La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Accesso alla rete dei LNF (wireless & wired) Presentazione: Massimo Pistoni Servizio di Calcolo.

Presentazioni simili


Presentazione sul tema: "Accesso alla rete dei LNF (wireless & wired) Presentazione: Massimo Pistoni Servizio di Calcolo."— Transcript della presentazione:

1 Accesso alla rete dei LNF (wireless & wired) Presentazione: Massimo Pistoni Servizio di Calcolo

2 6 marzo 2007Accesso al network dei LNF2 Agenda Ore 14:20: Nuovi metodi daccesso alla rete Ore 15:10: Dimostrazione pratica Ore 15:30: Applicazione per la gestione degli ospiti Ore 15:50: Modulo web per la registrazione alle conferenze e integrazione con In.Di.Co Ore 16:00: Dimostrazione pratica

3 6 marzo 2007Accesso al network dei LNF3 Premessa Il numero dei dipendenti (o associati) dellINFN che ogni giorno si trovano a dover lavorare in una sede diversa dalla propria è in continua crescita. Anche il numero di ospiti occasionali (non INFN) che hanno necessita di utilizzare linfrastruttura di networking dellINFN e aumentato molto –Collaborazioni, meetings, seminari, workshop, conferenze, etc.

4 6 marzo 2007Accesso al network dei LNF4 Legge antiterrorismo Il 16 agosto 2005, il Ministero dellInterno ha emanato un Decreto che specifica le misure per contrastare il terrorismo internazionale, focalizzandosi sullidentificazione degli utenti che accedono alle reti da postazioni telematiche non vigilate oppure ai quali viene offerta la possibilità di connettersi alla rete Internet attraverso una tecnologia wireless.

5 6 marzo 2007Accesso al network dei LNF5 TRIP (The Roaming INFN Physicist) Working Group CCR per lo studio dei problemi di connettivita e mobilita –utilizzare i servizi della Struttura ospitante (ad es. le stampanti) –collegarsi alla rete locale e utilizzare da remoto i servizi della struttura di appartenenza; In entrambi i casi e necessario fornire le credenziali per autenticarsi ed essere autorizzati alluso delle infrastrutture (AAI)

6 6 marzo 2007Accesso al network dei LNF6 Access Point 200Mbps Verso il GARR Utenti interni RADIUS Server DHCP Server VLAN Pubblica Infrastruttura attuale

7 6 marzo 2007Accesso al network dei LNF7 Access Point 200Mbps Verso il GARR VLAN SSID: INFN-Web Utenti interni Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN SSID: INFN-dot1x Futura Web captive portal

8 6 marzo 2007Accesso al network dei LNF8 2 vie di accesso WL 1.VLAN dedicata agli utenti Wireless INFN: –SSID (annunciato):INFN-dot1x –Network Authentication: WPA Wi-Fi Protected Access –Data Encription: TKIP Temporary Key Integrity Protocol 2.VLAN per gli ospiti occasionali: –SSID (annunciato):INFN-Web –Network Authentication: none –Data Encription: none

9 6 marzo 2007Accesso al network dei LNF9 Metodo 1 Utile per connettersi alla rete wireless dei LNF da parte di: –utenti wireless LNF –volendo anche da utenti INFN (non LNF) Utile per gli utenti LNF per connettersi alla rete wireless di altre sedi INFN

10 6 marzo 2007Accesso al network dei LNF10 Metodo 2 Utile per connettersi alla rete (wired e wireless) dei LNF da parte di: –ospiti occasionali o temporanei –utenti INFN (non LNF) Utilizzabile dagli utenti LNF in altre sedi INFN

11 6 marzo 2007Accesso al network dei LNF11 Metodo 1 SSID (annunciato):INFN-dot1x Network Authentication:WPA Data Encription:TKIP

12 6 marzo 2007Accesso al network dei LNF12 Autenticazione 802.1x WPA richiede lautenticazione attraverso il protocollo standard IEEE 802.1x che usa EAP (Extensible Authentication Protocol) su LAN sia wired che wireless Lo standard 802.1x non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, per questo una delle sue caratteristiche fondamentali è la versatilità.

