Historial: Control d'Accés en LliureX
Previsualización de la versión: 15
1. Introducció
LliureX 21 reforça el seu sistema de control d'accés, millorant així la privacitat de les dades emmagatzemades i la protecció del sistema, tant en equips d'Escriptori com a nivell d'Aula.
Per a aconseguir-ho, s'ha incorporat la possibilitat d'iniciar sessió amb usuaris d'identitat digital, definits dins del marc del projecte Centre Digital Col·laboratiu (CDC), juntament amb altres eines i opcions de configuració que seran comentades en aquest article.
2. Inici de sessió amb identitat digital
La identitat digital permet a qualsevol persona de la comunitat educativa accedir a les diverses aplicacions i entorns que ofereix la Conselleria d'Educació, entre les quals es troba LliureX.
2.1. Activació
Per a poder utilitzar la funcionalitat d'inici de sessió amb identitat digital en LliureX, és necessari activar la integració amb el CDC en l'equip. Per a això s'usarà l'eina LliureX-CDC-Control disponible en el bloc 'Sistema' del Centre de Control de LliureX (Zero-Center).
Per a completar el procés d'activació, haurà de reiniciar-se el sistema.
Cal esmentar que si ens trobem en l'àmbit d'una aula amb servidor i clients (model d'Aula) l'activació haurà de realitzar-se en el servidor. Després de reiniciar el servidor, hauran de reiniciar-se els clients, de manera que la Integració amb el CDC s'activarà automàticament en els clients. La seqüència de passos a seguir serà:
- Obrir l'eina LliureX-CDC-Control en el servidor i marcar l'opció 'Activar la integració amb el CDC en aquest equip'.
- Prémer el botó 'Aplicar' per a guardar els canvis.
- Reiniciar el servidor: això completarà el procés d'activació en el servidor.
- Reiniciar els clients: això activarà la integració amb el CDC en els clients.
En la pantalla d'inici de sessió hauran d'introduir-se les credencials (usuari/contrasenya) associades a la identitat digital. En el camp 'usuari' ha d'introduir-se el nom d'usuari tal com s'indica:
- Per a personal docent i no docent: usar format n.cognom1cognom2 (sense @edu.gva.es final).
- Per a alumnat: usar format nomcogn1cogn2 (sense el @alu.edu.gva.es final).
2.2. Funcionament general
La primera vegada que s'accedeix al sistema amb un determinat usuari, es crearà una carpeta personal local per a aquest. Les accions permeses en el sistema dependran del perfil de l'usuari amb el qual s'accedisca:
- Els usuaris amb perfil docent, podran llançar aplicacions pròpies del professorat, com l'eina de control d'aula Epoptes, el recol·lector de tasques Harvester... i tindran accés a un ampli catàleg d'aplicacions i possibilitats de configuració des del Centre de Control de LliureX (Zero-Center). D'altra banda, mancaran de privilegis d'administració en el sistema i, per tant, tampoc disposaran d'accés a eines d'administració del sistema com Remote Installer o Admin Center.
- Els usuaris amb perfil alumnat, disposaran d'un catàleg d'accés més limitat al Zero-Center i no podran llançar aplicacions pròpies del professorat com Epoptes i, per descomptat, tampoc disposaran de privilegis d'administració en el sistema.
- Els usuaris amb perfil administrador, propi dels tècnics d'assistència i manteniment, comptaran amb privilegis d'administració en el sistema i accés a eines d'administració i al catàleg complet d'opcions dins del Zero-Center.
2.3. Àmbit d'ús i limitacions
La funcionalitat d'inici de sessió amb identitat digital pot utilitzar-se amb qualsevol adaptació o sabor de LliureX. A continuació s'exposen les consideracions a tindre en compte en cada cas.
2.3.1. Escriptori
LliureX Escriptori (o Desktop) és l'adaptació genèrica, dissenyada per a ser utilitzada com a equip independent, és a dir, en els ordinadors personals del professorat, de l'alumnat, dels departaments, etcètera. No depén d'un servidor que li proporcione determinats serveis, com és el cas dels equips de l'aula d'informàtica. En aquest cas, la utilització d'un usuari d'identitat digital serà equivalent, a efectes pràctics, a utilitzar un usuari local estàndard, és a dir, sense privilegis d'administració.
Com ja s'ha explicat, la primera vegada que s'inicie sessió amb un usuari d'identitat digital determinat, es crearan les seues corresponents carpetes personals que seran locals a l'ordinador, i seran visibles exclusivament per a aquest usuari. De la mateixa manera, qualsevol configuració o personalització realitzada sobre aquest, s'aplicarà exclusivament a l'usuari.
2.3.2. Model d'aula
El model d'Aula LliureX (per a l'equip servidor i l'equip client d'aula) s'ha dissenyat per a les aules d'informàtica. El servidor i els clients formen una xarxa independent, on el servidor proporciona serveis centralitzats al qual es poden connectar tant clients pesants, com semi lleugers. El Model d'Aula LliureX inclou programari per a controlar l'activitat de l'alumnat a l'aula, eines administratives, i una gran quantitat d'aplicacions educatives.
Quan s'accedeix a un client (o servidor) d'aula mitjançant un usuari d'identitat digital, podrem treballar de manera similar a com ho faríem amb els tradicionals usuaris de xarxa del model d'Aula on, segons si accedim amb un perfil de docent o alumnat, les possibilitats seran diferents, tal com s'ha explicat anteriorment: des d'un perfil docent podrem controlar l'activitat de l'alumnat amb Epoptes, podrem utilitzar el recol·lector de tasques Harvester, i tindrem accés a un catàleg d'opcions més ampli en el Zero-Center.
Els usuaris d'identitat digital són compatibles amb els tradicionals usuaris de xarxa del model d'aula: poden conviure i funcionaran de manera equivalent, atenent el seu perfil (alumnat, professorat o administrador). D'altra banda, cal considerar unes certes limitacions:
- L'accés a carpetes compartides d'aula i l'ús de perfils mòbils no estan disponibles per a usuaris d'identitat digital.
- L'accés al sistema amb identitat digital des de fora dels centres educatius no pot garantir-se, ja que la base de dades on s'emmagatzemen aquestes identitats digitals es troba disponible únicament des de la xarxa de centres.
3. LliureX-Access-Control
LliureX-Access-Control és una eina que permet gestionar de forma molt precisa qui té accés a un determinat ordinador.
Podríem, per exemple, configurar un filtrat per grup per a bloquejar l'accés a les persones amb perfil d'alumnat per a protegir l'ordinador del docent d'una aula, o ser més específics establint un filtrat per usuari per a bloquejar persones concretes. Addicionalment, per als usuaris d'identitat digital, és possible establir un filtrat per centre, de manera que només les persones pertanyents al centre indicat puguen iniciar sessió.
Constitueix, d'aquesta manera, una potent eina per a estendre el control sobre l'accés als equips informàtics, complementant la millora en seguretat que ja de per si mateix comporta l'ús de la identitat digital.
4. Usuari convidat
Després de l'exposat fins al moment, cal preguntar-se: ¿què succeeix si una persona necessita iniciar sessió però no compta amb un usuari d'identitat digital o per qualsevol motiu no pot utilitzar-lo (per haver oblidat les seues credencials o per qualsevol altra mena de bloqueig)?
Una possibilitat podria ser definir un usuari genèric local en l'equip, la qual cosa no sol ser bona idea des del punt de vista de la privacitat, ja que les dades emmagatzemades, dades de navegació o fins i tot sessions de correu electrònic mal tancades, podrien quedar exposades a altres persones que inicien sessió amb el mateix usuari posteriorment, amb el consegüent problema de privacitat que això implicaria.
Una bona alternativa seria l'activació del compte de convidat, que permet accedir i utilitzar un equip amb l'avantatge que una vegada es tanque la sessió, s'eliminaran del sistema tots els arxius i canvis en la configuració realitzats per aquest.
