Deploying Authorization Mechanisms
for eduroam (DAMe)
Óscar Cánovas
([email protected])
Universidad de Murcia
Jornadas Técnicas RedIris 2006
Granada, 16 de Noviembre
Contenidos
JT2006

Introducción

Puntos de partida

Objetivos específicos
Introducción

JT2006
DAMe es un proyecto basado en trabajos previos de TERENA,
Internet 2 y la Universidad de Murcia:

eduroam, como resultado de la actividad de la TERENA Mobility
Task Force, el cual define una arquitectura de movilidad entre las
NREN basada en servidores AAA (RADIUS) y el estándar 802.1X

Shibboleth, un mecanismo de federación ampliamente utilizado.

eduGAIN, la infraestructura de autenticación y autorización del
proyecto GEANT 2 (GN2).

NAS-SAML, un sistema de control de acceso a la red para
entornos AAA desarrollado por la Universidad de Murcia y basado
en SAML (Security Assertion Markup Language) y XACML
(eXtensible Access Control Markup Language).
Objetivos generales





JT2006
Definir una arquitectura global para el control de
acceso a la red basado en credenciales de
autorización (NAS-SAML)
Definir alternativas de uso para ofrecer mayor
flexibilidad a los usuarios
Identificar el conjunto de políticas de la arquitectura
y dar una solución para su representación
Establecer la interoperabilidad de sistemas
heterogéneos
Definir una arquitectura genérica y extensible para
ser aplicable a servicios de alto nivel
Escenario de aplicación


Alicia





JT2006
Viaja a otra universidad por motivos de trabajo
Conexión a la red en diferentes lugares:
•
Universidad origen/destino, tren, avión, etc
Hace uso de las últimas tecnologías
Consciente de los riesgos del uso de Internet
Dispuesta a usar herramientas para ofrecer seguridad
•
Problemas en manejo de claves, certificados, etc
Capaz de comprender conceptos como:
•
Sensibilidad de la información transmitida
•
Existencia de diferentes redes de acceso
•
Propiedades de alto nivel sobre redes (QoS, etc)
•
Conexión en base a inf. de autenticación y
autorización
No se requiere elevada participación ni elevados
conocimientos técnicos
Intradominio: Campus Universitario
Usuarios
¿pertenece
al campus?
Profesores
Investigadores
Alumnos
P. admin.
Autoridad de
Autenticación
Servicios
¿?



JT2006
BBDDs
Servicios
Web
Redes
Servicio Conexiones
directorio
Internet inalámbricas
Autoridad de
Autorización
Los usuarios están previamente registrados en el sistema
Relación estable entre usuarios, organización y servicios
No aparecen organizaciones externas
¿puede usar
el servicio?
Interdominio: Intercampus Universitario
Universidad A
Acuerdos para
compartir servicios
Universidad B





JT2006
Alicia podría usar la red en Universidad B
Autenticada en Univ. B (método de
autenticación)
Autorizada en Univ. B, pero usando los
atributos definidos en Univ. A
Relaciones estables y duraderas
Formato común para información de
autorización, en caso contrario ……
Interdominio: Entornos Heterogéneos
Acuerdos para
compartir servicios
Universidad C


JT2006
Carlos está autorizado en Univ. B, usando los
atributos definidos en Univ. C

Las credenciales de autorización se basan en
otro formato distinto al usado en Univ. B

Distintos criterios a la hora de representar los
atributos
Por tanto, es necesario:

Definir proceso de traducción o conversión de
credenciales.

Definir entidades responsables

Política de conversión
Universidad B
Contenidos
JT2006

Introducción

Puntos de partida

Objetivos específicos
Punto de partida: eduroam


JT2006
Objetivo:

“abre tu portátil y estás conectado, donde sea”

Construir una infraestructura de autenticación
interoperable, escalable y segura que podrá ser utilizada en
todo el mundo para compartir recursos de red
Fundamentos:

Basado en acceso recíproco (gratuito)

Para la comunidad de NRENs

La autenticación se realiza en el dominio origen

La autorización en la institución visitada
Punto de partida: eduroam
Supplicant
Authenticator
(AP or switch)
RADIUS server
RADIUS server
User
DB
University A
Alicia
RedIris
[email protected]
Employee
VLAN
signalling
data
JT2006
University B
Commercial
VLAN
Central RADIUS
Student
VLAN
Proxy server
•
Trust based on RADIUS plus policy
documents
•
802.1X
•
(VLAN assignment)
User
DB
Idea clave: usar el sistema NAS-SAML
Dominio origen
Dominio externo
SA
Política de
Liberación
de Atributos
AA
Política de
Acceso a
Recursos
JT2006
red
AAA
Internet
AAA
PDP
Política de
Asignación
de Roles
red
PDP
Política de
Acceso a
Recursos
Ejemplo de funcionamiento NAS-SAML
Dominio origen
Dominio destino
AAA
AA
AAA
PDP
Autenticación de
usuario
SAMLReq.
...
Política
Liber.
Attr.
SAMLResp.
AttributeStat.
atributos
SAMLRequest
AttributeQuery
usuario
SAMLRequest
XACMLAuthZDecisionQ
XACMLRequest
usuario
evidence
attrs.
res. action
SAMLRes.
...
Traducir
Propiedades
NAS-REQ
SAMLResponse
XACMLAuthZDecSt.
XACMLResponse
result obligs.
Propiedades
EAP-SUCCESS
JT2006
EAP-TLS
EAPOL
PI
DIAMETER-SAML
PI
DIAMETER-EAP
Política
Acceso
Recur.
Contenidos
JT2006

Introducción

Puntos de partida

Objetivos específicos
Objetivos del proyecto DAMe

Primer objetivo: Extensión de eduroam usando NAS-SAML

La movilidad del usuario estará controlada por sentencias y políticas expresadas
en SAML y XACML

Implicará una mejor interoperabilidad entre organizaciones (lenguaje común)
Attribute Authority
Policy Decision Point
XACML
XACML
Supplicant
Authenticator
(AP or switch)
RADIUS server
University A
RADIUS server
User
DB
Alicia
[email protected]
data
RedIris
Signaling
SAML
Central RADIUS
Proxy server
JT2006
University B
User
DB
Objetivos del proyecto DAMe
JT2006

Primer objetivo: Extensión de eduroam usando NAS-SAML

Actividades destacadas:

Análisis de los atributos de usuario a considerar para el control de acceso

Especificación de las políticas relevantes para la movilidad de los
usuarios

Diseño de escenarios compatibles con el estado actual de eduroam

Desarrollo de un traductor RADIUS-DIAMETER

Desarrollo de una interfaz de usuario amigable para la gestión de las
políticas de autorización
Objetivos del proyecto DAMe

JT2006
Segundo objetivo: Uso de eduGAIN para autenticación y autorización

eduGAIN es la AAI de GN2

eduGAIN permite conectar federaciones que usan sistemas distintos

NAS-SAML ya ha sido integrado con sistemas basados en X.509 AC
Objetivos del proyecto DAMe

JT2006
Tercer objetivo: Single Sign On (SSO) Global

Los usuarios serán autenticados sólo una vez, durante el acceso a la red

La autenticación eduGAIN será lanzada a partir de NAS-SAML

Se necesitan nuevos métodos PEAP para poder suministrar información
sobre las credenciales, así como un nuevo middleware.
Objetivos del proyecto DAMe

Cuarto objetivo: Autorización para servicios de alto nivel
University A
Role
Assignment
Policy
University B
SA
AAA
Resource
Access
Policy
SA
Internet
Role
Assignment
Policy
AAA
PDP
PDP
Resource
Access
Policy
Secure Web
Server
GT3 Container
Authorization
Service
PAP
Alice
JT2006
GT3 Server
GridService_at
_UniversityB
Información adicional

Página WWW del proyecto:

JT2006
http://dame.inf.um.es
Deploying Authorization Mechanisms for
Federated Services in the eduroam
architecture (DAMe)
Óscar Cánovas
([email protected])
Universidad de Murcia
Jornadas Técnicas RedIris 2006
Granada, 16 de Noviembre
Descargar

Objetivos del proyecto DAMe