Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup...
Transcript of Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup...
![Page 1: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/1.jpg)
FP7-222667
Enabling Grids for E-sciencE
www.eu-egee.org
Prístup do Gridua bezpečnosť v Gride
Miroslav DobruckýÚstav informatiky
Slovenská akadémia viedBratislava
![Page 2: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/2.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 2
Obsah• Ako sa prihlásim do Gridu?
– Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia
![Page 3: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/3.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 3
• Zdroje sú distribuované: bezpečný prístup k nim je základnou požiadavkou– Bezpečná komunikácia (SSL)– Bezpečnosť aj za organizačnými hranicami (PKI, X.509)– Iba jediné prihlásenie (zadanie hesla) pre používateľov Gridu
(single sign-on)• Dva základné koncepty:• Autentifikácia: Kto som?
– Ekvivalent ku OP, cestovnému pasu, ...– => Certifikáty
• Autorizácia: Čo mám dovolené robiť?– Určené povolenia, povinnosti, atď.– => Virtuálne organizácie, role v nich
Ako sa prihlásim do Gridu?
![Page 4: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/4.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 4
Zúčastnené entity
Používateľ
Certifikačná Autorita
Privátny kľúčVerejný kľúčCertifikát
CA
Zdroje (strediská ponúkajúce služby)
dôvera
Žiadosť ->
<- Certifikát
Proxy certifikát ->
CAŽiadosť ->
<- Certifikát
![Page 5: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/5.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 5
Obsah• Ako sa prihlásim do Gridu?
– Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia
![Page 6: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/6.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 6
Certifikáty• Každý používateľ musí mať platný X.509 certifikát
vydaný uznanou Certification Authority (CA)
• Pred vykonaním akejkoľvek činnosti v Gride sa používateľ musí prihlásiť na User Interface (UI) počítači a vytvorí si tzv. proxy certifikát
• Proxy certifikát má limitovanú časovú platnosť a používa sa na autentifikáciu používateľa (delegated user credential) bez nutnosti neskôr znova zadávaťheslo (pass phrase) zakryptovaného privátneho kľúča
• VOMS proxy obsahuje rozšírenia ohľadne členstva vo VO a informáciu o roliach, ktoré člen má
![Page 7: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/7.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 7
Certificate Request
Private Key encrypted on local disk
CertRequest
Public Key
ID
Cert
User generatespublic/private
key pair in browser.
User sends public key to CA and shows RA proof
of identity.
CA signature links identity and public key in
certificate. CA informs user.
CA root certificate
Courtesy of Mike Mineter
![Page 8: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/8.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8
Ako vytvorím pár: kľúč/žiadosť
grid-cert-request príkaz[miro@grid ~]$ grid-cert-requestEnter your name, e.g., John Smith: Miroslav DobruckyA certificate request and private key is being created.You will be asked to enter a PEM pass phrase.This pass phrase is akin to your account password, and is used to protect your key file.If you forget your pass phrase, you will need toobtain a new certificate.
Using configuration from /etc/grid-security/globus-user-ssl.confGenerating a 1024 bit RSA private key......................++++++...........................++++++writing new private key to '/home/miro/.globus/userkey.pem'Enter PEM pass phrase:************
Poznámka: dá sa použiť aj priamo “openssl” alebo môj skript v linuxe(http://ups.savba.sk/ca/SlovakGrid_get_request).
![Page 9: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/9.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 9
Ako získam certifikátDoručím žiadosť relevantnej dôveryhodnej CA[miro@grid ~]$ cat home/miro/.globus/usercert_request.pem | mail [email protected]
Používateľ musí doručiť svoju žiadosť relevantnej registračnejalebo certifikačnej autorite (RA alebo CA) a osobne sa preukázaťsvojím OP alebo podobným oficiálnym dokumentom obsahujúcimfotografiu. Mejlom doručená žiadosť bude skontrolovaná, či spĺňapožiadavky, ale je potrebné žiadosť doručiť aj osobne (USB pamäť, CD,disketa), alebo iným bezpečným kanálom.
RA následne doručí jej/jeho žiadosť certifikačnej autorite (CA),ktorá žiadosť podpíše a pošle naspäť mejlom ako certifikát, ktorý máplatnosť 1 rok +1 mesiac a pred vypršaním platnosti môže byť využitýna podpísanie novej žiadosti, čo znamená, že sa už potom žiadateľnemusí chodiť osobne preukazovať (aspoň raz za 5 rokov však musí).
