Procedura dotychczasowa poszerzona zostanie o konieczność uzyskania przez przyszłego użytkownika certyfikatu EuroPKI.
Założenie: każdy użytkownik KDM posiada certyfikat EuroPKI
użytkownik posiada klienta SSH obsługującego certyfikaty
Użytkownik konfiguruje klienta SSH na swoim komputerze włączając obsługę certyfikatów i umieszczając w nim własny certyfikat wyposażony w klucz prywatny.
Użytkownik nawiązuje połączenie SSH z serwerem dostępowym, np. gatewaykdm.wcss.wroc.pl z żądaną nazwą użytkownika
Serwer dostępowy SSH weryfikuje zgodność kluczy i ustanawia połączenie lub nie. Dodatkowo serwer odmówi połączenia w przypadku, gdy certyfikat jest nieważny lub cofnięty.
Użytkownik może wykonywać dalsze logowania na poszczególne maszyny KDM bez konieczności autoryzacji.
Użytkownik korzysta z klienta SSH nie obsługującego certyfikatów
Użytkownik pobiera klucz prywatny i konfiguruje klienta SSH do korzystania z niego jako metody autoryzacji
Użytkownik nawiązuje połączenie SSH z serwerem dostępowym, np. gatewaykdm.wcss.wroc.pl z żądaną nazwą użytkownika
Serwer dostępowy SSH weryfikuje zgodność kluczy i ustanawia połączenie lub nie. Ważność certyfikatu nie jest sprawdzana. Jeżeli certyfikat zostaje unieważniony, wówczas klucz publiczny nie pojawi się na serwerze dostępowym przy najbliższej aktualizacji kont użytkowników serwera dostępowego. W takiej sytuacji klient nie będzie autoryzowany.
Użytkownik może wykonywać dalsze logowania na poszczególne maszyny KDM bez konieczności autoryzacji.
Użytkownik korzysta z przeglądarki internetowej
Użytkownik instaluje swój certyfikat i odpowiadający mu klucz prywatny w przeglądarce internetowej
Użytkownik nawiązuje połączenie HTTPS z serwerem dostępowym, np. https://gatewaykdm.wcss.wroc.pl
Serwer dostępowy HTTPS weryfikuje ważność certyfikatu i na tej podstawie ustanawia połączenie lub nie. Dodatkowo z informacji zawartych w certyfikacie pobierana jest nazwa użytkownika, którą posługuje się posiadacz certyfikatu w obrębie zasobów KDM.
Po stronie klienta uruchamiana jest aplikacja klienta SSH w formie appletu Java. Automatycznie otwarta zostaje sesja terminalowa dla użytkownika o nazwie wybranej w poprzednim kroku. Użytkownik może wykonywać dalsze logowania na poszczególne maszyny KDM bez konieczności autoryzacji.
Procedura uruchomienia konta w KDM zakłada, że istnieje wydany i podpisany certyfikat EuroPKI przyszłego użytkownika:
Do bazy zostaje dopisana wybrana nazwa (login) użytkownika, automatycznie wybrany unikatowy identyfikator (uid) oraz adres poczty elektronicznej, na ktory zostal wystawiony certyfikat EuroPKI.
Na serwerze dostępowym w sposób automatyczny zakładany jest katalog użytkownika zawierający klucz publiczny zawarty w certyfikacie. Automatycznie zostają udostępnione również inne serwery KDM wykorzystując dane zawarte w bazie użytkowników przez mechanizmy PAM, lub poprzez założenie tradycyjnych kont użytkownika na tych maszynach
Założone zostają katalogi z odpowiednimi uprawnieniami: na wszystkich wspólnych zasobach dyskowych, na archiwizatorach oraz na dyskach przechowujących pliki tymczasowe na konkretnych maszynach obliczeniowych (w zależności od potrzeb i konfiguracji poszczególnych maszyn)