7   AAI a mobilita

Činnosti probíhající v rámci aktivity AAI a mobilita lze rozdělit do tří oblastí:

Práce ve všech třech oblastech probíhá v těsné vazbě na mezinárodní aktivity v evropském i celosvětovém kontextu. Tato spolupráce má nezanedbatelný vliv na postup prací na národní úrovni; v některých případech ovlivňuje priority jednotlivých úloh a zadání.

7.1   Roaming uživatelů mezi institucemi

Rok 2005 byl velmi významný pro rozvoj roamingu uživatelů mezi akademickými institucemi. Probíhal pilotní projekt eduroam.cz (viz. [Sov04]), v jehož rámci bylo připojeno pět nových institucí a lokalit. Ke konci roku na pilotním projektu spolupracovaly instituce uvedené v tabulce. Možnost využívat přístupu k Internetu prostřednictvím bezdrátových sítí zúčastněných organizací je díky tomu dostupná tisícům uživatelů.

Instituce Lokalita
CESNET z. s. p. o Praha 6, Zikova 4
Karlova Univerzita Areál Jinonice, Praha 5, U kříže 10
FAF, Hradec Králové, Heyrovského 1203
FF, Praha 1, Jana Palacha 2
PRF, Praha 1, nám. Curieových 7
Rektorát, Praha 1, Ovocný trh 5
ČVUT FEL, Praha 6, Technická 2
FJFI, Praha 1, Břehová 7
OSU Dvořákova 7, Ostrava
TUL Liberec 1, Hálkova 6
UHK Hradec Králové 3, Rokitanského 62
UJEP Ústí nad Labem, Hoření 13
VŠCHT Praha 6, Technická 5
ZČU Plzeň, Univerzitní 8

Tabulka 7.1: Účastníci pilotního projektu eduroam.cz

O neustále rostoucí popularitě projektu svědčí i zájem dalších institucí připojit se v průběhu příštího roku, jakmile budou schopny vybavit své lokality odpovídajícím technickým zařízením.

Pro většinu uživatelů a administrátorů připojených sítí představuje projekt eduroam.cz službu na úrovni velice blízké provozní. Infrastruktura poskytuje stovkám aktivních uživatelů očekávanou službu - přístup k Internetu nejen v rámci ČR ale i v sítích partnerských organizací v Evropě i některých dalších zemích. Před převodem služby do rutinního provozu je ovšem nutné dořešit ještě některé její vlastnosti.

S rostoucím počtem zapojených institucí a lokalit narůstá potřeba kvalitního monitorování autentizační infrastruktury projektu. V průběhu roku se velmi osvědčil systém automatického dozoru IPsec spojení mezi jednotlivými RADIUS servery. Systém vyhodnocuje dostupnost RADIUS serverů a posílá denně statistiku dostupnosti správcům jednotlivých serverů. I s jeho pomocí se nám podařilo i přes dílčí problémy se stabilitou a robustností některých implementací IPsec dosáhnout ke konci roku celkové prostupnosti infrastruktury blízké 100 %.

Pro monitorování vlastní funkčnosti autentizační infrastruktury projektu eduroam.cz využíváme dohledový systém Nagios. Systém v pětiminutových intervalech provádí ověřovací pokus o autentizaci na RADIUS serverech připojených institucí. Výsledky jsou prostřednictvím serveru saint.cesnet.cz k dispozici provoznímu dohledu sítě CESNET2 a správcům systému. Pro ověření autentizace používáme zatím standardní RADIUS plugin pro Nagios. Jeho nevýhodou je, že nepracuje s autentizačními mechanismy běžně používanými uživateli při připojování k síti (EAP/TTLS, EAP/TLS, PEAP/MSCHAPv2, ...). V rámci projektu jsme připravili vlastní ověřovací pluginy schopné provést autentizaci libovolným z mechanismů běžně užívaných 802.1x suplikanty. Jejich nasazení do dohledového systému sítě plánujeme na začátek roku 2006.

Své zkušenosti s monitorováním infrastruktury RADIUS serverů sdílíme se zahraničními kolegy na půdě pracovní skupiny TF-Mobility asociace TERENA, kde připravujeme vznik globálního dohledového systému v rámci mezinárodního projektu eduroam.

Po vyhodnocení pilotního projektu na podzim roku 2005 (viz [Fur05]) bylo rozhodnuto navázat druhou fází pilotu se zaměřením na dobudování dohledového systému a jeho začlenění do vznikajícího mezinárodního systému.

7.2   Podpora autentizačních a autorizačních federací

Základní představa autentizační a autorizační federace je prostá: Federaci tvoří množina institucí, které se dohodly na společném využívání zdrojů a které navzájem akceptují své lokální autentizační a autorizační mechanismy a postupy. Uživatel jedné z účastnických institucí pak může využívat služeb poskytovaných libovolným dalším členem federace, aniž by musel být zaregistrován a ověřen jako lokální uživatel poskytovatele. Autentizaci a informace potřebné pro autorizační rozhodnutí poskytuje domovská organizace uživatele.

Funkční federace musí být definována na několika vrstvách: od komunikačních protokolů a datových formátů přes sémantiku předávaných dat až po provozní a organizační pravidla ([Sov05]). S ohledem na stále se rozšiřující mezinárodní spolupráci je nutné při přípravě národní federace brát v úvahu situaci v evropském i celosvětovém kontextu. Problém výstavby autentizačních a autorizačních federací je v současné době řešen jak na půdě asociace TERENA (pracovní skupina TF-EMC2), tak v rámci projektu EU GÉANT2 (pracovní skupina JRA5). Příkladem specializovaných federací mohou být i některé Gridové projekty. Se všemi výše uvedenými komunitami úzce spolupracujeme, abychom zajistili kompatibilitu budoucí národní federace s mezinárodními aktivitami v oboru.

Základním předpokladem pro vznik federace je existence lokálních autentizačních a autorizačních systémů. Jejich výběr musí provést jednotlivé instituce samy podle lokálních požadavků. Hodnocení systému WebAuth, jednoho z potenciálních kandidátů je popsáno v [Gro05]. Systém WebAuth je nasazen na ZČU.

Přestože vznik generické autentizační a autorizační infrastruktury je technicky i organizačně náročný (jak je vidět i na postupu prací na mezinárodním poli), můžeme již dnes pro některé specifické účely s výhodou využít existující federativní infrastrukturu vybudovanou v rámci projektu eduroam. Příkladem takového využití může být projekt SIP telefonie CESNET2, který využívá autentizaci prostřednictvím infrastruktury eduroam.cz při registraci uživatelů.

7.3   Infrastruktura veřejných klíčů

V polovině roku 2006 (27. června) skončí platnost původního kořenového certifikátu certifikační autority CESNET CA. Vzhledem k tomu, že certifikáty koncových entit byly vydávány s platností 12 měsíců, bylo potřeba zajistit přechod na nový kořenový certifikát do 27. června 2005. Začátkem roku 2005 vyhlásila EUGridPMA (mezinárodní orgán, u nějž je CESNET CA akreditována) některé významné změny svých minimálních požadavků na CA. Rozhodli jsme se využít této příznivé časové shody a nahradit stávající provozní systém certifikační autority novým, odpovídajícím novým minimálním požadavkům.

Stará implementace CA byla koncipována jako off-line systém, tzn. vlastní pracoviště certifikační autority je instalováno na počítači, který se nikdy nepřipojuje k datové síti. Tím je zajištěna vysoká bezpečnost privátního podpisového klíče, na druhou stranu to ale klade vysoké nároky na obsluhu systému. Všechny žádosti o certifikáty nebo o jejich revokaci se musí přenášet na pracoviště CA na výměnných mediích, zpět se pak přenášejí vydané certifikáty a revokační seznamy a manuálně se kopírují na servery dostupné po internetu. Tento režim práce neumožňuje v podmínkách CESNET CA zajistit nepřetržitý provoz certifikační autority, což může mít za následek i několikadenní zdržení (víkend) při vydávání či zneplatňování certifikátů.

Z výše uvedených důvodů jsme se rozhodli implementovat nový systém CESNET CA jako on-line certifikační autoritu. Pro zajištění bezpečnosti privátního klíče on-line CA požaduje EUGridPMA použití hardwarového bezpečnostního modulu (HSM) certifikovaného podle normy FIPS 140-2 úroveň 3. Abychom mohli nabídnout uživatelům bezpečné, robustní a komfortní prostředí, zvolili jsme pro implementaci nové CESNET CA produkty firmy Entrust: Entrust Authority Security Manager pro vlastní systém CA a Entrust Authority Enrollment Server for Web jako uživatelské rozhraní pro koncové uživatele. Pro uložení privátního klíče jsme vybrali HSM Luna CA3 firmy SafeNet, se kterým Security Manager spolupracuje a který odpovídá požadavkům EUGridPMA.

Produkty firmy Entrust jsou obvykle charakterizovány jako plně integrované PKI řešení pro komerční či vládní organizace. Ukázalo se, že potřeby CESNET CA jako víceméně otevřené služby mohou být v některých případech odlišné. Abychom zajistili pracovní toky pro vydávání certifikátů odpovídající našim požadavkům, připravili jsme obslužný systém LAI, který umožňuje uživatelům registrovat data určená k certifikaci v prostředí české akademické komunity.

Vzhledem k vlastnostem softwarového toolkitu OpenSSL, který tvoří základ middleware většiny Gridových aplikací, jsme pro novou certifikační autoritu definovali nový jmenný prostor. Subjekty nových certifikátů jsou součástí datového informačního stromu dc=cesnet-ca,dc=cz.

Celý systém byl připraven tak, že 17. června 2005 mohla být nová certifikační autorita uvedena do provozu. Architektura nového systému je znázorněna na obrázku.

[Obrázek]

Obrázek 7.1: Vydání certifikátu CESNET CA

Činnosti při vydávání certifikátu pak probíhají následovně:

  1. Uživatel vyplní ve webovém rozhraní systému LAI informace, které mají být uvedeny v certifikátu.
  2. Systém přidělí uživateli rozlišovací jméno (DN), ověří vložená data a zanese záznam koncové entity (uživatel nebo jím spravovaný počítač) do databáze LDAP.
  3. Uživatel navštíví pracoviště registrační autority s požadovanými doklady. (Jde-li o certifikát pro počítač/službu, může poslat žádost o zpracování záznamu elektronickou poštou opatřenou digitálním podpisem).
  4. Operátor registrační autority znovu ověří data v záznamu subjektu uložená v databázi LDAP.
  5. Je-li záznam-žádost v pořádku, vloží ji do interní databáze systému certifikační autority a předá uživateli přístupové kódy pro vydání certifikátu. (V případě žádosti o certifikát pro počítač/síťovou službu mu je odešle elektronickou poštou zašifrované veřejným klíčem z uživatelova certifikátu.)
  6. Uživatel zadá ve webovém rozhraní Enrollment Server for Web obdržené přístupové kódy a žádost o certifikát (ta může být automaticky generována uživatelovým webovým prohlížečem).
  7. Enrollment Server for Web předá uživatelem zadaná data k vyřízení softwaru certifikační autority. CA vydá požadovaný certifikát a
  8. publikuje jej do příslušného záznamu v LDAP serveru.

Systém LAI je podrobněji popsán v [Tom05].

Při implementaci systému jsme zjistili, že komunikace mezi komponentami systému Entrust (registrační autorita, certifikační autorita) a LDAP serverem neprobíhá šifrovaně. Entrust plánuje odstranit tento nedostatek v nové verzi svých produktů v roce 2006. Do té doby jsme na uvedené systémy nasadili program stunnel, kterým komunikaci šifrujeme.

Jedním z hlavních důvodů pro nasazení nového systému CESNET CA bylo co nejvíce usnadnit uživatelům získávání certifikátů. Očekávaného výsledku bylo dosaženo u nových uživatelů. Paradoxně nejvíce problémů s přechodem na nový systém měli zavedení uživatelé zvyklí na staré postupy, které nové uživatelské rozhraní občas překvapilo. Po vyhodnocení uživatelské odezvy plánujeme na příští období úpravu WWW rozhraní tak, abychom uživatelům vyšli co nejvíce vstříc.

Mezi často zmiňovaná úskalí využití PKI patří správa a zabezpečení uživatelských privátních klíčů. Za vhodné řešení tohoto problému považujeme vybavit uživatele hardwarovými šifrovacími tokeny, na kterých je uložený privátní klíč chráněn heslem a nikdy je neopouští. Požadované kryptografické operace pak provádí token sám na žádost aplikace prostřednictvím ovladače v operačním systému. Zaměřili jsme se na výběr vhodných zařízení tohoto typu pro uživatele a zejména pro privátní klíče operátorů registračních autorit. Výsledky testů jsou uvedeny v [Jin05]. Operátory registračních autorit a vybrané uživatele plánujeme vybavit hardwarovými šifrovacími tokeny začátkem roku 2006 pro projednání na půdě EUGridPMA.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz