Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings.

Slides:



Advertisements
Présentations similaires
Projet RNRT ICare: Services évolués de signature
Advertisements

Karima Boudaoud, Charles McCathieNevile
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
Tomcat et son fonctionnement XML
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
A Security Architecture for Computational Grids Fait par : Ian Foster, Carl Kesselman Gene Tsudik, Steven Tuecke Mathematics and Computer Science Argonne.
Xavier Blanc Web Services Xavier Blanc
THALES - Service Techniques et Architectures Informatiques - 9 Mars 2001 Colloque 2001 Infrastructure de Confiance sur des Architectures de Réseaux -Internet.
Virtualisation dorchestration de services TER Master 1 Infomatique 4 Avril 2008 Encadrant : Philippe Collet.
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
Conception de la sécurité pour un réseau Microsoft
Laboratoire d'InfoRmatique en Image et Systèmes d'information LIRIS UMR 5205 CNRS/INSA de Lyon/Université Claude Bernard Lyon 1/Université Lumière Lyon.
Vue d'ensemble Implémentation de la sécurité IPSec
MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
NFE 107 : Urbanisation et architecture des systèmes d'information
Configuration de Windows Server 2008 Active Directory
D9CW2 Dispositifs et gestion Meheust Willy
Plateforme de gestion de données de capteurs
Public Key Infrastructure
Une approche pour un espace de confiance des collectivités locales.
Archimède : dépôt institutionnel de la Bibliothèque de lUniversité Laval Par Rida Benjelloun Chef de la section recherche.
Plateforme de Calcul pour les Sciences du Vivant Le Système dInformation de gLite.
La sécurité dans les grilles
Développement d’application web
Clients riches RIA (Rich Internet Application) / RDA
Constitution des bases de données. n Partenaires u Creatis u Liris/Systèmes dinformation communicants n Lot de travail situé entre le lot Applications.
1 RAGTIME Middleware Gestion des accès aux données RAGTIME Middleware Gestion des accès aux données Jean-Louis Roch (ID-IMAG) Participants: – IF-INSA Lyon:
Module 3 : Création d'un domaine Windows 2000
Java Authentication And Authorization Service API
Vers un développement ouvert Alexandre Poitras – Développeur indépendant WebÉducation – 24 janvier 2008.
Adaptée du cours de Richard Grin
J2EE vs .NET Réaliser par : SEIF ENNACER BADRA && CHETOUI RIM.
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
1 La RTI 1.3NG du DoD et les systèmes supports Patrice Torguet IRIT.
Java Enterprise Edition, anciennement J2EE
Content Management System CMS. Pourquoi ? Obligation de ressaisir des contenus publiés à plusieurs endroits Pas d’outils de gestion de qualité de l’information.
La sécurité dans les réseaux mobiles Ad hoc
Plan Définitions et exemples Composants de cluster
INSA Lyon - 19/01/2005 Experience with the KeyNote Trust Management System: Applications and Future Directions Matt Blaze (1), John Ioannidis (1), and.
Modèles et protocoles de cohérence des données en environnement volatil Grid Data Service IRISA (Rennes), LIP (Lyon) et LIP6 (Paris) Loïc Cudennec Superviseurs.
Le contenu est basé aux transparents du 7 ème édition de «Software Engineering» de Ian Sommerville«Software Engineering» de Ian Sommerville B.Shishedjiev.
EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
CAPRI 9 juin 2011 Cloud Académique Production Recherche Innovation Comité de Pilotage France-Grilles.
1Auteur : Oleg LODYGENSKY XtremWeb-HEP Atelier Opérations France Grille Lyon – Villeurbanne 13 et 14 octobre.
Mise en place des programmes CCT: certains défis majeurs Ferdinando Regalia Head of Social Policy & Economics UNICEF, South Africa Results Based Financing.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Contact Sécurité du ROC français R. Rumler.
© WYNIWYG / Communication, reproduction interdite sauf autorisation.
Module 3 : Création d'un domaine Windows 2000
La technologie Shibboleth
Un service de partage de données pour DIET : GDS basé sur JuxMem Mathieu Jan Projet PARIS Lyon, 5 décembre 2003.
L’enseignement de spécialité SLAM
Module 1 : Vue d'ensemble de Microsoft SQL Server
Axe SSTA – Equipe SIERA - Mai Axe « Systèmes SocioTechniques Ambiants » Thierry DESPRATS, Romain LABORDE Mai 2009.
1 Journee gdr COSMAL 27/01/2009 Exécution Distribuée et Agile de Compositions de Services Françoise Baude & Virginie Legrand
21/02/2003DEA DISIC 1 Grid Computing Programming the grid: Distributed Software Components, P2P and Grid Web Services for Scientific Applications Tarak.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
OPEN SERVICES GATEWAY INITIATIVE (OSGi) SEMINAIRE DE MASTER THIERRY MENOUD.
Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
PRÉSENTATION AGL LES TESTS LOGICIELS LES TEST LOGICIELS 1 Mickael BETTINELLI Brandon OZIOL Gaétan PHILIPPE Simon LUAIRE.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Retour d'expérience de l'utilisation du cloud comme infrastructure de service Guillaume PHILIPPON.
Jenkins, votre serviteur C. Loomis (CNRS/LAL) Journée LoOPS 11 décembre 2012.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
EGEE is a project funded by the European Union under contract INFSO-RI Copyright (c) Members of the EGEE Collaboration Infrastructure Overview.
Transcription de la présentation:

Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings of the 3rd Int. Workshop on Grid Computing - Grid 2002 Rapporté par Julien Gossa DEA DISIC – INSA Lyon

Généralités sur les Grills Le Calcul sur Grille – Partage coordonnées de ressources – Organisations virtuelles dynamiques et multi institutionnelles Globus – Ensemble de services et protocoles open source – GRAM : accès aux ressources – GSI : gestion de la sécurité

Sécurité sur Grille - Besoins Single Sign-on Protection des accréditations Accréditation et certifications uniformes (masquage des politiques locales) Multi-plateformes Support pour collaborations sécurisées à différentes échelles – Grosses communautés stables – Petites communauté ad-hoc

Motivations Majorité de petites communautés – 60% ont moins de 25 membres Besoin de support pour collaborations ad-hoc éphémères La charge administratives des ressources limites beaucoup de scénarii La plupart des systèmes – ne supporte pas une granularité fine des droits – ne respecte pas le concept de least privilege – Use d’impersonnification

Scénario actuel BobJoan 1.Demande permission temporaire Ressource Admin 6.Accés au service 2.Renvoie de requête 4.Confirmation 5.Notification de création 3.Création des droits 7. Révocation

Scénario Idéal BobJoan Ressource 3.Accès au service 1.Demande permission temporaire 2.Notification de création Les utilisateurs ont besoin d’outil pour créer eux même des droits d’accès pour leur collaborateurs

Le problème Besoin de droits d’accès à granularité fine Besoin de mécanismes – utilisateur à utilisateur – utilisateur à admin Les OS standards sont trop limités Il faut supporter les applications actuelles Il faut être portable (et sécurisé)

Solution : la Gestion de privilège Les entités gèrent leurs ressources Séparation de l’accréditation des privilèges et l’accréditation des identités Directement dans le middleware Basé sur X509v2 Attribute Certificate L’émetteur du privilège signe l’AC. Puis avec le certificat d’identité de ce dernier, la ressource peut vérifier si la délégation est valide.

Solution : la Gestion de privilège Bénéfices – Réduit la charge administrative – Permet l’utilisation sélective et la délégation – Évite les problèmes inhérents à l’impersonnification – Permet la combinaison de privilèges – Bonne intégration dans une PKI, encodage ASN.1 efficace

Solution : la mise en application 3 Stratégies – Correspondance d’accréditation – Mode d’autorisation mixte – Combinaison complète d’accréditation Basé sur la norme POSIX.1E – Extension des droits d’accès standards des OS – Intégration d’ACLs dans les SGF – Configuré dynamiquement

Solution : la mise en application Bénéfices – Least privilege basés sur droits individuels – Evite les contraintes de base des OS – Permet le partage sélectif – Pas besoin de confiance dans le code – Supporte les anciennes applications – Hautes performances – Fonctionne sur de nombreuses distrib Unix

Architecture CA Bob Joan contrôle d‘accès flexible Via politique de sécurité Ressources Admin Authentification mutuelle Et Accréditation délégation de priviléges fins utilisateur à utilisateur délégation de priviléges fin admin à utilisateur

Implémentation Basé sur Symphony – component-based Framework – pour créer, partager, composer et exécuter des applis – JAVA ( CoG Kit:Globus/GSI et RMI ) + C (POSIX) – Gros GUI

Discussion et Travaux Futurs Viable pour des collaborations spontanées – Petites, non structurées et éphémères Doit être intégré à GSI et au Globus Toolkit Portabilité foireuse de POSIX.1E (spéc. incomplètes) Fréquence des créations/révocations – problèmes avec des accès concurrents Limites de leur langage de spécification de politique de sécurité (comme X509) – XACML inutilisable par utilisateurs finaux Passage à l’échelle avec LDAP

Humble avis Ca marche! (c’est déjà ça!) Article un peu verbeux, mais bon recul et critique honnête (a priori) Validation par maquettage – Problème de passage à l’échelle – Problème des révocations (serveur central) Demande des utilisateurs : certes! – Un certain danger… la GridToolBar et GridZaa – Séparation en deux écoles?

La suite - PRIMA PRIvilege Management and Authorization – GSI Authorization Callout Interface Implementation – PRIMA Privilege Creator Software – PRIMA Policy Manager – X.509 Attribute Certificate Support for OpenSSL – Hardware-secured Online Credential Repository – 4th ACM/IEEE Int. Symposium on Cluster Computing and the Grid (CCGrid 2004), April 14-19, 2004, Chicago, Ilinois