SGIgrid
Transkrypt
SGIgrid
SGIgrid Bezpieczny dost p do usług zarz dzania danymi w systemie Laboratorium Wirtualnego Pozna skie Centrum Superkomputerowo Supersieciowe: M.Lawenda, M.Wolski, N.Meyer, C.Mazurek, M.Stroi ski Politechnika Łódzka Centrum Komputerowe: P.Szychowski, M.Kope SiS 2004 SGIgrid Agenda • • • • Wprowadzenie do SGIgrid Architektura Systemu Zarz dzania Danymi Warstwa bezpiecze stwa w projekcie SGIgrid Rozwi zanie uwierzytelniania i autoryzacji w SZD Wirtualnego Laboratorium SiS 2004 SGIgrid Wirtualne Laboratorium i SZD Uwierzytelnianie U ytkownicy WWW Sie klastrów obliczeniowych (Globus) Serwer aplikacyjny Portal WWW PIONIER PIONIER Autoryzacja SZD Sie klastrów bazo-danowych (Globus) Procesory steruj ce Urz dzenia laboratoryjne SiS 2004 SGIgrid Architektura SZD AUTH RAD WS WS Clients Portal Portal „Eksploracja” HTTPS GMS GMS SZD Data Broker WS WS MetaData Management SQL MetaData DB WS „Transfer” GASS, GSIFTP Data Storage Problem bezpiecze stwa!!! Jak zapewni spójno pomi dzy „Eksploracj ” i „Transferem”, nie mno c komunikatów ? Data Storage DB File System SiS 2004 Data Storage HSM SGIgrid Bezpiecze stwo w gridach. • Wirtualna organizacja. • Wielopoziomowo zabezpiecze (AA – autentykacja/autoryzacja). • Silna kryptografia (security, non-repudition) • Zasada SSO (Single Sign-Only) SiS 2004 SGIgrid GSI – Globus Security Infrastructure uznany standard bezpiecze stwa • GSI (1997) jest technologi udost pnion w Globus Toolkit: – Kryptografia PKCS – Delegacja uprawnienia (Certyfikat Proxy, który słu y do okazania w zast pstwie własnego certyfikatu X.509) – Transfer plików GASS i GSIFTP oparty na SSLv3 • GSI GT2 versus GSI GT3 SiS 2004 SGIgrid GSI GT2 i GT3 - porównanie • GSI GT2 • GSI GT3 – Główne cechy: – Główne cechy: • Autentykacja opiera si o zawaro pliku grid-mapfile • Autoryzacja opiera si o system lokalnego serwera • Autentykacja i autoryzacja opiera si o zewn trzny system CAS (najlepiej centralny dla VO) • Jest wykorzystane pole PCI (Proxy Certificate Information – rozszerzenie X.509) – Wady: • system jest trudno skalowalny • system autoryzacji VO jest zale ny od administratora lokalnego systemu – Zalety: • System CAS jest Gridserwisem („Webserwisem”), dzi ki czemu jest uniwersalny, • rozwi zanie dobrze skalowalne SiS 2004 SGIgrid Certyfikat proxy (credential) • Standard IETF PKIX (RFC 3820) • U ywanie proxy wzmacnia bezpiecze stwo, poniewa stosuj c krótkoterminowe klucze do zwykłych operacji w gridzie, ograniczmy cz stotliwo wykorzystania rzeczywistego klucza prywatnego (to oznacza mniejsz szans kompromitacji klucza rzeczywistego) • Certyfikat proxy pozwala zrealizowa postulat SSO poniewa jego u ycie nie wymaga podawania hasła do klucza. • Trzy rodzaje certyfikatów proxy: – Full delegation (GT2 i GT3)– umo liwia wył cznie identyfikacj , – Restricted delegation (GT3) – pozwala zał czy kontekstow polityk (PCI), która podlega weryfikacji przez CAS – No delegation (GT3) – komunikat dania dodatkowych praw od CAS (na razie nie ma implementacji) SiS 2004 SGIgrid Certyfikat proxy Certyfikat Certificate: Data: Version: 3 (0x2) Serial Number: 253827 (0x3df83) Signature Algorithm: md5WithRSAEncryption Issuer: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl, CN=root Validity Not Before: Oct 20 12:34:08 2004 GMT Not After : Oct 20 15:39:08 2004 GMT Subject: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl, CN=root, CN=1564418899 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:89:50:ba:2c:31:3a:27:db:f1:70:2f:87:b3:ef: 3f:cb:46:2d:a0:71:c9:8a:fb:92:52:2d:97:1c:cc: 46:77:3f:f7:5a:e0:15:05:75:82:ef:e8:1b:27:69: f2:ad:e6:00:26:00:e1:7a:86:a8:c6:ba:a4:c4:f7: 6a:2a:a9:9d:93:4b:52:4a:d8:80:b0:d5:11:27:3b: 74:e1:a9:99:ba:71:d4:2e:8b:7f:ea:1e:b6:fb:04: 1c:cd:13:f6:71:cb:81:22:6e:13:d7:52:f4:01:aa: d7:74:0c:d4:6f:e5:2b:60:a7:30:94:ca:cc:98:4e: b1:28:5d:62:66:89:b1:69:1d Exponent: 17 (0x11) X509v3 extensions: 1.3.6.1.4.1.3536.1.222: critical 0.0...+.....P..READ ONLY Signature Algorithm: md5WithRSAEncryption 26:75:94:58:77:ac:78:c5:ef:46:8e:a0:8e:ac:b5:9d:00:af: 3c:3b:60:6c:d0:3f:e0:b8:6c:d2:15:e9:08:d5:3e:54:7d:33: 21:61:ec:66:c4:8b:48:71:62:15:5f:73:67:82:5e:09:90:9a: 33:cf:3f:98:03:55:97:ba:87:26:c5:b4:7e:85:08:b8:88:ce: 38:f4:bd:69:58:f2:a2:45:c6:bd:95:c9:0a:89:eb:f4:d7:32: 86:f0:9f:7b:f2:35:a9:a8:f4:58:f8:8b:eb:1f:1c:92:d7:df: 41:fe:53:8e:d5:12:5f:a0:df:02:bb:77:b5:a9:c2:7c:62:56: d3:a3 -----BEGIN CERTIFICATE----MIICaDCCAdGgAwIBAgIDA9+DMA0GCSqGSIb3DQEBBAUAMFgxDzANBgNVBAoTBkdy aWRQTDETMBEGA1UECxMKR2xvYnVzVGVzdDENMAsGA1UECxMEQ0tQTDESMBAGA1UE CxMJcC5sb2R6LnBsMQ0wCwYDVQQDEwRyb290MB4XDTA0MTAyMDEyMzQwOFoXDTA0 MTAyMDE1MzkwOFowbTEPMA0GA1UEChMGR3JpZFBMMRMwEQYDVQQLEwpHbG9idXNU ZXN0MQ0wCwYDVQQLEwRDS1BMMRIwEAYDVQQLEwlwLmxvZHoucGwxDTALBgNVBAMT BHJvb3QxEzARBgNVBAMTCjE1NjQ0MTg4OTkwgZ0wDQYJKoZIhvcNAQEBBQADgYsA MIGHAoGBAIlQuiwxOifb8XAvh7PvP8tGLaBxyYr7klItlxzMRnc/91rgFQV1gu/o Gydp8q3mACYA4XqGqMa6pMT3aiqpnZNLUkrYgLDVESc7dOGpmbpx1C6Lf+oetvsE HM0T9nHLgSJuE9dS9AGq13QM1G/lK2CnMJTKzJhOsShdYmaJsWkdAgERoy0wKzAp BgorBgEEAZtQAYFeAQH/BBgwFjAUBgcrBgEEAZtQBAlSRUFEIE9OTFkwDQYJKoZI Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: O=GridPL, OU=GlobusTest, OU=CKPL, CN=Globus Simple CA Validity Not Before: Oct 19 13:03:52 2004 GMT Not After : Oct 19 13:03:52 2005 GMT Subject: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl, CN=root Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:cb:8c:82:78:6e:32:9b:4f:75:34:a8:3e:35:68: b3:b0:cb:13:83:77:2e:d7:fc:03:89:86:be:a5:c4: ac:1e:2b:37:60:83:0d:a6:92:fb:33:71:5f:e7:52: cf:e1:29:e2:60:65:21:65:54:31:a7:89:40:2f:aa: 72:29:0e:dd:1c:70:23:83:08:05:5b:9f:52:a8:0c: 5e:40:3f:ad:26:e2:82:5c:58:cf:10:17:8b:c6:4f: e7:c8:2c:c6:1c:aa:c8:b8:f4:4a:aa:69:32:c3:7a: f0:17:48:3e:5a:de:97:36:bb:45:51:7b:cf:3c:36: 97:d6:67:82:5f:b2:83:a5:e3 Exponent: 65537 (0x10001) X509v3 extensions: Netscape Cert Type: SSL Client, SSL Server, S/MIME, Object Signing Signature Algorithm: md5WithRSAEncryption 78:c9:d3:86:65:07:88:1e:e1:a5:98:ed:0a:ab:50:4a:d7:3f: fd:64:bd:aa:43:9d:dd:5c:3d:95:39:a5:24:b0:71:c4:8c:19: 82:fd:aa:99:fa:95:ed:55:15:2c:f4:64:c6:c3:7e:9f:1e:f4: 04:65:df:39:76:7d:69:fc:97:34:df:3a:0c:e5:fb:3b:39:fe: 77:33:24:54:c6:7b:8b:46:39:51:2a:58:d9:1a:c6:19:94:b5: 90:5d:f1:d9:ea:8a:4c:44:e3:79:95:7c:29:9c:88:f9:39:9b: a8:22:ee:54:ec:2c:04:23:a2:c3:ad:26:4b:43:f6:c1:17:11: b0:fc -----BEGIN CERTIFICATE----MIICMzCCAZygAwIBAgIBATANBgkqhkiG9w0BAQQFADBQMQ8wDQYDVQQKEwZHcmlk UEwxEzARBgNVBAsTCkdsb2J1c1Rlc3QxDTALBgNVBAsTBENLUEwxGTAXBgNVBAMT EEdsb2J1cyBTaW1wbGUgQ0EwHhcNMDQxMDE5MTMwMzUyWhcNMDUxMDE5MTMwMzUy WjBYMQ8wDQYDVQQKEwZHcmlkUEwxEzARBgNVBAsTCkdsb2J1c1Rlc3QxDTALBgNV BAsTBENLUEwxEjAQBgNVBAsTCXAubG9kei5wbDENMAsGA1UEAxMEcm9vdDCBnzAN BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAy4yCeG4ym091NKg+NWizsMsTg3cu1/wD iYa+pcSsHis3YIMNppL7M3Ff51LP4SniYGUhZVQxp4lAL6pyKQ7dHHAjgwgFW59S qAxeQD+tJuKCXFjPEBeLxk/nyCzGHKrIuPRKqmkyw3rwF0g+Wt6XNrtFUXvPPDaX 1meCX7KDpeMCAwEAAaMVMBMwEQYJYIZIAYb4QgEBBAQDAgTwMA0GCSqGSIb3DQEB BAUAA4GBAHjJ04ZlB4ge4aWY7QqrUErXP/1kvapDnd1cPZU5pSSwccSMGYL9qpn6 le1VFSz0ZMbDfp8e9ARl3zl2fWn8lzTfOgzl+zs5/nczJFTGe4tGOVEqWNkaxhmU SiS 2004 SGIgrid System bezpiecze stwa SGIgrid • Centralny system uwierzytelniania (AUTH) b d cy jednocze nie wystawc i repozytorium certyfikatów proxy • Centralny system autoryzacji RAD (Resource Access Decision) – TAK/NIE = f (userID, action, resource) • Algorytm biletowy (ticket)! SiS 2004 SGIgrid Algorytm biletowy dost pu do zasobu • Algorytm biletowy (ticket) jest powszechnie znany z ycia codziennego: – Kino - kupujemy bilet w kasie, który upowa nia do wej cia na sal filmow , – Stok narciarski – kupujemy impulsy do karty chipowej, które umo liwiaj przej cie przez bramk do wyci gu. SiS 2004 SGIgrid Algorytm biletowy oparty na PKI 1 2 User 3 Resource site SiS 2004 Toll Booth SGIgrid Schemat bezpiecze stwa SZD AUTH RAD 3. Autoryzacja? 6. danie proxy 1. Eksploracja SZD 4. Zezwolenie Clients Portal Portal 2. GMS GMS 7. Data Broker danie 5. URL 8. MetaData Management 9. GSIFTP MetaData DB 7a. Modyfikacja grid-mapfile Data Storage Data Storage DB File System SiS 2004 Data Storage HSM SGIgrid Podsumowanie • Algorytm biletowy jest bardzo dobry – ekonomiczny, skalowalny, bezpieczny. • Aby zrealizowa bilety w oparciu o GSI GT2 (brak obsługi rozszerzenia PCI) trzeba: – albo modyfikowa serwery (GridFTP, GASS, GRAM itd..), – albo zaimplementowa dynamiczne zarz dzanie grid-mapfile, – albo zrezygnowa z autoryzacji na poziomie fizycznego zasobu i polega na krótkoterminowo ci certyfikatu proxy. • Bilety łatwo i w naturalny sposób mo na wdro y w GSI GT3 (obsługa polityki PCI w certfyfikatach proxy). SiS 2004 SGIgrid Dzi kuj za uwag . Pytania? SiS 2004