Logo Osservatorio Astronomico di Capodimonte

Centro Servizi Informatici

Osservatorio Astronomico di Capodimonte
Chi Siamo

Il CSI opera per la gestione ordinaria e straordinaria dei sistemi informatici (a titolo esemplificativo non esaustivo: server, PC, periferiche, apparati di rete); recepisce le necessità della ricerca, dell’amministrazione e delle altre utenze; si coordina con i tecnologi per progettare lo sviluppo delle infrastrutture informatiche; non si occupa degli acquisti ma fornisce pareri che sono vincolanti se i sistemi devono ricadere sotto la sua gestione.

Per qualsiasi necessità suggeriamo vivamente di inviare un’e-mail a csi@ ed evitare richieste di persona di cui, per ovvi motivi, non si può tenere traccia e limitare il telefono ai soli casi urgenti.

Il CSI è attualmente formato da:

Nome — Tel. Interno — E-Mail

Andrea Di Dato (Responsabile) — 587 — andrea.didato@

Fabrizio Cioffi — 450 — fabrizio.cioffi@

Gli uffici sono ubicati al piano terra di Villa Della Riccia, entrando a destra.

 

Tra i compiti del CSI ci sono:

  • gestione della sala server

  • gestione e amministrazione dei server d’istituto

  • erogazione dei servizi comuni come spazio Web ed e-mail

  • gestione PC

  • gestione centrale telefonica

Richieste

Per qualsiasi richiesta, basta inviare un’e-mail a: csi.oacn@

Servizio di Posta Elettronica
Alla fine del 2017, l’INAF ha acquistato licenze GSuite business da Google per tutti i dipendenti.
Da Luglio 2018 il servizio di posta dell’OACN è migrato su GMail, pertanto, per leggere la propria posta, bisogna utilizzare il portale GMail di Google
https://mail.google.com
utilizzando come username: nome.cognome@inaf.it
e come password, quella impostata nella propria anagrafica.
 
Nota! Per cambiare password, bisogna utilizzare l’apposita funzione dell’anagrafica, altrimenti, alla prima sincronizzazione utile, verrà sostituita nuovamente con quella presente in anagrafica.
 
N.B. Gli account vengono creati in automatico una volta inseriti i dati anagrafici nel database, operazione a cura dell’ufficio del personale locale. Non è possibile in alcun modo anticipare tale operazione!!!
 
A seguito dell’inserimento in anagrafica ed in base al proprio profilo, si viene inseriti automaticamente nelle liste di posta nazionali ed il giorno seguente in quelle locali. Anche in questo caso, non è possibile fare eccezioni.
Parametri di configurazione della posta elettronica su client
I parametri per la configurazione dei client di posta sui propri computer, sono gli stessi di quelli da utilizzarsi per GMail. Molti client riconoscono il tipo di account e configurano automaticamente l’account.
Nota! Anche in questo caso, unica differenza, è l’uso del dominio inaf.it nell’username come log-in: nome.cognome@inaf.it
Liste di Distribuzione

Liste di posta interne

 
Ogni utente afferente all’OACN, ovvero che nell’anagrafica INAF risulti lavorare nella sede di Capodimonte, viene automaticamente iscritto alle liste di posta interne in base al suo profilo lavorativo.
Le liste sono suddivise per profilo professionale e quindi per area di appartenenza secondo lo schema seguente:
 
 
WebMail INAF

Accedi

Telefonia e Telepresenza
L’Osservatorio utilizza un moderno sistema di telefonia convergente basato su tecnologia VoIP, inoltre l’INAF mette a disposizione numerosi sistemi di videoconfrenza.
Nota: la numerazione interna e la gestione delle autorizzazioni, si rifà al Piano di Numerazione Nazionale.

 

Telefonia

 

Il sistema telefonico VoIP interno è basato su un software commercializzato da 3CX che fornisce ampia documentazione e video tutorial per l’uso del sistema:
Da telefono fisso o App mobile è possibile chiamare direttamente qualsiasi numero interno componendo le tre cifre dell’interno. Il centralino risponde al numero interno 111. Inoltre tutti gli utenti possono chiamare numeri di rete fissa (locali e nazionali), numeri verdi (800 e 803) semplicemente componendo il numero.
Numeri di cellulare ed a tariffazione ripartita o altri numeri a sovrapprezzo, è possibile chiamarli (se non autorizzati) solo tramite centralino.
Dall’esterno, i nostri interlocutori, dovranno comporre la radice seguita direttamente dal nostro interno, ovvero:
    081.5575.<int>
esempio: 081.5575.587
Ogni interno e quindi ogni persona, ha una pagina personale sul portale del software PBX da cui è possibile accedere alle impostazioni personali, alla segreteria telefonica, impostare le deviazioni di chiamata e, sopratutto, utilizzare un vero e proprio telefono dal browser, utilissimo quando si è lontani dalla scrivania e dal proprio apparecchio telefonico (ad esempio in missione od in telelavoro). La pagina di accesso, come pure le credenziali, sono state recapitate ad ognuno via e-mail, ma è possibile richiederle in qualsiasi momento inviando un’e-mail a telefoni@.

 

Breve guida attivazione APP

 

Per una descrizione completa e con video tutorial, consultare la pagina dedicata del sito 3CX linkata in alto.
Per una procedura veloce di attivazione, seguire questi passi
  • Installare l’app 3CX sul proprio smartphone o tablet:
  • Recuperare l’e-mail di benvenuto oppure richiederne nuovamente l’invio. L’email conterrà un file di configurazione (allegato .3cxconfig) ed il QRCode da inquadrare direttamente dall’App.
Fine! Il vostro dispositivo è configurato e funzionante.

 

Numeri di emergenza

 

Attenzione! È possibile chiamare i numeri di emergenza nazionale direttamente senza anteporre lo zero.
Per i numeri di emergenza interna, fare riferimento all’RSPP.

 

Videoconfrenza

 

Il sistema di telefonia interna consente anche di creare e gestire videoconferenze con colleghi interni od anche esterni all’Osservatorio per un massimo di 100 partecipanti in simultanea combinati tra audio/video e telefono. Maggiori informazioni sull’uso sono disponibili sul sito Web 3CX:
L’INAF mette a disposizione, a sua volta, numerosi sistemi di videoconferenza. Consultare la pagina apposita.
Per qualunque richiesta inerente la telefonia, vi preghiamo di inviare tutte le vostre richieste via e-mail a: telefoni@.
I sistemi di video conferenza

I sistemi di video conferenza Web

 

L’INAF ha adottato nel corso del tempo diversi sistemi per vidioconferenza, un elenco è disponibile sulle pagine dell’ICT a cui si aggiungono:
Inoltre, il sistema di telefonia interna dispone di un suo sitema di chat e videoconferenza per 100 partecipanti in simultanea accessibile dal proprio pannello di controllo. Ampia documentazione, anche video, è disponibile qui.
Disponiamo anche di una installazione locale di BigBlueButton che ben si presta alla teledidattica perché BBB è uno dei migliori sistemi di e-learning video e l’installazione in locale è una garanzia per la tutela della privacy di chi lo usa. Si accede con i propi accoun GSuite.
Vi sono anche numerosi sistemi aperti basati su tecnologia WebRTC tra cui segnaliamo l’ottimo Jitsi Meet di cui qui trovate un elenco di server pubblici.
Infine evidenziamo i sistemi messi a disposizione dal GARR e consultabili (ed accessibili) dalla pagina dedicaa: Meetig GARR.

 

I sistema di telepresenza fissi sono stati DISMESSI dal GARR.

 

Lasciamo qui la descrizione solo per riferimento.

L’OAC ha in dotazione anche un set top box per Videoconferenze con cui è possibile collegarsi in remoto con qualsiasi altra sede INAF oppure con qualsiasi altro interlocutore che utilizzi un dispositivo dalle stesse caratteristiche. Inoltre questo apparato consente di collegarsi al sistema di videoconferenze multiple (c.d. MCU) del GARR attraverso il quale è possibile organizzare sessioni a più partecipanti.
La stazione LifeSize Express 220 è un set top box per videoconferenza con capacità FullHD in in standard H.323 e SIP con annessa videocamera FullHD e monitor da 42″ che può essere utilizzato sia per comunicazioni private, sia per meeting, sia per seminari. L’installazione carrellata realizzata in OAC ne consente brevi spostamenti dalla saletta riunioni, dove è normalmente ubicata, alla sala seminari. Ne è vietato il trasporto altrove.
Franco Tinarelli dell’IRA di Bologna, ha preparato un manuale operativo (link in basso) che illusta in maniera chiara e dettagliata le procedure per accedere al sistema di videoconferenze del GARR (MCU) e prenotare una “stanza” per ospitare una sessione di videoconferenza. Ricordo che l’accesso al GARR può avvenire con le credenziali IDEM, le stesse dell’anagrafica INAF, pertanto non è necessaria altra registrazione.
Tutti gli apparati in dotazione alle sedi INAF rispondono ad uno standard per l’assegnazione dei nomi, per cui ognuno di essi sarà raggiungibile all’indirizzo: videoconf.<<dominio_sede>>. Ad esempio, il nostro apparato è raggiungibile all’indirizzo videoconf.na.astro.it oppure videoconf.oacn.inaf.it. Conoscere il nome dell’apparato dell’interlocutore (un po’ come un numero di telefono) è utile solo per collegamenti uno a uno, ovvero quando si chiama direttamente un’altra sede, ma diventa inutile nel caso si partecipi ad una multiconferenza perché tutti dovranno collegarsi direttamente alla MCU del GARR.
N.B. Il sistema in nostra dotazione gestisce connessioni dirette solo con un (1) altro interlocutore, quindi, se ad esempio si vuole parlare in tre, bisogna sempre appoggiarsi al GARR.
Chi avesse bisogno di assistenza per il primo collegamento, può rivolgersi ad Andrea Di Dato (int. 587).

Form per la prenotazione

  • Controllare le date e gli orari già occupati in questo riepilogo (la data potrebbe essere nel formato inglese).
  • Utilizzare il modulo a questo link per prenotare l’uso del sistema di videoconferenza.

Documenti utili

Per prenotare una stanza virtuale

Accesso alle risorse dall'esterno
Nota: la rete locale dell’Osservatorio è di default chiusa all’accesso dall’esterno.
 
Vengono esposti verso l’esterno solo alcuni servizi tra cui:
  • pagine Web http://www.na.astro.it
  • storage locale https://nuvola.na.astro.it
  • marcature http://www.na.astro.it/marcasol/
  • server ssh ssh.na.astro.it che risponde sulla porta standard 22
In dettaglio, ai vari servizi, è possibile accedere secondo le istruzioni riportate di seguito.

 

Pagine Web

Alle pagine Web, ovvero al sito principale dell’Osservatorio, si accede senza autenticazione direttamente con il proprio browser per visionare i contenuti in esso archiviati.
Alcune pagine sono riservate ed è possibile accedervi esclusivamente dalla rete locale, si trovano a partire dalla URL http://www.na.astro.it/intranet/.

 

Storage

Allo storage locale è possibile accedere dal proprio browser collegandosi alla pagina Web o con apposito client Qsync. Le credenziali d’accesso vanno richieste al CSI.
È uno spazio dove è possibile archiviare dati al pari dei più noti servizi commerciali, ma ospitato su server interni al CED dell’Osservatorio. Sono dischi ridondati ma non backuppati.

 

SSH

L’unico accesso via terminale, tramite protocollo SSH, risponde all’omonimo server ssh.na.astro.it sulla porta standard 22. Le credenziali da usare sono quelle per l’accesso ai server, eventualmente da richiedere al CSI.
Attenzione! È vivamente consigliato l’accesso da remoto con chiave condivisa e non con password.

 

Accesso con chiave condivisa

La chiave d’accesso pre-condivisa, oltre ad essere intrinsecamente più sicura di qualsiasi password, è anche molto più veloce nella fase di autenticazione. Per attivare l’accesso in questo modo, seguire questi semplici passi sul proprio PC (una guida estesa è reperibile qui )
ssh-keygen -t rsa
Usare le risposte di default e non inserire una password quando richiesto. Una volta generata la coppia di chiavi, copiare quella pubblica sul server SSH con questo comando
ssh-copy-id <proprio_username>@ssh.na.astro.it
Su Mac il comando non è disponibile di default, ma è possibile installarlo con brew install ssh-copy-id. Eventualmente si può procedere ad una copia a mano con questi comandi
cat ~/.ssh/id_rsa.pub | ssh <proprio_username>@ssh.na.astro.it "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys"

 

Accesso con codice OTP

Oltre l’accesso con chiave condivisa, sempre con un grado di sicurezza superiore alla sola password, è disponibile l’autenticazione a due fattori (2FA) con OTP.
Per abilitare l’autenticazione con OTP, una volta loggati sul server SSH, dare il comando
otp-authenticator
alla domanda “Do you want authentication tokens to be time-based” rispondere y ed alla fine salvare le impostazioni. Nel frattempo, scaricare un software o App per il proprio cellulare per la generazione di OTP tipo (per Android) FreeOPT+ oppure Google Authenticator.
Il comando di cui sopra, alla fine visualizzerà un codice da inserire nel programma scelto ed un QR-code da inquadrare con il proprio smartphone dall’App OTP. Inoltre verranno forniti dei codici di emergenza da conservare in luogo sicuro.
Nota: per cambiare password, utilizzare il comando yppasswd e non il classico passwd.

 

Protocollo MOSH

Sul server SSH è stato abilitato anche il protocollo MOSH (MObile SHell) che implementa la persistenza della connessione SSH, di fatto consentendo il roaming.
Lo scenario tipico è quello di una sessione SSH aperta qui in ufficio sul proprio portatile, magari su connessione via cavo, quando sorge la necessità di spostarsi nell’ufficio di un collega e collegarsi al WiFi, oppure dover tornare a casa. In condizioni normali, la nostra sessione SSH verrebbe di fatto chiusa ad ogni passaggio, ovvero di cambi di connessione di rete. Mosh ci consente, in maniera assolutamente trasparente, di passare da una rete all’altra senza perdere un solo bit della nostra sessione. Possiamo passare dal collegamento con il cavo, al WiFi, al tethering di un cellulare e poi al WiFi di casa senza che venga mai chiuso il collegamento SSH. Inoltre, l’abbinata con un terminal multiplexer (tipo screen, tmux o byobu), crea uno strumento di lavoro estremamente flessibile.
L’uso è banale, basta sostituire mosh al comando ssh
mosh <proprio_username>@ssh.na.astro.it
e ovviamente funziona anche con chiave pre-condivisa.

 

VPN

Alla configurazione ed accesso tramite VPN, è dedicata una pagina apposita.

Software, storage e archivi

Storage comune

 
Il CSI mette a disposizione di tutti gli utenti con account sui server *NIX, spazio per l’archiviazione di dati diviso in due tipologie:
  • spazio per le home
  • spazio per i dati
Le rispettive directory sono gestite dai nostri NAS ed hanno doppia ridondanza. Solo le home sono backuppate. Sono disponibili su tutti i server gestiti dal CSI. Non possono essere montate da server gestiti in proprio per ovvi problemi di gestione dei permessi (intrinseci al protocollo NFS) e quindi per rispetto delle norme sulla privacy.
Il vantaggio di avere home e dati condivisi, è quello di avere sempre disponibili i propri dati indipendentemente dalla macchina utilizzata. In questo modo non c’è bisogno di copiare/spostare dati da un server all’altro.

 

Storage dati

È possibile richiedere spazio di archiviazione sullo storage d’Istituto per motivi di lavoro (leggasi non personali) con accesso NFS, Windows (SMB/SAMBA) o TimeMachine.
L’INAF mette a disposizione di tutti i dipendenti un cloud personale su piattaforma OwnCloud.
Inoltre si rammenta che gli account GSuite danno accesso a spazio infinito sul Drive di Google anche per la condivisione di documenti ed il lavoro in team. Sono disponibili al download client per ogni sistema operativo per la sincronizzazione automatica dei file.

 

Software condiviso

Il repository interno da dove è possibile scaricare i pacchetti software, le immagini e gli eseguibili per l’installazione dei programmi Microsoft, dell’antivirus, di IDL, dei driver delle stampanti, etc. è raggiungibile esclusivamente dalla rete interna dell’Osservatorio (in locale), da questo indirizzo:
http://calderone.na.astro.it/Software/Software/

 

Software INAF

Vi ricordo che tutto il software con licenza CAMPUS disponibile a livello nazionale per tutti i dipendenti, è elencato e scaricabile dal sito ICT (previo log-in con le credenziali INAF).
Il software Microsoft e gli account per Office365 devono, invece, essere richiesti localmente al CSI.
Anche eventuali problematiche con i prodotti Google relativi alla GSuite, vanno risolti in locale.
Parametri di configurazione alla rete LAN
L’Osservatorio di Capodimonte è assegnatario e gestisce due classi B contigue, ovvero una classe C.
 
193.205.102.0/23
ovvero da 193.205.102.1 a 193.205.103.254
 
I parametri da utilizzare per configurare i propri computer sono:
 
 
 
 
Si sconsiglia vivamente di impostare come DNS quelli pubblici di Google (8.8.8.8 e 8.8.4.4) perché non risolvono i domini di quarto livello, ovvero i nomi dei server interni. Piuttosto, se si vuole avre un DNS terziario, è possibile utilizzare 1.1.1.1 oppure 9.9.9.9.
VPN

Cos’è una Virtual Private Network

Una rete privata virtuale (VPN) estende una rete privata aziendale attraverso una rete pubblica e consente agli utenti di inviare e ricevere dati attraverso reti condivise o pubbliche come se i loro dispositivi informatici fossero direttamente collegati alla rete LAN aziendale. Le applicazioni in esecuzione su un PC, smartphone etc., attraverso una VPN, possono pertanto beneficiare delle funzionalità, della sicurezza e della gestione della rete privata.

Cosa consente di fare una VPN in Osservatorio?

Un collegamento VPN alla rete locale dell’Osservatorio, consente di raggiungere qualunque server e qualunque servizio erogato in rete esattamente come se si fosse a lavoro in Osservatorio collegati alla rete LAN via cavo o WiFi ma stando in qualunque parte del mondo!
Quindi è possibile collegarsi direttamente a qualsiasi server senza dover passare sempre per il server SSH, accedere ai dati condivisi sugli storage, collegarsi al proprio computer e leggere le riviste a cui l’Osservatorio è abbonato senza dover fare log-in.

Cosa non è consigliabile fare

Siccome, una volta che si è collegati alla VPN, tutto il traffico dati dal proprio computer passa materialmente attraverso la rete dell’Osservatorio e quindi va verso Internet, non è consigliabile navigare su Internet per accedere ai social network, alle piattaforme di streaming o qualunque altro contenuto non pertinente alla propria attività lavorativa. Questo perché si creerebbe un inutile sovraccarico della rete (la vostra personale e quella dell’OACN), del server che gestisce la VPN (a scapito di altri colleghi collegati) oltre a risultare notevolmente più lenta di una connessione diretta agli stessi servizi.

Che tipo di VPN è in funzione in Osservatorio

In OACN è stata implementata una VPN sviluppara dall’Università di Tsukuba, in Giappone: SoftEther. È un progetto aperto che garantisce l’utilizzo anche attraverso firewall (quando, ad esempio, ci si trova in altre strutture che implementano misure assai restrittive alla propria rete locale).
SoftEther tipi connessione
L’accesso alla VPN è consentito con le stesse credenziali degli altri servizi, ovvero quelle dell’anagrafica INAF, attraverso il server:
vpn.na.astro.it
ed utilizzando i protocolli SSL (HTTPS), L2TP, MS-SSTP, OpenVPN.
Di seguito vengono descritti nel dettaglio per i vari sistemi operativi i passi da compiere per collegarsi, ma il protocollo principale, quello più diffuso, utilizzato dai sistemi Linux, MacOS e dispositivi mobili è
L2TP/IPsec Layer 2 Tunneling Protocol / Internet Protocol Security con chiave precondivisa (pre shared key) disponibile su richiesta dal CSI.

Configurazione Linux

Per il collegamento da Linux, utilizzare il protocollo L2TP/IPsec.
Se non è già disponibile nella propria distribuzione, installare il supporto a L2TP/IPsec. In genere il pacchetto è
network-manager-l2tp
in Debian o Ubuntu vale il comando
sudo apt install network-manager-l2tp network-manager-l2tp-gnome
Utilizzando il Network Manager, creare una nuova connessione VPN e selezionare L2TP come tipo. Dare un nome alla connessione. Il server per la connessione (gateway) è vpn.na.astro.it. Come nome utente (username) utilizzare il proprio nome.cognome e quindi la propria password come da anagrafica INAF
Linux 1
Impostare la password condivisa (pre-shared key – chiedere al CSI) in IPsec
Linux 2
Le impostazioni L2TP possono essere lasciate come di default
Linux 3

Configurazione MacOS

Anche per i sistemi operativi Apple, è possibile utilizzare L2TP/IPsec.
Il sito ufficiiale di SoftEther offre una guida completa passo passo per la configurazione:
Guida ufficiale Mac OS
Ovviamente utilizzare i parametri del nostro server, ovvero:
  • Server Address: vpn.na.astro.it
  • Account Name: nome.cognome (il proprio)
  • Password: come da anagrafica INAF
  • Shared Secret: chiedere al CSI

Configurazione Windows

Le vecchie versioni di Windows fino alla 8, supportano in maniera nativa il protocollo L2TP con autenticazione PAP. Per la configurazione, seguire la guida ufficiale:
Guida per Windows versioni precedenti alla 10
con i seguenti parametri personalizzati per la configurazione OACN
  • Internet Address: vpn.na.astro.it
  • User Name: nome.cognome (il proprio)
  • Password: come da anagrafica INAF
  • Pre shared key: chiedere al CSI
Putroppo in Windows 10 non è possibile specificare il tipo di hash della password scambiata, ovvero il sistema di autenticazione, che viene forzato di default ad MSCHAP2 che il nostro server RADIUS non supporta, per cui è necessario scaricare il client ufficiale di SoftEther e configuralo così come descritto di seguito.
Scegliere il pacchetto adatto per il proprio sistema operativo, avendo cura di selezionare in Select Component la voce SoftEther VPN Client. Una volta installato, procedere come segue:
Solo per la prima volta, fare doppio click su Add VPN Connection e seguire le istruzioni per creare l’interfaccia di rete virtuale
Windows 1
Cliccare nuovamente su Add VPN Connection per creare una nuova connessione e riempire i campi come in figura:
Windows 2
Creata la connessione, per attivare la connessione, basta premere invio
Windows 3

Configurazione dispositivi mobili

La configurazione dei dispositivi mobili è molto semplice. Sul sito c’è documentazione ufficiale anche se fa riferimento a versioni vecchie dei rispettivi sistemi operativi:
Di seguito riportiamo una schermata per la configurazione di Android (per quella iOS accettiamo contributi!)
Android
Siti istituzionali utili

Un breve elenco di siti INAF legati all’IT.

Condividi