Научная статья на тему 'Развитие инфраструктуры аутентификации и авторизации для удостоверяющей федерации в рамках проектов eduGAIN и eduroam на базе сети RUNNet'

Развитие инфраструктуры аутентификации и авторизации для удостоверяющей федерации в рамках проектов eduGAIN и eduroam на базе сети RUNNet Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
406
56
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ФЕДЕРАЛЬНАЯ НАУЧНО-ОБРАЗОВАТЕЛЬНАЯ СЕТЬ RUNNET / NREN / АУТЕНТИФИКАЦИЯ / АВТОРИЗАЦИЯ / УДОСТОВЕРЯЮЩАЯ ФЕДЕРАЦИЯ / AAI / SAML / RUNNETAAI / EDUGAIN / EDUROAM / FEDERAL RESEARCH AND EDUCATION NETWORK RUNNET / AUTHENTICATION / AUTHORIZATION / IDENTITY FEDERATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Абрамов Алексей Геннадьевич, Васильев Илья Валерьевич, Порхачёв Асилий Александрович

В статье рассмотрены предпосылки и основные цели внедрения сервисов федеративной авторизации в научно-образовательной среде. Разобраны базовые аспекты архитектуры протокола SAML и системы функционирования элементов удостоверяющей федерации. Приведены общие сведения о международных проектах eduGAIN и eduroam. Освещены некоторые вопросы развертывания полигона удостоверяющей федерации и сервиса eduroam на базе федеральной научно-образовательной сети RUNNet.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Абрамов Алексей Геннадьевич, Васильев Илья Валерьевич, Порхачёв Асилий Александрович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Development of the authentication and authorization infrastructure for the identity federation within the eduGAIN and eduroam projects on the basis of the network RUNNet

The paper reviews the reasons and main goals for the introduction of federal authorization services in the scientific and educational environment. The basic aspects of the architecture of the SAML protocol and the system of functioning of the elements of the Identity federation are provided. The general information about the international projects eduGAIN and eduroam are given. Some issues of the deployment of the Identity Federation infrastructure and eduroam service on the basis of the national scientific and educational network RUNNet are reviewed as well.

Текст научной работы на тему «Развитие инфраструктуры аутентификации и авторизации для удостоверяющей федерации в рамках проектов eduGAIN и eduroam на базе сети RUNNet»

«Математические модели и методы анализа и оптимального синтеза развивающихся трубопроводных и гидравлических систем». Иркутск, 5-11 сентября 2016 г. Иркутск: ИСЭМ СО РАН. 2016. С.271-282.

3. Меренков А.П., Хасилев В.Я. Теория гидравлических цепей. -М.: Наука, 1985. 280 с.

4. Математическое моделирование и оптимизация систем тепло-, водо-, нефте- и газоснабжения / А.П. Меренков, Е.В. Сеннова, С.В. Сумароков, В.Г. Сидлер, Н.Н. Новицкий, В.А. Стенников, В.Р. Чупин. -Новосибирск: ВО Наука, Сибирская издательская фирма, 1992. 407 с.

5. Новицкий Н.Н. Интеллектуальные трубопроводные системы как новый объект приложения теории гидравлических цепей // Энергетика России в XXI веке. Инновационное развитие и управление. Сб. статей всероссийской конференции «Энергетика России в XXI веке. Инновационное развитие и управление», 1-3 сентября 2015 г., Иркутск, Россия. -Иркутск: ИСЭМ СО РАН, 2015. С. 378-388.

6. Соколов Е.Я. Теплофикация и тепловые сети. 5-е изд. -М.: Энергоиздат, 1982. 360с.

