1. Wstęp

Cele:

  1. podniesienie poziomu bezpieczeństwa na serwerach obliczeniowych KDM WCSS

  2. upowszechnienie stosowania certyfikatów

  3. ujednolicenie dostępu do zasobów KDM (jeden punkt dostępowy)

Założenia:

Do zasobów KDM dostęp będą mieli użytkownicy posiadający certyfikaty EuroPKI. Uzyskanie takiego certyfikatu dla środowiska naukowego jest nieodpłatne. Certyfikat będzie wydawany każdemu użytkownikowi w ramach procedury przyznania grantu obliczeniowego WCSS, chyba że użytkownik posiada już taki certyfikat. Użytkownicy, którzy mają dostęp do zasobów KDM na zasadzie członkostwa w zespole badawczym osoby posiadającej grant WCSS, oprócz wypełnienia Karty Użytkownika, ubiegają się o certyfikat osobisty, więcej informacji na stronie Polskiego Centrum Certyfikacji EuroPKI http://www.europki.pl.

Aby możliwie uprościć użytkownikom stosowanie certyfikatów proponuje się zastosowanie standardowych klientów SSH i wykorzystanie klucza publicznego i prywatnego, generowanego w ramach procedury wydawania każdego certyfikatu. Klient SSH musi mieć więc przynajmniej możliwość autoryzacji z wykorzystaniem klucza prywatnego. Możlilwe są dwa przypadki: 1. Klient SSH wspiera obsługę certyfikatów, wówczas klucz prywatny jest pobierany z certyfikatu automatycznie przez aplikację kliencką. 2. Klient SSH nie wspera obsługi certyfikatów, w tym przypadku wymagane jest ręczne wyodrębnienie klucza prywatnego i umieszczenie go w konfiguracji klienta.

Dostępne są na rynku komercyjne implementacje SSH wspierające certyfikaty (VanDyke SecureCRT 3.4, Secure NetTerm 5.4.2, SSH Secure Shell 3.2), jednak większość darmowych klientów wspiera jedynie autoryzację za pomocą surowych kluczy. Obsługa certyfikatów jest natomiast dość dobrze wspierana w przeglądarkach internetowych. Dlatego też, w celu zwiększenia elastyczności dostępu do zasobów KDM, proponuje się zastosowanie alternatywnej metody, polegającej na wykorzystaniu appletu Java. Aplikacja ta ma umożliwiać dostęp terminalowy z poziomu przeglądarki, obsługę Xwindows oraz autoryzować dostęp użytkownika na bazie zainstalowanego w przeglądarce certyfikatu PKI.

Po stronie serwera dostępowego (GATEWAY) zakłada się zainstalowanie klucza publicznego z certyfikatu użytkownika i autoryzowanie go na podstawie posiadania przez niego pasującego klucza prywatnego. Ponieważ przyznawanie certyfikatów odbywa się po stronie WCSS, klucz publiczny użytkownika będzie umieszczany na serwerze automatycznie lub przez administratora KDM. Zostanie utworzona baza LDAP, z której będzie korzystał serwer SSH podczas autentykacji dostępu. Przewiduje się także zbadanie możliwości modyfikacji serwera SSH w kierunku obsługi certyfikatów, dzięki czemu praca administratora serwera dostępowego będzie ograniczona do instalacji certyfikatów w bazie danych.

Przewiduje się zaprojektowanie, instalację i utrzymanie lokalnej bazy użytkowników KDM. Baza określać będzie sposób dostępu do zasobów oraz dostarczać informacji takich jak np. rzeczywisty numer UID użytkownika na maszynach obliczeniowych. Spośród wszystkich klientów Polskiego Centrum Certyfikacji EuroPKI automatycznie wybierane będą certyfikaty użytkowników KDM w celu przechowania ich lokalnej kopii w bazie danych. Dane zebrane w bazie służyć będą do autoryzacji i autentykacji użytkownika oraz do automatycznej konfiguracji kont i przestrzeni dyskowej w obrębie zasobów KDM.