Centre de Calcul de l Institut National de Physique Nucléaire et de Physique des Particules Migration Kerberos V Présentation rapide
Rappel : Pourquoi Kerberos V AFS utilise KAS (~ Kerberos 4) 5 > 4 => Kerberos 5 > Kerberos 4 Kerberos 4 => seulement support de Data Encryption Standard. 11/05/2011 2
Etat actuel de la plateforme Kerberos V 2 serveurs Solaris (ccafs0[67].in2p3.fr) 11/05/2011 3
Etat actuel de la plateforme Kerberos V 2 serveurs Solaris (ccafs0[67].in2p3.fr) Plateforme utilisée pour : Batch GE Connexion aux machines de services (tsm, openstack, ) Délégation de privilèges via remctl (création de repository puppet, ) 11/05/2011 4
Etat de la plateforme Kerberos V au 3 mars 2015 3 serveurs Linux (cckrb0[123].in2p3.fr) 11/05/2011 5
Etat de la plateforme Kerberos V au 3 mars 2015 3 serveurs Linux (cckrb0[123].in2p3.fr) Plateforme utilisée pour : Batch GE Connexion aux machines Délégation de privilèges via remctl Accès AFS authentifiés 11/05/2011 6
Changements à venir AUCUN changement à venir 11/05/2011 7
Changements à venir AUCUN changement à venir (ou presque) 11/05/2011 8
Changements à venir Mot de passe Token AFS Mot de passe * Ticket Kerberos Token AFS 11/05/2011 9
Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) 11/05/2011 10
Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) 11/05/2011 11
Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) Dans un premier temps, plus de notion de «lock après N tentatives». 11/05/2011 12
Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. 11/05/2011 13
Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. 11/05/2011 14
Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. Obtention d'un ticket Kerberos de façon transparente (permet d'utiliser la fonctionnalité SSO) 11/05/2011 15
Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. Obtention d'un ticket Kerberos de façon transparente (permet d'utiliser la fonctionnalité SSO) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) 11/05/2011 16
Changements à venir : rappels AUCUN changement à venir (ou presque) Logon en charge de la création des utilisateurs 11/05/2011 17
Changements à venir : rappels AUCUN changement à venir (ou presque) Logon en charge de la création des utilisateurs Aucun changement côté G.E 11/05/2011 18
Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. 11/05/2011 19
Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. Après midi (4hr), les administrateurs de services du CC peuvent commencer leurs opérations => remontée de comportements anormaux 11/05/2011 20
Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. Après midi (4hr), les administrateurs de services du CC peuvent commencer leurs opérations => remontée de comportements anormaux 18hr : Champagne (qui dort au frais depuis +10 ans) :-) 11/05/2011 21