Riunione SICR E. P.

Aggiornamenti

Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati  Macchine su phys.uniroma1.it ?  Nominato Andrea Crisanti – girare richieste  Aggiornare istruzioni su sito (EP, fatto)

Migrazioni  Installate nuove macchine  Dell 630 e 730xd  Altre migrazioni:  DNS secondario  Preparazione macchina virtuale dns2 (ME, EP)  Postinoauth2  MdR  Cerbero  Definire migrazione

Secondo cluster  Preparazione macchine VPN  Macchina VPN (ME, CG)  Scelta finale su 3 VLAN classe C  Bilanciamento del carico via DNS  Aggiungere monitoraggio uso indirizzi in cacti come per altri DHCP (CG, CB)

Lavori in coda  Accesso ai servizi per il SICR  Necessaria macchina VPN sulla 26 (primo cluster o macchina fisica ?)  Accesso solo per I membri del SICR (CG, ME)  Procedure di creazione/rimozione utenti  Da mettere sulla 26 ed accedere via web  MdR, AR  Modifiche per accettazione discplinare (vedi dopo)?  Certificati per macchine  ATLAS (supporto, e-science, cc t2-oper)  CMS (supporto, e-science, cc t2-oper)  SICR ed utenti (supporto, cc supporto)

Sistema di backup  Sistema attuale in manutenzione ancora per poco  Finanziati 14 keuro per nuovo sistema di backup su disco  Decisione di spesa settimana prossima (EP, ME)  Ritardato, parlato con varie ditte al workshop CCR (EP)

Rete (1)  Passaggio a 10 Gb del link di backup  Problema con switch Juniper, chiamata aperta  Riprogrammato il 26 con supporto in loco (CB, CG)  Fatto  Feedback sull’assistenza  Monitor dello chassisd  Piano nuovo edificio  Passaggio a 10 Gb del link vecchio/nuovo edificio  Switch pronto (CG)  Programmare sostituzione (AS, CG)  Prossima settimana

Rete (2)  Filtri interni sul 6509  Isolamento Wi-Fi dal resto e protezione VLAN dei servizi (AS)  Da provare su vecchio router 3750 ora disponibile  Cominciare a studiare la chiusura degli accessi  Per ora VLAN DHCP e wifi non raggiungibili dall’esterno (fatto, CB)  VLAN 113, eduroam, dot1x, INFN-Web  Chiarire problema con VPN verso l’esterno

Wi-Fi  Conclusa sostituzione AP obsoleti  Verifica copertura VEF in corso  3 piano quasi completato  Inizio 2 piano  Arrivato nuovo AP da De Bernardis (in sosituzione di quello installato in lab)

Netquery  Versione con interazione diretta con gli switch (AR)  Possibile lavorare con blocco sui mac address direttamente  Necessario accedere agli switch con ssh (alcuni accettano solo telnet)  Interfaccia DNS-Netquery  Studio interfacce da modificare se DNS su DB

Stampanti  Dalla scorsa riunione:  Problema manomissioni  Passare gestione server a SICR (MdR)  Preparazione sottorete per stampanti  (Filtro tra sottoreti)

Impianti  Chiller  Salto interruttori  Offerta ricevuta per interruttori con auto-riarmo  Da vedere sui fondi di sezione se possibile (EP)  Batterie UPS  Arrivata offerta per sostituzione  14k + IVA !!!!  Richiesta fondi per 2016 non accettata  Fondi sezione ?

Supporto web utenti  Stato delle richieste e carico di lavoro (PG)

Revisione pagine SICR  Nuovo sito SICR (DdA)  Cercansi revisori  Istruzioni utente  Da controllare parti obsolete  Il wiki e’ ancora adatto per la documentazione interna?  Ottimo per appunti di lavoro e modifiche  Molta documentazione e’ obsoleta  Revisione e sistematizzazione  Aggiornamento istruzioni e pagine attuali (AG, AS)

Sicurezza  Messa a norma impianti elettrici punti stella (AS, AG)  In attesa di reazione della ditta  Ricontattare Bartoloni per capire lo stato (AS)  Terminare incontri con RSPP  Schede destinazione lavorativa

Acquisti  Materiale di consumo vario acquistato  Comprende cavi, fibre, materiale per proiezione nelle sale  Supporti per nuova videoconferenza arrivati  Sistema di backup  Finanziato, da acquistare (EP, ME)  Switch per cluster servizi  Interfacce 10 Gb/s di backup  Disponibilita’ fondi di commissione 1 (switch FC o backup)

Richieste  Laboratorio Vignati (1 piano, ex Veneziano)  Terminato, check netquery  Chiusura porta laboratorio subnucleare - fatto  Ulteriore access point 3 piano - fatto  Nuova aula riunioni nuovo edificio  Nuovo laboratorio Loreto  Stanza 109 NEF – fatto  Check netquery (AS, MdR)  Cablaggio ala 3 piano – contattata Telecom (EP)  Sotterraneo NEF  Sotterraneo VEF  Fibra per esperimento VEF/NEF  Infosapienza  Supporto rete Sapienza nelle aule

Riunione prossima settimana  8 giugno  Relazione sul workshop dell’Elba (DA)

Argomenti da discutere

Biblioteca  Attualmente non mantenuta  Comprende  Servizi del sistema della biblioteche  Cineca per conto Infosapienza  Comprende il sistema antitaccheggio  Servizio wifi e PC con prenotazione  Server da aggiornare  Connesso al sistema SEBINA di registrazione utente  Software prolib di FR non mantenuto  Rete

Soluzione proposta  Due nuovi server separati  Acquistati dal dipartimento  Server con funzionalita’ biblioteca gestito da Caspur  Windows server per PC dipendenti e banco  Gestione da decidere (EP)  Rete fissa privata gestita dal SICR  Firewall e gateway ?  Separata da resto via ACL (come eduroam) ?  Wi-fi  Direttamente con I nostri SSID  Aggiunta rete Sapienza (via tunnel MPLS ?)  Sperimentazione per propagazione nelle aule

IP rubati  Numeri IP “rubati”  Sia su VLAN “fisse” che su DHCP  Numeri che migrano di macchina in macchina (pseudo-rubati)  Prodotte procedure automatiche di alert -> supporto (AR)  Attualmente solo problemi con ICRA, sistemati  Nuovi problemi rilevati

Procedura  La soluzione con autenticazione richiede sperimentazione  Soluzione di transizione:  Blocco prese su mac address  Sottorete per sottorete insieme alle nuove ACL  In parallelo rinumerazione su rete privata  Stampanti  Macchine “sperimentali” ?  Richiede:  Rilascio nuova versione netquery  Rilascio VPN

Nuovo disciplinare uso risorse  Approvato  In vigore dal 1 giugno  Flusso creazione account in discussione in CCR  Richiede l’acquisizione del consenso per il mantenimento dell’account  Procedura via AAI in definizione  SI  Per facilitare la cosa (?)  Registrazione in AAI come ospiti dei responsabili dei nodi  Procedura automatica all’atto della registrazione  Disconnessione dei nodi dopo i termini di autorizzazione  Scadenze automatiche  Revisione del database utenti

Operativamente  Provare la procedura di accettazione per gli utenti esistenti  Provare la procedura per I nuovi utenti  Se funziona correttamente  Documentare la nuova procedura creazione account  Comunicare agli utenti la necessita’ di provvedere all’accettazione  Dare un termine (30 giorni ?) con scadenza delle credenziali  Completare procedura di creazione/scdenza/cancellazione utenti

Corsi di formazione locali 2016 Corsi localiPartecipanti MOC 10751: Configuring and Deploying a Private Cloud with System Center 2012 Marco De Rossi Alessandro Ruggieri Master in Aula Programmazione Java SE & Android Piero Gatta, Alessandro Ruggieri Marco De Rossi Master in Aula Programmazione PHP & CMS ?Danilo D’Angelo ?

Corsi di formazione nazionali e CCR Corsi nazionaliPartecipanti proposti EC-Council Certified Security Analyst - Advanced Penetration Testing Carlo Graziosi Corso di Sicurezza Informatica su Modulo SELinux (Frascati, 4 posti) Cristina Bulfon Supporto INFN-AAI: Liv. 2Daniela Anzellotti Alessandro Spanu HTCondor per amministratori di batch system Cristina Bulfon Sicurezza dei siti web difesa/attacchi?