portale Web e autenticazione su IdP INFN Riccardo Veraldi Vincenzo Ciaschini CNAF TRIP INFNWeb INFNdot1x routerxinfnit WAN routeryinfnit radiusyinfnit radiusgarrnet ID: 797023
Download The PPT/PDF document "Evoluzione di TRIP: Eduroam" is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN
Riccardo Veraldi, Vincenzo
Ciaschini
- CNAF
Slide2TRIP
INFN-Web
INFN-dot1x
router.x.infn.it
WAN
router.y.infn.it
radius.y.infn.it
radius.garr.net
VLAN trunk
Cisco AIR-AP1231G-E-K9
radius.x.infn.it
tino.x.infn.it
LAN
switch-router
layer 2 switch
802.1x VLAN
Captive Portal VLAN
Default VLAN
2
Slide3Eduroam3
INFN-Web
eduroam
router.x.infn.it
WAN
router.y.infn.it
radius.y.infn.it
radius.garr.net
VLAN trunk
Cisco AIR-AP1231G-E-K9
radius.x.infn.it
tino.x.infn.it
LAN
switch-router
layer 2 switch
802.1x VLAN
Captive Portal VLAN
Default VLAN
01-10-2009
Riccardo Veraldi - Riunione CCR
3
Slide4Migrazione TRIP a eduroam
TRIP è di per sé un’architettura
compliant
con
eduroamStiamo percorrendo tutti i passi formali per la piena adesione dell’INFN a eduroam
Operativamente basta modificare il nome del SSID da INFN-dot1x in eduroam
Nessun’altra operazione è necessaria4
Slide5TINOAssociazione a rete WiFi aperta INFN-Web
Redirezione
connessione sul portale TINO
Autenticazione utente con account locale al portale
ATTENZIONE: autenticazione utente con proxy radius
PROIBITO DA EDUROAM!!Logout da parte dell’utente o dopo timeout di
n ore5
Slide6Integrazione TINO – Shibboleth2Installazione di Shibboleth2 e configurazione di mod_shib sotto apache
Rivista
totalmente l’architettura del portale per l’integrazione
con
mod_shibModifiche al codice sorgente di TINOMigliorato lo script di firewall che ora tiene conto anche dei
mac address dei clientIP spoofing
preventionMac spoofing prevention
6
Slide7TINO – Shibboleth2Associazione a rete WiFi aperta INFN-WebRedirezione
su
IdP
INFN
https://idp.infn.itAutenticazione tramite AAIAutenticazione tramite certificato x509/mapping su AAI
Ritorno sul portale TINOLogout da parte dell’utente o dopo timeout di n ore
7
Slide8Redirezione su IdP INFN
8
Slide9Ritorno a TINO dopo autenticazione
9
Slide10TINO logout
10
Slide11TINO – shib2VantaggiAutenticazione tramite AAIPossbilitá
di avere un unico setup comune a tutte le sezioni (da discutere)
Semplificatione
della configurazione del portale
radius server locale non piú necessarioSvantaggi
Non si possono registrare utenti locali che quindi non siano in AAIGodiva ?11
Slide12ConclusioniTRIP a
eduroam
Stiamo portando a termine le azioni formali necessarie
Firma da parte del PresidentePassaggio indolorePortale Web TINO-shib2La migrazione necessita l’installazione di un nuovo pacchetto
Gli utenti ospiti locali non registrati su AAI non potranno autenticarsi a meno che non si configurino 2 istanze distinte di portale (da testare)
12