Конференція Високопродуктивні обчислення, Київ, 13-15 жовтня 2014

Грід-сертифікати є основною перешкодою гріда

Протягом останніх 10 років європейська грід-спільнота суттєво змінила своє ставлення до моделі безпеки, яка базується на сертифікатах X.509. Багато діючих та потенціальних спільнот користувачів EGI вважають доступ, оснований на персональних сертифікатах, одним з основних бар’єрів для впровадження гріда.

Деякі з цих спільнот, разом із командами розробників із національних грід-інфраструктур, створюють системи, які спрощують доступ користувачам або навіть повністю прибирають процедуру логіну за сертифікатом.

Огляд таких систем наведений у недавно опублікованому звіті (Authentication solutions in the European Grid Infrastructure). Ця стаття підсумовує підходи до розподіленої авторизації (Identity federations), засновані на концепції логіна та пароля (Ред. Federated identity - інформаційна технологія, яка об’єднує дані про особу, які зберігаються у різних системах авторизації. Завдяки цьому створюється система єдиного входу, коли один авторизований вхід надає доступ до різних інформаційних систем, які довіряють одна одній, наприклад аккаунт gmail надає доступ в Youtube, Facebook).

Така розподілена авторизація дозволяє користувачам використовувати сервіси EGI за допомогою їх логіна та пароля, виданих інститутом, у якому вони працюють. Тих самих, якими вони користуються у внутрішній локальній мережі та перевіряють електронну пошту.

Є два варіанти інтегрування розподіленої авторизації у грід-сервіси, які надають NGI:

  • грід та хмарні сайти можуть мати відповідні сервіси, які звертаються до відповідних розподілених систем авторизації;
  • сайти можуть бути інтегровані з розподіленою системою авторизації, що транслює аккаунти користувачів у грід-сертифікати, які потім використовуються для роботи з грід-сайтами.

Перший варіант потребує суттєвих змін у всьому ПЗ гріда і великого об’єму програмістської роботи.

Другий варіант потребує значно менших зусиль і може бути створений як надбудова існуючого ПЗ гріда.

У деяких національних грід-інфраструктурах вже розроблено системи-шлюзи, які ховають від користувачів складності грід-ПЗ. Це INFN Catania (Catania Science Gateway Framework), проект SCI-BUS (WS-PGRADE Science Gateway Technology) та Swiss NGI GridCertLib (Ред. В Україні можна назвати проект SCMS EMI, який розвивається за підтримки Українського національного гріда). Ці та інші рішення будуть представлені на EGI Technical Forum 2012, на якому планується розробити план розвитку та гармонізації цих рішень.

Іншим важливим проектом EGI є система розподіленої авторизації Grid Identity Pool (GrIDP), який нещодавно був розпочатий командою розробників з INFN Catania.

GrIDP — це відкрите об’єднання, яке має сприяти міжнародним спільнотам доступу до e-інфраструктур. Об’єднання на сьогодні включає 14 провайдерів сервісів, щоі є науковими порталами, які надають проблемно-орієнтовані сервіси та системи EGI Single Sign On identity database (SSO). Акаунт у EGI SSO надає доступ до багатьох сервісів EGI, зокрема Applications Database.

Наступними кроками розвитку системи розподіленої авторизації EGI є:

  • подальше розширення об’єднання GrIDP провайдерами послуг та авторизації;
  • визначення систем, які забезпечують надійну авторизацію, тобто, що персона, яка пройшла авторизацію, дійсно має надані повноваження;
  • розширення системи сервісами додаткових атрибутів, облікових записів для збереження в обліковому записі інформації проекту чи експерименту, у яких бере участь користувач. Це може бути необхідним для авторизації у певний проект. На сьогодні кандидатами у такі сервіси є Grouper з Internet2 та COIP з Nordunet.

Ці розробки та напевно інші будуть обговорюватись на семінарі VO Architectural Middleware Planning  у м. Утрехт (Нідерланди) та на EGI Technical Forum 2012 у м. Прага (Чехія).

Оригінал публікації

Гергелі Сіпос, керівник відділу підтримки спільнот користувачів EGI.

Теги: EGI, NGI, X.509, грід, сертифікат

Матеріали за темою:

Коментарі