7 AAI a mobilita
Aktivita AAI a mobilita pokračovala v roce 2009 v koordinaci služeb sdílení identit v rámci české akademické komunity. V současné době jsou v rámci sítě CESNET2 identity sdíleny ve třech infrastrukturách:
- v roamingové infrastruktuře eduroam,
- v národní federaci identit eduID.cz a
- v aplikacích infrastruktury veřejných klíčů.
7.1 eduroam.cz – roaming uživatelů mezi institucemi
eduroam neustále získává na popularitě. V roce 2009 jsme připojili 14 nových akademických institucí. Za zmínku stojí další připojená neakademická sít. Po Kraji Vysočina, připojeném v minulém roce, jsme letos připojili JM-Net Comunity Network (Jižní město Praha), která poskytuje konektivitu uživatelům eduroam v téměř 60 hot-spotech.
Informace na aktuální mapě pokrytí, které publikujeme na stránkách www.eduroam.cz, jsou bezesporu nejkvalitnější v Evropě. Informujeme nejen o geografické dostupnosti signálu eduroam, ale poskytujeme i popis konfigurace lokální sítě, nastavení šifrovacích algoritmů, informace o filtrování provozu, odkaz na informační stránky provozovatele a podobně.
![[Obrázek]](xl-eduroam-cz-hotspots.png)
Obrázek 7.1: Dostupnost eduroam.cz (větší obrázek)
Pro správce uzlů eduroam.cz jsme připravili a na www.eduroam.cz publikovali návod konfigurace FreeRADIUS 2.x. V souvislosti s rozšířením nasazení protokolu RadSec (viz. [Sov08]) jsme vyvinuli a uvedli do provozu sondu pro ověřování stavu RadSec spojení do dohledového systému Nagios.
Pro přenos běžných AAA dat se zajištění odolnosti infrastruktury proti výpadku dosahuje prostým zdvojením RADIUS serverů v každém uzlu. Pro vytváření EAP tunelů tak, jak se používají v eduroam, je tato technika nedostačující. Připravili jsme řešení pro vysoce dostupný RADIUS server spočívající na aktivním vzájemném zálohování dvou RADIUS serverů [Tom09]. Pro zvýšení robustnosti národní infrastruktury jsme jím osadili národní uzel eduroam.cz.
7.2 Národní akademická federace identit eduID.cz
Po uvedení národní akademické federace identit do provozního režimu na konci minulého roku jsme se věnovali především rozvoji a stabilizaci infrastruktury. Rozšířili jsme informační portál www.eduid.cz o podrobné návody a popisy postupů. Pro připojení zahraničních partnerů jsme důležité informace publikovali v anglické sekci portálu. V roce 2009 se k eduID.cz připojili významní poskytovatelé elektronických zdrojů EBSCO a Thomson Reuters. Federovaný přístup k jejich službám již umožňují některé univerzity (UK, Univerzita Pardubice, ZČU), další přístup připravují. Ukázalo se, že ty univerzity, které řeší přístup k těmto zdrojům prostřednictvím brány EIZ provozované ČVUT, nemají v současnosti dostatečnou motivaci ke změně. V následujícím období se pokusíme dojednat s provozovateli brány EIZ další postup pro přechod na autentizaci eduID.cz.
Vysokou důležitost přikládáme propagaci federace identit mimo komunitu řešitelů výzkumného záměru, především mezi pracovníky akademických knihoven. Příspěvky o eduID.cz jsme přednesli na několika seminářích. V říjnu jsme zorganizovali školení pro technický personál na téma instalace a konfigurace softwaru Shibboleth.
Na mezinárodním poli se aktivně podílíme na přípravě organizačního a technického řešení propojování federací identit, a to jak v Evropě (příprava eduGAIN nové generace), tak i globálně (v rámci aktivity REFEDs).
Pro zvýšení stability technické infrastruktury jsme otestovali a nasadili zálohované Shibboleth IdP pro CESNET. Popis řešení jsme publikovali v technické zprávě [Nov09b].