Modeling of Intelligent Energy Pipeline Systems

Valery Alekseevich Stennikov, Doctor of Sciences, Professor, Honored Science Worker of the Russian Federation, Deputy Director , Melentiev Energy Systems Institute of Siberian Branch of the Russian Academy of Sciences (ESI SB RAS),

Evgeny Alekseevich Barakhtenko, PhD in Technical Sciences, Senior ResearcherSokolov Dmitry Vitalyevich, PhD in Technical Sciences, Senior Researcher , Melentiev Energy Systems Institute of Siberian Branch of the Russian Academy of Sciences (ESI SB RAS),

The article presents the initial assumptions adopted in the development of the concept of intelligent pipeline energy systems. Conceptual and mathematical statements of the problem of synthesis of a controlled hydraulic circuit of such systems are given. A technique for solving the synthesis problem is described. The technique based on the idea of decomposition.

Keywords: Intelligent energy pipeline systems, energy infrastructure, information infrastructure, synthesis of pipeline system, theory of hydraulic circuits, controlled hydraulic circuit, technique.

УДК 004.77, 004.738

РАЗВИТИЕ ИНФРАСТРУКТУРЫ АУТЕНТИФИКАЦИИ И АВТОРИЗАЦИИ ДЛЯ УДОСТОВЕРЯЮЩЕЙ ФЕДЕРАЦИИ В РАМКАХ ПРОЕКТОВ EDUGAIN И

EDUROAM НА БАЗЕ СЕТИ RUNNET

Абрамов Алексей Геннадьевич, канд. физ.-мат. наук, заместитель директора

e-mail: [email protected], Васильев Илья Валерьевич, ведущий инженер e-mail: [email protected] Порхачёв Василий Александрович, ведущий специалист e-mail: [email protected] Филиал ФГАУГНИИИТТ«Информика» в г. Санкт-Петербурге

http://www.runnet.ru

В статье рассмотрены предпосылки и основные цели внедрения сервисов федеративной авторизации в научно-образовательной среде. Разобраны базовые аспекты архитектуры протокола SAML и системы функционирования элементов удостоверяющей федерации. Приведены общие сведения о международных проектах eduGAIN и eduroam. Освещены некоторые вопросы развертывания полигона удостоверяющей федерации и сервиса eduroam на базе федеральной научно-образовательной сети RUNNet.

Ключевые слова: федеральная научно-образовательная сеть RUNNet, NREN, аутентификация, авторизация, удостоверяющая федерация, AAI, SAML, RUNNetAAI, eduGAIN, eduroam.

Работа выполнена в рамках Государственного задания ФГАУ ГНИИ ИТТ «Информика» (проект №2.4278.2017/НМ)

Введение. Роль и место удостоверяющих федераций в использовании сервисов научно-образовательных сетей

Сегодня образовательные организации высшего образования и научные организации Российской Федерации в своей деятельности используют все возрастающее количество электронных ресурсов и сервисов. Наиболее востребованные из них - библиографические и реферативные базы данных (для отслеживания цитируемости статей, опубликованных в научных изданиях), системы электронного обучения, веб-порталы и цифровые репозитории образовательных и научных организаций, собственные и подписные электронные библиотеки научных журналов, монографий, учебных пособий и др.

Однако, если сопоставить интенсивность использования одного и того же набора подписных научных ресурсов в разных странах, выяснится, что студенты, преподаватели и сотрудники российских организаций высшего образования прочитали за 2015 год в среднем в 15 раз меньше статей, чем их коллеги из Италии и более чем в 20 раз меньше чем студенты и преподаватели университетов Великобритании [1]. Столь значительный разрыв обусловлен, в том числе, использованием в нашей стране устаревшей и неэффективной системы доступа к информационным ресурсам и сервисам.

Как известно, большинство развитых научно-образовательных ресурсов предоставляют свой контент и сервисы в полном объеме только авторизованным пользователям. Возможны два основных способа получения доступа к информации - только с территории кампуса с авторизацией в персональном разделе организации на сайте ресурса (по IP-адресам), либо прохождение с территории кампуса индивидуальной регистрации с получением учетных данных от владельца веб-ресурса для доступа извне кампуса. При этом для каждого ресурса учетные данные являются индивидуальными, и, в условиях постоянного увеличения их количества, управление логинами и паролями становится весьма нетривиальной задачей для администрации организации, технических специалистов и доставляет определенные неудобства самим пользователям.

Ведущие мировые университеты и научные центры столкнулись с этими проблемами еще в середине 90-х годов прошлого века [2-4]. Как ответ на возникшие потребности научно-образовательной среды в 2002 году глобальным консорциумом университетов и ведущих компаний IT-индустрии OASIS (англ. Organization for the Advancement of Structured Information Standards) был разработан SAML (Security Assertion Markup Language), -язык разметки утверждений безопасности, а в более широком понимании - открытый стандарт, описывающий протоколы и правила взаимодействия узлов SAML-системы (http://docs.oasis-open.org/security/saml/v2.0). Впоследствии на основе этого стандарта были разработаны базовые принципы построения удостоверяющих федераций (Identity Federations), интегрированных в активно развиваемый проект европейского сетевого консорциума GÉANT - eduGAIN (EDUcation Global Authentication INfrastructure).

Консорциум GÉANT (https://www.geant.org) представляет собой общеевропейскую мульти-гигабитную сеть, объединяющую более 10 тысяч образовательных и научных организаций из 39 стран континента. Количество пользователей GÉANT в настоящее время превышает 50 млн. человек. Пропускная способность опорной сети достигает 500 Гбит/с, обеспечивая взаимодействие с более 100 национальными научно-образовательными сетями (National Research and Education Network, NREN) по всему миру. GÉANT активно развивает и поддерживает целый пул современных сетевых сервисов, которые базируются, в том числе, на принципах федеративной авторизации, обеспечивая своим пользователям высоконадежный и повсеместный доступ к вычислительным ресурсам, хранилищам данных больших объемов, сетевым приложениям научно-образовательной направленности и другим востребованным ресурсам и сервисам.

Проект eduGAIN (http://edugain.org) объединяет системы федеративной авториза-

ции, эксплуатируемые в разных странах по всему миру, предоставляя возможности доступа к контенту, сервисам и ресурсам глобальному сообществу сферы образования и науки. Под федеративной авторизацией здесь понимается распределенная инфраструктура, которая предоставляет пользователям возможность получать доступ к информационным ресурсам и сервисам научно-образовательных сетей и глобального Интернета по технологии "единого окна". Наличие инфраструктуры федеративной авторизации существенно упрощает организацию взаимодействия между поставщиком ресурсов и сервисов и конечным пользователем, при этом хранение и обработка персональных данных пользователей производится в полном соответствии с требованиями действующего законодательства.

В нашей стране сотрудничество с консорциумом GÉANT и участие в выполнении совместных телекоммуникационных проектов в интересах сферы образования и науки осуществляет федеральная научно-образовательная телекоммуникационная сеть RUNNet (Russian UNiversity Network, http://www.runnet.ru), оператором которой является Федеральное государственное автономное учреждение "Государственный научно-исследовательский институт информационных технологий и телекоммуникаций" (ФГАУ ГНИИ ИТТ «Информика»).

Сеть RUNNet была организована в 1994 году, целенаправленно развивалась и сегодня представляет собой опорную сеть национального уровня, обладающую протяженной высокоскоростной магистральной инфраструктурой и международными каналами, обеспечивающими интеграцию с зарубежными научно-образовательными сетями.

Основная цель RUNNet заключается в предоставлении научным и образовательным организациям страны возможностей для выполнения перспективных научных исследований и разработок, участия в крупных международных научно-исследовательских проектах, базирующихся на использовании устойчивой и отвечающей современным требованиям отраслевой информационно-телекоммуникационной инфраструктуры, интегрированной в глобальную инфраструктуру мировых научно-образовательных сетей [5].

