AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012

Perché INFN-AAI Plus? Scatole cinesi (!) Visto che non siamo in grado di completare il lavoro per INFN-AAI, ci inventiamo una sua evoluzione, diciamo INFN-AAI Plus che è molto più complessa e che richiede quindi un sacco di risorse in più (così nessuno ci può dire che non siamo capaci a completare INFN-AAI) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus2

Perché INFN-AAI Plus? INFN-AAI Authentication and Authorization Infrastructure INFN-AAI Plus INFN-AAI con in aggiunta un pezzo senza il quale non è possibile mettere in piedi una AAI: IAM (Identity and Access Management) INFN-AAI Plus = INFN-AAI + IAM CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus3

IAM: The big Picture AAI: solo il 20% dell’impegno totale IAM: pesa per circa l’80% del totale del progetto CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus4

Il “peso” di IAM Ma se la “parte aggiunta” ad INFN-AAI è così corposa, perché non tralasciarla? Rilievo della commissione di referee al CDR di INFN-AAI Soddisfare (più facilmente) alcune politiche di acccesso (che sono anche misure richieste dal DL 196/2003) Assegnazione univoca degli userID Disabilitazione account CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus5

INFN-AAI Plus GODiVA INFN-AAI CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus6

GODiVA Lady Godiva (in inglese arcaico Godgifu, "god gift”) era una nobildonna anglosassone moglie del conte Leofrico di Coventry che, secondo una leggenda, cavalcò nuda per le vie di Coventry per ottenere la soppressione di un ulteriore tributo imposto da suo marito ai propri sudditi. (cfr. Wikipedia) Gestione Ospiti Dipendenti Visitatori ed Associati Evoluzione di GOapp, sviluppata da Claudio Bisegni ed Antonino Passarelli per la gestione dei Visitatori (usata in alcune sezioni per ottemperare alle richieste del decreto Pisanu sulla “tracciabilità” degli accessi in rete) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus7

Il logo di GODiVA È un dipinto di Lady Godiva diJohn Collier (1898 ca).John Collier (1898 ca). Non è più nelle pagine ufficiali perché è stato contestato l’utilizzo di un nudo di donna (tralasciando il fatto che si tratta di un’opera d’arte) Ho provato a riprendere la questione, ma Marco Paganoni non ne vuole sapere… CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus8

Anatomia di GODiVA GODiVA-DB GODiVA-Engine GODiVA-API GODiVA-Security GODiVA-Jobs GODiVA-UI CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus9

Anatomia di GODiVA GODiVA-DB DataBase relazionale (Oracle in configurazione RAC) contenente le informazioni relative alle Identità, ai Ruoli (legati all’organigramma dell’INFN) ed ai servizi CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus10

Anatomia di GODiVA GODiVA-Engine Applicazione Java che gira in un Application Server Apache Tomcat (in realtà è un cluster di Application Server) È l’unico punto di accesso al GODiVA-DB È l’unico mezzo utilizzabile per scrivere nei server LDAP di INFN-AAI CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus11

Anatomia di GODiVA GODiVA-API Set di API attraverso le quali è possibile accedere alle funzionalità di GODiVA-Engine anche al di fuori di GODiVA-UI Accessibili via SOAP WebApp Utilizzate dalle varie “istanze” di protoAAI (protoserv2, …………….) per l’accesso ai rami LDAP differenti da OU=people,DC=infn,DC=it CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus12

Anatomia di GODiVA GODiVA-Security La parte di GODiVA che gestisce i privilegi e quindi i diritti di accesso alle funzioni di GODiVA stessa Utilizza gli “entitlement” (diritti di accesso) posseduti dall’utente e memorizzati in un apposito attributo LDAP in INFN-AAI CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus13

Anatomia di GODiVA GODiVA-Jobs La parte di GODiVA che esegue le operazioni di modifica di stato delle identità registrando il nuovo stato sia nel GODiVA-DB che nel Directory Server di INFN-AAI Cron-like Jobs At-like Jobs Triggered Jobs CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus14

Anatomia di GODiVA GODiVA-UI per accesso a GODiVA-Engine GUI Java CLI scritta in C/C++ CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus15

GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica dei Dipendenti presa dal modulo HR del Sistema Informativo Dipendenti (a tempo determinato o indeterminato) Borsisti Assegnisti CoCo(Co,Pro) ai sensi dell’Art CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus16

GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica degli Associati gestita direttamente nel GODiVA-DB (via apposite API) dai sistemi di gestione delle associazioni di DataWeb Dati forniti al DB del Sistema Informativo CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus17

GODiVA & Anagrafiche Gestione Ospiti Dipendenti Visitatori ed Associati Anagrafica di Ospiti e Visitatori gestita direttamente in GODiVA Via GUI Java: Interfaccia utente simile a quella di GOapp Via Java applet (per l’auto-registrazione) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus18

GODiVA Blocks CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus19

Le componenti di INFN-AAI Autenticazione Kerberos5 Username/Password Certificati X.509 Autorizzazione Attributi memorizzati in Directory Server e forniti via LDAP CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus20

Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, …) Estensione della infrastruttura esistente con un REALM Kerberos5 per ogni sede Pool di Slave-KDC (un paio per ogni REALM) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus21

Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, …) Estensione della infrastruttura esistente con un REALM Kerberos5 per ogni sede Pool di Slave-KDC (un paio per ogni REALM) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus22 OBSOLETA

Autenticazione Kerberos5 Infrastruttura esistente Tre KDC di INFN.IT (cella nazionale AFS) Struttura di KDC presenti nelle sedi (LE, BA, LNF, PI, LNGS, MI, …) Possibilità di utilizzo del REALM INFN.IT per tutte le sedi Pool di Slave-KDC (un paio per ogni REALM) CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus23

Autenticazione Username/Password Per compatibilità con i sistemi di autenticazione in uso in molte sedi (Username/Password Unix) Per facilitare la migrazione ad INFN-AAI (Unix  Kerberos5) Per rendere utilizzabile INFN-AAI anche da client non kerberizzabili (es. internet cafè) Utilizza anche Username/Password Kerberos5 via plug-in ad hoc di 389-DS CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus24

Autenticazione X.509 Utilizzo di certificati X.509 rilasciati da INFN-CA Altre Certification Authorities Terena TCS Service CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus25

Autorizzazione Non tutti i client sono in grado di demandare il processo relativo all’Autorizzazione ad una entità esterna INFN-AAI fornisce via LDAP gli attributi che possono essere usati da un client per poi effettuare internamente il processo di autorizzazione direttamente gli attributi autorizzativi, per le applicazioni che sono in grado si utilizzarli CNAF marzo 2012AAI & AAI Plus - Enrico M. V. Fasanelli -Tutorial AAI Plus26

F I N E AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus