Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoClaudio Speranza Modificato 8 anni fa
1
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati
2
Dominio Windows ai LNF Ai LNF e’ stato implementato il dominio Windows su cluster di tipo failover con due server Enterprise Windows 2008 R2 fisici. Sul cluster sono stati implementati i seguenti servizi: Active Directory : Gestione centralizzata dei pc client Gestione degli account di dominio Integrazione con il sistema di autenticazione Kerberos dei LNF Applicazione del folder redirection Storage Utilizzo spazio disco per memorizzare le cartelle remote degli utenti Print server centralizzato Rende disponibili le stampanti di rete dislocate nei LNF
3
Account in Active Directory Lo script viene realizzato con i seguenti passi: Connessione ad LDAP. Interrogazione LDAP con richiesta username di tutti gli utenti del ramo dei LNF dc=lnf, dc=infn, dc=it. La creazione degli account e’ stata automatizzata tramite uno script in VBScript che permette la sincronizzazione con gli account utente di AAI presenti in LDAP.
4
Script seguito Connessione ad Active Directory. Interrogazione di Active Directory. Si eseguono due query per ottenere: le username relative ad account attivi le username per gli account disattivi Nota: Quando si creano le query e' necessario richiedere solo account per cui e' stato specificato il campo altsecurityIdentities con il nome utente Kerberos comprensivo di realm. Account in Active Directory
5
Script seguito Verifica dell'esistenza in Active Directory di account da disattivare confrontando le username attive con quelle presenti in LDAP ed eventualmente procedere con la disattivazione. Verifica dell'esistenza in Active Directory di account da riattivare confrontando le username disattive con quelle di LDAP ed eventualmente attivando gli account. Creazione di nuovi account su Active Directory con la funzione dsadd user e definizione dei campi userPrincipalName e altSecurityIdentities. Account in Active Directory
6
Script seguito Invio automatico di un’e-mail per notificare gli eventuali aggiornamenti sugli account. Durante la prima esecuzione lo script provvede a creare in active Directory tutti gli account che sono presenti in LDAP; in seguito viene eseguito periodicamente per la sincronizzazione dei due sistemi con le username valide. I nuovi account vengono generati con password random, in quanto l’autenticazione viene demandata al kerberos MIT Account in Active Directory
7
Prima di eseguire lo script: Installare un certificato INFN. LDAP prevede una connessione sicura che si basa sul protocollo SSL sulla porta 636. Active Directory, per impostazione predefinita, restituisce un numero massimo di 1000 record per ogni query. Per aumentare tale limite occorre impostare i parametri: MaxPageSize MaxResultSetSize Account in Active Directory
8
Lo storage utilizzato da Windows risiede su un sistema Hitachi, inserito nella SAN dei LNF, collegato con connessioni multiple per cui, al fine di vedere ciascun disco in modo unico pur avendo 4 connessioni, e’ stato utilizzato il Microsoft Multipath I/O (MPIO). Lo storage contiene uno share condiviso dagli utenti di Active Directory in cui vengono salvate le cartelle reindirizzate. A ogni utente è stata assegnata una quota di 10 Gb. Windows Storage
9
Lo spazio di archiviazione delle cartelle di Windows reindirizzate è localizzato su storage con tecnologia “Thin Provisioning” la quale ha permesso di assegnare 10 TB complessivi, virtuali, i quali al momento non sono ancora fisicamente allocati ma vengono resi disponibili contestualmente alle richieste degli utenti. “Thin Provisioning” consente di presentare una capacità dello storage logica che è diversa dall’ effettiva capacità fisica. Questa caratteristica permette di bypassare la necessità di acquistare i dischi finché non servono effettivamente. Windows Storage
10
Printing di Dominio Windows ai LNF Il print server Windows rende disponibili le stampati di rete dislocate nei Laboratori agli utenti di: Windows Apple Linux Per abilitare il printing service lato cluster : E’ necessario uno storage dedicato su winprint ; Si è creato l’utente “print” nel gruppo “Domain Users” per il mapping; Sono state configurate le stampanti e installati i rispettivi driver nel Cluster. Attivazione del winprint lato client (NetBios): net use \\winprint.lnf.infn.it\publicprint /savecred Ricerca delle stampanti disponibili all’installazione senza richiesta di installare i driver in \\winprint.lnf.infn.it\
11
Integrazione con Kerberos L’ integrazione del dominio Windows con il sistema di autenticazione centrale dei LNF, basato su Kerberos 5 (MIT su sistemi Unix) consente agli utenti di accedere da qualunque pc del dominio, utilizzando le proprie credenziali kerberos dei LNF. L’ integrazione viene realizzata configurando una relazione di fiducia tra i realm kerberos del dominio Windows ed il Kerberos dei LNF. Punti principali da definire : Lato Windows Server (Domain Controller) – Configurare la relazione di trust sul dominio Windows in “ Active Directory Domains and Trusts “ impostando la relazione di fiducia trai i due domini “WIN.LNF.INFN.IT” e “LNF.INFN.IT” (UNIX). Lato Unix (Kerberos5 server): – Configurare la relazione di trust sui server Kerberos
12
Punti principali da configurare sul client: Inserire il pc utente nel dominio Windows Configurare il nome del MIT Kerberos KDC tramite il seguente comando (uno per ogni KDC): Ksetup /addkdc NOME_REALM NOME_KDC1 Ksetup /addkdc NOME_REALM NOME_KDC2 Definire il mapping per tutti gli utenti che potranno accedere al dominio dal computer locale tramite il seguente comando: Ksetup /MapUser *@LNF.INFN.IT *@win.lnf.infn.it Integrazione con Kerberos
13
Relazione di trust tra Kerberos del Dominio Windows e dei LNF 2 4 Computer nel dominio Windows 1. Connessione al dominio Windows con credenziali Kerberos uniche 2. Autenticazione tramite relazione di trust con il dominio kerberos dei LNF 3. Autorizzazione ad accedere agli shared folders 4. Accesso alle cartelle rindirizzate sullo storage di dominio 3 Windows storage 1 Active Directory Kerberos server
14
Folder Redirection Il folder redirection: permette ai singoli utenti di memorizzare le cartelle del proprio profilo Windows su uno spazio disco in rete servito centralmente. Il profilo locale e gli shared folders sono sincronizzati continuativamente Il reindirizzamento viene definito nelle “Group Policies” di dominio, specificando le cartelle da salvare anche centralmente. Queste policies vengono applicate a tutti gli utenti definiti in Active Directory. Nel path specificato le cartelle di ogni account verranno create automaticamente al primo login. A ciascun utente viene assegnata la quota di 10GB di spazio. E’ possibile, inoltre, impedire la memorizzazione remota di alcuni tipi di file specificando le estensioni da escludere.
