7 AAI a mobilita
Základním cílem výzkumné aktivity AAI a mobilita je vytvoření a rozvoj generické autentizační a autorizační infrastruktury (AAI). Tato infrastruktura má poskytovat uživatelům a poskytovatelům služeb a prostředků sítě CESNET2 autentizační a autorizační podporu tak, aby nebylo nutné registrovat uživatele pro každou službu zvlášť a zatěžovat tak správce i uživatele. Základním východiskem je využití autentizačních služeb jednotlivých institucí - každý uživatel je registrován u své domovské instituce, a ta má zavedené mechanismy k ověření jeho identity. Jako podklad pro autorizační rozhodnutí je potom možné využít kategorizaci uživatelů poskytnutou domovskou institucí.
Nezbytným předpokladem pro naplnění tohoto ambiciózního cíle je rozvoj a standardizace rozhraní autentizačních systémů jednotlivých institucí nejen v národním, ale především v mezinárodním měřítku. Úzká vazba na vývoj řešení sledované problematiky na mezinárodním fóru významně ovlivňuje postup prací na národní úrovni.
Vedle generické AAI, jejíž příprava probíhá i na mezinárodní úrovni doposud převážně teoreticky, rozvíjejí se existující specifické autentizační a autorizační infrastruktury některých projektů. Zřejmě nejvýznamnější je AAI projektu eduRoam založená na protokolu RADIUS.
7.1 Projekt eduRoam.cz
Stěžejní část zdrojů aktivity byla v roce 2004 v souladu se situací v mezinárodním kontextu věnována rozvoji služeb pro mobilní uživatele. Projekt eduRoam zahájený v pracovní skupině Mobility-TF asociace TERENA a zařazený do programu JRA5 projektu GN2 umožňuje uživatelům jednotlivých účastnických institucí připojit se k (obvykle bezdrátové) síti libovolné další spolupracující instituce a získat tak přístup k Internetu, případně některým dalším službám provozovaným hostitelskou sítí (roaming). Autentizaci uživatele provádí vždy domovská instituce a komunikační kanál mezi autentizační službou a uživatelem je vytvářen jedním z těchto způsobů:
- 802.1X + síť RADIUS serverů
- VPN tunel
- WWW aplikace + síť RADIUS serverů
![[Obrázek]](RM.gif)
Obrázek 7.1: AAI projektu eduRoam
AAI projektu eduRoam je realizována hierarchickou strukturou RADIUS serverů. Servery na úrovni instituce slouží k autentizaci lokálních uživatelů - jsou obvykle propojeny s lokální databází uživatelů. V případě, kdy o autentizaci žádá jiný než lokání uživatel, je požadavek přesměrován na národní RADIUS server. Národní servery udržují seznam institucí a jejich RADIUS serverů pro svoji oblast. Je-li příchozí požadavek na uživatele z některé instituce registrované na národním serveru, je přesměrován na její RADIUS server. Týká-li se požadavek uživatele z jiné národní sítě, přesměruje jej národní server na server nejvyšší úrovně. Ten udržuje seznam registrovaných národních sítí a jejich RADIUS serverů a provádí směrování požadavků na nejvyšší úrovni. Bližší podrobnosti viz. [TR12/04].
Českou účast v projektu eduRoam zajišťuje národní projekt eduRoam.cz. Zahájení jeho první fáze - pilotního projektu - ve druhém pololetí roku 2004 se setkalo s velkým ohlasem. Do konce roku bylo připojeno 9 lokalit z osmi institucí:
- CESNET, Praha 6, Zikova 4
- Univerzita Karlova
- FAF, Hradec Králové, Heyrovského 1203
- Rektorát, Praha 1, Ovocný trh 5
- ČVUT FEL, Praha 6, Technická 2
- TUL, Liberec 1, Hálkova 6
- UHK, Hradec Králové 3, Rokitanského 62
- UJEP, Ústí nad Labem, Hoření 13
- VŠCHT, Praha 6, Technická 5
- ZČU, Plzeň, Univerzitní 8
Cílem pilotního projektu je připravit a ověřit technické a organizační podmínky pro provoz roamingu jak mezi sítěmi českých akademických institucí navzájem, tak i mezi nimi a ostatními sítěmi projektu eduRoam. K hlavním aktivitám pilotního projektu patří:
- ověření průchodnosti, spolehlivosti a kompatibility RADIUS infrastruktury
- ověřování funkčnosti 802.1X zařízení pro uživatele, doporučené konfigurace (http://www.eduroam.cz/uzivatel/TestovaciTabulka.html)
- koordinace konfigurace VPN tunelů pro autentizaci
- příprava roamingové politiky
Aktuální informace, dokumenty, návody a software jsou uživatelům k dispozici na portálu www.eduRoam.cz.
Propojení eduRoam.cz s ostatními sítěmi projektu eduRoam zajišťuje dvojice RADIUS serverů radius1.eduRoam.cz a radius2.eduRoam.cz osazených softwarem RADIATOR od firmy Open System Consultants (žádný volně šiřitelný RADIUS server nevyhověl potřebám projektu a při testech relevantních vlastností nejlépe obstál, obdobně jako ve většině ostatních národních sítí, právě RADIATOR). Abychom zvýšili zabezpečení komunikace mezi RADIUS servery, vyžadujeme pro ni povinné použití protokolu IPsec. Podrobný popis technických podmínek pro připojení sítě k eduRoam.cz uvádí [TR31/04].
V rámci prací na projektu jsme vyvinuli WWW autentizační bránu Scaa - firewall řízený WWW aplikací, která ověřuje uživatele prostřednictvím protokolu RADIUS. Bránu používáme v prostorách sdružení CESNET v Praze jako alternativu k autentizaci prostřednictvím protokolu 802.1X, software je k dispozici na portálu www.eduRoam.cz.
Pilotní projekt bude vyhodnocen ve druhé polovině roku 2005. Očekáváme, že výsledkem bude vznik standardního prostředí pro roaming v síti CESNET2. Zároveň chceme v následujícím období spolupracovat na mezinárodní úrovni na návrhu a tvorbě eduRoam-ng, tj. podpory roamingu "nové generace", která by měla odstranit některé nedostatky současného systému dané zejména vlastnostmi protokolu RADIUS a jeho použitím. Předpokládáme, že při této práci zúročíme zkušenosti získané při provozu IPsec infrastruktury stávajícího systému.
7.2 Generická AAI
Proti původním předpokladům nedošlo v roce 2004 k významným pokrokům na poli standardizace AAI v rámci evropských NREN. Projekt GN2, jehož výzkumná aktivita JRA5 se zabývá AAI a mobilitou, byl zahájen až ve čtvrtém čtvrtletí, nová pracovní skupina asociace TERENA TF-EMC2 byla ustavena také až na podzim a zdá se, že kapacity všech NREN byly upřeny k přípravě vzniku těchto nových platforem.
Jelikož tak zůstává otázka směru dalšího rozvoje oblasti otevřená, soustředili jsme se především na přípravu lokálních prvků AAI (uživatelské databáze - LDAP, jednotlivé autentizační systémy, PKI). Práce spojené s integrací jsme se rozhodli odložit na období, kdy bude zřejmé, jakou cestu zvolit tak, abychom neměli problémy s kompatibilitou s ostatními NREN. Naši řešitelé jsou aktivními členy obou výše zmíněných pracovních skupin, jsme tedy podrobě informováni o jejich činnosti a můžeme ji i v rámci možností ovlivňovat.
7.3 PKI
I v roce 2004 pokračovala činnost certifikačního úřadu CESNET CA. Kromě rutinního poskytování služeb (ke konci roku bylo v oběhu přes dvě stě aktivních serverových certifikátů a přes 80 certifikátů osobních) jsme provedli úpravu profilu serverového certifikátu tak, aby byl akceptován běžnými komerčními 802.1X klienty.
Zároveň jsme zahájili přípravy na obnovení kořenových klíčů. Stávající kořenový certifikát expiruje 27. 6. 2006. Jelikož certifikáty koncových účastníků jsou vydávány s platností 12 měsíců, bude stávajícím kořenovým privátním klíčem možné podepsat poslední certifikát 27. 6. 2005. Vzhledem k tomu, že EUGridPMA (orgán, který má zatím největší vliv na politiku CESNET CA) připravuje změny minimálních požadavků na CA, které se týkají i doby platnosti kořenového certifikátu, připravujeme během prvního pololetí 2005 start nového systému CESNET CA, který by měl těchto změn plně využít. Zároveň chceme využít této příležitosti k nasazení profesionálního software Entrust Authority pro provoz CA. Budeme tak moci nabídnout uživatelům zvýšený komfort při zachování maximální bezpečnosti a důvěryhodnosti systému.
předchozí
|
 obsah |
následující
|