INFN-AAI architettura del sistema e strategia di implementazione

Documenti analoghi
AFS:aggiornamento. R.Gomezel

INFN AAI. Enrico M.V. Fasanelli. con il contributo di. Silvia Arezzini Dael Maselli Francesco M. Taurino

Remote file access sulla grid e metodi di interconnesione di rete

PREVENTIVO LOCALE DI SPESA PER L'ANNO 2004

AFS: configurazione, utilizzo e sviluppo. Roberto Gomezel INFN-Trieste Istituto Nazionale di Fisica Nucleare. INFN.

Servizio Calcolo. Alessandro Brunengo

@CNAF Stefano Antonelli Stefano Longo Michele Pezzi Giovanni Zizzi (Maggio) Felice Rosso Ramon Orru (Agosto) Michele Tota (Novembre)

MSCHAPv2 against MIT Kerberos yes, you can.

AFS nell'infn Aggiornamento sulla configurazione attuale e sulle attivita' relative al periodo maggio -settembre

Aule Informatiche Migrazione del sistema di autenticazione

Identità digitale INAF. Taffoni Giuliano Franco Tinarelli

Securing Site-to-Site Connectivity

Implementazione di un sistema open source per il Network Access Control. C. Catalano, S. Forestieri, F. Marrone, M. Pericò

L accesso alla rete wireless di UniFe e la sua integrazione con la federazione IDEM. Relatore: Michele Lugli

Corporate Cloud: stato e sviluppi. Giacinto Donvito INFN Sez. di Bari On behalf of the INFN-CC Group

Flash talk: Wide Area Swift

Introduzione alla riunione

MySQL Server e Workbench.

Manuale di istruzione. Log Report

Server LDAP. File Server. Domain Controller. Installazione di una piattaforma Linux Alessandro Brusò 24/05/2012

SOMMARIO. cüxá wxçét wxä VÉÇá zä É wx ` Ç áàü. Ufficio Nazionale per il Servizio Civile

Strumenti di Federazione per la gestione dell AAI in SuperB e ReCaS

NethSpot. Davide Marini

Reti locali Mauro Nanni

Gestione centralizzata caselle PEC per l INFN. Alessandro Brunengo, per il gruppo Mailing

Progetto: SIURP. Cliente: Regione Calabria. Redatto da: Valerio Annunziata. Verificato da. Comitato di Coordinamento. Data di Emissione:

Infrastrutture di Autenticazione e Autorizzazione

CARATTERISTICHE TECNOLOGIA BP

owncloud ( e AjaXplorer (

CASPUR & Shibboleth. Primo Convegno IDEM: Dalle password all identità digitale federata Roma Marzo 2009

Alcune info sugli IDP

Isaac DE è una piattaforma Big Data completa di strumenti e servizi per l installazione, la configurazione, l uso, la gestione e il monitoraggio di

Multimedialità per le Scienze Sociali e dell Educazione. Davide Di Ruscio DISIM Univ. degli Studi dell Aquila

Status Report WS CCR 2002

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Due applicazioni pratiche: l'autenticazione tramite Smart Card e la firma digitale massiva

Tecnologie dei Sistemi di Automazione

MODULO 2: Tecnologie informatiche per garantire la sicurezza e l integrità dei dati e dei sistemi. M2-U1- Strategie di sicurezza

Introduzione alle basi di dati. A. Ferrari

Argomenti. Architettura fisica di U-Lite Architettura software di U-Lite Comandi gestione job: NFS contro AFS Licenze software

CatAq. offsite backup e storage remoto su un'infrastruttura object storage multi sito

Procedura migrazione utenti da posta IMAP fis.unipr.it a Office 365

Policy per la gestione del servizio di stampa per il personale dell Ateneo. Servizi agli Utenti e DTM Servizi ICT Pagina 1 di 15

Servizi nazionali dell INFN (ai LNF)

Test e risultati sull uso di un file system GPFS condiviso su rete WAN

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

ISTITUTO NAZIONALE DI FISICA NUCLEARE

Lab ISW 2012/2013: Progetto

Stefano Giovannini. Applicazioni Economico/Contabili

Linux: Organizzazione filesystem

SOFTWARE PER LA RACCOLTA DATI TERM & TALK

Il sistema informativo per la gestione delle vaccinazioni a supporto del calendario vaccinale

PREVENTIVO LOCALE DI SPESA PER L'ANNO 2004

Realizzazione di un software per la gestione di apparecchiature biomedicali Anno Accademico 2010/2011

SICUREZZA IT CON IL PILOTA AUTOMATICO Policy Manager

Elaborato Shell. Elementi di architettura e sistemi operativi 2016/2017

4 Convegno IDEM 2-4 Aprile CNR Area della Ricerca di Palermo. InstaIDEM. Risultati del sondaggio

Introduzione a Linux Lezione 1 Introduzione a Linux

CHIARIMENTI IN SEDE DI OFFERTA

PIM. Un esempio di integrazione AA dei servizi INFN/Università. Mirko Mariotti

Guida di orientamento della documentazione di Business Objects BI Server

Programma preventivo. Anno Scolastico Sistemi e Reti (articolazione Informatica)

Un software rivoluzionario? Vi spieghiamo il perchè. In 40 secondi.

L'Università degli Studi di Perugia ha scelto Joomla!

ENEA GRID. Corso di introduzione all'uso ed all'amministrazione. Autore: Alessandro Secco

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

Infrastruttura di strong authentication basata su One Time Password per l accesso VPN

VERSIONE 1.1 APRILE Manuale Operativo

Mobility & Care Manager

Utilizzare IDEM per controllare l'accesso wireless. Case Study: la rete wireless dell Università di Ferrara

Il progetto INFN TRIP e EduRoam

Avvertenze conversione e aggiornamento da BDE a SQL e dalla versione 7 alla nuova versione 18!

ALLEGATO AL CAPITOLATO TECNICO

Soluzioni HP per la stampa pull

LA VIGILANZA SUGLI INTERMEDIARI ENTRATEL : AGGIORNAMENTI NORMATIVI E RISVOLTI PRATICI. Pesaro, 26/10/2011

CONCETTI E ARCHITETTURA DI UN SISTEMA DI BASI DI DATI

Introduzione all uso dei laboratori aka Linux basics.

SERVIZI INFORMATICI DI AREA

Servizio Sanità. Il sistema informativo a supporto dei processi di lavoro del DSM. Esperienza della Regione Puglia. Roma, 14 Dicembre 2016

UML Introduzione a UML Linguaggio di Modellazione Unificato. Corso di Ingegneria del Software Anno Accademico 2012/13

Il nuovo sistema informativo gestionale. Verso NoiPA (?) Mauro Nanni ORA-Bologna // CED INAF


Aggiornamento del 29 Settembre 2011

AL CAPITOLATO REQUISITI TECNICI

BEST PERSONAL SCAN. La condivisione facile dei documenti. Fabio Recchia. Product Manager Office Konica Minolta Business Solutions S.p.A.

Guida per la migrazione FDS BCM File Delivery Services Passaggio alla piattaforma FDS ridondante tra sedi

Esperienze di servizi di rete basati su directory

L integrazione di mail in un sistema automatico di distribuzione di ontologie: Ontology Mail Manager

Servizio posta

Laboratorio Multimediale Lezione n. 1, gruppo A

Il Sistema Operativo

Supporto agli EELL. per la conformità al Codice Amministrazione Digitale. Adozione di

IceWarp Server Modalità e condizioni di assistenza tecnica

Indice. Introduzione. Capitolo 1 Introduzione a Windows Server Edizioni di Windows Server

Le Poste Italiane sono on-line: Una delle maggiori realtà postali europee garantisce servizi ad alto valore aggiunto garantendone l accesso sicuro

Laboratorio Multimediale Lezione n. 1

IN-HF on line Procedura di Installazione

Ha H r a dw d a w r a e e (pr p ec e ed e e d n e t n e) e 12 Tb. 12 Tb.

