INFN-AAI Autenticazione e Autorizzazione

Slides:



Advertisements
Presentazioni simili
Il Client Windows98 Client nel dominio Windows 2000.
Advertisements

389 Directory Server Dael Maselli.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2015.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2010.
INFN-AAI per il Servizio Sistema Informativo Dael Maselli Frascati, 10/07/2012 Riunione plenaria del Servizio Sistema Informativo.
+ Common actions Nicolò Sordoni. + Azioni comuni Esistono una serie di azioni di uso comune, che vengono messe a disposizione dalla piattaforma tramite.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
AAI & AAI Plus Enrico M. V. Fasanelli Mini WS AAI Roma Ottobre 2012.
Cassetto Previdenziale per Liberi Professionisti iscritti alla Gestione Separata Manuale Utente.
Virtual Private Networks
Aggiornamento del 29 Settembre 2011
Che fare: riunione spontanea Mercoledi' 26 giugno, ore 15:00-16:30
NAT, Firewall, Proxy Processi applicativi.
Arkoon Network Security 2010
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Gruppo Web Tools Dael Maselli (LNF) Commissione Calcolo e Reti
INFN-AAI Technical Design Report
Pronto.
Studio di metodologie e sviluppo di MiddleWare per interoperabilità
Gruppo WebTools CCR – 14 Marzo 2007 Dael Maselli.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Commissione Calcolo e Reti
Enrico M. V. Fasanelli CCR settembre 2016
Alcune risposte Enrico M.V. Fasanelli Silvia Arezzini, Dael Maselli
Meccanismi di caricamento e aggiornamento dei dati
Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010
Tutorial INFN-AAI Liv.2 Server LDAP
STRUMENTI E SVILUPPI S.INFORMATIVO AREA DEL PERSONALE
OCP: AA nel capitolato.
Gruppo WebTools Workshop CCR – 12 Giugno 2008 Dael Maselli – INFN LNF.
Riunione CCR – 29 Settembre 2008
INDICO Parte 1 01/07/2018 Francesco Serafini.
Credential gateway for WNODES.
Amministrazione dei servizi di stampa
Eurosoftware Integrazione GLS.
INFN-AAI Autenticazione e Autorizzazione
Workflow creazione account
Scenario mail in Ateneo
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Risultati analisi VA/PT Lisit 2008
Recupero polizze assicurative
Gruppo WebTools Workshop CCR – 12 Giugno 2008 Dael Maselli – INFN LNF.
Dael Maselli Tutorial INFN-AAI
Come abilitare la CRS-CNS
SEMINARIO DI SICUREZZA DEI SISTEMI INFORMATICI
STAT-RI WEB OPERATIVI.
Introduzione alla nuova versione di PowerPoint
Introduzione alla nuova versione di PowerPoint
Cassetto Previdenziale per Liberi Professionisti iscritti alla Gestione Separata Manuale Utente.
Il giornalista del futuro
Introduzione alla nuova versione di PowerPoint
389 Directory Server Dael Maselli.
IT SECURITY Controllo di accesso
MONEYGUARD CASSAFORTE CON SOFTWARE CENTRALIZZATO PER LA GESTIONE DA QUALISIASI PARTE DEL MONDO IN TOTALE SICUREZZA - PROTOCOLLO SSL -
TRIP: The Roaming INFN Physicist implementazione ed uso a Perugia
LE PROCEDURE DI EMERGENZA
Come abilitare la CRS-CNS
Transcript della presentazione:

INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI

Autenticazione & Autorizzazione Sono due processi distinti Spesso vengono confusi per l’abitudine (ormai desueta) di non gestirli separatamente Abbreviazioni: AuthN (Authentication) AuthZ (Authorization) INFN-AAI - Dael Maselli - 2010

Autenticazione il processo tramite il quale un computer, un software o un utente, verifica l’identità di un altro computer, software o utente I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a: qualcosa che è (sistemi biometrici) qualcosa che ha (smart card, token, badge) qualcosa che conosce (password) INFN-AAI - Dael Maselli - 2010

STRONG: Kerberos5 Native L’utente che ha a disposizione un principal Kerberos su un realm X.INFN.IT può autenticarsi presso le applicazioni che lo supportino Le richieste di accesso ai servizi avvengono tramite TGS e le credenziali dell’utente non vengono mai esposte al di fuori del proprio client Il mapping tra principal Kerberos e identità è garantito dall’attributo infnKerberosPrincipal nel DS Ogni sede INFN avrà il proprio Kerberos KDC associato al proprio realm SEDE.INFN.IT INFN-AAI - Dael Maselli - 2010

STRONG: Public Key (x509) Un utente che abbia un certificato x509 personale rilasciato da una CA riconosciuta può autenticarsi su un servizio che implementi tale protocollo L’autenticazione PKI non espone mai le credenziali al di fuori del client Il mapping del certificato con l’identità può essere effettuato sulla base dell’attributo mail presente nel Directory Server LDAP INFN-AAI - Dael Maselli - 2010

PLAIN: Username/Password Nelle situazioni in cui il servizio o il client non supportino nessuno dei metodi descritti è prevista la semplice autenticazione tramite username e password Assolutamente attraverso canale cifrato SSL/TLS L’autenticazione deve essere richiesta direttamente al server LDAP indicando come username il DN della entry relativa all’utente Il DS, attraverso uno specifico plug-in custom, verificherà la password tramite Kerberos INFN-AAI - Dael Maselli - 2010

PLAIN: One-Time Password È in beta test un meccanismo di autenticazione che permette di inserire una password temporanea al posto di quella Kerberos Utilizza il protocollo MOTP, il cui client è disponibile per quasi tutte le piattaforme mobile iPhone, Android, PalmOS, Nokia, Java, Windows Mobile INFN-AAI - Dael Maselli - 2010

Autorizzazione È il processo con il quale un sistema decide quali permessi un soggetto ha nei confronti di una risorsa Soggetto: utente, host o servizio L’autorizzazione avviene sulla base di determinate informazioni che il sistema conosce a proposito del soggetto In AAI le informazioni per l’autorizzazione risiedono nelle entry dei soggetti nel Directory Service LDAP INFN-AAI - Dael Maselli - 2010

Role-Based Access Control (RBAC) Il ruolo è una proprietà di un soggetto che ne rappresenta la funzione, l’ufficio o incarico i ruoli vengono assegnati in modo gerarchico Nel modello RBAC un soggetto può accedere a una risorsa solo se: il soggetto ha un determinato ruolo attivo tale ruolo è autorizzato ad accedere alla risorsa Nella nostra implementazione i ruoli sono presenti nel DS LDAP sotto forma di gruppi INFN-AAI - Dael Maselli - 2010

Entitlements Management I Un ulteriore modello di autorizzazione prevede che esista, tra le proprietà dell’utente, una specifica autorizzazione ad un processo di un servizio Tali informazioni sono chiamate Entitlements Specificano esattamente quali operazioni sono autorizzate e per quali servizi Nel DS sono presenti come stringhe nei valori dell’attributo eduPersonEntitlement nelle entry dei soggetti infn.it:IAM:gestioneAnagrafica:modifica:numeroTelefono INFN-AAI - Dael Maselli - 2010

Entitlements Management II Per gestire l’assegnazione degli entitlement INFN-AAI si serve del software IAM GODiVA GODiVA assegna automaticamente gli entitlement ai soggetti nel DS sulla base di Ruolo Dominio Ruolo@Dominio Identità (in deroga al modello RBAC!) INFN-AAI - Dael Maselli - 2010

F I N E INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus