1 / 21

Deploying Authorization Mechanisms for eduroam (DAMe)

Deploying Authorization Mechanisms for eduroam (DAMe). Óscar Cánovas ( ocanovas@um.es ) Universidad de Murcia. Contenidos. Introducción Puntos de partida Objetivos específicos. Introducción. DAMe es un proyecto basado en trabajos previos de TERENA, Internet 2 y la Universidad de Murcia:

wilson
Download Presentation

Deploying Authorization Mechanisms for eduroam (DAMe)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Deploying Authorization Mechanisms for eduroam (DAMe) Óscar Cánovas (ocanovas@um.es) Universidad de Murcia

  2. Contenidos • Introducción • Puntos de partida • Objetivos específicos

  3. Introducción • DAMe es un proyecto basado en trabajos previos de TERENA, Internet 2 y la Universidad de Murcia: • eduroam, como resultado de la actividad de la TERENA Mobility Task Force, el cual define una arquitectura de movilidad entre las NREN basada en servidores AAA (RADIUS) y el estándar 802.1X • Shibboleth, un mecanismo de federación ampliamente utilizado. • eduGAIN, la infraestructura de autenticación y autorización del proyecto GEANT 2 (GN2). • NAS-SAML, un sistema de control de acceso a la red para entornos AAA desarrollado por la Universidad de Murcia y basado en SAML (Security Assertion Markup Language) y XACML (eXtensible Access Control Markup Language).

  4. Objetivos generales • Definir una arquitectura global para el control de acceso a la red basado en credenciales de autorización (NAS-SAML) • Definir alternativas de uso para ofrecer mayor flexibilidad a los usuarios • Identificar el conjunto de políticas de la arquitectura y dar una solución para su representación • Establecer la interoperabilidad de sistemas heterogéneos • Definir una arquitectura genérica y extensible para ser aplicable a servicios de alto nivel

  5. Alicia Escenario de aplicación • Viaja a otra universidad por motivos de trabajo • Conexión a la red en diferentes lugares: • Universidad origen/destino, tren, avión, etc • Hace uso de las últimas tecnologías • Consciente de los riesgos del uso de Internet • Dispuesta a usar herramientas para ofrecer seguridad • Problemas en manejo de claves, certificados, etc • Capaz de comprender conceptos como: • Sensibilidad de la información transmitida • Existencia de diferentes redes de acceso • Propiedades de alto nivel sobre redes (QoS, etc) • Conexión en base a inf. de autenticación y autorización • No se requiere elevada participación ni elevados conocimientos técnicos

  6. Autoridad de Autenticación Usuarios P. admin. Investigadores Profesores Alumnos Servicios Autoridad de Autorización Servicios Web Servicio directorio Conexiones Internet Redes inalámbricas BBDDs Intradominio: Campus Universitario ¿pertenece al campus? ¿? ¿puede usar el servicio? • Los usuarios están previamente registrados en el sistema • Relación estable entre usuarios, organización y servicios • No aparecen organizaciones externas

  7. Universidad A Universidad B Interdominio: Intercampus Universitario • Alicia podría usar la red en Universidad B • Autenticada en Univ. B (método de autenticación) • Autorizada en Univ. B, pero usando los atributos definidos en Univ. A • Relaciones estables y duraderas • Formato común para información de autorización, en caso contrario …… Acuerdos para compartir servicios

  8. Universidad B Universidad C Interdominio: Entornos Heterogéneos • Carlos está autorizado en Univ. B, usando los atributos definidos en Univ. C • Las credenciales de autorización se basan en otro formato distinto al usado en Univ. B • Distintos criterios a la hora de representar los atributos • Por tanto, es necesario: • Definir proceso de traducción o conversión de credenciales. • Definir entidades responsables • Política de conversión Acuerdos para compartir servicios

  9. Contenidos • Introducción • Puntos de partida • Objetivos específicos

  10. Punto de partida: eduroam • Objetivo: • “abre tu portátil y estás conectado, donde sea” • Construir una infraestructura de autenticación interoperable, escalable y segura que podrá ser utilizada en todo el mundo para compartir recursos de red • Fundamentos: • Basado en acceso recíproco (gratuito) • Para la comunidad de NRENs • La autenticación se realiza en el dominio origen • La autorización en la institución visitada

  11. Punto de partida: eduroam Supplicant Authenticator (AP or switch) RADIUS server University A RADIUS server University B User DB User DB Alicia alicia@um.es RedIris Commercial VLAN Employee VLAN Central RADIUS Proxy server Student VLAN • Trust based on RADIUS plus policy documents • 802.1X • (VLAN assignment) signalling data

  12. Dominio externo Idea clave: usar el sistema NAS-SAML Dominio origen

  13. Política Liber. Attr. Política Acceso Recur. EAP-TLS PI EAPOL DIAMETER-EAP PI DIAMETER-SAML Ejemplo de funcionamiento NAS-SAML Dominio origen Dominio destino

  14. Contenidos • Introducción • Puntos de partida • Objetivos específicos

  15. Supplicant Authenticator (AP or switch) RADIUS server University A RADIUS server University B User DB User DB RedIris Central RADIUS Proxy server Objetivos del proyecto DAMe • Primer objetivo: Extensión de eduroam usando NAS-SAML • La movilidad del usuario estará controlada por sentencias y políticas expresadas en SAML y XACML • Implicará una mejor interoperabilidad entre organizaciones (lenguaje común) Attribute Authority Policy Decision Point XACML XACML Alicia alicia@um.es data Signaling SAML

  16. Objetivos del proyecto DAMe • Primer objetivo: Extensión de eduroam usando NAS-SAML • Actividades destacadas: • Análisis de los atributos de usuario a considerar para el control de acceso • Especificación de las políticas relevantes para la movilidad de los usuarios • Diseño de escenarios compatibles con el estado actual de eduroam • Desarrollo de un traductor RADIUS-DIAMETER • Desarrollo de una interfaz de usuario amigable para la gestión de las políticas de autorización

  17. Objetivos del proyecto DAMe • Segundo objetivo: Uso de eduGAIN para autenticación y autorización • eduGAIN es la AAI de GN2 • eduGAIN permite conectar federaciones que usan sistemas distintos • NAS-SAML ya ha sido integrado con sistemas basados en X.509 AC

  18. Objetivos del proyecto DAMe • Tercer objetivo: Single Sign On (SSO) Global • Los usuarios serán autenticados sólo una vez, durante el acceso a la red • La autenticación eduGAIN será lanzada a partir de NAS-SAML • Se necesitan nuevos métodos PEAP para poder suministrar información sobre las credenciales, así como un nuevo middleware.

  19. Objetivos del proyecto DAMe • Cuarto objetivo: Autorización para servicios de alto nivel

  20. Información adicional • Página WWW del proyecto: • http://dame.inf.um.es

  21. Deploying Authorization Mechanisms for Federated Services in the eduroam architecture (DAMe) Óscar Cánovas (ocanovas@um.es) Universidad de Murcia

More Related