server aziendali con linux

IntroduzioneFileserverMailserver

T-OSSLab – Lavorare Open SourceServer aziendali con Linux

Simone Piccardi

Truelite SrlVia Monferrato, 6 Firenze

www.truelite.it

20 Settembre 2011

Simone Piccardi T-OSSLab – Lavorare Open Source

www.truelite.it


Presentazione

Truelite e una impresa che fornisce servizi basati su software libero.

nata a Firenze nell’aprile 2003, fornisce soluzioni, sviluppo esupporto

lavora esclusivamente con “FLOSS” (Free Libre Open SourceSoftware)

grande esperienza nella fornitura di soluzioni “FLOSS”(migrazione delle scuole Italiane dell’Alto Adige)

socio del T-OSSLab, http://www.tosslab.it

http://www.truelite.it


http://www.tosslab.it

http://www.truelite.it


“Linux” e una realta di assoluto rilievo

Come sistema operativo “Linux” e ormai:

usato da oltre il 90% dei computer della Top 500

usato dalla quasi totalita dei router/access point casalinghi

usato per televisori, cellulari, ecc.

probabilmente la gran parte dei presenti sta gia usando Linux.



Il FLOSS e vincente sui server

Le soluzioni FLOSS si sono gia dimostrate ampiamente vincenti suiserver:

oltre il 60% dei web server

la quasi totalita dei server DNS

la quasi totalita del traffico email

buona parte dei servizi disponibili sul web e “Powered by Linux”



Ma tutto cio quanto mi riguarda?

Ma per una azienda qualunque quanto possono essere interessantiquesto tipo di servizi:

se non sono un provider, probabilmente non mi interessa

se non gestisco/realizzo siti web, probabilmente non miinteressa

se non sviluppo servizi IT, probabilmente non mi interessa

se faccio altro probabilmente non mi interessa



Quali servizi sono davvero universali?

Ma se una azienda usa al suo interno dei computer in rete ci sonoalcuni servizi che vengono utilizzati quasi sempre:

si devono gestire gli utenti della rete

si devono poter mantenere e condividere file e documenti

si deve poter usare e conservare la posta elettronica aziendale

a queste esigenze e possibile fornire una risposta efficace con serverbasati su Linux



Di cosa parleremo

Tratteremo allora di alcune soluzioni server che nella nostraesperienza si sono dimostrate essere di applicazione generica:

fileserver per la gestione di utenti e documenti

mailserver per la gestione della posta elettronica



Caratteristiche generali

Le soluzioni che proporremo hanno alcune caratteristiche generali:

sono completamente Open Source

vengono fornite configurate e chiavi in mano

sono semplici da gestire e mantenere

dispongono di supporto e assistenza professionale



Perche un fileserver

Una delle esigenze piu comuni di una azienda e quella di regolare lagestione di file e documenti:

occorre identificare chi vi opera

occorre garantire che solo chi deputato possa accedervi

occorre fornire un accesso condiviso via rete agli operatori

in molti casi occorre anche rispettare la legge sulla privacy.



Truelite Privacy Server: cos’e

Si tratta di un fileserver con caratteristiche realizzative che lorendono conforme alle richieste del Testo Unico della Privacy,fornisce:

autenticazione centralizzata

gestione degli utenti

profili di autorizzazione

accesso condiviso a file e documenti

il sistema offre i servizi per una rete locale ibrida (con client siaLinux che Windows)



Truelite Privacy Server: componenti base

Truelite Privacy Server e realizzato come integrazione una serie didiverse componenti, in particolare:

Debian GNU/Linux: come sistema operativo di base

OpenLDAP: per la centralizzazione dei dati di autenticazione

Samba: per l’autenticazione su reti Windows e la condivisionedi file

si tratta di componenti ampiamente usate da anni, che hannoampiamente dimostrato la loro affidabilita ed efficienza.



Truelite Privacy Server: filosofia progettuale

Truelite Privacy Server e stato realizzato con una precisa filosofiaprogettuale:

semplicita strutturale: usare servizi standard, evitareestensioni ad hoc, limitarsi alla scelta di default appropriati

flessibilita: fornire una soluzione generica pronta all’uso, mafacilmente estendibile per esigenze specifiche

semplicita gestionale: fornire agli utenti una interfacciasemplice per la gestione ordinaria, la complessita si gestisce aparte



Truelite Privacy Server: filosofia progettuale

Truelite Privacy Server e mirato alla semplicita di utilizzo da partedel cliente:

Il sistema e fornito completamente configurato per la propriarete

Non sono necessarie competenze sistemistiche per la gestioneordinaria

Consente di richiedere in maniera semplice, immediata esicura un intervento di assistenza remota



Truelite Privacy Server: interfaccia

Truelite Privacy Server fornisce una interfaccia web moltosemplice:

Creazione/gestione/cancellazione utenti

Creazione/gestione/cancellazione cartelle condivise

Gestione scadenze/rinnovi/cambi delle password

e possibile effettuare la gestione ordinaria del server senzacompetenze di alto livello



Truelite Privacy Server: caratteristiche

Per la risposta ai requisiti della normativa si sono fatte alcunesemplificazioni operative:

pensato come singolo server, quindi per realta piccole e medie,(ma espandibile in modalita cluster/ridondata se necessario)

vi si possono gestire direttamente tutte le banche daticonsistenti in file e documenti condivisi a livello centralizzato

consente di definire diversi profili di accesso suddividendo gliaccessi ai documenti condivisi

puo essere usato come supporto di autenticazione per altriservizi (aree riservate web, posta elettronica, applicazioni web)



Truelite Privacy Server: caratteristiche

La gestione dei profili di autorizzazione e stata realizzata basandosisu specifiche scelte organizzative dettate dalla normativa:

tutti gli account sono personali, niente accessi senzaautenticazioni o account di “servizio” usati da piu persone.

i profili di autenticazione sono realizzati con l’uso di gruppi diutenti, un utente vi e associato se fa parte del relativo gruppo

a ciascun gruppo viene associata una banca dati consistente inuna directory condivisa (in cui mantenere tutti i relativi file)



Truelite Privacy Server: gestione dell’accesso in emergenza

La normativa richiede una specifica procedura di conservazione edutilizzo delle copie delle credenziali per un accesso di emergenza:

si e scelta una modalita di gestione che evita la procedura diconservazione

le password non sono mai note ad altri che all’utente

in necessita di accesso di emergenza si forza una passwordprovvisoria

alla fine dell’emergenza questa viene comunicata all’utente eviene forzato il cambio di password al primo accesso



Truelite Privacy Server: gestione delle password

E preimpostata una politica di gestione delle password conformealla normativa:

le configurazioni prevedono una scadenza predefinita ogni 175giorni

le ultime tre password vengono memorizzate e non possonoessere riusate

si richiede una lunghezza minima di 9 caratteri

si puo richiedere una complessita aggiuntiva (presenza dilettere, numeri e simboli)

si puo forzare il cambio password al primo accesso nellacreazione di un nuovo utente



Truelite Privacy Server: requisiti di salvaguardia

Il sistema e conforme ai requisiti di salvaguardia richiesti dallanormativa sulla privacy, la cui validita e comunque generale:

download giornaliero degli aggiornamenti con notifica viaemail all’amministratore

sistema di controllo di integrita per il riscontro di eventualiintrusioni

backup su disco USB esterno o altro meccanismo a scelta (pereventuali piani di disaster recovery)

controllo dell’uso degli account e segnalazione via email diquelli non utilizzati da 60 giorni



Perche un mailserver

La posta elettronica comporta requisiti analoghi a quelli gia vistiper file e documenti, con alcune complicazioni:

spesso viene ricevuta da provider esterni: in assenza diconnessione ad internet puo essere indisponibile e dati sensibilivengono mantenuti stabilmente all’esterno

spesso viene scaricata sui singoli computer, diventainaccessibile dall’esterno e viene persa se questi si rompono

la disponibilita di un mailserver interno puo eliminare questecomplicazioni



Truelite Privacy (mail-)Server: cos’e

Truelite Privacy Server dispone di estensioni che gli consentono dieffettuare anche il servizio di mailserver fornendo:

autenticazione e gestione utenti (unificata con il fileserver)

assegnazione delle caselle di posta agli utenti

accesso centralizzato della posta elettronica sul server

antivirus, antispam, autoresponder

la filosofia progettuale resta la stessa illustrata in precedenza



Truelite Privacy (mail-)Server: componenti

Anche il mailserver viene implementato come integrazione didiverse componenti:

Postfix: server SMTP per ricezione e spedizione

Dovecot: server IMAP/POP3 per la distribuzione

ClamAV: sistema antivirus

Spamassassin: sistema antispam

ampiamente collaudate ed in usate da anni da molti provider perfornire gli stessi servizi su internet.



Truelite Privacy (mail-)Server: interfaccia

Anche per la gestione della posta elettronica viene fornita unainterfaccia web molto semplice per le principali operazioni:

associare un indirizzo di posta ad un utente

associare un indirizzo di posta ad un gruppo di utenti

impostare un testo di risposta automatica

anche in questo caso la gestione ordinaria non richiede competenzesistemistiche



Truelite Privacy (mail-)Server: funzionalita

Con le estensioni per la posta elettronica Truelite Privacy Serverconsente di:

avere una copia di tutta la posta elettronica sul server interno,sottoposta al backup centralizzato

consentire un eventuale accesso anche dall’esterno fornendouna consultazione anche tramite webmail

rendersi indipendenti per l’accesso dalla connessione adinternet e mantenere i propri dati all’interno della propria rete



Truelite Privacy (mail-)Server: caratteristiche

download automatico della posta da un numero arbitrario diprovider esterni

accesso al server con protocollo standard (IMAP) supportatoda qualunque client (Outlook, Thunderbird, webmail).

filtraggio di tutti i messaggi con antivirus ed antispam espostamento automatico dello spam in una cartella dedicata

la posta viene mantenuta sul server ed e direttamenteaccessibile dalla rete interna

autorisponditore gestibile dal singolo utente

predisposizione per l’accesso dall’esterno tramite webmail



Riferimenti

http://labs.truelite.it/packages


http://www.truelite.it/

[email protected]

Domande ?


http://labs.truelite.it/packages


http://www.truelite.it/

[email protected]