EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

Slides:



Advertisements
Presentazioni simili
Introduzione al prototipo Grid-SCoPE
Advertisements

Prof: Stefano Bistarelli
Presentazione Community Network - Federa Servizi Demografici on-line Newsletter.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
ISA Server 2004 Configurazione di Accessi via VPN
Microsoft Visual Basic MVP
Configuring Network Access
Laurea Magistrale in Informatica Reti 2 (2007/08)
La sicurezza nelle Griglie
Health Science Community, Milano, Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.
Università Degli Studi Di Perugia Sicurezza Informatica A.A. 2011/2012
Interoperabilità tra i PON Giuseppe Andronico (INFN e Consorzio COMETA)
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
1 Novità sul protocollo TLS. Seminario di : Calabrese Luca - estensione per il Wireless. - IC.
Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Supporto per servizi di File Hosting Presentazione di progetto per lesame di Reti di Calcolatori LS Valerio Guagliumi
Distributed File System Service Dario Agostinone.
Protocollo di autenticazione KERBEROS
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
PresenzeWeb: breve guida
Ottobre 2006 – Pag. 1
SERVIZIO EDI – Primo Accesso
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Il Comune di Pavia è tra i pochi comuni italiani a svolgere direttamente funzioni di Registration Authority.
Un problema importante
Backup and Migrate, Captcha ReCaptcha e Spamicide Docente: Simone Zambenedetti. Moduli per la Sicurezza.
SERVER DI POSTA ELETTRONICA INTRANET
Ministero delle politiche agricole, alimentari e forestali
C. Aiftimiei 1, S. Andreozzi 2, S. Dal Pra 1, G. Donvito 3, S. Fantinel 4, E. Fattibene 2, G. Cuscela 3, G. P. Maggi 3, G. Misurelli 2, A. Pierro 3 1 INFN-Padova.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Laboratorio di Progettazione A cura di: Arosio Cattaneo Prandi
Gruppo mail Michele Michelotto. Indirizzi secondo livello Documento inviato alla lista CCR e a mailmgr Diversi commenti Servizio “best effort” in seguito.
Certificati e VPN.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
1 Certificati a chiave pubblica strutture dati che legano una chiave pubblica ad alcuni attributi di una persona sono firmati elettronicamente dall’ente.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.
Bologna Batch System (BBS). BBS e’ un sistema batch basato su Condor. L’utente sottomette i job da una macchina e il sistema li distribuisce sulle altre.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
OpenAM & OpenIG 30 settembre 2015.
Alessandro Tugnoli / Silvana Mangiaracina Secondo Convegno IDEM 9-10 Marzo Secondo Convegno IDEM 9-10 Marzo 2010 Autenticazione federata per NILDE,
Consorzio COMETA - Progetto PI2S2 UNIONE EUROPEA SAGE – Un sistema per l’accounting dello storage in gLite Fabio Scibilia Consorzio.
FESR Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.
Copyright 2011 ST Net SRL – Ogni diritto è riservato è vietata la riproduzione anche solo parziale. V MONEYGUARD CASSAFORTE CON SOFTWARE CENTRALIZZATO.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
IV Corso di formazione INFN per amministratori di siti GRID Tutorial di amministrazione DGAS Giuseppe Patania.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Procedure per la richiesta di certificazione e per l'autenticazione alla VO Cometa Accesso all’infrastruttura del Consorzio COMETA in modalità GRID.
FESR Trinacria Grid Virtual Laboratory Sicurezza nelle griglie Fabio Scibilia INFN - Catania Tutorial ITIS Acireale Acireale,
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Release LCG & INFN-GRID Enrico Ferro INFN - Padova.
FESR Trinacria Grid Virtual Laboratory Workload Management System (WMS) Muoio Annamaria INFN - Catania Primo Workshop TriGrid VL Catania,
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Virtual Organizations e Security
Transcript della presentazione:

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma 26/3/2009

Enabling Grids for E-sciencE EGEE-II INFSO-RI Obiettivi Single Sign On: –Un utente che manda job su piu farm non deve battere la password piu volte. E neppure in altri casi! Nessuna Registrazione Locale –Non si richiede allutente di registrarsi preventivamente sulle farm a cui manda i job

Enabling Grids for E-sciencE EGEE-II INFSO-RI Certificati La sicurezza in grid si basa su certificati X.509 –Ogni utente DEVE avere un certificato. –Ogni servizio con cui lutente interagisce DEVE avere un certificato. SSO => Lautenticazione con piu servizi deve essere trasparente. –Un job deve andare in esecuzione, scaricare dati, registrarne di nuovi, etc… Ogni operazione e autenticata Da questo nasce il concetto di proxy.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Proxy 1/2 Un certificato proxy e un nuovo certificato creato a partire da un certificato utente o da un altro proxy –Possiede una nuova chiave privata. –Puo dunque essere usato per autenticarsi. –In genere dura molto meno del certificato originale. –Serve un proxy base creato ad inizio sessione lavorativa voms-proxy-init –voms –Un utente manda un job Il servizio chiede e ottiene un proxy del certificato. Il job riceve tale proxy, e puo usarlo per autenticarsi con lo storage. rrr]$ grid-proxy-info subject : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Vincenzo Ciaschini/CN=proxy issuer : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Vincenzo Ciaschini identity : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Vincenzo Ciaschini

Enabling Grids for E-sciencE EGEE-II INFSO-RI Proxy 2/2 Esempio di una catena di proxy I job durano in genere piu a lungo dei proxy. –Ma il job puo aver bisogno di autenticarsi ancora –Serve quindi un servizio che permetta di rinnovare I proxy Questo servizio si chiama proxy renewal

Enabling Grids for E-sciencE EGEE-II INFSO-RI Proxy Renewal Lutente in origine sottomette un proxy di lunga durata (un mese/una settimana) al proxy renewal Il meccanismo del workload si occupa di rinnovare periodicamente il proxy usato dal job con uno nuovo ottenuto dal proxy renewal Tutto questo perche i proxy hanno la chiave privata sprotetta –Se un proxy viene rubato puo essere usato per autenticarsi da chiunque –Quindi I proxy durano poco

Enabling Grids for E-sciencE EGEE-II INFSO-RI VO VO = gruppo di utenti che lavorano insieme –Il set di utenti cambia spesso. –Non tutti gli utenti sono uguali. Gruppi di lavoro diversi, ruoli diversi dentro la VO Non tutti hanno lo stesso livello di accesso alle risorse. Non ha senso listare esplicitamente tutti gli utenti su tutte le risorse –Occorre un mezzo per raggrupparli insieme => VOMS

Enabling Grids for E-sciencE EGEE-II INFSO-RI VOMS VOMS e una Attribute Authority X.509 –E anche una Attribute Authority SAML Tutti gli utenti di una VO sono registrati –Divisi in grouppi –Con ruoli –Altri Attributi Integrazione con Shibboleth –Attributi da shibboleth sono disponibili alla grid via un gateway VOMS. Esempi: /vo1 gruppo /vo1/group1 sottogruppo /vo1/group1/Role=TestRole ruoli in un sottogruppo login = marotta guarantor = Vincenzo C. (/vo1/group1/Role=TestRole) location = Bologna (/vo1/group1)

Enabling Grids for E-sciencE EGEE-II INFSO-RI VOMS L'utente ottiene credenziali da VOMS, in formato X509 AC o SAML, e puo' presentarle durante l'autorizzazione. –Si richiede mutua autenticazione col server per ottenerle Tali credenziali contengono gli attributi di cui prima, e sono firmati dal server. Ci sono diversi modi per trasportarle ai servizi: il piu' usato e' un'estensione del certificato proxy. –Trasparente per chi non le cerca.

Enabling Grids for E-sciencE EGEE-II INFSO-RI Job submission security 1.Un CE riceve un job, accompagnato da un proxy 2.Il proxy e validato 3.Gli attributi sono estratti dal proxy 4.(non al momento) Un servizio di policy viene contattato per verificare se la richiesta e accettabile 5.A seconda degli attributi (o della loro assenza) lutente di grid e mappato su un account locale 6.Il job viene spedito al batch system 7.Protocolli tra CE ed esterno (GSI)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Sicurezza dei dati 1.I dati sono registrati come appartenenti non ad un utente unix, ma ad un certificato o ad un set di attributi 2.Le richieste arrivano tutte accompagnate da un proxy 3.Il proxy viene validato 4.Gli attributi sono estratti dal proxy 5.A seconda del proprietario del proxy e degli attributi viene o non viene dato accesso ai file 6.A parte questo, protocolli standard (SRM)

Enabling Grids for E-sciencE EGEE-II INFSO-RI Servizio di autorizzazione Composto da un Policy Decision Point (PDP) dove si prendono le decisione dipendentemente dalle policy inserite. Policy Administration Point (PAP) permette di inserire policy. –Permette anche di ricevere policy da PAP remoti Un servizio che voglia usarlo puo' demandare la decisione al servizio inviandogli una richiesta Policy in XACML