Доклад посвящен проблеме создания единой точки управления доступом пользователей к сервисам корпоративной сети: вычислительным, сетевым и информационным. Как правило, каждый сервис имеет свою базу данных о пользователях и их правах доступа и свою систему управления. Это накладывает высокие требования на квалификацию администратора: необходимо понимать тонкости работы и настройки всех, используемых в корпоративной сети сервисов, уметь пользоваться большим количеством систем управления. Хранилища данных о пользователях и правах необходимо поддерживать (что сложно при большом числе сервисов и хранилищ) и обеспечивать между ними синхронизацию данных.
Желательно создать систему, позволяющую хранить данные о пользователях и правах их доступа к корпоративным сервисам в одном месте и управлять ими через единый интерфейс.
В Пермском научном центре (ПНЦ) УрО РАН такая система создается с использованием каталога LDAP. Сейчас многие программные системы, как коммерческие, так и бесплатные, могут использовать LDAP в качестве хранилища данных о пользователях и их правах. Это позволяет решить проблему создания единого хранилища данных сервисов корпоративной сети без переписывания программного обеспечения, реализующего эти сервисы.
Другим аспектом проблемы управления доступом к сервисам является система управления данными в LDAP-каталоге. В настоящее время существует много подобных систем, но все они рассчитаны либо на продукты одного поставщика программного обеспечения, либо поддерживают небольшое количество сервисов и имеют ограниченные функциональные возможности. Систем, которые позволяли бы через единый интерфейс выполнять все необходимые действия по управлению доступом пользователей к сервисам различных производителей программных и аппаратных решений, нет. Поэтому разрабатывается собственная система, позволяющая через Web-интерфейс выполнять следующие действия:
Поддерживается управление следующими сервисами:
Система поддерживает разграничение прав доступа пользователей на основе ролей. Простые пользователи могут менять только данные о себе (контактная информация, пароль). Администраторы уровня отдельных сервисов могут управлять доступом только к этим сервисам. Администраторы верхнего уровня имеют доступ ко всей информации.
В настоящее время разработаны три реализации системы управления данными в каталоге LDAP:
Безопасность обеспечивается с помощью защищенного протокола SSL. Сервисы корпоративной сети обмениваются данными о пользователях с каталогом LDAP по протоколу TSL, который использует SSL для шифрования. Система управления работает по протоколу HTTPS, который также использует SSL. Таким образом, передача паролей в открытом виде по сети исключается.
Для обеспечения надежности используется два LDAP сервера, между которыми настроена репликация. Серверы работают в режиме резервирования.Работы поддержаны грантом РФФИ 03-07-90140-в.
Направления дальнейшего развития системы:
Примечание. Тезисы докладов публикуются в авторской редакции
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск