Harvard vs. MIT: řešení správy identit

Harvard vs. MIT: řešení správy identit


Cambridge ve státě Massachusetts je sídlem dvou univerzit, které patří k nejlepším na světě, MIT a Harvardu. Obě mají obrovské celouniverzitní sítě s veškerými myslitelnými nástroji, jak sériovými, tak navrženými podle specifických potřeb instituce. Obě školy mají různorodé a velké skupiny uživatelů, jejichž počty jdou do desetitisíců, přičemž se jedná o vysoce mobilní lidi. Obě školy také potřebují, aby jejich sítě byly dobře zabezpečeny – tyto univerzity jsou terčem neustálých útoků, jak zvenčí, tak zevnitř.

MIT i Harvard jsou na internetu od počátku 70. let a měly celoplošné školní sítě dávno předtím, než většina lidí ve Spojených státech vůbec měla telefonické připojení. Není proto překvapením, že obě školy si vytvořily své vlastní systémy pro správu identit (Identity Management). Co ovšem překvapivé je, je to, že výchozí koncepce a implementace obou systémů Identity Managementu se radikálně liší, avšak v mnoha směrech nabízejí podobnou funkčnost a trpí podobnými problémy.

Porovnání silných a slabých stránek systémů MIT a Harvardu je užitečné pro každého CSO, jehož organizace zvažuje zavede­ní nebo rozšíření vlastního systému správy identit.

Dobrý hlídací pes, neposlušný mazlíček

Výzkumníci na MIT vyvinuli v 80. letech jeden z prvních systémů pro správu identit na světě. Systém nazvaný Kerberos měl umožňovat uživatelům distribuovaných pracovišť Unixu, aby se identifikovali a autentizovali pro služby fungující na jiných počítačích.

Kerberos měl jen pár cílů. Síťoví designéři MIT si uvědomili, že by se studentům nedalo nijak zabránit, aby nepoužívali své vlastní packet sniffery, takže primárním cílem bylo dát každému v areálu MIT možnost používat jakoukoliv službu založenou na síti, aniž by musel posílat svá hesla prostřednictvím místní sítě. Tento cíl byl realizován pomocí složitého systému fungujícímu na počítačích uživatelů, který dostával zašifrované „lístky“ z centrálního serveru Kerbera.

Když se některý student nebo pracovník MIT připojí ke svému počítači, počítač požádá server Kerbera o speciální „povolenku“ nebo „lístek na lístky“ (ticket granting ticket). Pokud uživatelův počítač dokáže tento „lístek“ dešifrovat, uživatel musí ještě znát správné heslo, takže je implicitně autentizován. S tímto dešifrovaným lístkem uživatel může pokračovat dál a žádat další lístky pro specifické on-line služby. U projektu Athena na MIT je systém Kerberos používán pro elektronickou poštu, přístup k souborům, a dokonce k zasílání úkolů do tiskárny (každý student má měsíční limit na tisk).

MIT zavedla Kerberos v široké míře koncem 80. let. V 90. letech byl převzat většinou prodejců Unixu; Microsoft přidal podporu k Windows 2000.

Kerberos má pověst velmi bezpečného systému. Má ovšem také pověst systému, který je velmi obtížné konfigurovat a používat. Obě tyto pověsti jsou zasloužené. Největ­ší problém s Kerberem je, že každý aplikační program musí být speciálně „kerberizován“, aby mohl s Kerberem fungovat – což není jednoduchý proces. Zejména webové prohlížeče se kerberizovaly obtížně, protože jich bylo tolik a vyvíjely se tak rychle. Takže koncem 90. let MIT přijala druhý systém podnikové autentizace, založený na SSL a digitálních certifikátech X.509 na straně klienta, a ten provozuje souběžně s Kerberem. Studenti a pracovníci školy si při svém příchodu do této instituce vytvoří uživatelské jméno a heslo pro Kerbera. Jakmile mají účet u Kerbera, mohou jít na speciální internetové stránky a získat „certifikát MIT“ tím, že zadají své „kerberovské“ uživatelské jméno, heslo a číslo identifikační průkazky MIT.

Kombinace Kerbera a client-side certifikátů vytváří systém, který je neohrabaný a matoucí, některé služby certifikuje Kerberos, některé certifikát MIT, a není jasné, která služba používá jakou certifikaci a proč. Například student, který si chce přečíst formulář studijního oddělení o platbách, musí použít certifikát MIT, aby se dostal na speciální univerzitní stránky určené studentům. Je to tak proto, neboť certifikáty SSL jsou považovány za bezpečné. Student, který si ovšem chce přečíst svou elektronickou poštu, půjde na jiné stránky a zadá své kerberovské uživatelské jméno a heslo. Důvodem tohoto rozdílného přístupu je, že MIT má za to, že studenti budou číst svoji poštu v internetových kavárnách a na počítačích svých kamarádů – kde by neměli nechávat kopie svých certifikátů MIT. Bohužel to znamená, že kerberovská hesla by bylo možno ukrást pomocí keyboard sniffers. Naštěstí ale nikdo s kerberovským heslem, které má nějakou cenu, nepoužívá počítače po internetových kavárnách. Nosí si vlastní laptopy.

Další problém s podnikovou autentizací MIT je, že nefunguje mimo institut. Knihovny MIT mají předplaceny stovky on-line informačních­ služeb. Tyto organizace odmítají brát jak kerberovské lístky, tak certifikáty MIT. Místo toho chtějí, aby se členové MIT autentizovali pomocí svých IP adres. To sice není problém pro ty uživatele z MIT, kteří bydlí v areálu univerzity. Profesoři a studenti, kteří jsou mimo, buď mohou provozovat MIT Virtual Private Network client (který autentizuje uživatele pomocí jejich kerberovských hesel), nebo musejí jít přes některý ze speciálních proxy serverů, které zřídily knihovny MIT (jež autentizují uživatele pomocí jejich certifikátu MIT). Oba tyto systémy vytvářejí tunel mezi počítačem uživatele a MIT, takže poskytovatelé informací z třetí strany se domnívají, že uživatel je ve skutečnosti v areálu univerzity a používá IP adresu MIT.








Komentáře