Aplicación de LDAP como método de autenticación en entornos de Cloud Privada
Application of LDAP as authentication method in Private Cloud environments
Ver/ Abrir
Identificadores
URI: http://hdl.handle.net/10902/12184Registro completo
Mostrar el registro completo DCAutoría
Abascal Crespo, AlejandroFecha
2017-10-27Director/es
Derechos
Atribución-NoComercial-SinDerivadas 3.0 España
Resumen/Abstract
RESUMEN: En este trabajo se hace uso de un servicio de directorio (LDAP) como servicio autentificador para un sistema basado en la nube (OpenStack). Es un trabajo centrado en el aspecto práctico y es totalmente reproducible.
A la hora de desplegar OpenStack nos encontramos con múltiples soluciones dependiendo del sistema anfitrión sobre el que se instala. Al ser un estudio eminentemente práctico, los recursos existentes en los laboratorios recomendaban el despliegue de OpenStack sobre el sistema operativo XenServer, el cual incluye su propio hipervisor. Sin embargo, tras múltiples intentos, se demostró que la integración de ambos sistemas, está lejos de ser perfecta. Los principales problemas se traducen en fallos en la estabilidad y el bloqueo de determinadas funcionalidades.
Como alternativa se ha procedido a hacer un despliegue, considerado por OpenStack como estándar, sobre sistemas operativos Linux. Partiendo de esta configuración típica, se procedió a introducir un servicio de directorio adaptado para su introducción dentro de entorno de OpenStack como sistema alternativo de autentificación de usuarios, ya que provee funcionalidades muy interesantes que no aparecen en OpenStack por defecto, como es la introducción de una capa adicional de seguridad implementada con TLS y su aislado mediante capas adicionales de cortafuegos adaptados.
El sistema de autentificación global así implementado se comporta como un sistema multi-dominio, en el que existe el dominio por defecto con los servicios de OpenStack y un segundo dominio LDAP en donde se ubican los usuarios. La consecuencia directa es la posibilidad de establecer diferentes niveles de acceso, ya no solo por tipos de usuarios, sino también por tipos de servicios solicitados.
Todo el sistema ha sido implementado y probado mediante el desarrollo de casos de uso. En concreto, se han diseñado un par de laboratorios virtuales mediante los cuales se demuestra como la autentificación en capas independientes posibilita la ejecución automática de laboratorios virtuales adaptados directamente por parte de los usuarios. Los ejemplos planteados permiten arrancar máquinas especializadas sobre diferentes redes virtuales, permitiendo simular un entorno completo de red sobre el cual probar, por ejemplo, conceptos básicos relacionados con la ciberseguridad.
ABSTRACT: In this project a directory service (LDAP) is used as a mean of authentication for a system based on the cloud (OpenStack). This work is focused on the practical aspect and is fully reproducible.
At the time of deploying OpenStack we find multiple solutions depending of the host system on which is installed. In this study, being eminently practical, the existing resources in labs recommend the deployment of OpenStack on the XenServer OS, which includes its very own hypervisor. However, after many tries, it was proven that the integration of both systems, it is far from perfect. The main problems are translated on stability issues and the blocking of certain functionalities.
As an alternative a deployment has been made, considered by OpenStack as standard, on the Linux OS´s. Starting from this typical configuration, we proceeded to introduce a directory service adapted for its introduction in the OpenStack environment as an alternative system of user authentication, since it provides very interesting functionalities that do not appear in OpenStack by default, such as the introduction of an additional layer of security implemented with TLS and its isolation through additional layers of adapted firewalls.
The global authentication system thus implemented behaves as a multi-domain system, in which there is the default domain with the OpenStack services and a second LDAP domain where the users are located. The direct consequence is the possibility of establishing different levels of access, not only by types of users, but also by types of services requested. The whole system has been implemented and tested through use case development. In particular, a pair of virtual laboratories have been designed by which it is demonstrated how the authentication in independent layers allows the automatic execution of virtual laboratories adapted directly by the users. The examples presented allow to start specialized machines on different virtual networks, allowing to simulate a complete network environment on which to test, for example, basic concepts related to cybersecurity.