Network: Difference between revisions

From Web
Jump to navigation Jump to search
Line 222: Line 222:
E' una vlan che assegna ip automaticamente a qualunque pc (dhcp dinamico) ma la navigazione e' consentita solo previa autenticazione attraverso credenziali ldap di Ateneo valide.
E' una vlan che assegna ip automaticamente a qualunque pc (dhcp dinamico) ma la navigazione e' consentita solo previa autenticazione attraverso credenziali ldap di Ateneo valide.


L'autenticazione avviene solo attraverso un numero ristretto di protocolli. Uno di questi é l'http. Ad esempio ssh non e' riconosciuto.
L'autenticazione avviene attraverso ''http''.


* '''Importante SSH''' Può capitare che dalla rete untrusted ci si voglia collegare via ssh a una macchina del dii. Per poterlo fare occorre prima collegarsi via http ad una macchina della rete del dii, ad esempio visitando il sito: http://dii.ing.unimo.it , in questo modo il router/firewall riconosce il protocollo http e chiederà l'autenticazione che ''sbloccherà'' il routing. Solo dopo tale autenticazione sarà possibile collegarsi via ssh alla rete del dii.
L'autenticazione avviene in questo modo: provando a navigare via http verso qualunque sito web, il firewall intercetta la richiesta http e la usa per richiedere l'autenticazione che sblocca la navigazione verso la ''rete'' in cui si trova il sito. Per sbloccare la navigazione occorrono credenziali di posta (ldap) di ateneo valide. Una volta sbloccata il firewall permetterá il passaggio di informazioni http e anche di altri protocolli internet (in accordo con le politiche di firewalling di ateneo e ingegneria).
 
Le reti viste dalla rete untrusted sono:
* ''backbone'' ovvero qualunque sito fuori da ingegneria é considerato parte della rete backbone.
* ''informazione''
* ''meccanica''
* ''materiali''
* ''didattici''
* ''democenter''
* ''amministrazione''
* ''weblab''
* ''lapis''
Ogni volta che dalla rete untrusted ci si collega ad una rete diversa il firewall chiedera' l'autenticazione. Purtroppo il firewall non puó essere configurato in modo da richiedere una sola volta per tutte l'autenticazione.
 
* '''SSH e altri protocolli tcp/ip''': può capitare che dalla rete untrusted ci si voglia collegare via ssh a una macchina ad esempio del ''dii''. Per poterlo fare occorre prima collegarsi via http ad una macchina della rete del ''dii'', ad esempio visitando il sito: http://dii.ing.unimo.it , in questo modo il router/firewall riconosce il protocollo http e chiederà l'autenticazione che ''sbloccherà'' il routing. Solo dopo tale autenticazione sarà possibile collegarsi via ssh alla rete del dii.


==== Tunneling attraverso Ssh ====
==== Tunneling attraverso Ssh ====

Revision as of 09:05, 8 June 2009

Riferimenti alla rete di Ateneo

Rete di ateneo

Sicurezza

Posta

  • Il portale per l'accesso e la configurazione della posta elettronica di Ateneo si trova a questo indirizzo https://posta.unimore.it/

Come mettere in rete un calcolatore

Scrivere un'email ad Alberto Corni ed incollarvi questa tabellina compilata con i dati del calcolatore da mettere in rete

nome computer  : 
mac            : 
rete           : 
responsabile id: 
user id        : 
OS             : 
portatile      : 
anno           : 
posizione      : 
inventario     : 
presa di rete  : 

Significato dei vari campi:

  • nome - Nome che si intende dare al calcolatore, alla stampante o all'apparato che si vuole aggiungere alla rete.
  • mac - (guarda questo) Indirizzo fisico della scheda di rete (MAC Address) esempio 00-18-d4-1c-f5-8d. In Windows si puó scoprire ad esempio aprendo programmi->accessori->prompt dei comandi e scrivendo il comando ipconfig /all. In Linux usare il comando ifconfig e cercare la stringa HWaddr. In Mac OS X aprire 'System Preferences' (normalmente si trova nella Dock) e selezionare Network. Scegliere una location e specificare l'interfaccia di rete di cui si vuole il mac address 'Built-in Ethernet', quindi selezionare la tab Ethernet. Il MAC address é chiamato 'Ethernet ID:'. Nel caso di portatili (che normalmente hanno la scheda wireless) o PC con piu' schede di rete, Fare attenzione a comunicare in MAC address della scheda a cui sara' collegato il cavo di rete.
  • rete - Rete a cui si intende collegare il calcolatore. Es: DII, DIMEC, DIMA o amministrazione.
  • responsabile id - identifica il responsabile del calcolatore: e' lo username che l'utente usa per collegarsi alla posta oppure alla rete wireless. Si puo' sapere cercando su http://posta.unimore.it/ . Esempio: Username: acorni
  • user id - identificativo di chi usa il calcolatore. Si puo' sapere cercando su http://posta.unimore.it/
  • OS - Sistema operativo
  • portatile - Se si tratta di un portatile
  • anno - Anno di acquisto
  • posizione - Posizione in cui si trova il calcolatore. Es:
  laboratorio dottorandi primo piano informazione
  • inventario - numero di inventario della macchina. Esempio: dii/000633
  • presa di rete - Opzionalmente, nome della presa di rete a cui verrá collegato il calcolatore. Questo é il nome che si legge sulla presa di rete a muro. Es: 03PPI, A10, 04

Pagine correlate

How connect a device to the network

Write an email to Alberto Corni with the following table filled with tne device's data:

computer name    : 
mac              : 
network          : 
responsible id   : 
user id          : 
OS               : 
portable         : 
year             : 
position         : 
inventory id     : 
network socket id:

Fields meanings:

  • name - The namef rof the computer, printer or device to connect to the network.
  • mac - (see this) Phisical Addresso of the network card (MAC Address) example 00-18-d4-1c-f5-8d. In Windows you can get it for example following START->programs->accessories->command prompt and writing the command ipconfig /all. In Linux use the command ifconfig and find the string HWaddr. Mac OS X, open System Preferences (usually found in the Dock) and select Network. Pick a location and specify the interface whose MAC address is desired in the Show: drop down list. For Built-in Ethernet, select the Ethernet tab. Read the MAC address labeled Ethernet ID:. The notebooks usually mounts a wireless network card, or computers with several network cards, pay attention to write the MAC address of the card which will be connected to the network cable.
  • network - The sub-network you want to connect the device. Examples: DII, DIMEC, DIMA o administration.
  • responsible id - identifies the responsible of the IP address: it is the username used by the user to connect to the university email or to the wireless service. You can get it searching on http://posta.unimore.it/ . Example: acorni
  • user id - identifies the user of the IP address. You can get it searching on http://posta.unimore.it/
  • OS - Operating System, e.g. Windows XP, Linux, ...
  • portable - yes or no, yes if is a portable computer
  • year - the year wich you bought the device
  • position - Write here where will be positioned the device. E.g.:
  laboratorio dottorandi primo piano informazione
  • inventory id - intentory numeber of the machine. Example: dii/000633
  • network socket id - Optionally, the network socket identifier of the wall socket which you use to connect the pc to the network. E.g.: 03PPI, A10, 04

Rete wireless del campus di Ingegneria

Alberto 14:36, 17 April 2007 (CEST) E' terminata l'installazione della nuova rete WiFi di Campus, questa è basata su un sistema proprietario Aruba e si presenta come una connessione WiFi non protetta (id: UNIMORE). L'autenticazione avviene attraverso una pagina Web.

Altre informazioni sono presenti sul sito del CeSIA Accesso Wi-Fi (Wireless Fidelity).

L'accesso alla rete è consentito solo a mezzo di Username/Passwordsecondo le seguenti modalità:

La rete wireless di ateneo adotta un sistema di idle-timeout di 15 minuti sull'utente, ovvero dopo 15 minuti di attività viene richiesta di nuovo l'autenticazione.

Troubleshooting

Se si vede la pagina di autenticazione Aruba ma non ci si riesce a collegare, provare a:

  • Provare a collegarsi come utente guest (unimore/unimore). Se non ci si collega potrebbe essere un problema del proprio PC.
  • Provare a riallineare la password di posta con quella del DB centralizzato delle utenze (ldap), accedendo a posta.unimore.it e reimpostando la passwd (nella pagina principale c'e' un link a Cambiare la password.
  • Collegarsi a webmail della posta di ateneo all'indirizzo http://posta.unimore.it/, se non ci si collega allora occorre verificare che l'account sia valido contattando ad esempio l'assistenza della posta elettronica.
  • Per assistenza sulla rete wirless a livello di ateneo contattare support_wireless@unimore.it, tuttavia è preferibile prima contattare un tecnico del DII (come Alberto Corni) in modo da condividere il problema ed eventualmente contattare assieme l'assistenza di ateneo.


Personale Esterno (Ospiti,Guest)

Al personale dipendente (professori, ricercatori, tecnici e amministrativi) e gli studenti (anche di dottorato) vengono assegnate d'ufficio le credenziali (username e password) per l'accesso alla posta elettronica di ateneo e alla rete Wireless).

Tutte le altre persone che possono accedere ai servizi di ateneo (posta e wireless) sono considerati personale esterno. Esempi sono collaboratori, contrattisti, laureati frequentatori, etc.

