389 Directory Server Dael Maselli.

Slides:



Advertisements
Presentazioni simili
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Advertisements

Introduzione ad Active Directory
Java Enterprise Edition (JEE)
File System Cos’è un File System File e Directory
Connessione con MySQL.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Introduzione ad Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory.
Installazione di Active Directory
Active Directory.
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
Alessandra Doria III Workshop Software e Calcolo Moderno Martina Franca Ottobre 1999 La presentazione degli istogrammi nel sistema di Monitoring.
Posta elettronica ( ) chiocciola" comunemente letta at Identificativo dellutente Identificativo del computer centrale sul quale risiede.
File System NTFS 5.0 Disco: unità fisica di memorizzazione
LDAP Studio di fattibilità. Le sezioni dello studio di fattibilità 1. Panoramica sulla situazione attuale 2. Progetto della soluzione 3. Specifiche generali.
2) Sistemi operativi Lab. Calc. AA2004/05 - cap.2.
La facility nazionale Egrid: stato dell'arte Egrid-Team Trieste, 9 ottobre 2004.
Test sul Cisco VPN Concentrator
Wireless Authentication
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
PresenzeWeb: breve guida
Ottobre 2006 – Pag. 1
Guida IIS 6 A cura di Nicola Del Re.
Printserver2.pg.infn.it (VM Xen in esecuzione su redhat cluster)
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
File system distribuito transazionale con replicazione
Configurazione di una rete Windows
Pippo.
INFN-AAI Directory Service LDAP Dael Maselli (Slides by Fulvio Ricciardi) Tutorial INFN-AAI Plus Dicembre 2010.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
12/03//02 1 Dichiarazione OnLine di cambio di abitazione Compilazione guidata dei moduli Ricezione via della ricevuta di invio Ricezione via .
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
Architettura dei Servizi di Directory Università Cattolica del Sacro Cuore - Sede di Brescia - Facoltà di Scienze Matematiche Fisiche e Naturali Corso.
FTP File Transfer Protocol
Tavolo di coordinamento regionale della rete degli Sportelli Unici per le Attività Produttive 06 Febbraio 2013 Servizio Sportelli unici per le attività’
Esigenze nell’implementazione della suite di collaborazione di Oracle nell’infrastruttura IT dell’Istituto Nazionale di Fisica Nucleare Dael Maselli Oracle.
Analisi e sperimentazione di una Certification Authority
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
INFN-AAI Stato dell’infrastruttura centrale Dael Maselli Workshop INFN CCR 2015.
GESTIONE RETI TCP/IP l troubleshooting è necessario per risolvere molti problemi che si possono verificare all'interno di una rete, una delle aspirazioni.
Eprogram informatica V anno.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.
INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
INFN-AAI scelte tecniche Dael Maselli INFN - Laboratori Nazionali di Frascati Riunione comitato di revisione progetto AAI Firenze maggio 2008.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Dicembre 2010.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Struttura nazionale di Nameserver per i servizi ad alta affidabilità Riccardo Veraldi - CNAF.
Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
DNS HA
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Tutorial INFN-AAI Liv.2 Server LDAP
INFN-AAI Autenticazione e Autorizzazione
INFN-AAI Autenticazione e Autorizzazione
389 Directory Server Dael Maselli.
Transcript della presentazione:

389 Directory Server Dael Maselli

Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e SASL) Codice sviluppato da 10 anni 389ds discende direttamente da RedHat DS, che a sua volta viene da Netscape DS, il quale e’ stato sviluppato insieme Sun One DS (iPlanet) Documentazione molto completa E’ possibile fare riferimento a RedHat DS: http://www.redhat.com/docs/manuals/dir-server/

Funzionalita’ principali Supporto per LDAPv3 Schema update, configurazione e Access Control Information (ACIs) on-line Console grafica per la gestione della configurazione

Architettura 389 Directory Server e’ composto dai seguenti componenti Un server front-end, responsabile delle comunicazioni di rete Plug-in per funzionalita’ del server come permessi di accesso e replica Plug-in di back-end del database dove risiedono i dati del server Un directory tree privato contenente informazioni per il server (configurazione)

Basic Directory Tree cn=config o=NetscapeRoot o=userRoot Subtree contenente la configurazione di base di 389ds o=NetscapeRoot Subtree contentente le configurazioni di altri server come l’Administration Server o=userRoot Subtree utente, nel nostro caso si chiamera’: dc=infn, dc=it

Database back-end (1) Il database back-end e’ il plugin che gestisce tutto lo storage utente I dati vengono archiviati tramite BerkeleyDB La configurazione base e gli schema risiedono invece in file di testo LDIF caricati allo start-up: “cn=config”: /etc/dirsrv/slapd-[instance]/config/dse.ldif Schema: /etc/dirsrv/slapd-[instance]/config/schema/*.ldif

Database back-end (2) Ad ogni ramo della directory puo' essere associato un DB Per semplicita' si puo' pensare in modo analogo al mount di un filesystem in un albero di directory Dal "mount point" in giu' le informazioni risiedono su DB diverso dal precedente

Access control Il controllo degli accessi viene gestito attraverso le ACI (Access Control Information) L’ACI e’ un attributo amministrativo inseribile in una qualsiasi entry del DS Le ACI vengono ereditate dagli eventuali figli della entry in cui e’ inserita

Elementi dell’ACI Target Subject / Bind Rule Rappresenta l’oggetto dell’ACI: entry e attributi Subject / Bind Rule Rappresenta il soggetto (chi, da dove, come, quando) che accede al target Type of Access / Permission E’ l’elenco delle azioni permesse o negate al Subject sul Target aci: ( target="ldap:///infnPersonUUID=a1ddcca3-37d3-4149-819d-ad1e37165547, dc=infn, dc=it“ ) ( targetattr=loginShell ) ( version 3.0;acl “sample"; allow (write,delete) userdn="ldap:///self"; and (dns="*.infn.it") and (dayofweek = "Sun") and (timeofday >= "900“ and timeofday < "1100") )

Wildcard e Filtri nelle ACI Nel Target e nel Subject (dn, ip, dns) e’ possibile inserire delle wildcard es: (target="ldap:///infnPersonUUID=*,dc=infn,dc=it") E’ possibile limitare il Target attraverso dei filtri controllando il contenuto degli attributi es: (targetfilter=(telephonenumber=06*)) In questo modo l'ACI definira' l'accesso solo verso le entry che hanno un objectClass che termina con "user"

Ordine di valutazione delle ACI Non esiste un ordine gerarchico nella valutazione delle ACI Le ACI applicabili ad una Entry vengono valutate complessivamente I Deny hanno priorita’ sugli Allow I permessi di Allow sono dati dall’unione dei vari Allow applicabili Se non c’e’ alcun match ogni operazione viene negata

Replica Le repliche vengono effettuate a livello di Database Il traffico LDAP per le repliche puo' essere cifrato tramite SSL Autenticazione tra i nodi coinvolti tramite: Password SSL PKI

Replica Master-Slave Il supplier e' il nodo che fornisce i dati (master) Il consumer e' invece quello che li riceve (slave) In un supplier deve essere configurato un replication agreement per ogni consumer E' il processo che si occupa di inviare gli aggiornamenti Un consumer puo' a sua volta reinviare ogni update ricevuto ad un altro consumer, in tal caso il nodo viene chiamato hub

contemporaneamente supplier e consumer Replica Multi-Master Nella replica multi-master e’ possibile scrivere contemporaneamente su piu’ nodi Ogni entry ha un attributo di timestamp dell’ultima modifica Eventuali conflitti verranno risolti automaticamente (the last wins) In una replica Multi Master ogni nodo e' contemporaneamente supplier e consumer

GSSAPI, SASL & Kerberos5 389ds supporta GSSAPI tramite mapping SASL per l’autenticazione tramite ticket Kerberos5 E possibile configurare delle regular expression per il matching del Principal negli attributi: dn: cn=krb5,cn=mapping,cn=sasl,cn=config objectClass: top objectClass: nsSaslMapping cn: krb5 nsSaslMapRegexString: \(.*\) nsSaslMapBaseDNTemplate: ou=People, dc=infn, dc=it nsSaslMapFilterTemplate: (infnAccountKerberosPrincipal=\1)

Plug-in di autenticazione E’ possibile inoltrare le richieste di Bind (username&password) di 389ds ad un altro metodo di autenticazione Tramite plug-in nativi 389ds Pam passthru Oppure scrivendo dei plug-in custom Ne e' stato scritto uno da Fulvio per l'autenticazione user/pass Kerberos5

389 Management Console E' lo strumento grafico principale di 389ds Da questo e' possibile gestire: Directory Access Control Information (ACI) Configurazione Plug-in Replica Back-up ...

389 Management Console

389 Management Console

389 Management Console

Altro materiale ed esecitazione: F I N E Altro materiale ed esecitazione: http://wiki.infn.it/cn/ccr/aai/howto/389ds-1.x-install Dael Maselli e-mail: Dael.Maselli@LNF.INFN.IT