4   Autentizační a autorizační služby

4.1   Autentizační a autorizační služby

Rozvoj sítě CESNET2 a zejména rozvoj aplikací si vyžádal rozšíření stávajících a nasazení nových autentizačních a autorizačních služeb.

4.1.1   Centrální autentizační a autorizační systém

Centrální autentizační a autorizační systém sítě CESNET (CAAS) vznikl v roce 2001 jako prostředek pro zajištění jednotné správy uživatelů, zdrojů a služeb a přístupových oprávnění v rámci projektů výzkumného záměru. Od svého vzniku poskytuje autentizační a autorizační služby WWW aplikacím a řízení přístupů k prvkům páteřní sítě. V průběhu letošního roku byl rozšířen o podporu řízení uživatelských terminálových přístupů k operačním systémům sdílených hostitelských počítačů a přístupů k některým centrálně spravovaným službám (např. elektronická pošta).

Architektura

[Obrázek]

Obrázek 4.1: Architektura CAAS

Datovou základnu CAAS tvoří sestava LDAP serverů. V roce 2003 jsme povýšili stávající instalace z iPlanet Directory Serveru verze 4.1 na Sun ONE Directory Servery verze 5.2. K aktivní správě dat slouží master server doplněný WWW rozhraním. Data z master serveru jsou replikována na repliky vyřizující autentizační a autorizační požadavky jednotlivých síťových služeb.

Hlavní repliky běží na počítačích ldap1.cesnet.cz, ldap2.cesnet.cz a ldap3.cesnet.cz, které jsou umístěny v topologicky významných uzlech sítě: v Praze, v Brně a v Ostravě. Pro autentizaci a autorizaci přístupů k prvkům páteřní sítě (NAS) běží na hlavních replikách TACACS+ servery. Ostatní síťové služby využívající CAAS (HTTP servery, IMAP server CESNETu, terminálový přístup k operačním systémům) komunikují přímo zabezpečeným protokolem LDAPS.

WWW rozhraní pro správu CAAS

Pro správu dat CAAS jsme v rámci řešení výzkumného záměru vyvinuli WWW rozhraní. Je postaveno na perlovských knihovnách perlOpenLDAP pro implementaci LDAP protokolu (perlovské rozhraní ke knihovnám OpenLDAP), objektové knihovně myPerlLDAP pro práci s LDAP datovými objekty a knihovnách pro tvorbu WWW aplikací myAppFramework a myForms. Prezentační vrstva je realizována XSLT šablonami, které zajišťují i lokalizaci do různých jazyků. Prozatím je implementována česká a anglická verze. Jednotlivé aplikace WWW rozhraní jsou provozovány v prostředí modulu mod_perl pro HTTP server Apache (viz [Sov02]).

WWW rozhraní je provozováno na dedikovaném počítači, s master LDAP databází komunikuje zabezpečeným protokolem LDAPS. V roce 2003 jsme rozhraní vybavili aplikacemi pro správu skupin, umožňujícími správcům jednotlivých skupin modifikovat seznam členů skupiny. Další nová aplikace je určena pro vytváření a rušení uživatelů (řešitelů výzkumného záměru) pracovníkem osobního oddělení CESNET, z. s. p. o. na základě vzniku, resp. zániku jejich pracovního poměru.

Klienti CAAS

Pro řízení přístupů na základě CAAS využíváme různých klientů. Prvky páteřní sítě provádějí autentizaci a autorizaci přístupů na základě komunikace s TACACS+ servery, jejichž konfigurace je uložena v LDAP databázi CAAS. Pro WWW aplikace jsme vyvinuli moduly auth_ldap a auth_ldap_x509 pro HTTP server Apache, které podporují autentizaci uživatele pomocí uživatelského jména a hesla, resp. pomocí uživatelského certifikátu a autorizaci na základě vlastností odpovídajících uživatelských a skupinových záznamů v LDAP serveru. Přístup ke službám operačního systému řídíme standardním modulem PAM-LDAP (Pluggable Authentication Module with LDAP interfaces).

4.1.2   Rekonfigurace CAAS

V roce 2003 jsme provedli zásadní rekonfiguraci celého systému CAAS. Změny spočívaly v povýšení verzí LDAP serveru, rozšíření počtu replik a vyhrazení master databáze pouze pro modifikaci dat. Procesu rekonfigurace jsme využili i ke změně přípony datového stromu. Od původní přípony o=ten.cz podle "klasické" koncepce dle doporučení ITU X.500 jsme přešli k "modernímu" formátu založenému na doménových jménech - dc=cesnet, dc=cz. Výhodou nového zakotvení dat by měla být snazší integrace našich adresářových služeb do národního i mezinárodního kontextu. Zároveň jsme během rekonfigurace přesunuli všechny LDAP servery z domény ten.cz do domény cesnet.cz.

Rekonfigurace byla náročná nejen technicky, ale především organizačně. Bylo třeba zaručit nepřetržitý chod všech služeb CAAS po celou dobu přechodu.

Rekonfigurace probíhala v následujících etapách:

  1. Instalace nového master serveru na novém počítači.
  2. Vytvoření DNS aliasů pro jména LDAP serverů v doméně ten.cz odkazujících na nová jména v doméně cesnet.cz.
  3. Postupná reinstalace obou stávajících LDAP serverů tak, aby vždy alespoň jeden poskytoval služby CAAS. Servery byly inicializovány s novými doménovými jmény.
  4. Uzamčení stávající master databáze proti zápisu.
  5. Export dat z původní master databáze.
  6. Úprava exportovaných dat - změna přípony z o=ten.cz na dc=cesnet, dc=cz.
  7. Import upravených dat do nové master databáze.
  8. Inicializace replik pro novou příponu.
  9. Uzamčení nové master databáze proti zápisu. V tomto okamžiku byly servery CAAS dostupné jak pod starými, tak i pod novými doménovými jmény. Data na serverech byla uložena ve dvou kopiích - se starou i novou příponou.
  10. Výzva správcům služeb využívajících CAAS, aby rekonfigurovali své systémy tak, aby používaly nová doménová jména LDAP serverů a novou příponu.
  11. Po rekonfiguraci všech závislých služeb (díky výborné spolupráci všech zúčastněných byla tato etapa ukončena během dvou dnů) uzavření dat pod starými příponami pro čtení.
  12. Otevření nové master databáze pro zápis.
  13. Instalace a inicializace třetí repliky CAAS.

4.2   Certifikační autorita CESNET CA

V roce 2003 byly významným způsobem zhodnoceny zkušenosti získané při rozvoji infrastruktury veřejných klíčů (PKI) pro podporu českých uživatelů a řešitelů projektu DataGrid (viz [Sov02]) a pilotního projektu PKI pro členy sdružení. 1. dubna 2003 jsme oficiálně otevřeli certifikační autoritu CESNET CA pro českou akademickou obec.

Předpokladem pro poskytování certifikačních služeb bylo vytvoření nové certifikační politiky CESNET CA Basic Level Certificate Policy a úprava certifikační prováděcí směrnice CESNET CA Certificate Practice Statement version 1.2. Tyto dokumenty reflektují požadavky specifikované v rámci projektu DataGrid, zároveň odrážejí výsledky pilotního projektu podpory PKI na vybraných vysokých školách.

Lze říci, že naše zkušenost s provozováním certifikační autority otevřené široké obci akademických uživatelů měla pozitivní vliv i na práci pracovní skupiny WP6 - CA Managers projektu DataGrid. Doposud jsme totiž jediným zástupcem v této pracovní skupině, který provozuje takto otevřenou certifikační autoritu - všechny ostatní zúčastněné CA poskytují služby pouze v rámci gridových projektů. V posledních měsících roku 2003 se začaly i v rámci této pracovní skupiny objevovat tendence k zapojení dalších otevřených certifikačních autorit. Domníváme se, že i díky naší aktivní práci ve skupině WP6 - CA Managers bude moci tento proces pokračovat bez větších obtíží.

Po ukončení projektu DataGrid na konci roku 2003 bude stávající pracovní skupina WP6 - CA Managers pokračovat v práci jako Policy Management Authority v rámci projektu EGEE. Hodláme pokračovat v aktivní spolupráci i na této platformě s cílem zajistit co nejkvalitnější PKI služby našim uživatelům.

Aby bylo možné otevřít CESNET CA uživatelům mimo gridové projekty, bylo potřeba zajistit vyšší dostupnost služeb registrační autority (RA) - pracoviště, se kterým přichází uživatel bezprostředně do styku. Připravili jsme novou verzi software pro RA, která umožňuje současnou práci několika RA nad sdílenou databází. Data jsou spravována prostředky LDAP serveru. Mezi hlavní důvody pro volbu tohoto řešení namísto relační databáze patří nativní řešení přístupových práv poskytované LDAP serverem až do úrovně jednotlivé datové položky, standardizované a zabezpečené síťové rozhraní a možnost integrace s ostatními LDAP službami, které provozujeme.

V současné době operují v rámci CESNET CA tři registrační autority. Všechna tři pracoviště jsou umístěna v prostorách CESNET, z. s. p. o. v Praze. S růstem počtu žádostí o vystavení certifikátu od mimopražských uživatelů počítáme se zřízením dalších registračních autoritě v lokalitách členů sdružení. V první polovině roku 2004 plánujeme vznik dvou mimopražských RA.

4.2.1   Využití služeb CESNET CA

Ke konci listopadu 2003 bylo v databázích CESNET CA zaregistrováno 12 českých akademických institucí (registrována je každá instituce, jejíž uživatel požádá o certifikát). K tomuto datu bylo v oběhu 175 platných certifikátů, z toho 51 uživatelských a 124 serverových.

Z výše uvedeného přehledu vyplývá, že certifikáty jsou doposud používány především pro autentizaci serverových služeb pro zabezpečené SSL/TLS spojení. Uživatelské certifikáty slouží autentizaci uživatelů gridovských služeb a pro identifikaci správců serverových služeb v procesu podávání žádostí o serverové certifikáty.

Tento stav je obvyklý i v ostatních otevřených CA evropských NREN. Důvodem je nedostatek aplikací autentizujících uživatele prostředky PKI. Na rok 2004 připravujeme masivní nasazení autentizačního modulu aut_ldap_x509 do HTTP serveru Apache pro většinu WWW služeb provozovaných v CESNETu. Očekáváme, že tím výrazně podpoříme rozvoj využívání uživatelských certifikátů. S větším rozšířením certifikátů mezi uživateli bude možné i jejich praktické využití v dalších aplikacích, jako je například elektronická pošta.

Jedním z dlouhodobých problémů, které brání širokému nasazení PKI zejména v akademických sítích, je správa certifikátů na straně uživatele. Studenti - až na výjimky - používají na školách "veřejné" počítače a nemohou mít uloženy privátní klíče na jejich lokálních discích. V průběhu roku 2003 se objevilo technologické řešení, které by mohlo pomoci překonat i tuto překážku. Jedná se o čipové karty, které mohou nést privátní klíče a provádět kryptografické operace přímo v procesoru karty. Privátní klíč tak nikdy kartu neopustí a může být bezpečně používán i na sdíleném počítači. Tyto karty jsou vhodným kandidátem pro řešení studentských a zaměstnaneckých průkazů vydávaných školami.

Zavádění nových technologií pro studentské a zaměstnanecké průkazy je organizačně a ekonomicky velmi náročné a vyžaduje důkladnou přípravu. Navázali jsme úzkou spolupráci s pracovní skupinou ID-Karty sdružující zástupce pracovišť vydávajících identifikační průkazy na vysokých školách. Členové pracovní skupiny projevili zájem o zavádění čipových karet podporujících PKI. Strategickým cílem je přechod na novou technologii karet v časovém horizontu několika příštích let. 4. prosince 2003 jsme uspořádali seminář Čipové technologie pro aplikace vyžadující identifikaci a elektronický podpis. Na semináři vystoupili zástupci vysokých škol, CESNET, z. s. p. o. a specialisté z firmy CoProSys. Zástupci některých vysokých škol se přihlásili k testování karet SPK2.5DI ve svých lokálních podmínkách s cílem ověřit jejich kompatibilitu se stávajícími aplikacemi. Výsledky testů, které očekáváme v průběhu příštího roku, využijeme při přípravě strategie přechodu identifikačních karet VŠ na technologii podporující PKI.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz