Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parFrancis Chassé Modifié depuis plus de 9 années
1
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Administrateur CGG 7 Nov. 2006
2
EGEE Sécurité – CGG Novembre 2006 - 2 Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification Les certificats électroniques Les Autorités de Certification Openssl Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine
3
EGEE Sécurité – CGG Novembre 2006 - 3 Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI)
4
EGEE Sécurité – CGG Novembre 2006 - 4 Que faut-il pour travailler sur la Grille de Calcul ? Un utilisateur pour utiliser le GRID doit posséder : Un certificat électronique personnel Une entrée dans une Organisation Virtuelle (VO ou VOMS) Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique
5
EGEE Sécurité – CGG Novembre 2006 - 5 Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Les utilisateurs et les machines s’authentifient mutuellement Implémente : Single sign-on: le mot de passe n’est donné qu’une seule fois Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations Authentification mutuelle: le destinataire et l’émetteur s’authentifient Introduction des certificats proxy Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l’utilisateur Un Proxy peut se déplacer sur le réseau
6
EGEE Sécurité – CGG Novembre 2006 - 6 Plan Authentification Les certificats électroniques Les Autorités de Certification Openssl
7
EGEE Sécurité – CGG Novembre 2006 - 7 Qu’est ce qu’un certificat électronique X509v3 ? Repose sur l’utilisation des algorithmes asymétriques C’est un couple de clés(privée, publique) indissociables Les clés sont générées ensembles Impossibilité de retrouver une clé par rapport à l’autre Durée de validité limitée Un certificat X509v3 peut être issu pour Une personne physique (certificat personnel) Une machine (certificat de hôte) Un programme (certificat de service) La clé publique Signée par la CA Publiée sur le réseau via le service de publication de la CA Dans le langage courant, elle est appelée certificat La clé privée Conservée sur le poste de l’utilisateur ou sur la machine Chiffrée et protégée par un mot de passe
8
EGEE Sécurité – CGG Novembre 2006 - 8 Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique): Le sujet L’Autorité de Certification émettrice La période de validité du certificat ... Plusieurs formats PKCS12 : Un seul fichier.p12 PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir : La Liste des Certificats Révoqués (CRL) émise par la CA Le certificat de la CA émettrice
9
EGEE Sécurité – CGG Novembre 2006 - 9 Les Autorités de Certification Solution : Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays Catch-All CAs Pays sans CA nationales Politique de gestion des autorités : GRID PMA PMA, Policy Management Authority Etablir des obligations minimales pour les CA Accréditer les CA Auditionner les CA CA France GRID-FR Gérée par le CNRS/UREC
10
EGEE Sécurité – CGG Novembre 2006 - 10 openssl Convertir un certificat du format PKCS12 au format PEM Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique Format PEM # openssl x509 -text -noout -in usercert.pem Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem
11
EGEE Sécurité – CGG Novembre 2006 - 11 Plan Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine
12
EGEE Sécurité – CGG Novembre 2006 - 12 Certificat utilisateur (1) Faire une demande ici : http://igc.services.cnrs.fr/GRID-FR
13
EGEE Sécurité – CGG Novembre 2006 - 13 Certificat utilisateur (2)
14
EGEE Sécurité – CGG Novembre 2006 - 14 Certificat utilisateur (3)
15
EGEE Sécurité – CGG Novembre 2006 - 15 Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande
16
EGEE Sécurité – CGG Novembre 2006 - 16 Certificat utilisateur (5) Vous cliquez sur l’URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée.
17
EGEE Sécurité – CGG Novembre 2006 - 17 Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l ’URL incluse dans le mail
18
EGEE Sécurité – CGG Novembre 2006 - 18 Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options - Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter
19
EGEE Sécurité – CGG Novembre 2006 - 19 Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer
20
EGEE Sécurité – CGG Novembre 2006 - 20 Installation du certificat sur l’UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls –l chmod 400 userkey.pem chmod 444 usercert.pem
21
EGEE Sécurité – CGG Novembre 2006 - 21 Utilisation du certificat Manipulation de proxy Créer un proxy de 12h # voms-proxy-init Créer un proxy avec choix de durée de vie # voms-proxy-init -valid Les information du proxy # voms-proxy-info Détruire un proxy # voms-proxy-destroy Utiliser le proxy Login ftp sur la grille # uberftp -H cws.private.gridprototype
22
EGEE Sécurité – CGG Novembre 2006 - 22 Certificat Machine Vous devez posséder un certificat personnel pour demander un certificat machine Vous recevez votre certificat machine par mail chiffré et signé Vous devez utiliser une messagerie S/MIME avec votre certificat personnel importé. Attention, dans le cas de Thunderbird et Firefox, il faudra l’importer. Ceci étant du à la dissociation des deux logiciels.
23
EGEE Sécurité – CGG Novembre 2006 - 23 Certificat machine (1) Faire une demande ici : http://igc.services.cnrs.fr/GRID-FR Saisissez : - le nom complet de la machine (FQN, cad avec le nom de domaine) - l’email de l’administrateur de la machine
24
EGEE Sécurité – CGG Novembre 2006 - 24 Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers
25
EGEE Sécurité – CGG Novembre 2006 - 25 Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.