La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 26-30 Marzo 2012.

PubblicatoLeonzio Tommasi Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 26-30 Marzo 2012."— Transcript della presentazione:

1 AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 26-30 Marzo 2012

2 Perché INFN-AAI Plus? Scatole cinesi (!) Visto che non siamo in grado di completare il lavoro per INFN-AAI, ci inventiamo una sua evoluzione, diciamo INFN-AAI Plus che è molto più complessa e che richiede quindi un sacco di risorse in più (così nessuno ci può dire che non siamo capaci a completare INFN-AAI) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus2

3 Perché INFN-AAI Plus? INFN-AAI Authentication and Authorization Infrastructure INFN-AAI Plus INFN-AAI con in aggiunta un pezzo senza il quale non è possibile mettere in piedi una AAI: IAM (Identity and Access Management) INFN-AAI Plus = INFN-AAI + IAM CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus3

4 IAM: The big Picture AAI: solo il 20% dell’impegno totale IAM: pesa per circa l’80% del totale del progetto CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus4

5 Il “peso” di IAM Ma se la “parte aggiunta” ad INFN-AAI è così corposa, perché non tralasciarla? Rilievo della commissione di referee al CDR di INFN-AAI Soddisfare (più facilmente) alcune politiche di acccesso (che sono anche misure richieste dal DL 196/2003) Assegnazione univoca degli userID Disabilitazione account CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus5

6 INFN-AAI Plus GODiVA INFN-AAI CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus6

7 GODiVA Lady Godiva (in inglese arcaico Godgifu, "god gift”) era una nobildonna anglosassone moglie del conte Leofrico di Coventry che, secondo una leggenda, cavalcò nuda per le vie di Coventry per ottenere la soppressione di un ulteriore tributo imposto da suo marito ai propri sudditi. (cfr. Wikipedia) Gestione Ospiti Dipendenti Visitatori ed Associati Evoluzione di GOapp, sviluppata da Claudio Bisegni ed Antonino Passarelli per la gestione dei Visitatori (usata in alcune sezioni per ottemperare alle richieste del decreto Pisanu sulla “tracciabilità” degli accessi in rete) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus7

8 Il logo di GODiVA È un dipinto di Lady Godiva diJohn Collier (1898 ca).John Collier (1898 ca). Non è più nelle pagine ufficiali perché è stato contestato l’utilizzo di un nudo di donna (tralasciando il fatto che si tratta di un’opera d’arte) Ho provato a riprendere la questione, ma Marco Paganoni non ne vuole sapere… CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus8

9 Anatomia di GODiVA GODiVA-DB GODiVA-Engine GODiVA-API GODiVA-Security GODiVA-Jobs GODiVA-UI CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus9

10 Anatomia di GODiVA GODiVA-DB DataBase relazionale (Oracle in configurazione RAC) contenente le informazioni relative alle Identità, ai Ruoli (legati all’organigramma dell’INFN) ed ai servizi CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus10

11 Anatomia di GODiVA GODiVA-Engine Applicazione Java che gira in un Application Server Apache Tomcat (in realtà è un cluster di Application Server) È l’unico punto di accesso al GODiVA-DB È l’unico mezzo utilizzabile per scrivere nei server LDAP di INFN-AAI CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus11

12 Anatomia di GODiVA GODiVA-API Set di API attraverso le quali è possibile accedere alle funzionalità di GODiVA-Engine anche al di fuori di GODiVA-UI Accessibili via SOAP WebApp Utilizzate dalle varie “istanze” di protoAAI (protoserv2, …………….) per l’accesso ai rami LDAP differenti da OU=people,DC=infn,DC=it CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus12

13 Anatomia di GODiVA GODiVA-Security La parte di GODiVA che gestisce i privilegi e quindi i diritti di accesso alle funzioni di GODiVA stessa Utilizza gli “entitlement” (diritti di accesso) posseduti dall’utente e memorizzati in un apposito attributo LDAP in INFN-AAI CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus13

14 Anatomia di GODiVA GODiVA-Jobs La parte di GODiVA che esegue le operazioni di modifica di stato delle identità registrando il nuovo stato sia nel GODiVA-DB che nel Directory Server di INFN-AAI Cron-like Jobs At-like Jobs Triggered Jobs CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus14

15 Anatomia di GODiVA GODiVA-UI per accesso a GODiVA-Engine GUI Java CLI scritta in C/C++ CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus15

16 GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica dei Dipendenti presa dal modulo HR del Sistema Informativo Dipendenti (a tempo determinato o indeterminato) Borsisti Assegnisti CoCo(Co,Pro) ai sensi dell’Art. 2222 CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus16

17 GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica degli Associati gestita direttamente nel GODiVA-DB (via apposite API) dai sistemi di gestione delle associazioni di DataWeb Dati forniti al DB del Sistema Informativo CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus17

18 GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica di Ospiti e Visitatori gestita direttamente in GODiVA Via GUI Java: Interfaccia utente simile a quella di GOapp Via Java applet (per l’auto-registrazione) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus18

19 GODiVA Blocks CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus19

20 Le componenti di INFN-AAI Autenticazione Kerberos5 Username/Password Certificati X.509 Autorizzazione Attributi memorizzati in Directory Server e forniti via LDAP CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus20

21 Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, …) Estensione della infrastruttura esistente con un REALM Kerberos5 per ogni sede Pool di Slave-KDC (un paio per ogni REALM) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus21

22 Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, …) Estensione della infrastruttura esistente con un REALM Kerberos5 per ogni sede Pool di Slave-KDC (un paio per ogni REALM) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus22 OBSOLETA

23 Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, MI, …) Possibilità di utilizzo del REALM INFN.IT per tutte le sedi Pool di Slave-KDC (un paio per ogni REALM) CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus23

24 Autenticazione Username/Password Per compatibilità con i sistemi di autenticazione in uso in molte sedi (Username/Password Unix) Per facilitare la migrazione ad INFN-AAI (Unix  Kerberos5) Per rendere utilizzabile INFN-AAI anche da client non kerberizzabili (es. internet cafè) Utilizza anche Username/Password Kerberos5 via plug-in ad hoc di 389-DS CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus24

25 Autenticazione X.509 Utilizzo di certificati X.509 rilasciati da INFN-CA Altre Certification Authorities Terena TCS Service CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus25

26 Autorizzazione Non tutti i client sono in grado di demandare il processo relativo all’Autorizzazione ad una entità esterna INFN-AAI fornisce via LDAP gli attributi che possono essere usati da un client per poi effettuare internamente il processo di autorizzazione direttamente gli attributi autorizzativi, per le applicazioni che sono in grado si utilizzarli CNAF 26-30 marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus26

27 F I N E AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus

Scaricare ppt "AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 26-30 Marzo 2012."

Presentazioni simili

Status report Enrico M.V. Fasanelli

Status report Enrico M.V. Fasanelli
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA

UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
E.M.V. Fasanelli & S. Arezzini

E.M.V. Fasanelli & S. Arezzini
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Entro fine marzo 2012 potrà essere distribuita, a chi ne farà richiesta, la versione 7.0 di Inemar, che contiene la prima parte delle modifiche e degli.

Entro fine marzo 2012 potrà essere distribuita, a chi ne farà richiesta, la versione 7.0 di Inemar, che contiene la prima parte delle modifiche e degli.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Amministrazione di una rete con Active Directory.

Amministrazione di una rete con Active Directory.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.

Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Wireless Authentication

Wireless Authentication
Un problema importante

Un problema importante
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,

Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
Configurazione di una rete Windows

Configurazione di una rete Windows
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.

report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.

Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Analisi e sperimentazione di una Certification Authority

Analisi e sperimentazione di una Certification Authority
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus 14-17 Dicembre 2010.

INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus 14-17 Dicembre 2010.

INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio 2007 - LNF.

Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.

TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
1 Dott. Federico Del Freo a.d. Zucchetti Spa. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi > 1700 dipendenti > 155 Ml € fatturato.

1 Dott. Federico Del Freo a.d. Zucchetti Spa. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi > 1700 dipendenti > 155 Ml € fatturato.

Presentazioni simili

Annunci Google