Afs cross cell authentication in ambiente kerberos5
Download
1 / 17

AFS cross cell authentication in ambiente Kerberos5 - PowerPoint PPT Presentation


  • 90 Views
  • Uploaded on

AFS cross cell authentication in ambiente Kerberos5. Enrico M.V. Fasanelli & Co Paestum 11 Giugno 2003. …& Co (-starring). Sandro Angius Silvia Arezzini Massimo Donatelli Roberto Gomezel Fulvio Ricciardi. Also starring. SICR INFN Roma Alessandro Spanu Daniela Anzellotti

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'AFS cross cell authentication in ambiente Kerberos5' - marlon


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Afs cross cell authentication in ambiente kerberos5

AFS cross cell authenticationin ambiente Kerberos5

Enrico M.V. Fasanelli & Co

Paestum 11 Giugno 2003


Co starring
…& Co (-starring)

  • Sandro Angius

  • Silvia Arezzini

  • Massimo Donatelli

  • Roberto Gomezel

  • Fulvio Ricciardi

Enrico M.V. Fasanelli & Co


Also starring
Also starring

  • SICR INFN Roma

    • Alessandro Spanu

    • Daniela Anzellotti

    • Cristina Bulfon

    • Marco De Rossi

Enrico M.V. Fasanelli & Co


Agenda
Agenda

  • Cos’è

    • Kerberos 5 cross realm authentication

    • AFS cross cell authentication

  • Perché

  • Le prime prove effettuate

  • Le prove da fare

  • I passi successivi

  • Possibili evoluzioni

Enrico M.V. Fasanelli & Co


Kerberos 5 x realms authentication
Kerberos 5 X-realms authentication

INFN.IT

  • Relazioni di trust tra REALMs Kerberos

    • Ogni “principal” di un realm è autenticato anche nel realm trusted

  • Transitive in Kerberos5

    • gerarchiche (all’interno dello stesso albero)

    • CAPATHS (tra alberi disgiunti)

LNF.INFN.IT

LE.INFN.IT

Enrico M.V. Fasanelli & Co


Utilit
Utilità

[email protected]

  • Un utente, autenticato in un realm , può usare risorse dell’altro realm.

telnet –a –l root server.le.infn.it

Enrico M.V. Fasanelli & Co


Afs cross cell authentication
AFS cross cell authentication

AFS cell le.infn.it

  • Si definiscono opportuni gruppi di protezione

  • kinit

    • acquisisce un TGT Kerberos5

  • aklog

    • dato un tgt genera un token AFS (usando ahimè krb524d)

  • aklog <externalcell>

    • genera entry nel PTS della cella esterna (se non esiste)

    • ottiene il token nella cella esterna

system:[email protected]

[email protected]

AFS id 4 for [email protected]

AFS id 4 for [email protected]

[email protected]

system:[email protected]

AFS cell lnf.infn.it

Enrico M.V. Fasanelli & Co


Perch
Perchè

  • Esistenza di varie celle in produzione

    • pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it

  • Previsione di nuove celle

    • roma1.infn.it

    • tier1.infn.it ?????

  • Possibilità per gli utenti di accedere in modo “trasparente” alle risorse di altre celle

  • Interesse già evidenziato da parte di LNF

  • OpenAFS & MIT

    • Integrato supporto per Kerberos5 in OpenAFS > 1.2.8

    • Integrato codice per supporto di AFS in Kerberos MIT 1.3

ALMOST RECYCLED SLIDE

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 1 3
Le prime prove effettuate 1/3

  • Lavoro iniziato in aprile 2003

    • ~ 2 settimane-uomo

  • Layout di test basato su

    • Kerberos v5 MIT 1.2.7

    • OpenAFS 1.2.8

    • Linux RedHat 7.3 (8.0 a Pisa)

    • Kernel 2.4.18-7x

  • Ricompilati i pacchetti a partire da .src.rpm

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 2 3

Definito dominio

configurato BIND

Generato REALM Kerberos5

configurato il master KDC

supporto per AFS

Generata cella AFS

krb5test.infn.it

le.krb5test.infn.it

lnf.krb5test.infn.it

pi.krb5test.inf.nit

cnaf.krb5test.infn.it

Le prime prove effettuate 2/3

Enrico M.V. Fasanelli & Co


Le prime prove effettuate 3 3
Le prime prove effettuate 3/3

  • Definito relazioni di trust (bidirezionali) tra krb5test.infn.it ed i REALMs

    • le, lnf, pi, cnaf

  • Verificato la transitività gerarchica delle relazioni di trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it)

  • Definito le entries per la cross cell AFS authentication

  • Verificato il funzionamento della cross cell AFS authentication (tra lnf.krb5test.infn.it e le.krb5test.infn.it)

Enrico M.V. Fasanelli & Co


Eureka
EUREKA !

  • Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha funzionato tutto, perfettamente, ed al primo tentativo.

  • Problemi con le altre celle (ma probabilmente legati ad errori di configurazione)

  • le.krb5test.infn.it non esiste più. E’ defunta la CPU venerdì scorso (e non era neanche un venerdì 13…)

Enrico M.V. Fasanelli & Co


Cosa abbiamo verificato imparato
Cosa abbiamo verificato/imparato

  • La cross realm authentication in Kerberos5 continua a funzionare bene

    • circa due anni di esperienza tra i realm LE.INFN.IT e W2K.LE.INFN.IT

  • Avere una infrastruttura gerarchica permette di accedere in modo trasparente, autenticato e sicuro (crittografato) a servizi di altri REALMs

Enrico M.V. Fasanelli & Co


Le prove da fare subito
Le prove da fare subito

  • Ripetere tutto con hardware più affidabile/nuovo

  • Rendere riproducibili i risultati sulla cross authentication di celle AFS

Enrico M.V. Fasanelli & Co


E poi
… e poi?

  • Kerbeos v5 REALM INFN.IT

    • cross authentication con LE, ROMA1, LNF, KLOE, PI, CNAF

  • AFS cross cell authentication tra le varie celle locali basate su Kerberos5

  • Migrazione ad autenticazione basata su Kerberos5 delle celle AFS esistenti

Enrico M.V. Fasanelli & Co


Kerberos in xx infn it ed oltre
Kerberos in [xx.]INFN.IT ed oltre

  • Servizi kerberizzati

    • mail (smtp, imap) print, telnet, ecc.

    • Autenticazione sugli Access Point, switches di rete, VPN box, print server, smtp server

  • Cross realm authentication con HEP

    • FNAL.GOV è “pronto” (HEPiX autumn 2002)

    • DESY.DE inizia a lavorarci (HEPiX spring 2003)

    • INFN.IT report/proposal (HEPiX autumn 2003?)

Enrico M.V. Fasanelli & Co


Conclusioni
Conclusioni

  • OpenAFS diventerà un Servizio Kerberos 5 (probabilmente prima della versione 1.4)

  • Infrastruttura Kerberos 5 INFN permetterebbe l’accesso trasparente ai servizi kerberizzati nelle diverse sezioni:

    • per le celle AFS, potrà :

      • garantire sharing di risorse tra celle locali

      • permettere management locale

      • alleggerire il management della cella infn.it

Enrico M.V. Fasanelli & Co


ad