INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Système(s) de sécurité La grille est un système largement distribué : –Plus de 5000 utilisateurs –Environ 250 sites dans le monde Pour fonctionner, la confiance doit régner entre : –Les administrateurs des systèmes –Les utilisateurs –Les administrateurs et les utilisateurs Le système de sécurité doit engendrer la confiance nécessaire pour faire marcher une grille.
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Fonctionnalités Essentielles Authentification –Qui est qui ? Autorisation –Qui a le droit ? Audit sécurité –Qui fait quoi et quand ? Comptabilité –Combien de ressources sont utilisées par un utilisateur ?
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Contraintes Evolutif : –Les personnes ne peuvent pas connaître toutes les autres –Taux de performance acceptable –Permet l'accès entre personnes de différents pays Utilisation « simple » : –Si non, les gens ne l’utilisent pas –Equilibre entre sécurité et utilisation simple –Permet une délégation des droits
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Grid Security Infrastructure (GSI) Un standard pour les logiciels de grille de calcul –Conçu par le projet Globus aux E.U. –Utilisé par (presque) toutes les grandes grilles Basé sur « Public Key Infrastructure » –Chaque entité a une clé publique et une clé privée –Format : X509v3 Mis en place : –Unique sign-on : le mot de passe n’est donné qu’une seule fois –Délégation : un service peut être utilisé au nom d’une autre personne càd autoriser une autre entité à utiliser son authentification et ses autorisations –Authentification mutuelle : le destinataire et l’émetteur s’authentifient
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Passeport Grille Un certificat X509v3 peut être issu pour –Une personne physique (certificat personnel) –Une machine (certificat de hôte) –Un programme (certificat de service) La clé publique (certificat) –Signée après vérification de l'identité du destinataire –Publiée sur le réseau La clé privée –Conservée sur le poste de l’utilisateur ou sur la machine –Chiffrée et protégée par un mot de passe Un certificat n’est qu’une pièce d’identité !
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Signée par Qui ? Réseau des Autorités de Certification (CA) –Doit vérifier l’entité avant de signer un certificat –Un par pays ou groupe de pays (~35) –Etablit des relations de confiance entre chaque CA –Coordonne les activités au niveau de chaque pays Policy Management Authority (PMA) –Etablit des obligations minimales pour les CA –Accrédite et auditionne les CA –International Grid Trust Federation ( –EUGridPMA ( –…
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Certificats Informations importantes contenues : –Le sujet ou DN du certificat (username dans la grille) –La période de validité du certificat (environ une année) –Des extensions X509v3 §Les utilisations autorisées du certificat §L’ Formats différents –PKCS12 (browser): un seul fichier, contient deux clés –PEM (grille): deux fichiers Pour la France, seuls les certificats de la CA « GRID- FR » marchent sur la grille.
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Organisations Virtuelles Organisations Virtuelles (VOs) –Ensemble d’individus ayant des buts communs –Ressources accessibles pour ses utilisateurs Les utilisateurs sont regroupés par : –Expériences : biomed, alice, atlas, esr, … –Laboratoires : vo.lal.in2p3.fr, vo.u-psud.fr, cppm, … –Projets : embrace, gridpp, auvergrid, … –Autres : dteam, ops, … Trouvez les VOs enregistrées dans le portail CIC: –
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Autorisation Un administrateur par VO : –Décide qui peut être un membre de cette VO –Repartit les membres dans des groupes et sous-groupes –Définit les « rôles » de ses membres –Décide qui peut accéder et à quelles ressources dans la grille suivant les groupes et les rôles dans la VO. Un administrateur d’un site : –Décide quelles VOs le site va supporter –Met en place le contrôle d’accès défini par la VO Le service VOMS (VO Membership Service) permet aux administrateurs des VOs de gérer leurs membres.
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Délégation Les utilisateurs ne peuvent pas autoriser chaque transaction dans la grille : –Trop des jobs dans la grille –Les jobs ne sont pas localisés –Un job peut concerner plusieurs autres services Doit être possible de déléguer les droits d’accès aux jobs et aux services grilles : –On ne peut pas envoyer la clé privée du certificat –On peut envoyer un « proxy »
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI « Proxy » Nouveau certificat : –Signé par le certificat d’utilisateur –Période de validité beaucoup plus courte que le certificat d’utilisateur –Inclut (souvent) la liste de VOs, groupes, et rôles de l’utilisateur –Fichier envoyé avec un job qui donne les droits (limités) de l’utilisateur Proxy de courte durée (environ 24 heures) –voms-proxy-init, -info, -destroy Proxy de longue durée (environ 1 semaine) –myproxy-init, -info, -destroy, -get-delegation
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Autres Services Les services grilles génèrent un « log » des actions –Pour comprendre qui fait quoi et quand –Pour comprendre le fonctionnement du système Comptabilité –Base des données centralisée pour l’utilisation (par VO) § –Le middleware ne met pas encore en place des quotas.
Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI Récapitulatif EGEE utilise la « Grid Security Infrastructure » comme système de sécurité. Authentification –Réseau des CAs signent les certificats des entités –« passeport grille » pour les utilisateurs Autorisation –Gérée par les Organisations Virtuelles –Mise en place par les administrateurs des sites « Proxies » –Contiennent les VOs, groupes, et rôles de l’utilisateur –Permettent une délégation de droits aux services grilles et aux jobs