Enabling Grids for E-sciencE Sécurité sur le GRID Ahmed Beriache (CGG) Tutorial Géocluster sur la grille Utilisateurs CGG 8 Nov. 2006 www.eu-egee.org EGEE-II INFSO-RI-031688 EGEE and glite are registered trademarks
Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification Les certificats électroniques Les Autorités de Certification Openssl Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct. 2006-2
Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) EGEE Sécurité Marseille, 3 Oct. 2006-3
Que faut-il pour travailler sur la Grille de Calcul? Pour utiliser le GRID, un utilisateur doit posséder : Un certificat électronique personnel Une entrée dans une Organisation Virtuelle (VO ou VOMS) Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique EGEE Sécurité Marseille, 3 Oct. 2006-4
Grid Security Infrastructure (GSI) Une couche du middleware qui implémente la sécurité Basé sur les certificats X509v3 et les PKI (Public Key Infrastructure) Implémente : Single sign-on: le mot de passe n est donné qu une seule fois Délégation: un service peut-être utilisé au nom d une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations Introduction des certificats proxy Certificat à durée de vie courte Un Proxy peut se déplacer sur le réseau EGEE Sécurité Marseille, 3 Oct. 2006-5
Plan Authentification Les certificats électroniques Les Autorités de Certification Openssl EGEE Sécurité Marseille, 3 Oct. 2006-6
Qu est ce qu un certificat électronique X509v3? Algorithmes asymétriques Couple de clés(privée, publique) indissociables Les clés sont générées ensembles Impossibilité de retrouver une clé par rapport à l autre Durée de validité limitée Un certificat X509v3 peut être issu pour Une personne physique (certificat personnel) Une machine (certificat de hôte) Un programme (certificat de service) La clé publique Signée par la CA Publiée sur le réseau via le service de publication de la CA Dans le langage courant, elle est appelée certificat La clé privée Conservée sur le poste de l utilisateur ou sur la machine Chiffrée et protégée par un mot de passe EGEE Sécurité Marseille, 3 Oct. 2006-7
Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique): Le sujet L Autorité de Certification émettrice La période de validité du certificat... Plusieurs formats PKCS12 : Un seul fichier.p12 PEM : deux fichiers.pem (Le format utilisé sur la grille) Il faut toujours avoir : La Liste des Certificats Révoqués (CRL) émise par la CA Le certificat de la CA émettrice EGEE Sécurité Marseille, 3 Oct. 2006-8
Les Autorités de Certification En pratique : Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays Catch-All CAs Pays sans CA nationales CA France GRID-FR (CNRS/UREC) EGEE Sécurité Marseille, 3 Oct. 2006-9
openssl Convertir un certificat du format PKCS12 au format PEM Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique Format PEM # openssl x509 -text -noout -in usercert.pem Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem EGEE Sécurité Marseille, 3 Oct. 2006-10
Plan Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct. 2006-11
Certificat utilisateur (1) Faire une demande ici : http://igc.services.cnrs.fr/grid-fr EGEE Sécurité Marseille, 3 Oct. 2006-12
Certificat utilisateur (2) EGEE Sécurité Marseille, 3 Oct. 2006-13
Certificat utilisateur (3) EGEE Sécurité Marseille, 3 Oct. 2006-14
Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande EGEE Sécurité Marseille, 3 Oct. 2006-15
Certificat utilisateur (5) Vous cliquez sur l URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée. EGEE Sécurité Marseille, 3 Oct. 2006-16
Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l URL incluse dans le mail EGEE Sécurité Marseille, 3 Oct. 2006-17
Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options -Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter EGEE Sécurité Marseille, 3 Oct. 2006-18
Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité - Vos certificats Cliquez sur Importer EGEE Sécurité Marseille, 3 Oct. 2006-19
Installation du certificat sur l UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls l chmod 400 userkey.pem chmod 444 usercert.pem EGEE Sécurité Marseille, 3 Oct. 2006-20
Utiliser votre certificat Manipulation de proxy Créer un proxy de 12h # voms-proxy-init Créer un proxy avec choix de durée de vie # voms-proxy-init -valid <H:M> Les information du proxy # voms-proxy-info Détruire un proxy # voms-proxy-destroy Utiliser le proxy Login ftp sur la grille # uberftp -H se1.egee.fr.cgg.com EGEE Sécurité Marseille, 3 Oct. 2006-21
Certificat machine (1) Faire une demande ici : Saisissez : http://igc.services.cnrs.fr/grid-fr -le nom complet de la machine (FQN, cad avec le nom de domaine) -l email de l administrateur de la machine EGEE Sécurité Marseille, 3 Oct. 2006-22
Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers EGEE Sécurité Marseille, 3 Oct. 2006-23
Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem EGEE Sécurité Marseille, 3 Oct. 2006-24