AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003.

Slides:



Advertisements
Presentazioni simili
Status report Enrico M.V. Fasanelli
Advertisements

E.M.V. Fasanelli & S. Arezzini
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Gruppo Windows Gian Piero Siroli, Dip. di Fisica, Universita di Bologna e INFN Workshop su Calcolo e Reti INFN, Otranto, Giugno 2006.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
389 Directory Server Dael Maselli.
Test sul Cisco VPN Concentrator
Un servizio di autenticazione per sistemi di rete aperti
Protocollo di autenticazione KERBEROS
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Execution benchmarks Obiettivi Test dettagliati e ben caratterizzati Esecuzione di benchmark standard Test di applicazioni dell'esperimento ALICE 20 Novembre.
5 Feb 2002Stefano Belforte – INFN Trieste calcolo per CDF in Italia1 Calcolo per CDF in Italia Prime idee per lanalisi di CDF al CNAF Numeri utili e concetti.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Alessia Tricomi Università & INFN Catania
Istituto Nazionale di Fisica Nucleare AFS: status report per CCR R.Gomezel AFS Support Group 1 Status Report CCR 2005 Roberto Gomezel INFN-Trieste.
report Enrico M.V. Fasanelli Commissione Calcolo & Reti Roma - 20 ottobre 2005.
Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, Ottobre 2005.
AFS Working Group R.Gomezel CCRWS Verso la sfida di LHC Otranto (Lecce), 6-9 Giugno 2006.
Workshop sulle problematiche di calcolo e reti nell’INFN Paestum,9-12 giugno 2003 Report sull’ultimo HEPiX e proposte per le prossime edizioni Roberto.
LNL CMS M.Biasotto, Roma, 22 novembre I Tier2 in CMS Italia Massimo Biasotto - LNL.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
8 Maggio 2002Workshop CCR - La Biodola W2K Coordination Group & HEP-NT Report Enrico M.V. Fasanelli Gian Piero Siroli.
Mailing nell’INFN Stato e prospettive. © 20022Luca dell'Agnello INFN-CNAF - La Biodola, 6-9 Maggio 2002 Mailer Transport Agent.
Antivirus per mailserver: RAV Antivirus & altri Marco De Rossi – “Workshop sulle problematiche di calcolo e reti nell'INFN” 6-9 Maggio La Biodola.
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.
Situazione RedHat R. Gomezel Workshop sulle Problematiche di Calcolo e Reti nell'INFN Maggio 2004 Sant' Elmo Beach Hotel, Castiadas (CA)
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Istituto Nazionale di Fisica Nucleare Italy Report Roberto Gomezel INFN - Trieste.
Report HEPiX Spring meeting 2002 Workshop sulle problematiche di calcolo e reti nell'INFN 6-9 Maggio 2002 La Biodola - Isola d'Elba Silvia Arezzini.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
Gruppo Mailing CCR Settembre. Progetto di lavoro  Studio della centralizzazione del servizio di posta elettronica Situazione attuale Scenari.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
Gestione centralizzata caselle PEC per l’INFN Alessandro Brunengo, per il gruppo Mailing.
Servizio posta Situazione al 27/09/2012 Marco De Rossi Marco Esposito Antonio Forte.
Office365 Antonella Monducci Francesca Del Corso INFN - Bologna.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
CCR – 9 Settembre 2014 R.Fantechi, M.Gulmini, S.Parlati.
CCR - Frascati 29 settembre 2008 Gruppo storage CCR Status Report Alessandro Brunengo.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
High Avaliability with RHCS HA INFN CNAF 22 Marzo 2006 Bologna Ricci Pier Paolo, on behalf of INFN TIER1 Staff
Presentazione WS del 23/10/2013 al CNAF: 0&resId=0&materialId=slides&confId=6920
“tutorial” sul dispiegamento di INFN-AAI Workshop CCR LNS Silvia Arezzini Massimo Pistoni Roberto Lulli.
Riunione SICR 16/2/2015. Rete Intervento 6509 – Sostituzione scheda avvenuta con successo – Fase di configurazione nuova scheda – Spostamento link? Mercoledi.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Progetto iSCSI Report alla CCR 12-13/12/2006 Alessandro Tirel – Sezione di Trieste.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
Stato e previsione rete nelle sedi INFN Survey ed ipotesi di sviluppo fino al 2018 CCR 8-10 Settembre 2018 (Roma) 1 S.Zani (Netgroup)
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
Identità Digitali Rappresentanti del personale in assemblea a ROMA 9/10 giugno 2015 Daniela, Enrico e Silvia.
Creative Commons Attribution-Share Alike 2.0 Generic FORMAZIONE RPTTA Aggiornamento informazioni alla Assemblea.
20-21/03/2006Workshop sullo storage - CNAF Storage nei Servizi Calcolo delle sezioni INFN Alessandro Brunengo.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
Calcolo – AAI – GRID Enrico M. V. Fasanelli Consiglio di Sezione - Lecce 7 luglio 2011.
Aggiornamento AFS R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Status Report 2000 Roberto Gomezel INFN-Trieste
R.Gomezel Commissione Calcolo e Reti CNAF
R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2009
Transcript della presentazione:

AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 2 …& Co (-starring) Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 3 Also starring SICR INFN Roma – Alessandro Spanu – Daniela Anzellotti – Cristina Bulfon – Marco De Rossi

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 4 Agenda Cos’è – Kerberos 5 cross realm authentication – AFS cross cell authentication Perché Le prime prove effettuate Le prove da fare I passi successivi Possibili evoluzioni

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 5 Kerberos 5 X-realms authentication Relazioni di trust tra REALMs Kerberos – Ogni “principal” di un realm è autenticato anche nel realm trusted Transitive in Kerberos5 – gerarchiche (all’interno dello stesso albero) – CAPATHS (tra alberi disgiunti) LE.INFN.IT INFN.IT LNF.INFN.IT

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 6 Utilità Un utente, autenticato in un realm, può usare risorse dell’altro realm. telnet –a –l root server.le.infn.it

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 7 AFS cross cell authentication Si definiscono opportuni gruppi di protezione kinit – acquisisce un TGT Kerberos5 aklog – dato un tgt genera un token AFS (usando ahimè krb524d) aklog – genera entry nel PTS della cella esterna (se non esiste) – ottiene il token nella cella esterna AFS cell le.infn.it AFS cell lnf.infn.it AFS id 4 for AFS id 4 for

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 8 Perchè Esistenza di varie celle in produzione – pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it Previsione di nuove celle – roma1.infn.it – tier1.infn.it ????? Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle Interesse già evidenziato da parte di LNF OpenAFS & MIT – Integrato supporto per Kerberos5 in OpenAFS > – Integrato codice per supporto di AFS in Kerberos MIT 1.3 ALMOST RECYCLED SLIDE

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 9 Le prime prove effettuate 1/3 Lavoro iniziato in aprile 2003 – ~ 2 settimane-uomo Layout di test basato su – Kerberos v5 MIT – OpenAFS – Linux RedHat 7.3 (8.0 a Pisa) – Kernel x Ricompilati i pacchetti a partire da.src.rpm

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 10 Le prime prove effettuate 2/3 Definito dominio – configurato BIND Generato REALM Kerberos5 – configurato il master KDC – supporto per AFS Generata cella AFS krb5test.infn.it le.krb5test.infn.it lnf.krb5test.infn.it pi.krb5test.inf.nit cnaf.krb5test.infn.it

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 11 Le prime prove effettuate 3/3 Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs – le, lnf, pi, cnaf Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it) Definito le entries per la cross cell AFS authentication Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it)

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 12 EUREKA ! Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo. Problemi con le altre celle (ma probabilmente legati ad errori di configurazione) le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…)

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 13 Cosa abbiamo verificato/imparato La cross realm authentication in Kerberos5 continua a funzionare bene – circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 14 Le prove da fare subito Ripetere tutto con hardware più affidabile/nuovo – krb5test.infn.it è su un AMD con ben 28MB di RAM e disco da 3GB Rendere riproducibili i risultati sulla cross authentication di celle AFS

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 15 … e poi? Kerbeos v5 REALM INFN.IT – cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF AFS cross cell authentication tra le varie celle locali basate su Kerberos5 Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 16 Kerberos in [xx.]INFN.IT ed oltre Servizi kerberizzati – mail (smtp, imap) print, telnet, ecc. – Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server Cross realm authentication con HEP – FNAL.GOV è “pronto” (HEPiX autumn 2002) – DESY.DE inizia a lavorarci (HEPiX spring 2003) – INFN.IT report/proposal (HEPiX autumn 2003?)

Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 17 Conclusioni OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4) Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni: – per le celle AFS, potrà : garantire sharing di risorse tra celle locali permettere management locale alleggerire il management della cella infn.it

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.