Title: Accesso alla rete dei LNF
1Accesso alla retedei LNF
Servizio di Calcolo
Presentazione Massimo Pistoni
2Agenda
- Ore 1420 Nuovi metodi daccesso alla rete
- Ore 1510 Dimostrazione pratica
- Ore 1530 Applicazione per la gestione degli
ospiti - Ore 1550 Modulo web per la registrazione
alle conferenze e integrazione con
In.Di.Co - Ore 1600 Dimostrazione pratica
3Premessa
- Il numero dei dipendenti (o associati) dellINFN
che ogni giorno si trovano a dover lavorare in
una sede diversa dalla propria è in continua
crescita. - Anche il numero di ospiti occasionali (non INFN)
che hanno necessita di utilizzare
linfrastruttura di networking dellINFN e
aumentato molto - Collaborazioni, meetings, seminari, workshop,
conferenze, etc.
4Legge antiterrorismo
- Il 16 agosto 2005, il Ministero dellInterno ha
emanato un Decreto che specifica le misure per
contrastare il terrorismo internazionale,
focalizzandosi sullidentificazione degli utenti
che accedono alle reti da postazioni telematiche
non vigilate oppure ai quali viene offerta la
possibilità di connettersi alla rete Internet
attraverso una tecnologia wireless.
5TRIP (The Roaming INFN Physicist)
- Working Group CCR per lo studio dei problemi di
connettivita e mobilita - utilizzare i servizi della Struttura ospitante
(ad es. le stampanti) - collegarsi alla rete locale e utilizzare da
remoto i servizi della struttura di appartenenza
- In entrambi i casi e necessario fornire le
credenziali per autenticarsi ed essere
autorizzati alluso delle infrastrutture (AAI)
6Infrastruttura attuale
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 Pubblica
200Mbps Verso il GARR
Access Point
7Futura
RADIUS Server
DHCP Server
Utenti interni
VLAN 192.84.131 SSID INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
Web captive portal
VLAN 192.168.200 SSID INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
82 vie di accesso WL
- VLAN dedicata agli utenti Wireless INFN
- SSID (annunciato) INFN-dot1x
- Network Authentication WPA
- Wi-Fi Protected Access
- Data Encription TKIP
- Temporary Key Integrity Protocol
- VLAN per gli ospiti occasionali
- SSID (annunciato) INFN-Web
- Network Authentication none
- Data Encription none
9Metodo 1
- Utile per connettersi alla rete wireless dei LNF
da parte di - utenti wireless LNF
- volendo anche da utenti INFN (non LNF)
- Utile per gli utenti LNF per connettersi alla
rete wireless di altre sedi INFN
10Metodo 2
- Utile per connettersi alla rete (wired e
wireless) dei LNF da parte di - ospiti occasionali o temporanei
- utenti INFN (non LNF)
- Utilizzabile dagli utenti LNF in altre sedi INFN
11Metodo 1
- SSID (annunciato) INFN-dot1x
- Network Authentication WPA
- Data Encription TKIP
12Autenticazione 802.1x
- WPA richiede lautenticazione attraverso il
protocollo standard IEEE 802.1x che usa EAP
(Extensible Authentication Protocol) su LAN sia
wired che wireless - Lo standard 802.1x non definisce un metodo
preciso ma uno schema architetturale nel quale
possono essere usate varie metodologie, per
questo una delle sue caratteristiche fondamentali
è la versatilità.
13Metodi di autenticazione 802.1x
- TLS (Transport Layer Security)
- Nativo Windows XP e MacOSX
- Autenticazione tramite certificato X.509
- Certificato non proteggibile sul client Windows
XP - Praticamente non implementabile su Linux
- TTLS (Tunnelled Transport Layer Security)
- Autenticazione tramite username e password
- Nativo in MAC OSX (versione gt 10.4)
- Non e nativo in Windows XP
- Praticamente non implementabile su Linux
14Scelto TTLS
- Necessaria linstallazione di un client free su
Windows XP - Alfa Ariss Secure W2
- Linux non e supportato
- Funziona solo con una particolare scheda WL Intel
- Funziona solo con un particolare driver per
quella scheda - Autenticazione attraverso Server RADIUS (Remote
Access Dial-In User Service) usando - Realm, Username e password
- Es LNF.INFN.IT, pistoni, ltpasswordgt
15802.1x schema
16WL net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
IP settings
EAP/TTLS
802.1x
Supplicant
VLAN 192.84.131 INFN-dot1x
802.1x
WPA TKIP
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
17Metodo 2
- SSID (annunciato) INFN-Web
- Network Authentication none
- Data Encription none
18Open network
- Definendo l SSID INFN-Web, la scheda di rete
wireless viene associata alla network open non
cifrata dedicata agli ospiti occasionali (VLAN
INFN-Web) - Automaticamente vengono assegnate da un DHCP
tutte le impostazioni IP, sulla network privata
192.168.200.x/24
19VLAN INFN-Web (wired)
- Nella stessa VLAN INFN-Web verrano
necessariamente mappati - i nodi di rete wired il cui MAC Address e
sconosciuto al Servizio di Calcolo (VLAN di fall
back del VMPS) - I PC della sala utenti dedicata ai seminari e ai
workshop AE T73 (vicina allaula Touschek) - I PC della biblioteca
- I PC dellAula didattica Master
- A regime i PC delle altre sale utenti saranno
utilizzabili esclusivamente dagli utenti interni
20Captive Portal TINO
- Di fatto pero tutta la VLAN INFN-Web e dietro
ad un Captive Portal che funge da gateway verso
la rete pubblica - DHCP server
- Firewall
- DNAT
- Web Server
- Authentication via Radius
- SNAT
21Net
RADIUS Server
DHCP Server
Proxy RADIUS
Utenti interni
client
Autenticazione
VLAN 192.84.131 INFN-dot1x
Open INFN-Web
IP settings
200Mbps Verso il GARR
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
IP settings
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
22VPN
- Dalla VLAN INFN-Web e sempre consigliabile
connettersi alla propria sede tramite un VPN
concentrator che preveda la cifratura del
traffico (GRE, SSL o IPSEC) - Il traffico della VLAN INFN-Web non e cifrato
ne protetto specialmente quello wireless e
facilmente catturabile
23Sede
VPN Concentrator
Traffico in chiaro
Switched LAN
Server
VLAN 192.84.131 INFN-dot1x
200Mbps Verso il GARR
Access Point
Interfaccia del router 3/4 193.205.228.57/28
VLAN 192.168.200 INFN-Web
Interfaccia Inside Server 193.205.228.58/29 Eth0
3T/2
Interfaccia Outside Server 192.168.200.1/24 Eth1
3T/1 swcalc1 9/46
Router Server con TINO e DHCP relay (IP
Forwarding, NAT, Iptables)
24Server RADIUS
- Il Radius locale usa il REALM per fare da proxy
alla richiesta di autenticazione diretta ai REALM
non gestiti localmente - ltnonegt
- lnf.infn.it
- LNF.INFN.IT
- K5.LNF.INFN.IT
25RADIUS (schema)
26Infrastruttura RADIUS INFN
al 12 dicembre 2006
Radius centrale
EDU Roam
Tutto dovrebbe essere Pronto entro i primi mesi
del 2007
INFN
Radius Bo
Radius CNAF
Radius Fi
Radius Ge
Radius Le
Radius Fe
Radius LNF
Radius LNL
Radius LNS
Radius MiB
Radius Pv
Radius To
Radius Pi
Radius Roma1
Radius altre sedi
27Autenticazione ai LNF
passwd/ shadow
AFS Kerberos4
Active Directory
PKI X.509
DB MySQL
Kerberos5
DB Oracle
(WinKrb5/ LDAP)
28Autenticazione Radius ai LNF
Flat files
Radius Server
Ospiti Utenti
PAM
PKI X.509
Kerberos5
AFS Kerberos4
29Autenticazione ai LNF (futura)
30Server RADIUS
- Per lautenticazione il Radius server dei LNF a
sua volta puo usare - EAP / TLS (tramite certificato digitale)
- File locale (users file)
- O delegare
- Kerberos 5
- PAM ? AFS/Kerberos 4
31FreeRadius config file users
root Auth-Type Reject --------------------
--------------------------------------------------
------------------------------------ DEFAULT
Auth-Type Reject, EAP-Type
EAP-TLS DEFAULT Auth-Type EAP, Prefix "
" ----------------------------------------------
--------------------------------------------------
---------- DEFAULT Auth-Type PAM, Suffix
"_at_lnf\\.infn\\.it" DEFAULT Auth-Type PAM,
Suffix "_at_LNF\\.INFN\\.IT" DEFAULT Auth-Type
Kerberos, Suffix "_at_K5\\.LNF\\.INFN\\.IT" D
EFAULT Auth-Type Reject, Suffix _at_,
Suffix ! _at_(.\\.)(infn\\.itINFN\\.IT)" DEFAU
LT Auth-Type Reject, Client-IP-Address
"193.206.84.7", Suffix "_at_" DEFAULT Auth-Type
PAM, Prefix ! "\\." DEFAULT Auth-Type
PAM, Client-IP-Address ! "193.205.228.58" INCLU
DE users.guests
VPN Concentrator
Web Captive Portal
32FreeRadius crontab
A crontab sul radius server ogni 10-15 minuti (
Esempio /10
/usr/custom/bin/GOsync.sh )
!/bin/bash ! cp -p /usr/custom/freeradius/etc/ra
ddb/users.guests /usr/custom/freeradius/etc/raddb/
users.guests.sav /usr/bin/wget \ -o
/tmp/GOsync.log \ --output-document/usr/cust
om/freeradius/etc/raddb/users.guests \
--no-check-certificate \ --no-proxy \
--post-data'USERlnfPASSltpasswordgt' \
https//sisinfo2.lnf.infn.it8443/GOWebApp/GetAcce
ssService if ? ! 0 then echo -e "\nError
doing WGET!!!\n" cat /tmp/GOsync.log exit
1 else chown radiusdradiusd /usr/custom/freerad
ius/etc/raddb/users.guests diff -q
/usr/custom/freeradius/etc/raddb/users.guests
/usr/custom/freeradius/etc/raddb/users.guests.sav
gt /dev/null if ? ! 0 then
/etc/init.d/radiusd restart gtgt /tmp/GOsync.log
2gt1 if ? ! 0 then echo -e
"\nError restarting RADIUSD!!!\n" cat
/tmp/GOsync.log exit 1 fi fi fi
(wget versione 1.10.2)
33FreeRadius config file users.guests
Si ottiene il file users.guests del tipo
File degli utenti ospiti occasionali
users.guests Generato automaticamente dalla web
application GOWebApp by Bisegni Claudio
Passarelli Antonino claudio.bisegni User-Pas
sword asgphs7k" antonino.passarelli User-Pa
ssword yus12ghw
34Credenziali
- Con le stesse credenziali (Kerberos/AFS) gia in
dotazione agli utenti LNF, del tipo - ltUsernamegt_at_lnf.infn.it
- ltPasswordgt
- si ottiene
- laccesso ai servizi di rete attraverso il Web
Captive Portal (Tino) - laccesso ai servizi di rete 802.1x (SSID
INFN-dot1x) - laccesso in VPN (rete privata virtuale) alla
rete dei LNF
35Matrice di autenticazione
802.1x Tino VPN
ltusernamegt_at_lnf.infn.it Si Si Si
ltusernamegt_at_LNF.INFN.IT Si Si Si
ltusernamegt_at_K5.LNF.INFN.IT Si Si Si
ltusernamegt (Deprecato) Si Si Si
ltusername.ospitegt No Si No
ltusernamegt_at_.INFN.IT Si Si No
ltusernamegt_at_ (non INFN) No No No
36Documentazione
- http//www.lnf.infn.it/computing/networking/TRIP/
- Accesso alla rete wired
- Accesso alla rete tramite il captive portal
(Tino) comunicazione non cifrata - Doc lingua inglese
- Doc lingua italiana
- Accesso alla rete wireless interna (doc lingua
italiana) tramite 802.1x comunicazione cifrata - piattaforma Windows XP (ENG) SP1
- piattaforma Windows XP (ITA) SP2
- piattaforma Apple MAC OSX (ENG)
37Aspetti legali
- Un working group della CCR di nome Harmony ha
preparato dei documenti che sintetizzano le norme
di uso dei mezzi informatici nel rispetto delle
leggi, sia per i sistemisti che per gli utenti - http//www.lnf.infn.it/computing/regolamento/
- Non esiste riferimento al progetto TRIP e alla
legge antiterrorismo
38Legge antiterrorismo
- La legge antiterrorismo impone la
rintracciabilita e lidentificazione degli
utenti che accedono alle reti e
limmagazzinamento dei documenti personali di
riconoscimento scannerizzati e digitalizzati - Cambiera il criterio di creazione delle username
sui sistemi centrali - Dipendenti, associati, borsisti, etc
- Persone conosciute agli atti della Direzione
39Log degli accessi
- Serve necessariamente larchiviazione e il
salvataggio a lungo periodo dei log - Log di accesso ai sistemi
- Log di accesso al network
- log di autenticazione e di autorizzazione RADIUS
- Log del Web Captive Portal
40Database degli ospiti
- E stato opportunamente costruito un DB (Oracle)
di nome GO - Installato centralmente ai LNF sulle macchine del
Sistema Informativo - Ad uso nazionale per tutto lINFN
- per contenere
- Tutti gli ospiti, le relative generalita e i
relativi documenti personali scannerizzati e
digitalizzati - Le istituzioni di appartenenza
- relativi diritti di accesso differenziati per
sede INFN - Accessibile via rete con applicazione Java a 3
livelli elaborata da C. Bisegni e A. Passarelli
41Data dellimplementazione
Proposte e/o domande?
42Fine prima partePrevista Demo
43Gestione Ospiti
Servizio di Calcolo
Presentazione Claudio Bisegni
44Applicazione Gestione Ospiti
- Molto user friendly e rivolta al personale di
segreteria per la ricerca e linserimento di
nuove istituzioni, di nuovi ospiti, di nuovi
accessi nel DB. - Lapplicazione genera automaticamente la username
e la password con cui lospite potra accedere
ai servizi di rete - Crea automatica la Guest Card con gli estremi
per il collegamento
45Sincronizzazione con RADIUS
- Il Radius Server effettua la sincronizza-zione
del suo users file delle autentica-zioni con i
dati inseriti nel DB GO - Una volta modificata unautorizzazione di accesso
per un dato ospite nel DB GO, tale informazione
sara propagata e operativa (per laccesso alla
rete) entro 10 minuti massimi
46Conferenze, workshop, seminari,...
- Tuttavia e consigliabile prepararsi con anticipo
il lavoro, in occasione di conferenze con grande
affluenza di partecipanti ospiti - Potrebbe essere di grande aiuto una eventuale
form web di registrazione per levento, in cui
venga richiesto lupload del documento di
identita scannerizzato e digitalizzato su file,
in formato jpeg.
47Interfaccia Utente
Login
Creazione Istituzione
48Interfaccia Utente
Ricerca Anagrafica E Accessi
49Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
50Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
51Interfaccia Utente
Inserimento / Modifica Anagrafica ospite
52Requisiti Client
Tecnologia lato server
- J2EE (Oracle AS, Tomcat, etc.)
- Oracle DB Server 10G
53URL o Java starter
- Lapplicazione e accessibile alla URL
- https//sisinfo2.lnf.infn.it8443/GOWebApp/
- Oppure copiando sul desktop il java starter
reperibile a - https//sisinfo2.lnf.infn.it8443/GOWebApp/GOApp.j
nlp - E lanciandolo con un doppio click
54Conferenze, workshop, seminari,...
- Per tali circostanze e stata realizzata una
pagina JSP (Java Server Page), che permette di
registrare un accesso per un ospite sia nuovo che
gia presente nel db degli ospiti. - Link Pagina https//sisinfo2.lnf.infn.it8443/GOW
ebApp/InsertOspite.jsp
55Parametri JSP
- CONFCCR (nome conferenza)
- ID_UTENTE8 (identificativo di un utente della
sede della conf.) - CONF_INIZIO12-12-2007(data inizio conferenza)
- CONF_FINE15-12-2007(data fine conferenza)
- FORMATO_DATAdd-MM-yyyy (il formato deve
contenere dd,MM e yyyy, in ogni combinazione dei
tre token. I separatori possono essere ogni
carattere es yyyy-dd-MM) - LANGUAGEen (o it, linquaggio della form)
56Parametri JSP (dati del visitatore)
- E-MAILMario.Rossi_at_dominio.it
- ---------------------------------
- NOMEMario
- COGNOMEDe Rossi
- DATA_NASCITA15-12-1980
- ---------------------------------
- DOC_TIPOCarta didentita
- DOC_RILASCIATO_DAComune di Roma
- DOC_NUMEROABX11601
- DOC_SCADENZA15-04-2009
57Parametri JSP
- Link pagina https//sisinfo2.lnf.infn.it8443/GOW
ebApp/InsertOspite.jsp?CONFCCRID_UTENTE8CONF_I
NIZIO12-12-2007CONF_FINE15-12-2007FORMATO_DATA
dd-MM-yyyy - Il link sopra riportato visualizzerà la form di
creazione del nuovo ospite per la conferenza CCR
dal 12-12-2007 al 15-12-2007. Lospite non dovrà
far altro che inserire nella form i campi
richiesti (e-mail, Nome, Congome, data di
nascita, tipo documento, rilasciato da, numero
documento, scadenza immagine) - Il campo ID_UTENTE individua lutente che
inserisce il visitatore e il relativo accesso nel
DB. Determina la sede INFN per la quale il
visitatore ha laccesso abilitato.
58Parametri JSP
- Il campo E_MAIL e un campo univoco di ricerca
nel DB. Se gia esiste un visitatore con tale
E-MAIL verra solo aggiunto un accesso per il
periodo della conferenza. Altrimenti verranno
richieste tutte le generalita. - Anche i seguenti 3 campi
- NOME (nome ospite)
- COGNOME (cognome ospite)
- DATA_NASCITA (data di nascita ospite)
- Svolgono la stessa funzione di ricerca. Nel caso
siano passati anche questi tre parametri, se nel
db esite un ospite con quelle credenziali, verrà
automaticamente salvato il nuovo accesso senza
chiedere ulteriori informazioni. Nel caso
contrario verrannno richieste tutte le generalità.
59Integrazione con Indico
- E stato aggiunto un Javascript in un include
file di Indico. - Funziona solo per le conferenze
- Occorre creare la conferenza con l'accortezza di
scrivere nel PLACE, un tag html/Javascript che
contiene l'ID dell'utente a carico del quale
verranno effettuate le registrazioni, esattamente
nel formato Placeltscript type'text/javascript'gt
var ID_UTENTExxxlt/scriptgt - Ove xxx e' l'ID dell'utente della sede
organizzatrice della conferenza (ovvero quella
con il radius server delegato all'autenticazione).
60Integrazione con Indico (2)
- Il visitatore, dopo essersi regolarmente
registrato alla conferenza, trovera un pulsante
con cui potra richiedere laccesso allutilizzo
del network per il periodo della conferenza. - Con precisione verra abilitato laccesso a
partire da 7 giorni prima dellinizio, fino a 7
giorni dopo la fine della conferenza - In alternativa puo essere abilitata la sezione
accomodation nel modulo di registrazione in
tal caso verranno utilizzate puntualmente le date
di arrivo e partenza dichiarate dal visitatore.
61Integrazione con Indico (DOC)
- Documentazione
- https//sisinfo2.lnf.infn.it8443/GOWebApp/
- https//sisinfo2.lnf.infn.it8443/GOWebApp/Help/
- InserimentoWeb.htm
62Proposte e/o domande?