Differenze tra le versioni di "Servizi Informatici"
(Creata pagina con "<center>'''Note sui servizi informatici dell'AC'''</center> <center>versione del 07/02/15</center> = Introduzione = I servizi informatici dell'AC diocesana nascono circa 9...") |
(Nessuna differenza)
|
Versione attuale delle 12:52, 9 apr 2016
Introduzione
I servizi informatici dell'AC diocesana nascono circa 9 anni fa, incrociando dei bisogni e delle richieste da parte della presidenza del tempo (la prima di Marco Pio), la disponibilità di alcune persone[1], e la disponibilità di alcune risorse a costo pressoché nullo.
Idee, bisogni e richieste iniziali
Le richieste iniziali, tutto sommato ancora pienamente valide oggi, erano in buona sostanza tre:
- l'esigenza di chiudere la segreteria, ovvero fare in modo che ci fosse una distinzione netta tra le attività più critiche della segreteria diocesana (in particolare economiche e tecnico/legali) e le attività varie dell'associazione (che, ricordo, al tempo si svolgevano in Centro Diocesano).Per assolvere a questa esigenza, era però necessario rendere accessibile i dati e le informazioni anche da computer diversi da quello della segreteria (che sarebbe stato inaccessibile se non a segretario, presidente, amministratore), oltre ovviamente ad avere il grosso delle risorse tecniche in una stanza accessibile (l'attuale stanza 18, dove sono stati spostati telefono, stampante e fotocopiatore).
- L'esigenza di utilizzare questi servizi soprattutto come strumento per l'ufficio di segreteria, ma con la possibilità di avere altre collaborazioni, anche spot, e comunque permettere la consultazione a tutti (perlomeno ai quadri diocesani).
- L'esigenza di creare un deposito dati dell'associazione, che altrimenti restavano sparsi nei vari settori e varie attività.Per assolvere a questa esigenza, sono state aggiunte due postazioni in stanza 18, di modo che non solo si potesse lavorare, ma anche depositare e prelevare i dati necessari, senza duplicazioni e perdite.
- L'esigenza di creare un sito web dell'associazione, come continuazione morale del periodico ACCanto che aveva cessato la pubblicazione qualche anno prima.Inizialmente questa esigenza è stata assolta con le risorse interne, poi si è optato per il sito web esterno.
Problemi e questioni aperte
Restano aperti alcuni problemi.
- In questi anni, a parte un iniziale sprint, l'ufficio di segreteria non ha mai realmente e pienamente funzionato, con il risultato che molta di questa conoscenza si è persa, o perlomeno non è stata compresa ed utilizzata.
- Pur essendo assolutamente ragionevole che sito web e intranet (servizi interni) siano distinti, ormai è palese che il sito web non decolla non per mancanza di tecnologia, ma per mancanza di idee, coordinamento, tempo.
- L'aumento della mobilità degli ultimi anni ha messo un po' in crisi il modello: vado in centro diocesano a prelevare/depositare informazioni. Occorrerà sicuramente puntare maggiormente per servizi e condivisione delle informazioni online (on the Cloud).
- D'altro canto, anche i servizi realmente online come la gestione di rubrica ed agenda, non sono mai stati pienamente utilizzati, preferendo continuare ad usare risorse proprie e non condivise, quindi duplicate e non ottimali.
- Va anche detto che il nostro principale bacino di dati degli associati, il software di gestione nazionale Dalì, è inaccessibile a qualsiasi travaso dati automatizzato, complicando e di molto la gestione dell'indirizzario.
In generale, e per fare una sorta di analisi riassuntiva, e ovviamente al netto delle cose nonfunzionanti, malfunzionanti e perfettibili, l'impressione è che la mancanza di una ossatura nell'ufficio di segreteria abbia fatto mancare lo stimolo necessario a considerare tutte queste risorse non solo utili ma anche necessarie.
Risorse hardware
L'AC diocesana dispone delle seguenti risorse informatiche (hardware/software):
| Risorsa | Descrizione | Referente/Amministratore | Note |
|---|---|---|---|
| Dominio ac.concordia-pordenone.it | Dominio di terzo livello fornito dalla curia | Renato Sitta/Mediastudio | Il dominio è gestito da MediaStudio, ed è appoggiato sui loro server; sono registrati solo record A/CNAME/MX (non c'è delega di zona) |
| Dominio accanto.org | Dominio di secondo livello | Maurizio Lazzarin | Hosting su Aruba |
| Accesso ad internet | Accesso alle linee HDSL e ADSL della curia; accesso alla linea ADSL in pellegrina. | Renato Sitta | In curia abbiamo accesso diretto ai router con IP statici e pubblici; in pellegrina siamo dietro NAT. |
| Server rita | Server donato dalla curia, ospitato in curia e connesso alle linee della curia | Marco Gaiarin | Funge da server per la LAN della curia e da server per i servizi internet (posta, liste, egroupware), oltre che da centralino telefonico/segreteria.
Il server è dotato di backup su nastro (l'unità è mia). |
| Router alice | Router per il collegamento in VPN tra la rete curia e la rete pellegrina | Marco Gaiarin | |
| PC giuseppe | PC della segreteria | Marco Gaiarin | Attualmente ha Windows XP, ma va aggiornato a Windows 7 (ha la licenza, basta aggiornare). |
| PC armida | Ex PC della segreteria, in stanza 18 | Marco Gaiarin | Ha Windows XP e non è convertibile a Windows 7, da dismettere o convertire a Linux. |
| PC mario e giovanni | Mini PC Linux | Marco Gaiarin | Mario in Pellegrina, giuseppe in curia (stanza 18) |
| Multifunzione curia | Multifunzione gestetner in curia | - | Acquisto non oculato, la macchina non si riesce ad usare come stampate di rete, sarebbe da pensare a una sostituzione... |
| Multifunzione pellegrina | Piccola multifunzione Samsung | - | Ora connessa al router alice, e utilizzabile come stampante di rete. |
| Stampante curia | Piccola stampante Samsung | - | Fin che tiene botta... ;-) |
| Stampante jolly | Piccola stampante Samsung | - | Usata normalmente come jolly ai campi. |
| Varie | Switch di rete, UPS per il server, access point, ... | - | Materiale vario a supporto, sia in pellegrina che in curia. |
Ci tengo a ricordare che il grosso delle risorse sono state e vengono fornite a titolo gratuito dalla curia, in particolare per intercessione di Renato Sitta.
Servizi
Sono invece implementati i seguenti servizi:
| Servizio | Descrizione | Risorse usate | Referente/Amministratore | Note |
|---|---|---|---|---|
| Autenticazione e gestione dominio | Gestione utenti e gruppi | Server rita | Marco Gaiarin | Uniche credenziali di accesso ai vari servizi; gestione del cambio password per sicurezza e ottemperanza al DLGS privacy. |
| Condivisione file e stampanti | Condivisione di file e stampanti per i pc in curia | Server rita | Marco Gaiarin | In questo modo i dati sono sul server, protetti da UPS e backup, e accessibili da tutti i pc. |
| Centralino | Gestione avanzata della telefonia, integrazione con altri servizi | Server rita | Marco Gaiarin | Si veda sezione specifica; inizialmente pensato per poter utilizzare il telefono in pellegrina. |
| Wireless | Accesso wireless in curia e pellegrina | Server rita | Marco Gaiarin | Temporaneamente sospeso; il servizio permette l'accesso con le credenziali fornite, minimizzando i rischi di leakage. |
| Sistema EGroupWare | Sistema di groupware (rubrica, agenda, todo, ...) | Server rita | Marco Gaiarin | Sostanzialmente utilizzata solo la rubrica. Possibilità di sincronizzazione con vari dispositivi e programmi (protocollo GroupDAV) |
| Gestione email | Gestione della posta in uscita e in ingresso per il dominio ac.c-p.it | Server rita, dominio ac.c-p.it | Marco Gaiarin | Possibile offrire caselle di posta con POP/IMAP e posta in uscita, anche se finora si sono solo abilitati dei forward. |
| Gestione liste | Sistema di gestione delle liste (mailing lists) | Server rita, dominio liste.ac.c-p.it | Marco Gaiarin | Integrazione delle liste con il sistema di autenticazione e gestione utenti, e con la rubrica del sistema di groupware. |
| Sito/Portale | Sito/portale dell'AC diocesana | Dominio accanto.org | Maurizio Lazzarin | Hosting di joomla su Aruba; nessuna integrazione con gli altri sistemi (autenticazione in primis) |
| Gestione contabilità (GAZIE) | Gestone della contabilità (scritture contabili, in primis) | Server rita | Marco Gaiarin | Utilizzato da Miriam, ma il sistema supporta la multiutenza. |
| VPN | Collegamento tra la rete della curia e la rete della pellegrina | Server rita, router alice | Marco Gaiarin | In fase di completamento; permetterà di riabilitare il telefono in pellegrina (ora sospeso) |
Seguono alcune note specifiche per alcuni servizi.
Centralino
L'obiettivo principale è quello di avere una segreteria evoluta (che era preesistente, ma gestita in altro modo), e di avere un telefono nell'ufficio in Pellegrina. Alla fine il sistema è composto da:
- un gateway telefonico che converte la linea telefonica del centro diocesano in protocollo VoIP
- Un normalissimo cordless (il telefono in centro diocesano)
- Il cordless VoIP in pellegrina
In passato sono stati fatti esperimenti di integrazione con Skype (miseramente fallito, per colpa di skype) e Goole Talk (attualmente non funziona, ma funzionerà al prossimo aggiornamento).
Il sistema ha una semplicissima configurazione di backup: se si spegne il gateway, togliendo alimentazione, il telefono (in centro diocesano) funziona normalmente, anche se ovviamente non funzionano i servizi (segreteria, …).
Gestione email
Ogni utente creato nel sistema ha la possibilità di usare un indirizzo del tipo utente@ac.concordia-pordenone.it, oppure anche nome.cognome@ac.concordia-pordenone.it; è teoricamente possibile usufruire del servizio con i classici POP/IMAP, con la webmail integrata in EGroupWare, oppure con redirezione alla casella personale (normalmente si usa questo).
Oltre a questo sono stati definiti tutta una serie di alias cosiddetti istituzionali, ovvero indirizzi che rimandano la posta ai membri di strutture e uffici dell'Azione Cattolica diocesana. L'elenco degli alias e dei membri è reperibile all'indirizzo:
https://rita.ac.concordia-pordenone.it/ldap.php?context=aliases
Gestione liste
Il sistema di gestione delle liste non condivide ne il modello di security ne la base account con i restanti sistemi: utilizza un classico sistema di autenticazione su email dei servizi internet (chiedo l'iscrizione con la mia email, mi arriva una richiesta di conferma, accetto l'iscrizione).
Il sistema può però recuperare elenchi di iscritti sia dal sistema EGroupWare, sia dalla base account: il primo metodo viene utilizzato per popolare le liste -annunci con i dati dalla rubrica, mentre il secondo per inserire forzatamente alcune classi di utenza in alcune liste (ad esempio: in tutte le liste adulti iscrivere i vicepresidenti adulti e il segretario).
Sono presenti tre figure di gestione:
| Nome | Descrizione | Chi è? | Note |
|---|---|---|---|
| listmaster | L'amministratore dell'intero sistema di gestione delle liste, ovvero l'utente che può creare liste, e modificare tutti gli aspetti del sistema | Marco Gaiarin
Maurizio Lazzarin |
Alcuni parametri delle liste (ad esempio le fonti esterne per reperire iscrizioni, ad esempio da EGroupWare) sono modificabili solo dal listmaster. |
| owner | Proprietario della lista, ovvero la persona che, una volta incaricata dal listmaster, può modificare i parametri della lista | Specifico per ogni lista | Deve esistere, è può essere assegnato a più persone; normalmente l'owner delle liste di un settore è il segretario di quel settore. |
| moderator | Moderatore, ovvero la persona che collabora con l'owner aiutandolo nei compiti di routine (approvare messaggi, interagire con gli utenti, ….). | Specifico per ogni lista | Può non esistere, se non esiste le funzioni sono assorbite dall'owner. |
Modello di security
Il modello di sicurezza del sistema è molto semplice, ed è basato sui gruppi o ruoli, ovvero all'appartenenza o meno di un utente a uno o più gruppi d'utenza. Il razionale di questa scelta è:
- la possibilità di mantenere attivo un account, ma regolare servizi offerti e potenzialità a seconda della funziona svolta in quel particolare momento;
- la possibilità di permettere alle persone di collaborare (ad esempio tramite l'appartenenza ai medesimi gruppi d'utenza) senza la necessità di condividere le password;
Lo schema riassuntivo degli utenti e delle loro appartenenze ai gruppi attualmente in essere è presente all'indirizzo:http://rita.ac.concordia-pordenone.it/ldap.php
Qui sotto una tabella con una descrizione dei principali gruppi e dei loro permessi; ogni gruppo ha all'interno del disco di rete accesso a una cartella di rete con lo stesso nome:
| Nome | Descrizione | Cartella nel Disco di Rete | Note EGroupWare | Note |
|---|---|---|---|---|
| equipeacr | Equipe ACR | ACR | - | - |
| eqiuipesa | Equipe SA | Adulti | - | - |
| equipesg | Equipe SG | Giovani | - | - |
| consiglio | Appartenenti al Consiglio Diocesano | - | - | Accesso Wireless |
| presidenza | Membri di Presidenza | Unitario; accesso in sola lettura a tutte le cartelle. | Accesso a tutti i dati degli altri gruppi, in sola lettura. | Accesso Wireless |
| assistenti | Collegio Assistenti | - | - | Accesso Wireless |
| segreteria | Ufficio di Segreteria | Segreteria, Archivio; comunque ha accesso a tutte le cartelle. | Accesso a tutti i dati degli altri gruppi, sia in lettura che in scrittura. | Accesso Wireless |
| mieac | Soci MIEAC | MIEAC | ||
| ldf | Laboratorio Diocesano della Formazione | LDF | ||
| amministrazione | Ufficio Amministrativo | - | Accesso Wireless |
Come si può vedere il razionale della scelta è che ogni gruppo d'utenza lavora nel suo ambito, con due eccezioni:
- la presidenza vede tutto: il razionale è ovviamente che la presidenza ha la responsabilità, e quindi l'onere del controllo;
- l'ufficio di segreteria può tutto: il razionale è che l'ufficio di segreteria ha compiti di coordinamento e supporto, e quindi opera in modo onnicomprensivo, e in via fiduciaria dai relativi responsabili.
Questione Amministratore di Sistema
L'amministratore di sistema è quella figura che definisce i permessi di accesso, e quindi, per poterli definire, ne deve essere immune: quindi per forza di cose l'amministratore di sistema vede tutto, e può tutto. Faccio un breve riassunto di come sono assegnati questi poteri.
| Tipo | Descrizione | Amministratore | Ambito | Note |
|---|---|---|---|---|
| root/Administrator | Utente amministratore per antonomasia | Marco Gaiarin | Amministratore di sistema UNIX e Windows, quindi accesso pieno e incondizionato a ogni aspetto del sistema. | Vedi prossima riga |
| Gruppo domadms | Gruppo degli amministratori di rete | Marco Gaiarin, Maurizio Lazzarin | Accesso ssh e possibilità di elevare i propri privilegi a quelli massimi (sudo)
Accesso all'interfaccia di gestione account (LAM) Accesso come amministratore in Windows |
Sostanzialmente equivalente a sopra. |
| listmaster | Gestore del servizio di mailing list | Marco Gaiarin
Maurizio Lazzarin |
Accesso pieno e incondizionato a tutte le liste, comprensive di elenchi iscritti e storico dei messaggi (archivio della lista) | |
| Amministratore Aruba | Utente di accesso a basso livello ai servizi Aruba | Maurizio Lazzarin | Possibilità di visionare e modificare (via FTP) i file sul sito web. | |
| Amministratore Joomla | Utente di amministrazione sito web | Maurizio Lazzarin | Possibilità di visionare, modificare ed eliminare ogni contenuto del sito web | |
| Amministratore GAZIE | Utente di amministrazione del sistema di contabilità | Marco Gaiarin | Creare nuove società, anche se la gestione permessi è un po' cruda, e i permessi di amministrazione li hanno tutti. ;) |
Se si pensa ad esempio alle liste, il listmaster può non solo modificare la configurazione del servizio come necessario, ma anche visionare tutti gli archivi di tutte le liste: per forza di cose deve esistere una sorta di rapporto fiduciario tra gli amministratori e la presidenza.
Progetti e persone
Credo comunque che questo sia un patrimonio prezioso per l'associazione, e che quindi occorre guadare avanti. Vedo alcune attività da fare nel breve periodo:
A breve termine
- Occorre aggiornare il server Rita, il che permetterebbe di migliorare la gestione della posta elettronica, oltre che sistemare finalmente il wireless e Google Talk.
- Occorre aggiornare il PC giuseppe a Windows 7.
A medio termine
- Credo che sia sensato iniziare a pensare a una soluzione per telefono e internet in casa alpina; visto che abbiamo dismesso la linea fissa, credo abbia senso valutare una soluzione su rete mobile o wireless (se ha copertura). Vorrei poter impegnare il gruppo in questa cosa.
- Credo sia sensato valutare e implementare un accesso al disco di rete in mobilità (servizio web, o simile), in modalità private cloud; occorre valutare alcune opzioni...
- Credo sia molto utile, per l'ufficio di segreteria e per l'AC tutta, avere un private wiki, ovvero uno spazio in cui fissare, con il paradigma del wiki, tutte le informazioni utili alla gestione dell'Azione Cattolica diocesana.
Persone
Negli anni, anche e soprattutto a causa dell'assottigliarsi del mio tempo su questi temi, per altri e più superiori impegni, ci si è fermati al minimo indispensabile e il gruppo si è sfaldato.
Mi piacerebbe pensare di rimpolparlo, magari coinvolgendo qualche vecchio o qualche nuovo (penso ad esempio a Stefano Zorzi).
Credo che comunque sia essenziale ripartire dall'ufficio di segreteria, e non vedrei questo gruppo come autonomo, ma come un semplice gruppetto tecnico a servizio dell'ufficio di segreteria...
Tecnicaglie
Gestione DNS
Il DNS ora è in mano a Glauco, il riferimento è Gianluca Cantergiani Glauco <g.cantergiani@glauco.it>; ovviamente mettere in CC a ogni richiesta Renato.
Registrazioni DNS
Non c'è delega del dominio di terzo livello, tutto è registrato quindi nel dns di concordia-pordenone.it.
I record registrati sono:
| Nome | Tipo | Valore | Note |
| . | A | 93.51.185.10293.51.185.198 | |
| ritafwh | A | 93.51.185.198 | |
| ritafwa | A | 93.51.185.102 | |
| . | MX | 5 ritafwh5 ritafwa | |
| rita | A | 93.51.185.10293.51.185.198 | |
| liste | A | 93.51.185.10293.51.185.198 | |
| liste | MX | 5 ritafwh5 ritafwa | |
| www | CNAME | rita | |
| phpgw | CNAME | rita | |
- ↑ Oltre e me, nel gruppo iniziale facevano parte Guido Fradeloni, Stefania Pasquon, Fabiano d'Andrea, Davide Caniel, Daniele Magic Coral e altri.