Verwendung von Zertifikaten im D-Grid - D-Grid Integrationsprojekt 2 (DGI-2)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
D-Grid Integrationsprojekt 2 (DGI-2)
Fachgebiet 3.1
Koordination und Sicherheitsmanagement
Verwendung von
Zertifikaten im D-Grid
Version 1.0, 27. März 2008Autoren: Gerti Foest (DFN-Verein) Christian Grimm (RRZN, Leibniz Universität Hannover) Marcus Pattloch (DFN-Verein) Stefan Piger (RRZN, Leibniz Universität Hannover) Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bundesministeriums für Bil- dung und Forschung unter dem Förderkennzeichen 01IG07014 gefördert. Die Verantwortung für den Inhalt dieser Veröffentlichung liegt bei den Autoren.
Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1
1 Management Summary
Die Authentifizierung und Autorisierung für den Zugriff auf Ressourcen im Grid erfolgt anhand so ge-
nannter Proxy-Zertifikate. Proxy-Zertifikate werden von Nutzerzertifikaten abgeleitet und bei der Bear-
beitung von Grid-Workflows automatisch durch Grid-Ressourcen generiert. Im D-Grid werden Nutzer-
zertifikate akzeptiert, deren ausstellende Zertifizierungsstelle (CA) durch die International Grid Trust
Federation (IGTF), d.h. in Europa durch die EUGridPMA, akkreditiert ist (vergl. DGI-1 FG-3.4 Delive-
rable „Authentifizierung im D-Grid“).
Für die Akzeptanz von Zertifikaten weiterer, nicht EUGridPMA akkreditierter CAs sowie für die Akzep-
tanz von Nutzer-Credentials (z.B. Username/Passwort) aus etablierten Identity Management Syste-
men (IdM) im D-Grid wird folgende Regelung getroffen:
Ein bei der IGTF-akkreditierter Short Lived Credential Service (SLCS) stellt kurzlebige Nut-
zerzertifikate (Short Lived Certificates, SLC) aus, von denen Proxy-Zertifikate für die Ver-
wendung im D-Grid abgeleitet werden können.
Die sich damit ergebenden Möglichkeiten zur Erzeugung von Proxy-Zertifikaten für Nutzer im D-Grid
sind in Abbildung 1 dargestellt.
IGTF-akkreditiertes nicht IGTF-akkreditiertes
Nutzerzertifikat Nutzerzertifikat Nutzer- Credential
(mit persönlicher Identifizierung) (mit persönlicher Identifizierung) (mit persönlicher Identifizierung)
SLC
(von IGTF-akkreditiertem
SLCS ausgestellt)
Proxy-Zertifikat zur Nutzung im D-Grid
Abb. 1 Möglichkeiten zur Erzeugung von Proxy-Zertifikaten für Nutzer im D-Grid
Eine notwendige Voraussetzung für die Akzeptanz von Nutzerzertifikaten oder anderen Nutzer-
Credentials im D-Grid ist immer, dass vor deren Ausstellung eine persönliche Identifizierung
des Nutzers erfolgt. Entsprechendes gilt für die persönliche Identifizierung der Verantwortlichen für
Ressourcen bei der Ausstellung von Host- bzw. Service-Zertifikaten.
Einrichtungen, die einen SLCS nutzen wollen, müssen an einer Authentication and Authorizati-
on Infrastructure (AAI) teilnehmen. Für das D-Grid wird ein solcher SLCS zurzeit auf Basis der
DFN-AAI pilotiert und im Laufe des Jahres 2008 in einen Regelbetrieb mit IGTF-Akkreditierung über-
führt.
– 3 –DGI-2 FG-3.1 Verwendung von Zertifikaten im D-Grid
2 Ziel dieses Dokuments
Dieses Dokument beschreibt, welche Zertifikate und sonstigen Nutzer-Credentials im D-Grid verwen-
det werden können. Dabei stehen zwei Faktoren im Vordergrund:
• die Sicherheit der Ressourcen (Rechner, Daten, Speicher, Programme) im D-Grid,
• die internationale Einbindung des D-Grid in den weltweiten Verbund von Grid-Aktivitäten.
Ziel des Dokumentes ist es, die verbindlichen Regelungen für die Nutzung von Zertifikaten im D-Grid
zu beschreiben.
Berücksichtigt wird in diesem Dokument der Wunsch einiger Communities, mit Nutzerzertifikaten von
CAs außerhalb der IGTF auf Ressourcen im D-Grid zugreifen zu können. Wie dies möglich ist, wird im
Kapitel 5 beschrieben.
In diesem Dokument wird auch festgelegt, welchen Mindestanforderungen Authentisierungsverfahren
genügen müssen, um die Sicherheit im D-Grid zu gewährleisten. Verfahren, die diese Mindestanforde-
rungen nicht erfüllen, können deshalb im D-Grid nicht verwendet werden. Dies ist ein wichtiger As-
pekt, um die sichere Nutzung von D-Grid Ressourcen auch durch Unternehmen der Wirtschaft zu
ermöglichen.
3 Bedeutung von Zertifikaten im D-Grid
Das D-Grid umfasst erhebliche Hardware-Ressourcen, überwiegend in Form von Rechenclustern und
Speichersystemen. Auf diesen Ressourcen werden Programme ausgeführt, deren Nutzung z.T. ko-
stenpflichtig ist. Weiterhin werden von einigen Communities Daten verarbeitet und gespeichert, die
z.T. ebenfalls kostenpflichtig sind oder z.B. aufgrund geltender Gesetze vor Einsichtnahme Dritter zu
schützen sind.
Die geeignete Vergabe und Durchsetzung von Berechtigungen (Autorisierung) für den Zugriff auf
Hardware-Ressourcen, Programme und Daten im D-Grid ist somit unerlässlich, um eine den Anforde-
rungen der unterschiedlichen Communities genügende Infrastruktur aufbauen und betreiben zu kön-
nen. Voraussetzung für eine Zugriffskontrolle ist ein sicherer Nachweis der behaupteten Identität der
Kommunikationspartner (Authentifizierung). Als Kommunikationspartner im Grid treten sowohl Nutzer
als auch Hosts bzw. Services auf.
Da eine direkte gegenseitige Identifizierung aller Kommunikationspartner und Ressourcen in Grids
nicht skaliert, ist eine einheitliche Authentifizierungsinfrastruktur, der alle Beteiligten gleichermaßen
vertrauen, von grundlegender Bedeutung. Mit dem Globus Toolkit 2 wurde deshalb die Authentifizie-
rung von Nutzern, Hosts und Services in Grids auf Basis von Zertifikaten eingeführt. Dieser Ansatz
wurde von den Grid Middlewares gLite und UNICORE übernommen und mittlerweile auf die Autorisie-
rung erweitert, so dass Zertifikate heute die einheitliche Grundlage zur Authentifizierung und Autorisie-
rung im D-Grid und auch in internationalen Grids darstellen.
Zur Verwendung von Zertifikaten werden Public Key Infrastructures (PKI) aufgebaut, in denen CAs für
die Kommunikationspartner digitale Zertifikate nach X.509 ausstellen. Diese ermöglichen eine starke
Authentifizierung von Kommunikationspartnern ohne vorhergehende direkte gegenseitige Identifizie-
rung.
Um das notwendige Vertrauen in Zertifikate zu etablieren, verlangen die in Grids akzeptierten CAs in
ihrer Rolle als vertrauenswürdige Dritte (Trusted Third Parties) eine persönliche Identifizierung der
Zertifikatsnehmer, d.h. sowohl von Nutzern als auch von den Verantwortlichen für die Hosts bzw. Ser-
vices. Die Identifizierung erfolgt gegenüber den CAs bzw. den angeschlossenen Registrierungsstellen
(Registration Authorities - RAs). Nach erfolgter Identifizierung und Ausstellung eines X.509 Zertifikats
durch die CA ist eine Authentifizierung der Kommunikationspartner möglich.
– 4 –Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1
Eine notwendige Voraussetzung für die erfolgreiche Authentifizierung eines Kommunikationspartners
ist das Vertrauen in die CA, die dessen Zertifikat ausgestellt hat. Die Entscheidung, welcher CA eine
Institution vertraut, liegt allein in ihrer Verantwortung und setzt die Akzeptanz der Richtlinien (Policies)
der CA voraus. Die in Grids akzeptierten CAs arbeiten nach harmonisierten Richtlinien, die in der
IGTF, in Europa der EUGridPMA, abgestimmt sind.
4 „Klassische“ IGTF-Zertifikate
Im D-Grid und in nahezu allen weiteren nationalen- und internationalen Grids werden ausschließlich
Zertifikate akzeptiert, die von CAs ausgestellt wurden, die bei der IGTF akkreditiert sind. Die IGTF
vereinigt die drei regionalen Policy Management Authorities in Europa (EUGridPMA), Amerika
(TAGPMA) und im pazifischen Raum (APGridPMA) zum weltweiten Verbund für die Festlegung von
Regelungen zu Grid-Zertifikaten.
Insbesondere pflegt die IGTF ein Repository von Zertifikaten derjenigen CAs, die die Anforderungen
(„Minimum Requirements“) der IGTF an Zertifikate einhalten. Da die Policies der IGTF weltweit abge-
stimmt sind, werden diese Zertifikate auch weltweit in Grids anerkannt.
5 „Neue Zertifikate“ – Short Lived Certificates
Von einigen D-Grid Communities und Projekten, z.B. C3-Grid, TextGrid oder IVOM, wird gewünscht,
eigene PKIs bzw. bestehende IdM-Systeme für die Authentifizierung von Nutzern und Ressourcen im
Grid verwenden zu können. Um dieser Forderung entgegen zu kommen, ist die Einführung eines von
der EUGridPMA akkreditierten SLCS durch den DFN-Verein geplant. Der SLCS besteht aus einem
Shibboleth Service Provider (SP), der für die Authentifizierung die DFN-AAI nutzt. Weiterhin enthält er
eine Online-CA, die nach erfolgreicher Authentifizierung SLCs ausstellt.
Durch die Verwendung des SLCS können auch Zertifikate nicht EUGRidPMA akkreditierter CAs sowie
andere Nutzer-Credentials zur Authentifizierung im D-Grid eingesetzt werden. Eine Authentifizierung
an internationalen Grid-Ressourcen wird nach Akkreditierung des SLCS durch die EUGridPMA eben-
falls möglich sein.
Die durch den SLCS ausgestellten SLCs werden wie herkömmliche Grid-Nutzerzertifikate für die Ab-
leitung von Proxy-Zertifikaten zur Verwendung im Grid eingesetzt. Die direkte Nutzung von SLCs an-
statt von abgeleiteten Proxy-Zertifikaten wird aufgrund der als zu lang erachteten Gültigkeitsdauer von
ca. 11 Tagen nicht empfohlen. Zudem können die zur Autorisierung erforderlichen Attribute aus-
schließlich in Proxy-Zertifikate eingebunden werden.
Die Verwendung von SLCs für die Authentifizierung von Grid-Ressourcen als Ersatz für Host- oder
Service-Zertifikate ist nicht möglich. Für diese sind auch zukünftig Zertifikate von herkömmlichen Grid-
CAs erforderlich. Aufgrund der geringen Anzahl von Ressourcen gegenüber Nutzern im D-Grid stellt
dies jedoch kein grundsätzliches Problem dar.
6 Status und Ausblick
Die Ausstellung von EUGridPMA-akkreditierten Zertifikaten ist für alle, d.h. auch die kommerziellen
Partner im D-Grid, einfach und effizient realisiert und hat sich in den vergangenen Jahren bewährt.
Dies zeigt sich u.a. daran, dass von den beiden in Deutschland akkreditierten CAs (FZ Karlsruhe,
DFN-Verein) für mehr als 100 Einrichtungen bereits mehrere tausend Grid-Zertifikate ausgestellt wur-
den.
Von einigen Partnern im D-Grid wird eine Alternative zu von den beiden Grid-CAs ausgestellten Zerti-
fikaten gewünscht. Für diese Partner wird der reguläre Betrieb eines SLCS vorbereitet, der eine Au-
thentifizierung sowohl mittels Zertifikaten ermöglicht, die nicht von EUGridPMA-akkreditierten CAs
ausgestellt wurden, als auch mittels IdM-Systemen, die auf anderen Nutzer-Credentials basieren.
– 5 –DGI-2 FG-3.1 Verwendung von Zertifikaten im D-Grid
Der DFN-Verein betreibt bereits seit einigen Monaten einen SLCS in der Pilotphase. Dieser kann bei
Interesse schon jetzt in Absprache mit DGI-2 FG-3.1 genutzt werden. Auf Basis des Probebetriebs
und im engen Kontakt zu den Communities im D-Grid und zum IVOM-Projekt wird derzeit eine Spezi-
fikation für den regulären Betrieb eines allgemein im D-Grid akzeptierten SLCS erarbeitet. Vorausset-
zung für die Nutzung des SLCS ist die Teilnahme der Einrichtungen an der DFN-AAI.
Neben der Tatsache, dass ein solcher Dienst die Anforderungen der D-Grid Communities abdecken
muss, steht dabei auch das Ziel im Vordergrund, diesen SLCS bei der EUGridPMA zu akkreditieren.
Nur durch eine solche Akkreditierung kann erreicht werden, dass die entsprechende SLCS-CA in das
Repository der IGTF aufgenommen wird und die SLCS-Zertifikate somit weltweit akzeptiert werden.
Auf der EUGridPMA-Sitzung im Januar 2008 hat der DFN-Verein diese Planungen bereits angekün-
digt und dabei wichtige Hinweise erhalten, welche Gesichtspunkte für eine erfolgreiche Akkreditierung
berücksichtigt werden müssen. Ziel ist es, einen IGTF-akkreditierten SLCS im Jahr 2008 durch den
DFN-Verein anzubieten.
– 6 –Verwendung von Zertifikaten im D-Grid DGI-2 FG-3.1
Abkürzungen und Glossar
AAI Authentication and Authorization Infrastructure
Akkreditierung Prozess der IGTF, in dessen Rahmen die Übereinstimmung der Policy einer CA
mit den "Minimum Requirements" bestätigt wird. Eine Forderung der "Minimum
Requirements" ist die persönliche Identifizierung der Zertifikatsnehmer.
APGridPMA Asia-Pacific Grid PMA
CA Certificate Authority
Credential Ein Nachweis zur Bestätigung der Identität einer Person oder Ressource (z.B. ein
Zertifikat mit zugehörigem privatem Schlüssel oder die Kombination aus Userna-
me / Password)
EUGridPMA European Grid PMA
IdM Identity Management
IVOM Interoperabilität und Integration der VO-Management Technologien im D-Grid
IGTF International Grid Trust Federation
PKI Public Key Infrastructure
PMA Policy Management Authority
Proxy-Zertifikate Werden von Nutzerzertifikaten abgeleitet und für den Zugriff auf Ressourcen im
Grid verwendet.
RA Registration Authority
SLC Short Lived Certificate
SLCS Short Lived Credential Service
TAGPMA The Americas Grid PMA
VO Virtual Organization
– 7 –Sie können auch lesen
