Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoEnzo Cavaliere Modificato 9 anni fa
1
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI dicembre 2002 - revisione maggio 2003 AMANZI NUNZIO – http://www.lnf.infn.it/~amanzi – nunzio.amanzi@lnf.infn.it
2
PRESUPPOSTI Esportare e distribuire in rete un environment windows con le seguenti prerogative: collocare la home dir, ovvero il profilo utente Windows su un server di rete; definire le specifiche di accesso e autenticazione in modo tale che lo stesso profilo sia sempre disponibile nella lan e persino nella wan; accedere al profilo, ovvero ai propri file, ai bookmarks, alle impostazioni di configurazione, contestualmente alla fase di login dalla postazione client; accedere al Windows Environment, e quindi al proprio profilo, anche da postazioni non windows
3
L’interesse di questo complesso studio di fattibilità si è focalizzato sui seguenti aspetti: inquadrare gli aspetti connessi con il Windows Environment Session Login in forma astratta; studiare metodologie di configurazione secondo uno schema client-server; implementare nel caso specifico dei LNF – INFN una configurazione basata su: la definizione di gerarchie ed ereditarietà di policies in un ambiente distribuito quale l’Active Directory; la collocazione e il puntamento del profilo utente windows presso il corrispondente spazio user su AFS della cella lnf.infn.it ; l’accesso ad AFS nella LAN e nella WAN ottenendo il token contestualmente al login dal client; l’eventuale, fortemente consigliata, autenticazione a livello di Dominio Windows in fase di login da client; l’accesso al proprio profilo su AFS mediante apertura di una sessione di login interattivo su server RDP mediante Windows Terminal Services. OBIETTIVI
4
Il raggiungimento degli obiettivi di questo studio, la definizione sia di un modello di configurazione che di specifiche e strumenti di login, è stato caratterizzato dai seguenti aspetti: Definizione, configurazione e gestione di un Profilo Windows; Configurazione e management del Windows Terminal Services; Active Directory Environment e Criteri di Sicurezza.
5
INTRODUZIONE AI PROFILI WINDOWS Quando un utente effettua il login su una postazione Windows il S.O. gli mette a disposizione un patrimonio caratterizzato da: Le informazioni di configurazione relative al desktop, alle risorse e alle connessioni di rete, alle applicazioni; La definizione degli shortcuts relativi allo Start Menu, ai documenti aperti di recente ai bookmarks delle URLS visitate; I file utente memorizzati nel folder Documenti. E’ fondamentale definire globalmente il complesso di queste informazioni come Contesto Utente. Facendo riferimento alle versioni 2000/XP di Windows, la localizzazione fisica di questo environment si basa sulla coesistenza di tre fattori: Un Profile Folder, memorizzato localmente per default all’indirizzo: %systemdrive%\Documents and Settings\%username% Una home dir, alla quale fanno riferimento generalmente applicazioni di vecchia concezione che individuano lo spazio utente all’interno della cartella di sistema (del tipo C:\WINDOWS – C:\WINNT) Le chiavi del Registro di Configurazione specifiche per ogni utente memorizzate nella cartella di sistema
6
ROAMING WINDOWS PROFILES A questo punto è lecito chiedersi se sia possibile collocare il Contesto Utente su un server in modo che sia sempre disponibile lo stesso windows environment dovunque e comunque si faccia login. All’uopo, nell’ambito della configurazione utente, Windows permette di ridefinire l’indirizzo della directory di Profilo verso una url del tipo \\nomeserver\userfolder. Un profilo utente residente su un server viene detto Profilo Roaming. Un profilo roaming, memorizzato su un server della lan o della wan, utilizza il corrispondente spazio locale alla postazione di login come interfaccia cache con l’utente. Il Windows Roaming Profile è caratterizzato da: E’ un profilo basato sul server che viene trasferito tramite download al computer locale quando un utente effettua un accesso e viene aggiornato sia sul computer locale che sul server quando l’utente si disconnette. Durante la sessione di login l’utente interagisce con il proprio profilo solo localmente, poiché il profilo locale presente per default agisce come una cache del profilo remoto. Profilo Locale (cache) Profilo utente remoto Connessione: i dati vengono trasferiti dal server ed eventualmente sincronizzati nella cache locale Profilo Locale (cache) Profilo utente remoto Log out: i dati vengono trasferiti sul server dalla cache: tutte le modifiche effettuate in locale si trasferiscono sul server
