[Ru_ngi] Варианты развития центра GRID аутентификации.

Valery Mitsyn vvm at mammoth.jinr.ru
Mon May 16 12:54:38 MSK 2022 

On Mon, 16 May 2022, Andrey Kiryanov wrote:

> Коллеги, добрый день.
>
> Я очень надеюсь, что вы таки выпустили пар и дальнейшее обсуждение будет 
> иметь чисто технический характер.
>
> Я не помню (и не вижу) в документах eugridpma требований по скорости выдачи 
> сертификата в Х часов. Тот факт, что такой процесс занимает некоторое время - 
> абсолютно нормален. Срочно требовать сертификат "прямо сейчас", потому что 
> "работа стоит" - исключительно признак плохого планирования со стороны 
> запрашивающего.
>
> По поводу альтернативного CA: прецеденты наличия нескольких независимых 
> корневых сертификатов для одной страны (региона) в eugridpma есть (см. 
> DutchGrid и др.)
> Уверен, что ОИЯИ необходимо иметь свой CA, как минимум для НИКА, поскольку в 
> ней планируется БАК-подобная распределённая обработка данных в нескольких 
> организациях-участниках. Будет ли он вообще принят в eugridpma в текущих 
> реалиях и нужно ли это - вопрос отдельный, так что проблему АКЗ это вряд ли 
> решит.

Данила и Артём (в CC) делали попытку создать CA для внутренних
нужд. В принципе, он легко вставляется в список CA от EUGridPMA
в директорию /etc/grid-security/certificates/.
Но они так и не доделали интерфейс для fecth-crl на
сервере.
Я не знаю дял чего они это делали.
У меня нет и не было никаких претензий к функционированию
существующего CA в КИ.

>
> Создание того, что называется online-CA (как в CERN) у нас сейчас мне видится 
> маловероятным. Для этого нужно что-то типа eduGAIN в России, что займёт годы 
> только на написание бумажек и согласования. Про сколько-нибудь 
> централизованное финансирование я вообще молчу.
>
> On 16.05.2022 11:52, Andrey Zarochentsev wrote:
>> Ещё раз приветствую, уважаемые Коллеги.
>> 
>> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое работе 
>> центра сертификации российских пользователей GRID. Единственно я несколько 
>> обобщил тему.
>> 
>> Доводы Евгения Александровича:
>>  >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
>>  >граждан.  Схема организации должна вписываться в текущие рамки
>>  >требований, предъявляемых EUGridPMA к классическим удостоверяющим
>>  >центрам (так называемым "offline CA").  Поскольку talk is cheap,
>>  >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
>>  >полагаю, неплохо.  В качестве демонстрации того, что ваш взгляд
>>  >может рассматриваться достаточно серьёзным образом.
>> 
>> Да, я не являюсь достаточным специалистом в юридическом описании системы 
>> выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь 
>> несколько представляю техническую сторону процесса. Собственно я и 
>> представляю вопрос на общее обсуждение, а не предлагаю сразу готовое 
>> решение.
>> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>> 
>> https://ca.cern.ch/ca/host/HostCertificates.aspx 
>> <https://ca.cern.ch/ca/host/HostCertificates.aspx>
>> https://ca.cern.ch/ca/user/MyCertificates.aspx 
>> <https://ca.cern.ch/ca/user/MyCertificates.aspx>
>> 
>> Процедура автоматизирована и не требует круглосуточной занятости 
>> высококлассного специалиста. Да, в ЦЕРН сертификат может получить только 
>> уже зарегистрированный пользователь, и нет необходимости содержать штат RA, 
>> для подтверждения новых пользователей или статуса старых. Но сама по себе 
>> автоматизация имеет место быть. И если RA уже подтвердил запрос, откуда 
>> последующие сложности? Тут скорее сложности у RA, который проверяет каждого 
>> обратившегося на принадлежность к своей организации. А на уровне CA ручная 
>> обработка требуется только для добавления новых RA и решения нестандартных 
>> ситуаций.
>> Поправьте меня, если я не прав.
>> 
>> Это по технической части.
>> 
>> По организационной. Я не могу предложить на данный момент конкретную 
>> кандидатуру, хотя варианты есть. Не могу по той простой причине, что должна 
>> предлагаться не кандидатура, а ставка с определённым финансированием. И не 
>> на кандидатуру, а на отдел. Т.е. выдачей сертификатов и поддержкой работы с 
>> ними должна заниматься группа людей, которые могут друг друга заменять.
>> 
>> Но могу высказать соображения.
>> Сейчас работа распределённой обработки данных кроме ЦЕРН будет 
>> сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают 
>> обсуждаться) и работы и финансирование работ по NICA. На мой скромный 
>> взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации. 
>> Тут хотелось бы комментариев от коллег из ОИЯИ.
>> Техническая возможность создать параллельный с существующим центр тоже 
>> вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то 
>> новое я н ехочу. Я лишь обращаю внимание на недостатки существующей 
>> системы.
>> 
>> Принципиальных проблем я тут не вижу, но, может просто не знаю -  могут ли 
>> два различных лица со своими ключами иметь право подписывать региональные 
>> сертификаты?
>> 
>> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут 
>> ещё долго и аутентификация центров и пользователей в каком-бы то ни было 
>> виде будет и создавать соответствующий центр всё равно придётся.
>> 
>> 
>> 
>> 
>> Best Regards,
>> Andrey Zarochentsev
>> ---------------------------------------
>> Всего доброго,
>> С уважением,
>> Андрей Зароченцев.
>> 
>> 
>
> -- 
> С уважением,
> 	Андрей Кирьянов.
> -- 
> Ru_ngi mailing list
> Ru_ngi at theory.sinp.msu.ru
> http://theory.sinp.msu.ru/cgi-bin/mailman/listinfo/ru_ngi
>

---
Best regards,
  Valery Mitsyn

More information about the Ru_ngi mailing list