[Ru_ngi] Варианты развития центра GRID аутентификации.
Eygene Ryabinkin
rea at grid.kiae.ru
Mon May 16 17:53:51 MSK 2022
Mon, May 16, 2022 at 11:52:13AM +0300, Andrey Zarochentsev wrote:
> Собственно я и представляю вопрос на общее обсуждение,
> а не предлагаю сразу готовое решение.
>
> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
>
> https://ca.cern.ch/ca/host/HostCertificates.aspx
> https://ca.cern.ch/ca/user/MyCertificates.aspx
>
> Процедура автоматизирована и не требует круглосуточной занятости
> высококлассного специалиста. Да, в ЦЕРН сертификат может получить только
> уже зарегистрированный пользователь, и нет необходимости содержать штат RA,
> для подтверждения новых пользователей или статуса старых.
Если
а. есть система регистрации пользователей и (когда это требуется)
назначения им прав "этому сертификат для такого-то узла получать
можно, этому -- нет",
б. этой системе можно доверять; в смысле отсутствия возможностей
её обмануть, в смысле доверия качеству данных (человек уже
уволился, а запись о нём -- осталась), в смысле доверия её
операторам и администраторам,
то она заменяет Registration Authority (вернее, переносит их
обязанности на другой/другие уровни). Ниже такие системы будут
называться (*).
Не нужно, кстати, забывать о первом пункте в смысле привязки
(и пере-привязки) узлов/сервисов к их администратору/администраторам.
В CERN это база данных Human Resources + LanDB.
> Но сама по себе автоматизация имеет место быть.
"Автоматизация" -- это полностью автоматическая выдача сертификата
после его одобрения RA?
> И если RA уже подтвердил запрос, откуда последующие сложности?
Из моего опыта, некоторые RA иногда подтверждают по несколько
запросов для одного пользователя. Некоторые -- держат свой
сертификат незашифрованным: я в прошлом встречал такие случаи,
проводил разъяснительную работу и наблюдал за поведением.
> Тут скорее сложности у RA, который проверяет каждого
> обратившегося на принадлежность к своей организации.
> А на уровне CA ручная обработка требуется только для добавления
> новых RA и решения нестандартных ситуаций.
А ещё -- чтобы инициировать процедуру подписания новых
сертификатов, CRL и отзыва сертификатов на offline-машине.
И активации (с помощью введения пароля, использования
многофакторной аутентификации или чего-то ещё) закрытого
ключа (корневого или промежуточного) УЦ.
Если у нас будет online-сервис (в котором для создания
и хранения корневого /или промежуточного/ сертификата УЦ
используются аппаратные средства), то сразу возникают вопросы,
связанные с защитой такого online-сервиса. Вопросов --
много, не возьмусь их решать:
- если думать про "неуловимого Джо" (как делал Лев Витальевич
Шамардин), то буду их решать некачественно,
- если думать об УЦ, который почему-то хотят подломить и люди,
заинтересованные в этом, минимально оснащены мозгом
и/или деньгами, -- не возьмусь. Поскольку у меня нет
физических средств (даже обнаружив и установив "личности"
нападающих) обеспечить их привлечение к ответственности
(вплоть до ликвидации вообще).
Ввиду этого, я рассматриваю offline-сервис по подписанию
сертификатов клиентов УЦ в качестве более приемлемой
технической альтернативы. В конце концов, в RDIG CA есть
охраняемый физический периметр (и даже 3), один из которых
обеспечивается вполне регулярными военными. Это не означает
полную защищённость от описанного выше, однако, по моему мнению
(которое я стараюсь не реже раза в год проверять/уточнять),
такой подход для задач RDIG CA является более правильным.
> Это по технической части.
>
> По организационной. Я не могу предложить на данный момент конкретную
> кандидатуру, хотя варианты есть. Не могу по той простой причине, что должна
> предлагаться не кандидатура, а ставка с определённым финансированием. И не
> на кандидатуру, а на отдел. Т.е. выдачей сертификатов и поддержкой работы с
> ними должна заниматься группа людей, которые могут друг друга заменять.
Андрей Константинович, вы так говорите, как будто в RDIG есть деньги
и/или крайняя заинтересованность каких-то входящих в RDIG организаций
их находить для развития и поддержания RDIG. Я боюсь, что это далеко
не так. Поэтому "ставка с определённым финансированием", а тем
более на отдел, -- это мечты. Я знаю только один случай за последнее
время, когда 2 огранизации из RDIG занимались (и занимаются) денежным
обеспечением функцинирования сервисов, общих для всего RDIG (а не
"вот, мы находим деньги для развития своих ресурсов"): это ОИЯИ и КИ.
Могу сказать про сетевую часть (LHCOPN и LHCONE), ибо она -- наиболее
затратна (если я всё правильно понимаю): в КИ эти средства находить
всё труднее и труднее. И "труднее" это не "раньше давали перед твоей
просьбой о, сейчас же -- надо соорудить минимальную бумажку и всё
случится".
> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут
> ещё долго и аутентификация центров и пользователей в каком-бы то ни было
> виде будет и создавать соответствующий центр всё равно придётся.
X.509 уходит в прошлое + Данила написал про token-ы + IAM,
их внедрение в рамках NICA и текущий статус. Я могу сказать вот что:
- IAM работает на базе желания совместить системы типа (*)
с разными системами авторизации (вплоть до социальных сетей).
И я прошу обратить внимание, "системы", не "систему" -- в рамках
одного, фактически, эксперимента (в смысле сущности, которая
принимает решение о том, доверять/не доверять ли аутентификационной
информации различного типа и качества _для нужд этого конкретного
эксперимента_); но имея возможность обслуживать различные эксперименты
(причём, если я правильно понимаю, -- по-разному в смысле политик
обслуживания),
- IAM -- VOMS-на-стероидах, потребляющий разнородную аутентификационную
информацию (и разнородную по качеству -- тоже), оперирующий, впрочем,
понятием "уровнь доверия" (level-of-assurance profile), и раздающий
token-ы, которые работают на базе единой технологии (именно она --
не X.509, сейчас это OAuth/JWT, дальше -- что-там-будет-модно).
Возможно, такая система действительно более соответствует текущим
запросам граждан (особенно учитывая то, что потребители, скажем,
инфраструктуры WLCG, -- они вообще интересуются не безопасностью,
а удобством работы/качеством обслуживания). Я полагаю, что без
координации деятельности базовых поставщиков аутентификационной
информации (т.е. для IAM, -- потенциально, -- это и Facebook,
и Гос-"прости-Г-ди"-Услуги), -- чем занимаются IGTF и EUGridPMA --
тут будет сложно. Но, конечно, любой из экспериментов может
(если технически/административно выйдет) ограничить круг этих
поставщиков чем-им-надо, а дальше -- дальше оно VOMS-на-стероидах,
где X.509 заменён на другую подложку и навешаны более современные
(современные "индустриально-стандартным" сервисам и моделям)
средства сказать "я -- этот, мне надо то-то и мне оно разрешено".
Гражданам, вводящим и сопровождающим такие системы в рамках
хотя бы 4-х экспериментов на БАК -- удачи. Она им понадобится.
--
Eygene Ryabinkin, National Research Centre "Kurchatov Institute"
Always code as if the guy who ends up maintaining your code will be
a violent psychopath who knows where you live.
More information about the Ru_ngi
mailing list