Workshop 2006 Nunzio AMANZI, LNF - INFN www:http://www.lnf.infn.it/~amanzi Phone:+39 6 94 03 2607-8225 INFN Network &

Slides:



Advertisements
Presentazioni simili
E.M.V. Fasanelli & S. Arezzini
Advertisements

1 Migrazione Da Kaserver a KDC Kerberos 5 in Una Cella AFS Interoperabilità tra Unix, AFS e Windows 2000 GUI Netuser per la gestione degli utenti Unix.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
Introduzione ad Active Directory
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
Configuring Network Access
| | Microsoft Certificate Lifecycle Manager.
Strategie di migrazione da Windows NT4 a Windows Server 2003
Active Directory Federation Services
Il nuovo Microsoft ISA Server 2006
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Introduzione ad Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Installazione di Active Directory
Active Directory.
Principi di WinNT Security
Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.
Web SSO & Tools LNF – INFN Workshop Calcolo e Reti INFN 06 Giugno 2006 – Otranto Dael Maselli.
– Bologna 16 Feb Nunzio AMANZI www: Phone: Servizio.
09/01/041Security Sicurezza del sistema di rete Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione. Consente.
06/01/04 1 Microsoft Management Console E un programma fondamentale che fornisce uninterfaccia comune per una vasta serie di strumenti di amministrazione.
Organizzazione della Memoria (Unix) Text contiene le istruzioni in linguaggio macchina del codice eseguibile, può essere condiviso in caso di processi.
Kerberos v5 Presentazione dello studente Flavio Caroli per il corso di Griglie Computazionali prof. Tiziana Ferrari - a.a. 2005/06 -
Test sul Cisco VPN Concentrator
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
Protocollo di autenticazione KERBEROS
Incontri di INFNet - 12/13 Novembre Luca dellAgnello 1 W/NT Windows NT nellINFN.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Guida IIS 6 A cura di Nicola Del Re.
Protezione degli account e delle password degli utenti
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 3 - Autenticazione e controllo di accesso Alberto Bosio AICA © 2005.
Un problema importante
Evento per il lancio di Windows 2000 Milano febbraio 2000 Studio 90, Via Mecenate 84 Technet Workshop Milano 02 marzo 2000 Quark Hotel.
Configurazione di una rete Windows
1 di 15 Università degli studi di Modena e Reggio Emilia Mail Configurator: un’applicazione ad agenti mobili basata su ruoli dinamici Correlatori: Ing.
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Stage estivo 2007 informatica Gestione delle infrastrutture e dei servizi di rete su piattaforme linux e windows Partecipanti: Apolito Luca Balzano Andrea.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Certificati e VPN.
– CCR 14/15 Mar Nunzio AMANZI, LNF - INFN www: Phone:
AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
ESPORTAZIONE DI UN ENVIRONMENT WINDOWS NELLA WAN ROAMING E PUNTAMENTO SU AFS ASPETTI INTRODUTTIVI dicembre revisione maggio 2003 AMANZI NUNZIO –
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Nuova architettura aule informatiche POLO2. Perché cambiare ? 1. Architettura infrastruttura vecchia (NIS) Difficile manutenzione Mancanza di aggiornamenti.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Windows Deployment Services Ai LNF e’ stato realizzato il servizio WDS su Windows Ent 2008 R2. Il sistema e’ stato virtualizzato sul cluster Linux Xen.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
INFN Windows Group – CCR 14/15 Mar Windows Activities Planning
INFN-AAI Autenticazione e Autorizzazione
Transcript della presentazione:

Workshop 2006 Nunzio AMANZI, LNF - INFN www: Phone: INFN Network & Computing Introduction to a global x-athent./author. model

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Subjects Menu 1 - OVERVIEWS 2 - LOCAL ENVIRONMENT TESTS 3 – GLOBAL CASE STUDY Windows Kerberos V Windows Kerberos V Infrastr. Model & Requirements Infrastr. Model & Requirements Net/Dom Infrastructure Net/Dom Infrastructure Windows Tools Windows Tools K5 W-Authorization Process K5 W-Authorization Process W-MIT K5 Host Single Sign-On W-MIT K5 Host Single Sign-On AD K5 X-Authent./Authoriz. AD K5 X-Authent./Authoriz. AD K5 Authoriz. Feedback AD K5 Authoriz. Feedback K5 X-Auth. Tickets Flow K5 X-Auth. Tickets Flow W-Domain Granting Scenario W-Domain Granting Scenario W-Domain Groups Model AD LDAP Names Space Layout AD LDAP Names Space Layout AD LDAP NS Implementation AD LDAP NS Implementation W-Forest Trusts Tips W-Forest Trusts Tips Mixed Realms Trusts Tests Mixed Realms Trusts Tests

