SlideShare uma empresa Scribd logo

AAI Locale

Francesco Taurino
Francesco Taurino

Proposta per un modello comune in ambito locale

1 de 38
Baixar para ler offline
AAI Proposta per un modello comune in ambito locale E. M. V. Fasanelli F. M. Taurino G. Tortone CCR Roma – 12/12/2006
Agenda L’AAI dal punto di vista dei servizi di base Un sguardo d’insieme sulla situazione attuale Il modello proposto Conclusioni
I servizi di base Posta elettronica Stampa Accesso remoto e per ospiti Mailing List Applicazioni e siti Web Windows
Posta elettronica (SMTP) I mail exchanger hanno bisogno di Lista delle reti autorizzate al relay Elenco dei domini per cui possono gestire la posta Lista degli alias e dei maildrop degli utenti Tipicamente sono almeno due ed e’ necessario tenere sincronizzati i loro “database”
Posta elettronica (IMAP) I server di accesso alle caselle email hanno bisogno di Lista degli utenti Eventuali autorizzazioni di accesso a folder condivisi Possono essere collegati a server di autenticazioni centralizzati oppure avere un elenco di utenti e password locale (es. Cyrus)
Stampa (CUPS) Possibilità di avere code private e/o di gruppo e di richiedere l’autenticazione degli utenti che inviano le stampe Browsing delle stampanti via IPP e/o Samba Possibilita’ di “pubblicare” le stampanti (es: configurazione, tipi di formati disponibili, location) su un “directory server”
Accesso remoto La gestione dell’accesso in modalità interattiva può essere complessa Nel caso più semplice (Server Linux con accesso via ssh) sono necessari Elenco username/password Tcp-wrapper per autorizzazione di ip/domini Opt: limits.conf, time.conf (limiti e orari) Tipicamente e’ necessario modificare altri file per gli accessi in grafica
Accesso per ospiti o VPN Questi sistemi possono operare utilizzando server centrali di autenticazione oppure avere elenchi di utenti locali alle macchine La gestione degli ospiti può essere complessa (creazione account, scadenze)
Mailing list Diversi indirizzi (a volte migliaia) per ogni lista Permessi di accesso e utilizzo Gestione archivi via web Tipicamente svincolati dai sistemi di autenticazione centrali (oppure non integrabili – es: Majordomo) La creazione di un utente sui server comporta l’aggiunta di una entry sul server di gestione delle liste
Applicazioni e siti web Autenticazione utenti con file in formato specifico per il server web - htpasswd Autorizzazione all’accesso a folder impostati con il meccanismo “htaccess” Non integrabile con sistemi standard Proliferazione di file htpasswd e htaccess su siti complessi
Windows Autenticazione e autorizzazioni vengono gestiti da Active Directory Non integrabili –direttamente– con sistemi Linux/Unix Tipicamente in ambienti multipiattaforma avremo almeno due “database” degli utenti
Identity management - 1 La gestione delle informazioni relative agli individui (e a macchine e servizi) Account sui sistemi Account per le applicazioni Indirizzi (email, telefono, indirizzo fisico) Iscrizione a “servizi”
Identity management - 2 Queste informazioni sono contenute in diversi “database”, in formati differenti e di solito con sistemi NON compatibili fra loro E’ difficile tenere sincronizzate le informazioni relative a una persona su tutti questi sistemi Es: trasferimento di una persona Quanti e quali “database” vanno modificati? Cosa succede se tralascio uno degli archivi?
La situazione odierna - 1
La situazione odierna - 2
E se le sedi sono due…
Soluzioni parziali - 1 NIS (Yellow Pages) Non gerarchico “database” semplice (tabelle di due colonne) Server di tipo Master/Slave Criptazione delle sole password Utilizzo non efficiente su WAN Intrinsecamente non sicuro SOLO per Linux/Unix Alcuni problemi risolti con NIS+ Non vengono sviluppati attivamente
Soluzioni parziali - 2 Kerberos Non gerarchico – multi realm Database criptato Server di tipo Master/Slave Criptazione anche del traffico Utilizzabile su WAN Indipendente dalla piattaforma SOLO per autenticazione e autorizzazione
Soluzioni parziali - 3 LDAP Gerarchico Database “liberamente” modificabili Server di tipo Multi-Master/Slave/Replica Criptazione anche del traffico Utilizzabile su WAN Indipendente dalla piattaforma Anche per autenticazione e autorizzazione
Il modello AAI proposto LDAP + backend Kerberos5 Intrinsecamente gerarchico Calza “a pennello” sulla struttura INFN… Sicuro (db user/pass – traffico) Standard aperti e multipiattaforma Compatibile con le AI sicure esistenti K5 è opzionale (ma raccomandato) PKI e certificati X.509 Il DS per i servizi comuni
AAI per l’INFN C=IT, O=INFN C=IT, O=INFN, L=Napoli C=IT, O=INFN, L=Lecce DS DS DS
Vantaggi Singole istanze dei “dati” Consolidamento delle informazioni presenti in diversi database di sistemi e applicazioni Gestione centralizzata (anche su architettura distribuita), uniforme e sicura Sincronizzazione efficiente Riduzione dei costi E dei tempi… Possibilità di modificare lo schema per applicazioni particolari
NOTE SUI DS
Cosa e’ un Directory Service Un Directory Service è un servizio informativo che consente un accesso uniforme ai dati, organizzati secondo un preciso schema. I DS costituiscono fonte di informazione non solo per le persone ma anche per le applicazioni. Esistono DS specializzati come il DNS e di utilizzo piu’ generale come LDAP.
DS e Database Un DS e’ un DB ottimizzato per la lettura e per la ricerca delle informazioni su dati con aggiornamenti rari, con un protocollo che permette l’accesso via rete. Sono inoltre previsti meccanismi di replicazione e distribuzione dei dati tra vari Dircetory Server
X.500 DS standard del CCITT Revisioni importanti nel 1993 e nel 1997 (altre negli anni successivi) Directory Access Protocol per l’accesso via rete (opera su tutta la pila OSI) Introduce le linee guida per i successivi DS
LDAP Lightweight Directory Access Protocol Nato per sopperire alla “pesantezza” di X.500 Opera su TCP/IP Vasta diffusione Modello informativo basato sulle entita’ Entita’ composte da attributi che hanno uno o più valori Gli attributi hanno una sintassi che determina il tipo (ASCII, binario) e il loro comportamento
Entità e ACL Entita’ organizzate in struttura gerarchica secondo il modello di X.500 Entita’ univocamente individuate da un Distinguished Name (DN) e, fissata una base, da un Relative Distinguished Name (RDN) LDAP fornisce metodi di accesso alle informazioni (ACLs), di autenticazione, di replicazione e di distribuzione dei dati
DIB e DIT Le informazioni in un DS sono archiviate in un Directory Information Base (entita’ con relativi attributi) Le informazioni nel DIB sono organizzate in una stuttura ad albero : Directory Information Tree
Indirizzamento La foglia di questo albero e’ cosi’ indirizzata: DN : “CN=Bslug, OU=UCSC, OU=Santa Cruz, O=CA, C=US” RDN : “CN=Bslug”
Accesso via rete Il protocollo di accesso è basato su TCP/IP (X.500 è basato su OSI) Definisce le operazioni di: ricerca, modifica, inserimento, autenticazione ecc.. Operazione principale : ricerca Es Quali sono le OU in California? Quali OU hanno un fax? Esiste un indirizzo di posta per l’utente “Rossi” nelle O con sede in CAN ?
Utilizzi reali di LDAP Sendmail + LDAP per la gestione dello userdb e delle mailing lists Client di posta per l'addressbook Apache + Modulo di autenticazione LDAP Windows 2000 Active Directory (Backend LDAP per l’ autenticazione degli utenti) Sistema di autenticazione al momento su alcune piattaforme Unix (PAM per Solaris e Linux)
Struttura delle informazioni dn:cn=Francesco Maria Taurino, ou=NA, o=INFN, c=IT Primary Key cn: Francesco Maria Taurino sn: Taurino objectclass: person Mailing Lists interests: computing interests: php activity: calcolo mailacceptinggeneralid:Francesco.Taurino mailacceptinggeneralid:Taurino Mailing Info maildrop:taurino@imap-qz.na.infn.it mailname:Francesco.Taurino@na.infn.it mail:Francesco.Taurino@na.infn.it Personal Info telephoneNumber:+39+081+676290 postalAddress:Via Cintia, Comp. Univ. M. S. Angelo username:taurino expires:NEVER Account Info fullUsername:taurino@matrix.na.infn.it uid:501 gid:501
Sicurezza Le varie implementazioni dei server prevedono diversi meccanismi di accesso ai dati e di autenticazione. L’autenticazione in genere è basata su ACLs e permette diversi livelli e modalità di accesso ai dati del DIT. Per la lettura e la modifica alle informazioni si può usare Kerberos o SSL.
Vantaggi dei DS Singola istanza dei dati relativi agli utenti Gestione centralizzata (anche su architettura distribuita) e uniforme Applicazioni commerciali e pubbliche in continuo aumento Possibilità di modificare lo schema per applicazioni particolari
…e svantaggi Relativa lentezza degli update e dell’accesso tramite wrappers (Finger, whois) I DS in genere non sono transaction based, l’accesso concorrente in scrittura, può essere un problema (ma lo e’ sempre meno…) Gestione inizialmente complicata: necessita dell’acquisizione di conoscenze aggiuntive (ma e’ sempre piu’ semplice…)

Recomendados

Information Technology Law
Information Technology LawInformation Technology Law
Information Technology LawAlessandro Abate
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
Presentazione Sma1
Presentazione Sma1Presentazione Sma1
Presentazione Sma1dcaimmi
 
Jabber
JabberJabber
JabberFrancesco Taurino
 
Ldap Authentication
Ldap AuthenticationLdap Authentication
Ldap AuthenticationStefano Sasso
 
Seed dms SAM ERP2_integrazione
Seed dms SAM ERP2_integrazioneSeed dms SAM ERP2_integrazione
Seed dms SAM ERP2_integrazioneFranco Crippa
 
Documento seed dms
Documento seed dmsDocumento seed dms
Documento seed dmsFranco Crippa
 
P2P: not only file sharing
P2P: not only file sharingP2P: not only file sharing
P2P: not only file sharingMarta Fava
 

Recomendados

Information Technology Law
Information Technology LawInformation Technology Law
Information Technology LawAlessandro Abate
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
Presentazione Sma1
Presentazione Sma1Presentazione Sma1
Presentazione Sma1dcaimmi
 
Jabber
JabberJabber
JabberFrancesco Taurino
 
Ldap Authentication
Ldap AuthenticationLdap Authentication
Ldap AuthenticationStefano Sasso
 
Seed dms SAM ERP2_integrazione
Seed dms SAM ERP2_integrazioneSeed dms SAM ERP2_integrazione
Seed dms SAM ERP2_integrazioneFranco Crippa
 
Documento seed dms
Documento seed dmsDocumento seed dms
Documento seed dmsFranco Crippa
 
P2P: not only file sharing
P2P: not only file sharingP2P: not only file sharing
P2P: not only file sharingMarta Fava
 
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereFrancesco Taurino
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Francesco Taurino
 
APT per RPM
APT per RPMAPT per RPM
APT per RPMFrancesco Taurino
 
Open Security
Open SecurityOpen Security
Open SecurityFrancesco Taurino
 
AAI Nazionale
AAI NazionaleAAI Nazionale
AAI NazionaleFrancesco Taurino
 
Excelsior 2009
Excelsior 2009Excelsior 2009
Excelsior 2009Francesco Taurino
 
Unattended
UnattendedUnattended
UnattendedFrancesco Taurino
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
AAI
AAI AAI
AAI Francesco Taurino
 
ClearOS
ClearOSClearOS
ClearOSNaLUG
 
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internetLezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internetGiuseppe Cramarossa
 
Presentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-ProfitPresentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-ProfitLorenzo Salvadorini
 
Vassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di MetadatiVassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di MetadatiSalvatore Vassallo
 
Il web e la sua evoluzione
Il web e la sua evoluzioneIl web e la sua evoluzione
Il web e la sua evoluzioneNino Lopez
 
Le Reti di Computer
Le Reti di ComputerLe Reti di Computer
Le Reti di ComputerGiovanni Carbonara
 
Phpeace
PhpeacePhpeace
PhpeaceLorenzo Salvadorini
 
Homemade Linux Server
Homemade Linux ServerHomemade Linux Server
Homemade Linux ServerNaLUG
 
Corso di servlet jsp e pattern
Corso di servlet jsp e patternCorso di servlet jsp e pattern
Corso di servlet jsp e patternGiuseppe Dell'Abate
 