15
Spazio disco del Folder Redirection Si è deciso di reindirizzare le seguenti cartelle: Desktop Documents AppData Contacts Favorites Start Menu Folder Redirection e AFS E’ stata testata anche la possibiltà di salvare le cartelle su AFS. Per accedere ad AFS è necessario ottenere un token. Sia per il folder redirection che per il Roaming Profile il tempo necessario ad ottenere il token AFS è a volte superiore a quello richiesto dal SO per scaricare le cartelle. Il ritardo nell’acquisizione del token provoca la creazione di un profilo temporaneo locale che viene poi cancellato al logout. Queste inefficienze hanno portato alla decisione di spostare le cartelle reindirizzate sullo storage di Windows.
16
Vantaggi del Folder Redirection: Le operazioni di sincronizzazione sono trasparenti all’ utente. Possibilita’ di lavorare in modalita’ offline. – Viene generata automaticamente una copia locale delle cartelle remote. – In questo modo l ‘utente potra’ continuare a lavorare sui propri dati anche quando NON e’ connesso alla rete e cosi’ le modifiche alla copia locale delle cartelle remote verranno sincronizzate alla riconnessione – Il login con le credenziali Kerberos MIT sara’ comunque consentito anche in modalita’ offline
17
Vantaggi del Folder Redirection: Facoltà di accedere contemporaneamente ai propri dati da diversi pc in quanto le modifiche effettuate sono simultaneamente salvate sul disco remoto e quindi rese disponibili a tutti i computer collegati. Gestione centralizzata delle informazioni, ovvero la possibilita’ di poter accedere agli stessi dati da diversi terminali. Possibilita’ per diversi utenti di accedere ai propri dati dallo stesso pc. Personalizzazione del PC condivisa da tutte le postazioni (dipende dall’utente e non dal PC): Desktop, Documents, StartMenu, AppData
18
Funzionamento del Folder Redirection: L’ utente viene autenticato tramite inserimento delle credenziali Kerberos LNF.INFN.IT. Durante la fase di login vengono sincronizzate le cartelle remote sul computer locale con un operazione trasparente all’ utente. Si ha una continua sincronizzazione tra i dati locali e quelli remoti, ovvero nel momento in cui l’ utente effettua delle modifiche localmente, esse vengono istantaneamente riportate nello spazio disco in rete.
19
Roaming Profile Un altro metodo per salvare i dati utenti su disco remoto offerto dai sistemi Windows e’ il Roaming Profile. Caratteristiche: Memorizzazione in remoto del profilo utente. Il profilo viene caricato sul computer locale durante il login Le modifiche apportate localmente sono salvate al logout. In questo modo l' utente ha la possibilita' di lavorare sui propri dati accedendovi da diversi terminali. Si è preferito non usare il Roaming Profile in quanto la sincronizzazione dei dati non è continua ma avviene solo in fase di login e logout (che possono quindi diventare molto lunghi). Se si lavora con lo stesso account su due pc, l’ultimo che si disconnette sovrascrive i dati con la possibilità di renderli inconsistenti.
20
Altri servizi di Dominio Nell’ambiente Windows dei LNF sono configurati inoltre i seguenti servizi: KMS Permette l’attivazione dei nuovi sistemi windows e del pacchetto Office WSUS Consente l’aggiornamento dei pc localmente. Il server scarica gli aggiornamenti dalla Microsoft e li rende disponibili ai pc del dominio opportunamente configurati. Oltre a contenere il traffico di rete, gli aggiornamenti sono molto più veloci. Sophos server locale Per l’installazione e l’aggiornamento dell’antivirus. WDS Per l’installazione e configurazione da rete dei nuovi pc.
21
Documentazione http://wiki.infn.it/strutture/lnf/dr/calcolo/windo ws/domain/integrazione_con_kerberos Domande ?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.