7   AAI a mobilita

V roce 2008 pokračovala činnost aktivity AAI a mobilita ve třech hlavních oblastech:

7.1   eduroam - roaming uživatelů mezi institucemi

Rok 2008 byl prvním celým rokem, kdy služba eduroam poskytovala uživatelům konektivitu v provozním režimu. Ke službě se připojily dvě nové organizace a počet dostupných lokalit se zvýšil na 57.

Služba eduroam je velmi populární, nicméně některé rysy a technologie použité při její implementaci jsou poplatné době jejího vzniku a zaslouží si novou rozvahu. Protokol RADIUS využívaný v eduroam k autentizaci neposkytuje zabezpečení přenášených dat a vzájemnou autentizaci serverů na úrovni odpovídající dnešnímu stavu poznání. Jako alternativa je na půdě IETF pravě z iniciativy projektu eduroam připravována standardizace protokolu RadSec (TLS encryption for RADIUS over TCP). Na této aktivitě se spolu s kolegy z partnerských organizací provozujících eduroam v Evropě aktivně podílíme.

V rámci eduroam.cz jsme zahájili přechod zabezpečení komunikace mezi RADIUS servery z dosavadní technologie IPSec na RadSec.

Spolupracujeme s vývojáři RadSec proxy jako testovací pracoviště nových verzí. Poskytli jsme kód pro vyhodnocení rozšíření policyOID v certifikátech. Od verze 1.3 umožňuje RadSec proxy nasazení certifikátů externích (nededikovaných) certifikačních autorit a odlišení certifikátů, které byly vydány v souladu s certifikační politikou vhodnou pro eduroam.

Připravili jsme, a na setkání pracovní skupiny TF-Mobility představili, návrh projektu eduroam/TLS, který se obejde zcela bez současné hierarchie RADIUS serverů - autentizace je založena na klientských X.509 certifikátech a provádí ji přímo autentizační server v navštívené instituci. Bohužel, zatím se nám nepodařilo přesvědčit vývojáře programu FreeRADIUS (RADIUS server, který používá naprostá většina institucí participujících v eduroam.cz), aby opravili chybné chování serveru při obnovování seznamu odvolaných certifikátů. Z tohoto důvodu není další rozvoj námi navrhované architektury eduroam zatím možný.

Jedním z problémů při implementaci eduroam v kampusech sdílených více organizacemi je překryv jejich rádiových sítí. Jedno z možných technických řešení jsme uvedli do provozu v areálu Dejvice. O řešení jsme referovali na TNC 2008.

7.2   eduID.cz - národní akademická federace identit

Cílem federace identit je umožnit uživatelům využívat svoji identitu (včetně autentizačních údajů) spravovanou jejich domovskou organizací k přístupu ke službám, které provozuje jiná organizace. Uživatel pak nemusí spravovat svá osobní data na všech místech, ke kterým přistupuje. Odpadá také komplikované vytváření uživatelských účtů pro každou novou službu a uživatel si nemusí pamatovat další uživatelské jméno a přístupové heslo.

Nutnou podmínkou je, aby mezi poskytovatelem služby a poskytovatelem identity existovala vzájemná důvěra. Poskytovatel služby spoléhá na kvalitu autentizačního procesu a správnost údajů o uživateli dodaných poskytovatelem identity, ten zase musí vědět, že informace o uživateli nebudou poskytovatelem služby zneužity.

Pravidla chování jednotlivých aktérů stanoví federační politika. V průběhu roku jsme připravili text federační politiky eduID.cz [Pol08]. Její přijetí je nutnou podmínkou pro přechod federace do provozního režimu.

Na technické úrovni tvoří páteř vztahů mezi jednotlivými účastníky federace její metadata. Poskytují jednotlivým aktérům informace o jejich protějšcích včetně identifikátorů, lokací a veřejných klíčů. Musí tedy být spolehlivá, dostupná a přesná. Pro správu metadat federace eduID.cz jsme vyvinuli systém distribuované správy a publikování metadat, který jsme úspěšně prezentovali na konferenci CESNET 2008.

