ACCESSO ALLE RETI DELL'OSSERVATORIO
Al netto dei server che forniscono i servizi comuni, i proprietari dei computer collegati alle reti dell'Osservatorio sono anche responsabili del loro utilizzo. Tutti i nodi connessi alle reti dell'Osservatorio devono sottostare alle politiche di accesso definite dalla Direttiva per l'utilizzo delle risorse informatiche dell'INAF e dalla AUP di GARR, in gran parte recepita dalla Direttiva, e (solo per la parte di propria competenza) dalla Circolare 18 aprile 2017 , n. 2/2017 di AGID.
In sintesi l'utente che colleghi il suo computer alla rete dell'Osservatorio deve accertarsi che sia dotato di software atti a bloccare l'esecuzione di malware (antivirus) e che sia sempre aggiornato (sistema operativo ed applicativi). L'utente non può connettere alla rete apparati che lo staff tecnico non abbia esplicitamente autorizzato. Non può inoltre utilizzare nomi di host o indirizzi di rete che non gli siano stati assegnati (al netto dell'utilizzo lecito della facility DHCP) né cedere a terzi le proprie credenziali di accesso alla rete interna. Gli indirizzi di rete IPv4 vanno richiesti con e-mail all'indirizzo help_at_oapd.inaf.it e si possono richiedere anche indirizzi IPv6 statici.
L'accesso alla rete viene loggato a norma di legge (Regolamento Ue 2016/679 o GDPR). Viene registrato il MAC address di ogni dispositivo presente nelle reti interne associato al suo indirizzo IP, data e ora e, in caso di collegamento via VPN o via rete WiFi, anche la durata della connessione e lo username. Questi dati vengono raccolti a fini statistici e rimangono a disposizione di una eventuale richiesta dell'autorità giudiziaria per un periodo limitato (3 mesi), al termine del quale vengono eliminati definitivamente.
Sono previsti alcuni servizi ad autenticazione interna. Le credenziali vanno richieste con una e-mail a help_at_oapd.inaf.it e sono soggette ad approvazione del Direttore dell'Osservatorio. Con le credenziali OAPd è possibile la prenotazione delle sale e dell'auto di servizio, l'accesso alla rete WiFi interna OAPd-Mail e l'inserimento nelle liste email generali. La propria password può essere cambiata collegandosi al sito https://sso.oapd.inaf.it ma in caso di dimenticanza vanno contattati i tecnici del CED.
I sistemi collegati alla LAN dell'OAPd NON possono inviare direttamente all'esterno messaggi di posta elettronica tramite il protocollo SMTP (TCP/IP porta 25). Un'unica macchina logica, mail.oapd.inaf.it, è abilitata alla comunicazione via SMTP con la rete internet. Gli utenti possono comunque configurare i propri client di posta per usare tale macchina come server della posta in uscita o come 'smarthost' per le proprie workstation, es. per spedire file di log.
Gli utenti che hanno la necessità di pubblicare pagine web verso l'esterno e/o scambiare documenti e files con utenti esterni possono avvalersi del servizi WEB e FTP di istituto.
Le richieste di risoluzione degli indirizzi IP interni ed esterni di norma devono essere veicolate tramite i server DNS IPv4 d'istituto, rispettivamente dns1.oapd.inaf.it (193.206.240.1) e dns2.oapd.inaf.it (193.206.240.2). Gli stessi server sono abilitati alla risoluzione anche dei nomi IPv6 (ns1 con indirizzo 2001:760:2a0a:240::1 ed ns2 con indirizzo 2001:760:2a0a:240::2). NOTA: sono applicate restrizioni sul traffico DNS in uscita, quindi utilizzare DNS esterni può causare problemi di risoluzione dei nomi.
Gli utenti che hanno la necessità inviare e ricevere documenti e files con utenti esterni di norma non possono utilizzare server FTP installati sui propri sistemi, ma possono avvalersi del servizio FTP di istituto. Ulteriori informazioni su questo link.
In seguito all'entrata in vigore di nuovi regolamenti comunitari l'accesso diretto ai nodi interni via ssh è stato bloccato. Per accedere dall'esterno alle macchine dell'Osservatorio esistono tre possibilità a seconda delle esigenze:
accesso con la VPN certificata Fortinet: vedi https://oapd-vpn.oapd.inaf.it/
accesso via ssh a host nella rete DMZ: è necessario che l'host di destinazione sia inserito in una LAN a parte a traffico filtrato;
accesso via VPN di backup riservato a casi particolari e solo su autorizzazione del Direttore di Osservatorio.