Odpověď na téma: 42 – Kraj Vysočina – obor: 18

[Jindřich Dítě]

Co vnímáte jako hlavní vlastní přínosy vaší práce? Tedy, co jste musel vymyslet a navrhnout sám a co bylo převzaté?

Převzatá byla, upřímně věřím, pouze konfigurace samotného proxy serveru, již bylo nutno použít pro zajištění kompatibility se zbytkem infrastruktury (a ve výsledku se ani příliš neodlišovala od výchozí). Takovým hlavním přínosem mé práce z mého pohledu jsou skripty na zpracování generovaných logů a jejich následné zpracování, které představují relativně výrazné zlepšení, umožňujíc jednoduše proaktivně sledovat, co se v síti děje, namísto současného v podstatě pouze reaktivního manuálního řešení problémů. Druhým významným přínosem je poté kontejnerizace celého systému, která značně zjednodušuje administraci a eventuálně může relativně jednoduše umožnit prostřednictvím nějakých orchestračních nástrojů stylu kubernetes i zrcadlení celého systému pro zajištění běhu i v nepříznivých situacích (např. minulý pátek došlo v serverovně patrně výpadkem napájení k výpadku serveru a poškození RAID řadiče, čímž by za normální situace byla celá škola odříznutá od internetu do doby, než bude manuálně zprovozněn náhradní hardware. Orchestrační řešení by teoreticky mohlo umožnit přesměrovat všechen síťový provoz přes sekundární instanci proxy serveru běžící na hardware na druhém pracovišti školy, čímž by sice došlo k určitému omezení propustnosti sítě, ale celkový výpadek by se omezil na několik minut maximálně).

Jeden z cílů práce je “Zpracovat řešení autorizování a sledování přístupu uživatelů k internetu”. Jak konkrétně jste naplnil tento cíl z hlediska “autorizování”? V práci jsem se o autorizaci uživatelů moc nedočetl, nebo jsem to přehlédl.

Problematika autorizace byla v práci poněkud zanedbána, jelikož sestavovaný systém z pohledu autorizace příliš náročný. V rámci oprávnění k přístupu ke zdrojům mimo síť školy nejsou uživatelé nijak rozdělováni, a samotné zdroje jsou poté vždy také pouze globálně povoleny nebo blokovány. Proxy server tedy pouze ověřuje, zda pro uživatele snažícího se navázat spojení existuje účet s danými přihlašovacími údaji (tj. pouze vyžaduje autentizaci), a ověřuje, že stránka je přístupná (porovnáním s blacklistem). Pro přístup k rozhraní pro vizualizaci výstupů je poté zase vyžadována autentikace prostřednictvím nezávislých přihlašovacích údajů. („čistá“ autorizace ve smyslu správy oprávnění náležejících jednotlivým uživatelským identitám tedy nikde prováděna není).

Máte ukázku grafického zobrazení logů v administrátorském rozhraní?

Ukázku bohužel nemám, jelikož původní plán počítal s testovacím nasazením systému po dobu jednoho nebo dvou týdnů na učebně, kdy by byly odladěny poslední problémy a otestována funkčnost, k tomuto ovšem nebyla příležitost. Všech několik málo set řádků kódu sloužícího ke generování výstupů je sice napsáno, ale nikdy neběžely, na straně JavaScriptu je to obdobně. I v případě existence ukázkových screenshotů bych se ovšem rád vyvaroval jejich zveřejňování z důvodu ochrany osobních dat uživatelů zachycených v grafech.