La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

Publié parFrancis Chassé Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)"— Transcription de la présentation:

1 EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Administrateur CGG 7 Nov. 2006

2 EGEE Sécurité – CGG Novembre 2006 - 2 Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI) Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

3 EGEE Sécurité – CGG Novembre 2006 - 3 Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI)

4 EGEE Sécurité – CGG Novembre 2006 - 4 Que faut-il pour travailler sur la Grille de Calcul ? Un utilisateur pour utiliser le GRID doit posséder :  Un certificat électronique personnel  Une entrée dans une Organisation Virtuelle (VO ou VOMS)  Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique

5 EGEE Sécurité – CGG Novembre 2006 - 5 Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Les utilisateurs et les machines s’authentifient mutuellement Implémente :  Single sign-on: le mot de passe n’est donné qu’une seule fois  Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations  Authentification mutuelle: le destinataire et l’émetteur s’authentifient Introduction des certificats proxy  Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l’utilisateur  Un Proxy peut se déplacer sur le réseau

6 EGEE Sécurité – CGG Novembre 2006 - 6 Plan Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl

7 EGEE Sécurité – CGG Novembre 2006 - 7 Qu’est ce qu’un certificat électronique X509v3 ? Repose sur l’utilisation des algorithmes asymétriques C’est un couple de clés(privée, publique) indissociables  Les clés sont générées ensembles  Impossibilité de retrouver une clé par rapport à l’autre  Durée de validité limitée Un certificat X509v3 peut être issu pour  Une personne physique (certificat personnel)  Une machine (certificat de hôte)  Un programme (certificat de service) La clé publique  Signée par la CA  Publiée sur le réseau via le service de publication de la CA  Dans le langage courant, elle est appelée certificat La clé privée  Conservée sur le poste de l’utilisateur ou sur la machine  Chiffrée et protégée par un mot de passe

8 EGEE Sécurité – CGG Novembre 2006 - 8 Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique):  Le sujet  L’Autorité de Certification émettrice  La période de validité du certificat ... Plusieurs formats  PKCS12 : Un seul fichier.p12  PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir :  La Liste des Certificats Révoqués (CRL) émise par la CA  Le certificat de la CA émettrice

9 EGEE Sécurité – CGG Novembre 2006 - 9 Les Autorités de Certification Solution :  Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays  Catch-All CAs Pays sans CA nationales Politique de gestion des autorités : GRID PMA  PMA, Policy Management Authority  Etablir des obligations minimales pour les CA  Accréditer les CA  Auditionner les CA CA France  GRID-FR  Gérée par le CNRS/UREC

10 EGEE Sécurité – CGG Novembre 2006 - 10 openssl Convertir un certificat du format PKCS12 au format PEM  Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem  Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique  Format PEM # openssl x509 -text -noout -in usercert.pem  Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem

11 EGEE Sécurité – CGG Novembre 2006 - 11 Plan Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

12 EGEE Sécurité – CGG Novembre 2006 - 12 Certificat utilisateur (1) Faire une demande ici :  http://igc.services.cnrs.fr/GRID-FR

13 EGEE Sécurité – CGG Novembre 2006 - 13 Certificat utilisateur (2)

14 EGEE Sécurité – CGG Novembre 2006 - 14 Certificat utilisateur (3)

15 EGEE Sécurité – CGG Novembre 2006 - 15 Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande

16 EGEE Sécurité – CGG Novembre 2006 - 16 Certificat utilisateur (5) Vous cliquez sur l’URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée.

17 EGEE Sécurité – CGG Novembre 2006 - 17 Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l ’URL incluse dans le mail

18 EGEE Sécurité – CGG Novembre 2006 - 18 Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options - Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter

19 EGEE Sécurité – CGG Novembre 2006 - 19 Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer

20 EGEE Sécurité – CGG Novembre 2006 - 20 Installation du certificat sur l’UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls –l chmod 400 userkey.pem chmod 444 usercert.pem

21 EGEE Sécurité – CGG Novembre 2006 - 21 Utilisation du certificat Manipulation de proxy  Créer un proxy de 12h # voms-proxy-init  Créer un proxy avec choix de durée de vie # voms-proxy-init -valid  Les information du proxy # voms-proxy-info  Détruire un proxy # voms-proxy-destroy Utiliser le proxy  Login ftp sur la grille # uberftp -H cws.private.gridprototype

22 EGEE Sécurité – CGG Novembre 2006 - 22 Certificat Machine Vous devez posséder un certificat personnel pour demander un certificat machine Vous recevez votre certificat machine par mail chiffré et signé Vous devez utiliser une messagerie S/MIME avec votre certificat personnel importé. Attention, dans le cas de Thunderbird et Firefox, il faudra l’importer. Ceci étant du à la dissociation des deux logiciels.

23 EGEE Sécurité – CGG Novembre 2006 - 23 Certificat machine (1) Faire une demande ici :  http://igc.services.cnrs.fr/GRID-FR Saisissez : - le nom complet de la machine (FQN, cad avec le nom de domaine) - l’email de l’administrateur de la machine

24 EGEE Sécurité – CGG Novembre 2006 - 24 Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers

25 EGEE Sécurité – CGG Novembre 2006 - 25 Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem

Télécharger ppt "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)"

Présentations similaires

Installation : la fameuse installation en 5 minutes sur un serveur personnel 7 étapes à suivre Téléchargez Wordpress et décompressez l'archive dans un.

Installation : la fameuse installation en 5 minutes sur un serveur personnel 7 étapes à suivre Téléchargez Wordpress et décompressez l'archive dans un.
Gestion des comptes Présentation.

Gestion des comptes Présentation.
Support.ebsco.com Créer des alertes de recherche Didacticiel.

Support.ebsco.com Créer des alertes de recherche Didacticiel.
Copyright ©: 1995-2011 SAMSUNG & Samsung Hope for Youth. All rights reserved Tutorials Internet : Configurer une adresse e-mail Niveau : Débutant.

Copyright ©: SAMSUNG & Samsung Hope for Youth. All rights reserved Tutorials Internet : Configurer une adresse Niveau : Débutant.
1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.

1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.
Créer un site web en équipe

Créer un site web en équipe
Lalimentation de STAR par imports STAR 8ième cercle – 27 septembre 2013.

Lalimentation de STAR par imports STAR 8ième cercle – 27 septembre 2013.
D/ Partage et permission NTFS

D/ Partage et permission NTFS
Thunderbird Installation Cliquer ici. 2. Cliquer cette option 1. Choisir cette option Thunderbird Installation.

Thunderbird Installation Cliquer ici. 2. Cliquer cette option 1. Choisir cette option Thunderbird Installation.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
La politique de Sécurité

La politique de Sécurité
Certificats Globus et DataGrid France

Certificats Globus et DataGrid France
Chiffrement – Utilisation de GPG

Chiffrement – Utilisation de GPG
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.

Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Découvrez notre plate-forme de gestion de listes de diffusion.

Découvrez notre plate-forme de gestion de listes de diffusion.
le bureau de Windows et ses fonctionnalités

le bureau de Windows et ses fonctionnalités
Procédure dinstallation Windows Xp pro. Dans cette procédure nous verrons comment installer Windows xp pro sur un disque dur Vierge. Dans un premier temps,

Procédure dinstallation Windows Xp pro. Dans cette procédure nous verrons comment installer Windows xp pro sur un disque dur Vierge. Dans un premier temps,
API Présentation Comment ajouter des pages. Vous voici dans notre site « laboratoire » pour la démonstration RAJOUTER UNE PAGE.

API Présentation Comment ajouter des pages. Vous voici dans notre site « laboratoire » pour la démonstration RAJOUTER UNE PAGE.
Public Key Infrastructure

Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)

SSL (Secure Sockets Layer) (couche de sockets sécurisée)

Présentations similaires

Annonces Google