La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.

Publié parAndrée Damours Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007."— Transcription de la présentation:

1 INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007

2 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 2 Système(s) de sécurité La grille est un système largement distribué : –Plus de 5000 utilisateurs –Environ 250 sites dans le monde Pour fonctionner, la confiance doit régner entre : –Les administrateurs des systèmes –Les utilisateurs –Les administrateurs et les utilisateurs Le système de sécurité doit engendrer la confiance nécessaire pour faire marcher une grille.

3 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 3 Fonctionnalités Essentielles Authentification –Qui est qui ? Autorisation –Qui a le droit ? Audit sécurité –Qui fait quoi et quand ? Comptabilité –Combien de ressources sont utilisées par un utilisateur ?

4 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 4 Contraintes Evolutif : –Les personnes ne peuvent pas connaître toutes les autres –Taux de performance acceptable –Permet l'accès entre personnes de différents pays Utilisation « simple » : –Si non, les gens ne l’utilisent pas –Equilibre entre sécurité et utilisation simple –Permet une délégation des droits

5 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 5 Grid Security Infrastructure (GSI) Un standard pour les logiciels de grille de calcul –Conçu par le projet Globus aux E.U. –Utilisé par (presque) toutes les grandes grilles Basé sur « Public Key Infrastructure » –Chaque entité a une clé publique et une clé privée –Format : X509v3 Mis en place : –Unique sign-on : le mot de passe n’est donné qu’une seule fois –Délégation : un service peut être utilisé au nom d’une autre personne càd autoriser une autre entité à utiliser son authentification et ses autorisations –Authentification mutuelle : le destinataire et l’émetteur s’authentifient

6 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 6 Passeport Grille Un certificat X509v3 peut être issu pour –Une personne physique (certificat personnel) –Une machine (certificat de hôte) –Un programme (certificat de service) La clé publique (certificat) –Signée après vérification de l'identité du destinataire –Publiée sur le réseau La clé privée –Conservée sur le poste de l’utilisateur ou sur la machine –Chiffrée et protégée par un mot de passe Un certificat n’est qu’une pièce d’identité !

7 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 7 Signée par Qui ? Réseau des Autorités de Certification (CA) –Doit vérifier l’entité avant de signer un certificat –Un par pays ou groupe de pays (~35) –Etablit des relations de confiance entre chaque CA –Coordonne les activités au niveau de chaque pays Policy Management Authority (PMA) –Etablit des obligations minimales pour les CA –Accrédite et auditionne les CA –International Grid Trust Federation (http://www.gridpma.org)http://www.gridpma.org –EUGridPMA (http://www.eugridpma.org/)http://www.eugridpma.org/ –…

8 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 8 Certificats Informations importantes contenues : –Le sujet ou DN du certificat (username dans la grille) –La période de validité du certificat (environ une année) –Des extensions X509v3 §Les utilisations autorisées du certificat §L’email Formats différents –PKCS12 (browser): un seul fichier, contient deux clés –PEM (grille): deux fichiers Pour la France, seuls les certificats de la CA « GRID- FR » marchent sur la grille.

9 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 9 Organisations Virtuelles Organisations Virtuelles (VOs) –Ensemble d’individus ayant des buts communs –Ressources accessibles pour ses utilisateurs Les utilisateurs sont regroupés par : –Expériences : biomed, alice, atlas, esr, … –Laboratoires : vo.lal.in2p3.fr, vo.u-psud.fr, cppm, … –Projets : embrace, gridpp, auvergrid, … –Autres : dteam, ops, … Trouvez les VOs enregistrées dans le portail CIC: –http://cic.gridops.org/index.php?section=home&page=volisthttp://cic.gridops.org/index.php?section=home&page=volist

10 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 10 Autorisation Un administrateur par VO : –Décide qui peut être un membre de cette VO –Repartit les membres dans des groupes et sous-groupes –Définit les « rôles » de ses membres –Décide qui peut accéder et à quelles ressources dans la grille suivant les groupes et les rôles dans la VO. Un administrateur d’un site : –Décide quelles VOs le site va supporter –Met en place le contrôle d’accès défini par la VO Le service VOMS (VO Membership Service) permet aux administrateurs des VOs de gérer leurs membres.

