AbstractsBiology & Animal Science

Proporcionando acceso federado y SSO a servicios de internet mediante kerberos e infraestructuras AAA = Providing federated access and SSO to internet services by means of kerberos and AAA infrastructures

by Alejandro Pérez Méndez




Institution: Universidad de Murcia
Department:
Year: 2015
Keywords: Servicios Web; Informática-Tecnología; Ingeniería
Record ID: 1125167
Full text PDF: http://hdl.handle.net/10803/287163


Abstract

A día de hoy las federaciones de identidad para servicios web y para el acceso a la red están bastante asentadas y aceptadas. Pero, ¿qué ocurre con otros tipos de servicio que no soportan estas tecnologías? El objetivo de esta tesis es diseñar soluciones que permitan el establecimiento de federaciones de identidad más allá del Web, evitando los problemas que presentan las soluciones disponibles en el estado del arte. Para ello se han analizado y seleccionado un conjunto de tecnologías asociadas al control de acceso que, una vez integradas, proporcionan la funcionalidad completa deseada: • Kerberos, para realizar el control de acceso a los servicios de aplicación, dadas las grandes cualidades que presenta (seguro, ligero, SSO, etc.), su amplio despliegue y su gran rango de servicios y sistemas operativos soportados. • Infraestructuras AAA, para el soporte de federación, por su amplio uso para proporcionar acceso federado a la red (p.ej. eduroam). • SAML, para el soporte de autorización, por su gran historial de éxito y amplio despliegue en federaciones basadas en Web. Por tanto, el objetivo general de esta tesis puede expresarse como: Analizar, diseñar y validar soluciones que permitan a los usuarios obtener credenciales Kerberos para un proveedor de servicios específico, como resultado de un proceso de autenticación realizado a través de una federación AAA y de un proceso de autorización basado en el intercambio de sentencias SAML con la organización origen. Este objetivo se ha abordado de tres formas diferentes, dependiendo del escenario de uso, dando lugar a tres sub-objetivos más específicos: 1. Diseñar una solución que permita la generación de credenciales Kerberos mediante la integración directa de las infraestructuras Kerberos y AAA en el proveedor de servicios. 2. Diseñar una solución que permita la generación de credenciales Kerberos mediante el uso de un protocolo auxiliar (out-of-band) que haga uso de la infraestructura AAA para autenticar al usuario. 3. Diseñar una solución que permita la generación de credenciales Kerberos como consecuencia del proceso de autenticación federada en la red. Además, se definen los siguientes sub-objetivos transversales: 4. Diseñar un modelo de autorización que permita la distribución de información de autorización a través de la infraestructura AAA. 5. Validar las soluciones diseñadas mediante modelos analíticos e implementación de prototipos. A fin de cumplir con estos objetivos, esta tesis define tres soluciones al problema planteado: • FedKERB integra las infraestructuras Kerberos y AAA mediante la definición un nuevo mecanismo de pre-autenticación para Kerberos basado en tecnologías como GSS-API y EAP (objetivo 1). Además, incluye la posibilidad de realizar una autorización avanzada mediante la generación y el transporte de una sentencia SAML desde el IdP de la organización origen hasta la infraestructura Kerberos del proveedor de servicios (objetivo 4). • PanaKERB define una alternativa a FedKERB que no requiere la modificación del mecanismo de pre-autenticación de…