INFNAAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFNAAI

  • Slides: 12
Download presentation
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI

INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI

Autenticazione & Autorizzazione l l l Sono due processi distinti Spesso vengono confusi per

Autenticazione & Autorizzazione l l l Sono due processi distinti Spesso vengono confusi per l’abitudine (ormai desueta) di non gestirli separatamente Abbreviazioni: l Auth. N (Authentication) l Auth. Z (Authorization) INFN-AAI - Dael Maselli - 2010 2

Autenticazione l il processo tramite il quale un computer, un software o un utente,

Autenticazione l il processo tramite il quale un computer, un software o un utente, verifica l’identità di un altro computer, software o utente l I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a: l qualcosa che è (sistemi biometrici) l qualcosa che ha (smart card, token, badge) l qualcosa che conosce (password) INFN-AAI - Dael Maselli - 2010 3

STRONG: Kerberos 5 Native l l L’utente che ha a disposizione un principal Kerberos

STRONG: Kerberos 5 Native l l L’utente che ha a disposizione un principal Kerberos su un realm X. INFN. IT può autenticarsi presso le applicazioni che lo supportino Le richieste di accesso ai servizi avvengono tramite TGS e le credenziali dell’utente non vengono mai esposte al di fuori del proprio client Il mapping tra principal Kerberos e identità è garantito dall’attributo infn. Kerberos. Principal nel DS Ogni sede INFN avrà il proprio Kerberos KDC associato al proprio realm SEDE. INFN. IT INFN-AAI - Dael Maselli - 2010 4

STRONG: Public Key (x 509) l l l Un utente che abbia un certificato

STRONG: Public Key (x 509) l l l Un utente che abbia un certificato x 509 personale rilasciato da una CA riconosciuta può autenticarsi su un servizio che implementi tale protocollo L’autenticazione PKI non espone mai le credenziali al di fuori del client Il mapping del certificato con l’identità può essere effettuato sulla base dell’attributo mail presente nel Directory Server LDAP INFN-AAI - Dael Maselli - 2010 5

PLAIN: Username/Password l l Nelle situazioni in cui il servizio o il client non

PLAIN: Username/Password l l Nelle situazioni in cui il servizio o il client non supportino nessuno dei metodi descritti è prevista la semplice autenticazione tramite username e password Assolutamente attraverso canale cifrato SSL/TLS L’autenticazione deve essere richiesta direttamente al server LDAP indicando come username il DN della entry relativa all’utente Il DS, attraverso uno specifico plug-in custom, verificherà la password tramite Kerberos INFN-AAI - Dael Maselli - 2010 6

PLAIN: One-Time Password l l È in beta test un meccanismo di autenticazione che

PLAIN: One-Time Password l l È in beta test un meccanismo di autenticazione che permette di inserire una password temporanea al posto di quella Kerberos Utilizza il protocollo MOTP, il cui client è disponibile per quasi tutte le piattaforme mobile l i. Phone, Android, Palm. OS, Nokia, Java, Windows Mobile INFN-AAI - Dael Maselli - 2010 7

Autorizzazione l l l È il processo con il quale un sistema decide quali

Autorizzazione l l l È il processo con il quale un sistema decide quali permessi un soggetto ha nei confronti di una risorsa l Soggetto: utente, host o servizio L’autorizzazione avviene sulla base di determinate informazioni che il sistema conosce a proposito del soggetto In AAI le informazioni per l’autorizzazione risiedono nelle entry dei soggetti nel Directory Service LDAP INFN-AAI - Dael Maselli - 2010 8

Role-Based Access Control (RBAC) l l l Il ruolo è una proprietà di un

Role-Based Access Control (RBAC) l l l Il ruolo è una proprietà di un soggetto che ne rappresenta la funzione, l’ufficio o incarico l i ruoli vengono assegnati in modo gerarchico Nel modello RBAC un soggetto può accedere a una risorsa solo se: l il soggetto ha un determinato ruolo attivo l tale ruolo è autorizzato ad accedere alla risorsa Nella nostra implementazione i ruoli sono presenti nel DS LDAP sotto forma di gruppi INFN-AAI - Dael Maselli - 2010 9

Entitlements Management I l l Un ulteriore modello di autorizzazione prevede che esista, tra

Entitlements Management I l l Un ulteriore modello di autorizzazione prevede che esista, tra le proprietà dell’utente, una specifica autorizzazione ad un processo di un servizio Tali informazioni sono chiamate Entitlements Specificano esattamente quali operazioni sono autorizzate e per quali servizi Nel DS sono presenti come stringhe nei valori dell’attributo edu. Person. Entitlement nelle entry dei soggetti infn. it: IAM: gestione. Anagrafica: modifica: numero. Telefono INFN-AAI - Dael Maselli - 2010 10

Entitlements Management II l l Per gestire l’assegnazione degli entitlement INFNAAI si serve del

Entitlements Management II l l Per gestire l’assegnazione degli entitlement INFNAAI si serve del software IAM GODi. VA assegna automaticamente gli entitlement ai soggetti nel DS sulla base di l Ruolo l Dominio l Ruolo@Dominio l Identità (in deroga al modello RBAC!) INFN-AAI - Dael Maselli - 2010 11

FINE INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus

FINE INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus

INFRASTRUTTURA DI AUTENTICAZIONE ED AUTORIZZAZIONE Agenda Autenticazione AttributiINFRASTRUTTURA DI AUTENTICAZIONE ED AUTORIZZAZIONE Agenda Autenticazione Attributi
INFNAAI Stato dellinfrastruttura centrale Dael Maselli Workshop INFNINFNAAI Stato dellinfrastruttura centrale Dael Maselli Workshop INFN
INFNAAI per il Servizio Sistema Informativo Dael MaselliINFNAAI per il Servizio Sistema Informativo Dael Maselli
INFNAAI HA SAML Identity Provider Dael Maselli WorkshopINFNAAI HA SAML Identity Provider Dael Maselli Workshop
INFNAAI Stato dellinfrastruttura centrale Dael Maselli Workshop INFNINFNAAI Stato dellinfrastruttura centrale Dael Maselli Workshop INFN
Autenticazione e Autorizzazione tramite lutilizzo di Account eAutenticazione e Autorizzazione tramite lutilizzo di Account e
389 Directory Server Dael Maselli Funzionalita principali n389 Directory Server Dael Maselli Funzionalita principali n
Applicazioni Web LNF 4 Settembre 2008 Dael MaselliApplicazioni Web LNF 4 Settembre 2008 Dael Maselli
RHCS XEN Cluster Dael Maselli Workshop CCR MaggioRHCS XEN Cluster Dael Maselli Workshop CCR Maggio
CCR 1 Ottobre 2009 Dael Maselli INFN LNFCCR 1 Ottobre 2009 Dael Maselli INFN LNF
CCR 5 Ottobre 2011 Dael Maselli INFN LNFCCR 5 Ottobre 2011 Dael Maselli INFN LNF