La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Virtual Organizations e Security

PubblicatoGeronima Donato Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "Virtual Organizations e Security"— Transcript della presentazione:

1 Virtual Organizations e Security
Vincenzo Ciaschini INFN-CNAF 14/2/2002

2 Virtual Organizations
Raggruppano utenti e risorse Implementate come cataloghi Per l'autorizzazione, sono elenchi di utenti.

3 Tipi di VO LDAP Server VOMS

4 LDAP – Funzionamento Subject dei certificati nel server LDAP.
mkgridmap legge i server e riunisce i dati nel grid- mapfile. L'utente esegue il grid-proxy-init e invia il job al broker. grid-mapfile del CE letto da Broker per decidere a quale CE inviare le richieste -> grid-mapfile pubblicato nello schema. grid-mapfile letto dal CE per autorizzare e assegnare l'UID alle richieste.

5 “Authorization Directory”
grid-mapfile generation o=testbed, dc=edg, dc=org CN=Franz Elmer ou=People CN=John Smith mkgridmap grid-mapfile VO Directory “Authorization Directory” CN=Mario Rossi o=xyz, dc=edg, dc=org Authentication Certificate ou=tb1 ou=Admin local users ban list

6 Esempio di mkgridmap.conf
#### GROUP: group URI [lcluser] # EDG Standard Virtual Organizations group ldap://grid-vo.nikhef.nl/ou=testbed1,o=alice,dc=eu-datagrid,dc=org .alice group ldap://grid-vo.nikhef.nl/ou=testbed1,o=atlas,dc=eu-datagrid,dc=org .atlas group ldap://grid-vo.nikhef.nl/ou=tb1users,o=cms,dc=eu-datagrid,dc=org .cms group ldap://grid-vo.nikhef.nl/ou=tb1users,o=lhcb,dc=eu-datagrid,dc=org .lhcb group ldap://grid-vo.nikhef.nl/ou=tb1users,o=biomedical,dc=eu-datagrid,dc=org .biome group ldap://grid-vo.nikhef.nl/ou=tb1users,o=earthob,dc=eu-datagrid,dc=org .eo group ldap://marianne.in2p3.fr/ou=ITeam,o=testbed,dc=eu-datagrid,dc=org .iteam group ldap://marianne.in2p3.fr/ou=wp6,o=testbed,dc=eu-datagrid,dc=org .wpsix # Other Virtual Organizations group ldap://grid-vo.cnaf.infn.it/ou=testbed1,o=infn,c=it .infngrid #group ldap://vo.gridpp.ac.uk/ou=testbed,dc=gridpp,dc=ac,dc=uk .gridpp #group ldap://babar-vo.gridpp.ac.uk/ou=babar,dc=gridpp,dc=ac,dc=uk .babar #### Optional - ACL: deny|allow pattern_to_match #allow *INFN* #### Optional - GRID-MAPFILE-LOCAL #gmf_local /opt/edg/etc/grid-mapfile-local

7 Problemi di LDAP Accesso pubblico. (Equivalente a pubblicare su internet il passwd) Poco sicuro. (Comunicazioni in chiaro e non protette) Non scalabile. (Elevato traffico. Difficoltà di aggiornamento) Poco flessibile. (Tutto o niente. Conflitto in caso lo stesso utente sia membro di piu' VO)

8 VOMS – Utilizzo (½) Subject e CA dei certificati memorizzati nel server VOMS. (Insieme a informazioni come appartenenza a gruppi, ruoli, capabilities, ecc... piu' altre definite dalla VO) L'utente esegue voms-proxy-init e ottiene un le informazioni presenti nel server VOMS riguardanti l'utente firmate dal server stesso. È possibile contattare più server. Le informazioni sono incluse in una estensione del proxy standard a formare un voms-proxy. L'utente invia la richiesta al Broker.

9 Schema di architettura
User client Admin client Auth DB vomsd vadmind VOMS Server soap GSI

10 Meccanismo del VOMS USER VOMS Authentication Request Auth DB
C=IT/O=INFN /L=CNAF /CN=Pinco Palla /CN=proxy User’s attributes USER

11 * Inserted in a non critical extension of the user proxy.
* OID: * One for each VOMS server contacted /C=IT/O=INFN/L=CNAF/CN=Vincenzo /C= IT/O=INFN/CN=INFN CA user’s identity /C=IT/O=INFN/OU=gatekeeper/L=PR /C=IT/O=INFN/CN=INFN CA VO: CMS URI:gridce.pr.infn.it:15000 server identity TIME1: Z TIME2: Z GROUP: montecarlo ROLE: administrator CAP: capability user’s info SIGNATURE: L...B]....3H =".h.r...;C'..S......o.g.=.n8S'x..\..A~.t 'Q.V.I..../.Z*V*{.e.RP.....X.r qEbb...A...

12 VOMS – Utilizzo (2/2) Il CE pubblica le VO accettate.
Il Broker confronta le informazioni presenti nel voms-proxy con l'elenco delle VO dei CE e sceglie il CE a cui spedire il job. Il CE riceve il voms-proxy, ne estrae l'estensione VOMS e tramite LCAS e LCMAPS decide se autorizzare l'utente e quale uid assegnargli.

