[Ru_ngi] Варианты развития центра GRID аутентификации.
Andrey Kiryanov
Kiryanov_AK at pnpi.nrcki.ru
Mon May 16 12:39:51 MSK 2022
Коллеги, добрый день.
Я очень надеюсь, что вы таки выпустили пар и дальнейшее обсуждение будет
иметь чисто технический характер.
Я не помню (и не вижу) в документах eugridpma требований по скорости
выдачи сертификата в Х часов. Тот факт, что такой процесс занимает
некоторое время - абсолютно нормален. Срочно требовать сертификат "прямо
сейчас", потому что "работа стоит" - исключительно признак плохого
планирования со стороны запрашивающего.
По поводу альтернативного CA: прецеденты наличия нескольких независимых
корневых сертификатов для одной страны (региона) в eugridpma есть (см.
DutchGrid и др.)
Уверен, что ОИЯИ необходимо иметь свой CA, как минимум для НИКА,
поскольку в ней планируется БАК-подобная распределённая обработка данных
в нескольких организациях-участниках. Будет ли он вообще принят в
eugridpma в текущих реалиях и нужно ли это - вопрос отдельный, так что
проблему АКЗ это вряд ли решит.
Создание того, что называется online-CA (как в CERN) у нас сейчас мне
видится маловероятным. Для этого нужно что-то типа eduGAIN в России, что
займёт годы только на написание бумажек и согласования. Про
сколько-нибудь централизованное финансирование я вообще молчу.
On 16.05.2022 11:52, Andrey Zarochentsev wrote:
> Ещё раз приветствую, уважаемые Коллеги.
>
> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое
> работе центра сертификации российских пользователей GRID. Единственно я
> несколько обобщил тему.
>
> Доводы Евгения Александровича:
> >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
> >граждан. Схема организации должна вписываться в текущие рамки
> >требований, предъявляемых EUGridPMA к классическим удостоверяющим
> >центрам (так называемым "offline CA"). Поскольку talk is cheap,
> >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
> >полагаю, неплохо. В качестве демонстрации того, что ваш взгляд
> >может рассматриваться достаточно серьёзным образом.
>
> Да, я не являюсь достаточным специалистом в юридическом описании системы
> выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь
> несколько представляю техническую сторону процесса. Собственно я и
> представляю вопрос на общее обсуждение, а не предлагаю сразу готовое
> решение.
> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>
> https://ca.cern.ch/ca/host/HostCertificates.aspx
> <https://ca.cern.ch/ca/host/HostCertificates.aspx>
> https://ca.cern.ch/ca/user/MyCertificates.aspx
> <https://ca.cern.ch/ca/user/MyCertificates.aspx>
>
> Процедура автоматизирована и не требует круглосуточной занятости
> высококлассного специалиста. Да, в ЦЕРН сертификат может получить только
> уже зарегистрированный пользователь, и нет необходимости содержать штат
> RA, для подтверждения новых пользователей или статуса старых. Но сама по
> себе автоматизация имеет место быть. И если RA уже подтвердил запрос,
> откуда последующие сложности? Тут скорее сложности у RA, который
> проверяет каждого обратившегося на принадлежность к своей организации. А
> на уровне CA ручная обработка требуется только для добавления новых RA и
> решения нестандартных ситуаций.
> Поправьте меня, если я не прав.
>
> Это по технической части.
>
> По организационной. Я не могу предложить на данный момент конкретную
> кандидатуру, хотя варианты есть. Не могу по той простой причине, что
> должна предлагаться не кандидатура, а ставка с определённым
> финансированием. И не на кандидатуру, а на отдел. Т.е. выдачей
> сертификатов и поддержкой работы с ними должна заниматься группа людей,
> которые могут друг друга заменять.
>
> Но могу высказать соображения.
> Сейчас работа распределённой обработки данных кроме ЦЕРН будет
> сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают
> обсуждаться) и работы и финансирование работ по NICA. На мой скромный
> взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации.
> Тут хотелось бы комментариев от коллег из ОИЯИ.
> Техническая возможность создать параллельный с существующим центр тоже
> вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то
> новое я н ехочу. Я лишь обращаю внимание на недостатки существующей системы.
>
> Принципиальных проблем я тут не вижу, но, может просто не знаю - могут
> ли два различных лица со своими ключами иметь право подписывать
> региональные сертификаты?
>
> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут
> ещё долго и аутентификация центров и пользователей в каком-бы то ни было
> виде будет и создавать соответствующий центр всё равно придётся.
>
>
>
>
> Best Regards,
> Andrey Zarochentsev
> ---------------------------------------
> Всего доброго,
> С уважением,
> Андрей Зароченцев.
>
>
--
С уважением,
Андрей Кирьянов.
More information about the Ru_ngi
mailing list