Upload
alfonsina-salerno
View
226
Download
3
Embed Size (px)
Citation preview
Accesso alla retedei LNF
(wireless & wired)
Presentazione: Massimo Pistoni
Servizio di Calcolo
6 marzo 2007 Accesso al network dei LNF 2
Agenda• Ore 14:20: Nuovi metodi d’accesso alla rete
• Ore 15:10: Dimostrazione pratica
• Ore 15:30: Applicazione per la gestione degli ospiti
• Ore 15:50: Modulo web per la registrazione alle conferenze e integrazione
con In.Di.Co
• Ore 16:00: Dimostrazione pratica
6 marzo 2007 Accesso al network dei LNF 3
Premessa
• Il numero dei dipendenti (o associati) dell’INFN che ogni giorno si trovano a dover lavorare in una sede diversa dalla propria è in continua crescita.
• Anche il numero di ospiti occasionali (non INFN) che hanno necessita’ di utilizzare l’infrastruttura di networking dell’INFN e’ aumentato molto– Collaborazioni, meetings, seminari, workshop,
conferenze, etc.
6 marzo 2007 Accesso al network dei LNF 4
Legge antiterrorismo
• Il 16 agosto 2005, il Ministero dell’Interno ha emanato un Decreto che specifica le misure per contrastare il terrorismo internazionale, focalizzandosi sull’identificazione degli utenti che accedono alle reti da postazioni telematiche non vigilate oppure ai quali viene offerta la possibilità di connettersi alla rete Internet attraverso una tecnologia wireless.
6 marzo 2007 Accesso al network dei LNF 5
TRIP (The Roaming INFN Physicist)
Working Group CCR per lo studio dei problemi di connettivita’ e mobilita’– utilizzare i servizi della Struttura ospitante
(ad es. le stampanti)– collegarsi alla rete locale e utilizzare da remoto
i servizi della struttura di appartenenza;
In entrambi i casi e’ necessario fornire le credenziali per autenticarsi ed essere autorizzati all’uso delle infrastrutture (AAI)
6 marzo 2007 Accesso al network dei LNF 6
Access Point
200MbpsVerso il GARR
Utenti interni
RADIUSServer
DHCPServer
VLAN 192.84.131Pubblica
Infrastruttura attuale
6 marzo 2007 Accesso al network dei LNF 7
Access Point200MbpsVerso il GARR
VLAN 192.168.200SSID: INFN-Web
Utenti interni
Interfaccia del router 3/4193.205.228.57/28
Interfaccia Inside Server193.205.228.58/29 Eth0 3T/2
Interfaccia Outside Server192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46
Router Server con TINO e DHCP relay(IP Forwarding, NAT, Iptables)
RADIUSServer
DHCPServer
VLAN 192.84.131SSID: INFN-dot1x
Futura
Web captive portal
6 marzo 2007 Accesso al network dei LNF 8
2 vie di accesso WL
1. VLAN dedicata agli utenti Wireless INFN:– SSID (annunciato): INFN-dot1x– Network Authentication: WPA
• Wi-Fi Protected Access
– Data Encription: TKIP• Temporary Key Integrity Protocol
2. VLAN per gli ospiti occasionali:– SSID (annunciato): INFN-Web– Network Authentication: none– Data Encription: none
6 marzo 2007 Accesso al network dei LNF 9
Metodo 1
• Utile per connettersi alla rete wireless dei LNF da parte di:– utenti wireless LNF– volendo anche da utenti INFN (non LNF)
• Utile per gli utenti LNF per connettersi alla rete wireless di altre sedi INFN
6 marzo 2007 Accesso al network dei LNF 10
Metodo 2
• Utile per connettersi alla rete (wired e wireless) dei LNF da parte di:– ospiti occasionali o temporanei– utenti INFN (non LNF)
• Utilizzabile dagli utenti LNF in altre sedi INFN
6 marzo 2007 Accesso al network dei LNF 11
Metodo 1
SSID (annunciato): INFN-dot1xNetwork Authentication: WPAData Encription: TKIP
6 marzo 2007 Accesso al network dei LNF 12
Autenticazione 802.1x
• WPA richiede l’autenticazione attraverso il protocollo standard IEEE 802.1x che usa EAP (Extensible Authentication Protocol) su LAN sia wired che wireless
• Lo standard 802.1x non definisce un metodo preciso ma uno schema architetturale nel quale possono essere usate varie metodologie, per questo una delle sue caratteristiche fondamentali è la versatilità.
6 marzo 2007 Accesso al network dei LNF 13
Metodi di autenticazione 802.1x
• TLS (Transport Layer Security)– Nativo Windows XP e MacOSX– Autenticazione tramite certificato X.509– Certificato non proteggibile sul client Windows
XP– Praticamente non implementabile su Linux
• TTLS (Tunnelled Transport Layer Security):– Autenticazione tramite username e password– Nativo in MAC OSX (versione >= 10.4)– Non e’ nativo in Windows XP– Praticamente non implementabile su Linux
6 marzo 2007 Accesso al network dei LNF 14
Scelto TTLS
• Necessaria l’installazione di un client free su Windows XP– Alfa & Ariss: Secure W2
• Linux non e’ supportato– Funziona solo con una particolare scheda WL Intel– Funziona solo con un particolare driver per quella
scheda
• Autenticazione attraverso Server RADIUS (Remote Access Dial-In User Service) usando:– Realm, Username e password– Es: LNF.INFN.IT, pistoni, <password>
6 marzo 2007 Accesso al network dei LNF 15
802.1x schema
6 marzo 2007 Accesso al network dei LNF 16
200MbpsVerso il GARR
VLAN 192.168.200INFN-Web
Utenti interni
Interfaccia del router 3/4193.205.228.57/28
Interfaccia Inside Server193.205.228.58/29 Eth0 3T/2
Interfaccia Outside Server192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46
Router Server con TINO e DHCP relay(IP Forwarding, NAT, Iptables)
RADIUSServer
DHCPServer
VLAN 192.84.131INFN-dot1x
WL net
802.1x
802.1x
EAP/TTLS
Proxy RADIUS
Supplicant
WPATKIP
IP settings
6 marzo 2007 Accesso al network dei LNF 17
Metodo 2
SSID (annunciato): INFN-WebNetwork Authentication: noneData Encription: none
6 marzo 2007 Accesso al network dei LNF 18
Open network
• Definendo l’ SSID INFN-Web, la scheda di rete wireless viene associata alla network open non cifrata dedicata agli ospiti occasionali (VLAN INFN-Web)
• Automaticamente vengono assegnate da un DHCP tutte le impostazioni IP, sulla network privata 192.168.200.x/24
6 marzo 2007 Accesso al network dei LNF 19
VLAN INFN-Web (wired)
• Nella stessa VLAN INFN-Web verrano necessariamente mappati:– i nodi di rete “wired” il cui MAC Address e’
sconosciuto al Servizio di Calcolo (VLAN di “fall back” del VMPS)
– I PC della sala utenti dedicata ai seminari e ai workshop AE T73 (vicina all’aula Touschek)
– I PC della biblioteca– I PC dell’Aula didattica Master
• A regime i PC delle altre sale utenti saranno utilizzabili esclusivamente dagli utenti interni
6 marzo 2007 Accesso al network dei LNF 20
Captive Portal: TINO
• Di fatto pero’ tutta la VLAN INFN-Web e’ dietro ad un Captive Portal che funge da gateway verso la rete pubblica– DHCP server– Firewall– DNAT– Web Server– Authentication via Radius– SNAT
6 marzo 2007 Accesso al network dei LNF 21
200MbpsVerso il GARR
VLAN 192.168.200INFN-Web
Utenti interni
Interfaccia del router 3/4193.205.228.57/28
Interfaccia Inside Server193.205.228.58/29 Eth0 3T/2
Interfaccia Outside Server192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46
Router Server con TINO e DHCP relay(IP Forwarding, NAT, Iptables)
RADIUSServer
DHCPServer
VLAN 192.84.131INFN-dot1x
Net
Open: INFN-Web
Proxy RADIUS
client
IP settings
IP settings
Richiesta www
Richiesta www (ssl)
Autenticazione
6 marzo 2007 Accesso al network dei LNF 22
VPN
• Dalla VLAN INFN-Web e’ sempre consigliabile connettersi alla propria sede tramite un VPN concentrator che preveda la cifratura del traffico (GRE, SSL o IPSEC)
• Il traffico della VLAN INFN-Web non e’ cifrato ne’ protetto; specialmente quello wireless e’ facilmente “catturabile”
6 marzo 2007 Accesso al network dei LNF 23
Access Point200MbpsVerso il GARR
VLAN 192.168.200INFN-Web
Switched LAN
Interfaccia del router 3/4193.205.228.57/28
Interfaccia Inside Server193.205.228.58/29 Eth0 3T/2
Interfaccia Outside Server192.168.200.1/24 Eth1 3T/1 – swcalc1 9/46
Router Server con TINO e DHCP relay(IP Forwarding, NAT, Iptables)
VPNConcentrator
Server
VLAN 192.84.131INFN-dot1x
Sede
Connessione VPN: IPSEC o SSL o GRE
Traffico in chiaro
6 marzo 2007 Accesso al network dei LNF 24
Server RADIUS
• Il Radius locale usa il REALM per fare da proxy alla richiesta di autenticazione diretta ai REALM non gestiti localmente– <none>– lnf.infn.it– LNF.INFN.IT– K5.LNF.INFN.IT
6 marzo 2007 Accesso al network dei LNF 25
RADIUS (schema)
6 marzo 2007 Accesso al network dei LNF 26
RadiusTo
Infrastruttura RADIUS INFNRadiuscentrale
RadiusBo
RadiusCNAF
RadiusFi
RadiusGe
RadiusLe
RadiusLNF
RadiusLNL
RadiusLNS
RadiusMiB
RadiusPv
RadiusPi
RadiusRoma1
Radiusaltre sedi
al 12 dicembre 2006
Tutto dovrebbe essere Pronto entro i primi mesi del 2007
EDURoam
INFN
RadiusFe
6 marzo 2007 Accesso al network dei LNF 27
(WinKrb5/LDAP)
passwd/shadow
AFSKerberos4
ActiveDirectory
Autenticazione ai LNF
PKIX.509
DBMySQL
Kerberos5DB
Oracle
UnixPAM
WindowsDomain
VPNConcentrator
SistemaInformativo
Webapplications
6 marzo 2007 Accesso al network dei LNF 28
PAM
Autenticazione Radius ai LNF
PKIX.509
Flat files
Kerberos5
Radius Server
AFSKerberos4
Accesso alla reteVPN Concentrator
Ospiti
Utenti
6 marzo 2007 Accesso al network dei LNF 29
Autenticazione ai LNF (futura)
(WinKrb5/LDAP)
passwd/shadow
AFSKerberos4
ActiveDirectory
PKIX.509
DBMySQL
Kerberos5AFS
Kerberos5PKI
X.509
Radius Server LDAP Server
Accesso alla rete /VPN Concentrator
Sistemi /applicazioni
WindowsDomain
UnixPAM
WebApplications
6 marzo 2007 Accesso al network dei LNF 30
Server RADIUS
• Per l’autenticazione il Radius server dei LNF a sua volta puo’ usare:– EAP / TLS (tramite certificato digitale)– File locale (users file)– O delegare:
• Kerberos 5• PAM AFS/Kerberos 4
6 marzo 2007 Accesso al network dei LNF 31
root Auth-Type := Reject
#----------------------------------------------------------------------------------------------------------DEFAULT Auth-Type := Reject, EAP-Type == EAP-TLS
#DEFAULT Auth-Type = EAP, Prefix =~ " "
#----------------------------------------------------------------------------------------------------------
DEFAULT Auth-Type = PAM, Suffix =~ "@lnf\\.infn\\.it$"
DEFAULT Auth-Type = PAM, Suffix =~ "@LNF\\.INFN\\.IT$"
DEFAULT Auth-Type = Kerberos, Suffix =~ "@K5\\.LNF\\.INFN\\.IT$"
DEFAULT Auth-Type := Reject, Suffix =~ “@”, Suffix !~ “@(.+\\.|)(infn\\.it|INFN\\.IT)$"
DEFAULT Auth-Type := Reject, Client-IP-Address == "193.206.84.7", Suffix =~ "@"
DEFAULT Auth-Type = PAM, Prefix !~ "\\."
DEFAULT Auth-Type = PAM, Client-IP-Address != "193.205.228.58"
$INCLUDE users.guests
FreeRadius config file: users
VPN ConcentratorWeb Captive Portal
6 marzo 2007 Accesso al network dei LNF 32
FreeRadius crontab
#!/bin/bash#!cp -p /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav/usr/bin/wget \ -o /tmp/GOsync.log \ --output-document=/usr/custom/freeradius/etc/raddb/users.guests \ --no-check-certificate \ --no-proxy \ --post-data='USER=lnf&PASS=<password>' \ https://sisinfo2.lnf.infn.it:8443/GOWebApp/GetAccessServiceif [ $? != 0 ]; then echo -e "\nError doing WGET!!!\n" cat /tmp/GOsync.log exit 1else chown radiusd:radiusd /usr/custom/freeradius/etc/raddb/users.guests diff -q /usr/custom/freeradius/etc/raddb/users.guests /usr/custom/freeradius/etc/raddb/users.guests.sav > /dev/null if [ $? != 0 ]; then /etc/init.d/radiusd restart >> /tmp/GOsync.log 2>&1 if [ $? != 0 ]; then echo -e "\nError restarting RADIUSD!!!\n" cat /tmp/GOsync.log exit 1 fi fifi
A crontab sul radius server ogni 10-15 minuti:( Esempio: */10 * * * * /usr/custom/bin/GOsync.sh )
(wget versione 1.10.2)
6 marzo 2007 Accesso al network dei LNF 33
## File degli utenti ospiti occasionali: users.guests# Generato automaticamente dalla web application GOWebApp # by Bisegni Claudio & Passarelli Antonino#
claudio.bisegni User-Password == “asgphs7k"
antonino.passarelli User-Password == “yus12ghw“
FreeRadius config file: users.guests
Si ottiene il file users.guests del tipo
6 marzo 2007 Accesso al network dei LNF 34
CredenzialiCon le stesse credenziali (Kerberos/AFS) gia’ in dotazione agli utenti LNF, del tipo:
<Username>@lnf.infn.it<Password>
si ottiene:• l’accesso ai servizi di rete attraverso il Web Captive
Portal (Tino)• l’accesso ai servizi di rete 802.1x (SSID: INFN-dot1x)• l’accesso in VPN (rete privata virtuale) alla rete dei
LNF
6 marzo 2007 Accesso al network dei LNF 35
Matrice di autenticazione802.1
xTino VPN
<username>@lnf.infn.it Si Si Si<username>@LNF.INFN.IT Si Si Si<username>@K5.LNF.INFN.IT
Si Si Si
<username> (Deprecato)
Si Si Si
<username.ospite> No Si No<username>@*.INFN.IT Si Si No<username>@* (non INFN)
No No No
6 marzo 2007 Accesso al network dei LNF 36
Documentazione
http://www.lnf.infn.it/computing/networking/TRIP/• Accesso alla rete wired• Accesso alla rete tramite il captive portal (Tino)
[comunicazione non cifrata]– Doc lingua inglese– Doc lingua italiana
• Accesso alla rete wireless “interna” (doc lingua italiana) tramite 802.1x [comunicazione cifrata]– piattaforma Windows XP (ENG) SP1– piattaforma Windows XP (ITA) SP2– piattaforma Apple MAC OSX (ENG)
6 marzo 2007 Accesso al network dei LNF 37
Aspetti legali
• Un working group della CCR di nome Harmony ha preparato dei documenti che sintetizzano le norme di uso dei mezzi informatici nel rispetto delle leggi, sia per i sistemisti che per gli utenti
http://www.lnf.infn.it/computing/regolamento/
• Non esiste riferimento al progetto TRIP e alla legge antiterrorismo
6 marzo 2007 Accesso al network dei LNF 38
Legge antiterrorismo• La legge antiterrorismo impone la
rintracciabilita’ e l’identificazione degli utenti che accedono alle reti e l’immagazzinamento dei documenti personali di riconoscimento scannerizzati e digitalizzati
• Cambiera’ il criterio di creazione delle username sui sistemi centrali– Dipendenti, associati, borsisti, etc– Persone conosciute agli atti della Direzione
6 marzo 2007 Accesso al network dei LNF 39
Log degli accessi
• Serve necessariamente l’archiviazione e il salvataggio a lungo periodo dei log:– Log di accesso ai sistemi– Log di accesso al network– log di autenticazione e di autorizzazione
RADIUS– Log del Web Captive Portal
6 marzo 2007 Accesso al network dei LNF 40
Database degli ospiti• E’ stato opportunamente costruito un DB
(Oracle) di nome GO: – Installato centralmente ai LNF sulle macchine del
Sistema Informativo– Ad uso nazionale per tutto l’INFN
• per contenere– Tutti gli ospiti, le relative generalita’ e i relativi
documenti personali scannerizzati e digitalizzati– Le istituzioni di appartenenza– relativi diritti di accesso differenziati per sede INFN
• Accessibile via rete con applicazione Java a 3 livelli elaborata da C. Bisegni e A. Passarelli
6 marzo 2007 Accesso al network dei LNF 41
Data dell’implementazione
9 marzo 2007
Proposte e/o domande?
