La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings.

Publié parQuentin Poulin Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings."— Transcription de la présentation:

1 Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings of the 3rd Int. Workshop on Grid Computing - Grid 2002 Rapporté par Julien Gossa DEA DISIC – INSA Lyon

2 Généralités sur les Grills Le Calcul sur Grille – Partage coordonnées de ressources – Organisations virtuelles dynamiques et multi institutionnelles Globus – Ensemble de services et protocoles open source – GRAM : accès aux ressources – GSI : gestion de la sécurité

3 Sécurité sur Grille - Besoins Single Sign-on Protection des accréditations Accréditation et certifications uniformes (masquage des politiques locales) Multi-plateformes Support pour collaborations sécurisées à différentes échelles – Grosses communautés stables – Petites communauté ad-hoc

4 Motivations Majorité de petites communautés – 60% ont moins de 25 membres Besoin de support pour collaborations ad-hoc éphémères La charge administratives des ressources limites beaucoup de scénarii La plupart des systèmes – ne supporte pas une granularité fine des droits – ne respecte pas le concept de least privilege – Use d’impersonnification

5 Scénario actuel BobJoan 1.Demande permission temporaire Ressource Admin 6.Accés au service 2.Renvoie de requête 4.Confirmation 5.Notification de création 3.Création des droits 7. Révocation

6 Scénario Idéal BobJoan Ressource 3.Accès au service 1.Demande permission temporaire 2.Notification de création Les utilisateurs ont besoin d’outil pour créer eux même des droits d’accès pour leur collaborateurs

7 Le problème Besoin de droits d’accès à granularité fine Besoin de mécanismes – utilisateur à utilisateur – utilisateur à admin Les OS standards sont trop limités Il faut supporter les applications actuelles Il faut être portable (et sécurisé)

8 Solution : la Gestion de privilège Les entités gèrent leurs ressources Séparation de l’accréditation des privilèges et l’accréditation des identités Directement dans le middleware Basé sur X509v2 Attribute Certificate L’émetteur du privilège signe l’AC. Puis avec le certificat d’identité de ce dernier, la ressource peut vérifier si la délégation est valide.

9 Solution : la Gestion de privilège Bénéfices – Réduit la charge administrative – Permet l’utilisation sélective et la délégation – Évite les problèmes inhérents à l’impersonnification – Permet la combinaison de privilèges – Bonne intégration dans une PKI, encodage ASN.1 efficace

10 Solution : la mise en application 3 Stratégies – Correspondance d’accréditation – Mode d’autorisation mixte – Combinaison complète d’accréditation Basé sur la norme POSIX.1E – Extension des droits d’accès standards des OS – Intégration d’ACLs dans les SGF – Configuré dynamiquement

11 Solution : la mise en application Bénéfices – Least privilege basés sur droits individuels – Evite les contraintes de base des OS – Permet le partage sélectif – Pas besoin de confiance dans le code – Supporte les anciennes applications – Hautes performances – Fonctionne sur de nombreuses distrib Unix

12 Architecture CA Bob Joan contrôle d‘accès flexible Via politique de sécurité Ressources Admin Authentification mutuelle Et Accréditation délégation de priviléges fins utilisateur à utilisateur délégation de priviléges fin admin à utilisateur

13 Implémentation Basé sur Symphony – component-based Framework – pour créer, partager, composer et exécuter des applis – JAVA ( CoG Kit:Globus/GSI et RMI ) + C (POSIX) – Gros GUI

14 Discussion et Travaux Futurs Viable pour des collaborations spontanées – Petites, non structurées et éphémères Doit être intégré à GSI et au Globus Toolkit Portabilité foireuse de POSIX.1E (spéc. incomplètes) Fréquence des créations/révocations – problèmes avec des accès concurrents Limites de leur langage de spécification de politique de sécurité (comme X509) – XACML inutilisable par utilisateurs finaux Passage à l’échelle avec LDAP

15 Humble avis Ca marche! (c’est déjà ça!) Article un peu verbeux, mais bon recul et critique honnête (a priori) Validation par maquettage – Problème de passage à l’échelle – Problème des révocations (serveur central) Demande des utilisateurs : certes! – Un certain danger… la GridToolBar et GridZaa – Séparation en deux écoles?

16 La suite - PRIMA PRIvilege Management and Authorization – GSI Authorization Callout Interface Implementation – PRIMA Privilege Creator Software – PRIMA Policy Manager – X.509 Attribute Certificate Support for OpenSSL – http://zuni.cs.vt.edu/grid-security/ http://zuni.cs.vt.edu/grid-security/ Hardware-secured Online Credential Repository – 4th ACM/IEEE Int. Symposium on Cluster Computing and the Grid (CCGrid 2004), April 14-19, 2004, Chicago, Ilinois

17

Télécharger ppt "Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings."

Présentations similaires

Projet RNRT ICare: Services évolués de signature

Projet RNRT ICare: Services évolués de signature
Karima Boudaoud, Charles McCathieNevile

Karima Boudaoud, Charles McCathieNevile
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.

Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
Tomcat et son fonctionnement XML

Tomcat et son fonctionnement XML
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
A Security Architecture for Computational Grids Fait par : Ian Foster, Carl Kesselman Gene Tsudik, Steven Tuecke Mathematics and Computer Science Argonne.

A Security Architecture for Computational Grids Fait par : Ian Foster, Carl Kesselman Gene Tsudik, Steven Tuecke Mathematics and Computer Science Argonne.
Xavier Blanc Xavier.Blanc@lip6.fr Web Services Xavier Blanc Xavier.Blanc@lip6.fr.

Xavier Blanc Web Services Xavier Blanc
THALES - Service Techniques et Architectures Informatiques - 9 Mars 2001 Colloque 2001 Infrastructure de Confiance sur des Architectures de Réseaux -Internet.

THALES - Service Techniques et Architectures Informatiques - 9 Mars 2001 Colloque 2001 Infrastructure de Confiance sur des Architectures de Réseaux -Internet.
Virtualisation dorchestration de services TER Master 1 Infomatique 4 Avril 2008 Encadrant : Philippe Collet.

Virtualisation dorchestration de services TER Master 1 Infomatique 4 Avril 2008 Encadrant : Philippe Collet.
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.

Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Laboratoire d'InfoRmatique en Image et Systèmes d'information LIRIS UMR 5205 CNRS/INSA de Lyon/Université Claude Bernard Lyon 1/Université Lumière Lyon.

Laboratoire d'InfoRmatique en Image et Systèmes d'information LIRIS UMR 5205 CNRS/INSA de Lyon/Université Claude Bernard Lyon 1/Université Lumière Lyon.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.

MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.

Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
NFE 107 : Urbanisation et architecture des systèmes d'information

NFE 107 : Urbanisation et architecture des systèmes d'information
Configuration de Windows Server 2008 Active Directory

Configuration de Windows Server 2008 Active Directory
D9CW2 Dispositifs et gestion Meheust Willy

D9CW2 Dispositifs et gestion Meheust Willy

Présentations similaires

Annonces Google