7
CARATTERISTICHE DEI ROAMING WINDOWS PROFILES L’account utente e la relativa password devono essere validi sia per la workstation che per il server L’accesso al server in fase di login è ottimizzato, poiché vengono trasferiti solo i file non presenti localmente e/o quelli più aggiornati In fase di logout la comunicazione con il server si basa su una copia incrementale dei dati locali Quando l’utente opera off-line, Windows utilizza il profilo locale che verrà sincronizzato con quello sul server al prossimo login Si possono usare anche più macchine client per uno stesso account utente poiché i file utente presenti su una workstation, dopo essere stati trasferiti sul profilo comune, saranno esportati anche verso le altre postazioni. In pratica se un utente dispone di due client A e B contenenti rispettivamente il file_a e il file_b, dopo la loro connessione sequenziale, ciascuna di esse conterrà localmente sia il file_a che il file_b La cartella Documenti del desktop client è una cache locale del server: memorizzare in essa i dati significa effettuare un backup incrementale della stessa ad ogni logout
8
ASPETTI DERIVANTI DAI ROAMING WINDOWS PROFILES La configurazione dei profili di roaming non è però risolutiva in termini di esportazione di un Windows Environment poiché: Come già accennato, alcuni dati di configurazione utente, non solo locali al profilo, ma definiti nel Registro di Configurazione; Alcune sottocartelle del profilo sono relative e contengono informazioni che dipendono dalla configurazione specifica del client dal quale si esegue l’accesso; In particolare i folders Desktop e Start Menu contengono puntatori (Shortcuts) a file (eseguibili o no) locali al client: la sincronizzazione in roaming di detti folders da più di un client potrebbe rendere questi puntatori indefiniti; La fase di sincronizzazione coinvolge anche i file temporanei, creando inutile traffico in rete e rischiando l’overflow di quota utente sul server. Occorre dunque estendere la configurazione ad un contesto più ampio di quello del Roaming Profile, definendo un modello astratto di impostazioni utente e pc risolutivo degli aspetti sopra elencati. Questo modello sarà rappresentato dai Criteri di Gruppo in un ambito client-server.
9
L’IMPLEMENTAZIONE SPERIMENTALE AI LNF-INFN
10
Utilizzo dei server AFS della cella lnf.infn.it come Roaming Profile Servers Definizione di una configurazione utente basata su Criteri di Gruppo Autenticazione centralizzata a livello di Dominio Windows e relativa definizione di specifiche di sicurezza e Group Policies in un ambiente distribuito quale l’ Active Directory Configurazione di un Server Windows che esporti in remoto, cioè su clients nella lan/wan, sessioni di login interattivo nelle quali il Windows Environment, ovvero il Contesto Utente, sia sempre lo stesso, cioè quello residente su AFS ASPETTI FONDAMENTALI ESAMINATI PER L’ESPORTAZIONE DI UN WINDOWS ENVIRONMENT
11
ROAMING SU AFS Il roaming su AFS è stato caratterizzato dai seguenti aspetti: L’utilizzo del software IBM AFS Client per Windows, opportunamente configurato per ottenere il token contestualmente al login (account e password windows devono coincidere con quelle relative ad AFS) Un’opportuna configurazione del file relativo agli AFS submounts, ovvero dei percorsi di rete, importati nel file system windows, tali da rendere disponibile in forma non ambigua e in fase di login lo spazio su AFS destinato ad ospitare il profilo La definizione di una sintassi relativa ai percorsi di rete verso AFS che prescinda sia dall’host dal quale si effettua il login che dall’utente, avendo i quindi rilevanza astratta e validità estesa alla WAN Il processo di mapping dei logical drives verso percorsi AFS è stato unificato e uniformato implementandolo nell’ambito di uno script di login Path tipo di Profilo \\%computername%-afs\lnf\user\home\%username%\private\pc\Winprofile Path tipo Documenti\\%computername%-afs\lnf\user\home\%username%\private\pc\Windocs [AFS Submounts] afs=/ lnf=/lnf.infn.it
12
CRITERI DI GRUPPO ED ACTIVE DIRECTORY Criteri di Gruppo è un insieme di policies ovvero di criteri distinti in gruppi contestuali che mediante opportuna interfaccia (Microsoft Management Console) offrono uno snap-shot e uno strumento di configurazione ed amministrazione di alto livello compatibile con le chiavi del Registro di Configurazione di Windows e nello specifico dei settaggi relativi alla postazione (HKEY_LOCAL_MACHINE) e all’utente (HKEY_CURRENT_USER). Questi criteri (SACL) possono essere definiti localmente al pc di login o distribuiti in Active Directory. La configurazione dei criteri a livello di Dominio Windows impone anche la definizione di un opportuno meccanismo di eriditarietà e priorità di applicazione in ambito globale e locale. La definizione e quindi l’applicazione dei Criteri di Gruppo, relativamente all’utente, è caratterizzata dai seguenti aspetti: Esporta chiavi di Registro; E’ eseguita in fase di login, successivamente al net-logon,; Può essere configurata in modo che i criteri globali non vengano sovrascritti, in caso di conflitto, da quelli omonimi definiti localmente; I criteri di dominio vengono applicati in basi a gruppi di utenti secondo specifiche definizioni di voci discrezionali (ACE)
13
CONSEGUENZE ALLA DEFINIZIONE DI CRITERI DI GRUPPO Una autenticazione a livello di Dominio e conseguente esecuzione delle Group Policies rappresenta un modello risolutivo in termini di esportazione di un Windows Environment delineabile in forma astratta cioè prescindendo dalla configurazione delle postazioni di login, infatti: Gli utenti che da client si autenticano sul dominio importano un environment windows con profilo windows in roaming con AFS Un sottoinsieme degli utenti di dominio può aprire una sessione di login sul server tramite Terminal Services Alcuni utenti Terminal Services, oltre agli amministratori, possono assumere da remoto il controllo delle sessioni di login Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) importano un windows environment in roaming con AFS Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) sono soggetti a elevati criteri di sicurezza nell’accesso alle risorse e alle applicazioni del server, mediante la definizione di policies di gruppo, locali al server e globali nel dominio Gli amministratori che aprono una sessione sul server non sono sottoposti ai detti criteri L’account administrator ha un profilo locale e non ha accesso ad AFS Da profili roaming vengono esclusi particolari folders locali i cui contenuti cambiano in base alle configurazione dei client di accesso Il folder My Documents è escluso dal caching, ma è direttamente puntato su AFS Ogni profilo roaming è quotato a livello di dominio; il folder My Documents non è sottoposto a predetta quotazione, ma solo a quella utente imposta per AFS Possono essere definiti degli scripts a livello di dominio che vengono importati ed eseguiti localmente in fase di login
14
SERVIZI TERMINAL Ad integrazione delle specifiche di esportazione di un Windows Environment ai LNF è stato implementato un server Windows Terminal Services che esporta in una finestra di un client remoto un Desktop Windows il cui user environment sia quello definito in AFS. Sono state definite all’uopo, tra l’altro, i specifici paramentri di configurazione: Accesso al Servizio L’accesso è definito mediante privilegi associati a gruppi di utenti: in tal senso sono stati distinti gli utenti con privilegio di accesso da quelli con ulteriore privilegio di controllo delle Sessioni. Parametri di Sessione Sono stati distinti gli eventi di chiusura di sessione per logout o per disconnessione In particolare, sono stati definiti i tempi massimi di durata di una sessione attiva e di timeout per una sessione inattiva allo scadere dei quali, anche se il client è disconnesso, l’utente ha a disposizione un ulteriore ragionevole intervallo di tempo a disposizione entro il quale la sessione disconnessa è ancora runnante sul server è può essere riconnessa da quanlunque client. Environment di Sessione Gli utenti connessi ad una sessione sono in roaming e puntamento con il proprio spazio su AFS, possono accedere alle risorse di storage e stampa che Server Windows esporta in base ai privilegi definiti in Criteri di Gruppo. In particolare, i devices locali possono essere mappati nell’environment di sessione: ciò significa, per esempio, che un utente che apre un file su AFS mediante sessione di terminale windows ha la possibilità di inviarlo alle stampanti locali e/o a quelle remote esportate dal Server Controllo di Sessione Una sessione di terminal può essere controllata remotamente da un altro client di rete in base ai privilegi posseduti dal controllore e dal controllato.
15
TIPOLOGIE E FASI DI ACCESSO-AUTENTICAZIONE NETWORK LAYER AUTENTICATION LAYER
16
Applicazione Group Policies Aggiornamento cache locale local login net login token AFS profile logonuser settings disponibilità del percorso di retedisponibilità dei mappings domain script local script Computer settings AUTENTICAZIONE NEL DOMINIO WINDOWS - EVENTI ntuser.datntuser.iniprofile folders Esecuzione Group Policies ntuser.pol Elenco ordinato System file.pol Local Policies 1 Domain Policies 2 hkey_current_user CALLBACK user preferencesMy Documents AFS HOME POINTING ApplicationsDesktopother settings CALLBACK
17
DOMAIN WINDOWS SERVER TERMINAL SERVER My Documents ROAMING PROFILE AFS HOME NETWORK BUSNETWORK BUS POINTING CACHING BLUETOOTH CONNECTION GPRS CONNECTION VPN CLIENT ESPORT WIRELESS DI UN WINDOWS ENVIRONMENT WAN TERMINAL WINDOWS SESSION
18
ACTIVE DIRECTORY – FASI DI ACCESSO Domain Users Administartors W2kRDPPowerUsers W2kRDPUsers Terminal Services Server Session AFS token Domain Autentication Local Policies (on domain client or domain server) AdministratorsOthers Domain users group policies Administartors group policies ‘Administrator’ account Others AFS USERS (AFSUsers group) Profile Access My Documents AFS HOME ROAMING PROFILE POINTING CACHING Client Login AFS token ACCESSO CENTRALIZZATO AL WINDOWS ENVIRONMENT WINDOWS ENVIRONMENT Roaming Users (1) (2) (1) – (2) LOGIN Le sessioni sono indipendenti. In particolare la (2) può essere aperta successivamente alla (1) o quando non sia possibile autenticarsi da client in Active Directory (per es., accesso dalla WAN e/o in WORKGROUP)
19
ASPETTI CONNESSI CON L’IMPLEMENTAZIONE DEL SERVIZIO Nell’ambito di una implementazione ottimale ed efficiente è opportuno tenere presenti i seguenti aspetti. ASPETTI A CARATTERE SISTEMISTICO Definire e implementare un meccanismo di trust tra i differenti database utente e di cross-authentication tra i vari server/domini di autenticazione Implementare un sistema di aggiornamento dell’orario nei clients della lan e della wan, definendo le specifiche nei casi particolari della loro appartenenza ad un dominio windows o ad una workgroup Effettuare un controllo dinamico sulle versioni e sulla lingua del S.O. delle postazioni windows che accedono al servizio mediante l’implementazione di uno script opportuno nei criteri di gruppo computer, che agisca preferibilmente prima del login utente Nel caso di roaming su AFS definire in criteri di gruppo computer un meccanismo mediante il quale sia possibile importare da un server nella wan (es. quello di dominio) la definizione dei submount AFS prima del login utente Decidere a priori il comportamento che i clients devono assumere in fase di login quando il profilo di roaming non è disponibile ASPETTI E PREFERENZE LOCALI Nell’ambito della definizione dei criteri di gruppo di dominio deve essere previsto uno script distribuito, definito sul server ed eseguito sul client successivamente al login, che dovrebbe essere in grado di: Mappare i driver logici verso AFS in fase di login rendendoli nuovamente disponibili dopo il logoff: la definizione delle unità deve tenere conto di regole globali compatibilmente alle disponibilità particolari delle singole unità Informare l’utente sulle caratteristiche della sessione aperta (roaming, login da client o interattivo sul server, tempi di attività, disconnessione e logoff) Monitorare con frequenza preferenziale lo stato di roaming, l’offset di quota della cache, la caduta della connessione Accedere ad un database utente, locale al profilo, relativo alle impostazioni di profilo specifiche per ciascun client dal quale l’utente effettua il login
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.