[Ru_ngi] Варианты развития центра GRID аутентификации.
Oleynik Danila
danila at jinr.ru
Mon May 16 13:38:49 MSK 2022
Валерий, коллеги, добрый день.
Необходимость в едином CA отпадет вместе с технологией x509. Отказ от нее в WLCG планируется уже в обозримом будущем.
>
> Данила и Артём (в CC) делали попытку создать CA для внутренних
> нужд. В принципе, он легко вставляется в список CA от EUGridPMA
> в директорию /etc/grid-security/certificates/.
> Но они так и не доделали интерфейс для fecth-crl на
> сервере.
fetch-crl работал нормально, единственное что не было до конца оформлено, это как распространять корневой сертификат. Делать бандл или еще что-то.
В виду того, что уже тогда начались в WLCG на переход на токены, было решено отказаться от дальнейшего развития в этом направлении.
Сейчас в ОИЯИ есть собственная служба аутентификации, есть собственный VOMS (работающий с сертификатами WLCG) и недавно задышал собственный IAM.
Думаю что для NICA двигаться надо в направлении отказа от x509 и перехода на токены + IAM. Аутентификация будет осуществляться на уровне ОИЯИ/NICA с обеспечением возможности поддержки внешних служб аутентификации на уровне институтов участников.
> Я не знаю дял чего они это делали.
Посмотреть, попробовать, понять как работает.
> У меня нет и не было никаких претензий к функционированию
> существующего CA в КИ.
У меня недавно был ряд инцидентов технического характера, как я предполагаю связанный с тем что не доставлялись в CA запросы на сертификаты, а так же, исходящие от меня, подтверждения этих запросов.
Собираюсь уведомить об этом Евгения.
>> Создание того, что называется online-CA (как в CERN) у нас сейчас мне видится маловероятным. Для этого нужно что-то типа eduGAIN в России, что займёт годы только на написание бумажек и согласования. Про сколько-нибудь централизованное финансирование я вообще молчу.
Онлайн CA в CERN работает, поскольку исключен слой RA а аутентификация пользователей переложена на CERN (HR). Грубо говоря, имеешь учетку в CERN можешь получить сертификат. Это, кстати, рекомендованный для коллаборантов LHC путь.
С уважением,
Данила Олейник
>>
>> On 16.05.2022 11:52, Andrey Zarochentsev wrote:
>>> Ещё раз приветствую, уважаемые Коллеги.
>>> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое работе центра сертификации российских пользователей GRID. Единственно я несколько обобщил тему.
>>> Доводы Евгения Александровича:
>>> >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
>>> >граждан. Схема организации должна вписываться в текущие рамки
>>> >требований, предъявляемых EUGridPMA к классическим удостоверяющим
>>> >центрам (так называемым "offline CA"). Поскольку talk is cheap,
>>> >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
>>> >полагаю, неплохо. В качестве демонстрации того, что ваш взгляд
>>> >может рассматриваться достаточно серьёзным образом.
>>> Да, я не являюсь достаточным специалистом в юридическом описании системы выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь несколько представляю техническую сторону процесса. Собственно я и представляю вопрос на общее обсуждение, а не предлагаю сразу готовое решение.
>>> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>>> https://ca.cern.ch/ca/host/HostCertificates.aspx <https://ca.cern.ch/ca/host/HostCertificates.aspx>
>>> https://ca.cern.ch/ca/user/MyCertificates.aspx <https://ca.cern.ch/ca/user/MyCertificates.aspx>
>>> Процедура автоматизирована и не требует круглосуточной занятости высококлассного специалиста. Да, в ЦЕРН сертификат может получить только уже зарегистрированный пользователь, и нет необходимости содержать штат RA, для подтверждения новых пользователей или статуса старых. Но сама по себе автоматизация имеет место быть. И если RA уже подтвердил запрос, откуда последующие сложности? Тут скорее сложности у RA, который проверяет каждого обратившегося на принадлежность к своей организации. А на уровне CA ручная обработка требуется только для добавления новых RA и решения нестандартных ситуаций.
>>> Поправьте меня, если я не прав.
>>> Это по технической части.
>>> По организационной. Я не могу предложить на данный момент конкретную кандидатуру, хотя варианты есть. Не могу по той простой причине, что должна предлагаться не кандидатура, а ставка с определённым финансированием. И не на кандидатуру, а на отдел. Т.е. выдачей сертификатов и поддержкой работы с ними должна заниматься группа людей, которые могут друг друга заменять.
>>> Но могу высказать соображения.
>>> Сейчас работа распределённой обработки данных кроме ЦЕРН будет сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают обсуждаться) и работы и финансирование работ по NICA. На мой скромный взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации. Тут хотелось бы комментариев от коллег из ОИЯИ.
>>> Техническая возможность создать параллельный с существующим центр тоже вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то новое я н ехочу. Я лишь обращаю внимание на недостатки существующей системы.
>>> Принципиальных проблем я тут не вижу, но, может просто не знаю - могут ли два различных лица со своими ключами иметь право подписывать региональные сертификаты?
>>> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут ещё долго и аутентификация центров и пользователей в каком-бы то ни было виде будет и создавать соответствующий центр всё равно придётся.
>>> Best Regards,
>>> Andrey Zarochentsev
>>> ---------------------------------------
>>> Всего доброго,
>>> С уважением,
>>> Андрей Зароченцев.
>>
>> --
>> С уважением,
>> Андрей Кирьянов.
>> --
>> Ru_ngi mailing list
>> Ru_ngi at theory.sinp.msu.ru
>> http://theory.sinp.msu.ru/cgi-bin/mailman/listinfo/ru_ngi
>>
>
> ---
> Best regards,
> Valery Mitsyn
More information about the Ru_ngi
mailing list