CC BY
63
УДК 004.735+004.771
УДОСТОВЕРЯЮЩИЕ ФЕДЕРАЦИИ НАУЧНО-ОБРАЗОВАТЕЛЬНЫХ СЕТЕЙ
А.П. Овсянников, зав. отделом; Г.И. Савин, академик РАН, д.ф.-м.н., профессор, директор; Б.М. Шабанов, к.т.н., зам. директора (Межведомственный суперкомпьютерный центр РАН, Ленинский просп., 32а, г. Москва, 119991, Россия, ovsyannikov@jscc.ru, savin@jscc.ru, shabanov@jscc.ru)
Статья посвящена удостоверяющим федерациям научно-образовательных сетей, которые сегодня объединяют огромное количество информационно-вычислительных ресурсов, находящихся в разном организационном, административном и государственном подчинении и требующих авторизации. Все большее распространение приобретают технологии авторизации, при которых аутентификация пользователя осуществляется обращением к его институту. Группа институтов, договорившаяся о взаимном доступе к своим ресурсам, выработавшая общую политику и механизм удостоверения пользователей и реализовавшая их на организационном и техническом уровнях, образует удостоверяющую федерацию. Функционирование федерации и ее технических служб обеспечивается постоянно работающими коллективами, решающими три основные задачи: эксплуатации, развития и поддержки пользователей. Разнообразие и международный характер научных проектов обусловливают необходимость взаимодействия федераций и создания объединенной удостоверяющей системы в международном масштабе.
Описаны структура и механизмы удостоверяющих федераций европейских научно-образовательных сетей eduroam и eduGAIN, основанных на разных механизмах обмена аутентификационной информацией, в которых принимает участие Межведомственный суперкомпьютерный центр Российской академии наук (МСЦ РАН).
Организация федеративного взаимодействия актуальна для российской национальной сети науки и образования, которая является объединением ведомственных или проблемно-ориентированных сетей.
МСЦ РАН возглавляет работы по формированию удостоверяющих федераций российской национальной сети науки и образования и поддерживает их организационное и техническое взаимодействие с европейскими удостоверяющими федерациями. Созданная МСЦ РАН удостоверяющая федерация российского проекта eduroam открыта для всех российских научных и образовательных организаций.
Ключевые слова: eduroam, аутентификация, авторизация, сети науки и образования, научные телекоммуникации, RADIUS, сетевой доступ, беспроводные сети, wifi, федерация.
IDENTITY FEDERATION OF THE RESEARCH AND EDUCATIONAL NETWORKS
Ovsyannikov A.P., Head of Department;
Savin G.I., Academician of RAS, Ph.D., Professor, Director JSC of RAS;
Shabanov B.M., Ph.D., Deputy Director (Joint Supercomputer Center of RAS, 32a, Leninsky Av., Moscow, 119991, Russia, ovsyannikov@jscc.ru, savin@jscc.ru, shabanov@jscc.ru)
Аbstract. The article is devoted to identity federations of the research and educational networks.
Research and educational networks contain a lot of informational and computing resources. These resources are in a different organizational, administrative and public supervision. Scientific resources require authentication, for example, to monitor compliance with intellectual property rights, the definition of user rights, etc. Authorization methods with user authentication by his institution are commonly used. Identity federation is a group of institutions had an agreements on mutual access to their resources, developed a common policy and user identity framework, and implemented them on the organizational and technical level. Identity federation have operational team, steering group and user support service. Due to diversity and international level of the research identity federations cooperates to interfederation.
The article describes eduroam and eduGAIN identity federations, based on different authentication technologies. Joint Supercomputer Center of Russian Academy of Sciences (JSCC RAS) is participant of the above projects.
JSCC RAS works on creation of identity federation in the Russian research and education community and supports cooperation with European projects. JSCC supports Eduroam in Russia that is open for participation of any research and education institution.
Keywords: eduroam, authorization, authentication, eduroam, national research and educational networks, RADIUS, netid, login service, wireless, wifi, federation.
