Система управления ресурсами на основе единой аутентификации

Размещено на http://www.allbest.ru/

Система управления ресурсами на основе единой аутентификации

Сейткасым Р.С.

Новосибирский национальный исследовательский

государственный университет, Новосибирск

Любая крупная организация обладает обширным набором разнородных информационных ресурсов, содержит в себе большое количество веб-сервисов и служб (Wi-Fi, VPN и т.д.), таких как база знаний, веб-интерфейс для файлового хранилища, интерфейс для почты, форум и прочее. С ростом количества сервисов конечному пользователю приходится запоминать все большее число паролей. Частично эту проблему решают такие средства, как LDAP или Active Directory и им подобные, вводя унифицированную систему вида "логин - пароль" для всех сервисов. Однако они не решают проблему постоянной необходимости ввода этих логина и пароля для доступа к тому или иному сервису, что порождает проблемы.

Во-первых, снижается безопасность среды в целом. В случае шифрования трафика, далеко не факт что используются сертификаты, подписанные авторизованными центрами, а такие сертификаты легко подделать.

Во-вторых, постоянная необходимость вводить свои данные - это неудобство для пользователей среды. При необходимости постоянно отсылать свои данные для доступа опять возникает проблема безопасности, так как данные, которые регулярно передаются по сети, становится проще перехватить.

Единая система аутентификация позволяет решить эти проблемы. Во-первых, пропадет необходимость пользователю каждый раз вводить свои данные. Во-вторых, упрощается процедура управления аутентификацией пользователей на множестве сервисов. Появляется возможность создавать группы пользователей с различными уровнями доступа, при этом, не затрагивая настройки конкретных сервисов.

Чаще всего под единой системой аутентификации понимают систему «однократной регистрации» (Single Sign-On, SSO). Предназначение такой системы - снятие необходимости многократно вводить пароли (или аутентифицироваться каким-либо иным способом) при работе с различными приложениями. Вместо ввода нескольких паролей пользователь вводит один пароль или использует какой-либо способ физической аутентификации (смарт-карты, отпечатки пальцев, криптографические калькуляторы и т. д.).

Существует два основных подхода к SSO. Первый подход заключается в создании механизма, способного заполнить возникающий на экране пользователя запрос на ввод пароля. При этом сам пароль располагается в зашифрованном виде либо локально, на рабочей станции пользователя, либо в надежном центральном хранилище. Этот подход наиболее актуален для реализации SSO в среде уже существующих (как правило, клиент-серверных) приложений, ибо не требует никакой доработки клиентского или серверного программного обеспечения.

Второй подход заключается во внедрении системы «билетов». В общих чертах такая система работает следующим образом: при первой регистрации пользователь получает электронный билет, подтверждающий его право на вход в определенные системы. Впоследствии сами системы могут на основании этого билета «впустить» пользователя без дополнительной аутентификации. Такие системы применяются в первую очередь для Web-приложений, где в качестве билета используется аппарат cookie, хранимый в браузере пользователя. Другая распространенная реализация этого подхода - механизм Kerberos, реализованный, в частности, в Windows Server. Такой способ требует настройки сервера (а в случае с Kerberos и клиента) для работы с билетами.

Строго говоря, аутентификация после внедрения систем однократной регистрации вовсе не обязательно должна стать действительно «однократной» в смысле «одна аутентификация при входе в операционную систему». Скорее, процесс аутентификации должен стать контролируемым. Например, имеет смысл требовать от пользователя производить повторную аутентификацию в определенное время или запрашивать аутентификации при проведении особенно важных (например, финансовых) операций.

На сегодняшний день возможности по реализации SSO присутствуют в том или ином виде в большинстве портальных решений (ибо им чаще всего требуется обеспечить доступ одновременно к нескольким приложениям заднего плана). Лидерами рынка Web-средств SSO являются Netegrity SiteMinder и Oblix NetPoint, Cosign, OpenSSO, а из средств автоматического заполнения паролей стоит отметить Novell Secure Login и Evidian AccessMaster SSO.

В НГУ разрабатывается достаточно большое число различных программных комплексов и приложений, которые включают в свой функционал пользовательскую авторизацию. На данный момент каждый программный продукт имеет свою отдельную базу данных для хранения пользовательской информации. Аутентификация, соответственно, тоже проводится нецентрализованно, что существенно тормозит работу во время обращения пользователей по поводу смены паролей. В результате, нами было принято решение о создании системы единой аутентификации на базе протокола LDAP.

В настоящее время ведутся активные работы по созданию системы единой аутентификации и ее внедрению. Наша система предоставит следующие профессиональные функции:

* Добавление, удаление, редактирование пользовательских учетных записей администратором;

* Централизованная аутентификация пользователей;

* Надежное хранение пользовательской информации.

Требования к разрабатываемой системе:

1. Прозрачность для пользователя. В идеале пользователь не должен знать о существовании специального сервиса аутентификации.

2. Масштабируемость, то есть возможность включения в систему всех университетских сервисов.

3. Среда функционирования - Linux/Unix.

4. Низкая требовательность к аппаратным ресурсам.

5. Низкая сложность написания дополнений по интеграции приложений в систему.

В результате анализа программных продуктов по реализации SSO было принято решение внедрить в систему проект Cosign, как инструмент для единой аутентификации, в частности использующий второй подход к SSO. Cosign наилучшим образом удовлетворяет предъявленным требованиям.

Cosign - это проект с открытым исходным кодом (Open Source), разработанный в Институте Мичигана (University of Michigan) как аутентификационная система единого входа для веб-приложений.

Помимо низкой ресурсоемкости и низких накладных расходах при внедрении к достоинствам Cosign можно также отнести наличие полной документации и сообщества поддержки, в которое входят технические специалисты из многих университетов мира: The University of Edinburgh, The University of Auckland, The Pennsylvania State University и других.

Также, для функционирования системы, в рамках данной работы, должен будет разработан автономный компонент «Менеджер ролей», ответственный за управление правами и выдачи информации о правах того или иного пользователя.

Управление правами пользователей данного компонента должно быть основано в рамках ролевой модели, абстрагировано от механизмов авторизации, аутентификации, хранения пользовательской сессии и других аспектов функционирования системы управления информационными ресурсами.

Оптимальным средством хранения ресурсов для организации единого хранилища информации является создание иерархической базы данных пользователей на базе протокола LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к каталогам). LDAP построен по объектно-ориентированному принципу и позволяет с лёгкостью добавлять и изменять объекты при помощи файлов схем. Кроме этого, LDAP обладает большими возможностями в плане структурированности и работы с клиентами различных платформ. На основе LDAP легко построить гетерогенные сети, кроме этого, информация об объектах хранится в древовидном виде.

В ближайшее время планируется апробировать и ввести данную систему в эксплуатацию.

Система единой аутентификации позволит существенно ускорить деятельность НГУ по вопросам работы с аутентификационными данными пользователей.

управление ресурс аутентификация база

Литература

1. Федотов А.М. Информационная безопасность в корпоративной сети // Проблемы безопасности и чрезвычайных ситуаций / ВИНИТИ. М.: ВИНИТИ, 2008. № 2. С. 88-101.

2. Жижимов О.Л., Федотов А.М. Модели управления доступом к распределенным информационным ресурсам // Электронные библиотеки: перспективные методы и технологии, электронные коллекции. Труды Девятой Всероссийской научной конференции RCDL'2007 (Переславль-Залесский, Россия, 15-18 октября 2007 г.). Переславль-Залесский: изд.-во «Университет города Переславля», 2007. - ISBN 978-5-901795-09-5. - с. 301-304.

3. Шокин Ю.И., Федотов А.М. К вопросу о развитии информационной инфраструктуры СО РАН // Вычислительные технологии. - 2009. - т.6, № 6. - с. 127-137.

4. Созыкин А.В., Масич Г.Ф., Масич А.Г., Бездушный А. Н. Вопросы интеграции информационных и сетевых служб. Варианты использования LDAP каталогов // Труды 6-ой Всероссийской научной конференции «Электронные библиотеки: перспективные методы и технологии, электронные коллекции» - RCDL2004,Пущино, Россия, 2004.

5. Барахнин В.Б. Жижимов О.Л. Степанов Ю.Ю. Федотов А.М. LDAP-каталог организации как ядро корпоративной распределенной информационной системы // Инновационные недра Кузбасса. IT-технологии: сборник научных трудов. - Кемерово: ИНТ, 2008. - С. 226-232.

Размещено на Allbest.ru