7   AAI a mobilita

Činnosti probíhající v rámci aktivity AAI a mobilita lze rozdělit do tří oblastí:

7.1   Infrastruktura veřejných klíčů

Infrastruktura veřejných klíčů (PKI) tvoří významnou součást autentizačních služeb. Jednou z nejběžnějších oblastí využití PKI je autentizace serverů komunikujících protokolem SSL/TLS (běžně HTTPS, IMAPS, SMTPS, LDAPS...). Každý takový server je vybaven certifikátem veřejného klíče, obsahujícím DNS jméno (jména), na nichž je služba dostupná. Při navazování spojení si klient ověří, zda se jméno serveru, ke kterému se chtěl připojit, vyskytuje v certifikátu serveru. Je-li tomu tak, připojil se k zamýšlenému serveru. V opačném případě je vysoká pravděpodobnost, že byl jeho provoz odkloněn na falešný server.

Certifikační úřad CESNET CA vydává serverové certifikáty od svého zřízení v roce 2001. Jejich nevýhodou ovšem je, že běžný internetový klientský software (webové prohlížeče, programy pro přístup k elektronické poště apod.) nemá ve standardní konfiguraci nainstalován kořenový certifikát CESNET CA. V důsledku toho je při přístupu k serveru certifikovanému naším úřadem uživatel programem upozorněn, že certifikát serveru je vydán nedůvěryhodným certifikačním úřadem, a vyzván, aby označil, zda danému certifikátu důvěřuje. Tento proces uživatele mate a obtěžuje a obvykle končí bezmyšlenkovitým akceptováním jakéhokoli certifikátu. Tím ovšem existence serverových certifikátů v podstatě pozbývá smyslu.

S těmito problémy se potýkají certifikační úřady všech evropských národních akademických sítí. Proto byl v roce 2005 zahájen projekt Server Certificate Service (SCS) osmi evropských NREN pod záštitou asociace TERENA. Cílem projektu je zakoupení služby poskytování certifikátů veřejných klíčů pro síťové servery a služby od certifikační autority, jejíž kořenový certifikát je implicitně instalován ve většině standardních internetových klientů. V průběhu roku 2005 jsme spolu s kolegy z ostatních účastnických sítí národního výzkumu (ACONET, CARNet, CESNET, RENATER(CRU), RedIRIS, SURFnet, SWITCH, UNI-C) a TERENY připravili zadání výběrového řízení na poskytovatele této služby. Vítězem soutěže se v prosinci 2005 stala společnost GlobalSign. V lednu 2006 byla uzavřena smlouva a zahájena implementační část projektu.

Požadavky SCS tak, jak jsme je definovali v přípravné fází projektu, neodpovídaly plně praxi, kterou GlobalSign uplatňuje vůči svým ostatním zákazníkům. Firma nicméně vyjádřila ochotu vyjít účastníkům projektu vstříc v rámci možností daných stávající certifikační politikou a odbornou kapacitou, kterou mohla pro naše účely vyčlenit. Ukázalo se, že vzájemná adaptace byla náročnější, než obě strany původně předpokládaly. Na jedné straně velká firma s množstvím závazků vůči rozsáhlému počtu zákazníků, jejíž hlavní devízou je důvěryhodnost, a tedy je přirozeně konzervativní. Na druhé straně osm akademických sítí zastoupených experty v oboru teorie i praxe PKI zvyklými implementovat ve svých podmínkách všechny služby a jejich modifikace vlastními silami a podle potřeby třeba okamžitě.

Po několika iteracích dodal GlobalSign v červnu službu tak, že odpovídala požadavkům definovaným CESNET CA. Především bylo upraveno uživatelské rozhraní tak, že umožňuje žádat o certifikáty s více než jedním doménovým jménem - praxe, na niž jsou naši uživatelé zvyklí a kterou hojně využívají. Během léta jsme připravili uživatelskou dokumentaci a odladili provozní procedury ve spolupráci s účastníky pilotního projektu (CESNET, VŠCHT, TUL, AMU a UK). V listopadu byla služba otevřena všem členům sdružení CESNET.

CESNET CA

Nezávisle na přípravě služby SCS pokračovala i v roce 2006 činnost certifikačního úřadu CESNET CA. V polovině prosince 2006 spravuje CESNET CA kolem 700 aktivních certifikátů. Z toho je asi 400 serverových, zbytek jsou osobní certifikáty převážně gridových uživatelů a správců serverů. I podstatná část serverových certifikátů CESNET CA je používána v gridových projektech. Vzhledem k tomu, že bychom v následujícím období chtěli většinu serverových certifikátů převést pod správu certifikačního úřadu GlobalSign v rámci projektu SCS, budeme v příštím roce usilovat o jeho akreditaci u EUGridPMA (akreditace je nutná pro akceptování certifikátů gridovými projekty). Cílem je vyčlenit CESNET CA pouze pro vydávání speciálních typů serverových certifikátů, pro které není CA GlogalSign vhodná.

Během letních měsíců jsme využili příležitosti a spolu s dokumentací služby SCS jsme připravili nové webové stránky CESNET CA. Stránky plně integrují dokumentaci všech PKI služeb poskytovaných sdružením CESNET v rámci řešení výzkumného záměru: správu osobních certifikátů, správu serverových certifikátů CESNET CA a správu serverových certifikátů SCS.

V průběhu roku jsme připravovali službu OCSP (On-line Certificate Status Protocol). Chceme tak umožnit klientům ověřovat stav certifikátu (platný/odvolaný) v on-line režimu dotazem u specializovaného serveru (tzv. OCSP responder) a tak zjednodušit dosavadní praxi, kdy musí klienti pro ověření periodicky stahovat kompletní seznam odvolaných certifikátů (CRL), nebo dokonce na ověřování platnosti certifikátů rezignují.

Pro provoz responderů jsme zvolili volně šiřitelný software OCSPD z projektu OpenCA. Pro zabezpečení privátních klíčů responderů budou použity hardwarové bezpečnostní moduly nCipher. Řešení jsme ověřili v laboratorních podmínkách.

Pro službu OCSP se nám podařilo zaujmout i partnery z projektu SCS. Společnost GlobalSign nám vyšla vstříc a připravuje na začátek příštího roku podmínky pro nasazení OCSP pro certifikáty SCS. Podle dosavadních dohod by službu pro všechny účastníky projektu měl spolu s CESNETem provozovat SURFnet. Pro první fázi předpokládáme nasazení pěti OCSP responderů rozmístěných v Nizozemsku a České republice. Po otevření možnosti nasadit službu OCSP nejen pro certifikáty CESNET CA ale i SCS jsme se rozhodli uvést službu do provozu najednou pro oba certifikační úřady. Předpokládáme, že k tomu dojde po doladění podmínek s GlobalSignem a SURFnetem v první polovině příštího roku.

7.2   Česká akademická federace identit

V roce 2006 pokračovaly přípravy vzniku české akademické federace identit. Při naší aktivitě výzkumného záměru byla založena pracovní skupina pro přípravu federace. Jejími účastníky jsou zaměstnanci devíti českých akademických institucí (CESNET, ČVUT, Masarykova Univerzita, STK, TUL, UJEP, UK, VŠCHT, ZČU). Hlavními oblastmi činnosti skupiny byl rozvoj lokálních systémů správy identit (IdMS - Identity Management Systems), nasazení a rozvoj lokálních autentizačních a autorizačních systémů, výběr federačního software a sjednocení schématu atributů.

Provoz federace identit není možný bez shody jejích jednotlivých účastníků na syntaxi a významu atributů, které o entitách (uživatelích) vydává poskytovatel identity (IdP - Identity Provider). Jelikož samozřejmě předpokládáme, že se česká federace zapojí do evropského a světového kontextu, vyšli jsme při definování schématu atributů ze standardu eduPerson vytvořeného v rámci projektu Internet2 a používaného ve většině akademických federací identit. Ze studia zkušeností zahraničních kolegů vyplynulo, že naprostá většina národních federací měla potřebu schéma eduPerson nějakým způsobem rozšířit o národní prvky. Vznikla tak rozšíření jako norEduPerson (norská federace FEIDE), switchEduPerson (švýcarská federace SWITCHaai), auEduPerson (autentizační projekt australských knihoven) a další.

Během celoroční diskuse nad přípravou schématu czEduPerson jsme zjistili, že pro naše potřeby není (možná prozatím) nutné schéma eduPerson nijak rozšiřovat. Jedním z možných vysvětlení je to, že připravujeme federaci volnější, jejíž vazby a struktura nejsou dány potřebami konkrétní specifické aplikace. Nicméně předpokládáme, že v případě potřeby budeme schopni atributové schéma rozšířit. Jako jeden z hlavních zdrojů chceme v tom případě využít schéma SCHAC rozvíjené výborem SChema Harmonisation Committee pracovní skupiny TF-EMC2 TERENA, na jehož vývoji se někteří členové skupiny podíleli. Prozatím jsme se rozhodli ve zúčastněných organizacích implementovat schéma eduPerson. Pro implementátory jsme připravili výklad jednotlivých atributů, viz [Ce06].

Základními kameny úspěšné federace identit jsou lokální autentizační a autorizační systémy provozované jejími jednotlivými členy. Pro ty, kteří se rozhodují o výběru takového systému pro svoji organizaci, jsme připravili přehled a zhodnocení některých řešení v [No06].

Stěžejním úkolem na rok 2006 pro nás byl výběr federačního software. Hlavním kandidátem byl systém Shibboleth vyvíjený v rámci Internet2. Tento software používá nejen americká federace InCommon, ale i některé významné evropské akademické federace jako např. švýcarská SWITCHaai nebo finská haka. Shibboleth stojí na otevřených standardech SAML (Security Assertion Markup Language) a je určen především pro autentizaci a autorizaci přístupu k WWW aplikacím.

Alternativou k Shibbolethu byl systém A-Select vyvíjený jako projekt SURFnetu. Na rozdíl od Shibbolethu vznikl A-Select původně jako lokální autentizační systém pro WWW aplikace; o možnost podpory federací byl rozšířen později. V Nizozemsku je hojně rozšířen i mimo akademickou oblast. V květnu 2006 byla vydána verze 1.5 plně podporující SAML 1.1 a kompatibilní na úrovni federace s Shibbolethem.

Po otestování obou kandidátů jsme zjistili, že oba systémy jsou podle očekávání zhruba stejně náročné jak na instalaci, tak na výpočetní výkon (oba jsou implementovány v technologii JSP). Předpokládali jsme, že hlavní výhodou A-Selectu bude to, že poskytuje prostředky pro lokální Single Sign-On (jednotné přihlášení k lokálním WWW aplikacím). Ukázalo se, že pro tyto účely může být A-Select v některých případech příliš robustní a že některé organizace dají přednost "lehčímu" řešení. Na federační úrovni vyžaduje A-Select provoz další instance serveru a nepodporuje snadno přímé předávání podepsaných atributů. Z těchto důvodů jsme se rozhodli použít pro realizaci české národní akademické federace identit systém Shibboleth.

7.3   eduroam - roaming uživatelů mezi institucemi

Jednou z nejúspěšnějších implementací federované architektury je v poslední době zřejmě projekt eduroam. Poskytuje konektivitu mobilním uživatelům již ve více než 30 zemích.

Na národní úrovni jsme se v roce 2006 zaměřili především na stabilizaci technické infrastruktury a připojování nových členů. Zajištění stability provozu si při stále rostoucím počtu připojených institucí vyžaduje kvalitní dohledové nástroje. Připravili jsme monitorovací systém umožňující sledovat dostupnost služeb v jednotlivých účastnických sítích pro uživatele všech členských organizací. Systém využívá kostry populárního dohledového systému Nagios, pro vlastní testování jsme připravili sondy simulující autentizační požadavky protokoly běžnými v eduroam.cz. Díky nasazení tohoto systému mají uživatelé i správci k dispozici přehlednou informaci o stavu infrastruktury eduroam.cz během posledních 30 minut. Příklad přehledové matice je uveden na obrázku.

[Obrázek]

Obrázek 7.1: Výstup monitoru eduroam.cz

Dohledový systém je podrobněji popsán v [To06]. Systém jsme prezentovali na schůzce TF-Mobility v květnu 2006 jako příspěvek k diskusi o implementaci mezinárodní dohledové infrastruktury eduroam.

Zavedení dohledového systému ukázalo, že dosavadní architektura nejenže nepřispívá ke stabilitě systému, ale může ji i ohrozit. Zjistili jsme, že většina RADIUS serverů na organizační úrovni není schopna správně reagovat na výpadek jednoho z národních serverů a přesměrovat provoz na server záložní. To samé platí i pro národní servery některých partnerských organizací. Na základě těchto skutečností jsme odstranili sekundární národní RADIUS server. Jediný národní server je tak schopen eliminovat většinu výše uvedených problémů. Navíc se systém významně zjednodušil a omezila se možnost konfigurační chyby na serverech připojených institucí.

Pro usnadnění správy národního uzlu jsme připravili automatický systém vytváření konfigurace národního RADIUS serveru z dat uložených v LDAP databázi CAAS. Ze stejných dat automaticky generujeme i konfiguraci monitorovacího systému.

Abychom zvýšili informovanost uživatelů a správců o projektu eduroam.cz, převedli jsme stávající portál do systému wiki, umožňujícího snadnější přidávání a modifikaci dokumentace všem zainteresovaným. Podařilo se nám tak rozšířit množinu tvůrců dokumentace.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz