Sperimentazione della carta regionale dei servizi per l'autenticazione su un dominio active directory

1,059 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,059
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Logo Units + Immagine CRS + Titolo tesi
  • Perché usare AD? Come identifico utente? Come attivo integrazione client-server?
  • Transitività: dominio -> Web + figura esplicativa
  • Percorso seguito + figura esplicativa (utente sito internet credenziali)
  • Metodologia di lavoro (Strumenti, Prerequisiti)
  • Sviluppo
  • Metodologia di lavoro (Progettazione)
  • Screenshot 1
  • Autenticazione con CRS? (Attributi utente in Active Directory)
  • Realizzazione: diagramma UML
  • Obiettivo raggiunto o meno
  • Eventuali sviluppi futuri
  • Sperimentazione della carta regionale dei servizi per l'autenticazione su un dominio active directory

    1. 1. SPERIMENTAZIONE DELLA CARTA REGIONALE DEI SERVIZI PER L’AUTENTICAZIONE SU UN DOMINIO ACTIVE DIRECTORY
    2. 2. <ul><li>Perché usare Active Directory? </li></ul><ul><ul><li>Fornisce informazioni sugli oggetti e li organizza </li></ul></ul><ul><ul><li>Controlla gli accessi e ne imposta le security </li></ul></ul><ul><ul><li>Utilizza il meccanismo di Single-Sign On </li></ul></ul><ul><li>Come identifico l’utente? </li></ul><ul><ul><li>Tramite il meccanismo di autenticazione (3 tipi: interna, esterna, reciproca) </li></ul></ul><ul><ul><li>Principalmente la Smart Card opera il riconoscimento tra essa e il mondo esterno </li></ul></ul><ul><li>Come attivo l’integrazione client-server? </li></ul><ul><ul><li>Utilizzando una Smart Card, tramite un’unità hardware (lettore) collegata al pc </li></ul></ul><ul><ul><ul><li>Un driver di periferica associa le funzionalità del lettore ai servizi da esso offerti </li></ul></ul></ul><ul><li>Perché la Carta Regionale dei Servizi? </li></ul><ul><ul><li>La CRS contiene un Certificato di Autenticazione della carta, emesso dalla CA </li></ul></ul><ul><ul><li>In combinazione con il PIN permette l’utilizzo dei servizi in rete da parte del titolare </li></ul></ul>
    3. 3. <ul><li>Transitività: dominio -> Web </li></ul><ul><li>L'obiettivo del progetto è quello di studiare l'autenticazione tramite la CRS su un dominio Active Directory e di trasporla, se possibile, nell'ambito del Web: </li></ul><ul><ul><li>Tramite un’applicazione Web </li></ul></ul><ul><ul><li>Sfruttando il meccanismo di Single-Sign On </li></ul></ul><ul><ul><li>Usando il certificato digitale presente nella Carta Regionale dei Servizi </li></ul></ul>
    4. 4. <ul><li>Percorso seguito </li></ul><ul><li>Scenario </li></ul><ul><ul><li>Il client vuole accedere ad una specifica pagina Internet </li></ul></ul><ul><ul><ul><li>Le risorse presenti nella pagina sono protette </li></ul></ul></ul><ul><ul><ul><ul><li>Per visualizzare la pagina è necessario vengano passate le credenziali di accesso del client </li></ul></ul></ul></ul><ul><li>Nello specifico </li></ul><ul><ul><li>Quando la pagina Web richiesta dall'utente necessita di credenziali, viene prelevato da ADSI: </li></ul></ul><ul><ul><li>Lo username di dominio del server </li></ul></ul><ul><ul><li>La password di dominio del server </li></ul></ul><ul><ul><li>Il certificato digitale presente nella CRS </li></ul></ul>
    5. 5. <ul><li>Strumenti </li></ul><ul><li>Visual Web developer 2008 Express Edition -> Progetto ASP.NET Web Site -> Visual C# </li></ul><ul><li>Lato client </li></ul><ul><ul><li>Microsoft Windows 7 + Internet Explorer 8 </li></ul></ul><ul><li>Lato server </li></ul><ul><ul><li>IIS (Internet Information Service) </li></ul></ul><ul><ul><li>ADSI (Active Directory Server Interfaces) </li></ul></ul><ul><li>Prerequisiti </li></ul><ul><li>Lato client </li></ul><ul><ul><li>L’accesso al proprio sistema operativo non deve essere di tipo anonimo </li></ul></ul><ul><ul><li>Deve essere possibile autenticarsi tramite Smart Card sul proprio sistema operativo </li></ul></ul><ul><ul><li>Su Internet Explorer si deve impostare l’autenticazione &quot;windows authentication&quot; </li></ul></ul><ul><li>Lato server </li></ul><ul><ul><li>Si deve impostare l’autenticazione “windows authentication” </li></ul></ul><ul><ul><li>L’utente deve autenticarsi tramite Smart Card (no autenticazione anonima) </li></ul></ul>
    6. 6. <ul><li>Progettazione </li></ul><ul><li>L'applicazione comprende: </li></ul><ul><ul><li>Una pagina Web composta da una TextBox ed un pulsante </li></ul></ul><ul><ul><li>Il codice necessario per testare se l'utente si sta autenticando o meno con una CRS </li></ul></ul><ul><li>Page_Load </li></ul><ul><li>La procedura principale, il cui scopo è verificare se l’utente si sta autenticando con la CRS. I </li></ul><ul><li>possibili messaggi che si possono visualizzare nella TextBox sono 4: </li></ul><ul><ul><li>L’utente si autentica con CRS </li></ul></ul><ul><ul><li>L’utente non ha un certificato di tipo CRS </li></ul></ul><ul><ul><li>L’utente non si autentica con CRS </li></ul></ul><ul><ul><li>L’utente NON è tenuto ad autenticarsi con CRS </li></ul></ul><ul><li>Button1_Click </li></ul><ul><li>La procedura secondaria, associata alla pressione del pulsante della pagina Web. Stampa nella </li></ul><ul><li>TextBox il dominio a cui l’utente ha effettuato il logon e il suo username. </li></ul>
    7. 7. <ul><li>Sviluppo </li></ul><ul><li>Azioni effettuate dall’applicazione quando si tenta di accedere alla pagina Web: </li></ul><ul><ul><li>Verificare il tipo di autenticazione dell'utente </li></ul></ul><ul><ul><li>Controllare che l'utente sia autenticato nel proprio pc </li></ul></ul> 3. Assicurarsi che l'utente abbia le credenziali di accesso ad un dominio sul server
    8. 8. <ul><ul><li>4. Se l'utente ha accesso, verificare se è associato ad un certificato digitale </li></ul></ul><ul><ul><li>5. Nel caso il certificato sia presente, testare se è un certificato standard CRS X.509 </li></ul></ul>
    9. 9. <ul><li>Autenticazione con CRS? </li></ul><ul><li>Il controllo avviene grazie a due attributi associati all’utente in Active Directory: </li></ul><ul><ul><li>altSecurityIdentities: array di stringhe; restituisce i certificati associati all’utente </li></ul></ul><ul><ul><li>userAccountControl: bitmask; permette di controllare se è attivo l’attributo SMARTCARD_REQUIRED </li></ul></ul>
    10. 10. <ul><li>Realizzazione </li></ul><ul><li>Diagramma UML </li></ul><ul><li>Mentre la pagina Web viene caricata entra in esecuzione la procedura Page_Load. </li></ul><ul><li>LEGENDA: </li></ul><ul><li>A: L’utente è associato ad almeno un certificato digitale? </li></ul><ul><li>B: Fra i certificati trovati, almeno uno è di tipo CRS? </li></ul><ul><li>C: L’utente è obbligato ad autenticarsi con una Smart Card (attivato l’attributo SMARTCARD_REQUIRED)? </li></ul>
    11. 11. <ul><li>Conclusioni </li></ul><ul><li>Purtroppo, non si è riusciti fino in fondo nella verifica della transitività da locale a Web: </li></ul><ul><ul><li>Impossibilità di potersi autenticare sul dominio del server senza reinserire le credenziali </li></ul></ul><ul><ul><ul><li>ADSI non riesce a prelevare in automatico le credenziali di accesso al dominio sul server </li></ul></ul></ul><ul><li>Le condizioni che si possono verificare sono due: </li></ul><ul><ul><li>Attributo SMARTCARD_REQUIRED settato: è necessario reinserire le credenziali </li></ul></ul><ul><ul><li>Attributo SMARTCARD_REQUIRED non settato: non si ha la certezza che l’utente stia usando una CRS per autenticarsi </li></ul></ul>
    12. 12. <ul><li>Sviluppi futuri </li></ul><ul><li>Autenticazione su dominio AD sul Web </li></ul><ul><li>La sperimentazione potrebbe essere continuata usando l’integrazione di tecnologie come: </li></ul><ul><ul><li>Active Directory su Linux </li></ul></ul><ul><ul><ul><li>Apache Web Server + Tomcat </li></ul></ul></ul><ul><li>Carta Regionale dei Servizi </li></ul><ul><li>In un futuro prossimo si potrebbe sfruttare la tecnologia offerta dalle Smart Card e usare la CRS anche come: </li></ul><ul><ul><li>Tessera della benzina </li></ul></ul><ul><ul><li>Carta di credito, bancomat </li></ul></ul><ul><ul><li>Abbonamento per i trasporti pubblici </li></ul></ul>

    ×