Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.

Slides:



Advertisements
Presentazioni simili
E.M.V. Fasanelli & S. Arezzini
Advertisements

Gli specialisti degli eDocuments
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Francesco Cristofoli Microsoft Italia
Configuring Network Access
Roma, Presentazione del sistema ClicLavoro.
La sicurezza nelle Griglie
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
Il Portale delle Notizia di Reato
Servizi Consolari Online
389 Directory Server Dael Maselli.
Test sul Cisco VPN Concentrator
Wireless Authentication
Protocollo di autenticazione KERBEROS
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.
Gli utenti esterni, (delegati, datori di lavoro, agenzie per il lavoro, enti, ecc), individuati con il ruolo di master è consentito gestire, la propria.
Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.
Ottobre 2006 – Pag. 1
Acer Mnemonick presentazione commerciale
Monitoraggio Pratiche Didattiche della provincia di Reggio Calabria Copyright©2007 DARGAL Web Solutions. È vietata la riproduzione anche parziale.
Guida IIS 6 A cura di Nicola Del Re.
DIGITAL SIGNAGE Progetto Monitor in Store.
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
SISTEMA INOLTRO TELEMATICO ISTANZE DECRETO FLUSSI 2010
Come accedere alla garanzia diretta G-SPOT
Ministero delle politiche agricole, alimentari e forestali
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
Active Directory e Gestione Utenti di Valerio Di Bacco.
L’Autenticazione Federata Settembre  FedERa è l’infrastruttura di Regione Emilia Romagna per l’autenticazione federata.  Attraverso FedERa tutte.
Universita’ degli Studi Roma Tre
Processo di Registrazione portali: MyCompany
Architettura dei Servizi di Directory Università Cattolica del Sacro Cuore - Sede di Brescia - Facoltà di Scienze Matematiche Fisiche e Naturali Corso.
UILCOM…UNICA (RICHIESTE ON LINE ALL’INPS)
LA POSTA ELETTRONICA
Divisione Rete Progetto ELI2. Divisione Rete Il presente documento descrive le principali attivit à che saranno svolte per la gestione dell ’ erogazione.
FESR Consorzio COMETA Giuseppe Andronico Industry Day Catania, 30 Giugno 2011 IaaS, PaaS e SaaS: cosa significano per le aziende.
Numerazione e routing dorsale rete nazionale AREZZO, 20 OTTOBRE 2007 IZ3HAD.
Analisi e sperimentazione di una Certification Authority
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
AFS Working Group R.Gomezel CCRWS Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.
L’information tecnology nel comparto assicurativo Prof. Claudio Cacciamani
Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
La Carta Nazionale dei Servizi è un documento informatico, rilasciato dalla Pubblica Amministrazione, che permette l’identificazione in rete del titolare.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
Procedure per la richiesta di certificazione e per l'autenticazione alla VO Cometa Accesso all’infrastruttura del Consorzio COMETA in modalità GRID.
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
F.Murtas 12 Febbraio DB per l'identity management INFN Anagrafica Scientifica Articolazione Strutture e Ruoli DataWeb.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Gruppo Web Tools Dael Maselli (LNF) Commissione Calcolo e Reti
Gruppo WebTools CCR – 14 Marzo 2007 Dael Maselli.
INFN-AAI Autenticazione e Autorizzazione
INFN-AAI Autenticazione e Autorizzazione
Transcript della presentazione:

Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle Collaboration Suite - INFN - v

Esigenze INFN L’Istituto Nazionale di Fisica Nucleare (INFN) sta considerando di adottare Oracle Collaboration Suite (OCS) come strumento di collaborazione ufficiale per la propria comunita’ scientifica Esistono tuttavia alcune esigenze imprescindibili che verranno descritte di seguito insieme all’infrastruttura IT dell’INFN Alcuni dei seguenti requisiti potrebbero essere derogabili, di conseguenza e’ necessario considerare in ogni caso tutti i punti di questo documento

INFN Internet Directory L’infrastruttura di directory INFN e’ basata su LDAP nelle sue implementazioni standard come OpenLDAP o Fedora / RedHat / Netscape Directory Server con canali sicuri SSL/TLS. Esiste un server per ogni sede con suffix “L=, O=INFN, C=IT” Esiste un server centrale che gestisce il suffix “O=INFN, C=IT” che e’ in grado di rispondere (tramite chaining) alle richieste per i sub-suffix delle sedi. OCS si servira’ di quest’ultimo server centrale per l’accesso alle informazioni degli utenti.

INFN Authentication L’infrastruttura di autenticazione dell’INFN e’ basata su MIT Kerberos5 Esiste un server Kerberos5 per ogni sede che gestisca un realm.INFN.IT Esiste inoltre un server centrale che gestisce un realm INFN.IT Tra i realm sono definite relazioni gerarchiche di trust bidirezionali e transitive

Autenticazione – Metodo 1 (Ticket Kerberos5) OCS dovra’ validare il ticket presentato dal client attraverso le chiamate Kerberos5 del SO che sara’ configurato opportunamente. OCS dovra’ riconoscere il principal ed il realm dell’utente attraverso gli opportuni attributi (o singolo attributo) nel Directory centrale INFN

O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT Frascati OCS LDAPs user information Kerberos5 authentication krb5: LE.INFN.IT Lecce L=Lecce, O=INFN, C=IT Autenticazione m.1 (Ticket Kerberos5) Client presentazione di ticket Kerberos5 Roma1 krb5: ROMA1.INFN.IT L=Roma1, O=INFN, C=IT L=Napoli, O=INFN, C=IT krb5: NA.INFN.IT Napoli Keytab Kerberos5

Autenticazione – Metodo 1a (Certificato X.509) OCS dovra’ validare il certificato X.509 presentato dal client attraverso la chiave pubblica della Certification Authority INFN OCS dovra’ riconoscere l’utente nel Directory centrale INFN tramite l’attributo opportuno contentente il Subject X.509

O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT Frascati OCS LDAPs user information krb5: LE.INFN.IT Lecce L=Lecce, O=INFN, C=IT Autenticazione m.1a (Certificato X509) Client presentazione di Certificato X.509 Roma1 krb5: ROMA1.INFN.IT L=Roma1, O=INFN, C=IT L=Napoli, O=INFN, C=IT krb5: NA.INFN.IT Napoli Public Key INFN CA

Autenticazione – Metodo 2 (Username/Password Kerberos5) OCS dovra’ riconoscere il principal ed il realm dell’utente attraverso gli opportuni attributi (o singolo attributo) nel Directory centrale INFN OCS dovra’ poi effettuare l’autenticazione tramite username e password attraverso le chiamate Kerberos5 del SO che sara’ configurato opportunamente.

O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT Frascati L=Napoli, O=INFN, C=IT Napoli OCS LDAPs user information Kerberos5 authentication krb5: NA.INFN.ITkrb5: LE.INFN.IT Lecce L=Lecce, O=INFN, C=IT Roma1 krb5: ROMA1.INFN.IT L=Roma1, O=INFN, C=IT Autenticazione m.2 (user/pass Kerberos5) Client presentazione di username/password

Autenticazione – Metodo 3 (LDAP) L’infrastruttura di autenticazione INFN permette la convalida di username e password tramite LDAP OCS dovra’ poter effettuare l’autenticazione attraverso il server LDAP centrale Quest’ultimo la deleghera’ poi al server della sede opportuna che potra’ eventualmene servirsi di un back-end di autenticazione

O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT Frascati L=Roma1, O=INFN, C=IT NIS L=Napoli, O=INFN, C=IT + authentication Napoli OCS krb5: LE.INFN.IT passthru auth LDAPs user information LDAPs authentication Roma1 L=Lecce, O=INFN, C=IT passthru auth Lecce Autenticazione m.3 (LDAP) Client presentazione di username/password

Autenticazione I metodi di autenticazione precedentemente esposti dovranno essere contemporaneamente disponibili:  Qualora l’utente si presenti con un ticket Kerberos5 l’autenticazione dovra’ essere gestita attraverso il metodo 1;  Qualora si presenti con un Certificato X.509 si dovra’ invece procedere con il metodo 1a;  Altrimenti dalle informazioni sull’utente nel directory si potra’ evincere se e’ disponibile un server Kerberos 5 nella sede di appartenenza e attuare il metodo 2;  Diversamente dovra’ procedere con il metodo 3

Gestione (1) Ogni sede INFN gestisce un proprio dominio di posta del La gestione del mailing dovra’ rimanere di competenza delle singole sedi secondo le proprie scelte tecnologiche (non OCS) Dovra’ esserci comunque la possibilita’ di gestione di uno o piu’ domini di posta da parte di OCS

Gestione (2) OCS gestira’ la posta elettronica esclusivamente per l’invio dei messaggi, tramite un mail server esterno. Nel caso di messaggi destinati ad utenti di OCS, usera’ gli indirizzi registrati nel directory LDAP

Gestione (3) Ferma restando la gestione del mailing da parte delle singole sedi ci e’ noto che in questa configurazione OCS possa perdere alcune funzionalita’ In tal caso OCS potra’ gestire il traffico e- mail delle sedi ma dovra’ in ogni caso inoltrare i messaggi agli indirizzi registrati nel directory LDAP

Future release ? Alcune delle esigenze dell’INFN, nonche’ vari bug di OCS ( ad es.: incompatibilita’ con vari browser, Public Instant Portal [vs. nota vs. bug ], etc. ) pare verrebbero risolti nella prossima versione di OCS:  Quali sono i tempi di attesa per una nuova release?  E’ possibile conoscere quali saranno le funzionalita’ che verranno corrette, aggiunte o potenziate?

Per ulteriori informazioni o chiarimenti contattare: Dael Maselli Responsabile INFN WebTools ufficio: cellulare: F I N E