Infraestructura de gestión de usuarios en la EPS.

En la Escuela Politécnica Superior, desde hace más de 6 años, se identifica, autentica y autoriza (AAA) a los usuarios para acceder a los equipos de los laboratorios (así como a muchos de los servicios disponibles en la web). La base del proceso AAA de la EPS está en el manejo de directorios y el protocolo LDAP.

El número elevado de autenticaciones concurrentes, así como la necesidad de encriptar las comunicaciones, requiere de una infraestructura dedicada exclusivamente a garantizar el correcto y rápido funcionamiento del servicio.

En la gráfica siguiente se muestra el esquema utilizado para la autenticación de los laboratorios de la EPS, tanto los de Politécnica I como los de Politécnica IV:

Esquema de autenticación de usuarios en la EPS

Arquitectura para AAA en la EPS

Politécnica I
El acceso al sistema desde los clientes de laboratorios realiza la autenticación mediante LDAPS (LDAP+SSL)
Para ello se dispone de seis servidores (Stunnel1, Stunnel1, Stunnel2, Stunnel3, Stunnel4, Stunnel5) que se encargan de desencriptar la comunicación SSL de los clientes (mediante una aplicación GNU llamada stunnel), obtener las peticiones y enviar la petición sin SSL a los servidores LDAP (Slave1-P1, Slave2-P1, Slave3-P1, Slave4-P1).

Se realiza de esta manera en lugar de acceder directamente a los servidores LDAPS, por el elevado consumo de recursos necesarios para la desencriptación. Éste fue el motivo que nos llevó a separar las tareas de desencriptación y consulta en la base de datos del directorio LDAP: el objetivo era disponer de un mayor número de servidores, aunque fueran menos potentes, y balancear las peticiones entre ellos.

Con el fin de conseguir alta disponibilidad y reparto de carga, se utiliza el router de planta para balancear los servicios. Así, los clientes no realizan las peticiones encriptadas con SSL (a través del programa stunnel instalado en cada cliente que encripta las peticiones) directamente a los servidores SSL (Stunnel1 a Stunnel5), sino que las realizan a una dirección IP gestionado por el router de planta que se encarga de balancear la petición entre los servidores Stunnel. De la misma manera, una vez desencriptada cada petición, tampoco se envía directamente a los servidores LDAP, sino que se vuelve a enviar a otra dirección IP gestionada por el router para que la balancee entre los distintos servidores LDAP en función de la carga soportada.

Con este sistema montado para la Politécnica I (donde hay 16 laboratorios con más 500 PCs) se consiguen 2 objetivos: mejorar la respuesta ante picos de concurrencia y alta disponibilidad (si cae un servidor, el router lo elimina del balanceo sin que el servicio se vea perjudicado).

Según el monitor Nagios que vigila los servicios y sistemas de la EPS, la disponibilidad de este servicio durante el año 2008 fue de 99% del tiempo. Es más, si sólo se tiene en cuenta los periodos lectivos, este porcentaje sube al 99’99%, es decir, prácticamente sin periodos de inactividad que afecte a los laboratorios.

Politécnica IV
Los clientes de la politécnica IV no se conectan a los servidores de la Politécnica I para realizar la autenticación. Para acelerar la respuesta, disponen de sus propios servidores con Stunnel y LDAP.

En este caso, los clientes se conectan del mismo modo a la dirección del router de la PIV. El router balancea las peticiones SSL entre los servidores de la PIV (Slave1-P4 y slave2-P4), que una vez desencriptadas, envía las peticiones LDAP (sin SSL) al servidor LDAP destinado, en lugar de hacerlo al router como en la PI (ya que sólo se dispone de dos servidores, y el reparto de carga ya está realizado con el primer balanceo).