Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose

1. Vartotojų autentifikavimas ir autorizavimas eLABa talpyklose Arūnas Franckevičius Ekspertas

2. Kas yraAutentifikacija ir Autorizacija Autentifikacija • Reikalinga vartotojo tapatybei identifikuoti • Dažniausia naudojamas susietas vartotojo vardas ir slaptažodis Autorizacija • Nustato ar jau identifikuotas vartotojas turi teisę naudotis paslauga • Autorizacijos metu tikrinama ar vartotojas priklauso tokį leidimą turinčiai grupei, ar yra tinkamas jo saugumo lygis Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

3. Autentifikacija Pagrindas – vartotojų ir jų atributų duomenų bazė • LDAP, NIS, RDBVS, MS Active Directory Vartotoją identifikuojantys duomenys • Vartotojo vardas ir slaptažodis • Skaitmeniniai sertifikatai, identifikavimo kortelės, biometriniai duomenys Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

4. Autorizacija Kiekviena sistema turi savo vidinį autorizacijos mechanizmą Adresatas • Subjektai, resursai, veiksmai Taisyklės • Ar autorizuoti vartotoją atlikti veiksmą, gauti resursą ir pan. eLABa talpyklos autorizacija aprašoma XACML taisyklėmis Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

5. Objekte saugomų duomenų tipai Visateksčiai dokumentai • ETD, straipsniai, knygos ir t. t. Metaduomenys • MARCXML, DC, turinys ir t. t. Administraciniai duomenys • Autorizacijos informacija • Patalpinimo, saugojimo informacija, prieigos taisyklės (policy) ir t. t. Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

6. Dokumentų priėjimo lygiai Laisvai prieinamas internete – dokumentas prieinamas internetu iš bet kurio pasaulio taško Prieinamas tik institucijos intranete – dokumentas pasiekiamas tik iš kompiuterių, turinčių IP adresą, priklausantį institucijos IP adresų aibei Neprieinamas – dokumentas yra nepasiekiamas Du paskutiniai prieigos lygiai turi laikinį apribojimą • Kuriam pasibaigus dokumentui priskiriamas „laisvai prieinamo internete“ lygis Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

7. Sutartys Darbo autorius privalo pasirašyti licencinę sutartį, kurioje aprašoma: • šalių pareigos bei atsakomybės • dokumento saugojimo tvarka • dokumento dalių prieigos ribojimo lygiai • ribojimo terminai Šiuometu sutartis yra pasirašoma ir saugoma popieriniame formate • ateityje numatoma ir elektroninė versija, pasirašoma elektroninių parašu Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

8. Autorizacijos realizacija eLABa talpyklos PĮ Fedora autorizacija yra realizuota naudojant XACML polisus XACML – tai OASIS (http://www.oasis-open.org) organizacijos specifikuota priėjimo kontrolės kalba XACML variklis – Sun XACML realizacija (http://sunxacml.sourceforge.net) XACML prieigos taisyklių (policy) tipai • Bendros talpyklos prieigos taisyklės • Talpykloje saugomų objektų ir/ar jų sudedamųjų dalių prieigos taisyklės Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

9. XACML pavyzdys <Rule Effect="Deny" RuleId="2"> <!-- Prieinamas tik institucijos intranete nurodyta laikotarpi   --> <Target> <Subjects> <AnySubject /> </Subjects> <Resources> <Resource> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">   <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">DS.005.0.01.ETD</AttributeValue>   <ResourceAttributeDesignator AttributeId="urn:fedora:names:fedora:2.1:resource:datastream:id“ DataType="http://www.w3.org/2001/XMLSchema#string" />   </ResourceMatch>   </Resource>   </Resources> <Actions> <Action> <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">   <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">urn:fedora:names:fedora:2.1:action:id-getDatastreamDissemination</AttributeValue>   <ActionAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string" AttributeId="urn:fedora:names:fedora:2.1:action:id" />   </ActionMatch>   </Action>   </Actions> </Target> Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

10. XACML pavyzdys (2) <Condition FunctionId="urn:oasis:names:tc:xacml:1.0:function:and"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not"> <!-- Leidziama su fedora rolemis   --> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-of">   <SubjectAttributeDesignator AttributeId="fedoraRole" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" /> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">   <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">KTU</AttributeValue>   </Apply>   </Apply>   </Apply> <!-- Datos apribojimas   --> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-less-than"> <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:date-one-and-only">   <EnvironmentAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#date" AttributeId="urn:fedora:names:fedora:2.1:environment:currentDate" />   </Apply>   <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#date"> 2010-04-01 </AttributeValue>   </Apply> </Condition> </Rule> Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

11. Papildomos priemonės Prieigos prie objektų ribojimui institucijų intranete reikia • Institucijų IP adresų • kinta laike dėl nuolatinės tinklo pertvarkymo ar plėtros • Institucijas identifikuojančių atributų (roles) • IP adresų ir atributų susiejimo mechanizmo Susiejimo mechanizmui realizuota papildoma PĮ integruota į Fedora talpyklą • Sukurta naudojant Java Servlet Filters technologija • IP adresų ir atributų susiejimo lentelės saugomos atskirame XML faile Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema

12. Ačiū už dėmesį Arunas.Franckevicius@ktu.lt http://sf.library.lt http://www.lvb.lt