Overview – pagina in fase di aggiornamento
La rete locale di Sezione è stata oggetto di numerosi interventi atti da un lato a garantire la connettività a tutti i client autorizzati e dall’altro a creare un ambiente con i requisiti di sicurezza che lo stato attuale della trasmissione dati richiede.
La nuova struttura mette tutti i client, wireless e cablati, su rete nascosta. Sono ammesse eccezioni per macchine con funzioni server.
Si è ovviato quindi alla carenza di indirizzi pubblici (mancanza di connettività nelle ore di punta) configurando una rete nascosta in classe b che non presenta limitazioni sul numero dei possibili client configurabili. Questo stesso intervento fornisce anche la dovuta sicurezza nascondendo gli host dietro indirizzi non individuabili dalla rete estesa.
La rete locale di Sezione è stata inoltre modificata allo scopo di rispettare le indicazioni del progetto INFN sulla fruibilità dei servizi di connettività wireless da parte di associati o dipendenti INFN, conosciuto con il nome TRIP (The Roaming INFN Physicist).
Per l’accesso alle reti wifi, e a quella cablata, non è necessaria nessuna richiesta di abilitazione, l’ accesso avviene sempre e per tutti i device usando un meccanismo di autenticazione descritto in seguito.
Connessione Wireless: sono le reti utilizzate da tutti i dispositivi mobili (notebook e smartphone)
Connessione Wired: sono le reti utilizzate dai dispositivi fissi (desktop, stampanti, sistemi di acquisizione e altri strumenti presenti nei laboratori).
Chi può e come usufruire dell’accesso
Utenza | Chi | Modalità di accesso | Registrazione | Rete wireless |
Utenti locali | dipendenti, associati, personale di Sezione | Wireless o Cablato | Non è necessaria alcuna registrazione, occorre però configurare il computer come descritto in seguito poi l’accesso alla rete viene garantito autenticandosi con le proprie credenziali AAI | INFN-dot1x INFN-web eduroam |
Utenti INFN di altre sezioni | dipendenti, associati, personale INFN di altre Sezioni | Wireless o Cablato | Non è necessaria alcuna registrazione locale. Si usano le reti wifi con la stessa configurazione che si usa nella propria sede. Si può usare la rete Cablata impostando l’ autenticazione 802.1X come descritto in seguito. | INFN-dot1x INFN-web eduroam |
Ospiti | persone invitate a convegni o che utilizzano le strutture della Sezione per brevi periodi, che non sono utenti INFN | wireless con password fornita dal servizio | Non è necessaria alcuna registrazione, l’accesso alla rete viene garantito autenticandosi con le proprie credenziali AAI | INFN-web |
Configurazione della rete
Accesso alla rete cablata INFN-wired con autenticazione 802.1X:
Accesso alla reti wireless INFN-dot1x ed eduroam.
UTILIZZO RETE PER OSPITI INFN-web
Sistemi Windows:
aprire l’elenco di reti wireless disponibili facendo doppio click sull’icona della connessione wireless in basso a destra dello schermo
scegliere INFN-web (eventualmente premere Connetti)
seguire la procedura comune di autenticazione descritta di seguito
Sistemi GNU/Linux :
tramite ambiente grafico: selezionare l’icona della rete wifi in alto a destra, visualizzare l’ elenco delle reti e scegliere INFN-web
da linea comando: digitare i comandi (supponendo che eth1 è il nome della scheda wireless utilizzata):
>iwconfig eth1 essid INFN-web
>dhclient eth1 (Possono essere necessarie le credenziali di root).
seguire la procedura comune di autenticazione descritta di seguito
Procedura comune di autenticazione per INFN-web
Aprire il proprio browser; se si usa il certificato digitale, occorre utilizzare un browser con installato il certificato X.509 dell’utilizzatore.
Al primo tentativo, si viene indirizzati alla pagina del Captive Portal
dopo aver effettuato il “Login” si viene rediretti nella pagina di autenticazione di INFN-AAI
a questo punto si possono usare le credenziali già comunicate dal Servizio di Calcolo oppure si può accedere tramite certificato X509.
Qualora richiesto si dovrà accettare il certificato della pagina, altrimenti non sarà possibile procedere.
SPECIFICHE TECNICHE.
PROFILO DI SICUREZZA PER LE RETI eduroam e INFN-dot1x
- Crittografia: WPA2 Enterprise
- Tipo: EAP-TTLS (Tunneled TLS)
- Autenticazione: PAP Identity: username@PG.INFN.IT
- login: username@PG.INFN.IT
- password: XXXX (quella di INFN-AAI)
- Certificati: verifica Certification Authority (HARICA)
sarà necessario usare sempre il login nella forma username seguito dal dominio e, come detto sopra, le credenziali di riferimento saranno quelle di INFN-AAI per tutte le reti.
CERTIFICATI DIGITALI
Archivio certificati x509 relativi alle CA Harica e Sectigo
- Comodo
- USERTrust
- GEANT
- Sectigo
- Harica Root CA 2015: formato PEM, CRT
- Harica TLS RSA, formato: PEM, CRT
- GEANT TLS RSA, formato: PEM, CRT
Se necessario si possono installare nella squenza indicata. A partire da gennaio 2026 saranno necessari solo: “GEANT TLS RSA”, “Harica TLS RSA” e “Harica Root CA 2015”.
Per ulteriori informazioni contattare il Servizio di Calcolo e Reti