Accesso alla rete dei LNF - PowerPoint PPT Presentation

About This Presentation
Title:

Accesso alla rete dei LNF

Description:

... (Remote Access Dial-In User Service) usando ... INFN-Web Utenti interni Interfaccia del router 3/4 193.205.228.57/28 Interfaccia Inside Server 193.205.228.58 ... – PowerPoint PPT presentation

Number of Views:80
Avg rating:3.0/5.0
Slides: 63
Provided by: Serviz68
Category:
Tags: lnf | accesso | alla | dei | radius | rete | router

less

Transcript and Presenter's Notes

Title: Accesso alla rete dei LNF


1
Accesso alla retedei LNF
  • (wireless wired)

Servizio di Calcolo
Presentazione Massimo Pistoni
2
Agenda
  • Ore 1420 Nuovi metodi daccesso alla rete
  • Ore 1510 Dimostrazione pratica
  • Ore 1530 Applicazione per la gestione degli
    ospiti
  • Ore 1550 Modulo web per la registrazione
    alle conferenze e integrazione con
    In.Di.Co
  • Ore 1600 Dimostrazione pratica

3
Premessa
  • Il numero dei dipendenti (o associati) dellINFN
    che ogni giorno si trovano a dover lavorare in
    una sede diversa dalla propria è in continua
    crescita.
  • Anche il numero di ospiti occasionali (non INFN)
    che hanno necessita di utilizzare
    linfrastruttura di networking dellINFN e
    aumentato molto
  • Collaborazioni, meetings, seminari, workshop,
    conferenze, etc.

4
Legge antiterrorismo
  • Il 16 agosto 2005, il Ministero dellInterno ha
    emanato un Decreto che specifica le misure per
    contrastare il terrorismo internazionale,
    focalizzandosi sullidentificazione degli utenti
    che accedono alle reti da postazioni telematiche
    non vigilate oppure ai quali viene offerta la
    possibilità di connettersi alla rete Internet
    attraverso una tecnologia wireless.

5
TRIP (The Roaming INFN Physicist)
  • Working Group CCR per lo studio dei problemi di
    connettivita e mobilita
  • utilizzare i servizi della Struttura ospitante
    (ad es. le stampanti)
  • collegarsi alla rete locale e utilizzare da
    remoto i servizi della struttura di appartenenza
  • In entrambi i casi e necessario fornire le
    credenziali per autenticarsi ed essere
    autorizzati alluso delle infrastrutture (AAI)

6
Infrastruttura attuale
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 Pubblica
200Mbps Verso il GARR
Access Point
7
Futura
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 SSID INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
Web captive portal
VLAN 192.168.200 SSID INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
8
2 vie di accesso WL
  • VLAN dedicata agli utenti Wireless INFN
  • SSID (annunciato) INFN-dot1x
  • Network Authentication WPA
  • Wi-Fi Protected Access
  • Data Encription TKIP
  • Temporary Key Integrity Protocol
  • VLAN per gli ospiti occasionali
  • SSID (annunciato) INFN-Web
  • Network Authentication none
  • Data Encription none

9
Metodo 1
  • Utile per connettersi alla rete wireless dei LNF
    da parte di
  • utenti wireless LNF
  • volendo anche da utenti INFN (non LNF)
  • Utile per gli utenti LNF per connettersi alla
    rete wireless di altre sedi INFN

10
Metodo 2
  • Utile per connettersi alla rete (wired e
    wireless) dei LNF da parte di
  • ospiti occasionali o temporanei
  • utenti INFN (non LNF)
  • Utilizzabile dagli utenti LNF in altre sedi INFN

11
Metodo 1
  • SSID (annunciato) INFN-dot1x
  • Network Authentication WPA
  • Data Encription TKIP

12
Autenticazione 802.1x
  • WPA richiede lautenticazione attraverso il
    protocollo standard IEEE 802.1x che usa EAP
    (Extensible Authentication Protocol) su LAN sia
    wired che wireless
  • Lo standard 802.1x non definisce un metodo
    preciso ma uno schema architetturale nel quale
    possono essere usate varie metodologie, per
    questo una delle sue caratteristiche fondamentali
    è la versatilità.

