EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Utilisateurs CGG 9 Nov. 2006

EGEE Sécurité – CGG novembre Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI) Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

EGEE Sécurité – CGG novembre Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI)

EGEE Sécurité – CGG novembre Que faut-il pour travailler sur la Grille de Calcul ? Pour utiliser le GRID, un utilisateur doit posséder :  Un certificat électronique personnel  Une entrée dans une Organisation Virtuelle (VO ou VOMS)  Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique

EGEE Sécurité – CGG novembre Grid Security Infrastructure (GSI) Une couche du middleware qui implémente la sécurité Basé sur les certificats X509v3 et les PKI (Public Key Infrastructure) Implémente :  Single sign-on: le mot de passe n’est donné qu’une seule fois  Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations Introduction des certificats proxy  Certificat à durée de vie courte  Un Proxy peut se déplacer sur le réseau

EGEE Sécurité – CGG novembre Plan Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl

EGEE Sécurité – CGG novembre Qu’est ce qu’un certificat électronique X509v3 ? Algorithmes asymétriques Couple de clés(privée, publique) indissociables  Les clés sont générées ensembles  Impossibilité de retrouver une clé par rapport à l’autre  Durée de validité limitée Un certificat X509v3 peut être issu pour  Une personne physique (certificat personnel)  Une machine (certificat de hôte)  Un programme (certificat de service) La clé publique  Signée par la CA  Publiée sur le réseau via le service de publication de la CA  Dans le langage courant, elle est appelée certificat La clé privée  Conservée sur le poste de l’utilisateur ou sur la machine  Chiffrée et protégée par un mot de passe

EGEE Sécurité – CGG novembre Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique):  Le sujet  L’Autorité de Certification émettrice  La période de validité du certificat ... Plusieurs formats  PKCS12 : Un seul fichier.p12  PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir :  La Liste des Certificats Révoqués (CRL) émise par la CA  Le certificat de la CA émettrice

EGEE Sécurité – CGG novembre Les Autorités de Certification En pratique :  Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays  Catch-All CAs Pays sans CA nationales CA France  GRID-FR (CNRS/UREC)

EGEE Sécurité – CGG novembre openssl Convertir un certificat du format PKCS12 au format PEM  Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem  Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique  Format PEM # openssl x509 -text -noout -in usercert.pem  Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem

EGEE Sécurité – CGG novembre Plan Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

EGEE Sécurité – CGG novembre Certificat utilisateur (1) Faire une demande ici : 

EGEE Sécurité – CGG novembre Certificat utilisateur (2)

EGEE Sécurité – CGG novembre Certificat utilisateur (3)

EGEE Sécurité – CGG novembre Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande

EGEE Sécurité – CGG novembre Certificat utilisateur (5) Vous cliquez sur l’URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée.

EGEE Sécurité – CGG novembre Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l ’URL incluse dans le mail

EGEE Sécurité – CGG novembre Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options - Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter

EGEE Sécurité – CGG novembre Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer

EGEE Sécurité – CGG novembre Installation du certificat sur l’UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls –l chmod 400 userkey.pem chmod 444 usercert.pem

EGEE Sécurité – CGG novembre Utiliser votre certificat Manipulation de proxy  Créer un proxy de 12h # voms-proxy-init  Créer un proxy avec choix de durée de vie # voms-proxy-init -valid  Les information du proxy # voms-proxy-info  Détruire un proxy # voms-proxy-destroy Utiliser le proxy  Login ftp sur la grille # uberftp -H se1.egee.fr.cgg.com

EGEE Sécurité – CGG novembre Certificat machine (1) Faire une demande ici :  Saisissez : - le nom complet de la machine (FQN, cad avec le nom de domaine) - l’ de l’administrateur de la machine

EGEE Sécurité – CGG novembre Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers

EGEE Sécurité – CGG novembre Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem