uwierzytelnianie i autoryzacja system u ytkownik w wirtualnych
Download
Skip this Video
Download Presentation
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych

Loading in 2 Seconds...

play fullscreen
1 / 23

Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych - PowerPoint PPT Presentation


  • 76 Views
  • Uploaded on

Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych. Michał Jankowski Paweł Wolniewicz Poznańskie Centrum Superkomputerowo Sieciowe [email protected] [email protected] Spis treści. Podstawowe pojęcia Uwierzytelnianie w Globusie Autoryzacja w Globusie

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych' - stephen-navarro


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
uwierzytelnianie i autoryzacja system u ytkownik w wirtualnych

Uwierzytelnianie i autoryzacjaSystem Użytkowników Wirtualnych

Michał Jankowski

Paweł Wolniewicz

Poznańskie Centrum Superkomputerowo Sieciowe

[email protected]

[email protected]

spis tre ci
Spis treści
  • Podstawowe pojęcia
  • Uwierzytelnianie w Globusie
  • Autoryzacja w Globusie
  • System Użytkowników Wirtualnych
  • Informacje praktyczne
uwierzytelnianie authentication
Uwierzytelnianie (Authentication)
  • Udowodnienie tożsamości
    • Skąd komputer ma wiedzieć, że łączy się z nim Kowalski
    • Skąd Kowalski ma wiedzieć, że łączy się z tym komputerem z którym chciał (np. z serwisem bankowym)
autoryzacja authorisation
Autoryzacja (authorisation)
  • Sprawdzenie prawa do przeprowadzenia określonej operacji

Przykłady operacji:

    • Logowanie na maszynę
    • Zlecenie zadania
    • Dostęp do plików
certyfikat
Certyfikat
  • Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy.
  • Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.
centrum certyfikacji certificate authority
Centrum certyfikacji (Certificate authority)
  • Organizacja (lub osoba) wystawiająca certyfikaty.
  • Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu
  • Analogia – urząd miasta wystawiający dowody osobiste
a cuch certyfikat w
Łańcuch certyfikatów

Przykład:

  • Certyfikat Kowalskiego może być podpisany certyfikatem Nowaka, który ma certyfikat podpisany przez PCSS, który ma certyfikat podpisany przez VERISIGN.
  • Plik z certyfikatem Kowalskiego zawiera certyfikat Nowaka i PCSS
  • Klucz publiczny VERISIGN jest na liście domyślnie akceptowanych certyfikatów (np. w Netscape i MSIE)
  • Kowalski jest uwierzytelniony
certyfikat proxy
Certyfikat proxy
  • Certyfikat jest standardowo chroniony hasłem
  • Użycie zwykłego certyfikatu do komunikacji wymagałoby podawania hasła przy przesyłaniu każdej wiadomości lub zlecaniu każdego zadania
  • Certyfikat proxy jest certyfikatem podpisanym przez użytkownika, nie wymagającym hasła, za to o krótkim terminie ważności.
uwierzytelnianie w globusie
Uwierzytelnianie w Globusie
  • Każde połączenie sieciowe w Globusie wykorzystuje certyfikat użytkownika i serwera (lub usługi)
  • Administrator serwera definiuje listę akceptowanych CA w zależności od potrzeb (umieszcza klucze publiczne CA w katalogu /etc/grid-security/certificates)
uwaga
UWAGA!!!!!
  • Akceptowanie certyfikatów CA nie oznacza zezwolenia na dostęp do zasobów.
  • Sprawdzenie i akceptacja certyfikatu gwarantuje jedynie tożsamość osoby łączącej się przez sieć.
  • Administrator zasobów nadaje prawa dostępu do zasobów.
autoryzacja w globusie
Autoryzacja w Globusie
  • Aby uruchamiać zadania w gridzie TRZEBA być wpisanym do pliku grid-mapfile na każdym klastrze w gridzie.
  • Jest to mało praktyczne, dlatego powstał System Użytkowników Wirtualnych (VUS)
vus jak to dzia a
2. Czy Kowalska należy do Clusterix?

1. Uruchom zadanie

6. Wyniki

3. TAK

VUS -jak to działa?

7. Jeśli konto nie jest używane, można na nie zalogować innego użytkownika

Kowalska

VOIS

4. Zaloguj użytkownika na jedno z kont Clusterix (zawsze 1 użytkownik na 1 konto w danej chwili)

5. Wykonaj zadanie

vus charakterystyka
VUS -charakterystyka
  • Użytkownik zamiast ubiegać się o założenie konta w każdym ośrodku, ubiega się o 1 wpis do serwisu VOIS
  • W danej chwili tylko 1 użytkownik korzysta z konta
  • Konta nie są przypisane na stałe, nie można na nich przechowywać własnych danych lub programów
jak uzyska certyfikat polish grid ca
Jak uzyskać certyfikat?Polish Grid CA
  • http://www.man.poznan.pl/plgrid-ca
  • Certyfikat może dostać każda osoba z Polski związana niekomercyjnie z Gridem.
  • Należy utworzyć „certificate request” i wysłać go do RA lub [email protected]
      • W Globusie polecenie grid-cert-request
  • Niezbędny jest kontakt osobisty z osobą współpracującą z CA “Registration Authority” - RA dla potwierdzenia tożsamości .
      • Takie osoby są zdefiniowane w kilku miastach Polski
jak uzyska dost p do clusterixa
Jak uzyskać dostęp do Clusterixa?
  • Skontaktować się z administratorem w najbliższym ośrodku w celu założenia konta.
  • Uzyskać certyfikat podpisany przez Polish Grid CA.
  • Uzyskać wpis do serwisu VOIS – za pośrednictwem administratora w ośrodku.
pytania
Pytania?

http://vus.psnc.pl

http://www.clusterix.pl

[email protected]

szyfrowanie
Szyfrowanie
  • Algorytm z kluczem symetrycznym
      • Ten sam klucz jest używany do szyfrowania i odszyfrowywania.
  • Algorytm z kluczami asymetrycznymi
      • Wiadomość zaszyfrowaną przy pomocy jednego klucza można odszyfrować WYŁĄCZNIE przy użyciu drugiego klucza
      • Duża złożoność obliczeniowa
klucze
Klucze
  • Klucz prywatny – używany tylko przez właściciela – należy go chronić i nikomu nie udostępniać
    • Dla bezpieczeństwa klucz prywatny może być chroniony hasłem
  • Klucz publiczny – dostępny dla wszystkich
szyfrowanie danych
Szyfrowanie danych

A wysyła wiadomość do B

A musi znać klucz publiczny B

Klucz publiczny

... lub czasopisma.

... lub czasopisma.

0Hgdasy6h9h1jqP

Klucz prywatny

Szyfrowanie

Przesyłanie

Odszyfrowanie

podpis cyfrowy
Podpis cyfrowy

A wysyła wiadomość do B

B musi znać klucz publiczny A

Klucz publiczny

Kupuj akcje.

Podpis-OK

Kupuj akcje. 082C67A78D

Klucz prywatny

Weryfikacja

Podpisanie

Przesyłanie

certyfikat x509
Certyfikat X509
  • Tekst zawierający:
    • Unikalną nazwę użytkownika (maszyny, serwisu)
    • Datę ważności (najczęściej 1 rok)
    • Klucz publiczny
  • Powyższy tekst jest podpisany kluczem prywatnym CA
certyfikat1
Klucz publiczny A

Kupuj akcje. 082C67A78D

Certyfikat

A wysyła wiadomość do B z kluczem publicznym w certyfikacie

B musi ufać (znać klucz publiczny) wystawcy certyfikatu

Kupuj akcje.

Certyfikat-OK

Klucz prywatny + (hasło)

Weryfikacja

Podpisanie

Przesyłanie

slide23
CA
  • Jest to certyfikat podpisany samym sobą (Subject=Issuer)
  • Tylko od użytkownika/administratora zależy zaufanie dla danego CA
      • Ufamy, że CA prawidłowo wystawia certyfikaty i tylko dla osób o potwierdzonej tożsamości
  • Każdy może utworzyć CA
ad