ASRock Industrial FDO Solutions in Action for Industrial Edge AI _ Kenny at A...
Správa vzdáleného přístupu k elektronickým informačním zdrojům
1. Správa vzdáleného
přístupu k elektronickým
informačním zdrojům
Česká zemědělská univerzita v Praze, 24.2.2008
Ing. Jiří Pavlík
Univerzita Karlova v Praze, Ústav výpočetní techniky
Cesnet
2. Program
• Jemný úvod ke vzdálenému přístupu k el.
zdrojům
• Stávající řešení
• Shibboleth
• Shrnutí a diskuze
3. Jemný úvod
• Prostředí pro výuku
• Úvod do problematiky
4. Prostředí pro výuku
• El. časopisy, el. knihy
• E-learningové kurzy
• Dostupné rychlé internetové připojení
• Dostupné počítače + netbooky, smartphones
• Internetová gramotnost studentů a pedagogů
5. Úvod do problematiky
• Optimální vzdálený přístup?
• rozpozvávání afiliací k instituci
• aktuální, platné role v instituci
• multiinstitucionální
• Single-sign-on
• žádné pluginy, žádné extra nastavení pro
uživatele, žádné extra adresy
6. Úvod do problematiky
• Optimální vzdálený přístup?
• jakýkoli prohlížeč, jakékoli zařízení
• bezpečné
• ochrana osobních údajů
• škálovatelné
• založené na otevřených mezinárodních
standardech
7. Úvod do problematiky
• Optimální vzdálený přístup?
• intuitivní, samonaváděcí pro uživatele
• dobře spravovatelné pro správce
• rychle nasaditelné, dostupné
• podporované - vývoj, technická podpora
• monitoring, statistiky
8. Stávající řešení
• Používané typy autentikace a autorizace
• Příklady systémů
• Vlastnosti, omezení
• bez Shibboleth
9. Autentikace a
autorizace
• IP adresa proxy serveru
• institucionální jméno a heslo, ev. jen heslo
• kombinace IP adresa a jména s heslem
• osobní jméno a heslo
• proprietární skript (JSTOR)
11. Rewrite proxy
+ levné, statistiky
- rozlišování skupin, speciální odkazy,
nároky na správu
• EZ Proxy
12. HTTP proxy
+ levné, nároky na správu, žádné úpravy v
odkazech na stránkách, nároky na správu
- rozlišování skupin, uživatelský komfort,
statistiky
• Squid
13. VPN
+ nároky na správu, žádné úpravy v
odkazech na stránkách
- rozlišování skupin, autentikace na jméno a
heslo, statistiky
• open source, Microsoft, CISCO
14. Ssh tunel
+ nároky na správu, žádné úpravy v
odkazech na stránkách
- uživatelský komfort, rozlišování skupin,
statistiky
• unix server / ssh klient zařízení uživatele
15. Portálové systémy
+ uživatelský komfort, statistiky
- cena, nároky na správu, úpravy v
odkazech
• Onelog, Netman
16. Terminal server
+ nároky na správu, žádné úpravy v
odkazech, podpora newebových klientů
- uživatelský komfort, statistiky
• Windows server, Mac OS X server
18. Nejblíže ideálu?
• EZproxy
• vývoj, technická podpora OCLC
• žádné plugins pro uživatele
• provoz na portu 80
• podpora LDAP
• Windows, Linux, Solaris
24. Shibboleth
• Užitečné odkazy
• Kontakty
• Doporučení, příprava pro Shibboleth
• Shibboleth pro ČR 2009 - 2012
• Otázky, diskuze
25. Základní představení
"The Gileadites captured the fords of the Jordan leading to Ephraim,
and whenever a survivour of Ephraim said, "Let me go over," the men
of Gilead asked him, "Are you an Ephraimite?" If he replied, "No," they
said, "All right, say 'Shibboleth'." If he said, "Sibboleth," because he
could not pronounce the word correctly, they seized him and killed him
at the fords of the Jordan. Forty-two thousand Ephraimites were killed
at that time." (Judges 12:5-6, NIV)
http://en.wikipedia.org/wiki/Shibboleth
26. Základní představení
Shibboleth is an Internet2 Middleware Initiative project that has
created an architecture and open-source implementation for
federated identity-based authentication and authorization
infrastructure based on SAML. Federated identity allows for
information about users in one security domain to be provided to
other organizations in a common federation. This allows for cross-
domain single sign-on and removes the need for content providers
to maintain usernames and passwords. Identity providers (IdP's)
supply user information, while service providers (SP's) consume
this information and gate access to secure content.
http://en.wikipedia.org/wiki/Shibboleth_(Internet2)
27. Základní představení
“Because of the barbaric legend, 'Shibboleth' is admirably suited
as the name for a system that restricts user rights and free access
to information. Whether it is needed by libraries, ordinary citizens
or rapacious publishers is quite another matter.”
Ari Rouvari, The National Library of Finland, FinELib
28. Základní představení
• Internet 2 projekt [http://www.internet2.edu]
• middleware pro federativní autentikaci a
autorizaci
• freeware, open source
• webové Single-Sign-On
30. Komponenty v rámci
Shibboleth
• Identity Provider
• Servis provider
• Where Are You From / Discovery Service
• Shibboleth federace
• nepovinně cookie - kontext WAYF / DS
34. Shrnutí výhod
nasazení Shibboleth
+ rozlišování uživatelů podle skupin
+ vysoká úroveň zabezpečení
+ webové SSO
+ komfort uživatelů
+ lokální i federativní, škálovatelné
+ ochrana soukromí uživatelů
35. Výzvy nasazení
Shibboleth
- shibbolethizace aplikací
- standardizace LDAP
- organizace federace
- závislost na statistikách providerů
36. Shibboleth v
zahraničí
• Finsko, Velká Británie, Švýcarsko, USA,
Francie, Německo, Dánsko, Čína,
Holandsko, Norsko, Belgie, Austrálie,
Španělsko, Švédsko
• v přípravě: Austrálie, ČR, Slovinsko
• eduGAIN, EU konfederace, projekt GÉANT2
• seznam federací
• https://spaces.internet2.edu/display/SHIB/
ShibbolethFederations
37. Finsko
• federace HAKA, spravováno CSC, 38 členů
• Nelli Portal, FinELib - MetaLib, SFX, EZ
Proxy a dalších 52 služeb, e-learning
• http://www.csc.fi/english/institutions/haka/
index_html
38. Velká Británie
• UK federation, spravováno JISC a Becta,
629 členů
• přechod z Athens, OpenAthens Shibboleth-
to-Athens Gateway, el. zdroje a e-learning
• http://www.ukfederation.org.uk/
39. Švýcarsko
• federace SWITCHaai, spravována SWITCH,
35 členů
• nadstavbové nástroje, školení
• e-learningové systémy
• http://www.switch.ch/aai/
40. USA
• federace InCommon, 78+5+32 členů, 2.2
milionu koncových uživatelů
• el. zdroje a e-learning
• http://www.incommonfederation.org/
41. Shibboleth v ČR
• pracovní skupina při CESNET
• založena 2005/2006
• czTestFed - testovací federace
• eduID - produkční federace, pilotní provoz
ve 2008, ostrý provoz od 1.1.2009
42. Shibboleth v ČR
• stránky eduID:
• http://www.eduid.cz
• aktivita AAI a mobilita
• http://www.cesnet.cz/projekt/09
43. Shibboleth v ČR
• stránky eduID:
• politika federace eduID
• návody a připojení do eduID a
czTestFed
• návody na instalace IdP a SP
46. Shibboleth u aplikací
• Ex Libris PDS (Aleph, MetaLib, SFX,
DigiTool, Primo)
• EZ Proxy
• Moodle
• Blackboard - WebCT
• Fedora, DSpace
• TWiki ....
47. Shibboleth u db
center a aplikací
• Internet2 adresář
• https://spaces.internet2.edu/pages/
viewpage.action?pageId=11484
• JISC adresář
• http://access.jiscinvolve.org/federated-
access-and-publishers/
48. Shibboleth u
produktů Ex Libris
• SFX
• podzim 2002 testování
• léto 2003 implementace na CDL a NYU
• USMAI, Nelli Portalli, Swiss Federal
Institute of Technology Zurich
49. Shibboleth u
produktů Ex Libris
• Patron Directory Services v1.3
• MetaLib 3.13, Aleph 18.x, DigiTool 3.x,
SFX, Primo
• Patron Directory Services 1.3.pdf
Implementing Shibboleth 1.32 in Ex Libris
products
• PDS jako WAYF
50. Shibboleth u
produktů Ex Libris
• University of Maryland / USMAI
• David Kennedy
• MetaLib, Aleph
• EZproxy, IILiad, EBSCO,
• stránky k implemetanci Shibboleth
• http://usmai.umd.edu/auth/
51. Shibboleth u
produktů Ex Libris
• Univerzita Karlova v Praze
• Jiří Pavlík
• v přípravě Aleph, DGT, SFX, MetaLib
• EZproxy
• stránky k Shibboleth na UK
• http://kis.is.cuni.cz/KSISENG-9.html
53. iTunes University
• Apple spustili shibbolethovou autentikaci u iTunes University, což umožní
pedagogům vystavovat výukové materiály (videa, zvukové nahrávky,
skripta) s autentikací univerzitním účtem a studentům umožní přístup k
těmto materiálům opět s autentikací univerzitním účtem. Penn State v
roce 2007 v rámci iTunes University vystavili 3 500 podcastů v rámci 300
kurzů.
• Podrobnosti:
http://www.incommonfederation.org/docs/eg/InC_CaseStudy_iTunes_2008.pdf
54. Microsoft Spark
• Microsoft pro všechny studenty celosvětově nabízí balík DreamSpark -Visual
Studio, Expression Studio, Windows Server a xna Game Studio. Autentikace
studentů je zajištěna pomocí Shibboleth.
• Podrobnosti:
http://www.incommonfederation.org/docs/eg/InC_CaseStudy_Dreamspark_2008.pdf
56. Verze Shibboleth
• 1.2 a níže - již nepodporované
• 1.3 - předešlá stabilní
• 2.0 - nahrazená 2.1
• 2.1.2 - aktuální stabilní
• 2.x zpětně kompatibilní s 1.3
57. Identity Provider - IdP
verze 2.x
• Java aplikace
• Java aplikační server např. Apache
Tomcat, Servlet 2.4 container
• Popis instalace na webu eduID:
• http://www.eduid.cz/wiki/cztestfed/howto/
index
58. Service Provider
verze 2.x
• Linux, Mac OS X, Solaris 8, Windows 32-
bit / 64-bit, C++ zdrojový kód
• 6.9.2008 Java verze
• Popis instalace na webu eduID:
• http://www.eduid.cz/wiki/cztestfed/howto/
index
59. Otestování
• Pro otestování instalace IdP nebo SP k
dispozici federace czTestFed
• http://www.eduid.cz/wiki/cztestfed/index
60. SAML protokol
• Security Assertions Markup Language
• OASIS projekt [http://www.oasis-open.org]
• http://www.oasis-open.org/specs/index.php
• http://www.xml.com/pub/a/2005/01/12/
saml2.html
61. eduPerson schema
• LDAP schema
• popis atributů a hodnot používaných v rámci
Shibboleth
• http://middleware.internet2.edu/eduperson/
• http://middleware.internet2.edu/dir/schema/
62. Národní rozšíření
eduPerson
• FunetEduPerson
• http://www.csc.fi/english/institutions/haka/
technology/funeteduperson
• SwissEduPerson
• http://www.switch.ch/aai/support/
documents/#policies
63. Užitečné odkazy
• Internet 2 Shibboleth
• http://shibboleth.internet2.edu/
• Shibboleth Wiki
• https://spaces.internet2.edu/display/
SHIB2/Home
64. Užitečné odkazy
• Shibboleth demo
• http://www.switch.ch/aai/demo
• O Shibboleth na lupa.cz od Pavla Satrapy
• http://www.lupa.cz/clanky/shibboleth/
67. Užitečné odkazy
• GridShib, Shibboleth v prostředí gridů
• http://gridshib.globus.org/
• https://authdev.it.ohio-state.edu/
twiki/bin/view/GridShib/WebHome
68. Kontakty
• CESNET
• Milan Sova, sova@cesnet.cz
• Univerzita Karlova v Praze, Cesnet
• Jiří Pavlík, pavlik@cuni.cz
• eduID
• http://www.eduid.cz/wiki/eduid/
contact
69. Události k Shibboleth
• semináře řešitelů CESNET
• školení CESNET
• Internet2 events
• http://shibboleth.internet2.edu/
events.html
70. Shrnutí, diskuze
• doporučení
• příprava pro Shibboleth
• vývoj kolem Shibboleth 2009, 2010 -
2012
• otázky, diskuze
72. Příprava na
Shibboleth
• Identity management v rámci
organizace a bezpečnostní politika
• příprava LDAP
• instalace IdP, ev. SP
• připojení a otestování v rámci
czTestFed, připojení do eduID
• oslovení Cesnet k podpoře nasazení
Shibboleth
73. Shibboleth 2009
• jaro 2009:
• návody na připojení do eduID
• anglická verze politiky a návodů
• seznamy členů a služeb
• aktuality, kalendář akcí
74. Shibboleth 2009
• jaro 2009:
• know-how k shibbolethizaci Ex
Libris PDS - SFX, Aleph, MetaLib,
DigiTool
• know-how k shibbolethizaci Moodle,
CaseMed, MefaNet
• know-how k shibbolethizaci Portálu
el. zdroju MUNI
75. Shibboleth 2009
• 2009
• připojení EBSCO, JSTOR, Elsevier,
Proquest, ... do eduID
• shibbolethizace e-learning systémů
a spolupráce při tvorbě kurzů
76. Shibboleth 2009
• 2009
• školení Cesnet k instalaci SP a IdP
• grantová podpora Cesnet k
nasazení Shibboleth
77. Shibboleth 2010 -
2012
• přechod na shibbolethovou
autentikaci u většiny předpláceného
materiálu pro výuku
• shibbolethizace služeb na
univerzitách
• shibbolethizace služeb partnerů
78. Shibboleth 2010 -
2012
• multiinstitucionální podpora u
Shibboleth
• interoperabilita se systémy
založenými na SAML
• podpora Kerberos
• Shibboleth session logout
79. Shibboleth 2010 -
2012
• nové verze Shibboleth od Internet2
• nové nadstavbové nástroje
• boom nabídky služeb
80. Finiš
• závěrečné otázky? diskuze
• Vaše návrhy pro eduID -
dokumentace, podpora,
školení,...?
• doprovodný materiál
81. Děkuji za pozornost
Jiří Pavlík
pavlik@cuni.cz
Univerzita Karlova v Praze, Ústav výpočetní techniky
Cesnet