La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.

PubblicatoDelfina Forte Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003."— Transcript della presentazione:

1 AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003

2 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 2 …& Co (-starring) Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi

3 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 3 Also starring SICR INFN Roma – Alessandro Spanu – Daniela Anzellotti – Cristina Bulfon – Marco De Rossi

4 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 4 Agenda Cos’è – Kerberos 5 cross realm authentication – AFS cross cell authentication Perché Le prime prove effettuate Le prove da fare I passi successivi Possibili evoluzioni

5 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 5 Kerberos 5 X-realms authentication Relazioni di trust tra REALMs Kerberos – Ogni “principal” di un realm è autenticato anche nel realm trusted Transitive in Kerberos5 – gerarchiche (all’interno dello stesso albero) – CAPATHS (tra alberi disgiunti) LE.INFN.IT INFN.IT LNF.INFN.IT

6 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 6 Utilità Un utente, autenticato in un realm, può usare risorse dell’altro realm. telnet –a –l root server.le.infn.it sandro@LNF.INFN.IT

7 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 7 AFS cross cell authentication Si definiscono opportuni gruppi di protezione kinit – acquisisce un TGT Kerberos5 aklog – dato un tgt genera un token AFS (usando ahimè krb524d) aklog – genera entry nel PTS della cella esterna (se non esiste) – ottiene il token nella cella esterna AFS cell le.infn.it AFS cell lnf.infn.it system:authuser@lnf.infn.it system:authuser@le.infn.it sandro@LNF.INFN.IT AFS id 4 for afs@lnf.infn.it sandro@lnf.infn.it AFS id 4 for afs@le.infn.it

8 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 8 Perchè Esistenza di varie celle in produzione – pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it Previsione di nuove celle – roma1.infn.it – tier1.infn.it ????? Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle Interesse già evidenziato da parte di LNF OpenAFS & MIT – Integrato supporto per Kerberos5 in OpenAFS > 1.2.8 – Integrato codice per supporto di AFS in Kerberos MIT 1.3 ALMOST RECYCLED SLIDE

9 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 9 Le prime prove effettuate 1/3 Lavoro iniziato in aprile 2003 – ~ 2 settimane-uomo Layout di test basato su – Kerberos v5 MIT 1.2.7 – OpenAFS 1.2.8 – Linux RedHat 7.3 (8.0 a Pisa) – Kernel 2.4.18-7x Ricompilati i pacchetti a partire da.src.rpm

10 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 10 Le prime prove effettuate 2/3 Definito dominio – configurato BIND Generato REALM Kerberos5 – configurato il master KDC – supporto per AFS Generata cella AFS krb5test.infn.it le.krb5test.infn.it lnf.krb5test.infn.it pi.krb5test.inf.nit cnaf.krb5test.infn.it

11 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 11 Le prime prove effettuate 3/3 Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs – le, lnf, pi, cnaf Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it) Definito le entries per la cross cell AFS authentication Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it)

12 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 12 EUREKA ! Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo. Problemi con le altre celle (ma probabilmente legati ad errori di configurazione) le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…)

13 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 13 Cosa abbiamo verificato/imparato La cross realm authentication in Kerberos5 continua a funzionare bene – circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs

14 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 14 Le prove da fare subito Ripetere tutto con hardware più affidabile/nuovo – krb5test.infn.it è su un AMD K6@300MHz con ben 28MB di RAM e disco da 3GB Rendere riproducibili i risultati sulla cross authentication di celle AFS

15 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 15 … e poi? Kerbeos v5 REALM INFN.IT – cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF AFS cross cell authentication tra le varie celle locali basate su Kerberos5 Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti

16 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 16 Kerberos in [xx.]INFN.IT ed oltre Servizi kerberizzati – mail (smtp, imap) print, telnet, ecc. – Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server Cross realm authentication con HEP – FNAL.GOV è “pronto” (HEPiX autumn 2002) – DESY.DE inizia a lavorarci (HEPiX spring 2003) – INFN.IT report/proposal (HEPiX autumn 2003?)

17 Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 17 Conclusioni OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4) Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni: – per le celle AFS, potrà : garantire sharing di risorse tra celle locali permettere management locale alleggerire il management della cella infn.it

Scaricare ppt "AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003."

Presentazioni simili

Status report Enrico M.V. Fasanelli

Status report Enrico M.V. Fasanelli
E.M.V. Fasanelli & S. Arezzini

E.M.V. Fasanelli & S. Arezzini
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.

Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.

Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
389 Directory Server Dael Maselli.

389 Directory Server Dael Maselli.
Test sul Cisco VPN Concentrator

Test sul Cisco VPN Concentrator
Un servizio di autenticazione per sistemi di rete aperti

Un servizio di autenticazione per sistemi di rete aperti
Protocollo di autenticazione KERBEROS

Protocollo di autenticazione KERBEROS
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.

Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Execution benchmarks Obiettivi Test dettagliati e ben caratterizzati Esecuzione di benchmark standard Test di applicazioni dell'esperimento ALICE 20 Novembre.

Execution benchmarks Obiettivi Test dettagliati e ben caratterizzati Esecuzione di benchmark standard Test di applicazioni dell'esperimento ALICE 20 Novembre.
5 Feb 2002Stefano Belforte – INFN Trieste calcolo per CDF in Italia1 Calcolo per CDF in Italia Prime idee per lanalisi di CDF al CNAF Numeri utili e concetti.

5 Feb 2002Stefano Belforte – INFN Trieste calcolo per CDF in Italia1 Calcolo per CDF in Italia Prime idee per lanalisi di CDF al CNAF Numeri utili e concetti.
Fabrizio Grossi. 4.4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività

Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Alessia Tricomi Università & INFN Catania

Alessia Tricomi Università & INFN Catania
Istituto Nazionale di Fisica Nucleare AFS: status report per CCR 2005- R.Gomezel AFS Support Group 1 Status Report CCR 2005 Roberto Gomezel INFN-Trieste.

Istituto Nazionale di Fisica Nucleare AFS: status report per CCR R.Gomezel AFS Support Group 1 Status Report CCR 2005 Roberto Gomezel INFN-Trieste.
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.

report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.

Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.

Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, 20-21 Ottobre 2005.

Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, Ottobre 2005.
AFS Working Group R.Gomezel CCRWS2006 - Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.

AFS Working Group R.Gomezel CCRWS Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.

Presentazioni simili

Annunci Google