Enabling Grids for E-sciencE www.eu-egee.org EGEE-III INFSO-RI-222667 Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.
Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
D/ Partage et permission NTFS
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité
Certificats Globus et DataGrid France
Grid Information Index Service D. Calvet, M. Huet, I. Mandjavidze DAPNIA/SEI CEA Saclay Gif-sur-Yvette Cedex.
La configuration Apache 2.2 Lhébergement virtuel.
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Une approche pour un espace de confiance des collectivités locales.
La sécurité dans les grilles
WINDOWS Les Versions Serveurs
Développement dapplications web Authentification, session.
SSO : Single Sign On.
Saisissez votre dossier certificatif Après avoir configuré vos courriel et Proxy : saisissez votre dossier certificatif Paramétrer Paramétrer la connexion.
Etude et mise en place d’un Serveur de messagerie Postfix
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
Le Traitement Informatique des Données Scientifiques Oleg LODYGENSKY Etienne URBAH LAL, Univ Paris-Sud, IN2P3/CNRS,
1Auteur : Oleg LODYGENSKY XtremWeb-HEP Atelier Opérations France Grille Lyon – Villeurbanne 13 et 14 octobre.
Résumé CHEP 2010 Distributed processing and analysis Grid and cloud middleware Thèmes : 1.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Contact Sécurité du ROC français R. Rumler.
Module 3 : Création d'un domaine Windows 2000
Quattor : Opérations Courantes - G. Philippon/M. Jouvin4-5/2/2009Quattor : Opérations Courantes - G. Philippon Opérations courantes.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Transition vers EGEE-III (et EGI?) Pierre.
Lcg-fr workshop: 14/12/2005 Thomas Kachelhoffer - CC1 Réflexion en cours sur le support. Objectif de la présentation: lancer une réflexion sur l’organisation.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks L’OAG R. Rumler, CC-IN2P3 (CNRS) EGEE’07,
ANNEE SCOLAIRE 2005 / FONCTIONNEMENT DU RESEAU DU COLLEGE Tous les ordinateurs du collèges, portables et fixes sont dans un réseau. Cela signifie.
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
■ Atteindre la base académique ■ Utiliser le site central pour trouver le site de l’établissement: ■ Accepter.
Site LMD-J2EE Présentation générale Sécurité Web.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Data management David Bouvet IN2P3-CC Clermont.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Hébergement d’une infrastructure de Cloud Expérience d’un laboratoire Guillaume Philippon.
INFSO-RI Enabling Grids for E-sciencE NA4 test Eric Fede on behalf of the team.
M2.22 Réseaux et Services sur réseaux
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Session “Site Administrator” Pierre Girard.
Rencontres LCG-France 01/12/2014. Agenda La Fédération Education-Recherche –Pourquoi, pour qui, comment ? L’inter-fédération eduGAIN Autres travaux et.
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Lyon,
Enabling Grids for E-sciencE Sécurité sur EGEE, indications utilisateurs Sophie Nicoud (CNRS/IGH, anciennement UREC) David Weissenbach.
KOSMOS 1 Outils transversaux Module 7 1.L’annuaire 2.La recherche d’informations 3.La réservation de ressources.
INFSO-RI Enabling Grids for E-sciencE Support MPI avec Torque/PBS C. Loomis (LAL-Orsay) EGEE-FR Conférence Téléphonique 7 Juin 2005.
Catalogues de fichiers de données. David Bouvet2 Problématique Possibilité de répliquer les fichiers sur divers SE  nécessité d’un catalogue de fichiers.
Réunion EGEE France 11/6/2004Page 1Rolf Rumler Structure de l’exploitation d’EGEE.
Grid au LAL Michel Jouvin LAL / IN2P3
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Soumission de jobs C. Loomis / M. Jouvin.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
EGEE is a project funded by the European Union under contract INFSO-RI Copyright (c) Members of the EGEE Collaboration Infrastructure Overview.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Pierre Girard (CCIN2P3)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks La région France dans la grille EGEE David.
CNRS GRID-FR CA Sophie Nicoud
EGEE induction course, 22/03/2005 INFSO-RI Enabling Grids for E-sciencE Infrastructure Overview Pierre Girard French ROC deputy.
INFSO-RI Enabling Grids for E-sciencE Adaptation de GRIDSITE à WEBDAV Cédric Duprilot CNRS/IN2P3/LAL.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Sophie Nicoud (CNRS/UREC)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Monitoring dans EGEE Frederic Schaer ( Judit.
INFSO-RI Enabling Grids for E-sciencE Data management Daniel Jouvenot IN2P3-LAL ORSAY - 02/02/2007.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Session “Site Administrator” Pierre Girard.
Transcription de la présentation:

Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR) 14 Avril 2009

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Agenda Les besoins et les contraintes Les différents composants Les certificats Les Virtual Organizations Les proxies

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Système(s) de sécurité La grille est un système largement distribué : –Plus de 5000 utilisateurs –Environ 250 sites dans le monde Pour fonctionner, la confiance doit régner entre : –Les administrateurs des systèmes –Les utilisateurs –Les administrateurs et les utilisateurs Le système de sécurité doit engendrer la confiance nécessaire pour faire marcher une grille.

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Fonctionnalités Essentielles Authentification –Qui est qui ? Autorisation –Qui a le droit ? Audit sécurité –Qui fait quoi et quand ? Comptabilité –Combien de ressources sont utilisées par un utilisateur ?

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Contraintes Evolutif : –Les personnes ne peuvent pas connaître toutes les autres –Performance doit être acceptable –Permettre l'accès de personnes de différents pays Utilisation « simple » : –Si non, les gens ne l’utilisent pas –Equilibre entre sécurité et utilisation simple –Permet une délégation des droits

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Grid Security Infrastructure (GSI) Un standard pour les logiciels de grille de calcul –Conçu par le projet Globus aux U.S.A. –Utilisé par (presque) toutes les grandes grilles Basé sur « Public Key Infrastructure » –Chaque entité a une clé publique et une clé privée –Format : X509v3 Principales fonctionnalités : –Single sign-on : le mot de passe n’est donné qu’une seule fois –Délégation : une personne (ou un service) peut autoriser un autre service à agir en son nom  Autorise une autre entité à utiliser son authentification et ses autorisations –Authentification mutuelle : le destinataire et l’émetteur s’authentifient

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Passeport Grille Un certificat X509v3 peut être émis pour –Une personne physique (certificat personnel) –Une machine (certificat de hôte) –Un programme (certificat de service)  Pas (encore) utilisé La clé publique (certificat) –Signée après vérification de l'identité du destinataire –Publiée sur le réseau La clé privée –Conservée sur le poste de l’utilisateur ou sur la machine –Chiffrée et protégée par un mot de passe Un certificat n’est qu’une pièce d’identité ! –Ne donne aucun droit en soi

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Signée par Qui ? Autorités de Certification (CA) –Doit vérifier l’entité avant de signer un certificat –Une par pays ou groupe de pays (~35) –Etablit des relations de confiance avec les autres CAs –Coordonne les activités au niveau de chaque pays –Pour la France, seuls les certificats de la CA « GRID-FR » sont acceptés sur la grille. Policy Management Authority (PMA) –Etablit des obligations minimales pour les CA –Accrédite et auditionne les CA –International Grid Trust Federation ( –EUGridPMA ( –…

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Certificats Principales informations : –Le sujet ou DN du certificat (username dans la grille) –La période de validité du certificat (en général une année) –Des extensions X509v3  Les utilisations autorisées du certificat  L’ 2 Formats différents –PKCS12 : un seul fichier qui contient la clé privée ET la clé publique –PEM : deux fichiers, 1 pour la clé privé, l’autre pour la clé publique –Tous les outils grille acceptent le format PKCS12 mais Globus et gLite utilisent un nom de fichier différent…  usercert.p12 pour gLite, usercred.p12 pour Globus  Possibilité de faire un symlink

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Organisations Virtuelles Organisations Virtuelles (VOs) –Ensemble d’individus ayant des buts communs –Membres de la VOs répartis en sous-groupes  1 membre peut aussi avoir 1 rôle dans le groupe –Appartenance à 1 VO détermine les ressources accessibles  Groupes et rôles peuvent modifier les droits d’accès aux ressources Les utilisateurs sont regroupés par : –Expériences : biomed, alice, atlas, esr, … –Laboratoires : vo.lal.in2p3.fr, vo.u-psud.fr, cppm, … –Projets : embrace, gridpp, auvergrid, … –Autres : dteam, ops, … –1 utilisateur peut appartenir à plusieurs VOs Trouvez les VOs enregistrées dans le portail CIC: –

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Autorisation L’administrateur d’une VO : –Décide qui peut être un membre de cette VO –Repartit les membres dans des groupes et sous-groupes –Définit les « rôles » de ses membres –Possibilité de plusieurs administrateurs par VO L’administrateur d’un site : –Décide quelles VOs le site supporte –Met en place le contrôle d’accès défini par la VO Le service VOMS (VO Membership Service) permet aux administrateurs des VOs de gérer leurs membres. –Est utilisé par les services grille pour déterminer les droits d’un utilisateur

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Délégation Les utilisateurs ne peuvent pas autoriser chaque transaction dans la grille : –Trop des job dans la grille –Les jobs ne sont pas localisés –Un job peut concerner plusieurs autres services Doit être possible de déléguer les droits d’accès aux jobs et aux services grilles : –La clé privée du certificat est une information sensible et ne peut être transmise aux services grilles –Création d’un « proxy » à partir du certificat

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI « Proxy » Nouveau certificat : –Signé par le certificat d’utilisateur –Période de validité beaucoup plus courte que le certificat d’utilisateur  ~1/2 journée –Inclut normalement la liste de VOs, groupes, et rôles de l’utilisateur –Le fichier contenant le proxy est envoyé avec le job et permet d’agir avec les droits de l’utilisateur Proxy de courte durée (environ 12 heures) –voms-proxy-init (--voms), -info, -destroy Proxy de longue durée (environ 1 semaine) –myproxy-init, -info, -destroy, -get-delegation

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Autres Services Les services grilles génèrent un « log » des actions –Pour comprendre qui fait quoi et quand –Pour comprendre le fonctionnement du système Comptabilité –Base des données centralisée pour l’utilisation (par VO)  –Le middleware ne met pas encore en place des quotas.

Sécurité – C. Loomis/M. Jouvin – 5/6/2008 Enabling Grids for E-sciencE EGEE-III INFSO-RI Récapitulatif EGEE utilise la « Grid Security Infrastructure » comme système de sécurité. Authentification –Réseau des CAs signent les certificats des entités –Le certificat est le « passeport grille » pour les utilisateurs Autorisation –Gérée par les Organisations Virtuelles –Mise en place par les administrateurs des sites « Proxies » –Contiennent les VOs, groupes, et rôles de l’utilisateur –Permettent une délégation de droits aux services grilles et aux jobs