Lokalna sieć komputerowa IF i KIS

Informacje podstawowe | Zasady korzystania z serwerów | Poczta elektroniczna

1. Informacje podstawowe

Sieć Katedry Informatyki Stosowanej i Instytutu Fizyki jest częścią toruńskiej miejskiej sieci komputerowej TORMAN

1.1 Administratorzy

• Paweł Binnebesel (email: operator@fizyka.umk.pl, tel. 3265) odpowiada za:
  1. nadzór nad funkcjonowaniem lokalnej sieci komputerowej
  2. nadzór nad terminalami znakowymi i graficznymi
  3. pomoc w instalacji i konfiguracji komputerów z systemem Windows (podłączenie do lokalnej sieci komputerowej, instalacja programu antywirusowego, konfiguracja zapory ogniowej, itp.)
•  Jacek Kobus (tel. 3266), Mariusz Piwiński (tel. 3341), Szymon Śmiga (tel. 3277) i Sławomir Zelek (tel. 3295) (email: operator@fizyka.umk.pl) odpowiadają za:
  1. nadzór nad serwerami i usługami (www, ftp, DHCP, DNS, samba, zapora ogniowa, bazy danych MySQL)
  2. obsługę lokalnych kont pracowniczych i studenckich
  3. nadzór nad funkcjonowaniem lokalnej sieci
  4. instalacją i konserwacją oprogramowania
  5. nadzór nad funkcjonowaniem i rozbudową lokalnej sieci komputerowej (w tym zatwierdzanie lokalizacji nowych przyłączy)
  6. nadzór nad przyłączem lokalnej sieci komputerowej do sieci TORMAN (Internetu)

1.2 Serwery i usługi

• serwerami poczty dla pracowników, doktorantów i studentów zarządza UCI. W celu ułatwienia rozsyłania poczty do całych grup użytkowników można korzystać z pewnej liczby specjalnych adresów takich jak studenci-ifiz lub doktoranci-ifiz (w domenie @listy.umk.pl); więcej na stronie Grupowe adresy pocztowe
• www.fizyka.umk.pl: serwer www
• samba.fizyka.umk.pl: serwer samba
• serwery aplikacji: polon/tor (CentOS 7), uran (CentOS Stream 9), neptun (Fedora36)
  Wszyscy pracownicy IF i KIS, studenci studiów doktoranckich lub szkół doktorskich oraz studenci WFAiIS mają dostęp do tych serwerów. Po zalogowaniu się na dowolną z tych maszyn użytkownik ma dostęp do swojego katalogu domowego. Te serwery są dostępne z dowolnego miejsca w Internecie via OpenVPN dla posiadaczy stosownych certyfikatów (patrz pkt. 1.5). W przypadku braku dostępu należy zgłosić się do administratora (email: operator@fizyka.umk.pl)
• ameryk.fizyka.umk.pl: serwer dostępowy:  ssh (port 22). ameryk pełni funkcję serwera dostępowego, tj. osoby mające dostęp do serwerów aplikacji mogą się na niego zalogować używając ssh (ew. klientów takich jak putty dla systemu Windows) z DOWOLNEGO miejsca na świecie. Do przesyłania plików należy wykorzystać program scp (np. winscp w przypadku użytkowników systemów Windows). Serwer ameryk umożliwia dostęp tylko do własnego katalogu domowego. Z tego serwera nie można zalogować się na żadną maszynę w lokalnej sieci
• moodle.umk.pl/WFAIIS: system e-learningowy Moodle jest przeznaczony do wspierania zajęć realizowanych na WFAiIS.

Lokalna sieć komputerowa jest podłączona do sieci TORMAN łączem o przepustowości 2 Gb/s. Urządzenia sieciowe pracują w standardzie 100/1000/10000 Mb/s. Sprawne funkcjonowanie sieci, w której pracuje ponad 400 hostów wymaga zachowania odpowiednich rygorów przy jej rozbudowie i podłączaniu nowych komputerów. Dlatego wszelkie zmiany i rozbudowa sieci muszą być uzgadniane i zatwierdzane przez administratorów zanim zostaną skierowane do realizacji.

1.3 Zmiana hasła

Pracownicy, doktoranci i goście

W celu zmiany hasła należy skorzystać z serwisu na stronie https://hel.fizyka.umk.pl/cgi-bin/passwd. Na serwerach wydziałowych hasło jest uaktualniane cztery razy na dobę (o 2, 8, 14 i 20). Ze względów bezpieczeństwa dostęp do tej strony jest możliwy jedynie z komputerów pracujących w lokalnej sieci komputerowej. Każdy  jednak kto ma konto i może się rejestrować via ssh na serwerze ameryk.fizyka.umk.pl może uzyskać dostęp do tej strony stosując się do poniższych wskazówek:

• należy w przeglądarce włączyć obsługę proxy poprzez protokół SOCKS kierując ruch pod adres 127.0.0.1 i na port 1080
• jako zwykły użytkownik należy wykonać komendę  ‘ssh -D 1080 user@ameryk.fizyka.umk.pl’

Użyta wyżej opcja ‘-D’ odpowiada za zastosowanie przy połączeniu ssh tzw. dynamicznego przekierowywania portów.

Studenci

Zmiana hasła musi następować na centralnym serwerze studenckim poprzez odpowiedni formularz WWW (zmiana hasła). Na serwerach wydziałowych hasło jest automatycznie uaktualniane raz na dobę (około godz. 2).

1.4 Dostęp do konta wydziałowego (z powłoką) dla studentów

Z początkiem roku akademickiego 2006/2007 konta studenckie na serwerach naszego wydziału nie są zakładane niezależnie, ale są ściśle powiązane z kontami na uczelnianym serwerze studenckim. Dlatego w celu uzyskania dostępu do serwerów wydziałowych trzeba koniecznie założyć sobie najpierw konto na serwerze uczelnianym korzystając z formularza  Zakładanie konta. Oprócz konta na serwerze centralnym tworzone jest dodatkowe konto (z takim samym identyfikatorem i hasłem) na serwerze wydziałowym i staje się dostępne następnego dnia.

1.5 Dostęp do zasobów sieci lokalnej via OpenVPN

Względy bezpieczeństwa powodują, że dostęp do serwerów pracujących w lokalnej sieci (serwerów ogólnych i serwerów grup roboczych) jest
ograniczony przez odpowiednią konfigurację routera dostępowego.

Najwygodniejszy i bezpieczny dostęp do zasobów lokalnej sieci komputerowej zapewnia system OpenVPN realizujący usługę tzw. wirtualnej sieci prywatnej. Użytkownik, aby skorzystać z takiego dostępu, powinien zainstalować na swoim komputerze domowym (lub przenośnym) odpowiednie oprogramowanie (klienta OpenVPN) oraz uzyskać odpowiednie certyfikaty.

Pracownicy i doktoranci otrzymują certyfikaty po zgłoszeniu sprawy administratorowi (email: operator@fizyka.umk.pl).

Studenci muszą złożyć w dziekanacie WFAiIS wniosek (OpenVPN-wniosek), który będzie stanowił podstawę wydania certyfikatu.

Certyfikaty wraz z plikami konfiguracyjnymi niezbędnymi do konfiguracji klienta OpenVPN (dla systemów Windows i Linux/MacOS) są umieszczane w podkatalogu openvpn katalogu domowego użytownika.

Domyślnie klient OpenVPN korzysta do połączenia z serwerem OpenVPN protokołu komunikacyjnego UDP. Niestety, często w miejscach publicznych dostęp do sieci LAN IF+KIS jest utrudniony, gdyż możliwości korzystania z Internetu są tam ograniczone wyłącznie do WWW, czyli korzystania z protokołów HTTP i HTTPS. W celu obejścia tego ograniczenia trzeba przy uruchamianiu klienta OpenVPN skorzystać z pliku konfiguracyjnego client4tcp.conf zamiast client.conf.

W przypadku użytkowników systemu Windows (Linux) zawartość pliku należy rozpakować w katalogu c:\Users\(profil)\OpenVPN\config (/etc/openvpn). Od tego momentu można nawiązywać połączenie openvpn korzystając z nowej konfiguracji “client4tcp”.

Korzystanie z OpenVPN poprzez TCP jest również zalecane w przypadku niestabilnego/słabego łącza dostępowego.

Instalacja i uruchamianie usługi OpenVPN wymaga uprawnień administratora systemu (Windows – administrator, Linux – root).

Użytkownicy Windows mogą uruchomić klienta OpenVPN w trybie graficznym, a następnie klikając prawym przyciskiem myszy na ikonkę OpenVPN na pasku zadań wskazują klienta (konfigurację), dla której wybierają opcję “połącz”. Można również w trybie konsoli uruchomić jako administrator odpowiedni skrypt “start.bat” znajdujący się w odpowiednim katalogu OpenVPN. W obu przypadkach po nawiązaniu połączenia powinien zostać utworzony nowy interfejs logiczny oraz powinny zostać dodane wpisy w tablicy routingu. Można to zweryfikować używając w trybie konsoli (cmd) poleceń ipconfig/all oraz netstat -r. W przypadku tablic routingu między innymi powinny pojawić się trasy do sieci 158.75.104.0 oraz 158.75.4.0. Rozłączenie połączenia OpenVPN automatycznie usuwa te wpisy.

1.6 Dostęp do Internetu via sieć Eduroam

Od kwietnia 2005 r. na terenie UMK działa sieć bezprzewodowa Eduroam, która umożliwia uwierzytelniony dostęp do Internetu na terenie wielu instytucji naukowych w Polsce i na świecie, w tym także na terenie budynku IF. Z uwagi na rozmiar budynku i jego konstrukcję (grube, zbrojone ściany), a także ograniczoną liczbę punktów dostępowych, sygnał radiowy o odpowiedniej jakości dostępny jest tylko w często używanych przestrzeniach otwartych (hol wejściowy, korytarze i bar) oraz dużych salach wykładowych (S20 i S26). Jeśli jakość sygnału radiowego w innych pomieszczeniach jest niezadowalająca, pracownicy powinni korzystać z podłączenia komputera do infrastruktury kablowej (patrz punkt 1.7).

W przypadku pracowników podłączenie komputera do tej sieci wymaga zainstalowania specjalnego certyfikatu.

Studenci przyłączają swoje komputery do sieci Eduroam uwierzytelniając się poprzez swój identyfikator i hasło, którym się posługują rejestrując się na serwerach wydziałowych. Więcej informacji na temat trybu dostępu i konfiguracji sprzętu można znaleźć na stronach UCI (informacje ogólne, instalacja i konfiguracja dla studentów).

1.7 Rejestracja i konfiguracja nowego komputera (nowej karty sieciowej)

Komputer może korzystać z lokalnej sieci komputerowej pod warunkiem, że po podłączeniu do infrastruktury kablowej uzyska z serwera DHCP oddzielny numer IP. Dlatego wymagana jest uprzednia rejestracja takiego komputera, która sprowadza się do przesłania na adres operator@fizyka.umk.pl informacji o lokalizacji komputera, jego administratorze oraz adresie sprzętowym karty sieciowej (tzw. adresu MAC, czyli adresu w postaci 1A:60:19:07:1A:F0). Zgłaszać należy także przypadki wymiany kart sieciowych podając ich adresy MAC.

1.8 Program antywirusowy

Pracownicy WFAiIS mogą korzystać z oprogramowania antywirusowego  Eset Smart Security; patrz http://www.uci.umk.pl/pracownicy/esetsmartsecurity/.

2. Zasady korzystania z sieci i serwerów

Lokalna sieć komputerowa Instytutu Fizyki i Katedry Informatyki Stosowanej wraz z przyłączonymi do niej komputerami (w tym serwerami) służy wypełnianiu przez pracowników oraz studentów Wydziału ich zadań dydaktycznych oraz naukowych. W chwili obecnej serwery obsługują około 1200 osób. W celu zapewnienia wszystkim dostępu do serwerów, dobrego i niezawodnego poziomu usług oraz zapewnienia niezbędnego poziomu ochrony systemu wprowadza się następujące zasady korzystania z serwera (patrz także Regulamin Sieci Komputerowej UMK).

2.1 Zakazy i zalecenia

Użytkownikowi zabrania się:

• Instalowania, uruchamiania, przechowywania oraz udostępniania programów (plików) naruszających zasady licencji, prawa autorskie, itp. W szczególności dotyczy to programów typu peer-to-peer, wykorzystywane do wymiany chronionych prawami autorskimi plików audio/video.
• Instalowania, uruchamiania, przechowywania oraz udostępniania programów (plików) naruszających bezpieczeństwo systemów komputerowych oraz sieciowych lub bezpieczeństwo użytkowników. Dotyczy to w szczególności złośliwego oprogramowania, takiego jak: wirusy, konie trojańskie oraz exploity, a także programów monitorujących ruch w sieci.
• Uruchamiania programów deszyfrujących hasła, prowadzenia działań mających na celu podsłuchiwanie lub przechwytywanie informacji przepływającej w sieci, naruszania prywatności zasobów systemowych (patrz niżej).
• Uruchamiania programów, które mogą zakłócić lub uniemożliwić prawidłowe funkcjonowanie systemów komputerowych oraz lokalnej/rozległej sieci komputerowej.
• Podłączania do lokalnej sieci komputerowej urządzeń sieciowych, w tym komputerów stacjonarnych i przenośnych, bez ich uprzedniego zarejestrowania.
• Wysyłania masowej poczty, reklam (spamów).
• Wykorzystywania serwerów w celu prowadzenia działalności gospodarczej (reklama towarów i usług), politycznej oraz do rozpowszechniania treści lub obrazów godzących w dobre imię Uniwersytetu, treści i obrazów wulgarnych, obscenicznych, obrażających osoby trzecie, naruszających czyjekolwiek dobra osobiste (w szczególności dotyczy to zawartości stron WWW).
• Stosowania w ramach serwisu WWW ciasteczek do śledzenia preferencji użytkownika, podsuwania mu spersonalizowanych reklam, itp. (możliwe jest jedynie zapamiętywanie ciasteczek związanych z sesją użytkownika, który się w serwisie zalogował).
• Użyczania własnego konta osobom trzecim.
• Podejmowania prób wykorzystania obcego konta i dostępu do zastrzeżonych zasobów komputerowych.
• Dokonywania jakichkolwiek zmian w konfiguracji komputerów osobistych służących jako terminale publiczne oraz stanowiących wyposażenie pracowni komputerowych oraz instalowania na tych komputerach własnego oprogramowania.
• Serwery nie powinny być używane do uruchamiania długotrwałych zadań. Wszelkie długie zadania muszą być uruchamiane z najniższym priorytetem, tzn. nice +19 komenda.
  Jeśli zadanie zostało uruchomione z domyślnym priorytetem, to można go zmienić korzystając z komendy snice +19 komenda.

Niestosowanie się do powyższych zakazów i zaleceń będzie powodowało natychmiastową utratę dostępu do serwera oraz inne stosowne sankcje. O każdym przypadku istotnego naruszania zasad korzystania z lokalnej sieci komputerowej będzie informowany dziekan Wydziału.

2.2 Wybór i zmiana hasła

W celu ochrony własnych danych i ochrony całego systemu przed włamaniami każdy z użytkowników MUSI posługiwać się hasłem trudnym do odgadnięcia.

Tworząc hasło nie należy używać:

• imion często spotykanych,
• rzeczowników pospolitych,
• cyfr tylko na początku lub końcu hasła,
• nazw związanych z miejscem umieszczenia konta

Hasło musi składać się z co najmniej dziewięciu znaków, w tym przynajmniej jednej dużej litery i jednej cyfry lub znaku specjalnego (@!,:;”…).

Tworząc hasło zaleca się stosowanie:

• cyfr wewnątrz hasła,
• różnej wielkości liter,
• słów niewystępujących często w języku potocznym.

2.3 Udostępnianie plików przez strony domowe (~/public_html)

Domyślnie serwer www nie pozwala na wyświetlanie zawartości katalogu ~/public_html i wszystkich jego podkatalogów. Można to zachowanie zmienić umieszczając w wybranym katalogu lub katalogach plik .htaccess zawierający wiersz:
Options +Indexes

2.4 Dostępna przestrzeń dyskowa

Z uwagi na ograniczone zasoby dyskowe, które można przeznaczyć na katalogi domowe użytkowników, oraz dużą liczbę użytkowników trzeba rozważnie z tych zasobów korzystać. Jeśli zachodzi konieczność przechowania przez krótki okres czasu większych ilości danych, to należy wykorzystywać do tego przestrzeń /tmp.

Regularnie archiwizowane są katalogi domowe pracowników. Ponieważ żaden system nie jest 100% pewny, więc zaleca się archiwizowanie najważniejszych danych we własnym zakresie; można w tym celu skorzystać z usługi archiwizacyjnej oferowanej przez PCSS.

3. Poczta elektroniczna

3.1 Dostęp do poczty

Każdy użytkownik może uzyskać dostęp do swojej skrzynki pocztowej na kilka sposobów:

• konsola systemu Unix/Linux (alpine, mutt)
• SMTP, POP3, IMAP (Thunderbird, Outlook (Express), Evolution, etc.)
• interfejs WWW: http://www.umk.pl/poczta

Dostęp do poczty w trybie tekstowym na serwerach wydziałowych
Do obsługi poczty elektronicznej służą programy alpine i mutt. Zmiana domyślnych ustawień jest możliwa poprzez umieszczenie ich w lokalnych plikach konfiguracyjnych ~/.pinerc oraz ~/.muttrc. Należy pamiętać o poprawnym skonfigurowaniu programu, aby pobierał pocztę z centralnego serwera. Użytkownicy systemu Windows mogą do logowania stosować program putty.

Dostęp do poczty poprzez programy Thunderbird, Outlook (Express), Evolution, etc.
Pracując w lokalnej sieci komputerowej można korzystać z usługi poczty elektronicznej bez konieczności logowania się na którymś z serwerów. Pocztę elektroniczną można pobierać i wysyłać korzystając z dowolnego klienta poczty elektronicznej, np. programu mozilla-mail lub Outlook Express. Konfigurując tę usługę należy wskazać jako serwer POP3 (poczty przychodzącej) – pop3.umk.pl, serwer SMTP (poczty wychodzącej) – smtp.umk.pl. Do kontaktu z serwerem pocztowym można również wykorzystać protokół IMAP (serwer imap.umk.pl).

Serwer pocztowy wymusza, aby połączenie pomiędzy serwerem i klientem poczty było szyfrowane. Dlatego w programach klienckich, takich jak Thunderbird, Outlook (Express) i inne należy wymusić szyfrowanie połączenia:

• Mozilla/Netscape:
  Tools – Account Settings – Server Settings
  Wybrać opcję Use secure connection (SSL)
• polska wersja Thunderbirda:
  Narzędzia – Konfiguracja kont – Konfiguracja serwera
  Wybrać opcje: Używaj bezpiecznego połączenia (SSL)
• Outlook Express Narzędzia – Konta – Właściwości – Zaawansowane
  Wybrać Ten serwer wymaga bezpiecznego połączenia
• Outlook (Office)
  Narzędzia – Konta e-mail – Wyświetl lub zmień – < wybierz Twoje konto i naciśnij Zmień > – Więcej ustawień – Zaawansowane
  Dla Serwer przychodzący (POP/IMAP) wybrać: Ten serwer wymaga zaszyfrowanego połączenia

Wysyłanie poczty poprzez serwer mail.fizyka.umk.pl jest możliwe nie tylko z sieci lokalnej, ale dowolnej sieci (np. domowej) pod warunkiem logowania z uwierzytelnieniem. Oznacza to, że przy wysyłaniu poczty takze trzeba podać hasło dostępu do serwera.

W przypadku programu Outlook 2010 (także 2007) należy zastosować następujące ustawienia konta:

• Imię i nazwisko: Imię Nazwisko
• Adres e-mail: identyfikator@fizyka.umk.pl lub identyfikator@is.umk.pl lub identyfikator@umk.pl
• Typ konta: pop lub imap (wybór należy do użytkownika)
• Serwer poczty przychodzącej: pop3.umk.pl (lub imap.umk.pl)
• Server poczty wychodzącej: smtp.umk.pl
• Nazwa użytkownika: identyfikator
• Hasło: hasło dostępu do konta
• Wymagaj logowania przy użyciu bezpiecznego uwierzytelniania hasła: TRZEBA wybrać tę opcję!

Pod przyciskiem “Więcej ustawień” należy

• W zakładce “Serwer wychodzący” TRZEBA wybrać opcję “Serwer wychodzący (SMTP) wymaga uwierzytelnienia”
• W zakładce “Zaawansowane” TRZEBA wybrać opcję “Serwer przychodzący: Ten serwer wymaga szyfrowanego połączenia (SSL)” [port 995 dla POP3, 993 – dla IMAP],
  “Serwer wychodzący (SMTP): Użyj połączenia szyfrowanego następującego typu: SSL” [port 465].

Dostęp do poczty poprzez WWW

Można także korzystać z usługi poczty elektronicznej wykorzystując do tego celu przeglądarkę sieciową. Wystarczy w tym celu przejść na stronę http://www.umk.pl/poczta, wybrać odpowiedni serwer i zalogować się przez Centralny Punkt Logowania. Szczegółowe informacje dotyczące sposobu korzystania z tej usługi znajdują się na stronie http://www.uci.umk.pl/studenci/poczta/pocztawww/.

3.2 Jak radzić sobie z niechcianą pocztą (spamem)?

W ostatnim czasie bardzo znacznie wzrosła liczba niechcianej poczty, czyli tzw. spamów, które codziennie docierają do naszych skrzynek pocztowych. Dlatego na serwerze pocztowym jest zainstalowany program, który przegląda nagłówek i zawartość każdego listu i, w oparciu o dość wyrafinowane reguły, określa czy list jest spamem. Jeśli wiadomość zostaje zakwalifikowana jako spam, to do skrzynki pocztowej dociera list ze zmodyfikowanym polem ‘Subject:’, mianowicie

Subject: [*SPAM*** ….]

i automatycznie taka wiadomość jest przenoszona do folderu Spam. Folder Spam jest automatycznie opróżniany z wiadomości co 30 dni. Tę częstotliwość można samu zmienić w ustawieniach skrzynki pocztowej (przez www).

System antyspamowy nie jest idealny i jako spam mogą zostać zakwalifikowane ‘porządne’ listy. Dlatego od czasu do czasu należy przeglądać zawartość folderu Spam. Może się również zdarzyć, że listy będące spamami nie będą dobrze zaklasyfikowane.