LA GESTIONE DI UNA RETE DIDATTICA
Introduzione
Un tiro un gol! ... come Baggio! Quasi dimenticavo questa frase, ma spesso mi è tornata utile.
"Non perdere tempo nel provare applicativi, ne devi scegliere uno e sperimentare quello!"
Il software shareware e
freeware nei primi anni '90 e l'Open Source nel termine degli anni
'90 hanno spesso trasformato gli hard disk in una 'munnezza': più
applicativi per uno stesso scopo. KDE e GNOME, Sendmail ed Exim, PHP
e Perl, PostgreSQL, MySQL e meglio ancora Interbase, ecc.
Si impone, a questo punto, una breve introduzione sulle esperienze acquisite e sulle scelte fatte in campo didattico presso l'Istituto Professionale Fabio Besta di Treviso. Soluzioni hardware e software che ogni scuola o piccola e media azienda potrebbero prendere in considerazione.
Quale distribuzione?
Oppure cosa installo? Red Hat, SuSE, Caldera, Corel, TurboLinux, Mandrake, Debian, Slackware?
Io rispondo: - usa quello che fa al caso tuo! - L'esempio più calzante, fu la scelta tra PostgreSQL ed Interbase. Tecnicamente è più valido di Interbase, però l'architettura ereditata dallo UniX classico, impallidiva rispetto alla semplicità con cui in PostgreSQL si è subito operativi con gli studenti.
MySQL è stato scartato: anche se più semplice da amministrare, però didatticamente non valido, manca della integrità referenziale, non supporta le transazioni e i trigger. Per le distribuzioni sceglierne una, e non mollare; non è detto che Red Hat sia stata la scelta migliore, però la più conveniente. Un prodotto che conosciamo, maturo, e si trova molto software già distribuito in RPM e compilato per Red Hat. La prima installazione fu una 5.1. L'ultima in ordine cronologico una 7.1.
Scelti gli strumenti (tool) il passo successivo fu di amministrare correttamente ogni singolo servizio. La configurazione più delicata è stata la centralizzazione degli account e configurare in modo adeguato il server di posta (Sendmail).
Gestione account studenti e docenti
"Centralizzare gli account" richiede l'avvio di due servizi distinti: NFS e NIS. L'NFS è indispensabile, permette di esportare le home directory fuori dal server e le rende disponibili ai client. Ogni studente non è così vincolato ad un'unica postazione di lavoro. Il secondo passo è la gestione del file di password.
Il NIS si basa su una coppia di servizi uno dal lato server, uno dal lato client. Oltre al file di password si può fruire del file group, il file di host ed altri. La configurazione di un'unica macchina può essere replicata istantaneamente su tutti i client. Ogni modifica di uno di questi file comporta la successiva compilazione del file db equivalente.
Il comando per cambiare la password non è più passwd, bensì yppasswd.
NFS non richiede particolari configurazioni, l'unica modifica è nel consentire ai vari root di avere permessi di controllo sulle directory esportate, ossia se root doveva essere trattato come un normale utente e non come superutente per quel volume esportato. Per praticità si è scelta la prima ipotesi.
In sintesi un permesso 700 può essere forzato da root del server dove risiede il volume da esportare, però non può essere forzato dal root del client dove viene montato, tuttavia l'opzione no_squash_root nel file /etc/exports nel server dove risiede il volume da esportare, viola questa impostazione.
Server e client di posta
Per la posta Sendmail come server e pine come client.
Il servizio di posta è prioritario, la configurazione cambia se si tratta di una workstation o del server principale (per intenderci quello registrato nel campo MX del DNS). Le workstation si affidano al server per inoltrare tutta la posta in uscita e non dovranno preoccuparsi di smistare quella in arrivo.
La posta per ogni utente a cui viene garantito il servizio, viene recuperata e memorizzata in un file nella home directory; due vantaggi: evita di esportare un altro volume NFS (/var/spool/mail/) e con l'utilizzo delle quota disk limito lo spazio utente imponendo una certa "igiene" nel consumo di byte.
Il software procmail può assolvere il compito. Anche il file di configurazione di pine (/etc/pine.conf.fixed) deve essere modificato.
E' disponibile l'accesso in POP3 per scaricare la posta direttamente nel computer di casa. In alternativa è installato Neomail come applicativo di webmail. Quest'ultimo è stato scelto dopo aver analizzato diversi prodotti con caratteristiche simili. Quasi tutti basati in PHP, tranne Neomail che usa un motore scritto in Perl. La sua configurazione è semplice e richiede pochi minuti.
Database e html dinamico
Per le esperienze didattiche con i DataBase abbiamo scelto di installare due motori PostgreSQL uno di test ed uno nella stessa macchina che ospita il Web Server. Nei client invece si è installato solamente il PostgreSQL base, ossia le librerie ed il client psql. Il file di configurazione di PostgreSQL (pg_hba.conf) viene configurato per consentire l'accesso da tutti gli host in relazione fiduciaria (trust). L'insegnante così è "subito operativo". Per ogni studente non è richiesto accesso con password.
Ci sono due web server Apache installati: uno che gestisce il sito linuxdidattica.org e uno per le esercitazioni didattiche. Gli esercizi di HTML dinamico sfruttano il PHP installato con i moduli per interfacciarsi al PostgreSQL. Il PHP è il passaggio naturale che deriva dall'esperienza maturata con Perl e PostgreSQL.
Il traffico del server web esterno viene monitorato dal software webalizer, che con report grafici si è rilevato un utile ed indispensabile strumento di analisi.
Router e DNS
Un paio di computer di classe i586 sono serviti come router per i laboratori: uno per l'interno, che gestisce le due sottoreti, uno per l'esterno verso la rete Internet. I router hanno come unico utente registrato root e tutti i servizi tipici sono disabilitati. Anche l'installazione dei pacchetti RPM è ridotta all'osso.
Il DNS è ospitato nel router interno e particolare cura è stata riservata nella compilazione dei file di gestione del servizio. Ogni modifica viene controllata via ping e leggendo attentamente i file di log. Spesso si sono verificate anomalie di funzionamento per modifiche errate ed improvvisate.
Il manteiner del dominio linuxdidattica.org è affidato ad un operatore esterno.
La rete con doppio router, che è valida didatticamente ma onerosa in termini di amministrazione verrà abbandonata a breve, per ottimizzare le risorse umane.
Firewall
Ci siamo affidati al tool ipchains per filtrare il traffico e mascherare opportunamente le due sottoreti. Nelle macchine server i servizi a rischio sono negati ed ogni forma di collegamento è prevista solo con protocolli sicuri. Il firewall blocca, altresì le connessioni non autorizzate.
Proxy server
L'installazione di un proxy server per ora è stata rimandata finchè non sarà affiancata ad uno strumento di controllo del traffico stesso, come junkbuster o squidguard. Entrambi i software dispongono di aggiornamenti mensili della loro blocklist.
E' previsto uno spazio di 2Gb per ospitare le pagine web in cache.
Interfaccia grafica
In ogni client di classe i586 e i686 è installata la distribuzione GNOME Ximian e viene aggiornata periodicamente; attualmente la procedura è manuale, sto valutando l'eventualità di creare una procedura automatica per l'aggiornamento.
Un paio di Pentium di prima generazione sono stati recuperati attraverso il protocollo XDMCP che consente di aprire una sessione X in un client sfruttando la capacità di un server remoto; insomma l'equivalente di una sessione in telnet. Lo stesso principio permetterebbe di recuperare PC di classe i486 oltre a quelli i586 già citati.
StarOffice
La versione di Star Office 5.2 dal tredici Ottobre 2000 è stata installata nei PC. Gli studenti quindi possono affrontare le esercitazioni di videoscrittura e di foglio elettronico con Desktop LiNUX. La curva di apprendimento è stata molto breve, ed il passaggio dall'Office di Microsoft è avvenuto senza problemi. StarOffice spesso viene usato anche come browser, assieme a Mozilla. Netscape è stato disinstallato per problemi di stabilità, e perché spesso bloccava la macchina lasciando il processo attivo.
Interfaccia a carattere
L'ottanta percento delle esercitazioni didattiche vengono affrontate con computer di classe i286. In ogni elaboratore è installata l'ultima versione del dos licenziato da Caldera. L'accesso alle macchine con LiNUX avviene o con protocollo telnet o con protocollo SSH. Pine, esercitazioni con PostgreSQL, PHP, programmazione in Perl e scrivere codice in HTML non richiedono l'utilizzo della grafica.
Conclusioni
Per approfondimenti su come configurare il software citato i veda l'articolo "La rete: Linux per la didattica", all'indirizzo
http://www.linuxdidattica.org/docs/Linux-Didattica.php/
Umberto Zanatta