13 VOMS – Vantaggi (1/2) Tutte le comunicazioni sono protette e cifrate.
È possibile definire politiche per l'accesso alle informazioni da parte delle macchine. Confidenzialità: Un utente non può vedere le informazioni relative ad altri utenti. Le VO possono modificare la lista delle informazioni matenute I servizi possono definire politiche più articolate.

14 Software Requirements (1/2)
VOMS Server: Globus-GSI CA certificates Client:

15 VOMS – Disponibilità Software rilasciato pochi giorni fa:
Voms server, voms-proxy-init e mkgridmap++ disponibili sulla farm di Datatag. Plugin LCAS in via di sviluppo.

16 VOMS – Vantaggi (2/2) Non e' piu' necessario pubblicare la lista degli appartenenti ad una VO e la lista degli utenti acettati da una macchina. Gestione della VO basata su DB.

17 Transizione mkgridmap++
Funziona come mkgridmap, ma legge i dati da un server VOMS invece che da LDAP. Accesso al server VOMS ristretto ai soli CE. Non inficia il funzionamento di altri meccanismi come LDAP.

18 Software Requirements (2/2)
mkgridmap++ VOMS Server Apache Mod_ssl Vari moduli perl (DBI, DBD, libxml-enno, ecc...) CE Vari moduli perl (LWP, libxml-enno, ecc...)

19

20 Riferimenti: Server CVS dell'INFN: Farm di Datatag:
Farm di Datatag: Server: aaa-test.cnaf.infn.it:15000 Client: grid006f.cnaf.infn.it

Scaricare ppt "Virtual Organizations e Security"

Presentazioni simili

Introduzione al prototipo Grid-SCoPE

Introduzione al prototipo Grid-SCoPE
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
1 Grid Security Infrastructure Certificati X.509 Certificati Proxy Il servizio VOMS Griglie computazionali Università degli Studi di Napoli Federico II.

1 Grid Security Infrastructure Certificati X.509 Certificati Proxy Il servizio VOMS Griglie computazionali Università degli Studi di Napoli Federico II.
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, 19-07-2007)

Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, 19-07-2007)

Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Flavia DonnoCommissione I, Perugia 11-12 Novembre 2002 1 I progetti di integrazione di GRID EU-US Flavia Donno INFN Sezione di Pisa Riunione Comm. I sul.

Flavia DonnoCommissione I, Perugia Novembre I progetti di integrazione di GRID EU-US Flavia Donno INFN Sezione di Pisa Riunione Comm. I sul.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.

Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Alessandro Italiano INFN - CNAF Grid.it 14 Febbraio 2003 Servizi Generali: RB, UI, RC Information System Alessandro Italiano Grid.it 16 febbraio 2003.

Alessandro Italiano INFN - CNAF Grid.it 14 Febbraio 2003 Servizi Generali: RB, UI, RC Information System Alessandro Italiano Grid.it 16 febbraio 2003.
Il Tutorial INFN-GRID/EDG di Torino Testbed INFN-GRID.

Il Tutorial INFN-GRID/EDG di Torino Testbed INFN-GRID.
1/13Riunione testbed INFNGRID 17.1.2003 CNAF Rapporto sullattivita del gruppo di testing INFNGRID Antonio Forte Alessandro Cavalli Gennaro Tortone Livio.

1/13Riunione testbed INFNGRID CNAF Rapporto sullattivita del gruppo di testing INFNGRID Antonio Forte Alessandro Cavalli Gennaro Tortone Livio.
Directory Directory cos’e’? Directory qual’e’ il suo scopo?

Directory Directory cos’e’? Directory qual’e’ il suo scopo?
FESR www.trigrid.it Trinacria Grid Virtual Laboratory University of Coimbra AMGA - Official Metadata Service for EGEE Salvatore Scifo INFN Catania Primo.

FESR Trinacria Grid Virtual Laboratory University of Coimbra AMGA - Official Metadata Service for EGEE Salvatore Scifo INFN Catania Primo.
Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio 2007 - LNF.

Fedora Directory Server Dael Maselli Workshop AAI - 30 Maggio LNF.
Draft planning of the report Massimo Sgaravatto INFN Padova.

Draft planning of the report Massimo Sgaravatto INFN Padova.
Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.

Fedora Directory Server Dael Maselli. Funzionalita’ principali Replica Multi-Master fino a 4 nodi Connessione e autenticazione sicura (SSLv3, TLSv1 e.
I testbed ed il loro uso 1 I testbed ed il loro uso L. Gaido, A.Ghiselli CSN1, Perugia 11-12 novembre 2002.

I testbed ed il loro uso 1 I testbed ed il loro uso L. Gaido, A.Ghiselli CSN1, Perugia novembre 2002.
FESR www.trigrid.it Trinacria Grid Virtual Laboratory Rosanna Catania Rita Ricceri INFN Catania 25 Luglio 2006 Grid Monitoring: GridICE – bacct - lsload.

FESR Trinacria Grid Virtual Laboratory Rosanna Catania Rita Ricceri INFN Catania 25 Luglio 2006 Grid Monitoring: GridICE – bacct - lsload.
FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.

FESR Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.
AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 26-30 Marzo 2012.

AAI & AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF Marzo 2012.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.

Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.

Presentazioni simili

Annunci Google