ATIVIDADES EM MIDDLEWARE DA RNP

ATIVIDADES EM MIDDLEWARE DA RNP Maria Teresa Moura Maio 2001 RNP/REF/0236 Atividades 2000 RNP em Middleware da RNP

ATIVIDADES EM MIDDLEWARE DA RNP Índice Introdução Middleware A Experiência da RNP Intranet características Utilização de certificado digital Utilização de diretórios (LDAP) Estrutura do diretório da Intranet Visão geral Autenticação e Autorização na Intranet Situação atual das iniciativas da Internet2 HEPKI EduPerson LDAP-Recipe DoDHE Shibboleth Propostas da RNP

Introdução Middleware APLICAÇÃO (dns, smtp,...) MIDDLEWARE Identificadores Autenticação Autorização TRANSPORTE (tcp, udp) REDE (ip) Diretórios PKI FÍSICA

Introdução (cont.) Middleware Applications Developers MIDDLEWARE Padronização e Interoperabilidade Network Designers

A Experiência da RNP Intranet - características: Sistema de informações da RNP Apoio às tarefas de gestão Melhorar integração da equipe e comunicação com os PoPs Módulos de gerência administrativa, de recursos humanos e da informação Distribuída: núcleo de coordenação (RJ), núcleos de apoio (RC, CP e DF) e PoPs Acesso individualizado

A Experiência da RNP (cont.) Aplicação de recursos de middleware para suporte aos serviços de identificação, autenticação e autorização segura: Certificado digital (PKI) e Diretórios (LDAP)

A Experiência da RNP (cont.) Utilização de certificado digital: Alternativa para autenticação por login e senha Maior nível de segurança em transações pela Internet Certificado digital: - documento eletrônico de identificação - identifica unicamente um usuário - pode ser armazenado em disco rígido, disquete ou smartcard - formado por um par de chaves: pública e privada - emitidos e mantidos por uma CA (Certificate Authority) Utilização para autenticação de clientes web

A Experiência da RNP (cont.) Exemplo de certificado:

A Experiência da RNP (cont.) Utilização de Diretório (LDAP) Banco de dados especializado para armazenamento de informações em uma organização Principal suporte para a maioria dos serviços de middleware LDAP - Lightweigh Directory Access Protocol: - Protocolo para acesso a informações de diretório - Suporta TCP/IP

A Experiência da RNP (cont.) Estrutura do diretório da Intranet o=rnp.br ou=intranet cn=externo cn=func_pop cn=func_rnp cn=manutenção dn: uid=teresa@rnp.br,ou=intranet,o=rnp.br objectclass: {top, person, organizationalperson, inetorgperson} cn: Teresa Moura sn: Moura givenname: Teresa ou: intranet uid: teresa@rnp.br usercertificate;binary: MIICkzCCAflygAwIBAgIDAyrz...

A Experiência da RNP (cont.) Estrutura do diretório da Intranet cn=func_rnp cn=dg cn=dga cn=do cn=di cn=dap cn=ceo cn=sso cn=cais dn: cn=ceo, ou=intranet,o=rnp.br objectclass: groupofuniquenames cn: ceo givenname: Centro de Engenharia e Operações ou: intranet uniquemember: uid=ari@rnp.br, ou=intranet, o=rnp.br uniquemember: uid=cybelle@rnp.br, ou=intranet, o=rnp.br

A Experiência da RNP (cont.) Visão geral: Usuário Autoridade Certificadora Aplicação Políticas Serviço de Diretórios

A Experiência da RNP (cont.) Autenticação e autorização na Intranet: Senha local para acesso ao Certificado B R O W S E R U S U Á R I O Autenticação Autorização Sucesso! Disponibiliza informação/serviço Solicita autorização Autenticação OK Autenticação (Certificado Digital) 1 o Acesso - não autenticado I N T R A N E T Checa Autorização OK OK Checa Autenticação POLÍTICAS LDAP

Situação Atual das Iniciativas da Internet2 HEPKI: Higher Education PKI Esforço conjunto das organizações CREN, Educase/Net@EDU e Internet2 para apoiar o desenvolvimento de PKI para a comunidade científica Grupos de trabalho: - PAG Policy Activities Group -Define como uma CA deve operar - TAG Technical Activities Group - Pesquisa nas escolas envolvidas sobre estado atual da utilização de ferramentas relacionadas a PKI Formas de trabalho: - Conferências - Troca de email - Aspectos técnicos tais como: - Utilização de código aberto ou soluções comerciais para CA - Portabilidade de certificados: smartcards

Situação Atual das Iniciativas da Internet2 (cont.) EduPerson Projeto para definição de uma classe de objetos padrão para um LDAP corporativo da comunidade científica Facilitar intercâmbio de aplicações e recursos entre instituições Suporte de várias universidades: Wisconsin, Georgetown, Washington, MIT Estado atual: - Versão eduperson 1.0 lançada em fev.2001 objectclasses: ( 1.3.6.1.4.1.5923.1.1.2 NAME 'eduperson' SUP 'inetorgperson' MAY ( edupersonaffiliation $ edupersonnickname $ edupersonorgdn $ edupersonorgunitdn $ edupersonprimaryaffiliation $ edupersonprincipalname $ )

Situação Atual das Iniciativas da Internet2 (cont.) LDAP Recipe Recomendações para configuração e operação de diretórios LDAP Garantir que os diretórios sejam configurados e povoados obedecendo a um esquema comum Algumas recomendações: - Esquema de nomes: dc (domain component) - Usar eduperson - Usar atributos padrões - DoDHE

Situação Atual das Iniciativas da Internet2 (cont.) DoDHE Directory of Directories for Higher Education Pesquisa e desenvolvimento de um serviço para directory searching ("Web of People") Não deve impor restrições à política de cada instituição Ênfase na cooperação com iniciativas similares Problemas a resolver: - Crescimento da comunidade Internet2 - Clientes LDAPv2

Situação Atual das Iniciativas da Internet2 (cont.) Shibboleth Projeto para criação de um serviço para autenticação e autorização na Web O problema: - Disponibilizar um recurso WWW usando credenciais das respectivas instituições Produto principal: - Módulo para o Apache Web Server que requisita autenticação e autorização remota Produtos open source

Propostas da RNP Projeto Serviço de Diretórios: - Estudar os padrões vigentes, levando-se em conta as tentativas internacionais e padronização dos atributos de usuários - Definir uma árvore de diretório LDAP para a RNP e implantar um serviço de diretórios na RNP - Propor um modelo de dados para diretório LDAP da comunidade de pesquisa

Propostas da RNP dc=br dc=rnp ou=people ou=nucleos ou=servicos ou=equips ou=projetos ou=grupos ou=backbone ou=intranet ou=people dc=na-cp cn=prints cn=ipv6 cn=dg cn=routers cn=conexoes cn=pops cn=servicos dc=na-df dc=na-rc cn=logística dc=nc=rj cn=hosts ou=núcleos cn=dap...... cn=adm cn=ci dc=na-cp cn=rh cn=finanças dc=na-df cn=compras dc=na-rc cn=planej. dc=br dc=br dc=rnp dc=rnp ou=grupos cn=dg cn=dap cn=dgi cn=do cn=logistica cn=adm cn=ci cn=ssi cn=cais cn=ceo cn=sso dc=pop-rj cn=rh cn=financas cn=prints cn=info cn=design cn=compras cn=capacita cn=hosts cn=planej. ou=backbone ou=equips cn=proxy ou=serviços cn=dgi cn=roters cn=conexões cn=info cn=design cn=capacita cn=documenta cn=ssi cn=documenta... ou=projetos cn=pops cn=cais cn=ceo cn=ipv6 cn=sso dc=pop-df dc=pop-rj cn=proxy dc=pop-mg... dc=pop-rs ou=intranet cn=do cn=serviços dc=pop-df dc=pop-mg dc=pop-rs... dc=nc-rj...

Propostas da RNP Iniciativa nacional de PKI para a comunidade de pesquisa: "Participation in the middleware arena will achieve high visibility and technology return, given that this area will enable the applications of the "next generation Internet" for usability between corporations as well as consumers. We believe this area of development may actually be the enabler of Internet technologies to the masses, and is likely to be a very hot area of research and development in the next 2 to 3 years. http://middleware.internet2.edu