INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.

Slides:



Advertisements
Presentazioni simili
Status report Enrico M.V. Fasanelli
Advertisements

E.M.V. Fasanelli & S. Arezzini
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Configuring Network Access
Connessione con MySQL.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Test sul Cisco VPN Concentrator
Wireless Authentication
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
AFS Working Group R.Gomezel CCRWS Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.
Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Sistemi di stampa Incontro con i Referenti 17 Novembre 2003 D. Bortolotti.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Attivita' Grid in BaBar Workshop sulle Problematiche di Calcolo e Reti nell'INFN Maggio 2004.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
CSN1 21 Giugno 2004 P. Morettini 1 Commissione Calcolo e Reti Ruolo e composizione della commissione I working groups I workshops Geant 4 Reti e potenziamento.
AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Internetworking V anno. Le soluzioni cloud per la progettazione di infrastrutture di rete.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
GODiVA lo IAM di INFN-AAI Claudio Bisegni Tutorial AAI-PLUS Dicembre’10 INFN-CNAF.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
Configurazione accessi WiFi INFN Workshop CCR ’ Maggio
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
Claudio Grandi Workshop CCR 2015 Claudio Grandi INFN Bologna.
CCR & formazione Silvia Arezzini Workshop CCR Rimini, 11 maggio 2007.
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
“tutorial” sul dispiegamento di INFN-AAI Workshop CCR LNS Silvia Arezzini Massimo Pistoni Roberto Lulli.
Riunione SICR 16/2/2015. Rete Intervento 6509 – Sostituzione scheda avvenuta con successo – Fase di configurazione nuova scheda – Spostamento link? Mercoledi.
INFN-AAI stato e prospettive Workshop CCR La Biodola Isola d’Elba 17 maggio 2016 Silvia Arezzini (per il gruppo aai-wg) 1.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
FORMAZIONE CCR ANNO 2016 Commissione Calcolo e Reti Trento 16 marzo 2016 Silvia Arezzini (per il gruppo di lavoro, composto anche da Luciano Gaido e Roberto.
Progetto iSCSI Report alla CCR 12-13/12/2006 Alessandro Tirel – Sezione di Trieste.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
LNGS, Workshop CCR 2008, Giugno Sondaggio Utenti INFN Valeria Ardizzone INFN Catania Ombretta Pinazza CNAF.
TRIP nell’era AAI CCR - 07/07/ Riccardo Veraldi - CCR.
TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS
P. Morettini. Organizzazione della CCR Le principali attività della CCR consistono da un lato nell’assegnazione di fondi per le infrastrutture di rete.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Gruppo di lavoro “Sistema Informativo Nazionale”: Report Attivita’ Silvia Arezzini Domenico Diacono Michele Gulmini Francesco Prelz CCR – Roma - 6 Ottobre.
F.Murtas 12 Febbraio DB per l'identity management INFN Anagrafica Scientifica Articolazione Strutture e Ruoli DataWeb.
Silvia Arezzini 2 luglio 2014 Consiglio di Sezione per Preventivi.
Calcolo – AAI – GRID Enrico M. V. Fasanelli Consiglio di Sezione - Lecce 7 luglio 2011.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto AAI Firenze maggio 2008

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 2 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 3 A&A nell’INFN Nell’ultimo anno sono state effettuate due indagini per il censimento dei sistemi di Autenticazione ed Autorizzazione in uso nelle sedi dell’INFN Due risultati “interessanti” Sono in uso nell’INFN praticamente tutti i possibili sistemi di AA Nell’ultimo anno c’è stato un aumento delle sedi che utilizzano LDAP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 4 Esempio: la posta elettronica Il sistema più “gettonato” è quello basato su file locali ai server, ma non mancano Kerberos, LDAP, NIS. C’è anche una sede che basa l’Autenticazione su Windows AD Sistemi di Autenticazione in uso nelle sedi INFN per l’accesso ai servizi di posta elettronica AUTENTICAZIONE

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 5 Esempio: la posta elettronica Come per l’Autenticazione, sono usati praticamente tutti i sistemi. Non presente nel grafico (ma implementato in alcune sedi) c’è l’autorizzazione basata su certificati X.509 (per l’uso dei server SMTP) Sistemi di Autorizzazione in uso nelle sedi INFN per l’accesso ai servizi di posta elettronica AUTORIZZAZIONE

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 6 Distribuzione dell’Autenticazione

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 7 Distribuzione dell’Autorizzazione

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 8 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 9 Anatomia della INFN-AAI Quali vincoli ci hanno portato a definire la struttura della INFN-AAI Autenticazione, Autorizzazione ed architetturali Le componenti “funzionali” della INFN-AAI Le “condizioni al contorno” che hanno influito sulla definizione dell’architettura.

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 10 Autenticazione: i vincoli (1) Kerberos5 È usato in circa un terzo delle sedi. È indispensabile per tutte le sedi che basano i propri servizi su OpenAFS Autenticazione Unix (hash MD5, SHA-1,…) Servizi di login, posta, web Informazioni distribuite via NIS, LDAP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 11 Autenticazione: i vincoli (2) Certificati X.509 Accesso a GRID Accesso ad applicazioni web (non solo locali) Accesso a server SMTP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 12 I servizi centralizzati (1) DataWeb Fornisce servizi via applicazioni Web, per le quali le due fasi di Autenticazione ed Autorizzazione sono gestite da un software home-made. List-server (SYMPA) Supporta autenticazione via certificati X.509 ed LDAP Supporta autorizzazione (per l’accesso e per la configurazione di mailing-list) via LDAP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 13 I servizi centralizzati (2) TRIP Basato su Proxy RADIUS. Il server RADIUS utilizzato, può demandare Autenticazione ed Autorizzazione ad un server LDAP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 14 Autorizzazione: vincoli? Di fatto tutte le applicazioni in uso nell’INFN possono usare LDAP per l’autorizzazione Ma le sedi che usano LDAP hanno scelto tutte configurazioni differenti Questo non è un problema, ma implica, per ognuna di queste sedi un impegnativo lavoro per l’implementazione definitiva.

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 15 Architettura: vincoli! “Autoconsistenza” in ogni sede Non dipendenza dalla connettività di rete Possibilità di “estendere” la AAI per esigenze locali (es. dipartimenti di fisica) Tutte le informazioni “vicino” ai servizi centralizzati. Accesso autenticato al sistema stesso (ACI) Fault-tolerant

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 16 Anatomia funzionale della INFN-AAI Autenticazione Kerberos, ma non solo… Autorizzazione LDAP

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 17 …non solo Kerberos… Oltre all’autenticazione attraverso Kerberos la INFN-AAI permetterà anche l’utilizzo di certificati X.509 e, in una prima fase transitoria, degli hash di password ereditati dal mondo Unix.

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 18 Anatomia di INFN-AAI: LDAP DC=INFN,DC=IT DC=LNF,… DC=LE,… DC=PI,… DC=NA,… DC=BA,… … 4 server di “core” Multi-Master DC=INFN,DC=IT DC=LNF,… DC=INFN,DC=IT … Server di “periferia”

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 19 Anatomia di INFN-AAI: Kerberos Xen KDC Farm LNF.INFN.IT LE.INFN.IT BA.INFN.IT PI.INFN.IT … XX.INFN.IT LNF.INFN.IT KDC LE.INFN.IT KDC … XX.INFN.IT KDC KDC periferici

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 20 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 21 Strategia di implementazione Due obiettivi: Permettere una implementazione graduale (fornire uno strumento utilizzabile da subito sia dai servizi centralizzati che dalle sedi man mano che esse “abbracceranno” la INFN-AAI) Migrazione il più “indolore” possibile per le sedi

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 22 Implementazione graduale L’architettura con “core” e “periferia” permette il dispiegamento della INFN-AAI in fasi successive. I servizi centralizzati potranno utilizzare la INFN-AAI non appena essa sarà popolata (anche con informazioni parziali prese da protoAAI) Le sedi avranno, una volta migrate, tutte le funzionalità della INFN-AAI a disposizione

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 23 Migrazione “indolore” Esistono strumenti consolidati che permettono il popolamento di un albero LDAP a partire da informazioni tipiche del mondo Unix (NIS o passwd file) È previsto il supporto per la “traduzione” delle informazioni delle sedi che usano LDAP Sarà possibile importare (in modo completamente trasparente per l’utente finale) le password Unix nei KDC Kerberos

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 24 Le sedi dell’INFN Buona parte delle sedi (circa una metà) avranno a disposizione uno strumento di installazione che permetterà loro di passare in pochi giorni alla INFN-AAI. A parte la configurazione di tutti i servizi locali Per le sedi che usano LDAP dovrà essere studiata una implementazione “ad sedem”. Per la configurazione dei servizi locali, in questi casi, basterà cambiare i server LDAP di riferimento

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 25 Personale (1) I membri del gruppo AAI-WG hanno acquisito notevole esperienza nel corso dell’ultimo anno È importante che il nucleo del futuro AAI-WG possa avvalersi di tali esperienze Sarà comunque necessario fornire supporto per le sedi Implementazione “ad sedem” per le sedi che usano LDAP Trasferimento di conoscenze a tutte le sedi Sarà necessario individuare e dedicare in modo esclusivo a tale attività, almeno 3 tecnici, oltre ad un gruppo di gestione del progetto, che costituirà il nucleo dell’AAI-WG

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 26 Personale (2) Per il primo anno di lavoro, sarà necessario che il gruppo AAI-WG sia formato da un nucleo di gestione formato da: 1FTE “staff” con funzioni di responsabile (eventualmente suddiviso su due persone) per il coordinamento delle attività 1FTE “staff” con riconosciute capacità tecniche che operi “alle dipendenze” dei coordinatori 1.2FTE “staff” tecnico (20% del tempo di 6 persone del gruppo AAI-WG) Un pool tecnico 3FTE (3 tecnici dedicati)

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 27 Milestones Il dispiegamento della INFN-AAI, potrà essere verificato in tre momenti:  -test ed R&D Fase pilota Fase di produzione All’interno della quale si potranno individuare anche un ulteriore paio di momenti di verifica

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 28 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 29 protoAAI (1) I servizi offerti da DataWeb si basano su autenticazione via CASSiO ed autorizzazione basata su un DB SQL "interno". I nuovi servizi che DataWeb si accinge a fornire (come ad esempio moodle, ma non solo) richiederebbero l'ausilio di una Directory LDAP. È stato implementato un Servizio di Directory quasi-conforme al modello INFN-AAI, per permettere una sostituzione “a caldo” protoAAI  INFN-AAI

Firenze Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 30 protoAAI (2) Differenze rispetto ad INFN-AAI 2 server di “core” (entrambi ai LNF) Autenticazione via LDAP Compatibilità con l’attuale sistema di Autenticazione basato su DB SQL

FINE

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.