Gruppo Windows, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN,
Il futuro (presentazione Gruppo Windows, Bologna 16.2.06) E utile ed auspicabile un coordinamento tra Sezioni diverse? C e volonta e disponibilita di manpower per affrontare argomenti di interesse comune (e quali?) In quali forme? Strategie alternative:? Workshop periodici su argomenti di carattere generale con presentazioni e discussioni ( Windows Days ). + condivisione e scambio di informazioni, non necessita di manpower - non c e sviluppo / integrazione collettiva Piccoli gruppi di lavoro su argomenti specifici con produzione di report + produce valore aggiunto Schede di progetto??? - necessita di risorse umane Documento di indirizzo
Prospettiva Il GdL Windows, nella sua lunga vita, ha operato in modi diversi nel tempo 2000/2001 - gruppo numeroso per progetto NICE (periodo di evoluzione della piattaforma, sviluppo infrastrutture, implementazione dominio W2K / WAN) 2003 - organizzazione Windows Day (info sharing), organizzazione corsi MS (formazione) 2004 - organizzazione II INFN Security Workshop in collaborazione con Gruppo Security (info dissemination) 2006 - documento di indirizzo (priorita e strategie) e schede progetti: proposta di mini-gruppi su argomenti specifici (Windows si e esteso e stabilizzato, piattaforma standard di produzione, manpower??). Programmi piu dettagliati saranno elaborati dagli specifici sottogruppi. Richiesta risorse //calcolo.infn.it/windows, win2000-manager@infn.it
Prospettiva Abbiamo a disposizione una piattaforma estremamente diffusa I progetti proposti sono infrastrutturali (priorita piu elevata) ma forse si potrebbe (dovrebbe?) iniziare a costruire sopra questo sistema (servizi a livello applicativo) sviluppo/integrazione di collaborative tool (A.Pace) info/doc sharing (DFS, file system/wan, mail, web, WTS) quick message exchange (NetMeeting, Win Messenger), forum per amministratori, gruppi di utenti Integrazione Windows/UNIX (le due piattaforme si condivideranno lo spazio ancora per qualche tempo)
Da approfondire in CCR Confronto tecnico/metodologico Risorse umane??? In contesto INFN? Responsabili del calcolo locale All esterno? Universita, compagnie, esperienze dirette? I centri di calcolo sono completamente affogati?? L interesse e orientato verso altri argomenti? I progetti proposti si attivano se si coagula massa critica (persone e sedi) Condizioni per intercollaborazione tra Sezioni? E possibile? Cosa si e disposti ad offrire? In cambio di cosa? Metodologie alternative a quelle gia utilizzate nel passato (bottom-up, top-down, sharing)? Nessun interesse per ulteriori corsi di formazione!? Futuro workshop: specifico su Windows o integrazione con annuale workshop CCR?
Documento di indirizzo Presentato a CCR nel marzo 2006 Identificate aree tematiche principali Procedure di deploy e management: installazione, aggiornamento, GPO Politiche di security: antivirus, GPO, antispyware Accesso remoto: condivisione di risorse, storage, autenticazione/autorizzazione Collaborative tools: condivisione di risorse ed informazioni Attivita trasversali di sviluppo, test e supporto: autenticazione incrociata Gli aspetti relativi alla gestione dei sistemi ed alla sicurezza sono considerati prioritari. Proposta di tre progetti
1 - Aggiornamento e messa in sicurezza dei sistemi Obiettivi: Definizione delle strategie e di procedure di configurazione e deploy degli aggiornamenti di sistema utilizzando la tecnologia WSUS, con monitoraggio dello stato dei nodi. Ottimizzazione ed eventuale produzione di tool e di un pacchetto di installazione e configurazione di un ambiente antivirus (Sophos) Scopo del progetto e facilitare, in particolare per le Sezioni con ridotto manpower, la configurazione dei principali servizi di aggiornamento (sistema operativo ed antivirus) con miglioramento della sicurezza complessiva dell'ambiente Partecipanti: S.Arezzini (coord), N.Amanzi, F.Del Corso
1 - Aggiornamento e messa in sicurezza dei sistemi Fasi del progetto: analisi comparativa delle soluzioni attualmente esistenti nelle varie Sezioni, implementazione di una infrastruttura locale pilota, test su larga scala e deploy Deliverables: Tecnologia WSUS per l aggiornamento How-to Antispyware integrato (Windows Defender) Kit di installazione con preconfigurazione Antivirus Sophos How-to Analisi di possibili tool Hardening del sistema operativo How-to Integrity checking Tool di verifica integrita file di sistema
2 - GPO Obiettivi: Ricognizione tra le sedi e coordinamento delle Group Policy in un contesto nazionale. Applicazione delle impostazioni relative alla sicurezza, alla configurazione di applicativi e servizi, alle user preferences, mediante approccio centralizzato finalizzato a: la riduzione degli interventi di configurazione da eseguire localmente su ciascun client Windows la minimizzazione dell impatto sulle risorse di gestione il management coordinato delle infrastrutture Windows Definizione di un modello consigliato per AD orientato al serving centralizzato delle politiche comuni Scopo del progetto e il Coordinamento dell infrastruttura Windows INFN e delle politiche comuni con riduzione delle risorse di gestione Partecipanti: N.Amanzi (coord), laureando
2 - GPO Fasi del progetto: Definizione di un set di policies utente/macchina rilevante in ambito comune, contraddistinte da: l individuazione delle specifiche e degli strumenti per la costruzione di criteri GPO la definizione delle impostazioni per il set comune dei criteri Applicazione sincrona dei criteri nell ambito delle infrastrutture locali di dominio Windows Individuazione dei container AD dove distribuire le GPO Definizione della strategia di propagazione Estensione dell applicazione delle GPO sia in ambito geografico che ai client fuori dominio mediante serving asincrono dei relativi file di definizione
2 - GPO Deliverables: Procedure di allineamento per le GPO mediante rilascio di: report specifici di definizione dei criteri comuni e delle relative impostazioni procedure e kits per la generazione di criteri GPO da chiavi/valori di registro file di aggiornamento che definiscono le impostazioni per i criteri comuni e relative procedure di import procedure e eventuali kits per il get asincrono dei criteri in ambito geografico e/o per i client fuori dominio
3 X-AUTH Obiettivi: Studio di un infrastruttura geografica, in ambito INFN, per l interoperabilita Windows/UNIX finalizzata a: l autenticazione centralizzata, su protocollo Kerberos v.5, in regime di single sign-on l autorizzazione per l accesso a risorse e servizi basata sulle relazioni di fiducia, definite tra MIT K5 Realms e Windows Domains, e sulle membership degli utenti attribuite in ambito locale Scopo del progetto e la coordinazione degli ambienti Windows/UNIX in relazione ai meccanismi di autenticazione ed autorizzazione all accesso delle risorse Partecipanti: E.Fasanelli (coord), N.Amanzi
3 X-AUTH Fasi del progetto: Implementazione di infrastrutture pilota locali Individuazione della configurazione ottimale dei DCs Windows come KDC Definizione delle specifiche per l implementazione delle relazioni di trust tra UNIX/LINUX realm e Windows domain e procedure di configurazione dei client Windows Implementazione di automatismi per l import degli account utenti MIT Kerberos nell ambito dello spazio dei nomi relativo all AD del Windows trusting domain Esecuzione di test in cross autenticazione/autorizzazione Porting dell implementazione in ambito geografico/nazionale e valutazioni di fattibilita
3 X-AUTH Deliverables: Procedure per: l implementazione di un infrastruttura modello di AD orientata al remapping degli account locali la configurazione dei Domain Controller come KDCs la configurazione dei client Strumenti di management e monitoraggio relativi a: la definizione e il management degli account di AD il tracciamento del traffico di rete e il logging degli eventi che interessano il servizio KDC, il feedback per il serving LDAP Windows la gestione dei tickets e la visualizzazione delle relative proprieta