Politiche¶
Questa sezione documenta le politiche adottate nelle scuole che adottano FUSS, con informazioni sulle loro implementazioni.
Specifiche autenticazione¶
Con la versione 7.x del fuss-server sono state introdotti dei criteri di gestione delle credenziali di autenticazione per essere conformi ai requisiti correnti dettati dalla normativa sulla privacy, in particolare per quanto riguarda la complessità e la scadenza delle password.
Sono soggetti a tali requisiti soltanto i docenti (in quanto gli studenti non
trattano dati altrui). Pertanto si è utilizzato un valore specifico
dell’attributo multivalore unità operativa, ou
(assegnabile ad ogni
utente) per distinguere studenti e docenti. In particolare questo dovrè essere
impostato secondo la seguente tabella:
Docenti | ou=docenti |
Studenti | ou=studenti |
Il sistema di gestione delle password coi comandi di sistema è stato impostato usando la seguente riga di in /etc/pam.d/common-password:
required pam_cracklib.so retry=3 minlen=8 difok=3 minclass=3
che implica lunghezza minima di otto caratteri, non ripetizione di più di tre caratteri nel cambio password, presenza di almeno tre fra le quattro classi di caratteri: maiuscole, minuscole, numeri, punteggiatura.
L’applicativo web per il cambio password consente di evitare queste
restrizioni ma si applica solo agli utenti che hanno attributo
ou=studenti
.
Per la scadenza delle password questa viene impostata in fase di creazione di
un utente LDAP impostando un valore in giorni nell’attributo ShadowMax
dello stesso, lo stesso valore viene applicato. I default impostati dalla
configurazione del FUSS server non prevedono la scadenza delle password, in
quanto questa non è necessaria per la maggior parte degli utenti (che sono gli
studenti). In particolare questa non viene impostata se si usano i comandi del
pacchetto smbldap-tools
. Qualora si debba intervenire manualmente
occorre usare lo script chage.py
installato come gli altri sotto
/usr/share/fuss-server/scripts/
, specificando un valore in giorni con
l’opzione -M
.
Octofuss¶
Octofuss imposta automaticamente il valore della ou=
corrispondente
ad un utente, sulla base dei gruppi cui questo appartiene. Se l’utente
viene messo in un gruppo secondario chiamato “docente
” o
“docenti
”, ottiene la ou=docenti
. Se non si trova in questi
gruppi, allora ottiene la ou=studenti
.
Allo stesso tempo per i docenti viene automaticamente impostato un valore di scadenza della password di 90 giorni, come previsto dalla normativa della privacy. Per gli studenti invece viene usato un default di 99999 giorni, che implica la non scadenza della stessa.
Accesso a internet¶
Le politiche di accesso ad internet impostate da fuss-server sono:
Gli utenti non autenticati non possono navigare, con l’eccezione dei vari repository di software che sono autorizzati per semplicità di installazione, elencati nella ACL
repository
dentro/etc/squid3/squid.conf
, più quelli eventualmente aggiunti (funzionalità disponibile dalla versione 8.0.38 del fuss server) in/etc/squid3/squid-added-repo.conf
.Gli utenti autenticati escono solo se fanno parte del gruppo
internet
(locale) del fuss-server (permessointernet
dentro Octonet).Nella configurazione del proxy è possibile restringere l’accesso alla rete Internet in orario ristretto da lunedì a venerdì dalle 7.00 alle 22.00 ed il sabato dalle 7.00 alle 14.00, per ottenere questa restrizione occorre modificare la configurazione di Squid, sostituendo in
/etc/squid3/squid.conf
la riga:http_access allow password internet
con la riga:
http_access allow password internet orario
Gli accessi ai siti internet vengono registrati nei file di log del sistema.
La navigazione su Internet viene svolta in modalità protetta (usando il filtro sui contenuti di Dansguardian/E2guardian). A partire dalla versione 8.0.38 del fuss-server questa restrizione viene disabilitata di default sulla rete locale in quanto esiste già un filtro a monte della rete delle scuole, si può riabilitare l’uso del filtro modificando la variabile
dans_exclude_localnet
infuss-server-defaults.yaml
(vedi File dei default del Fuss Server).L’accesso ad
internet
è di default bloccata per le macchine Windows, lo si può riabilitare modificando la variabileproxy_win_exclude
infuss-server-defaults.yaml
(vedi file-default-fuss-server).
Verifiche¶
È importante eseguire tutte le verifiche indicate per essere sicuri che il proxy funzioni veramente.
- provare a navigare con un utente autorizzato (cioè inserito nel gruppo
internet
) indicando correttamente username e password; - provare a navigare con un utente autorizzato indicando correttamente username ma sbagliando la password;
- provare a navigare con un utente non autorizzato (cioè non inserito nel
gruppo
internet
) indicando correttamente username e password; - provare a navigare con un utente autorizzato utilizzando le sue
credenziali corrette, poi provare a toglierlo dal gruppo
internet
e verificare se il proxy lo blocca.
Si tenga presente che la rimozione o l’aggiunta al gruppo internet
non
hanno effetto immediato. Se questa viene effettuate tramite Octonet o
octofussctl
infatti il permesso deve essere propagato da
octofuss-client
che può richiedere fino a 5 minuti, inoltre gli helpers
di Squid devono vedere i nuovi permessi (finché non terminano viene visto il
valore precedente) e occorre che la cache di nscd
sia rinnovata.
Pertanto se si vuole essere sicuri che il permesso sia propagato subito
occorre (a partire dalla versione 8.0.42 di fuss-server
) fare
restart del servizio propagate-net-perm
(disponibile anche tra i
servizi riavviabili dall’interfaccia di Octonet).
Per le versioni precedenti i comandi equivalenti sono:
octofuss-client --dryrun
nscd -i group
systemctl stop squid3
systemctl start squid3
FTP¶
Per abilitare il traffico FTP è necessario permettere il traffico di questo servizio attraverso il firewall (sblocco porta 21/tcp).