramo dei LNF dc=lnf, dc=infn, dc=it. La creazione degli account e’ stata automatizzata tramite uno script in VBScript che permette la sincronizzazione con gli account utente di AAI presenti in LDAP.

Script seguito Connessione ad Active Directory. Interrogazione di Active Directory. Si eseguono due query per ottenere: le username relative ad account attivi le username per gli account disattivi Nota: Quando si creano le query e' necessario richiedere solo account per cui e' stato specificato il campo altsecurityIdentities con il nome utente Kerberos comprensivo di realm. Account in Active Directory

Script seguito Verifica dell'esistenza in Active Directory di account da disattivare confrontando le username attive con quelle presenti in LDAP ed eventualmente procedere con la disattivazione. Verifica dell'esistenza in Active Directory di account da riattivare confrontando le username disattive con quelle di LDAP ed eventualmente attivando gli account. Creazione di nuovi account su Active Directory con la funzione dsadd user e definizione dei campi userPrincipalName e altSecurityIdentities. Account in Active Directory

Script seguito Invio automatico di un’ per notificare gli eventuali aggiornamenti sugli account. Durante la prima esecuzione lo script provvede a creare in active Directory tutti gli account che sono presenti in LDAP; in seguito viene eseguito periodicamente per la sincronizzazione dei due sistemi con le username valide. I nuovi account vengono generati con password random, in quanto l’autenticazione viene demandata al kerberos MIT Account in Active Directory

Prima di eseguire lo script: Installare un certificato INFN. LDAP prevede una connessione sicura che si basa sul protocollo SSL sulla porta 636. Active Directory, per impostazione predefinita, restituisce un numero massimo di 1000 record per ogni query. Per aumentare tale limite occorre impostare i parametri: MaxPageSize MaxResultSetSize Account in Active Directory

Lo storage utilizzato da Windows risiede su un sistema Hitachi, inserito nella SAN dei LNF, collegato con connessioni multiple per cui, al fine di vedere ciascun disco in modo unico pur avendo 4 connessioni, e’ stato utilizzato il Microsoft Multipath I/O (MPIO). Lo storage contiene uno share condiviso dagli utenti di Active Directory in cui vengono salvate le cartelle reindirizzate. A ogni utente è stata assegnata una quota di 10 Gb. Windows Storage

Lo spazio di archiviazione delle cartelle di Windows reindirizzate è localizzato su storage con tecnologia “Thin Provisioning” la quale ha permesso di assegnare 10 TB complessivi, virtuali, i quali al momento non sono ancora fisicamente allocati ma vengono resi disponibili contestualmente alle richieste degli utenti. “Thin Provisioning” consente di presentare una capacità dello storage logica che è diversa dall’ effettiva capacità fisica. Questa caratteristica permette di bypassare la necessità di acquistare i dischi finché non servono effettivamente. Windows Storage

Printing di Dominio Windows ai LNF Il print server Windows rende disponibili le stampati di rete dislocate nei Laboratori agli utenti di: Windows Apple Linux Per abilitare il printing service lato cluster : E’ necessario uno storage dedicato su winprint ; Si è creato l’utente “print” nel gruppo “Domain Users” per il mapping; Sono state configurate le stampanti e installati i rispettivi driver nel Cluster. Attivazione del winprint lato client (NetBios): net use \\winprint.lnf.infn.it\publicprint /savecred Ricerca delle stampanti disponibili all’installazione senza richiesta di installare i driver in \\winprint.lnf.infn.it\

Integrazione con Kerberos L’ integrazione del dominio Windows con il sistema di autenticazione centrale dei LNF, basato su Kerberos 5 (MIT su sistemi Unix) consente agli utenti di accedere da qualunque pc del dominio, utilizzando le proprie credenziali kerberos dei LNF. L’ integrazione viene realizzata configurando una relazione di fiducia tra i realm kerberos del dominio Windows ed il Kerberos dei LNF. Punti principali da definire : Lato Windows Server (Domain Controller) – Configurare la relazione di trust sul dominio Windows in “ Active Directory Domains and Trusts “ impostando la relazione di fiducia trai i due domini “WIN.LNF.INFN.IT” e “LNF.INFN.IT” (UNIX). Lato Unix (Kerberos5 server): – Configurare la relazione di trust sui server Kerberos

Punti principali da configurare sul client: Inserire il pc utente nel dominio Windows Configurare il nome del MIT Kerberos KDC tramite il seguente comando (uno per ogni KDC): Ksetup /addkdc NOME_REALM NOME_KDC1 Ksetup /addkdc NOME_REALM NOME_KDC2 Definire il mapping per tutti gli utenti che potranno accedere al dominio dal computer locale tramite il seguente comando: Ksetup /MapUser Integrazione con Kerberos

Relazione di trust tra Kerberos del Dominio Windows e dei LNF 2 4 Computer nel dominio Windows 1. Connessione al dominio Windows con credenziali Kerberos uniche 2. Autenticazione tramite relazione di trust con il dominio kerberos dei LNF 3. Autorizzazione ad accedere agli shared folders 4. Accesso alle cartelle rindirizzate sullo storage di dominio 3 Windows storage 1 Active Directory Kerberos server

Folder Redirection Il folder redirection: permette ai singoli utenti di memorizzare le cartelle del proprio profilo Windows su uno spazio disco in rete servito centralmente. Il profilo locale e gli shared folders sono sincronizzati continuativamente Il reindirizzamento viene definito nelle “Group Policies” di dominio, specificando le cartelle da salvare anche centralmente. Queste policies vengono applicate a tutti gli utenti definiti in Active Directory. Nel path specificato le cartelle di ogni account verranno create automaticamente al primo login. A ciascun utente viene assegnata la quota di 10GB di spazio. E’ possibile, inoltre, impedire la memorizzazione remota di alcuni tipi di file specificando le estensioni da escludere.

Spazio disco del Folder Redirection Si è deciso di reindirizzare le seguenti cartelle: Desktop Documents AppData Contacts Favorites Start Menu Folder Redirection e AFS E’ stata testata anche la possibiltà di salvare le cartelle su AFS. Per accedere ad AFS è necessario ottenere un token. Sia per il folder redirection che per il Roaming Profile il tempo necessario ad ottenere il token AFS è a volte superiore a quello richiesto dal SO per scaricare le cartelle. Il ritardo nell’acquisizione del token provoca la creazione di un profilo temporaneo locale che viene poi cancellato al logout. Queste inefficienze hanno portato alla decisione di spostare le cartelle reindirizzate sullo storage di Windows.

Vantaggi del Folder Redirection: Le operazioni di sincronizzazione sono trasparenti all’ utente. Possibilita’ di lavorare in modalita’ offline. – Viene generata automaticamente una copia locale delle cartelle remote. – In questo modo l ‘utente potra’ continuare a lavorare sui propri dati anche quando NON e’ connesso alla rete e cosi’ le modifiche alla copia locale delle cartelle remote verranno sincronizzate alla riconnessione – Il login con le credenziali Kerberos MIT sara’ comunque consentito anche in modalita’ offline

Vantaggi del Folder Redirection: Facoltà di accedere contemporaneamente ai propri dati da diversi pc in quanto le modifiche effettuate sono simultaneamente salvate sul disco remoto e quindi rese disponibili a tutti i computer collegati. Gestione centralizzata delle informazioni, ovvero la possibilita’ di poter accedere agli stessi dati da diversi terminali. Possibilita’ per diversi utenti di accedere ai propri dati dallo stesso pc. Personalizzazione del PC condivisa da tutte le postazioni (dipende dall’utente e non dal PC): Desktop, Documents, StartMenu, AppData

Funzionamento del Folder Redirection: L’ utente viene autenticato tramite inserimento delle credenziali Kerberos LNF.INFN.IT. Durante la fase di login vengono sincronizzate le cartelle remote sul computer locale con un operazione trasparente all’ utente. Si ha una continua sincronizzazione tra i dati locali e quelli remoti, ovvero nel momento in cui l’ utente effettua delle modifiche localmente, esse vengono istantaneamente riportate nello spazio disco in rete.

Roaming Profile Un altro metodo per salvare i dati utenti su disco remoto offerto dai sistemi Windows e’ il Roaming Profile. Caratteristiche: Memorizzazione in remoto del profilo utente. Il profilo viene caricato sul computer locale durante il login Le modifiche apportate localmente sono salvate al logout. In questo modo l' utente ha la possibilita' di lavorare sui propri dati accedendovi da diversi terminali. Si è preferito non usare il Roaming Profile in quanto la sincronizzazione dei dati non è continua ma avviene solo in fase di login e logout (che possono quindi diventare molto lunghi). Se si lavora con lo stesso account su due pc, l’ultimo che si disconnette sovrascrive i dati con la possibilità di renderli inconsistenti.

Altri servizi di Dominio Nell’ambiente Windows dei LNF sono configurati inoltre i seguenti servizi: KMS Permette l’attivazione dei nuovi sistemi windows e del pacchetto Office WSUS Consente l’aggiornamento dei pc localmente. Il server scarica gli aggiornamenti dalla Microsoft e li rende disponibili ai pc del dominio opportunamente configurati. Oltre a contenere il traffico di rete, gli aggiornamenti sono molto più veloci. Sophos server locale Per l’installazione e l’aggiornamento dell’antivirus. WDS Per l’installazione e configurazione da rete dei nuovi pc.

Documentazione ws/domain/integrazione_con_kerberos Domande ?

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.