Sistema di autenticazione

[Aeo]

Salve,

sto cercando una soluzione economica ed open source per controllare gli accessi degli alunni alla rete scolastica (realizzata con modem Telecom fibra 100Mbit). Spesso faccio usare il cellulare personale, abbiamo un regolamento per il BYOD, per verifiche online con Google Moduli o con ZTE. Però a volte la connessione è debole e vorrei rimediare con il wifi della scuola. Mi rendo conto che il problema non è semplice e va affrontato in modo sistematico.

Per esempio, tra le varie informazioni, dalla rete leggo : "

Le recenti Direttive sul Cyberbullismo impongono l’adozione di un sistema di accesso ad internet autenticato da username e password personali.

L’Amministratore di Rete, insieme al Dirigente scolastico, è responsabile anche sul piano personale di eventuali illeciti commessi dai propri utenti su internet. E’ quindi necessario per un Ente regolamentare l’accesso ad Internet e proteggere così anche i suoi Dirigenti.

Il sistema di autenticazione deve prevedere, all’apertura del programma di navigazione, l’inserimento delle proprie credenziali che verranno abilitate alla Rete associate al corretto profilo di navigazione (studenti, insegnanti, personale amministrativo, ecc.), con differenti restrizioni e politiche di navigazione.

"

Una soluzione semplice potrebbe essere un firewall con un server proxy squid su porta 80 ma così, credo, si bloccano tutti i servizi che non vanno su http.

Oppure un server radius (freeradius) consigliato dall 'AGID.

Ora stavo installando su qemu/kvm debianedu10/skolelinux per vedere come potrebbe funzionare.

Qualcun altro ha sperimentato altre soluzioni oppure può consigliare e dare indicazioni più approfondite?

Grazie in anticipo per l'eventuale disponibilità.

Amedeo.

[Mattia Davì]

Ciao.

Consiglio un server Radius, va benissimo.

Se vuoi configuri un firewall con Opne DNS e via.

Oppure se hai access point ubiquity puoi anche usare il loro sistema di management..

--
Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/d/forum/lavagnalibera
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "Lavagna libera" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a lavagnaliber...@googlegroups.com.
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/lavagnalibera/02cf0fb4-873b-892e-59b9-77da1dffb809%40gmail.com.

[Stefano Salvi]

Ti serve un firewall che implementi un sistema di accesso (captive
portal) simile a quello degli hotel.

Occorre interporre il firewall tra il model telecom e la rete d'istituto
(o almeno la rete wifi).

Lo potresti realizzare ad esempio con zeroshell
(https://zeroshell.org/hotspot-router/) o con pfsense
(https://www.firewallhardware.it/pfsense-2-4-x-configurazione-captive-portal/).

Di solito i sistemi utilizzano come server di autenticazione Radius (ad
esempio openradius).

Naturalmente poi occorre inserire nel database Radius le credenziali
degli utenti abilitati.

Sicuramente occorre smanettare un po'... non è come installare una app
su cellulare o un programma su PC.
    Stefano

Il 04/02/21 18:11, Aeo ha scritto:

>
> Salve,
>
> sto cercando una soluzione economica ed open source per controllare
> gli accessi degli alunni alla rete scolastica (realizzata con modem
> Telecom fibra 100Mbit). Spesso faccio usare il cellulare personale,
> abbiamo un regolamento per il BYOD, per verifiche online con Google
> Moduli o con ZTE. Però a volte la connessione è debole e vorrei
> rimediare con il wifi della scuola. Mi rendo conto che il problema non
> è semplice e va affrontato in modo sistematico.
>

> Per esempio, tra le varie informazioni, dalla rete leggo : "**
>
> *Le recenti Direttive sul Cyberbullismo impongono l’adozione di un

> sistema di accesso ad internet autenticatoda username e password

> personali.*
>
> *

>
> L’Amministratore di Rete, insieme al Dirigente scolastico, è
> responsabile anche sul piano personale di eventuali illeciti commessi
> dai propri utenti su internet. E’ quindi necessario per un Ente
> regolamentare l’accesso ad Internet e proteggere così anche i suoi
> Dirigenti.
>
> Il sistema di autenticazione deve prevedere, all’apertura del
> programma di navigazione, l’inserimento delle proprie credenziali che
> verranno abilitate alla Rete associate al corretto profilo di
> navigazione (studenti, insegnanti, personale amministrativo, ecc.),

> con differenti restrizioni e politiche di navigazione*.*
>
> *

> "
>
> Una soluzione semplice potrebbe essere un firewall con un server proxy
> squid su porta 80 ma così, credo, si bloccano tutti i servizi che non
> vanno su http.
>
> Oppure un server radius (freeradius) consigliato dall 'AGID.
>
> Ora stavo installando su qemu/kvm debianedu10/skolelinux per vedere
> come potrebbe funzionare.
>
> Qualcun altro ha sperimentato altre soluzioni oppure può consigliare e
> dare indicazioni più approfondite?
>
> Grazie in anticipo per l'eventuale disponibilità.
>
> Amedeo.
>

> --
> Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate
> prova ad iniziare da qui:
> https://groups.google.com/d/forum/lavagnalibera
> <https://groups.google.com/d/forum/lavagnalibera>
> ---
> Hai ricevuto questo messaggio perché sei iscritto al gruppo "Lavagna
> libera" di Google Gruppi.
> Per annullare l'iscrizione a questo gruppo e non ricevere più le sue
> email, invia un'email a lavagnaliber...@googlegroups.com

> <mailto:lavagnaliber...@googlegroups.com>.

> Per visualizzare questa discussione sul Web, visita
> https://groups.google.com/d/msgid/lavagnalibera/02cf0fb4-873b-892e-59b9-77da1dffb809%40gmail.com

> <https://groups.google.com/d/msgid/lavagnalibera/02cf0fb4-873b-892e-59b9-77da1dffb809%40gmail.com?utm_medium=email&utm_source=footer>.

[d.mala...@gmail.com]

Ciao,

io utilizzo fw PfSense con autenticazione Ldap (con Openldap) su Squid e filtro contenuti con OpenDNS.

Un po' macchinosa la configurazione iniziale e la gestione, ma è l'unico modo per avere sia l'autenticazione che la registrazione del log. Almeno io non ne ho trovati altri.

Però non c'è così la possibilità di avere "differenti restrizioni e politiche di navigazione" ovvero le regole impostate valgono per tutti.

Se invece non interessa la registrazione del log navigazione (con associazione di utente pseudonomizzato a sito), con freeradius e captive portal fai prima.

[Marco Ciampa]

On Thu, Feb 04, 2021 at 06:11:17PM +0100, Aeo wrote:
> Salve,
>
> sto cercando una soluzione economica ed open source per controllare gli
> accessi degli alunni alla rete scolastica (realizzata con modem Telecom
> fibra 100Mbit). Spesso faccio usare il cellulare personale, abbiamo un
> regolamento per il BYOD, per verifiche online con Google Moduli o con
> ZTE. Però a volte la connessione è debole e vorrei rimediare con il wifi
> della scuola. Mi rendo conto che il problema non è semplice e va
> affrontato in modo sistematico.
>

> Per esempio, tra le varie informazioni, dalla rete leggo : "**
>
> *Le recenti Direttive sul Cyberbullismo impongono l’adozione di un
> sistema di accesso ad internet autenticatoda username e password personali.*
>
> *
>

> L’Amministratore di Rete, insieme al Dirigente scolastico, è
> responsabile anche sul piano personale di eventuali illeciti commessi
> dai propri utenti su internet. E’ quindi necessario per un Ente
> regolamentare l’accesso ad Internet e proteggere così anche i suoi
> Dirigenti.
>
> Il sistema di autenticazione deve prevedere, all’apertura del programma
> di navigazione, l’inserimento delle proprie credenziali che verranno
> abilitate alla Rete associate al corretto profilo di navigazione
> (studenti, insegnanti, personale amministrativo, ecc.), con differenti

> restrizioni e politiche di navigazione*.*
>
> *

> "
>
> Una soluzione semplice potrebbe essere un firewall con un server proxy
> squid su porta 80 ma così, credo, si bloccano tutti i servizi che non
> vanno su http.
>
> Oppure un server radius (freeradius) consigliato dall 'AGID.
>
> Ora stavo installando su qemu/kvm debianedu10/skolelinux per vedere come
> potrebbe funzionare.
>
> Qualcun altro ha sperimentato altre soluzioni oppure può consigliare e
> dare indicazioni più approfondite?
>
> Grazie in anticipo per l'eventuale disponibilità.
>
> Amedeo.

Installa pfsense che ha dentro tutto, dal captive portal al supporto
radius. Devi però avere da qualche parte un sistema di autenticazione
a cui collegarsi: LDAP, dominio Windows, Samba 4, ecc.

--

Saluton,
Marco Ciampa

[Aeo]

Grazie a tutti per le informazioni.

Su vostra indicazione, mi ha colpito favorevolmente zeroshell con zerotruth (estensione italiana); mi sembra una soluzione bella e  semplice.

Ho visto che un liceo consiglia proprio questa soluzione.

Raccolgo ancora un po' di informazioni e poi mi confronto con il DPO.

Grazie.

Amedeo.

Il 04/02/21 18:32, Stefano Salvi ha scritto:

[Aeo]

Aggiornamento.

Intanto ringrazio chi intervenuto per consigli.

Ho installato zeroshell e pfsense su qemu/kvm e non sono male. Ho letto che alcuni smartphone iphone non vengono riconosciuti dal sistema zeroshell, questo mi ha bloccato un po'. In rete ho notato che Mikrotik RouterOs ha acquisito una  buona reputazione e per una minima spesa di circa 30€ (modello fascia bassa) si acquista un router RouterBOARD con un sistema operativo simile a quelli precedenti. A mio modesto parere, questo sistema per piccole reti va preso in considerazione in quanto ben aggiornato e con molti tutorial in rete. Ho installato, su macchina virtuale, il sistema routeros (senza licenza bisogna riavviare il sistema ogni 24 ore) e sto smanettando un po'. Mi piace l'idea di avere un piccolo scatolotto da mettere a valle del modem Telecom direttamente nel rack, così evito di mettere un pc dedicato sotto tale rack. Acquistare un mini pc non mi sembra il caso per il costo. Lo schema di rete dovrebbe essere: modem, routeros con captive portal-radius, switch, access point wifi.

A.

Il 04/02/21 18:11, Aeo ha scritto:

Salve,

[Marco Ciampa]

On Mon, Feb 08, 2021 at 07:40:53PM +0100, Aeo wrote:
>
> Aggiornamento.
> Intanto ringrazio chi intervenuto per consigli.
> Ho installato zeroshell e pfsense su qemu/kvm e non sono male. Ho letto
> che alcuni smartphone iphone non vengono riconosciuti dal sistema
> zeroshell, questo mi ha bloccato un po'. In rete ho notato che Mikrotik
> RouterOs ha acquisito una  buona reputazione e per una minima spesa di
> circa 30€ (modello fascia bassa) si acquista un router RouterBOARD con
> un sistema operativo simile a quelli precedenti. A mio modesto parere,
> questo sistema per piccole reti va preso in considerazione in quanto ben
> aggiornato e con molti tutorial in rete. Ho installato, su macchina
> virtuale, il sistema routeros (senza licenza bisogna riavviare il
> sistema ogni 24 ore) e sto smanettando un po'. Mi piace l'idea di avere
> un piccolo scatolotto da mettere a valle del modem Telecom direttamente
> nel rack, così evito di mettere un pc dedicato sotto tale rack.
> Acquistare un mini pc non mi sembra il caso per il costo. Lo schema di
> rete dovrebbe essere: modem, routeros con captive portal-radius, switch,
> access point wifi.
> A.

Lo ripeto: usa pfsense. RouterOS è proprietario, zeroshell un giocattolo
in confronto a pfsense. E se vuoi hw a pochi soldi per pfsense c'è. Ma un
pc o una macchina virtuale vanno benissimo.

--

Saluton,
Marco Ciampa

[d.mala...@gmail.com]

oppure montare pfsense su un miniserver. Ma se potete spendere di più una qualsiasi macchina server mediamente carrozzata va più che bene. Non servono grandi requisiti hw.

Ciao

[Aeo]

Se dovessi configurare una sola rete potrebbe andar bene,

ma dopo aver configurato la rete dove mi trovo devo configurare altri 9 plessi

perché la legge lo impone.

La mia scuola ha 10 plessi distribuiti in diversi paesi e ognuno ha la sua rete wifi con 8 rack e due modem,

uno appoggiato su un armadio (!) e uno attaccato alla parete.

In questa situazione mi sembra inevitabile optare per il minimo ingombro, per il minimo intervento

e per la minima spesa per 10 scatolotti di dimensioni paragonabili al modem.

Da quanto ho notato in rete, se non mi sbaglio,

la soluzione dell'azienda lettone ha circa un fattore 10 in meno rispetto a router/minipc con pfsense,

che indubbiamente sono più professionali.

I pc li devo escludere per problemi di posizionamento in alcuni siti.

Il mio DPO prima voleva proporre una soluzione propria,

ma dopo le mie insistenze per soluzioni open source o economiche

adesso vuole proporre zeroshell-zerotruth su pc venduti da lui.

Capisco che i privati hanno bisogno di guadagnare,

 e considero anche quello che prendono dalla scuola all'anno,

ma ...

Ciao.

PS

Non ho ancora deciso e aspetto il DSGA per capire il tetto di spesa

e cosa e come si può acquistare sul mercato della P.A.

(... e in tutto questo l'Animatore Digitale, che sono io mio malgrado, non guadagnerà un euro,

non verrà ringraziato per il lavoro sommerso svolto e

non avrà che qualche punto per il bonus...

makkimmelofaffare?!?).

Il 10/02/21 10:13, d.mala...@gmail.com ha scritto:

--

Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/d/forum/lavagnalibera

---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "Lavagna libera" di Google Gruppi.

Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a lavagnaliber...@googlegroups.com.
Per visualizzare questa discussione sul Web, visita https://groups.google.com/d/msgid/lavagnalibera/9472f212-1451-4efe-b00d-338ec3065581n%40googlegroups.com.

[Marco Ciampa]

On Thu, Feb 11, 2021 at 07:09:42PM +0100, Aeo wrote:
> makkimmelofaffare?!?).

...quello che me lo fa fare a me: lavori per la scuola, non per i tuoi
capi (né per lo stipendio) altrimenti, se fosse solo una faccenda di
soldi, con le tue competenze faresti altro, o no?

--

Saluton,
Marco Ciampa

[Aeo]

E' un discorso ampio...

Eravamo in due ad occuparci di informatica, era stimolante parlare con il mio amico che era esperto,

teneva regolarmente corsi di formazione a molti docenti, soprattutto a pagamento.

Il nostro contrasto, mai esplicitato completamente,

era che a lui Linux proprio non gli andava giù

(non gli ho mai chiesto perché).

Avevo installato una versione di lubuntu su vecchi pc con 1 Gb di ram

con l'opzione che ad ogni riavvio si cancellava tutto quello che gli studenti avrebbero potuto fare,

(mi pare la versione 12.04),

avevo usato una sala informatica inutilizzata.

Lui provò a metterci win10

con 2Gb di ram,

prendendo la ram dal suo laboratorio personale.

Inizialmente pareva funzionare

ma poi, come è noto, le finestre iniziano a sporcarsi...

In un contesto del genere è bello confrontarsi.

Poi lui è passato alle superiori.

Io, invece, non sento ancora la spinta per farlo, almeno per ora.

Parliamoci chiaro,

sappiamo che l'informatica non si apprende smanettando,

e che la maggior parte dei colleghi, se non tutti,

non va oltre il RE, Meet e Classroom (che sono imposti dalle circostanze). 

Per cui, ripetere sempre le stesse cose per anni

porta ad un punto di incontrovertibile rottura

e si aspetta un sostituto

che abbia nuove speranze

per animare digitalmente i docenti.

Almeno questa è la mia personale esperienza.

Ciao

A.

PS

Avevo tenuto anche un corso di formazione

sulle recenti scoperte pedagogiche

quali la Visible Learning (Evidence Based Education di John Hattie,

diffusa in Italia da Antonio Calvani dell'Università di Firenze)

e la Flipped Classroom (sono iscritto all'associazione Flipnet),

ma lo scarso interesse suscitato...

Personalmente ritengo che chiunque voglia insegnare,

o meglio,

far apprendere,

deve conoscere i risultati sperimentali di questa nuova disciplina,

ma questo è un altro interessantissimo discorso.

Il 12/02/21 20:56, Marco Ciampa ha scritto: