Instytut Fizyki

KontaktGrudziądzka 5, 87-100 Toruń
tel.: +48 56 611 3310
e-mail: ifiz@fizyka.umk.pl

Lokalna sieć komputerowa IF i KIS

Informacje podstawowe | Zasady korzystania z serwerów | Poczta elektroniczna

1. Informacje podstawowe

Spis:
1.1 Administratorzy
1.2 Serwery i usługi
1.3 Zmiana hasła
1.4 Dostęp do konta wydziałowego (z powłoką) dla studentów
1.5 Dostęp do zasobów sieci lokalnej via OpenVPN
1.6 Dostęp do Internetu via sieć Eduroam
1.7 Rejestracja i konfiguracja nowego komputera (nowej karty sieciowej)
1.8 Program antywirusowy

Sieć Katedry Informatyki Stosowanej i Instytutu Fizyki jest częścią toruńskiej miejskiej sieci komputerowej TORMAN

1.1 Administratorzy

1.2 Serwery i usługi

Lokalna sieć komputerowa jest podłączona do sieci TORMAN łączem o przepustowości 2 Gb/s. Urządzenia sieciowe pracują w standardzie 100/1000/10000 Mb/s. Sprawne funkcjonowanie sieci, w której pracuje ponad 400 hostów wymaga zachowania odpowiednich rygorów przy jej rozbudowie i podłączaniu nowych komputerów. Dlatego wszelkie zmiany i rozbudowa sieci muszą być uzgadniane i zatwierdzane przez administratorów zanim zostaną skierowane do realizacji.

1.3 Zmiana hasła

Pracownicy, doktoranci i goście
W celu zmiany hasła należy skorzystać z serwisu na stronie https://hel.fizyka.umk.pl/cgi-bin/passwd. Na serwerach wydziałowych hasło jest uaktualniane cztery razy na dobę (o 2, 8, 14 i 20). Ze względów bezpieczeństwa dostęp do tej strony jest możliwy jedynie z komputerów pracujących w lokalnej sieci komputerowej. Każdy  jednak kto ma konto i może się rejestrować via ssh na serwerze ameryk.fizyka.umk.pl może uzyskać dostęp do tej strony stosując się do poniższych wskazówek:

  • należy w przeglądarce włączyć obsługę proxy poprzez protokół SOCKS kierując ruch pod adres 127.0.0.1 i na port 1080
  • jako zwykły użytkownik należy wykonać komendę  ‘ssh -D 1080 user@ameryk.fizyka.umk.pl’

Użyta wyżej opcja ‘-D’ odpowiada za zastosowanie przy połączeniu ssh tzw. dynamicznego przekierowywania portów.

Studenci
Zmiana hasła musi następować na centralnym serwerze studenckim poprzez odpowiedni formularz WWW (zmiana hasła). Na serwerach wydziałowych hasło jest automatycznie uaktualniane raz na dobę (około godz. 2).

1.4 Dostęp do konta wydziałowego (z powłoką) dla studentów

Z początkiem roku akademickiego 2006/2007 konta studenckie na serwerach naszego wydziału nie są zakładane niezależnie, ale są ściśle powiązane z kontami na uczelnianym serwerze studenckim. Dlatego w celu uzyskania dostępu do serwerów wydziałowych trzeba koniecznie założyć sobie najpierw konto na serwerze uczelnianym korzystając z formularza  Zakładanie konta. Oprócz konta na serwerze centralnym tworzone jest dodatkowe konto (z takim samym identyfikatorem i hasłem) na serwerze wydziałowym i staje się dostępne następnego dnia.

1.5 Dostęp do zasobów sieci lokalnej via OpenVPN

Względy bezpieczeństwa powodują, że dostęp do serwerów pracujących w lokalnej sieci (serwerów ogólnych i serwerów grup roboczych) jest
ograniczony przez odpowiednią konfigurację routera dostępowego.

Najwygodniejszy i bezpieczny dostęp do zasobów lokalnej sieci komputerowej zapewnia system OpenVPN realizujący usługę tzw. wirtualnej sieci prywatnej. Użytkownik, aby skorzystać z takiego dostępu, powinien zainstalować na swoim komputerze domowym (lub przenośnym) odpowiednie oprogramowanie (klienta OpenVPN) oraz uzyskać odpowiednie certyfikaty.

Pracownicy i doktoranci otrzymują certyfikaty po zgłoszeniu sprawy administratorowi (email: operator@fizyka.umk.pl).

Studenci muszą złożyć w dziekanacie WFAiIS wniosek (OpenVPN-wniosek), który będzie stanowił podstawę wydania certyfikatu.

Certyfikaty wraz z plikami konfiguracyjnymi niezbędnymi do konfiguracji klienta OpenVPN (dla systemów Windows i Linux/MacOS) są umieszczane w podkatalogu openvpn katalogu domowego użytownika.

Domyślnie klient OpenVPN korzysta do połączenia z serwerem OpenVPN protokołu komunikacyjnego UDP. Niestety, często w miejscach publicznych dostęp do sieci LAN IF+KIS jest utrudniony, gdyż możliwości korzystania z Internetu są tam ograniczone wyłącznie do WWW, czyli korzystania z protokołów HTTP i HTTPS. W celu obejścia tego ograniczenia trzeba przy uruchamianiu klienta OpenVPN skorzystać z pliku konfiguracyjnego client4tcp.conf zamiast client.conf.

W przypadku użytkowników systemu Windows (Linux) zawartość pliku należy rozpakować w katalogu c:\Users\(profil)\OpenVPN\config (/etc/openvpn). Od tego momentu można nawiązywać połączenie openvpn korzystając z nowej konfiguracji “client4tcp”.

Korzystanie z OpenVPN poprzez TCP jest również zalecane w przypadku niestabilnego/słabego łącza dostępowego.

Instalacja i uruchamianie usługi OpenVPN wymaga uprawnień administratora systemu (Windows – administrator, Linux – root).

Użytkownicy Windows mogą uruchomić klienta OpenVPN w trybie graficznym, a następnie klikając prawym przyciskiem myszy na ikonkę OpenVPN na pasku zadań wskazują klienta (konfigurację), dla której wybierają opcję “połącz”. Można również w trybie konsoli uruchomić jako administrator odpowiedni skrypt “start.bat” znajdujący się w odpowiednim katalogu OpenVPN. W obu przypadkach po nawiązaniu połączenia powinien zostać utworzony nowy interfejs logiczny oraz powinny zostać dodane wpisy w tablicy routingu. Można to zweryfikować używając w trybie konsoli (cmd) poleceń ipconfig/all oraz netstat -r. W przypadku tablic routingu między innymi powinny pojawić się trasy do sieci 158.75.104.0 oraz 158.75.4.0. Rozłączenie połączenia OpenVPN automatycznie usuwa te wpisy.

1.6 Dostęp do Internetu via sieć Eduroam

Od kwietnia 2005 r. na terenie UMK działa sieć bezprzewodowa Eduroam, która umożliwia uwierzytelniony dostęp do Internetu na terenie wielu instytucji naukowych w Polsce i na świecie, w tym także na terenie budynku IF. Z uwagi na rozmiar budynku i jego konstrukcję (grube, zbrojone ściany), a także ograniczoną liczbę punktów dostępowych, sygnał radiowy o odpowiedniej jakości dostępny jest tylko w często używanych przestrzeniach otwartych (hol wejściowy, korytarze i bar) oraz dużych salach wykładowych (S20 i S26). Jeśli jakość sygnału radiowego w innych pomieszczeniach jest niezadowalająca, pracownicy powinni korzystać z podłączenia komputera do infrastruktury kablowej (patrz punkt 1.7).

W przypadku pracowników podłączenie komputera do tej sieci wymaga zainstalowania specjalnego certyfikatu.

Studenci przyłączają swoje komputery do sieci Eduroam uwierzytelniając się poprzez swój identyfikator i hasło, którym się posługują rejestrując się na serwerach wydziałowych. Więcej informacji na temat trybu dostępu i konfiguracji sprzętu można znaleźć na stronach UCI (informacje ogólne, instalacja i konfiguracja dla studentów).

1.7 Rejestracja i konfiguracja nowego komputera (nowej karty sieciowej)

Komputer może korzystać z lokalnej sieci komputerowej pod warunkiem, że po podłączeniu do infrastruktury kablowej uzyska z serwera DHCP oddzielny numer IP. Dlatego wymagana jest uprzednia rejestracja takiego komputera, która sprowadza się do przesłania na adres operator@fizyka.umk.pl informacji o lokalizacji komputera, jego administratorze oraz adresie sprzętowym karty sieciowej (tzw. adresu MAC, czyli adresu w postaci 1A:60:19:07:1A:F0). Zgłaszać należy także przypadki wymiany kart sieciowych podając ich adresy MAC.

1.8 Program antywirusowy

Pracownicy WFAiIS mogą korzystać z oprogramowania antywirusowego  Eset Smart Security; patrz http://www.uci.umk.pl/pracownicy/esetsmartsecurity/.

2. Zasady korzystania z sieci i serwerów

Spis:
2.1 Zakazy i zalecenia
2.2 Wybór i zmiana hasła
2.3 Udostępnianie plików przez strony domowe (~/public_html)
2.4 Dostępna przestrzeń dyskowa

Lokalna sieć komputerowa Instytutu Fizyki i Katedry Informatyki Stosowanej wraz z przyłączonymi do niej komputerami (w tym serwerami) służy wypełnianiu przez pracowników oraz studentów Wydziału ich zadań dydaktycznych oraz naukowych. W chwili obecnej serwery obsługują około 1200 osób. W celu zapewnienia wszystkim dostępu do serwerów, dobrego i niezawodnego poziomu usług oraz zapewnienia niezbędnego poziomu ochrony systemu wprowadza się następujące zasady korzystania z serwera (patrz także Regulamin Sieci Komputerowej UMK).

2.1 Zakazy i zalecenia

Użytkownikowi zabrania się:

Niestosowanie się do powyższych zakazów i zaleceń będzie powodowało natychmiastową utratę dostępu do serwera oraz inne stosowne sankcje. O każdym przypadku istotnego naruszania zasad korzystania z lokalnej sieci komputerowej będzie informowany dziekan Wydziału.

2.2 Wybór i zmiana hasła

W celu ochrony własnych danych i ochrony całego systemu przed włamaniami każdy z użytkowników MUSI posługiwać się hasłem trudnym do odgadnięcia.

Tworząc hasło nie należy używać:

Hasło musi składać się z co najmniej dziewięciu znaków, w tym przynajmniej jednej dużej litery i jednej cyfry lub znaku specjalnego (@!,:;”…).

Tworząc hasło zaleca się stosowanie:

2.3 Udostępnianie plików przez strony domowe (~/public_html)

Domyślnie serwer www nie pozwala na wyświetlanie zawartości katalogu ~/public_html i wszystkich jego podkatalogów. Można to zachowanie zmienić umieszczając w wybranym katalogu lub katalogach plik .htaccess zawierający wiersz:
Options +Indexes

2.4 Dostępna przestrzeń dyskowa

Z uwagi na ograniczone zasoby dyskowe, które można przeznaczyć na katalogi domowe użytkowników, oraz dużą liczbę użytkowników trzeba rozważnie z tych zasobów korzystać. Jeśli zachodzi konieczność przechowania przez krótki okres czasu większych ilości danych, to należy wykorzystywać do tego przestrzeń /tmp.

Regularnie archiwizowane są katalogi domowe pracowników. Ponieważ żaden system nie jest 100% pewny, więc zaleca się archiwizowanie najważniejszych danych we własnym zakresie; można w tym celu skorzystać z usługi archiwizacyjnej oferowanej przez PCSS.

3. Poczta elektroniczna

Spis:
3.1 Dostęp do poczty
3.2 Jak radzić sobie z niechcianą pocztą (spamem)

3.1 Dostęp do poczty

Każdy użytkownik może uzyskać dostęp do swojej skrzynki pocztowej na kilka sposobów:

Dostęp do poczty w trybie tekstowym na serwerach wydziałowych
Do obsługi poczty elektronicznej służą programy alpine i mutt. Zmiana domyślnych ustawień jest możliwa poprzez umieszczenie ich w lokalnych plikach konfiguracyjnych ~/.pinerc oraz ~/.muttrc. Należy pamiętać o poprawnym skonfigurowaniu programu, aby pobierał pocztę z centralnego serwera. Użytkownicy systemu Windows mogą do logowania stosować program putty.

Dostęp do poczty poprzez programy Thunderbird, Outlook (Express), Evolution, etc.
Pracując w lokalnej sieci komputerowej można korzystać z usługi poczty elektronicznej bez konieczności logowania się na którymś z serwerów. Pocztę elektroniczną można pobierać i wysyłać korzystając z dowolnego klienta poczty elektronicznej, np. programu mozilla-mail lub Outlook Express. Konfigurując tę usługę należy wskazać jako serwer POP3 (poczty przychodzącej) – pop3.umk.pl, serwer SMTP (poczty wychodzącej) – smtp.umk.pl. Do kontaktu z serwerem pocztowym można również wykorzystać protokół IMAP (serwer imap.umk.pl).

Serwer pocztowy wymusza, aby połączenie pomiędzy serwerem i klientem poczty było szyfrowane. Dlatego w programach klienckich, takich jak Thunderbird, Outlook (Express) i inne należy wymusić szyfrowanie połączenia:

Wysyłanie poczty poprzez serwer mail.fizyka.umk.pl jest możliwe nie tylko z sieci lokalnej, ale dowolnej sieci (np. domowej) pod warunkiem logowania z uwierzytelnieniem. Oznacza to, że przy wysyłaniu poczty takze trzeba podać hasło dostępu do serwera.

W przypadku programu Outlook 2010 (także 2007) należy zastosować następujące ustawienia konta:

Pod przyciskiem “Więcej ustawień” należy

Dostęp do poczty poprzez WWW

Można także korzystać z usługi poczty elektronicznej wykorzystując do tego celu przeglądarkę sieciową. Wystarczy w tym celu przejść na stronę http://www.umk.pl/poczta, wybrać odpowiedni serwer i zalogować się przez Centralny Punkt Logowania. Szczegółowe informacje dotyczące sposobu korzystania z tej usługi znajdują się na stronie http://www.uci.umk.pl/studenci/poczta/pocztawww/.

3.2 Jak radzić sobie z niechcianą pocztą (spamem)?

W ostatnim czasie bardzo znacznie wzrosła liczba niechcianej poczty, czyli tzw. spamów, które codziennie docierają do naszych skrzynek pocztowych. Dlatego na serwerze pocztowym jest zainstalowany program, który przegląda nagłówek i zawartość każdego listu i, w oparciu o dość wyrafinowane reguły, określa czy list jest spamem. Jeśli wiadomość zostaje zakwalifikowana jako spam, to do skrzynki pocztowej dociera list ze zmodyfikowanym polem ‘Subject:’, mianowicie

Subject: [*SPAM*** ….]

i automatycznie taka wiadomość jest przenoszona do folderu Spam. Folder Spam jest automatycznie opróżniany z wiadomości co 30 dni. Tę częstotliwość można samu zmienić w ustawieniach skrzynki pocztowej (przez www).

System antyspamowy nie jest idealny i jako spam mogą zostać zakwalifikowane ‘porządne’ listy. Dlatego od czasu do czasu należy przeglądać zawartość folderu Spam. Może się również zdarzyć, że listy będące spamami nie będą dobrze zaklasyfikowane.