Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.

Slides:



Advertisements
Presentazioni simili
VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Advertisements

Il modello Informativo
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
| | Microsoft Certificate Lifecycle Manager.
Politiche delle Reti e Sicurezza
Connessione con MySQL.
Sicurezza e Policy in Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Uso di openafs Come usare il tool openafs per accedere e gestire i propri files sotto AFS.
File System NTFS 5.0 Disco: unità fisica di memorizzazione
Utilizzo file.htaccess generale Consente di impostare laccesso ad una specifica pagina web solo a tutti gli utenti AFS ENEA (protetta da login)
LDAP Studio di fattibilità. Le sezioni dello studio di fattibilità 1. Panoramica sulla situazione attuale 2. Progetto della soluzione 3. Specifiche generali.
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
389 Directory Server Dael Maselli.
Test sul Cisco VPN Concentrator
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
1 Installazione da rete Introduzione Configurazione del server NFS Cosa serve sul client Configurazione kickstart.
Guida IIS 6 A cura di Nicola Del Re.
DAGLI ARCHIVI AI DATABASE
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
TechNet Security Workshop IV PierGiorgio Malusardi.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
INFN-AAI Directory Service LDAP Dael Maselli (Slides by Fulvio Ricciardi) Tutorial INFN-AAI Plus Dicembre 2010.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Progetto Finale Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Esercizio ODBC. Configurare il driver ODBC Start  Control Panel  Administrative Tools Aprire: Data Source(ODBC) User DSN  Add…. Selezionare il driver.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Certificati e VPN.
Servizi Internet Claudia Raibulet
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
Eprogram informatica V anno.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
FESR Trinacria Grid Virtual Laboratory La sicurezza dei dati in ambiente Trigrid Giordano Scuderi.
Progetto WELL-FIR Manuale Utente del Web GIS Versione 0.1.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
13 dicembre 2006Gestione Visitatori1 Server RADIUS Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
389 Directory Server Dael Maselli.
Transcript della presentazione:

Fedora Directory Server Dael Maselli

Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e SASL) Codice sviluppato da 10 anni  FDS discende direttamente da RedHat DS, che a sua volta viene da Netscape DS, il quale e’ stato sviluppato insieme Sun One DS (iPlanet) Documentazione molto completa  E’ possibile fare riferimento a RedHat DS 7.1:

Funzionalita’ principali Sincronizzazione con Active Directory Supporto per LDAPv3 Schema update, configurazione e Access Control Information (ACIs) on-line Console grafica per la gestione delle utenze e della configurazione

Architettura Fedora Directory Server e’ composto dai seguenti componenti Un server front-end, responsabile delle comunicazioni di rete Plug-in per funzionalita’ del server come permessi di accesso e replica  Plug-in di back-end del database dove risiedono i dati del server Un directory tree di base contenente informazioni per il server (configurazione)

Basic Directory Tree cn=config  Subtree contenente la configurazione di base di FDS o=NetscapeRoot  Subtree contentente le configurazioni di altri server come l’Administration Server o=userRoot  Subtree utente, nel nostro caso si chiamera’: L=, O=INFN, C=IT

Database back-end Il database back-end e’ il plugin che gestisce tutto lo storage utente I dati vengono archiviati tramite BerkeleyDB La configurazione base e gli schema risiedono invece in file di testo LDIF caricati allo start-up:  “cn=config”: /opt/fedora-ds/slapd-[instance]/config/dse.ldif  Schema: /opt/fedora-ds/slapd-[instance]/config/schema/*.ldif

Access control Il controllo degli accessi viene gestito attraverso le ACI (Access Control Information) L’ACI e’ un attributo amministrativo inseribile in una qualsiasi entry del DS Le ACI vengono ereditate dagli eventuali figli della entry in cui e’ inserita

Elementi dell’ACI Target  Rappresenta l’oggetto dell’ACI: entry e attributi Subject / Bind Rule  Rappresenta il soggetto (chi, da dove, come, quando) che accede al target Type of Access / Permission  E’ l’elenco delle azioni permesse o negate al Subject sul Target aci:(target="ldap:///uid=bjensen,dc=example,dc=com“)(targetattr=loginShell) (version 3.0;acl “sample"; allow (write,delete) userdn="ldap:///self"; and (dns="*.infn.it") and (dayofweek = "Sun") and (timeofday >= "900“ and timeofday < "1100"))

Wildcard e Filtri nelle ACI Nel Target e nel Subject (dn, ip, dns) e’ possibile inserire delle wildcard  es: (target="ldap:///uid=mase*,dc=example,dc=com") E’ possibile limitare il Target attraverso dei filtri controllando il contenuto degli attributi  es: (targetfilter=(objectClass=*user)) In questo modo l'ACI definira' l'accesso solo verso le entry che hanno un objectClass che termina con "user"

Ordine di valutazione delle ACI Non esiste un ordine gerarchico nella valutazione delle ACI Le ACI applicabili ad una Entry vengono valutate complessivamente I Deny hanno priorita’ sugli Allow I permessi di Allow sono dati dall’unione dei vari Allow applicabili Se non c’e’ alcun match ogni operazione viene negata

Replica Le repliche vengono effettuate sulla base dei suffix E’ possibile replicare solo interamente i suffix (es: L=LNF, O=INFN, C=IT)  In caso si voglia replicare solo un ramo (es: ou=People, L=LNF, O=INFN, C=IT) e’ necessario crearlo come sub-suffix (il quale avra’ un DB separato) Nella replica multi-master e’ possibile scrivere contemporaneamente su piu’ nodi  Ogni entry ha un attributo di timestamp dell’ultima modifica  Eventuali conflitti verranno risolti automaticamente (the last wins)

Chaining In FDS il chaining viene implementato come plug-in (Database Link) Non sono supporati il Backup, Restore, Import ed Export di un DB Link Il Bind viene inoltrato ed esaminato dal server dove risiede l’utente

Chaining A C B (proxy permission: A) db link uid=pippo, L=uno uid=pluto, L=due Query: uid=pippo, L=uno Bind: uid=pluto, L=due db link

Chaining & ACI Grazie al permesso "proxy" durante il chaining viene inoltrato lo userDN del BIND effettuato Nel server di destinazione le ACI:  Possono autorizzare direttamente uno userDN remoto  Possono autorizzare un gruppo locale costituito anche di utenti remoti  Non possono puntare ad un gruppo remoto

GSSAPI, SASL & Kerberos5 FDS supporta GSSAPI tramite mapping SASL per l’autenticazione tramite ticket Kerberos5 E possibile configurare delle regular expression per il matching del Principal negli attributi: dn: cn=krb5-lnf,cn=mapping,cn=sasl,cn=config objectClass: top objectClass: nsSaslMapping cn: krb5-lnf nsSaslMapRegexString: nsSaslMapBaseDNTemplate: ou=People, L=LNF, O=INFN, C=IT nsSaslMapFilterTemplate: (uid=\1)

Plug-in di autenticazione E’ possibile inoltrare le richieste di Bind (username&password) di FDS ad un altro metodo di autenticazione Tramite il plug-in: PAM Pass Through Auth Con PAM e’ quindi possibile utilizzare la maggior parte dei sistemi di autenticazione come AFS, Kerberos5, ecc.

Strumenti client (cmd-line) Gli strumenti piu’ comuni per accedere al DS sono ldapsearch, ldapmodify, ldapdelete Utilizzano il file di configurazione /etc/ldap.conf Opzioni comuni: -x usa simple auth (con user/pass) -D user specifica l’utente per il Bind -w pass specifica la password per il bind -W fa in modo che la password venga chiesta in seguito -h host specifica l’host a cui collegarsi -Y GSSAPI utilizza il bind tramite SASL / GSSAPI per Kerberos5 -Z o -ZZ richiede la cifratura TLS, -ZZ fa in modo che sia obbligatoria

ldapsearch ldapsearch [options] [search_filter] [attributes_to_show] E’ lo strumento che permette di interrogare il DS ldapsearch -x "sn=maselli" "dn telephoneNumber roomNumber" ldapsearch -x "sn=maselli" "*" ldapsearch -x -D "cn=Directory Manager" -W "sn=maselli" "* " E’ possibile specificare un base suffix con: ldapsearch -x –b "L=LNF,O=INFN,C=IT" "sn=maselli" "*" Per leggere le ACI: ldapsearch -x "(aci=*)" "aci"

ldapmodify ldapmodify [options] [-a] [-f file] E’ lo strumento che permette effettuare modifiche sul DS Accetta input solo in formato LDIF  Normalmente da STDIN  Oppure da file con opzione "–f file" Per default modifica entry esistenti  Per aggiungere nuove entry utilizzare l'opzione "-a"

ldapdelete ldapdelete [entry1] [entry2] [entry3] [...] E’ lo strumento che permette eliminare entry dal DS E' possibile eliminare solo entry che non abbiano figli  Eventualmente e' necessario eliminarli prima

Fedora Management Console E' lo strumento grafico principale di FDS Da questo e' possibile gestire:  Directory  Access Control Information (ACI)  Configurazione Plug-in Replica Chaining Back-up... ...

Fedora Management Console

Dael Maselli F I N E

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.