UNIVERSITÀ DEGLI STUDI DI PADOVA FACOLTÀ DI SCIENZE MM.FF.NN CORSO DI LAUREA IN INFORMATICA TECNICHE E STRUMENTI PER L AMMINISTRAZIONE DI UNA RETE

UNIVERSITÀ DEGLI STUDI DI PADOVA FACOLTÀ DI SCIENZE MM.FF.NN CORSO DI LAUREA IN INFORMATICA TESI DI LAUREA TECNICHE E STRUMENTI PER L AMMINISTRAZIONE DI UNA RETE Relatore: prof. FILE GILBERTO Laureando: GONELLA ALESSANDRO Matricola: 520093 SIN

2

INDICE SOMMARIO... 5 1. INTRODUZIONE... 7 1.1. L AZIENDA... 7 1.2. SCOPO DEL PROGETTO... 7 2. STRUTTURA DELLA RETE... 11 2.1. VISIONE GENERALE... 11 2.2. INDIRIZZI IP... 12 2.3. DETTAGLIO DEI SERVIZI OFFERTI DAI SERVER... 12 2.4. MACCHINE UTILIZZATE... 14 3. PROCESSO DI MIGRAZIONE AL NUOVO DOMINIO... 17 3.1 ATTIVITA PRELIMINARI... 17 3.2. CREAZIONE DEL DOMINIO... 17 3.3. MIGRAZIONE DI UTENTI E CLIENT... 20 3.4. CAMBIAMENTO DI SERVER E DI SERVIZI... 22 4. CREAZIONE DEL WEB SERVER... 23 4.1. INTRODUZIONE... 23 4.2. CONFIGURAZIONE DEL WEB SERVER... 24 4.3. CONFIGURAZIONE DEL SERVIZIO FTP... 26 5. CONFIGURAZIONE DEL PROXY... 29 5.1. INTRODUZIONE... 29 5.2. MODIFICHE APPORTATE... 29 5.3. FILE DI CONFIGURAZIONE... 30 5.4. SCRIPT PER LA CREAZIONE DI ACL... 32 6. VIRTUALIZZAZIONE CON VMWARE... 35 6.1. INTRODUZIONE... 35 6.2. VMWARE IN SANMARCO... 35 7. OPENVPN... 37 7.1. INTRODUZIONE... 37 7.2. CREAZIONE DI UNA VPN... 37 7.3. VPN IN SANMARCO... 39 8. ATTIVITA ESTERNA PRESSO CLIENTI... 41 9. ALTRE ATTIVITÀ... 43 9.1. CONFIGURAZIONE DI NUOVI PC... 43 9.2. SPOSTAMENTO SALA SERVER... 44 9.3. MAPPA FILIALI SANMARCO CON GOOGLE MAPS... 44 10. ALTRI SOFTWARE E TECNOLOGIE UTILIZZATI NELLA RETE... 49 10.1. CITRIX... 49 10.2. JABBER... 50 10.3. IBM TIVOLI STORAGE MANAGER... 50 11. CONCLUSIONI... 51 11.1 BIBLIOGRAFIA... 51 11.2. RINGRAZIAMENTI... 52 3

4

SOMMARIO Questa relazione descrive l attività che ho svolto durante il mio periodo di stage presso l azienda SanMarco Informatica di Grisignano di Zocco. Per poter scegliere dove effettuare lo stage ho parlato con diverse aziende che proponevano vari progetti, la maggior parte dei quali prevedevano la creazione di moduli software. La SanMarco Informatica proponeva un progetto che mi è parso più interessante: l azienda doveva avviare un processo di ristrutturazione della rete locale, mediante il passaggio ad un nuovo dominio e la riconfigurazione dei servizi esistenti, ritenuti ormai obsoleti. Il mio compito sarebbe stato quello di affiancare i sistemisti in questo processo di rinnovamento per capirne i meccanismi, conoscere le tecnologie utilizzate e fornire il mio aiuto nelle varie attività. Il programma di stage non era completamente definito, in quanto mi sarebbero stati proposti di volta in volta nuovi compiti, quando se ne sarebbe presentata l occasione. 5

6

1. INTRODUZIONE 1.1. L AZIENDA La SanMarco Informatica ha più di 200 collaboratori ed opera da anni nel settore informatico. Il suo punto di forza è lo sviluppo di un software gestionale ERP chiamato GALILEO che è stato venduto a più di 800 clienti. Il reparto Hi-Tech nel quale sono stato inserito e che fornisce assistenza tecnica è composto da 6 persone, che può sembrare riduttivo; in realtà, una volta che il software è stato installato dai sistemisti presso i clienti su un server AS400, non è richiesta particolare manutenzione sulle macchine. Il reparto Hi-Tech fornisce assistenza anche riguardo le reti dei clienti. Sotto questo punto di vista, il principale cliente della SanMarco Informatica è la SanMarco Informatica stessa. Ciò è dovuto alla complessità della rete dell azienda (che comprende una DMZ, un area protetta, VPN ) ed alla sua grandezza. Negli ultimi tempi sempre più clienti richiedono assistenza tecnica anche per problemi non strettamente connessi ai servizi offerti dall azienda; per questo la direzione ha deciso di ampliare il settore Hi-Tech con l assunzione di nuovo personale. 1.2. SCOPO DEL PROGETTO Un dominio è un gruppo di computer definiti dall amministratore della rete che condividono un unico directory database. Nella pratica questo database contiene gli account degli utenti e le informazioni sulle risorse presenti nel dominio (stampanti, condivisioni ). Ogni utente del dominio ha il proprio account, che può essere abilitato o meno ad accedere alle risorse presenti. Un dominio è un Security Boundary, cioè un confine di sicurezza entro cui solo l amministratore del dominio ha pieno potere. Un domain controller (DC) è un computer dove gira Windows 2000 Server (o successivi) e che memorizza una replica del directory database. Oltre a memorizzare questi dati, i DC con sistema operativo Windows Server 2003 memorizzano i dati della directory e gestiscono le interazioni tra utente e dominio, inclusi i processi di accesso degli utenti, le autorizzazioni e le ricerche nella directory. Si possono avere anche più di un DC nella propria lan per ovviare ai problemi di guasti (fault tolerance). I domini sono anche unità di replicazione nel senso che ogni Domain Controller riceve le modifiche fatte al directory database e le replica su tutti gli altri Domain Controller. Active Directory è il sistema integrato e distribuito di directory service adottato dai sistemi operativi Microsoft. E il termine utilizzato da Microsoft per riferirsi alla propria implementazione della sicurezza in una rete locale. Tramite l utilizzo di questa tecnologia è possibile migliorare la gestione delle risorse della lan e facilitarne l accesso da parte degli utenti. La SanMarco aveva la necessità di cambiare il dominio esistente. L Active Directory su Windows 2000 utilizzata nell azienda derivava da un vecchio dominio NT4 (chiamato DSED01) ritenuto obsoleto in quanto non compatibile con le nuove specifiche di Microsoft. 7

Nel capitolo 3 viene illustrata la creazione di un nuovo dominio di nome smi.lan in sostituzione al precedente. Era necessario poi eseguire un processo di migrazione degli utenti, per renderli membri del nuovo dominio, e riconfigurare i client con le nuove impostazioni di accesso. Ciò che si sarebbe cercato di ottenere sarebbe stata una rete in cui ogni utente, computer e risorsa sarebbe stato gestito centralmente. Il passaggio alla nuova versione di Active Directory avrebbe permesso di aumentare la sicurezza della rete e la facilità di accesso alle risorse della stessa. Nella pratica era necessario creare i DC del nuovo dominio, modificare le impostazione dei pc di tutti i dipendenti dell azienda e ricontrollare le impostazioni dei servizi presenti. Utilizzando Active Directory su Windows 2003 sarebbe stato possibile migliorare la qualità di alcuni servizi della lan, che sarebbero stati quindi rivisti per essere adattati alla nuova configurazione, e con l occasione di sistemare la sala server in una nuova stanza più adatta era stato anche previsto di rivedere completamente il parco macchine e la struttura della rete, introducendo nuovi server per i servizi esistenti. In particolare si voleva sperimentare l utilizzo di un web server basato su IIS 6, software proprietario Microsoft, più adatto al funzionamento in un dominio Windows rispetto ad un web server Linux. Questo web server che avrei dovuto creare (trattato nel capitolo 4) avrebbe poi ospitato il sito della Sanmarco. Si volevano poi rivedere i permessi per l accesso ad Internet degli utenti del dominio, tramite la riconfigurazione del servizio di proxy (usato appunto per approvare o rifiutare le richieste di url degli utenti), che era stato implementato a suo tempo da una persona non più presente in azienda. Anche qui si voleva quindi cercare di sfruttare il più possibile le potenzialità offerte da Active Directory. La riconfigurazione del proxy è descritta nel capitolo 5. Nel progetto di rinnovamento della rete si era poi pensato alla possibilità di raggruppare più servizi in un'unica macchina, grazie alla virtualizzazione (capitolo 6). Tramite un software chiamato Vmware è infatti possibile fari risiedere più macchine virtuali (che si comportano come fossero indipendenti) su di un unico server. Data la natura del reparto nel quale sarei stato inserito, i compiti che mi sarebbero stati assegnati non erano del tutto certi, ma sarebbero stati definiti in base alle richieste che arrivavano dai clienti e dagli altri reparti dell azienda, nonché in base alle mie preferenze. Mi sarei potuto quindi occupare di aspetti non necessariamente legati al processo di rinnovamento, ma che avevano comunque una certa importanza nel settore informatico dell azienda. Alcuni di essi sono descritti nel capitolo 9, mentre ad OpenVpn, utile strumento per la creazione di reti private virtuali, è dedicato l intero capitolo 7. Avrei anche potuto svolgere attività di assistenza presso dei clienti dell azienda. La mia esperienza nella ditta Lovato Gas è trattata nel capitolo 8. Data la varietà dei servizi che la rete doveva offrire, gli strumenti che avrei utilizzato sarebbero stati di volta in volta diversi. Lo stage infatti si è concretizzato principalmente nello studio di alcune tecnologie esistenti e, se presenti in Sanmarco, di come erano state a suo 8

tempo introdotte nella rete, prima di poterle applicare personalmente sul campo nel processo di ristrutturazione. Ho preferito questo progetto ad altri perchè riguardava argomenti che mi interessavano ma che non avevo mai avuto occasione di vedere istanziati concretamente in una realtà aziendale, e che penso possano essere utili in campo lavorativo. A contribuire alla mia scelta c è poi stata sicuramente la possibilità di seguire diversi aspetti della rete; non avrei dovuto focalizzarmi su di un unico argomento, ma avrei potuto scegliere di volta in volta quello che mi sembrava più interessante. 9

10

2. STRUTTURA DELLA RETE 2.1. VISIONE GENERALE Questo diagramma illustra in generale la struttura della rete della Sanmarco Informatica all inizio del mio periodo di stage. Figura 1 - Struttura rete Sanmarco 11

Nella rete sono presenti delle VPN (Virtual Private Network) che collegano l azienda con le sue varie sedi, la maggior parte delle quali si trovano in altre città. Una parte della rete interna è resa pubblica, e contiene diversi web server che ospitano il sito dell azienda o che servono al centro sviluppo per il test di software. Un firewall interno separa la rete pubblica da quella privata. Questo firewall funge anche da router e collega una vecchia rete Token Ring al resto del sistema. I computer della parte privata sono diversi: IBM AS400, Windows 2000 Sever, Linux con VmWare, che permette di emulare diversi server in un unica postazione. E presente inoltre un unità di backup per la salvaguardia dei dati. Si può vedere inoltre che il processo di migrazione è già partito con l introduzione di alcuni server appartenenti al dominio smi. 2.2. INDIRIZZI IP Gli indirizzi IP dei server in DMZ, che devono essere accessibili dall esterno, sono pubblici e statici; quelli della lan interna sono invece forniti dinamicamente dal server DHCP. Nella vecchia rete token ring gli indirizzi sono nella forma 10.10.0.0/16, mentre nella rete rimanente sono nella forma 10.100.0.0/16. La Subnet Mask è quindi 255.255.0.0 ed indica che i primi 16 bit dell indirizzo sono fissi, mentre gli altri 16 bit variano da computer a computer. 2.3. DETTAGLIO DEI SERVIZI OFFERTI DAI SERVER Segue un analisi più accurata sul compito di ogni server nella rete. Il compito di firewall per la rete DMZ è svolto da una macchina soekris, ovvero un dispositivo creato appositamente per svolgere compiti di rete, principalmente routing. La configurazione di una soekris avviene grazie ad una smart card che può essere inserita nella macchina. Possiamo dividere i server in DMZ in tre categorie principali: Demo Citrix Macchine che ospitano il software Citrix: - S650Ad7B: questo AS/400 è utilizzato per delle prove. - Demo: computer con Win2k server, su cui è operativo Citrix con tutta la parte oggetti di Galileo. E utilizzato per delle dimostrazioni ai clienti. - Demo1: computer con Win2k server. Ospita un ambiente di prova Citrix non allineato che non viene più utilizzato. Ospita inoltre Q&D, un programma per la gestione dei contatti commerciali, tuttora attivo. 12

- Board1: in questo server Windows è installato un database per Board. Web Di questa categoria fa parte solo Houston, server Win2k sul quale è presente Tomcat, un web container open source che fornisce una piattaforma per l'esecuzione di applicazioni Web sviluppate nel linguaggio Java. Funge anche da controller di dominio. Inoltre è installato SQL Server 2000. Generic Ovvero server con vari scopi: - NY: macchina Linux con Vmware che oltre ad ospitare un server Notes virtuale in disuso (Trattative) ed uno per lo sviluppo (Develop), fornisce un servizio di SMS. - Berkley: Linux con Vmware, fornisce molti servizi. Esegue inoltre il backup dei server virtuali presenti in Frisco. - Frisco: Server virtuale Linux sul quale è installato Lotus Domino - SRVSAN01: Questo computer ospita TS GPM Tra DMZ e rete protetta è presente una macchina (smilinux) che funge da firewall, proxy, gateway e modem per il numero verde dell azienda. I compiti di proxy sono gestiti dal software Squid. Nella rete protetta troviamo i seguenti computer: - S65BB30B: questo AS400 fornito ai sistemisti ospita un server integrato IXS - Phoenix: è il controller del dominio DSED01 e offre un servizio DNS. Ha anche funzioni di file server e contiene le cartelle di Galileo - Boston: questo computer è in dotazione al gruppo web; è utilizzato infatti come repository per i file sorgenti - xfiles: fornisce l accesso alle stampanti di rete e funge da file server per file di installazione e driver. - Tokio: questo server con Windows all inizio del mio periodo di stage era inutilizzato - Miami: server di stampa - Vancouver: computer destinato a funzioni di domain controller per il dominio smi e di server DNS 13

- Board: contiene un database per Board - Newsrv2003: anche questo server all inizio del mio periodo di stage era inutilizzato - Centralino: come suggerisce il nome, questo computer su cui è installato Windows XP contiene un software per la gestione del centralino (avaya). - Ssafe: semplice file server - Sminas: è un NAS (Network Attached Storage), ovvero una macchina collegata alla rete la cui funzione è quella di condividere tra gli utenti un area di storage. - Pasadena: Su questo computer è installato Linux. Grazie a Vmware sono presenti diversi server virtuali: Houston: controller di dominio DSED01 e server DNS e DHCP smarketing: server per Q&A Denver: server isolato utilizzato per testare il funzionamento del db marketing in ambiente Linux Loveland: server con antivirus centralizzato Trend Micro - Srv-smitsm1: server per i backup con Tivoli Nella vecchia rete Token Ring sono presenti due server: - S4486B9A: server integrato con IPCS - Sed03: ambiente di test per amministrazione e marketing In sostanza si presentava una rete complessa e di cui nessuno conosceva appieno il funzionamento; fatto dovuto soprattutto al licenziamento del precedente amministratore del sistema informatico aziendale. 2.4. MACCHINE UTILIZZATE Ogni dipendente utilizza pc desktop o laptop con Microsoft Windows XP, mentre i server sono principalmente Windows 2000 Server, IBM AS/400 o Linux. I firewall sono realizzati con macchine Linux o soekris. Windows e Linux ovviamente mi erano ben noti, mentre per l AS/400 ho dovuto documentarmi un po ; è un computer sviluppato dall IBM per usi prevalentemente aziendali come supporto del sistema informativo gestionale, ed è largamente utilizzato come server di applicazioni software o server di rete. 14

L'architettura di questo computer può essere rappresentata col classico modello a strati tipico dei computer: Al livello più basso troviamo l'hardware. Il sistema AS/400 utilizza processori RISC, mentre in precedenza utilizzava processori CISC. Al livello immediatamente superiore, si trova uno strato software che collega l'hardware agli strati superiori. Ciò permette al produttore l'aggiornamento dell'hardware senza per questo dover modificare il sistema operativo. Al livello superiore troviamo il sistema operativo chiamato in origine os/400, ed attualmente i5/os. Al livello superiore ci sono i cosiddetti "Prodotti programma" forniti dall'ibm, ovvero tutte le utilità e gli strumenti per la gestione e l'utilizzo del sistema, ad esempio i compilatori dei linguaggi implementati, gli strumenti per la programmazione, il database integrato nel sistema operativo, gli strumenti per la gestione dei dati Infine troviamo lo strato finale, quello dei programmi applicativi. La configurazione di un AS, così come il suo utilizzo, avviene tramite una connessione di rete o un collegamento sulla porta seriale. 15

16

3. PROCESSO DI MIGRAZIONE AL NUOVO DOMINIO 3.1 ATTIVITA PRELIMINARI All inizio del periodo di stage, dopo una presentazione dell azienda e del personale, ho configurato il mio pc per l accesso alla rete, della quale mi è stata spiegata l architettura. Essendo presente un server DHCP, la configurazione di IP, Subnet Mask, Gateway e server DNS è stata automatica. Ho dovuto solo specificare il proxy per l accesso ad Internet. E stato creato il mio utente nel dominio dell azienda, ed ho modificato le impostazioni di accesso al mio pc in modo che l autenticazione fosse effettuata nel dominio. Non disponevo di tutti i software utilizzati dai miei colleghi del settore I-Tech, quindi ho provveduto ad installarli. Tra i software che non avevo mai utilizzato ci sono Lotus Notes, l antivirus Trend Micro OfficeScan Client, Citrix Metaframe, RealVNC e Putty per la gestione da remoto di server e client aziendali. Ho potuto visionare la sala macchine che sarebbe stata spostata in un nuovo ambiente e mi è stato spiegato il compito dei diversi server. Alcuni di questi sono situati direttamente nei locali dei reparti a cui appartengono. 3.2. CREAZIONE DEL DOMINIO La gestione del nuovo dominio Windows (come per il precedente, derivante però da Windows NT e ritenuto ormai obsoleto) sarebbe stata affidata ad Active Directory. In Active Directory sono integrate tutte le applicazioni per la gestione dei servizi di rete e dominio, nonché della sicurezza, che è implementata tramite servizi centrali di autenticazione e autorizzazione. Active Directory utilizza vari protocolli, principalmente DHCP, DNS, Kerberos, LDAP (che viene usato come una base di dati che memorizza in forma centralizzata tutte le informazioni di un dominio di amministrazione, col vantaggio di mantenere tutta questa informazione sincronizzata tra i vari server di autenticazione di accesso alla rete. E costituito da un insieme di protocolli che permettono l accesso alle informazioni conservate centralmente). La struttura di Active Directory è costituita da oggetti, raggruppati in tre categorie: utenti (e gruppi), servizi (es. e-mail) e risorse (es. stampanti). Active Directory organizza questi oggetti e ne controlla l accesso. Quando viene creato il controller di dominio dell'organizzazione, vengono creati anche il dominio e un insieme di strutture per gestirlo e viene installato Active Directory. Rispetto a Windows 2000/NT, Windows 2003 offre dei miglioramenti nella gestione di Active Directory (tra cui la gestione dei criteri di gruppo riguardanti siti web, domini ) e nell'autenticazione degli utenti (utilizzando Kerberos 5) nonché il supporto per IIS 6, che verrà illustrato più avanti. Il processo di migrazione di un dominio Windows 2000 a Windows 2003 può avvenire in diversi modi: per gradi, aggiungendo inizialmente dei server Windows 2003 come membri del dominio Windows 2000 o aggiungendo un Domain Controller Windows 2003 ad un 17

dominio esistente Windows 2000, oppure aggiornando direttamente i server Windows 2000 a Windows 2003. In Sanmarco si è deciso di aggiungere due nuovi server Windows 2003 come Domain Controller del nuovo dominio, mantenendo per un breve periodo di tempo due domini nella rete. Come controller di dominio sono quindi stati scelti due computer (Vancouver e Sandiego, quest ultimo virtuale) con Microsoft Windows Server 2003, che offre una procedura guidata adatta allo scopo (Installazione guidata di Active Directory). Questa procedura guidata permette di creare un controller per un nuovo dominio (nel nostro caso smi) e di installare il servizio DNS sul server in questione. DNS è un servizio per la risoluzione di nomi host in indirizzi IP. Un client chiede al server DNS l IP corrispondente al nome di un host. Questo cerca tra i suoi record l informazione richiesta. Il server DNS di una lan contiene gli indirizzi dei computer locali, mentre per gli indirizzi internet si rivolge ad un altro server DNS che copre una zona più grande. Il termine DDNS (Dynamic DNS) indica un insieme di tecnologie che permettono di inserire automaticamente in una zona DNS gli indirizzi di calcolatori che non hanno un indirizzo di default, ma lo ottengono dinamicamente (ad esempio tramite DHCP, come nel caso della SanMarco Informatica). Questa funzionalità è presente nei servizi Active Directory. Il servizio DNS è stato abilitato sia su Sandiego che su Vancouver. In Windows 2003 Server è presente una procedura guidata grazie alla quale è possibile creare una nuova zona DNS. Tutti i cambiamenti che vengono effettuati in un server DNS vengono poi replicati sugli altri server DNS del dominio, e ciò garantisce una piena fault tollerance. 18

Figura 2 - DNS su Sandiego DHCP invece permette di assegnare dinamicamente un indirizzo IP ad ogni computer che si interfaccia sulla lan, un lavoro che sarebbe troppo lungo se fatto manualmente. Fornisce poi ai client gli indirizzi del gateway e del server DNS specificati in fase di configurazione, oltre alla subnet mask utilizzata. Una cosa interessante è la possibilità di utilizzare il DHCP con reservation, ovvero fornire si gli indirizzi IP dinamicamente, ma indicare che alcuni di questi sono riservati a determinati computer, o meglio a determinate interfacce di rete. Questa tecnologia infatti lega un indirizzo IP al Mac Address della scheda di rete delle macchine. E possibile installare il servizio DHCP tramite la procedura guidata Amministrazione Server. E sufficiente dare al computer il ruolo di Server DHCP ed impostare il range di indirizzi utilizzabili, l IP del gateway e quello del server DNS. Dopodichè, da Strumenti di amministrazione è possibile autorizzare il server DHCP ad operare nel dominio. Il servizio DHCP è stato abilitato nel server Sandiego. 19

Figura 3 - DHCP su Sandiego Come si può intuire dalla figura che mostra gli indirizzi assegnati, il range di indirizzi IP è 10.100.50.0/24, ovvero tutti gli indirizzi da 10.100.50.1 a 10.100.50.254. WINS (Windows Internet Name Service) è un implementazione della Microsoft del NetBIOS Name Server, un servizio di risoluzione di nomi NetBIOS. Così come fa DNS per i nomi di dominio, anche WINS mappa i nomi degli host ad indirizzi di rete. Le relazioni tra nomi e indirizzi sono aggiornate dinamicamente, in modo da operare correttamente con DHCP. WINS è necessario qualora nella lan ci fossero ancora macchine precedenti a Windows 2000 che utilizzano nomi NetBIOS, quindi si è deciso di abilitarlo su Sandiego e su Vancouver. 3.3. MIGRAZIONE DI UTENTI E CLIENT Il nuovo dominio smi era stato creato per sostituire il precedente DSED01, al quale appartenevano tutti i dipendenti; c era quindi la necessità di migrare gli utenti dal controller del vecchio dominio al nuovo. Le operazioni sui server sono state effettuate tramite la Connessione a desktop remoto di Windows o con il software VNC; entrambi permettono di utilizzare un computer come se lo si avesse davanti. Dopo essermi collegato al controller Phoenix (DC di Dsed01) con l utility Amministrazione utenti e gruppi presente in Windows 2000 ho esportato la lista degli utenti e dei gruppi, per poi importarla nel nuovo controller Sandiego. 20

Figura 4 - Utenti e gruppi di Active Directory in Sandiego Dato che il processo di migrazione dei client sarebbe durato abbastanza a lungo, per evitare tempi morti era necessario permettere agli utenti di un dominio di accedere alle risorse dell altro. Active Directory permette ciò con il meccanismo dei Trust. Nel controller del dominio smi con l utility Domini e Trust di Active Directory ho inserito nella lista dei domini fidati il vecchio dominio DSED01 e viceversa, creando un Two Way Trust. Il processo di migrazione dei client verso il nuovo dominio è cominciato dal settore marketing. L operazione era molto semplice ma macchinosa. Per ogni pc nelle proprietà di sistema ho cambiato il dominio da DSED01 a smi. Al successivo login però Windows non caricava le impostazioni personalizzate dell utente, in quanto lo considerava come un utente diverso. E stato necessario quindi accedere come amministratore locale, copiare il vecchio profilo nel nuovo ed inserire l utente del dominio smi nel gruppo degli amministratori del computer, tramite Gestione utenti e gruppi. In seguito per ogni pc ho riconfigurato le stampanti di rete rimuovendo quelle condivise dal server Miami ed aggiungendo invece quelle presenti nel nuovo server di stampa Loveland (vedere paragrafo successivo) attraverso una ricerca in Active Directory, dalla cartella Stampanti di Windows. 21

3.4. CAMBIAMENTO DI SERVER E DI SERVIZI Non è stato necessario modificare in modo sostanziale alcun servizio in seguito al cambio di dominio. Tuttavia alcuni di essi sono stati rivisti. Alcuni utenti possiedono una cartella condivisa nel server Xfiles, visualizzabile solamente da loro e dagli amministratori della rete. Dato che i privilegi di amministrazione di ogni cartella si riferivano all utente appartenente al vecchio dominio Dsed01, è stato necessario collegarsi ad Xfiles per modificare i permessi di ogni condivisione. Ci sono poi utenti che hanno l autorizzazione alla navigazione libera in internet. L elenco di questi utenti è gestito da un database MySql (vedere il capitolo relativo alla riconfigurazione del proxy). E stato necessario cambiare il dominio per quegli utenti che al momento della creazione del database appartenevano ancora a Dsed01. Inoltre si è pensato di cambiare server di stampa per il nuovo dominio adibendo a tale scopo la macchina Loveland, già sede dell antivirus centralizzato, al posto di Miami. E stato sufficiente collegarsi a Loveland ed utilizzare la procedura per la creazione delle stampanti, specificando come porta di collegamento l indirizzo IP relativo (si tratta di stampanti di rete) e poi condividerle. 22

4. CREAZIONE DEL WEB SERVER 4.1. INTRODUZIONE Un web server è un servizio in esecuzione su un computer host in attesa di connessioni per fornire, in seguito alle richieste di un client, una serie di informazioni codificate secondo uno specifico protocollo o linguaggio. In Sanmarco tale servizio era già presente. Tuttavia si voleva sperimentare l utilizzo di IIS (Internet Information Services) 6, il web server targato Microsoft, per verificarne i benefici offerti tramite l integrazione con Active Directory. Questi benefici riguardano principalmente il controllo degli accessi al server tramite l autenticazione nel dominio. IIS 6 è strettamente integrato in Windows 2003 Server, e non può essere installato su altri sistemi operativi. E stato quindi preparato un server con installato il suddetto sistema operativo. Innanzitutto occorre installare IIS tramite l installazione delle componenti aggiuntive di Windows, raggiungibile dal Pannello di Controllo. Si possono installare diverse componenti; noi abbiamo optato per i servizi web ed ftp. Inoltre abbiamo installato il componente che permette di gestire il server web dalla Microsoft Management Console (MMC). Al termine della procedura il web server è presente in localhost. Durante l installazione viene creata una cartella c:\inetpub che al suo interno contiene quello che è l'insieme delle cartelle per far funzionare il sito principale e il server ftp. All'interno di inetpub sono presenti queste cartelle, ognuna con funzioni specifiche: adminscripts cartella dove sono contenuti gli script per eseguire alcune funzionalità di amministrazione come creare siti web o directory virtuali. ftproot cartella base per il sito ftp creato durante l'installazione mailroot cartella contenente altre sottodirectory per il corretto funzionamento del server SMTP predefinito. nntpfile cartella per il corretto funzionamento del server NNTP. wwwroot cartella in cui si trovano i file e le sottodirectory per il corretto funzionamento del Default Web Site Per poter gestire i siti web e tutte le altre funzionalità fornite con IIS 6.0 si utilizza la MMC, che permette di controllare diverse funzioni Amministrative di Windows. 23

Figura 5 - MMC 4.2. CONFIGURAZIONE DEL WEB SERVER Dalla MMC è possibile avviare la procedura per la creazione di un nuovo sito. Dopo aver indicato il nome del sito, è necessario specificare l'ip del computer da associare al sito e la porta (normalmente 80). Successivamente viene richiesto il percorso sul disco dove verrà montata la directory contenente i files, e se si vuole l'accesso anonimo al sito. Viene poi richiesto quali permessi associare alla directory del sito: lettura: i file sono leggibili via web. esecuzione: possono essere eseguiti file eseguibili tipo.exe,.com, cgi e così via esecuzione script: possono essere eseguiti script asp scrittura: è possibile scrivere all'interno del sito esplorazione: è possibile vedere le cartelle e il loro contenuto Una volta creato il sito, è possibile cambiare le configurazioni che riguardano sia i parametri indicati precedentemente, sia altre funzionalità. La finestra che si presenta è abbastanza complessa; in seguito vengono analizzate le varie schede con le loro impostazioni principali, che sono state settate secondo le nostre esigenze. 24

Figura 6 - Configurazione del sito web 1. Sito web: permette di definire e modificare le impostazioni principali del sito, ovvero l indirizzo IP, le porte http e https, il tempo di timeout della connessione, l abilitazione http keep-alive (permette di accettare i pacchetti keep alive per tenere aperta la connessione) e il loggin. E possibile inoltre indicare il nome DNS del sito, per funzionalità di virtual hosting. 2. Prestazioni: è possibile settare la larghezza massima della banda e il numero di connessioni simultanee accettate. 3. Home directory: permette di gestire le impostazioni relative alla cartella su disco che contiene il sito web. E possibile indicare il percorso della cartella e i permessi (già settati durante il processo di creazione del sito), nonché altri parametri di controllo degli accessi alla directory (ad esempio il contatore degli accessi). 4. Documenti: si può indicare qual è la pagina di default che viene ritornata quando l utente entra in una cartella. 5. Protezione directory: in questa scheda vengono definite tutte le politiche di sicurezza che devono essere abilitate per rendere più o meno sicuro l'accesso al sito. Sono presenti tre diverse opzioni: 25