170 likes | 274 Vues
AFS cross cell authentication in ambiente Kerberos5. Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003. …& Co (-starring). Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi. Also starring. SICR INFN Roma Alessandro Spanu Daniela Anzellotti
E N D
AFS cross cell authenticationin ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003
…& Co (-starring) • Sandro Angius • Silvia Arezzini • Massimo Donatelli • Roberto Gomezel • Fulvio Ricciardi Enrico M.V. Fasanelli & Co
Also starring • SICR INFN Roma • Alessandro Spanu • Daniela Anzellotti • Cristina Bulfon • Marco De Rossi Enrico M.V. Fasanelli & Co
Agenda • Cos’è • Kerberos 5 cross realm authentication • AFS cross cell authentication • Perché • Le prime prove effettuate • Le prove da fare • I passi successivi • Possibili evoluzioni Enrico M.V. Fasanelli & Co
Kerberos 5 X-realms authentication INFN.IT • Relazioni di trust tra REALMs Kerberos • Ogni “principal” di un realm è autenticato anche nel realm trusted • Transitive in Kerberos5 • gerarchiche (all’interno dello stesso albero) • CAPATHS (tra alberi disgiunti) LNF.INFN.IT LE.INFN.IT Enrico M.V. Fasanelli & Co
Utilità sandro@LNF.INFN.IT • Un utente, autenticato in un realm , può usare risorse dell’altro realm. telnet –a –l root server.le.infn.it Enrico M.V. Fasanelli & Co
AFS cross cell authentication AFS cell le.infn.it • Si definiscono opportuni gruppi di protezione • kinit • acquisisce un TGT Kerberos5 • aklog • dato un tgt genera un token AFS (usando ahimè krb524d) • aklog <externalcell> • genera entry nel PTS della cella esterna (se non esiste) • ottiene il token nella cella esterna system:authuser@lnf.infn.it sandro@LNF.INFN.IT AFS id 4 for afs@lnf.infn.it AFS id 4 for afs@le.infn.it sandro@lnf.infn.it system:authuser@le.infn.it AFS cell lnf.infn.it Enrico M.V. Fasanelli & Co
Perchè • Esistenza di varie celle in produzione • pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it • Previsione di nuove celle • roma1.infn.it • tier1.infn.it ????? • Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle • Interesse già evidenziato da parte di LNF • OpenAFS & MIT • Integrato supporto per Kerberos5 in OpenAFS > 1.2.8 • Integrato codice per supporto di AFS in Kerberos MIT 1.3 ALMOST RECYCLED SLIDE Enrico M.V. Fasanelli & Co
Le prime prove effettuate 1/3 • Lavoro iniziato in aprile 2003 • ~ 2 settimane-uomo • Layout di test basato su • Kerberos v5 MIT 1.2.7 • OpenAFS 1.2.8 • Linux RedHat 7.3 (8.0 a Pisa) • Kernel 2.4.18-7x • Ricompilati i pacchetti a partire da .src.rpm Enrico M.V. Fasanelli & Co
Definito dominio configurato BIND Generato REALM Kerberos5 configurato il master KDC supporto per AFS Generata cella AFS krb5test.infn.it le.krb5test.infn.it lnf.krb5test.infn.it pi.krb5test.inf.nit cnaf.krb5test.infn.it Le prime prove effettuate 2/3 Enrico M.V. Fasanelli & Co
Le prime prove effettuate 3/3 • Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs • le, lnf, pi, cnaf • Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it) • Definito le entries per la cross cell AFS authentication • Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it) Enrico M.V. Fasanelli & Co
EUREKA ! • Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo. • Problemi con le altre celle (ma probabilmente legati ad errori di configurazione) • le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…) Enrico M.V. Fasanelli & Co
Cosa abbiamo verificato/imparato • La cross realm authentication in Kerberos5 continua a funzionare bene • circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT • Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs Enrico M.V. Fasanelli & Co
Le prove da fare subito • Ripetere tutto con hardware più affidabile/nuovo • krb5test.infn.it è su un AMD K6@300MHz con ben 28MB di RAM e disco da 3GB • Rendere riproducibili i risultati sulla cross authentication di celle AFS Enrico M.V. Fasanelli & Co
… e poi? • Kerbeos v5 REALM INFN.IT • cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF • AFS cross cell authentication tra le varie celle locali basate su Kerberos5 • Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti Enrico M.V. Fasanelli & Co
Kerberos in [xx.]INFN.IT ed oltre • Servizi kerberizzati • mail (smtp, imap) print, telnet, ecc. • Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server • Cross realm authentication con HEP • FNAL.GOV è “pronto” (HEPiX autumn 2002) • DESY.DE inizia a lavorarci (HEPiX spring 2003) • INFN.IT report/proposal (HEPiX autumn 2003?) Enrico M.V. Fasanelli & Co
Conclusioni • OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4) • Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni: • per le celle AFS, potrà : • garantire sharing di risorse tra celle locali • permettere management locale • alleggerire il management della cella infn.it Enrico M.V. Fasanelli & Co