Sécurité sur le GRID

Transcription

1 Enabling Grids for E-sciencE Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Utilisateurs CGG 8 Nov EGEE-II INFSO-RI EGEE and glite are registered trademarks

2 Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification Les certificats électroniques Les Autorités de Certification Openssl Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct

3 Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) EGEE Sécurité Marseille, 3 Oct

4 Que faut-il pour travailler sur la Grille de Calcul? Pour utiliser le GRID, un utilisateur doit posséder : Un certificat électronique personnel Une entrée dans une Organisation Virtuelle (VO ou VOMS) Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique EGEE Sécurité Marseille, 3 Oct

5 Grid Security Infrastructure (GSI) Une couche du middleware qui implémente la sécurité Basé sur les certificats X509v3 et les PKI (Public Key Infrastructure) Implémente : Single sign-on: le mot de passe n est donné qu une seule fois Délégation: un service peut-être utilisé au nom d une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations Introduction des certificats proxy Certificat à durée de vie courte Un Proxy peut se déplacer sur le réseau EGEE Sécurité Marseille, 3 Oct

6 Plan Authentification Les certificats électroniques Les Autorités de Certification Openssl EGEE Sécurité Marseille, 3 Oct

7 Qu est ce qu un certificat électronique X509v3? Algorithmes asymétriques Couple de clés(privée, publique) indissociables Les clés sont générées ensembles Impossibilité de retrouver une clé par rapport à l autre Durée de validité limitée Un certificat X509v3 peut être issu pour Une personne physique (certificat personnel) Une machine (certificat de hôte) Un programme (certificat de service) La clé publique Signée par la CA Publiée sur le réseau via le service de publication de la CA Dans le langage courant, elle est appelée certificat La clé privée Conservée sur le poste de l utilisateur ou sur la machine Chiffrée et protégée par un mot de passe EGEE Sécurité Marseille, 3 Oct

8 Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique): Le sujet L Autorité de Certification émettrice La période de validité du certificat... Plusieurs formats PKCS12 : Un seul fichier.p12 PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir : La Liste des Certificats Révoqués (CRL) émise par la CA Le certificat de la CA émettrice EGEE Sécurité Marseille, 3 Oct

9 Les Autorités de Certification En pratique : Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays Catch-All CAs Pays sans CA nationales CA France GRID-FR (CNRS/UREC) EGEE Sécurité Marseille, 3 Oct

10 openssl Convertir un certificat du format PKCS12 au format PEM Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique Format PEM # openssl x509 -text -noout -in usercert.pem Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem EGEE Sécurité Marseille, 3 Oct

11 Plan Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct

12 Certificat utilisateur (1) Faire une demande ici : EGEE Sécurité Marseille, 3 Oct

13 Certificat utilisateur (2) EGEE Sécurité Marseille, 3 Oct

14 Certificat utilisateur (3) EGEE Sécurité Marseille, 3 Oct

15 Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande EGEE Sécurité Marseille, 3 Oct

16 Certificat utilisateur (5) Vous cliquez sur l URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée. EGEE Sécurité Marseille, 3 Oct

17 Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l URL incluse dans le mail EGEE Sécurité Marseille, 3 Oct

18 Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options -Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter EGEE Sécurité Marseille, 3 Oct

19 Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer EGEE Sécurité Marseille, 3 Oct

20 Installation du certificat sur l UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls l chmod 400 userkey.pem chmod 444 usercert.pem EGEE Sécurité Marseille, 3 Oct

21 Utiliser votre certificat Manipulation de proxy Créer un proxy de 12h # voms-proxy-init Créer un proxy avec choix de durée de vie # voms-proxy-init -valid <H:M> Les information du proxy # voms-proxy-info Détruire un proxy # voms-proxy-destroy Utiliser le proxy Login ftp sur la grille # uberftp -H se1.egee.fr.cgg.com EGEE Sécurité Marseille, 3 Oct

22 Certificat machine (1) Faire une demande ici : Saisissez : -le nom complet de la machine (FQN, cad avec le nom de domaine) -l de l administrateur de la machine EGEE Sécurité Marseille, 3 Oct

23 Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers EGEE Sécurité Marseille, 3 Oct

24 Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem EGEE Sécurité Marseille, 3 Oct