Test Authentifizierung und Autorisierung

Größe: px
Ab Seite anzeigen:

Download "Test Authentifizierung und Autorisierung"

Transkript

1 D-Grid Integrationsprojekt 2 (DGI-2) Fachgebiet 3.2 AAI/VO Test Authentifizierung und Autorisierung auf Basis von SLC Version 1.0, 17. Oktober 2008

2 Autoren Benjamin Henne (RRZN, Leibniz Universität Hannover) Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bundesministeriums für Bildung und Forschung unter dem Förderkennzeichen 01IG07014 gefördert. Die Verantwortung für den Inhalt dieser Veröffentlichung liegt bei den Autoren.

3 Test Authentifizierung und Autorisierung auf Basis von SLC DGI-2 FG-3.2 Inhalt 1 MANAGEMENT SUMMARY ZIEL DIESES DOKUMENTS EVALUIERUNG DES PILOTBETRIEB-SLCS Beispiel-Anwendung eines SLC auf einer Grid-Ressource (Globus Toolkit 4) RRZN-TESTBED Test GridShib CA mit SP AKKREDITIERTER SLCS FÜR D-GRID SLC mit SAML-Assertions Nutzung des produktiven SLCS GRIDSHIB ENTWICKLUNG STATUS UND AUSBLICK...9 3

4 DGI-2 FG-3.2 Test Authentifizierung und Autorisierung auf Basis von SLC 1 Management Summary Die Authentifizierung und Autorisierung von Nutzern im D-Grid erfolgt bis dato anhand von Nutzeridentitäten. Die Identität eines Nutzers wird durch eine Zertifizierungsstelle (Certification Authority - CA) oder eine angeschlossene Registrierungsstelle (Registration Authority RA) festgestellt und in Form eines X.509-Zertifikates für einen bestimmten Zeitraum von der CA bestätigt. Der Nutzer kann sich im Folgenden mittels seines Zertifikates bei allen Grid-Ressourcen authentifizieren. Die Ressourcen können beruhend auf der durch das Zertifikat bescheinigten Identität Autorisationsentscheidungen treffen. Für die Unterstützung im D-Grid muss eine CA durch die International Grid Trust Foundation (IGTF), genauer durch die EUGridPMA, akkreditiert sein (vgl. [zertifikateimd-grid]). Es zeichnet sich ab, dass es Nutzergruppen im D-Grid geben wird, die über keine solchen langlebigen Zertifikate einer akkreditierten CA verfügen. Der Aufwand für die Ausstellung und die Handhabung solcher Zertifikate steht bei diesen nicht in einem angemessenen Verhältnis zur Nutzung. Des Weiteren wollen Communities und Projekte schon vorhandene, etablierte Identitätsmanagementsysteme (IdM-Systeme) auch für die Authentifizierung im D-Grid verwerten können, welche äquivalent zu den CA/RA die Identitäten der Nutzer feststellen und regelmäßig prüfen. Die Verwendung der Nutzerinformationen aus diesen IdM-Systemen eröffnet zudem die Möglichkeit einer erweiterten Autorisierung basierend auf Nutzer-Attributen der Heimatorganisationen (sogenannten Campus Attributen). Um die vorhandenen IdM-System im D-Grid nutzen zu können, ist die Einführung eines von der EU- GridPMA akkreditierten Short-Lived-Credential-Service (SLCS) durch den DFN-Verein geplant. Dieser Service bildet die Identitäten der etablierten IdM-Systeme auf grid-fähige X.509-Zertifikate ab. Ein erster SLCS betrieben durch die DFN-PKI befindet sich seit März 2007 im Pilotbetrieb. An der Überführung in den Regelbetrieb wird momentan gearbeitet, so dass diese für das kommende Jahr 2009 zu erwarten ist. 2 Ziel dieses Dokuments Dieses Dokument beschreibt den aktuellen Stand der Entwicklung des Dienstes DFN-PKI SLCS des DFN-Vereins. Der aktuelle Stand (Pilotbetrieb-SLCS) sowie die geplante Entwicklung für den Regelbetrieb wird betrachtet. Außerdem wird die praktische Nutzung von SLC im D-Grid exemplarisch mit einem vom Pilotbetrieb-SLCS ausgestellten SLC evaluiert. Das vorliegende Dokument ist der Teilaufgabe 2.1 Test Authentifizierung auf Basis von SLCS (Projektmonate 7 bis 8) des Fachgebietes 3.2 zuzuordnen, ist jedoch kein vorgeschriebenes Deliverable. 4

5 Test Authentifizierung und Autorisierung auf Basis von SLC DGI-2 FG Evaluierung des Pilotbetrieb-SLCS Der seit März 2007 im Pilotbetrieb befindliche SLCS baut auf die inzwischen nicht mehr aktuelle Version der GridShib CA [gridshib] auf. Die Online CA wird durch einen Shibboleth Service Provider Version 1.3 (kurz: SP 1.3) geschützt. Der SLCS wird im Rahmen der DFN-AAI-Test-Federation der DFN-AAI [dfn-aai] betrieben. Der Dienst kann mit jedem dieser Föderation angehörenden Identity Provider (IdP) genutzt werden, nachdem dieser durch die DFN-PKI für die Nutzung aktiviert wurde, und er die notwendigen technischen Voraussetzungen erfüllt. Für die Aktivierung eines IdP muss dessen eindeutiger URI (entityid) sowie das Mapping der durch ihn verwalteten Identitäten auf die Subject-DN der zu erzeugenden Zertifikate festgelegt werden. Damit der SLCS kurzlebige Zertifikate auf Basis der Identitätsinformationen eines IdP erstellen kann, muss der IdP eine für jeden verwalteten Benutzer eindeutige Bezeichnung in Form des Attributes edupersonprincipalname (vgl. [dfnaai_attribute]) bereitstellen. Die Erstellung eines kurzlebigen Zertifikates kann mittels der vom DFN-Verein bereitgestellten Test- IdP [dfn-aai_testidp] erprobt werden. Inzwischen stehen zwei Test-IdP der DFN-AAI basierend auf den Shibboleth IdP Version 1.3 und Version 2.0 bereit. Für die durchgeführte Evaluierung wurde jedoch der IdP des RRZN-Testbeds genutzt. Der eingesetzte IdP basiert auf dem aktuellen Shibboleth Identity Provider Version 2.0 (kurz: IdP 2.0). Während der Tests konnten keine Probleme bei der Kombination des SP 1.3 des SLCS und des IdP 2.0 festgestellt werden. Die Kommunikation zwischen den Komponenten verlief basierend auf SAML Version 1.x (kurz: SAML1). Nachdem der IdP für die Nutzung des SLCS aktiviert wurde, konnten sofort kurzlebige Zertifikate für die Identitäten des IdP erzeugt werden. Probleme mit der Software traten nur bei der Verwendung von Mac OS X als Clientsystem mit dem Credential Retriever auf, welches jedoch ein bekannter Fehler ist [gb5298]. Der genaue Ablauf der SLC-Erstellung ist in [dfn-slcsdentwurf] beschrieben. 3.1 Beispiel-Anwendung eines SLC auf einer Grid-Ressource (Globus Toolkit 4) Folgendes Beispiel zeigt die Nutzung eines vom Pilotbetrieb-SLCS bezogenen SLC für das Ausführen eines Grid-Jobs mit der Middleware Globus Toolkit Vorbereitung der Grid-Ressource gram01 I. Hinzufügen des Zertifikates und der Signing Policy der Online CA cd /etc/grid security/certificates wget https://slcs.pca.dfn.de/gridshib ca/ed0bc3d1.0 wget https://slcs.pca.dfn.de/gridshib ca/ed0bc3d1.signing_policy chmod 644 ed0bc3d1.* II. SLC-Subject-DN in gridmap-file einfügen $GLOBUS_LOCATION/sbin/grid mapfile add entry dn /C=DE/O=DFN Verein \ /OU=DFN PKI/OU=SLCS/OU=Universitaet hannover.de ln henne 2. Beziehen eines SLC auf Clientsystem desktop i. Öffnen der Webseite des SLCS ii. Authentifizierung des Nutzers am Identity Provider z. B. via Benutzername und Passwort iii. Download des Credentials (Zertifikat und privater Schlüssel im PEM-Format) mit der Java Webstart Applikation Credential Retriever 5

6 DGI-2 FG-3.2 Test Authentifizierung und Autorisierung auf Basis von SLC iv. Die Credential-Datei wird gespeichert unter /tmp/x509up_ubenutzerid 1 v. Credential auf Grid User Interface kopieren scp /tmp/x509up_u1000 hannover.de:~/slc.pem 3. Abschicken eines Jobs von User Interface ui1 I. Hinzufügen des Zertifikates und der Signing Policy der Online CA auf dem User Interface (Kommandos analog zu 1. auf Host ui1) II. Erstellen eines Proxy-Zertifikates Da ein SLC in der Standardeinstellung 12 Stunden gültig ist, muss das davon abgeleitete Proxy-Zertifikat eine kürzere Laufzeit als 12 Stunden besitzen, da ein Teil der 12 Stunden bei der Erstellung schon vergangen ist: hier 8 Stunden grid proxy init cert ~/slc.pem key ~/slc.pem valid 8:00 optional: für weitere Arbeiten das Zertifikat und den privaten Schlüssel aus der Credential- Datei nach ~/.globus/ extrahieren sed n '/^ BEGIN C/,/^ END C/ p' ~/slc.pem > ~/.globus/usercert.pem sed n '/^.*BEGIN.*KEY/,/^.*END.*KEY/ p' ~/slc.pem > ~/.globus/userkey.pem III. Abschicken eines Test-Jobs globusrun ws submit streaming quiet F gram01 c /usr/bin/whoami henne 4 RRZN-Testbed Für den Test der neuen Shibboleth-2-Komponenten wurde im Testbed des RRZN ein Shibboleth IdP Version 2.0 (kurz: IdP 2.0) installiert und für die vorher und folgend beschriebenen Tests verwendet. Des Weiteren wurde die aktuelle GridShib CA Version (kurz: GridShib CA 0.5.1) mit dem aktuellen Shibboleth SP Version 2.1 (kurz: SP 2.1) installiert und erprobt. 4.1 Test GridShib CA mit SP 2.1 Die GridShib CA wurde zusammen mit dem Shibboleth SP 2.1 installiert. Der SP schützt die Online-CA-Webapplikation und liefert dieser die nötigen Nutzer-Informationen. Beim SP 2.x werden die Shibboleth-spezifischen Informationen standardmäßig aus Sicherheitsgründen in Umgebungsvariablen gespeichert und nicht wie beim SP 1.x in HTTP-Headervariablen. Die Nutzung von Headervariablen muss zusätzlich aktiviert werden insofern gewünscht. Um dies zu vermeiden, ist eine geringfügige Änderung am Code der GridShib CA nötig, damit die Online CA den Namen des IdP korrekt erhält. Weitere Änderungen sind nicht von Nöten, so dass nach dieser Anpassung (die Variablenanpassung ist der Aktivierung der Headervariablen vorzuziehen) die CA geschützt durch den SP 2.1 funktioniert und SLC erzeugt werden können [gsuser01]. Sollen SAML-Assertions mit Nutzerattributen in die SLC integriert werden, so müssen weitere Änderungen am Code der Online CA vorgenommen werden [gsuser02], da sich der Mechanismus der Übergabe der empfangenen Assertions vom SP zur Webapplikation von Shibboleth zu Shibboleth 2 verändert hat. Der SP 1.3 übergibt die Attribute der Attribut-Assertion in einer HTTP-Headervariable. Der SP 2.x hingegen stellt alle empfangenen Assertions über einen lokalen HTTP-Download der Applikation zur Verfügung. Zudem ändert sich die Form der übergebenen Attribute. Der SP 1.3 ermög- 1 Pfad bei Linux/Mac OS X Client. Windows: %TEMP%/x509up_uBenutzerID 6

7 Test Authentifizierung und Autorisierung auf Basis von SLC DGI-2 FG-3.2 licht Zugriff auf die Attribute nach der Filterung durch seine Attribute Acceptance Policy (AAP) für die folglich keine gültige Signatur vom IdP mehr existiert. Der SP 2.x stellt die kompletten Assertions inklusive der Signatur bereit. Dies ermöglicht die Integration der Attribute inklusive der Signatur des IdP (der Attribute Authority), verhindert aber auch eine Filterung der Attribute durch die AAP des SP. Somit muss die Einschränkung der Attribute an anderer Stelle geschehen, wie beispielsweise durch eine vorherige Absprache zwischen IdP-Betreiber (SLCS-Nutzer) und SP-Betreiber (SLCS-Anbieter) sowie eine Einschränkung bei der Erstellung einer Assertion durch den IdP. Für die Integration der SAML-Assertions in die SLC werden die GridShib SAML-Tools Version verwendet, die momentan nur SAML1 unterstützen. Dies spricht momentan für die Nutzung von SAML1 im Zusammenhang mit der Online CA. Mit der Erweiterung der Tools um SAML2- Unterstützung kann später auf eine vollständige Nutzung von SAML Version 2 (kurz: SAML2) umgestellt werden. Das SAML1-XML-Schema erlaubt jedoch auch ein Element mit laxer Schema- Validierung im Advice-Element [samlcore1.1], so dass prinzipiell auch SAML2-Assertions in das Advice-Element der von den SAML-Tools erstellten SAML1-Assertion gesetzt werden könnten. In solch einem Fall ist zu beachten, dass die XML-Namespaces eindeutig und einheitlich sind. Bei der Wahl der SAML-Version spielt aber vor allem die Unterstützung der Assertion-Verbraucher eine wichtige Rolle, da diese die Assertions auch verwerten können müssen. Im Rahmen der Tests konnten im Testbed erfolgreich SAML1-Assertions in die SLC integriert werden [gsuser02]. Die Integration von SAML2 konnte nur ansatzweise erfolgen, da einige Software-Fehler in den SAML-Tools gefunden wurden [gsuser03] und die Tools noch kein SAML2 unterstützen. Die aktualisierte Testbed-Umgebung mit dem SLCS basierend auf dem Shibboleth SP 2.1 und der GridShib CA lässt sich als Proof-of-Concept für die Verwendung der GridShib CA mit Shibboleth 2 sehen. 5 Akkreditierter SLCS für D-Grid Der produktive EUGridPMA-akkreditierte DFN-PKI SLCS befindet sich noch im Entwicklungsstadium. Der DFN-Verein arbeitet an den Certificate Policy/Certification Practices Statements (CP/CPS) für den SLCS, die entsprechende Vorgaben [slcsprofile2.1] für die Akkreditierung [eugridpmaacc] erfüllen müssen. Die Akkreditierung der Online CA ist für Anfang 2009 geplant (kommende EUGridPMA- Treffen: Oktober 2008, Januar 2009, Mai 2009). Neben der Erstellung akkreditierungsfähiger CP/CPS müssen weitere Voraussetzungen geschaffen werden. Die Software der Online CA muss angepasst werden, um die Vorgaben entsprechend der CP/CPS zu erfüllen [dfn-slcs-dentwurf]. Für den produktiven Betrieb wird die Online CA angepasst, so dass sie die vorhandene CA-Infrastruktur des DFN-PKI als CA-Backend nutzen kann. Für die Nutzung zusammen mit einem Grid-Portal muss außerdem der Credential Retriever erweitert werden, so dass dieser automatisch ein Proxy-Zertifikat erzeugt und in einem MyProxy Credential Store hinterlegt, damit dieses vom Portal genutzt werden kann [dfn-slcsdentwurf]. Die Anpassung für die Portal-Nutzung wird für die Akkreditierung nicht benötigt und kann daher zu einem späteren Zeitpunkt nach der Akkreditierung erfolgen. 5.1 SLC mit SAML-Assertions Der Einsatz von SLC dient zwei Aspekten: SLC bilden Identitäten aus IdM-Systemen auf X.509- Zertifikate ab, um diese innerhalb des Grids für die Authentifizierung und Autorisierung nutzen zu können. Zudem ermöglichen SLC den Transport (Push) von Benutzerattributen aus den IdM der Heimatorganisationen (Campus Attribute) integriert in diese in Form einer SAML-Assertion. Für den Start des produktiven SLCS ist die Integration von SAML-Assertions keine zwingende Voraussetzung. Insofern kann und wird hier die Umsetzung in zwei Phasen realisiert. Die erste Phase konzentriert sich auf den Aufbau des SLCS ohne die Integration von SAML-Assertions, um den Dienst möglichst zeitnah realisieren und nutzen zu können. Die Integration der Assertions folgt später in einer 7

8 DGI-2 FG-3.2 Test Authentifizierung und Autorisierung auf Basis von SLC zweiten Phase. Die zwei Phasen ermöglichen eine Nutzung der SLC sobald die Online CA akkreditiert worden ist. Die SLC können für die Authentifizierung und Identitäts-basierte Autorisierung entsprechend bisheriger langlebiger Zertifikate genutzt werden, auch wenn bis zu jenem Zeitpunkt keine SAML-PDP für die eingesetzten Grid-Middlewares existieren. Sobald entsprechende PDP existieren, wird die Integration der Campus Attribute praxisrelevant, insofern Use-Cases für die Campus-Attributbasierte Autorisierung existieren. Nicht allein die technische Umsetzung, sondern auch organisatorische und konzeptionelle Aspekte beeinflussen die Integration der Assertions. Beispielsweise folgende Fragen/Aspekte sind noch offen: Welche Attribute sind sinnvoll nutzbar und von den Nutzern des SLCS/Ressourcen-Betreibern erwünscht? Integration IdM-signierter Assertions erfordert Shibboleth 2.x und umgeht SP AAP: Festlegung eines festen notwendigen Satzes von Attributen oder pauschale Integration aller gelieferten Attribute? Entstehen Datenschutzproblematiken? Sollen Nutzer die Attributauswahl beeinflussen können? SAML1 versus SAML2: Welche Version wird von Assertion-Verbraucher benötigt? Soll die zu integrierende Version wählbar sein? Unterstützung durch die aktuelle GridShib-Software? GridShib-Roadmap (vgl. Abschnitt 6)? Im Rahmen des IVOM-Projektes wurde neben der Integration von Campus Attributen auch die Integration von VO-Attributen in SLC betrachtet. Für das im D-Grid verwendetet VO-Management-Tools VOMS existiert der Service VOMS SAML [vomssaml], der VO-Attribute in Form einer SAML-Attribut- Assertion ausgibt. Es muss noch betrachtet werden, ob und wie diese Assertion in ein SLC eingebunden werden könnte: bei Ableitung von Proxy-Zertifikat versus bei SLC-Erstellung. Laut den Autoren wird VOMS SAML momentan in glite integriert und soll in den kommenden Monaten voll verfügbar sein. 5.2 Nutzung des produktiven SLCS Die Nutzung von durch den produktiven SLCS erzeugten SLC entspricht dem Beispiel aus Abschnitt 3.1. Der SLCS wird innerhalb der Shibboleth-Föderation DFN-AAI-Federation betrieben werden. Identity Provider, die mit dem Dienst genutzt werden sollen, müssen ebenfalls Mitglied dieser Föderation sein. Organisationen und Communities, die den Dienst nutzen wollen, müssen einen solchen IdP betreiben. Die Vorgaben der EUGridPMA für eine SLCS CA sind schärfer als die Regelungen der DFN-AAI. Zur Umsetzung dieser muss jede SLCS-nutzende Einrichtung die zusätzlich nötigen Vorgaben in Form einer entsprechenden DFN-PKI-SLCS-Teilnahmeerklärung akzeptieren und im Betrieb realisieren. Offen ist die Frage, wie bestimmt wird, welche Identitäten eines IdM SLC erstellen können dürfen. Dieses pauschal für jede Identität zu erlauben könnte nicht erwünscht sein. Eine Lösung für diese Frage wäre die Einführung eines speziellen IdM-Attributes SLCS-Nutzer. Dieses könnte einerseits vom SLCS für die Autorisierung für die SLC-Erstellung verwendet werden und würde andererseits den Personenkreis einschränken, für den eine Einrichtung die speziellen Anforderungen an das IdM erfüllen muss. Nutzung mit der D-Grid-Infrastruktur Neben der kurzen Laufzeit von maximal circa 11,5 Tagen existieren aus Sicht der D-Grid-Infrastruktur keine Unterschiede zwischen bisherigen langlebigen Zertifikaten und den SLC. Für die Nutzung des SLC müssen keine Komponenten der Infrastruktur angepasst werden. Lediglich das Zertifikat der neuen Online CA muss den D-Grid-Ressourcen bekannt gemacht werden. Der Subject-DN bleibt für jeden Benutzer konstant über alle erzeugten SLC und wird wie der eines langlebigen Zertifikates verwendet, beispielsweise bei der VO-Anmeldung (DN-Registrierung) im VOMRS/VOMS. 8

9 Test Authentifizierung und Autorisierung auf Basis von SLC DGI-2 FG GridShib Entwicklung Die momentane Entwicklung von GridShib ist primär Projekt-getrieben durch die Weiterentwicklung von TeraGrid [teragrid]. TeraGrid besitzt einen anderen Focus auf die Nutzung von SAML Assertions/GridShib (Push der Authorization Assertion mit Community Credential, Attribut-Pull durch Grid- Ressourcen) als die durch das IVOM-Projekt [ivom] erarbeiteten Ziele für D-Grid. Auch der Focus der Weiterentwicklung von GridShib liegt folglich momentan auf den entsprechenden Komponenten GridShib for GT und den SAML-Tools, jedoch nicht auf der GridShib CA [gsuser04]. Die Roadmap für die Entwicklung der GridShib-Komponenten befindet sich unter [gsroadmap]. 7 Status und Ausblick Die Entwicklung des DFN-PKI SLCS schreitet voran und der Übergang in den Regelbetrieb ist in der ersten Hälfte des Jahres 2009 zu erwarten. Die vorhandene und bisher im Pilotbetrieb erprobte Software muss dazu angepasst werden. Vor allem die Integration von SAML-Assertions in SLC stellt noch eine Herausforderung dar, denn es existieren noch offene Fragen in diesem Bereich und Software- Implementierungen auf Seiten der Assertion-Verbraucher fehlen noch, so dass die im IVOM-Projekt betrachtete Autorisierung anhand von Campus Attributen momentan noch nicht realisierbar ist. Für die Verwendung von Campus Attributen für die Autorisierung im D-Grid fehlen noch entsprechende Konzepte, Use-Cases und PDP der Grid-Middleware. Trotzdem soll der Start des Regelbetriebes des SLCS zeitnah erfolgen, um SLC ohne SAML-Assertions nutzen zu können. Die aktuellen Versionen der GridShib-Komponenten lassen sich unter Berücksichtigung der beschriebene Einschränkungen mit Shibboleth 2 nutzen. Dies spricht für die Anpassung der GridShib CA und ihre Nutzung mit Shibboleth 2, da dies im Vergleich zur vorherigen Version Vorteile bietet, wie beispielsweise die Integration AA-signierter Assertions statt einem Trust-Proxying durch die Online CA. 9

10 DGI-2 FG-3.2 Test Authentifizierung und Autorisierung auf Basis von SLC Abkürzungen AA AAI AAP CA CP CPS DFN DN EUGridPMA HTTP IdM IdP IGTF PDP PKI PMA RA RRZN SAML SLC SLCS SP URI VO VOMS Attribute Authority Authentication and Authorization Infrastructure Attribute Acceptance Policy Certification Authority Certificate Policy Certification Practices Statements Deutsches Forschungsnetz Distinguished Name European Grid PMA Hypertext Transport Protocol Identity Management Identity Provider International Grid Trust Federation Policy Decision Point Public Key Infrastructure Policy Management Authority Registration Authority Regionales Rechenzentrum für Niedersachsen Security Assertion Markup Language Short Lived Certificate Short Lived Credential Service Service Provider Uniform Resource Identifier Virtuelle Organisation Virtual Organization Membership Service 10

11 Test Authentifizierung und Autorisierung auf Basis von SLC DGI-2 FG-3.2 Referenzen [zertifikateimd-grid] Verwendung von Zertifikaten im D-Grid, Version 1.0, , 3.1_Zertifikate_im_D-Grid.pdf [gridshib] [dfn-aai] [dfn-aai_atrribute] [dfn-aai_testidp] [dfn-slcs-dentwurf] [eugridpmaacc] [gb5298] [gsroadmap] [gsuser01] [gsuser02] [gsuser03] [gsuser04] [ivom] [samlcore1.1] [slcsprofile2.1] [teragrid] [vomssaml] GridShib, DFN-Authentifikations-Autorisierungs-Infrastruktur, https://www.aai.dfn.de/ DFN-AAI: Technische und organisatorische Voraussetzungen Attribute, https://www.aai.dfn.de/fileadmin/documents/vertraege/attribute pdf DFN Test-IdP, https://www.aai.dfn.de/foederation/funktionstest/ Funktionale Beschreibung des DFN-Short Lived Credential Service (DFN- SLCS) (Diskussionsentwurf), Version 1.3, EUGridPMA Accreditation Procedures, EUGridPMA-accreditation pdf Interoperabilität und Integration der VO-Management Technologien im D-Grid, Assertions and Protocols fort he OASIS Security Assertion Markup Languafe V1.1, Profile for SLCS X.509 Public Key Certification Authorities with Secured Infrastructure, Version 2.1, , TeraGrid, VOMS SAML Service Subversion Repository: svn.forge.cnaf.infn.it/svn/voms/voms-saml/ 11

Aktuelle Entwicklungen zu GridShib

Aktuelle Entwicklungen zu GridShib Aktuelle Entwicklungen zu GridShib Ralf Gröper und Christian Grimm, RRZN Reimer Karlsen-Masur, DFN 2. D-Grid Security Workshop 27. März 2007 Agenda Das IVOM-Projekt Übersicht GridShib: Komponenten und

Mehr

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur Stefan Marienfeld Fachgebiet Distributed Virtual Reality (DVR) Lehrgebiet Rechnernetze Stefan Marienfeld Gliederung

Mehr

SLCS der DFN-PKI September 2009. Jürgen Brauckmann dfnpca@dfn-cert.de

SLCS der DFN-PKI September 2009. Jürgen Brauckmann dfnpca@dfn-cert.de SLCS der DFN-PKI September 2009 Jürgen Brauckmann dfnpca@dfn-cert.de Überblick Aktuelle Informationen zur DFN-PKI SLCS der DFN-PKI SLCS der DFN-PKI, September 2009 Folie 2 Aktuelle Informationen zur DFN-PKI

Mehr

Sicherheit: Ergebnisse aus D-Grid 1 und Ausblick auf D-Grid 2

Sicherheit: Ergebnisse aus D-Grid 1 und Ausblick auf D-Grid 2 Sicherheit: Ergebnisse aus D-Grid 1 und Ausblick auf D-Grid 2 DGI-2 FG3 Sicherheit 3. Security Workshop Göttingen 1.-2. April 2008 Marcus Pattloch, DFN-Verein Sicherheit im D-Grid (1) Notwendiger Service

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de Grundlagen AAI, Web-SSO, Metadaten und Föderationen Wolfgang Pempe, DFN-Verein pempe@dfn.de DFN-AAI IdP-Workshop, 24./25. Juni 2015, HS Amberg-Weiden Was ist DFN-AAI? AAI Authentifizierung Autorisierung

Mehr

Einführung in Globus 5 Professioneller IT-Betrieb in mittleren und großen Umgebungen

Einführung in Globus 5 Professioneller IT-Betrieb in mittleren und großen Umgebungen 1 Einführung in Globus 5 Professioneller IT-Betrieb in mittleren und großen Umgebungen Florian Zrenner (LRZ) zrenner@lrz.de Übersicht 2 Authentifizierung und Autorisierung - Grid Security Infrastructure

Mehr

Definition von Attributen für die Autorisierung auf D-Grid Ressourcen

Definition von Attributen für die Autorisierung auf D-Grid Ressourcen D-Grid Integrationsprojekt 2 (DGI-2) Fachgebiet 3.2 AAI/VO Definition von Attributen für die Autorisierung auf D-Grid Ressourcen Version 1.0, 21. Juli 2008 1 MANAGEMENT SUMMARY...4 2 ZIEL DIESES DOKUMENTS...4

Mehr

Grid-Computing am LRZ 1. Schritt: GSI-SSH

Grid-Computing am LRZ 1. Schritt: GSI-SSH Grid-Computing am LRZ 1. Schritt: GSI-SSH Dr. Helmut Heller und das Grid-Team Verteilte Ressourcen Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften 14.1.2010 1 Überblick Vorteile von Grid

Mehr

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen Thomas Lenggenhager thomas.lenggenhager@switch.ch Bern, 11. Juni 2010 Übersicht Die Shibboleth basierte SWITCHaai

Mehr

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language. Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo Security Assertion Markup Language Björn Rathjens Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo 1 Einführung

Mehr

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein kaehler@dfn.de

Aufbau einer AAI im DFN. Ulrich Kähler, DFN-Verein kaehler@dfn.de Aufbau einer AAI im DFN Ulrich Kähler, DFN-Verein kaehler@dfn.de Motivation Physiker aus unterschiedlichen Hochschulen sollen auf einen gemeinsamen Datenbestand zugreifen. Mitarbeiter und Studierende einer

Mehr

Shibboleth föderiertes Identitätsmanagement

Shibboleth föderiertes Identitätsmanagement Shibboleth föderiertes Identitätsmanagement M. Sc. Ralf Gröper & M. Sc. Benjamin Henne, RRZN Sicherheitstage, 18.11.2009 Ein Schibboleth Schornsteinfeger Stefan fischt im Nest nach Wurst. Je nach Herkunft

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

Von der Testumgebung zum produktiven Einsatz von Shibboleth

Von der Testumgebung zum produktiven Einsatz von Shibboleth Authentifizierung, Autorisierung und Rechteverwaltung Von der Testumgebung zum produktiven Einsatz von Shibboleth 3. Shibboleth-Workshop Freiburg, 10. Oktober 2006 Bernd Oberknapp, UB Freiburg E-Mail:

Mehr

Raoul Borenius, DFN-AAI-Team hotline@aai.dfn.de

Raoul Borenius, DFN-AAI-Team hotline@aai.dfn.de Shibboleth als technische Grundlage für föderative Angebote Funktionalität und Einsatzbereiche am Beispiel der Authentifizierungs- und Autorisierungs-Infrastruktur des Deutschen Forschungsnetzes (DFN-AAI)

Mehr

Die neue Metadaten- Verwaltung für die DFN-AAI

Die neue Metadaten- Verwaltung für die DFN-AAI Die neue Metadaten- Verwaltung für die DFN-AAI ein Werkstattbericht 57. DFN-Betriebstagung, Oktober 2012 Wolfgang Pempe pempe@dfn.de Inhalt Metadaten und Föderationen Änderungen und Neuerungen (Auswahl)

Mehr

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de

Die Dienste der DFN-AAI. Ulrich Kähler, DFN-Verein kaehler@dfn.de Die Dienste der DFN-AAI Ulrich Kähler, DFN-Verein kaehler@dfn.de Was ist DFN-AAI? AAI Authentifizierung Autorisierung Infrastruktur Seite 2 Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins.

Mehr

Dezentrales Identity Management für Web- und Desktop-Anwendungen

Dezentrales Identity Management für Web- und Desktop-Anwendungen Dezentrales Identity Management für Web- und Desktop-Anwendungen Sebastian Rieger, Thorsten Hindermann srieger1@gwdg.de, thinder@gwdg.de Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen,

Mehr

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung

GecMeGUI. Eine SSO-enabled Cloud WebGUI mit clientseitiger Schlüsselgenerierung GecMeGUI Eine SSO-enabled WebGUI mit clientseitiger Schlüsselgenerierung Hochschule Furtwangen Frank Dölitzscher 04.04.2011 Agenda Web GUI 1. Einführung 2. Absicherung des Service Zugangs 3. Web GUI Sicherung

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Abschlussvortrag zur Bachelorarbeit. Konzeption und Aufbau eines Grid Testlabors am Beispiel des Globus Toolkit 4

Abschlussvortrag zur Bachelorarbeit. Konzeption und Aufbau eines Grid Testlabors am Beispiel des Globus Toolkit 4 Abschlussvortrag zur Bachelorarbeit Konzeption und Aufbau eines Grid Testlabors am Beispiel des Globus Toolkit 4 Halit Alagöz Fachgebiet Distributed Virtual Reality (DVR) Lehrgebiet Rechnernetze H. Alagöz

Mehr

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV

Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV Zugang zu Föderationen aus Speicher-Clouds mit Hilfe von Shibboleth und WebDAV Sebastian Rieger Yang Xiang (Rechenzentrum Garching) Harald Richter (Technische Universität Clausthal)

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

X.509v3 Zertifizierungsinstanz der Universität Würzburg

X.509v3 Zertifizierungsinstanz der Universität Würzburg X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1 Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen

Mehr

Gap-SLC. Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids. VOMS SAML Service prototypische Implementierungen. Task 4, Deliverable D4

Gap-SLC. Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids. VOMS SAML Service prototypische Implementierungen. Task 4, Deliverable D4 Gap-SLC Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids VOMS SAML Service prototypische Implementierungen Task 4, Deliverable D4 Förderkennzeichen 01IG09003A-D Service Grids für Forschung

Mehr

Empfehlungen zur statischen Konfiguration von Firewalls im D-Grid

Empfehlungen zur statischen Konfiguration von Firewalls im D-Grid D-Grid Integrationsprojekt (DGI) Fachgebiet 3-5 Entwicklung und Einsatz von Firewallkonzepten in Grid-Umgebungen Empfehlungen zur statischen Konfiguration von Firewalls im D-Grid Version 1.2, 30. Juni

Mehr

Konzeption einer Anbindung eines Authentifizierungs- Frameworks (Shibboleth) an das Autorisierungssystem einer Grid-Ressource

Konzeption einer Anbindung eines Authentifizierungs- Frameworks (Shibboleth) an das Autorisierungssystem einer Grid-Ressource Bachelor Thesis Konzeption einer Anbindung eines Authentifizierungs- Frameworks (Shibboleth) an das Autorisierungssystem einer Grid-Ressource Frank Kautz Hochschule Darmstadt Hochschule Darmstadt - Fachbereich

Mehr

Self-Service PKI-Lösungen für escience

Self-Service PKI-Lösungen für escience Self-Service PKI-Lösungen für escience von Sebastian Rieger, GWDG Jan Wiebelitz, RRZN sebastian.rieger@gwdg.de wiebelitz@rrzn.uni-hannover.de Gliederung Public Key Infrastruktur (PKI) Grundlagen PKI-Betriebserfahrungen

Mehr

Lokal, national, international: Single Sign-On mit Shibboleth. 9. Sun Summit Bibliotheken Franck Borel, UB Freiburg 13.11.

Lokal, national, international: Single Sign-On mit Shibboleth. 9. Sun Summit Bibliotheken Franck Borel, UB Freiburg 13.11. Lokal, national, international: Single Sign-On mit Shibboleth 9. Sun Summit Bibliotheken 13.11.2007, Frankfurt Übersicht Kurze Einführung in Shibboleth Lokal mylogin an der Universität Freiburg National

Mehr

der Uni Konstanz Server CA in der

der Uni Konstanz Server CA in der Erklärung zum Zertifizierungsbetrieb der Uni Konstanz Server CA in der DFN-PKI - Sicherheitsniveau: Global - Universität Konstanz CPS der Uni Konstanz Server CA V1.0 02.02.2007 CPS der Uni Konstanz Server

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Einsat z von Port al Delegat ion und SAML Assert ions bei der Aut hent ifizierung und Aut orisierung

Einsat z von Port al Delegat ion und SAML Assert ions bei der Aut hent ifizierung und Aut orisierung Einsat z von Port al Delegat ion und SAML Assert ions bei der Aut hent ifizierung und Aut orisierung Projekt Nutzung von kurzlebigen Zertifikaten in Portalbasierten Grids Förderkennzeichen 01IG09003 Service

Mehr

Zusammenfassender Abschlussbericht Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids (GapSLC)

Zusammenfassender Abschlussbericht Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids (GapSLC) Zusammenfassender Abschlussbericht Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids (GapSLC) Förderkennzeichen 01IG09003 A-D B. Fritzsch, J. Falkner, P. Gietz, S. Pinkernell, M. Haase, F.

Mehr

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Version 1.0 vom 10.10.2007 Im Folgenden soll den Benutzern der Zertifizierungsinstanz der Universität Hamburg, der UHHCA, ein Leitfaden

Mehr

Projekt bwidm Vereinfachter Zugang zu Landesdiensten

Projekt bwidm Vereinfachter Zugang zu Landesdiensten Projekt bwidm Vereinfachter Zugang zu Landesdiensten Vortragender: Michael Simon (KIT) Projektleiter: Martin Nußbaumer (KIT) Vision Motivation: Beobachtbarer Trend zu verteilten Diensten in Baden-Württemberg

Mehr

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global - Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI - Sicherheitsniveau: Global - Technische Universität Dortmund CPS der TU Dortmund Chipcard CA V1.3 01.10.2011 1 Einleitung

Mehr

Ein technischer Überblick

Ein technischer Überblick Wie funktioniert Shibboleth? Ein technischer Überblick 3. AAR-Workshop Freiburg, 10. Oktober 2006 Franck Borel, UB Freiburg E-Mail: borel@ub.uni-freiburg.de Übersicht Was ist Shibboleth? Warum Shibboleth?

Mehr

Shibboleth: Grundlagen

Shibboleth: Grundlagen Shibboleth: Grundlagen LANIT Shibboleth Workshop Göttingen, 25.9.2008 Peter Gietz, CEO DAASI International GmbH peter.gietz@daasi.de Agenda Einführung in Föderationen Einführung in Shibboleth Die niedersächsische

Mehr

DFN-AAI in der Praxis. Ulrich Kähler, DFN-Verein kaehler@dfn.de

DFN-AAI in der Praxis. Ulrich Kähler, DFN-Verein kaehler@dfn.de DFN-AAI in der Praxis Ulrich Kähler, DFN-Verein kaehler@dfn.de Was ist DFN-AAI? DFN-AAI ist ein regulärer Dienst des DFN-Vereins. (keine Extrakosten, enthalten in Internet-Dienstentgelten) DFN-AAI schafft

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

Masterarbeit. Policy-based Authorization for Grid Data-Management

Masterarbeit. Policy-based Authorization for Grid Data-Management Masterarbeit Policy-based Authorization for Grid Data-Management Ralf Gröper Agenda 1. Sicherheit im Grid Computing 2. Grid Daten Management in glite 3. Selbstbeschränkung von Benutzerrechten 4. XACML

Mehr

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02.

XML Signature Wrapping: Die Kunst SAML Assertions zu fälschen. 19. DFN Workshop Sicherheit in vernetzten Systemen Hamburg, 22.02. XML Wrapping: Die Kunst SAML s zu fälschen Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit Ruhr-Universität Bochum 19. DFN Workshop

Mehr

Basisanwendung für sichere elektronische Kommunikation in der Bayerischen Verwaltung - 2. Bayerisches Anwenderforum egovernment 2010 14.06.

Basisanwendung für sichere elektronische Kommunikation in der Bayerischen Verwaltung - 2. Bayerisches Anwenderforum egovernment 2010 14.06. Die Bayerische Verwaltungs-PKI Die Bayerische Verwaltungs-PKI Basisanwendung für sichere elektronische Kommunikation in der Bayerischen Verwaltung - 2. Bayerisches Anwenderforum egovernment 2010 14.06.2010

Mehr

Statusbericht und Gap-Analysis: D-Grid Infrastruktur, Middleware und Service Level Agreements D 1.1

Statusbericht und Gap-Analysis: D-Grid Infrastruktur, Middleware und Service Level Agreements D 1.1 Statusbericht und Gap-Analysis: D-Grid Infrastruktur, Middleware und Service Level Agreements D 1.1 Arbeitspaket AP 1: Anbindung an die D-Grid Infrastruktur Veröffentlichungsdatum: 20/11/2009 Verantwortlicher

Mehr

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut

Studentenzertifikate für Online-Dienste der Fachhochschule Landshut Studentenzertifikate für Online-Dienste der Fachhochschule Landshut Die FH Landshut CA Entstanden aus einem Studienprojekt des Fachbereichs Informatik Start Sommersemester 2001 Ziel: CA für FH-Server,

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Single Sign-On / Identity Management

Single Sign-On / Identity Management Ein Überblick Michael Jäger 15. Juni 2010 1 / 55 Inhalt 1 Begriffe Web Single Sign-On Identität und Web-SSO SSO Szenarien Föderative Identitätsverwaltung SSO und SOA 2 Identitätsverwaltungssysteme Überblick

Mehr

Einführung in Shibboleth. 07.02.2008, Stuttgart Franck Borel - UB Freiburg

Einführung in Shibboleth. 07.02.2008, Stuttgart Franck Borel - UB Freiburg Einführung in Shibboleth 07.02.2008, Stuttgart Franck Borel - UB Freiburg Übersicht Was ist Shibboleth? Warum Shibboleth? Wie funktioniert Shibboleth? Attribute Metadaten Föderation 2 Was ist Shibboleth?

Mehr

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management Standardportal 2.0 Implementierung von PVP 2.0 für neue Wege im Federated Identity Management Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum GmbH Inhalt LFRZ GmbH

Mehr

Portalverbundprotokoll Version 2. S-Profil. Konvention PVP2-S-Profil 2.1.2 Ergebnis der AG

Portalverbundprotokoll Version 2. S-Profil. Konvention PVP2-S-Profil 2.1.2 Ergebnis der AG 1 Portalverbundprotokoll Version 2 S-Profil Konvention PVP2-S-Profil 2.1.2 Ergebnis der AG Kurzbeschreibung Das S-Profil von PVP2 verwendet SAML WebSSO für die Authentifizierung von Benutzern mit Webbrowser.

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Office 365 - Authentisierung in der Cloud

Office 365 - Authentisierung in der Cloud Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 - Authentisierung in der Cloud 6. Oktober 2011 Seite 1 Paninfo AG 6. Oktober 2011 Fabrizio Lamari _ Office 365 Agenda 09:00-10:15 Overview Office

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI - Sicherheitsniveau: Global - Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh CPS der GRS CA V2.1 12.07.2011 CPS der GRS CA Seite

Mehr

Neuerungen bei Shibboleth 2

Neuerungen bei Shibboleth 2 Neuerungen bei Shibboleth 2 Shibboleth-Workshop BW Stuttgart, 7. Februar 2008 Bernd Oberknapp Universitätsbibliothek Freiburg E-Mail: bo@ub.uni-freiburg.de Übersicht Aktueller Status Kommunikation IdP

Mehr

Gap-SLC. Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids. Prototypische Umsetzung des Konzepts für die Nutzung von Robot- Zertifikaten

Gap-SLC. Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids. Prototypische Umsetzung des Konzepts für die Nutzung von Robot- Zertifikaten Gap-SLC Nutzung von kurzlebigen Zertifikaten in portalbasierten Grids Prototypische Umsetzung des Konzepts für die Nutzung von Robot- Zertifikaten Task 5, Deliverable D5-2 Förderkennzeichen 01IG09003B

Mehr

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler

Nachnutzung des Windows Login in einer SAML-basierten. Föderation mittels Shibboleth Kerberos Login Handler Nachnutzung des Windows Login in einer SAML-basierten Föderation mittels Shibboleth Kerberos Login Handler 56. DFN-Betriebstagung, Forum AAI Berlin, 13. März 2012 Peter Gietz, Martin Haase, DAASI International

Mehr

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw. GeoXACML und SAML Ubiquitous Protected Geographic Information Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.de Was erwartet Sie in diesem Vortrag? Einleitung OpenGIS Web

Mehr

Federated Identity Management. Dr. Wolfgang Hommel, Leibniz-Rechenzentrum

Federated Identity Management. Dr. Wolfgang Hommel, Leibniz-Rechenzentrum Federated Identity Management Dr. Wolfgang Hommel, Leibniz-Rechenzentrum Überblick Die treibende Kraft hinter Identity Management Unternehmensweites Identity & Access Management Die Motivation für Identity

Mehr

Metadaten. Organisationsstrukturen und Sicherheit in Shibboleth. Authentifizierung, Autorisierung und Rechteverwaltung

Metadaten. Organisationsstrukturen und Sicherheit in Shibboleth. Authentifizierung, Autorisierung und Rechteverwaltung Authentifizierung, Autorisierung und Rechteverwaltung Metadaten Organisationsstrukturen und Sicherheit in Shibboleth 3. Shibboleth-Workshop Freiburg, 10. Oktober 2006 Bernd Oberknapp, UB Freiburg E-Mail:

Mehr

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Infrastruktur: Vertrauen herstellen, Zertifikate finden TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Jan Mönnich dfnpca@dfn-cert.de

Jan Mönnich dfnpca@dfn-cert.de Crypto-Token in der Praxis Jan Mönnich dfnpca@dfn-cert.de Warum Crypto-Token? Auf Crypto-Token werden private Schlüssel nicht extrahierbar gespeichert Crypto-Operationen werden direkt auf dem Gerät durchgeführt

Mehr

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer

Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Benutzerhandbuch für die Zertifizierung mit dem Internet Explorer Mit diesem Handbuch soll den Benutzern der Zertifizierungsinstanz der Leibniz Universität Hannover, der UH-CA, ein Leitfaden zur Zertifikatbeantragung

Mehr

Grid Security Tutorial

Grid Security Tutorial Grid Security Tutorial Christian Grimm, Ralf Gröper, Christopher Kunz, Stefan Piger, Gian Luca Volpato RRZN, Leibniz Universität Hannover Willy Weisz VCPC, Universität Wien Abkürzungen AAI CA CRL CSR EEC

Mehr

Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird

Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird Benutzerhandbuch für die Beantragung und Verwendung von Zertifikaten mit Firefox /Thunderbird Version 1.2 vom 15.09.2014 Diese Anleitung beruht auf dem Benutzerhandbuch der UH-CA der Leibniz Universität

Mehr

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling

Identity Management. Nutzen Konzepte Standards. Dr. Oliver Stiemerling Identity Management Nutzen Konzepte Standards Dr. Oliver Stiemerling ecambria systems GmbH Hospeltstr. 35a 50825 Köln Tel.: 0221 595527-0 Fax.: 0221 595527-5 os@ecambria-systems.com http://www.ecambria-systems.com

Mehr

SimpleSAMLphp als Identity Provider in der DFN-AAI

SimpleSAMLphp als Identity Provider in der DFN-AAI Das Regionale RechenZentrum Erlangen (RRZE) SimpleSAMLphp als Identity Provider in der DFN-AAI F. Tröger Agenda 1. Einsatz an der FAU 2. Installation & Konfiguration 3. Einrichtung IdP Integration in die

Mehr

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel Organisationsübergreifendes Single Sign On mit shibboleth Tobias Marquart Universität Basel Überblick Einordnung von Shibboleth, Abgrenzung zu OpenID Organisatorische und technische Komponenten einer Federation

Mehr

12. Shibboleth-Workshop

12. Shibboleth-Workshop 12. Shibboleth-Workshop 23. Mai 2012 Universität Kaiserslautern Raoul Borenius, DFN-Verein Wolfgang Pempe,DFN-Verein Bernd Oberknapp, Universität Freiburg Ulrich Kähler, DFN-Verein Tagesordnung 12. Shibboleth-Workshop

Mehr

PKI-Lösungen in Windows-Netzwerken

PKI-Lösungen in Windows-Netzwerken Döres AG Stolberger Straße 78 50933 Köln Telefon: 0221-95 44 85-0 Telefax: 0221-95 44 85-80 Internet: www.doeres.com PKI-Lösungen in Windows-Netzwerken Agenda: I. zur Thema Windows PKI: Vorstellung einer

Mehr

SAML Create and Exchange Security Information in Grids

SAML Create and Exchange Security Information in Grids SAML Create and Exchange Security Information in Grids Morris Riedel, Forschungszentrum Juelich (FZJ), Juelich Supercomputing Centre (JSC), Germany OMII Europe Leader Infrastructure Integration Task OMII

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

Zwischenbericht I der TU Dortmund

Zwischenbericht I der TU Dortmund D-Grid IaaS - Erweiterung der D-Grid Basis für die kommerzielle Nutzung Zwischenbericht I der TU Dortmund Datum 14. Januar 2011 Version 1.0 Status Referenz Final Autoren: Stefan Freitag (Technische Universität

Mehr

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover, 19. 2. 2008

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover, 19. 2. 2008 AAI in TextGrid Peter Gietz, Martin Haase, Markus Widmer IVOM-Workshop Hannover, 19. 2. 2008 Agenda Anforderungen von TextGrid Architektur AAI TextGrid und IVOM Peter Gietz 19. Februar 2008 Folie 2 Motivation

Mehr

Begrüßung & zur Sicherheitslage

Begrüßung & zur Sicherheitslage Begrüßung & zur Sicherheitslage Hergen Harnisch harnisch@rrzn.uni hannover.de Hergen Harnisch, Begrüßung & zur Sicherheitslage, 20. November 2012 Seite 1/25 Programm Montag 19.11.12 09:15 10:00 Sicherheitslage

Mehr

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich dfnpca@dfn-cert.de

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich dfnpca@dfn-cert.de Die neue RA-Oberfläche der DFN-PKI Jan Mönnich dfnpca@dfn-cert.de Die Registrierungsstellen in der DFN-PKI heute 48. Betriebstagung des DFN-Vereins Folie 2 Web-Schnittstelle Momentan Bedienung der RA über

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

Anleitung zur Nutzung von OpenSSL in der DFN-PKI Anleitung zur Nutzung von OpenSSL in der DFN-PKI Kontakt: Allgemeine Fragen zur DFN-PKI: Technische Fragen zur DFN-PKI: pki@dfn.de dfnpca@dfn-cert.de DFN-Verein, Januar 2008; Version 1.2 Seite 1 1 OpenSSL

Mehr

Grundlagen des Grid Computing

Grundlagen des Grid Computing Grundlagen des Grid Computing Webservices und Grid Computing Globus Toolkit 4 - Grundlagen ICA Joh.. Kepler Universität t Linz Eine Typische Grid-Applikation (Beispiel) VO Management Service Resource Discovery

Mehr

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Mehr

Virtual Desktop Infrasstructure - VDI

Virtual Desktop Infrasstructure - VDI Virtual Desktop Infrasstructure - VDI Jörg Kastning Universität Bielefeld Hochschulrechenzentrum 5. August 2015 1/ 17 Inhaltsverzeichnis Was versteht man unter VDI? Welchen Nutzen bringt VDI? Wie funktioniert

Mehr

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Verwendung der bereitgestellten Virtuellen Maschinen»Einrichten einer Virtuellen Maschine mittels VirtualBox sowie Zugriff auf

Mehr

Integration of D-Grid Sites in NGI-DE Monitoring

Integration of D-Grid Sites in NGI-DE Monitoring Integration of D-Grid Sites in NGI-DE Monitoring Steinbuch Centre for Computing Foued Jrad www.kit.edu D-Grid Site Monitoring Status! Prototype D-Grid Site monitoring based on Nagios running on sitemon.d-grid.de

Mehr

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit

DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit DFN-Cloud aus Sicht eines Service Providers... mit Verzeichnisdienstvergangenheit Dr. Thomas Hildmann tubit IT Service Center ZKI AK Verzeichnisdienste 2015 Agenda 1. Vorstellung der DFN-Cloud Lösung 2.

Mehr

Grundlagen des Grid Computing

Grundlagen des Grid Computing Grundlagen des Grid Computing Grid Middleware Toolkits: Advanced Resource Connector (ARC) ICA Joh.. Kepler Universität t Linz Advanced Resource Connector Entwickelt durch die NorduGrid Collaboration Skandinavische

Mehr

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S

Mehr

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA). Inhaltsverzeichnis 1 Einleitung...2 1.1 Identifikation des Dokuments...2 2. Zertifikate...2 2.2 Server-Zertifikate...2 2.2.1 Antrag...2 2.2.1.1 Erzeugung des Antrags...3 2.2.1.1.1 Erzeugung des Antrags

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA 1 EV

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Technische Grundlagen und Anforderungen

Technische Grundlagen und Anforderungen Technische Grundlagen und Anforderungen Thomas Kessler, In&Out AG 28. März 2001 1 Inhalt Public Key Kryptographie Verschlüsseln und signieren Das PKI Puzzle Anwendungsfälle und deren Anforderungen Advanced

Mehr