STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena"

Transcript

1 STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Tesi presentata per la discussione del diploma di laurea in Informatica Università di Genova Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Informatica e Scienze dell Informazione A.A. 2000/2001 Relatori prof. Giovanni Chiola dott. ing. Stefano Bencetti Correlatore prof. Vittoria Gianuzzi Università degli Studi di Genova Genova, xx/yy/2002

2 Università di Genova ESTRATTO STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Relatori: prof. G. Chiola, dott. ing. S. Bencetti Correlatore: prof. V. Gianuzzi Dipartimento di informatica e Scienze dell Informazione [Digitare qui l'estratto]

3 SOMMARIO INTRODUZIONE... L intranet DISI: Struttura... Servizi... Problemi legati alla sicurezza... KERBEROS... Descrizione del protocollo... Autenticazione cross-realm... Condizioni di funzionamento... Formato dei ticket... Database Kerberos... IMPLEMENTAZIONE NELL AMBIENTE WINDOWS Applicazioni che supportano Kerberos... Funzionalità del protocollo... Accesso all interfaccia... IMPLEMENTAZIONE NELL AMBIENTE UNIX Applicazioni che supportano Kerberos... Accesso all interfaccia... INTEGRAZIONE ED INTEROPERABILITÀ... Scenari di interoperabilità... TEST... Come configurare Kerberos in ambiente Windows Come configurare Kerberos in ambiente Linux... Interoperabilità nell intranet DISI... GLOSSARIO... BIBLIOGRAFIA...

4 INDICE DELLE FIGURE Numero Pagina Figura 1: Struttura dell intranet DISI 3 Figura 2: Protocollo di autenticazione Kerberos (Base) 8 Figura 3: Protocollo Kerberos completo 9 Figura4: Processo di autenticazione Kerberos 19 Figura 5: Processo delega Kerberos 22 Figura 6: Processo di accesso interattivo locale 23 Figura 7: Processo di accesso interattivo di domino 24 Figura 8. L interfaccia dell implementazione di Kerberos in Linux 36 ii

5 RINGRAZIAMENTI Si desidera ringraziare per la preziosa collaborazione Davide Petta, Gianni Verduci, iii

6 Giunti che furo, il gran Cerbero udiro abbaiar con tre gole, e l buio regno intonar tutto; indi in un antro immenso sel vider pria ginger disteso avanti, poi sorger, digrignar, rapido farsi, con tre colli arruffarsi, e mille serpi squassarsi intorno. (Virgilio, Eneide: Libro VI, ) Cerbero, fiera crudele e diversa, con tre gole carinamente latra sopra la gente che quivi è sommersa. Li occhi ha vermigli, la barba unta e atra, e l ventre largo, e unghiate le mani; graffia li spirti, iscuoia ed isquarta. (Dante, La Divina Commedia, Inferno: Canto VI, 13-18) iv

7 Capitolo 1 Oggetto della nostra ricerca è lo studio del protocollo di autenticazione Kerberos nell ottica di una sua applicazione al sistema informatico del Dipartimento di Informatica e Scienze dell Informazione dell Università di Genova. INTRODUZIONE I moderni sistemi informatici forniscono una grande varietà di servizi ad una molteplicità di utenti, per cui si é reso necessario identificare i singoli utenti in maniera univoca. Questo servizio è offerto dai sistemi tradizionali in fase di login, attraverso la verifica della corrispondenza di una password ad un determinato nome utente; il sistema può così validarlo e offrirgli i servizi a lui concessi. Tale metodo di autenticazione non é più sufficiente per gli attuali sistemi informativi, costituiti da un gran numero di elaboratori collegati fra loro attraverso reti che sempre più spesso sono di dimensione geografica su larga scala. Le password che viaggiano in rete nei sistemi tradizionali sono trasmesse in chiaro, motivo per cui qualunque intercettatore le può in seguito utilizzare per impersonare un certo utente su una determinata rete. Questo scenario può essere complicato a piacere, introducendo nell ambiente operativo ulteriori fattori di rischio dati da particolari necessità degli utenti, da errori nella fase di progettazione del sistema informativo, dalla disomogeneità degli apparati (sia hardware che software) e da quanto altro la fantasia di utenti maliziosi può generare. 1

8 La vulnerabilità di un sistema nel quale il sistema di autenticazione non é sicuro porta principalmente a tre grossi problemi che potrebbero presentare anche implicazioni dal punto di vista legale: integrità, riservatezza e autorizzazioni per concedere determinati servizi. L INTRANET DISI In uno scenario di questo tipo si colloca l attuale intranet del DISI (Dipartimento di Informatica e Scienze dell Informazione) dell Università di Genova. Si tratta infatti di una rete di calcolatori mista da un punto di vista relativo all hardware (personal computer IBM compatibili, Macintosh, San), come software (Unix, MacOs, Windows2000), sia come bacino di utenza (personale tecnico scientifico, studenti, visitatori). La situazione attuale di questa rete é la situazione tipo descritta al punto precedente: un server autentica l utente in fase di login attraverso l inserimento di un userid e di una password, gli assegna un gruppo di utenza basato su ACL attraverso il quale gli viene riconosciuto l accesso ad un certo servizio piuttosto che ad un altro. Inoltre la rete é connessa in modo permanente ad Internet e ciò la espone ad ulteriori rischi provenienti da eventuali hacker esterni che possono avere interesse a violare le risorse del dipartimento. Attualmente ci si trova in una fase di transizione nella quale si sta cercando di individuare sia i problemi che necessitano di una soluzione più rapida (cominciando a sostituire i servizi tradizionali quali telnet, rsh, rlogin con i servizi equivalenti basati su 2

9 C A x 1x 8x 2x 9x 3x A 10x 4x 11x 5x 12x 6x 7x 1x 8x 2x 9x 3x B 10x 4x 11x 5x 12x 6x C A x 1x 8x 2x 9x 3x A 10x 4x 11x 5x 12x 6x 7x 1x 8x 2x 9x 3x B 10x 4x 11x 5x 12x 6x C A C A C A x 1x 7x 1x 7x 1x 8x 2x 8x 2x 8x 2x 9x 3x 9x 3x 9x 3x A A A 10x 4x 10x 4x 10x 4x 11x 5x 11x 5x 11x 5x 12x 6x 12x 6x 12x 6x 7x 1x 7x 1x 7x 1x 8x 2x 8x 2x 8x 2x 9x 3x 9x 3x 9x 3x B B B 10x 4x 10x 4x 10x 4x 11x 5x 11x 5x 11x 5x 12x 6x 12x 6x 12x 6x tecniche crittografiche quali ssh, IPSec, ecc.), che quelli con soluzioni più laboriose (Firewall e autenticazione). WWW Server SUN Selene Router Modem Eth ern et x Hub 152 Eth ern et x Eth ern et Hub 10 Lab. Sw1 (No gateway) Server NT Eth e rn e t Hub Lab. Sw2 (No gateway) Hub Lab. Tesisti (Gateway) Modem Eth ern et Server SUN Elios Server NT Hub 61 (Docenti e altri gruppi) Figura 1 L intranet DISI Questa rete fornisce accesso ai domini disi.unige.it ed educ.disi.unige.it ad un numero elevato di utenti attraverso i due server di dominio Elios e Selene, rispettivamente per docenti/personale e per gli studenti. La sottorete educ, identificata dall IP x è collegata alla rete disi.unige.it attraversi il server SUN Elios. Questa sottorete è 3

10 composta principalmente da personal computer dual boot (s. o. Windows 2000 e Linux) distribuiti in tre laboratori: Sw1, Sw2, tesisti. L autenticazione nell ambiente Linux è gestita dal server SUN Selene, mentre per i sistemi Windows 2000 è gestita da un server Windows 2000 in Sw1. In particolare il server Selene (SUN) funziona anche come server per la posta e per le home directory degli studenti, come DNS e fornisce inoltre servizi di NIS e di pagine gialle. Il server del laboratorio Sw1 (Windows 2000) fornisce servizi di quote di stampa e servizi web per il sito Internet degli studenti (http, FTP). Il server Elios (SUN) fornisce servizi di posta per i docenti, servizi DNS e servizi PROXY per la rete educ, al fine di permettere l accesso controllato ad Internet. Le macchine appartenenti ai laboratori SW1 e Sw2 appartengono ad una virtual lan non visibile all esterno della rete, che non ha gateway e che può accedere all esterno solo attraverso il proxy Elios; quelle del laboratorio tesisti, invece, non hanno gateway e sono quindi visibili dall esterno e possono accedere liberamente alla rete Internet. 4

11 Capitolo 2 Sono stati fin qui discussi i problemi legati all autenticazione basata su password, in particolare sui rischi a cui questa metodologia espone. Tutto ciò risulta anche scomodo per quel utente finale che, trovandosi ad utilizzare una rete, si vede richiedere userid e password ad ogni accesso di un servizio. Da qui la necessità di sviluppare dei sistemi di autenticazione più robusti basati sulla crittografia. Un esempio comune di questi sistemi è dato dal protocollo Kerberos. KERBEROS Kerberos è un sistema distribuito di autenticazione che permette ad un processo (detto client) che agisce a nome di un utente di provare la propria identità ad un entità di verifica (server di autenticazione) senza trasmettere dati che, se intercettati, in futuro potrebbero permettere a qualcuno di impersonare un certo utente 1. È stato sviluppato presso il Massachusetts Institute of Technology di Boston come parte del progetto Athena 2. Scopo di Kerberos, a questo livello, era connettere fra di loro alcune LAN senza un sistema di controllo centralizzato, agendo da substrato per l accesso ai diversi servizi decentrati forniti dalle diverse reti del MIT., quali file system, centri stampa, servizi di posta, ecc. In questo caso l utente ha il controllo completo sulla macchina in casi estremi può anche 1 Kerberos: An authentication Service for Computer Networks (op. cit.) 2 Sviluppo di un ambiente di lavoro distribuito indipendente dalla workstation utilizzata nel quale l utente agisce in un suo ambiente personale che viaggia sulle macchine di una determinata rete. 5

12 sostituirla o modificarla per cui non può più essere considerata affidabile per l integrità della rete cui appartiene. Per essere efficace Kerberos deve essere integrato con altre parti del sistema; infatti non protegge tutte le comunicazioni della rete, ma solamente le comunicazioni che avvengono fra elementi del sistema (o applicazioni) kerberizzati cioè progettati o modificati in modo tale da sfruttare le potenzialità del protocollo. Kerberos da solo, infatti, non è in grado di fornire autorizzazioni, ma si occupa di trasferire le informazioni necessarie a questo servizio fra i processi coinvolti. In particolare, durante la progettazione di Kerberos sono stati considerati fattori di vitale importanza i punti seguenti:? Massima trasparenza del sistema: l utente deve identificarsi solo in fase di login;? Minimo sforzo per modificare applicazioni che facevano uso di altri sistemi di autenticazione;? Limitatezza dell autenticazione alla sessione corrente;? Entrambe le entità coinvolte nell autenticazione devono farsi riconoscere;? Nessuna password o chiave deve essere trasmessa in chiaro nella rete;? Nessuna password deve essere immagazzinata in chiaro nei server;? Nei client le password in chiaro devono essere immagazzinate per il minor tempo possibile e poi distrutte; 6

13 ? Al termine del processo di autenticazione le due entità devono aver concordato una chiave con la quale eventualmente stabilire una comunicazione riservata. Lo schema scelto è basato sul protocollo Needham Schroeder, ed a un primo livello di dettaglio i due protocolli sono assimilabili. Assunzione di base di questo protocollo è l'esistenza di un server sicuro, chiamato centro di distribuzione chiavi (KDC), la cui funzione è quella di ridistribuire alle entità interessate le chiavi segrete con cui queste possano stabilire una comunicazione sicura. Per far ciò il KDC dovrà avere una chiave di comunicazione per ogni cliente. DESCRIZIONE DEL PROTOCOLLO Il modello di kerberos è dettagliatamente descritto dal documento RFC Immaginiamo una realtà nella quale esista un server di autenticazione sicuro (AS) ed un insieme di utenze e di servizi di rete che supportino Kerberos. Vediamo ad un livello di base il processo di autenticazione di un utente presso un servizio:? Il client richiede delle credenziali al AS;? L AS risponde inviando al client un ticket per il servizio richiesto ed una chiave di sessione cifrati con la chiave del client;? Il client può ora accreditarsi sul server mandandogli un messaggio contenente il suo ticket e la chiave di sessione codificati con la chiave del server. 7

14 Client Richiesta credenziali() Autentication Server Verifier Credenziali() operation1() Ok() Figura2: Protocollo di autenticazione Kerberos (Base) Poiché il ticket inviato al server viene trasmesso per lo più in chiaro e potrebbe quindi essere intercettato e riutilizzato, il messaggio è composto di informazioni addizionali che permettono di verificare inequivocabilmente che il messaggio è stato generato proprio dall entità a cui era stato rilasciato. Questa informazione, infatti è codificata con la chiave di sessione ed include una marca temporale che prova che il messaggio è stato generato da poco tempo e non è quindi una replica. Inoltre la codifica con la chiave di sessione prova che chi l ha generata possiede questa chiave, e questi non può essere altro che colui che l ha richiesta all AS in quanto gli è stata restituita cifrata in modo tale che soltanto lui potesse leggerla. Inoltre, la chiave di sessione, ora condivisa dai due, può essere usata per stabilire un canale di comunicazione sicuro fra le due parti che garantisca la privacy e l integrità dei messaggi scambiati. Da un punto di vista implementativo tutto questo è valido se su di una rete sono presenti uno o più AS in funzione su host fisicamente sicuri. L AS mantiene un database degli utenti e dei servizi della rete (principal) e una copia delle loro chiavi private. 8

15 Tipicamente un client di una rete può accedere a numerosi servizi che potrebbero richiedere una qualche autenticazione; in questo modo però ogni volta che il client deve essere accreditato presso un verifier l utente deve digitare la sua password. Questo non è consigliabile né perché limita la trasparenza del sistema, né perché espone la password dell utente a rischi di cattura di eventuali hacker. Una possibile soluzione sembrerebbe essere quella di memorizzare la password, ma ciò è poco sicuro. Kerberos risolve questo problema introducendo un nuovo elemento il Ticket Granting Server (TGS). Questo è un entità logicamente separata dall Authentication Server anche se fisicamente può risiedere sulla stessa macchina di quest ultimo; di solito ci si riferisce all insieme di queste due entità con la sigla KDC: Key Distribution Center. Client AS TGS Verifier Richiesta TGT() TGT() Richiesta ticket di sessione() Ticket di Sessione() Richiesta Verifier() Ok() Figura 3: Protocollo di autenticazione Kerberos (Completo) In questo modo il client si autentica al momento del login presso l AS, ricevendo come credenziali un Ticket Granting Ticket che utilizzerà presso il Ticket Granting Server per ottenere nuove 9

16 credenziali ogni qual volta gli sarà necessario per accedere ai servizi di un verifier accreditato su quella rete. Giunti a questo livello di dettaglio nella spiegazione del protocollo è necessario introdurre il concetto di realm di Kerberos. AUTENTICAZIONE CROSS-REALM Fino ad ora si è considerata solo la situazione in cui è presente solo un server di autenticazione ed un unico TGS. Questo non provoca problemi in situazioni in cui il numero di utenti è limitato, mentre per grossi sistemi questo sistema può diventare un collo di bottiglia per il processo di autenticazione: in altre parole questo sistema non è scalabile. È spesso vantaggioso dividere una rete in diversi realm kerberos, ognuno dei quali ha i propri AS e TGS. Queste divisioni coincidono spesso con i confini dipartimentali. Per permettere l autenticazione cross-realm - cioè per permettere ad utenti registrati in un realm di accedere a servizi in un altro è necessario che il realm dell utente abbia un TGS remoto (RTGS) registrato nell altro realm per il servizio richiesto. Vediamo come cambia il protocollo per questa estensione del protocollo:? Il client contatta l AS per accedere al TGS;? Il client contatta il TGS per accedere al RTGS;? Il client contatta l RTGS per accedere al servizio richiesto. 10

17 Nella realtà la situazione si può complicare a piacere. In alcuni casi, dove ci sono molti realm, è inefficiente registrare ogni realm in ogni altro realm. Nella versione 4 del protocollo Kerberos era necessario che un AS si registrasse presso ogni altro realm col quale era richiesta l autenticazione cross-realm per uno o più utenti. Questo non rientra nei canoni della scalabilità in quanto l interconnessione completa fra i reami richiederebbe lo scambio di n 2 chiavi dove n è il numero dei realm. La versione 5 ha introdotto il supporto per l autenticazione multihop-cross-realm, permettendo la condivisione delle chiavi in maniera gerarchica. Ogni realm condivide una chiave con i realm genitori e figli; ad esempio il realm ISI.EDU condivide una chiave con il dominio EDU che a sua volta condivide chiavi con MIT.EDU, USC.EDU. Se ISI.EDU e USC.EDU non condividono una chiave l autenticazione di su un server registrato presso MIT.EDU procede in questo modo:? Si ottiene un TGT per il realm EDU dall AS del realm ISI.EDU;? Si usa questo TGT per ottenerne uno dal realm MIT.EDU dall AS di EDU;? Infine si ottiene un ticket per il verifier dall AS del realm MIT.EDU. 11

18 La lista dei realm attraversati nel corso dell autenticazione multi-hop è registrata nel ticket ed è il verifier che si occupa del verificare che il percorso di autenticazione sia corretto. Sono inoltre supportate anche cammini di autenticazione alternativi (scorciatoie) a quello gerarchico in modo tale da migliorare notevolmente le performance del processo di autenticazione. CONDIZIONI DI FUNZIONAMENTO Per un corretto funzionamento di Kerberos bisogna fare alcune assunzioni sull ambiente in cui opera:? Kerberos non previene gli attacchi DoS, ma la loro prevenzione (e l eventuale cura) è lasciata agli amministratori e agli utenti del sistema.? I principal devono tenere segrete le loro chiavi; se un intruso riesce a venire in possesso di una chiave sarà in grado in qualunque momento di impersonare l identità di un dato principal.? Kerberos non previene gli attacchi brutali sulle password. Un utente che utilizza password facili mette a rischio la sicurezza delle sue stesse chiavi in quanto queste sono derivate dalla sua password, che una volta scoperta è una porta aperta alla violazione del sistema.? Ogni host di un realm deve essere sincronizzato con gli altri, in quanto la sincronizzazione è utilizzata per scoprire eventuali attacchi da furto di ticket.? Gli identificatori dei principal non vengono riutilizzati in tempi brevi; infatti utilizzando le ACL per controllare i permessi di accesso dei singoli principal, nel caso in cui 12

19 un utente venisse eliminato senza che l ACL corrispondente venga cancellata, questa, nel caso in cui un vecchio identificatore cancellato venisse riciclato, verrebbe automaticamente ereditata dal nuovo principal. Non permettendo il riciclo questo pericolo è scongiurato. FORMATO DEI TICKET Ogni ticket di Kerberos contiene un insieme di flag che sono usati per indicarne I vari attributi. La maggior parte dei flag sono richiesti dal client quando questi lo ottiene dal server, mentre altri sono settati automaticamente dal server. Vediamo nel seguito quale sia il valore di questi flag attraverso alcuni esempi. Il flag initial indica che il ticket é stato emesso utilizzando il protocollo AS e non basandosi su di un TGT. Questo pó essere utile nel caso in cui un server voglia ottenere la chiave di un client (p.e. in caso di modifica della password). Il flag pre-authent e hw-authent portano informazioni addizionali circa l autenticazione iniziale, senza considerare se il ticket sia stato emesso su base di un TGT o meno (di ciò se ne occupa il flag initial). Il flag invalid indica che un ticket non é valido. L application server che lo riceve deve rifiutare un ticket con questo flag attivo. Di solito un ticket postdatato reca questo flag a 1. I ticket invalidi prima di essere usati devono essere validati dal KDC, cui verranno presentati in una richiesta di TGS con l opzione validate specificata. Il KDC validerà il ticket solo dopo che il suo starttime sarà passato; in questo 13

20 modo i ticket rubati non verranno più attivati (grazie all uso scongiunto di hot-list). Alcune applicazioni possono avere la necessità di dover mantenere validi dei ticket per un tempo piuttosto lungo, anche se ciò può essere pericoloso in quanto espone le credenziali di un principal a rischi maggiori e, nel caso di un loro furto, queste resteranno valide più a lungo. I ticket rinnovabili hanno due expiration time : il primo é il momento in cui il ticket perde valore, il secondo é il tempo massimo entro il quale il ticket può essere rinnovato. Un client deve periodicamente presentare un ticket rinnovabile al KDC con l opzione renew attiva nella richiesta al KDC. Il KDC emetterà un nuovo ticket con una nuova chiave di sessione e una expiration time successiva. Tutti gli altri capi del ticket resteranno immutati. Nel momento in cui i raggiunge il latest expiration time il ticket perderà completamente validità. Ad ogni operazione di rinnovo il KDC dovrà consultare la hot-list per determinare se il ticket é stato rubato o meno e quindi se sia o meno rinnovabile. Il flag renewable in un ticket é normalmente interpretato solo dal TGS e di solito viene ignorato dagli application server; alcune applicazioni particolari possono comunque disabilitare quest opzione. Occasionalmente un applicazione può richiedere un ticket che userà in futuro (p.e. un sistema batch può richiedere un ticket che dovrà essere valido al momento in cui il processo sarà attivo). Ciò é comunque pericoloso in quanto questi saranno disponibili più a lungo e validi in futuro e, quindi, più appetibili per possibili furti. Per limitare i danni possibili i ticket posdatati necessitano di un autenticazione ulteriore da parte del KDC al momento dell esecuzione del processo che li aveva richiesti (fino a questo momento sono in stato dormant ). Nel caso in cui venga segnalato il 14

21 furto di un ticket il KDC si rifiuterà di validarlo, rendendo cosi vano il furto. Il flag may-postdate è solitamente interpretato soltanto dal TGS mentre viene ignorato dagli altri servizi. Questo flag deve essere impostato nel caso in cui il ticket in questione possa servire per emettere ticket posdatati; non serve tuttavia ad un client per ottenere un TGT posdatato. Il KDC può limitare la durata nel futuro di un ticket posdatato. Il flag postdated indica che un ticket è stato posdatato; in questo caso l application server può verificare la data dell autenticazione originale nel campo authtime del ticket stesso. Alcuni servizi possono essere configurati per rifiutare i ticket posdatati o, a discrezione dell amministratore di sistema, per accettare solo quelli posdatati entro un determinato periodo. Quando il KDC emette un ticket posdatato deve anche impostare il campo invalid in modo da obbligare il client a validarlo presso il KDC prima dell uso. A volte può essere necessario che un principal permetta ad un servizio di compiere delle operazioni a suo nome. Per fare ciò il servizio deve essere in grado di prendere l identità del client ma solo per un ben determinato scopo. Un principal può permettere ciò grazie al flag proxiable del ticket Kerberos. Questo flag solitamente ignorato dai server applicativi permette al TGS di emettere un ticket (ma non un TGT) basato su questo stesso, ma con un diverso indirizzo di rete. Questo può essere utile nel caso di un server di stampa che debba accedere un certo file server per stampare dei dati a nome di un determinato principal. L inoltro dell autenticazione è un istanza del caso precedente nel quale al servizio è garantito il completo uso dell identità del principal. Questo genere di autenticazione può essere utile nel quale un utente autenticato su un certo realm abbia necessità di lavorare su un altro realm remoto come se lavorasse in locale (login remoto). Il flag forwardable in un ticket è di solito considerato solo dal TGS e si 15

22 comporta come il flag proxiable con l unica differenza che può essere utilizzato anche per generare dei TGT. L uso di questo flag permette all utente di ottenere credenziali da un AS remoto senza dover ogni volta reinserire la password. DATABASE KERBEROS Il server Kerberos deve avere accesso ad un database contenente gli identificatori dei principal registrati e le loro chiavi segrete; visto il contenuto di tale database è ragionevole pensare che l host su cui risiede il server Kerberos sia fisicamente separato da quello su cui risiede il database, che dovrebbe trovarsi in condizioni di inviolabilità assoluta per evitare accessi e/o modifiche non permessi pena la completa inaffidabilità del sistema. Una entry del database deve contenere almeno i campi seguenti: Campo Valore Name Identificatore del principal key Chiave private del principal p_kvno Versione della chiave del principal max_life Lifetime massimo del ticket max_renewable_life Lifetime massimo totale per i ticket rinnovabili Il campo name è una codifica dell identificatore del principal. Il campo chiave contiene la chiave segreta del principal che può venire cifrata prima con una master key del server per essere protetta in caso di attacco del server. In questo caso deve essere inserito un campo supplementare che specifica quale chiave si è usata. Il campo p_kvno contiene il numero della versione della chiave segreta del principal, mentre i campi max_life e max_renewable_life contengono i parametri di lifetime per i ticket rinnovabili. 16

23 Se il database è progettato per distinguere record di principal che differiscono solo per il nome del realm di appartenenza, un server può fornire il servizio di KDC a diversi realm. Quando la chiave di un application server cambia, se il cambiamento e routine (non è conseguenza di scadenze o attacchi) la vecchia chiave deve essere mantenuta nel server fino a che tutti i ticket emessi con quella chiave non sono più validi. Per questo è possibile che un server abbia a disposizione più chiavi per un singolo principal. Quando per un particolare principal più di una chiave è attiva, nel database saranno presenti tanti record per quel determinato principal quante sono le chiavi disponibili; le chiavi e le loro versioni saranno diverse per ogni record (gli altri campi possono essere o meno uguali). Ogni qualvolta che un server Kerberos emette un ticket o risponde ad una richiesta di autenticazione userà la chiave più recente conosciuta dal server stesso per la cifratura; questa sarà la chiave col più alto numero di versione. 17

24 Capitolo 3 IMPLEMENTAZIONE NELL AMBIENTE WINDOWS 2000 Nel sistema operativo Windows 2000 la versione 5 del protocollo kerberos è disegnata per operare con altri servizi di sicurezza basati sul reference implementation della versione 5 di Kerberos sviluppata al MIT. Un server di dominio Windows 2000 può essere utilizzato come centro di distribuzione delle chiavi (KDC) per sistemi MIT Kerberos-based. Per autenticarsi presso un server Windows 2000 i sistemi UNIX possono usare l utilità kinit a l algoritmo crittografico DES-CBC-MD5 o DES-CBC-CRC. Il supporto alla sicurezza integrato in Windows 2000 implementa l interfaccia di Kerberos ed il formato dei token definiti nell RFC Windows 2000 non fornisce l interfaccia GSS API mentre è disponibile il supporto per applicazioni che usino l API basata su SSPI implementata dall SSP di Kerberos. Le applicazioni client di UNIX che utilizzano le API GSS possono ottenere comunque dei ticket di sessione dai server Windows 2000 e possono quindi supportare l autenticazione, l integrità e la confidenzialità forniti da Kerberos. I client Windows 2000 Professional possono essere configurati per integrarsi all interno di un realm Kerberos, con single sign-on fra il realm e l account locale basato su Windows Professional. L interoperabilità con servizi Kerberos richiede meno modifiche alla configurazione di default. Ad esempio una workstation che utilizza un realm Kerberos deve essere configurata in modo da localizzare il realm Kerberos, il KDC e i server di scambio delle password. A 18

25 questo proposito Microsoft fornisce dei tool per i vari passi di configurazione: Ksetup: configura i realm, i KDC, e i server delle password Ktpass: imposta le password, l accounting e genera le tabelle di chiavi che utilizzerà il KDC di Kerberos. FUNZIONALITÀ DEL PROTOCOLLO Autenticazione di connessione più veloce Con l utilizzo del protocollo Kerberos, i server non devono passare attraverso l autenticazione. Un server che esegue Windows 2000 può verificare le credenziali del client 3 tramite il ticket fornito dal client senza dover interrogare il servizio Kerberos. Questo perché il client avrà già ottenuto un ticket Kerberos dal controller di dominio, che il server può utilizzare per creare il token di accesso del client. Per non eseguire troppe operazioni il server può più facilmente conciliare un grande numero di richieste di connessione simultanee. Autenticazione reciproca Il protocollo Kerberos fornisce autenticazione reciproca si del client sia del server. Il protocollo di autenticazione Windows NTLM fornisce solo autenticazione del client e presume che tutti i server siano attendibili. Il protocollo non verifica l identità del server a cui il client si connette. La supposizione che tutti i server siano attendibili non è più valida. L autenticazione reciproca del client e del server è un punto fermo importante per reti protette. 3 Il client Active Directory per Windows 9x consente agli utenti l accesso mediante il protocollo di autenticazione Kerberos V5. 19

26 Delega di autenticazione La delega di autenticazione consente a un utente di connettersi a un server di applicazioni che a turno può connettersi a uno o più server ulteriori per conto del client utilizzando le credenziali del client. Trust transitivi Le credenziali di autenticazione emesse da un sevizio Kerberos vengono accettate da tutti i servizi Kerberos all interno del dominio. Processo di autenticazione Kerberos Il processo di autenticazione Kerberos fa in modo che il computer client negozi scambi tra il server di destinazione e il KDC. La figura 4 fornisce cenni generali sul processo di autenticazione. I passaggi numerati nel diagramma vengono descritti di seguito. 20

STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena

STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI. Alessandro Siena STUDIO DI APPLICABILITÀ DEL PROTOCOLLO KERBEROS ALL INTRANET DISI di Alessandro Siena Tesi presentata per la discussione del diploma di laurea in Informatica Università di Genova Facoltà di Scienze Matematiche

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on

Antonio Mattioli Seminario G@SL 5/12/2006. Windows Single Sign-on Antonio Mattioli Seminario G@SL 5/12/2006 Windows Single Sign-on Cos è il Single Sing-on? Il Single sign-on è una speciale forma di autenticazione che permette ad un utente di autenticarsi una volta sola

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows.

Uso di una procedura di autenticazione unificata per client Linux e Microsoft Windows su server Microsoft Windows. UNIVERSITA DEGLI STUDI G. D ANNUNZIO CHIETI-PESCARA FACOLTA ECONOMIA LAUREA DI I LIVELLO IN ECONOMIA INFORMATICA TESI DI LAUREA Uso di una procedura di autenticazione unificata per client Linux e Microsoft

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti Sicurezza nei Sistemi Distribuiti Aspetti di Sicurezza La sicurezza nei sistemi distribuiti deve riguardare tutti i componenti del sistema e coinvolge due aspetti principali: Le comunicazioni tra utenti

Dettagli

Il clustering. Sistemi Distribuiti 2002/2003

Il clustering. Sistemi Distribuiti 2002/2003 Il clustering Sistemi Distribuiti 2002/2003 Introduzione In termini generali, un cluster è un gruppo di sistemi indipendenti che funzionano come un sistema unico Un client interagisce con un cluster come

Dettagli

CdL MAGISTRALE in INFORMATICA

CdL MAGISTRALE in INFORMATICA 05/11/14 CdL MAGISTRALE in INFORMATICA A.A. 2014-2015 corso di SISTEMI DISTRIBUITI 7. I processi : il naming Prof. S.Pizzutilo Il naming dei processi Nome = stringa di bit o di caratteri utilizzata per

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Inizializzazione degli Host. BOOTP e DHCP

Inizializzazione degli Host. BOOTP e DHCP BOOTP e DHCP a.a. 2002/03 Prof. Vincenzo Auletta auletta@dia.unisa.it http://www.dia.unisa.it/~auletta/ Università degli studi di Salerno Laurea e Diploma in Informatica 1 Inizializzazione degli Host Un

Dettagli

Sistemi di autenticazione. Sistemi di autenticazione

Sistemi di autenticazione. Sistemi di autenticazione Sistemi di autenticazione Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Metodologie di autenticazione basate su meccanismi diversi ( 1/2/3-factors authentication

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003

Reti e Domini Windows 2000. Corso di Amministrazione di Reti A.A. 2002/2003 Reti e Domini Windows 2000 Corso di Amministrazione di Reti A.A. 2002/2003 Materiale preparato utilizzando dove possibile materiale AIPA http://www.aipa.it/attivita[2/formazione[6/corsi[2/materiali/reti%20di%20calcolatori/welcome.htm

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Kerberos - autenticazione centralizzata

Kerberos - autenticazione centralizzata - autenticazione centralizzata Iniziamo con Kerberos... Kerberos Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI SIMULAZIONE PROVA SCRITTA ESAME DI STATO PER LA DISCIPLINA di SISTEMI L assessorato al turismo di una provincia di medie dimensioni vuole informatizzare la gestione delle prenotazioni degli alberghi associati.

Dettagli

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE

Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Servizio Sistemi Informativi SPERIMENTAZIONE DI RETI PRIVATE VIRTUALI CON L'UTILIZZO DI SOFTWARE OPEN SOURCE Redatto: Nucleo Gestione Innovazione e fornitori IT Versione: 1.0 Data emissione: 9/11/2006

Dettagli

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete

Sistemi Operativi di Rete. Sistemi Operativi di rete. Sistemi Operativi di rete Sistemi Operativi di Rete Estensione dei Sistemi Operativi standard con servizi per la gestione di risorse in rete locale Risorse gestite: uno o più server di rete più stampanti di rete una o più reti

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

CAPITOLO 1 I SISTEMI OPERATIVI

CAPITOLO 1 I SISTEMI OPERATIVI CAPITOLO 1 I SISTEMI OPERATIVI Introduzione ai sistemi operativi pag. 3 La shell pag. 3 Tipi di sistemi operativi pag. 4 I servizi del sistema operativo pag. 4 La gestione dei file e il file system Il

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica Installatore LAN Progetto per le classi V del corso di Informatica Active Directory 26/02/08 Installatore LAN - Prof.Marco Marchisotti 1 Agli albori delle reti...... nelle prime LAN era facile individuare

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

Parte II: Reti di calcolatori Lezione 9

Parte II: Reti di calcolatori Lezione 9 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 9 Martedì 1-04-2014 1 Applicazioni P2P

Dettagli

Manuale di riferimento di HP Web Jetadmin Database Connector Plug-in

Manuale di riferimento di HP Web Jetadmin Database Connector Plug-in Manuale di riferimento di HP Web Jetadmin Database Connector Plug-in Informazioni sul copyright 2004 Copyright Hewlett-Packard Development Company, L.P. Sono vietati la riproduzione, l'adattamento e la

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007

Sommario. Modulo 8: Applicativi. Parte 3: Terminale remoto. Premessa Telnet SSH XWindows VNC RDP. Gennaio Marzo 2007 Modulo 8: Applicativi Parte 3: Terminale remoto 1 Sommario Premessa Telnet SSH XWindows VNC RDP Reti di Calcolatori 2 1 Premessa Necessita : controllare a distanza un dispositivo attraverso la connessione

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati

Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Deploy di infrastrutture di rete business tramite ambienti completamente virtualizzati Dott. Emanuele Palazzetti Your Name Your Title Your Organization (Line #1) Your Organization (Line #2) Indice degli

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

Autenticazione utente con Smart Card nel sistema Linux

Autenticazione utente con Smart Card nel sistema Linux Autenticazione utente con Smart Card nel sistema Linux Autenticazione con Speranza Diego Frasca Marco Autenticazione Linux Basata su login-password - ogni utente ha una sua login ed una sua password che

Dettagli

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software.

Reti locati e reti globali. Tecnologie: Reti e Protocolli. Topologia reti. Server e client di rete. Server hardware e server software. Reti locati e reti globali Tecnologie: Reti e Protocolli Reti locali (LAN, Local Area Networks) Nodi su aree limitate (ufficio, piano, dipartimento) Reti globali (reti metropolitane, reti geografiche,

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3

Log Manager. 1 Connessione dell apparato 2. 2 Prima configurazione 2. 2.1 Impostazioni di fabbrica 2. 2.2 Configurazione indirizzo IP e gateway 3 ver 2.0 Log Manager Quick Start Guide 1 Connessione dell apparato 2 2 Prima configurazione 2 2.1 Impostazioni di fabbrica 2 2.2 Configurazione indirizzo IP e gateway 3 2.3 Configurazione DNS e Nome Host

Dettagli

LABORATORI DI INFORMATICA. CONDIVISIONE, CLOUD e CONTROLLO REMOTO IMPLEMENTAZIONE DI UNA GESTIONE EFFICIENTE

LABORATORI DI INFORMATICA. CONDIVISIONE, CLOUD e CONTROLLO REMOTO IMPLEMENTAZIONE DI UNA GESTIONE EFFICIENTE LABORATORI DI INFORMATICA CONDIVISIONE, CLOUD e CONTROLLO REMOTO IMPLEMENTAZIONE DI UNA GESTIONE EFFICIENTE Tutti i laboratori di informatica, come la gran parte delle postazioni LIM, sono stati convertiti

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

File System Distribuiti

File System Distribuiti File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema 20.1 Introduzione File System Distribuito

Dettagli

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema Introduzione File System Distribuito

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it! Autenticazione cont d (1) Dalle lezioni precedenti: w L autenticazione è un prerequisito

Dettagli

Network Services Location Manager. Guida per amministratori di rete

Network Services Location Manager. Guida per amministratori di rete apple Network Services Location Manager Guida per amministratori di rete Questo documento illustra le caratteristiche di Network Services Location Manager e spiega le configurazioni di rete per sfruttarne

Dettagli

Manuale di Desktop Sharing. Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Desktop Sharing. Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Desktop Sharing 7 3.1 Gestione degli inviti di Desktop Sharing.........................

Dettagli

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850

Il tuo manuale d'uso. NOKIA 9500 COMMUNICATOR http://it.yourpdfguides.com/dref/381850 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di NOKIA 9500 COMMUNICATOR. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni,

Dettagli

Notifica sul Copyright

Notifica sul Copyright Parallels Panel Notifica sul Copyright ISBN: N/A Parallels 660 SW 39 th Street Suite 205 Renton, Washington 98057 USA Telefono: +1 (425) 282 6400 Fax: +1 (425) 282 6444 Copyright 1999-2009, Parallels,

Dettagli

License Service Manuale Tecnico

License Service Manuale Tecnico Manuale Tecnico Sommario 1. BIM Services Console...3 1.1. BIM Services Console: Menu e pulsanti di configurazione...3 1.2. Menù Azioni...4 1.3. Configurazione...4 1.4. Toolbar pulsanti...5 2. Installazione

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 97, 98 e 2000

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 97, 98 e 2000 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione Outlook 97, 98 e 2000 Rev. 1.1 4 dicembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione per Outlook

Dettagli

GE 032 DESCRIZIONE RETI GEOGRAFICHE PER MX 650

GE 032 DESCRIZIONE RETI GEOGRAFICHE PER MX 650 GE 032 DESCRIZIONE RETI GEOGRAFICHE PER MX 650 MONOGRAFIA DESCRITTIVA Edizione Gennaio 2010 MON. 255 REV. 1.0 1 di 27 INDICE Introduzione alle funzionalità di gestione per sistemi di trasmissioni PDH...

Dettagli

Approfondimenti. Contenuti

Approfondimenti. Contenuti Approfondimenti dott. Stefano D. Fratepietro steve@stevelab.net C I R S F I D Università degli studi di Bologna stevelab.net Creative Commons license Stefano Fratepietro - www.stevelab.net 1 Contenuti

Dettagli

Sistemi Distribuiti. Informatica B. Informatica B

Sistemi Distribuiti. Informatica B. Informatica B Sistemi Distribuiti Introduzione Che cos è un sistema distribuito? Un sistema distribuito è una collezione di computer indipendenti che appare all utente come un solo sistema coerente Da notare: le macchine

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Il Protocollo HTTP e la programmazione di estensioni Web

Il Protocollo HTTP e la programmazione di estensioni Web Il Protocollo HTTP e la programmazione di estensioni Web 1 Il protocollo HTTP È il protocollo standard inizialmente ramite il quale i server Web rispondono alle richieste dei client (prevalentemente browser);

Dettagli

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. SISTEMI E RETI Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. CRITTOGRAFIA La crittografia è una tecnica che si occupa della scrittura segreta in codice o cifrata

Dettagli

I Principali Servizi del Protocollo Applicativo

I Principali Servizi del Protocollo Applicativo 1 I Principali Servizi del Protocollo Applicativo Servizi offerti In questa lezione verranno esaminati i seguenti servizi: FTP DNS HTTP 2 3 File Transfer Protocol Il trasferimento di file consente la trasmissione

Dettagli

MDaemon e Outlook Connector for MDaemon

MDaemon e Outlook Connector for MDaemon MDaemon e Outlook Connector for MDaemon Introduzione...2 Cos'è il groupware...2 Che cosa significa groupware?...2 Cos è WorldClient...2 MDaemon e l evoluzione delle funzionalità groupware...3 Nuove funzionalità

Dettagli

Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it

Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it Migrazione a kerberos 5 della autenticazione per la cella AFS enea.it G. Bracco L'attività è basata sul supporto fornito da CASPUR [Andrei Maslennikov e Ruggero Nepi] Nel'ambito del contratto con CASPUR

Dettagli

La sicurezza nelle comunicazioni Internet

La sicurezza nelle comunicazioni Internet Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto

Dettagli

Corso di Laurea in Informatica Reti e Sicurezza Informatica

Corso di Laurea in Informatica Reti e Sicurezza Informatica Corso di Laurea in Informatica Reti e Sicurezza Informatica Esercitazione 6 Autenticazione in Tomcat per lo sviluppo di Web Service. In questo documento si presentano i meccanismi fondamentali che consentono

Dettagli

Introduzione all uso di Internet. Ing. Alfredo Garro garro@si.deis.unical.it

Introduzione all uso di Internet. Ing. Alfredo Garro garro@si.deis.unical.it Introduzione all uso di Internet Ing. Alfredo Garro garro@si.deis.unical.it TIPI DI RETI ( dal punto di vista della loro estensione) Rete locale (LAN - Local Area Network): collega due o piu computer in

Dettagli

Sistemi operativi e reti A.A. 2013-14. Lezione 2

Sistemi operativi e reti A.A. 2013-14. Lezione 2 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Lezione 2 Giovedì 10-10-2013 1 Sistemi a partizione di tempo (time-sharing) I

Dettagli

<Portale LAW- Lawful Activities Wind > Pag. 1/33 Manuale Utente ( WEB GUI LAW ) Tipo di distribuzione Golden Copy (Copia n. 1) Copia n. Rev. n. Oggetto della revisione Data Pag. 2/33 SOMMARIO 1. INTRODUZIONE...

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729

Il tuo manuale d'uso. NOKIA 9300 http://it.yourpdfguides.com/dref/381729 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni, specifiche,

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

Guida dell'amministratore di JMP 8 alle versioni con licenza annuale per Windows, Macintosh e Linux

Guida dell'amministratore di JMP 8 alle versioni con licenza annuale per Windows, Macintosh e Linux Guida dell'amministratore di JMP 8 alle versioni con licenza annuale per Windows, Macintosh e Linux Gli estremi corretti per la citazione bibliografica di questo manuale sono i seguenti: SAS Institute

Dettagli

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione Sommario Il Problema della Sicurezza nelle Grid Sicurezza nelle Grid Grid Security Infrastructure Autorizzazione 2 Page 1 Il Problema della Sicurezza nelle Grid (1) Le risorse sono presenti domini amministrativi

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi

Dettagli

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1 VPN SSL Tecnologia di accesso remoto sicuro alla

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

La gestione della privacy nell accesso ai dati clinici tramite LDAP

La gestione della privacy nell accesso ai dati clinici tramite LDAP La gestione della privacy nell accesso ai dati clinici tramite LDAP R. Conte*, A. Ciregia*, L. Landucci**, D. Pierotti** * Istituto di Fisiologia Clinica, Consiglio Nazionale delle Ricerche (IFC-CNR),

Dettagli

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 2002

SCOoffice Mail Connector for Microsoft Outlook. Guida all installazione Outlook 2002 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione Outlook 2002 Rev. 1.1 4 dicembre 2002 SCOoffice Mail Connector for Microsoft Outlook Guida all installazione: Outlook XP Introduzione

Dettagli

* Accesso ai file remoti - trasferimento effettivo dei dati mediante RPC - aumento delle prestazioni tramite caching

* Accesso ai file remoti - trasferimento effettivo dei dati mediante RPC - aumento delle prestazioni tramite caching * Sistemi operativi di rete: ambiente composto da risorse remote accessibili esplicitamente con controllo utente. Funzioni principali (demone); - login remoto (telnet) - trasferimento di file remoti (FTP)

Dettagli

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP

Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Protocolli di rete Sommario Introduzione ai protocolli di rete Il protocollo NetBEUI Il protocollo AppleTalk Il protocollo DLC Il protocollo NWLink Il protocollo TCP/IP Configurazione statica e dinamica

Dettagli

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it)

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Centro Infosapienza Ufficio gestione sistemi Settore sistemi centrali e per l office automation Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Sommario 1. Premessa...

Dettagli

INTRODUZIONE AI SISTEMI OPERATIVI

INTRODUZIONE AI SISTEMI OPERATIVI INTRODUZIONE AI SISTEMI OPERATIVI Il sistema operativo è il software che permette l esecuzione di programmi applicativi e lo sviluppo di nuovi programmi. CARATTERISTICHE Gestisce le risorse hardware e

Dettagli

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Remote Desktop Connection. Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci Manuale di Remote Desktop Connection Brad Hards Urs Wolfer Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Remote Desktop

Dettagli

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Il File System È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Le operazioni supportate da un file system sono: eliminazione di dati modifica

Dettagli

Abilitazione e uso del protocollo EtherTalk

Abilitazione e uso del protocollo EtherTalk Macintosh Questo argomento include le seguenti sezioni: "Requisiti" a pagina 3-35 "Abilitazione e uso del protocollo EtherTalk" a pagina 3-35 "Abilitazione e uso del protocollo TCP/IP" a pagina 3-36 "Procedura

Dettagli

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Progetto Febbraio 2013 - Appello 1: Diffusione di tweets sul grafo di Twitter

Progetto Febbraio 2013 - Appello 1: Diffusione di tweets sul grafo di Twitter UNIVERSITÀ DEGLI STUDI DI MILANO, DIPARTIMENTO DI INFORMATICA LAUREA TRIENNALE IN COMUNICAZIONE DIGITALE CORSO DI RETI DI CALCOLATORI ANNO ACCADEMICO 2011/2012 Progetto Febbraio 2013 - Appello 1: Diffusione

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Introduzione Il sistema operativo Linux è oggi una delle principali distribuzioni di Unix, in grado di portare in ogni PC tutta la potenza e la flessibilità di una workstation Unix e un set completo di

Dettagli

Informatica di Base - 6 c.f.u.

Informatica di Base - 6 c.f.u. Università degli Studi di Palermo Dipartimento di Ingegneria Informatica Informatica di Base - 6 c.f.u. Anno Accademico 2007/2008 Docente: ing. Salvatore Sorce Il Sistema Operativo Gerarchia del software

Dettagli