![Page 10: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/10.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 10
Relevantné dôveryhodné CA• C=SK, O=SlovakGrid, CN=SlovakGrid CA• C=CZ, O=CESNET, CN=CESNET CA• C=FR, O=CNRS, CN=CNRS• C=GR, O=HellasGrid, CN=HellasGrid CA• C=PT, O=LIPCA, CN=LIP Certification Authority• C=ES, O=DATAGRID-ES, CN=DATAGRID-ES CA• ...
Sú akreditované v združení “The European Policy Management Authority for Grid Authentication in e-Science”www.eugridpma.org, ktorá je členom svetovej IGTF federácie.
![Page 11: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/11.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 11
Nainštalovanie certifikátu…na UI stroj do adresára ~/.globus[miro@grid ~]$ ls –l .globus-r--r--r-- 1 miro miro 4774 Oct 8 13:11 usercert.pem-r--r--r-- 1 miro miro 1270 Oct 8 10:51 usercert_request.pem-r-------- 1 miro miro 963 Oct 8 10:51 userkey.pem
…do web prezerača:openssl pkcs12 –export –in ~/.globus/usercert.pem \
–inkey ~/.globus/userkey.pem –out user.p12 \–name ’Janko Mrkvicka’
A potom preniesť súbor user.p12 cez“Tools/Options/Advanced/ViewCertificates/Import” (Firefox).
Nezabudnúť mať nastavené hlavné heslo (MASTER PASSWORD).
![Page 12: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/12.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 12
Revokácia, CRL• Kedy je potrebné zrušiť platnosť certifikátu:
– Na žiadosť majiteľa – ak kľúč pokazil, stratil, alebo mu ho ukradli– Pri zistení, že majiteľ porušuje CP&CPS
• Ako sa zruší platnosť certifikátu:– Majiteľ doručí žiadosť o revokáciu dôveryhodnou cestou,
napríklad osobne– Alebo CA rozhodne o nutnosti revokovať– CA vykoná revokačnú procedúru a okamžite vydá nový CRL
• CRL (Certification Revocation List)– CA pravidelne generuje CRL, ktorý má platnosť napr. 1 mesiac
a publikuje ho (napr. na webe)– CE/SE (resources) pravidelne (častejšie než denne) sťahujú
od všetkých dôveryhodných CA nimi vydané CRL
![Page 13: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/13.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 13
Obsah• Ako sa prihlásim do Gridu?
– Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia
![Page 14: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/14.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 14
GSI - prehľad
PKI(CAs and
Certificates)
SSL/TLS
Proxies and Delegation
PKI - prepoverovanie
SSL – preautentifikáciua ochranuposielanýchúdajov
Proxy a delegovanie (GSIrozšírenia) - pre bezpečnéprihlásenie „single Sign-on“
Based on Slide from Globus Tutorial
Grid security infrastructure
![Page 15: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/15.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 15
The Grid Security Infrastructure (GSI)
every Grid transaction is mutually authenticated:
1. A sends his certificate;2. B verifies signature in A’s certificate
using CA public certificate;3. B sends to A a challenge string;4. A encrypts the challenge string with
his private key;5. A sends encrypted challenge to B6. B uses A’s public key to decrypt the
challenge.7. B compares the decrypted string with
the original challenge8. If they match, B verified A’s identity
and A can not repudiate it. 9. Repeat for A to verify B’s identity
AA BBAA’’s certificates certificate
Verify CA signatureVerify CA signature
Random phraseRandom phrase
Encrypt with AEncrypt with A’’ s private keys private key
Encrypted phraseEncrypted phrase
Decrypt with ADecrypt with A’’ s public keys public key
Compare with original phraseCompare with original phrase
Based on X.509 PKI:Courtesy of Mike Mineter
![Page 16: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/16.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 16
The Grid Security Infrastructure (GSI) …
• Default: message integrity checking– Not private – a test for
tampering• For private
communication:– Encrypt all the
message (not just hash) - Slower
After A and B authenticated each other, for A to send a message to B:
AA BBGenerate hash from messageGenerate hash from message
Message + Encrypted hashMessage + Encrypted hash
Decrypt with ADecrypt with A’’ s public keys public key
Compare with decrypted hashCompare with decrypted hash
Encrypt hash with AEncrypt hash with A’’ ssprivate keyprivate key
Further encrypt hash with BFurther encrypt hash with B’’ sspublic keypublic key
Decrypt with BDecrypt with B’’ s private keys private key
Generate hash from messageGenerate hash from message
Courtesy of Mike Mineter
![Page 17: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/17.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 17
yproxies
• To support delegation: A delegates to B the right to act on behalf of A
• proxy certificates extend X.509 certificates– Short-lived certificates signed by the user’s certificate or a proxy– Reduces security risk, enables delegation
Courtesy of Mike Mineter
![Page 18: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/18.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 18
Zodpovednosť používateľa
• Mať bezpečne uložený privátny kľúč – na USB pamäti• Nedať ho k dispozícii nikomu• Reportovať lokálnej RA/CA ak bol privátny kľúč
odcudzený/zneužitý alebo je podozrenie na to• Nenechať delegovaný proxy dlhšie než potrebuje Vaša
práve spustená úloha
Ak je Váš certifikát (privátny kľúč) alebo delegovaná služba (proxy) použitý niekým iným, nemôžete dokázať, že ste to neboli Vy.
![Page 19: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/19.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 19
VOMS: Virtual Organization Membership Service
pred VOMS• Používateľ je autorizovaný
ako člen jedinej VO
• Všetci členovia VO majúrovnaké práva (oprávnenia)
• Grid-mapfiles sú spravovanéVO manažérom (sw): mapujepoužívateľské meno (DN) na lokálne konto
• grid-proxy-init
VOMS• Používateľ môže byť členom
viacerých VO– Hromadné oprávnenia
• VO môže mať skupiny– Rôzne práva pre každú
• Rôzne skupiny experimentátorov
• ...– Vnorené skupiny
• VO prideľuje roly– Na zvláštne účely
• Napr. systémový administrátor• Keď predpokladá túto rolu
• Proxy certifikát nesie prídavné atribúty
• voms-proxy-init
![Page 20: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/20.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 20
Obsah• Ako sa prihlásim do Gridu?
– Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia
![Page 21: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/21.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 21
AutorizáciaLDAP server• Udržuje zoznam členov VO• CE/SE si pravidelne sťahuje aktuálny zoznam
– a generuje grid-mapfile• pri prvom prihlásení na CE/SE dostane používateľ
jedno voľné konto– z „pool accounts“– časom toto priradenie môže expirovať
![Page 22: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/22.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 22
príklad:VO-LDAP server na autorizáciu
mkgridmap grid-mapfile
VOVODirectoryDirectoryCN=Mario Rossi
o=xyz,dc=eu-datagrid, dc=org
CN=Franz ElmerCN=John Smith
Authentication Certificate
Authentication Certificate
Authentication Certificate
ou=People ou=Testbed1 ou=???
local users ban list
Adopted by
DataGrid Testbed0 (2001/02)
DataGrid Testbed1 (2003)
DataTAG Testbed (2003)
![Page 23: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/23.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 23
Zlepšenia / rozšírenia• Community Authorisation Service (CAS)
– od Globus Alliance• LCAS (Local Centre Authorization Service)
– DataGrid (EDG) plugin pre Globus– sysadmin môže blokovať prístup jednotlivým používateľom (ban
list) • Virtual Organisation Membership Service (VOMS)
– od EU DataGrid a DataTAG projektov– VOMS proxy sa používa aj v gLite
![Page 24: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/24.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 24
VOMS
Query
Authentication
Request
AuthDB
C=IT/O=INFN /L=CNAF/CN=Pinco Palla/CN=proxy
VOMSpseudo
-cert
VOMSpseudo
-cert
1. Vzájomná autentifikácia klient-server• Bezpečný komunikačný kanál pomocou
štandardného Globus API2. Klient pošle žiadosť VOMS serveru3. Server preverí správnosť žiadosti4. Server pošle naspäť vyžiadanú info
(podpíše ju) v “Pseudo-Certifikáte”5. Klient preverí platnosť prijatej info6. Voliteľne: [Klient zopakuje proces pre
iné VOMS’y]7. Klient vytvorí proxy certifikát
obsahujúci všetku prijatú info v (nie-krititickom) rozšírení
8. Klient môže pridať ďalšiu autentifikačnú info (kerberos tikety, atď…)
Based on: http://www.slac.stanford.edu/econf/C0303241/proc/pres/317.PPT
![Page 25: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/25.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 25
Ako sa stať členom VO CE• Mať naložený osobný certifikát vo web prezerači a
navštíviť stránku– https://voce-register.farm.particle.cz/voce/
Návody ako na to:• http://egee.cesnet.cz/en/voce/
![Page 26: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/26.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 26
Obsah• Ako sa prihlásim do Gridu?• Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia
![Page 27: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/27.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 27
Delegované certifikáty• Proxy certifikát
• Krátko-dobý (12 hodín), s obmedzenými právomocami, odvodený z dlhodobého (1 rok) X.509 certifikátu
• Podpísaný používateľovým certifikátom alebo iným proxy• Umožňuje procesu pôsobiť v mene používateľa• Je nezakryptovaný - preto musí byť uložený a dopravovaný
bezpečnými spôsobmi
• MyProxy server• Udržuje stredne-dobý proxy (7 dní)• Chránený heslom• Generuje na požiadanie z neho krátkodobý proxy• Vhodné pre prácu z portálu (“internet café”)• Alebo pre dlhšie trvajúce úlohy (keď bežný proxy expiruje)
Proxy certifikát je automaticky obnovovaný počas celého behu úlohy
![Page 28: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/28.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 28
Vytvorenie proxy certifikátugrid-proxy-init príkaz
[miro@grid ~]$ grid-proxy-initYour identity: /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav Dobrucky
Enter GRID pass phrase for this identity:
Creating proxy ....................................... Done
Your proxy is valid until: Tue Mar 11 22:37:05 2008
grid-proxy-infogrid-proxy-destroy
![Page 29: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/29.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 29
MyProxy (2): vloženie proxycertifikátu na server
myproxy-init príkaz
[miro@grid ~]$ myproxy-init –s myproxy.cern.chYour identity: /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav DobruckyEnter GRID pass phrase for this identity:Creating proxy ................................... DoneProxy Verify OKYour proxy is valid until: Tue Mar 11 22:43:03 2008
Enter MyProxy pass phrase:Verifying password - Enter MyProxy pass phrase:A proxy valid for 168 hours (7.0 days) for user miro now exists on myproxy.cern.ch.
Poznámka: na MyProxy v LCG (alebo gLite pod GT2) sa ukladá lenštandardný proxy; nedá sa tam vložiť rozšírený VOMS proxy.
GT4 implementácia používa prepínač „-o“ nasledovaný menom VO
![Page 30: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/30.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 30
MyProxy (3): vyzdvihnutieproxy certifikátu
myproxy-get-delegation príkaz
[miro@grid miro]$ myproxy-get-delegation –s \myproxy.cern.ch
Enter MyProxy pass phrase:A proxy has been received for user miro in /tmp/x509up_u1001
myproxy-infomyproxy-destroy
Poznámka: myproxy-destroy vyžaduje mať u seba na diskusvoj ‘lokálny’ proxy v /tmp
![Page 31: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/31.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 31
Vytvorenie VOMS proxy certifikátu
VOMS-proxy-init príkaz
[miro@grid ~]$ voms-proxy-init –voms voceEnter GRID pass phrase:Your identity: /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav DobruckyCreating temporary proxy ...................................... DoneContacting skurut19.cesnet.cz:7001[/DC=cz/DC=cesnet-ca/O=CESNET/CN=skurut19.cesnet.cz] "voce" DoneCreating proxy ................................................ DoneYour proxy is valid until Tue Mar 11 22:59:27 2008
voms-proxy-infovoms-proxy-destroy
![Page 32: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/32.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 32
VOMS proxy certifikát[miro@grid ~]$ voms-proxy-info -allsubject : /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav Dobrucky/CN=proxyissuer : /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav Dobruckyidentity : /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav Dobruckytype : proxystrength : 512 bitspath : /tmp/x509up_u1001timeleft : 11:59:31=== VO voce extension information ===VO : vocesubject : /C=SK/O=SlovakGrid/O=IISAS/CN=Miroslav Dobruckyissuer : /DC=cz/DC=cesnet-ca/O=CESNET/CN=skurut19.cesnet.czattribute : /voce/Role=NULL/Capability=NULLtimeleft : 11:59:31
Poznámka: gLite-voms-proxy-* sú len ‘symlink’ na príkazyvoms-proxy-*
![Page 33: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/33.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 33
gLite - WMProxy[miro@grid ~]$ glite-wms-job-delegate-proxy –d mojprvyConnecting to the service
https://wms.ui.savba.sk:7443/glite_wms_wmproxy_server================ glite-wms-job-delegate-proxy Success ==========Your proxy has been successfully delegated to the WMProxy:https://wms.ui.savba.sk:7443/glite_wms_wmproxy_serverwith the delegation identifier: mojprvy========================================================
Alebo sa dá delegovať až pri spustení úlohy (jobu).Informácia o stave delegáta (proxy) sa v gLite 3.1 dá zistiť príkazom:glite-wms-job-info -d mojprvy
Ako sa dá delegát zmazať? Asi len delegovaním 1-hodinového proxy.
![Page 34: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/34.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 34
Obsah• Ako sa prihlásim do Gridu?
– Certifikáty - Autentifikácia• GSI
– Autorizácia– Delegované certifikáty
• Rekapitulácia (A walk-through)
![Page 35: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/35.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 35
A walk-throughCA
VO
user service
Courtesy of David Groep
![Page 36: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/36.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 36
Certificate requestCA
VO
user service
cert-request
grid-cert-request
once every year
Courtesy of David Groep
![Page 37: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/37.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 37
Certificate signingCA
VO
user service
cert-request
grid-cert-request
certificate
cert signing
Courtesy of David Groep
![Page 38: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/38.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 38
Importing your certificate in the browser
CA
VO
user service
cert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
Courtesy of David Groep
![Page 39: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/39.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 39
Browser certificates
• Your our certificate must be in PKCS#12 formatopenssl pkcs12 –export \
–in ~/.globus/usercert.pem \–inkey ~/.globus/userkey.pem \–out user.p12 \–name ’Joe Smith’
• Use the “certificate store” of your browser– Windows: double-click on the “.p12” file– Explorer: Internet Options – tab: Content– Netscape 6: Preferences –
Privacy&Sec – Certificates, then use “Restore”
• And SET THE MASTER PASSWORD
Courtesy of David Groep
![Page 40: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/40.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 40
Usage GuidelinesCA
VO
user service
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
Usage guidelines
AccountRegistration
once for the lifetime of the VO
(only the DN not the keys, so they may change)
Courtesy of David Groep
![Page 41: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/41.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 41
Starting a sessionCA
VO
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
every 12/24 hours
Courtesy of David Groep
![Page 42: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/42.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 42
Certificate Request for a Host
CA
VO
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signinghost-request
grid-cert-request
once in every year
Courtesy of David Groep
![Page 43: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/43.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 43
Signing the CertificateCA
VO
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
host-cert
cert signing
host-request
grid-cert-request
Courtesy of David Groep
![Page 44: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/44.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 44
Configuration on the ServerCA
VO-LDAP
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
host-cert
cert signing
host-request
grid-cert-request
ca-certificatecrl
cert/crl update
automatically updated every
night/week
Courtesy of David Groep
![Page 45: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/45.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 45
Authorization InformationCA
VO-LDAP
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
host-cert
cert signing
gridmapmkgridmap
host-request
grid-cert-request
ca-certificatecrl
cert/crl update
automatically updated every
night/week
Courtesy of David Groep
![Page 46: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/46.jpg)
Enabling Grids for E-sciencE
Prístup do Gridu a bezpečnosť v Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 46
Using a ServiceCA
VO-LDAP
user service
proxy-cert grid-proxy-init
registrationcert.pkcs12 convert
cert-request
grid-cert-request
certificate
cert signing
host-cert
cert signing
gridmapmkgridmap
host/proxy certs exchanged
host-request
grid-cert-request
ca-certificatecrl
cert/crl update
Courtesy of David Groep
![Page 47: Prístup do Gridu a bezpečnosťv Gride Miroslav Dobrucký...Enabling Grids for E-sciencE Prístup do Gridu a bezpečnosťv Gride, EGEE/CVP kurz, 28.máj 2008, Bratislava 8 Ako vytvorím](https://reader034.fdocument.pub/reader034/viewer/2022051904/5ff6431a8e3a2f5c2e534934/html5/thumbnails/47.jpg)
FP7-222667
Enabling Grids for E-sciencE
www.eu-egee.org
Ďakujem za pozornosť
egee.ui{AT}sav.skhttp://www.ui.sav.sk/egee
Miroslav DobruckýÚstav informatiky
Slovenská akadémia viedBratislava