Architettura degli impianti elaborativi del Centro di Elaborazione Dati del Ministero della Pubblica Istruzione

Transcript

1 Servizi di sviluppo e gestione del Sistema Informativo del Architettura Architettura degli impianti elaborativi del Centro di Elaborazione Dati del IDENTIFICATIVO SDE-ITO-ARC-ArchitetturaCEDMPI-4.0 VERSIONE Ed. 4 Rev. 0/ Uso Esterno Riservato a RTI, AMM, MON RTI : HP Enterprise Services Italia Auselda AED Group - Accenture

2 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Indice dei contenuti 0 GENERALITA' Scopo del documento Applicabilità Riferimenti Definizioni e acronimi Tabella delle Versioni INTRODUZIONE ARCHITETTURA DI RETE E SICUREZZA Premessa Lo strato di rete Lo strato di sicurezza Servizi interni di rete e sicurezza DHCP (Dynamic Host Configuration Protocol) Gestione LAN/WAN Autenticazione VoIP (Voice over IP) VPN management Firewall management Intrusion Prevention System management Network Address Translation management Event & Log monitoring Antivirus & Content Filtering management L INFRASTRUTTURA DEL PORTALE SIDI Ambienti elaborativi L architettura I sistemi di elaborazione ed i flussi dei servizi Sistema di elaborazione DISPATCHER_ESE_SIDI_FRONT_END Sistema di elaborazione DISPATCHER_ESE_SIDI_BACK_END Sistema di elaborazione WCACHE_ESE_SIDI Sistema di elaborazione SSO_ESE_SIDI Sistemi di elaborazione OC4J_ESE_SIDI...23 RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 2 di 115 Esterno/Riservato a RTI, AMM, MON

3 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Sistema di elaborazione OC4J_FD_ESE_SIDI Sistema di elaborazione PORTAL_ESE_SIDI Sistemi di elaborazione BI_ESE_SIDI e BI2_ESE_SIDI Sistema di elaborazione OID_ESE_SIDI Sistemi di elaborazione BPEL_ESE_SIDI e BPEL_FORM_ESE_SIDI Sistema di elaborazione GRID_ESE_SIDI Sistema di elaborazione AUTOSYS_ESE_SIDI Sistema di elaborazione MIDEBS_ESE_SIDI Sistema di elaborazione NFSDB_ESE_SIDI Sistemi di elaborazione DBINFRA_ESE_SIDI, DBDATI_ESE_SIDI, DB_EBS_ESE_SIDI, DBFORM_ESE_SIDI Sistema di elaborazione SIA_ESE_SIDI Sistema di elaborazione XFRAME_ESE_SIDI Sistema di elaborazione ETRUST_ESE_SIDI Sistema di elaborazione FORM_EBS_ESE_SIDI Sistema di elaborazione FORM_ESE_SIDI Sistema di elaborazione Rassegna Stampa L INFRASTRUTTURA SIA L Architettura I sistemi di elaborazione ed i flussi dei servizi L INFRASTRUTTURA DI POSTA ELETTRONICA LINUX L architettura I sistemi di elaborazione I flussi dei servizi Webmail Accesso alle caselle di posta Invio di messaggi tramite SMTP Accesso in modalità client Accesso alle caselle di posta tramite Servizio POP3/IMAP Invio di messaggi tramite Servizio SMTP Servizio elenchi in linea Servizio SMTP: ricezione da domini Internet (non istruzione.it) L INFRASTRUTTURA DI DOMINIO E DI POSTA ELETTRONICA EXCHANGE L Architettura Architettura gerarchica del prodotto Microsoft Exchange Server Organizzazione Administrative e Routing Groups Sistemi di elaborazione (Server) Infrastruttura Active Directory e DNS Predisposizione ed integrazione con l architettura Exchange I flussi dei servizi Accesso al servizio di posta...53 RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 3 di 115 Esterno/Riservato a RTI, AMM, MON

4 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Accesso tramite client MAPI (Microsoft Outllook) Accesso tramite client SMTP-POP3/IMAP Accesso tramite browser o dispositivo mobile con protocollo HTTPS Inoltro dei messaggi Connettori per la messaggistica verso altri utenti del MPI e verso Internet Inoltro dei messaggi di Utenze Amministrative verso Internet Inoltro dei messaggi provenienti da internet o da Utenze dell architettura Linux verso Utenze Amministrative Inoltro dei messaggi da Utenti Amministrativi verso altre Utenze del MPI Rilevazione dei Virus Produzione degli NDR Notariato L INFRASTRUTTURA MAINFRAME L INFRASTRUTTURA PORTALI ISTITUZIONALI L Infrastruttura di Virtualizzazione L infrastruttura trasversale L architettura Sistema di elaborazione JBoss Application Server (CAS SSO) Sistema di elaborazione OpenLDAP Portale HUB MIUR (Sito L architettura Sistema di elaborazione Oracle WebCache Sistema di elaborazione JBoss Application Server (Alfresco-Liferay) Sistema di elaborazione DB Portali Portale Scuola - Famiglia (sito L architettura Sistema di elaborazione Network Dispatcher di Front-End Sistema di elaborazione Network Dispatcher di Back-End Sistema di elaborazione Oracle WebCache Front-End Sistema di elaborazione JBoss Application Server (Alfresco-Liferay) Sistema di elaborazione Ruby-on-Rails Application Server Sistema di elaborazione Oracle OC4J Application Server (EJB) Sistema di elaborazione RDBMS Portale dello Studente (sito L architettura Sistema di elaborazione Oracle WebCache Sistema di elaborazione JBoss Application Server (Alfresco-Liferay) Sistema di elaborazione DB Portali L INFRASTRUTTURA SERVER FARM L architettura I sistemi di elaborazione ed i flussi di servizio...83 RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 4 di 115 Esterno/Riservato a RTI, AMM, MON

5 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 10 L INFRASTRUTTURA SITO INTRANET L architettura I sistemi di elaborazione ed i flussi di servizio L INFRASTRUTTURA CONTROLLO STRATEGICO L architettura I sistemi di elaborazione ed i flussi di servizio L INFRASTRUTTURA DEL CENTRO DI GESTIONE E CONTROLLO L architettura I flussi dei servizi Gestione PdL Gestione Server infrastrutturali Monitoraggio e Reporting Asset Management e Software Delivery Antivirus L INFRASTRUTTURA PROXY PER L ACCESSO AD INTERNET L architettura I flussi dei servizi LA STORAGE AREA NETWORK E L INFRASTRUTTURA DI BACKUP L architettura I SISTEMI DEL DISASTER RECOVERY L active Directory I sistemi del Portale SIDI I network dispatcher Oracle WebCache Oracle Infrastruttura (SSO, Portal, OID e DB di Infrastruttura) Oracle OC4J, Autosys, NFS e XFrame Oracle Database Dati Il sistema per la Gestione delle Utenze Il sistema Oracle EBS I sistemi di Posta Elettronica Posta Open Posta Exchange L allineamento dati RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 5 di 115 Esterno/Riservato a RTI, AMM, MON

6 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Il database Oracle Le caselle di Posta Elettronica ed il Network file system La rete RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 6 di 115 Esterno/Riservato a RTI, AMM, MON

7 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 0 GENERALITA' 0.1 Scopo del documento Il presente documento si prefigge l obiettivo di analizzare le infrastrutture presenti nel Centro di Elaborazione Dati del dislocato a Monteporzio Catone Via Maremmana Superiore Applicabilità Il documento si applica al progetto Outsourcing infrastruttura e servizi per MIUR per il contratto Rep stipulato tra RTI ed il cliente MIUR. 0.3 Riferimenti Definizione/Acronimo Contratto Rep Descrizione Contratto per lo sviluppo e la gestione del Sistema Informativo del Ministero dell'istruzione (SIDI) 0.4 Definizioni e acronimi Definizione/Acronimo CSA DR UUCC CED CGC PDL J2EE SD MPI MPC PE SAN Descrizione Centro Servizi Amministrativi Direzione Regionale Uffici Centrali Centro elaborazione Dati Centro di Gestione e Controllo Postazione di Lavoro Java 2 Enterprise Edition Server Dipartimentali Monteporzio Catone Posta Elettronica Storage Area Network 0.5 Tabella delle Versioni Versione Data Paragrafo Descrizione delle modifiche apportate Tutti Nascita del documento Cap.3 Revisione del documento Tutti Aggiornamento del documento delle configurazioni alla data Tutti Revisione del documento RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 7 di 115 Esterno/Riservato a RTI, AMM, MON

8 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 1 Introduzione La configurazione del CED del ministero della Pubblica Istruzione., dislocato presso la sede di Monteporzio Catone, Via Maremmana Superiore 29, si avvale di apparecchiature Hw e prodotti Sw eterogenei che compongono i sistemi di elaborazione atti a garantire l erogazione di quelli che vengono denominati i Servizi Utente. Nel capitoli successivi dopo aver descritto l architettura generale del CED dal punto di vista della infrastruttura di rete e di sicurezza, si analizzeranno nel dettaglio le principali infrastrutture di riferimento con la descrizione dei sistemi di elaborazione ivi contenuti ed i Servizi Utente erogati Al termine del documento verranno descritte le funzionalità della storage area network RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 8 di 115 Esterno/Riservato a RTI, AMM, MON

9 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 2 Architettura di rete e sicurezza 2.1 Premessa La LAN del CED MPI, costruita secondo il modello architetturale gerarchico standard a 3 livelli (Core/Distribution/Access), permette di garantire Disponibilità, Affidabilità, Performances adeguate, Scalabilità e Gestibilità ai servizi forniti, nonché allineamento con gli standard industriali e supporto per nuove applicazioni emergenti. Nel caso specifico i livelli di Core e Distribution sono collassati sugli stessi apparati di rete. Di seguito si riporta lo schema architetturale della LAN del sito di Monteporzio Catone. Fig. 2.1.a In tale schema si possono distinguere tre strati funzionali: 1. lo strato network fisico costituito da tutte le apparecchiature di rete adibite al collegamento fisico dei vari sistemi di elaborazione da/verso la rete intranet periferica e la rete internet RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 9 di 115 Esterno/Riservato a RTI, AMM, MON

10 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 2. lo strato di sicurezza costituito da tutti gli apparati firewall preposti alla realizzazione dei controlli di sicurezza sui flussi di erogazione dei servizi all utente finale 3. le infrastrutture preposte all erogazione dei flussi applicativi di erogazione dei servizi verso l utente finale Nei paragrafi seguenti vengono descritti gli strati sopra individuati evidenziandone le peculiarità funzionali. 2.2 Lo strato di rete La LAN è stata suddivisa in Aree che comprendono le apparecchiature di rete e sicurezza a supporto dei servizi che vengono forniti sia al cliente MPI che ai clienti interni. Le Aree suddette sono interconnesse fra di loro in due modi alternativi: Connessioni dirette tramite Trunk sugli apparati Switch Connessioni tramite Firewall Ogni area è identificata da VLAN create sugli apparati di Core/Distribution e da switch di accesso dedicati, nonché da un indirizzamento IP univoco. Le areea individuate sono le seguenti. 1. Area Pubblica SPC: è l area che permette l uscita su internet di tutta la rete nazionale, ad eccezione degli Uffici Centrali (V.le Trastevere, Via Carcani e Via I. Nievo). Comprende i router/switch Cisco 6504, gestiti da Fastweb nell ambito del contratto del Servizio Pubblico di Connettività, sui quali sono attestati due link a 200 Mb/s in alta affidabilità; gli utenti MPI distribuiti sul territorio accedono dapprima ad un proxy situato nell area omonima e da qui, dopo essere stati autenticati, possono uscire su Internet attraverso tale collegamento. 2. Area SPC Intranet: in questa area sono inseriti i due router/switch Cisco 6504, gestiti da Fastweb nell ambito del contratto del Servizio Pubblico di Connettività, sui quali sono attestati due link a 200 Mb/s in alta affidabilità che permettono la raccolta delle VPN provenienti da tutti gli uffici periferici. Costituisce l interfaccia di collegamento fra il CED di Monteporzio e le varie LAN degli Uffici Provinciali (USP), Regionali (USR) ed Centrali (V.le Trastevere, Via Carcani e Via I. Nievo) per ciò che riguarda la rete Intranet. 3. Area di Front-End: in questa area si trovano i due firewall di frontiera che permettono il collegamento verso internet e che interfacciano il sito Istruzione.it verso l esterno. 4. Area QXN Infranet: in questa area sono ospitati i due router Cisco 2851 che permettono il collegamento, tramite due link a 10 Mb/s in alta affidabilità, alla rete QNX (Qualified exchange Network). Tale rete denominata Infranet permette la connettività end-to-end tra le diverse Pubbliche Amministrazioni nell ambito del Sistema Pubblico di Connettività (SPC) ed è andata a sostituire la vecchia rete di interoperabilità. RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 10 di 115 Esterno/Riservato a RTI, AMM, MON

