• A
  • A
  • A
  • АБB
  • АБB
  • АБB
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта

Статья

Механизм прав на основе групп пользователей в EDUROAM – федеративной системе управления доступом к сетевым ресурсам научно-образовательных сетей

Овсянников А. П., Овсянникова Т. В., Овчаренко С. А.

Описывается реализация федеративного контроля доступа для научных сетей на основе технологии eduroam. Технология предоставляет пользователям возможность безопасной аутентификации для доступа к сети и использования сетевых ресурсов в любой сети федерации eduroam с использованием единственного набора учетных данных. Рассматриваются основные технологии и протоколы, используемые для обеспечения прозрачной аутентификации пользователей. Авторами впервые предложен механизм прав доступа на основе групп институтов и пользователей. Информация о группах хранится на групповых RADIUS-серверах в виде списка институтов или списка пользователей. Для аутентификации пользователя в eduroam сервис-провайдер передает запрос на аутентификацию, содержащий имя и пароль пользователя в зашифрованном виде, RADIUS-серверу идентификации института пользователя. Сервер идентификации определяется по доменному имени пользователя, запрос передается через иерархическую систему прокси-серверов RADIUS. Если сервис-провайдер обеспечивает специальный доступ для пользователей некоторой группы, он также направляет на RADIUS-сервер группы запрос о принадлежности пользователя этой группе. Запрос передается через иерархическую систему групповых серверов RADIUS. Иерархия прокси-серверов RADIUS федерации eduroam и групповых серверов основывается на доменной системе имен. Реализация описанных механизмов требует незначительной модификации RADIUS-сервера сервис-провайдера для поддержки групп и не требует внесения изменений в RADIUS-серверы провайдеров идентификации и прокси- серверы системы eduroam. Поддержка групп полностью совместима с существующей системой eduroam, в одной системе могут одновременно функционировать серверы RADIUS сервис-провайдера с поддержкой групп и без поддержки.