Kerberos na ČVUT – případová studie
České vysoké učení technické (ČVUT) je z pohledu informačních systémů značně heterogenní prostředí čítající několik desítek až stovek samostatně běžících služeb a aplikací, které využívají desítky tisíc uživatelů – studentů, zaměstnanců a hostů. Specifikem prostředí ČVUT je rozdělení správy a provozu IT mezi univerzitní a fakultní pracoviště.
Úvod
Systém Kerberos byl na ČVUT zaveden coby moderní a bezpečný systém centrální autentizace a autorizace, umožňující uživateli používat jedno heslo do všech systémů napříč celým prostředím ČVUT. Zakládání, aktualizace a mazání uživatelských účtů probíhá automaticky prostřednictvím identity managementu Oracle Waveset (IdM), který na ČVUT spravuje a rozvíjí společnost BCV solutions s.r.o. Cílem zavedení systému Kerberos bylo ustanovit centrální autentizační bod, který budou využívat všechny celouniverzitní i fakultní systémy.
Řešení
Základním požadavkem na řešení bylo automatizovat kompletní životní cyklus uživatelského účtu na systému Kerberos. Každému uživateli, který je zanesen do některého ze zdrojových systémů ČVUT, tedy například do databáze studentů nebo do personálního systému, je prostřednictvím IdM automaticky vytvořen účet na systému Kerberos. V okamžiku, kdy uživatel ukončí studium nebo pracovní poměr, je jeho účet automaticky deaktivován.
Samostatnou kapitolou zadání tvořila správa hesel. Nasazené řešení umožňuje uživatelům měnit své heslo prostřednictvím webového rozhraní IdM, které bylo upraveno podle představ zákazníka. Kromě běžných uživatelů se na ČVUT vyskytují uživatelé s rozšířenými právy, takzvaní správci hesel, kteří mohou prostřednictvím webového rozhraní měnit heslo všem uživatelům ze své oblasti působnosti – například fakulty nebo katedry. U nově zadaného hesla je vždy kontrolována bezpečnost; administrátor může nastavit politiku, kterou musí nová hesla splňovat.
Veškerá komunikace, při které jsou přenášena hesla nebo jiné citlivé informace, je vedena výhradně šifrovanými kanály: prostřednictvím protokolů HTTPS nebo SSH.
Uživatelské rozhraní
Harmonogram nasazení
2013/02 – Zadání projektu, analýza
2013/03 – Implementace napojení, úprava uživatelského rozhraní, testování
2013/04 – Akceptováno zákazníkem, nasazeno v ostrém prostředí
Přínosy pro zákazníka
- Centralizace – změna hesla se promítne do více aplikací pomocí jediného webového formuláře.
- Bezpečnost – veškerá komunikace probíhá pouze pomocí bezpečných protokolů.
- Auditovatelnost
- Uživatelská samospráva – student si může na webu sám změnit heslo
Závěr
V případové studii jste se měli možnost seznámit s průběhem nasazení systému Kerberos na Českém vysokém učení technickém. Pokud Vám základní přehled nestačil a chtěli byste se dozvědět víc, můžete mi napsat na vojtech.matocha@bcvsolutions.eu.