Accesso ai dati astronomici e radioastronomici: Autenticazione e Autorizzazione in INAF.

Transcript:

INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto AAI Firenze 21-22 maggio 2008

Agenda A&A nell INFN Anatomia della INFN-AAI Strategia di implementazione Un primo prodotto : la protoaai 2

A&A nell INFN Nell ultimo anno sono state effettuate due indagini per il censimento dei sistemi di Autenticazione ed Autorizzazione in uso nelle sedi dell INFN Due risultati interessanti Sono in uso nell INFN praticamente tutti i possibili sistemi di AA Nell ultimo anno c è stato un aumento delle sedi che utilizzano LDAP 3

Esempio: la posta elettronica Il sistema più gettonato è quello basato su file locali ai server, ma non mancano Kerberos, LDAP, NIS. C è anche una sede che basa l Autenticazione su Windows AD AUTENTICAZIONE Sistemi di Autenticazione in uso nelle sedi INFN per l accesso ai servizi di posta elettronica 4

Esempio: la posta elettronica Come per l Autenticazione, sono usati praticamente tutti i sistemi. Non presente nel grafico (ma implementato in alcune sedi) c è l autorizzazione basata su certificati X.509 (per l uso dei server SMTP) AUTORIZZAZIONE Sistemi di Autorizzazione in uso nelle sedi INFN per l accesso ai servizi di posta elettronica 5

Distribuzione dell Autenticazione 6

Distribuzione dell Autorizzazione 7

Agenda A&A nell INFN Anatomia della INFN-AAI Strategia di implementazione Un primo prodotto : la protoaai 8

Anatomia della INFN-AAI Quali vincoli ci hanno portato a definire la struttura della INFN-AAI Autenticazione, Autorizzazione ed architetturali Le componenti funzionali della INFN-AAI Le condizioni al contorno che hanno influito sulla definizione dell architettura. 9

Autenticazione: i vincoli (1) Kerberos5 È usato in circa un terzo delle sedi. È indispensabile per tutte le sedi che basano i propri servizi su OpenAFS Autenticazione Unix (hash MD5, SHA-1, ) Servizi di login, posta, web Informazioni distribuite via NIS, LDAP 10

Autenticazione: i vincoli (2) Certificati X.509 Accesso a GRID Accesso ad applicazioni web (non solo locali) Accesso a server SMTP 11

I servizi centralizzati (1) DataWeb Fornisce servizi via applicazioni Web, per le quali le due fasi di Autenticazione ed Autorizzazione sono gestite da un software home-made. List-server (SYMPA) Supporta autenticazione via certificati X.509 ed LDAP Supporta autorizzazione (per l accesso e per la configurazione di mailing-list) via LDAP 12

I servizi centralizzati (2) TRIP Basato su Proxy RADIUS. Il server RADIUS utilizzato, può demandare Autenticazione ed Autorizzazione ad un server LDAP 13

Autorizzazione: vincoli? Di fatto tutte le applicazioni in uso nell INFN possono usare LDAP per l autorizzazione Ma le sedi che usano LDAP hanno scelto tutte configurazioni differenti Questo non è un problema, ma implica, per ognuna di queste sedi un impegnativo lavoro per l implementazione definitiva. 14

Architettura: vincoli! Autoconsistenza in ogni sede Non dipendenza dalla connettività di rete Possibilità di estendere la AAI per esigenze locali (es. dipartimenti di fisica) Tutte le informazioni vicino ai servizi centralizzati. Accesso autenticato al sistema stesso (ACI) Fault-tolerant 15

Anatomia funzionale della INFN-AAI Autenticazione Kerberos, ma non solo Autorizzazione LDAP 16

non solo Kerberos Oltre all autenticazione attraverso Kerberos la INFN-AAI permetterà anche l utilizzo di certificati X.509 e, in una prima fase transitoria, degli hash di password ereditati dal mondo Unix. 17

Anatomia di INFN-AAI: LDAP DC=INFN,DC=IT DC=LNF, DC=LE, DC=PI, DC=NA, DC=BA, DC=INFN,DC=IT DC=LNF, DC=INFN,DC=IT 4 server di core Multi-Master Server di periferia 18

Anatomia di INFN-AAI: Kerberos LNF.INFN.IT LE.INFN.IT BA.INFN.IT PI.INFN.IT XX.INFN.IT LNF.INFN.IT LE.INFN.IT KDC KDC KDC XX.INFN.IT KDC Xen KDC Farm KDC periferici 19

Agenda A&A nell INFN Anatomia della INFN-AAI Strategia di implementazione Un primo prodotto : la protoaai 20

Strategia di implementazione Due obiettivi: Permettere una implementazione graduale (fornire uno strumento utilizzabile da subito sia dai servizi centralizzati che dalle sedi man mano che esse abbracceranno la INFN- AAI) Migrazione il più indolore possibile per le sedi 21

Implementazione graduale L architettura con core e periferia permette il dispiegamento della INFN-AAI in fasi successive. I servizi centralizzati potranno utilizzare la INFN-AAI non appena essa sarà popolata (anche con informazioni parziali prese da protoaai) Le sedi avranno, una volta migrate, tutte le funzionalità della INFN-AAI a disposizione 22

Migrazione indolore Esistono strumenti consolidati che permettono il popolamento di un albero LDAP a partire da informazioni tipiche del mondo Unix (NIS o passwd file) È previsto il supporto per la traduzione delle informazioni delle sedi che usano LDAP Sarà possibile importare (in modo completamente trasparente per l utente finale) le password Unix nei KDC Kerberos 23

Le sedi dell INFN Buona parte delle sedi (circa una metà) avranno a disposizione uno strumento di installazione che permetterà loro di passare in pochi giorni alla INFN-AAI. A parte la configurazione di tutti i servizi locali Per le sedi che usano LDAP dovrà essere studiata una implementazione ad sedem. Per la configurazione dei servizi locali, in questi casi, basterà cambiare i server LDAP di riferimento 24

Personale (1) I membri del gruppo AAI-WG hanno acquisito notevole esperienza nel corso dell ultimo anno È importante che il nucleo del futuro AAI-WG possa avvalersi di tali esperienze Sarà comunque necessario fornire supporto per le sedi Implementazione ad sedem per le sedi che usano LDAP Trasferimento di conoscenze a tutte le sedi Sarà necessario individuare e dedicare in modo esclusivo a tale attività, almeno 3 tecnici, oltre ad un gruppo di gestione del progetto, che costituirà il nucleo dell AAI-WG 25

Personale (2) Per il primo anno di lavoro, sarà necessario che il gruppo AAI-WG sia formato da un nucleo di gestione formato da: 1FTE staff con funzioni di responsabile (eventualmente suddiviso su due persone) per il coordinamento delle attività 1FTE staff con riconosciute capacità tecniche che operi alle dipendenze dei coordinatori 1.2FTE staff tecnico (20% del tempo di 6 persone del gruppo AAI-WG) Un pool tecnico 3FTE (3 tecnici dedicati) 26

Milestones Il dispiegamento della INFN-AAI, potrà essere verificato in tre momenti: β-test ed R&D Fase pilota Fase di produzione All interno della quale si potranno individuare anche un ulteriore paio di momenti di verifica 27

Agenda A&A nell INFN Anatomia della INFN-AAI Strategia di implementazione Un primo prodotto : la protoaai 28

protoaai (1) I servizi offerti da DataWeb si basano su autenticazione via CASSiO ed autorizzazione basata su un DB SQL "interno". I nuovi servizi che DataWeb si accinge a fornire (come ad esempio moodle, ma non solo) richiederebbero l'ausilio di una Directory LDAP. È stato implementato un Servizio di Directory quasi-conforme al modello INFN-AAI, per permettere una sostituzione a caldo protoaai INFN-AAI 29

protoaai (2) Differenze rispetto ad INFN-AAI 2 server di core (entrambi ai LNF) Autenticazione via LDAP Compatibilità con l attuale sistema di Autenticazione basato su DB SQL 30

FINE

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back