La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

EGEE is a project funded by the European Union under contract IST-2003-508833 Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,

Publié parPascale Leblanc Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "EGEE is a project funded by the European Union under contract IST-2003-508833 Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,"— Transcription de la présentation:

1 EGEE is a project funded by the European Union under contract IST-2003-508833 Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont, 22-23 th March 2005 www.eu-egee.org

2 EGEE Sécurité – Clermont, 22 Mars 2005 - 2 Plan Un compte utilisateur Architecture  Authentification  Autorisation  Proxy Mode d’emploi pour la France  Côté utilisateur Obtenir un certificat Faire partie d’une Organisation Virtuelle  Côté serveur Certificats d’hôtes et de services Développements à venir  VOMS

3 EGEE Sécurité – Clermont, 22 Mars 2005 - 3 Un compte utilisateur Un utilisateur pour utiliser le GRID doit posséder :  Un certificat X509 personnel  Une entrée dans une Organisation Virtuelle (VO)  Un compte sur une Interface Utilisateur (UI)

4 EGEE Sécurité – Clermont, 22 Mars 2005 - 4 Authentification/Autorisation Authentification=> Certificat  Qui est qui ? Autorisation=>VO  Qui a le droit ? Accès au GRID=> UI Audit sécurité  QUI fait QUOI QUAND ? Comptabilité  COMBIEN de ressources consomme Mr X ou la VO Y ? Facturation possible  :-(

5 EGEE Sécurité – Clermont, 22 Mars 2005 - 5 Architecture VO Service grid-mapfile Authentification mutuelle + vérification des autorisations Délégation de cert. (24 h max) VO CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) grid-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max)

6 EGEE Sécurité – Clermont, 22 Mars 2005 - 6 Authentification Qu’est qu’un certificat X509 ?  Un couple de clés indissociables  Les clés son générées ensembles  Le certificat est accrédité par un tiers de confiance (CA)  Le certificat a une période de validité Repose sur l’utilisation des algorithmes asymétriques  Impossibilité de retrouver une clé par rapport à l’autre Une clé est dite publique  Elle est publiée sur le réseau  Cette clé est signée par l’Autorité de Certification émettrice  Dans le langage courant, elle est appelée certificat L’autre est dite privée  Elle est conservée sur le poste de l’utilisateur  Protégée par un mot de passe

7 EGEE Sécurité – Clermont, 22 Mars 2005 - 7 Un certificat Informations importantes  Le sujet ou DN du certificat  Le numéro de série du certificat  La période de validité du certificat  L’Autorité de Certification émettrice  La Liste des Certificats Révoqués (CRL) émise par la CA Certificate: Data: Version: 3 (0x2) Serial Number: 639 (0x27f) Signature Algorithm: md5WithRSAEncryption Issuer: C=FR, O=CNRS, CN=Datagrid-fr Validity Not Before: Mar 1 08:52:49 2004 GMT Not After : Mar 1 08:52:49 2005 GMT Subject: C=FR, O=CNRS, OU=UREC, CN=Sophie Nicoud, emailadress=Sophie.Nicoud@urec.cnrs.fr Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:a2:8b:5c:a3:ed:fe:d5:03:55:b6:7c:cb:44:.... Netscape Comment: Certificat Datagrid-fr. Pour toute information se reporter à http://igc.services.cnrs.fr/Datagrid-fr/ X509v3 CRL Distribution Points: URI:http://igc.services.cnrs.fr/cgi-bin/load.crl?CA=Datagrid-fr&format=DER Signature Algorithm: md5WithRSAEncryption 9d:d8:19:32:3e:39:f1:55:58:d6:dd:21:7a:40:31:36:f6:07: 96:91:cf:2c

8 EGEE Sécurité – Clermont, 22 Mars 2005 - 8 Les Autorités de Certification Problématique :  Une seule CA pour le projet => Pas gérable, peu sûr  Une CA par partenaire => Problème de mise à l’échelle Solution :  Une CA par pays => Établir des relations de confiance entre chaque CA => Coordination au niveau du pays  Catch-All CAs Pays sans CA nationales Création d’un groupe des CAs  EDG : CACG  Projets de GRID en Europe (EGEE, LCG, DEISA, SEE-GRID, … ): EUGridPMA

9 EGEE Sécurité – Clermont, 22 Mars 2005 - 9 EUGridPMA Domaine de confiance commun en Europe : EUGridPMA Même règles et pratiques de certification  Certificats valident 1 an  Vérification de l’identité de la personne  … 28 Autorités de Certification nationales  France, Espagne, US, …., Estonie, Russie, … Catch-All CAs  LCG ou instituts HEP : DOE (US)  EGEE ou instituts non HEP : CNRS (France) http://marianne.in2p3.fr/datagrid/ca/ca-table-ca.html http://lcg-registrar.cern.ch/pki_certificates.html Votre certificat est valable sur l’ensemble des projets de GRID au travers de l’Europe

10 EGEE Sécurité – Clermont, 22 Mars 2005 - 10 Autorisation Organisations Virtuelles (VO)  Ensemble d’individus ayant des buts communs  Utilisateurs  Ressources A set of individuals or organisations, not under single hierarchical control, (temporarily) joining forces to solve a particular problem at hand, bringing to the collaboration a subset of their resources, sharing those at their discretion and each under their own conditions.

11 EGEE Sécurité – Clermont, 22 Mars 2005 - 11 VO Organisations Virtuelles Les utilisateurs sont regroupés par expérience scientifique  Sciences du vivant : Biomed  HEP : Alice, Atlas, Babar, CMS, D0, LHCb, …  Observation de la Terre : ESR, EGEODE  Autre : DTEAM http://lcg-registrar.cern.ch/virtual_organization.html Les autorisations sont fonction de l’Organisation Virtuelle Un administrateur par Organisation Virtuelle  C’est le gestionnaire des utilisateurs de sa VO Les ressources se déclarent utilisables par X,Y ou Z VOs Des droits spécifiques peuvent être données au niveau de chaque ressources par l’administrateur de celle-ci VO

12 EGEE Sécurité – Clermont, 22 Mars 2005 - 12 Globus Grid Security Infrastructure (GSI) de facto un standard pour les softs de Grid Basé sur les certificats X509 et les PKI Implémente :  Single sign-on: pas la peine de donner son mot de passe chaque fois  Délégation: un service peut-être utilisé au nom d’une autre personne  Authentification mutuelle: le destinataire et l’émetteur s’authentifient Introduction des certificats proxy  Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l’utilisateur

13 EGEE Sécurité – Clermont, 22 Mars 2005 - 13 Certificat proxy et délégation Délégation  Autorise une autre entité à utiliser mon authentification et mes autorisations  Un Proxy peut se déplacer sur le réseau Le sujet du proxy identifie l’utilisateur  User subject: /C=FR/O=CNRS/OU=UREC/CN=Paul Dupont  Proxy subject: /C=FR/O=CNRS/OU=UREC/CN=Paul Dupont/CN=proxy

14 EGEE Sécurité – Clermont, 22 Mars 2005 - 14 GSI variables d’environnement Certificat utilisateur:  Certificat:X509_USER_CERT (default: $HOME/.globus/usercert.pem )  Clé privée:X509_USER_KEY (default: $HOME/.globus/userkey.pem )  Proxy:X509_USER_PROXY (default: /tmp/x509up_u ) Certificat machine:  Certificat:X509_USER_CERT (default: /etc/grid- security/hostcert.pem )  Clé privée:X509_USER_KEY (default: /etc/grid- security/hostkey.pem ) Autorités de Certification reconnues:  X509_CERT_DIR(default: /etc/grid- security/certificates ) Emplacement du grid-mapfile:  GRIDMAP(default: /etc/grid-security/grid- mapfile )

15 EGEE Sécurité – Clermont, 22 Mars 2005 - 15 Utilisation des commandes de gestion des certificats et des proxy s Obtenir des informations sur le certificat utilisateur  grid-cert-info[-help] [-file certfile] [OPTION]... -all tout le certificat -subject | -s sujet -issuer | -I émetteur -startdate | -sd début de validité -enddate | -ed fin de validité Créé un certificat proxy  grid-proxy-init Détruire un certificat proxy  grid-proxy-destroy Obtenir des informations sur un certificat proxy  grid-proxy-info

16 EGEE Sécurité – Clermont, 22 Mars 2005 - 16 Proxy “longue vie” Un proxy a une vie limitée (défaut à 12 h)  C’est une mauvaise idée de prolonger la vie d’un proxy Cependant, un job peu avoir beson d’une proxy avec une vie plus longue  Jobs des applications HEP. Data Challenges sur LCG : jqà 2 jours myproxy serveur:  Permet de créer et conserver un proxy à “longue vie”:  myproxy-init -s -s spécifie le nom du serveur myproxy  myproxy-info Obtenir des informations à propos des proxys “longue vie”  myproxy-get-delegation Obtenir un nouveau proxy de la part du serveur MyProxy  myproxy-destroy Un service peut renouveller automatiquement un proxy afin de l’utiliser sur le Grid

17 EGEE Sécurité – Clermont, 22 Mars 2005 - 17 Mode d’emploi 1. Obtenir un certificat personnel  https://igc.services.cnrs.fr/Datagrid-fr  https://igc.services.cnrs.fr/GRID-FR 2. S’enregistrer auprès d’un VO et 2. Accepter les règles d’utilisation du GRID  https://lcg-registrar.cern.ch/cgi-bin/register/account.pl  Attendre ~= 24 heures pour la propagation des droits 3. Exporter et convertir son certificat  du format PKCS12 au format PEM  Le mettre en place sur l’UI 4. Générer un GRID proxy 5. Le GRID est à vous…

18 EGEE Sécurité – Clermont, 22 Mars 2005 - 18 Demande de Certificate CA VO user service Demande de cert. https://igc.services.cnrs.fr/Datagrid-fr/ Une fois par an

19 EGEE Sécurité – Clermont, 22 Mars 2005 - 19 Certificat signé CA VO user service Demande de cert. https://igc.services.cnrs.fr/GRID-FR/ Certificat (PKCS12)

20 EGEE Sécurité – Clermont, 22 Mars 2005 - 20 Enregistrement, règles d’utilisation Une fois (Seulement le DN du cert. est utilisé) CA VO user service Demande de cert. Certificat (PKCS12) enregistrement https://lcg-registrar.cern.ch/cgi-bin/register/account.pl

21 EGEE Sécurité – Clermont, 22 Mars 2005 - 21 Démarrer une session CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Toutes les 12/24 heures Proxy cert. http://marianne.in2p3.fr/datagrid/ca/ca-help.html/

22 EGEE Sécurité – Clermont, 22 Mars 2005 - 22 Demande de certificat serveur CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. https://igc.services.cnrs.fr/Datagrid-fr/ Une fois par an

23 EGEE Sécurité – Clermont, 22 Mars 2005 - 23 Certificat serveur signé CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. https://igc.services.cnrs.fr/GRID-FR/ Certificat (PEM)

24 EGEE Sécurité – Clermont, 22 Mars 2005 - 24 Configuration du serveur CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. https://igc.services.cnrs.fr/Datagrid-fr/ Certificat (PEM) Certificat CA CRL CA Mise à jour automatique toutes les 24h

25 EGEE Sécurité – Clermont, 22 Mars 2005 - 25 Configuration des CAs acceptées Le certificat et la clé privée de l’hôte se trouvent :  /etc/grid-security/certificates hostcert.pem hostkey.pem Les CAs reconnues par l’hôte se trouvent :  /etc/grid-security/certificates Certificats des CAs CRLs des CAs Installer le script de mise à jour automatique des CRLs  Fournit avec les softs LCG et EGEE

26 EGEE Sécurité – Clermont, 22 Mars 2005 - 26 Serveur: Certificats ls /etc/grid-security/certificates cf4ba8c8.0 34a509c3.0 6b4ddd18.0 cf4ba8c8.crl_url 34a509c3.crl_url 6b4ddd18.crl_url cf4ba8c8.r0 34a509c3.r0 6b4ddd18.r0 cf4ba8c8.signing_policy 34a509c3.signing_policy 6b4ddd18.signing_policy 12a1d8c2.0 dd4b34ea.0 df312a4e.0 12a1d8c2.crl_url dd4b34ea.crl_url df312a4e.crl_url 12a1d8c2.r0 dd4b34ea.r0 df312a4e.r0 12a1d8c2.signing_policy dd4b34ea.signing_policy df312a4e.signing_policy cat 12a1d8c2.crl_url http://crls.services.cnrs.fr/GRID-FR/getpem.crl

27 EGEE Sécurité – Clermont, 22 Mars 2005 - 27 Serveur: Certificats cat 12a1d8c2.signing_policy # EACL French CA, CNRS GRID-FR level: GRID-FR access_id_CA X509 '/C=FR/O=CNRS/CN=GRID-FR' pos_rights globus CA:sign cond_subjects globus '"/O=GRID-FR/*"' openssl x509 -in 12a1d8c2.0 –text -noout Issuer: C=FR, O=CNRS, CN=CNRS-Projets[...]Emetteur du certificat Subject: C=FR, O=CNRS, CN=GRID-FR [...] Certificat auto-signé X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE [...] Ce certificat peut être utilisé pour en signer d’autres X509v3 Key Usage: critical Certificate Sign, CRL SignC’est un certificat de CA

28 EGEE Sécurité – Clermont, 22 Mars 2005 - 28 Serveur: CRL openssl crl -in 12a1d8c2.r0 –text -noout Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: sha1WithRSAEncryption Issuer: /C=FR/O=CNRS/CN=GRID-FREmetteur est la CA elle-même Last Update: Mar 20 23:15:17 2005 GMT Next Update: Apr 19 23:15:17 2005 GMTProchaine mise à jour Revoked Certificates: Serial Number: 06Numéros de série des certificats révoqués Revocation Date: Mar 10 10:29:06 2005 GMT Signature Algorithm: sha1WithRSAEncryptionSignature

29 EGEE Sécurité – Clermont, 22 Mars 2005 - 29 Autorisation CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM) Certificat CA CRL CA gridmap file Mise à jour automatique toutes les 24h

30 EGEE Sécurité – Clermont, 22 Mars 2005 - 30 Utilisation CA VO user service Demande de cert. Certificat (PKCS12) usercert.pem (PEM) userkey.pem Conversion cert. grid-proxy-init Proxy cert. Demande de cert. Certificat (PEM) Certificat CA CRL CA gridmap file Authentification mutuelle + vérification des autorisations

31 EGEE Sécurité – Clermont, 22 Mars 2005 - 31 Gridmapfile: configuration Installer et configurer le script de mise à jour automatique du gridmapfile cat /opt/edg/etc/edg-mkgridmap.conf auth ldap://lcg-registrar.cern.ch/ou=users,o=registrar,dc=lcg,dc=org # EDG Standard Virtual Organizations # atlas group ldap://grid-vo.nikhef.nl/ou=lcgadmin,o=atlas,dc=eu-datagrid,dc=org atlassgm group ldap://grid-vo.nikhef.nl/ou=lcg1,o=atlas,dc=eu-datagrid,dc=org.atlas # biomed group ldap://vo-biome.in2p3.fr/ou=lcg1,o=biomedical,dc=lcg,dc=org.biomed # dteam group ldap://lcg-vo.cern.ch/ou=lcgadmin,o=dteam,dc=lcg,dc=org dteamsgm group ldap://lcg-vo.cern.ch/ou=lcg1,o=dteam,dc=lcg,dc=org.dteam # egeode group ldap://vo-egeode.in2p3.fr/ou=lcgadmin,o=egeode,dc=lcg,dc=org egeodesgm group ldap://vo-egeode.in2p3.fr/ou=lcg1,o=egeode,dc=lcg,dc=org.egeode # esr group ldap://grid-vo.sara.nl/ou=lcgadmin,o=esr,dc=eu-egee,dc=org esrsgm group ldap://grid-vo.sara.nl/ou=eobs,o=esr,dc=eu-egee,dc=org.esr

32 EGEE Sécurité – Clermont, 22 Mars 2005 - 32 Gridmap file cat /etc/grid-security/gridmap "/C=FR/O=CGG/OU=RDI/CN=Gerald Vetois/Email=gvetois@cgg.com".dteam "/C=FR/O=CGG/OU=RDI/CN=Gerard Gadaud/Email=ggadaud@cgg.com".dteam "/C=FR/O=CGG/OU=RDI/CN=Stephane Fintz/Email=sfintz@cgg.com".egeode "/C=FR/O=CINES/OU=CS/CN=Nicole Audiffren/Email=audiffren@cines.fr".biomed "/C=FR/O=CNRS/OU=CC-LYON/CN=David Bouvet/Email=david.bouvet@in2p3.fr".atlas "/C=FR/O=CNRS/OU=CC-LYON/CN=Fabien Wernli/Email=wernli@in2p3.fr".dteam "/C=FR/O=CNRS/OU=CC-LYON/CN=Fabio Hernandez/Email=fabio@in2p3.fr".dteam "/C=FR/O=CNRS/OU=CC-LYON/CN=Frederic Schaer/Email=schaer@in2p3.fr".dteam …..