11 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 11 Délégation Les utilisateurs ne peuvent pas autoriser chaque transaction dans la grille : –Trop des jobs dans la grille –Les jobs ne sont pas localisés –Un job peut concerner plusieurs autres services Doit être possible de déléguer les droits d’accès aux jobs et aux services grilles : –On ne peut pas envoyer la clé privée du certificat –On peut envoyer un « proxy »

12 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 12 « Proxy » Nouveau certificat : –Signé par le certificat d’utilisateur –Période de validité beaucoup plus courte que le certificat d’utilisateur –Inclut (souvent) la liste de VOs, groupes, et rôles de l’utilisateur –Fichier envoyé avec un job qui donne les droits (limités) de l’utilisateur Proxy de courte durée (environ 24 heures) –voms-proxy-init, -info, -destroy Proxy de longue durée (environ 1 semaine) –myproxy-init, -info, -destroy, -get-delegation

13 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 13 Autres Services Les services grilles génèrent un « log » des actions –Pour comprendre qui fait quoi et quand –Pour comprendre le fonctionnement du système Comptabilité –Base des données centralisée pour l’utilisation (par VO) §http://www3.egee.cesga.es/gridsite/accounting/CESGA/egee_view.htmlhttp://www3.egee.cesga.es/gridsite/accounting/CESGA/egee_view.html –Le middleware ne met pas encore en place des quotas.

14 Sécurité – C. Loomis – 8 octobre 2007 Enabling Grids for E-sciencE INFSO-RI-031688 14 Récapitulatif EGEE utilise la « Grid Security Infrastructure » comme système de sécurité. Authentification –Réseau des CAs signent les certificats des entités –« passeport grille » pour les utilisateurs Autorisation –Gérée par les Organisations Virtuelles –Mise en place par les administrateurs des sites « Proxies » –Contiennent les VOs, groupes, et rôles de l’utilisateur –Permettent une délégation de droits aux services grilles et aux jobs

Télécharger ppt "INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007."

Présentations similaires

Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.

Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.
S é minaire UIT – E.Commerce Tunis – 15 Mai 2001 L APPROCHE TUNISIENNE EN MATIERE DE COMMERCE ELECTRONIQUE Ridha Guellouz Minist è re des Technologies.

S é minaire UIT – E.Commerce Tunis – 15 Mai 2001 L APPROCHE TUNISIENNE EN MATIERE DE COMMERCE ELECTRONIQUE Ridha Guellouz Minist è re des Technologies.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Une approche pour un espace de confiance des collectivités locales.

Une approche pour un espace de confiance des collectivités locales.
La sécurité dans les grilles

La sécurité dans les grilles
EGEE is a project funded by the European Union under contract IST-2003-508833 Noeud de Grille au CPPM.

EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
1Auteur : Oleg LODYGENSKY XtremWeb-HEP Atelier Opérations France Grille Lyon – Villeurbanne 13 et 14 octobre.

1Auteur : Oleg LODYGENSKY XtremWeb-HEP Atelier Opérations France Grille Lyon – Villeurbanne 13 et 14 octobre.
Les espaces numériques de travail Définition : Un espace numérique de travail est un ensemble intégré de services numériques (de communication, de gestion.

Les espaces numériques de travail Définition : Un espace numérique de travail est un ensemble intégré de services numériques (de communication, de gestion.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Transition vers EGEE-III (et EGI?) Pierre.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Transition vers EGEE-III (et EGI?) Pierre.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks L’OAG R. Rumler, CC-IN2P3 (CNRS) EGEE’07,

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks L’OAG R. Rumler, CC-IN2P3 (CNRS) EGEE’07,
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.

LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Data management David Bouvet IN2P3-CC Clermont.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Data management David Bouvet IN2P3-CC Clermont.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Enabling Grids for E-sciencE www.eu-egee.org EGEE-III INFSO-RI-222667 Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)

Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM)

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
JI 20081 Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.

JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
StratusLab is co-funded by the European Community’s Seventh Framework Programme (Capacities) Grant Agreement INFSO-RI-261552 Session I : Authentification.

StratusLab is co-funded by the European Community’s Seventh Framework Programme (Capacities) Grant Agreement INFSO-RI Session I : Authentification.
Expérience du déploiement d’une Virtual Organisation (VO) locale Christophe DIARRA

Expérience du déploiement d’une Virtual Organisation (VO) locale Christophe DIARRA
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org NA4 test Eric Fede on behalf of the team.

INFSO-RI Enabling Grids for E-sciencE NA4 test Eric Fede on behalf of the team.

Présentations similaires

Annonces Google