Topic: Proxy con autenticazione

[pierangelo]

Buongiorno, mi chiamo Pier Angelo, sono un diversamente giovane di 56 anni e purtroppo mi trovo a gestire una serie di server per le scuole in Valle d'Aosta. Fino ad ora avevamo usato la distribuzione PingOO che era fornita da un Dipartimento tecnologico dell'Alta Savoia, l'avevamo scelta proprio perché era un ufficio regionale per cui eravamo tranquilli. Ebbene la Francia ha iniziato la spending review prima di noi e ha privatizzato il tutto. Ovviamente la distribuzione è stata lasciata morire.
Detto questo, scusate se mi sono dilungato ma dovevo spiegare il perché, ho provato ad installare uno SME server e funziona tutto, il RAID, le i-bay, i gruppi, gli utenti, il dominio sia con XP, sia con Win7, il WebFiltering, in pratica tutto ciò che mi serve per i server didattici.
L'unico problema è l'autenticazione per la navigazione in Internet in quanto, nella prima scuola in cui andrò a provare il server, i pc sono in wifi con un access-point collegato al server e, quindi, una volta collegati all'AP, i pc passano dal server SME e vanno direttamente in internet.
La soluzione più semplice era quella di lasciare aperta la rete wifi e bloccare gli accessi ad Internet tramite un proxy, come facciamo adesso con il server PingOO (finchè non muore) ma mi sembra di aver capito che lo SME server (il mio è in configurazione server+gateway) abbia un proxy trasparente.
Prima di cercare soluzioni alternative, ad esempio cambiare il router e mettere un'autenticazione li, oppure rendere non visibile la rete wifi magari con accesso tramite Imac delle schede di rete dei pc, ci sarebbe la possibilità di attivare sul server SME un'autenticazione tramite proxy?
In teoria Dansguardian dovrebbe fare ciò ma quando ho provato ad installarlo funzionava talmente bene che non uscivo più su Internet, ma sicuramente ho sbagliato qualcosa.
Spero di essere stato sufficientemente chiaro, in ogni caso per chi vorrà rispondermi sono a disposizione per ogni ulteriore chiarimento.

[Stefano]

Ciao e benvenuto

vista la "delicatezza" della cosa e le necessità, direi che è il caso di pensare ad alternative strutturali..

SME come server ecc è un ottimo prodotto e mi fa piacere che tu te ne sia accorto

fa molte cose, alcune benissimo, altre un po' meno.

Il mio suggerimento è quello di pensare una struttura dove SME faccia solo da server smb e utenticazione/dominio e spostare la parte di filtraggio/firewalling/accesso all'esterno su un altra appliance, come ad esempio un pFsense o un endian firewall.
Entrambe le distribuzioni hanno una parte di captive portal che permette di obbligare la rete wifi a sottostare alle regole imposte.
Inoltre in questo modo separeresti i dati "personali" dalla macchina che fa da frontiera verso l'esterno.. e se anche quest'ultima dovesse schiattare, tu lavori in lan senza problemi
Entrambe le soluzioni permettono di autenticare verso un server Radius, servizio che SME mette a disposizione e che quindi ti permette di centralizzare gli utenti.

Alternativamente c'è, ma non so in che stato di manutenzione sia, un contrib che permette di installare un captive portal su SME.. coovachili o simili, non ricordo (mai usato).. sono sicuro che se cerchi qui nei forum e nel wiki qualcosa ricavi.

Ovviamente la prima soluzione comporta una maggiore complessità e la necessità di essere formati su due sistemi, ma visto che entrambe sono mediate tramite una pratica interfaccia web, direi che per il momento potresti cavartela in poco tempo.

per il resto, siamo qui.

rinnovo il mio benvenuto, ti esorto a leggere bene la documentazione e a "registrarti" nel topic "[OT] dove siamo?", grazie

[pierangelo]

Grazie,
si, avevo già pensato che potevo usare il server solo come file server e gestore dominio, affidando all'autenticazione un router Microtik, che abbiamo già utilizzato e che fa proprio questo ed anche il web filtering, però se c'era una soluzione senza dover cambiare l'infrastruttura era meglio, anche perché non so se vi sia mai successo, ma dover discutere con gli ottavi livelli, e sovente anche con i tecnici, delle scuole, non è proprio la cosa migliore che ti possa capitare.