33 EGEE Sécurité – Clermont, 22 Mars 2005 - 33 VOMS Service Authentification mutuelle et autorisation VOMS CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) voms-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max) Délégation de cert. (24 h max) enregistrement Délégation de cert. (24 h max) Autorisation = Cert. LCAS LCMAPS edg-java-security

34 EGEE Sécurité – Clermont, 22 Mars 2005 - 34 Obtenir des autorisations Query Authentication Request Auth DB C=IT/O=INFN /L=CNAF /CN=Pinco Palla /CN=proxy VOMS pseudo- cert [davidg@tbn01 davidg]$ edg-voms-proxy-init -voms=wpsix Your identity: /O=dutchgrid/O=users/O=nikhef/CN=David Groep Enter GRID pass phrase for this identity: Creating temporary proxy............................... Done /C=FR/O=CNRS/OU=UREC/CN=vo-iteam.datagrid.cnrs.fr/Email=edg- site-admin@datagrid.cnrs.fr /C=FR/O=CNRS/CN=Datagrid-fr Creating proxy.............................. Done [davidg@tbn01 davidg]$ edg-voms-proxy-info -all … Type : proxy Bits : 512 Valid From : Jun 2 06:22:02 2004 GMT Validity left : Jun 2 18:27:02 2004 GMT VO : wpsix Holder Subject: /O=dutchgrid…/O=nikhef/CN=David Groep … Issuer Subject:/C=FR/O=CNRS/OU=UREC/ CN=vo-iteam.datagrid.cnrs.fr … Valid from : Jun 2 06:26:09 2004 GMT Valid to : Jun 2 18:26:09 2004 GMT Attribute : /wpsix/Role=NULL/Capability=NULL Notion de rôle

35 EGEE Sécurité – Clermont, 22 Mars 2005 - 35 Interprétation des droits par le serveur … "/O=dutchgrid/O=users/O=sara/CN=Walter de Jong".wpsix "/O=dutchgrid/O=users/O=uva/OU=wins/CN=Robert Belleman".pvier "/VO=iteam/GROUP=/iteam".iteam "/VO=wpsix/GROUP=/wpsix".wpsix Local Centre Authorization Service (LCAS)  Prend en charge les demandes d’autorisation Autorisations basées sur les proxys des utilisateurs et la spécification de leurs jobs Supporte le grid-mapfile Local Credential Mapping Service (LCMAPS)  Langage simple de configuration des règles  Basé sur l’identité de l’utilisateur, sa VOMS et la politique de sécurité du site

Télécharger ppt "EGEE is a project funded by the European Union under contract IST-2003-508833 Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,"

Présentations similaires

Projet RNRT ICare: Services évolués de signature

Projet RNRT ICare: Services évolués de signature
Analyse formelle du modèle de confiance d’une PKI

Analyse formelle du modèle de confiance d’une PKI
Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.

Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.
Sécurité des communications & PKI

Sécurité des communications & PKI
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
CC-Lyon le 21/12/01VO et outil de maj des grid-mafile VO et outil de mise à jour des grid-mapfile

CC-Lyon le 21/12/01VO et outil de maj des grid-mafile VO et outil de mise à jour des grid-mapfile
Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay.

Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay.
TOOLKIT INSTALLATION Disponible pour i686 uniquement sur marianne. ( Version unique pour.

TOOLKIT INSTALLATION Disponible pour i686 uniquement sur marianne. ( Version unique pour.
Certificats Globus et DataGrid France

Certificats Globus et DataGrid France
La configuration Apache 2.2 Lhébergement virtuel.

La configuration Apache 2.2 Lhébergement virtuel.
Public Key Infrastructure

Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)

SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Une approche pour un espace de confiance des collectivités locales.

Une approche pour un espace de confiance des collectivités locales.
Contrôles d'accès aux données

Contrôles d'accès aux données
Le langage ASP Les variables d'environnement HTTP avec Request.

Le langage ASP Les variables d'environnement HTTP avec Request.
Centre dabonnement Autodesk Mode demploi ---Vade-mecum Product Support Manager, Southern Europe.

Centre dabonnement Autodesk Mode demploi ---Vade-mecum Product Support Manager, Southern Europe.
Notions de sécurité sur la grille

Notions de sécurité sur la grille
Ahmed Serhrouchni ENST’Paris CNRS

Ahmed Serhrouchni ENST’Paris CNRS

Présentations similaires

Annonces Google