В качестве одного из направлений работ по развитию и внедрению на базе сети RUNNet потенциально востребованных сервисов в настоящее время реализуется проект создания инфраструктуры, тестового и рабочего полигонов для удостоверяющей федерации национального уровня (которой на сегодня в нашей стране нет), получившей название RUNNetAAI. Другое перспективное направление связано с развертыванием в сети RUNNet сервиса роуминга в беспроводных сетях Wi-Fi для научно-образовательного сообщества в рамках международного проекта eduroam (EDUcation ROAMing, https://www.eduroam.org).

2. Архитектура протокола SAML. Общая схема взаимодействия узлов удостоверяющей федерации

Федеративная технология подразумевает, что авторизация пользователя происходит исключительно на серверах своей организации. В качестве источника записей о пользователях при этом могут выступать различные базы данных, используемые в организации: базы пользователей контроллеров доменов (Active Directories, LDAP), базы администрации - отдела кадров, системы учета учащихся и пр. Следует заметить, что в отдельных случаях для внедрения в организации технологии федеративной авторизации может потребоваться глубокий аудит действующей системы хранения и обработки учетных данных пользователей.

Одной из ключевых причин, обусловивших активное развитие и широкое применение SAML, является продуманная и развитая архитектура, позволяющая строить на основе этого стандарта самый широкий спектр пользовательских решений (рисунок 1).

Основополагающим термином стандарта SAML являются «утверждения» (assertions), под которыми понимаются сообщения, передаваемые одной из взаимодействующих сторон и содержащие информацию о субъекте обмена [6, 7]. Например, в

утверждении SAML можно указать, что субъект именуется "Ivan Ivanov", имеет адрес электронной почты [email protected] и входит в группу «профессорско-преподавательский состав».

В стандарте SAML определены три типа утверждений:

утверждения об аутентификации (сообщают, как минимум, информацию о том, какими средствами и в какой момент времени была проведена аутентификация);

утверждения об атрибутах (содержат информацию об атрибутах, характеризующих субъект, например, атрибут "mail" субъекта "Ivan Ivanov" имеет значение [email protected]);

утверждения об авторизации (например, субъект "Ivan Ivanov" может получить доступ к статьям по астрономии онлайн-журнала physics.ru).

Протоколы (protocols) определяют механизмы, средства и схемы взаимодействия типа «запрос/ответ» (например, протокол запроса аутентификации или протокол единого выхода).

Связывания (bindings) определяют, как различные сообщения протоколов SAML могут передаваться поверх лежащих в их основе транспортных протоколов (например, связывание "HTTP Redirect Binding" описывает, каким образом SAML-сообщения могут передаваться с помощью метода HTTP Redirect).

Профили (profiles) определяют, как утверждения, протоколы и связывания совместно используются для получения максимальной интероперабельности в различных пользовательских сценариях. Можно заметить, что одним из наиболее востребованных является профиль единой точки входа веб-браузера (Web Browser SSO Profile).

Глубокое понимание особенностей взаимодействия элементов архитектуры протокола SAML крайне важно для правильного развертывания и настройки сервисов федеративного доступа, под которым принято понимать комплекс технологий и соответствующую инфраструктуру, позволяющие использовать единую учетную запись пользователя для доступа к ресурсам и сервисам организаций, установивших между собой доверительные отношения и входящие в ассоциацию безопасности - удостоверяющую федерацию [6, 8].

Общая схема основных функциональных элементов удостоверяющей федерации и их взаимодействия представлена на рисунке 2.

Профили Связывания Протоколы

Утверждения

Рис. 1. Базовые элементы архитектуры протокола SAML

Алгоритм взаимодействия участников удостоверяющей федерации выглядит следующим образом:

- При вступлении в федерацию все участники передают в центральный реестр свои метаданные в согласованном формате, а службы центрального реестра на основе полученных метаданных формируют сервис «Вы откуда?» (Where Are You From, WAYF).

- Пользователь хочет получить доступ к ресурсу, требующему авторизации;

- Сервис провайдер вызывает службу WAYF;

- Пользователь выбирает в интерфейсе службы WAYF свою «домашнюю» организацию;

- WAYF перенаправляет запрос к выбранному пользователем поставщику учетных записей, IdP (Identity Provider);

- IdP запрашивает у пользователя данные для аутентификации и сличает их с записью в хранилище учетных записей о пользователях «домашней» организации.

В случае успешной аутентификации IdP обменивается с поставщиком сервиса, SP (Service Provider) SAML-утверждениями об аутентификации, авторизации и атрибутах.

3. Вопросы развертывания полигона удостоверяющей федерации в сети RUNNet

Существенным аспектом на этапе построения собственной удостоверяющей федерации является выбор реализующего необходимый функционал прикладного программного обеспечения. Стоит оговориться, что, как и в других направлениях развития научно-образовательных сетей, здесь рассматривается исключительно программное обеспечение, распространяемое под свободными лицензиями и с открытым исходным кодом.

Подавляющее большинство действующих сегодня федераций используют решение Shibboleth - разработку крупнейшего американского сетевого консорциума Internet2. Этот пакет программ отличается рядом привлекательных характеристик, среди которых - хорошая документация, универсальность применения, регулярный выпуск новых релизов и др. Однако Shibboleth для развертывания и настройки требует серьезных навыков в области системного администрирования. Кроме того, использование в ядре пакета Shibboleth языка программирования Java требует наличия значительных серверных ресурсов.

В качестве альтернативного решения может рассматриваться разработка специалистов норвежской научно-образовательной сети UNINETT - SimpleSAMLphp. Это решение реализовано на широко используемом в веб-программировании языке PHP, что позволяет существенно упростить процесс установки, настройки и, при необходимости, адаптации под свои нужды. В составе SimpleSAMLphp имеются все необходимые компоненты для развертывания полноценных решений для узлов SP и IdP. В то же время, функционал компонентов центрального узла удостоверяющей федерации в Sim-pleSAMLphp относительно слабый и нуждается в доработке.

Важной составляющей федеративной схемы авторизации является хранилище единых учетных данных. Наиболее часто применимая практика предполагает использование решений на основе протокола LDAP. В ходе построения удостоверяющей федерации для обеспечения ее интероперабельности необходимо разработать и внедрить схему атрибутов учетной записи о пользователях, соответствующую требованиям проекта eduGAIN.

Минимальный набор атрибутов для создаваемой ФГАУ ГНИИ ИТТ "Информика" на базе сети RUNNet удостоверяющей федерации RUNNetAAI представлен в таблице 1.

Таблица 1.

Обязательные атрибуты учетной записи удостоверяющей федерации RUNNetAAI

Атрибут Комментарии

eduPersonPrincipalName (ePPN) Уникальный идентификатор пользователя еРР^ представляет из себя запись вида <имя пользователя>@<полное доменное имя организации^. Например, [email protected]

eduPersonAffiliation Тип занятости в организации: faculty / преподаватели и научные работники; student / студенты; staff / работники, не являющиеся преподавателями или научными работниками; alum / выпускники и отчисленные студенты; library-walk-in / посетители библиотеки; affiliate / сотрудники, привлекаемые на временной основе.

schacHomeOrganization Полное доменное имя организации (FQDN) является уникальным и обязательно совпадает с доменным именем атрибута ePPN. Например, runnet.ru.

Специалистами сети RUNNet была выполнена установка и расширенное тестирование пакетов программ Shibboleth и SimpleSAMLphp, по результатам которого было принято решение об использовании в качестве основного при развертывании удостоверяющей федерации пакета SimpleSAMLphp. Тестовые полигоны федерации в настоящее время функционируют на выделенных виртуальных машинах необходимой производительности в облачной инфраструктуре RUNNet, основанной на открытом программном обеспечении OpenStack [9].

Установка пакета Shibboleth была проведена с использованием следующего базового набора свободно распространяемого системного и прикладного программного обеспечения общего назначения: операционная система Ubuntu Linux, реализация виртуальной машины для исполнения Java-приложений Java Runtime Environment (JRE), контейнер сервлетов Jetty, криптографическая библиотека OpenSSL. Специализированное программное обеспечение Shibboleth включает в себя отдельные пакеты для развертывания узлов IdP и SP.

Решение SimpleSAMLphp обладает модульной архитектурой и базируется на широко эксплуатируемом серверном программном обеспечении - операционная система Ubuntu Linux, веб-сервер Apache, сервер приложений PHP с дополнительными модулями (php5-mcrypt, php5-ldap, php5-memcache и ряд других). Можно заметить, что развертывание SimpleSAMLphp на одном хосте одновременно в качестве IdP и SP требует установки двух экземпляров пакета в разные директории файловой системы.

Хранилище единых учетных данных (для узла IdP) в обоих случаях основано на пакете OpenLDAP, безопасность обеспечивается с помощью средств библиотеки OpenSSL. Для управления хранилищем учетных записей используется инструментальная платформа Apache Directory Studio (http://directory.apache.org/studio/) и собственная разработка.

В процессе построения удостоверяющей федерации необходимо также реализовать целый комплекс организационных мероприятий, гарантирующих доверительные отношения между участниками федерации, а также обеспечивающих межфедеративное взаимодействие. К настоящему времени подготовлен объемный пакет документов, включающий в себя адаптированный для российских реалий технологический регламент, декларацию присоединения к политике eduGAIN и модельное положение об Единой учетной записи.

В дальнейшем каждый новый участник национальной удостоверяющей федерации должен будет присоединиться к технологическому регламенту RUNNetAAI, взяв на себя ряд обязательств по обеспечению обслуживания жизненного цикла учетных записей пользователей своей организации, развертыванию необходимых программно-аппаратных средств федеративной авторизации и выполнения технической поддержки.

Полноправное вхождение национальной удостоверяющей федерации RUNNetAAI в глобальную ассоциацию федераций eduGAIN запланировано на 2018 год, в результате российским организациям (пользователям сети RUNNet) будут предоставлены широкие

возможности для коллаборации с ведущими мировыми образовательными и научными организациями.

4. Сервис роуминга в беспроводных сетях Wi-Fi (eduroam): общие сведения и вопросы развертывания в сети RUNNet

Правильное проектирование хранилища единых учетных данных позволяет использовать его и для другого глобального проекта консорциума GÉANT, в котором принимает участие ФГАУ ГНИИ ИТТ «Информика» - eduroam, представляющий собой сервис роуминга в беспроводных Wi-Fi сетях для научно-образовательного сообщества. Студенты, преподаватели и научные работники получают возможность бесплатного доступа к сети Интернет и ресурсам научно-образовательных сетей в университетах и научных центрах страны и за рубежом в кампусах организаций - участников проекта. С личных портативных и мобильных устройств (имеющих Wi-Fi модуль) доступ осуществляется по учетным данным (логину и паролю), выданным пользователю его «домашней» организацией.

Сервис eduroam функционирует сегодня более чем в 80 странах мира, оказывая поддержку процессам научного сотрудничества, образовательной мобильности и обмена более чем 15 тысячам научным и образовательным организациям только в Европе [10].

С технической точки зрения сервис реализует аутентификацию пользователя специализированным программным обеспечением - RADIUS-сервером аутентификации его организации при нахождении в любом сегменте распределенной сети eduroam.

На вершине связанной иерархической архитектуры сервиса расположены установленные в Нидерландах и в Дании два головных RADIUS-сервера панъевропейского уровня (European Top-Level RADIUS Servers, ETLRS). На каждом из серверов ведется список подключенных доменов верхнего уровня федерации (.nl, .dk, .de, .ru и др.), обслуживающих национальные научно-образовательные сети. Серверы также поддерживают правила исключений для доменов, членство в федерации, которых не может быть однозначно идентифицировано (такие как .edu, .eu, .net и др.). На следующем уровне иерархии располагаются RADIUS-серверы национального уровня (National-Level RADIUS Server, NLRS), содержащие информацию о подключенных к федерации организациях и их ролях.

Наконец, RADIUS-сервер, функционирующий на площадке входящей в федерацию организации, которая предоставляет Wi-Fi доступ посетившему ее представителю "гостевой" организации (в терминах сервиса - SP), принимает зашифрованный запрос от устройства пользователя и передает его через иерархию промежуточных RADIUS-proxy-серверов к RADIUS-серверу «домашней» организации пользователя (в терминах сервиса - IdP). Последний проверяет правильность предоставленных данных и на основании этого принимает решение об аутентификации пользователя в Wi-Fi сети.

В соответствии с установленными правилами сервиса eduroam полное имя пользователя (логин) имеет вид <имя пользователя>@<домен>. Маршрутизация запросов в иерархии взаимодействующих между собой RADIUS-серверов выполняется на основе части полного имени пользователя следующей за символом @ (в терминах сервиса эта часть называется realm и обычно совпадает с полным именем домена организации, FQDN).

За поддержку российского NLRS в настоящее время отвечает Межведомственный суперкомпьютерный центр РАН - филиал ФГУ ФНЦ НИИСИ РАН (рисунок 3) [7]. ФГАУ ГНИИ ИТТ «Информика» на основании заключенного в 2017 году Соглашения о сотрудничестве выступает в качестве партнера МСЦ РАН по подключению к сервису образовательных организаций страны.

Для подключения к сервису пользователей сети RUNNet был развернут и функционирует собственный RADIUS-сервер федеративного уровня (Federation-Level RADIUS Server, FLRS). Решение базируется на открытом свободно распространяемом программном обеспечении FreeRADIUS, которое установлено на виртуальной машине, работающей под управлением операционной системы Ubuntu Linux. Учетные записи

пользователей хранятся на LDAP-сервере. Процесс аутентификации клиента (например, мобильного устройства пользователя) на RADIUS-сервере осуществляется через шифрованное соединение функциями библиотеки ОрепЗБЬ.

Обмен с ейигоат Европа

I

¡[email protected] N1.1« МСЦ РАН

Запросы от пользователей:

[email protected] [email protected]

FLRS «Информика»

I

university2

Рис. 3. Иерархия RADIUS-серверов проекта eduroam в Российской Федерации

Заключение

Развертываемая на базе федеральной научно-образовательной сети RUNNet инфраструктура проектов федеративной авторизации способна стать фундаментом для развития перспективных и высокоэффективных технологических моделей сетевого взаимодействия образовательных и научных организаций страны, российских и международных научных коллабораций, а также заложить основы применения новых подходов для разработки и широкого использования научных и образовательных ресурсов и сервисов.

Литература

1. Разумова И. К. Подписка и использование научной информации в России и в мире: анализ результатов опросов и прогноз на будущее // Материалы 4-й международной конференции НЭИКОН «Электронные научные и образовательные ресурсы: создание, продвижение и использование», 24-30 сентября 2016 г., Эшторил, Португалия. Режим доступа: http://conf.neicon.ru/materials/22-Gverseas2016/20160926-07-Razumova.pdf.

2. Chadwick D.W. Federated Identity Management // In: Foundations of security analysis and design V. - Springer Berlin Heidelberg. 2009. P. 96-120.

3. Bertino E., Takahashi K. Identity Management: Concepts, Technologies, and Systems. -Artech House. 2011. 198 p.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Estelle L., Harrow M., HallM. Digital Futures. Expert Briefings on Digital Technologies for Education and Research. - Chandos Publishing. 2015. 68 p.

5. Абрамов А.Г., Евсеев А.В. Сеть RUNNet: навстречу современным вызовам сферы телекоммуникаций в науке и образовании // Информатизация образования и науки. 2017. №1(33). С. 100-115.

6. Лапонина О.Р. Анализ возможностей языка SAML 2.0 // Сборник трудов V Международной научно-практической конференции «Современные информационные технологии и ИТ-образование». - Москва: МГУ им. М.В. Ломоносова. 2010. С. 462-472.

7. Овсянников А.П., Савин Г.И., Шабанов Б.М. Удостоверяющие федерации научно-образовательных сетей // Программные продукты и системы. 2012. №4(100). С. 3-7.

8. Demchenko Y., Wierenga K. Современные технологии федеративного доступа к ресурсам научных и университетских сетей // Сборник трудов XIV конференции представителей региональных научно-образовательных сетей «RELARN-2007». Режим доступа: http://www.relarn.ru/conf/conf2007/section2/2_01.html.

9. Абрамов А.Г. Облачные технологии на основе открытых программных решений в университетской сети RUNNet: опыт развертывания и эксплуатации // Информатизация образования и науки. 2016. №1(29). С. 106-117.

10. Milinovic M. eduroam Policy Service Definition. - GÉANT. 2012. Режим доступа: https://www.eduroam.org/wp-content/uploads/2016/05/GN3 -12-192_eduroam-policy-service-definition_ver28_26072012.pdf.

Development of the authentication and authorization infrastructure for the identity federation within the eduGAIN and eduroam projects on the basis of the network RUNNet

Abramov Alexey Gennadievich, candidate of science (PhD), deputy director of St.-Petersburg branch of FPAI SIIT&T «Informika»

Vasilyev Ilya Valerievich, lead engineer of St.-Petersburg branch of FPAI SIIT&T «Informika» Porhachev Vasiliy Alexandrovich, lead specialist of St.-Petersburg branch of FPAI SIIT&T «Informika»

The paper reviews the reasons and main goals for the introduction of federal authorization services in the scientific and educational environment. The basic aspects of the architecture of the SAML protocol and the system of functioning of the elements of the Identity federation are provided. The general information about the international projects eduGAIN and eduroam are given. Some issues of the deployment of the Identity Federation infrastructure and eduroam service on the basis of the national scientific and educational network RUNNet are reviewed as well.

Keywords: federal research and education network RUNNet, NREN, authentication, authorization, Identity Federation, AAI, SAML, RUNNetAAI, eduGAIN, eduroam.

УДК 004.4+004.94

АВТОМАТИЗАЦИЯ МОДЕЛИРОВАНИЯ АЛГОРИТМОВ УПРАВЛЕНИЯ ЗАДАНИЯМИ С УЧЕТОМ ЭНЕРГОПОТРЕБЛЕНИЯ ВЫЧИСЛИТЕЛЬНЫХ РЕСУРСОВ

Дядькин Юрий Алексеевич, аспирант e-mail: [email protected] Институт динамики систем и теории управления им. В.М. Матросова СО РАН

http://www.idstu.irk.ru Иркутский государственный университет http://www.isu.ru

Работа посвящена вопросам, связанным с автоматизацией разработки имитационной модели для исследования алгоритмов управления заданиями разных классов с учетом энергопотребления вычислительными ресурсов. Суть и новизна исследования состоит в интеграции каркасного подхода к программированию с методами классификации заданий.

Ключевые слова: управление распределенными вычислениями, энергопотребление,

имитационное моделирование, инструментальные средства

Работа выполнена при частичной финансовой поддержке РФФИ, проекты № 15-29-07955-офи_м и № 16-07-00931-а, а также Совета по грантам Президента Российской Федерации, государственная поддержка ведущих научных школ Российской Федерации (НШ-8081.2016.9), и Программы 1.33П фундаментальных исследований Президиума РАН, проект «Разработка новых подходов к созданию и изучению сложных моделей информационно-вычислительных и динамических систем с приложениями».

Введение

В настоящее время одним из актуальных направлений в области высокопроизводительных вычислений является разработка и применение алгоритмов распределения заданий при решении крупномасштабных задач с целью экономии потребляемой энер-

i Надоели баннеры? Вы всегда можете отключить рекламу.