La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.

Presentazioni simili


Presentazione sul tema: "Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000."— Transcript della presentazione:

1 Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000

2 Obiettivi " Studio dei Directory Services e possibili applicazioni per l'INFN. " Implementazione di una infrastruttura per la pubblicazione e gestione delle White Pages dell'INFN

3 Attivita' svolta Progetto della struttura della base di dati (DIT) e del formato (ObjectClass) delle entry (Personale e Apparecchiature). CNAF " Implementazione del DIT dell'INFN su un PC dedicato. " Creazione di intefacce di acesso/modifica dei dati tramite WEB. Milano " Gestione centralizzata username, UID e GID e Autenticazione tramite LDAP. CNAF " Implementazione MDS per Globus

4 Server LDAP al CNAF " Al momento contiene i dati del server Whois centrale dell'INFN. " Le informazioni sono strutturate in maniera gerarchica. " Le entry al momento sono usate solo per white pages ma sono riutilizzabili per altre applicazioni. " E' interfacciato al web tramite pagine che consentono di effettuare modifiche e di inserire nuove entry e di consultare l'elenco del personale in base alla struttura delle sezioni (http://bond.cnaf.infn.it/) " E' accessibile tramite gli addressbook dei piu' comuni mail user agent. " Per compatibilta' con il sistema gia' esistente e' accessibile anche tramite gateway Whois.

5 Directory Tree Istituto Nazionale di Fisica Nucleare (Root) Sezione di Milano CNAF XYZ People Devices Questa organizzazione dei dati permette di applicare in maniera semplice policy di accesso ai dati (eg. solo la sezione di Milano ha accesso in modifica ai dati del tree corrispondente). Inoltre rende possibile inserire in maniera semplice altre entita' al database (per esempio si potrebbero registrare le apparacchiature delle sezioni)

6 Interfaccia WEB

7 Acesso ai dati Pubblicati " Attualmente le modifiche alle informazioni personali (eccetto quelle che sono riservate e devono essere modificate dalle amministrazioni e dai system manager) si possono effettuare da qualunque calcolatore registrato sotto infn.it. " Questa policy di accesso e' alquanto insicura e comunque e' la stessa attualmente usata dal server whois, nonostante questo i dati del server whois sono spesso obsoleti.

8 Aggiornamento dei dati Si e' pensato di affrontare il problema dell'aggiornamento dei dati con tre azioni: 1) Identificare i responsabili per il mantenimento dei dati all'interno delle sezioni (Commissione Calcolo). 2) Primo aggionamento dei dati. 3) Integrare il sistema con altri sistemi informativi come ad esempio il sistema di pubblicazione dei certificati X.509 e gli elenchi telefonici del personale delle sezioni pubblicati sul web. Questa coesistenza di interessi dovrebbe portare ad un maggiore livello di aggiornamento delle informazioni.

9 Policy di accesso Per quanto riguarda la policy di acesso in modifica ai dati: " Tecnicamente e' possibile stabilire diversi livelli di protezione dei dati. " Non e' chiaro come possano essere implementati nella nostra realta': " una possibilita' e' di dare password a coloro che la chiedono esplicitamente dando loro accesso ai dati personali, un'altra (che non esclude la prima) e' quella di dare accesso esclusivo alle sezioni per la gestione del personale sotto il tree corrispondente alla sezione.

10 Server LDAP CNAF Azioni future " Identificare i responsabili nelle sezioni per il mantenimento dei dati (Commissione Calcolo) " Primo aggiornamento dei dati (Sezioni) " Sostituzione del sistema Whois con LDAP " Aggiunta incrementale di servizi (web,certificati, mailing lists etc.) e parallela implementazione di policy di accesso ai dati.

11 Server LDAP CNAF Azioni future Distribuzione geografica dei server: Non e' implementabile al momento dato che non e' ancora prevista dal software usato (OpenLDAP 1.2.9). I costi della soluzione commerciale sono inoltre proibitivi. Database PC: Un approccio possibile e' quello di prevedere nella procedura di installazione di Linux (in collaborazione con il gruppo linux) un meccanismo di pubblicazione automatica su LDAP della configurazione del PC.

12 Server LDAP Sezione di Milano " Non e' integrato con il server del CNAF per motivi di sicurezza e poiche' questa e' ancora una feature sperimentale del SW usato al momento (OpenLDAP). " Viene usato per l'autenticazione sulla macchina centrale di posta al posto di /etc/passwd. " Viene usato come repository centrale di username, UID e GID " E' stato sviluppato un programma che permette di inserire accounts sulle macchine (linux, OSF) verificando la consistenza di username, UID e GID sul server LDAP. " Questo meccanismo puo' essere inserito nella procedura di kickstart linux (gruppo linux) per la creazione automatica di utenze.

13 Server LDAP Sezione di Milano LDAP Creazione Utente username,uid,gid Client Standalone passwd locale Autenticazione (passwd) Client LDAP passwd su LDAP SSL (autenticazione client/server) Cach e Replica LDAP (nscd ) ACLs (chi ha accesso a cosa)

14 Server LDAP Sezione di Milano Vantaggi " Unica istanza dei dati relativi agli utenti " Migliore gestione NFS " Cambio passwd/shell consistente su piu' macchine " Attivazione disattivazione utenti con un solo intervento Rimangono da implementare " Caching locale dei dati del server LDAP " Autenticazione client/server e canale crittato di comunicazione " Replica di backup automatico del server " Acls per stabilire le risorse a cui hanno accesso gli utenti

15 MDS per globus " Nell'ambito del testbed INFN-GRID e' stato realizzato dal gruppo un server MDS per globus. " Le installazioni di globus fanno riferimento attualmente a questo server (mds.infn.it) " Esiste anche un'interfaccia per la consultazione via web delle informazioni del server. (http://bond.cnaf.infn.it/cgi-bin/mdsbrowse.pl) " Le azioni in corso prevedono: 1) La realizzazione di una procedura di enrollment analoga a quella di globus. 2) L'inserimento di uno smart referral sul server centrale (mds.globus.org) che punti al nostro server.

16 Sviluppi e Conclusioni L'interesse verso LDAP e' stato manifestato in ambito internazionale dal CERN e da altri laboratori HEP che stanno studianto l'implementazione di un servizo di white pages per la comunta' HEP. E' nostro interesse integrare a questo sistema il nostro, una volta finalizzato l'aggiornamento dei dati attuali. Purtroppo la dispersione geografica dell'INFN rende difficoltoso il mantenimento delle informazioni e cio' potrebbe rendere vani gli sforzi che sono serviti a realizzare l'infrastruttura tecnologica: e' importante a questo punto individuare all'interno delle sezioni coloro che dovrebbero prendersi carico di mantenere i dati pubblicati.


Scaricare ppt "Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000."

Presentazioni simili


Annunci Google