Verwendung von Zertifikaten im D-Grid - D-Grid Integrationsprojekt 2 (DGI-2)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
D-Grid Integrationsprojekt 2 (DGI-2) Fachgebiet 3.1 Koordination und Sicherheitsmanagement Verwendung von Zertifikaten im D-Grid Version 1.0, 27. März 2008
Autoren: Gerti Foest (DFN-Verein) Christian Grimm (RRZN, Leibniz Universität Hannover) Marcus Pattloch (DFN-Verein) Stefan Piger (RRZN, Leibniz Universität Hannover) Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bundesministeriums für Bil- dung und Forschung unter dem Förderkennzeichen 01IG07014 gefördert. Die Verantwortung für den Inhalt dieser Veröffentlichung liegt bei den Autoren.
Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1 1 Management Summary Die Authentifizierung und Autorisierung für den Zugriff auf Ressourcen im Grid erfolgt anhand so ge- nannter Proxy-Zertifikate. Proxy-Zertifikate werden von Nutzerzertifikaten abgeleitet und bei der Bear- beitung von Grid-Workflows automatisch durch Grid-Ressourcen generiert. Im D-Grid werden Nutzer- zertifikate akzeptiert, deren ausstellende Zertifizierungsstelle (CA) durch die International Grid Trust Federation (IGTF), d.h. in Europa durch die EUGridPMA, akkreditiert ist (vergl. DGI-1 FG-3.4 Delive- rable „Authentifizierung im D-Grid“). Für die Akzeptanz von Zertifikaten weiterer, nicht EUGridPMA akkreditierter CAs sowie für die Akzep- tanz von Nutzer-Credentials (z.B. Username/Passwort) aus etablierten Identity Management Syste- men (IdM) im D-Grid wird folgende Regelung getroffen: Ein bei der IGTF-akkreditierter Short Lived Credential Service (SLCS) stellt kurzlebige Nut- zerzertifikate (Short Lived Certificates, SLC) aus, von denen Proxy-Zertifikate für die Ver- wendung im D-Grid abgeleitet werden können. Die sich damit ergebenden Möglichkeiten zur Erzeugung von Proxy-Zertifikaten für Nutzer im D-Grid sind in Abbildung 1 dargestellt. IGTF-akkreditiertes nicht IGTF-akkreditiertes Nutzerzertifikat Nutzerzertifikat Nutzer- Credential (mit persönlicher Identifizierung) (mit persönlicher Identifizierung) (mit persönlicher Identifizierung) SLC (von IGTF-akkreditiertem SLCS ausgestellt) Proxy-Zertifikat zur Nutzung im D-Grid Abb. 1 Möglichkeiten zur Erzeugung von Proxy-Zertifikaten für Nutzer im D-Grid Eine notwendige Voraussetzung für die Akzeptanz von Nutzerzertifikaten oder anderen Nutzer- Credentials im D-Grid ist immer, dass vor deren Ausstellung eine persönliche Identifizierung des Nutzers erfolgt. Entsprechendes gilt für die persönliche Identifizierung der Verantwortlichen für Ressourcen bei der Ausstellung von Host- bzw. Service-Zertifikaten. Einrichtungen, die einen SLCS nutzen wollen, müssen an einer Authentication and Authorizati- on Infrastructure (AAI) teilnehmen. Für das D-Grid wird ein solcher SLCS zurzeit auf Basis der DFN-AAI pilotiert und im Laufe des Jahres 2008 in einen Regelbetrieb mit IGTF-Akkreditierung über- führt. – 3 –
DGI-2 FG-3.1 Verwendung von Zertifikaten im D-Grid 2 Ziel dieses Dokuments Dieses Dokument beschreibt, welche Zertifikate und sonstigen Nutzer-Credentials im D-Grid verwen- det werden können. Dabei stehen zwei Faktoren im Vordergrund: • die Sicherheit der Ressourcen (Rechner, Daten, Speicher, Programme) im D-Grid, • die internationale Einbindung des D-Grid in den weltweiten Verbund von Grid-Aktivitäten. Ziel des Dokumentes ist es, die verbindlichen Regelungen für die Nutzung von Zertifikaten im D-Grid zu beschreiben. Berücksichtigt wird in diesem Dokument der Wunsch einiger Communities, mit Nutzerzertifikaten von CAs außerhalb der IGTF auf Ressourcen im D-Grid zugreifen zu können. Wie dies möglich ist, wird im Kapitel 5 beschrieben. In diesem Dokument wird auch festgelegt, welchen Mindestanforderungen Authentisierungsverfahren genügen müssen, um die Sicherheit im D-Grid zu gewährleisten. Verfahren, die diese Mindestanforde- rungen nicht erfüllen, können deshalb im D-Grid nicht verwendet werden. Dies ist ein wichtiger As- pekt, um die sichere Nutzung von D-Grid Ressourcen auch durch Unternehmen der Wirtschaft zu ermöglichen. 