La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)

Présentations similaires


Présentation au sujet: "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)"— Transcription de la présentation:

1 EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Administrateur CGG 7 Nov. 2006

2 EGEE Sécurité – CGG Novembre 2006 - 2 Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI) Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

3 EGEE Sécurité – CGG Novembre 2006 - 3 Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI)

4 EGEE Sécurité – CGG Novembre 2006 - 4 Que faut-il pour travailler sur la Grille de Calcul ? Un utilisateur pour utiliser le GRID doit posséder :  Un certificat électronique personnel  Une entrée dans une Organisation Virtuelle (VO ou VOMS)  Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique

5 EGEE Sécurité – CGG Novembre 2006 - 5 Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Les utilisateurs et les machines s’authentifient mutuellement Implémente :  Single sign-on: le mot de passe n’est donné qu’une seule fois  Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations  Authentification mutuelle: le destinataire et l’émetteur s’authentifient Introduction des certificats proxy  Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l’utilisateur  Un Proxy peut se déplacer sur le réseau

6 EGEE Sécurité – CGG Novembre 2006 - 6 Plan Authentification  Les certificats électroniques  Les Autorités de Certification  Openssl

7 EGEE Sécurité – CGG Novembre 2006 - 7 Qu’est ce qu’un certificat électronique X509v3 ? Repose sur l’utilisation des algorithmes asymétriques C’est un couple de clés(privée, publique) indissociables  Les clés sont générées ensembles  Impossibilité de retrouver une clé par rapport à l’autre  Durée de validité limitée Un certificat X509v3 peut être issu pour  Une personne physique (certificat personnel)  Une machine (certificat de hôte)  Un programme (certificat de service) La clé publique  Signée par la CA  Publiée sur le réseau via le service de publication de la CA  Dans le langage courant, elle est appelée certificat La clé privée  Conservée sur le poste de l’utilisateur ou sur la machine  Chiffrée et protégée par un mot de passe

8 EGEE Sécurité – CGG Novembre 2006 - 8 Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique):  Le sujet  L’Autorité de Certification émettrice  La période de validité du certificat ... Plusieurs formats  PKCS12 : Un seul fichier.p12  PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir :  La Liste des Certificats Révoqués (CRL) émise par la CA  Le certificat de la CA émettrice

9 EGEE Sécurité – CGG Novembre 2006 - 9 Les Autorités de Certification Solution :  Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays  Catch-All CAs Pays sans CA nationales Politique de gestion des autorités : GRID PMA  PMA, Policy Management Authority  Etablir des obligations minimales pour les CA  Accréditer les CA  Auditionner les CA CA France  GRID-FR  Gérée par le CNRS/UREC

10 EGEE Sécurité – CGG Novembre 2006 - 10 openssl Convertir un certificat du format PKCS12 au format PEM  Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem  Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique  Format PEM # openssl x509 -text -noout -in usercert.pem  Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem

11 EGEE Sécurité – CGG Novembre 2006 - 11 Plan Utilisation des certificats avec GRID-FR  Certificat utilisateur  Certificat machine

12 EGEE Sécurité – CGG Novembre 2006 - 12 Certificat utilisateur (1) Faire une demande ici :  http://igc.services.cnrs.fr/GRID-FR

13 EGEE Sécurité – CGG Novembre 2006 - 13 Certificat utilisateur (2)

14 EGEE Sécurité – CGG Novembre 2006 - 14 Certificat utilisateur (3)

15 EGEE Sécurité – CGG Novembre 2006 - 15 Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande

16 EGEE Sécurité – CGG Novembre 2006 - 16 Certificat utilisateur (5) Vous cliquez sur l’URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée.

17 EGEE Sécurité – CGG Novembre 2006 - 17 Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l ’URL incluse dans le mail

18 EGEE Sécurité – CGG Novembre 2006 - 18 Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options - Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter

19 EGEE Sécurité – CGG Novembre 2006 - 19 Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer

20 EGEE Sécurité – CGG Novembre 2006 - 20 Installation du certificat sur l’UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls –l chmod 400 userkey.pem chmod 444 usercert.pem

21 EGEE Sécurité – CGG Novembre 2006 - 21 Utilisation du certificat Manipulation de proxy  Créer un proxy de 12h # voms-proxy-init  Créer un proxy avec choix de durée de vie # voms-proxy-init -valid  Les information du proxy # voms-proxy-info  Détruire un proxy # voms-proxy-destroy Utiliser le proxy  Login ftp sur la grille # uberftp -H cws.private.gridprototype

22 EGEE Sécurité – CGG Novembre 2006 - 22 Certificat Machine Vous devez posséder un certificat personnel pour demander un certificat machine Vous recevez votre certificat machine par mail chiffré et signé Vous devez utiliser une messagerie S/MIME avec votre certificat personnel importé. Attention, dans le cas de Thunderbird et Firefox, il faudra l’importer. Ceci étant du à la dissociation des deux logiciels.

23 EGEE Sécurité – CGG Novembre 2006 - 23 Certificat machine (1) Faire une demande ici :  http://igc.services.cnrs.fr/GRID-FR Saisissez : - le nom complet de la machine (FQN, cad avec le nom de domaine) - l’email de l’administrateur de la machine

24 EGEE Sécurité – CGG Novembre 2006 - 24 Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers

25 EGEE Sécurité – CGG Novembre 2006 - 25 Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem


Télécharger ppt "EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)"

Présentations similaires


Annonces Google