1 / 17

AFS cross cell authentication in ambiente Kerberos5

AFS cross cell authentication in ambiente Kerberos5. Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003. …& Co (-starring). Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi. Also starring. SICR INFN Roma Alessandro Spanu Daniela Anzellotti

marlon
Télécharger la présentation

AFS cross cell authentication in ambiente Kerberos5

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AFS cross cell authenticationin ambiente Kerberos5 Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003

  2. …& Co (-starring) • Sandro Angius • Silvia Arezzini • Massimo Donatelli • Roberto Gomezel • Fulvio Ricciardi Enrico M.V. Fasanelli & Co

  3. Also starring • SICR INFN Roma • Alessandro Spanu • Daniela Anzellotti • Cristina Bulfon • Marco De Rossi Enrico M.V. Fasanelli & Co

  4. Agenda • Cos’è • Kerberos 5 cross realm authentication • AFS cross cell authentication • Perché • Le prime prove effettuate • Le prove da fare • I passi successivi • Possibili evoluzioni Enrico M.V. Fasanelli & Co

  5. Kerberos 5 X-realms authentication INFN.IT • Relazioni di trust tra REALMs Kerberos • Ogni “principal” di un realm è autenticato anche nel realm trusted • Transitive in Kerberos5 • gerarchiche (all’interno dello stesso albero) • CAPATHS (tra alberi disgiunti) LNF.INFN.IT LE.INFN.IT Enrico M.V. Fasanelli & Co

  6. Utilità sandro@LNF.INFN.IT • Un utente, autenticato in un realm , può usare risorse dell’altro realm. telnet –a –l root server.le.infn.it Enrico M.V. Fasanelli & Co

  7. AFS cross cell authentication AFS cell le.infn.it • Si definiscono opportuni gruppi di protezione • kinit • acquisisce un TGT Kerberos5 • aklog • dato un tgt genera un token AFS (usando ahimè krb524d) • aklog <externalcell> • genera entry nel PTS della cella esterna (se non esiste) • ottiene il token nella cella esterna system:authuser@lnf.infn.it sandro@LNF.INFN.IT AFS id 4 for afs@lnf.infn.it AFS id 4 for afs@le.infn.it sandro@lnf.infn.it system:authuser@le.infn.it AFS cell lnf.infn.it Enrico M.V. Fasanelli & Co

  8. Perchè • Esistenza di varie celle in produzione • pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it • Previsione di nuove celle • roma1.infn.it • tier1.infn.it ????? • Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle • Interesse già evidenziato da parte di LNF • OpenAFS & MIT • Integrato supporto per Kerberos5 in OpenAFS > 1.2.8 • Integrato codice per supporto di AFS in Kerberos MIT 1.3 ALMOST RECYCLED SLIDE Enrico M.V. Fasanelli & Co

  9. Le prime prove effettuate 1/3 • Lavoro iniziato in aprile 2003 • ~ 2 settimane-uomo • Layout di test basato su • Kerberos v5 MIT 1.2.7 • OpenAFS 1.2.8 • Linux RedHat 7.3 (8.0 a Pisa) • Kernel 2.4.18-7x • Ricompilati i pacchetti a partire da .src.rpm Enrico M.V. Fasanelli & Co

  10. Definito dominio configurato BIND Generato REALM Kerberos5 configurato il master KDC supporto per AFS Generata cella AFS krb5test.infn.it le.krb5test.infn.it lnf.krb5test.infn.it pi.krb5test.inf.nit cnaf.krb5test.infn.it Le prime prove effettuate 2/3 Enrico M.V. Fasanelli & Co

  11. Le prime prove effettuate 3/3 • Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs • le, lnf, pi, cnaf • Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it) • Definito le entries per la cross cell AFS authentication • Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it) Enrico M.V. Fasanelli & Co

  12. EUREKA ! • Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo. • Problemi con le altre celle (ma probabilmente legati ad errori di configurazione) • le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…) Enrico M.V. Fasanelli & Co

  13. Cosa abbiamo verificato/imparato • La cross realm authentication in Kerberos5 continua a funzionare bene • circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT • Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs Enrico M.V. Fasanelli & Co

  14. Le prove da fare subito • Ripetere tutto con hardware più affidabile/nuovo • krb5test.infn.it è su un AMD K6@300MHz con ben 28MB di RAM e disco da 3GB • Rendere riproducibili i risultati sulla cross authentication di celle AFS Enrico M.V. Fasanelli & Co

  15. … e poi? • Kerbeos v5 REALM INFN.IT • cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF • AFS cross cell authentication tra le varie celle locali basate su Kerberos5 • Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti Enrico M.V. Fasanelli & Co

  16. Kerberos in [xx.]INFN.IT ed oltre • Servizi kerberizzati • mail (smtp, imap) print, telnet, ecc. • Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server • Cross realm authentication con HEP • FNAL.GOV è “pronto” (HEPiX autumn 2002) • DESY.DE inizia a lavorarci (HEPiX spring 2003) • INFN.IT report/proposal (HEPiX autumn 2003?) Enrico M.V. Fasanelli & Co

  17. Conclusioni • OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4) • Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni: • per le celle AFS, potrà : • garantire sharing di risorse tra celle locali • permettere management locale • alleggerire il management della cella infn.it Enrico M.V. Fasanelli & Co

More Related