Dot net framework 2
Dot net framework 2Dot net framework 2
Dot net framework 2Felice Pescatore
 
Migrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open sourceMigrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open sourceClaudio Cardinali
 
Reti di computer
Reti di computerReti di computer
Reti di computerTaxiUber
 
Realizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e sambaRealizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e sambaAndrea Mauro
 

Mais conteúdo relacionado

Destaque

Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereFrancesco Taurino
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Francesco Taurino
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 

Destaque (8)

Proposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua VetereProposte (informatiche) per il comune di Santa Maria Capua Vetere
Proposte (informatiche) per il comune di Santa Maria Capua Vetere
 
Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...Design and implementation of a reliable and cost-effective cloud computing in...
Design and implementation of a reliable and cost-effective cloud computing in...
 
APT per RPM
APT per RPMAPT per RPM
APT per RPM
 
Open Security
Open SecurityOpen Security
Open Security
 
AAI Nazionale
AAI NazionaleAAI Nazionale
AAI Nazionale
 
Excelsior 2009
Excelsior 2009Excelsior 2009
Excelsior 2009
 
Unattended
UnattendedUnattended
Unattended
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 

Semelhante a AAI Locale

ClearOS
ClearOSClearOS
ClearOSNaLUG
 
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internetLezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internetGiuseppe Cramarossa
 
Presentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-ProfitPresentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-ProfitLorenzo Salvadorini
 
Vassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di MetadatiVassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di MetadatiSalvatore Vassallo
 
Il web e la sua evoluzione
Il web e la sua evoluzioneIl web e la sua evoluzione
Il web e la sua evoluzioneNino Lopez
 
Homemade Linux Server
Homemade Linux ServerHomemade Linux Server
Homemade Linux ServerNaLUG
 
Migrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open sourceMigrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open sourceClaudio Cardinali
 
Reti di computer
Reti di computerReti di computer
Reti di computerTaxiUber
 
Realizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e sambaRealizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e sambaAndrea Mauro
 
Smau Padova 2011 Leonardo Torretta - windows
Smau Padova 2011 Leonardo Torretta - windowsSmau Padova 2011 Leonardo Torretta - windows
Smau Padova 2011 Leonardo Torretta - windowsSMAU
 
Cassandra DB - Linux Day 2019 - Catania - Italy
Cassandra DB - Linux Day 2019 - Catania - ItalyCassandra DB - Linux Day 2019 - Catania - Italy
Cassandra DB - Linux Day 2019 - Catania - ItalyFabrizio Spataro
 

Semelhante a AAI Locale (20)

AAI
AAI AAI
AAI
 
ClearOS
ClearOSClearOS
ClearOS
 
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internetLezione 1 - Teoria - Accenni sulle reti e sui servizi internet
Lezione 1 - Teoria - Accenni sulle reti e sui servizi internet
 
Presentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-ProfitPresentazione Phpeace per settore No-Profit
Presentazione Phpeace per settore No-Profit
 
Vassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di MetadatiVassallo Standard Descrittivi E Standard Di Metadati
Vassallo Standard Descrittivi E Standard Di Metadati
 
Il web e la sua evoluzione
Il web e la sua evoluzioneIl web e la sua evoluzione
Il web e la sua evoluzione
 
Le Reti di Computer
Le Reti di ComputerLe Reti di Computer
Le Reti di Computer
 
Phpeace
PhpeacePhpeace
Phpeace
 
Homemade Linux Server
Homemade Linux ServerHomemade Linux Server
Homemade Linux Server
 
Corso di servlet jsp e pattern
Corso di servlet jsp e patternCorso di servlet jsp e pattern
Corso di servlet jsp e pattern
 
Dot net framework 2
Dot net framework 2Dot net framework 2
Dot net framework 2
 
Migrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open sourceMigrazione da sistemi proprietari a sistemi open source
Migrazione da sistemi proprietari a sistemi open source
 
Reti di computer
Reti di computerReti di computer
Reti di computer
 
Realizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e sambaRealizzare una rete aziendale con linux e samba
Realizzare una rete aziendale con linux e samba
 
Basi di dati
Basi di dati Basi di dati
Basi di dati
 
Smau Padova 2011 Leonardo Torretta - windows
Smau Padova 2011 Leonardo Torretta - windowsSmau Padova 2011 Leonardo Torretta - windows
Smau Padova 2011 Leonardo Torretta - windows
 
