aai nazionale
DESCRIPTION
TRANSCRIPT
INFN AAIVerso una AAI in ambitonazionale
Enrico M.V. FasanelliFrancesco M. Taurino
Gennaro Tortone
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Agenda
Perché una AAI INFN Il preinstallato Armonizzazione delle AAI di sede Il progetto AAI
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Perché una AAI INFN
INFN vs INFN Omogeneità di accesso ai dati (almeno quelli
pubblicabili) degli utenti e degli host Web applications/Web Tools centralizzati Accesso autenticato ed autorizzato ai servizi di rete
di sedi differenti da quella di appartenenza INFN vs “resto del mondo”
Interfaccia unica verso realtà esterne (Labs & Co.)
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Requisiti
AAI gerarchica Autonomia amministrativa e gestionale delle
sedi Accesso “sicuro” Compatibile con i sistemi di Autenticazione in
uso nelle sedi (o almeno con quelli “sicuri”) Kerberos5 Certificati X.509
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale In una parola…
LDAP
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Pianificazione
Se potessimo partire da zero…
infn
lecce bari napoli catania
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Il preinstallato
“Dio riuscì a completare la creazione in soli sette giorni perché non dovette gestire ilpreinstallato. (?)”
Un Directory Service, almeno due possilibi scelte per ladefinizione del baseDN: C=IT, O=INFN, L=Lecce
• Country, Organization, Locality (default in Lotus Domino, Sun JavaDS, Novell eDirectory)
DC=le, DC=infn, DC=it• Domain Component (default in Tivoli DS, AD, OpenLDAP, Fedora
DS) Un naming schema, diverse soluzioni
Active Directory• sAMAccountName
OpenLdap/Fedora DS• uid
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Schemi adottati fino ad ora I
INFN Certification Authority C=IT, O=INFN, CN=INFN CA
Certificati personali ed Host C=IT, O=INFN, OU=Personal Certificate, L=Lecce, CN=Enrico
M. V. Fasanelli C=IT, O=INFN, OU=Host, CN=web.le.infn.it
CNAF C=IT, O=INFN,
• OpenLDAP, inetOrgPerson, posixAccount schema
BA DC=ba, DC=infn, DC=it
• OpenLDAP, inetOrgPerson, posixAccount schema
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Schemi adottati fino ad ora II
FI (Active Directory) DC=fi, DC=infn, DC=it
• AD schema TS
DC=ts, DC=infn.it• OpenLDAP, inetOrgPerson, posixAccount + OID privati
FE DC=fisica, DC=ferrara
• OpenLDAP, inetOrgPerson, posixAccount LE, NA
C=IT, O=INFN, L=Lecce (L=Napoli)• Fedora DS, inetOrgPerson, posixAccount ( + OID privati?)
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Problemi operativi
Tutto “standard” ma scarsa interoperabilità Configurazione complessa dei clients
dc=ts,dc=infn.it,ou=people/sub/uid=?
C=IT,OU=INFN,L=Lecce,ou=People/sub/uid=?
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Armonizzazione
Evidente la necessità di unificare le interfacce Si definisce uno “standard” e tutti si adeguano
(fattibile in linea di principio, ma di fattoimproponibile)
Si usa uno “strato” che riesca a “mascherare”opportunamente i differenti formati e li presenti in ununico modo.
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Directory Virtuale
Sistema SW che permette di presentare,attraverso una interfaccia unica (e quindi inmodo omogeneo) i dati offerti da DirectoryServers (ed eventualmente altri sistemi, comeNIS o DB)
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale Il progetto
Due fasi Consolidamento delle AAI di sede Costituzione della AAI INFN
Start +6 mesi +12 mesi
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale AAI di sede
Armonizzazione dei DIT nascenti Definizione di un naming comune
• C=IT, O=INFN Eventuale definizione di OID privati
• Prefix: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)• 10403 Istituto Nazionale di Fisica Nucleare
• infnPerson, infnRole, ecc. Supporto alla implementazione
• Documentazione, corsi, ecc.
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale AAI INFN
Valutazione di alcuni Virtual Directory Server Pubblico Dominio
• Penrose Virtual Directory Server A pagamento
• Oracle VDiS, Tivoli VDiS, …
Definizione dell’architettura del servizio Ridondato, fault-tolerant
Aggancio del VDS alle AAI di sede
INFN
AA
I - V
erso
una
AA
I in
ambi
to n
azio
nale
?