[Ru_ngi] Варианты развития центра GRID аутентификации.
Valery Mitsyn
vvm at mammoth.jinr.ru
Mon May 16 12:54:38 MSK 2022
On Mon, 16 May 2022, Andrey Kiryanov wrote:
> Коллеги, добрый день.
>
> Я очень надеюсь, что вы таки выпустили пар и дальнейшее обсуждение будет
> иметь чисто технический характер.
>
> Я не помню (и не вижу) в документах eugridpma требований по скорости выдачи
> сертификата в Х часов. Тот факт, что такой процесс занимает некоторое время -
> абсолютно нормален. Срочно требовать сертификат "прямо сейчас", потому что
> "работа стоит" - исключительно признак плохого планирования со стороны
> запрашивающего.
>
> По поводу альтернативного CA: прецеденты наличия нескольких независимых
> корневых сертификатов для одной страны (региона) в eugridpma есть (см.
> DutchGrid и др.)
> Уверен, что ОИЯИ необходимо иметь свой CA, как минимум для НИКА, поскольку в
> ней планируется БАК-подобная распределённая обработка данных в нескольких
> организациях-участниках. Будет ли он вообще принят в eugridpma в текущих
> реалиях и нужно ли это - вопрос отдельный, так что проблему АКЗ это вряд ли
> решит.
Данила и Артём (в CC) делали попытку создать CA для внутренних
нужд. В принципе, он легко вставляется в список CA от EUGridPMA
в директорию /etc/grid-security/certificates/.
Но они так и не доделали интерфейс для fecth-crl на
сервере.
Я не знаю дял чего они это делали.
У меня нет и не было никаких претензий к функционированию
существующего CA в КИ.
>
> Создание того, что называется online-CA (как в CERN) у нас сейчас мне видится
> маловероятным. Для этого нужно что-то типа eduGAIN в России, что займёт годы
> только на написание бумажек и согласования. Про сколько-нибудь
> централизованное финансирование я вообще молчу.
>
> On 16.05.2022 11:52, Andrey Zarochentsev wrote:
>> Ещё раз приветствую, уважаемые Коллеги.
>>
>> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое работе
>> центра сертификации российских пользователей GRID. Единственно я несколько
>> обобщил тему.
>>
>> Доводы Евгения Александровича:
>> >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
>> >граждан. Схема организации должна вписываться в текущие рамки
>> >требований, предъявляемых EUGridPMA к классическим удостоверяющим
>> >центрам (так называемым "offline CA"). Поскольку talk is cheap,
>> >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
>> >полагаю, неплохо. В качестве демонстрации того, что ваш взгляд
>> >может рассматриваться достаточно серьёзным образом.
>>
>> Да, я не являюсь достаточным специалистом в юридическом описании системы
>> выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь
>> несколько представляю техническую сторону процесса. Собственно я и
>> представляю вопрос на общее обсуждение, а не предлагаю сразу готовое
>> решение.
>> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>>
>> https://ca.cern.ch/ca/host/HostCertificates.aspx
>> <https://ca.cern.ch/ca/host/HostCertificates.aspx>
>> https://ca.cern.ch/ca/user/MyCertificates.aspx
>> <https://ca.cern.ch/ca/user/MyCertificates.aspx>
>>
>> Процедура автоматизирована и не требует круглосуточной занятости
>> высококлассного специалиста. Да, в ЦЕРН сертификат может получить только
>> уже зарегистрированный пользователь, и нет необходимости содержать штат RA,
>> для подтверждения новых пользователей или статуса старых. Но сама по себе
>> автоматизация имеет место быть. И если RA уже подтвердил запрос, откуда
>> последующие сложности? Тут скорее сложности у RA, который проверяет каждого
>> обратившегося на принадлежность к своей организации. А на уровне CA ручная
>> обработка требуется только для добавления новых RA и решения нестандартных
>> ситуаций.
>> Поправьте меня, если я не прав.
>>
>> Это по технической части.
>>
>> По организационной. Я не могу предложить на данный момент конкретную
>> кандидатуру, хотя варианты есть. Не могу по той простой причине, что должна
>> предлагаться не кандидатура, а ставка с определённым финансированием. И не
>> на кандидатуру, а на отдел. Т.е. выдачей сертификатов и поддержкой работы с
>> ними должна заниматься группа людей, которые могут друг друга заменять.
>>
>> Но могу высказать соображения.
>> Сейчас работа распределённой обработки данных кроме ЦЕРН будет
>> сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают
>> обсуждаться) и работы и финансирование работ по NICA. На мой скромный
>> взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации.
>> Тут хотелось бы комментариев от коллег из ОИЯИ.
>> Техническая возможность создать параллельный с существующим центр тоже
>> вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то
>> новое я н ехочу. Я лишь обращаю внимание на недостатки существующей
>> системы.
>>
>> Принципиальных проблем я тут не вижу, но, может просто не знаю - могут ли
>> два различных лица со своими ключами иметь право подписывать региональные
>> сертификаты?
>>
>> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут
>> ещё долго и аутентификация центров и пользователей в каком-бы то ни было
>> виде будет и создавать соответствующий центр всё равно придётся.
>>
>>
>>
>>
>> Best Regards,
>> Andrey Zarochentsev
>> ---------------------------------------
>> Всего доброго,
>> С уважением,
>> Андрей Зароченцев.
>>
>>
>
> --
> С уважением,
> Андрей Кирьянов.
> --
> Ru_ngi mailing list
> Ru_ngi at theory.sinp.msu.ru
> http://theory.sinp.msu.ru/cgi-bin/mailman/listinfo/ru_ngi
>
---
Best regards,
Valery Mitsyn
More information about the Ru_ngi
mailing list