7.3 Infrastruktura veřejných klíčů
V prvním pololetí bylo za naší aktivní účasti dokončeno výběrové řízení na nového dodavatele certifikátů pro projekt TCS – TERENA Certificate Service (dříve SCS – Server Certificate Service). Novým dodavatelem se stala firma Comodo Ltd. Pro TCS jsme připravili provozní dokumentaci (Certification Practices Statement) pro serverové certifikáty TCS. Poté, co nový dodavatel během května a června upravil aplikační rozhraní svých služeb podle našich požadavků, jsme mohli vyvinout portál pro správce a uživatele služby a otevřít službu veřejnosti. Zároveň jsme zahájili informační kampaň, během níž jsme informovali všechny držitele SCS certifikátů o nové službě a o ukončení podpory SCS certifikátů na začátku roku 2010. Přechod k novému vydavateli serverových certifikátů proběhl úspěšně: během druhého pololetí všechny organizace přešly k TCS, certifikáty SCS od září nevydáváme.
Při jednání s novým dodavatelem jsme dosáli rozšíření poskytovaných služeb – nově budou k dispozici kromě běžných serverových certifikátů i serverové certifikáty pro gridové servery TCS eScience Server, osobní certifikáty pro běžné uživatele TCS Personal (S/MIME a autentizace) a osobní certifikáty pro uživatele gridů TCS eScience Personal. Toto rozšíření portfolia TCS ovlivnilo plány dalšího rozvoje CESNET CA: plánované služby federovaných certifikačních autorit pro osobní certifikáty (jak S/MIME tak i gridové) jsme se rozhodli nahradit produkty TCS. Zejména u S/MIME certifikátů tak poskytneme uživatelům kvalitativně lepší službu, protože kořenový certifikát TCS CA je standardně instalován v naprosté většině emailových klientů.
Aktivně jsme se podíleli na přípravě dokumentace pro nové TCS služby. Na zářijové schůzce EUGridPMA jsme předložili certifikační autority TERENA eScience Server CA a TERENA eScience Personal CA k akreditaci. Ukázalo se, že koncept TCS (zejména myšlenka evropské federované certifikační autority) je pro některé členy EUGridPMA příliš nový a že budeme potřebovat delší období na jeho prosazení. Další jednání o akreditaci TCS bude probíhat na lednové schůzce EUGridPMA.
CPS pro běžné osobní certifikáty TCS ještě není připraveno, protože ani Comodo ani ostatní NREN zúčastněné v projektu nespolupracují při přípravě dalších TCS služeb se stejnou intenzitou jako před spuštěním služby TCS Server. Očekáváme, že jakmile Comodo schválí dokumentaci pro službu TCS eScience Personal, použijeme ji s drobnými úpravami (odstranění gridových specifik) pro vydávání běžných osobních certifikátů. Federovaný portál pro tuto službu máme připraven od října.
Původní certifikační autorita CESNET CA je provozována na komerčním softwaru. To jednak zatěžuje rozpočet aktivity vysokými částkami na podporu a zároveň omezuje počet certifikátů, které můžeme vydat. Zároveň se již delší dobu ukazuje, že potřebám uživatelů by v některých případech více vyhovovala možnost vybrat si z několika specializovaných certifikačních autorit než spoléhat na jednu univerzální službu.
Jako náhradu stávajícího systému CESNET CA jsme připravili nový systém CESNET PKI pro provoz certifikačních autorit CESNET spočívající na otevřeném softwaru, který umožňuje provozování v podstatě neomezeného počtu certifikačních autorit bez limitů na počet vydaných certifikátů. Na novém systému jsme připravili instalaci certifikační autority CESNET Personal Signing CA, jejíž provozní pravidla byla definována ve spolupráci se zainteresovanými členy sdružení CESNET. Ti plánují využívat jejích služeb pro řízení přístupů, autentizaci a zabezpečení aplikací jak provozovaných lokálně, tak sdílených mezi několika institucemi.
Na novém systému CESNET PKI jsme zřídili i certifikační autoritu CESNET CA 3. Ta bude sloužit jako záložní CA pro uživatele, kteří nebudou moci využít služeb CESNET Personal Signing CA nebo TCS. Abychom těmto uživatelům mohli poskytnout i certifikáty akceptovatelné v gridových projektech, je CESNET CA 3 akreditována u EUGridPMA. Služba je plně připravená k provozu, s její propagací jsme se rozhodli počkat na výsledky lednového jednání EUGridPMA o akreditaci TCS. Doufáme, že pak budeme moci uživatelům předložit seznam variant přechodu ze stávající CESNET CA (TCS, CESNET Personal Signing CA nebo CESNET CA 3) s pokud možno věrohodnými časovými perspektivami.
předchozí
|
 obsah |
následující
|