Většina existujících akademických federací identit ve světě je postavena na software Shibboleth verze 1.3 vyvíjeném v projektu Internet2. Tato verze podporuje komunikaci prostřednictvím zpráv ve formátu SAML (Security Assertion Markup Language) verze 1.1. Žhavým tématem ve všech těchto federacích je v současné době přechod na aktuální verzi SAML 2.0, která umožňuje využívat takových vlastností jako je službou vyžádaná re-autentizace nebo předání podrobnějších informací o použitém způsobu autentizace. SAML 2.0 vyžaduje přechod na Shibboleth verze 2.0.

Abychom se vyhnuli problémům spojeným s přechodem na vyšší verzi Shibboleth za provozu, rozhodli jsme se zahájit provozní režim federace rovnou s Shibboleth verze 2. První verze Shibboleth podporující SAML 2.0 byla uvolněna v březnu 2008. Otestovali jsme nové funkce a připravili nástroje potřebné k zachování funkcí dosažených v testovací federaci provozované na Shibboleth 1.3 a v říjnu jsme zahájili pilotní provoz federace eduID.cz. Na začátku listopadu vývojáři ohlásili zásadní bezpečnostní problém v kódu Shibboleth v2.0 a důrazně doporučili přechod na verzi 2.1, ve které chybu odstranili. Ukázalo se ovšem, že verze 2.1 obsahovala jinou chybu, která znemožňovala předávání informací o členství uživatele ve skupinách. Až do začátku prosince, kdy vyšla verze 2.1.1 jsme tedy neměli k dispozici žádnou použitelnou verzi Shibboleth podporující protokol SAML 2.0, již vyžadují některé aplikace (včetně plánovaných nových služeb CESNET CA). Přes tyto problémy se podařilo realizovat přechod federace eduID.cz do provozního režimu během prosince.

7.3   Infrastruktura veřejných klíčů

Certifikační autorita CESNET CA spravovala v roce 2008 téměř 800 aktivních certifikátů využívaných uživateli nejen k autentizaci v gridových projektech, ale i k zabezpečení komunikace v dalších aktivitách projektu (např. mezi správci uzlů eduroam). Mezi institucemi připojenými k síti CESNET2 je velmi populární i služba SCS (Server Certificate Service, [Sov07]). V roce 2008 používalo certifikáty vydané prostřednictvím této služby téměř 800 serverů.

Platnost smlouvy se současným dodavatelem služby SCS končí v lednu 2010. V průběhu roku jsme se spolu s dalšími partnery podíleli na přípravě výběrového řízení na dodavatele služby pro další období, jež bylo vyhlášeno v září. Jsme zastoupeni v užší skupině, která vyhodnocuje došlé nabídky a rozhodne o novém dodavateli. Očekáváme, že nový dodavatel bude schopen a ochoten dostát požadavkům EUGridPMA a jeho certifikáty bude možné využívat i pro servery v gridových projektech.

V souvislosti s přípravami na uvedení české akademické federace identit eduID.cz do provozního režimu jsme připravili implementaci federované certifikační autority. Tento projekt využívá autentizačních a autorizačních služeb poskytovaných prostřednictvím federace a nahrazuje jimi činnosti registračních úředníků. Tak bude možné výrazně zjednodušit proceduru vydávání osobních certifikátů určených k autentizaci. Prototyp federované CA jsme představili na květnovém setkání EUGridPMA se záměrem připravit půdu pro akreditaci připravované CA podle autentizačního profilu MICS [MICS07]. Architektura a technické řešení bylo přijato příznivě. Aktuální verze profilu MICS vyžaduje pro vydání certifikátu kromě běžného uživatelského hesla ještě zadání dalšího sdíleného tajemství. Tento požadavek pokládáme za zbytečný, proto jsme zahájili kampaň za jeho zrušení. Nebude-li úspěšná, budeme muset provést odpovídající úpravy v software IdP. Akreditace chceme dosáhnout v roce 2009.

Některé úlohy řešené pomocí PKI vyžadují službu časových razítek (TSA - Time-Stamping Authority) podle RFC 3161. TSA vydává unikátní digitálně podepsaný doklad o existenci dokumentu v daném čase. Ve spolupráci s aktivitou Sledování a optimalizace výkonnostních charakteristik jsme připravili službu velmi přesných časových razítek pro použití v síti CESNET2 (podrobnosti obsahuje předchozí kapitola). Získali jsme tak server poskytující velmi přesná časová razítka s vysokou obslužnou propustností. V následujícím období jej chceme začlenit do služeb poskytovaných novou certifikační autoritou CESNET CA.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz