SlideShare a Scribd company logo

AAI

Francesco Taurino
Francesco Taurino

INFN AAI

Technology
1 of 39
Download to read offline
INFN AAI Enrico M.V. Fasanelli con il contributo di Silvia Arezzini Dael Maselli Francesco M. Taurino
Sommario • I Sistemi di Autenticazione ed Autorizzazione in uso • AAI - Authentication and Authorization Infrastructure • Il modello di AAI proposto per l’INFN • Lo “stato dell’arte” • ToDo list
Semi-standard apologies/disclaimers • Buona parte di quanto segue è già stato presentato in CCR, ma non farò domande di verifica ;-) • Molto di quello che segue è “work-in-progress” e pertanto non ancora perfettamente definito. • Quasi tutto quello che segue è stato già implementato in alcune sedi, e quindi sicuramente alcuni di voi sono molto più preparati di me • Molto di quello che segue è ovviamente noto ad un qualunque system manager (me compreso!) • Ciononostante, siccome AAI è un argomento “caldo”, non e’ completamente inutile che io vi faccia perdere tempo...
AAI: gestione e distribuzione delle Informazioni • Sia il processo di autenticazione che quello di autorizzazione richiedono il “confronto” (check) con informazioni che sono “da qualche parte” nei sistemi. • La bontà di una infrastruttura di Autenticazione ed Autorizzazione è legata sia all’accessibilità che alla consistenza ed allo stato di aggiornamento di tali informazioni.
I sistemi in uso
Sistemi di Autenticazione ed Autorizzazione per alcuni servizi generali • Login interattivo Unix • Posta elettronica (mailBox, mailing lists) • Stampa • Accesso alla rete • Web & Web Applications
Unix login • Il login interattivo ha bisogno di informazioni relative all’utente ed al gruppo a cui l’utente appartiene. Tipicamente tali informazioni si trovano in /etc/passwd ed /etc/group eventualmente condivise da più gruppi di host in modo più o meno standard (NIS/Yellow Pages, scripts) postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash plone:x:100:101:Plone User:/var/lib/plone2/main:/bin/false enrico:AFSpwd:22222:1326:Enrico M.V. Fasanelli:/afs/le.infn.it/user/e/enrico:/bin/bash • Il campo GECOS può contenere informazioni arbitrarie, ma normalmente lo si usa per Nome, Cognome, numero di telefono, numero di stanza.
Posta elettronica: mailBox, SMTP relay, POP/IMAP • Il delivery di un e-mail incoming dipende da informazioni relative al maildrop (su quale host consegnare la posta) agli aliases (a che utente corrisponde l’indirizzo di posta elettronica) ed alle informazioni di cui ha bisogno il login Unix. • Il relay SMTP dipende sia dalla lista di reti autorizzate e dalla lista dei domini per i quali si gestisce il servizio, sia (nel caso di SMTP-AUTH) di accedere alle informazioni tipiche del login Unix (fatto da un host che normalmente non dovrebbe permettere il login...) • L’accesso via POP/IMAP alle caselle di posta richiede l’accesso ad informazioni “login-like”
Posta elettronica: mailing-lists • Per poter autorizzare l’accesso agli archivi o anche l’utilizzo di una mailing- list, il sistema deve poter accedere a • elenchi degli iscritti (tipicamente un database ad hoc) • caratteristiche della lista
Stampa • L’accesso a risorse di stampa può richiedere l’appartenenza ad un gruppo • Le configurazioni (drivers, formati di stampa disponibili) sono tipicamente in un database ad hoc
Accesso alla rete • Il progetto TRIP aiuta, ma le autorizzazioni ad ospiti sono legate a database ad hoc.
Web • L’accesso a pagine protette è normalmente gestito attraverso database locali (file .htaccess nel folder in questione) • Metodo “proprietario” • Proliferazione di file “htpasswd” ed “htaccess”
Molto Schematicamente passwd login group mail print cups aliases web mailing lists maildrop mailman htaccess
Aggiornamento delle informazioni • Il fatto che le informazioni sono distribuite in un numero elevato di posti, porta di sicuro ad una “perdita di tempo” nel caso di aggiornamento. Inoltre questo può produrre situazioni inconsistenti, con elevata probabilità.
Un utente cambia gruppo passwd login group mail print aliases web mailing lists maildrop mailman htaccess
Authentication and Authorization Infrastructure
AAI • Una Infrastruttura di Autenticazione ed Autorizzazione ha lo scopo di rendere accessibile TUTTE le informazioni necessarie a TUTTI i servizi che ne hanno diritto, attraverso l’uso di UN UNICO protocollo. • A differenza delle situazioni descritte precedentemente (Sistemi di AA) una Infrastruttura di tale tipo facilita la gestione delle informazioni garantendone la coerenza e l’aggiornabilità.
Ancora più schematicamente login passwd mail group aliases print maildrop htaccess web
Come si fa? • Normalmente si sceglie un unico sistema che permette l’accesso alle informazioni che servono per l’Autorizzazione ed eventualmente un unico sistema per l’Autenticazione.
Ma...
L’INFN e le AAI (AAS) • L’INFN è distribuito sul territorio nazionale ed ogni sede gode di piena autonomia amministrativa • Ogni sede ha già il proprio sistema di Autenticazione ed Autorizzazione, anche se spesso utilizzato solo da alcuni servizi. • Spesso nelle sedi sono attivi diversi Sistemi di Autenticazione ed Autorizzazione usati dai diversi servizi
Killer Application
Candidati a Killer Application • Servizi centralizzati • Web & Web Applications • Strumenti collaborativi (OCS) • e-learning (vedi talk di F. Murtas) • Mailing-lists centralizzate
Vera Killer Application • Servizi Locali • Gestione delle informazioni degli utenti locali, necessarie alle varie applicazioni • Gli utenti accedono principalmente a servizi locali, anche se le necessità di accesso ai servizi locali da parte di utenti “roaming” ed il consolidamento di servizi centralizzati sta modificando in modo significativo questa situazione
I requisiti per il modello di AAI per l’INFN • Deve essere utilizzabile da tutto l’INFN • Utilizzabile dalle varie applicazioni delle varie sedi • Deve poter fornire strumenti utili per i servizi centralizzati • Deve essere in grado di salvaguardare l’autonomia delle sedi • Deve “salvaguardare” il più possibile le AAI di sede esistenti e le infrastrutture nazionali • Deve essere pronta a rispondere alle esigenze future, compreso l’adeguamento alle normative.
Il modello: Autorizzazione • Directory Service LDAP compliant • Gerarchico, con sotto-alberi di sede locali ed amministrativamente indipendenti, ma integrati e uniformati al disegno generale INFN ... Lecce Frascati CNAF ...
Il modello: Autenticazione • Utilizzare Kerberos5 integrandolo nell’infrastruttura nazionale. • Sicurezza • Cross-authentication gerarchica INFN.IT LNF.INFN.IT BA.INFN.IT CNAF.INFN.IT LE.INFN.IT PI.INFN.IT
Il Directory Server • Fedora Directory Server (aka Netscape DS, aka iPlanet, aka Sun ONE DS, aka Red Hat DS) • 4-way Multi-Master • AD sync • LDAPv3 • SSLv3, TLSv1, SASL • Console grafica di amministrazione (Java based) • Supporta chaining e referrals
Il disegno • Bozza iniziale da affinare e discutere nel mini-WorkShop • Prevede l’uso del naming “geografico” (compatibile con X.500) O=INFN,C=IT • Configurazione multi-master • Chaining tra il livello INFN ed i server di sede • Eventuale replica read-only vicino ai servizi applicativi
Le prove fatte • SSL/TLS • Autenticazione con Backend PAM • Autenticazione Ticket Kerberos • Replica Master-Slave e Multi-Master • Su SSL/TLS • Chaining • Chain dell'autenticazione • Referral • Porting NIS -> LDAP
SSL/TLS • Sia LDAPs che TLS su LDAP funzionano correttamente permettendo anche la verifica del client tramite CA INFN e l'eventuale mapping con un utente LDAP
Autenticazione backend PAM • E' stata verificata la corretta funzionalità del backend pam per LDAP. • E' possibile effettuare l'autenticazione verso Fedora DS inserendo username e password e facendo in modo che queste vengano verificati da un modulo PAM come Kerberos o AFS.
Autenticazione Ticket Kerberos5 • E' possibile effettuare l'autenticazione verso Fedora DS inserendo presentando un ticket kerberos5 valido tramite la configurazione di un keytab per il servizio LDAP.
Replica • Le repliche Master-Slave e Multi-Master funzionano correttamente. • La replica Multi-Master e' possibile fino a 4 nodi e consente di aggiornare entry da qualsiasi nodo contemporaneamente. • Non e' necessario alcun storage condiviso, le informazioni vengono propagate istantaneamente. • Entrambi le modalita' di replica possono funzionare tramite canali sicuri SSL/ TLS.
Chaining • Il chaining, o come viene chiamato in Fedora DS, DB Link e' stato provato in una configurazione ad albero: • In tale configurazione ogni richiesta effettuata sul server centrale viene inoltrata in modo trasparente ai server delle sedi, permettando anche il riconoscimento di un utente della sede1 da parte del server della sede2 O=INFN, C=IT Ch ng ain ini ing Cha L=sede1, O=INFN, C=IT L=sede2, O=INFN, C=IT
Referral • E' stata testata anche la funzionalita' dei referral, la quale permette il redirect ad un altro server tramite la notifica al client. • E' possibile ritornare un Referral in caso di richiesta di scrittura su DS o per tutte le query ad un determinato suffix.
Porting • Abbiamo provato gli script di MigrationTools pubblicati sul sito di PADL i quali funzionano egregiamente per migrare da NIS o passwd verso LDAP. • Tuttavia, in caso di situazioni diverse da quelle “standard” previste dagli script PADL, questa operazione si può fare facilmente tramite script fatti in casa, data anche la semplicità del formato LDIF di LDAP.
Le cose da fare • Mini WS di del 30 maggio • Disegno preliminare dello schema • Preparazione della documentazione e macchine virtuali • Pianificazione della migrazione ed integrazione delle AAI di sede nel disegno generale • Pilot di INFN AAI ed integrazione delle applicazioni centralizzate
Domande?

Recommended

Condor
CondorCondor
CondorFrancesco Taurino
 
Bwv
BwvBwv
Bwvohinnant
 
Back to Mainframe
Back to MainframeBack to Mainframe
Back to MainframeFrancesco Taurino
 
Linux
LinuxLinux
LinuxFrancesco Taurino
 
Atpromise
AtpromiseAtpromise
Atpromiseraceklc
 
LTSP
LTSPLTSP
LTSPFrancesco Taurino
 
The Evolution of EnlightenNext Magazine
The Evolution of EnlightenNext MagazineThe Evolution of EnlightenNext Magazine
The Evolution of EnlightenNext Magazinepitneyj
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 

Recommended

Condor
CondorCondor
CondorFrancesco Taurino
 
Bwv
BwvBwv
Bwvohinnant
 
Back to Mainframe
Back to MainframeBack to Mainframe
Back to MainframeFrancesco Taurino
 
Linux
LinuxLinux
LinuxFrancesco Taurino
 
Atpromise
AtpromiseAtpromise
Atpromiseraceklc
 
LTSP
LTSPLTSP
LTSPFrancesco Taurino
 
The Evolution of EnlightenNext Magazine
The Evolution of EnlightenNext MagazineThe Evolution of EnlightenNext Magazine
The Evolution of EnlightenNext Magazinepitneyj
 
Open Source
Open SourceOpen Source
Open SourceFrancesco Taurino
 
AAI Locale
AAI LocaleAAI Locale
AAI LocaleFrancesco Taurino
 
Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini Whymca
 
SVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROIDSVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROIDLuca Masini
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...DotNetMarche
 
Kubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposalKubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposalGiuliano Latini
 
Laravel & Passport
Laravel & PassportLaravel & Passport
Laravel & PassportGabriele Cavigiolo
 
Mfa.intro
Mfa.introMfa.intro
Mfa.introLuigi Perrone
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Mulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consultingMulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consultingFlorence Consulting
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System MonitorFilippo Maria Del Prete
 
Alla scoperta di gRPC
Alla scoperta di gRPCAlla scoperta di gRPC
Alla scoperta di gRPCAndrea Dottor
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Andrea Tosato
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMIFrancesco Taurino
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMINaLUG
 
Cesvip 20110127
Cesvip 20110127Cesvip 20110127
Cesvip 20110127Alessandro Grandi
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!DotNetCampus
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-maxDotNetCampus
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-maxDotNetCampus
 
La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaFrancesco Taurino
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...Francesco Taurino
 

More Related Content

Similar to AAI

Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini Whymca
 
SVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROIDSVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROIDLuca Masini
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...DotNetMarche
 
Kubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposalKubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposalGiuliano Latini
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Mulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consultingMulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consultingFlorence Consulting
 
Alla scoperta di gRPC
Alla scoperta di gRPCAlla scoperta di gRPC
Alla scoperta di gRPCAndrea Dottor
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Andrea Tosato
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMINaLUG
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSMorlini Gabriele
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!DotNetCampus
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-maxDotNetCampus
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-maxDotNetCampus
 

Similar to AAI (20)

AAI Locale
AAI LocaleAAI Locale
AAI Locale
 
Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini Sviluppo di servizi REST per Android - Luca Masini
Sviluppo di servizi REST per Android - Luca Masini
 
SVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROIDSVILUPPO DI SERVIZI REST PER ANDROID
SVILUPPO DI SERVIZI REST PER ANDROID
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
 
Kubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposalKubernetes as HA time series server, a proposal
Kubernetes as HA time series server, a proposal
 
Laravel & Passport
Laravel & PassportLaravel & Passport
Laravel & Passport
 
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90
 
Mulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consultingMulesoft milano meetup #5 florence consulting
Mulesoft milano meetup #5 florence consulting
 
Fmdp Total System Monitor
Fmdp Total System MonitorFmdp Total System Monitor
Fmdp Total System Monitor
 
Alla scoperta di gRPC
Alla scoperta di gRPCAlla scoperta di gRPC
Alla scoperta di gRPC
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMI
 
Cesvip 20110127
Cesvip 20110127Cesvip 20110127
Cesvip 20110127
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
SIGNALR TO-THE-MAX: VERSO IL WEB ED OLTRE!
 
Signal r to the-max
Signal r to the-maxSignal r to the-max
Signal r to the-max
 
Del furia signalr-to-the-max
Del furia signalr-to-the-maxDel furia signalr-to-the-max
Del furia signalr-to-the-max
 

More from Francesco Taurino

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaFrancesco Taurino
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...Francesco Taurino
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco Taurino
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Francesco Taurino
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VetereFrancesco Taurino
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereFrancesco Taurino
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con LinuxFrancesco Taurino
 
Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Francesco Taurino
 

More from Francesco Taurino (20)

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casa
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioni
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
 
Open Security
Open SecurityOpen Security
Open Security
 
Applicazioni open source
Applicazioni open sourceApplicazioni open source
Applicazioni open source
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con Linux
 
Xen e OpenVirtuozzo
Xen e OpenVirtuozzoXen e OpenVirtuozzo
Xen e OpenVirtuozzo
 
AAI Nazionale
AAI NazionaleAAI Nazionale
AAI Nazionale
 
NetDisco
NetDiscoNetDisco
NetDisco
 
Unattended
UnattendedUnattended
Unattended
 
Jabber
JabberJabber
Jabber
 
APT per RPM
APT per RPMAPT per RPM
APT per RPM
 
Nessus
NessusNessus
Nessus
 
SysMan
SysManSysMan
SysMan
 
Redhat RHCE Certification
Redhat RHCE CertificationRedhat RHCE Certification
Redhat RHCE Certification
 
PfSense Cluster
PfSense ClusterPfSense Cluster
PfSense Cluster
 
Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2
 

AAI

  • 1. INFN AAI Enrico M.V. Fasanelli con il contributo di Silvia Arezzini Dael Maselli Francesco M. Taurino
  • 2. Sommario • I Sistemi di Autenticazione ed Autorizzazione in uso • AAI - Authentication and Authorization Infrastructure • Il modello di AAI proposto per l’INFN • Lo “stato dell’arte” • ToDo list
  • 3. Semi-standard apologies/disclaimers • Buona parte di quanto segue è già stato presentato in CCR, ma non farò domande di verifica ;-) • Molto di quello che segue è “work-in-progress” e pertanto non ancora perfettamente definito. • Quasi tutto quello che segue è stato già implementato in alcune sedi, e quindi sicuramente alcuni di voi sono molto più preparati di me • Molto di quello che segue è ovviamente noto ad un qualunque system manager (me compreso!) • Ciononostante, siccome AAI è un argomento “caldo”, non e’ completamente inutile che io vi faccia perdere tempo...
  • 4. AAI: gestione e distribuzione delle Informazioni • Sia il processo di autenticazione che quello di autorizzazione richiedono il “confronto” (check) con informazioni che sono “da qualche parte” nei sistemi. • La bontà di una infrastruttura di Autenticazione ed Autorizzazione è legata sia all’accessibilità che alla consistenza ed allo stato di aggiornamento di tali informazioni.
  • 6. Sistemi di Autenticazione ed Autorizzazione per alcuni servizi generali • Login interattivo Unix • Posta elettronica (mailBox, mailing lists) • Stampa • Accesso alla rete • Web & Web Applications
  • 7. Unix login • Il login interattivo ha bisogno di informazioni relative all’utente ed al gruppo a cui l’utente appartiene. Tipicamente tali informazioni si trovano in /etc/passwd ed /etc/group eventualmente condivise da più gruppi di host in modo più o meno standard (NIS/Yellow Pages, scripts) postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash plone:x:100:101:Plone User:/var/lib/plone2/main:/bin/false enrico:AFSpwd:22222:1326:Enrico M.V. Fasanelli:/afs/le.infn.it/user/e/enrico:/bin/bash • Il campo GECOS può contenere informazioni arbitrarie, ma normalmente lo si usa per Nome, Cognome, numero di telefono, numero di stanza.
  • 8. Posta elettronica: mailBox, SMTP relay, POP/IMAP • Il delivery di un e-mail incoming dipende da informazioni relative al maildrop (su quale host consegnare la posta) agli aliases (a che utente corrisponde l’indirizzo di posta elettronica) ed alle informazioni di cui ha bisogno il login Unix. • Il relay SMTP dipende sia dalla lista di reti autorizzate e dalla lista dei domini per i quali si gestisce il servizio, sia (nel caso di SMTP-AUTH) di accedere alle informazioni tipiche del login Unix (fatto da un host che normalmente non dovrebbe permettere il login...) • L’accesso via POP/IMAP alle caselle di posta richiede l’accesso ad informazioni “login-like”
  • 9. Posta elettronica: mailing-lists • Per poter autorizzare l’accesso agli archivi o anche l’utilizzo di una mailing- list, il sistema deve poter accedere a • elenchi degli iscritti (tipicamente un database ad hoc) • caratteristiche della lista
  • 10. Stampa • L’accesso a risorse di stampa può richiedere l’appartenenza ad un gruppo • Le configurazioni (drivers, formati di stampa disponibili) sono tipicamente in un database ad hoc
  • 11. Accesso alla rete • Il progetto TRIP aiuta, ma le autorizzazioni ad ospiti sono legate a database ad hoc.
  • 12. Web • L’accesso a pagine protette è normalmente gestito attraverso database locali (file .htaccess nel folder in questione) • Metodo “proprietario” • Proliferazione di file “htpasswd” ed “htaccess”
  • 13. Molto Schematicamente passwd login group mail print cups aliases web mailing lists maildrop mailman htaccess
  • 14. Aggiornamento delle informazioni • Il fatto che le informazioni sono distribuite in un numero elevato di posti, porta di sicuro ad una “perdita di tempo” nel caso di aggiornamento. Inoltre questo può produrre situazioni inconsistenti, con elevata probabilità.
  • 15. Un utente cambia gruppo passwd login group mail print aliases web mailing lists maildrop mailman htaccess
  • 17. AAI • Una Infrastruttura di Autenticazione ed Autorizzazione ha lo scopo di rendere accessibile TUTTE le informazioni necessarie a TUTTI i servizi che ne hanno diritto, attraverso l’uso di UN UNICO protocollo. • A differenza delle situazioni descritte precedentemente (Sistemi di AA) una Infrastruttura di tale tipo facilita la gestione delle informazioni garantendone la coerenza e l’aggiornabilità.
  • 18. Ancora più schematicamente login passwd mail group aliases print maildrop htaccess web
  • 19. Come si fa? • Normalmente si sceglie un unico sistema che permette l’accesso alle informazioni che servono per l’Autorizzazione ed eventualmente un unico sistema per l’Autenticazione.
  • 20. Ma...
  • 21. L’INFN e le AAI (AAS) • L’INFN è distribuito sul territorio nazionale ed ogni sede gode di piena autonomia amministrativa • Ogni sede ha già il proprio sistema di Autenticazione ed Autorizzazione, anche se spesso utilizzato solo da alcuni servizi. • Spesso nelle sedi sono attivi diversi Sistemi di Autenticazione ed Autorizzazione usati dai diversi servizi
  • 23. Candidati a Killer Application • Servizi centralizzati • Web & Web Applications • Strumenti collaborativi (OCS) • e-learning (vedi talk di F. Murtas) • Mailing-lists centralizzate
  • 24. Vera Killer Application • Servizi Locali • Gestione delle informazioni degli utenti locali, necessarie alle varie applicazioni • Gli utenti accedono principalmente a servizi locali, anche se le necessità di accesso ai servizi locali da parte di utenti “roaming” ed il consolidamento di servizi centralizzati sta modificando in modo significativo questa situazione
  • 25. I requisiti per il modello di AAI per l’INFN • Deve essere utilizzabile da tutto l’INFN • Utilizzabile dalle varie applicazioni delle varie sedi • Deve poter fornire strumenti utili per i servizi centralizzati • Deve essere in grado di salvaguardare l’autonomia delle sedi • Deve “salvaguardare” il più possibile le AAI di sede esistenti e le infrastrutture nazionali • Deve essere pronta a rispondere alle esigenze future, compreso l’adeguamento alle normative.
  • 26. Il modello: Autorizzazione • Directory Service LDAP compliant • Gerarchico, con sotto-alberi di sede locali ed amministrativamente indipendenti, ma integrati e uniformati al disegno generale INFN ... Lecce Frascati CNAF ...
  • 27. Il modello: Autenticazione • Utilizzare Kerberos5 integrandolo nell’infrastruttura nazionale. • Sicurezza • Cross-authentication gerarchica INFN.IT LNF.INFN.IT BA.INFN.IT CNAF.INFN.IT LE.INFN.IT PI.INFN.IT
  • 28. Il Directory Server • Fedora Directory Server (aka Netscape DS, aka iPlanet, aka Sun ONE DS, aka Red Hat DS) • 4-way Multi-Master • AD sync • LDAPv3 • SSLv3, TLSv1, SASL • Console grafica di amministrazione (Java based) • Supporta chaining e referrals
  • 29. Il disegno • Bozza iniziale da affinare e discutere nel mini-WorkShop • Prevede l’uso del naming “geografico” (compatibile con X.500) O=INFN,C=IT • Configurazione multi-master • Chaining tra il livello INFN ed i server di sede • Eventuale replica read-only vicino ai servizi applicativi
  • 30. Le prove fatte • SSL/TLS • Autenticazione con Backend PAM • Autenticazione Ticket Kerberos • Replica Master-Slave e Multi-Master • Su SSL/TLS • Chaining • Chain dell'autenticazione • Referral • Porting NIS -> LDAP
  • 31. SSL/TLS • Sia LDAPs che TLS su LDAP funzionano correttamente permettendo anche la verifica del client tramite CA INFN e l'eventuale mapping con un utente LDAP
  • 32. Autenticazione backend PAM • E' stata verificata la corretta funzionalità del backend pam per LDAP. • E' possibile effettuare l'autenticazione verso Fedora DS inserendo username e password e facendo in modo che queste vengano verificati da un modulo PAM come Kerberos o AFS.
  • 33. Autenticazione Ticket Kerberos5 • E' possibile effettuare l'autenticazione verso Fedora DS inserendo presentando un ticket kerberos5 valido tramite la configurazione di un keytab per il servizio LDAP.
  • 34. Replica • Le repliche Master-Slave e Multi-Master funzionano correttamente. • La replica Multi-Master e' possibile fino a 4 nodi e consente di aggiornare entry da qualsiasi nodo contemporaneamente. • Non e' necessario alcun storage condiviso, le informazioni vengono propagate istantaneamente. • Entrambi le modalita' di replica possono funzionare tramite canali sicuri SSL/ TLS.
  • 35. Chaining • Il chaining, o come viene chiamato in Fedora DS, DB Link e' stato provato in una configurazione ad albero: • In tale configurazione ogni richiesta effettuata sul server centrale viene inoltrata in modo trasparente ai server delle sedi, permettando anche il riconoscimento di un utente della sede1 da parte del server della sede2 O=INFN, C=IT Ch ng ain ini ing Cha L=sede1, O=INFN, C=IT L=sede2, O=INFN, C=IT
  • 36. Referral • E' stata testata anche la funzionalita' dei referral, la quale permette il redirect ad un altro server tramite la notifica al client. • E' possibile ritornare un Referral in caso di richiesta di scrittura su DS o per tutte le query ad un determinato suffix.
  • 37. Porting • Abbiamo provato gli script di MigrationTools pubblicati sul sito di PADL i quali funzionano egregiamente per migrare da NIS o passwd verso LDAP. • Tuttavia, in caso di situazioni diverse da quelle “standard” previste dagli script PADL, questa operazione si può fare facilmente tramite script fatti in casa, data anche la semplicità del formato LDIF di LDAP.
  • 38. Le cose da fare • Mini WS di del 30 maggio • Disegno preliminare dello schema • Preparazione della documentazione e macchine virtuali • Pianificazione della migrazione ed integrazione delle AAI di sede nel disegno generale • Pilot di INFN AAI ed integrazione delle applicazioni centralizzate