Post on 05-Jan-2016
description
transcript
Jornadas Técnicas RedIris 2006Granada, 16 de Noviembre
Deploying Authorization Mechanisms
for eduroam (DAMe)
Óscar Cánovas
(ocanovas@um.es)
Universidad de Murcia
JT2006
Contenidos
Introducción
Puntos de partida
Objetivos específicos
JT2006
Introducción
DAMe es un proyecto basado en trabajos previos de TERENA, Internet 2 y la Universidad de Murcia: eduroam, como resultado de la actividad de la TERENA Mobility
Task Force, el cual define una arquitectura de movilidad entre las NREN basada en servidores AAA (RADIUS) y el estándar 802.1X
Shibboleth, un mecanismo de federación ampliamente utilizado. eduGAIN, la infraestructura de autenticación y autorización del
proyecto GEANT 2 (GN2). NAS-SAML, un sistema de control de acceso a la red para
entornos AAA desarrollado por la Universidad de Murcia y basado en SAML (Security Assertion Markup Language) y XACML (eXtensible Access Control Markup Language).
JT2006
Objetivos generales
Definir una arquitectura global para el control de
acceso a la red basado en credenciales de
autorización (NAS-SAML)
Definir alternativas de uso para ofrecer mayor
flexibilidad a los usuarios
Identificar el conjunto de políticas de la arquitectura
y dar una solución para su representación
Establecer la interoperabilidad de sistemas
heterogéneos
Definir una arquitectura genérica y extensible para
ser aplicable a servicios de alto nivel
JT2006
Escenario de aplicación
Viaja a otra universidad por motivos de trabajo Conexión a la red en diferentes lugares:
• Universidad origen/destino, tren, avión, etc Hace uso de las últimas tecnologías Consciente de los riesgos del uso de Internet Dispuesta a usar herramientas para ofrecer seguridad
• Problemas en manejo de claves, certificados, etc Capaz de comprender conceptos como:
• Sensibilidad de la información transmitida• Existencia de diferentes redes de acceso• Propiedades de alto nivel sobre redes (QoS, etc)• Conexión en base a inf. de autenticación y
autorización No se requiere elevada participación ni elevados
conocimientos técnicos
Alicia
JT2006
Intradominio: Campus Universitario
Profesores
Alumnos P. admin.
Investigadores
¿?
Usu
ari
os
BBDDs ServiciosWeb
Serviciodirectorio
ConexionesInternet
Redesinalámbricas
Serv
icio
s
Autoridad de Autenticación
¿pertenece al campus?
Autoridad de Autorización
¿puede usar el servicio?
Los usuarios están previamente registrados en el sistema Relación estable entre usuarios, organización y servicios No aparecen organizaciones externas
JT2006
Interdominio: Intercampus Universitario
Alicia podría usar la red en Universidad B Autenticada en Univ. B (método de
autenticación) Autorizada en Univ. B, pero usando los
atributos definidos en Univ. A
Relaciones estables y duraderas Formato común para información de
autorización, en caso contrario ……
Universidad A
Universidad B
Acuerdos para compartir servicios
JT2006
Interdominio: Entornos Heterogéneos
Carlos está autorizado en Univ. B, usando los atributos definidos en Univ. C
Las credenciales de autorización se basan en otro formato distinto al usado en Univ. B
Distintos criterios a la hora de representar los atributos
Por tanto, es necesario: Definir proceso de traducción o conversión de
credenciales. Definir entidades responsables Política de conversión
Universidad B
Acuerdos para compartir servicios
Universidad C
JT2006
Contenidos
Introducción
Puntos de partida
Objetivos específicos
JT2006
Objetivo: “abre tu portátil y estás conectado, donde sea” Construir una infraestructura de autenticación
interoperable, escalable y segura que podrá ser utilizada en todo el mundo para compartir recursos de red
Fundamentos: Basado en acceso recíproco (gratuito) Para la comunidad de NRENs La autenticación se realiza en el dominio origen La autorización en la institución visitada
Punto de partida: eduroam
JT2006
RADIUS server
University B
RADIUS server
University A
RedIris
Central RADIUS
Proxy server
Authenticator
(AP or switch) User DB
User DB
Supplicant
Alicia
alicia@um.es
StudentVLAN
CommercialVLAN
EmployeeVLAN
data
signalling
• Trust based on RADIUS plus policy documents
• 802.1X
• (VLAN assignment)
Punto de partida: eduroam
JT2006
Idea clave: usar el sistema NAS-SAML
Política de Liberación
de AtributosAA
red
AAA
Política deAcceso aRecursos
Internet
Dominio origen
PDP
Dominio externoPolítica de Asignaciónde Roles
SA
redAAA
Política deAcceso aRecursos
PDP
JT2006
Ejemplo de funcionamiento NAS-SAML
AAA
Dominio destino
EAP-SUCCESS
Autenticación de usuario
AA PDP
SAMLResponse
XACMLAuthZDecSt.XACMLResponse
result obligs.
