ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN
ROAMING E PUNTAMENTO SU AFS
ASPETTI INTRODUTTIVI
dicembre 2002 - revisione maggio 2003
AMANZI NUNZIO – http://www.lnf.infn.it/~amanzi – [email protected]
PRESUPPOSTI
Esportare e distribuire in rete un environment windows con le seguenti prerogative:
 collocare la home dir, ovvero il profilo utente Windows su un server di rete;
 definire le specifiche di accesso e autenticazione in modo tale che lo stesso profilo sia
sempre disponibile nella lan e persino nella wan;
 accedere al profilo, ovvero ai propri file, ai bookmarks, alle impostazioni di
configurazione, contestualmente alla fase di login dalla postazione client;
 accedere al Windows Environment, e quindi al proprio profilo, anche da postazioni non
windows
SERVER
WINDOWS
ENVIRONMENT
NETWORK
OBIETTIVI
L’interesse di questo complesso studio di fattibilità si è focalizzato sui seguenti aspetti:
 inquadrare gli aspetti connessi con il Windows Environment Session Login in forma astratta;
 studiare metodologie di configurazione secondo uno schema client-server;
 implementare nel caso specifico dei LNF – INFN una configurazione basata su:
 la definizione di gerarchie ed ereditarietà di policies in un ambiente distribuito quale l’Active
Directory;
 la collocazione e il puntamento del profilo utente windows presso il corrispondente spazio user
su AFS della cella lnf.infn.it;
 l’accesso ad AFS nella LAN e nella WAN ottenendo il token contestualmente al login dal client;
 l’eventuale, fortemente consigliata, autenticazione a livello di Dominio Windows in fase di
login da client;
 l’accesso al proprio profilo su AFS mediante apertura di una sessione di login interattivo su
server RDP mediante Windows Terminal Services.
Il raggiungimento degli obiettivi di questo studio, la definizione sia di un
modello di configurazione che di specifiche e strumenti di login, è stato
caratterizzato dai seguenti aspetti:
 Definizione, configurazione e gestione di un Profilo Windows;
 Configurazione e management del Windows Terminal Services;
 Active Directory Environment e Criteri di Sicurezza.
INTRODUZIONE AI PROFILI WINDOWS
Quando un utente effettua il login su una postazione Windows il S.O. gli mette a disposizione un
patrimonio caratterizzato da:
• Le informazioni di configurazione relative al desktop, alle risorse e alle connessioni di rete, alle
applicazioni;
• La definizione degli shortcuts relativi allo Start Menu, ai documenti aperti di recente ai bookmarks delle
URLS visitate;
• I file utente memorizzati nel folder Documenti.
E’ fondamentale definire globalmente il complesso di queste informazioni come Contesto Utente.
Facendo riferimento alle versioni 2000/XP di Windows, la localizzazione fisica di questo environment si
basa sulla coesistenza di tre fattori:
• Un Profile Folder, memorizzato localmente per default all’indirizzo:
%systemdrive%\Documents and Settings\%username%
• Una home dir, alla quale fanno riferimento generalmente applicazioni di vecchia concezione che
individuano lo spazio utente all’interno della cartella di sistema (del tipo C:\WINDOWS – C:\WINNT)
• Le chiavi del Registro di Configurazione specifiche per ogni utente memorizzate nella cartella di
sistema
ROAMING WINDOWS PROFILES
A questo punto è lecito chiedersi se sia possibile collocare il Contesto Utente su un server in modo che
sia sempre disponibile lo stesso windows environment dovunque e comunque si faccia login.
All’uopo, nell’ambito della configurazione utente, Windows permette di ridefinire l’indirizzo della directory
di Profilo verso una url del tipo \\nomeserver\userfolder.
Un profilo utente residente su un server viene detto Profilo Roaming.
Un profilo roaming, memorizzato su un server della lan o della wan, utilizza il corrispondente spazio
locale alla postazione di login come interfaccia cache con l’utente.
Il Windows Roaming Profile è caratterizzato da:
E’ un profilo basato sul server che viene trasferito tramite download al computer locale quando un
utente effettua un accesso e viene aggiornato sia sul computer locale che sul server quando l’utente si
disconnette.
Durante la sessione di login l’utente interagisce con il proprio profilo solo localmente, poiché il profilo
locale presente per default agisce come una cache del profilo remoto.
Profilo utente
remoto
Profilo Locale
(cache)
Connessione:
i
dati
vengono
trasferiti
dal
server ed eventualmente
sincronizzati nella cache
locale
Profilo utente
remoto
Log out: i dati vengono
trasferiti sul server dalla
cache: tutte le modifiche
effettuate
in
locale
si
trasferiscono sul server
Profilo Locale
(cache)
CARATTERISTICHE DEI ROAMING WINDOWS PROFILES
 L’account utente e la relativa password devono essere validi sia per la workstation che per il server
 L’accesso al server in fase di login è ottimizzato, poiché vengono trasferiti solo i file non presenti
localmente e/o quelli più aggiornati
 In fase di logout la comunicazione con il server si basa su una copia incrementale dei dati locali
 Quando l’utente opera off-line, Windows utilizza il profilo locale che verrà sincronizzato con quello sul
server al prossimo login
 Si possono usare anche più macchine client per uno stesso account utente poiché i file utente presenti
su una workstation, dopo essere stati trasferiti sul profilo comune, saranno esportati anche verso le
altre postazioni. In pratica se un utente dispone di due client A e B contenenti rispettivamente il file_a
e il file_b, dopo la loro connessione sequenziale, ciascuna di esse conterrà localmente sia il file_a che
il file_b
 La cartella Documenti del desktop client è una cache locale del server: memorizzare in essa i dati
significa effettuare un backup incrementale della stessa ad ogni logout
ASPETTI DERIVANTI DAI ROAMING WINDOWS PROFILES
La configurazione dei profili di roaming non è però risolutiva in
termini di esportazione di un Windows Environment poiché:
Come già accennato, alcuni dati di configurazione utente, non solo
locali al profilo, ma definiti nel Registro di Configurazione;
Alcune sottocartelle del profilo sono relative e contengono
informazioni che dipendono dalla configurazione specifica del client
dal quale si esegue l’accesso;
In particolare i folders Desktop e Start Menu contengono puntatori
(Shortcuts) a file (eseguibili o no) locali al client: la
sincronizzazione in roaming di detti folders da più di un client
potrebbe rendere questi puntatori indefiniti;
La fase di sincronizzazione coinvolge anche i file temporanei,
creando inutile traffico in rete e rischiando l’overflow di quota
utente sul server.
Occorre dunque estendere la configurazione ad un contesto più ampio di quello del Roaming Profile,
definendo un modello astratto di impostazioni utente e pc risolutivo degli aspetti sopra elencati. Questo
modello sarà rappresentato dai Criteri di Gruppo in un ambito client-server.
L’IMPLEMENTAZIONE SPERIMENTALE AI LNF-INFN
ASPETTI FONDAMENTALI ESAMINATI PER L’ESPORTAZIONE DI UN WINDOWS
ENVIRONMENT
 Utilizzo dei server AFS della cella lnf.infn.it come Roaming Profile Servers
 Definizione di una configurazione utente basata su Criteri di Gruppo
 Autenticazione centralizzata a livello di Dominio Windows e relativa definizione di specifiche di
sicurezza e Group Policies in un ambiente distribuito quale l’ Active Directory
 Configurazione di un Server Windows che esporti in remoto, cioè su clients nella lan/wan, sessioni di
login interattivo nelle quali il Windows Environment, ovvero il Contesto Utente, sia sempre lo stesso,
cioè quello residente su AFS
ROAMING SU AFS
Il roaming su AFS è stato caratterizzato dai seguenti aspetti:
• L’utilizzo del software IBM AFS Client per Windows, opportunamente configurato per ottenere il token
contestualmente al login (account e password windows devono coincidere con quelle relative ad AFS)
• Un’opportuna configurazione del file relativo agli AFS submounts, ovvero dei percorsi di rete,
importati nel file system windows, tali da rendere disponibile in forma non ambigua e in fase di login
lo spazio su AFS destinato ad ospitare il profilo
• La definizione di una sintassi relativa ai percorsi di rete verso AFS che prescinda sia dall’host dal quale
si effettua il login che dall’utente, avendo i quindi rilevanza astratta e validità estesa alla WAN
• Il processo di mapping dei logical drives verso percorsi AFS è stato unificato e uniformato
implementandolo nell’ambito di uno script di login
\\nomehost-afs\l nf
[AFS Submounts]
afs=/
lnf=/lnf.infn.it
/afs
lnf.infn.it
Path tipo di Profilo
\\%computername%-afs\lnf\user\home\%username%\private\pc\Winprofile
Path tipo Documenti
\\%computername%-afs\lnf\user\home\%username%\private\pc\Windocs
CRITERI DI GRUPPO ED ACTIVE DIRECTORY
Criteri di Gruppo è un insieme di policies ovvero di criteri distinti in gruppi contestuali che mediante
opportuna interfaccia (Microsoft Management Console) offrono uno snap-shot e uno strumento di
configurazione ed amministrazione di alto livello compatibile con le chiavi del Registro di Configurazione di
Windows e nello specifico dei settaggi relativi alla postazione (HKEY_LOCAL_MACHINE) e all’utente
(HKEY_CURRENT_USER).
Questi criteri (SACL) possono essere definiti localmente al pc di login o distribuiti in Active Directory.
La configurazione dei criteri a livello di Dominio Windows impone anche la definizione di un opportuno
meccanismo di eriditarietà e priorità di applicazione in ambito globale e locale.
La definizione e quindi l’applicazione dei Criteri di Gruppo, relativamente all’utente, è caratterizzata dai
seguenti aspetti:
• Esporta chiavi di Registro;
• E’ eseguita in fase di login, successivamente al net-logon,;
• Può essere configurata in modo che i criteri globali non vengano sovrascritti, in caso di conflitto, da
quelli omonimi definiti localmente;
• I criteri di dominio vengono applicati in basi a gruppi di utenti secondo specifiche definizioni di voci
discrezionali (ACE)
CONSEGUENZE ALLA DEFINIZIONE DI CRITERI DI GRUPPO
Una autenticazione a livello di Dominio e conseguente esecuzione delle Group Policies rappresenta un
modello risolutivo in termini di esportazione di un Windows Environment delineabile in forma astratta cioè
prescindendo dalla configurazione delle postazioni di login, infatti:
• Gli utenti che da client si autenticano sul dominio importano un environment windows con profilo
windows in roaming con AFS
• Un sottoinsieme degli utenti di dominio può aprire una sessione di login sul server tramite Terminal
Services
• Alcuni utenti Terminal Services, oltre agli amministratori, possono assumere da remoto il controllo delle
sessioni di login
• Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) importano un
windows environment in roaming con AFS
• Tutti gli utenti che aprono una sessione sul server (in locale o in remoto tramite TS) sono soggetti a
elevati criteri di sicurezza nell’accesso alle risorse e alle applicazioni del server, mediante la definizione di
policies di gruppo, locali al server e globali nel dominio
• Gli amministratori che aprono una sessione sul server non sono sottoposti ai detti criteri
• L’account administrator ha un profilo locale e non ha accesso ad AFS
• Da profili roaming vengono esclusi particolari folders locali i cui contenuti cambiano in base alle
configurazione dei client di accesso
• Il folder My Documents è escluso dal caching, ma è direttamente puntato su AFS
• Ogni profilo roaming è quotato a livello di dominio; il folder My Documents non è sottoposto a predetta
quotazione, ma solo a quella utente imposta per AFS
• Possono essere definiti degli scripts a livello di dominio che vengono importati ed eseguiti localmente in
fase di login
SERVIZI TERMINAL
Ad integrazione delle specifiche di esportazione di un Windows Environment ai LNF è stato implementato
un server Windows Terminal Services che esporta in una finestra di un client remoto un Desktop Windows
il cui user environment sia quello definito in AFS.
Sono state definite all’uopo, tra l’altro, i specifici paramentri di configurazione:
Accesso al Servizio
L’accesso è definito mediante privilegi associati a gruppi di utenti: in tal senso sono stati distinti gli utenti
con privilegio di accesso da quelli con ulteriore privilegio di controllo delle Sessioni.
Parametri di Sessione
Sono stati distinti gli eventi di chiusura di sessione per logout o per disconnessione
In particolare, sono stati definiti i tempi massimi di durata di una sessione attiva e di timeout per una
sessione inattiva allo scadere dei quali, anche se il client è disconnesso, l’utente ha a disposizione un
ulteriore ragionevole intervallo di tempo a disposizione entro il quale la sessione disconnessa è ancora
runnante sul server è può essere riconnessa da quanlunque client.
Environment di Sessione
Gli utenti connessi ad una sessione sono in roaming e puntamento con il proprio spazio su AFS, possono
accedere alle risorse di storage e stampa che Server Windows esporta in base ai privilegi definiti in Criteri
di Gruppo. In particolare, i devices locali possono essere mappati nell’environment di sessione: ciò
significa, per esempio, che un utente che apre un file su AFS mediante sessione di terminale windows ha
la possibilità di inviarlo alle stampanti locali e/o a quelle remote esportate dal Server
Controllo di Sessione
Una sessione di terminal può essere controllata remotamente da un altro client di rete in base ai privilegi
posseduti dal controllore e dal controllato.
TIPOLOGIE E FASI
DI ACCESSO-AUTENTICAZIONE
WAN
LAN
NETWORK LAYER
VPN
W IN D O W S
I n t e r a c t iv e L o g in
S e s s io n
W INDO W S D O M AIN
LNF.INFN.IT BUS
AFS
SERVERS
AFS
VOLUMES
AUTENTICATION LAYER
AUTENTICAZIONE NEL DOMINIO WINDOWS - EVENTI
Computer
settings
domain script
net login
local login
profile logon
token AFS
user settings
disponibilità del percorso di rete
local script
disponibilità dei mappings
Local Policies
Aggiornamento cache locale
ntuser.dat
ntuser.ini
Esecuzione Group Policies
ntuser.pol
1
System file .pol
Elenco
ordinato
Domain Policies
profile folders
2
System file .pol
user preferences
hkey_current_user
other settings
My Documents
Desktop
Applications
POINTING
Applicazione Group Policies
AFS HOME
ESPORT WIRELESS DI UN WINDOWS ENVIRONMENT
BLUETOOTH
CONNECTION
DOMAIN WINDOWS SERVER
WINDOWS SESSION
TERMINAL SERVER
GPRS CONNECTION
VPN
WAN
N
E
T
W
O
R
K
TERMINAL
AFS HOME
ROAMING
B
U
S
PROFILE
My
Documents
POINTING
ACTIVE DIRECTORY – FASI DI ACCESSO
ACCESSO CENTRALIZZATO AL WINDOWS ENVIRONMENT
Domain Users
Client Login
(2)
(1)
Terminal Services
Administartors
W2kRDPPowerUsers
W2kRDPUsers
Server Session
AFS token
AFS token
Domain Autentication
Profile Access
Local Policies (on domain client or domain server)
Roaming
Users
Administrators
Others
Administartors
group policies
Domain users
group policies
(1) – (2) LOGIN
CACHING
‘Administrator’
account
AFS HOME
Others
AFS USERS (AFSUsers group)
ROAMING
PROFILE
My
Documents
POINTING
WINDOWS
ENVIRONMENT
Le sessioni sono
indipendenti. In
particolare la (2) può
essere aperta
successivamente alla
(1) o quando non sia
possibile autenticarsi
da client in Active
Directory (per es.,
accesso dalla WAN
e/o in WORKGROUP)
ASPETTI CONNESSI CON L’IMPLEMENTAZIONE DEL SERVIZIO
Nell’ambito di una implementazione ottimale ed efficiente è opportuno tenere presenti i seguenti aspetti.
ASPETTI A CARATTERE SISTEMISTICO
• Definire e implementare un meccanismo di trust tra i differenti database utente e di cross-authentication
tra i vari server/domini di autenticazione
• Implementare un sistema di aggiornamento dell’orario nei clients della lan e della wan, definendo le specifiche
nei casi particolari della loro appartenenza ad un dominio windows o ad una workgroup
• Effettuare un controllo dinamico sulle versioni e sulla lingua del S.O. delle postazioni windows che accedono al
servizio mediante l’implementazione di uno script opportuno nei criteri di gruppo computer, che agisca
preferibilmente prima del login utente
• Nel caso di roaming su AFS definire in criteri di gruppo computer un meccanismo mediante il quale sia
possibile importare da un server nella wan (es. quello di dominio) la definizione dei submount AFS prima del
login utente
• Decidere a priori il comportamento che i clients devono assumere in fase di login quando il profilo di roaming
non è disponibile
ASPETTI E PREFERENZE LOCALI
• Nell’ambito della definizione dei criteri di gruppo di dominio deve essere previsto uno script distribuito,
definito sul server ed eseguito sul client successivamente al login, che dovrebbe essere in grado di:
• Mappare i driver logici verso AFS in fase di login rendendoli nuovamente disponibili dopo il logoff: la definizione
delle unità deve tenere conto di regole globali compatibilmente alle disponibilità particolari delle singole unità
• Informare l’utente sulle caratteristiche della sessione aperta (roaming, login da client o interattivo sul server,
tempi di attività, disconnessione e logoff)
• Monitorare con frequenza preferenziale lo stato di roaming, l’offset di quota della cache, la caduta della
connessione
• Accedere ad un database utente, locale al profilo, relativo alle impostazioni di profilo specifiche per ciascun
client dal quale l’utente effettua il login