Dbms
DbmsDbms
Dbms
 
Cassandra DB - Linux Day 2019 - Catania - Italy
Cassandra DB - Linux Day 2019 - Catania - ItalyCassandra DB - Linux Day 2019 - Catania - Italy
Cassandra DB - Linux Day 2019 - Catania - Italy
 
$Rzgejzw
$Rzgejzw$Rzgejzw
$Rzgejzw
 
Aspetto sociale del p2p
Aspetto sociale del p2pAspetto sociale del p2p
Aspetto sociale del p2p
 

Mais de Francesco Taurino

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaFrancesco Taurino
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...Francesco Taurino
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco Taurino
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VetereFrancesco Taurino
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con LinuxFrancesco Taurino
 
Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Francesco Taurino
 
Monitoraggio ambientale a basso costo - 1
Monitoraggio ambientale a basso costo - 1Monitoraggio ambientale a basso costo - 1
Monitoraggio ambientale a basso costo - 1Francesco Taurino
 

Mais de Francesco Taurino (20)

La mia nuvola in azienda o a casa
La mia nuvola in azienda o a casaLa mia nuvola in azienda o a casa
La mia nuvola in azienda o a casa
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
 
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
LPPP - Linux Per le PMI (piccole e medie imprese) e la PA (Pubblica Amministr...
 
Francesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioniFrancesco M. Taurino - Relazione tecnica e pubblicazioni
Francesco M. Taurino - Relazione tecnica e pubblicazioni
 
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua VeterePresentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
Presentazione del nuovo sito web del Comune di Santa Maria Capua Vetere
 
Open Source
Open SourceOpen Source
Open Source
 
Applicazioni open source
Applicazioni open sourceApplicazioni open source
Applicazioni open source
 
Una rete aziendale con Linux
Una rete aziendale con LinuxUna rete aziendale con Linux
Una rete aziendale con Linux
 
Linux
LinuxLinux
Linux
 
Xen e OpenVirtuozzo
Xen e OpenVirtuozzoXen e OpenVirtuozzo
Xen e OpenVirtuozzo
 
Back to Mainframe
Back to MainframeBack to Mainframe
Back to Mainframe
 
NetDisco
NetDiscoNetDisco
NetDisco
 
LTSP
LTSPLTSP
LTSP
 
Nessus
NessusNessus
Nessus
 
SysMan
SysManSysMan
SysMan
 
Condor
CondorCondor
Condor
 
Redhat RHCE Certification
Redhat RHCE CertificationRedhat RHCE Certification
Redhat RHCE Certification
 
PfSense Cluster
PfSense ClusterPfSense Cluster
PfSense Cluster
 
Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2Monitoraggio ambientale a basso costo - 2
Monitoraggio ambientale a basso costo - 2
 
Monitoraggio ambientale a basso costo - 1
Monitoraggio ambientale a basso costo - 1Monitoraggio ambientale a basso costo - 1
Monitoraggio ambientale a basso costo - 1
 

AAI Locale

  • 1. AAI Proposta per un modello comune in ambito locale E. M. V. Fasanelli F. M. Taurino G. Tortone CCR Roma – 12/12/2006
  • 2. Agenda L’AAI dal punto di vista dei servizi di base Un sguardo d’insieme sulla situazione attuale Il modello proposto Conclusioni
  • 3. I servizi di base Posta elettronica Stampa Accesso remoto e per ospiti Mailing List Applicazioni e siti Web Windows
  • 4. Posta elettronica (SMTP) I mail exchanger hanno bisogno di Lista delle reti autorizzate al relay Elenco dei domini per cui possono gestire la posta Lista degli alias e dei maildrop degli utenti Tipicamente sono almeno due ed e’ necessario tenere sincronizzati i loro “database”
  • 5. Posta elettronica (IMAP) I server di accesso alle caselle email hanno bisogno di Lista degli utenti Eventuali autorizzazioni di accesso a folder condivisi Possono essere collegati a server di autenticazioni centralizzati oppure avere un elenco di utenti e password locale (es. Cyrus)
  • 6. Stampa (CUPS) Possibilità di avere code private e/o di gruppo e di richiedere l’autenticazione degli utenti che inviano le stampe Browsing delle stampanti via IPP e/o Samba Possibilita’ di “pubblicare” le stampanti (es: configurazione, tipi di formati disponibili, location) su un “directory server”
  • 7. Accesso remoto La gestione dell’accesso in modalità interattiva può essere complessa Nel caso più semplice (Server Linux con accesso via ssh) sono necessari Elenco username/password Tcp-wrapper per autorizzazione di ip/domini Opt: limits.conf, time.conf (limiti e orari) Tipicamente e’ necessario modificare altri file per gli accessi in grafica
  • 8. Accesso per ospiti o VPN Questi sistemi possono operare utilizzando server centrali di autenticazione oppure avere elenchi di utenti locali alle macchine La gestione degli ospiti può essere complessa (creazione account, scadenze)
  • 9. Mailing list Diversi indirizzi (a volte migliaia) per ogni lista Permessi di accesso e utilizzo Gestione archivi via web Tipicamente svincolati dai sistemi di autenticazione centrali (oppure non integrabili – es: Majordomo) La creazione di un utente sui server comporta l’aggiunta di una entry sul server di gestione delle liste
  • 10. Applicazioni e siti web Autenticazione utenti con file in formato specifico per il server web - htpasswd Autorizzazione all’accesso a folder impostati con il meccanismo “htaccess” Non integrabile con sistemi standard Proliferazione di file htpasswd e htaccess su siti complessi
  • 11. Windows Autenticazione e autorizzazioni vengono gestiti da Active Directory Non integrabili –direttamente– con sistemi Linux/Unix Tipicamente in ambienti multipiattaforma avremo almeno due “database” degli utenti
  • 12. Identity management - 1 La gestione delle informazioni relative agli individui (e a macchine e servizi) Account sui sistemi Account per le applicazioni Indirizzi (email, telefono, indirizzo fisico) Iscrizione a “servizi”
  • 13. Identity management - 2 Queste informazioni sono contenute in diversi “database”, in formati differenti e di solito con sistemi NON compatibili fra loro E’ difficile tenere sincronizzate le informazioni relative a una persona su tutti questi sistemi Es: trasferimento di una persona Quanti e quali “database” vanno modificati? Cosa succede se tralascio uno degli archivi?
  • 16. E se le sedi sono due…
  • 17. Soluzioni parziali - 1 NIS (Yellow Pages) Non gerarchico “database” semplice (tabelle di due colonne) Server di tipo Master/Slave Criptazione delle sole password Utilizzo non efficiente su WAN Intrinsecamente non sicuro SOLO per Linux/Unix Alcuni problemi risolti con NIS+ Non vengono sviluppati attivamente
  • 18. Soluzioni parziali - 2 Kerberos Non gerarchico – multi realm Database criptato Server di tipo Master/Slave Criptazione anche del traffico Utilizzabile su WAN Indipendente dalla piattaforma SOLO per autenticazione e autorizzazione
  • 19. Soluzioni parziali - 3 LDAP Gerarchico Database “liberamente” modificabili Server di tipo Multi-Master/Slave/Replica Criptazione anche del traffico Utilizzabile su WAN Indipendente dalla piattaforma Anche per autenticazione e autorizzazione
  • 20. Il modello AAI proposto LDAP + backend Kerberos5 Intrinsecamente gerarchico Calza “a pennello” sulla struttura INFN… Sicuro (db user/pass – traffico) Standard aperti e multipiattaforma Compatibile con le AI sicure esistenti K5 è opzionale (ma raccomandato) PKI e certificati X.509 Il DS per i servizi comuni
  • 21. AAI per l’INFN C=IT, O=INFN C=IT, O=INFN, L=Napoli C=IT, O=INFN, L=Lecce DS DS DS
  • 22. Vantaggi Singole istanze dei “dati” Consolidamento delle informazioni presenti in diversi database di sistemi e applicazioni Gestione centralizzata (anche su architettura distribuita), uniforme e sicura Sincronizzazione efficiente Riduzione dei costi E dei tempi… Possibilità di modificare lo schema per applicazioni particolari
  • 23.
  • 25. Cosa e’ un Directory Service Un Directory Service è un servizio informativo che consente un accesso uniforme ai dati, organizzati secondo un preciso schema. I DS costituiscono fonte di informazione non solo per le persone ma anche per le applicazioni. Esistono DS specializzati come il DNS e di utilizzo piu’ generale come LDAP.
  • 26. DS e Database Un DS e’ un DB ottimizzato per la lettura e per la ricerca delle informazioni su dati con aggiornamenti rari, con un protocollo che permette l’accesso via rete. Sono inoltre previsti meccanismi di replicazione e distribuzione dei dati tra vari Dircetory Server
  • 27. X.500 DS standard del CCITT Revisioni importanti nel 1993 e nel 1997 (altre negli anni successivi) Directory Access Protocol per l’accesso via rete (opera su tutta la pila OSI) Introduce le linee guida per i successivi DS
  • 28. LDAP Lightweight Directory Access Protocol Nato per sopperire alla “pesantezza” di X.500 Opera su TCP/IP Vasta diffusione Modello informativo basato sulle entita’ Entita’ composte da attributi che hanno uno o più valori Gli attributi hanno una sintassi che determina il tipo (ASCII, binario) e il loro comportamento
  • 29. Entità e ACL Entita’ organizzate in struttura gerarchica secondo il modello di X.500 Entita’ univocamente individuate da un Distinguished Name (DN) e, fissata una base, da un Relative Distinguished Name (RDN) LDAP fornisce metodi di accesso alle informazioni (ACLs), di autenticazione, di replicazione e di distribuzione dei dati
  • 30. DIB e DIT Le informazioni in un DS sono archiviate in un Directory Information Base (entita’ con relativi attributi) Le informazioni nel DIB sono organizzate in una stuttura ad albero : Directory Information Tree
  • 31.
  • 32. Indirizzamento La foglia di questo albero e’ cosi’ indirizzata: DN : “CN=Bslug, OU=UCSC, OU=Santa Cruz, O=CA, C=US” RDN : “CN=Bslug”
  • 33. Accesso via rete Il protocollo di accesso è basato su TCP/IP (X.500 è basato su OSI) Definisce le operazioni di: ricerca, modifica, inserimento, autenticazione ecc.. Operazione principale : ricerca Es Quali sono le OU in California? Quali OU hanno un fax? Esiste un indirizzo di posta per l’utente “Rossi” nelle O con sede in CAN ?
  • 34. Utilizzi reali di LDAP Sendmail + LDAP per la gestione dello userdb e delle mailing lists Client di posta per l'addressbook Apache + Modulo di autenticazione LDAP Windows 2000 Active Directory (Backend LDAP per l’ autenticazione degli utenti) Sistema di autenticazione al momento su alcune piattaforme Unix (PAM per Solaris e Linux)
  • 35. Struttura delle informazioni dn:cn=Francesco Maria Taurino, ou=NA, o=INFN, c=IT Primary Key cn: Francesco Maria Taurino sn: Taurino objectclass: person Mailing Lists interests: computing interests: php activity: calcolo mailacceptinggeneralid:Francesco.Taurino mailacceptinggeneralid:Taurino Mailing Info maildrop:taurino@imap-qz.na.infn.it mailname:Francesco.Taurino@na.infn.it mail:Francesco.Taurino@na.infn.it Personal Info telephoneNumber:+39+081+676290 postalAddress:Via Cintia, Comp. Univ. M. S. Angelo username:taurino expires:NEVER Account Info fullUsername:taurino@matrix.na.infn.it uid:501 gid:501
  • 36. Sicurezza Le varie implementazioni dei server prevedono diversi meccanismi di accesso ai dati e di autenticazione. L’autenticazione in genere è basata su ACLs e permette diversi livelli e modalità di accesso ai dati del DIT. Per la lettura e la modifica alle informazioni si può usare Kerberos o SSL.
  • 37. Vantaggi dei DS Singola istanza dei dati relativi agli utenti Gestione centralizzata (anche su architettura distribuita) e uniforme Applicazioni commerciali e pubbliche in continuo aumento Possibilità di modificare lo schema per applicazioni particolari
  • 38. …e svantaggi Relativa lentezza degli update e dell’accesso tramite wrappers (Finger, whois) I DS in genere non sono transaction based, l’accesso concorrente in scrittura, può essere un problema (ma lo e’ sempre meno…) Gestione inizialmente complicata: necessita dell’acquisizione di conoscenze aggiuntive (ma e’ sempre piu’ semplice…)