13
Metodi di autenticazione 802.1x
  • TLS (Transport Layer Security)
  • Nativo Windows XP e MacOSX
  • Autenticazione tramite certificato X.509
  • Certificato non proteggibile sul client Windows
    XP
  • Praticamente non implementabile su Linux
  • TTLS (Tunnelled Transport Layer Security)
  • Autenticazione tramite username e password
  • Nativo in MAC OSX (versione gt 10.4)
  • Non e nativo in Windows XP
  • Praticamente non implementabile su Linux

14
Scelto TTLS
  • Necessaria linstallazione di un client free su
    Windows XP
  • Alfa Ariss Secure W2
  • Linux non e supportato
  • Funziona solo con una particolare scheda WL Intel
  • Funziona solo con un particolare driver per
    quella scheda
  • Autenticazione attraverso Server RADIUS (Remote
    Access Dial-In User Service) usando
  • Realm, Username e password
  • Es LNF.INFN.IT, pistoni, ltpasswordgt

15
802.1x schema
16
WL net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
IP settings
EAP/TTLS
802.1x
Supplicant
VLAN 192.84.131 INFN-dot1x
802.1x
WPA TKIP
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
17
Metodo 2
  • SSID (annunciato) INFN-Web
  • Network Authentication none
  • Data Encription none

18
Open network
  • Definendo l SSID INFN-Web, la scheda di rete
    wireless viene associata alla network open non
    cifrata dedicata agli ospiti occasionali (VLAN
    INFN-Web)
  • Automaticamente vengono assegnate da un DHCP
    tutte le impostazioni IP, sulla network privata
    192.168.200.x/24

19
VLAN INFN-Web (wired)
  • Nella stessa VLAN INFN-Web verrano
    necessariamente mappati
  • i nodi di rete wired il cui MAC Address e
    sconosciuto al Servizio di Calcolo (VLAN di fall
    back del VMPS)
  • I PC della sala utenti dedicata ai seminari e ai
    workshop AE T73 (vicina allaula Touschek)
  • I PC della biblioteca
  • I PC dellAula didattica Master
  • A regime i PC delle altre sale utenti saranno
    utilizzabili esclusivamente dagli utenti interni

20
Captive Portal TINO
  • Di fatto pero tutta la VLAN INFN-Web e dietro
    ad un Captive Portal che funge da gateway verso
    la rete pubblica
  • DHCP server
  • Firewall
  • DNAT
  • Web Server
  • Authentication via Radius
  • SNAT

21
Net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
client
Autenticazione
VLAN 192.84.131 INFN-dot1x
Open INFN-Web
IP settings
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
IP settings
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
22
VPN
  • Dalla VLAN INFN-Web e sempre consigliabile
    connettersi alla propria sede tramite un VPN
    concentrator che preveda la cifratura del
    traffico (GRE, SSL o IPSEC)
  • Il traffico della VLAN INFN-Web non e cifrato
    ne protetto specialmente quello wireless e
    facilmente catturabile

23
Sede
VPN Concentrator
Traffico in chiaro
Switched LAN
Server
VLAN 192.84.131 INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
24
Server RADIUS
  • Il Radius locale usa il REALM per fare da proxy
    alla richiesta di autenticazione diretta ai REALM
    non gestiti localmente
  • ltnonegt
  • lnf.infn.it
  • LNF.INFN.IT
  • K5.LNF.INFN.IT

25
RADIUS (schema)
26
Infrastruttura RADIUS INFN
al 12 dicembre 2006
Radius centrale
EDU Roam
Tutto dovrebbe essere Pronto entro i primi mesi
del 2007
INFN
Radius Bo
Radius CNAF
Radius Fi
Radius Ge
Radius Le
Radius Fe
Radius LNF
Radius LNL
Radius LNS
Radius MiB
Radius Pv
Radius To
Radius Pi
Radius Roma1
Radius altre sedi
27
Autenticazione ai LNF
passwd/ shadow
AFS Kerberos4
Active Directory
PKI X.509
DB MySQL
Kerberos5
DB Oracle
(WinKrb5/ LDAP)
28
Autenticazione Radius ai LNF
Flat files
Radius Server
Ospiti Utenti
PAM
PKI X.509
Kerberos5
AFS Kerberos4
29
Autenticazione ai LNF (futura)
30
Server RADIUS
  • Per lautenticazione il Radius server dei LNF a
    sua volta puo usare
  • EAP / TLS (tramite certificato digitale)
  • File locale (users file)
  • O delegare
  • Kerberos 5
  • PAM ? AFS/Kerberos 4

