RELARN-2007. GLORIAD и международное сотрудничество в области научных сетей

Федеративный доступ к ресурсам научных и университетских сетей
Обзор современных Европейских инициатив и проектов

Ю.В.Демченко
ведущий секции "GLORIAD и международное сотрудничество в области научных сетей"

Под федеративным доступом (Identity Federation, Resource Federation, Federated access) понимается комплекс технологий и соответствующая инфрастрктура, которые позволяют использовать единое имя пользователя и/или его мандат/сертификат идентификации для доступа в сетях, которые установили между собой доверительные отношения и входят в ассоциацию безопасности, обычно называемую "федерацией". Доверительные отнощения (или доверие) обычно устанавлиется на основе Системы Открытых Ключей (СОК).

Технология и инфраструктура федеративного доступа к сетевым ресурсам приобретает все большее распространение как в среде научных и образовательных сетей, где она является насущной необходимостью для поддержки научного сотрудничества, так и для коммерческих сетей и приложений, где она обещает существенную экономию затрат на администрирование пользовательского доступа в распределенных приложениях.

Расширение сотрудничества между университетами и научными центрами в Европе и в мире является результатом увеличения наукоемкости современных фундаментальных и прикладных исследований. Это приводит к необходимости обьединения ресурсов сотрудничающих организаций и создания единой федеративной системы доступа для пользователей этих ресурсов. Соответственно это стимулирует развитие новых сетевых технологий и приложений для поддержки такого сотрудничества, которые включают федеративную инфраструктуру управления идентификацией пользователей (Identity Federation), виртуализацию ресурсов и пользовательских групп на основе Грид-технологий, а также поддержку мобильности пользователей.

Проблема федеративного доступа к распределенным ресурсам фактичеки распадается на две взаимовязанные проблемы: поддержка федераций организаций и пользователей и обеспечение взаимного доступа пользователей к ресурсам организаций, котрые входят в так-называемые федерации.

Первая проблема создания и поддержки федераций организаций и пользователей фактически решается посредством установления доверительных отношений между системами идентификации пользователей (IdP - Identity Provider), имеющимися в наличии в "домашних" организациях и сетях пользователей.

Такие федерации IdP позволяют использовать удаленную сетевую аутентификацию пользователей в "домашней" организации в случае, если пользователь запрашивает доступ к сети или другим ресурсам из организации, входящей в федерацию. Дополнительно, федерации IdP позволяют также обмениваться характеристиками пользователей (обычно называемыми "атрибутами"), которые используются для определения уровня доступа или категории сервисов и ресурсов, которые доступны пользователю.

Две основные платформы, используемые в научных и университетских сетях для создания инфраструктуры федерации IdP, являются Shibboleth, изначально разработанная Intenet2, и A-Select, разработанная SURFnet. Обе платформы являются свободно распространяемыми и имеют обширную международную пользовательскую базу. Важно также отметить, что основой и условием для федерации IdP является наличие развернутой инфраструктуры Системы Открытых Ключей (СОК или PKI - Public Key Infrastructure).

Распределенный доступ к федеративным ресурсам использует инфраструктуру поддержки федераций пользователей, но требует соответствующую организацию системы аутентификации (AuthN - Authentification) авторизации (AuthZ - Authorisation), контролирующих доступ к собственно ресурсам как сетевым, так и к специальным приложениям. Создание федеративной инфраструкутры аутентификации и авторизации, известной как AAI, является одной из важнейших инициатив Европейских научных сетей. Находящийся в настоящее время на этапе внедрения проект eduGAIN (GEANT Authorisation Infrastructure for the research and education community) ставит своей задачей создание федеративной AAI в Транс-Европейской научной сети GEANT.

Федеративный доступ к виртуализованным компьютерным ресурсам по сути является основой инфраструкуры безопасности и контроля доступа в Грид. Федерации пользователей и ресурсов в Грид, как правило, ориентированы на отдельные научно-иследовательские проекты и являются более динамичными, чем университетсвие федерации, и имеют форму Виртуальных Организаций (ВО). В настоящее время имется несколько инициатив, направленных на интеграцию и взаимодействие инрфаструктуры ВО и федеративных IdP.

Многие Европейские научные сети предоставляют услуги поддержки национальных федераций или создания целевых федераций посредством предоставления услуг третьей доверительной стороны для обмена пользовательскими данными, необходимыми для контроля доступа пользователей к федеративным ресурсам. Примерами могут быть SURFnet Federation (SURFnet, The Netherlands), SWITCHaai (SWITCH, Switzerland), а также Shibboleth/MACE Federation в США.

Особой популярностью пользуется инфраструктура распределенного доступа мобильных пользователей Eduroam (Education Roaming). Инициатором Eduroam стали SURFnet и целевая группа по вопросам мобильности Ассоциации Европейских научных сетей TERENA. В настоящее время федеративная инфраструктура Eduroam включает 22 Европейские страны, Австралию, Тайвань, а также отдельные университеты в США. Пользователи из сетей и организаций, входящих в федерацию Eduroam, могут использовать свой постоянный логин (имя пользователя и пароль в своей "домашней" организации) для доступа к Интернет в любой сети федерации Eduroam. Это создает реальную платформу для мобильности пользователей, и в частности, для обмена учебными программами между университетами.

Eduroam использует протокол RADIUS (Remote Authentication Dial In User Service) для удаленной аутентификации пользователей, который в настоящее время используется многими университетами в России, однако для включения в федерацию Eduroam необходимы также широкое внедрение СОК и установление доверительных отношений между национальными Сертификационными центрами СОК, что в свое время потребует гармонизации политики сертификации СОК российских центров сертификации и сетей или стран членов федерации Eduroam.

Европейские и зарубежные университеты и научные сети прошли большой путь от создания высокоскоростной транспортной сетевой инфруктуры до создания инфраструктуры поддержки распределенных приложений (часто называемой middleware) и распределенной системы доступа пользователей к этим ресурсам. Изучение этого опыта и внедрение соответствующих технологий российскими университетами позволит создать база как для более тесного сотрудничества между российскими организациями, так и расширения междурародного сотрудничества.

Дополнительная литература

На секции так же будут представлены обзорные технические доклады по вопросам использования технологии и инфраструктуры федеративного доступа пользователей к сетевым и информационным ресурсам в Европейских и международных научных и университетских сетях.