Научно-образовательные сети сегодня объединяют огромное количество информационно-вычислительных ресурсов, находящихся в разном организационном, административном и государственном подчинении. Научные ресурсы требуют авторизации, например, для контроля соблюдения прав интеллектуальной собственности, определения прав пользователя и т.д. Классическая авторизация предполагает регистрацию пользователя и
создание учетной записи на каждом из ресурсов даже при разовом обращении к нему. Для регистрации требуется подтверждение личности и полномочий пользователя, как правило, посредством общения или переписки администрации ресурса и института, в котором он работает. Из-за большого числа пользователей и ресурсов рутинная операция регистрации требует неоправданных затрат времени и человеческих усилий, поэтому в науч-
но-образовательных сетях все более широкое распространение приобретают технологии авторизации, при которых аутентификация пользователя осуществляется обращением к его институту. Естественно, институт, в котором работает пользователь, и институт, располагающий интересующим его ресурсом, должны договориться о признании пользователей и защищенном обмене информацией, необходимой для авторизации. Обычно о взаимном доступе к ресурсам договариваются несколько институтов, вырабатывают общую политику и механизм удостоверения пользователей. Такие группы институтов называют удостоверяющей федерацией. Как правило, удостоверяющая федерация формируется в пределах одного проекта, одного ведомства, одной страны. Разнообразие и международный характер научных проектов обусловливают необходимость взаимодействия федераций и создания объединенной удостоверяющей системы в международном масштабе.
Межведомственный суперкомпьютерный центр Российской академии наук (МСЦ РАН) принимает участие в двух европейских проектах по развитию удостоверяющих систем в научно-образовательных сетях, основанных на разных механизмах обмена аутентификационной информацией, - eduroam [1] и eduGAIN [2].
Eduroam
Проект eduroam (education roaming) направлен на развитие защищенного сетевого роуминга для научно-образовательного сообщества. Цель сервиса - предоставить посетителям в институтах и кампусах автоматическое подключение к сети Интернет при включении ноутбука, планшета или смартфона. Сервис реализуется в сетях с контролем доступа к портам 802.1X [3] с использованием системы аутентификации на основе иерархии прокси-серверов проверки подлинности (RADIUS [4]). При включении ноутбук запрашивает у устройства контроля доступа подключение к сети (обычно беспроводной). При этом ноутбук отправляет через устройство контроля доступа инкапсулированный запрос к серверу проверки подлинности сервис-провайдера (SP), то есть института, предоставляющего доступ посетителям к своей сети. Запрос содержит шифрованную часть, включающую имя
и пароль пользователя, и адресную часть - доменное имя провайдера идентификации (IdP), то есть института, который будет аутентифицировать пользователя. На основании доменного имени определяется маршрут запроса в иерархии прокси-серверов RADIUS до провайдера идентификации, и ему передается шифрованная часть запроса. Запрос шифруется открытым ключом SSL-сертифи-ката провайдера идентификации, поэтому имя и пароль пользователя доступны только ему. Провайдер идентификации проверяет имя и пароль пользователя по локальной базе данных и возвращает ответ об успехе (RADIUS Access - Accept) или провале аутентификации (RADIUS Access -Reject) сервис-провайдеру обратно по цепочке прокси-серверов (RADIUS).
Определение маршрута запроса в иерархии прокси-серверов RADIUS производится на основе разбора доменого имени аналогично разбору доменных имен в службе доменных имен (см. рис. 1). Допустим, пользователь использует для авторизации у сервис-провайдера sp.tldl полное имя user@idp.tld2. Доменное имя провайдера идентификации - idp.tld2. Поскольку домены сервис-провайдера sp.tldl и idp.tld2 разные, сервер RADIUS сервис-провайдера перенаправляет запрос на сервер RADIUS своего домена (tldl), называемый сервером RADIUS федеративного уровня (FLRS - Federation Level Radius Server). Если домен первого уровня сервис-провайдера и про-
Рис. 1. Конфедеративная инфраструктура eduroam -1-
вайдера идентификации совпадают, FLRS может перенаправить запрос непосредственно провайдеру идентификации, если нет, запрос перенаправляется вверх по иерархии - радиус-серверу верхнего уровня (TLRS - Top-Level RADIUS Server). TLRS передает запрос на FLRS соответствующего домена первого уровня (tld2), а тот перенаправляет его серверу RADIUS провайдера идентификации (idp.tld2). Ответ провайдера идентификации передается обратно по цепочке idp.tld2 - FLRS tld2 -TLRS - FLRS tldl - sp.tldl.
Иерархия серверов RADIUS в eduroam построена следующим образом. TLRS содержит базу данных всех серверов RADIUS федеративного уровня (FLRS), каждый FLRS содержит базу всех серверов своего домена первого уровня. Передача данных между серверами RADIUS защищается шифрованием открытыми ключами их SSL-серти-фикатов.
Домены первого уровня в системе eduroam построены по географическому принципу, и каждой стране соответствует домен первого уровня. Поэтому серверы RADIUS федеративного уровня (FLRS) называют также серверами национального уровня (NLRS). В Российской Федерации за развитие проекта eduroam отвечает МСЦ РАН, который создал и поддерживает FLRS/NLRS домена ru, регистирует и подключает домены российских научно-образовательных организаций. Российская Федерация входит в европейскую конфедерацию eduroam, два сервера ETLRS (European Top Level Radius Server) в Дании и Нидерландах поддерживаются транс-европейской ассоциацией научно-образовательных сетей TERENA. Помимо европейской конфедерации, имеются конфедерация eduroam США, Канады, Азиатско-Тихоокеанского региона. Взаимодействие конфедераций осуществляется на уровне TLRS. Таким образом, пользователь из России может воспользоваться eduroam в Австралии или Канаде. В сентябре 2012 года в проекте eduroam участвовали 58 стран.
Входящие в европейскую конфедерацию edu-roam европейские страны заключили рамочное соглашение об использовании сервисов eduroam (так называемую политику) закрытым сообществом научных и образовательных организаций и разработали формализованные операционные и технические требования к сервису eduroam в Европе. Рамочное соглашение описывает общие требования к федерациям, требования по защите передаваемой информации и технические требования по ее эксплуатации.
Федерация должна установить инфраструктуру eduroam и поддерживать ее в соответствии с разработанными конфедерацией требованиями к сервису, обеспечивать поддержку конечных пользователей, участвовать в работе исполнительного комитета, предоставлять информацию для глобальной системы мониторинга eduroam, поддер-
живать веб-сайт с информацией об использовании eduroam конечными пользователями и подключении институтов. Федерация должна гарантировать, что учетные данные пользователя останутся закрытыми, поэтому все институты-участники должны следовать совместно принятому регламенту безопасности.
Eduroam используется прежде всего для предоставления доступа к сети гостевого института и Интернет. В любой сети eduroam визитеру доступны протоколы и порты для организации защищенного тоннеля в сеть его института (IPSec VPN, OpenVPN, PPTP VPN, SSH), доступ к электронной почте, www и ftp. Какие-либо средства, позволяющие ранжировать пользователей для предоставления им разных привилегий доступа к разным ресурсам, в настоящее время не применяются. Но в МСЦ РАН разрабатывается механизм, позволяющий сервис-провайдеру определить принадлежность пользователя к той или иной группе в зависимости от ведомственной принадлежности или проекта и назначить ему те или иные сетевые ресурсы. Разрабатываемый механизм полностью совместим с существующей инфраструктурой eduroam, требуется изменение настроек только сервис-провайдеров, которые дифференцируют предоставляемые ресурсы или привилегии.
EduGAIN
Удостоверяющая федерация - объединение институтов в научно-образовательных сетях, предоставляющих так называемую технологию «единого входа» (Single Sign On) для доступа к своим ресурсам. Обычно для этого используется архитектура Shibboleth [5], основанная на архитектуре SAML (Security Assertion Markup Language) [6].
В процедуре авторизации (см. рис. 2) участвуют программный агент пользователя (UA, например, браузер), сервис-провайдер SP (Service Provider), провайдер идентификации IdP (Identity Provider) и служба каталогов DS (Directory Service), иногда называемая службой WAYF (Where Are You From). Сервис-провайдер получает запрос от пользователя на доступ к ресурсу (веб-странице) и перенаправляет UA, используя HTTP REDIRECT, на службу DS для выбора провайдера идентификации, то есть домашнего института пользователя. Если, например, программный агент пользователя UA является браузером, пользователь будет перенаправлен на страницу, где ему предложат выбрать провайдера идентификации из списка. Далее служба DS перенаправляет UA провайдеру идентификации IdP (в институт пользователя). Пользователь вводит свой логин и пароль на странице провайдера идентификации, который проверяет их, используя локальную базу пользователей. Провайдер идентификации генерирует утверждение (Assertion) на языке SAML для сер-
Рис. 2. Процедура авторизации в архитектуре Shibboleth
вис-провайдера, включающее некоторый набор атрибутов, позволяющий сервис-провайдеру принять решение об авторизации данного пользователя, и перенаправляет его сервис-провайдеру через UA. На основании полученных от провайдера идентификации данных сервис-провайдер принимает решение об авторизации данного пользователя для доступа к ресурсу. Сообщения, которыми обмениваются сервис-провайдер и провайдер идентификации, шифруются с использованием их SSL-сертификатов.
Удостоверяющая федерация является объединением сервис-провайдеров и провайдеров идентификации, договорившихся о предоставлении доступа к ресурсам на основе вышеописанной технологии и в соответствии с некоторой общей политикой. Такая политика, в частности, описывает информацию о пользователе, предоставляемую провайдером идентификации сервис-провайдеру, процедуры включения сервис-провайдеров и провайдеров идентификации в службу каталогов, требования к ним, процедуры поддержки пользователей и т.д.
В МСЦ РАН проводятся работы по созданию удостоверяющей федерации Российской академии наук, обеспечивающей взаимную аутентификацию при доступе к ресурсам институтов РАН.
Проект eduGAIN - это комплекс технических и организационных мер для обеспечения взамодей-ствия удостоверяющих федераций научно-образовательных сетей. Предполагается, что удостоверяющими федерациями в eduGAIN выступают национальные научно-образовательные сети - участники проекта GEANT3, однако это могут быть и иные научно-образовательные объединения, поскольку в национальной научно-образовательной сети возможно существование нескольких связанных с наукой и образованием объединений.
Рекомендованной технологией для обмена данными между федерациями является разработанный OASIS SAML (Security Assertion Markup Language), хотя формальных ограничений на протокол обмена данными нет.
В настоящее время службы eduGAIN используются для управления персональным доступом к веб-сервисам, однако в перспективе предполагается ее развитие и использование для других сервисов.
Службы обмена метаданными eduGAIN обеспечивают сбор метаданных от федераций-участников, их публикацию и распределение между участниками. Федерации-участники имеют возможность настраивать для разных федераций фильтрацию передаваемых и принимаемых данных.
Опыт создания федеративных сервисов в проекте GEANT показывает, что для создания работающего механизма, прежде всего технологических решений, необходимо организационное взаимодействие. Все федерации или их союзы опираются на формальное описание сервиса и правила взаимодействия, именуемые политикой. Функционирование федерации и ее технических служб обеспечивается постоянно работающими коллективами, решающими три основные задачи: эксплуатации, развития и поддержки пользователей.
Организация федеративного взаимодействия актуальна для российской национальной сети науки и образования, которая является объединением ведомственных или проблемно-ориентированных сетей.
МСЦ РАН возглавляет работы по формированию удостоверяющих федераций российской национальной сети науки и образования и поддерживает их организационное и техническое взаимодействие с европейскими удостоверяющими федерациями. Созданная МСЦ РАН удостоверяющая федерация российского проекта eduroam открыта для всех российских научных и образовательных организаций.
Литература
1. Eduroam в России. URL: http://www.eduroam.ru (дата обращения: 19.09.2012).
2. EduGAIN. URL: http://www.edugain.org (дата обращения: 19.09.2012).
3. IEEE Std 802.1X-2004 (revision of IEEE Std 802.1X-2001). Port-based network access control - IEEE Standards Association, 2004. URL: http://standards.ieee.org/getieee802/down load/ 802.1X-2004.pdf (дата обращения: 19.09.2012).
4. Rigney C., Simpson S., Willens A., Rubens W. RFC2865 - Remote Authentication Dial In User Service (RADIUS). Internet
Engeeniring Task Force, 2010. URL: http://tools.ietf.org/html/ rfc2865 (дата обращения: 19.09.2012).
5. Shibboleth. URL: http://www.shibboleth.net (дата обращения: 19.09.2012).
6. SAML Specifications. URL: http://saml.xml.org/saml-specifications (дата обращения: 19.09.2012).
References
1. Eduroam in Russia, Available at: http://www.eduroam.ru (accessed 19 September 2012).
2. EduGAIN, Available at: http://www.edugain.org (accessed 19 September 2012).
3. IEEE Std 802.1X-2004 (revision of IEEE Std 802.1X-2001), Port-based network access control — IEEE Standards Association, 2004, Available at: http://standards.ieee.org/getieee802/ download/802.1X-2004.pdf (accessed 19 September 2012).
4. Rigney C., Simpson S., Willens A., Rubens W., RFC2865 — Remote Authentication Dial In User Service (RADIUS) — IETF, 2010, Available at: http://tools.ietf.org/html/rfc2865 (accessed 19 September 2012).
5. Shibboleth, Available at: http://www.shibboleth.net (accessed 19 September 2012).
6. SaAML Specifications, Available at: http://saml.xml.org/ saml-specifications (accessed 19 September 2012).
УДК 004.272, 004.31
ВЫБОР ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ ДЛЯ РЕШЕНИЯ НАУЧНЫХ ЗАДАЧ
Б.М. Шабанов, к.т.н., зам. директора (Межведомственный суперкомпьютерный центр РАН, Ленинский просп., 32а, г. Москва, 119991, Россия, shabanov@jscc.ru)
В статье рассматривается отображение архитектуры вычислительной системы на прикладные программы. Данная задача возникает тогда, когда встает вопрос о выборе вычислительной системы для конкретных целей. Рассматривается формализация выбора вычислительной системы для решения научно-технических задач. Исследуется эффективность выполнения программы на кластере, содержащем многоядерные процессоры и графические ускорители. Рассматривается синхронная модель программы с организацией обменов между ядрами, между процессором и ускорителем, между вычислительными узлами, приводятся оценки времени передачи данных. Анализируются следующие методы определения численных параметров модели: профилирование задачи на вычислительной системе, моделирование выполнения программы на системе, оценка с учетом модели программы и системы. Рассмотрены некоторые типичные случаи обмена данными: обмен с «соседями» (например, между узлами многомерной решетки) и коллективные передачи (один ко всем, все к одному). Для получения исходных данных при решении таких задач в МСЦ РАН составлены наборы бенчмарок из разных областей науки, разработана тестовая программа, которая определяет производительность ядер при выполнении операций с плавающей точкой, оперативной памяти при выполнении операций чтения-записи, коммуникационной среды. Рассмотрены три задачи выбора вычислительной системы -определения компонентов системы таким образом, чтобы при решении заранее определенных задач обеспечить максимальное быстродействие, минимальную стоимость системы или максимальную производительность при фиксированной стоимости. Отмечены особенности решения задачи минимизации цены. Описанный подход использовался в МСЦ РАН при выборе архитектуры высокопроизводительных систем, таких как МВС-10ВМ, МВС-60001М, МВС-100К.
Ключевые слова: суперкомпьютер, высокопроизводительные вычисления, параллельные программы, эффективность выполнения программ, модель программы, архитектура компьютеров, кластер.
CHOOSING COMPUTATIONAL SYSTEM FOR SCIENTIFIC PROBLEMS Shabanov B.M., Ph.D., Deputy Director (Joint Supercomputer Center of RAS, 32a, Leninsky Av., Moscow, 119991, Russia, shabanov@jscc.ru)
Abstract. The article describes mapping of computer architecture to application programs. This problem is important when in is needed to choose computer system for certain programs. Formalization of choice of computer system for solving scientific and engineering problems is discussed. Study of efficiency of the program on a cluster with multicore processors and GPUs is presented. It is considered a synchronous model of the program with exchanges: between cores, between the processor and the accelerator and between the computational nodes, time estimations for data transfer time are provided. The following methods of determining parameters of numerical model are analyzed: profiling programs on a computer system, simulation of the program on the system, evaluation model of the program and the system. Some typical cases of data exchange are considered: exchange with the «neighbors» (e.g., exchange between the nodes of a multidimensional mesh) and collective communications (one to all, all to one). To provide data for solving problems of this kind in the JSCC RAS there was developed a set of benchmarks representing different areas of science, also there was developed test program that measures floating point performance of cores, memory performance, file operations performance and communications performance. Three problems of computer system choice are considered - determination of the system components system for solving certain problems to reach: maximum performance, minimum cost of the system or maximum performance at a fixed price. Specific features of costs minimization are discussed. The described approach was used in the selection of architectures for JSCC RAS high-performance systems such as MVS-10BM, MVS-6000IM, MVS-100K.
Keywords: supercomputer, high performance computing, parallel programs, efficiency of programs, model of program, computer architecture, cluster.
