AFS cross cell authentication
in ambiente Kerberos5
Enrico M.V. Fasanelli & Co
Paestum 11 Giugno 2003
…& Co (-starring)





2
Sandro Angius
Silvia Arezzini
Massimo Donatelli
Roberto Gomezel
Fulvio Ricciardi
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Also starring

SICR INFN Roma
–
–
–
–
3
Alessandro Spanu
Daniela Anzellotti
Cristina Bulfon
Marco De Rossi
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Agenda

Cos’è
–
–





4
Kerberos 5 cross realm authentication
AFS cross cell authentication
Perché
Le prime prove effettuate
Le prove da fare
I passi successivi
Possibili evoluzioni
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Kerberos 5 X-realms authentication
INFN.IT

Relazioni di trust tra
REALMs Kerberos
–

Transitive in Kerberos5
–
–
5
Ogni “principal” di un
realm è autenticato
anche nel realm trusted
gerarchiche (all’interno
dello stesso albero)
CAPATHS (tra alberi
disgiunti)
Paestum - 11 giugno 2003
LE.INFN.IT
LNF.INFN.IT
Enrico M.V. Fasanelli & Co
Utilità

[email protected]
Un utente, autenticato
in un realm , può usare
risorse dell’altro realm.
telnet –a –l root server.le.infn.it
6
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
AFS cross cell authentication


Si definiscono opportuni
gruppi di protezione
kinit
–

aklog
–

acquisisce un TGT Kerberos5
dato un tgt genera un token
AFS (usando ahimè krb524d)
AFS cell le.infn.it
system:[email protected]
[email protected]
AFS id 4 for [email protected]
AFS id 4 for [email protected]
aklog <externalcell>
–
–
genera entry nel PTS della
cella esterna (se non esiste)
ottiene il token nella cella
esterna
[email protected]
system:[email protected]
AFS cell lnf.infn.it
7
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Perchè

Esistenza di varie celle in produzione
–

Previsione di nuove celle
–
–



roma1.infn.it
tier1.infn.it ?????
Possibilità per gli utenti di accedere in modo
“trasparente” alle risorse di altre celle
Interesse già evidenziato da parte di LNF
OpenAFS & MIT
–
–
8
pi.infn.it, infn.it, le.infn.it, lngs.infn.it, lnf.infn.it, kloe.infn.it
Integrato supporto per Kerberos5 in OpenAFS > 1.2.8
Integrato codice per supporto di AFS in Kerberos MIT 1.3
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Le prime prove effettuate 1/3

Lavoro iniziato in aprile 2003
–

Layout di test basato su
–
–
–
–

9
~ 2 settimane-uomo
Kerberos v5 MIT 1.2.7
OpenAFS 1.2.8
Linux RedHat 7.3 (8.0 a Pisa)
Kernel 2.4.18-7x
Ricompilati i pacchetti a partire da .src.rpm
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Le prime prove effettuate 2/3

Definito dominio
–

Generato REALM
Kerberos5
–
–

10
configurato BIND
configurato il master
KDC
supporto per AFS





krb5test.infn.it
le.krb5test.infn.it
lnf.krb5test.infn.it
pi.krb5test.inf.nit
cnaf.krb5test.infn.it
Generata cella AFS
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Le prime prove effettuate 3/3

Definito relazioni di trust (bidirezionali) tra
krb5test.infn.it ed i REALMs
–



11
le, lnf, pi, cnaf
Verificato la transitività gerarchica delle relazioni di
trust (tra xxx.krb5test.infn.it e le.krb5test.infn.it)
Definito le entries per la cross cell AFS
authentication
Verificato il funzionamento della cross cell AFS
authentication (tra lnf.krb5test.infn.it e
le.krb5test.infn.it)
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
EUREKA !



12
Tra lnf.krb5test.infn.it e le.krb5test.infn.it ha
funzionato tutto, perfettamente, ed al primo
tentativo.
Problemi con le altre celle (ma probabilmente
legati ad errori di configurazione)
le.krb5test.infn.it non esiste più. E’ defunta la
CPU venerdì scorso (e non era neanche un
venerdì 13…)
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Cosa abbiamo verificato/imparato

La cross realm authentication in Kerberos5
continua a funzionare bene
–

13
circa due anni di esperienza tra i realm
LE.INFN.IT e W2K.LE.INFN.IT
Avere una infrastruttura gerarchica permette
di accedere in modo trasparente, autenticato
e sicuro (crittografato) a servizi di altri
REALMs
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Le prove da fare subito

Ripetere tutto con hardware più
affidabile/nuovo
–

14
krb5test.infn.it è su un AMD K6@300MHz con
ben 28MB di RAM e disco da 3GB
Rendere riproducibili i risultati sulla cross
authentication di celle AFS
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
… e poi?

Kerbeos v5 REALM INFN.IT
–


15
cross authentication con LE, ROMA1, LNF,
KLOE, PI, CNAF
AFS cross cell authentication tra le varie
celle locali basate su Kerberos5
Migrazione ad autenticazione basata su
Kerberos5 delle celle AFS esistenti
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Kerberos in [xx.]INFN.IT ed oltre

Servizi kerberizzati
–
–

Cross realm authentication con HEP
–
–
–
16
mail (smtp, imap) print, telnet, ecc.
Autenticazione sugli Access Point, switches di
rete, VPN box, print server, smtp server
FNAL.GOV è “pronto” (HEPiX autumn 2002)
DESY.DE inizia a lavorarci (HEPiX spring 2003)
INFN.IT report/proposal (HEPiX autumn 2003?)
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Conclusioni


OpenAFS diventerà un Servizio Kerberos 5
(probabilmente prima della versione 1.4)
Infrastruttura Kerberos 5 INFN
permetterebbe l’accesso trasparente ai
servizi kerberizzati nelle diverse sezioni:
–
per le celle AFS, potrà :



17
garantire sharing di risorse tra celle locali
permettere management locale
alleggerire il management della cella infn.it
Paestum - 11 giugno 2003
Enrico M.V. Fasanelli & Co
Scarica
AFS cross cell authentication in ambiente Kerberos5

AFS cross cell authentication in ambiente Kerberos5

seminari2

Poster Incontri di Fisica - Laboratori Nazionali di Frascati

Ciafaloni

ppt