Chi ne ha diritto può chiedere di essere registrato come utente esterno, al centro di calcolo è redatta la lista (accessibile solo dalla rete di Ateneo)

Responsabili e incaricati per l'identificazione del personale esterno

basta rivolgersi alla persona indicata per il proprio dipartimento di afferenza (per il DII é Elvira) presentando:

  • fotocopia di un documento di autenticazione VALIDO
  • fotocopia del codice fiscale

Questi due documenti dovranno essere spediti dall'incaricato (e non dal richiedente) via FAX al centro di calcolo e associati al richiedente usando un'applicazione del centro di calcolo accessibile a questo indirizzo:

 https://centos-host1.lab.unimo.it/pi/login.php

A questo punto il richiedente riceverà le istruzioni per completare la registrazione, in questa seconda fase il richiedente potrà scegliersi username (sempre che non sia un nome già usato) e password per accedere ai servizi di ateneo.

Informazioni correlate

Altre note

Neo Laureati

Per i neo laureati: attualmente NON esiste una politica di ateneo per la gestione degli account di studenti laureati. In sostanza gli account dei laureati vengono periodicamente cancellati,con frequenza dipendente dalle scelte dei gestori del servizio. Un neo lureato può essere nuovamente inserito nel DB centralizzato rivolgendosi alla segreteria del dipartimento e richiedendo nuove credenziali a titolo di laureato frequentatore.

  • Il data-base LDAP centralizzato di ateneo (utilizzato da wireless, vpn e PC con autenticazione centralizzata di laboratori/bilblioteche), la cancellazione viene fatta saltuariamente, per cui alcuni account vengono cancellati dopo pochi giorni dalla laurea, mentre altri dopo varie settimane o mesi.
  • Nei laboratori di ingegneria invece, dovrebbero procedere alla pulizia degli account scaduti durante il periodo estivo, quindi i laureati "perdono" le credenziali con l'inizio del nuovo anno accademico.
  • Del servizio di posta (che per ora non utilizza il DB centralizzato, ma una replica allineata), non conosco le modalità di cancellazione.

Stampare da Wifi sulle stampanti di dipartimento

--Alberto 16:45, 7 April 2008 (CEST) Il dipartimento usa la soluzione wifi di ateneo. Questo significa che i pc che si connettono a wifi dal dipartimento vengono messi in una rete comune a tutto l'ateneo (compresi ad esempio Rettorato, il campus di via Campi, Reggio Emilia).

Si e' quindi scelto di NON permettere l'accesso alle stampanti di dipartimento da Wifi, altrimenti, qualcuno potrebbe stampare piu' o meno volontariamente da altre zone dell'universitá.

Possibili Soluzioni.

La soluzione piú semplice e' chiedere a chi ha un pc configurato (e autorizzato) per l'accesso alla rete di dipartimento di stampare il proprio documento, passando il documento ad esempio via email.

Un altro modo di stampare, piú tecnologico, presuppone che si abbia un account su una macchina con ssh server nella rete di dipartimento. In questo caso si puó usare il port forwarding di SSH, facendo il forword della porta lpr della stampante su cui si indende stampare. Vedere tunneling usando SSH.

Firewall sulla rete

Da ingegneria ci sono tre livelli di firewall prima di accedere a internet:

 -----------  
( Internet  ) 
 -----------  
    |
    | CeSIA-FW
    |
 --------- 
(  CeSIA  ) 
 --------- 
    |
    | Ing-FW
    |
 -------------------
(router Ingegneria  )
 -------------------
   |  |  |  |  |  |
   |  |  |  |  |  |  -------------------
   |  |  |  |  |  +-( VLAN Untrusted    )
   |  |  |  |  |     -------------------
   |  |  |  |  |
   |  |  |  |  |  -------------------
   |  |  |  |  +-( VLAN Informazione )
   |  |  |  |      ------------------
   |  |  |  |
   |  |  |  |  ----------------
   |  |  |  +-( VLAN Meccanica )
   |  |  |     ----------------
   |  |  |
   |  |  |  ----------------
   |  |  +-( VLAN Materiali )
   |  |     ----------------
   |  |
   |  |  ----------------
   |  +-( VLAN spinoff   )
   |     ----------------
   |
   etc..              

Il risultato è che (tranne le eccezioni autorizzate)

una macchina di ingegneria può collegarsi verso l'esterno a qualunque porta,

una macchina di ingegneria può essere contattata dall'esterno sulla porta 22 (protocollo ssh).

CeSIA-FW

Gestito dal gruppo di sicurezza di ateneo (Lalla Mantovani), implementa tutte le policy decise a livello di ateneo. Filtra ogni pacchetto entrante e uscente dall'ateneo.

Politiche di default:

  • In uscita sono aperte tutte le porte
  • In ingresso sono aperte le porte 22 e tutte quelle sopra la 1024 tranne i protocolli VNC e RDestkop

Eccezioni a queste regole possono essere richieste al gruppo della sulla sicurezza di ateneo (Marialaura Mantovani). Normalmente le porte a aperte verso Ingegneria sono poi filtrate dal firewall di Ingegneria.

Ing-FW

Da Maggio 2007 é stato installato un router/firewall omogeneo con gli altri router/firewall di ateneo con cui condivide il sistema di configurazione centralizzato. É Gestito dal personale tecnico di Ingegneria e dal gruppo sicurezza del CESIA introduce ulteriori filtri secondo le politiche decise a Ingegneria sia per la comunicazione da e verso l'esterno di ingegneria sia per la comunicazione tra le sottoreti di ingegneria.

Politiche di default servizi abilitati su tutte le macchime. Sono distinti diversi gruppi di regole:

  • In uscita, da ingegneria verso internet
    • puó uscire tutto da tutte le sottoreti
  • In ingresso, da internet verso ingegneria
    • i protocolli abilitati sono solo SSH, PING, TRACEROUTE
  • Tra le varie sottoreti, ad esempio tra informazione e meccanica o viceversa:
    • sono abilitati FTP, HTTP, HTTPS, SSH e tutte le porte sopra la 1024

Eccezioni a queste regole possono essere richieste ad Alberto Corni.

Rete Untrusted

Ad ingegneria esiste la rete untrusted, si tratta di una vlan a cui sono collegate prese di rete site in posti pubblici. Ad esempio nelle aule didattiche, nelle sale riunione ed in alcuni laboratori.

E' una vlan che assegna ip automaticamente a qualunque pc (dhcp dinamico) ma la navigazione e' consentita solo previa autenticazione attraverso credenziali ldap di Ateneo valide.

L'autenticazione avviene attraverso http.

L'autenticazione avviene in questo modo: provando a navigare via http verso qualunque sito web, il firewall intercetta la richiesta http e la usa per richiedere l'autenticazione che sblocca la navigazione verso la rete in cui si trova il sito. Per sbloccare la navigazione occorrono credenziali di posta (ldap) di ateneo valide. Una volta sbloccata il firewall permetterá il passaggio di informazioni http e anche di altri protocolli internet (in accordo con le politiche di firewalling di ateneo e ingegneria).

Le reti viste dalla rete untrusted sono:

  • backbone ovvero qualunque sito fuori da ingegneria é considerato parte della rete backbone.
  • informazione
  • meccanica
  • materiali
  • didattici
  • democenter
  • amministrazione
  • weblab
  • lapis

Ogni volta che dalla rete untrusted ci si collega ad una rete diversa il firewall chiedera' l'autenticazione. Purtroppo il firewall non puó essere configurato in modo da richiedere una sola volta per tutte l'autenticazione.

  • SSH e altri protocolli tcp/ip: può capitare che dalla rete untrusted ci si voglia collegare via ssh a una macchina ad esempio del dii. Per poterlo fare occorre prima collegarsi via http ad una macchina della rete del dii, ad esempio visitando il sito: http://dii.ing.unimo.it , in questo modo il router/firewall riconosce il protocollo http e chiederà l'autenticazione che sbloccherà il routing. Solo dopo tale autenticazione sarà possibile collegarsi via ssh alla rete del dii.

Tunneling attraverso Ssh

Visto che il protocollo ssh é abilitato per default per tutte le macchine puó essere utile sapere che ssh puó essere usato per "trasportare" e criptare protocolli diversi quali VNC o remote desktop. Vedere a tal proposito la pagina su SSH.

Servizi informatici di ateneo

Pubblicare dispense per gli studenti

vedere Dispense didattiche

Liste di distribuzione di ateneo

La lista degli iscritti alla lista del DII può essere consultata all'indirizzo Lista_DII.

Le liste che interessano il campus di ingegneria di Modena sono

   dip_ingegneria_dellinformazione@unimore.it
   dip_ingegneria_meccanica_civile@unimore.it
   dip_ingegneria_deimateriali_dellambiente@unimore.it
   doc_fac_ingegneria_mo@unimore.it
   biblioteca.ingegneria@unimore.it

Per iscrizioni, cancellazioni o maggioni informazioni, spedire una e-mail a support_posta@unimore.it.

Link utili

Dettagli tecnici rete del campus di Ingegneria

Pagine accessibili solo agli utenti registrati

Pagine accessibili solo ai tecnici addetti ai lavori