13 6 marzo 2007Accesso al network dei LNF13 Metodi di autenticazione 802.1x TLS (Transport Layer Security) –Nativo Windows XP e MacOSX –Autenticazione tramite certificato X.509 –Certificato non proteggibile sul client Windows XP –Praticamente non implementabile su Linux TTLS (Tunnelled Transport Layer Security): –Autenticazione tramite username e password –Nativo in MAC OSX (versione >= 10.4) –Non e nativo in Windows XP –Praticamente non implementabile su Linux

14 6 marzo 2007Accesso al network dei LNF14 Scelto TTLS Necessaria linstallazione di un client free su Windows XP –Alfa & Ariss: Secure W2 Linux non e supportato –Funziona solo con una particolare scheda WL Intel –Funziona solo con un particolare driver per quella scheda Autenticazione attraverso Server RADIUS (Remote Access Dial-In User Service) usando: –Realm, Username e password –Es: LNF.INFN.IT, pistoni,

15 6 marzo 2007Accesso al network dei LNF x schema

16 6 marzo 2007Accesso al network dei LNF16 200Mbps Verso il GARR VLAN INFN-Web Utenti interni Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN INFN-dot1x WL net 802.1x EAP/TTLS Proxy RADIUS Supplicant WPA TKIP IP settings

17 6 marzo 2007Accesso al network dei LNF17 Metodo 2 SSID (annunciato):INFN-Web Network Authentication:none Data Encription:none

18 6 marzo 2007Accesso al network dei LNF18 Open network Definendo l SSID INFN-Web, la scheda di rete wireless viene associata alla network open non cifrata dedicata agli ospiti occasionali (VLAN INFN-Web) Automaticamente vengono assegnate da un DHCP tutte le impostazioni IP, sulla network privata x/24

19 6 marzo 2007Accesso al network dei LNF19 VLAN INFN-Web (wired) Nella stessa VLAN INFN-Web verrano necessariamente mappati: –i nodi di rete wired il cui MAC Address e sconosciuto al Servizio di Calcolo (VLAN di fall back del VMPS) –I PC della sala utenti dedicata ai seminari e ai workshop AE T73 (vicina allaula Touschek) –I PC della biblioteca –I PC dellAula didattica Master A regime i PC delle altre sale utenti saranno utilizzabili esclusivamente dagli utenti interni

20 6 marzo 2007Accesso al network dei LNF20 Captive Portal: TINO Di fatto pero tutta la VLAN INFN-Web e dietro ad un Captive Portal che funge da gateway verso la rete pubblica –DHCP server –Firewall –DNAT –Web Server –Authentication via Radius –SNAT

21 6 marzo 2007Accesso al network dei LNF21 200Mbps Verso il GARR VLAN INFN-Web Utenti interni Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) RADIUS Server DHCP Server VLAN INFN-dot1x Net Open: INFN-Web Proxy RADIUS client IP settings Richiesta www Richiesta www (ssl) Autenticazione

22 6 marzo 2007Accesso al network dei LNF22 VPN Dalla VLAN INFN-Web e sempre consigliabile connettersi alla propria sede tramite un VPN concentrator che preveda la cifratura del traffico (GRE, SSL o IPSEC) Il traffico della VLAN INFN-Web non e cifrato ne protetto; specialmente quello wireless e facilmente catturabile

23 6 marzo 2007Accesso al network dei LNF23 Access Point 200Mbps Verso il GARR VLAN INFN-Web Switched LAN Interfaccia del router 3/ /28 Interfaccia Inside Server /29 Eth0 3T/2 Interfaccia Outside Server /24 Eth1 3T/1 – swcalc1 9/46 Router Server con TINO e DHCP relay (IP Forwarding, NAT, Iptables) VPN Concentrator Server VLAN INFN-dot1x Sede Connessione VPN: IPSEC o SSL o GRE Traffico in chiaro

24 6 marzo 2007Accesso al network dei LNF24 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non gestiti localmente – –lnf.infn.it –LNF.INFN.IT –K5.LNF.INFN.IT

25 6 marzo 2007Accesso al network dei LNF25 RADIUS (schema)

26 6 marzo 2007Accesso al network dei LNF26 Radius To Infrastruttura RADIUS INFN Radius centrale Radius Bo Radius CNAF Radius Fi Radius Ge Radius Le Radius LNF Radius LNL Radius LNS Radius MiB Radius Pv Radius Pi Radius Roma1 Radius altre sedi al 12 dicembre 2006 Tutto dovrebbe essere Pronto entro i primi mesi del 2007 EDU Roam INFN Radius Fe

27 6 marzo 2007Accesso al network dei LNF27 (WinKrb5/ LDAP) passwd/ shadow AFS Kerberos4 Active Directory Autenticazione ai LNF PKI X.509 DB MySQL Kerberos5 DB Oracle Unix PAM Windows Domain VPN Concentrator Sistema Informativo Web applications

28 6 marzo 2007Accesso al network dei LNF28 PAM Autenticazione Radius ai LNF PKI X.509 Flat files Kerberos5 Radius Server AFS Kerberos4 Accesso alla rete VPN Concentrator Ospiti Utenti

29 6 marzo 2007Accesso al network dei LNF29 Autenticazione ai LNF (futura) (WinKrb5/ LDAP) passwd/ shadow AFS Kerberos4 Active Directory PKI X.509 DB MySQL Kerberos5 AFS Kerberos5 PKI X.509 Radius ServerLDAP Server Accesso alla rete / VPN Concentrator Sistemi / applicazioni Windows Domain Unix PAM Web Applications

30 6 marzo 2007Accesso al network dei LNF30 Server RADIUS Per lautenticazione il Radius server dei LNF a sua volta puo usare: –EAP / TLS (tramite certificato digitale) –File locale (users file) –O delegare: Kerberos 5 PAM AFS/Kerberos 4

31 6 marzo 2007Accesso al network dei LNF31 root Auth-Type := Reject # DEFAULT Auth-Type := Reject, EAP-Type == EAP-TLS #DEFAULTAuth-Type = EAP, Prefix =~ " " # DEFAULTAuth-Type = PAM, Suffix =~ DEFAULTAuth-Type = PAM, Suffix =~ DEFAULTAuth-Type = Kerberos, Suffix =~ DEFAULTAuth-Type := Reject, Suffix Suffix DEFAULTAuth-Type := Reject, Client-IP-Address == " ", Suffix =~ DEFAULTAuth-Type = PAM, Prefix !~ "\\." DEFAULTAuth-Type = PAM, Client-IP-Address != " " $INCLUDEusers.guests FreeRadius config file: users VPN ConcentratorWeb Captive Portal

32 6 marzo 2007Accesso al network dei LNF32 FreeRadius crontab #!/bin/bash #! cp -p /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav /usr/bin/wget \ -o /tmp/GOsync.log \ --output-document=/usr/custom/freeradius/etc/raddb/users.guests \ --no-check-certificate \ --no-proxy \ --post-data='USER=lnf&PASS= ' \ https://sisinfo2.lnf.infn.it:8443/GOWebApp/GetAccessService if [ $? != 0 ]; then echo -e "\nError doing WGET!!!\n" cat /tmp/GOsync.log exit 1 else chown radiusd:radiusd /usr/custom/freeradius/etc/raddb/users.guests diff -q /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav > /dev/null if [ $? != 0 ]; then /etc/init.d/radiusd restart >> /tmp/GOsync.log 2>&1 if [ $? != 0 ]; then echo -e "\nError restarting RADIUSD!!!\n" cat /tmp/GOsync.log exit 1 fi A crontab sul radius server ogni minuti: ( Esempio: */10 * * * * /usr/custom/bin/GOsync.sh ) (wget versione )

33 6 marzo 2007Accesso al network dei LNF33 # # File degli utenti ospiti occasionali: users.guests # Generato automaticamente dalla web application GOWebApp # by Bisegni Claudio & Passarelli Antonino # claudio.bisegniUser-Password == asgphs7k" antonino.passarelliUser-Password == yus12ghw FreeRadius config file: users.guests Si ottiene il file users.guests del tipo

34 6 marzo 2007Accesso al network dei LNF34 Credenziali Con le stesse credenziali (Kerberos/AFS) gia in dotazione agli utenti LNF, del si ottiene: laccesso ai servizi di rete attraverso il Web Captive Portal (Tino) laccesso ai servizi di rete 802.1x (SSID: INFN-dot1x) laccesso in VPN (rete privata virtuale) alla rete dei LNF

35 6 marzo 2007Accesso al network dei LNF35 Matrice di autenticazione Si (Deprecato) Si Si (non INFN) No

36 6 marzo 2007Accesso al network dei LNF36 Documentazione Accesso alla rete wired Accesso alla rete tramite il captive portal (Tino) [comunicazione non cifrata] –Doc lingua inglese –Doc lingua italiana Accesso alla rete wireless interna (doc lingua italiana) tramite 802.1x [comunicazione cifrata] –piattaforma Windows XP (ENG) SP1 –piattaforma Windows XP (ITA) SP2 –piattaforma Apple MAC OSX (ENG)

37 6 marzo 2007Accesso al network dei LNF37 Aspetti legali Un working group della CCR di nome Harmony ha preparato dei documenti che sintetizzano le norme di uso dei mezzi informatici nel rispetto delle leggi, sia per i sistemisti che per gli utenti Non esiste riferimento al progetto TRIP e alla legge antiterrorismo

38 6 marzo 2007Accesso al network dei LNF38 Legge antiterrorismo La legge antiterrorismo impone la rintracciabilita e lidentificazione degli utenti che accedono alle reti e limmagazzinamento dei documenti personali di riconoscimento scannerizzati e digitalizzati Cambiera il criterio di creazione delle username sui sistemi centrali –Dipendenti, associati, borsisti, etc –Persone conosciute agli atti della Direzione

39 6 marzo 2007Accesso al network dei LNF39 Log degli accessi Serve necessariamente larchiviazione e il salvataggio a lungo periodo dei log: –Log di accesso ai sistemi –Log di accesso al network –log di autenticazione e di autorizzazione RADIUS –Log del Web Captive Portal

40 6 marzo 2007Accesso al network dei LNF40 Database degli ospiti E stato opportunamente costruito un DB (Oracle) di nome GO: –Installato centralmente ai LNF sulle macchine del Sistema Informativo –Ad uso nazionale per tutto lINFN per contenere –Tutti gli ospiti, le relative generalita e i relativi documenti personali scannerizzati e digitalizzati –Le istituzioni di appartenenza –relativi diritti di accesso differenziati per sede INFN Accessibile via rete con applicazione Java a 3 livelli elaborata da C. Bisegni e A. Passarelli

41 6 marzo 2007Accesso al network dei LNF41 Data dellimplementazione 9 marzo 2007 Proposte e/o domande?

42 6 marzo 2007Accesso al network dei LNF42 Fine prima parte Prevista Demo

43 Gestione Ospiti Presentazione: Claudio Bisegni Servizio di Calcolo

44 6 marzo 2007Accesso al network dei LNF44 Applicazione Gestione Ospiti Molto user friendly e rivolta al personale di segreteria per la ricerca e linserimento di nuove istituzioni, di nuovi ospiti, di nuovi accessi nel DB. Lapplicazione genera automaticamente la username e la password con cui lospite potra accedere ai servizi di rete Crea automatica la Guest Card con gli estremi per il collegamento

45 6 marzo 2007Accesso al network dei LNF45 Sincronizzazione con RADIUS Il Radius Server effettua la sincronizza- zione del suo users file delle autentica- zioni con i dati inseriti nel DB GO Una volta modificata unautorizzazione di accesso per un dato ospite nel DB GO, tale informazione sara propagata e operativa (per laccesso alla rete) entro 10 minuti massimi

46 6 marzo 2007Accesso al network dei LNF46 Conferenze, workshop, seminari,... Tuttavia e consigliabile prepararsi con anticipo il lavoro, in occasione di conferenze con grande affluenza di partecipanti ospiti Potrebbe essere di grande aiuto una eventuale form web di registrazione per levento, in cui venga richiesto lupload del documento di identita scannerizzato e digitalizzato su file, in formato jpeg.

47 6 marzo 2007Accesso al network dei LNF47 Interfaccia Utente LoginCreazione Istituzione

48 6 marzo 2007Accesso al network dei LNF48 Interfaccia Utente Ricerca Anagrafica E Accessi

49 6 marzo 2007Accesso al network dei LNF49 Interfaccia Utente Inserimento / Modifica Anagrafica ospite

50 6 marzo 2007Accesso al network dei LNF50 Interfaccia Utente Inserimento / Modifica Anagrafica ospite

51 6 marzo 2007Accesso al network dei LNF51 Interfaccia Utente Inserimento / Modifica Anagrafica ospite

52 6 marzo 2007Accesso al network dei LNF52 Requisiti Client Java Runtime Tecnologia lato server J2EE (Oracle AS, Tomcat, etc.) Oracle DB Server 10G

53 6 marzo 2007Accesso al network dei LNF53 URL o Java starter Lapplicazione e accessibile alla URL: https://sisinfo2.lnf.infn.it:8443/GOWebApp/ Oppure copiando sul desktop il java starter reperibile a: https://sisinfo2.lnf.infn.it:8443/GOWebApp/GOApp.jnlp E lanciandolo con un doppio click

54 6 marzo 2007Accesso al network dei LNF54 Conferenze, workshop, seminari,... Per tali circostanze e stata realizzata una pagina JSP (Java Server Page), che permette di registrare un accesso per un ospite sia nuovo che gia presente nel db degli ospiti. Link Pagina: https://sisinfo2.lnf.infn.it:8443/GOWebApp/InsertOspite.jsp