3 Bedeutung von Zertifikaten im D-Grid Das D-Grid umfasst erhebliche Hardware-Ressourcen, überwiegend in Form von Rechenclustern und Speichersystemen. Auf diesen Ressourcen werden Programme ausgeführt, deren Nutzung z.T. ko- stenpflichtig ist. Weiterhin werden von einigen Communities Daten verarbeitet und gespeichert, die z.T. ebenfalls kostenpflichtig sind oder z.B. aufgrund geltender Gesetze vor Einsichtnahme Dritter zu schützen sind. Die geeignete Vergabe und Durchsetzung von Berechtigungen (Autorisierung) für den Zugriff auf Hardware-Ressourcen, Programme und Daten im D-Grid ist somit unerlässlich, um eine den Anforde- rungen der unterschiedlichen Communities genügende Infrastruktur aufbauen und betreiben zu kön- nen. Voraussetzung für eine Zugriffskontrolle ist ein sicherer Nachweis der behaupteten Identität der Kommunikationspartner (Authentifizierung). Als Kommunikationspartner im Grid treten sowohl Nutzer als auch Hosts bzw. Services auf. Da eine direkte gegenseitige Identifizierung aller Kommunikationspartner und Ressourcen in Grids nicht skaliert, ist eine einheitliche Authentifizierungsinfrastruktur, der alle Beteiligten gleichermaßen vertrauen, von grundlegender Bedeutung. Mit dem Globus Toolkit 2 wurde deshalb die Authentifizie- rung von Nutzern, Hosts und Services in Grids auf Basis von Zertifikaten eingeführt. Dieser Ansatz wurde von den Grid Middlewares gLite und UNICORE übernommen und mittlerweile auf die Autorisie- rung erweitert, so dass Zertifikate heute die einheitliche Grundlage zur Authentifizierung und Autorisie- rung im D-Grid und auch in internationalen Grids darstellen. Zur Verwendung von Zertifikaten werden Public Key Infrastructures (PKI) aufgebaut, in denen CAs für die Kommunikationspartner digitale Zertifikate nach X.509 ausstellen. Diese ermöglichen eine starke Authentifizierung von Kommunikationspartnern ohne vorhergehende direkte gegenseitige Identifizie- rung. Um das notwendige Vertrauen in Zertifikate zu etablieren, verlangen die in Grids akzeptierten CAs in ihrer Rolle als vertrauenswürdige Dritte (Trusted Third Parties) eine persönliche Identifizierung der Zertifikatsnehmer, d.h. sowohl von Nutzern als auch von den Verantwortlichen für die Hosts bzw. Ser- vices. Die Identifizierung erfolgt gegenüber den CAs bzw. den angeschlossenen Registrierungsstellen (Registration Authorities - RAs). Nach erfolgter Identifizierung und Ausstellung eines X.509 Zertifikats durch die CA ist eine Authentifizierung der Kommunikationspartner möglich. – 4 –
Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1 Eine notwendige Voraussetzung für die erfolgreiche Authentifizierung eines Kommunikationspartners ist das Vertrauen in die CA, die dessen Zertifikat ausgestellt hat. Die Entscheidung, welcher CA eine Institution vertraut, liegt allein in ihrer Verantwortung und setzt die Akzeptanz der Richtlinien (Policies) der CA voraus. Die in Grids akzeptierten CAs arbeiten nach harmonisierten Richtlinien, die in der IGTF, in Europa der EUGridPMA, abgestimmt sind. 4 „Klassische“ IGTF-Zertifikate Im D-Grid und in nahezu allen weiteren nationalen- und internationalen Grids werden ausschließlich Zertifikate akzeptiert, die von CAs ausgestellt wurden, die bei der IGTF akkreditiert sind. Die IGTF vereinigt die drei regionalen Policy Management Authorities in Europa (EUGridPMA), Amerika (TAGPMA) und im pazifischen Raum (APGridPMA) zum weltweiten Verbund für die Festlegung von Regelungen zu Grid-Zertifikaten. Insbesondere pflegt die IGTF ein Repository von Zertifikaten derjenigen CAs, die die Anforderungen („Minimum Requirements“) der IGTF an Zertifikate einhalten. Da die Policies der IGTF weltweit abge- stimmt sind, werden diese Zertifikate auch weltweit in Grids anerkannt. 5 „Neue Zertifikate“ – Short Lived Certificates Von einigen D-Grid Communities und Projekten, z.B. C3-Grid, TextGrid oder IVOM, wird gewünscht, eigene PKIs bzw. bestehende IdM-Systeme für die Authentifizierung von Nutzern und Ressourcen im Grid verwenden zu können. Um dieser Forderung entgegen zu kommen, ist die Einführung eines von der EUGridPMA akkreditierten SLCS durch den DFN-Verein geplant. Der SLCS besteht aus einem Shibboleth Service Provider (SP), der für die Authentifizierung die DFN-AAI nutzt. Weiterhin enthält er eine Online-CA, die nach erfolgreicher Authentifizierung SLCs ausstellt. Durch die Verwendung des SLCS können auch Zertifikate nicht EUGRidPMA akkreditierter CAs sowie andere Nutzer-Credentials zur Authentifizierung im D-Grid eingesetzt werden. Eine Authentifizierung an internationalen Grid-Ressourcen wird nach Akkreditierung des SLCS durch die EUGridPMA eben- falls möglich sein. Die durch den SLCS ausgestellten SLCs werden wie herkömmliche Grid-Nutzerzertifikate für die Ab- leitung von Proxy-Zertifikaten zur Verwendung im Grid eingesetzt. Die direkte Nutzung von SLCs an- statt von abgeleiteten Proxy-Zertifikaten wird aufgrund der als zu lang erachteten Gültigkeitsdauer von ca. 11 Tagen nicht empfohlen. Zudem können die zur Autorisierung erforderlichen Attribute aus- schließlich in Proxy-Zertifikate eingebunden werden. Die Verwendung von SLCs für die Authentifizierung von Grid-Ressourcen als Ersatz für Host- oder Service-Zertifikate ist nicht möglich. Für diese sind auch zukünftig Zertifikate von herkömmlichen Grid- CAs erforderlich. Aufgrund der geringen Anzahl von Ressourcen gegenüber Nutzern im D-Grid stellt dies jedoch kein grundsätzliches Problem dar. 6 Status und Ausblick Die Ausstellung von EUGridPMA-akkreditierten Zertifikaten ist für alle, d.h. auch die kommerziellen Partner im D-Grid, einfach und effizient realisiert und hat sich in den vergangenen Jahren bewährt. Dies zeigt sich u.a. daran, dass von den beiden in Deutschland akkreditierten CAs (FZ Karlsruhe, DFN-Verein) für mehr als 100 Einrichtungen bereits mehrere tausend Grid-Zertifikate ausgestellt wur- den. Von einigen Partnern im D-Grid wird eine Alternative zu von den beiden Grid-CAs ausgestellten Zerti- fikaten gewünscht. Für diese Partner wird der reguläre Betrieb eines SLCS vorbereitet, der eine Au- thentifizierung sowohl mittels Zertifikaten ermöglicht, die nicht von EUGridPMA-akkreditierten CAs ausgestellt wurden, als auch mittels IdM-Systemen, die auf anderen Nutzer-Credentials basieren. – 5 –
DGI-2 FG-3.1 Verwendung von Zertifikaten im D-Grid Der DFN-Verein betreibt bereits seit einigen Monaten einen SLCS in der Pilotphase. Dieser kann bei Interesse schon jetzt in Absprache mit DGI-2 FG-3.1 genutzt werden. Auf Basis des Probebetriebs und im engen Kontakt zu den Communities im D-Grid und zum IVOM-Projekt wird derzeit eine Spezi- fikation für den regulären Betrieb eines allgemein im D-Grid akzeptierten SLCS erarbeitet. Vorausset- zung für die Nutzung des SLCS ist die Teilnahme der Einrichtungen an der DFN-AAI. Neben der Tatsache, dass ein solcher Dienst die Anforderungen der D-Grid Communities abdecken muss, steht dabei auch das Ziel im Vordergrund, diesen SLCS bei der EUGridPMA zu akkreditieren. Nur durch eine solche Akkreditierung kann erreicht werden, dass die entsprechende SLCS-CA in das Repository der IGTF aufgenommen wird und die SLCS-Zertifikate somit weltweit akzeptiert werden. Auf der EUGridPMA-Sitzung im Januar 2008 hat der DFN-Verein diese Planungen bereits angekün- digt und dabei wichtige Hinweise erhalten, welche Gesichtspunkte für eine erfolgreiche Akkreditierung berücksichtigt werden müssen. Ziel ist es, einen IGTF-akkreditierten SLCS im Jahr 2008 durch den DFN-Verein anzubieten. – 6 –
Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1 Abkürzungen und Glossar AAI Authentication and Authorization Infrastructure Akkreditierung Prozess der IGTF, in dessen Rahmen die Übereinstimmung der Policy einer CA mit den "Minimum Requirements" bestätigt wird. Eine Forderung der "Minimum Requirements" ist die persönliche Identifizierung der Zertifikatsnehmer. APGridPMA Asia-Pacific Grid PMA CA Certificate Authority Credential Ein Nachweis zur Bestätigung der Identität einer Person oder Ressource (z.B. ein Zertifikat mit zugehörigem privatem Schlüssel oder die Kombination aus Userna- me / Password) EUGridPMA European Grid PMA IdM Identity Management IVOM Interoperabilität und Integration der VO-Management Technologien im D-Grid IGTF International Grid Trust Federation PKI Public Key Infrastructure PMA Policy Management Authority Proxy-Zertifikate Werden von Nutzerzertifikaten abgeleitet und für den Zugriff auf Ressourcen im Grid verwendet. RA Registration Authority SLC Short Lived Certificate SLCS Short Lived Credential Service TAGPMA The Americas Grid PMA VO Virtual Organization – 7 –
Sie können auch lesen