La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Plateforme de Calcul pour les Sciences du Vivant Notions de sécurité sur la grille.

Présentations similaires


Présentation au sujet: "Plateforme de Calcul pour les Sciences du Vivant Notions de sécurité sur la grille."— Transcription de la présentation:

1 Plateforme de Calcul pour les Sciences du Vivant Notions de sécurité sur la grille

2 Plateforme de Calcul pour les Sciences du Vivant 2 19/05/2014 Plan Le compte utilisateur Architecture –Authentification –Autorisation Mode demploi pour la France –Côté utilisateur Obtenir un certificat Faire partie dune Organisation Virtuelle –Côté serveur Certificats dhôtes et de services

3 Plateforme de Calcul pour les Sciences du Vivant 3 19/05/2014 Un compte utilisateur Un utilisateur pour utiliser la grille doit posséder : –Un certificat X509 personnel –Une entrée dans une Organisation Virtuelle (VO) –Un compte sur une (au moins) Interface Utilisateur (UI)

4 Plateforme de Calcul pour les Sciences du Vivant 4 19/05/2014 Authentification/Autorisation Authentification=> Certificat –Qui est qui ? Autorisation => VO –Qui a le droit ? Accès au GRID=> UI Audit sécurité –QUI fait QUOI et QUAND ? Comptabilité –COMBIEN de ressources consomme Mr X ou la VO Y ? Facturation possible :-(

5 Plateforme de Calcul pour les Sciences du Vivant 5 19/05/2014 Bases de la sécurité et de lauthentification 5 Cryptage symétrique Cryptage asymétrique…(Public Key Infrastructure) –Les clés publiques et privées vont par paires. Il est impossible de dériver une clé depuis lautre. –Un message crypté par une clé ne peut être décrypté que par la clé paire Encrypted text Private Key Public Key plain text

6 Plateforme de Calcul pour les Sciences du Vivant 6 19/05/2014 Algorithme des clés publiques Chaque utilisateur a 2 clés: une privée et une publique –Il est impossible de dériver une clé depuis lautre; –Un message crypté par une clé ne peut être décrypté que par lautre Pas déchange de secrets nécessaires –Lenvoi crypté se fait en utilisant la clé publique du receveur; –Le décryptage par le receveur se fait en utilisant sa clé privée; clés John public private clés Paul publicprivate PaulJohn ciao3$rciao PaulJohn ciaocy7ciao 3$r cy7

7 Plateforme de Calcul pour les Sciences du Vivant 7 19/05/2014 Exemple 7 Les clés publiques sont échangées –Paul obtient la clé publique de John.. Paul crypte en utilisant la clé publique de John John décrypte en utilisant sa clé privée; Public key algorithm: rend sûr la confidentialité clés John private public PaulJohn ciao3$rciao3$r

8 Plateforme de Calcul pour les Sciences du Vivant 8 19/05/2014 Certificat Digital La signature digitale de Paul est sûre si: 1. La clé privée de Paul nest pas compromise 2. John connaît la clé publique de Paul Comment John peut être sûr que la clé publique de Paul est vraiment la sienne? –Une troisième partie garantit la correspondance entre la clé publique et lidentité de la personne. –Les deux autres parties doivent faire confiance à cette troisième partie Deux modèles: –X.509: organisation hiérarchique –PGP: web of trust.

9 Plateforme de Calcul pour les Sciences du Vivant 9 19/05/2014 La troisième partie est appelée lAutorité de Certification (CA). Donne des certificats pour les utilisateurs et les machines Check lidentité et les informations personnelles du requêteur –Registration Authorities (RAs) font la validation Les CA publient périodiquement une liste de certificats compromis –Certificate Revocation Lists (CRL): contient tous les certificats bientôt révoqués

10 Plateforme de Calcul pour les Sciences du Vivant 10 19/05/2014 Le certificat 10 Certificat –Il est basé sur le principe des signatures digitales –La grille authentifie les utilisateurs ou les ressources en vérifiant leurs certificats –Le certificat est donné par une des CA (Certification Authorities). private key certificat Informations utilisateur Certification Authorities. CA Signature digitale de la CA Sign Public Key Informations de la CA Durée de validité

11 Plateforme de Calcul pour les Sciences du Vivant 11 19/05/2014 Les certificats X.509 Un certificat X.509 contient: –p–public key; –i–identité de la personne; –i–info sur la CA; –D–Durée de validité; –N–Numéro de série; –S–Signature digitale de la CA Public key Subject:C=FR, O=CNRS, OU=LPC, CN=Matthieu Reichstadt Issuer: C=FR, O=CNRS, CN=GRID-FR Expiration date: Jul 28 10:55: GMT Serial number: 625 (0x271) CA Digital signature Structure of a X.509 certificate

12 Plateforme de Calcul pour les Sciences du Vivant 12 19/05/2014 Exemple de certificat reichma]$ grid-cert-info Certificate: Data: Version: 3 (0x2) Serial Number: 2360 (0x938) Signature Algorithm: sha1WithRSAEncryption Issuer: C=FR, O=CNRS, CN=GRID-FR Validity Not Before: Jul 24 08:55: GMT Not After : Jul 24 08:55: GMT Subject: O=GRID-FR, C=FR, O=CNRS, OU=LPC, CN=Matthieu Reichstadt Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit)

13 Plateforme de Calcul pour les Sciences du Vivant 13 19/05/2014 Comment obtenir un certificat

14 Plateforme de Calcul pour les Sciences du Vivant 14 19/05/2014 Les Autorités de Certification Problématique : –Une seule CA pour le projet => Pas gérable, peu sûr –Une CA par partenaire => Problème de mise à léchelle Solution : –Une CA par pays => Établir des relations de confiance entre chaque CA => Coordination au niveau du pays –Catch-All CAs Pays sans CA nationale Création dun groupe des CAs –EDG : CACG –Projets de GRID en Europe (EGEE, LCG, SEE-GRID, … ): EUGridPMA

15 Plateforme de Calcul pour les Sciences du Vivant 15 19/05/2014 EUGridPMA EUropean Grid Policy Management Authority Domaine de confiance commun en Europe : EUGridPMA Même règles et pratiques de certification –Certificats valides 1 an –Vérification de lidentité de la personne –… 28 Autorités de Certification nationales –France, Espagne, US, …., Estonie, Russie, … Catch-All CAs –LCG ou instituts HEP : DOE (US) –EGEE ou instituts non HEP : CNRS (France) Les certificats sont valables sur lensemble des projets de grille au travers de lEurope

16 Plateforme de Calcul pour les Sciences du Vivant 16 19/05/2014 Autorisation Organisation Virtuelle (VO) –Ensemble dindividus ayant des buts communs –Utilisateurs –Ressources A set of individuals or organisations, not under single hierarchical control, (temporarily) joining forces to solve a particular problem at hand, bringing to the collaboration a subset of their resources, sharing those at their discretion and each under their own conditions.

17 Plateforme de Calcul pour les Sciences du Vivant 17 19/05/2014 VO Organisations Virtuelles (1/3) Les utilisateurs sont regroupés par expérience scientifique –Sciences du vivant : Biomed, … –HEP : Alice, Atlas, Babar, CMS, D0, LHCb, … –Observation de la Terre : ESR, EGEODE, … –Autre : DTEAM, NA4Test, … Les autorisations sont fonction de lOrganisation Virtuelle Un administrateur par Organisation Virtuelle –Cest le gestionnaire des utilisateurs de sa VO Les ressources se déclarent utilisables par X,Y ou Z Vos Des droits spécifiques peuvent être données au niveau de chaque ressources par ladministrateur de celle-ci VO

18 Plateforme de Calcul pour les Sciences du Vivant 18 19/05/2014 Organisations Virtuelles (2/3) Administrateur Anonyme

19 Plateforme de Calcul pour les Sciences du Vivant 19 19/05/2014 Organisations Virtuelles (3/3) de demande dajout dans la VO Fichier LDIF LDAP Data Interchange Format

20 Plateforme de Calcul pour les Sciences du Vivant 20 19/05/2014 Mode demploi 1.Obtenir un certificat personnel –http://igc.services.cnrs.fr/Grid-frhttp://igc.services.cnrs.fr/Grid-fr 2.Senregistrer auprès dune VO et 2.Accepter les règles dutilisation du GRID –https://lcg-registrar.cern.ch/cgi-bin/register/account.pl –Attendre ~= 24 heures pour la propagation des droits 3.Exporter et convertir son certificat –du format PKCS12 au format PEM –Le mettre en place sur lUI 4.Générer un proxy 5.La grille est à vous…

21 Plateforme de Calcul pour les Sciences du Vivant 21 19/05/2014 Demande de Certificate CA VO user service Demande de cert. Une fois par an

