Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoDelfina Forte Modificato 9 anni fa
1
AFS cross cell authentication in ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003
2
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 2 …& Co (-starring) Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi
3
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 3 Also starring SICR INFN Roma – Alessandro Spanu – Daniela Anzellotti – Cristina Bulfon – Marco De Rossi
4
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 4 Agenda Cos’è – Kerberos 5 cross realm authentication – AFS cross cell authentication Perché Le prime prove effettuate Le prove da fare I passi successivi Possibili evoluzioni
5
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 5 Kerberos 5 X-realms authentication Relazioni di trust tra REALMs Kerberos – Ogni “principal” di un realm è autenticato anche nel realm trusted Transitive in Kerberos5 – gerarchiche (all’interno dello stesso albero) – CAPATHS (tra alberi disgiunti) LE.INFN.IT INFN.IT LNF.INFN.IT
6
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 6 Utilità Un utente, autenticato in un realm, può usare risorse dell’altro realm. telnet –a –l root server.le.infn.it sandro@LNF.INFN.IT
7
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 7 AFS cross cell authentication Si definiscono opportuni gruppi di protezione kinit – acquisisce un TGT Kerberos5 aklog – dato un tgt genera un token AFS (usando ahimè krb524d) aklog – genera entry nel PTS della cella esterna (se non esiste) – ottiene il token nella cella esterna AFS cell le.infn.it AFS cell lnf.infn.it system:authuser@lnf.infn.it system:authuser@le.infn.it sandro@LNF.INFN.IT AFS id 4 for afs@lnf.infn.it sandro@lnf.infn.it AFS id 4 for afs@le.infn.it
8
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 8 Perchè Esistenza di varie celle in produzione – pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it Previsione di nuove celle – roma1.infn.it – tier1.infn.it ????? Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle Interesse già evidenziato da parte di LNF OpenAFS & MIT – Integrato supporto per Kerberos5 in OpenAFS > 1.2.8 – Integrato codice per supporto di AFS in Kerberos MIT 1.3 ALMOST RECYCLED SLIDE
9
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 9 Le prime prove effettuate 1/3 Lavoro iniziato in aprile 2003 – ~ 2 settimane-uomo Layout di test basato su – Kerberos v5 MIT 1.2.7 – OpenAFS 1.2.8 – Linux RedHat 7.3 (8.0 a Pisa) – Kernel 2.4.18-7x Ricompilati i pacchetti a partire da.src.rpm
10
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 10 Le prime prove effettuate 2/3 Definito dominio – configurato BIND Generato REALM Kerberos5 – configurato il master KDC – supporto per AFS Generata cella AFS krb5test.infn.it le.krb5test.infn.it lnf.krb5test.infn.it pi.krb5test.inf.nit cnaf.krb5test.infn.it
11
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 11 Le prime prove effettuate 3/3 Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs – le, lnf, pi, cnaf Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it) Definito le entries per la cross cell AFS authentication Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it)
12
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 12 EUREKA ! Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo. Problemi con le altre celle (ma probabilmente legati ad errori di configurazione) le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…)
13
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 13 Cosa abbiamo verificato/imparato La cross realm authentication in Kerberos5 continua a funzionare bene – circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs
14
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 14 Le prove da fare subito Ripetere tutto con hardware più affidabile/nuovo – krb5test.infn.it è su un AMD K6@300MHz con ben 28MB di RAM e disco da 3GB Rendere riproducibili i risultati sulla cross authentication di celle AFS
15
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 15 … e poi? Kerbeos v5 REALM INFN.IT – cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF AFS cross cell authentication tra le varie celle locali basate su Kerberos5 Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti
16
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 16 Kerberos in [xx.]INFN.IT ed oltre Servizi kerberizzati – mail (smtp, imap) print, telnet, ecc. – Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server Cross realm authentication con HEP – FNAL.GOV è “pronto” (HEPiX autumn 2002) – DESY.DE inizia a lavorarci (HEPiX spring 2003) – INFN.IT report/proposal (HEPiX autumn 2003?)
17
Paestum - 11 giugno 2003 Enrico M.V. Fasanelli & Co 17 Conclusioni OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4) Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni: – per le celle AFS, potrà : garantire sharing di risorse tra celle locali permettere management locale alleggerire il management della cella infn.it
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.