Deploying Authorization Mechanisms for eduroam (DAMe)

1
Deploying Authorization Mechanisms for eduroam
(DAMe)

• Óscar Cánovas
• (ocanovas_at_um.es)
• Universidad de Murcia

2
Contenidos

• Introducción
• Puntos de partida
• Objetivos específicos

3
Introducción

• DAMe es un proyecto basado en trabajos previos de
  TERENA, Internet 2 y la Universidad de Murcia
• eduroam, como resultado de la actividad de la
  TERENA Mobility Task Force, el cual define una
  arquitectura de movilidad entre las NREN basada
  en servidores AAA (RADIUS) y el estándar 802.1X
• Shibboleth, un mecanismo de federación
  ampliamente utilizado.
• eduGAIN, la infraestructura de autenticación y
  autorización del proyecto GEANT 2 (GN2).
• NAS-SAML, un sistema de control de acceso a la
  red para entornos AAA desarrollado por la
  Universidad de Murcia y basado en SAML (Security
  Assertion Markup Language) y XACML (eXtensible
  Access Control Markup Language).

4
Objetivos generales

• Definir una arquitectura global para el control
  de acceso a la red basado en credenciales de
  autorización (NAS-SAML)
• Definir alternativas de uso para ofrecer mayor
  flexibilidad a los usuarios
• Identificar el conjunto de políticas de la
  arquitectura y dar una solución para su
  representación
• Establecer la interoperabilidad de sistemas
  heterogéneos
• Definir una arquitectura genérica y extensible
  para ser aplicable a servicios de alto nivel

5
Escenario de aplicación

• Viaja a otra universidad por motivos de trabajo
• Conexión a la red en diferentes lugares
• Universidad origen/destino, tren, avión, etc
• Hace uso de las últimas tecnologías
• Consciente de los riesgos del uso de Internet
• Dispuesta a usar herramientas para ofrecer
  seguridad
• Problemas en manejo de claves, certificados, etc
• Capaz de comprender conceptos como
• Sensibilidad de la información transmitida
• Existencia de diferentes redes de acceso
• Propiedades de alto nivel sobre redes (QoS, etc)
• Conexión en base a inf. de autenticación y
  autorización
• No se requiere elevada participación ni elevados
  conocimientos técnicos

6
Intradominio Campus Universitario
pertenece al campus?

?

puede usar el servicio?

• Los usuarios están previamente registrados en el
  sistema
• Relación estable entre usuarios, organización y
  servicios
• No aparecen organizaciones externas

7
Interdominio Intercampus Universitario
Acuerdos para compartir servicios

• Alicia podría usar la red en Universidad B
• Autenticada en Univ. B (método de autenticación)
• Autorizada en Univ. B, pero usando los atributos
  definidos en Univ. A
• Relaciones estables y duraderas
• Formato común para información de autorización,
  en caso contrario

8
Interdominio Entornos Heterogéneos
Acuerdos para compartir servicios

• Carlos está autorizado en Univ. B, usando los
  atributos definidos en Univ. C
• Las credenciales de autorización se basan en otro
  formato distinto al usado en Univ. B
• Distintos criterios a la hora de representar los
  atributos
• Por tanto, es necesario
• Definir proceso de traducción o conversión de
  credenciales.
• Definir entidades responsables
• Política de conversión

9
Contenidos

• Introducción
• Puntos de partida
• Objetivos específicos

10
Punto de partida eduroam

• Objetivo
• abre tu portátil y estás conectado, donde sea
• Construir una infraestructura de autenticación
  interoperable, escalable y segura que podrá ser
  utilizada en todo el mundo para compartir
  recursos de red
• Fundamentos
• Basado en acceso recíproco (gratuito)
• Para la comunidad de NRENs
• La autenticación se realiza en el dominio origen
• La autorización en la institución visitada

11
Punto de partida eduroam
Supplicant
RADIUS server University B
RADIUS server University A
Authenticator (AP or switch)
User DB
User DB
Alicia alicia_at_um.es
RedIris
Commercial VLAN
Employee VLAN
Central RADIUS Proxy server
Student VLAN

• Trust based on RADIUS plus policy documents
• 802.1X
• (VLAN assignment)

signalling
data
12
Idea clave usar el sistema NAS-SAML
Dominio origen
13
Ejemplo de funcionamiento NAS-SAML
Dominio destino
Dominio origen
14
Contenidos

• Introducción
• Puntos de partida
• Objetivos específicos

15
Objetivos del proyecto DAMe

• Primer objetivo Extensión de eduroam usando
  NAS-SAML
• La movilidad del usuario estará controlada por
  sentencias y políticas expresadas en SAML y XACML
• Implicará una mejor interoperabilidad entre
  organizaciones (lenguaje común)

Attribute Authority
Policy Decision Point
XACML
XACML
Alicia alicia_at_um.es
data
Signaling
SAML
16
Objetivos del proyecto DAMe

• Primer objetivo Extensión de eduroam usando
  NAS-SAML
• Actividades destacadas
• Análisis de los atributos de usuario a considerar
  para el control de acceso
• Especificación de las políticas relevantes para
  la movilidad de los usuarios
• Diseño de escenarios compatibles con el estado
  actual de eduroam
• Desarrollo de un traductor RADIUS-DIAMETER
• Desarrollo de una interfaz de usuario amigable
  para la gestión de las políticas de autorización

17
Objetivos del proyecto DAMe

• Segundo objetivo Uso de eduGAIN para
  autenticación y autorización
• eduGAIN es la AAI de GN2
• eduGAIN permite conectar federaciones que usan
  sistemas distintos
• NAS-SAML ya ha sido integrado con sistemas
  basados en X.509 AC

18
Objetivos del proyecto DAMe

• Tercer objetivo Single Sign On (SSO) Global
• Los usuarios serán autenticados sólo una vez,
  durante el acceso a la red
• La autenticación eduGAIN será lanzada a partir de
  NAS-SAML
• Se necesitan nuevos métodos PEAP para poder
  suministrar información sobre las credenciales,
  así como un nuevo middleware.

19
Objetivos del proyecto DAMe

• Cuarto objetivo Autorización para servicios de
  alto nivel

20
Información adicional

• Página WWW del proyecto
• http//dame.inf.um.es

21
Deploying Authorization Mechanisms for Federated
Services in the eduroam architecture (DAMe)

• Óscar Cánovas
• (ocanovas_at_um.es)
• Universidad de Murcia