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Windows Kerberos V 1 - Overviews PERCHE’ KERBEROS V Un Windows DC (2000 o sup.) implementa il KDC come servizio di dominio: – –l’implementazione e’ basata sulla RFC 1510 – –esporta l’Authentication Service (AS) – –esporta il Ticket Granting Service (TGS) – –utilizza AD DB come Kerberos Account DB – –i servizi sono eseguiti nel process-space del LSA Un dominio di AD definisce un Kerberos V Realm Nei Wclient (2000/XP) aggiunti al WDom (2000/2003) K5 e’ abilitato per default I sistemi unix/linux possono autenticarsi verso un KDC Windows mediante kinit I client windows possono utilizzare KDC unix/linux per il login in single sign-on

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Infrastructure Model and Requirements 1 - Overviews Windows 2003 AD Domain - Realm Unix/Linux Realm (MIT 1.3.1) Windows ClientLinux Client DNS Service Time Service Two-Ways Trust KDC Auth. Unix/Linux Realm (MIT 1.4.3) X.INFN.IT KDC Windows 2003 AD Domain – Realm WIN.X.INFN.IT Two-Ways Transitive Trust Windows XP-Pro Client Linux Client Auth. MODELLO LOCALE CONSIGLIATO Dominio Windows 2003 come sottodominio DNS di X.INFN.IT WIN.X.INFN.IT servito in modo autoritativo da Windows Unico provider ntp per la sincronizzazione dell’orario servito da Unix/Linux MIT Kerberos o sup. Trust bidirezionale e transitivo Client Windows XP – Pro SP1 o sup. Unix/Linux Realm come regno di autenticazione in single sign-on Mixed Cross Realms Generic Scenario Local Implementation Scenario

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Networking/Domains Infrastructure 2 - Local Environment Tests MIT K5 KDC (k5alpha.k5.lnf.infn.it) k5.lnf.infn.it AFS Server (axbeta.lnf.infn.it) XP PRO Client VM1VM2VM3 virtual bridging LNF DEFAULT VLAN VM1 (winvrtsrv.wintest.lnf.infn.it), Windows 2003 Server: DC, KDC, DNS Server Autoritativo VM2 (pcvrttest.wintest.lnf.infn.it), Windows Xp-Pro SP1: Windows Domain Client VM3 (pcvrttest2.k5.lnf.infn.it), Windows Xp-Pro SP1: Windows MIT K5 Host Windows 2003 AD Domain - Realm WINTEST.LNF.INFN.IT KDC VM3 DC KDC VM2 Sc. Linux 4.2 Realm (MIT K5) K5.LNF.INFN.IT Two-Ways Transitive Trust

– Workshop 2006 Nunzio AMANZI - LNF Computing Service Local Environment Tests Windows Tools Dsa.mscActive Directory Users and ComputersGestione utenti e GPO Domain.mscActive Directory Domains & TrustsGestione relazioni di trusts Adsiedit.mscADSI EditorManager classi ADSI (W – Supp. Tools) Schmmgmt.mscActive Directory SchemaManager metadata (schmmgmt.dll) Regedit.exeRegistry EditorParametri kerberos e logging Netdom.exeWindows Domain ManagerDomain/Trust manager Ksetup.exeKerberos realms setup command line toolW – Supp. Tools Ktpass.exeKerberos keytab setup command line toolW – Supp. Tools Kerbtray.exeKerberos tickets GUI toolW2003 Res. Kit Tools Kilst.exeKerberos tickets command line toolW2003 Res. Kit Tools Eventvwr.mscEvent ViewerFeedback eventi K5 Netmon.exeNetwork monitorW2003 Standard Tool Ldp.exeLdap support GUI toolManager LDAP (W – Supp. Tools).NET Framework 1.1Development LibrariesMicrosoft Downloads

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - K5 W-Authorization Process 2 - Local Environment Tests K5 win server SAM (samsrv.dll) NETLOGON (netlogon.dll) NTLM (msv1_0.dll) KERBEROS (kerberos.dll) lsass.exe process space KDC ASTGS K5 win client/host KERBEROS (kerberos.dll) lsass.exe process space 1 - TGT (TGS_REQ) 2 - Ticket (TGS_REP) Application 3 – Service Ticket (by RPC) Service 4 – Service Token (by RPC) 5 – Service Token ACCESSO KERBERIZZATO AL SERVER MEMBRO DI DOMINIO il client invia al server un ticket di servizio il server negozia il ticket e restituisce al client un token per l’accesso al servizio il token contiene il SID dell’utente, dei gruppi di appartenenza (locali) e l’elenco dei diritti l’applicazione espone successivamente il token per l’intera sessione solo il ticket rilasciato da WKDC contengono informazioni di autorizzazione per l’utente autorizzato (PAC: Privilege Attribute Certificate) Per i ticket rilasciati da KDC non windows, la LSA Windows competente (nel DC o nel Server) determina le informazioni di protezione dell’utente mediante mapping dei nomi (secur32.dll) Registry LSASRV (lsarsrv.dll)

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Windows MIT K5 Host Single Sign-On 2 - Local Environment Tests KDC VM3 Sc. Linux 4.2 Realm (MIT K5) K5.LNF.INFN.IT LA LSA DEL CLIENT RILASCIA LE INFORMAZIONI AUTORIZZAZIONE PER L’UTENTE VM3 e’ un host windows membro di K5.LNF.INFN.IT (linux) Nel regno e’ definito l’account utente K5 In VM3 e’ definito l’utente locale WM3\user VM3\user ha i privilegi per il login interattivo In VM3 e’ definito il mapping VM3\user Quando l’utente si autentica in MIT K5 con le credenziali di accede a WM3 in single sign-on con i privilegi dell’utente locale associato VM3 Windows Host lsass.exe process space KDC TGSAS Registry VM3\user 1 – Autent. 2 – Autoriz. 3 – Token di Login with: VM3\user SID VM3\user memberhip SIDS VM3\user rights SAM (samsrv.dll) LSASRV (lsarsrv.dll) NETLOGON (netlogon.dll) KERBEROS (kerberos.dll) (secur32.dll)

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - AD K5 X-Authent./Authoriz. 2 - Local Environment Tests Windows 2003 AD Domain - Realm WINTEST.LNF.INFN.IT KDC DC KDC VM2 Sc. Linux 4.2 Realm (MIT K5) K5.LNF.INFN.IT Two-Ways Transitive Trust LA LSA DEL WDC (TGS) RILASCIA LE INFORMAZIONI DI AUTORIZZAZIONE DELL’UTENTE Autententicazione Autorizzazione Domain controller NTLM (msv1_0.dll) lsass.exe process space NETLOGON (netlogon.dll) SAM (samsrv.dll) Directory Service (ntdsa.dll) Replica Partition KDC (kdcsvc.dll) KERBEROS (kerberos.dll) Windows Client Linux MIT KDC ASTGS Ticket for Win TGS with authent. K5 principal without win user data (PAC) Ticket for service with authent. K5 principal with win author. user data (PAC) (secur32.dll) LSASRV (lsarsrv.dll)

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - AD K5 Authorization Feedback K5.LNF.INFN.IT WINTEST.LNF.INFN.IT VM2 DC - TGS autor. autent. 2 - Local Environment Tests ABILITAZIONE AUDIT EVENTI DI PROTEZIONE MEDIANTE GPO DI DOMINIO Eventi di accesso account, relativi a tutte i processi di autenticazione/autorizzazione da parte del DC- KDC Eventi di accesso, relativi alle singole sessioni 1- user mapping2 – rilascio service ticket

– Workshop 2006 Nunzio AMANZI - LNF Computing Service Local Environment Tests K5 X-Auth. Tickets Flow Linux MIT KDC AS TGS Windows KDC TGS Windows Client 1 - AS_REQ 2 - TGT (AS_REP) 3 – TGT (TGS_REQ) 4 – Trust TGT (TGS_REP) 6 – Ticket for Win Service (TGS_REP) 5 – Trust TGT (TGS_REQ) K5.LNF.INFN.IT WINTEST.LNF.INFN.IT VM2 DC - TGS autor. autent.

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - W-Domain Granting Scenario 3 - Global Case Study PRESUPPOSTI/ASPETTI FUNZIONALI PER L’ACCESSO AI SERVIZI WINDOWS IN X-AUTH. L’utente e’ autetenticato nel realm MIT K5 che definisce lo user account L’utente e’ autorizzato dal dominio windows che esporta il servizio L’accesso ai servizi windows e’ disciplinato in base ad un token relativo all’account utente definito in AD (trusting) e non in base al realm di autenticazione Non e’ necessario conoscere le credenziali dell’account trusting in AD L’account trusting di AD e’ sottoposto all’applicazione delle GPO Nelle sessioni di login interattivo e’ utilizzato il profilo utente dell’account trusting PROCEDURE IMPLEMENTATIVE All’utente che autentica nel regno trusted (MIT K5) deve essere associato un corrispondente account utente di AD Definire nel dominio (in AD e/o sui server membri) gruppi di protezione con ambito locale, ognuno relativo a specifico servizio windows Definire i diritti e i permessi di accesso, ai vari layers, relativi ai gruppi locali Pianificare i ruoli operativi, definendo per ciascuno un gruppo globale di AD Definire la memberships includendo gli account utente nei gruppi globali e i gruppi globali in quelli locali in base ai grantings desiderati

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - W-Domain Groups Model 3 - Global Case Study AD Global Gr.: Segreteria Local Gr.: PrintUser …. AD Global Gr.: …. AD Global Gr.: Segreteria Local Gr.: SharesWriters …. AD Global Gr.: …. MIT K5 Trusted Realm Windows Trusting Domain name mapping membership Printer DACL PrintUsers: Allow Print Share DACL SharesReaders: Allow Write I gruppi locali sono correlati ai servizi I gruppi globali sono correlati ai ruoli Ruoli distinti possono accedere allo stesso servizio Lo stesso ruolo puo’ accedere a servizi distinti

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - AD LDAP Names Space Layout 3 - Global Case Study DC=win, DC=x, DC=infn, DC=it OU=INFN OU=Y CN=nome11 CN=nome12 CN=nome1n OU=X OU=calcolo OU=altro CN=nome21 CN=nome22 CN=nome2n CN=nome31 CN=nome32 CN=nome3n Nome Canonico windows: win.x.infn.it/INFN/Y/nome1n LDAP: CN=nome1n, OU=Y, OU=INFN, DC=win, DC=x, DC=infn, DC=it Windows: LX MIT: K5 user logon (principal): Infrastruttura basata su unita’ organizzative, associate ai regni di autenticazione MIT K5 La OU relativa al Realm adiacente puo’ essere strutturata in altre sub-OU associate ai gruppi Unix o AFS relativi alla cella locale Ogni OU contiene gli account windows mappati agli account nel corrispondente K5 Realm CN=nome01 CN=nome02 CN=nome0n MIT K5 INFN.IT MIT K5 X.INFN.IT MIT K5 Y.INFN.IT WDOM. WIN.X.INFN.IT

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - AD LDAP Names Space Implementation 3 - Global Case Study ADSI WINNT Provider Objects Model and Interfaces ADSI Provider = interfaccia ad oggetti che esporta uno spazio di nomi di Active Directory PROGETTO MANAGEMENT CONSOLE PER: Generare l’infrastruttura basata su OU Ricollocare gli account utenti pre-esistenti Creare nuovi account associati agli utenti trusted Attribuire agli utenti le memberships desiderate Intercettare/Monitorare gli eventi Kerberos e le relative queries

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - W-Forest Trusts Tips 3 - Global Case Study l’utente si autentica in child1.parent.com dalla postazione client.child1.parent.com dc1.child1.parent.com rilascia un TGT client.child1.parent.com richiede al TGS del suo dominio TGT valido per il TGS in child2.parent.com dc1.child1.parent.com consulta il catalogo globale per determinare in percorso di autenticazione e rilascia un TGT valido per il TGS di dc0.parent.com client.child1.parent.com presenta il TGT al TGS nel dominio parent.com e richiede un nuovo TGT per il TGS in child2.parent.com dc0.parent.com puo’ emettere il ticket richiesto in virtu’ della relazione di trust client.child1.parent.com presenta il ticket al TGS in child2.parent.com e ottiene un ticket per server.child2.parent.com client.child1.parent.com presenta il ticket di servizio a server.child2.parent.com che rilascia un token di accesso DC1 parent.com DC0 DC2 child1.parent.com child2.parent.com server Global catalog 1 client

– Workshop 2006 Nunzio AMANZI - LNF Computing Service - Mixed Realms Trusts Tests 3 - Global Case Study INFN.IT X.INFN.ITY.INFN.IT WIN.X.INFN.ITWIN.Y.INFN.IT TEST GEOGRAFICI Autenticazione in un Realm non adiacente e accesso nel proprio dominio dall’interno della propria Sede INFN Autenticazione in un Realm adiacente e accesso in un dominio trusting esterno alla propria Sede INFN Autenticazione nel proprio Realm, accesso nel dominio ospite e nel proprio dominio dall’esterno della propria Sede INFN. srv.cl. autent. autor. INFN.IT X.INFN.ITY.INFN.IT WIN.X.INFN.ITWIN.Y.INFN.IT srv.cl. autent. autor. INFN.IT X.INFN.ITY.INFN.IT WIN.X.INFN.ITWIN.Y.INFN.IT srv. cl. autent. autor. srv. autor. 12 3

Nunzio AMANZI Cordiali saluti Windows Systems Administrator INFN SisInfo Management Team LNF Computing Service

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.