Uwierzytelnianie i autoryzacja system u ytkownik w wirtualnych
This presentation is the property of its rightful owner.
Sponsored Links
1 / 23

Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych PowerPoint PPT Presentation


  • 54 Views
  • Uploaded on
  • Presentation posted in: General

Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych. Michał Jankowski Paweł Wolniewicz Poznańskie Centrum Superkomputerowo Sieciowe [email protected] [email protected] Spis treści. Podstawowe pojęcia Uwierzytelnianie w Globusie Autoryzacja w Globusie

Download Presentation

Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Uwierzytelnianie i autoryzacja system u ytkownik w wirtualnych

Uwierzytelnianie i autoryzacjaSystem Użytkowników Wirtualnych

Michał Jankowski

Paweł Wolniewicz

Poznańskie Centrum Superkomputerowo Sieciowe

[email protected]

[email protected]


Spis tre ci

Spis treści

  • Podstawowe pojęcia

  • Uwierzytelnianie w Globusie

  • Autoryzacja w Globusie

  • System Użytkowników Wirtualnych

  • Informacje praktyczne


Uwierzytelnianie authentication

Uwierzytelnianie (Authentication)

  • Udowodnienie tożsamości

    • Skąd komputer ma wiedzieć, że łączy się z nim Kowalski

    • Skąd Kowalski ma wiedzieć, że łączy się z tym komputerem z którym chciał (np. z serwisem bankowym)


Autoryzacja authorisation

Autoryzacja (authorisation)

  • Sprawdzenie prawa do przeprowadzenia określonej operacji

    Przykłady operacji:

    • Logowanie na maszynę

    • Zlecenie zadania

    • Dostęp do plików


Certyfikat

Certyfikat

  • Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy.

  • Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.


Centrum certyfikacji certificate authority

Centrum certyfikacji (Certificate authority)

  • Organizacja (lub osoba) wystawiająca certyfikaty.

  • Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu

  • Analogia – urząd miasta wystawiający dowody osobiste


A cuch certyfikat w

Łańcuch certyfikatów

Przykład:

  • Certyfikat Kowalskiego może być podpisany certyfikatem Nowaka, który ma certyfikat podpisany przez PCSS, który ma certyfikat podpisany przez VERISIGN.

  • Plik z certyfikatem Kowalskiego zawiera certyfikat Nowaka i PCSS

  • Klucz publiczny VERISIGN jest na liście domyślnie akceptowanych certyfikatów (np. w Netscape i MSIE)

  • Kowalski jest uwierzytelniony


Certyfikat proxy

Certyfikat proxy

  • Certyfikat jest standardowo chroniony hasłem

  • Użycie zwykłego certyfikatu do komunikacji wymagałoby podawania hasła przy przesyłaniu każdej wiadomości lub zlecaniu każdego zadania

  • Certyfikat proxy jest certyfikatem podpisanym przez użytkownika, nie wymagającym hasła, za to o krótkim terminie ważności.


Uwierzytelnianie w globusie

Uwierzytelnianie w Globusie

  • Każde połączenie sieciowe w Globusie wykorzystuje certyfikat użytkownika i serwera (lub usługi)

  • Administrator serwera definiuje listę akceptowanych CA w zależności od potrzeb (umieszcza klucze publiczne CA w katalogu /etc/grid-security/certificates)


Uwaga

UWAGA!!!!!

  • Akceptowanie certyfikatów CA nie oznacza zezwolenia na dostęp do zasobów.

  • Sprawdzenie i akceptacja certyfikatu gwarantuje jedynie tożsamość osoby łączącej się przez sieć.

  • Administrator zasobów nadaje prawa dostępu do zasobów.


Autoryzacja w globusie

Autoryzacja w Globusie

  • Aby uruchamiać zadania w gridzie TRZEBA być wpisanym do pliku grid-mapfile na każdym klastrze w gridzie.

  • Jest to mało praktyczne, dlatego powstał System Użytkowników Wirtualnych (VUS)


Vus jak to dzia a

2. Czy Kowalska należy do Clusterix?

1. Uruchom zadanie

6. Wyniki

3. TAK

VUS -jak to działa?

7. Jeśli konto nie jest używane, można na nie zalogować innego użytkownika

Kowalska

VOIS

4. Zaloguj użytkownika na jedno z kont Clusterix (zawsze 1 użytkownik na 1 konto w danej chwili)

5. Wykonaj zadanie


Vus charakterystyka

VUS -charakterystyka

  • Użytkownik zamiast ubiegać się o założenie konta w każdym ośrodku, ubiega się o 1 wpis do serwisu VOIS

  • W danej chwili tylko 1 użytkownik korzysta z konta

  • Konta nie są przypisane na stałe, nie można na nich przechowywać własnych danych lub programów


Jak uzyska certyfikat polish grid ca

Jak uzyskać certyfikat?Polish Grid CA

  • http://www.man.poznan.pl/plgrid-ca

  • Certyfikat może dostać każda osoba z Polski związana niekomercyjnie z Gridem.

  • Należy utworzyć „certificate request” i wysłać go do RA lub [email protected]

    • W Globusie polecenie grid-cert-request

  • Niezbędny jest kontakt osobisty z osobą współpracującą z CA “Registration Authority” - RA dla potwierdzenia tożsamości .

    • Takie osoby są zdefiniowane w kilku miastach Polski


  • Jak uzyska dost p do clusterixa

    Jak uzyskać dostęp do Clusterixa?

    • Skontaktować się z administratorem w najbliższym ośrodku w celu założenia konta.

    • Uzyskać certyfikat podpisany przez Polish Grid CA.

    • Uzyskać wpis do serwisu VOIS – za pośrednictwem administratora w ośrodku.


    Pytania

    Pytania?

    http://vus.psnc.pl

    http://www.clusterix.pl

    [email protected]


    Szyfrowanie

    Szyfrowanie

    • Algorytm z kluczem symetrycznym

      • Ten sam klucz jest używany do szyfrowania i odszyfrowywania.

  • Algorytm z kluczami asymetrycznymi

    • Wiadomość zaszyfrowaną przy pomocy jednego klucza można odszyfrować WYŁĄCZNIE przy użyciu drugiego klucza

    • Duża złożoność obliczeniowa


  • Klucze

    Klucze

    • Klucz prywatny – używany tylko przez właściciela – należy go chronić i nikomu nie udostępniać

      • Dla bezpieczeństwa klucz prywatny może być chroniony hasłem

    • Klucz publiczny – dostępny dla wszystkich


    Szyfrowanie danych

    Szyfrowanie danych

    A wysyła wiadomość do B

    A musi znać klucz publiczny B

    Klucz publiczny

    ... lub czasopisma.

    ... lub czasopisma.

    0Hgdasy6h9h1jqP

    Klucz prywatny

    Szyfrowanie

    Przesyłanie

    Odszyfrowanie


    Podpis cyfrowy

    Podpis cyfrowy

    A wysyła wiadomość do B

    B musi znać klucz publiczny A

    Klucz publiczny

    Kupuj akcje.

    Podpis-OK

    Kupuj akcje. 082C67A78D

    Klucz prywatny

    Weryfikacja

    Podpisanie

    Przesyłanie


    Certyfikat x509

    Certyfikat X509

    • Tekst zawierający:

      • Unikalną nazwę użytkownika (maszyny, serwisu)

      • Datę ważności (najczęściej 1 rok)

      • Klucz publiczny

    • Powyższy tekst jest podpisany kluczem prywatnym CA


    Certyfikat1

    Klucz publiczny A

    Kupuj akcje. 082C67A78D

    Certyfikat

    A wysyła wiadomość do B z kluczem publicznym w certyfikacie

    B musi ufać (znać klucz publiczny) wystawcy certyfikatu

    Kupuj akcje.

    Certyfikat-OK

    Klucz prywatny + (hasło)

    Weryfikacja

    Podpisanie

    Przesyłanie


    Uwierzytelnianie i autoryzacja system u ytkownik w wirtualnych

    CA

    • Jest to certyfikat podpisany samym sobą (Subject=Issuer)

    • Tylko od użytkownika/administratora zależy zaufanie dla danego CA

      • Ufamy, że CA prawidłowo wystawia certyfikaty i tylko dla osób o potwierdzonej tożsamości

  • Każdy może utworzyć CA


  • Login