Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006
Otranto, Giugno 2006 Gian Piero Siroli Il futuro (presentazione Gruppo Windows, Bologna ) u E utile ed auspicabile un coordinamento tra Sezioni diverse? u Ce volonta e disponibilita di manpower per affrontare argomenti di interesse comune (e quali?) u In quali forme? Strategie alternative: u Workshop periodici su argomenti di carattere generale con presentazioni e discussioni (Windows Days). u + condivisione e scambio di informazioni, non necessita di manpower u - non ce sviluppo / integrazione collettiva u Piccoli gruppi di lavoro su argomenti specifici con produzione di report u + produce valore aggiunto u - necessita di risorse umane u ??? Documento di indirizzo Schede di progetto ?
Otranto, Giugno 2006 Gian Piero Siroli Prospettiva u Il GdL Windows, nella sua lunga vita, ha operato in modi diversi nel tempo u 2000/ gruppo numeroso per progetto NICE (periodo di evoluzione della piattaforma, sviluppo infrastrutture, implementazione dominio W2K / WAN) u organizzazione Windows Day (info sharing), organizzazione corsi MS (formazione) u organizzazione II INFN Security Workshop in collaborazione con Gruppo Security (info dissemination) u 2006 – riunione (febbraio), documento di indirizzo (priorita e strategie) e schede progetti: proposta di sottogruppi su argomenti specifici (Windows si e esteso e stabilizzato, piattaforma standard di produzione, manpower ??). Programmi piu dettagliati saranno elaborati dagli specifici sottogruppi. Richiesta risorse u //calcolo.infn.it/windows,
Otranto, Giugno 2006 Gian Piero Siroli Prospettiva u Abbiamo a disposizione una piattaforma estremamente diffusa u I progetti proposti sono infrastrutturali (priorita piu elevata) ma forse si potrebbe (dovrebbe?) iniziare a costruire sopra questo sistema (servizi a livello applicativo) u sviluppo/integrazione di collaborative tool (A.Pace) u info/doc sharing (DFS, file system/WAN, mail, web, WTS) u quick message exchange (NetMeeting, Win Messenger), forum per amministratori, gruppi di utenti u Integrazione Windows/UNIX (le due piattaforme si condivideranno lo spazio ancora per qualche tempo)
Otranto, Giugno 2006 Gian Piero Siroli Da approfondire in CCR u Confronto tecnico/metodologico u Risorse umane ??? u In contesto INFN? Responsabili del calcolo locale u Allesterno? Universita, compagnie, esperienze dirette? u I centri di calcolo sono completamente affogati?? Linteresse e orientato verso altri argomenti? u I progetti proposti si attivano se si coagula massa critica (persone e sedi) u Condizioni per intercollaborazione tra Sezioni? u E possibile? Cosa si e disposti ad offrire? In cambio di cosa? u Metodologie alternative a quelle gia utilizzate nel passato (bottom-up, top-down, sharing)? u Nessun interesse per ulteriori corsi di formazione!? u Futuro workshop: specifico su Windows o integrazione con annuale workshop CCR?
Otranto, Giugno 2006 Gian Piero Siroli Documento di indirizzo u Presentato a CCR nel marzo 2006 u Identificate aree tematiche principali u Procedure di deploy e management: installazione, aggiornamento, GPO u Politiche di security: antivirus, GPO, antispyware u Accesso remoto: condivisione di risorse, storage, autenticazione/autorizzazione u Collaborative tools: condivisione di risorse ed informazioni u Attivita trasversali di sviluppo, test e supporto: autenticazione incrociata u Gli aspetti relativi alla gestione dei sistemi ed alla sicurezza sono considerati prioritari. Proposta di tre progetti
Otranto, Giugno 2006 Gian Piero Siroli 1 - Aggiornamento e messa in sicurezza dei sistemi u Obiettivi: u Definizione delle strategie e di procedure di configurazione e deploy degli aggiornamenti di sistema utilizzando la tecnologia WSUS, con monitoraggio dello stato dei nodi. Ottimizzazione ed eventuale produzione di tool e di un pacchetto di installazione e configurazione di un ambiente antivirus (Sophos) u Scopo del progetto e facilitare, in particolare per le Sezioni con ridotto manpower, la configurazione dei principali servizi di aggiornamento (sistema operativo ed antivirus) con miglioramento della sicurezza complessiva dell'ambiente u Partecipanti: S.Arezzini (coord), N.Amanzi, F.Del Corso
Otranto, Giugno 2006 Gian Piero Siroli 1 - Aggiornamento e messa in sicurezza dei sistemi Fasi del progetto: analisi comparativa delle soluzioni attualmente esistenti nelle varie Sezioni, implementazione di una infrastruttura locale pilota, test su larga scala e deploy u Deliverables: u Tecnologia WSUS per laggiornamento u How-to u Antispyware integrato (Windows Defender) u Kit di installazione con preconfigurazione u Antivirus Sophos u How-to u Analisi di possibili tool u Hardening del sistema operativo u How-to u Integrity checking u Tool di verifica integrita file di sistema
Otranto, Giugno 2006 Gian Piero Siroli 2 - GPO u Obiettivi: u Ricognizione tra le sedi e coordinamento delle Group Policy in un contesto nazionale. Applicazione delle impostazioni relative alla sicurezza, alla configurazione di applicativi e servizi, alle user preferences, mediante approccio centralizzato finalizzato a: u la riduzione degli interventi di configurazione da eseguire localmente su ciascun client Windows u la minimizzazione dellimpatto sulle risorse di gestione u il management coordinato delle infrastrutture Windows u Definizione di un modello consigliato per AD orientato al serving centralizzato delle politiche comuni u Scopo del progetto e il Coordinamento dellinfrastruttura Windows INFN e delle politiche comuni con riduzione delle risorse di gestione u Partecipanti: N.Amanzi (coord), laureando
Otranto, Giugno 2006 Gian Piero Siroli 2 - GPO u Fasi del progetto: u Definizione di un set di policies utente/macchina rilevante in ambito comune, contraddistinte da: u lindividuazione delle specifiche e degli strumenti per la costruzione di criteri GPO u la definizione delle impostazioni per il set comune dei criteri u Applicazione sincrona dei criteri nellambito delle infrastrutture locali di dominio Windows u Individuazione dei container AD dove distribuire le GPO u Definizione della strategia di propagazione u Estensione dellapplicazione delle GPO sia in ambito geografico che ai client fuori dominio mediante serving asincrono dei relativi file di definizione
Otranto, Giugno 2006 Gian Piero Siroli 2 - GPO u Deliverables: Procedure di allineamento per le GPO mediante rilascio di: u report specifici di definizione dei criteri comuni e delle relative impostazioni u procedure e kits per la generazione di criteri GPO da chiavi/valori di registro u file di aggiornamento che definiscono le impostazioni per i criteri comuni e relative procedure di import procedure e eventuali kits per il get asincrono dei criteri in ambito geografico e/o per i client fuori dominio
Otranto, Giugno 2006 Gian Piero Siroli 3 – X-AUTH u Obiettivi: u Studio di uninfrastruttura geografica, in ambito INFN, per linteroperabilita Windows/UNIX finalizzata a: lautenticazione centralizzata, su protocollo Kerberos v.5, in regime di single sign-on u lautorizzazione per laccesso a risorse e servizi basata sulle relazioni di fiducia, definite tra MIT K5 Realms e Windows Domains, e sulle membership degli utenti attribuite in ambito locale u Scopo del progetto e la coordinazione degli ambienti Windows/UNIX in relazione ai meccanismi di autenticazione ed autorizzazione allaccesso delle risorse u Partecipanti: E.Fasanelli (coord), N.Amanzi
Otranto, Giugno 2006 Gian Piero Siroli 3 – X-AUTH u Fasi del progetto: u Implementazione di infrastrutture pilota locali u Individuazione della configurazione ottimale dei DCs Windows come KDC u Definizione delle specifiche per limplementazione delle relazioni di trust tra UNIX/LINUX realm e Windows domain e procedure di configurazione dei client Windows u Implementazione di automatismi per limport degli account utenti MIT Kerberos nellambito dello spazio dei nomi relativo allAD del Windows trusting domain u Esecuzione di test in cross autenticazione/autorizzazione u Porting dellimplementazione in ambito geografico/nazionale e valutazioni di fattibilita
Otranto, Giugno 2006 Gian Piero Siroli 3 – X-AUTH u Deliverables: u Procedure per: u limplementazione di uninfrastruttura modello di AD orientata al remapping degli account locali u la configurazione dei Domain Controller come KDCs u la configurazione dei client u Strumenti di management e monitoraggio relativi a: u la definizione e il management degli account di AD u il tracciamento del traffico di rete e il logging degli eventi che interessano il servizio KDC, il feedback per il serving LDAP Windows u la gestione dei tickets e la visualizzazione delle relative proprieta