ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING

  • Slides: 19
Download presentation
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI

ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI dicembre 2002 - revisione maggio 2003 AMANZI NUNZIO – http: //www. lnf. infn. it/~amanzi – nunzio. amanzi@lnf. infn. it

PRESUPPOSTI Esportare e distribuire in rete un environment windows con le seguenti prerogative: §

PRESUPPOSTI Esportare e distribuire in rete un environment windows con le seguenti prerogative: § collocare la home dir, ovvero il profilo utente Windows su un server di rete; § definire le specifiche di accesso e autenticazione in modo tale che lo stesso profilo sia sempre disponibile nella lan e persino nella wan; § accedere al profilo, ovvero ai propri file, ai bookmarks, alle impostazioni di configurazione, contestualmente alla fase di login dalla postazione client; § accedere al Windows Environment, e quindi al proprio profilo, anche da postazioni non windows

OBIETTIVI L’interesse di questo complesso studio di fattibilità si è focalizzato sui seguenti aspetti:

OBIETTIVI L’interesse di questo complesso studio di fattibilità si è focalizzato sui seguenti aspetti: § inquadrare gli aspetti connessi con il Windows Environment Session Login in forma astratta; § studiare metodologie di configurazione secondo uno schema client-server; § implementare nel caso specifico dei LNF – INFN una configurazione basata su: § la definizione di gerarchie ed ereditarietà di policies in un ambiente distribuito quale l’Active Directory; § la collocazione e il puntamento del profilo utente windows presso il corrispondente spazio user su AFS della cella lnf. infn. it; § l’accesso ad AFS nella LAN e nella WAN ottenendo il token contestualmente al login dal client; § l’eventuale, fortemente consigliata, autenticazione a livello di Dominio Windows in fase di login da client; § l’accesso al proprio profilo su AFS mediante apertura di una sessione di login interattivo su server RDP mediante Windows Terminal Services.

Il raggiungimento degli obiettivi di questo studio, la definizione sia di un modello di

Il raggiungimento degli obiettivi di questo studio, la definizione sia di un modello di configurazione che di specifiche e strumenti di login, è stato caratterizzato dai seguenti aspetti: Ø Definizione, configurazione e gestione di un Profilo Windows; Ø Configurazione e management del Windows Terminal Services; Ø Active Directory Environment e Criteri di Sicurezza.

INTRODUZIONE AI PROFILI WINDOWS Quando un utente effettua il login su una postazione Windows

INTRODUZIONE AI PROFILI WINDOWS Quando un utente effettua il login su una postazione Windows il S. O. gli mette a disposizione un patrimonio caratterizzato da: • Le informazioni di configurazione relative al desktop, alle risorse e alle connessioni di rete, alle applicazioni; • La definizione degli shortcuts relativi allo Start Menu, ai documenti aperti di recente ai bookmarks delle URLS visitate; • I file utente memorizzati nel folder Documenti. E’ fondamentale definire globalmente il complesso di queste informazioni come Contesto Utente. Facendo riferimento alle versioni 2000/XP di Windows, la localizzazione fisica di questo environment si basa sulla coesistenza di tre fattori: • Un Profile Folder, memorizzato localmente per default all’indirizzo: %systemdrive%Documents and Settings%username% • Una home dir, alla quale fanno riferimento generalmente applicazioni di vecchia concezione che individuano lo spazio utente all’interno della cartella di sistema (del tipo C: WINDOWS – C: WINNT) • Le chiavi del Registro di Configurazione specifiche per ogni utente memorizzate nella cartella di sistema

ROAMING WINDOWS PROFILES A questo punto è lecito chiedersi se sia possibile collocare il

ROAMING WINDOWS PROFILES A questo punto è lecito chiedersi se sia possibile collocare il Contesto Utente su un server in modo che sia sempre disponibile lo stesso windows environment dovunque e comunque si faccia login. All’uopo, nell’ambito della configurazione utente, Windows permette di ridefinire l’indirizzo della directory di Profilo verso una url del tipo \nomeserveruserfolder. Un profilo utente residente su un server viene detto Profilo Roaming. Un profilo roaming, memorizzato su un server della lan o della wan, utilizza il corrispondente spazio locale alla postazione di login come interfaccia cache con l’utente. Il Windows Roaming Profile è caratterizzato da: E’ un profilo basato sul server che viene trasferito tramite download al computer locale quando un utente effettua un accesso e viene aggiornato sia sul computer locale che sul server quando l’utente si disconnette. Durante la sessione di login l’utente interagisce con il proprio profilo solo localmente, poiché il profilo locale presente per default agisce come una cache del profilo remoto. Profilo utente remoto Profilo Locale (cache) Connessione: i dati vengono trasferiti dal server ed eventualmente sincronizzati nella cache locale Profilo utente remoto Log out: i dati vengono trasferiti sul server dalla cache: tutte le modifiche effettuate in locale si trasferiscono sul server Profilo Locale (cache)

CARATTERISTICHE DEI ROAMING WINDOWS PROFILES § L’account utente e la relativa password devono essere

CARATTERISTICHE DEI ROAMING WINDOWS PROFILES § L’account utente e la relativa password devono essere validi sia per la workstation che per il server § L’accesso al server in fase di login è ottimizzato, poiché vengono trasferiti solo i file non presenti localmente e/o quelli più aggiornati § In fase di logout la comunicazione con il server si basa su una copia incrementale dei dati locali § Quando l’utente opera off-line, Windows utilizza il profilo locale che verrà sincronizzato con quello sul server al prossimo login § Si possono usare anche più macchine client per uno stesso account utente poiché i file utente presenti su una workstation, dopo essere stati trasferiti sul profilo comune, saranno esportati anche verso le altre postazioni. In pratica se un utente dispone di due client A e B contenenti rispettivamente il file_a e il file_b, dopo la loro connessione sequenziale, ciascuna di esse conterrà localmente sia il file_a che il file_b § La cartella Documenti del desktop client è una cache locale del server: memorizzare in essa i dati significa effettuare un backup incrementale della stessa ad ogni logout

ASPETTI DERIVANTI DAI ROAMING WINDOWS PROFILES La configurazione dei profili di roaming non è

ASPETTI DERIVANTI DAI ROAMING WINDOWS PROFILES La configurazione dei profili di roaming non è però risolutiva in termini di esportazione di un Windows Environment poiché: Come già accennato, alcuni dati di configurazione utente, non solo locali al profilo, ma definiti nel Registro di Configurazione; Alcune sottocartelle del profilo sono relative e contengono informazioni che dipendono dalla configurazione specifica del client dal quale si esegue l’accesso; In particolare i folders Desktop e Start Menu contengono puntatori (Shortcuts) a file (eseguibili o no) locali al client: la sincronizzazione in roaming di detti folders da più di un client potrebbe rendere questi puntatori indefiniti; La fase di sincronizzazione coinvolge anche i file temporanei, creando inutile traffico in rete e rischiando l’overflow di quota utente sul server. Occorre dunque estendere la configurazione ad un contesto più ampio di quello del Roaming Profile, definendo un modello astratto di impostazioni utente e pc risolutivo degli aspetti sopra elencati. Questo modello sarà rappresentato dai Criteri di Gruppo in un ambito client-server.

L’IMPLEMENTAZIONE SPERIMENTALE AI LNF-INFN

L’IMPLEMENTAZIONE SPERIMENTALE AI LNF-INFN

ASPETTI FONDAMENTALI ESAMINATI PER L’ESPORTAZIONE DI UN WINDOWS ENVIRONMENT § Utilizzo dei server AFS

ASPETTI FONDAMENTALI ESAMINATI PER L’ESPORTAZIONE DI UN WINDOWS ENVIRONMENT § Utilizzo dei server AFS della cella lnf. infn. it come Roaming Profile Servers § Definizione di una configurazione utente basata su Criteri di Gruppo § Autenticazione centralizzata a livello di Dominio Windows e relativa definizione di specifiche di sicurezza e Group Policies in un ambiente distribuito quale l’ Active Directory § Configurazione di un Server Windows che esporti in remoto, cioè su clients nella lan/wan, sessioni di login interattivo nelle quali il Windows Environment, ovvero il Contesto Utente, sia sempre lo stesso, cioè quello residente su AFS

ROAMING SU AFS Il roaming su AFS è stato caratterizzato dai seguenti aspetti: •

ROAMING SU AFS Il roaming su AFS è stato caratterizzato dai seguenti aspetti: • L’utilizzo del software IBM AFS Client per Windows, opportunamente configurato per ottenere il token contestualmente al login (account e password windows devono coincidere con quelle relative ad AFS) • Un’opportuna configurazione del file relativo agli AFS submounts, ovvero dei percorsi di rete, importati nel file system windows, tali da rendere disponibile in forma non ambigua e in fase di login lo spazio su AFS destinato ad ospitare il profilo • La definizione di una sintassi relativa ai percorsi di rete verso AFS che prescinda sia dall’host dal quale si effettua il login che dall’utente, avendo i quindi rilevanza astratta e validità estesa alla WAN • Il processo di mapping dei logical drives verso percorsi AFS è stato unificato e uniformato implementandolo nell’ambito di uno script di login [AFS Submounts] afs=/ lnf=/lnf. infn. it Path tipo di Profilo \%computername%-afslnfuserhome%username%privatepcWinprofile Path tipo Documenti \%computername%-afslnfuserhome%username%privatepcWindocs

CRITERI DI GRUPPO ED ACTIVE DIRECTORY Criteri di Gruppo è un insieme di policies

CRITERI DI GRUPPO ED ACTIVE DIRECTORY Criteri di Gruppo è un insieme di policies ovvero di criteri distinti in gruppi contestuali che mediante opportuna interfaccia (Microsoft Management Console) offrono uno snap-shot e uno strumento di configurazione ed amministrazione di alto livello compatibile con le chiavi del Registro di Configurazione di Windows e nello specifico dei settaggi relativi alla postazione (HKEY_LOCAL_MACHINE) e all’utente (HKEY_CURRENT_USER). Questi criteri (SACL) possono essere definiti localmente al pc di login o distribuiti in Active Directory. La configurazione dei criteri a livello di Dominio Windows impone anche la definizione di un opportuno meccanismo di eriditarietà e priorità di applicazione in ambito globale e locale. La definizione e quindi l’applicazione dei Criteri di Gruppo, relativamente all’utente, è caratterizzata dai seguenti aspetti: • Esporta chiavi di Registro; • E’ eseguita in fase di login, successivamente al net-logon, ; • Può essere configurata in modo che i criteri globali non vengano sovrascritti, in caso di conflitto, da quelli omonimi definiti localmente; • I criteri di dominio vengono applicati in basi a gruppi di utenti secondo specifiche definizioni di voci discrezionali (ACE)

CONSEGUENZE ALLA DEFINIZIONE DI CRITERI DI GRUPPO Una autenticazione a livello di Dominio e

CONSEGUENZE ALLA DEFINIZIONE DI CRITERI DI GRUPPO Una autenticazione a livello di Dominio e conseguente esecuzione delle Group Policies rappresenta un modello risolutivo in termini di esportazione di un Windows Environment delineabile in forma astratta cioè prescindendo dalla configurazione delle postazioni di login, infatti: • Gli utenti che da client si autenticano sul dominio importano un environment windows con profilo windows in roaming con AFS • Un sottoinsieme degli utenti di dominio può aprire una sessione di login sul server tramite Terminal Services • Alcuni utenti Terminal Services, oltre agli amministratori, possono assumere da remoto il controllo delle sessioni di login • Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) importano un windows environment in roaming con AFS • Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) sono soggetti a elevati criteri di sicurezza nell’accesso alle risorse e alle applicazioni del server, mediante la definizione di policies di gruppo, locali al server e globali nel dominio • Gli amministratori che aprono una sessione sul server non sono sottoposti ai detti criteri • L’account administrator ha un profilo locale e non ha accesso ad AFS • Da profili roaming vengono esclusi particolari folders locali i cui contenuti cambiano in base alle configurazione dei client di accesso • Il folder My Documents è escluso dal caching, ma è direttamente puntato su AFS • Ogni profilo roaming è quotato a livello di dominio; il folder My Documents non è sottoposto a predetta quotazione, ma solo a quella utente imposta per AFS • Possono essere definiti degli scripts a livello di dominio che vengono importati ed eseguiti localmente in fase di login

SERVIZI TERMINAL Ad integrazione delle specifiche di esportazione di un Windows Environment ai LNF

SERVIZI TERMINAL Ad integrazione delle specifiche di esportazione di un Windows Environment ai LNF è stato implementato un server Windows Terminal Services che esporta in una finestra di un client remoto un Desktop Windows il cui user environment sia quello definito in AFS. Sono state definite all’uopo, tra l’altro, i specifici paramentri di configurazione: Accesso al Servizio L’accesso è definito mediante privilegi associati a gruppi di utenti: in tal senso sono stati distinti gli utenti con privilegio di accesso da quelli con ulteriore privilegio di controllo delle Sessioni. Parametri di Sessione Sono stati distinti gli eventi di chiusura di sessione per logout o per disconnessione In particolare, sono stati definiti i tempi massimi di durata di una sessione attiva e di timeout per una sessione inattiva allo scadere dei quali, anche se il client è disconnesso, l’utente ha a disposizione un ulteriore ragionevole intervallo di tempo a disposizione entro il quale la sessione disconnessa è ancora runnante sul server è può essere riconnessa da quanlunque client. Environment di Sessione Gli utenti connessi ad una sessione sono in roaming e puntamento con il proprio spazio su AFS, possono accedere alle risorse di storage e stampa che Server Windows esporta in base ai privilegi definiti in Criteri di Gruppo. In particolare, i devices locali possono essere mappati nell’environment di sessione: ciò significa, per esempio, che un utente che apre un file su AFS mediante sessione di terminale windows ha la possibilità di inviarlo alle stampanti locali e/o a quelle remote esportate dal Server Controllo di Sessione Una sessione di terminal può essere controllata remotamente da un altro client di rete in base ai privilegi posseduti dal controllore e dal controllato.

TIPOLOGIE E FASI DI ACCESSO-AUTENTICAZIONE NETWORK LAYER AUTENTICATION LAYER

TIPOLOGIE E FASI DI ACCESSO-AUTENTICAZIONE NETWORK LAYER AUTENTICATION LAYER

AUTENTICAZIONE NEL DOMINIO WINDOWS - EVENTI Computer settings domain script net login local login

AUTENTICAZIONE NEL DOMINIO WINDOWS - EVENTI Computer settings domain script net login local login profile logon token AFS user settings local script disponibilità dei mappings disponibilità del percorso di rete Local Policies Aggiornamento cache locale ntuser. dat ntuser. ini Esecuzione Group Policies ntuser. pol 1 System file. pol Elenco ordinato 2 C BA LL CA profile folders Domain Policies System file. pol K user preferences hkey_current_user CK CALLBA other settings My Documents Desktop Applications POINTING Applicazione Group Policies AFS HOME

ESPORT WIRELESS DI UN WINDOWS ENVIRONMENT BLUETOOTH CONNECTION TERMINAL DOMAIN WINDOWS SERVER WINDOWS SESSION

ESPORT WIRELESS DI UN WINDOWS ENVIRONMENT BLUETOOTH CONNECTION TERMINAL DOMAIN WINDOWS SERVER WINDOWS SESSION IN WAN AFS HOME CH VPN CA CLIEN T GPRS CONNECTION N E T W O R K G TERMINAL SERVER ROAMING B U S PROFILE My Documents POINTING

ACTIVE DIRECTORY – FASI DI ACCESSO CENTRALIZZATO AL WINDOWS ENVIRONMENT Domain Users (2) Client

ACTIVE DIRECTORY – FASI DI ACCESSO CENTRALIZZATO AL WINDOWS ENVIRONMENT Domain Users (2) Client Login (1) Terminal Services Administartors W 2 k. RDPPower. Users W 2 k. RDPUsers Server Session AFS token Domain Autentication Profile Access Local Policies (on domain client or domain server) Roaming Users Administrators Others Administartors group policies Domain users group policies (1) – (2) LOGIN CACHING ‘Administrator’ account AFS HOME Others AFS USERS (AFSUsers group) ROAMING PROFILE My Documents POINTING WINDOWS ENVIRONMENT (2)Le sessioni sono indipendenti. In particolare la (2) può essere aperta successivamente alla (1) o quando non sia possibile autenticarsi da client in Active Directory (per es. , accesso dalla WAN e/o in WORKGROUP)

ASPETTI CONNESSI CON L’IMPLEMENTAZIONE DEL SERVIZIO Nell’ambito di una implementazione ottimale ed efficiente è

ASPETTI CONNESSI CON L’IMPLEMENTAZIONE DEL SERVIZIO Nell’ambito di una implementazione ottimale ed efficiente è opportuno tenere presenti i seguenti aspetti. ASPETTI A CARATTERE SISTEMISTICO • Definire e implementare un meccanismo di trust tra i differenti database utente e di cross-authentication tra i vari server/domini di autenticazione • Implementare un sistema di aggiornamento dell’orario nei clients della lan e della wan, definendo le specifiche nei casi particolari della loro appartenenza ad un dominio windows o ad una workgroup • Effettuare un controllo dinamico sulle versioni e sulla lingua del S. O. delle postazioni windows che accedono al servizio mediante l’implementazione di uno script opportuno nei criteri di gruppo computer, che agisca preferibilmente prima del login utente • Nel caso di roaming su AFS definire in criteri di gruppo computer un meccanismo mediante il quale sia possibile importare da un server nella wan (es. quello di dominio) la definizione dei submount AFS prima del login utente • Decidere a priori il comportamento che i clients devono assumere in fase di login quando il profilo di roaming non è disponibile ASPETTI E PREFERENZE LOCALI • Nell’ambito della definizione dei criteri di gruppo di dominio deve essere previsto uno script distribuito, definito sul server ed eseguito sul client successivamente al login, che dovrebbe essere in grado di: • Mappare i driver logici verso AFS in fase di login rendendoli nuovamente disponibili dopo il logoff: la definizione delle unità deve tenere conto di regole globali compatibilmente alle disponibilità particolari delle singole unità • Informare l’utente sulle caratteristiche della sessione aperta (roaming, login da client o interattivo sul server, tempi di attività, disconnessione e logoff) • Monitorare con frequenza preferenziale lo stato di roaming, l’offset di quota della cache, la caduta della connessione • Accedere ad un database utente, locale al profilo, relativo alle impostazioni di profilo specifiche per ciascun client dal quale l’utente effettua il login

ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMINGESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING
K Thut Roaming Roaming l g Roaming hayK Thut Roaming Roaming l g Roaming hay
13 WAN 13 1 WAN 13 2 WAN13 WAN 13 1 WAN 13 2 WAN
WAN Technologies WAN TECHNOLOGIES WAN Technologies Technology OptionsWAN Technologies WAN TECHNOLOGIES WAN Technologies Technology Options
WAN Technology srnpiseygmail com WAN Connection Type WANWAN Technology srnpiseygmail com WAN Connection Type WAN
WAN Technologies Objectives WAN Technologies Overview WAN TechnologiesWAN Technologies Objectives WAN Technologies Overview WAN Technologies
Windows Windows Windows XP Windows Vista Windows 7Windows Windows Windows XP Windows Vista Windows 7
Windows Windows 951995 Windows 981996 Windows 20002000 WindowsWindows Windows 951995 Windows 981996 Windows 20002000 Windows
CITRIX ROAMING SESSION Users guide for Citrix RoamingCITRIX ROAMING SESSION Users guide for Citrix Roaming
Vodafone Roaming Charges Vodafone Global Roaming Pay monthlyVodafone Roaming Charges Vodafone Global Roaming Pay monthly
Roaming What is it The term roaming referenceRoaming What is it The term roaming reference
Roaming Olympics Copyright Valiant Technology Ltd 12122021 RoamingRoaming Olympics Copyright Valiant Technology Ltd 12122021 Roaming
Roaming Olympics Copyright Valiant Technology Ltd 12132021 RoamingRoaming Olympics Copyright Valiant Technology Ltd 12132021 Roaming
ENVIRONMENT ENVIRONMENT Define environment ENVIRONMENT Environment the socialENVIRONMENT ENVIRONMENT Define environment ENVIRONMENT Environment the social
LOGO v Windows 7 Windows Windows 7 WindowsLOGO v Windows 7 Windows Windows 7 Windows
Windows Windows 710 Windows 32UFRII 30 15 WindowsWindows Windows 710 Windows 32UFRII 30 15 Windows
windows 1 1 Windows Windows 95 Windows 98windows 1 1 Windows Windows 95 Windows 98
Windows 8 Windows Phone 8 Windows 8 WindowsWindows 8 Windows Phone 8 Windows 8 Windows