Embed Size (px)
DESCRIPTION
WebAuth na Z ČU (historie, současnost a budoucnost). Petr Grolmus. 16. Červen 2 006. Co je WebAuth?. Single Sign-On pro web Ověřovací server WebKDC Několik aplikačních serverů webkdc modul – provádí ověření webauth modul – vynucuje autentizaci - PowerPoint PPT Presentation
Citation preview
WebAuth na ZWebAuth na ZČUČU
(historie, současnost a budoucnost)(historie, současnost a budoucnost)
16. Červen 2006
Petr Grolmus
Co je WebAuth? Single Sign-On pro web Ověřovací server WebKDC Několik aplikačních serverů webkdc modul – provádí ověření webauth modul – vynucuje autentizaci webauthldap – volitelný modul, aplikuje
autorizaci proti skupinám v LDAPu Ověření uživatelů je pod naší správou
WebAuth - historie Konec roku 2003 – první testy Do 7/2005 – převod některých
interních WWW aplikací pod WebAuth Od 8/2005 použito pro WebMail O profylaxi 10/2005 posílen ověřovací
server WebKDC (webkdc.zcu.cz) Ozývají se i katedry, které žádají
WebAuth na svých katedrálních WWW serverech (KAE, DFEK, KMA,… i Dioné)
Kerberos (KDC)
ID c
ooki
e, p
ověř
ení p
ro W
AS
Uř t
ě zn
ám, p
ověř
ení p
ro W
AS
nagios.zcu.cz
webmail.zcu.cz
Data
WebKDC
požadavekredirekt
Orio
n lo
gin/
heslo
logi
n fo
rmul
ář
poža
dave
k
ověření uživ.
pověření
požadavek+pověření
Data; APP cookie
požadavek
požadavek
redirekt
poža
dave
k
požadavek+pověření
Data; APP cookie
morpheus.civ.zcu.cz
cumil.zcu.cz
rt.zcu.cz
požadavek
Data
eduroam.zcu.cz
whois.zcu.cz
register.zcu.cz
cumil2.zcu.cz
cumil3.zcu.cz
daphne.civ.zcu.cz
reminder.zcu.cz
WebAuth - současnost 1x webkdc: 2x CPU 3.2 GHz, 2 GB RAM
cumil cumil2 cumil3 cumil4 cumil5 cumil6 rt nagios morpheus.civ daphne.civ webmail mail
rannisluzby.civ sluzby.civ oracle.stroje reminder register whois in.fel cvsweb seznam auth oop.kiv dione
eduroam/login urednideska multisw sluzby-dev www.dfek www.kar www.ui www.proquest www.studium ldp-civ03 knet taurus
WebAuth – budoucnost (nepříliš vzdálená)
Srpen 2006: WebAuth v. 3.2.8 → 3.5.1 Nová verze = nové možosti Ověření uživatelským certifikátem (tj.
uživatel nemusí zadávat heslo vůbec)
Funkční jak na osobní certifikáty, tak i „krátkodobé“ vydané on-line KCA
Uživ. certifikát
Uživ. certifikát
poža
dave
k
Kerberos (KDC)
ID c
ooki
e, p
ověř
ení p
ro W
AS
Uř t
ě zn
ám, p
ověř
ení p
ro W
AS
nagios.zcu.cz
webmail.zcu.cz
Data
WebKDC
požadavekredirekt
poža
dave
k
ověření uživ.
pověření
požadavek+pověření
Data; APP cookie
požadavek
požadavek
redirekt
požadavek+pověření
Data; APP cookie
požadavek
Data
CA ZČU
Kerberos (KDC)
nagios.zcu.cz
webmail.zcu.cz
WebKDC
morpheus.civ.zcu.cz
cumil.zcu.cz
rt.zcu.cz
eduroam.zcu.cz
whois.zcu.cz
register.zcu.cz
cumil2.zcu.cz
cumil3.zcu.cz
daphne.civ.zcu.cz
reminder.zcu.cz
?
WTF?%!#@$#!!
WebAuth – budoucnost(vzdálenější, ale ne příliš ;-)
V testování již cluster (pool) WebKDC serverů
Odolné proti HW poruše a výpadku části sítě
Založené na load-balancingu Podán grant u FR Cesnet na rozšíření
infrastruktury na cluster 3x WebKDC
lb IN NS lbdns1.zcu.czlb IN NS lbdns2.zcu.cz
webkdc IN CNAME webkdc-pool.lb.zcu.cz
Config for load-ballanced DNS:
webkdc1 1 webkdc-poolwebkdc2 1 webkdc-poolwebkdc3 1 webkdc-pool
webmail.zcu.cz
webkdc1.zcu.cz
webkdc2.zcu.cz
webkdc3.zcu.cz
lbdns2.zcu.cz
lbdns1.zcu.cz
Main DNS serverpoža
dave
kJdi n
a w
ebkd
c
IP
webkd
c IP?
?
--- ? ? ? ? ? --- Dotazy?
