naslovnica
aktualno
 
schema.aaiedu.hr
www.eduroam.hr
pks.aaiedu.hr
developer.aaiedu.hr
 
 
 
 
 

 

AA(A) problem

Od problema AA do modela AAI:

Pristup korisnika nekom resursu u osnovi se sastoji od 5 koraka prikazanih sljedećom slikom:

image002.gif

Koraci u AA procesu su:

  1. Korisnik se prvo registrira kod vlasnika resursa koji mu dodjeljuje elektronički identitet u okviru kojeg korisnik dobiva svoj identifikator (npr. login name) i podatke (credentials) kojima će dokazivati svoj identitet (npr. lozinka, ključ, PIN). Vlasnik resursa pohranjuje informacije o korisniku koje će kasnije rabiti u procesu autentikacije.

  2. Kada korisnik želi rabiti resurs, pristupa resursu pozivajući se na svoj elektronički identitet i pri tome rabi dobiveni identifikator (npr. login name).

  3. Resurs zahtijeva od korisnika da se autenticira odnosno dostavi podatke kojima će dokazati svoj elektronički identitet (npr. lozinku).

  4. Nakon što provjeri dobivene podatke od korisnika, resurs rabi pohranjene podatke o korisniku, te...

  5. ...donosi konačnu odluku o dozvoli pristupa.

Ovaj model, dakako, nije skalabilan pa kad korisnik želi pristup velikom broju resursa, donosi niz problema. Prije svega:

  • korisnik se mora pojedinačno registrirati za uporabu svakog od resursa

  • resursi ne moraju nužno rabiti iste metode autentikacije (pomoću lozinke, certifikata, "pametne" kartice...) kojima se korisnik mora znati služiti

  • korisnik mora pamtiti / rabiti više identifikatora / elektroničkih identiteta

Dakako, na razini jedne ustanove moguće je izgraditi AA sustav tako da se centralizira proces registracije korisnika, a autorizacijski podaci čuvaju se u središnjoj bazi podataka. AA procesi tada se odvijaju između korisnika, resursa i središnjeg AA sustava ustanove.

Ostaje, međutim, otvoren problem AA među različitim ustanovama. Naime, postoji:

  • potreba korisnika iz jedne ustanove da rabe resurse koji pripadaju drugoj ustanovi

  • želja ustanove da dopusti uporabu svojih resursa korisnicima iz druge ustanove

Rješenje problema inter-institucionalne AA u implementaciji je AAI. Temelj AAI čine tri osnovne akcije koje se odvijaju između korisnika, njegove matične ustanove i resursa. AA proces čine:

  1. Autentikacija korisnika koju obavlja njegova matična ustanova.

  2. Prijenos korisnikovih autorizacijskih atributa od matične ustanove do vlasnika resursa; skup atributa koji se prenose mora biti konfigurabilan kako bi se ispunili zahtjevi vlasnika resursa, ali i štitila privatnost korisnika.

  3. Odluka o pristupu resursu koju donosi vlasnik resursa (autorizacija).

Uočimo da u ovom modelu nije spomenuto praćenje rada korisnika odnosno uporabe resursa. Vlasnik resursa može uspostaviti odgovarajući sustav praćenja rada odnosno utroška resursa (auditing, accounting). Neovisno o tome, sustav logiranja autentikacijskih zahtjeva može se uspostaviti i u matičnoj ustanovi.

Autentikacijski sustav matične ustanove, odnosno baza podataka o korisnicima, danas se u pravilu temelji na LDAP imeniku s odgovarajućom standardiziranom shemom, odnosno atributima koji obuhvaćaju skup autorizacijskih atributa. Pri definiranju te sheme nužna je suradnja matičnih ustanova i vlasnika resursa. Vlasnik resursa u procesu autorizacije može rabiti i neke dodatne autorizacijske atribute koje sprema i održava lokalno, u okviru svog pristupnog mehanizma.

Postoje različite arhitekture odnosno načini na koje je AAI implementirana. Valja uočiti kako konkretne implementacije nužno ovise o tipu resursa kojima se pristupa, kao i o izabranoj metodi autentikacije i autorizacije.

Dakako, najjednostavnija metoda autentikacije je uporaba lozinke koja mrežom može putovati kriptirana ili putem osiguranog komunikacijskog kanala. Svakako je sigurnija uporaba javnih ključeva i certifikata po PKI načelu, no ona je zahtjevnija za implemetaciju i uporabu, te o njoj treba razmišljati kao o nadgradnji, odnosno drugoj fazi implementacije AAI.

Model autentikacijske i autorizacijske infrastrukture:

Opći model AAI prikazan je na sljedećoj slici:

image004.gif

Mogućnost primjene AAI vrlo je velika. AAI konceptom rješava se pristup:

  • mreži za individualne korisnike (modem, wireless, wired...)

  • računalnim resursima (grid, mrežni diskovi...)

  • osnovnim mrežnim uslugama (ssh/telnet, e-mail, ftp...)

  • Web resursima

  • mrežnim aplikacijama (on-line baze, udaljeno učenje...)

 

AA(A) problem

Što je AAI@EduHr?

Programska podrška

Dokumenti

Projekt AAI@EduHr

Reference

Rječnik pojmova

Često postavljana pitanja


Sastavnice

Status AAI@EduHr

Statistike

Registar resursa

Certificiranje