22 Plateforme de Calcul pour les Sciences du Vivant 22 19/05/2014 Certificat signé CA VO user service Demande de cert. Certificat (PKCS12)

23 Plateforme de Calcul pour les Sciences du Vivant 23 19/05/2014 Enregistrement, règles dutilisation Une fois (Seulement le DN du cert. est utilisé) CA VO user service Demande de cert. Certificat (PKCS12) enregistrement https://lcg-registrar.cern.ch/cgi-bin/register/account.pl

24 Plateforme de Calcul pour les Sciences du Vivant 24 19/05/2014 Démarrer une session CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Toutes les 12/24 heures Proxy cert.

25 Plateforme de Calcul pour les Sciences du Vivant 25 19/05/2014 Certificat proxy openssl x509 –in /tmp/x509up_u`id -u` -text Data: [...] Issuer: O=Grid, O=CNRS, OU=LPC, CN=Matthieu Reichstadtémetteur est lutilisateur Validity Not Before: Jul 22 09:44: GMTValidité réduite: 1 jour Not After : Jul 22 21:49: GMT Subject: O=Grid, O=CNRS, OU=LPC, CN=Matthieu Reichstadt, CN=proxy Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (512 bit) Nouvelle clé (+courte) Modulus (512 bit): 00:e9:7c:f4:d0:5d:8a:4c:91:8b:df:a7:16:78:1f: [...] Exponent: (0x10001) X509v3 extensions: [...] Même extensions Signature Algorithm: md5WithRSAEncryption [...] Signé par lutilisateur Champs supplémentaire : proxy

26 Plateforme de Calcul pour les Sciences du Vivant 26 19/05/2014 Demande de certificat serveur CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Une fois par an

27 Plateforme de Calcul pour les Sciences du Vivant 27 19/05/2014 Certificat serveur signé CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM)

28 Plateforme de Calcul pour les Sciences du Vivant 28 19/05/2014 Configuration du serveur CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM) Certificat CAs CRL CAs Mise à jour automatique toutes les 24h

29 Plateforme de Calcul pour les Sciences du Vivant 29 19/05/2014 Configuration des CAs acceptées Le certificat et la clé privée de lhôte se trouvent : –/etc/grid-security/certificates hostcert.pem hostkey.pem Les CAs reconnues par lhôte se trouvent : –/etc/grid-security/certificates Certificats des CAs CRLs des CAs

30 Plateforme de Calcul pour les Sciences du Vivant 30 19/05/2014 Autorisation CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM) Certificat CAs CRL CAs gridmap file Mise à jour automatique toutes les 24h

31 Plateforme de Calcul pour les Sciences du Vivant 31 19/05/2014 Gridmapfile: configuration Installer et configurer le script de mise à jour automatique du gridmapfile (mkgridmap.conf) – cat /etc/grid-security/mkgridmap.conf auth ldap://marianne.in2p3.fr/ou=People,o=testbed,dc=eu-datagrid,dc=org # EDG Standard Virtual Organizations group ldap://grid-vo.nikhef.nl/ou=testbed1,o=alice,dc=eu-datagrid,dc=org.alice group ldap://grid-vo.nikhef.nl/ou=testbed1,o=atlas,dc=eu-datagrid,dc=org.atlas group ldap://grid-vo.nikhef.nl/ou=tb1users,o=cms,dc=eu-datagrid,dc=org.cms group ldap://grid-vo.nikhef.nl/ou=tb1users,o=lhcb,dc=eu-datagrid,dc=org.lhcb group ldap://grid-vo.nikhef.nl/ou=tb1users,o=biomedical,dc=eu-datagrid,dc=org.biome group ldap://grid-vo.nikhef.nl/ou=tb1users,o=earthob,dc=eu-datagrid,dc=org.eo group ldap://marianne.in2p3.fr/ou=ITeam,o=testbed,dc=eu-datagrid,dc=org.iteam group ldap://marianne.in2p3.fr/ou=wp6,o=testbed,dc=eu-datagrid,dc=org.wpsix

32 Plateforme de Calcul pour les Sciences du Vivant 32 19/05/2014 Gridmap file cat /etc/grid-security/gridmap "/O=Grid/O=Globus/OU=cern.ch/CN=Geza Odor".atlas "/O=Grid/O=CERN/OU=cern.ch/CN=Pietro Paolo Martucci".dteam "/C=IT/O=INFN/L=Bologna/CN=Franco "/C=IT/O=INFN/L=Bologna/CN=Marisa "/O=Grid/O=CERN/OU=cern.ch/CN=Bob Jones".dteam "/O=Grid/O=CERN/OU=cern.ch/CN=Brian Tierney".dteam "/O=Grid/O=CERN/OU=cern.ch/CN=Tofigh Azemoon".lhcb "/C=FR/O=CNRS/OU=LPC/CN=Yannick

33 Plateforme de Calcul pour les Sciences du Vivant 33 19/05/2014 Utilisation CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM) Certificat CAs CRL CAs gridmap file Authentification mutuelle + vérification des autorisations

34 Plateforme de Calcul pour les Sciences du Vivant 34 19/05/2014 VOMS Service Authentification mutuelle et autorisation VOMS CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) voms-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max) Délégation de cert. (24 h max) enregistrement Délégation de cert. (24 h max) Autorisation = Cert. LCAS LCMAPS edg-java-security

35 Plateforme de Calcul pour les Sciences du Vivant 35 19/05/2014 Obtenir des autorisations Query Authentication Request Auth DB C=FR/O=CNRS /L=LPC /CN=Matthieu Reichstdat /CN=proxy VOMS pseudo- cert repeat_install]$ voms-proxy-init --voms auvergrid:/Role=lcgadmin Your identity: /O=GRID-FR/C=FR/O=CNRS/OU=LPC/CN=Matthieu Reichstadt Enter GRID pass phrase: Creating temporary proxy Done Contacting cclcgvomsli01.in2p3.fr:15002 [/O=GRID- FR/C=FR/O=CNRS/OU=CC-LYON/CN=cclcgvomsli01.in2p3.fr] "auvergrid" Done Creating proxy Done Your proxy is valid until Thu Oct 4 01:20: repeat_install]$ voms-proxy-info -all subject : /O=GRID-FR/C=FR/O=CNRS/OU=LPC/CN=Matthieu Reichstadt/CN=proxy issuer : /O=GRID-FR/C=FR/O=CNRS/OU=LPC/CN=Matthieu Reichstadt identity : /O=GRID-FR/C=FR/O=CNRS/OU=LPC/CN=Matthieu Reichstadt type : proxy strength : 512 bits path : /tmp/x509up_u2718 timeleft : 11:58:17 VO : auvergrid subject : /O=GRID-FR/C=FR/O=CNRS/OU=LPC/CN=Matthieu Reichstadt issuer : /O=GRID-FR/C=FR/O=CNRS/OU=CC- LYON/CN=cclcgvomsli01.in2p3.fr attribute : /auvergrid/Role=lcgadmin/Capability=NULL attribute : /auvergrid/Role=NULL/Capability=NULL timeleft : 11:58:17 Notion de rôle

36 Plateforme de Calcul pour les Sciences du Vivant 36 19/05/2014 Rôles Les rôles sont les rôles spécifiques quun utilisateur peut avoir, ce qui le distingue des autres de son groupe: –Software manager –VO-Administrator Différence entre rôles et groups: –Les rôles nont pas de structure hiérarchique – pas de sous-rôle –Les rôles ne sont pas utilisés pour des opérations normales Ils ne sont pas ajoutés par défaut lors dun voms-proxy-init Mais ils peuvent lêtre pour certaines action lors du voms-proxy-init Exemple: –Lutilisateur Reuillon a les informations suivantes VO=auvergrid, Role=SoftwareManager –Pour une opération normale, son rôle nest pas pris en compte, càd Reuillon peut travailler comme un utilisateur normal –Pour des actions particulières il peut obtenir le rôle Software Manager

37 Plateforme de Calcul pour les Sciences du Vivant 37 19/05/2014 Résumé 37 Autorisation Lutilisateur joint une Virtual Organisation VO négocie laccès aux noeuds de grille et aux ressources LAutorisation est testée par la resource: UI CA VO mgr annuel VO database Mapping pour les droits daccès GSI VO service Mise à jour Authentification Lutilisateur obtient un certificat par une CA Il se connecte à lUI en ssh (UI est linterface utilisateur à la grille) Il uploade son certificat sur lUI Un seul logon – à lUI - il crée son proxy


Télécharger ppt "Plateforme de Calcul pour les Sciences du Vivant Notions de sécurité sur la grille."

Présentations similaires


Annonces Google