PolíticaAccesoRecur.
SAMLRequest
XACMLAuthZDecisionQXACMLRequest
usuario
res. action
evidenceattrs.
PI
AAA
PI
SAMLResp.
AttributeStat.atributos
PolíticaLiber.Attr.
SAMLReq.
...
SAMLRes.
...
Dominio origen
SAMLRequest
AttributeQueryusuario
DIAMETER-SAML
EAP-TLSDIAMETER-EAPEAPOL
TraducirPropiedades
NAS-REQ
Propiedades
JT2006
Contenidos
Introducción
Puntos de partida
Objetivos específicos
JT2006
Objetivos del proyecto DAMe
Primer objetivo: Extensión de eduroam usando NAS-SAML La movilidad del usuario estará controlada por sentencias y políticas expresadas
en SAML y XACML Implicará una mejor interoperabilidad entre organizaciones (lenguaje común)
Alicia
alicia@um.es
RADIUS server
University B
RADIUS server
University A
RedIris
Central RADIUS
Proxy server
Authenticator
(AP or switch) User DB
User DB
Supplicant
data
XACML
Policy Decision Point
SAML
Attribute Authority
Signaling
XACML
JT2006
Primer objetivo: Extensión de eduroam usando NAS-SAML
Actividades destacadas: Análisis de los atributos de usuario a considerar para el control de acceso
Especificación de las políticas relevantes para la movilidad de los usuarios
Diseño de escenarios compatibles con el estado actual de eduroam
Desarrollo de un traductor RADIUS-DIAMETER
Desarrollo de una interfaz de usuario amigable para la gestión de las
políticas de autorización
Objetivos del proyecto DAMe
JT2006
Segundo objetivo: Uso de eduGAIN para autenticación y autorización eduGAIN es la AAI de GN2 eduGAIN permite conectar federaciones que usan sistemas distintos NAS-SAML ya ha sido integrado con sistemas basados en X.509 AC
Objetivos del proyecto DAMe
JT2006
Tercer objetivo: Single Sign On (SSO) Global Los usuarios serán autenticados sólo una vez, durante el acceso a la red La autenticación eduGAIN será lanzada a partir de NAS-SAML Se necesitan nuevos métodos PEAP para poder suministrar información
sobre las credenciales, así como un nuevo middleware.
Objetivos del proyecto DAMe
JT2006
University A
SA
AAA
PDP
PAP
University B
SA
AAA
PDP
Internet
Secure WebServer
GT3 Server
GT3 Container
AuthorizationService
GridService_at_UniversityB
Alice
Role Assignment
Policy
ResourceAccessPolicy
Role Assignment
Policy
ResourceAccessPolicy
Objetivos del proyecto DAMe
Cuarto objetivo: Autorización para servicios de alto nivel
JT2006
Información adicional
Página WWW del proyecto:
http://dame.inf.um.es
Jornadas Técnicas RedIris 2006Granada, 16 de Noviembre
Deploying Authorization Mechanisms for Federated Services in the eduroam
architecture (DAMe)
Óscar Cánovas
(ocanovas@um.es)
Universidad de Murcia