Enabling Grids for E-sciencE www.eu-egee.org Sécurité sur EGEE, indications utilisateurs Sophie Nicoud (CNRS/IGH, anciennement UREC) David Weissenbach.

Slides:



Advertisements
Présentations similaires
Projet RNRT ICare: Services évolués de signature
Advertisements

Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.
1 Bases de donn é es relationnelles. 2 Introduction au mod è le relationnel les donn é es sont repr é sent é es par des tables, sans pr é juger de la.
Certificats Globus et DataGrid France
La configuration Apache 2.2 Lhébergement virtuel.
Public Key Infrastructure
Notions de sécurité sur la grille
Ahmed Serhrouchni ENST’Paris CNRS
La sécurité dans les grilles
Authentification à 2 facteurs
Sujet à la mode Vrais services Le faire ou l’acheter : compréhension indispensable. Vers une PKI de l ’enseignement supérieur ?
EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
DU La gestion des clés publiques Université Paris II Michel de Rougemont Cryptographie PKI’s.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
1 Comment préparer un plan Document No. 2.1 Gestion des activités conjointes de lutte contre la tuberculose et le VIH: cours de formation pour responsables.
JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
Expérience du déploiement d’une Virtual Organisation (VO) locale Christophe DIARRA
INFSO-RI Enabling Grids for E-sciencE NA4 test Eric Fede on behalf of the team.
COMPTE RENDU DU PPE 3 Cyrille Matungulu 1. S OMMAIRE Présentation de la demande du client MFC Choix techniques pour le projet Securisa Etapes du Montage.
Création d’un site WEB 1 – Un site WEB c’est quoi ? 2 – Questions à se poser avant la construction d’un site WEB 3 – Principes de fonctionnement d’un site.
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,
Développement d’application avec base de données Semaine 3 : Modifications avec Entité Framework Automne 2015.
Formation à l’édition des blogs Destinée aux animateurs des collectifs Front de Gauche du Morbihan.
V- Identification des ordinateurs sur le réseau??? ? ? ? ?
Présentation du nouveau portail Eduthèque LPO Jean Baylet - Formation des enseignants – décembre 2013 Par Hélène Baussard, documentaliste & référent numérique.
Tutoriel n°4 : Administration Technique Formation : profil Administrateur.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Session “Site Administrator” Pierre Girard.
Un outil de communication : la liste de diffusion Mis à jour en juillet 2008 Anne Maincent-Bourdalé CRDoc IUT Paul Sabatier.
INTRANET.SANTEFRANCAIS.CA ANTOINE DÉSILETS Coordonnateur au réseautage et Agent de communication Formation sur l’utilisation de l’Intranet 1.
Module S42 Chapitre 1  Présentation de l'administration des comptes et des ressources.
Les méthodes de tests Les grands principes pour réaliser des tests efficaces.
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Lyon,
Du panier à la commande client Créer un panier Identification Validation de la commande Paiement Formulaire de création de compte Etats de la commande.
Catalogues de fichiers de données. David Bouvet2 Problématique Possibilité de répliquer les fichiers sur divers SE  nécessité d’un catalogue de fichiers.
Sample Image Comment utiliser la grille ? 3ème rencontre EGEODE des utilisateurs de Geocluster et des Sciences de la Terre sur la grille EGEE à Villefranche-sur-Mer.
Réunion EGEE France 11/6/2004Page 1Rolf Rumler Structure de l’exploitation d’EGEE.
Biennale du LPNHE 2011, 20/09/ Le projet GRIF-UPMC : évolution et utilisation Liliana Martin Victor Mendoza Frédéric Derue
 Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion.
Signature électronique et travail collaboratif 7 juin 2006.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
PRESENTATION CHAMBERSIGN FRANCE Sommaire 1/ Qui est ChamberSign France ? 2/ Qu’est-ce qu’une autorité de certification ? 3/ Le certificat électronique.
EGEE is a project funded by the European Union under contract INFSO-RI Copyright (c) Members of the EGEE Collaboration Infrastructure Overview.
TRESORERIE Cash Call Envoi de fonds Comptabilisation (Formation des comptables/projets) 1.
Resource allocation: what can we learn from HPC? 20 janvier 2011 Vincent Breton Crédit: Catherine Le Louarn.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Pierre Girard (CCIN2P3)
Mercredi 22 juin 2016 Suivi des jobs grille Colloque LCG France Mars 2007.
FORMATIONENT/SVT Saint Orens Vendredi 15 novembre 2013.
CNRS GRID-FR CA Sophie Nicoud
Tier 2 au LAPP. Plan Historique Objectifs Infrastructures Status/métriques Avenir Conclusion.
Toute représentation ou reproduction intégrale, ou partielle faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause est illicite"
EGEE induction course, 22/03/2005 INFSO-RI Enabling Grids for E-sciencE Infrastructure Overview Pierre Girard French ROC deputy.
Université Ferhat Abbas –Sétif 1 Centre des Systèmes et Réseaux d’Information Et de Communication, de Télé-enseignement et D’Enseignement à Distance Rapport.
INFSO-RI Enabling Grids for E-sciencE Adaptation de GRIDSITE à WEBDAV Cédric Duprilot CNRS/IN2P3/LAL.
Les Systèmes de Paiements Électroniques. Les Systèmes de paiements Électroniques Moyens de paiements « traditionnels » Nécessite double coïncidence des.
Colloque LCG France14-15 mars SURVEILLANCE ET GESTION D’INCIDENTS Cécile Barbier (LAPP)
Chapitre 5 Administration des accès aux objets dans les unités d'organisation Module S42.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Sophie Nicoud (CNRS/UREC)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Monitoring dans EGEE Frederic Schaer ( Judit.
CREAM & ICE Réunion SA1-France 11 mars 2008
CNRS GRID-FR CA Sophie Nicoud
Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
Modèle de sécurité David Bouvet, David Weissenbach
FARAH.Z "Cours sécurité1" /2016
Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
Exercices Sécurité Tutorial LAPP Annecy 26 septembre 2007
Transcription de la présentation:

Enabling Grids for E-sciencE Sécurité sur EGEE, indications utilisateurs Sophie Nicoud (CNRS/IGH, anciennement UREC) David Weissenbach (CNRS/IPGP) Alice de Bignicourt (CNRS/UREC) Formation EGEE utilisateur CC IN2P3

Plan Que faut-il pour travailler sur la Grille de Calcul EGEE ? La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI) Authentification  Les certificats électroniques  Les fédérations d’Autorités de Certification Autorisation  Les Organisations Virtuelles  Mécanismes et architectures Les proxys  Les proxys de courte durée  Les proxys de longue durée

Que faut-il pour travailler sur la Grille de Calcul ? Un utilisateur pour accéder à EGEE doit posséder :  Un certificat électronique personnel  Une entrée dans une Organisation Virtuelle (VO ou VOMS)  Un compte sur une Interface Utilisateur (UI) ou sur un Service Web (portail)

Authentification/Autorisation Authentification=> Certificat électronique X509 (CA)  Qui est qui ? Autorisation=> Organisation Virtuelle (VO ou VOMS)  Qui a le droit ? Accès au GRID=> Interface Utilisateur ou Service Web (UI) Audit sécurité  QUI fait QUOI et QUAND ? Comptabilité (facturation?)  COMBIEN de ressources consomme Mr ou Mme X ou la VO Y ?

Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Implémente :  Single sign-on: le mot de passe n’est donné qu’une seule fois  Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations  Authentification mutuelle: le destinataire et l’émetteur s’authentifient

GSI ii Introduction des certificats proxy  Certificat à durée de vie courte, contenant sa clé privée, signé avec le certificat de l’utilisateur  Un Proxy peut se déplacer sur le réseau

Qu’est qu’un certificat électronique X509v3 ? Repose sur l’utilisation de la cryptographie asymétrique (RSA) et l’accréditation par un tiers de confiance, l’Autorité de Certification (CA) Un certificat X509v3 peut être issu pour  Une personne physique (certificat personnel)  Une machine (certificat hôte) / un programme (certificat de service) C’est un couple de clés indissociables  Les clés sont générées ensembles  Impossibilité de retrouver une clé à partir l’autre Le certificat a une période de validité La clé publique  Signée par l’Autorité de Certification après vérification de l’identité du destinataire  Publiée sur le réseau via le service de publication de la CA  Dans le langage courant, elle est appelée certificat La clé privée ( la prunelle de vos yeux)  Conservée par le navigateur de l'utilisateur et dans son home sur l'UI  Chiffrée et protégée par un mot de passe

Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique):  Le sujet ou DN du certificat  Le numéro de série du certificat  La période de validité du certificat  le DN de l’Autorité de Certification émettrice  La clé RSA publique  Des extensions X509v3 Les utilisations autorisées du certificat, adresse mail,...  La signature de la CA émettrice Pour vérifier la validité d'un certificat, il faut toujours avoir :  La Liste des Certificats Révoqués (CRL) émise par la CA  Le certificat (auto-signé) de la CA émettrice

Certificat X509v3 (2) Les certificats sont conservés dans des FICHIERS. Il existe plusieurs formats de représentation des certificats  PKCS12 (format navigateur web) Extensions.p12 ou.pfx La clé privée et la clé publique sont dans un même fichier Le fichier est chiffré et protégé par un mot de passe La plupart des CA délivrent les certificats personnels dans ce format  PEM (format « grille ») Extensions.pem ou.crt et.key La clé privée et la clé publique sont dans 2 fichiers distincts Le fichier contenant la clé privée est chiffré et protégé par un mot de passe

Un certificat X509v3 (1) # openssl x509 -text -noout -in usercert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 656 (0x290) Signature Algorithm: sha1WithRSAEncryption Issuer: C=FR, O=CNRS, CN=GRID2-FR Validity Not Before: Feb 8 10:04: GMT Not After : Feb 8 10:04: GMT Subject: O=GRID2-FR, C=FR, O=CNRS, OU=UREC, CN=Sophie Nicoud Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b9:8d:52:15:ee:80:d8:8f:3c:a7:1f:fb:59:6d: Numéro de série CA émettrice Période de validité Sujet (DN) Clé publique

Un certificat X509v3 (2) X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE Netscape Cert Type: SSL Client, S/MIME, Object Signing X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement X509v3 Certificate Policies: Policy: X509v3 Subject Alternative Name: X509v3 CRL Distribution Points: URI: : unicoreClient Signature Algorithm: sha1WithRSAEncryption 7a:ea:e5:96:d6:cb:2f:2e:a6:9c:1d:06:55:8a:af:2a:7a:1c: Extensions X509v3  Autorisations d’utilisation Extensions X509v3  Version CP/CPS de la CA   CRL Signature de la CA

La signature Hash code clé publique utilisateur Empreinte Clé privée de la CA Signature d’un certificat par la CA émettrice Empreinte chiffrée = SIGNATURE £$ clé publique + infos + signature de la CA £$ Certificat £$

Vérification d’un certificat clé publique + infos + signature de la CA £$ Certificat £$ Empreinte A Hash code Clé publique de la CA Empreinte B Egalité ? £$ clé publique + infos + signature de la CA £$ Pério de de validit é ? Inclus dans CRL ? CRL £$ clé publique + infos + signature de la CA £$

openssl Convertir un certificat du format PKCS12 au format PEM  Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem  Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique  Format PEM # openssl x509 -text -noout -in usercert.pem  Format PKCS12 # openssl pkcs12 -info -in cert.p12

Les Autorités de Certification Problématique :  Une seule CA par projet => Pas gérable, peu sûr  Une CA par partenaire => Problème de mise à l’échelle, peu sûr Solution :  Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays  Catch-All CAs (Pays sans CA nationales) Politique de gestion des autorités : GRID PMA  PMA: Policy Management Authority  Etablir des obligations minimales pour les CA  Accréditer les CA, auditionner les CA

Organisation des PMA IGTF, International Grid Trust Federation  Coordonne les PMA  Création de règles et chartes inter-PMA EUGridPMA  Le pionnier, fondateur de l’IGTF et de ses règles et chartes  Couvre le continent Européen mais élargi sur les pays dont le PMA n'est pas opérationnel TAGPMA  Amériques Sud et Nord  3 CA en Amérique du nord, Plusieurs en cours d’accréditation sur l’Amérique du Sud APGridPMA  Asie et Pacifique  10 CA, Autralie, Japon, Chine, Taiwan, Corée

Enabling Grids for E-sciencE EGEE-II INFSO-RI Contexte géographique TAGPMAEuGridPMA APGridPMA IGTF ???

EUGridPMA European Policy Management Authority for Grid Authentication Entité responsable d’établir les obligations et les bonnes pratiques pour les CA délivrant des certificats pour l’authentification sur les GRID. Son rôle est de créer un domaine de confiance inter-organisation pour permettre l’authentification des personnes et des ressources distribuées. Membres : représentant(s) de chaque CA accréditées, représentant(s) des projets utilisateurs Actions (réunions tri-annuelles):  Etablir les obligations minimales des CA  Accréditation des CA : Vérification que les CP/CPS soient en accord avec les obligations minimales demandées, entretien avec représentant(s) des CA Etablissement d’une charte EUGridPMA is a body to establish requirements and best practices for grid identity providers to enable a common trust domain applicable to authentication of end-entities in inter-organisational access to distributed resources

Obligations minimales CRL  Emettre une CRL dès qu’un certificat est révoqué  Validité max un mois, ré-émission 7 jours avant expiration Machine CA  Dédiée, off-line  Protection des clés (clés utilisateurs non conservées) Espace de nommage des sujets de certificats UNIQUE Architecture de la PKI  Une CA par pays ou groupe de pays  Une CA dédiée aux projets de Grille de Calcul... : Obligations minimales : Définition du groupe

GRID2-FR. Pourquoi ? Sous-CA du CNRS :  Dédiée aux projets de GRID Computing dans lesquels le CNRS ou des instituts Français sont impliqués EGEE, LCG, DEISA, Grid 5000, EELA, ILDG, E-Sciences, Integrative Biology, …  Délivre des certificats personnels, de services et serveurs aux : Instituts publics et organismes privés Français Instituts publics et organismes privés étrangers, non HEP, ne disposant pas d’une CA accréditée GRID. Répondre aux obligations de EUGridPMA CNRS-Standard CNRS-Plus CNRS-Projets CNRS GRID - FR SSI Partenaires-CNRS

GRID2-FR. Spécificités Spécificités par rapport aux autres sous-CA du CNRS :  Sujet des certificats distinctif et unique  Possibilité d’avoir des sujets de certificat service : /O=GRID2-FR/C=FR/O=CNRS/OU=UREC/CN=ldap/monserveur  Certificats émis à d’autres instituts que le CNRS, d’autres pays,...  Extensions X509v3 spécifiques aux GRIDs  Algorithme de signature de la CA GRID2-FR : SHA1  CRL Générée chaque nuit Valide 1 mois Serveur spécifique pour le téléchargement : crls.services.cnrs.fr  Traduction en Anglais des pages, des formulaires et des s Bref, GRID2-FR suit les obligations de EUGridPMA

GRID2-FR. Organisation Seulement deux Autorités d'Enregistrement peuvent valider les demandes de création (via un site dédié) et de révocation de certificat Dans chaque unité : un représentant local  Contacté par signé à chaque demande de certificat personnel  Chargé de vérifier l’identité du demandeur et le bien fondé de sa demande Enregistrement de nouvelle organisation ou unité dans la CA  Evaluation de la demande Pertinence (projet de GRID, France ou pays sans CA, …) Choix d’un représentant local responsable  Etablissement d’un contrat avec le représentant local

Enabling Grids for E-sciencE EGEE-II INFSO-RI Obtenir un certificat GRID2-FR Requestor –Generates:  private key  public key –Send public key RA (Registration Authority = GRID2-FR manager) to verify & valid Public key is signed and certificate issued

Autorisation Organisations Virtuelles (VO)  Ensemble d’individus ayant des buts communs  Utilisateurs  Ressources A set of individuals or organisations, not under single hierarchical control, (temporarily) joining forces to solve a particular problem at hand, bringing to the collaboration a subset of their resources, sharing those at their discretion and each under their own conditions.

Organisations Virtuelles (1) Les utilisateurs sont regroupés par domaine scientifique, laboratoire, région ou projet  Discipline : biomed, alice, lhcb, esr, planck, magic, vo.astro.eu-egee.org,...  Laboratoires, régions : vo.lal.in2p3.fr, vo.grif.fr, seegrid, voce...  Projets : embrace, infngrid, GridPP, auvergrid,...  Autre : dteam, ops Un administrateur (ou plus) par Organisation Virtuelle  C’est le gestionnaire des utilisateurs de sa VO Base d'acceptation par les sites de la Grille Des droits spécifiques peuvent être données au niveau de chaque site par l’administrateur de celui-ci.  Interdire l’accès à un groupe d’utilisateurs en fonction de leur sujet de certificat VO

Les VOMS (1) Les VOMS  La base de données de la VOMS contient l’ensemble des membres avec leur niveau d’autorisation (groupes, rôles, capacités)  Un utilisateur peut avoir plusieurs niveaux d’autorisation dans chaque VOMS, faire partie de plusieurs VOMS  Les groupes, rôles et droits sont inclus dans le proxy de l’utilisateur lorsque celui s’authentifie avec : voms-proxy-init - -voms  Les autorisations sont exprimées par FQAN* et placées dans les attributs du proxy généré /Role=[ ][/Capability= ] *FQAN : Fully Qualified Attributes Name

Les VOMS (2) Les groupes  Les groupes sont hiérarchiques, profondeur non limitée  Permet de moduler les droits des membres de la VOMS en fonction de leur groupe  Le groupe par défaut est / Les rôles  Software manager, VO-Administrator, Production, …  Les rôles ne sont pas hiérarchiques : il n’existe pas de sous-rôle  Les rôles doivent être explicitement spécifiés lors de la création du proxy Les attributs du proxy sont analysés par chaque site accédés grâce à LCAS et LCMAPS

Les VOMS (3) LCAS Vérifie si l’utilisateur est autorisé ou interdit sur ce site LCMAPS Fait correspondre le sujet de certificat en fonction des attributs du proxy à un compte utilisateur local au site (UID/GID) Les fichier d’autorisations gridmapfile, sur chaque site font correspondre à chaque VOMS/group/rôle un pool de compte ou un compte générique Les DPM et LFC utilisent un autre mécanisme (virtual IDs) aux effets similaires "/VO=dteam/GROUP=/dteam".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL/CAPABILITY=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin" dtes "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin/CAPABILITY=NULL" dtes "/VO=dteam/GROUP=/dteam/ROLE=production" dtep "/VO=dteam/GROUP=/dteam/ROLE=production/CAPABILITY=NULL" dtep

Architecture avec les VOMS VOMS Service Authentification mutuelle et autorisation VOMS CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) voms-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max) Délégation de cert. (24 h max) Autorisation = Cert. LCAS LCMAPS Cert. VOMS

Proxy de courte durée - VOMS Créer un proxy  voms-proxy-init - -voms Créer un proxy en spécifiant un groupe  voms-proxy-init \– -voms :/group/subgroup Créer un proxy en spécifiant un rôle  voms-proxy-init –-voms \ :[/group]/role=production Obtenir des informations sur un proxy  voms-proxy-info -all Détruire un proxy  voms-proxy-destroy

Proxy de longue durée (1) Un proxy a une vie limitée (défaut à 12 h)  C’est une mauvaise idée de générer un proxy de longue durée de vie (option --valid HH:MM ) Cependant, un job peut avoir besoin d'autorisations plus longues Le service myproxy permet de créer des autorisatons de longue durée Les proxys créés sont conservés par myproxy le middleqare effectue le renouvellement des proxys UI MyProxy WMS myproxy- init myproxy-get-delegation CE renew job-submit

Proxy de longue durée (2) Pour l’instant, MyProxy ne tient pas compte des extensions VOMS La prise en compte des rôles et groupes a été annoncée à EGEE’06 Stocker un proxy dans la base du serveur MyProxy  myproxy-init Obtenir des informations sur un proxy stocké  myproxy-info -v Récupérer un proxy stocké  myproxy-get-delegation Détruire un proxy stocké  myproxy-destroy

Liens GSI: Autorités de Certification   VOMS   MyProxy  gLite security infrastructure 

Enabling Grids for E-sciencE EGEE-II INFSO-RI Grid resources (A) Grid resources (B) Grids – Conventional grid security Certification Authority (CA) Bob Cert request User Interface (UI) Bob´s Grid certificate Sysadmin A : - Create user “grid1“ - Map Bob´s certificate to “grid01“ Sysadmin B : - Create user “user001“ - Map Bob´s certificate to “user001“ - Single sign-on - Delegation through proxy certificate - Manual user “mapping“ - No info about VOs grid-proxy-init

Enabling Grids for E-sciencE EGEE-II INFSO-RI Grid resources (A) Grid resources (B) gLite – Enhanced security Certification Authority (CA) Bob Cert request User Interface (UI) Bob´s Grid certificate VO Database VOMS VO Mngr VO membership request VO Account Pool VO Account Pool Automatic mapping for Bob Automatic mapping for Bob voms-proxy-init