Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF
Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e SASL) Codice sviluppato da 10 anni FDS discende direttamente da RedHat DS, che a sua volta viene da Netscape DS, il quale e’ stato sviluppato insieme Sun One DS (iPlanet) Documentazione molto completa E’ possibile fare riferimento a RedHat DS 7.1:
Replica Quando vengono configurati i server i modalita' di replica tutte le modifiche ai suffix coinvolti sui server master vengono propagate verso gli slave Nella replica multi-master e’ possibile scrivere contemporaneamente su piu’ nodi Eventuali conflitti verranno risolti automaticamente (the last wins)
Chaining Il chaining (o DB Link) permette di inoltrare le richieste LDAP ai server di competenza in modo trasparente al client facendo apparire l'insieme di server come un unica Directory disponibile da un unica macchina Ne consegue che le le singole sedi hanno piena autonomia sulle informazioni oltre che l'indipendenza da altre sedi riguardo le applicazioni locali
Chaining & Bind Il simple-bind (user/pass) viene inoltrato ed esaminato dal server dove risiede l’utente Bind di tipo Kerberos o X.509 vengono esaminati invece dal server contattato Nell'inoltro della query verso il server di competenza viene inoltrato lo userDN del BIND effettuato Grazie al permesso proxy il server a cui viene inoltrata la richiesta "si fida" dell'autenticazione effettuata dal server interrogato dal client
Chaining L=LNF, O=INFN, C=IT Bind: uid=maselli, L=LNF, O=INFN, C=IT Query: uid=fasanelli, L=Lecce, O=INFN, C=IT L=Lecce, O=INFN, C=IT O=INFN, C=IT Chain Proxy Permission Chain
I permessi nel Chaining Nella configurazione delle ACI (Access Control Information), ovvero i permessi sul Directory, e' possibile autorizzare un utente che risieda su un altro server Tuttavia non e' possibile autorizzare un gruppo residente in un altro server E' pero' possibile creare un gruppo locale di utenti remoti A tale scopo sara' necessario creare dei gruppi nazionali sul server centrale che vengano replicati sui server periferici.
Kerberos5 e X.509 FDS supporta GSSAPI tramite mapping SASL per l’autenticazione tramite ticket Kerberos5 Inoltre supporta l'autenticazione tramite certificato X.509
Plug-in di autenticazione E’ possibile inoltrare le richieste di simple-Bind (username&password) di FDS ad un altro metodo di autenticazione Tramite il plug-in: PAM Pass Through Auth Con PAM e’ quindi possibile utilizzare la maggior parte dei sistemi di autenticazione come AFS, Kerberos5, ecc.
O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT L=Roma1, O=INFN, C=IT NIS L=Napoli, O=INFN, C=IT + authentication Napoli krb5: LE.INFN.IT passthru auth Roma1 L=Lecce, O=INFN, C=IT passthru auth Lecce Client presentazione di Username/Password o Certificato X.509 Chaining Frascati
Dael Maselli F I N E