11 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 5. Area SIDI: è la nuova infrastruttura di rete costituita dai Cisco Catalyst 4506 (Core switch Esercizio), Cisco Catalyst 3560 (Core switch Test e Collaudo), Cisco Content Services Switch (CSS) e dal Firewall Checkpoint VSX. Tale rete ospiterà tutte le infrastrutture applicative core preposte all erogazione dei servizi (Posta Elettronica, Portale SIDI, Sito Istruzione, Server Farm, Sito Intranet, ecc.) 6. Area SIMPI: costituita da un insieme di componenti che gestiscono i collegamenti verso la vecchia infrastruttura SIMPI e comprende uno switch Cisco 5500 e due switch Catalyst 3560 che costituiscono il Gateway MPC (gli ultimi due switch configurati in alta affidabilità provvedono ad espletare le funzioni di DHCP server per la rete SIMPI. Tale area racchiude: la sub-area di Model Office dove vengono testate le applicazioni prima di essere messe in esercizio l infrastruttura per il collegamento con il comprensorio di Villa Lucidi (Aule Informatizzate e Postazioni Ministeriali); il comprensorio è collegato al CED attraverso un collegamento in Fibra Ottica. l infrastruttura Mainframe (Console e Unità Centrali) il sito Intranet ( l infrastruttura dei Servizi di Supporto(DNS, WINS, LDAP) l infrastruttura Cisco Secure per la gestione dei servizi di autenticazione per RAS e VPN 7. Area Server Farm: costituita dal Cisco catalyst 4003 e dai Pix firewall Zeus ed Hercules che gestiscono i collegamenti verso l infrastruttura Server Farm preposta all erogazione dei servizi applicativi destinati alle Scuole, tramite accesso all Area Rioservata, ed al pubblico, tramite link disponibili sul sito istituzionale 8. Area Extranet: costituita da un insieme di componenti che gestiscono i collegamenti per i servizi RAS, di gestione erogati da sedi EDS e VoIP del Service Desk (rispettivamente Cisco AS5300, Cisco 2610XM e 2621 e Cisco Catalyst 3500 XL) 9. Area RTI : costituita da un insieme di componenti per la gestione dei collegamenti verso i sistemi dedicati al TTS, stampanti CED ed i server di sviluppo SiWeb. RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 11 di 115 Esterno/Riservato a RTI, AMM, MON

12 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del 2.3 Lo strato di sicurezza Lo strato di sicurezza risulta composto dai seguenti apparati. Firewall Cisco PIX Hercules e Firewall Cisco PIX Zeus Tale coppia di firewall configurati in alta affidabilità delimitano la DMZ in cui è posizionata l infrastruttura Server Farm tra l area pubblica e l area SIMPI. Firewall Checkpoint VSX E il firewall di nuova generazione che gestisce il collegamento tra le DMZ nella nuova infrastruttura di sicurezza. Lo schema logico delle DMZ gestite è rappresentato nella figura seguente dove sono evidenziate le lan da migrare e quelle da migrare Fig. 2.3.a Firewall Cisco Hemdall Firewall preposto al controllo del traffico delle aule multimediali e degli uffici presenti a Villa Lucidi.verso l area SIMPI Firewall Cisco FireMOP RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 12 di 115 Esterno/Riservato a RTI, AMM, MON

13 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Firewall preposto al controllo del traffico interno ( gestione ) verso il MOP dipartimentale verso l area SIMPI Firewall Cisco PIX 515 SimpiPIX Firewall in alta affidabilità che gestiscono gli accessi dal SIMPI verso le varie extranet e viceversa. Firewall Fortigate 800 Firewall in alta affidabilità che gestiscono gli accessi verso l area SIMPI da parte delle organizzazioni dipartimentali del MPI (DR, CSA, UUC) Firewall Fortigate 3810 Firewall in alta affidabilità che delimitano il confine verso la rete internet per gli utenti interni delle organizzazioni dipartimentali. 2.4 Servizi interni di rete e sicurezza DHCP (Dynamic Host Configuration Protocol) Il servizio di DHCP viene erogato, su due diverse reti IP, per la LAN del CGC e per la LAN del comprensorio di Villa Lucidi. Quando un client si collega ad una porta di rete riceve automaticamente un indirizzo IP congruo con il piano di indirizzamento locale e può così lavorare ed accedere alle varie aree nel rispetto delle norme e dei limiti imposti dalle politiche di sicurezza vigenti Gestione LAN/WAN Dal CGC di Monteporzio Catone viene assicurata la gestione sia della LAN del centro stesso sia delle LAN degli Uffici periferici quali Centri Servizi Amministrativi, Direzioni Regionali ed Uffici Centrali; a fronte di una segnalazione proveniente dal centro di monitoraggio di XXX o dall apertura di un Trouble Ticket è possibile intervenire da remoto su tutti gli apparati di rete per verifiche e/o variazioni. Nella gestione LAN rientra parimenti l elaborazione e la manutenzione del piano di indirizzamento IP globale. Per quanto riguarda la rete WAN vengono gestiti i collegamenti verso i siti di XXX (dati e VoIP) e XXX, nonché il servizio di Accesso Remoto (RAS), descritto nel 1.2.6, a disposizione degli utenti VIP Autenticazione Il servizio di autenticazione è strettamente correlato alle due modalità di accesso dall esterno: via RAS e via VPN; ogni utente che accede usando una di queste due modalità viene autenticato su due server dove è installato Cisco Secure ACS RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 13 di 115 Esterno/Riservato a RTI, AMM, MON

14 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del (Secure Access Control Server) e dove risiedono tutte le utenze personali. Il servizio prevede la creazione, la modifica e la cancellazione delle utenze ed è prevista altresì la possibilità, da parte dell utente, di cambiare la propria password accedendo ad una specifica pagina HTML VoIP (Voice over IP) Il servizio VoIP viene erogato limitatamente ai telefoni delle postazioni del Service Desk, i quali sono collegati al server di Call Manager residente presso la sede di XXX VPN management Il servizio consiste nella implementazione e gestione di reti virtuali private basate sullo standard IPSec. Il servizio viene realizzato mediante dispositivi hardware/software ( Cisco PIX 525 ) che supportano entrambi i protocolli AH (Authentication Header) e ESP (Encapsulating Security Payload) descritti rispettivamente nelle specifiche pubbliche RFC 2402 e RFC Per le esigenze di riservatezza dei dati le operazioni di cifratura fanno impiego dell algoritmo triplo DES, inoltre per la sicurezza delle comunicazioni viene utilizzato il formato ESP anche per la sola autenticazione, la creazione e la negoziazione delle associazioni di sicurezza (SA, Security Association) del sistema IPSec sono garantite attraverso i meccanismi identificati dal protocollo Internet Key Exchange (IKE) (autenticazione mediante segreto condiviso (pre-shared key). La modalità di connessione è quella per l accesso remoto (host esterno-gateway). I VPN gateway su cui è basato il servizio integrano schemi di autenticazione con identificazione personale attraverso meccanismi di autenticazione ( server Tacacs+ ) Firewall management Il servizio consiste nella implementazione e gestione di sistemi di firewalling Un network firewall rappresenta una configurazione hardware/software che realizza uno o più sistemi che vengono interposti tra almeno una coppia di sottoreti IP di cui almeno una fidata e una ritenuta non fidata. Esso offre protezione analizzando e filtrando all occorrenza tutto il traffico che transita tra le reti tra cui è interposto Intrusion Prevention System management Il servizio consiste nella implementazione e gestione di sistemi di rilevamento delle intrusioni il cui funzionamento si basa sulla capacità di analizzare il traffico in rete. Il servizio consente di: proteggere i beni informatici; RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 14 di 115 Esterno/Riservato a RTI, AMM, MON

15 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del identificare e correggere eventuali vulnerabilità della rete in tempi brevi; raccogliere e conservare tracce accurate degli avvenuti attacchi allo scopo di favorire l individuazione degli autori dell attacco e come deterrente per scoraggiare ulteriori azioni ostili. Gli obiettivi specifici del servizio di IPS management sono: ottenere informazioni sugli eventi di attacco da una o più sorgenti di informazione effettuare un'analisi predeterminata degli eventi rilevati; generare una notifica specifica a fronte della identificazione di un evento di attacco Network Address Translation management Il servizio consiste nella progettazione, implementazione e gestione di regole di traduzione di indirizzi IP configurati all interno dell infrastruttura di rete del cliente. Il Network Address Translation (NAT) è un procedimento che consente di convertire l indirizzo IP sorgente di un datagramma IP in un altro indirizzo IP. Il suo maggiore utilizzo è quello di convertire indirizzi IP privati o pubblici utilizzati in maniera illegale all interno di una organizzazione in indirizzi IP pubblici legali per la navigazione sulla rete Internet. Tuttavia il NAT viene spesso configurato anche per altri scopi: risolvere problemi di sovrapposizione di piani di indirizzamento, quando si connettono reti distinte tra loro per mezzo di firewall/router nascondere i dettagli dell indirizzamento utilizzato all interno di una rete quando ci si connette da quella rete verso altre reti ritenute non fidate; risparmiare sui costi di acquisto di indirizzi IP pubblici legali, quando si intende interconnettere la propria rete ad Internet Event & Log monitoring Il servizio provvede alla raccolta, verifica, correlazione, analisi e storicizzazione degli allarmi generati e delle informazioni raccolte nei file di log dalle piattaforme caratterizzanti il sistema di sicurezza di cui dispone il cliente. Riuscendo a correlare tra loro eventi ed informazioni provenienti da sistemi/architetture differenti, il servizio di Event & Log monitoring permette di realizzare un cruscotto attraverso il quale monitorare il livello di sicurezza raggiunto all interno dell organizzazione del cliente e prevenire e/o contrastare attacchi provenienti dall esterno. Gli obiettivi del servizio sono quelli di fornire al cliente uno strumento utile per: implementare i controlli imposti per rispettare il livello minimo di sicurezza del MPI; misurare il livello di sicurezza raggiunto sul proprio Sistema Informativo; effettuare tutte le attività di investigazione sui sistemi in rete necessarie alla gestione degli incidenti informatici. RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 15 di 115 Esterno/Riservato a RTI, AMM, MON

16 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del Antivirus & Content Filtering management Il servizio consiste nella implementazione e gestione di un sistema di protezione del Sistema Informativo del cliente da codice dannoso, da spamming e da attacchi veicolati tramite il protocollo http. Con il termine " codice dannoso " si intende qualsiasi tipologia di codice software eseguibile (Virus, Worm, Cavallo di Troia, altro tipo di codice dannoso) che può provocare danni all'ambiente Informatico del cliente in modo intenzionale o non intenzionale. RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 16 di 115 Esterno/Riservato a RTI, AMM, MON

17 Architettura Ed.3 Rev. 0/ SDE-ITO.ARC-ArchitetturaCEDMPI L infrastruttura del Portale SIDI 3.1 Ambienti elaborativi Nell ambito della gestione del ciclo di vita del software applicativo gli ambienti individuati sul portale SIDI sono i seguenti. Test rappresenta l ambiente nel quale una volta terminata la fase di sviluppo, vengono trasferite le applicazioni. In quest ambito si effettuano prima una serie di test funzionali e di integrazione approfonditi. In genere questo ambiente comprende la dotazione completa del software di base e del software applicativo, ed una piccola parte della base dati, in modo da permettere la verifica dell impatto delle modifiche e delle nuove implementazioni, sul resto delle applicazioni dello stesso progetto. Collaudo - in questo ambiente viene effettuato il test integrato del software prodotto in funzione delle esigenze del progetto; in questa fase si simula l attività utente nell utilizzo della funzionalità realizzata, e si verifica che questa corrisponda effettivamente alle specifiche fornite, e non abbia impatti negativi sul resto delle funzionalità disponibili. In questo stesso ambiente vengono effettuati gli stress test in cui si verificano le prestazioni degli oggetti realizzati dal punto di vista della capacità dei sistemi e delle applicazioni di assorbire il carico atteso senza presentare degradi con il passare del tempo. Questo ambiente deve avere le seguenti caratteristiche: dotazione hardware quanto più possibile simile a quella definita per l ambiente di esercizio. software di sistema e di prodotti programma identici a quelli dell esercizio base dati con struttura identica a quella definitiva dell esercizio e dimensionamento se non uguale, almeno dello stesso ordine di grandezza. Correzione - L area applicativa effettua in questo ambiente l attività di correttiva veloce, dove si apportano correzioni semplici ad oggetti software già presenti in ambiente di esercizio. Produzione (Esercizio) in questo ambiente viene rilasciato il software collaudato, necessario all erogazione delle applicazioni all utente finale Considerando questi ambienti come l utilizzo di componenti hw e sw opportunamente configurati, si può rappresentare il ciclo di vita del Software Applicativo, come in figura: RTI : HP ES Auselda AED Group - Accenture Pagina 17 di 115

18 Architettura Ed.4 Rev. 0/ Architettura degli ambienti elaborativi del Centro di Elaborazione Dati del + Fig. 3.1.a Nel seguito verrà descritta a titolo esemplificativo l architettura ed i sistemi di elaborazione costituenti l ambiente di Esercizio. Vengono omessi dettagli sugli altri ambienti in quanto dal punto di vista dell architettura e della configurazione HW e SW adottata sono analoghi a quello di Esercizio. 3.2 L architettura Di seguito si riporta lo schema architetturale di riferimento per il Portale SIDI. RTI : HP Enterprise Services Italia Auselda AED Group - Accenture Pagina 18 di 115 Esterno/Riservato a RTI, AMM, MON

19 Architettura Ed.3 Rev. 0/ SDE-ITO.ARC-ArchitetturaCEDMPI-3.0 Fig. 3.2.a RTI : HP ES Auselda AED Group - Accenture Pagina 19 di 115

20 Architettura Ed.3 Rev. 0/ SDE-ITO.ARC-ArchitetturaCEDMPI-3.0 In tale schema si possono distinguere i seguenti sistemi di elaborazione: DISPATCHER_ESE_SIDI_FRONT_END DISPATCHER_ESE_SIDI_BACK_END WCACHE_ESE_SIDI SSO_ESE_SIDI OC4Ji_ESE_SIDI OC4J_FD_ESE_SIDI PORTAL_ESE_SIDI BI_ESE_SIDI, BI2_ESE_SIDI OID_ESE_SIDI BPEL_ESE_SIDI, BPEL_FORM_ESE_SIDI GRID_ESE_SIDI AUTOSYS_ESE_SIDI MIDEBS_ESE_SIDI NFSDB_ESE_SIDI DB_EBS_ESE_SIDI DBINFRA_ESE_SIDI DBDATI_ESE_SIDI DBFORM_ESE_SIDI SIA_ESE_SIDI XFRAME_ESE_SIDI ETRUST_ESE_SIDI FORM_EBS_ESE_SIDI FORM_ESE_SIDI Rassegna Stampa Nei paragrafi seguenti vengono descritte le caratteristiche salienti di ognuno dei sistemi sopra riportati. 3.3 I sistemi di elaborazione ed i flussi dei servizi Sistema di elaborazione DISPATCHER_ESE_SIDI_FRONT_END RTI : HP ES Auselda AED Group - Accenture Pagina 20 di 115

21 All'interno della infrastruttura SIDI, tale sistema, costituito da due nodi e configurato in Alta Disponibilità, costituisce l entry point per il traffico di richieste provenienti sia da Internet che dalla Intranet per l accesso al Servizio Utente Portale SIDI In particolare il sistema a seconda del protocollo e della funzionalità interessata, reindirizza in bilanciamento di carico la richiesta sui sistemi di elaborazione preposti e cioè: al sistema di elaborazione SSO_ESE_SIDI per richieste di autenticazione in https; al sistema di elaborazione WCACHE_ESE_SIDI per richieste di accesso alle applicazioni java in https ovvero in http Il software preposto alle funzioni di load balancing è Linux Virtual Server; è un software opensource per la gestione del sottosistema di networking del kernel che realizza il bilanciamento di carico (rif. URL: Il meccanismo di fail over è garantito dai software Linux mon e heartbeat che gestiscono i meccanismi di switch dei servizi di bilanciamento di carico da un nodo all altro in caso di failure di uno dei due Sistema di elaborazione DISPATCHER_ESE_SIDI_BACK_END Il sistema, anch esso come il dispatcher di front-end costituito da due nodi e configurato in Alta Disponibilità, gestisce il bilanciamento di carico delle richieste dirette ai sistemi GRID_ESE_SIDI e OID_ESE_SIDI. Le richieste dirette al sistema GRID_ESE_SIDI riguardano accessi in http verso la console dell infrastruttura di monitoraggio mentre le richieste dirette al sistema OID_ESE_SIDI riguardano gli accessi LDAP al direttorio Oracle dove sono memorizzate le informazioni degli utenti del Portale e dei profili di primo livello. I software installati sui nodi del sistema di elaborazione sono Linux Virtual Server per il bilanciamento di carico, mon e heartbeat per la gestione del failover Sistema di elaborazione WCACHE_ESE_SIDI Il sistema è costituito da un cluster Oracle di n nodi su ciascuno dei quali è installata e configurata una Oracle Web Cache versione , ossia la soluzione Oracle per implementare il reverse proxy. Rispetto ad altri programmi di cache la WebCache di OAS si differenzia poiche' ottimizzata per il caching di oggetti dinamici su DB. In questo modo non e' necessario effettuare un nuovo accesso e la pagina contenuta in cache viene immediatamente restituita all'utente finale se non sono cambiati i dati sul DB. L'implementazione di tale meccanismo richiede uno scambio di informazioni verso la web cache con messaggi di Invalidation a fronte di modifiche sui dati Tale architettura si occupa principalmente di: servire le richieste dei client come gateway verso l'infrastruttura di BackEnd RTI : HP ES Auselda AED Group - Accenture Pagina 21 di 115

22 fornire direttamente i contenuti validi in cache senza effettuare richieste al BackEnd effettuare load balancing verso gli application server di BackEnd secondo le regole impostate. Nella figura seguente si riporta lo schema tipico di un'architettura basata su Web Cache. Fig a Sistema di elaborazione SSO_ESE_SIDI Il sistema Oracle Single Sign-On è costituito da un cluster a n nodi nel layer di FrontEnd ed ha il compito di permettere l'utilizzo di un singolo login per accedere ai servizi dislocati nell'architettura Oracle Application Server. Eventualmente è possibile integrare in Oracle SSO anche applicazioni esterne. Le applicazioni installate in Oracle AS (dette partner applications ) sono opportunamente configurate per delegare l'autenticazione degli utenti al Server SSO. RTI : HP ES Auselda AED Group - Accenture Pagina 22 di 115

23 Un modulo di autenticazione, chiamato mod_osso, consente a queste applicazioni di reperire le informazioni di autenticazione di un utente al posto di username e password, una volta che questo utente abbia fatto il login sul server SSO. Il repository del server SSO è Oracle Internet Directory (OID), descritto più avanti, che consiste in un server LDAP e che fornisce alle applicazioni gli attributi per validare gli utenti tramite un meccanismo chiamato JAZN (Java AuthoriZatioN). Di seguito è riportato lo schema del funzionamento del server SSO nel caso in cui un client richieda l'accesso ad una partner application. 1. L'utente prova ad accedere all'applicazione. 2. Non essendo autenticato, l'utente viene ridirezionato verso il server SSO, il quale richiede il login. Dopo aver verificato le credenziali dell'utente su OID, il server SSO passa queste credenziali all'applicazione. 3. L'applicazione risponde all'utente con i contenuti richiesti. Fig a Sistemi di elaborazione OC4J_ESE_SIDI RTI : HP ES Auselda AED Group - Accenture Pagina 23 di 115

24 Dislocati in un'architettura di 6 cluster da n nodi ciascuno, gli OC4J rappresentano il modulo centrale del middleware Oracle sul SIDI. OC4J è il container J2EE su cui viene effettuato il deploy delle applicazioni e fornisce un'implementazione J2EE 1.3 con web container per il supporto di JSP (trasformazione ed esecuzione nel Servlet engine) ed EJB container. Ogni nodo ospita una o più istanze del container OC4J ed una istanza di Oracle HTTP Server (OHS è una versione personalizzata del web server Apache. Si tratta di un web server con funzionalita' assai complete (eg. virtual host, SSL, CGI,...) Oltre ai moduli standard di Apache sono presenti moduli specifici realizzati da Oracle quali il mod_plsql per accedere ai package PL/SQL, mod_osso per l'aggancio al Single Sign- On (SSO), mod_oc4j per il dialogo AJP con il Java Container OC4J) OHS effettua il dispatching delle richieste (provenienti dalla Web Cache) indifferentemente sugli OC4J dei vari nodi del cluster Sistema di elaborazione OC4J_FD_ESE_SIDI È un modulo applicativo OC4J posto sul layer di FrontEnd per esigenze di accessibilità WAN da parte dell'applicazione Firma Digitale. Per informazioni su OC4J vedere il paragrafo precedente Sistema di elaborazione PORTAL_ESE_SIDI Oracle AS Portal è un container per la gestione di portali. L'architettura SIDI si avvale di n nodi Portal bilanciati da Web Cache. Per la sua natura di gestione contenuti, Oracle AS Portal non è clusterizzabile. Ogni nodo Portal è costituito fisicamente da una serie di applicazioni preinstallate su una particolare istanza dedicata di OC4J (OC4J_Portal), un HTTP server (Apache) ed una Web Cache per il caching dei contenuti. È, inoltre, prevista l'integrazione dei contenuti statici con contenuti dinamici forniti da diversi provider. Nel caso del SIDI, Oracle Portal fa da punto di accesso e di aggregazione fra le varie applicazioni, attraverso due sezioni: una statica, composta da contenuti redazionali, ed una dinamica, rappresentata da un menu costruito in base al profilo dell'utente. Il menu, in particolare, è implementato da una portlet installata sulle istanze OC4J_Portal, che reperisce su OID i dati sulle applicazioni alle quali l'utente è autorizzato. RTI : HP ES Auselda AED Group - Accenture Pagina 24 di 115

25 3.3.8 Sistemi di elaborazione BI_ESE_SIDI e BI2_ESE_SIDI L architettura di Business Intelligence è composta da due cluster di due nodi ciascuno, sono dedicati al prodotto Oracle Business Intelligence (BI), un servizio di reportistica basato su application server Oracle OC4J e sui prodotti Oracle Reports ed Oracle Discovever. Alcune applicazioni installate sullo strato OC4J (J2EE container) utilizzano i servizi Oracle Reports e Discoverer esposti dal pacchetto BI Sistema di elaborazione OID_ESE_SIDI Oracle Internet Directory (OID) è il server LDAP di Oracle e contiene le directory del realm del SIDI oltre a molti dati di configurazione dell'infrastruttura Oracle AS. Si tratta, in realtà, di un'interfaccia LDAP in java con repository su database di infrastruttura Oracle (vedi DBINFRA_ESE_SIDI). Nell'ambito dell'architettura SIDI l'implementazione OID è realizzata da un cluster a 4 nodi con repository comune su DB. Su uno dei quattro nodi è in azione l'agente di sincronizzazione con i servizi EBS, il quale si occupa, fra le altre cose, di allineare la base dati utenze con il database applicativo di E-Business Suite Sistemi di elaborazione BPEL_ESE_SIDI e BPEL_FORM_ESE_SIDI Oracle BPEL Process Manager è un motore di workflow ed è un componente fondamentale della soluzione SOA (Service Oriented Architecture) di Oracle. Attualmente lo scenario di utilizzo di BPEL Process Manager nell ambito del SIDI è il seguente: si usa il motore BPEL soltanto come orchestratore di processi al servizio di altre applicazioni SIDI, e non si usano le funzionalità degli altri prodotti della SOA Suite come ad esempio l Enterprise Service Bus o gli adapter gli utenti finali non si interfacciano direttamente con BPEL il motore BPEL non viene invocato tramite web-services, ma attraverso appositi EJB di interfaccia sviluppati ad hoc e deployati sull OC4J su cui si installa BPEL stesso l applicazione che utilizzerà i servizi di BPEL (AOL) verrà distribuita su OC4J e sarà completamente integrata col resto del SIDI (ad es. webcache, Single Sign On, ecc.); l applicazione chiama gli EJB di interfaccia con BPEL installati sulla BPEL viene utilizzato usato anche per interfacciarsi coi web-services esposti dall applicazione TTS Nell'ambito dell'infrastruttura SIDI di produzione, il sistema BPEL è installato su un cluster OC4J a due nodi dedicato a fornire servizi sia a scopo formativo (BPEL_FORM_ESE_SIDI) sia di esercizio (BPEL_ESE_SIDI). RTI : HP ES Auselda AED Group - Accenture Pagina 25 di 115

26 Sistema di elaborazione GRID_ESE_SIDI Oracle Enterprise Manager è una soluzione integrata per l'amministrazione, il funzionamento ed il controllo delle applicazioni e dei sistemi. Oracle Enterprise Manager 10g Release 3 Grid Control permette la gestione e l automazione dell infrastruttura ORACLE di Front-End (WebCache ed SSO), di Middle-Tier (OC4J, Portal, OID, BI, BPEL, EBS) e di DBMS. Inoltre può estende tale gestione verso strutture e framework middleware basati su applicazioni e su prodotti non forniti da Oracle. L infrastruttura SIDI Oracle Grid è composta da un cluster di due nodi in load balancing. Tale load balancing è assicurato dall infrastruttura DISPATCHER_ESE_SIDI_BACK_END. Il Cluster Grid Control effettua un monitoraggio dei sistemi SIDI ove è installato il prodotto Oracle Grid Agent. Tale sistema cluster raccoglie gli eventi dai server dove è installato l Agent e li colleziona su un DB Oracle, inoltre espone tali eventi per il monitoraggio e per i report tramite un interfaccia WEB Sistema di elaborazione AUTOSYS_ESE_SIDI L infrastruttura autosys_ese_sidi è composta da un cluster di due nodi in alta affidabilità. Su tali sistemi sono installati i seguenti software: Software clustering RedHat Cluster Suite , permette la gestione del servizio di alta affidabilità Software di scheduling CA UnicenterNSM AutoSys Job Management 4.5 Software DBMS Oracle DataBase Enterprise Edition A tale infrastruttura è demandata la gestione dei JOB di schedulazione dell infrastruttura SIDI di backend, inoltre il cluster dispone di un servizio NFS per l export di volumi sui server applicativi come repository degli script di batch e da un area temporanea per lo scambio di dati tra più applicazioni (DWH, SIDILEARN) Sistema di elaborazione MIDEBS_ESE_SIDI RTI : HP ES Auselda AED Group - Accenture Pagina 26 di 115

27 Oracle E-Business Suite è una suite di applicazioni completamente integrata e suddivisa in moduli per funzioni di Business. I moduli possono essere utilizzari singolarmente, indipendentemente uno dall altro. L architettura SIDI è composta da un cluster applicativo di tre nodi in alta affidabilità, l alta affidabilità è garantita dai processi applicativi del prodotto stesso, in ambito SIDI la versione utilizzata è la 11i Release con i prodotti Web, Form, Discoverer e Report Sistema di elaborazione NFSDB_ESE_SIDI L infrastruttura NFSDB_ese_sidi è composta da un cluster di due nodi in alta affidabilità. Su tali sistemi è installato il software di clustering RedHat Cluster Suite che permette la gestione del servizio di alta affidabilità Il cluster dispone di un servizio NFS per l export di volumi sui server DBMS come repository degli script di batch da eseguire sui nodi DBMS e da un area temporanea per lo scambio di dati tra più applicazioni Sistemi di elaborazione DBINFRA_ESE_SIDI, DBDATI_ESE_SIDI, DB_EBS_ESE_SIDI, DBFORM_ESE_SIDI Sono i sistemi cluster DB in Real Application Cluster preposti all erogazione dei servizi di accesso ai dati.. Il cluster DBINFRA gestice gli accessi al database di configurazione dell infrastruttura e storicizza i dati statistici rilevati dalla Oracle Grid. I cluster DBDATI e DBEBS gestiscono i dati acceduti dalle applicazioni. DBFORM_ESE_SIDI è costituito da un nodo singolo ed è dedicato alle applicazioni con scopo formativo. Oracle Real Application Clusters e l estensione multinodo di Oracle 10g Database Server e consente di creare dei database paralleli ad alta scalabilita e affidabilita. Real Application Clusters deve essere installato su un hardware cluster. Un cluster e un gruppo di server indipendenti (nodi oppure partizioni o domini di sistemi fisicamente partizionabili), che condividono un insieme di risorse. I componenti primari del cluster sono i nodi che contengono processori e RAM, il cluster interconnect, e un sottosistema dischi condiviso. I nodi condividono gli accessi al sottosistema dischi, ma non CPU e memoria. RAC combina la memoria di ciscun singolo nodo per fornire un unica visione della cache memory distribuita per l intero database system (cache fusion). Ciascun nodo ha la sua memoria dedicata cosi come il suo sistema operativo e la sua istanza Oracle attiva. RTI : HP ES Auselda AED Group - Accenture Pagina 27 di 115

28 Fig a Oracle10g RAC consente di aggiungere a caldo nodi al cluster quando la capacita necessaria aumenta, scalando il sistema in maniera orizzontale con rateo praticamente lineare (80 90 % secondo benchmarks su un tipico OLTP). Si riducono cosi gli investimenti iniziali dell hardware, nel momento in cui il capacity planning tipicamente non puo essere altro che una stima. La tecnologia Cache Fusion implementata in Oracle Real Application Clusters permette di aumentare la potenza elaborativa dei sistemi in maniera quasi lineare indipendentemente dall applicazione che utilizza il DBMS. Ciascun utilizzatore della base dati, beneficia delle informazioni presenti nelle cache memory (SGA) di tutte le istanze Oracle attive sui diversi nodi, riducendo al minimo indispensabile la necessita di richiedere blocchi dati dai dischi e minimizzando quindi le dispendiose operazioni di I/O. Le attivita di coordinamento delle SGA, e di trasferimento dei DB blocks tra le istanze, avvengono esclusivamente attraverso il canale privato di interconnessione del cluster (high speed link/interconnect), di conseguenza tale apparato hardware deve rispettare requisiti di bassa latenza ed elevata capacita di banda di segnale passante. Gli utenti connessi ad Oracle RAC vengono automaticamente rediretti ai nodi piu scarichi implementando vari meccanismi di load balancing tra i nodi del sistema. Un altro vantaggio fondamentale dell architettura cluster e la funzionalita di fault tolerance ereditata implicitamente dalle sue caratteristiche originarie, derivanti dall utilizzo contemporaneo di piu nodi. RTI : HP ES Auselda AED Group - Accenture Pagina 28 di 115

29 Dato che ciascun nodo fisico lavora in maniera indipendente, la caduta di uno o piu nodi del cluster non pregiudica il funzionamento del cluster stesso. Nel caso estremo, un cluster system puo essere ancora disponibile quando tutti i nodi tranne uno si spengono, realizzando il fatto che: un sistema informativo su un cluster e altamente disponibile. La caduta di un nodo di un sistema RAC comporta la riconnessione di tutti gli utenti precedentemente attestati al nodo failed. Questa attivita di riconnessione ai nodi superstiti viene di fatto realizzata automaticamente dal modulo Transparent application Failover (TAF) associato ad Oracle10g RAC.. Essendo il database installato su dischi shared tra i vari nodi del cluster, la caduta di un nodo e quindi dell istanza su esso attiva, non comportera la ripartenza del database in quanto gia attivo e sincronizzato sulle istanze sopravvissute. Con RAC quindi, non si parla di ripartenza a caldo ma di continuita di servizio. L architettura permette inoltre di mettere una parte dei nodi off-line per manutenzione, mentre il resto del cluster continua a fornire servizi online Sistema di elaborazione SIA_ESE_SIDI Vedi capitolo Sistema di elaborazione XFRAME_ESE_SIDI E il sistema di elaborazione dedicato ad ospitare i batch convertiti da piattaforma JCL-Cobol-DB2 a piattaforma Shell linux-cobol-oracle. Tali batch vengono schedulati dal cluster Autosys verso i nodi XFrame Sistema di elaborazione ETRUST_ESE_SIDI E il sistema di elaborazione dedicato alla gestione centralizzata delle utenze basato su piattaforma CA ETrust. I server componenti tale sistema sono deputati all erogazione del provisioning delle utenze verso il sistema target OID e dell applicazione di change password centralizzata disponibile dal link portale.pubblica.istruzione.it Sistema di elaborazione FORM_EBS_ESE_SIDI E il sistema deicato all erogazione delle funzionalità Oracle EBS Mid Tier a scopo formativo Sistema di elaborazione FORM_ESE_SIDI E il sistema dedicato all erogazione delle funzionalità Oracle OC4J a scopo formativo. RTI : HP ES Auselda AED Group - Accenture Pagina 29 di 115

30 Sistema di elaborazione Rassegna Stampa E il sistema dedicato all erogazione del sito della Rassegna Stampa del Ministero della pubblica Istruzione il cui accesso è determinato dal sito istituzionale Tale sistema è composto da due server in cluster IIS/SQL Server integrato con l infrastruttura Active Directory. L accesso tramite http al sistema di pubblicazione avviene tramite il sistema di elaborazione Oracle Web Cache presente sul livello di front end del SIDI. RTI : HP ES Auselda AED Group - Accenture Pagina 30 di 115

31 4 L Infrastruttura SIA 4.1 L Architettura Di seguito lo schema funzionale dell architettura SIA: Interdom inio SH A STA ARCHITETTURA SIA Pas-I Tunnel GRE - IP Potocol 47 C om ponenti SIA C liente Server Applicativo (FAP) Rete Interna SVT NA T RETE SIA Rete Cliente Firew all Cliente Rete Collegamenti Esterni Https Rete Interna FEM SI FAP porte 20700/ W orkstation Fig. 4.1.a In tale schema si possono distinguere due aree funzionale la prima ospitante i sistemi SIA e la seconda ospitante i sistemi in carico all RTI 4.2 I sistemi di elaborazione ed i flussi dei servizi Il sistema in gestione all RTI (SISA_ESE_SIDI) è quello etichettato nella struttura come Server Applicativo (FAP). Questo è un server su piattaforma Microsoft Windows 2003, su cui è stato installato il software proprietario FAP. Il server comunica attraverso le porte e tra il server Applicativo ed il server FEMSI, atto a ricevere e spedire file fra le varie amministrazioni configurate. RTI : HP ES Auselda AED Group - Accenture Pagina 31 di 115

32 Il trasporto avviene tramite code EAS. Le code EAS inviano EAS Message (protocollo di comando e controllo). I programmi compilano gli EAS messages e li inseriscono nelle code attraverso l I/F SIAcomIP. SIAcomIP è un canale di comunicazione tra FEMSI e FAP. La gestione del server FEMSI è effettuata attraverso protocollo https sulla porta 443, solo previa installazione di un certificato digitale. FAP utilizza un DB proprietario per registrare le informazioni e mantenere lo stato delle operazioni. Sul Server FAP è inoltre presente il software SSH, utile per il trasferimento dei files sullo stesso in maniera sicura tramite protocolo scp. RTI : HP ES Auselda AED Group - Accenture Pagina 32 di 115

33 5 L Infrastruttura di Posta Elettronica LINUX 5.1 L architettura Il servizio di posta elettronica si avvale di sistemi e componenti, anche esterni al sistema di posta elettronica, dalle quali dipende in maniera più o meno sistematica, come ad esempio: la connettività di rete Internet/intranet, il servizio DNS pubblico e privato ed il servizio di directory LDAP. Nel presente capitolo si intende descrivere il sistema di posta elettronica in cui è utilizzata una tecnologia Opensource, in maniera svincolata rispetto alle interazioni esistenti con gli altri sistemi, che utilizzano invece una tecnologia proprietaria (Microsoft), occupandosi di descrivere i flussi di funzionamento esistenti a livello logico tra i componenti hardware e software dell architettura. Le componenti basate su software Microsoft sono citate unicamente per completezza di descrizione; esse riguardano esclusivamente il sistema di posta elettronica per gli utenti SIDI (amministrativi) e sono descritte nel successivo capitolo 6. Il sistema di posta elettronica, relativamente al dominio istruzione.it, raccoglie le seguenti tipologie di utenti: Utenti SIDI (Amministrazione e scuole) Utenti Standard (Docenti, ATA) L architettura che eroga il servizio in oggetto si basa su apparati e sistemi appartenenti a diverse componenti: una componente comprendente: dispositivi di rete, dispositivi di sicurezza, directory server master, DNS server master, NTP server, sistema di backup, sistema di monitoraggio; una componente di load balancing collocata nella DMZ di front-end dedicata alla PE; una componente LDAP di front-end dedicata alla PE comprendente i server per erogazione del servizio elenchi in linea, del servizio di Directory necessario al funzionamento dei prodotti software e del servizio di name resolution (DNS slave). una componente specifica per il sistema di posta elettronica degli utenti SIDI (Amministrativi) comprendente in particolare i servizi di Active Directory e di name resolution (DSN, WINS). una componente di front-end dedicata alla WebMail, comprendente i sistemi che erogano il servizio http/https; una componente di front-end SMTP con funzionalità di Mail Exchanger; una componente di front-end SMTP con funzionalità di Mail Relay, MailGateway, Front-End MAPI e proxy POP3/IMAP4; RTI : HP ES Auselda AED Group - Accenture Pagina 33 di 115

34 una componente di back-end comprendente i mailbox server in configurazione Cluster-HA. A parte la componente comune al SIDI (realizzata con apparati appartenenti a diverse DMZ), i sistemi facenti parte del servizio sono localizzati in aree demilitarizzate (DMZ) realizzate appositamente per ospitare tutti i sistemi di Posta Elettronica del MPI. DMZ Front-End DMZ Back-End DMZ MailGW DMZ Server Infrastrutturali DMZ Front-End Amministrativi Come accennato precedentemente, questa particolare collocazione garantisce un elevato livello di sicurezza, isolando i sistemi accedibili da Internet o dalla Intranet, dai sistemi che accedono direttamente ai dati. RTI : HP ES Auselda AED Group - Accenture Pagina 34 di 115

35 Fig. 5.1.a Per quanto concerne la configurazione HW e SW dei sistemi di elaborazione caratterizzanti le componenti sopra descritte è basata su sistemi SUN 4100 e V40 e software Postfix/SquirrelMail RTI : HP ES Auselda AED Group - Accenture Pagina 35 di 115

36 5.2 I sistemi di elaborazione I servizi di posta elettronica sono erogati mediante software installato su componenti hardware opportunamente dimensionati. Il dimensionamento è stato studiato in modo da privilegiare, quanto più possibile, la scalabilità orizzontale rispetto alla scalabilità verticale. L architettura che ne deriva è illustrata nella figura che segue : Fig. 5.2.a Nella figura i collegamenti tra i diversi sistemi di elaborazione indicano le interazioni esistenti tra di essi. Di seguito una breve descrizione dei sistemi di elaborazione. LB: Load Balancer, sono server di fascia media che realizzano il bilanciamento di carico con monitoraggio proattivo dei servizi. MX: Mail Exchanger, pool di server di fascia media che realizzano il dispatching dei messaggi di posta verso i diversi Mailbox server, con funzionalità di antivirus e antispam. RTI : HP ES Auselda AED Group - Accenture Pagina 36 di 115

37 WEBMAIL: pool di server di fascia media per l erogazione dei servizi di Web Server. MAIL GATEWAY: sistema in cluster formato da server di fascia alta con le funzionalità di gateway tra i sistemi Exchange (Posta amministrativa) e i sistemi Linux (Posta Docenti,Ata, Scuole,Internet). SMPT/RELAY: pool di server di fascia media, utilizzati dai client come server SMTP di invio, e come proxy server per i protocolli POP3 e IMAP4. LDAP Slave: pool di server di fascia media eroga il servizio di Directory a tutti i sistemi dell infrastruttura di posta. LDAP Master: sistema in cluster formato da server di fascia alta con le funzionalità di Master LDAP che fornisce il database per l autenticazione delle utenze di posta, per tutti gli utenti appartenenti al dominio istruzione.it. FRONT-END AMMINISTRATIVI: server di fascia media Microsoft Exchange Server dedicati a fornire l accesso alle mailbox utilizzando protocolli standard Internet (SMTP, POP3, IMAP4, HTTP/S). L architettura di dettaglio è descrittà nel capitolo 15. MAILBOX AMMINISTRATIVI: cluster HA Microsoft Exchange Server composto da server di fascia alta contenente le mailbox di tutti gli utenti Amministrativi. Tali server forniscono l accesso ai client di posta configurati con il protocollo MAPI (configurazione standard prevista per le PdL degli Uffici Centrali e Periferici). L architettura di dettaglio è descrittà nel capitolo 15. MAILBOX DOCENTI/ATA: cluster HA composto da contenente le mailbox di tutti gli utenti Standard. server di fascia alta MAILBOX SCUOLE : cluster HA composto da server di fascia alta contenente le mailbox degli utenti SIDI appartenenti alle istituzioni scolastiche. STORAGE: per lo spazio disco viene utilizzato lo storage EMC DMX3 di fascia enterprise in Storage Area Network (rif. Capitolo 16) RTI : HP ES Auselda AED Group - Accenture Pagina 37 di 115

38 5.3 I flussi dei servizi I flussi di erogazione tra i diversi sistemi di elaborazione vengono di seguito descritti diversificandoli in funzione del servizio erogato/fruito Webmail Accesso alle caselle di posta Nella figura che segue è riportato la schematizzazione del flusso informativo relativo al servizio WebMail accedibile da Internet/Intranet tramite protocollo HTTP(s) L applicazione Squirrelmail consente l accesso alla mailbox utente ed alle altre funzioni, tipicamente fruibili tramite client quali outlook, mozilla, etc., per mezzo di browser web. Tali accessi vengono indirizzati dai load balancer su uno dei server che compongono il pool dei sistemi web. In seguito ad autenticazione essi possono accedere al servizio web di posta elettronica. Fig a RTI : HP ES Auselda AED Group - Accenture Pagina 38 di 115

39 Le mailbox utente sono ospitate su diversi server di back-end opportunamente ridondati. Squirrelmail effettua la fetch della dai server di back-end, tramite proxy IMAP (anch esso opportunamente ridondato). Il proxy provvede, per mezzo di query LDAP, a ottenere l'hostname (mailhost) del server ove è definita la mailbox utente e quindi a re-indirizzare la connessione IMAP proveniente da Squirrelmail su detto server. Questo tipo di soluzione consente di scalare orizzontalmente i mailbox server connessi a SAN Invio di messaggi tramite SMTP Squirrelmail utilizza il protocollo SMTP sia per inviare le agli utenti del dominio istruzione.it (Docenti/ATA, scuole, amministrativi) sia per inviare le a tutti gli utenti Internet. L'invio dei messaggi viene effettuato utilizzando il servizio di SMTP relay erogato dagli stessi server in pool che ospitano il servizio di Proxy IMAP/POP3. Complessivamente, in caso di invio, bisogna distinguere 3 possibilità: il destinatario appartiene al dominio istruzione.it ed alla categoria SIDI amministrativi ed ha quindi la mailbox su infrastruttura basata su Microsoft Exchange. il destinatario appartiene al dominio istruzione.it ed alla categoria SIDI scuole oppure alla categoria Standard (Docenti/ATA) il destinatario non appartiene al dominio istruzione.it (Internet) SIDI amministrativi Il server SMTP effettua una query LDAP per ricavare l'hostname (mailhost) del server ove risiede la mailbox del destinatario, rileva che trattasi di utente amministrativo ed invia il messaggio ad un MailGateway. Quest'ultimo è un cluster HA che svolge le funzionalità di connettore da/per l'infrastruttura Linux/Opensource e l'infrastruttura Microsoft/Exchange. Il MailGateway, una volta effettuati i controlli sul messaggio e ulteriore scansione Antivirus, provvede ad inoltrarlo all'infrastruttura di Front-End/Routing Exchange. Da quest'ultima il messaggio è inviato al cluster multi-nodo che ospita le mailbox degli utenti Amministrativi. SIDI scuole e Utenti Standard (Docenti/ATA) Il server SMTP effettua una query LDAP per ricavare l'hostname (mailhost) del server ove risiede la mailbox del destinatario ed invia a questo il messaggio in oggetto. Internet In questo caso il messaggio viene inviato dai server SMTP direttamente al Mail Exchanger Internet autoritativo per il dominio del destinatario. Quest'ultimo è ricavato da query DNS di tipo MX. RTI : HP ES Auselda AED Group - Accenture Pagina 39 di 115

40 5.3.2 Accesso in modalità client Accesso alle caselle di posta tramite Servizio POP3/IMAP Nella figura che segue è riportata la schematizzazione del servizio POP3/IMAP che consente l'accesso alla mailbox degli utenti SIDI Scuole e Standard, appartenenti al dominio istruzione.it e provenienti da Internet. Fig a I client degli presenti su Internet si collegano con protocollo POP3/IMAP a degli indirizzi IP pubblici il cui NAT è gestito dai load balancer. Questi ultimi bilanciano le connessioni su un pool di sistemi di Proxy POP3/IMAP. In RTI : HP ES Auselda AED Group - Accenture Pagina 40 di 115

41 seguito ad autenticazione, tramite verifica delle credenziali sulla base dati LDAP, essi possono accedere al servizio POP3/IMAP. Il proxy provvede, per mezzo di query LDAP, a ottenere l'hostname (mailhost) del server ove è definita la mailbox utente e quindi a re-indirizzare la connessione POP3/IMAP su detto server Invio di messaggi tramite Servizio SMTP Nella figura che segue è riportato la schematizzazione del flusso informativo relativo all'invio di messaggi, tramite protocollo SMTP, provenienti dai client del dominio istruzione.it ed indirizzati a qualsiasi dominio. Fig a I client degli presenti su Internet si collegano ad un indirizzo IP pubblico il cui NAT è gestito dai load balancer. Questi ultimi bilanciano le connessioni su un pool di sistemi SMTP. In seguito ad autenticazione, tramite verifica delle credenziali sulla base dati LDAP, essi possono accedere al servizio SMTP relay. Si distinguono anche in questo caso 3 possibilità RTI : HP ES Auselda AED Group - Accenture Pagina 41 di 115

42 il destinatario appartiene al dominio istruzione.it ed alla categoria SIDI amministrativi ed ha quindi la mailbox su infrastruttura basata su Microsoft Exchange il destinatario appartiene al dominio istruzione.it ed alla categoria SIDI scuole oppure Utenti Standard il destinatario non appartiene al dominio istruzione.it (Internet) SIDI amministrativi In questo caso il messaggio viene inviato dai server SMTP ad un MailGateway. Quest'ultimo è un cluster HA che svolge le funzionalità di connettore da/per l'infrastruttura Linux/Opensource e l'infrastruttura Microsoft/Exchange. Il MailGateway, una volta effettuati i controlli sul messaggio e ulteriore scansione Antivirus, provvede ad inoltrarlo all'infrastruttura di Front-End/Routing Exchange. Da quest'ultima il messaggio è inviato al cluster multi-nodo che ospita le mailbox degli utenti Amministrativi. SIDI scuole e Utenti Standard (Docenti/ATA) Il server SMTP effettua una query LDAP per ricavare l'hostname (mailhost) del server ove risiede la mailbox del destinatario, o del server relay di competenza, ed invia a questo il messaggio in oggetto. In questo caso il messaggio viene inviato dai server SMTP direttamente al nodo del cluster HA che ospita la mailbox del destinatario. Internet In questo caso il messaggio viene inviato dai server SMTP direttamente al Mail Exchanger Internet autoritativo per il dominio del destinatario. Quest'ultimo è ricavato da query DNS di tipo MX. RTI : HP ES Auselda AED Group - Accenture Pagina 42 di 115

43 Servizio elenchi in linea Nella figura che segue è riportato il flusso informativo utilizzato per gli Elenchi in linea accedibili da Internet tramite protocollo LDAP. Fig a I client connessi da Internet vengono bilanciati dai load balancer su uno dei server che compongono il pool dei sistemi Ldap Slave. In seguito ad autenticazione essi possono consultare l intera base dati degli utenti PEL. Apposite Access Control List provvedono a limitare le risorse richieste dalle query effettuate dai client al fine di prevenire un uso improprio di questo servizio. Nella figura è evidenziato anche il flusso correlato alla replica dei dati dal server Ldap Master (in configurazione di alta disponibilità) ai server Ldap Slave. RTI : HP ES Auselda AED Group - Accenture Pagina 43 di 115

44 5.3.3 Servizio SMTP: ricezione da domini Internet (non istruzione.it) Nella figura che segue è riportato la schematizzazione del servizio SMTP che consente la ricezione di messaggi indirizzati al dominio istruzione.it e provenienti da domini Internet diversi da istruzione.it. Fig a I server di altri domini presenti su Internet, in caso di invio ad contattano il server corrispondente al Mail Exchanger autoritativo per il dominio istruzione.it. L'IP address di questo server virtuale è gestito dai load balancer che provvedono a bilanciare le connessioni SMTP sui server MX del pool. Il server MX contattato, verifica in prima istanza la presenza dei destinatari sulla base dati LDAP, verifica poi che il messaggio rispetti i parametri configurati sul server, effettua la scansione antivirus e antispam quindi provvede ad effettuare il routing SMTP su base LDAP. In altre parole effettua una query LDAP per ricavare l'hostname RTI : HP ES Auselda AED Group - Accenture Pagina 44 di 115

45 (mailhost) del server ove risiede la mailbox del destinatario, o del server relay di competenza, ed invia a detto server il messaggio in oggetto. Bisogna distinguere 2 casi: il destinatario appartiene alla categoria SIDI amministrativi ed ha quindi la mailbox su infrastruttura basata su Microsoft Exchange il destinatario appartiene alla categoria SIDI scuole oppure alla categoria Utenti Standard (Docenti/ATA) SIDI amministrativi Questa è la situazione in cui il messaggio viene inviato dai server MX ad un MailGateway. Quest'ultimo è un cluster HA che svolge le funzionalità di connettore da/per l'infrastruttura Linux/Opensource e l'infrastruttura Microsoft/Exchange. Il MailGateway, una volta effettuati i controlli sul messaggio e ulteriore scansione Antivirus, provvede ad inoltrarlo all'infrastruttura di Front-End/Routing Exchange. Da quest'ultima il messaggio è inviato al cluster multi-nodo che ospita le mailbox degli utenti SIDI Amministrativi. SIDI scuole oppure Utenti Standard (Docenti/ATA) In questo caso il messaggio viene inviato dai server MX direttamente al nodo del cluster HA che ospita la mailbox del destinatario. RTI : HP ES Auselda AED Group - Accenture Pagina 45 di 115

46 6 L Infrastruttura di Dominio e di Posta Elettronica EXCHANGE 6.1 L Architettura La soluzione proposta si basa su una implementazione del prodotto Microsoft Exchange 2003; la versione attuale di tale prodotto permette la realizzazione di una architettura centralizzata caratterizzata da diverse tipologie di apparati configurati in base alle diverse funzionalità che tali sistemi devono fornire nell ambito dell infrastruttura. Consente inoltre all utente di fruire con il protocollo proprietario MAPI di alcune funzionalità aggiuntive tra cui quella di calendaring. Nel presente capitolo verrà inizilamente descritta l architettura del sistema di posta Exchange che attualmente fornisce il servizio di posta per l utenza amministrativa del dominio istruzione.it e successivamente l architettura dell Active Directory e DNS. Quest ultime sono strettamente correlate a quella di Posta; in particolare una corretta organizzazione ed un esatto dimensionamento di queste risultano propedeutiche alla realizzazione ed ad un corretto funzionamento dell architettura di Posta; pertanto nella breve descrizione che segue di tali infrastrutture l attenzione sarà focalizzata su quegli aspetti dell architettura che risultano condizioni necessarie per una corretta implementazione dell architettura di Exchange Architettura gerarchica del prodotto Microsoft Exchange Server 2003 Microsoft Exchange Server prevede un architettura basata su tre livelli: Organizzazione; Routing ed Administrative Groups Sistemi di elaborazione (Server). L Organizzazione è il livello più elevato e coincide in genere con la struttura aziendale nel suo complesso. I Routing Groups sono insiemi di uno o più server collegati tra loro in rete locale (LAN) o attraverso reti geografiche ad ampia banda, definiti sulla base di considerazioni di ordine geografico. Gli Administrative Groups sono insiemi di uno o più server collegati tra loro in rete locale (LAN) o attraverso reti geografiche ad ampia banda, definiti sulla base di considerazioni di ordine organizzativo ed amministrativo. RTI : HP ES Auselda AED Group - Accenture Pagina 46 di 115

47 I server sono i singoli sistemi di posta che possono svolgere il ruolo di contenitori di cassette postali e cartelle pubbliche e/o funzioni di connessione con altri Siti, Organizzazioni o sistemi di posta che utilizzano prodotti di posta o protocolli di comunicazione diversi da quelli del prodotto (Lotus Notes, SMTP, ) e\o Front End per connessioni client utilizzanti protocolli standard Internet Organizzazione L organizzazione coincide con la parte del Dominio del MPI relativa all utenza di Posta Amministrativa; sarà identificata dal nome MPI. E possibile, tuttavia, individuare un nome diverso, più significativo per l utenza, per la visualizzazione nell Elenco Indirizzi Globale o GAL (Global Address List) accedibile sui client MAPI 1. A tale organizzazione viene associato un dominio di posta di default che coincide inizialmente con il nome del dominio root definito nella struttura di Active Directory; tale nome è modificato nel nome istruzione.it secondo il requisito, stabilito dall amministrazione, che richiede di pubblicare un dominio di posta per tutte le tipologie di utenze del Ministero della Pubblica Istruzione. Per garantire l inoltro di messaggi dagli utenti amministrativi verso le altre tipologie di utenze del dominio istruzione.it, tale dominio di posta è definito, nell ambito dell organizzazione Exchange, come dominio di posta principale ma non autoritativo; in tal modo nel caso di mancato recapito all interno dell organizzazione di un messaggio destinato ad utenza istruzione.it invece di generare un NDR (notifica di mancato recapito) i sistemi Exchange, adibiti a tale funzionalità, inoltreranno lo stesso messaggio verso l architettura Linux che ospita gli utenti non amministrativi del dominio istruzione.it. Nel caso di mancato recapito del messaggio anche nell ambito delle utenze non amministrative sarà cura dei sistemi Linux la generazione, secondo gli standard internet, di un NDR Administrative e Routing Groups 1 I client SMTP/POP3, se configurati opportunamente, possono accedere all Elenco Indirizzi Globale mediante il protocollo LDAP. Ciò consente all utente di effettuare delle query per identificare l indirizzo SMTP del destinatario. RTI : HP ES Auselda AED Group - Accenture Pagina 47 di 115

48 In accordo con le scelte concordate nell implementazione dell architettura di Active Directory si è deciso, anche per l infrastruttura di Posta per gli amministrativi, di sviluppare una architettura centralizzata presso il CED di Monte Porzio Catone. Tutta l utenza presso le sedi distribuite su tutto il territorio nazionale accederà direttamente ai sistemi centrali attraverso una infrastruttura di rete opportunamente dimensionata per fornire il servizio secondo i livelli stabiliti. In tale scenario è sufficiente la definizione di un unico Routing Group; non essendoci, almeno al momento, la necessità di suddividere i compiti amministrativi tra gruppi di server dell organizzazione, si ritiene sufficiente anche un unico Administrative Group. Se sviluppi futuri dell architettura o dei processi gestionali dovessero richiederlo sarà comunque possibile creare ulteriori gruppi di Routing ed Amministrativi e distribuire su di essi i server dell organizzazione Sistemi di elaborazione (Server) Nella definizione dei sistemi server costituenti l architettura di posta atta a fornire servizio agli utenti dell amministrazione del sono stati considerati tre differenti tipologie di soluzioni ed apparati. Per ogni tipologia di sistema è stata effettuata la scelta ritenuta più opportuna in accordo con le funzionalità che tale sistema fornisce nell ambito dell organizzazione Exchange costituente l architettura. All interno dell architettura si individuano tre differenti e ben distinte tipologie di sistemi : sistemi Mailbox Server (Back End); dedicati all inserimento, alla archiviazione ed all accesso dei dati dell utenza sia privati (con accesso consentito unicamente a singolo utente) che pubblici (con accesso consentito alla totalità o a macrogruppi di utenti). L accesso a tali dati può avvenire tramite connessioni dirette da client verso i sistemi Back End (unicamente con protocollo MAPI nella soluzione architetturale proposta) o tramite l ausilio di sistemi Front End dedicati (con tutti gli altri protocolli standard Internet); sistemi per accesso client HTTP/HTTPS/SMTP/POP3/IMAP4 (Front End); dedicati alla gestione delle connessioni dei client di posta (accesso e/o invio messaggi) utilizzanti tali protocolli. Tali sistemi, evitando l accesso client diretto ai sistemi Back End, svolgono nell ambito dell architettura funzionalità importanti sia dal punto di vista prestazionale (alleggerendo i sistemi Mailbox Server dal compito di rispondere alle relative richieste client) che della sicurezza (impedendo l accesso diretto, RTI : HP ES Auselda AED Group - Accenture Pagina 48 di 115

49 soprattutto dai client localizzati su Internet, ai sistemi che ospitano i dati degli utenti); sistemi per smistamento messaggi da e verso l organizzazione (Routing dedicati alla ricezione ed all inoltro, esclusivamente con protocollo SMTP, di messaggi da e verso gli altri sistemi del dominio istruzione.it ed Internet Relativamente al traffico entrante, tali sistemi risultano in grado di inoltrare autonomamente verso le opportune caselle di posta tutti i messaggi corrispondenti a utenti amministrativi esistenti. Per quel che riguarda il traffico uscente, in particolare quello diretto ad utenti non amministrativi del dominio istruzione.it, tali sistemi di routing dovranno appoggiarsi su appositi server, esterni all organizzazione Exchange, in grado di effettuare l inoltro verso gli opportuni Mailbox Server previa opportuna interrogazione alla base dati OpenLDAP. Sgravano inoltre i sistemi di Back End dalla gestione dei messaggi in entrata e/o uscita dall Organizzazione, ove in particolare in uscita per problemi di irraggiungibilità dei server di destinazione si vengano a formare temporaneamente delle code. Tali sistemi consentono inoltre di svolgere una scansione antivirus ed il controllo ed eventuale filtro dei messaggi in base al loro contenuto, se si dispone di un prodotto antivirus adeguato non solo sui messaggi entranti verso l Organizzazione ma anche su quelli sottomessi versi l esterno attraverso i server di Front End Infrastruttura Active Directory e DNS L infrastruttura di Active Directory per il Ministero dell Istruzione, dell Università e della Ricerca prevede la realizzazione di un unica foresta (native mode) ramificata in 3 domini: un dominio root e due domini child. Il dominio root ha il compito principale di garantire l esistenza stessa della struttura della foresta. La creazione di un dominio dedicato offre una serie di vantaggi quali: flessibilità nella gestione da parte degli Amministratori della foresta della membership dei gruppi Universal Enterprise Admins e Schema Admins; il dominio root è isolato dal dominio di risorse. Il primo dominio child è il dominio di logon, ovvero il contesto di sicurezza nel quale si trovano le risorse del MPI (utenti, stampanti, share, mailbox, etc.). Il secondo dominio child è il dominio di gestione, ovvero il contesto di sicurezza nel quale si trovano le risorse di EDS (utenti e gruppi di sicurezza) che amministrano a vario livello il dominio di risorse del MPI. RTI : HP ES Auselda AED Group - Accenture Pagina 49 di 115

50 La creazione di un dominio ad hoc per questa tipologia di utenza ha il vantaggio di poter meglio controllare e stratificare il livello di accesso di questi ultimi alle risorse del dominio di logon. Nella figura 2.1 seguente è rappresentata la struttura della foresta. INF MIUR.INF CGC MGMGT.INF Fig a Organizzazione Foresta MPI Il Dominio inf è il root placeholder ed ha il compito principale di tenere in piedi la struttura della foresta. La creazione di un Dominio ad hoc offre una serie di vantaggi quali: RTI : HP ES Auselda AED Group - Accenture Pagina 50 di 115

51 Flessibilità nella gestione da parte degli amministratori della foresta della membership dei gruppi Universali Enterprise Admins e Schema Admins. Il Dominio root che tiene in piedi la struttura dell intero directory è isolata dal Dominio di risorse. Il Dominio miur.inf è il dominio di logon, ovvero il contesto di sicurezza nel quale si trovano le risorse del MIUR (utenti, stampanti, share, mailbox, etc.). Il Dominio mgmt.inf è il dominio di gestione, ovvero il contesto di sicurezza nel quale si trovano le risorse di EDS (utenti e gruppi di sicurezza) che amministrano a vario livello il dominio di risorse del MIUR. La creazione di un dominio ad hoc per questa tipologia di utenza ha il vantaggio di poter meglio controllare e stratificare il livello di accesso di questi ultimi alle risorse del dominio di logon. Il servizio DNS è fornito da un sottoinsieme dei sistemi dell architettura Active Directory Predisposizione ed integrazione con l architettura Exchange Tutti i sistemi dell architettura di Posta per gli utenti Amministrativi faranno parte del sottodominio riservato alle risorse; dello stesso dominio faranno parte tutte le utenze a cui è associata una mailbox. Le utenze con diritti amministrativi adibite alla gestione amministrativa dell organizzazione Exchange faranno invece parte del sottodominio di amministrazione. Per un corretto funzionamento dell architettura Exchange, con prestazioni adeguate al rispetto dei livelli di servizio stabiliti, è necessaria la presenza, nel sottodominio risorse, di un numero sufficiente di server domain controller con la funzionalità di Global Catalog. Per meglio interpretare le esigenze del cliente si è ridondato al massimo la struttura dei Global Catalog come si evince dalla figura successiva. RTI : HP ES Auselda AED Group - Accenture Pagina 51 di 115

52 Fig a Distribuzione dei ruoli FSMO Il servizio DNS di riferimento per l architettura Exchange sarà quello ospitato dai sistemi di Active Directory. RTI : HP ES Auselda AED Group - Accenture Pagina 52 di 115

53 6.2 I flussi dei servizi Accesso al servizio di posta Nel seguito viene dato cenno alle modalità previste di accesso al servizio di Posta Elettronica con protocolli previsti contrattualmente o disponibili a richiesta dell Amministrazione, evidenziando ove necessario esigenze particolari Accesso tramite client MAPI (Microsoft Outllook) L accesso di tale tipologia di client avviene tramite connessione diretta client-server tra la PdL dell utente ed il Back End (Mailbox Server) che ospita la casella di posta dell utente. La procedura di accesso è legata alla validazione al dominio Active Directory dell utente. Questa modalità di accesso consente di usufruire delle funzionalità accessorie quali il calendaring e rappresenta lo standard delle postazioni di lavoro Accesso tramite client SMTP-POP3/IMAP4 L accesso di tale tipologia di client avviene tramite connessione diretta client-server tra la PdL dell utente e un server di Front-End. La validazione avviene sempre facendo riferimento al dominio Active Directory dell utente. E opportuno che l utente debba fornire le proprie credenziali anche all atto della spedizione dei messaggi (SMTP autenticato). Ciò richiede l utilizzo di un client che consenta l impostazione di tale funzionalità Accesso tramite browser o dispositivo mobile con protocollo HTTPS L accesso alla casella di posta tramite browser standard da PdL sulla Intranet o Internet (mediante il protocollo HTTPS) avviene tramite la digitazione di opportuna URL; l accesso avviene tramite connessione diretta ad un server di Front End. Anche questa modalità di accesso consente di usufruire delle funzionalità accessorie quali il calendaring. RTI : HP ES Auselda AED Group - Accenture Pagina 53 di 115

54 E utilizzato un certificato pubblico, sebbene il servizio possa essere erogato anche con un certificato privato (elemento essenziale per un accesso trasparente attraverso dispositivi mobili). Il servizio può essere raggiungibile da Internet direttamente o preferibilmente in presenza di una soluzione di reverse proxy posta in DMZ. Il prodotto di posta indicato consente la sincronizzazione dei dispositivi mobili che utilizzano lo specifico sistema operativo Microsoft Mobile. L accesso alla posta elettronica con dispositivi mobili che utilizzano soluzioni diverse (ad esempio, BlackBerry) richiederanno la predisposizione di un apposita infrastruttura separata Inoltro dei messaggi Connettori per la messaggistica verso altri utenti del MPI e verso Internet Per garantire l inoltro della messaggistica verso destinatari esterni all organizzazione Exchange sono stati configurati appositi Connettori. Tali entità logiche si occupano dell inoltro del messaggio verso un opportuno server ricevente tramite protocollo standard SMTP. Per ogni connettore sono definiti i seguenti parametri: indirizzo Internet del dominio di inoltro; Local Bridge Edge servers; Smarthost (o in alternativa utilizzo del DNS per l inoltro) L indirizzo Internet del dominio di inoltro indica il dominio destinatario per il quale il connettore deve prendere in carico la consegna del messaggio. I Local Bridge Edge servers sono i server dell organizzazione responsabili per l inoltro dei messaggi. Lo Smarthost è il server destinatario dei messaggi passanti per il connettore; può essere statico oppure determinato dinamicamente per ogni destinatario tramite richiesta ad un DNS. Sono presenti inoltre parametri facoltativi che permettono di impostare regole di filtro sui messaggi passanti per i connettori oppure regole relative al formato del messaggio uscente. RTI : HP ES Auselda AED Group - Accenture Pagina 54 di 115

55 Nell ambito dell infrastruttura definita per il MPI sono stati realizzati due distinti connettori per l invio dei messaggi verso : utenti Internet; utenti istruzione.it non amministrativi Nella tabella seguente sono riportate per i due connettori in oggetto le valorizzazioni dei campi sopra definiti. Internet Istruzione.it Bridge Edge Servers Servers Routing Exchange Servers Routing Exchange Smarthost Server Linux TBD Server Linux predisposti TAB a Proprietà dei connettori I messaggi destinati ad utenti istruzione.it non ospitati nell organizzazione Exchange sono inoltrate dai sistemi di routing verso i server Linux predisposti all inoltro verso utenze non amministrative; i messaggi destinati a domini esterni sono inoltrati dai sistemi di routing verso i server Linux predisposti all inoltro, previo interrogazione ad un DNS internet, verso utenze non istruzione.it Inoltro dei messaggi di Utenze Amministrative verso Internet Per l inoltro dei messaggi verso utenze non appartenenti al dominio istruzione.it l organizzazione Exchange farà riferimento a sistemi dell architettura Linux dedicati con diretto accesso alla rete Internet. Quando viene generato da un utente Amministrativo un messaggio verso un utente non istruzione.it Exchange inoltrerà lo stesso verso i server Linux. Questi, preso in carico il messaggio ed effettuata una opportuna query sui sistemi DNS per individuare il corretto Mail Exchanger (quello definito nel record MX) a cui inoltrare il messaggio stesso, potranno effettuare una delle due seguenti azioni: nel caso di indirizzo SMTP del destinatario con dominio esistente (record MX definito nel dominio DNS di destinazione): procederanno all inoltro; nel caso di indirizzo SMTP del destinatario con dominio non esistente (record MX non definito o dominio DNS non esistente): procederanno alla generazione di un NDR secondo gli standard Internet. RTI : HP ES Auselda AED Group - Accenture Pagina 55 di 115

56 Inoltro dei messaggi provenienti da internet o da Utenze dell architettura Linux verso Utenze Amministrative Nonostante la migrazione delle mailbox Amministrative nella nuova architettura Exchange e la definizione delle utenze in Active Directory, la base dati della attuale architettura Linux continua comunque a contenere i dati della totalità delle utenze del MPI. Per le utenze Amministrative è presente unicamente la valorizzazione dell attributo che fa riferimento al server di appartenenza della casella di posta dell utente. I sistemi dell architettura Linux, con la funzionalità di gateway, che prendono in carico i messaggi provenienti da Internet, oppure qualsiasi altro sistema che riceve messaggi da utenti interni, risultano in grado di identificare immediatamente, tramite una query sulla base OpenLDAP, l allocazione della cassetta di posta dell utente. Si configurano le seguenti tre casistiche: nel caso di utenza non amministrativa, il messaggio sarà inoltrato verso la casella di posta presente su un Mailbox Server Linux; nel caso di utenza Amministrativa il messaggio sarà inoltrato verso il gruppo di server Exchange con funzionalità di routing che tramite query al Global Catalog lo recapiteranno alla casella di posta sul relativo Mailbox Server dell Organizzazione Exchange.; nel caso che il messaggio contenga un indirizzo SMTP del destinatario non corrispondente ad alcun utente presente sulla base dati LDAP verrà generato, come accade attualmente, un NDR verso il mittente. Ovviamente, per il corretto funzionamento di questo meccanismo, è necessario un perfetto e costante allineamento, per quel che riguarda gli utenti Amministrativi, tra la base dati OpenLDAP e Active Directory; sia per gli utenti già esistenti che per i nuovi che dovranno essere inseriti (preferibilmente tramite opportuna applicazione o processi consolidati) e/o aggiornati Inoltro dei messaggi da Utenti Amministrativi verso altre Utenze del MPI Per permettere tale invio nell Organizzazione Exchange, il dominio di posta istruzione.it viene definito come dominio primario ma non autoritativo; grazie a questa impostazione, ogni volta che transita un messaggio indirizzato ad un indirizzo SMTP del dominio istruzione.it non associato ad alcun utente definito su Active Directory, invece di produrre un NDR, l Organizzazione può inoltrarlo verso l infrastruttura di Posta MPI (questo meccanismo richiede la definizione di un opportuno connettore che individui il/i server Linux destinatari). RTI : HP ES Auselda AED Group - Accenture Pagina 56 di 115

57 Si configurano le seguenti due casistiche: nel caso di indirizzo SMTP corrispondente ad un utente reale (non Amministrativo ma interno al dominio istruzione.it ) i sistemi Linux procedono all invio del messaggio verso il corretto Mailbox Server. nel caso di indirizzo SMTP non corrispondente ad alcun utente (non Amministrativo ma interno al dominio istruzione.it ) i sistemi Linux procederanno alla generazione di un NDR secondo gli standard Internet Il gruppo di server Linux sopra indicati non fanno parte dell attuale architettura ma ne è prevista la predisposizione congiuntamente a quella dell infrastruttura Exchange, costituendone un elemento propedeutico al suo corretto funzionamento Rilevazione dei Virus Per garantire la protezione antivirus in funzione dei meccanismi di smistamento della posta all interno dell Organizzazione Exchange è necessario utilizzare un prodotto che consenta sia la scansione a livello di protocollo SMTP sia attraverso le librerie VSAPI in modo tale da garantire una azione efficace e preventiva sui messaggi prodotti dall utente o ricevuto da esso. Nella successiva figura è riportato lo schema relativo alla struttura di rilevazione dei virus richiesta per la messaggistica di posta nell ambito del dominio istruzione.it. RTI : HP ES Auselda AED Group - Accenture Pagina 57 di 115

58 Fig a Rilevazione virus In particolare: la rilevazione di virus associati a messaggi provenienti da Internet o da altri Domini di Amministrazioni avviene in primo luogo sui server di posta gateway su architettura Linux, successivamente sui sistemi di Routing e sui Back End dell Organizzazione Exchange. la rilevazione di virus associati a messaggi tra utenti Amministrativi all interno del dominio istruzione.it sui sistemi Back End di posta dell organizzazione Exchange. la rilevazione di virus associati a messaggi da utenti amministrativi verso utenti non amministrativi all interno del dominio istruzione.it o Internet viene effettuata sui sistemi Back End (se viene utilizzato il protocollo MAPI) e di Routing. Particolare rilevanza ha la definizione delle politiche di aggiornamento delle nuove versioni del prodotto e dei file contenenti le informazioni per il riconoscimento delle tracce virali. L impostazioni di verifiche su intervalli temporali stretti della disponibilità di nuove versioni certificate degli aggiornamenti consente di garantire un elevato livello di protezione, sebbene è necessario prendere atto della possibilità di ricezione di mail infette da virus non presenti nelle signature. RTI : HP ES Auselda AED Group - Accenture Pagina 58 di 115

59 6.2.4 Produzione degli NDR Secondo i meccanismi descritti nei precedenti paragrafi, l unica architettura deputata a rilasciare NDR, in seguito a mancata consegna di messaggi provenienti dall interno del dominio istruzione.it o da Internet, è quella Linux, in quanto dispone della base dati OpenLDAP contenente la totalità degli utenti Notariato Uno dei requisiti a cui deve rispondere il sistema di posta è la funzionalità di notariato per scambi tra utenti interni al Dominio, con la registrazione delle transazioni di Posta con data ed ora certa. Il prodotto Microsoft Exchange Server 2003 consente attraverso un file di log, denominato tracking.log, di registrare il trasferimento dei messaggi all interno del sistema di posta dalla sottomissione del messaggio nella cassetta di posta o dalla ricezione dello stesso da un sistema di posta esterno alla consegna nella cassetta postale del destinatario o l invio ad altro sistema di posta. Per ogni evento, oltre ad un codice corrispondente ad una particolare azione (ad esempio, la sottomissione del messaggio piuttosto che la sua consegna in un mailbox), è riportata data e ora, espressi in Tempo Medio di Greenwich (al fine di consentire il confronto di eventi registrati su sistemi server dislocati in località geograficamente anche molto distanti), sulla base della data e ora del singolo sistema server. Per garantire un corretto allineamento dei log è necessario predisporre l accesso ad un Servizio di Tempo Ufficiale che consenta di mantenere l adeguato allineamento degli orologi di sistema dei vari sistemi La conservazione dei log di posta è un ulteriore elemento da considerare con attenzione, soprattutto accertandosi della congruità dei tempi di conservazione rispetto alla normativa vigente a cui è necessario attenersi. In genere, anche ove il ruolo di Internet Service Provider (ISP) sia difficilmente riconducibile alla tipologia di servizio fornito, è buona norma attenersi alla relativa normativa (salvo modifiche recenti, almeno sei mesi di conservazione) sempre che non vengano a configurarsi richieste da parte dell Amministrazione che prevedano periodi anche di maggior durata. L utilizzo di client MAPI consente, inoltre, all utente di richiedere: la notifica della consegna nella cassetta postale del destinatario. Tale messaggio è generato dal sistema server destinatario interno all Organizzazione la notifica di lettura (o cancellazione e quindi mancata lettura) da parte del destinatario. Tale messaggio è generato dal client corrispondente. RTI : HP ES Auselda AED Group - Accenture Pagina 59 di 115

60 La richiesta di questo tipo di notifica è una impostazione che può essere attivata per il singolo messaggio o per la funzione di invio in generale. L ultimo tipo di notifica può presentare qualche inconveniente sulla marca temporale derivante dall orario della postazione di lavoro. RTI : HP ES Auselda AED Group - Accenture Pagina 60 di 115

61 Gestione dell Infrastruttura Tecnologica e dei Servizi Ed. 4 Rev. 0/ Configurazione degli Ambienti Elaborativi Allegato-B2.1_SDE-ITO-ARC- ArchitetturaCEDMPI-4.0_v02 7 L Infrastruttura Mainframe Vedi documento CD-AA-MAN-ConfigAmbElab-n.v EDS Electronic Data Systems Italia S.p.A. Pagina 61 di 115 uso interno / Riservato al Servizio

62 8 L Infrastruttura Portali Istituzionali 8.1 L Infrastruttura di Virtualizzazione La scelta di creare una piattaforma di virtualizzazione dei nuovi servizi, ha permesso di ottimizzare le risorse (energetiche, logistiche e computazionali) riducendo al contempo gli effort di implementazione e gestione dell infrastruttura. Attualmente l ambiente virtuale viene utilizzato per l erogazione del servizio del portale Scuola-Famiglia ( e per i vari ambienti di test e sviluppo che è stato necessario creare. L intera infrastruttura è basata su Blade Server HP BL460p G6. Gli enclosure raccolgono 16 blade e li mettono in comunicazione con la rete attraverso apparati chiamati Virtual Connect a 10Gbit. Questi apparati sono altamente configurabili e permettono di gestire nativamente le VLAN così da poterle assegnare a singoli blade senza dover toccare nemmeno un cavo. La loro configurazione è accessibile attraverso una console WEB. RTI : HP ES Auselda AED Group - Accenture Pagina 62 di 115

63 Fig. 9.1a. Le risorse totali dell hardware sono totalmente condivise e ogni servizio può usarle seguendo delle rigide policy di assegnazione. Solitamente molti servizi richiedono elevati carichi di lavoro solo per brevi periodi, lasciando l infrastruttura inutilizzata per il resto del tempo. Utilizzando la virtualizzazione le risorse inutilizzate possono essere utilizzate da altri servizi, migliorando quindi l efficienza totale dell intera infrastruttura. La piattaforma di virtualizzazione è basata su VMware vsphere 4 che offre una gestione del parco virtuale tramite una console grafica e da un software di gestione e automazione chiamato VMware vcenter (segue uno screenshot della console). RTI : HP ES Auselda AED Group - Accenture Pagina 63 di 115

64 Fig. 9.1b. Le immagini delle macchine virtuali risiedono su uno storage esterno condiviso ISCSI LeftHand P4500 che fornisce un totale di 4,5TB di spazio utile altamente ridondato. 8.2 L infrastruttura trasversale L architettura Attualmente l infrastruttura comune a tutti i portali si riduce al solo sistema di autenticazione, ma non si esclude in futuro di condividere ulteriori componenti funzionali. Di seguito si riporta lo schema architetturale infrastrutturale di riferimento. RTI : HP ES Auselda AED Group - Accenture Pagina 64 di 115

65 Fig a. In tale schema si possono distinguere: JBoss Application Server (CAS SSO) Back-End OpenLDAP Back-End Nei paragrafi seguenti vengono descritte le caratteristiche salienti di ognuno dei sistemi sopra riportati Sistema di elaborazione JBoss Application Server (CAS SSO) Il sistema JBoss Application Server (CAS SSO) è costituito da un cluster a 2 nodi fisici nel layer di BackEnd è condiviso tra Portale Scuolamia, Portale HUB MIUR e Portale dello Studente ed ha il compito di permettere l'utilizzo di un singolo login per accedere ai vari servizi applicativi (Liferay e Alfresco) dei portali. Il DB di servizio del CAS è un LDAP Server OpenLDAP (v. Sistema di Elaborazione OpenLDAP Back-End ) Di seguito è riportato lo schema del funzionamento del server SSO nel caso in cui un client richieda l'accesso ad una applicazione. RTI : HP ES Auselda AED Group - Accenture Pagina 65 di 115

66 4. L'utente prova ad accedere all'applicazione. 5. Non essendo autenticato, l'utente viene re-direzionato verso il server SSO, il quale richiede il login. Dopo aver verificato le credenziali dell'utente su OpenLDAP, il server SSO assegna un ticket al client che verrà verificato ad ogni accesso all Application Server JBoss (Liferay Alfresco). 6. L'applicazione risponde all'utente con i contenuti richiesti. Fig a Sistema di elaborazione OpenLDAP Costituito da un cluster a 2 nodi fisici attivo-passivo questo rappresenta il DB delle utenze dei tre portali. Ogni utenza è profilata per accedere ad uno o più portali e contiene i diritti della redazione. Attualmente viene interfacciato soltanto dal CAS e gli utenti vengono profilati da CA etrust Admin 8.3 Portale HUB MIUR (Sito RTI : HP ES Auselda AED Group - Accenture Pagina 66 di 115