OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

Transkript

1 OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur Markus Grandpré Andreas Merkel Giovanna Ratini 2. Shibboleth Workshop in Freiburg Uni Konstanz, Rechenzentrum

2 Freie Software zum Aufbau einer Public Key Infrastruktur (PKI) Basiert auf den kryptografischen Funktionen von OpenSSL, OpenLDAP (öffentliches Repository), DBI (SQL-DB-Anbindung) und dem Apache-Web-Server Produktiver Einsatz in mehreren Organisationen DB (DB-Sync über DB-Files) DB 1 = Cisco Simple Certificate Enrollment Protocol CA Ausstellung & Rückruf von Zertifikaten; CRL-Erstellung Batch Automatisiertes Ausstellung von Zertifikaten im Batch-Betrieb Node Datenaustausch zwischen CA und RA Zertifikats- Anträge (CSR) Zertifikate, Sperrlisten (CRL) Node Datenaustausch zwischen CA und RA LDAP RA Identifikation der Antragsteller; Prüfen & Freigabe von CSR und CRL SCEP Ausstellung & Rückruf von Zertifikaten per SCEP 1 pub Benutzer-Interface Für das Handling von Zertifikaten (CSR, CRL & ggf. Schlüssel) Zertifikate, Sperrlisten (CRL) Nutzerdaten bzw. PKCS#12 LDAP (Repository) OpenCA - Funktionen, Interfaces und Architektur Uni Konstanz, Rechenzentrum

3 Zugriffskontrolle auf die Module erfolgt dreistufig: Zugriffskanal (Channel: http/https) Login per UserID/Passwort oder Nutzer-Zertifikat Rolle Module bzw. Interfaces Gewählte Login Art Rolle Zugriffschutz mit Schibboleth CA (Certification Authority) CA Operator Nein RA (Registration Authority) NODE LDAP SCEP PUB Ohne UserID/Passwort User OpenCA - Rollen und Interface - Zugriffskontrolle Uni Konstanz, Rechenzentrum

4 Mit Shibboleth Sichere Authentifizierung gegen einen zentralen IdP Wahlweise mit UserID/Passwort oder mit X509 Nutzer-Zertifikaten Sichere Datenquelle Benutzerdaten werden direkt aus unserer Benutzerdatenbank in das Repository des IdP übertragen OpenCA Teil eines uni-weiten SSO- Service User braucht sich nur einmal an einem Service-Portal anmelden Ohne Shibboleth Lokale Benutzerverwaltung Mehraufwand für die Programmierung zur sicheren Authentifizierung gegen eine externe Benutzerdatenbank Unsichere Datenquelle Anwender gibt seine persönlichen Daten selbst über das Web-Frontend (Browser) ein Dedizierte UserID/Passwort Paare Nutzer muss sich für jede Anwendung eigene Zugangskennungen mit (hoffentlich) unterschiedlichen Passworten merken OpenCA - Vorteile der `Shibbolethisierung Uni Konstanz, Rechenzentrum

5 Keine Code Änderungen in Shibboleth erforderlich OpenCA Rolle wurde in das Schema-Attribut <Description> abgebildet Anpassungen nur in der Anwendung OpenCA selbst: Definition eines neuen Login-Typs <Shibboleth> (node.xml) Abbildung der entsprechenden OpenCA-Rolle (z.b. ) in das Schema-Attribut <Description> Änderungen im Source Code zur Implementierung des neuen Login-Typs <Shibboleth> Änderungen im Source Code zur Implementierung des neuen IO-Moduls zur Datenübernahme aus dem IdP-Repository Programmierung erfolgte unter der Anleitung von Giovanna Ratini von Markus Grandprè vorgenommen und mit einem der OpenCA Entwickler (Michael Bell) abgestimmt; die o.g. Funktionen wurden der OpenCA Entwicklergemeinde zur Verfügung gestellt. Anpassungen in OpenCA und Shibboleth Uni Konstanz, Rechenzentrum

6 1 User zu OpenCA Remote/lokaler Nutzer WWW-Browser (IE, Mozilla, etc.) PC (>= W2K); MAC (OS X) Shibboleth Service Provider OpenCA (DFN? Uni Konstanz ) 2 Shib -> zu WAYF Shibboleth WAYF 3 User sagt welche Universität 4 WAYF meldet sich zu IDP Shibboleth Identity Provider Uni-Konstanz 7 Shib. shickt Auth & Attribute zu Service Provider 5 IDP macht Authent durch Zert oder Login PW gegenüber OpenLDAP OpenLDAP 6 Shibboleth Verhandlungen Shibbiloth Login bei der Anwendung OpenCA Uni Konstanz, Rechenzentrum