INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus 26-30 Marzo 2012.

Slides:



Advertisements
Presentazioni simili
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Advertisements

Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
Configuring Network Access
| | Microsoft Certificate Lifecycle Manager.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
SEVER RAS.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
Il Client Windows98 Client nel dominio Windows 2000.
389 Directory Server Dael Maselli.
Autenticazione. Definizione L'autenticazione è il processo attraverso il quale è verificata l'identità di un computer o di una rete: è il sistema che.
Test sul Cisco VPN Concentrator
Protocollo di autenticazione KERBEROS
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Il problema Phishing, furto di identità…per non parlare delle password statiche. Necessità di forzare ad un accesso sicuro i dipendenti per l’accesso alle.
> Remote Authentication Dial In User Service
Ottobre 2006 – Pag. 1
Registrazione Per accedere al portale e gestire i dati della propria Istituzione Scolastica, Ente o Associazione, ogni utente deve necessariamente compilare.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 3 - Autenticazione e controllo di accesso Alberto Bosio AICA © 2005.
Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.
Un problema importante
Configurazione di una rete Windows
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
Architettura dei Servizi di Directory Università Cattolica del Sacro Cuore - Sede di Brescia - Facoltà di Scienze Matematiche Fisiche e Naturali Corso.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Analisi e sperimentazione di una Certification Authority
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Provincia di Brescia Area Sviluppo Economico Settore Lavoro.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2015.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
“tutorial” sul dispiegamento di INFN-AAI Workshop CCR LNS Silvia Arezzini Massimo Pistoni Roberto Lulli.
INFN-AAI stato e prospettive Workshop CCR La Biodola Isola d’Elba 17 maggio 2016 Silvia Arezzini (per il gruppo aai-wg) 1.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Identità Digitali Rappresentanti del personale in assemblea a ROMA 9/10 giugno 2015 Daniela, Enrico e Silvia.
F.Murtas 12 Febbraio DB per l'identity management INFN Anagrafica Scientifica Articolazione Strutture e Ruoli DataWeb.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
INFN-AAI per il Servizio Sistema Informativo Dael Maselli Frascati, 10/07/2012 Riunione plenaria del Servizio Sistema Informativo.
INFN-AAI Autenticazione e Autorizzazione
Dael Maselli Tutorial INFN-AAI
INFN-AAI Autenticazione e Autorizzazione
Transcript della presentazione:

INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012

Autenticazione & Autorizzazione Sono due processi distinti Spesso vengono confusi per l’abitudine (ormai desueta) di non gestirli separatamente Abbreviazioni: AuthN (Authentication) AuthZ (Authorization) 2INFN-AAI - Dael Maselli

Autenticazione il processo tramite il quale un computer, un software o un utente, verifica l’identità di un altro computer, software o utente I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a: qualcosa che è (sistemi biometrici) qualcosa che ha (smart card, token, badge) qualcosa che conosce (password) 3INFN-AAI - Dael Maselli

STRONG: Kerberos5 Native L’utente che ha a disposizione un principal Kerberos su un realm X.INFN.IT può autenticarsi presso le applicazioni che lo supportino Le richieste di accesso ai servizi avvengono tramite TGS e le credenziali dell’utente non vengono mai esposte al di fuori del proprio client Il mapping tra principal Kerberos e identità è garantito dall’attributo infnKerberosPrincipal nel DS Ogni sede INFN avrà il proprio Kerberos KDC associato al proprio realm SEDE.INFN.IT 4INFN-AAI - Dael Maselli

STRONG: Public Key (x509) Un utente che abbia un certificato x509 personale rilasciato da una CA riconosciuta può autenticarsi su un servizio che implementi tale protocollo L’autenticazione PKI non espone mai le credenziali al di fuori del client Il mapping del certificato con l’identità può essere effettuato sulla base dell’attributo mail presente nel Directory Server LDAP 5INFN-AAI - Dael Maselli

PLAIN: Username/Password Nelle situazioni in cui il servizio o il client non supportino nessuno dei metodi descritti è prevista la semplice autenticazione tramite username e password Assolutamente attraverso canale cifrato SSL/TLS L’autenticazione deve essere richiesta direttamente al server LDAP indicando come username il DN della entry relativa all’utente Il DS, attraverso uno specifico plug-in custom, verificherà la password tramite Kerberos 6INFN-AAI - Dael Maselli

PLAIN: One-Time Password È in beta test un meccanismo di autenticazione che permette di inserire una password temporanea al posto di quella Kerberos Utilizza il protocollo MOTP, il cui client è disponibile per quasi tutte le piattaforme mobile iPhone, Android, PalmOS, Nokia, Java, Windows Mobile 7INFN-AAI - Dael Maselli

Autorizzazione È il processo con il quale un sistema decide quali permessi un soggetto ha nei confronti di una risorsa Soggetto: utente, host o servizio L’autorizzazione avviene sulla base di determinate informazioni che il sistema conosce a proposito del soggetto In AAI le informazioni per l’autorizzazione risiedono nelle entry dei soggetti nel Directory Service LDAP 8INFN-AAI - Dael Maselli

Role-Based Access Control (RBAC) Il ruolo è una proprietà di un soggetto che ne rappresenta la funzione, l’ufficio o incarico i ruoli vengono assegnati in modo gerarchico Nel modello RBAC un soggetto può accedere a una risorsa solo se: il soggetto ha un determinato ruolo attivo tale ruolo è autorizzato ad accedere alla risorsa Nella nostra implementazione i ruoli sono presenti nel DS LDAP sotto forma di gruppi 9INFN-AAI - Dael Maselli

Entitlements Management I Un ulteriore modello di autorizzazione prevede che esista, tra le proprietà dell’utente, una specifica autorizzazione ad un processo di un servizio Tali informazioni sono chiamate Entitlements Specificano esattamente quali operazioni sono autorizzate e per quali servizi Nel DS sono presenti come stringhe nei valori dell’attributo eduPersonEntitlement nelle entry dei soggetti infn.it:IAM:gestioneAnagrafica:modifica:numeroTelefono 10INFN-AAI - Dael Maselli

Entitlements Management II Per gestire l’assegnazione degli entitlement INFN- AAI si serve del software IAM GODiVA GODiVA assegna automaticamente gli entitlement ai soggetti nel DS sulla base di Ruolo Dominio Identità (in deroga al modello RBAC!) 11INFN-AAI - Dael Maselli

F I N E INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.