Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoBianca Borrelli Modificato 8 anni fa
1
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto AAI Firenze 21-22 maggio 2008
2
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 2 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI
3
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 3 A&A nell’INFN Nell’ultimo anno sono state effettuate due indagini per il censimento dei sistemi di Autenticazione ed Autorizzazione in uso nelle sedi dell’INFN Due risultati “interessanti” Sono in uso nell’INFN praticamente tutti i possibili sistemi di AA Nell’ultimo anno c’è stato un aumento delle sedi che utilizzano LDAP
4
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 4 Esempio: la posta elettronica Il sistema più “gettonato” è quello basato su file locali ai server, ma non mancano Kerberos, LDAP, NIS. C’è anche una sede che basa l’Autenticazione su Windows AD Sistemi di Autenticazione in uso nelle sedi INFN per l’accesso ai servizi di posta elettronica AUTENTICAZIONE
5
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 5 Esempio: la posta elettronica Come per l’Autenticazione, sono usati praticamente tutti i sistemi. Non presente nel grafico (ma implementato in alcune sedi) c’è l’autorizzazione basata su certificati X.509 (per l’uso dei server SMTP) Sistemi di Autorizzazione in uso nelle sedi INFN per l’accesso ai servizi di posta elettronica AUTORIZZAZIONE
6
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 6 Distribuzione dell’Autenticazione
7
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 7 Distribuzione dell’Autorizzazione
8
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 8 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI
9
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 9 Anatomia della INFN-AAI Quali vincoli ci hanno portato a definire la struttura della INFN-AAI Autenticazione, Autorizzazione ed architetturali Le componenti “funzionali” della INFN-AAI Le “condizioni al contorno” che hanno influito sulla definizione dell’architettura.
10
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 10 Autenticazione: i vincoli (1) Kerberos5 È usato in circa un terzo delle sedi. È indispensabile per tutte le sedi che basano i propri servizi su OpenAFS Autenticazione Unix (hash MD5, SHA-1,…) Servizi di login, posta, web Informazioni distribuite via NIS, LDAP
11
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 11 Autenticazione: i vincoli (2) Certificati X.509 Accesso a GRID Accesso ad applicazioni web (non solo locali) Accesso a server SMTP
12
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 12 I servizi centralizzati (1) DataWeb Fornisce servizi via applicazioni Web, per le quali le due fasi di Autenticazione ed Autorizzazione sono gestite da un software home-made. List-server (SYMPA) Supporta autenticazione via certificati X.509 ed LDAP Supporta autorizzazione (per l’accesso e per la configurazione di mailing-list) via LDAP
13
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 13 I servizi centralizzati (2) TRIP Basato su Proxy RADIUS. Il server RADIUS utilizzato, può demandare Autenticazione ed Autorizzazione ad un server LDAP
14
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 14 Autorizzazione: vincoli? Di fatto tutte le applicazioni in uso nell’INFN possono usare LDAP per l’autorizzazione Ma le sedi che usano LDAP hanno scelto tutte configurazioni differenti Questo non è un problema, ma implica, per ognuna di queste sedi un impegnativo lavoro per l’implementazione definitiva.
15
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 15 Architettura: vincoli! “Autoconsistenza” in ogni sede Non dipendenza dalla connettività di rete Possibilità di “estendere” la AAI per esigenze locali (es. dipartimenti di fisica) Tutte le informazioni “vicino” ai servizi centralizzati. Accesso autenticato al sistema stesso (ACI) Fault-tolerant
16
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 16 Anatomia funzionale della INFN-AAI Autenticazione Kerberos, ma non solo… Autorizzazione LDAP
17
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 17 …non solo Kerberos… Oltre all’autenticazione attraverso Kerberos la INFN-AAI permetterà anche l’utilizzo di certificati X.509 e, in una prima fase transitoria, degli hash di password ereditati dal mondo Unix.
18
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 18 Anatomia di INFN-AAI: LDAP DC=INFN,DC=IT DC=LNF,… DC=LE,… DC=PI,… DC=NA,… DC=BA,… … 4 server di “core” Multi-Master DC=INFN,DC=IT DC=LNF,… DC=INFN,DC=IT … Server di “periferia”
19
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 19 Anatomia di INFN-AAI: Kerberos Xen KDC Farm LNF.INFN.IT LE.INFN.IT BA.INFN.IT PI.INFN.IT … XX.INFN.IT LNF.INFN.IT KDC LE.INFN.IT KDC … XX.INFN.IT KDC KDC periferici
20
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 20 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI
21
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 21 Strategia di implementazione Due obiettivi: Permettere una implementazione graduale (fornire uno strumento utilizzabile da subito sia dai servizi centralizzati che dalle sedi man mano che esse “abbracceranno” la INFN-AAI) Migrazione il più “indolore” possibile per le sedi
22
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 22 Implementazione graduale L’architettura con “core” e “periferia” permette il dispiegamento della INFN-AAI in fasi successive. I servizi centralizzati potranno utilizzare la INFN-AAI non appena essa sarà popolata (anche con informazioni parziali prese da protoAAI) Le sedi avranno, una volta migrate, tutte le funzionalità della INFN-AAI a disposizione
23
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 23 Migrazione “indolore” Esistono strumenti consolidati che permettono il popolamento di un albero LDAP a partire da informazioni tipiche del mondo Unix (NIS o passwd file) È previsto il supporto per la “traduzione” delle informazioni delle sedi che usano LDAP Sarà possibile importare (in modo completamente trasparente per l’utente finale) le password Unix nei KDC Kerberos
24
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 24 Le sedi dell’INFN Buona parte delle sedi (circa una metà) avranno a disposizione uno strumento di installazione che permetterà loro di passare in pochi giorni alla INFN-AAI. A parte la configurazione di tutti i servizi locali Per le sedi che usano LDAP dovrà essere studiata una implementazione “ad sedem”. Per la configurazione dei servizi locali, in questi casi, basterà cambiare i server LDAP di riferimento
25
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 25 Personale (1) I membri del gruppo AAI-WG hanno acquisito notevole esperienza nel corso dell’ultimo anno È importante che il nucleo del futuro AAI-WG possa avvalersi di tali esperienze Sarà comunque necessario fornire supporto per le sedi Implementazione “ad sedem” per le sedi che usano LDAP Trasferimento di conoscenze a tutte le sedi Sarà necessario individuare e dedicare in modo esclusivo a tale attività, almeno 3 tecnici, oltre ad un gruppo di gestione del progetto, che costituirà il nucleo dell’AAI-WG
26
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 26 Personale (2) Per il primo anno di lavoro, sarà necessario che il gruppo AAI-WG sia formato da un nucleo di gestione formato da: 1FTE “staff” con funzioni di responsabile (eventualmente suddiviso su due persone) per il coordinamento delle attività 1FTE “staff” con riconosciute capacità tecniche che operi “alle dipendenze” dei coordinatori 1.2FTE “staff” tecnico (20% del tempo di 6 persone del gruppo AAI-WG) Un pool tecnico 3FTE (3 tecnici dedicati)
27
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 27 Milestones Il dispiegamento della INFN-AAI, potrà essere verificato in tre momenti: -test ed R&D Fase pilota Fase di produzione All’interno della quale si potranno individuare anche un ulteriore paio di momenti di verifica
28
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 28 Agenda A&A nell’INFN Anatomia della INFN-AAI Strategia di implementazione Un primo “prodotto”: la protoAAI
29
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 29 protoAAI (1) I servizi offerti da DataWeb si basano su autenticazione via CASSiO ed autorizzazione basata su un DB SQL "interno". I nuovi servizi che DataWeb si accinge a fornire (come ad esempio moodle, ma non solo) richiederebbero l'ausilio di una Directory LDAP. È stato implementato un Servizio di Directory quasi-conforme al modello INFN-AAI, per permettere una sostituzione “a caldo” protoAAI INFN-AAI
30
Firenze 21-22 Maggio 2008Riunione del Comitato per la Review dei Progetto INFN-AAI AAI-WG - Enrico M.V. Fasanelli - INFN Sezione di Lecce 30 protoAAI (2) Differenze rispetto ad INFN-AAI 2 server di “core” (entrambi ai LNF) Autenticazione via LDAP Compatibilità con l’attuale sistema di Autenticazione basato su DB SQL
31
FINE
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.