Controllo accessi

Da sia.
Versione del 16 feb 2009 alle 12:48 di Malvezzi (discussione | contributi) (→‎Identificazione degli utenti)
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)
Vai alla navigazione Vai alla ricerca

Principi generali di funzionamento

I tornelli gestiti dal sistema di controllo accessi permettono l'ingresso agli utenti che strisciano un badge a tessera magnetica. Le tessere magnetiche da riconoscere sono: il tesserino studenti, il tesserino dipendenti (due tipi) e il codice fiscale / tessera sanitaria.

Il riconoscimento dell'identità degli utenti avviene con una richiesta al sistema di Gestione delle Identità di Ateneo, che è centralizzato ed unico per tutti gli accessi.

L'autorizzazione è impostata localmente accesso per accesso, con la possibilità di conferire privilegi speciali a certi utenti o disabilitarli solo per un accesso.

Hardware

Software

Componenti richiesti

  • Sistema di pilotaggio dei tornelli che contiene la logica business dell'identifcazione/autorizzazione;
  • database relazione open source mysql per la registrazione degli accessi e per le informazioni del punto successivo;
  • interfaccia web per gestione delle disabilitazioni locali e degli utenti privilegiati.

Interfaccia web

Per ogni varco deve essere presente un'interfaccia web sul database con le funzionalità:

  • disabilitazioni locali
  • riabilitazioni locali
  • promozione a super utente
  • ricerca accessi (per nome, cognome, codice fiscale o sottostringa o per orario)

Per ogni varco l'interfaccia deve autenticare gli utenti abilitati e restringere l'accesso da certi indirizzi IP.

Database

La struttura dati del database deve essere documentata per permettere estrazione dati in autonomia. Deve essere presente una tabella scrivibile dal sistema di Gestione delle Identità per gli accessi immediati. La struttura dati di questa tabella deve essere concordato. Il sistema Gestione delle Identità si connetterà in rete su canale cifrato.

Sistema server dei tornelli

Identificazione degli utenti

Il sistema di controllo accessi dovrà contattare il sistema di Gestione delle Identità di Ateneo per identificare l'utente. Il sistema di Gestione delle Identità è basato sul directory server openldap suddiviso in quattro ou sotto lo stesso basename (ou=people,dc=unimore,dc=it):

  • ou=accounts, da ignorare
  • ou=students, gli studenti
  • ou=dipendenti, dipendenti
  • ou=esterni, esterni, ad esempio gli ospiti

Gli ultimi due ou sono mutualmente esclusivi mentre è possibile che un dipendente/esterno sia anche studente. In questo cosa lo stesso utente ha più di un record ldap (oltre i record in ou=accounts da ignorare). Tutti i record della stessa persona contengono lo stesso campo codice fiscale ed il record dipendente/esterno contiene l'attributo unimorestudriferimento con lo uid dell'identità studente.

A seconda del record ldap sono presenti gli attributi:

  • codice fiscale (sempre)
  • unimorediptessera (numero del tesserino dipendente)
  • unimorebadge (numero del nuovo bagde per dipendenti ed esterni)
  • unimoredtutessera (numero tessera studente)

Nel caso un dipendente abbia sia la tessera dipendente che il badge è possibile considerare la tessera come revocata.

Gli utenti che non sono presenti nell'albero ldap non sono ammessi a meno che non usino il codice fiscale presente nella tabella degli accessi immediati scrivibile dal sistema di Gestione delle Identità di Ateneo.

Autorizzazione

Sarà presente un albero ou=groups,dc=unimore,dc=it che contiene gruppi in formato posixGroup.

Per ogni varco dovrà essere possibile configurare un filtro di accesso stile rfc2254 oppure un gruppo. Gli utenti che non soddisfano la ricerca con il filtro o non presenti nel gruppo sono non autorizzati. Se presente sia il filtro sia il gruppo entrambe le condizioni devono essere verificate.

Gli utenti il cui codice fiscale è presente nella tabella degli accessi immediati accessibile in scrittura dal sistema di Gestione delle Identità non sono soggetti alle autorizzazioni.

Requisiti di funzionamento

Binding ldap

Le connessioni al directory server openldap devono avvenire su StartTLS se non su ldapi:///.

Orari di funzionamento del varco

Ogni varco deve poter essere configurato per modificare le autorizzazioni con almeno due fasce orarie (cioé possono essere presenti due regole in vigore a seconda dell'orario/giorno della settimana).

Capienza dell'ambiente protetto dal varco

Ogni varco deve poter essere configurato per impedire l'accesso agli utenti raggiunta una certa capienza. Raggiunta la capienza deve essere possibile specificare una condizione di autorizzazione che ammetta certi utenti.

Funzione anti pass-back

Ogni varco deve poter essere configurato per il controllo che gli utenti striscino sia in ingresso che in uscita. Gli utenti ad esempio che escono senza essere entrati o entrino due volte di seguito devono poter essere disabilitati. La riabilitazione avverrà con interfaccia web accessibile dal personale di portineria.

Disabilitazioni locali

Deve poter esistere la possibilità di disabilitare localmente un certo utente.

Super utenti

Certi utenti devono poter essere immuni dal controllo anti-passback. L'elenco di tali utenti deve poter essere gestito dall'interfaccia web.

Univocità dell'utente

Gli utenti devono poter usare indifferentemente tutte le tessere magnetiche in loro possesso anche se si riferiscono a record ldap diversi senza incorrere nel sistema anti pass-back.

Gestione presenze

TODO

Estratto da "https://wiki.unimore.it/index.php?title=Controllo_accessi&oldid=9856"