[Stefano]

lo so, ma a questo punto ti faccio una domanda: tu che "responsabilità" hai?

nel senso: se devi offrire qualcosa che tu possa padroneggiare e della quale tu ti possa fidare e, alla fine, assumertene la/le responsabilità, sei TU che ad un certo punto devi mettere paletti/limiti..

se conosci il Microtik ben venga, hai già la soluzione..

le scelte infrastrutturali si fanno anche sulla base di responsabilità ed assunzione delle stesse.
faccio un esempio banale.. se vado in un ufficio e mi chiedono di mettere tutti gli utenti delle macchine windows nella classe administrator, io lo faccio, premettendo che però così poi di ogni minkiata compiano gli adulti senzienti davanti ai pc la responsabilità è loro e loro pagano anche l'assistenza.
in una scuola, dovessero chiedermi una cosa del genere (e sono certo che non lo facciano, ma il mondo è strano.. eppoi sto esemplificando), non lo farei manco morto, nemmeno per il preside o i professori.

spero di aver trasmesso il mio modo di vedere.. se tu hai una struttura/soluzione collaudata, della quale hai fiducia e conoscenza, quella è, punto.
eventualmente chiedi agli ottavi livelli o ai tecnici di sottoscrivere con loro nome e cognome una dichiarazione nella quale loro si assumono le responsabilità di una scelta che tu NON consigli.. vedrai il risultato

ironia a parte, discutiamone..

Stefano e il metodo GRN

[Fumetto]

Caso vuole che sto sviluppando una soluzione simile... ho dato un'occhiata a Zeroshell ma penso di buttarmi su pfSense, mi sembra meno "rognoso" da configurare.
Comunque quanto detto da Stefano è vero, meglio un gateway che NON sia SME, se scegli bene la distribuzione che ti faccia da firewall/gateway alla fine spendi meno tempo nel "tuning" del sistema... alcune cose per farle con SME (proprio perchè non è stato pensato per fare da gateway anche se può) si possono solo da linea di comando e necessitano di una discreta conoscenza del suo sistema di template.

[Stefano]

Fumetto, conttattami offline, grazie

Chiedo scusa per l'uso privato di mezzo pubblico

[nicolatiana]

@Stefano Ricordi bene, il Contrib è CoovaChili; il mantainer è Daniel B. di Firewall Services quindi credo che sia seguito adeguatamente.

Nicola

[pierangelo]

@Stefano
Io faccio parte del gruppo TICE della Sovraintendenza agli studi che si occupa di supportare le Istituzioni scolastiche in merito a tutto ciò che è Nuove Tecnologie (anche se adesso sono ormai vecchie), per quanto riguarda la responsabilità ti faccio un esempio:
Un'istituzione ci ha chiesto come avrebbe dovuto fare per realizzare una rete abbastanza complicata, abbiamo fatto un progettino e glielo abbiamo inviato, un mese dopo l'istituzione ci ha detto che pensava di fare in modo diverso, abbiamo risposto che così facendo sarebbero andati incontro al problema a, al problema b e al problema c, l'istituzione ha fatto come voleva e una settimana dopo ci ha chiamati perchè DOVEVAMO risolvergli il problema a, il problema b e il problema c....
I nostri rapporti con le Istituzioni (non tutte, fortunatamente) sono sovente a questo livello, ogni tanto ci impuntiamo di fronte alle stravaganze più eccentriche, però non sempre possiamo farlo.
C'è anche da dire che, per di più, in molte situazioni vi sono degli ibridi, nel senso che intervengono ditte esterne con loro apparecchiature che hanno tutto l'interesse ad avere il controllo completo di tutta l'infrastruttura dell'Istituzione, per cui il più delle volte quando intervengono, i nostri apparati restano spenti, vengono messi fuori rete e tante altre amenità, oltre al fatto che cercano continuamente di convincere Dirigente e ottavo che tutto funzionerebbe meglio se gestissero tutto loro, ovviamente dietro lauto compenso.
In definitiva non abbiamo una responsabilità ben definita, nel senso che comunque è il Dirigente dell'Istituzione che è il responsabile, però siamo tra l'incudine e il martello e ci rompono le scatole tutti per qualunque stupidaggine e dobbiamo risolvergliele.
La nostra è una posizione un po' strana, tanti fastidi e nessun "potere", neanche quello di chiedere, come dicevi, una dichiarazione perché comunque l'Istituzione è libera di fare ciò che vuole. Da anni ci stiamo battendo per delle soluzioni condivise in modo da creare un'infrastruttura comune, ma non riescono neanche (e sono una 20ina di Dirigenti, non 200) a mettersi d'accordo per scegliere un fornitore unico ad esempio per il registro elettronico, figuriamoci per il resto...
Per quanto riguarda il Microtik abbiamo messo in piedi un sistema di autenticazione centralizzata con server radius, per cui un insegnante che si sposta da una sede all'altra o da un'Istituzione all'altra, dove ci sono i Microtik può connettersi ad internet con il suo login e la sua password ed accedere oltre che ad internet, alle Google Apps personalizzate che abbiamo implementato, ripeto dove ci sono i Microtik perché anche qui l'Istituzione decide di fare ciò che vuole...

Ciao

[Stefano]

hai tutta la mia stima, fratello (Cit.)

ok.. allora torniamo al tuo progetto iniziale e lavoriamo su quello..
(ri) fai eventuali domande, vediamo di trovare risposte e soluzioni

[pierangelo]

Grazie per il conforto morale...
Lunedì prossimo proviamo a mettere uno SME in una scuola e vediamo... l'idea è di mantenere il webfiltering sul server, soprattutto visto che è una scuole elementare, rendere la rete wifi non visibile e protetta da chiave wep e facciamo un po' di prove...
Mercoledì ne mettiamo uno in una segreteria, lì quel problema non sussiste perché i pc sono in rete fisica e quindi non c'è l'accesso di estranei via wifi, il problema sarà vedere come funzionano gli applicativi che hanno il db sul server e quindi mappature di cartelle e quant'altro...
Ti dirò come è andata...

[Stefano]

il problema sarà vedere come funzionano gli applicativi che hanno il db sul server

definisci applicativi e "db sul server".. se db=mysql, vanno, se db=file in cartelle condivise aperti in contemporanea, dipende

[pierangelo]

Magari fossero Mysql... no, no, sono files e almeno uno degli applicativi vuole che la cartella sul server sia mappata con una lettera precisa altrimenti non funge...
Gli applicativi sono software Windows, alcuni vogliono che ci sia Word installato sul pc (e di una versione precisa) altrimenti non
ti stampano i report, ecc..., ecc...
D'altra parte noi siamo Regione Autonoma per cui non usiamo i software che usano tutte le scuole di tutta l'Italia per la gestione degli alunni, la contabilità ed altro, i software sono stati realizzati in loco con spese enormi, assolutamente "chiusi" e tecnologicamente, spesso, indietro anni luce da ciò che si potrebbe fare.
Fino a una decina di anni fa il passaggio delle informazioni relativi ad un alunno da un grado all'altro poteva avvenire solo con lo scambio di un floppy mentre io avevo già realizzato un software per il TFR dei supplenti (utilizzato nelle scuole ancora oggi) in php con database Mysql centralizzato su server Linux, compatibile con tutti i browser e senza bisogno di installare nulla sul pc.

[alefattorini]

Ciao Pierangelo,
dato che ti hanno già consigliato pfsense o zeroshell metto anche io miei 2cent, se conosci già SME non troverai problemi a provare NethServer, è molto simile a SME ma è già integrato il proxy + filtro contenuti (si installa con un click!)
Il sito di riferimento è questo, scaricalo e fammi sapere:
http://www.nethserver.org/

Il proxy puoi lasciarlo trasparente o metterlo autenticato/manuale ed attivare su di esso dei filtri (c'è anche antivirus web!)
Se vuoi maggiori info sulle caratteristiche del proxy le trovi qua (oltre al resto del manuale):
http://nethserver.readthedocs.org/it/latest/web_proxy.html

Chiaramente ha già in sè tutto quello che usi già su SME "il RAID, le i-bay, i gruppi, gli utenti, il dominio sia con XP, sia con Win7"

Se hai bisogno di maggiori info o supporto qui ci sono tutte le indicazioni: http://www.nethserver.org/index.php?id=support
Se non sono stato abbastanza chiaro chiedi pure
Alessio

[pierangelo]

Lo sto già scaricando....

[Milano1971]

Ho dato anch'io un'occhiata a nethserver e lo trovo molto ben fatto. Unica pecca nel caso ci sia bisogno di qualche aiutino non ha un forum come questo di sme. Mi sbaglio?