1. Introducción
LliureX 21 refuerza su sistema de control de acceso mejorando así la privacidad de los datos almacenados y la protección del sistema, tanto en equipos de Escritorio como a nivel de Aula.
Para conseguirlo, se ha incorporado la posibilidad de iniciar sesión con la Identidad Digital definida dentro del marco del proyecto Centro Digital Colaborativo (CDC), junto con otras herramientas y opciones de configuración que serán comentadas en este artículo.
2. Inicio de sesión con identidad digital
La Identidad Digital (en adelante ID) permitirá a los docentes, no docentes y al alumnado acceder a las diversas aplicaciones y entornos que ofrecece la Consellería de Educación, entre las que se encuentra LliureX.
2.1. Activación
Para poder utilizar la funcionalidad de inicio de sesión con ID en LliureX, es necesario activar la integración con la Identidad Digital en el equipo. Para ello se usará la herramienta LliureX-ID-Control disponible en el bloque 'Sistema' del Centro de Control de LliureX (Zero-Center).
Para completar el proceso de activación, deberá reiniciarse el sistema.
Cabe mencionar que si nos encontramos en el ámbito de un aula con servidor y clientes (modelo de Aula) la activación deberá realizarse en el servidor. Después de reiniciar el servidor, deberán reiniciarse los clientes, de modo que la Integración con la Identidad Digital se activará automáticamente en los clientes. La secuencia de pasos a seguir será:
- Abrir la herramienta LliureX-ID-Control en el servidor y marcar la opción 'Activar la integración con la Identidad Digital en este equipo'.
- Pulsar el botón 'Aplicar' para guardar los cambios.
- Reiniciar el servidor: esto completará el proceso de activación en el servidor.
- Reiniciar los clientes: esto activará la integración con la Identidad Digital en los clientes.
Si estamos trabajando con equipos Escritorio independientes, será necesario realizar la activación de forma individual en cada uno de ellos, reiniciándolos después de la activación.
2.2. Funcionamiento general
En la pantalla de inicio de sesión deberán introducirse las credenciales (usuario/password) asociadas a la ID. En el campo 'usuario' debe introducirse el nombre de usuario tal como se indica:
- Para personal docente y no docente: usar formato n.apellido1apellido2 (sin el @edu.gva.es final).
- Para alumnado: usar formato nomap1ap2 (sin el @alu.edu.gva.es final).
La primera vez que se accede al sistema con un determinado usuario, se creará una carpeta personal local para el mismo. Las acciones permitidas en el sistema dependerán del perfil del usuario con el que se acceda:
- Los usuarios con perfil docente, podrán lanzar aplicaciones propias del profesorado, como la herramienta de control de aula Epoptes, el recolector de tareas Harvester... y tendrán acceso a un amplio catálogo de aplicaciones y posibilidades de configuración desde el Centro de Control de LliureX (Zero-Center). Por otra parte, carecerán de privilegios de administración en el sistema y, por ende, tampoco dispondrán de acceso a herramientas de administración del sistema como Remote Installer o Admin Center.
- Los usuarios con perfil alumnado, dispondrán de un catálogo de acceso más limitado al Zero-Center y no podrán lanzar aplicaciones propias del profesorado como Epoptes. Y, por supuesto, tampoco dispondrán de privilegios de administración en el sistema.
- Los usuarios con perfil administrador, propio de los técnicos de asistencia y mantenimiento, contarán con privilegios de administración en el sistema y acceso a herramientas de administración y al catálogo completo de opciones dentro del Zero-Center.
2.3. Ámbito de uso y limitaciones
La funcionalidad de inicio de sesión con ID puede utilizarse con cualquier adaptación o sabor de LliureX. A continuación se exponen las consideraciones a tener en cuenta en cada caso.
2.3.1. Escritorio
LliureX Escritorio (o Desktop) es la adaptación genérica, diseñada para ser utilizada como equipo independiente, es decir, en los ordenadores personales del profesorado, del alumnado, de los departamentos, etcétera. No depende de un servidor que le proporcione determinados servicios, como es el caso de los equipos del aula de informática. En este caso, la utilización de la ID será equivalente, a efectos prácticos, a utilizar un usuario local estándar, es decir, sin privilegios de administración.
Como ya se ha explicado, la primera vez que se inicie sesión con una ID determinada, se crearán sus correspondientes carpetas personales que serán locales al ordenador, y serán visibles única y exclusivamente para dicho usuario. Del mismo modo, cualquier configuración o personalización realizada sobre el mismo, se aplicará exclusivamente al usuario.
2.3.2. Modelo de aula
El modelo de Aula LliureX (para el equipo servidor y el equipo cliente de aula) se ha diseñado para las aulas de informática. El servidor y los clientes forman una red independiente, donde el servidor proporciona servicios centralizados al que se pueden conectar tanto clientes pesados, como semiligeros. El Modelo de Aula LliureX incluye software para controlar la actividad del alumnado en el aula, herramientas administrativas, y una gran cantidad de aplicaciones educativas.
Cuando se accede a un cliente (o servidor) de aula mediante una ID, podremos trabajar de forma similar a como lo haríamos con los tradicionales usuarios de red del modelo de Aula donde, según si accedemos con un perfil de docente o alumnado, las posibilidades serán distintas, tal como se ha explicado anteriormente: desde un perfil docente podremos controlar la actividad del alumnado con Epoptes, podremos utilizar el recolector de tareas Harvester, y tendremos acceso a un catálogo de opciones más amplio en el Zero-Center.
Las ID son compatibles con los tradicionales usuarios de red del modelo de aula: pueden convivir y funcionarán de manera equivalente, atendiendo a su perfil (alumnado, profesorado o administrador). Por otra parte, hay que considerar ciertas limitaciones:
- El acceso a carpetas compartidas de aula y el uso de perfiles móviles no están disponibles para IDs.
- El acceso al sistema con ID desde fuera de los centros educativos no puede garantizarse, ya que la base de datos donde se almacenan dichas IDs se encuentra disponible, por el momento, únicamente desde la red de centros.
3. LliureX-Access-Control
LliureX-Access-Control es una herramienta que permite gestionar de forma muy precisa quién tiene acceso a un determinado ordenador.
Podríamos, por ejemplo, configurar un filtrado por grupo para bloquear el acceso a las personas con perfil de alumnado para proteger el ordenador del docente de un aula, o ser más específicos estableciendo un filtrado por usuario para bloquear personas concretas. Adicionalmente, para acceso con ID, es posible establecer un filtrado por centro, de modo que sólo las personas pertenecientes al centro indicado puedan iniciar sesión.
Constituye, de este modo, una potente herramienta para extender el control sobre el acceso a los equipos informáticos, complementando la mejora en seguridad que ya de por sí conlleva el uso de la ID.
4. Usuario invitado
Después de lo expuesto hasta el momento, cabe preguntarse: ¿qué sucede si una persona necesita iniciar sesión pero no cuenta con una ID o por cualquier motivo no puede utilizarla (por haber olvidado sus credenciales o por cualquier otro tipo de bloqueo)?
Una posibilidad podría ser definir un usuario genérico local en el equipo, lo cual no es recomendable desde el punto de vista de la privacidad, ya que los datos almacenados, datos de navegación o incluso sesiones de correo electrónico mal cerradas, podrían quedar expuestas a otras personas que inicien sesión con el mismo usuario posteriormente, con el consiguiente problema de privacidad que ello implicaría.
Una buena alternativa sería la activación de la cuenta de invitado, que permite acceder y utilizar un equipo con la ventaja de que una vez el se cierre la sesión, se eliminarán del sistema todos los archivos y cambios en la configuración realizados por el mismo. Para evitar la pérdida de archivos será necesario, por tanto, guardarlos antes de cerrar la sesión: se recomienda utilizar los espacios en nube (OneDrive o Sharepoint) habilitados a tal efecto.