VLAN+LDAP+...+XEN = Rete Dipartimentale

VLAN+LDAP+...+XEN = Rete Dipartimentale Uniamo varie tecnologie per creare una infrastruttura di rete,, facilmente controllabile ed estendibile. Useremo VLAN ( 802.1q), LDAP, XEN, Certificati digitali X.509

Agenda Progetto della rete VLAN LDAP (con configurazioni) XEN Autenticazione

2 reti fisiche separate duplicazione dei dispositivi duplicazione degli sforzi di gestione indirizzi IP pubblici

DUPLICAZIONE DEGLI SFORZI!

un'insieme di reti nascoste indipendenti razionalizzazione dei dispositivi accentramento della gestione indirizzi IP privati 10.0.0.0/8

VLAN Virtual LAN = gruppo di host che comunicano come se fossero connessi allo stesso segmento di rete, LAVORA A LIVELLO 2 DELLA PILA ISO OSI Sullo stesso cavo posso far passare diverse reti VLAN senza che si influenzino. Il traffico è discriminato dagli switch, che decidono quali reti VLAN far passare su quali porte

SEMBRA DI VEDERE UN ARROSTO!!

> vconfig add eth0 2 > ifconfig eth0.2 192.168.1.50 netmask 255.255.255.0 > vconfig add eth0 100 > ifconfig eth0.100 193.205.222.88 netmask 255.255.255.0 > ifconfig eth0 10.2.5.184 netmask 255.255.0.0

ABBIAMO UNA SPECIE DI SDOPPIAMENTO DELLA PERSONALITA'

LDAP LDAP è un protocollo per l'interrogazione e la modifica di directory su reti TCP/IP. Una directory è un insieme di oggetti con attributi simili, organizzati in modo logico e gerarchico. Usato spesso per i servizi di autenticazione

Struttura directory L'albero di una directory LDAP di solito riflette strutture politiche, geografiche e/o organizzative. Le installazioni più comuni tendono ad usare i nomi a dominio (DNS) per strutturare i livelli più alti della gerarchia. Più internamente, la directory può rappresentare entità quali persone, unità organizzative, stampanti, documenti, gruppi di lavoro o in generale qualunque cosa che possa essere strutturata gerarchicamente.

LA NOSTRA DIRECTORY

Architettura LDAP ARCHITETTURA STANDARD ARCHITETTURA CON REPLICHE

Ambienti di uso di LDAP

XEN Monitor per macchine virtuali (hypervisor) per architetture Intel e PowerPC. SISTEMA OPERATIVO HOST (Linux, NetBSD) SISTEMA OPERATIVI GUEST (Unix-like, MS Windows)

L'ARCHIETTURA DI XEN VISTA PIÙ DA VICINO

Xen per le repliche XEN XEN

Autenticazione Autenticazione centralizzata su LDAP: RADIUS con backend LDAP APACHE su LDAP PROXY su LDAP SENDMAIL su LDAP PAM su LDAP Facile deployment con autenticazione consolidata e standard

Accesso rete wireless C'è il RADIUS su LDAP... quindi... CAPTIVE PORTAL! Tecnica che forza una connessione HTTP di un client a visualizzare una pagina web speciale (per l'autenticazione, il login) prima di poter navigare su Internet. I pacchetti vengono intercettati dal server web del router. Usati spesso in HotSpot, alberghi, aeroporti ecc.

DEMO CAPTIVE PORTAL

RADIUS server RADIUS sta per Remote Authentication Dial In User Service, è un protocollo che implementa politiche di AAA per l'accesso alla rete. Il protocollo RADIUS prevede il controllo delle credenziali di un utente e la fornitura dei parametri di accesso e di altri valori necessari alla connessione. Per le nostre necessità il server RADIUS verrà usato solo per controllare le credenziali di accesso di un utente, a vari livelli.

RADIUS su LDAP ldap { server = "serverldap.fisica.unipg.it" identity = "cn=manager,dc=priv" password = ******** basedn = "ou=radiusmac,dc=priv" filter = "(&(uid=%{user-name})(perugiagroups=radius-wlcommon))" start_tls = no dictionary_mapping = ${raddbdir}/ldap.attrmap ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 }

MODELLO DI AUTENTICAZIONE CON CAPTIVE PORTAL, RADIUS e LDAP

AUTENTICAZIONE E CONTROLLO DELLE IDENTITÀ

RADIUS Proxying