Овсянников А.П. (ovsyannikov@jscc.ru) - Межведомственный суперкомпьютерный центр РАН (ведущий научный сотрудник), Москва, Россия, Савин Г.И. (ASotnikov@jscc.ru) - Межведомственный суперкомпьютерный центр Российской академии наук, г. Москва, академик РАН , Шабанов Б.М. (jscc@jscc.ru) - Межведомственный суперкомпьютерный центр Российской академии наук, г. Москва (чл.-корр. РАН, директор), Москва, Россия, доктор технических наук | |
Ключевые слова: федерация., аутентификация, авторизация, сети науки и образования, научные телекоммуника- ции, radius, сетевой доступ, беспроводные сети, wifi, eduroam |
|
Keywords: federation, authentication, authorization, network of science and education, scientific Telecommunications, radius, network access, wireless network, wifi, eduroam |
|
|
Научно-образовательные сети сегодня объединяют огромное количество информационно-вычислительных ресурсов, находящихся в разном организационном, административном и государственном подчинении. Научные ресурсы требуют авторизации, например, для контроля соблюдения прав интеллектуальной собственности, определения прав пользователя и т.д. Классическая авторизация предполагает регистрацию пользователя и создание учетной записи на каждом из ресурсов даже при разовом обращении к нему. Для регистрации требуется подтверждение личности и полномочий пользователя, как правило, посредством общения или переписки администрации ресурса и института, в котором он работает. Из-за большого числа пользователей и ресурсов рутинная операция регистрации требует неоправданных затрат времени и человеческих усилий, поэтому в научно-образовательных сетях все более широкое распространение приобретают технологии авторизации, при которых аутентификация пользователя осуществляется обращением к его институту. Естественно, институт, в котором работает поль- зователь, и институт, располагающий интересующим его ресурсом, должны договориться о признании пользователей и защищенном обмене информацией, необходимой для авторизации. Обычно о взаимном доступе к ресурсам договариваются несколько институтов, вырабатывают общую политику и механизм удостоверения пользователей. Такие группы институтов называют удостоверяющей федерацией. Как правило, удостоверяющая федерация формируется в пределах одного проекта, одного ведомства, одной страны. Раз- нообразие и международный характер научных проектов обусловливают необходимость взаимодействия федераций и создания объединенной удостоверяющей системы в международном масштабе. Межведомственный суперкомпьютерный центр Российской академии наук (МСЦ РАН) принимает участие в двух европейских проектах по развитию удостоверяющих систем в научно-образовательных сетях, основанных на разных механизмах обмена аутентификационной информацией, – eduroam [1] и eduGAIN [2]. Eduroam Проект eduroam (education roaming) направлен на развитие защищенного сетевого роуминга для научно-образовательного сообщества. Цель сервиса – предоставить посетителям в институтах и кампусах автоматическое подключение к сети Интернет при включении ноутбука, планшета или смартфона. Сервис реализуется в сетях с контролем доступа к портам 802.1X [3] с использованием системы аутентификации на основе иерархии прокси-серверов проверки подлинности (RADIUS [4]). При включении ноутбук запрашивает у устройства контроля доступа подключение к сети (обычно беспроводной). При этом ноутбук отправляет через устройство контроля доступа инкапсулированный запрос к серверу проверки подлинности сервис-провайдера (SP), то есть института, предоставляющего доступ посетителям к своей сети. Запрос содержит шифрованную часть, включающую имя и пароль пользователя, и адресную часть – доменное имя провайдера идентификации (IdP), то есть института, который будет аутентифицировать пользователя. На основании доменного имени определяется маршрут запроса в иерархии прокси-серверов RADIUS до провайдера идентификации, и ему передается шифрованная часть запроса. Запрос шифруется открытым ключом SSL-сертификата провайдера идентификации, поэтому имя и пароль пользователя доступны только ему. Провайдер идентификации проверяет имя и пароль пользователя по локальной базе данных и возвращает ответ об успехе (RADIUS Access – Accept) или провале аутентификации (RADIUS Access – Reject) сервис-провайдеру обратно по цепочке прокси-серверов (RADIUS). Определение маршрута запроса в иерархии прокси-серверов RADIUS производится на основе разбора доменого имени аналогично разбору доменных имен в службе доменных имен (см. рис. 1). Допустим, пользователь использует для авторизации у сервис-провайдера sp.tld1 полное имя user@idp.tld2. Доменное имя провайдера идентификации – idp.tld2. Поскольку домены сервис-провайдера sp.tld1 и idp.tld2 разные, сервер RADIUS сервис-провайдера перенаправляет запрос на сервер RADIUS своего домена (tld1), называемый сервером RADIUS федеративного уровня (FLRS – Federation Level Radius Server). Если домен первого уровня сервис-провайдера и провайдера идентификации совпадают, FLRS может перенаправить запрос непосредственно провайдеру идентификации, если нет, запрос перенаправляется вверх по иерархии – радиус-серверу верхнего уровня (TLRS – Top-Level RADIUS Server). TLRS передает запрос на FLRS соответствующего домена первого уровня (tld2), а тот перенаправляет его серверу RADIUS провайдера идентификации (idp.tld2). Ответ провайдера идентификации передается обратно по цепочке idp.tld2 – FLRS tld2 –TLRS – FLRS tld1 – sp.tld1. Иерархия серверов RADIUS в eduroam построена следующим образом. TLRS содержит базу данных всех серверов RADIUS федеративного уровня (FLRS), каждый FLRS содержит базу всех серверов своего домена первого уровня. Передача данных между серверами RADIUS защищается шифрованием открытыми ключами их SSL-сертификатов. Домены первого уровня в системе eduroam построены по географическому принципу, и каждой стране соответствует домен первого уровня. Поэтому серверы RADIUS федеративного уровня (FLRS) называют также серверами национального уровня (NLRS). В Российской Федерации за развитие проекта eduroam отвечает МСЦ РАН, который создал и поддерживает FLRS/NLRS домена ru, регистирует и подключает домены российских научно-образовательных организаций. Российская Федерация входит в европейскую конфедерацию eduroam, два сервера ETLRS (European Top Level Radius Server) в Дании и Нидерландах поддерживаются транс-европейской ассоциацией научно-образовательных сетей TERENA. Помимо европейской конфедерации, имеются конфедерация eduroam США, Канады, Азиатско-Тихоокеанского региона. Взаимодействие конфедераций осуществляется на уровне TLRS. Таким образом, пользователь из России может воспользоваться eduroam в Австралии или Канаде. В сентябре 2012 года в проекте eduroam участвовали 58 стран. Входящие в европейскую конфедерацию eduroam европейские страны заключили рамочное соглашение об использовании сервисов eduroam (так называемую политику) закрытым сообществом научных и образовательных организаций и разработали формализованные операционные и технические требования к сервису eduroam в Европе. Рамочное соглашение описывает общие требования к федерациям, требования по защите передаваемой информации и технические требования по ее эксплуатации. Федерация должна установить инфраструктуру eduroam и поддерживать ее в соответствии с разработанными конфедерацией требованиями к сервису, обеспечивать поддержку конечных пользователей, участвовать в работе исполнительного комитета, предоставлять информацию для глобальной системы мониторинга eduroam, поддерживать веб-сайт с информацией об использовании eduroam конечными пользователями и подключении институтов. Федерация должна гарантировать, что учетные данные пользователя останутся закрытыми, поэтому все институты-участники должны следовать совместно принятому регламенту безопасности. Eduroam используется прежде всего для предоставления доступа к сети гостевого института и Интернет. В любой сети eduroam визитеру доступны протоколы и порты для организации защищенного тоннеля в сеть его института (IPSec VPN, OpenVPN, PPTP VPN, SSH), доступ к электронной почте, www и ftp. Какие-либо средства, позволяющие ранжировать пользователей для предоставления им разных привилегий доступа к разным ресурсам, в настоящее время не применяются. Но в МСЦ РАН разрабатывается механизм, позволяющий сервис-провайдеру определить принадлежность пользователя к той или иной группе в зависимости от ведомственной принадлежности или проекта и назначить ему те или иные сетевые ресурсы. Разрабатываемый механизм полностью совместим с существующей инфраструктурой eduroam, требуется изменение настроек только сервис-провайдеров, которые дифференцируют предоставляемые ресурсы или привилегии. EduGAIN Удостоверяющая федерация – объединение институтов в научно-образовательных сетях, предоставляющих так называемую технологию «единого входа» (Single Sign On) для доступа к своим ресурсам. Обычно для этого используется архитектура Shibboleth [5], основанная на архитектуре SAML (Security Assertion Markup Language) [6]. В процедуре авторизации (см. рис. 2) участвуют программный агент пользователя (UA, например, браузер), сервис-провайдер SP (Service Provider), провайдер идентификации IdP (Identity Provider) и служба каталогов DS (Directory Service), иногда называемая службой WAYF (Where Are You From). Сервис-провайдер получает запрос от пользователя на доступ к ресурсу (веб-странице) и перенаправляет UA, используя HTTP REDIRECT, на службу DS для выбора провайдера идентификации, то есть домашнего института пользователя. Если, например, программный агент пользователя UA является браузером, пользователь будет перенаправлен на страницу, где ему предложат выбрать провайдера идентификации из списка. Далее служба DS перенаправляет UA провайдеру идентификации IdP (в институт пользователя). Пользователь вводит свой логин и пароль на странице провайдера идентификации, который проверяет их, используя локальную базу пользователей. Провайдер идентификации генерирует утверждение (Assertion) на языке SAML для сервис-провайдера, включающее некоторый набор атрибутов, позволяющий сервис-провайдеру принять решение об авторизации данного пользователя, и перенаправляет его сервис-провайдеру через UA. На основании полученных от провайдера идентификации данных сервис-провайдер принимает решение об авторизации данного пользователя для доступа к ресурсу. Сообщения, которыми обмениваются сервис-провайдер и провайдер идентификации, шифруются с использованием их SSL-сертификатов. Удостоверяющая федерация является объединением сервис-провайдеров и провайдеров идентификации, договорившихся о предоставлении доступа к ресурсам на основе вышеописанной технологии и в соответствии с некоторой общей политикой. Такая политика, в частности, описывает информацию о пользователе, предоставляемую провайдером идентификации сервис-провайдеру, процедуры включения сервис-провайдеров и провайдеров идентификации в службу каталогов, требования к ним, процедуры поддержки пользователей и т.д. В МСЦ РАН проводятся работы по созданию удостоверяющей федерации Российской академии наук, обеспечивающей взаимную аутентификацию при доступе к ресурсам институтов РАН. Проект eduGAIN – это комплекс технических и организационных мер для обеспечения взамодействия удостоверяющих федераций научно-образовательных сетей. Предполагается, что удостоверяющими федерациями в eduGAIN выступают национальные научно-образовательные сети – участники проекта GEANT3, однако это могут быть и иные научно-образовательные объединения, поскольку в национальной научно-образовательной сети возможно существование нескольких связанных с наукой и образованием объединений. Рекомендованной технологией для обмена данными между федерациями является разработанный OASIS SAML (Security Assertion Markup Language), хотя формальных ограничений на протокол обмена данными нет. В настоящее время службы eduGAIN используются для управления персональным доступом к веб-сервисам, однако в перспективе предполагается ее развитие и использование для других сервисов. Службы обмена метаданными eduGAIN обеспечивают сбор метаданных от федераций-участников, их публикацию и распределение между участниками. Федерации-участники имеют возможность настраивать для разных федераций фильтрацию передаваемых и принимаемых данных. Опыт создания федеративных сервисов в проекте GEANT показывает, что для создания работающего механизма, прежде всего технологических решений, необходимо организационное взаимодействие. Все федерации или их союзы опираются на формальное описание сервиса и правила взаимодействия, именуемые политикой. Функционирование федерации и ее технических служб обеспечивается постоянно работающими коллективами, решающими три основные задачи: эксплуатации, развития и поддержки пользователей. Организация федеративного взаимодействия актуальна для российской национальной сети науки и образования, которая является объединением ведомственных или проблемно-ориентированных сетей. МСЦ РАН возглавляет работы по формированию удостоверяющих федераций российской национальной сети науки и образования и поддерживает их организационное и техническое взаимодействие с европейскими удостоверяющими федерациями. Созданная МСЦ РАН удостоверяющая федерация российского проекта eduroam открыта для всех российских научных и образовательных организаций. Литература 1. Eduroam в России. URL: http://www.eduroam.ru (дата обращения: 19.09.2012). 2. EduGAIN. URL: http://www.edugain.org (дата обращения: 19.09.2012). 3. IEEE Std 802.1X-2004 (revision of IEEE Std 802.1X-2001). Port-based network access control – IEEE Standards Association, 2004. URL: http://standards.ieee.org/getieee802/down load/ 802.1X-2004.pdf (дата обращения: 19.09.2012). 4. Rigney C., Simpson S., Willens A., Rubens W. RFC2865 – Remote Authentication Dial In User Service (RADIUS). Internet Engeeniring Task Force, 2010. URL: http://tools.ietf.org/html/ rfc2865 (дата обращения: 19.09.2012). 5. Shibboleth. URL: http://www.shibboleth.net (дата обращения: 19.09.2012). 6. SAML Specifications. URL: http://saml.xml.org/saml-specifications (дата обращения: 19.09.2012). |
http://swsys.ru/index.php?id=3300&lang=%29&page=article |
|