Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio 2007 - LNF.

Slides:



Advertisements
Presentazioni simili
Status report Enrico M.V. Fasanelli
Advertisements

E.M.V. Fasanelli & S. Arezzini
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Il Portale delle Notizia di Reato
Web SSO & Tools LNF – INFN Workshop Calcolo e Reti INFN 06 Giugno 2006 – Otranto Dael Maselli.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
LDAP Studio di fattibilità. Le sezioni dello studio di fattibilità 1. Panoramica sulla situazione attuale 2. Progetto della soluzione 3. Specifiche generali.
389 Directory Server Dael Maselli.
Test sul Cisco VPN Concentrator
Wireless Authentication
Incontri di INFNet - 12/13 Novembre Luca dellAgnello 1 W/NT Windows NT nellINFN.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Gli utenti esterni, (delegati, datori di lavoro, agenzie per il lavoro, enti, ecc), individuati con il ruolo di master è consentito gestire, la propria.
Guida IIS 6 A cura di Nicola Del Re.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Un problema importante
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
AFS Working Group R.Gomezel CCRWS Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.
Dael Maselli Gruppo WebTools CCR – 03 Ottobre 2007.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
Mailing nell’INFN Stato e prospettive. © 20022Luca dell'Agnello INFN-CNAF - La Biodola, 6-9 Maggio 2002 Mailer Transport Agent.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2015.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
Configurazione accessi WiFi INFN Workshop CCR ’ Maggio
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
“tutorial” sul dispiegamento di INFN-AAI Workshop CCR LNS Silvia Arezzini Massimo Pistoni Roberto Lulli.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Struttura nazionale di Nameserver per i servizi ad alta affidabilità Riccardo Veraldi - CNAF.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
DNS HA
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Calcolo – AAI – GRID Enrico M. V. Fasanelli Consiglio di Sezione - Lecce 7 luglio 2011.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2010.
INFN-AAI Autenticazione e Autorizzazione
INFN-AAI Autenticazione e Autorizzazione
389 Directory Server Dael Maselli.
Transcript della presentazione:

Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF

Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e SASL) Codice sviluppato da 10 anni  FDS discende direttamente da RedHat DS, che a sua volta viene da Netscape DS, il quale e’ stato sviluppato insieme Sun One DS (iPlanet) Documentazione molto completa  E’ possibile fare riferimento a RedHat DS 7.1:

Replica Quando vengono configurati i server i modalita' di replica tutte le modifiche ai suffix coinvolti sui server master vengono propagate verso gli slave Nella replica multi-master e’ possibile scrivere contemporaneamente su piu’ nodi  Eventuali conflitti verranno risolti automaticamente (the last wins)

Chaining Il chaining (o DB Link) permette di inoltrare le richieste LDAP ai server di competenza in modo trasparente al client facendo apparire l'insieme di server come un unica Directory disponibile da un unica macchina Ne consegue che le le singole sedi hanno piena autonomia sulle informazioni oltre che l'indipendenza da altre sedi riguardo le applicazioni locali

Chaining & Bind Il simple-bind (user/pass) viene inoltrato ed esaminato dal server dove risiede l’utente Bind di tipo Kerberos o X.509 vengono esaminati invece dal server contattato Nell'inoltro della query verso il server di competenza viene inoltrato lo userDN del BIND effettuato Grazie al permesso proxy il server a cui viene inoltrata la richiesta "si fida" dell'autenticazione effettuata dal server interrogato dal client

Chaining L=LNF, O=INFN, C=IT Bind: uid=maselli, L=LNF, O=INFN, C=IT Query: uid=fasanelli, L=Lecce, O=INFN, C=IT L=Lecce, O=INFN, C=IT O=INFN, C=IT Chain Proxy Permission Chain

I permessi nel Chaining Nella configurazione delle ACI (Access Control Information), ovvero i permessi sul Directory, e' possibile autorizzare un utente che risieda su un altro server Tuttavia non e' possibile autorizzare un gruppo residente in un altro server E' pero' possibile creare un gruppo locale di utenti remoti A tale scopo sara' necessario creare dei gruppi nazionali sul server centrale che vengano replicati sui server periferici.

Kerberos5 e X.509 FDS supporta GSSAPI tramite mapping SASL per l’autenticazione tramite ticket Kerberos5 Inoltre supporta l'autenticazione tramite certificato X.509

Plug-in di autenticazione E’ possibile inoltrare le richieste di simple-Bind (username&password) di FDS ad un altro metodo di autenticazione Tramite il plug-in: PAM Pass Through Auth Con PAM e’ quindi possibile utilizzare la maggior parte dei sistemi di autenticazione come AFS, Kerberos5, ecc.

O=INFN, C=IT L=LNF, O=INFN, C=IT krb5: LNF.INFN.IT L=Roma1, O=INFN, C=IT NIS L=Napoli, O=INFN, C=IT + authentication Napoli krb5: LE.INFN.IT passthru auth Roma1 L=Lecce, O=INFN, C=IT passthru auth Lecce Client presentazione di Username/Password o Certificato X.509 Chaining Frascati

Dael Maselli F I N E