a. CA
Để xây dựng một môi trường lưới sử dụng các thành phần GSI, bạn phải tạo một tập các khóa dành cho mã hóa khóa công khai và yêu cầu chứng chỉ của bạn từ CA, và sao chép khóa công khai của CA.
Hình 2-4. Các thủ tục GSI
Hình vẽ trên cùng các thủ tục dưới đây sẽ mô tả các bước thiết lập giao tiếp GSI: 1. Sao chép khóa công khai của CA vào trạm lưới mà bạn sẽ thiết lập GSI. 2. Tạo khóa riêng tư và một yêu cầu chứng chỉ.
3. Gửi yêu cầu chứng chỉ của bạn tới CA bằng e-mail hoặc một cách an toàn khác trong trường hợp bạn đang chạy một ứng dụng mà cần xác định rõ người gửi.
4. CA ký nhận lên yêu cầu của bạn để tạo chứng chỉ, sau đó gửi chứng chỉ đã ký cho bạn.
Khi các thủ tục này hoàn thành và bạn đã nhận được chứng chỉ số của bạn, bạn sẽ có ba tệp quan trọng trên trạm lưới của bạn, đó là:
Khóa công khai của CA
Khóa riêng tư của trạm lưới
Để cung cấp xác thực và truyền thông an toàn cho các máy tính lưới, bạn không nên để ai khác có thể truy cập vào khóa riêng tư của bạn. Một tầng mở rộng về an ninh đã được thêm vào khóa riêng tư, nó gồm một từ khóa bí mật mà phải được sử dùng khi sử dụng khóa riêng tư của bạn cùng với chứng chỉ số. Điều này nhằm ngăn ai đó khỏi việc đánh cắp chứng chỉ số và khóa riêng tư của bạn, và có thể tự tiện sử dụng chúng để truy cập vào các tài nguyên lưới. Khóa của trạm được bảo vệ bằng các quyền trên hệ điều hành cục bộ bên trong server lưới.
b. Xác thực và cấp phép
Thử hình dung một kịch bản ở đó bạn cần giao tiếp với một ứng dụng của máy tính thuộc một lưới khác và bạn muốn chắc chắn rằng dữ liệu đến từ máy tính đó thực sự thuộc về chính máy tính đó. Bên cạnh việc làm bạn tin tưởng máy đó, bạn cũng muốn máy tính đó tin tưởng bạn. Trong những trường hợp đó, bạn có thể sử dụng chức năng xác thực của GSI (được mô tả trong hình vẽ bên dưới).
Trong những bước được mô tả bên dưới, bạn (grid host A) được xác thực và được cấp phép bởi grid host B. Hầu hết các bước đều nhằm xác thực, trừ bước cuối là bước cấp phép.
1. Gửi chứng chỉ của bạn đến một host khác (host B) mà bạn muốn được xác thực. 2. Host B sẽ lấy khóa công khai của bạn cũng như tiêu đề của bạn từ chứng chỉ đó bằng cách sử dụng khóa công khai của CA.
3. Host B tạo một số ngẫu nhiên và gửi nó cho bạn (host A).
4. Nếu bạn có số này, mã hóa nó bằng khóa riêng tư của bạn (bạn có thể sẽ được yêu cầu nhập mật khẩu để mở khóa riêng của bạn) và gửi số đã được mã hóa đến host B. 5. Host B sẽ giải mã số và kiểm tra xem số đã được giải mã có thực sự là số đã được gửi trước đó không. Sau đó host B xác thực rằng chứng chỉ thực sự là của bạn, bởi vì chỉ bạn mới có thể mã hóa số đó bằng khóa riêng tư của bạn.
6. Chứng chỉ của bạn được xác thực bởi host B, sau đó tiêu đề của bạn trong chứng chỉ sẽ được ánh xạ tới một tên người dùng cục bộ. Tiêu đề này ở dạng DN kiểu “O=Grid/O=Globus/OU=itso.grid.com/CN=your name” và đây là tên được sử dụng bởi LDAP để phân biệt các truy nhập vào dịch vụ thư mục. Tiêu đề được dùng để xác định định danh người dùng của bạn trong một môi trường lưới. Ở đây bạn, người sở hữu DN, được xác thực bởi host B và đóng vai trò như một người dùng cục bộ trên host B.
Hình 2-5. Thủ tục xác thực
Trong các môi trường lưới, host của bạn sẽ trở thành một client trong vài trường hợp, và trong những trường hợp khác, lại trở thành một server. Do đó, host của bạn có thể sẽ được yêu cầu xác thực một host khác và được xác thực bởi host đó cùng thời điểm. Trong trường hợp này, bạn có thể dùng chức năng xác thực tương hỗ của GSI. Chức năng này cũng giống như những gì đã được mô tả ở phần trên tài liệu, và nó cứ tiếp tục với các bước xác thực, và thay đổi hướng của các host rồi lặp lại thủ tục xác thực.
Nói ngắn gọn, xác thực là quá trình chia sẻ các khóa công khai một cách an toàn, và cấp phép là quá trình ánh xạ DN của bạn tới một người dùng cục bộ hoặc nhóm cục bộ trên một host từ xa.