Afs cross cell authentication in ambiente kerberos5
This presentation is the property of its rightful owner.
Sponsored Links
1 / 17

AFS cross cell authentication in ambiente Kerberos5 PowerPoint PPT Presentation


  • 60 Views
  • Uploaded on
  • Presentation posted in: General

AFS cross cell authentication in ambiente Kerberos5. Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003. …& Co (-starring). Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi. Also starring. SICR INFN Roma Alessandro Spanu Daniela Anzellotti

Download Presentation

AFS cross cell authentication in ambiente Kerberos5

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Afs cross cell authentication in ambiente kerberos5

AFS cross cell authenticationin ambiente Kerberos5

Enrico M.V. Fasanelli & Co

Paestum 11 Giugno 2003


Co starring

…& Co (-starring)

  • Sandro Angius

  • Silvia Arezzini

  • Massimo Donatelli

  • Roberto Gomezel

  • Fulvio Ricciardi

Enrico M.V. Fasanelli & Co


Also starring

Also starring

  • SICR INFN Roma

    • Alessandro Spanu

    • Daniela Anzellotti

    • Cristina Bulfon

    • Marco De Rossi

Enrico M.V. Fasanelli & Co


Agenda

Agenda

  • Cos’è

    • Kerberos 5 cross realm authentication

    • AFS cross cell authentication

  • Perché

  • Le prime prove effettuate

  • Le prove da fare

  • I passi successivi

  • Possibili evoluzioni

Enrico M.V. Fasanelli & Co


Kerberos 5 x realms authentication

Kerberos 5 X-realms authentication

INFN.IT

  • Relazioni di trust tra REALMs Kerberos

    • Ogni “principal” di un realm è autenticato anche nel realm trusted

  • Transitive in Kerberos5

    • gerarchiche (all’interno dello stesso albero)

    • CAPATHS (tra alberi disgiunti)

LNF.INFN.IT

LE.INFN.IT

Enrico M.V. Fasanelli & Co


Utilit

Utilità

[email protected]

  • Un utente, autenticato in un realm , può usare risorse dell’altro realm.

telnet –a –l root server.le.infn.it

Enrico M.V. Fasanelli & Co


Afs cross cell authentication

AFS cross cell authentication

AFS cell le.infn.it

  • Si definiscono opportuni gruppi di protezione

  • kinit

    • acquisisce un TGT Kerberos5

  • aklog

    • dato un tgt genera un token AFS (usando ahimè krb524d)

  • aklog <externalcell>

    • genera entry nel PTS della cella esterna (se non esiste)

    • ottiene il token nella cella esterna

system:[email protected]

[email protected]

AFS id 4 for [email protected]

AFS id 4 for [email protected]

[email protected]

system:[email protected]

AFS cell lnf.infn.it

Enrico M.V. Fasanelli & Co


Perch

Perchè

  • Esistenza di varie celle in produzione

    • pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it

  • Previsione di nuove celle

    • roma1.infn.it

    • tier1.infn.it ?????

  • Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle

  • Interesse già evidenziato da parte di LNF

  • OpenAFS & MIT

    • Integrato supporto per Kerberos5 in OpenAFS > 1.2.8

    • Integrato codice per supporto di AFS in Kerberos MIT 1.3

ALMOST RECYCLED SLIDE

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 1 3

Le prime prove effettuate 1/3

  • Lavoro iniziato in aprile 2003

    • ~ 2 settimane-uomo

  • Layout di test basato su

    • Kerberos v5 MIT 1.2.7

    • OpenAFS 1.2.8

    • Linux RedHat 7.3 (8.0 a Pisa)

    • Kernel 2.4.18-7x

  • Ricompilati i pacchetti a partire da .src.rpm

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 2 3

Definito dominio

configurato BIND

Generato REALM Kerberos5

configurato il master KDC

supporto per AFS

Generata cella AFS

krb5test.infn.it

le.krb5test.infn.it

lnf.krb5test.infn.it

pi.krb5test.inf.nit

cnaf.krb5test.infn.it

Le prime prove effettuate 2/3

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 3 3

Le prime prove effettuate 3/3

  • Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs

    • le, lnf, pi, cnaf

  • Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it)

  • Definito le entries per la cross cell AFS authentication

  • Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it)

Enrico M.V. Fasanelli & Co


Eureka

EUREKA !

  • Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo.

  • Problemi con le altre celle (ma probabilmente legati ad errori di configurazione)

  • le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…)

Enrico M.V. Fasanelli & Co


Cosa abbiamo verificato imparato

Cosa abbiamo verificato/imparato

  • La cross realm authentication in Kerberos5 continua a funzionare bene

    • circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT

  • Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs

Enrico M.V. Fasanelli & Co


Le prove da fare subito

Le prove da fare subito

  • Ripetere tutto con hardware più affidabile/nuovo

    • krb5test.infn.it è su un AMD [email protected] con ben 28MB di RAM e disco da 3GB

  • Rendere riproducibili i risultati sulla cross authentication di celle AFS

Enrico M.V. Fasanelli & Co


E poi

… e poi?

  • Kerbeos v5 REALM INFN.IT

    • cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF

  • AFS cross cell authentication tra le varie celle locali basate su Kerberos5

  • Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti

Enrico M.V. Fasanelli & Co


Kerberos in xx infn it ed oltre

Kerberos in [xx.]INFN.IT ed oltre

  • Servizi kerberizzati

    • mail (smtp, imap) print, telnet, ecc.

    • Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server

  • Cross realm authentication con HEP

    • FNAL.GOV è “pronto” (HEPiX autumn 2002)

    • DESY.DE inizia a lavorarci (HEPiX spring 2003)

    • INFN.IT report/proposal (HEPiX autumn 2003?)

Enrico M.V. Fasanelli & Co


Conclusioni

Conclusioni

  • OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4)

  • Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni:

    • per le celle AFS, potrà :

      • garantire sharing di risorse tra celle locali

      • permettere management locale

      • alleggerire il management della cella infn.it

Enrico M.V. Fasanelli & Co


  • Login