[Ru_ngi] Варианты развития центра GRID аутентификации.

[Oleynik Danila]

Валерий, коллеги, добрый день. 

Необходимость в едином CA отпадет вместе с технологией x509.  Отказ от нее в  WLCG планируется уже в обозримом будущем. 
> 
> Данила и Артём (в CC) делали попытку создать CA для внутренних
> нужд. В принципе, он легко вставляется в список CA от EUGridPMA
> в директорию /etc/grid-security/certificates/.
> Но они так и не доделали интерфейс для fecth-crl на
> сервере.

fetch-crl работал нормально, единственное что не было до конца оформлено, это как распространять корневой сертификат. Делать бандл или еще что-то.
В виду того, что уже тогда начались в  WLCG на переход на токены, было решено отказаться от дальнейшего развития в этом направлении.  
Сейчас в ОИЯИ есть собственная служба аутентификации, есть собственный VOMS (работающий с сертификатами  WLCG) и недавно задышал собственный IAM.
Думаю что для NICA  двигаться надо в направлении отказа от x509 и перехода на токены + IAM. Аутентификация будет осуществляться на уровне ОИЯИ/NICA  с обеспечением возможности поддержки внешних служб аутентификации на уровне институтов участников.     

> Я не знаю дял чего они это делали.

Посмотреть, попробовать, понять как работает. 

> У меня нет и не было никаких претензий к функционированию
> существующего CA в КИ.

У меня недавно был ряд инцидентов технического характера, как я предполагаю связанный с тем что не доставлялись в  CA запросы на сертификаты, а так же, исходящие от меня, подтверждения этих запросов. 
Собираюсь уведомить об этом Евгения. 

>> Создание того, что называется online-CA (как в CERN) у нас сейчас мне видится маловероятным. Для этого нужно что-то типа eduGAIN в России, что займёт годы только на написание бумажек и согласования. Про сколько-нибудь централизованное финансирование я вообще молчу.

Онлайн CA в CERN  работает, поскольку исключен слой RA а аутентификация пользователей переложена на CERN (HR). Грубо говоря, имеешь учетку в CERN можешь получить сертификат. Это, кстати, рекомендованный для коллаборантов LHC путь. 

С уважением,
Данила Олейник


>> 
>> On 16.05.2022 11:52, Andrey Zarochentsev wrote:
>>> Ещё раз приветствую, уважаемые Коллеги.
>>> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое работе центра сертификации российских пользователей GRID. Единственно я несколько обобщил тему.
>>> Доводы Евгения Александровича:
>>> >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
>>> >граждан.  Схема организации должна вписываться в текущие рамки
>>> >требований, предъявляемых EUGridPMA к классическим удостоверяющим
>>> >центрам (так называемым "offline CA").  Поскольку talk is cheap,
>>> >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
>>> >полагаю, неплохо.  В качестве демонстрации того, что ваш взгляд
>>> >может рассматриваться достаточно серьёзным образом.
>>> Да, я не являюсь достаточным специалистом в юридическом описании системы выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь несколько представляю техническую сторону процесса. Собственно я и представляю вопрос на общее обсуждение, а не предлагаю сразу готовое решение.
>>> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>>> https://ca.cern.ch/ca/host/HostCertificates.aspx <https://ca.cern.ch/ca/host/HostCertificates.aspx>
>>> https://ca.cern.ch/ca/user/MyCertificates.aspx <https://ca.cern.ch/ca/user/MyCertificates.aspx>
>>> Процедура автоматизирована и не требует круглосуточной занятости высококлассного специалиста. Да, в ЦЕРН сертификат может получить только уже зарегистрированный пользователь, и нет необходимости содержать штат RA, для подтверждения новых пользователей или статуса старых. Но сама по себе автоматизация имеет место быть. И если RA уже подтвердил запрос, откуда последующие сложности? Тут скорее сложности у RA, который проверяет каждого обратившегося на принадлежность к своей организации. А на уровне CA ручная обработка требуется только для добавления новых RA и решения нестандартных ситуаций.
>>> Поправьте меня, если я не прав.
>>> Это по технической части.
>>> По организационной. Я не могу предложить на данный момент конкретную кандидатуру, хотя варианты есть. Не могу по той простой причине, что должна предлагаться не кандидатура, а ставка с определённым финансированием. И не на кандидатуру, а на отдел. Т.е. выдачей сертификатов и поддержкой работы с ними должна заниматься группа людей, которые могут друг друга заменять.
>>> Но могу высказать соображения.
>>> Сейчас работа распределённой обработки данных кроме ЦЕРН будет сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают обсуждаться) и работы и финансирование работ по NICA. На мой скромный взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации. Тут хотелось бы комментариев от коллег из ОИЯИ.
>>> Техническая возможность создать параллельный с существующим центр тоже вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то новое я н ехочу. Я лишь обращаю внимание на недостатки существующей системы.
>>> Принципиальных проблем я тут не вижу, но, может просто не знаю -  могут ли два различных лица со своими ключами иметь право подписывать региональные сертификаты?
>>> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут ещё долго и аутентификация центров и пользователей в каком-бы то ни было виде будет и создавать соответствующий центр всё равно придётся.
>>> Best Regards,
>>> Andrey Zarochentsev
>>> ---------------------------------------
>>> Всего доброго,
>>> С уважением,
>>> Андрей Зароченцев.
>> 
>> -- 
>> С уважением,
>> 	Андрей Кирьянов.
>> -- 
>> Ru_ngi mailing list
>> Ru_ngi at theory.sinp.msu.ru
>> http://theory.sinp.msu.ru/cgi-bin/mailman/listinfo/ru_ngi
>> 
> 
> ---
> Best regards,
> Valery Mitsyn