Leif's BCP

Moving on...

After working for Stockholm university for god knows how many years it has become time to pursue other things. On 1/9 I'll be working for NORDUnet and SUNET where I'll mainly work on SUNET middleware and identity activities.

I will miss my collegues at IT and media very much indeed.

'This blog will be moved to blogs.mnt.se where I will continue to cover topics related to Internet and identity.

LDAP - the corpse arises!

Last night a few old ldap hands (Ludo, Kurt, me, Alexei and a guy from Nokia I didn't catch the name of) sat down over beers and talked about what (if any) outstanding work might warrant a WG for LDAP standards work in the IETF.

We came up with a bit of a list - some updated extensions, some schema work and a couple of off-the-cuff ideas. The plan is to get I-Ds submitted in time to get a real BOF or even WG in SF.

a ('nother) use-case for v6?

My collegue Mika Tihinen came back from TechEd all worked up over an idea of talking to your DC using host2host ipsec over v6 - using teredo where there is no native v6. I paired him up with Fredrik Pettai at NorduNET NOC who has been thinking about setting up local teredo resources at SUNET/NORDUNET. According to unverfied numbers Tele2 are seeing ~1Gbps traffic through their Teredo relay. This would solve a long-standing problem of allowing users easy access to their company resources from home wo resorting to hostnet vpn tunnels which are horrible.

spocp lives!

I got the chance to reference spocp at the PKIX meeting at IETF-73 just now. I saw what looked a lot like s-expression comparison as a way to trace security labels for CAs. Hope somebody acts on my tip cause it would be a shame if these guys re-invented spocp just because we didn't manage to get the I-Ds published back in 2004.

ddx

Last Sunday saw the launch of the ISOC/Internet2 DKIM Deployment Experiment. The idea is to try o deploy DKIM together with VBR and existing identity federations such as InCommon and SWAMID with the view to finding value to end-users. We started out writing user stories this last Sunday.

MSFT stödjer SAML v2.0

As an exception to the rule this will be in Swedish. For any English readers out there this is about MSFT release of SAMLv2 support in Geneva and you can get info about that on Google :-)

Detta att MSFT stödjer någon mysko teknologi kan verka som om det är av marginellt intresse men vad det egentligen handlar om är att tom MSFT har insett att standarden for e-identitet heter SAML v2.0. Fredrik Ljunggren och jag presenterade nyligen på Internetdagarna och stack då ut huvudet och sa att MSFT skulle komma att stödja SAMLv2. Hurra för oss!

Deras Geneva-server har implementerats med stöd av Scott Cantor som gör Shibboleth-implementationen av SAML v2.0. Scott ingår i Internet2 MACE som samordnar mycket av detta. Google betalar för mycket av Scotts arbete men han jobbar på Ohio State U.

Läs mer: http://self-issued.info/?p=90

Notera att US Government GSA profile stödjs. Fredrik Ljunggren och jag hänvisade till denna profil på Internetdagarna och den är alltså basen för den federala id-federationen.

Detta betyder alltså att en AD-installation är en "wizard" bort från att ha en SAML v2.0 IdP som kan samverka med eGoverment/eScience baserat på SAML v2.0.

Geneva är gratis.
Svensk e-legitimation kostar miljoner i integrationskostnader för varje ny myndighet.

Man behöver inte vara raketforskare för att dra slutsatser av detta. Så mycket mer övertygande än såhär blir det nog inte :-)

ITIL @ Cornell

I'm finding myself warming up a bit to ITIL as a way to find a common language for talking about IT service management. Right now I'm at a seminar at EduCause 2008 on how ITIL was partially implemented at Cornell.

These guys are normal higher-education-IT-types as opposed to the avalanche of ITIL-consultants who will body-slam you if you so much as breathe "ITIL" in a public place. This is probably the good example of successful ITIL in higher-education I've been looking for but have so far failed to find.

Another thing that strikes me is how much of the ethos of the core ITIL processes we have already talked about and acted on at Stockholm university. Case in point: our use of SVN and CVS to manage configuration which means our changes are trackable, reviewable and inherently reversable.

Some quotes:

Do not let processes stifle creativity!
Take what works and throw away the rest!

LADOK+KS?

The LADOK crowd is here and they have been meeting with Kuali Student (yesterday). I got them invited to tonights "Opensource Reception" featuring some of the major players - Sakai, Kuali, D-Space, Fedora Commons, JA-SIG, etc. I think it would be really great if a major national student management project (like LADOK) would take a serious look at, influence and perhaps some day move over to Kuali Student. The combined body of experience has to be good for everyone!

SOA DOA?

Sat in on a pretty low-level presentation on SOA featuring fellow MACEoid Jens Heusser. The trend - at least according to one of the prsenters - seems to be to move away from traditional "enterprisey" technology like SOAP and WSDL to more "2.0" things like REST and JSON. Personally whenever I hear anybody wield the "L-word" (lightweight) I get LDAP flashbacks and it scares me that the same broken arguments based on superficial notions of simplicity should sway people to this day. I wanted to get up and ask the second presenter about how they do security for their RESTful services but realized that the question in itself wasn't 2.0.

EA @ Orlando

EduCause 2008, Orlando, Tuesday.

Today is the first day of pre-conference sessions at EduCause here in Orlando. Yesterday was spent working with two of my colleagues from Stockholm university. I have decided to spend the day on a full day seminar on Enterprise Architecture. I'm curious about the relationship with MDA and the ITANA group.

Cracking Nuts

After the federation soup meeting (and the real reason I decided to go to Seattle this week) a few hard-core SAML weenies gathered in a conference room at University of Washington to discuss technical aspects of interfederation and SAMLv2.Since the event followed on federation soup it was jokingly referred to as federation nuts

Specifically we have decided to produce a small set of specifications profiling the SAMLv2 Web SSO specification, SAMLv2 metadata and dynamic SAML discovery and trust.

We are basing the Web SSO profile work on the federal e-gov profile but we are simplifying their model at a few critical points. Stay tuned for updates!

In the Soup

I'm spending time at an I2-sponsored event focusing on interfederation issues. Representing part of the international outlook at an event which is mostly focusing on the evolving landscape of identity federations in the US.

The real reason I'm in Seattle this week is because I raised the idea to convene a small group of people to work on a "standard model" for federation peering at the recent Internet2 Member Meeting in DC. I recently blogged about the risk of falling off the brink into a model for federation peering which would look a lot like an Internet based on NATs. A few days ago the EU IDABC eID interoperability architecture was published. It is all based on SAML v2 which is good but also based on the deployment of a single point of failure for all SAML messages to cross national borders in Europe which isn't.

It is critical that the identity community figures out a way to architect federation peering without gateways. I'm hoping for some progress here in Seattle towards consensus around end2end for identity.

The four horsemen of the apocalypse - Josh H goes medieval on edugain at TNC 2008

In his keynote address at the TNC conference in Brugge yesterday Josh Howlett of Ja.NET listed the EduGAIN approach to identify interfederation (which is based on the use of gateways) under the heading "The four horsemen of the Apocalypse".

For those of you who don't know your biblical reference the four horsemen are: war, famine, pestilence and death. This is not a good club to be in.

To make that presentation to a crowd, half of which comes from GEANT2 which funds (among other things) EduGAIN, takes some big furry balls.

When listening to the presentation about EduGAIN later in the day I was suddenly struck with the realization just how much useful work could have been done with the amount of resources that have been spent on EduGAIN.

Let us examine what EduGAIN has produced thus far:

a clickable-map-based discovery service
a java-based SP for SAML 1.x
a metadata aggregator
some policy and CA configuration

I would argue that of these things only the SP is even remotely original. Much of the time has been spent (at least by the developers) in implementing SAML from scratch in java.

Imagine if all of that talent and all of those resources would have been applied to forwarding existing java-based opensource implementations of SAML..! Maybe then Shibboleth 2.0 would have been out earlier. Maybe it would have come with a java-based SP already...

The wastefulness of it all makes me angry.

TNC 2008 - Beyond Wireless Connectivity

I'm a frustrated attendee of the Terena Networking Conference, subtitled "Beyond Connectivity". As so often happens at networking conferences the network sucks. The IETF understood this some time ago and decided to outsource the running of the network to people who do it for a living (TM).

This illustrates a problem with higher-education networking and computing in general: we are not good at picking the time when our discoveries turn into business and when we the discoverers would be better off buying the services we once discovered.

Having a sucky wireless network is one thing. One can only hope it ends there.

RUC at SU

I'm having people from RUC over for a visit today!

I2 Spring MM Arlington

The spring Internet2 member meeting is traditionally held in the same hotel on the outskirts of DC (close to the Pentagon actually) in Arlington, Virginia. By comparison with TREFpunkt (the SUNET counterpart of this meeting) the I2 member meetings usually has a solid set of sessions on middleware and services which is nices but as usual the important thing is the hallway discussions.

A few of the players in the interfederation field are here and I think we may be close to beeing able to write down a consensus-based model on what interfederation should look like on a technical level. The current siituation with MDS, EduGAIN and bridging elements (BEs) makes me feel like we're standing on the edge of a cliff ready to plunge head first into a NAT-like model for intefederation in the higher-education sector. It is high time to take a step back from that cliff.

Hot of the Presses

A couple of items from the press with my name on them:

IETF-71 - fear of angle brackets

One of the most disturbing (but at the same time entertaining) experiences at this IETF was the CANMOD BOF. This is the break-out session from netconf on selecting a modeling language for netconf. Netconf is an attempt to re-engineer SNMP in a more human-readable way (i.e without ASN.1).

Now netconf has been around for so long that it has passed from hating-ASN.1/loving-XML to hating-ASN.1-and-XML/loving-curly-braces. This is clearly a generational issue. Each generation of technologists have their own loves and hates and often define themselves by what they don't like. This results in a constant churn of re-design of perfectly functional standards under the banner of "readability" - some things (ASN.1 and now XML) are defined to be unreadable and some new thing is hailed as the saviour.

This is all good and well - younger engineers must also have something to do after all (this includes me)!

What disturbed me about the CANMOD BOF (and this was apparent already at the last IETF when this was covered during the apps area open meeting) was the fact that none of the participants had done any investigation into prior work whatsoever.

CANMOD was trying to find a modeling language for use with netconf. In any other field of serious work a basic knowledge and treatment of prior work would be a basic requirement. The presentations at the CANMOD BOF covered approaches to modeling languages some of whch were even almost syntactically equivalent to existing modeling languages (eg OWL or EMF). It was clear that the presenters at the BOF had not spent any time trying to find out if there was prior work.

That is like building a car from scratch next door to a car dealership while pretending like you invented the concept of a powered vehicle!

I was trying to present at CANMOD but was too late to get a timeslot. My plan was to outline how to use OWL as a modeling language for netconf. In the end it turns out that my presentation didn't really matter because the closure of the semantics claimed by the presenters at the BOF is OWL, EMF, UML or any other of the common metamodels used by people who do modeling for a living.

The scary thing is that they did this while claiming to be widely different proposals providing significant simplifications over each other. In acutality it was all the same thing with different color parenthesis.

So the question is: do I declare victory and just go off and explain how to serialize the OWL metamodel using curly braces because this is clearly what is needed today.

IETF-71 - the year of the global ESB?

Roland Hedberg and me sat down with the people behind the ESDS-BOF here in Philly. The ESDS is an attempt to build a protocol for "supply-chain-management". For instance how do you track airplain parts or parts-of-cow (beef) across several manufacturers, suppliers, retailers and shippers?

The problem is interesting because it involves two fairly difficult aspects:

cross-domain messaging
information modeling

The OM2 project has tried to adress some of those aspects but there are clearly other possible approaches to the problem. The information modeling aspects of this problem is important to the ESDS-people bacause they need to be able to subscribe to tracking information based on deep knowlege about the structure of the tracked object - for instance: "show me the location of all wings that are painted using color grey#4711".

Viewed as a distributed directory problem ESDS resembles the TISDAG-project (seach the rfc-archive for traces of this) but with more requirements placed on information modeling.

Last night I walked in on a disucssion about possible applications-area solutions to the problem of maintaining the global RIR (routing information registry). The discussion centered around using XMPP and I suggested using PubSub. In that case the modeling aspects are quite different because the "RIR application" already has an existing information model which is widely accepted and fairly stable. As a contrst the RIR application is faced with serious cross-domain issues since most of the organizations involved compete with each other in ways that the ESDS-usecase doesn't really allow for (shippers don't really compete with retailers etc).

Maybe this is the year of the global cross-domain ESB...

More on DreamSpark

First of all let me appologize for not writing the last blog-post in English - at least one of my dilligent readers caught me with my linguistic pants down.

The post was about yesterdays announcement by Microsoft about the DreamSpark initiative. Since yesterday we've been testing. Everything seems to work very well and I'm especially impressed with the nice 3-step geographic discovery service (aka wayf). We discovered that DreamSpark seems to ignore the eduPersonScopedAffiliation attribute - right now everyone is a student. We've notified the DreamSpark support team about this fact.

The DreamSpark application has every chance to become the poster-child for the attribute economy.

Microsoft DreamSpark

http://downloads.channel8.msdn.com

Om man är student vid någon skola i SWAMID-federationen så kan man sedan igår ladda ner gratis programvara från Microsoft. Främst gäller det utvecklingsverktyg men 2003 Server ingår även i erbjudandet. SU har i tysthet deltagit i beta-testning av denna funktion som släpptes officiellt igår kväll genom en annoncering av Bill Gates.

Detta erbjudande gäller naturligtvis inte bara SWAMID utan är öppet för andra identitetsfederationer. Från början ingår federationer i USA, Europa och Kina. Tekniskt så är det en intressant kombination av flera identiteter (både LiveID och Shibboleth/SAML ingår som komponenter).

Det finns anledning att hoppas att MSFT kommer att ta en pragmatisk inställning till SAML även i framtiden - denna tjänst använder ju *inte* ADFS eller WS-Federation i någon annan form utan är baserad på Internet2 Shibboleth, dvs samma öppna källkod som används i SWAMID och många andra higher-ed-federationen runt om i världen.

Perspective on the IETF70

I usually try to blog throughout the IETF week (if for no other reason to get things down quickly) but for some reason this wasn't one of those weeks.

The fact that I got into my room at 3AM on Sunday instead of on Saturday evening (of course without my luggage) perhaps had something to do with it. Weather was the culprit this time but I have to say that weather back in Sweden has to get much much worse before the media start talking about a disaster.

This IETF was not quite as hectic as the last one although I had my fair share of hallway-discussions etc. Talked to Larry Zhu at MSFT a bit about my http-gss drafts and about his and Stefan Santessons drafts about gssapi in TLS. The ironic thing is that LADOK (which uses stunnel) is the use-case I have for gss-tls. I would love for LADOK-clients to be able to use their native windows credentials based on a cross-domain trust between schools instead of relying on client certificates.

The Kerberos working-group was on Friday morning this time which is rather unusual. What was not unusual was the fact that the group keeps rat-holing on FAST vs StartTLS. I admit that I don't understand all the technical aspects of this problem but I do understand the business-side of this. It seems painfully clear that most major implementations (especially those with PKINIT-support) either have FAST or are pretty close.

It also seems clear to me that StartTLS and switching to TCP (i.e dropping UDP-support) for Kerberos is a great idea which has the potential for simplifying many aspects of the protocol. The only problem (arguably) is that the idea comes several years too late. For Kerberos to make such a significant change today is lots of work for very little real gain since implementations are already widely deployed complete with support for PKINIT.

The wg clearly needs to get its act together here.

After the wg ended (and with it the IETF) I spoke briefly with Tim Polk of NIST. We talked a bit about the use of PIV cards outside the federal governement. Stockholm university is strongly considering using PIV-II as the base PKI applet on our "SU-Kortet" enterprise card. It stilll feels like a very good idea with the potential to push cards from the "vendor-lock-in" space to more of a commodity product. That means lower cost and better interoperability.

Other things I did was to look in on PKIX where the wg is working on updating the published ASN.1 syntax for certificates, CRLs and signatures to a more modern version of ASN.1.

The time-business seems to bee booming as the ntp-wg is about to fork() a cousing in the tictoc-wg chartered to work on frequency distribution (related to things like IEEE 1588 presumably).

RadExt (radius extensions) on wednesday was a nice surprise. I admit not having kept up with it since Prague where Stefan Winter lobbied the wg to accept radsec (radius over tls over tcp) as an alternative way to provide crypto agility to radius. At the time there was lots of oposition (one member of the wg actually said he would appeal any decision by the chairs to take on radsec as new work). This time however the fists were gloved and no-one was talking about picking one single solution anymore. It seems radsec can become standards-track after all. I am convinced implementor adoption of this simple solution may surprise some people in the AAA-business.

http auth bof

Yesterday we had an IETF "bar-BOF" on the future of in-band http authentication mechanisms. This is a difficult topic for a lot of reasons - not the least of which is the fact that http is deployed everywhere. The challenge is no less daunting - provide an authentication mechanism which can help solve the phising problem and at the same time provide scalable authentication for non-browser-based applications (CalDAV, WebDAV, CardDAV, etc).

It seems we are heading for at least a BOF/WG and possibly also a invitation-only workshop in order to solicit input from other SDOs (besides the IETF).

My drafts on gss-based auth for http have received some amount of positive reactions in this context.

The need for a standard model for federations

Here at the I2 MM I've spent lots of time talking about and thinking about technical, economical, legal and political aspects on federation operations. I'm absolutely conviced that we need a standard model which will allow these aspects to be cleanly layered ontop of each other.

The problem with current models for federation operation is that these aspects are not layered but interwoven with each other. During a round-table last night with some of the Shibboleth principals and other people with insight into the problems there seemed to evolve a consensus around the technical layer for such a standard model.

During the next few weeks the community will carry this discussion forward. The result may be nothing but I ohpe that something really interesting will come out of this: a common specification for the tecnical requirements for federation and interfederation which radically lowers the cost for federation.

MACE dinner theater feat kc

Every I2 member meeting the foks at Internet2 throw a dinner for the folks in MACE and SALSA by way of saying thanks (I guess). Usually we get a presentation with desert and this time we got a real treat: kc claffy famous researcher in the field of Internet measurment at CAIDA. I remember hearing kc speaking at IETF plenaries so I had high expectations.

I was not disapointed. kc is energy and intelligence embodied. She talked to us about the problems of measuring the Internet, the failed economy of the current model for edge vs core in the internet and her view of the need for a common utility model for the core Internet.

One of the phrases that stuck with me was the idea that if you have enough edge you can buy your own core which is exactly was SUNET has done. Good for us I say!

I invite everyone to read her blog-entry on the subject.

Licensing Federation Metadata

Here is an idea which I've been trying out on people involved in running higher-education federations around the world: Federation metadata should have licenses governing their use.

Why? Isn't there enough IPR nonsense in the world already?

The reason is this. Todays federations are minimally legal entities which operate certain technical infrastructure, eg discovery services (wayf), trust fabrics (PKI) etc. A service-provider (SP) depends on this infrastructure for the reliable operation of the service - if the federation you are a member of drops the wayf service on the floor you as a (say) a content provider can't deliver the product to your customers. This is bad and you may feel the need to sue someone.

The federation operator needs to manage the liability exposure that follows from this situation. Today federation operators manage liability exposure by establishing a legal agreement with each SP.

This is a cumbersome and lawyer-dense process and arguably one of the serious limits on the growth of federations.

In my model aggregated metadata (eg a metadata-file) always has a license which governs its use and the liability which may result from using it. For todays higher-education federations this would mean (together with some mechanism for dynamic metadata discovery which isn't that difficult) that the metadata file only contains the IdPs of the federation.

The license on the metadata regulates how the SP can use the services provided by the set of IdPs in the file. Of course in some cases it is desirable to force the SP into a tighter relationship with the IdPs but this can easily be achieved (and enforced) by the trust-framework - only trust a limited set of PKIs to sign metadata consumed by the IdPs.

In effect the signature on the SP metadata becomes the way to enforce compliance with the IdP metadata license! A cool side-effect is that the signature on the metadata can be used to add value to the metadata. The SP may initially sign the metadata with a low-assurance key. Now (depending on the license on the SP metadata) someone could come along and aggregate a set of metadata (eg representing a certain constituency) signing that with a high-assurance key.

Whenever you have a way to add value to something there is the possibility of a market evolving. Metadata agregators in this model are analogous to IP exchange points where operators gather around a technical infrastructure to form bilateral peering relationships. I'm pretty sure that in order for federations to grow there has to be ways to build businesses around operating them and this might be a model for that.

inviteAndFederate

I decided to write down my proposal about a a federated invitation service just to see what comes out the other end.

;lang-en

I've decided to switch language on my blog to English since some (actually most) of the people interested in this arcane stuff are not Swedish.

REFEDS Workshop, Tisdagen och Onsdagen

Prag, Onsdag

Igår var det TF-EMC2. Jag brukar normalt inte åka på Terena-WG-events men jag har kommit till insikt att det pågår för mycket underliga prylar här för att man ska ha råd att ignorera det. Därmed inte sagt att allt är dåligt men folk här behöver definitivt lite "adult supervision" - speciellt när det gäller koppling till existerande eller pågående standardiseringsarbete.

Igår var det en ganska intressant diskussion om SCS. Jag skulle tro att Terena kommer att behöva ha fler leverantörer parallellt med GS. Alex Reid (Australiens NREN) berättade plötsligt att de jobbade på att sätta upp en CA med webtrust audit och hade fått löfte från personer högt upp i Microsoft ledning att rooten skulle komma in i IE. Detta var ju minst sagt en överraskande utveckling och många av oss sa att vi var intresserade att haka på. Vi får se vart det hamnar.

Det visade sig att Mikael Linden (CSC, funet) skulle åka på IDABC-mötet nästa vecka vilket jag pratat med Håkan Persson (AMS) om förra veckan. Jag kopplade ihop dom också och hoppas det trillar ut mer SAMLism ur det. Jag känner mig som en slags känna-folk-växel nu....

På kvällen middag i en "paviljon" med rejäla Habsburg-Fin-de-Siecle-vibbar. Jag pratade mycket med Josh Howlett (JANET) och Andreas Åkre-Solberg (UNINET) på middagen och vi kom in på smarta kort. Andreas visade tålamod med mitt rantande så jag gav honom en e-gate-pinne att leka med och provisionerade den med ett självsignerat cert och en muscle-applet.

Idag (Onsdag) hade vi presentationer om lite arbete som Surfnet gjort kring (uppfattade jag det som) SIP-identity. Jag förslog att dom skulle kontakta Fredrik för SIP-clue och se till att åka på SIPit om dom ville ha någon chans att påverka branchen. Här passade jag på att plugga Negotiate och s4u2self rejält.

Josh Howlett vill leka med krb profilen för WS-Security och jag försöker koppla ihop honom med Nico Williams (SUN) som jag har pratat med detta tidigare.

Sen var det presentation av ett slags distribuerat URN-registry som imho är jätte trasigt men jag orkar inte tjata mer om det (har redan sagt vad jag tycker). Dom hammrar på ett problem med LDAP-hammaren som redan är löst i kontextet av DDDS (RFC3401 et al) men DNS är ju för svårt...

Sen blir det mer lite grid-mojs på toppen för att runda av det hela. Har annars jobbat vidare på diskussionerna som påbörjades på REFEDS-mötet häromdagen. Det känns som om jag börjar bli redo att skriva ner en enklare modell för att bygga federationer baserad på licensiering av metadata istf policy-dokument.

REFEDS Workshop, Måndagen

Prag, Tisdag

Gårdagens workshop (REFEDS International Federation Peering Workshop) visade sig vara ganska intressant. Diskussionerna var förvånansvärt konkreta för att vara en workshop om policy. Ingrid Melve (UNINETT) och Ken Klingenstien (I2) som höll i workshoppen är båda bra på att hantera en gruppdiskussion och lyckades hålla folk någorlunda på spåret.

På papperet fanns det en röd tråd av presentationer men i praktiken flöt dessa ihop ganska mycket utan att vi för den delen tappade fokus.

För min del kändes det som att jag lyckades ta upp 3 viktiga prylar:

Jag ifrågasatte behovet av att ha SP:er med i federationer överhuvudtaget. Andrew Cormack argumenterade emot och jag tror vi kommer att ha en bra diskussion på mailinglistan. För mig handlar detta om att bygga enklare federationer.
Jag tycker vi behöver tekniska stödsystem för att bygga kors-federationer som inte finns idag - bla system som hanterar inbjudning till federerade tjänster. Detta handlar tex om hur man kan bygga en grupp av personer i tex ett LMS utan att veta deras identiteter i respektive IdP:er.
Vi behöver mekanismer för att representera LoA som attribut (som komplement till SAML AuthenticationContext). Detta arbete kan inte ske som del i det normala akademiska IT-samarbetet i världen eftersom vi har så mycket samverkan med andra delar i samhället. Antaligen behöver detta ske i Oasis eller Liberty - jag ska bara försöka ta reda på om någon redan börjat fundera på detta.

REFEDS First International Federation Peering Workshop Söndagen

Prag, Söndag

Imorgon är det dags för den första workshoppen om federation peering arrangerad inom ramen för Terenas refeds aktivitet. Detta handlar om att försöka samlas kring ett gemensamt sätt att se på policy-frågor som dyker upp när man försöker bygga kopplingar mellan olika federationer.

Idag har jag anlänt till Prag och bor på Crown Plaza Hotel som känns som om det är är inrymt i ett gammalt statigt verk från Soviet-tiden - väldigt pampigt men samtidigt grått. Retro så det förslår. Czeckerna försöker leka amerikansk hotelkedja vilket blir lite underligt.

IETF69 Fredag

Chicago, Fredag

Traditionellt är fredagen halv-dag på IETF och vanligtvis inte så intressant. Denna fredag var annorlunda - två BOFar som jag eg ville gå på men jag fick välja en. Det blev TAM - trust anchor management istället för BIFF (mail store notifications) som nog hade varit intressant. Ska försöka följa BIFF lite tror jag ändå.

TAM är lite kontroversiellt (vilket tydligt visade sig på BOF:en) eftersom det handlar om att bygga informationsmodeller och protokoll för uppdatering av trust-ankare (root-cert) för applikationer. Det kan ju potentiellt vara ett stort säkerhetsproblem men jag tror det är nödvändigt att lösa, speciellt för alla applikationer som inte bor i en webbläsare (som ju ofta har någon form av trust-management-mekanism).

Resten av helgen ska jag spendera med min vän Larry Lambe som jobbar med matte åt flygvapnet i dethär landet. Vi ska snacka lite matte och komma ikapp. Larry och jag har skrivit artiklar ihop (2 st) och dom var båda del i min Lic-avhandling som jag nyligen gjorde klar.

IETF69 Torsdag

Chicago, Torsdag

Igår var det faktiskt lite lugnare. På morgonen lyssnade jag på Stefan Winter presentera RADSEC på RADEXT. RADSEC är Radius + TLS över TCP. Stefan har haft lite svårt att matcha rätt form för sin draft men jag blev överraskad hur pass mycket stöd det gick att få för att överväga RADSEC som alternativ till Radius+DTLS och andra in-band-metoder som folk överväger för att bli av med MD5 i Radius.

Det störde mig att en av "WG-rävarna" faktiskt stod upp och hotade att överklaga ett beslut att ta med Stefans Draft (med motivieringen att den föreslår en ny transport för Radius vilket gruppen tidigare sagt att dom inte ville jobba på). Jag sa emot honom vid mic:en och sa åt gruppen (i artiga ordalag) att chilla lite.

Efter lunch (som intogs med Stefan, Milan, Jeff och lite andra från Neustar och CSNET) blev det SAAG (Security Area Open Meeting) som var måttligt intressant. Det var annolrunda när Jeff Schiller hade enmansshow när han var AD.

Sist på dagen blev det vCardDAV BOF - dvs nästan som CalDAV fast för vCard. Lite intressant.

Köpte mig en XRI under dagen: xri://=leifj eller om din browser inte stödjer xri: http://xri.net/=leifj. Installera FoXRI för att ha stöd för xri:// i din firefox. Platta namespace gör mig nervös. XRI kan vara en bra pryl om det lyckas men det kan också bli platt fall. Ska nog claima @su.se också så vi iaf äger vår egen "real estate".

På kvällen hamnade vi på Jazzlokal med Love, Bob, JeffH och en del Neustar-folk som jag inte känner så väl. Högt men kul.

IETF69 Onsdag

Chicago, Onsdag

Gjorde eg inget på fm - SASL är jag inte inblandad i (lyckligtvis). Lunch med Bob och Jeff Hodges på lokal pub. Servitören satt och snackade med oss vid bordet lite. En väldigt amerikansk kombination av naturlighet och franchise-koncept.

Efter lunch var det kitten - GSSAPI-uppdateringar. Jag satt mest och lurkade i rummet (som består av samma personer som jobbar på SASL och Kerberos) när jag plötsligt inser att jag måste ta upp en sak. Mina http-gss-draftar behöver en mekanism för exportering av delvis etablerade kontext från GSSAPI. Det behövs för att man vill kunna låta HTTP-servrar förbli state-fria. Jag tog upp det och blev naturligtvis fast med att skriva draften för det också. Det finns ganska knepiga säkherhets-problem här som har med replay-attacker att göra. Martin Rex (SAP) påpekade detta via jabber under mötet. Nico Williams (SUN) har en smart lösning som fungerar i vissa fall (bla just "mitt" fall HTTP-authenticering). Det blir inte en lång draft men knepig att formulera rätt.

Sista sessionen för dagen var BTNS där jag brukar sitta mest som moraliskt stöd för Love (inte för att han behöver det längre) som är WG-Chair. Därefter var det Ops and Admin Plenary vilket mest brukar handla om hur lite pengar IETF har. Det ser ut som om avgiften för Vancouver-IETF:en kommer att bli högre.

Middag på kvällen med David Chadwick, Tom Barton (MACE-person som dök upp från UC för att käka med oss), Bob Morgan och Jeff Hodges. Ett kul gäng.

IETF69 Tisdag

Tisdagen var lång. Dagen började med HTTPbis BOF:en som handlar om revision av HTTP till version 1.2 - främst errata som folk har hittat genom åren och dels säkerhet. Jag är intresserad av det senare genom mitt arbete med GSSAPI-auth för HTTP.

Efter detta var det dags för TLS där jag hjälpte Larry Zhu från MSFT att presentera en del av hans och Stefan Santesson att presentera en draft om GSSAPI i TLS. Det är ganska kontroversiellt och det blev också en hel del diskussion. Larry och Stefans draft överlappar ju lite med min och jag är inte övertygad om att de har så många användningsfall som dom tror men jag gillar iden att kunna kerberosera ett protokoll utan att behöva gräva inne i protokollet. Tex för LADOK skulle det vara helt ok alternativ.

Därefter var det dags för OPSWG där jag lyssnade på Stefan Winter presentera radsec som handlar om radius över TCP/TLS vilket är viktigt för eduroam-ng. Stefan klarade sig hyfsat även om han snackade lite fort. Hans ska presentera på radext också så det var bra för honom att få repetera.

Samtidigt som jag lyssnade på Stefan W gjorde jag slides för nästa session då jag presenterade kerberos-information-model som nu är en wg-item (eller blir snart). Jag fick bra feedback på vad som med OM2-ögonen på eg är en ontologi för en KDC. Kul.

Efter allt detta var det gott (och väldigt startk) med sezuan-käk.

IETF69 Måndag

Måndagen blev väldigt intensiv - mot slutet. Dagen slutade nämligen med en BOF som jag och Bob Morgan höll kring ämnet "SAML & Kerberos Intersections", dvs en diskussion om hur SAML och Kerberos samverkar eller överlappar varandra och hur livet kan bli, om inte bättre så iaf mer intressant. Två viktiga delar handlar dels om hur man transporterar kerberos-biljetter för credentials-delegering mellan en IdP och en SP och dels hur man skulle gunna göra en standardiserad "PAC" med SAML. Det första ämnet har diskuterats inom I2 (speciellet Shibboleth-communityt) och är intressant för SU eftersom vi använder något liknande i PubCookie idag. Det andra ämnet är ännu mer intressant eftersom det på sikt kan ge ett standardiserat sätt för en KDC att uttrycka egenskaper hos den principal som autenticerat sig. Vi lyckades bra med BOFen och fick grönt ljus att förbereda en formell BOF till nästa IETF baserat på ett use-case-dokument som vi måste sätta oss ner och skriva nu.... Mer jobb.

IETF69 - Resa till Chicago

Trots påäng nog för att fixa uppgradering lyckades jag inte sova på planet och är följaktligen helt utslagen idag på Måndag. Sedan Boeing la ner sin internet-tjänst på flyg (som SAS köpte och sålde ganska billigt genom trådlösa nät på alla plan) kan man ju inte ens plåga sina kollegor via Jabber när man är ute och flyder. Just nu sitter jag på sip efter apps-area open meeting som tradidionellt inleder IETF-veckan. Idag har jag krb-wg och dessutom ska jag och Bob Morgan hålla i en inofficiell BOF om "kerberos och saml intersections" - efter krb-wg ikväll. Jag måste hitta riktigt kaffe om jag ska kunna vara sammahängande då!

Fönster

Jag (och Fredrik) har bestämt oss för ett experiment: vi ska köra SUA XP på våra laptops. Det ska bli intressant att prova något nytt! Jag kommer naturligtvis inte att lämna linux - både genom vmware och på alla datorer vi kör kommer linux att vara en viktig del av mitt arbete. Som ledare brukar jag ofta tjata om vårt motto: var inte religiös och nu är dagen kommen för mig att se om jag kan följa upp detta med personlig handling. Jag utmanar windows-användarna på sektionen att följa mitt exempel och balansera vågskålen :-)

IETF66 - Montreal: Fredag och Lördag

Fredagen blev utmattande trots att den var kort. Normalt har fredagar under IETF-veckan inget innnehåll: en eller annan arbetsgrupp som ingen bryr sig om och någon BOF kanske. Allt innan lunch. Denna gång var det WAE - Web Authentication Enhancements. En BOF om hur IETF kan komma upp med tekniska lösningar som kan minska problemet med phising.

Detta berör mig eftersom jag efter intensiv lobbying fick intresse för att skriva en draft som uppdaterar och moderniserar HTTP-Negotiate, dvs den authenticeringsmetod som låter HTTP använda sig av GSSAPI. Mitt intresse är att jag ser Negotiate som en hyfsad pryl som gör att man enkelt kan kerberosera HTTP-baserade protokoll tex IPP och webservices om man inte orkar implementera OASIS trasiga WS-Security-modell för kerberos. Säker printning så jag kan skriva ut från wifi på jobbet alltså. Plötsligt har man blivit insugen i "stoppa phishing". Vet inte om jag är så övertygad om att det kommer att gå att lösa.

Nuvarande Negotiate används i stor omfattning av Microsoft där den är en bättre alternativ än NTLM-authenticering som används på en hel del intranet där IIS och IE är förhärskande

Negotiate har en hel del problem som gör den "omöjlig" i IETF-sammanhang och jag har tagit på mig att med råd och dåd från kerberos-folket skriva en ny version som löser dom problemen. Just nu filar jag på den ena av två drafts som handlar om hur man binder authenticerings-mekanismer till den under-liggande TLS-kanalen som HTTP körs över. Därefter kommer draften som beskriver Negotiate2 eller GSS eller vad den nu ska heta.

Boffen (WAE) var taänkt att leva på ett högre abstratktionsplan och mest få folk att diskutera problemformulering och inte lösningar. Pete Resnick lyckades bra med det och vi var många aktiva i diskussionen.

Till slut blir det nog fråga om att göra minst två kanske 3 olika BOF:ar på nänsta IETF: en om HTTP-nivå-prylar (mina drafts och kanske ngt om SAML-i-HTTP), en om ID-jox som tex openidp, dix etc och kanske en (jag har försökt inspirera folk till detta) om SAML här och var i IETF-protokoll.

Efter allt detta var jag slut. Jag, Love, Roland Hedberg, Alexei Melnikov (isode) gick och shoppade lite. Därefter var jag ännu mer slut. Love och jag träffades i hotell-baren på kvällen och käkade och sen sov jag tills jag vaknade på lördagen.

Nu sitter jag i gaten och väntar på att planet till London ska gå. Ska bli skönt att komma hem.

IETF66 Montreal - Onsdag

Onsdagen blev förhållandevis lugn. Enda intressanta handlade om DKIM på morgonen. DKIM försöker vara ett skydd mot phising och spam genom att i princip signera headers istf hela meddelanden och lagra nycklar i DNS. Tanken är att man ska kunna ta reda på om en domän verkligen skickat ett mail eller ej. Som vanligt är randfallen mycket mer komplexa än idén och en hel del presentationer ägnade sig åt att hitta på nya sätt att misshandla DNS. Kul att se DNS-folket i rummet blir gråare och gråare.

Eric Allman var där och presenterade. Eric är pappa till Sendmail och därmed till modern anvädning av epost.

Lunch med lite MIT-folk och därefter tillbringade jag em med att snacka om channel-bindings med Nico Williams från SUN. Nico har myntat begreppet channel-bindings som går ut på att man kan kombinera säkerhet från flera lager i en protokollstack på ett kontrollerat sätt - tex kan en applikation som kör ovanpå IPSEC veta om tillräckligt mycket om IPSEC för att kunna göra enklare authenticering

Just nu sitter jag och filar på en draft som beskriver channel-bindings för HTTP+TLS - dvs hur man låter authenticeringsmetoder för HTTP använda det faktum att TLS finns på ett intelligent sätt. Den draften har varit ganska knepig eftersom säkerhets-AD:n (Sam Hartman) vill att vi ska kunna hantera proxys

Jag vill bli klar med den draften snart så att jag kan koncentrera mig på det jag verkligen vill göra nämligen att skriva en uppdaterad version av Microsofts Negotiate HTTP-authenticeringsmekanism.

Förutom channel-bindings ägnade vi oss åt att klaga på OASIS som har misslyckats med att förstå Kerberos nog för att skriva sin Kerberos-security-profile för WS-Security. Det är illa för .NET använder sig av detta sätt för att ge kerberos till webservices (SOAP). Jag skulle hemskt gärna vilja ha kerberos-stöd i apache wss4j men det är svårt att förstå specen och hur det är tänkt att bli säkert. Nico klagade över hur svårt det var att kommunicera med officiella representanter för den OASIS arbetsgrupp om saken. Jag ska försöka ta reda på om IETF har några officella förbindelser med OASIS...

IETF66 Montreal - Tisdag

Tisdagen var förhållandevis lugn och dominerades av NEA-boffen på morgonen. NEA är ett försök att stadarisera produkter som Cisco NAC som i princip fungerar såhär: Du ska ansluta din laptop till ett trådlöst (oftast) nätverk. Innan du blir insläppt ska en pålitlig klient på din burk rapportera information om vilka patchar som du installerat, om du kör windows eller macos etc.

Principen är dual till SUs nätinloggnings-system som använder Nessus för att kolla en burks sårbarhet för aktuella hål innan man blir insläppt.

Många på BOFen klagade på att det är svårt eller omöjligt att hantera klienter som ljuger om sin konfiguration. Det stämmer men är delvis irrelevant för arkitekturen för NEA som innehåller många komponenter som är bra. Problemet med klienter som ljuger kommer man antagligen att hantera med TPM-stöd i NEA-klienter i framtiden.

Mitt intresse för NEA är att jag håller koll på NEA för EduRoam räkning eftersom EduRoam måste kunna fungera tillsammans med en NEA-klient som också är baserad i grund på EAP.

Dessutom är SU (och andra som använder nessus på liknande sätt vi gör) intresserade av att framtida NEA-enablade produkter (tex brandväggar, antivirussystem, etc) klarar av att ta emot information om klienten från andra än klienten själv på ett standardiserat sätt.

IETF66 Montreal - Måndag

Måndagen blev som väntat hektisk. Både krb-wg, kitten och en MACE-telefonkonferens - allt delvis samtidigt. Kerberos-arbetsgruppen diskuterade vad man ska jobba med nu när den stora biten PKINIT är publicerad och klar. En del av diskussionen handlade om min informations-modell-draft. Det verkar som om konsensus är att den bör publiceras och bli klar - oklart om den måste in i arbetsgruppen eller ej.

På MACE-telefonmötet gjorde vi eftersläckning av förra veckans workflow-möte. Folk verkade nöjda. Kul.

På kvällen blev det middag med John Vollbrecht, Bob Morgan och Jeff Hodges. John och jag stämde av morgondagens NEA-bof som påverkar hur eduroam fungerar. Nea är en oerhört kontroversiell pryl i IETF (jag skriver detta mot slutet av den BOF:en). Återkommer med mer om NEA senare.

EduCause Workflow Advanced CAMP: Torsdag

Torsdagen var den huvudsakliga presentations- och diskussionsdagen på denna CAMP. Workflow är ett knepigt ämne och jag hade som ambition som medlem i organisationskommiten att försöka få in ett externt perspektiv.

Jag gjorde detta genom att hitta en talare från OMG som på senare år har blivit involverad i workflow genom att bpmi har gått upp i OMG. OMG är organisationen som jobbar med standardisering av bla UML. Talaren jag fick tag i heter Karl Frank som jobbar som huvudarkitekt på Borland. Han gjorde (lättnad för mig :-)) en mycket bra insats och gav bra insikter i hur UML och MDA ger ett sätt att betrakta workflow. Hans presentation var ett bra komplement till Joe Sharp från Microsoft som talade om WSBPEL som är en standard för orkestrering av webservices.

Det är uppenbart att det finns en artificiell konflikt mellan hur Microsoft som kommer att skeppa workflow med Vista) och OMG ser på workflow. Som vanligt (frestas man säga) har Microsoft byggt något som är semantiskt ekvivalent med UML men lite annorlunda. Tillräckligt annorlunda för att göra interoperabilitet (tex med andra UML-verktyg än Visio) omöjligt och tillräckligt lika för att man ska inse att det vesäntligen skulle kunna vara helt vanliga UML-modeller. Suck.

Under diskussionen om objektrepresentation i workflow-system (bla i kontextet av University of Indiana workflow) och över lunch pratade jag med Karl Frank om SWAMI IDM som planerar att använda RDF/OWL för content-baserad routing, något som är centralt för workflow. Det är klart att vi har en unik och intressant ide i detta projekt (användningen av RDF/OWL). Karl Berättade att han gör sina MOF-modeller genom att börja med en OWL-modell i Protégé och sedan översätta till UML. Jag blir allt mer övertygad om att vi är på rätt spår med SWAMI-IDM även om det är mycket kvar att göra.

En av de mest intressanta presentationerna här har handlat om Kuali Enterprise Workflow (KEW) som ser intressant ut för SU som bas för våra planerade business-process-automation-projekt, tex semesterhantering.

EduCause Workflow Advanced CAMP: Onsdag

Kom fram till hotellet mitt i mottagningen för Advanced CAMP: Workflow Models and Technologies. Denna ACAMP är andra halvan av en event som Internet2 och EduCause arrangerar. Första halvan handlade om Shibboleth men den han jag inte åka på. Denna del är jag med och arrangerar och därför har jag släpat mig hela vägen till Burlington, en småstad i Vermont som i huvudsak innehåller University of Vermont

Federal E-Authentication

En av de mest intressanta diskussionerna här har varit försöken att koppla ihop federa e-authentication med InCommon - en SAML-federation för universitet i USA.

Detta handlar om hur skolor i USA ska samverka med myndigheter i framtiden - bla för den så viktiga anslagsprocessen.

Så varför är detta viktigt för oss i Sverige? Svenska forskare får en hel del pengar från statliga anslagsgivare i USA - bla från NIH. Det är inte orimligt att anta att dessa myndigheter ganska snart kommer att kräva att även Svenska forskare kan använda samma system som amerikanska forskare.

Eftersom swami bygger federationer som är tekniskt jämförbara med inCommon kommer swami förr eller senare att behöva hantera federal e-authentication.

Internet2 Spring Member Meeting

Jag har varit dålig på att blogga denna gång. Det beror delvis på att detta har varit en konstig konferens. För det första är det mitt första I2-möte. Sedan jag blev invald i MACE så har I2-möten blivit en del av de möten jag får vara så snäll och åka på

Intressant nog kommer detta I2-möte i direkt samband med att samtal mellan Internet2 och NLR (amerikanerna är konstiga - dom ska ha två "SUNET" för att vara riktigt nöjda) om sammanslagning har brutit samman så hårt att folk här som vet vad dom talar om antyder att det kan handla om dagar innan både I2 och NLR försvinner och ersätts med en 3:e organisation som är helt ny med ny styrelse, CEO etc.

Jag vet inte vad jag ska tro.

Mötet har varit intressant iaf - många nya infallsvinklar på PKI, speciellt brygg-PKI:er (ska skriva separat om detta).

IETF65 - Vad hände egentligen...?

Ketchupeffekt. Sedan igår kväll har jag "lovat" skriva draft om schema för jabber-info, sip-info, http-authenticering, blivit "lurad" att hjälpa till att organisera en I2-event om workflow i juni samt lovat skriva introduktion till begreppet identitetsfederation åt en kompis. Vad hände egentligen?!

IETF65 - xflaim, higgins &dix

Det är ofta så att de mest intressanta kontakterna dyker upp i korridorerna snarare än på arbetsgrupperna.

Novell opensourcar mer och mer av sina produkter. Senast är flaim och xflaim som skulle blivit backend-store till deras nya eDirectory. Nu verkar nästa eDirectory ganska osäkert men databasen blir tillgänglig för oss andra.

xflaim är en xml-databas och jag har snackat med Jim Sermersheim på Novell om att använda xflaim som RDF-databas - något jag och Roland Hedberg har snackat om. Xflaim och annat från novell finns på bandit-project.org.

Ikväll ska folk som är intresserade av indentitetshantering och http-authenticering träffas över middag. Dix är temat för kvällen tror jag och även för en BOF imorgon. Det känns ofärdigt men det finns många som är intresserade av löst sammanhängande id-mgmt system. System som OpenID, netmesh och yadis är motsvarigheten till självsignerade certifikat eller kanske den klassiska svara-på-detta-mailet mekanismen för att verifiera en identitet

Mer IETF-64 Vancouver

Nätet har varit ett stort problem denna gång - just nu skriver jag från hotellrummet efter konferensen tagit slut. I huvudsak var det wifi-nätet som var väldigt skakigt, delvis pga speciellt byggnadsmaterial i väggarna och delvis pga att allt fler okunniga användare låter sina datorer köra i Ad-Hoc mode.

Det är lite pinsamt för IETF som grupp att så många användare inte klarar av att använda sina laptops. Trots detta (eller kanske tack vare) så producerades mycket bra jobb denna vecka.

De intressantaste sakerna har hänt utanför arbetsgrupperna (vilket inte är ovanligt eftersom det är så nya saker förbereds). En liten grupp hade en intressant diskussion i början av veckan om authenticeringsmetoder för http. Sedan mötet har många av oss som deltog i mötet diskuterat saken. Det finns någon slags konsensus kring en möjlig mekanism som bygger på SASL eller GSSAPI och som kan fungera tillsammans med proxys. Vi får se hur arbetet går vidare.

Diskussionerna kring hur SAML, Kerberos och GSS-API kan fås att fungera tillsammans. SAML är intressant i detta sammanhang eftersom de flesta identitetsfederationer idag bygger på SAML. Diskussionerna har lett fram till en mailinglista. Detta är inte helt orelaterat till http-authenticeringsdiskussionen eftersom det typiska användningsfallet för SAML är just federerad authenticering av webbapplikationer.

Ett centralt tema på denna IETF har varit hantering av hash-funktioner i protokoll. Både MD5 och SHA-1 har ju visat sig ha problem. Det finns forskning som indikerar att även andra SHA-baserade mekanismer kan ha problem. Security AD:n Russ Housley sa att alla protokoll nu måste börja förbereda för att byta hashalgoritm.

Det är inte riktigt läge för panik ännu - uppskattningen är att vi har 4 år på oss att se till att alla protokoll kan hantera moderna hash-funktioner. Ett problem är att ingen (inte ens NIST) vet hur bra hash-algoritmer ser ut ännu.

Slutligen var det dags för Loves arbetsgrupp - btns. Mötet gick väldigt bra - kunde inte ta några bra bilder tyvärr för rummet var för mörkt och Loves kamera hade ingen blixt.

IETF-64 Vancouver andra dagen

Andra dagen (första konferensdagen) fylldes med kerberos. Både krb-wg träffades och jag fick Cobol-fingrar av att fungera som jabber-sekreterare, dvs skriva löpande referat från mötet i jabber-rummet för folk som inte kunde vara på plats. En intressant punkt var Sam Hartmans presentation av tankarna kring hur man kan bädda in och signera SAML-objekt i biljetter (en generalisering av Microsofts PAC-format). Detta liknar en ide som jag, Love och Roland Hedberg diskuterat även om vi talade om att signera S-uttryck. Iden kom ursprungligen från ett möte Love hade med Simon Josefsson. På kvällen träffades en liten informellgrupp kring en sk bar-BOF - dvs man diskuterar en fråga över middag eller drinkar - om hur framtida authenticering för HTTP bör se ut. Folk har behov av något bättre än Digest-MD5 och både Negotiate och SASL diskuterades. Eric Rescorla drog upp riktlinjer för en kombination av SASL och TLS som många verkade gilla även om Negotiate nog kommer att dominera sålänge Microsoft inte implementerar den nya modellen. Detta kommer jag säkert ha anledning att återkomma till.

IETF-64 Vancouver första dagen

Resdagen blev konstigare än vanligt. Jag körde som vanligt från Stockholm till Skåne dagen innan med hela familjen inpackad i Forden. Trött efter detta (och det blev inte mycket sova natten innan heller) kom jag i säng ganska sent bara för att bli väckt klockan 02:30 av Telias nätövervakning som hade problem att prata med en av routrarna. Upp och köra nagios, konstatera att inget är fel. Upp igen klockan 5:30 för resa till kastrup. Allt detta gjorde att jag sov ordentligt på planet till Vancouver vilket var en trevlig omväxling.

Det blev en väldigt tidig kväll med Love och Kurt Zeilenga från OpenLDAP. Vaknade 02:30 av (gissa...!) Telias nätövervakning som nu hade problem att köra SNMP. Jag hänvisade till kundtjänst och misslyckades med att somna om.

Dags att lära sig stänga av telefonen när man vill sova.

Terena NREN-Grid workshop

Yesterday was the second Terena NREN-Grid workshop. The purpose is to get people from the National REsearch Networks in the same room with people from the global Grid community. Discussion focused on the different viewpoints people have on AAI.

I am still confused by the meeting. On the one hand the Grid community is obviously doing things worth doing - people are willing to pay for it after all.

On the other hand the solutions in use in Grid-space have few users (compared to say a typical campus) and are relatively expensive.

On the other side of the table we have the NRENs who, at least in Europe, often try to be more than ISPs to campuses - presumably in order to climb the value-chain.

In my view many NRENs build demonstrators and proof-of-concept in order to push campus networks to use new technology - typically in middleware (AAI) space. This is both good and bad. It is good if NRENs are able to find solutions to real problems that campuses have. It is bad if NRENs are not doing things that campuses need. In my view SUNET does not fall into this trap by focusing on beeing an ISP.

How do you know which it is? By looking at the number of users a service has and the willingness of the users to pay for the service.

At the meeting I commented on the need to get campus people in the room for future meetings. I suspect that many NRENs do not keep in touch with the needs of their campuses and are ill equiped to solve problems beyond the requirements placed on an ISP.

How does this affect the Grid community? Right now the Grid is a small-scale project. At the meeting someone mentioned numbers on the order of 15000 users world-wide. Compare this to 40' users only at Stockholm university. Furthermore these users are divided among several dozens of national and multinational organizations. This breaks down the problem to very small pieces. Good design?! Yes! However if the grid community were to grow to (say) 10 or 100 times its current size the pieces will grow to become unmanageable by current practices.

Enter the campus. Large campuses knows how to handle 10s and 100s of thousands of users. The Grid community needs to figure this out soon in order to avoid problems.

So what is the problem? The problem is that there is no channel for getting the Grid community talking to campus admins. The Terena workshop could become that channel but only if NRENs start to act as facilitators for the Campus/Grid meet-and-greet which needs to happen soon.

Dags för UDDI?

Allt fler tjänster vi bygger kommer att byggas som webb-services med SOAP. Ju fler man har av något desto viktigare blir det att hitta rätt. Ett sätt att hitta rätt bland sina webbservices är med UDDI, en OASIS-standard som specificerar hur man bygger registries för SOAP/WSDL-baserade tjänster.

Farewell to emacs

Idag installerade jag eclipse 3.1 - jag har använt eclipse 3.0 länge nu för mitt java-kodande och såg fram emot att prova 3.1. Den nya versionen lever upp till alla förväntningar.

Tidigare har jag inte riktigt velat fylla min eclipse med plugins (vis av erfarenhet) men ny version - nya chanser ocn nu verkar allt fungera.

Jag kör mavenide för maven, ajdt för aspectj-prylar, subclipse för SVN och nu sist EPIC för perl.

Jag har bara lekt med EPIC i någon timme men den har redan sparat tid åt mig. Syntaxkontroll, code-completion etc är ljusår bättre än i både emacs och xemacs.

Det är kanske så att världen håller på att hämta sig från text-editorer. Förr i tiden (när riktiga datorer hade 36 bitar och körde lisp i hårdvara) fanns det utvecklingsmiljöer som liknar det man får med Eclipse idag (se kommentaren).

Technorati

Nu ska jag bli riktigt modern och claima min blog på technorati genom att inkludera denna Technorati Profile i bloggen. Här på EduCause-mötet om Virtuella organisationer dyker det upp tankar på hur technorati, delicious och tagging kan fungera som ett dynamiskt socialt nätverk.

VO CAMP Dag 1 och 2

De två sista dagarna här i Denver ägnas åt "Virtual Organizations". Jag trodde att detta begrepp hade en ganska specifik innebörd (iaf i GRID-svängen) men det visar sig att folk eg talar om ett nebulöst begrepp som vissa tolkar som "mailinglista+wiki". Det blev många bra diskussioner som gjorde begreppet tydligare för mig. Personligen tror jag att skillnaden mellan är reell och en virtuell organisation handlar om kostnad för användaradministration. Andra här verkar också vara inne på den linjen. Idag (dag 2) har vi många intressanta presentationer om hur campus-infrastruktur integreras med bla globus.

Federal E-Authentication (USA)

Här på konferensen jag är på talas det mycket om Federal E-Authentication - USAs lösning på det vi i Sverige försökte genomföra genom eID-upphandlingen. Här gnälls det en del på de tekniska lösningar man valt men som Svensk tycker jag ändå att folk här har gjort något på en nationell nivå istället för att bara lämna över ansvaret till ett antal osamordnade leverantörer som vi gjort i Sverige.

IDM Camp Dag 2

Vissa sessioner var ganska grundläggande idag (lite väl så) fast det var kul att få chans att plugga Heimdal. Rice University körde Heimdal visar det sig. Det är kul att se hur många som är här saknar komponenter vi redan har på SU. Vi ligger bra till!

EduCause IDM CAMP - Dag 1

Anlände på söndag kväll vilket inte är så bra eftersom man inte har någon chans att ta igen någon del av tidsomställningen innan allt börjar. Jag är alltså på CAMP Identity and Access Management som på onsdag förvandlas till Advanced CAMP: Leveraging Campus Infrastructure to Support Virtual Organizations Workshop. Första dagen var ganska bra fast Amerikanerna gör saker ganska annorlunda än vi i Europa - både på gott och ont.