6 marzo 2007 Accesso al network dei LNF 42
Fine prima parte
Prevista Demo
Gestione Ospiti
Presentazione: Claudio Bisegni
Servizio di Calcolo
6 marzo 2007 Accesso al network dei LNF 44
Applicazione Gestione Ospiti• Molto user friendly e’ rivolta al
personale di segreteria per la ricerca e l’inserimento di nuove istituzioni, di nuovi ospiti, di nuovi accessi nel DB.
• L’applicazione genera automaticamente la username e la password con cui l’ospite potra’ accedere ai servizi di rete
• Crea automatica la “Guest Card” con gli estremi per il collegamento
6 marzo 2007 Accesso al network dei LNF 45
Sincronizzazione con RADIUS
• Il Radius Server effettua la sincronizza-zione del suo users file delle autentica-zioni con i dati inseriti nel DB GO
• Una volta modificata un’autorizzazione di accesso per un dato ospite nel DB GO, tale informazione sara’ propagata e operativa (per l’accesso alla rete) entro 10 minuti massimi
6 marzo 2007 Accesso al network dei LNF 46
Conferenze, workshop, seminari,...
• Tuttavia e’ consigliabile prepararsi con anticipo il lavoro, in occasione di conferenze con grande affluenza di partecipanti “ospiti”
• Potrebbe essere di grande aiuto una eventuale form web di registrazione per l’evento, in cui venga richiesto l’upload del documento di identita’ scannerizzato e digitalizzato su file, in formato “jpeg”.
6 marzo 2007 Accesso al network dei LNF 47
Interfaccia Utente
Login Creazione Istituzione
6 marzo 2007 Accesso al network dei LNF 48
Interfaccia UtenteRicerca Anagrafica E Accessi
6 marzo 2007 Accesso al network dei LNF 49
Interfaccia UtenteInserimento / Modifica Anagrafica ospite
6 marzo 2007 Accesso al network dei LNF 50
Interfaccia UtenteInserimento / Modifica Anagrafica ospite
6 marzo 2007 Accesso al network dei LNF 51
Interfaccia UtenteInserimento / Modifica Anagrafica ospite
6 marzo 2007 Accesso al network dei LNF 52
Requisiti Client
•Java Runtime 1.4.2 - 1.5
Tecnologia lato server
•J2EE (Oracle AS, Tomcat, etc.)•Oracle DB Server 10G
6 marzo 2007 Accesso al network dei LNF 53
URL o Java starter
L’applicazione e’ accessibile alla URL: https://sisinfo2.lnf.infn.it:8443/GOWebApp/
Oppure copiando sul desktop il java starter reperibile a:https://sisinfo2.lnf.infn.it:8443/GOWebApp/GOApp.jnlp
E lanciandolo con un doppio click
6 marzo 2007 Accesso al network dei LNF 54
Conferenze, workshop, seminari,...
• Per tali circostanze e’ stata realizzata una pagina JSP (Java Server Page), che permette di registrare un accesso per un ospite sia nuovo che gia’ presente nel db degli ospiti.
• Link Pagina: https://sisinfo2.lnf.infn.it:8443/GOWebApp/InsertOspite.jsp
6 marzo 2007 Accesso al network dei LNF 55
Parametri JSP
• CONF=CCR (nome conferenza)
• ID_UTENTE=8 (identificativo di un utente della sede della conf.)
• CONF_INIZIO=12-12-2007(data inizio conferenza)
• CONF_FINE=15-12-2007(data fine conferenza)
• FORMATO_DATA=dd-MM-yyyy (il formato deve contenere dd,MM e yyyy, in ogni combinazione dei tre token. I separatori possono essere ogni carattere es: yyyy-dd-MM)
• LANGUAGE=en (o it, linquaggio della form)
6 marzo 2007 Accesso al network dei LNF 56
Parametri JSP (dati del visitatore)
• NOME=Mario • COGNOME=“De Rossi”• DATA_NASCITA=15-12-1980
---------------------------------
• DOC_TIPO=“Carta d’identita’”• DOC_RILASCIATO_DA=“Comune di Roma”• DOC_NUMERO=ABX11601• DOC_SCADENZA=15-04-2009
6 marzo 2007 Accesso al network dei LNF 57
Parametri JSP• Link pagina:
https://sisinfo2.lnf.infn.it:8443/GOWebApp/InsertOspite.jsp?CONF=CCR&ID_UTENTE=8&CONF_INIZIO=12-12-2007&CONF_FINE=15-12-2007&FORMATO_DATA=dd-MM-yyyy
• Il link sopra riportato visualizzerà la form di creazione del nuovo ospite per la conferenza CCR dal 12-12-2007 al 15-12-2007. L’ospite non dovrà far altro che inserire nella form i campi richiesti (e-mail, Nome, Congome, data di nascita, tipo documento, rilasciato da, numero documento, scadenza immagine)
• Il campo ID_UTENTE individua l’utente che inserisce il visitatore e il relativo accesso nel DB. Determina la sede INFN per la quale il visitatore ha l’accesso abilitato.
6 marzo 2007 Accesso al network dei LNF 58
Parametri JSP• Il campo E_MAIL e’ un campo univoco di ricerca
nel DB. Se gia’ esiste un visitatore con tale E-MAIL verra’ solo aggiunto un accesso per il periodo della conferenza. Altrimenti verranno richieste tutte le generalita’.
• Anche i seguenti 3 campi:– NOME (nome ospite)– COGNOME (cognome ospite)– DATA_NASCITA (data di nascita ospite)
• Svolgono la stessa funzione di ricerca. Nel caso siano passati anche questi tre parametri, se nel db esite un ospite con quelle credenziali, verrà automaticamente salvato il nuovo accesso senza chiedere ulteriori informazioni. Nel caso contrario verrannno richieste tutte le generalità.
6 marzo 2007 Accesso al network dei LNF 59
Integrazione con Indico• E’ stato aggiunto un Javascript in un include file di
Indico.
• Funziona solo per le conferenze • Occorre creare la conferenza con l'accortezza
di scrivere nel PLACE, un tag html/Javascript che contiene l'ID dell'utente a carico del quale verranno effettuate le registrazioni, esattamente nel formato: Place<script type='text/javascript'> var ID_UTENTE=xxx;</script>
• Ove xxx e' l'ID dell'utente della sede organizzatrice della conferenza (ovvero quella con il radius server delegato all'autenticazione).
6 marzo 2007 Accesso al network dei LNF 60
Integrazione con Indico (2)
• Il visitatore, dopo essersi regolarmente registrato alla conferenza, trovera’ un pulsante con cui potra’ richiedere l’accesso all’utilizzo del network per il periodo della conferenza.
• Con precisione verra’ abilitato l’accesso a partire da 7 giorni prima dell’inizio, fino a 7 giorni dopo la fine della conferenza
• In alternativa puo’ essere abilitata la sezione “accomodation” nel modulo di registrazione; in tal caso verranno utilizzate puntualmente le date di arrivo e partenza dichiarate dal visitatore.
6 marzo 2007 Accesso al network dei LNF 61
Integrazione con Indico (DOC)
• Documentazione:
https://sisinfo2.lnf.infn.it:8443/GOWebApp/
https://sisinfo2.lnf.infn.it:8443/GOWebApp/Help/ InserimentoWeb.htm
6 marzo 2007 Accesso al network dei LNF 62
Proposte e/o domande?
Prevista Demo