Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych
-
Upload
stephen-navarro -
Category
Documents
-
view
33 -
download
0
description
Transcript of Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych
![Page 1: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/1.jpg)
Uwierzytelnianie i autoryzacja
System Użytkowników WirtualnychMichał JankowskiPaweł Wolniewicz
Poznańskie Centrum Superkomputerowo Sieciowe
[email protected]@man.poznan.pl
![Page 2: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/2.jpg)
Spis treści
• Podstawowe pojęcia• Uwierzytelnianie w Globusie• Autoryzacja w Globusie• System Użytkowników Wirtualnych• Informacje praktyczne
![Page 3: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/3.jpg)
Uwierzytelnianie (Authentication)
• Udowodnienie tożsamości– Skąd komputer ma wiedzieć, że łączy się z
nim Kowalski– Skąd Kowalski ma wiedzieć, że łączy się z
tym komputerem z którym chciał (np. z serwisem bankowym)
![Page 4: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/4.jpg)
Autoryzacja (authorisation)
• Sprawdzenie prawa do przeprowadzenia określonej operacjiPrzykłady operacji:– Logowanie na maszynę– Zlecenie zadania– Dostęp do plików
![Page 5: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/5.jpg)
Certyfikat
• Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy.
• Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.
![Page 6: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/6.jpg)
Centrum certyfikacji (Certificate authority)
• Organizacja (lub osoba) wystawiająca certyfikaty.
• Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu
• Analogia – urząd miasta wystawiający dowody osobiste
![Page 7: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/7.jpg)
Łańcuch certyfikatówPrzykład:• Certyfikat Kowalskiego może być podpisany
certyfikatem Nowaka, który ma certyfikat podpisany przez PCSS, który ma certyfikat podpisany przez VERISIGN.
• Plik z certyfikatem Kowalskiego zawiera certyfikat Nowaka i PCSS
• Klucz publiczny VERISIGN jest na liście domyślnie akceptowanych certyfikatów (np. w Netscape i MSIE)
• Kowalski jest uwierzytelniony
![Page 8: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/8.jpg)
Certyfikat proxy• Certyfikat jest standardowo chroniony hasłem
• Użycie zwykłego certyfikatu do komunikacji wymagałoby podawania hasła przy przesyłaniu każdej wiadomości lub zlecaniu każdego zadania
• Certyfikat proxy jest certyfikatem podpisanym przez użytkownika, nie wymagającym hasła, za to o krótkim terminie ważności.
![Page 9: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/9.jpg)
Uwierzytelnianie w Globusie
• Każde połączenie sieciowe w Globusie wykorzystuje certyfikat użytkownika i serwera (lub usługi)
• Administrator serwera definiuje listę akceptowanych CA w zależności od potrzeb (umieszcza klucze publiczne CA w
katalogu /etc/grid-security/certificates)
![Page 10: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/10.jpg)
UWAGA!!!!!• Akceptowanie certyfikatów CA nie
oznacza zezwolenia na dostęp do zasobów.
• Sprawdzenie i akceptacja certyfikatu gwarantuje jedynie tożsamość osoby łączącej się przez sieć.
• Administrator zasobów nadaje prawa dostępu do zasobów.
![Page 11: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/11.jpg)
Autoryzacja w Globusie
• Aby uruchamiać zadania w gridzie TRZEBA być wpisanym do pliku grid-mapfile na każdym klastrze w gridzie.
• Jest to mało praktyczne, dlatego powstał System Użytkowników Wirtualnych (VUS)
![Page 12: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/12.jpg)
VUS -jak to działa?
7. Jeśli konto nie jest używane, można na nie zalogować innego użytkownika
Kowalska
1. Uruchom zadanie
VOIS
2. Czy Kowalska należy do Clusterix?
3. TAK6. Wyniki
4. Zaloguj użytkownika na jedno z kont Clusterix (zawsze 1 użytkownik na 1 konto w danej chwili)
5. Wykonaj zadanie
![Page 13: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/13.jpg)
VUS -charakterystyka• Użytkownik zamiast ubiegać się o
założenie konta w każdym ośrodku, ubiega się o 1 wpis do serwisu VOIS
• W danej chwili tylko 1 użytkownik korzysta z konta
• Konta nie są przypisane na stałe, nie można na nich przechowywać własnych danych lub programów
![Page 14: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/14.jpg)
Jak uzyskać certyfikat?Polish Grid CA
• http://www.man.poznan.pl/plgrid-ca• Certyfikat może dostać każda osoba z Polski
związana niekomercyjnie z Gridem. • Należy utworzyć „certificate request” i wysłać
go do RA lub [email protected]• W Globusie polecenie grid-cert-request
• Niezbędny jest kontakt osobisty z osobą współpracującą z CA “Registration Authority” - RA dla potwierdzenia tożsamości .
• Takie osoby są zdefiniowane w kilku miastach Polski
![Page 15: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/15.jpg)
Jak uzyskać dostęp do Clusterixa?
• Skontaktować się z administratorem w najbliższym ośrodku w celu założenia konta.
• Uzyskać certyfikat podpisany przez Polish Grid CA.
• Uzyskać wpis do serwisu VOIS – za pośrednictwem administratora w ośrodku.
![Page 17: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/17.jpg)
Szyfrowanie
• Algorytm z kluczem symetrycznym• Ten sam klucz jest używany do szyfrowania i
odszyfrowywania.
• Algorytm z kluczami asymetrycznymi• Wiadomość zaszyfrowaną przy pomocy
jednego klucza można odszyfrować WYŁĄCZNIE przy użyciu drugiego klucza
• Duża złożoność obliczeniowa
![Page 18: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/18.jpg)
Klucze
• Klucz prywatny – używany tylko przez właściciela – należy go chronić i nikomu nie udostępniać– Dla bezpieczeństwa klucz prywatny może
być chroniony hasłem
• Klucz publiczny – dostępny dla wszystkich
![Page 19: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/19.jpg)
Szyfrowanie danychA wysyła wiadomość do B
A musi znać klucz publiczny BKlucz publiczny
Klucz prywatny
... lub czasopisma.
0Hgdasy6h9h1jqP
... lub czasopisma.
Szyfrowanie Przesyłanie Odszyfrowanie
![Page 20: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/20.jpg)
Podpis cyfrowyA wysyła wiadomość do B
B musi znać klucz publiczny A
Klucz publiczny
Klucz prywatny
Kupuj akcje.
Kupuj akcje. 082C67A78D
Podpis-OK
Podpisanie Przesyłanie Weryfikacja
![Page 21: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/21.jpg)
Certyfikat X509
• Tekst zawierający:– Unikalną nazwę użytkownika (maszyny,
serwisu)– Datę ważności (najczęściej 1 rok)– Klucz publiczny
• Powyższy tekst jest podpisany kluczem prywatnym CA
![Page 22: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/22.jpg)
CertyfikatA wysyła wiadomość do B z kluczem publicznym w certyfikacie
B musi ufać (znać klucz publiczny) wystawcy certyfikatu
Klucz prywatny + (hasło)
Kupuj akcje.
Certyfikat-OK
Podpisanie Przesyłanie Weryfikacja
Kupuj akcje. 082C67A78D
Klucz publiczny A
![Page 23: Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych](https://reader036.fdocuments.net/reader036/viewer/2022081603/56813168550346895d97df37/html5/thumbnails/23.jpg)
CA
• Jest to certyfikat podpisany samym sobą (Subject=Issuer)
• Tylko od użytkownika/administratora zależy zaufanie dla danego CA
• Ufamy, że CA prawidłowo wystawia certyfikaty i tylko dla osób o potwierdzonej tożsamości
• Każdy może utworzyć CA