55 6 marzo 2007Accesso al network dei LNF55 Parametri JSP CONF=CCR (nome conferenza) ID_UTENTE=8 (identificativo di un utente della sede della conf.) CONF_INIZIO= (data inizio conferenza) CONF_FINE= (data fine conferenza) FORMATO_DATA=dd-MM-yyyy (il formato deve contenere dd,MM e yyyy, in ogni combinazione dei tre token. I separatori possono essere ogni carattere es: yyyy-dd-MM) LANGUAGE=en (o it, linquaggio della form)

56 6 marzo 2007Accesso al network dei LNF56 Parametri JSP (dati del visitatore) NOME=Mario COGNOME=De Rossi DATA_NASCITA= DOC_TIPO=Carta didentita DOC_RILASCIATO_DA=Comune di Roma DOC_NUMERO=ABX11601 DOC_SCADENZA=

57 6 marzo 2007Accesso al network dei LNF57 Parametri JSP Link pagina: https://sisinfo2.lnf.infn.it:8443/GOWebApp/InsertOspite.j sp?CONF=CCR&ID_UTENTE=8&CONF_INIZIO= &CONF_FINE= &FORMATO_DATA=dd- MM-yyyy https://sisinfo2.lnf.infn.it:8443/GOWebApp/InsertOspite.j sp?CONF=CCR&ID_UTENTE=8&CONF_INIZIO= &CONF_FINE= &FORMATO_DATA=dd- MM-yyyy Il link sopra riportato visualizzerà la form di creazione del nuovo ospite per la conferenza CCR dal al Lospite non dovrà far altro che inserire nella form i campi richiesti ( , Nome, Congome, data di nascita, tipo documento, rilasciato da, numero documento, scadenza immagine) Il campo ID_UTENTE individua lutente che inserisce il visitatore e il relativo accesso nel DB. Determina la sede INFN per la quale il visitatore ha laccesso abilitato.

58 6 marzo 2007Accesso al network dei LNF58 Parametri JSP Il campo E_MAIL e un campo univoco di ricerca nel DB. Se gia esiste un visitatore con tale verra solo aggiunto un accesso per il periodo della conferenza. Altrimenti verranno richieste tutte le generalita. Anche i seguenti 3 campi: –NOME (nome ospite) –COGNOME (cognome ospite) –DATA_NASCITA (data di nascita ospite) Svolgono la stessa funzione di ricerca. Nel caso siano passati anche questi tre parametri, se nel db esite un ospite con quelle credenziali, verrà automaticamente salvato il nuovo accesso senza chiedere ulteriori informazioni. Nel caso contrario verrannno richieste tutte le generalità.

59 6 marzo 2007Accesso al network dei LNF59 Integrazione con Indico E stato aggiunto un Javascript in un include file di Indico. Funziona solo per le conferenze Occorre creare la conferenza con l'accortezza di scrivere nel PLACE, un tag html/Javascript che contiene l'ID dell'utente a carico del quale verranno effettuate le registrazioni, esattamente nel formato: Place var ID_UTENTE=xxx; Ove xxx e' l'ID dell'utente della sede organizzatrice della conferenza (ovvero quella con il radius server delegato all'autenticazione).

60 6 marzo 2007Accesso al network dei LNF60 Integrazione con Indico (2) Il visitatore, dopo essersi regolarmente registrato alla conferenza, trovera un pulsante con cui potra richiedere laccesso allutilizzo del network per il periodo della conferenza. Con precisione verra abilitato laccesso a partire da 7 giorni prima dellinizio, fino a 7 giorni dopo la fine della conferenza In alternativa puo essere abilitata la sezione accomodation nel modulo di registrazione; in tal caso verranno utilizzate puntualmente le date di arrivo e partenza dichiarate dal visitatore.

61 6 marzo 2007Accesso al network dei LNF61 Integrazione con Indico (DOC) Documentazione: https://sisinfo2.lnf.infn.it:8443/GOWebApp/ https://sisinfo2.lnf.infn.it:8443/GOWebApp/Help/ InserimentoWeb.htm

62 6 marzo 2007Accesso al network dei LNF62 Proposte e/o domande? Prevista Demo


Scaricare ppt "Accesso alla rete dei LNF (wireless & wired) Presentazione: Massimo Pistoni Servizio di Calcolo."

Presentazioni simili


Annunci Google