Конференции ИВТ СО РАН

X Российская конференция с участием иностранных ученых "Распределенные информационно-вычислительные ресурсы”

Академгородок, г. Новосибирск, Россия, 6-8 октября 2005 г.

Тезисы докладов

Портал интегрированного управления доступом к сетевым, вычислительным и информационным сервисам

Масич Г.Ф., Масич А.Г., Созыкин А.В.

Институт механики сплошных сред УрО РАН (Пермь)

Доклад посвящен проблеме создания единой точки управления доступом пользователей к сервисам корпоративной сети: вычислительным, сетевым и информационным. Как правило, каждый сервис имеет свою базу данных о пользователях и их правах доступа и свою систему управления. Это накладывает высокие требования на квалификацию администратора: необходимо понимать тонкости работы и настройки всех, используемых в корпоративной сети сервисов, уметь пользоваться большим количеством систем управления. Хранилища данных о пользователях и правах необходимо поддерживать (что сложно при большом числе сервисов и хранилищ) и обеспечивать между ними синхронизацию данных.

Желательно создать систему, позволяющую хранить данные о пользователях и правах их доступа к корпоративным сервисам в одном месте и управлять ими через единый интерфейс.

В Пермском научном центре (ПНЦ) УрО РАН такая система создается с использованием каталога LDAP. Сейчас многие программные системы, как коммерческие, так и бесплатные, могут использовать LDAP в качестве хранилища данных о пользователях и их правах. Это позволяет решить проблему создания единого хранилища данных сервисов корпоративной сети без переписывания программного обеспечения, реализующего эти сервисы.

Другим аспектом проблемы управления доступом к сервисам является система управления данными в LDAP-каталоге. В настоящее время существует много подобных систем, но все они рассчитаны либо на продукты одного поставщика программного обеспечения, либо поддерживают небольшое количество сервисов и имеют ограниченные функциональные возможности. Систем, которые позволяли бы через единый интерфейс выполнять все необходимые действия по управлению доступом пользователей к сервисам различных производителей программных и аппаратных решений, нет. Поэтому разрабатывается собственная система, позволяющая через Web-интерфейс выполнять следующие действия:

создавать/изменять/удалять учетную запись пользователя;
задавать пароль пользователя и политики безопасности (срок действия пароля, его сложность и т.п.);
создавать/изменять/удалять группы пользователей;
добавлять пользователя в группу/удалять пользователя из группы;
создавать/изменять/удалять группы сервисов;
разрешать/запрещать пользователю или группе доступ к отдельному сервису или группе сервисов.

Поддерживается управление следующими сервисами:

электронная почта;
прокси-сервер работы с Интернет;
модемный пул;
Межсетевой экран Cisco PIX;
Виртуальная частная сеть VPN;
Серверы аутентификации, авторизации и учета Radius и TACACS;
Файловые серверы (samba, NFS);
Вычислительный кластер МВС-1000/16П;
Вычислительные серверы Unix (Linux, Solaris);
Портал "Научный институт РАН".

Система поддерживает разграничение прав доступа пользователей на основе ролей. Простые пользователи могут менять только данные о себе (контактная информация, пароль). Администраторы уровня отдельных сервисов могут управлять доступом только к этим сервисам. Администраторы верхнего уровня имеют доступ ко всей информации.

В настоящее время разработаны три реализации системы управления данными в каталоге LDAP:

Отдельное Web-приложение, работающее в любом стандартном сервере приложений (протестировано в Apache Tomcat и JBoss Application Server);
Портлет, работающий в любом портале, поддерживающем стандарт JSR-168 (протестирован в JBoss Portal);
Блок для портала "Научный Институт РАН".

Безопасность обеспечивается с помощью защищенного протокола SSL. Сервисы корпоративной сети обмениваются данными о пользователях с каталогом LDAP по протоколу TSL, который использует SSL для шифрования. Система управления работает по протоколу HTTPS, который также использует SSL. Таким образом, передача паролей в открытом виде по сети исключается.

Для обеспечения надежности используется два LDAP сервера, между которыми настроена репликация. Серверы работают в режиме резервирования.

Работы поддержаны грантом РФФИ 03-07-90140-в.

Направления дальнейшего развития системы:

увеличение количества поддерживаемых сервисов;
поддержка однократной регистрации пользователей;
поддержка федеративной идентификации с помощью SAML и Liberty;
создание резервного центра управления доступом к сервисам, содержащего резервный LDAP сервер и сервер приложений с системой управления.

Примечание. Тезисы докладов публикуются в авторской редакции

Ваши комментарии
Обратная связь

[Головная страница]
[Конференции]