Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Općenito o sustavu AAI@EduHr

Autentikacijska i autorizacijska infrastruktura znanosti i visokog obrazovanja u Republici Hrvatskoj - AAI@EduHr je infrastrukturni, posrednički sustav čija je temeljna zadaća omogućiti sigurno, pouzdano i efikasno upravljanje elektroničkim identitetima te njihovu uporabu za pristup mrežnim i mrežom dostupnim resursima.

Ustroj AAI@EduHr reguliran je odgovarajućim Pravilnikom, a poslove koordinacije, razvoja i održavanja sustava AAI@EduHr obavlja Srce – Sveučilišni računski centar Sveučilišta u Zagrebu.

Danas je sve većem broju različitih elektroničkih ali i stvarnih, fizičkih resursa i prava moguće ali i potrebno pristupiti, odnosno odobriti pristup elektroničkim putem, najčešće putem Interneta. Pri tome je potrebno osigurati da pristup i/ili realizaciju prava ostvare samo ovlaštene osobe. Pristup mnogim vitalnim resursima uskoro neće biti moguć bez odgovarajuće infrastrukture, međusloja (engl. middleware) između resursa i korisnika koji će korisniku osigurati jednostavan i unificiran pristup različitim resursima s transparentnim mehanizmom autentikacije i autorizacije. Tu infrastrukturu zovemo autentikacijska i autorizacijska infrastruktura (AAI).

Vlastita AAI akademske i istraživačke zajednice daje autonomiju i povoljnije financijske uvjete toj zajednici pri izgradnji i uporabi kako same AAI, tako i servisa koji se na nju oslanjaju. Povrh toga, jedan od ciljeva projekta AAI@EduHr je osigurati funkcionalnu kompatibilnost izgrađene AAI sa sličnim sustavima u Republici Hrvatskoj (primjerice Nacionalni identifikacijski i autentifikacijski sustav) i u svijetu (npr. eduroam i eduGAIN).

Autentikacijska i autorizacijska infrastruktura u sustavu znanosti i visokog obrazovanja u Republici Hrvatskoj - AAI@EduHr svoje polazište koncepcijski ima u distribuiranom sustavu imenika utemeljenih na LDAP standardu. Nadležnost nad imeničkim podacima o fizičkim i pravnim osobama, te informacijskim i drugim resursima imaju njihove matične ustanove iz sustava znanosti i visokog obrazovanja. Postojanje imenika na matičnim ustanovama osigurava jedinstveno mjesto za unos i održavanje podataka o osobama. Konkretna prava pristupa i/ili uporabe pojednih resursa određuju vlasnici tih resursa kroz pristupne mehanizme, kompatibilne s uspostavljenom infrastrukturom.

 

 

AA(A) problem

 

Od problema AA do modela AAI:

Pristup korisnika nekom resursu u osnovi se sastoji od 5 koraka prikazanih sljedećom slikom:

image002.gif

Koraci u AA procesu su:

  1. Korisnik se prvo registrira kod vlasnika resursa koji mu dodjeljuje elektronički identitet u okviru kojeg korisnik dobiva svoj identifikator (npr. login name) i podatke (credentials) kojima će dokazivati svoj identitet (npr. lozinka, ključ, PIN). Vlasnik resursa pohranjuje informacije o korisniku koje će kasnije rabiti u procesu autentikacije.

  2. Kada korisnik želi rabiti resurs, pristupa resursu pozivajući se na svoj elektronički identitet i pri tome rabi dobiveni identifikator (npr. login name).

  3. Resurs zahtijeva od korisnika da se autenticira odnosno dostavi podatke kojima će dokazati svoj elektronički identitet (npr. lozinku).

  4. Nakon što provjeri dobivene podatke od korisnika, resurs rabi pohranjene podatke o korisniku, te...

  5. ...donosi konačnu odluku o dozvoli pristupa.

Ovaj model, dakako, nije skalabilan pa kad korisnik želi pristup velikom broju resursa, donosi niz problema. Prije svega:

  • korisnik se mora pojedinačno registrirati za uporabu svakog od resursa

  • resursi ne moraju nužno rabiti iste metode autentikacije (pomoću lozinke, certifikata, "pametne" kartice...) kojima se korisnik mora znati služiti

  • korisnik mora pamtiti / rabiti više identifikatora / elektroničkih identiteta

Dakako, na razini jedne ustanove moguće je izgraditi AA sustav tako da se centralizira proces registracije korisnika, a autorizacijski podaci čuvaju se u središnjoj bazi podataka. AA procesi tada se odvijaju između korisnika, resursa i središnjeg AA sustava ustanove.

Ostaje, međutim, otvoren problem AA među različitim ustanovama. Naime, postoji:

  • potreba korisnika iz jedne ustanove da rabe resurse koji pripadaju drugoj ustanovi

  • želja ustanove da dopusti uporabu svojih resursa korisnicima iz druge ustanove

Rješenje problema inter-institucionalne AA u implementaciji je AAI. Temelj AAI čine tri osnovne akcije koje se odvijaju između korisnika, njegove matične ustanove i resursa. AA proces čine:

  1. Autentikacija korisnika koju obavlja njegova matična ustanova.

  2. Prijenos korisnikovih autorizacijskih atributa od matične ustanove do vlasnika resursa; skup atributa koji se prenose mora biti konfigurabilan kako bi se ispunili zahtjevi vlasnika resursa, ali i štitila privatnost korisnika.

  3. Odluka o pristupu resursu koju donosi vlasnik resursa (autorizacija).

Uočimo da u ovom modelu nije spomenuto praćenje rada korisnika odnosno uporabe resursa. Vlasnik resursa može uspostaviti odgovarajući sustav praćenja rada odnosno utroška resursa (auditing, accounting). Neovisno o tome, sustav logiranja autentikacijskih zahtjeva može se uspostaviti i u matičnoj ustanovi.

Autentikacijski sustav matične ustanove, odnosno baza podataka o korisnicima, danas se u pravilu temelji na LDAP imeniku s odgovarajućom standardiziranom shemom, odnosno atributima koji obuhvaćaju skup autorizacijskih atributa. Pri definiranju te sheme nužna je suradnja matičnih ustanova i vlasnika resursa. Vlasnik resursa u procesu autorizacije može rabiti i neke dodatne autorizacijske atribute koje sprema i održava lokalno, u okviru svog pristupnog mehanizma.

Postoje različite arhitekture odnosno načini na koje je AAI implementirana. Valja uočiti kako konkretne implementacije nužno ovise o tipu resursa kojima se pristupa, kao i o izabranoj metodi autentikacije i autorizacije.

Dakako, najjednostavnija metoda autentikacije je uporaba lozinke koja mrežom može putovati kriptirana ili putem osiguranog komunikacijskog kanala. Svakako je sigurnija uporaba javnih ključeva i certifikata po PKI načelu, no ona je zahtjevnija za implemetaciju i uporabu, te o njoj treba razmišljati kao o nadgradnji, odnosno drugoj fazi implementacije AAI.

Model autentikacijske i autorizacijske infrastrukture:

Opći model AAI prikazan je na sljedećoj slici:

image004.gif

Mogućnost primjene AAI vrlo je velika. AAI konceptom rješava se pristup:

  • mreži za individualne korisnike (modem, wireless, wired...)

  • računalnim resursima (grid, mrežni diskovi...)

  • osnovnim mrežnim uslugama (ssh/telnet, e-mail, ftp...)

  • Web resursima

  • mrežnim aplikacijama (on-line baze, udaljeno učenje...)