04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation: Batouma Narkoy Matière: GRILLES DE DONNEES
04/06/2015BATOUMA Narkoy2 PLAN DE L’EXPOSE Introduction Solution existante Solution proposée –Objectif –Fonctionnement –Comparaison avec la solution existante Conclusion
04/06/2015BATOUMA Narkoy3 Introduction(1) Grille: relie les organisations et les entités(users et ressources) hétérogènes géographiquement dispersées Une grille offre un accès transparent aux ressources L’utilisation des standards est un point particulièrement critique pour la réussite de la mise en place d’une infrastructure de la grille, pour faire face aux problèmes d’hétérocentrique du matériel et des logiciels.
04/06/2015BATOUMA Narkoy4 Introduction(2) La norme OGSI a donné lieu récemment à une implémentation de cette infrastructure Le problème de la sécurité est commun a toutes les grilles chaque ordinateur de la grille a sa propre politique d’accès et son administrateur Le besoin d’un mécanisme permettant à la grille de gérer elle-même la sécurité
04/06/2015BATOUMA Narkoy5 Besoins Une solution se basant sur les nouvelles normes standards(protocoles, API,..) Besoins classiques –Authentification mutuelle –Contrôle d’accès locale –Confidentialité, intégrité, authenticité des messages Besoins spécifiques –Single Sign-On: SSO –Délégation de droits
04/06/2015BATOUMA Narkoy6 Infrastructure de sécurité(GSI) Grid Security Infrastructure (GSI) est un ensemble de protocoles, de librairies,et outils permettant aux applications d’accéder de manière sécurisée aux ressources de la grille. Utilise l’Infrastructure PKI: distribution des certificats X.509 utilisation du protocole SSL :Confidentialité, intégrité, authenticité Réseau de « proxy »
04/06/2015BATOUMA Narkoy7 Solution existante: MyProxy Utilise l’infrastructure GSI Dépôt de lettres de créance pour la grille, fortement sécurisé permettant de rechercher facilement les qualifications Évite la gestion manuelle des certificats et des clés privées:stockage de la clé privée dans un endroit sécurisé Délégation des privilèges au portail de grille Politique d’accès flexible Mécanisme de renouvellement pour la poursuite des traitements
04/06/2015BATOUMA Narkoy8 Solution Proposée An OGSI CredentialManager Service (Un service OGSI pour le GT3)
04/06/2015BATOUMA Narkoy9 objectifs Permettre de stocker des credentials pour des besoins ultérieurs via un service Le stockage et le retrait des credentials se fera via le protocole de délégation comme pour MyProxy Le service doit suivre le modèle d’OGSI. Le service bénéficiera des services du conteneur Globus ToolKit 3.0 En résumé faisant la même chose que MyProxy mais autrement.
04/06/2015BATOUMA Narkoy10 Fonctionnement(1) Le client invoque une fabrique CredentialManagerFactory qui crée une instance CredentialManager Le client délègue son identité a l’instance L’identité est stockée comme propriété persistante du service crée Un nom symbolique est associé a l’instance évitant de gérer les GSH(URI) Un fichier service Data contient l’état du service
04/06/2015BATOUMA Narkoy11 Fonctionnement(2) Politique d’accès dans un fichier de configuration de l’environnement hôte Seul autorisés à gérer les identités les utilisateurs qui fournissent la bonne « pass phrass » Mécanisme de renouvellement de délai pour le « credential » pour les jobs dont la durée de vie tend à s’expirer Création d’une nouvelle instance associé aux jobs de l’utilisateur
04/06/2015BATOUMA Narkoy12 Comparaison MyProxy Utilise un dépôt destruction du proxy du dépôt Retrait du proxy par nom et pass phrass Accepted_credentials Autorized_retrievers politique d’autorisation par credential CredentialManager Service persistant Destruction du service Localisation par IndexService Balise XML dans un fichier Non fourni
04/06/2015BATOUMA Narkoy13 Conclusion Apports –Solution peu onéreuse, respectant le standard OGSI –Service développé pour le Globus ToolKit 3.0 Perspectives –Investigation pour WS-Ressource Framwork(WSRF) –Utilisation des technologies Microsoft WSRF.NET Critiques –Solution souple, peu de lignes de code –Politique d’accès non individuelle sur les credentials –Peu de problèmes nouveaux –Surveillance du système –A quand la fin des standards?
04/06/2015BATOUMA Narkoy14 Fin MERCI DE VOTRE ATTENTION QUESTIONS?