7 AAI a mobilita
Aktivita AAI a mobilita poskytuje podporu pro rozvoj a využití sdílení identit v rámci české akademické komunity a v mezinárodním kontextu. Sdílené identity jsou používány ve třech oblastech:
- roamingové konsorcium eduroam.cz,
- národní federace identit eduID.cz a
- v aplikacích využívajících infrastrukturu veřejných klíčů CESNET PKI.
7.1 eduroam.cz – roaming uživatelů mezi institucemi
eduroam.cz se stal již etablovanou službou přijímanou většinou uživatelů jako samozřejmost. Do projektu je zapojeno 35 organizací, které poskytují internetovou konektivitu ve více než 450 lokalitách. Během roku 2010 došlo k téměř zdvojnásobení počtu uživatelů, kteří se prostřednictvím eduroam.cz připojují, na téměř 3 tisíce osob denně.
![[Obrázek]](img/xl-all-1825.png)
Obrázek 7.1. Počet uživatelů eduroam denně 2006–2010 (větší obrázek)
V souvislosti se změnami v infrastruktuře veřejných klíčů CESNETu jsme umožnili využívání osobních certifikátů TERENA Personal Certificate pro zabezpečení komunikace mezi správci eduroam.cz. Certifikáty vydané TERENA Server CA a CESNET CA 3 nyní zabezpečují IPSec a RadSec tunely mezi RÁDIUS servery infrastruktury.
7.2 Národní akademická federace identit eduID.cz
Služby národní akademické federace identit eduID.cz se již staly standardní součástí portfolia IT služeb většiny českých vysokých škol. Ke konci roku 2010 mohli jejím prostřednictvím uživatelé 17 akademických institucí využívat více než třiceti služeb zapojených do federace. Mezi nové atraktivní služby patří například distribuční kanál software společnosti Microsoft Dreamspark nebo Systém pro odhalování plagiátů v seminárních nebo jiných pracích Odevzdej.cz. S velkým ohlasem se setkalo i zprovoznění federované certifikační autority TCS (viz níže sekce 7.3) Postupně také roste počet poskytovatelů digitálního obsahu, kteří využívají autentizaci poskytovanou eduID.cz (viz seznam členů eduID.cz).
Pro potenciální i stávající členy federace jsme připravili několik propagačních a informačních akcí. Řešitelé aktivity se podíleli například na seminářích Shibboleth v praxi pro pracovníky knihoven v NTK a Federace identit na půdě AV ČR.
S kolegy z akademických federací identit ve světě řešíme problematiku propojování federací.
7.2.1 Monitoring eduID.cz
Rozsáhlá a komplexní technická infrastruktura eduID.cz vyžaduje kvalitní dohled. Během roku jsme otestovali dohledový systém pro SAML federace AAIEye. Výsledky testů ukázaly dva kritické nedostatky tohoto systému, jimiž jsou závislost na centrální WAYF službě a komplikovaná architektura zahrnující plánovač a zpracování výsledků.
Pro monitoring řady dalších služeb s úspěchem využíváme systém Nagios, který již kvalitní plánovač obsahuje a je schopen prezentovat výsledky testů v souvislostech dalších testů. Rozhodli jsme se tedy místo nasazení AAIEye vyvinout vlastní Nagios sondu pro monitoring SAML autentizace. To nám také umožnilo integrovat monitoring SAML protokolů s monitoringem ostatních vrstev.
Sonda je implementována v jazyce Perl s využitím knihovny libwww a využívá její možnosti při simulaci chování uživatele běžného webového prohlížeče. Vzhledem k vysoké variabilitě webových stránek IdP a SP (zejména jména položek přihlašovacích formulářů) není tato úloha vůbec jednoduchá. Přesto se nám podařilo zajistit monitorování naprosté většiny služeb zapojených ve federaci eduID.cz.
7.3 Nová infrastruktura veřejných klíčů CESNET PKI
V roce 2010 jsme dokončili zásadní přestavbu infrastruktury veřejných klíčů CESNETu. Rozšířili jsme portfolio poskytovaných služeb a připravili jsme ukončení činnosti stávající CESNET CA, jejíž provoz byl velmi nákladný a omezený licenčními podmínkami dodavatele software. K tomu bylo nutné zajistit kontinuitu hlavních služeb:
- certifikáty pro uživatele gridů,
- certifikáty pro gridové servery a služby a
- osobní certifikáty pro uživatele.
V rámci projektu TCS (TERENA Certificate Service) jsme se aktivně podíleli na přípravě provozní dokumentace služeb TERENA Personal CA, TERENA eScience Personal CA a TERENA eScience Server CA. Během prvního pololetí se nám podařilo úspěšně dokončit akreditaci TERENA eScience Personal CA a TERENA eScience Server CA u EUGridPMA, takže osobní, resp. serverové certifikáty vydané těmito CA jsou akceptovány v gridových projektech.
Služby TERENA Personal CA a TERENA eScience Personal CA jsme zpřístupnili prostřednictvím portálů zapojených do federace identit eduID.cz. Uživatelé tak mohou jednoduše získat osobní certifikát na základě autentizace u své domovské organizace bez nutnosti osobní registrace u pracovníka certifikační autority.
Uživatelům, kteří nemají z technických či organizačních důvodů přístup ke službám TCS, je k dispozici certifikační autorita CESNET CA 3. Ta pracuje podle stejných procesů jako stávající CESNET CA a pro potřeby gridových uživatelů je akreditována u EUGridPMA.
Součástí nových služeb CESNET PKI je i certifikační autorita CESNET Personal Signing CA zřízená podle požadavků některých členů sdružení, kteří jejích služeb využívají v provozních aplikacích. Nově jsme rozšířili služby CESNET PKI i o server časových značek.
Po vybudování a ověření všech nových součástí CESNET PKI jsme ukončili vydávání certifikátů stávající CESNET CA 7. listopadu 2010. Systém zůstává v provozu do konce roku 2011, kdy vyprší poslední vydaný certifikát.
předchozí
|
 obsah |
následující
|