Скачать презентацию Hands on Security Authentication and Authorization Virginia Martín-Rubio Скачать презентацию Hands on Security Authentication and Authorization Virginia Martín-Rubio

ab1c4ce68f11dae624fe1f418cb6d668.ppt

  • Количество слайдов: 16

Hands on Security, Authentication and Authorization Virginia Martín-Rubio Pascual virginia. martinrubio@rediris. es Red. IRIS/Red. Hands on Security, Authentication and Authorization Virginia Martín-Rubio Pascual virginia. [email protected] es Red. IRIS/Red. es Curso Grid y e-Ciencia 2010, Valencia 6 - 9 Julio 2010

Cómo acceder a la UI • SERVIDOR: cg 02. ific. uv. es (SL 5) Cómo acceder a la UI • SERVIDOR: cg 02. ific. uv. es (SL 5) cg 01. ific. uv. es(SL 4) • USERNAME: tut. XX • PASSWORD: ngi. XX • PASSPHRASE: ngi 1234 donde XX = 01… 24

Autenticación y Autorización • Localiza tu certificado personal: • . globus: directorio donde se Autenticación y Autorización • Localiza tu certificado personal: • . globus: directorio donde se encuentra vuestro certificado personal, consiste en dos ficheros separados (claves pública y privada). • Son necesarios para las conexiones autenticadas con todos los demás recursos Grid. • Comprueba los permisos de estos ficheros ( no podrás crear un proxy si son incorrectos): [tut [email protected] 02 ~]$ ls -l. globus/ total 16 -r--r--r-- 1 tut 25 3021 Jun 15 09: 42 usercert. pem -r---- 1 tut 25 963 Jun 15 09: 42 userkey. pem

Autenticación y Autorización • Obtén la información de tu certificado personal: grid-cert-info [tut 25@cg Autenticación y Autorización • Obtén la información de tu certificado personal: grid-cert-info [tut [email protected] 02 ~]$ grid-cert-info Certificate: Data: … Issuer: C=ES, O=IFCA, CN=IFCA Formacion Grid CA Validity Not Before: May 28 00: 00 2010 GMT Not After : Jul 12 00: 00 2010 GMT Subject: C=ES, O=IFCA, CN=tut 25 Subject Public Key Info: Public Key Algorithm: rsa. Encryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00: aa: …: 72: 81 Exponent: 65537 (0 x 10001) … • Información importante: • Fechas de validez del certificado. • Datos del emisor del certificado (CA). • Datos del dueño del certificado. • Nombre Común (CN)

Autenticación y Autorización • Creación de un certificado de proxy con extensiones VOMS (=VOMS Autenticación y Autorización • Creación de un certificado de proxy con extensiones VOMS (=VOMS proxy): • Este paso es comparable con hacer login en la Grid: voms-proxy-init --voms vo. formacion. es-ngi. eu [tut [email protected] 02 ~]$ voms-proxy-init --voms vo. formacion. es-ngi. eu Cannot find file or dir: /home/tut 25/. glite/vomses Enter GRID pass phrase: Your identity: /C=ES/O=IFCA/CN=tut 25 Creating temporary proxy. . . . Done Contacting voms 01. ifca. es: 15004 [/DC=es/DC=irisgrid/O=ifca/CN=host/voms 01. ifca. es] "vo. formacion. es-ngi. eu" Done Creating proxy. . . . Done Your proxy is valid until Mon Jul 5 23: 10: 44 2010

Autenticación y Autorización • Comprobación del VOMS proxy: • Para obtener información sobre el Autenticación y Autorización • Comprobación del VOMS proxy: • Para obtener información sobre el proxy: voms-proxy-info -all • Muestra dos tiempos de vida diferentes : • El primero es de propio certificado de proxy. • El segundo se refiere a la información del AC añadida por el servidor VOMS. • El certificado de proxy tiene un tiempo de vida de 12 horas. [tut [email protected] 02 ~]$ voms-proxy-info -all subject : /C=ES/O=IFCA/CN=tut 25/CN=proxy issuer : /C=ES/O=IFCA/CN=tut 25 identity : /C=ES/O=IFCA/CN=tut 25 type : proxy strength : 1024 bits path : /tmp/x 509 up_u 5733 timeleft : 11: 58: 55 === VO vo. formacion. es-ngi. eu extension information === VO : vo. formacion. es-ngi. eu subject : /C=ES/O=IFCA/CN=tut 25 issuer : /DC=es/DC=irisgrid/O=ifca/CN=host/voms 01. ifca. es attribute : /vo. formacion. es-ngi. eu/Role=NULL/Capability=NULL timeleft : 11: 58: 55 uri : voms 01. ifca. es: 15004

Autenticación y Autorización • Logout del grid • Para borrar el VOMS proxy voms-proxy-destroy Autenticación y Autorización • Logout del grid • Para borrar el VOMS proxy voms-proxy-destroy

Uso de My. Proxy Creacción • Registro de un proxy de larga duración en Uso de My. Proxy Creacción • Registro de un proxy de larga duración en un servidor myproxy (gridpx 01. ifca. es) • Para crear y almacenar un certificado de proxy de larga duración: myproxy-init • La opción –s nos permite especificar el nombre del servidor myproxy con el queremos contactar. Si no se especifica buscará el nombre del servidor en la variable de entorno: MYPROXY_SERVER. • La opción –d nos permite crear y almacenar un proxy de larga duración con subject nuestro DN. Sin esta opción, se cogerá el nombre local del usuario en la UI desde la que se lanza el comando. • La opción –l nos permite crear y almacenar un proxy de larga duración con un username especificado por el usuario. Cada usuario puede crear y almacenar varios proxies en un mismo servidor myproxy, pero cada certiticado de proxy remoto se asocia con el username especificado. • La opción –c nos permite crear y almacenar un proxy de larga duración con un tiempo de vida pasado como parámetro (valor en horas). myproxy-init –s gridpx 01. ifca. es –d –l tut 25 –c 48

Uso de My. Proxy Creacción [tut 25@cg 02 ~]$ myproxy-init –s gridpx 01. ifca. Uso de My. Proxy Creacción [tut [email protected] 02 ~]$ myproxy-init –s gridpx 01. ifca. es –d -l tut 25 -c 48 Your identity: /C=ES/O=IFCA/CN=tut 25 Enter GRID pass phrase for this identity: Creating proxy. . . . Done Proxy Verify OK Your proxy is valid until: Wed Jul 7 15: 19 2010 Enter My. Proxy pass phrase: Verifying - Enter My. Proxy pass phrase: A proxy valid for 48 hours (2. 0 days) for user tut 25 now exists on gridpx 01. ifca. es.

Uso de My. Proxy Información • Información sobre el certificado de proxy almacenado en Uso de My. Proxy Información • Información sobre el certificado de proxy almacenado en el servidor myproxy • Si en tu UI no tienes creado un certificado de proxy local, no es posible que te autentiques en el servidor myproxy. • En ese caso, hay que delegar el certificado de proxy desde el servidor myproxy o crear un certificado de proxy local: • Con el comando myproxy-get-delegation, se le pueden añadir las extensiones VOMS (lo que sería equivalente a ejecutar el comando voms -proxy-init) o sin extensiones VOMS (grid-proxy-init). • Con el comando voms-proxy-init, añadiéndole las extensiones VOMS correspondientes. • Después de esto ya se puede obtener la información del certificado de proxy almacenado en el servidor myproxy:

Uso de My. Proxy Información [tut 25@cg 02 ~]$ myproxy-info –s gridpx 01. ifca. Uso de My. Proxy Información [tut [email protected] 02 ~]$ myproxy-info –s gridpx 01. ifca. es username: tut 25 owner: /C=ES/O=IFCA/CN=tut 25 timeleft: 47: 59: 52 (2. 0 days) • También se puede especificar el nombre del servidor myproxy con la opción –s. • Si las credenciales han sido inicializadas con la opción –l, también se debe especificar dicha opción cuando se solicite la información. [tut [email protected] 02 ~]$ myproxy-info –s gridpx 01. ifca. es -l tut 25 username: tut 25 owner: /C=ES/O=IFCA/CN=tut 25 timeleft: 47: 58: 04 (2. 0 days) • Es muy importante el username del proxy, ya que es lo que lo identifica y diferencia de los otros proxies que puedes tener almacenados en un mismo servidor.

Uso de My. Proxy Delegación • Delegación del certificado de proxy almacenado en el Uso de My. Proxy Delegación • Delegación del certificado de proxy almacenado en el servidor myproxy. • • • Te permite obtener un certificado de proxy en tu máquina local desde el servidor myproxy. Antes de nada, debemos destruir los certificados de proxy locales que podemos tener en nuestra máquina y verificar que no existe ninguno más: [tut [email protected] 02 ~]$ voms-proxy-destroy [tut [email protected] 02 ~]$ voms-proxy-info Couldn't find a valid proxy. Ahora que no hay ningún proxy local en nuestra máquina, delegamos el proxy del servidor myproxy con el comando: myproxy-get-delegation • La opción –d nos permite crear y almacenar la delegación del certificado de proxy con subject nuestro DN. Sin esta opción, se cogerá el nombre local del usuario en la UI desde la que se lanza el comando. • La opción --voms permite añadir las extensiones VOMS de una determinada VO.

Uso de My. Proxy Delegación [tut 25@cg 02 ~]$ myproxy-get-delegation -l tut 25 --voms Uso de My. Proxy Delegación [tut [email protected] 02 ~]$ myproxy-get-delegation -l tut 25 --voms vo. formacion. es-ngi. eu Enter My. Proxy pass phrase: Cannot find file or dir: /home/tut 25/. glite/vomses Your identity: /C=ES/O=IFCA/CN=tut 25/CN=proxy/CN=proxy Creating temporary proxy. . . . . Done Contacting voms 01. ifca. es: 15004 [/DC=es/DC=irisgrid/O=ifca/CN=host/voms 01. ifca. es] "vo. formacion. es-ngi. eu" Done Creating proxy. . . . . . Done Your proxy is valid until Tue Jul 6 03: 07: 10 2010 A credential has been received for user tut 25 in /tmp/x 509 up_u 5733. • Para verificar que existe el proxy local: voms-proxy-info -all

Uso de My. Proxy Delegación • Para veriricar que existe el proxy local: [tut Uso de My. Proxy Delegación • Para veriricar que existe el proxy local: [tut [email protected] 02 ~]$ voms-proxy-info -all subject : /C=ES/O=IFCA/CN=tut 25/CN=proxy/CN=proxy issuer : /C=ES/O=IFCA/CN=tut 25/CN=proxy/CN=proxy identity : /C=ES/O=IFCA/CN=tut 25/CN=proxy/CN=proxy type : proxy strength : 1024 bits path : /tmp/x 509 up_u 5733 timeleft : 11: 57: 53 === VO vo. formacion. es-ngi. eu extension information === VO : vo. formacion. es-ngi. eu subject : /C=ES/O=IFCA/CN=tut 25 issuer : /DC=es/DC=irisgrid/O=ifca/CN=host/voms 01. ifca. es attribute : /vo. formacion. es-ngi. eu/Role=NULL/Capability=NULL timeleft : 11: 57: 53 uri : voms 01. ifca. es: 15004

Uso de My. Proxy Destrucción • Destrucción del proxy remoto (en servidor myproxy) [tut Uso de My. Proxy Destrucción • Destrucción del proxy remoto (en servidor myproxy) [tut [email protected] 02 ~]$ myproxy-destroy -s gridpx 01. ifca. es -l tut 25 Default My. Proxy credential for user tut 25 was successfully removed • Comprobación en el servidor myproxy: [tut [email protected] 02 ~]$ myproxy-info -s gridpx 01. ifca. es ERROR from myproxy-server (gridpx 01. ifca. es): no credentials found for user tut 25, owner "/C=ES/O=IFCA/CN=tut 25”

¡Gracias por vuestra atención! ¿Preguntas? 16 ¡Gracias por vuestra atención! ¿Preguntas? 16