********* Politiche ********* Questa sezione documenta le politiche adottate nelle scuole che adottano FUSS, con informazioni sulle loro implementazioni. Specifiche autenticazione ========================= Con la versione 7.x del fuss-server sono state introdotti dei criteri di gestione delle credenziali di autenticazione per essere conformi ai requisiti correnti dettati dalla normativa sulla privacy, in particolare per quanto riguarda la complessità e la scadenza delle password. Sono soggetti a tali requisiti soltanto i docenti (in quanto gli studenti non trattano dati altrui). Pertanto si è utilizzato un valore specifico dell'attributo multivalore *unità operativa*, ``ou`` (assegnabile ad ogni utente) per distinguere studenti e docenti. In particolare questo dovrè essere impostato secondo la seguente tabella: +----------+-------------------+ | Docenti | ``ou=docenti`` | +----------+-------------------+ | Studenti | ``ou=studenti`` | +----------+-------------------+ Il sistema di gestione delle password coi comandi di sistema è stato impostato usando la seguente riga di in /etc/pam.d/common-password:: required pam_cracklib.so retry=3 minlen=8 difok=3 minclass=3 che implica lunghezza minima di otto caratteri, non ripetizione di più di tre caratteri nel cambio password, presenza di almeno tre fra le quattro classi di caratteri: maiuscole, minuscole, numeri, punteggiatura. L'applicativo web per il cambio password consente di evitare queste restrizioni ma si applica solo agli utenti che hanno attributo ``ou=studenti``. Per la scadenza delle password questa viene impostata in fase di creazione di un utente LDAP impostando un valore in giorni nell'attributo ``ShadowMax`` dello stesso, lo stesso valore viene applicato. I default impostati dalla configurazione del FUSS server non prevedono la scadenza delle password, in quanto questa non è necessaria per la maggior parte degli utenti (che sono gli studenti). In particolare questa non viene impostata se si usano i comandi del pacchetto ``smbldap-tools``. Qualora si debba intervenire manualmente occorre usare lo script ``chage.py`` installato come gli altri sotto ``/usr/share/fuss-server/scripts/``, specificando un valore in giorni con l'opzione ``-M``. Octofuss -------- Octofuss imposta automaticamente il valore della ``ou=`` corrispondente ad un utente, sulla base dei gruppi cui questo appartiene. Se l'utente viene messo in un gruppo secondario chiamato '``docente``' o '``docenti``', ottiene la ``ou=docenti``. Se non si trova in questi gruppi, allora ottiene la ``ou=studenti``. Allo stesso tempo per i docenti viene automaticamente impostato un valore di scadenza della password di 90 giorni, come previsto dalla normativa della privacy. Per gli studenti invece viene usato un default di 99999 giorni, che implica la non scadenza della stessa. Accesso a internet ================== Le politiche di accesso ad internet impostate da fuss-server sono: * Gli utenti non autenticati non possono navigare, con l'eccezione dei vari repository di software che sono autorizzati per semplicità di installazione, elencati nella ACL ``repository`` dentro ``/etc/squid3/squid.conf``, più quelli eventualmente aggiunti (funzionalità disponibile dalla versione 8.0.38 del fuss server) in ``/etc/squid3/squid-added-repo.conf``. * Gli utenti autenticati escono solo se fanno parte del gruppo ``internet`` (locale) del fuss-server (permesso ``internet`` dentro Octonet). * Nella configurazione del proxy è possibile restringere l'accesso alla rete Internet in orario ristretto da lunedì a venerdì dalle 7.00 alle 22.00 ed il sabato dalle 7.00 alle 14.00, per ottenere questa restrizione occorre modificare la configurazione di Squid, sostituendo in ``/etc/squid3/squid.conf`` la riga:: http_access allow password internet con la riga:: http_access allow password internet orario * Gli accessi ai siti internet vengono registrati nei file di log del sistema. * La navigazione su Internet viene svolta in modalità protetta (usando il filtro sui contenuti di Dansguardian/E2guardian). A partire dalla versione 8.0.38 del fuss-server questa restrizione viene disabilitata di default sulla rete locale in quanto esiste già un filtro a monte della rete delle scuole, si può riabilitare l'uso del filtro modificando la variabile ``dans_exclude_localnet`` in ``fuss-server-defaults.yaml`` (vedi `File dei default del Fuss Server`). * L'accesso ad ``internet`` è di default bloccata per le macchine Windows, lo si può riabilitare modificando la variabile ``proxy_win_exclude`` in ``fuss-server-defaults.yaml`` (vedi `file-default-fuss-server`). Verifiche --------- È importante eseguire tutte le verifiche indicate per essere sicuri che il proxy funzioni veramente. * provare a navigare con un utente autorizzato (cioè inserito nel gruppo ``internet``) indicando correttamente username e password; * provare a navigare con un utente autorizzato indicando correttamente username ma sbagliando la password; * provare a navigare con un utente non autorizzato (cioè non inserito nel gruppo ``internet``) indicando correttamente username e password; * provare a navigare con un utente autorizzato utilizzando le sue credenziali corrette, poi provare a toglierlo dal gruppo ``internet`` e verificare se il proxy lo blocca. Si tenga presente che la rimozione o l'aggiunta al gruppo ``internet`` non hanno effetto immediato. Se questa viene effettuate tramite Octonet o ``octofussctl`` infatti il permesso deve essere propagato da ``octofuss-client`` che può richiedere fino a 5 minuti, inoltre gli helpers di Squid devono vedere i nuovi permessi (finché non terminano viene visto il valore precedente) e occorre che la cache di ``nscd`` sia rinnovata. Pertanto se si vuole essere sicuri che il permesso sia propagato subito occorre (a partire dalla versione 8.0.42 di ``fuss-server``) fare restart del servizio ``propagate-net-perm`` (disponibile anche tra i servizi riavviabili dall'interfaccia di Octonet). Per le versioni precedenti i comandi equivalenti sono:: octofuss-client --dryrun nscd -i group systemctl stop squid3 systemctl start squid3 FTP --- Per abilitare il traffico FTP è necessario permettere il traffico di questo servizio attraverso il firewall (sblocco porta 21/tcp).