Il progetto INFN TRIP e EduRoam



Похожие документы
Mobile Authentication

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

UTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Rete wireless Appunti

IDEM eduroam. Infrastrutture di Autenticazione e Autorizzazione (Franco Tinarelli Coffee talk IRA 13 aprile 2012)

Infrastruttura di produzione INFN-GRID

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Problematiche correlate alla sicurezza informatica nel commercio elettronico

VLAN+LDAP+...+XEN = Rete Dipartimentale

Manuale di configurazione per l accesso alla rete wireless Eduroam per gli utenti dell Università degli Studi di Cagliari

Sicurezza Reti. netrd. Versione: 2.1.1

Dipartimento di Scienze Applicate

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

La sicurezza nel Web

Simulazione seconda prova Sistemi e reti Marzo 2016

Professionisti tutti i livelli dimensionali consulenza del lavoro risorse umane elaborazione paghe commercio assicurazioni farmaceutica edilizia

2.1 Configurare il Firewall di Windows

Modelli architetturali di infrastruttura. Diego Feruglio Direzione Progettazione Infrastrutture CSI-Piemonte

La Carta Raffaello é una carta a microprocessore che aderisce allo standard CNS (Carta Nazionale dei Servizi).

Windows XP Istruzioni rete wired per portatili v1.0

Sicurezza a livello IP: IPsec e le reti private virtuali

Collegamento remoto vending machines by do-dots

Fatti Raggiungere dal tuo Computer!!

Internet Wireless in Biblioteca

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

Creare una Rete Locale Lezione n. 1

Firewall e Abilitazioni porte (Port Forwarding)

NAS 322 Connessione del NAS ad un VPN

Overview su Online Certificate Status Protocol (OCSP)

Mac Application Manager 1.3 (SOLO PER TIGER)

Procedura per la configurazione in rete di DMS.

Manuale Helpdesk Ecube

FRITZ!WLAN Repeater 300E. Come estendere la copertura della rete Wi-Fi

Software Servizi Web UOGA

Sistema di gestione Certificato MANUALE PER L'UTENTE

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Progettare un Firewall

Cliens Redigo Versione Aggiornamento al manuale.

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

INNOVAZIONE XNOTTA PER PORTALI TURISTICI

Gestione remota archivi cartelle sanitarie e di rischio informatizzate

LE RETI: STRUMENTO AZIENDALE

Software per Helpdesk

REALIZZAZIONE DI UN LABORATORIO REMOTO PER ESPERIENZE DI ROBOTICA EDUCATIVA: LATO CLIENT

Infrastruttura wireless d Ateneo (UNITUS-WiFi)

1. La rete wireless per noi.

Allegato 3 Sistema per l interscambio dei dati (SID)

Una soluzione per i portali amministrativi (e-government)

HOWTO. SER_Gestione_Credenziali.doc

Autenticazione tramite IEEE 802.1x

UNIVERSITÀ DEGLI STUDI TRENTO PROGETTO FIRMA DIGITALE E SICUREZZA IN RETE ASPETTI TECNICI SOLUZIONI ESAMINATE E CONSIDERAZIONI

Sistema di accesso ad internet tramite la rete Wireless dell Università di Bologna

IL CENTRALINO VoIP. Schema progetto: Work-flow. Hydra Control

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

SMS Banking. MAItaly s.r.l. Distribution: 2004, MAItaly s.r.l. All Rights Reserved. Date: 22/04/2004 Author: Davide De Marchi

Creare connessioni cifrate con stunnel

Registratori di Cassa

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

Note di rilascio. Aggiornamento disponibile tramite Live Update a partire dal. Il supporto per Windows XP e Office 2003 è terminato

TruPortal un sistema di controllo accessi di facile integrazione nella realtà moderna. TruPortal Giugno Contatti UTC Fire & Security Italia

Servizio di accesso remoto con SSL VPN

Sicurezza e rispetto della privacy, finalmente non in conflitto.

Argo Netbook Offline. Raccolta Leggimi degli aggiornamenti Data Pubblicazione Pagina 1 di 7

Wireless Ateneo Istruzioni per l uso

Informatica per la comunicazione" - lezione 13 -

Guida alla compilazione on-line delle domande di Dote Scuola A.S per le Famiglie INDICE

Internetworking per reti aziendali

Referente per successivi contatti con l Amministrazione:

Lo scenario: la definizione di Internet

Firma digitale Definizione

Prima di iniziare l installazione, controlla che tutte le parti necessarie siano presenti. La scatola dovrebbe contenere:

Guida alla compilazione on-line delle domande di Dote Scuola A.S per le Famiglie INDICE

ZEROTRUTH & ASTERISK. ZEROTRUTH AUTOREGISTRAZIONE CON ASTERISK

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Specifiche Tecnico-Funzionali

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Sicurezza in Internet

INDIRIZZI IP AUTORIZZATI

Schede di protezione HDDGuarder

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

Manuale servizio SMTP autenticato

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Cablaggio UNI CNR GRID. Cavedi0 1. Accelerat ore. Centro stella. Cavedi0 R FW. Villetta Rossa. Router GARR

Транскрипт:

Introduzione Il progetto INFN TRIP e EduRoam Alessandro Brunengo 1, Roberto Cecchini 2, Luca dell Agnello 3 Mirko Corosu 1, Enrico M. V. Fasanelli 4, Ombretta Pinazza 5, Riccardo Veraldi 2 Abstract Viene descritto il progetto di AAI realizzato in ambito INFN. Il progetto ha utilizzato i risultati di EduRoam, combinando i metodi di autenticazione via 802.1x e via web portal. L autenticazione è trasparente per l utente, se dotato di un certificato X.509. Il meccanismo è compatibile con quello utilizzato da EduRoam (proxying di server RADIUS). Il progetto TRIP (The Roaming INFN Physicist) è nato circa due anni fa in ambito INFN con lo scopo di ridurre i problemi che gli utenti roaming devono affrontare. In particolare: l utilizzo da remoto dei servizi della Struttura di appartenenza; l utilizzo dei servizi della Struttura ospitante (ad es. le stampanti). Questo richiede opportune configurazioni, non solamente dei server remoti, ma anche di quelli della rete locale cui ci si sta collegando: ad esempio è necessario che il system manager locale abiliti il server dhcp a rilasciare un indirizzo ip al portatile del viaggiatore. Il supplemento di autenticazione e autorizzazione necessario si traduce in un aggravio di lavoro per il system manager e inconvenienti per il viaggiatore. Una volta risolto il problema della concessione all ospite dei permessi necessari per accedere alle risorse della sua Struttura di appartenenza (in pratica l'assegnazione di un indirizzo IP), si presenta quello ben più difficoltoso dell'accesso ai servizi della Struttura ospitante. In questo caso è necessario che le informazioni di autorizzazione vengano trasmesse dalla Struttura di appartenenza a quella ospitante, non essendo pensabile la loro duplicazione. In altri termini è necessaria la realizzazione di un meccanismo di Authentication and Authorization Infrastructure (AAI), che può essere schematizzato nei punti seguenti: autenticazione dell'utente a cura della Struttura ospitante; richieste dell'utente; trasmissione delle richieste alla Struttura di appartenenza per verificarne la legittimità; trasmissione dell'autorizzazione dalla Struttura di appartenenza a quella ospitante. Siamo partiti dai risultati della Task Force di TERENA sulla mobility [TFM] e, ovviamente nel rispetto delle nostre necessità, abbiamo cercato soluzioni compatibili con un analoga iniziativa, che coinvolge molte reti di ricerca europee (EduRoam [EDU]). 1 INFN, Genova. 2 INFN, Firenze. 3 INFN, CNAF. 4 INFN, Lecce. 5 INFN, Bologna. 1

Il progetto I meccanismi che sono stati presi in considerazione, anche alla luce delle esperienze altrui, e il fatto che per i nostri scopi era essenziale avere autenticazioni multipiattaforma basate sia su X.509 sia su sistemi di autenticazione locale (ad es. Kerberos e LDAP) sono i seguenti: 802.1X; web portal: VPN (non approfondito nel corso del progetto per mancanza di risorse). In tutti i casi il server di autorizzazione è un server Radius, attualmente lo standard di fatto nel settore. 802.1x Supporta numerosi metodi di autenticazione, in particolare via certificato X.509, particolarmente interessante vista l esistenza di una Certification Authority per l INFN (INFN CA), in funzione ormai da diversi anni e il fatto che l uso dei certificati è molto diffuso in ambito INFN, grazie anche all impegno dell ente nei progetti GRID. Il complesso delle comunicazioni fra supplicante, access point e server di autenticazione è schematizzato nella figura seguente: Web Portal Consente l'autenticazione con username / password o certificato X.509 (via Apache SSL). L'utente, prima di poter accedere alla rete, si deve autenticare tramite una pagina web: l autenticazione è trasparente se si possiede un certificato X.509 riconosciuto dal server. In particolare, il client, dopo che si è collegato all'access Point, ottiene un indirizzo IP dal DHCP server della VLAN ospiti. Questo indirizzo è bloccato da un Gateway, che intercetta il traffico HTTP e lo dirotta verso il server RADIUS di autenticazione. Ad autenticazione effettuata, il Gateway permette il passaggio del traffico. 2

Figure 1. Web portal (da [TFM]) Una soluzione, basata su FreeRadius [FRA] e il portale NoCat [NOC], è in uso presso la Sezione di Genova [TRG]. Un'altra soluzione, basata su FreeRadius e il portale tino [TIN], è in uso presso la Sezione di Firenze. Proxying Il server RADIUS può essere utilizzato anche in modalità proxy, in modo da consentire all'utente remoto di autenticarsi con il server del proprio istituto. In questo caso è importante che siano ben chiari i problemi di scurezza legati al meccanismo di autenticazione. Figure 2. Autenticazione via proxying (da [TFM]) Questo è il meccanismo in uso nel progetto EduRoam [EDU]. Presso la Sezione INFN di Firenze 3

è stato installato il server RADIUS nazionale, collegato a quello di top level europeo. Conclusioni Allo stato attuale la migliore soluzione sembra quella di utilizzare sia l'802.1x sia un Web Portal. Alcuni Access Point sono in grado di gestire entrambi i metodi contemporaneamente (su SSID diversi). Gli utenti muniti di un certificato X.509 valido (e della giusta combinazione di hardware e software) possono utilizzare l'autenticazione trasparente via 802.1x. Gli altri dovranno passare dal Web Portal. Rimangono da chiarire i problemi di sicurezza legati al meccanismo di autenticazione via proxy, utilizzato da EduRoam. I futuri sviluppi prevedono l utilizzo di sistemi one-time password, l utilizzo di smartcard usb e l integrazione con Kerberos. Maggiori informazioni sullo stato del progetto sono disponibili su [ITR]. Bibliografia [EDU] [FRA] [ITR] http://www.eduroam.org/ http://www.freeradius.org/ http://security.fi.infn.it/trip/ [NOC] http://nocat.net/ [TIN] http://www.cc.puv.ti/~teu/tino/ [TFM] TERENA Mobility Task Force, http://www.terena.nl/tech/task-forces/tf-mobility/ [TRG] http://trip.ge.infn.it/ Biografie degli autori Alessandro Brunengo Laureato in Fisica nel 1991, è responsabile del Servizio Calcolo della sezione INFN di Genova dal 2001. Dal 2001 è rappresentante della sezione in seno alla Commissione Calcolo e Reti INFN. Roberto Cecchini Laureato in Fisica, è responsabile del Servizio Calcolo e Reti della Sezione INFN di Firenze, dal 1999 è responsabile del servizio di sicurezza informatica della rete GARR (GARR-CERT), dal 1998 gestisce la Certification Authority dell INFN (INFN CA). 4

Mirko Corosu Laureato in Fisica nel 1999, è membro del Servizio Calcolo della sezione INFN di Genova dal 2003. Si è occupato della configurazione e installazione di servizi centrali e di farm per calcolo scientifico. Luca dell Agnello Laureato in Fisica nel 1992, è responsabile delle operations del Tier1 INFN dal 2004. Si occupa di sicurezza, avendo partecipato, nell'ambito dei progetti europei Datagrid e Datatag, alla progettazione e sviluppo del VOMS. Enrico M. V. Fasanelli Laureato in Fisica nel 1991, è responsabile del Servizio di Calcolo e Reti della sezione INFN di Lecce dal 1996. Dal 1999 è il rappresentante della Sezione in seno alla Commissione Calcolo e Reti dell'infn. Ombretta Pinazza Laureata in Fisica nel 1996. Lavora nel Servizio Calcolo e Reti della Sezione INFN di Bologna dal 1998. Lavora anche nel monitorong online per l esperimento ALICE. Riccardo Veraldi Laureato in Fisica nel 1997. Lavora nel Servizio Calcolo e Reti della Sezione INFN di Firenze dal 2000. Si occupa di problemi legati alla sicurezza dal 1997. 5

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back