31
FreeRadius config file users
root Auth-Type Reject --------------------
--------------------------------------------------
------------------------------------ DEFAULT
Auth-Type Reject, EAP-Type
EAP-TLS DEFAULT Auth-Type EAP, Prefix "
" ----------------------------------------------
--------------------------------------------------
---------- DEFAULT Auth-Type PAM, Suffix
"_at_lnf\\.infn\\.it" DEFAULT Auth-Type PAM,
Suffix "_at_LNF\\.INFN\\.IT" DEFAULT Auth-Type
Kerberos, Suffix "_at_K5\\.LNF\\.INFN\\.IT" D
EFAULT Auth-Type Reject, Suffix _at_,
Suffix ! _at_(.\\.)(infn\\.itINFN\\.IT)" DEFAU
LT Auth-Type Reject, Client-IP-Address
"193.206.84.7", Suffix "_at_" DEFAULT Auth-Type
PAM, Prefix ! "\\." DEFAULT Auth-Type
PAM, Client-IP-Address ! "193.205.228.58" INCLU
DE users.guests
VPN Concentrator
Web Captive Portal
32
FreeRadius crontab
A crontab sul radius server ogni 10-15 minuti (
Esempio /10
/usr/custom/bin/GOsync.sh )
!/bin/bash ! cp -p /usr/custom/freeradius/etc/ra
ddb/users.guests /usr/custom/freeradius/etc/raddb/
users.guests.sav /usr/bin/wget \ -o
/tmp/GOsync.log \ --output-document/usr/cust
om/freeradius/etc/raddb/users.guests \
--no-check-certificate \ --no-proxy \
--post-data'USERlnfPASSltpasswordgt' \
https//sisinfo2.lnf.infn.it8443/GOWebApp/GetAcce
ssService if ? ! 0 then echo -e "\nError
doing WGET!!!\n" cat /tmp/GOsync.log exit
1 else chown radiusdradiusd /usr/custom/freerad
ius/etc/raddb/users.guests diff -q
/usr/custom/freeradius/etc/raddb/users.guests
/usr/custom/freeradius/etc/raddb/users.guests.sav
gt /dev/null if ? ! 0 then
/etc/init.d/radiusd restart gtgt /tmp/GOsync.log
2gt1 if ? ! 0 then echo -e
"\nError restarting RADIUSD!!!\n" cat
/tmp/GOsync.log exit 1 fi fi fi
(wget versione 1.10.2)
33
FreeRadius config file users.guests
Si ottiene il file users.guests del tipo
File degli utenti ospiti occasionali
users.guests Generato automaticamente dalla web
application GOWebApp by Bisegni Claudio
Passarelli Antonino claudio.bisegni User-Pas
sword asgphs7k" antonino.passarelli User-Pa
ssword yus12ghw
34
Credenziali
  • Con le stesse credenziali (Kerberos/AFS) gia in
    dotazione agli utenti LNF, del tipo
  • ltUsernamegt_at_lnf.infn.it
  • ltPasswordgt
  • si ottiene
  • laccesso ai servizi di rete attraverso il Web
    Captive Portal (Tino)
  • laccesso ai servizi di rete 802.1x (SSID
    INFN-dot1x)
  • laccesso in VPN (rete privata virtuale) alla
    rete dei LNF

35
Matrice di autenticazione
802.1x Tino VPN
ltusernamegt_at_lnf.infn.it Si Si Si
ltusernamegt_at_LNF.INFN.IT Si Si Si
ltusernamegt_at_K5.LNF.INFN.IT Si Si Si
ltusernamegt (Deprecato) Si Si Si
ltusername.ospitegt No Si No
ltusernamegt_at_.INFN.IT Si Si No
ltusernamegt_at_ (non INFN) No No No
36
Documentazione
  • http//www.lnf.infn.it/computing/networking/TRIP/
  • Accesso alla rete wired
  • Accesso alla rete tramite il captive portal
    (Tino) comunicazione non cifrata
  • Doc lingua inglese
  • Doc lingua italiana
  • Accesso alla rete wireless interna (doc lingua
    italiana) tramite 802.1x comunicazione cifrata
  • piattaforma Windows XP (ENG) SP1
  • piattaforma Windows XP (ITA) SP2
  • piattaforma Apple MAC OSX (ENG)

37
Aspetti legali
  • Un working group della CCR di nome Harmony ha
    preparato dei documenti che sintetizzano le norme
    di uso dei mezzi informatici nel rispetto delle
    leggi, sia per i sistemisti che per gli utenti
  • http//www.lnf.infn.it/computing/regolamento/
  • Non esiste riferimento al progetto TRIP e alla
    legge antiterrorismo

38
Legge antiterrorismo
  • La legge antiterrorismo impone la
    rintracciabilita e lidentificazione degli
    utenti che accedono alle reti e
    limmagazzinamento dei documenti personali di
    riconoscimento scannerizzati e digitalizzati
  • Cambiera il criterio di creazione delle username
    sui sistemi centrali
  • Dipendenti, associati, borsisti, etc
  • Persone conosciute agli atti della Direzione

39
Log degli accessi
  • Serve necessariamente larchiviazione e il
    salvataggio a lungo periodo dei log
  • Log di accesso ai sistemi
  • Log di accesso al network
  • log di autenticazione e di autorizzazione RADIUS
  • Log del Web Captive Portal

40
Database degli ospiti
  • E stato opportunamente costruito un DB (Oracle)
    di nome GO
  • Installato centralmente ai LNF sulle macchine del
    Sistema Informativo
  • Ad uso nazionale per tutto lINFN
  • per contenere
  • Tutti gli ospiti, le relative generalita e i
    relativi documenti personali scannerizzati e
    digitalizzati
  • Le istituzioni di appartenenza
  • relativi diritti di accesso differenziati per
    sede INFN
  • Accessibile via rete con applicazione Java a 3
    livelli elaborata da C. Bisegni e A. Passarelli

41
Data dellimplementazione
  • 9 marzo 2007

Proposte e/o domande?
42
Fine prima partePrevista Demo
43
Gestione Ospiti
Servizio di Calcolo
Presentazione Claudio Bisegni
44
Applicazione Gestione Ospiti
  • Molto user friendly e rivolta al personale di
    segreteria per la ricerca e linserimento di
    nuove istituzioni, di nuovi ospiti, di nuovi
    accessi nel DB.
  • Lapplicazione genera automaticamente la username
    e la password con cui lospite potra accedere
    ai servizi di rete
  • Crea automatica la Guest Card con gli estremi
    per il collegamento

45
Sincronizzazione con RADIUS
  • Il Radius Server effettua la sincronizza-zione
    del suo users file delle autentica-zioni con i
    dati inseriti nel DB GO
  • Una volta modificata unautorizzazione di accesso
    per un dato ospite nel DB GO, tale informazione
    sara propagata e operativa (per laccesso alla
    rete) entro 10 minuti massimi

46
Conferenze, workshop, seminari,...
  • Tuttavia e consigliabile prepararsi con anticipo
    il lavoro, in occasione di conferenze con grande
    affluenza di partecipanti ospiti
  • Potrebbe essere di grande aiuto una eventuale
    form web di registrazione per levento, in cui
    venga richiesto lupload del documento di
    identita scannerizzato e digitalizzato su file,
    in formato jpeg.

47
Interfaccia Utente
Login
Creazione Istituzione
48
Interfaccia Utente
Ricerca Anagrafica E Accessi
49
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
50
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
51
Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
52
Requisiti Client
  • Java Runtime 1.4.2 - 1.5

Tecnologia lato server
  • J2EE (Oracle AS, Tomcat, etc.)
  • Oracle DB Server 10G

53
URL o Java starter
  • Lapplicazione e accessibile alla URL
  • https//sisinfo2.lnf.infn.it8443/GOWebApp/
  • Oppure copiando sul desktop il java starter
    reperibile a
  • https//sisinfo2.lnf.infn.it8443/GOWebApp/GOApp.j
    nlp
  • E lanciandolo con un doppio click

54
Conferenze, workshop, seminari,...
  • Per tali circostanze e stata realizzata una
    pagina JSP (Java Server Page), che permette di
    registrare un accesso per un ospite sia nuovo che
    gia presente nel db degli ospiti.
  • Link Pagina https//sisinfo2.lnf.infn.it8443/GOW
    ebApp/InsertOspite.jsp

55
Parametri JSP
  • CONFCCR (nome conferenza)
  • ID_UTENTE8 (identificativo di un utente della
    sede della conf.)
  • CONF_INIZIO12-12-2007(data inizio conferenza)
  • CONF_FINE15-12-2007(data fine conferenza)
  • FORMATO_DATAdd-MM-yyyy (il formato deve
    contenere dd,MM e yyyy, in ogni combinazione dei
    tre token. I separatori possono essere ogni
    carattere es yyyy-dd-MM)
  • LANGUAGEen (o it, linquaggio della form)

56
Parametri JSP (dati del visitatore)
  • E-MAILMario.Rossi_at_dominio.it
  • ---------------------------------
  • NOMEMario
  • COGNOMEDe Rossi
  • DATA_NASCITA15-12-1980
  • ---------------------------------
  • DOC_TIPOCarta didentita
  • DOC_RILASCIATO_DAComune di Roma
  • DOC_NUMEROABX11601
  • DOC_SCADENZA15-04-2009

57
Parametri JSP
  • Link pagina https//sisinfo2.lnf.infn.it8443/GOW
    ebApp/InsertOspite.jsp?CONFCCRID_UTENTE8CONF_I
    NIZIO12-12-2007CONF_FINE15-12-2007FORMATO_DATA
    dd-MM-yyyy
  • Il link sopra riportato visualizzerà la form di
    creazione del nuovo ospite per la conferenza CCR
    dal 12-12-2007 al 15-12-2007. Lospite non dovrà
    far altro che inserire nella form i campi
    richiesti (e-mail, Nome, Congome, data di
    nascita, tipo documento, rilasciato da, numero
    documento, scadenza immagine)
  • Il campo ID_UTENTE individua lutente che
    inserisce il visitatore e il relativo accesso nel
    DB. Determina la sede INFN per la quale il
    visitatore ha laccesso abilitato.

58
Parametri JSP
  • Il campo E_MAIL e un campo univoco di ricerca
    nel DB. Se gia esiste un visitatore con tale
    E-MAIL verra solo aggiunto un accesso per il
    periodo della conferenza. Altrimenti verranno
    richieste tutte le generalita.
  • Anche i seguenti 3 campi
  • NOME (nome ospite)
  • COGNOME (cognome ospite)
  • DATA_NASCITA (data di nascita ospite)
  • Svolgono la stessa funzione di ricerca. Nel caso
    siano passati anche questi tre parametri, se nel
    db esite un ospite con quelle credenziali, verrà
    automaticamente salvato il nuovo accesso senza
    chiedere ulteriori informazioni. Nel caso
    contrario verrannno richieste tutte le generalità.

59
Integrazione con Indico
  • E stato aggiunto un Javascript in un include
    file di Indico.
  • Funziona solo per le conferenze
  • Occorre creare la conferenza con l'accortezza di
    scrivere nel PLACE, un tag html/Javascript che
    contiene l'ID dell'utente a carico del quale
    verranno effettuate le registrazioni, esattamente
    nel formato Placeltscript type'text/javascript'gt
    var ID_UTENTExxxlt/scriptgt
  • Ove xxx e' l'ID dell'utente della sede
    organizzatrice della conferenza (ovvero quella
    con il radius server delegato all'autenticazione).

60
Integrazione con Indico (2)
  • Il visitatore, dopo essersi regolarmente
    registrato alla conferenza, trovera un pulsante
    con cui potra richiedere laccesso allutilizzo
    del network per il periodo della conferenza.
  • Con precisione verra abilitato laccesso a
    partire da 7 giorni prima dellinizio, fino a 7
    giorni dopo la fine della conferenza
  • In alternativa puo essere abilitata la sezione
    accomodation nel modulo di registrazione in
    tal caso verranno utilizzate puntualmente le date
    di arrivo e partenza dichiarate dal visitatore.

61
Integrazione con Indico (DOC)
  • Documentazione
  • https//sisinfo2.lnf.infn.it8443/GOWebApp/
  • https//sisinfo2.lnf.infn.it8443/GOWebApp/Help/
  • InserimentoWeb.htm

62
Proposte e/o domande?
  • Prevista Demo
Write a Comment
User Comments (0)
About PowerShow.com