CHƯƠNG 2 .N ỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI
2.3. BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0
2.3.3. Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM
Tài nguyên lưới bao gồm các các máy chủ, máy trạm, các siêu máy tính, các thiết bị lưu trữ kết nối với một lưới dữ liệu thông qua mạng truyền thông để cùng thực hiện một mục tiêu chung.
Dịch vụ định vị tài nguyên GRAM (Globus Resource Allocation Management) là dịch vụ của GT cho phép client có thể khởi tạo, quản lý, theo dõi an toàn bảo mật các nhiệm vụ tính toán trên các máy ở xa. Việc tiến hành đối với GRAM là một trong những công việc phức tạp nhất bởi vì nó liên quan nhiều đến cả cơ chế an toàn bảo mật địa phương và các client từ xa. Phần này sẽ trình bày việc cài đặt an toàn bảo mật trong GRAM để minh họa cho việc cài đặt cho các dịch vụ.
Để có thể thực hiện công việc nhờ GRAM, một client phải mô tả công việc, chỉ rõ những chi tiết về thư mục thực thi, nơi lưu trữ các đầu ra và đầu vào. Những mô tả này được gửi tới tài nguyên và kết quả là một thực thể của dịch vụ quản lý công việc MJS (Managed Job Service). Một MJS là một dịch vụ của lưới cho phép khởi tạo công việc, điều khiển, theo dõi công việc.
MJS được tạo bởi một dịch vụ sinh MJS. Về lý thuyết thì sẽ có tương ứng với mỗi tài khoản người dùng một dịch vụ sinh MJS, tuy nhiên trong thực tế để
tránh lãng phí, GT chỉ thực thi một trình chủ sinh MJS là Master Managed Job Factory Service (MMJFS).
Mỗi MMJFS chạy trên mỗi tài nguyên và triệu gọi dịch vụ sinh MJS địa phương LMJFS (Local Managed Job Factory Services) dùng khi cần thiết. Dịch vụ điều hướng (Proxy Router service) dẫn những yêu cầu từ người dùng tới LMJFS nếu có (hoặc MMJFS nếu LMJFS của người dùng đó không tồn tại). Với MJS factory thì có thể có một hay nhiều thể hiện của MJS chạy cùng một lúc trên môi trường trình chủ.
Hình 2- 13: Cơ chế thực hiện của GRAM
Như minh họa trên hình 2-14, để thực hiện công việc trên GRAM phải qua 7 bước:
1/. Người yêu cầu tạo một bản mô tả công việc và kèm với một giấy ủy nhiệm thích hợp. Yêu cầu này sau đó được gửi tới tài nguyên đích.
2/. Dịch vụđiều hướng Proxy Router nhận yêu cầu và gửi tới LMJFS nếu có (nhảy tới bước 6) hoặc gửi tới MMJFS (thực hiện tiếp bước 3).
4/. MMJFS triệu gọi quá trình Setuid Starter để khởi tạo LMJFS. Setuid Starter là chương trình có đặc quyền (ví dụ như setuid-root) mà chức năng duy nhất của nó là khởi tạo một LMJFS đã được cấu hình sẵn cho một người dùng.
5/. Khi LMJFS đã được tạo, nó cần nhận được giấy ủy nhiệm và phải tự đăng ký với dịch vụđiều hướng Proxy Router để nó thể nhận được các yêu cầu khác trong tương lai. LMJFS triệu gọi Grid Resource Identity Mapper (GRIM) để nhận được giấy ủy nhiệm. GRIM là một chương trình có đặc quyền truy cập và sinh ra các giấy ủy nhiệm cho LMJFS. Giấy ủy nhiệm này chứa trong nó định danh người dùng lưới, tên người dùng cục bộ … để giúp cho người yêu cầu có thể đảm bảo đây đúng là LMJFS cần thiết.
6/. LMJFS nhận được yêu cầu công việc, LMJFS kiểm định chữ ký trên yêu cầu để đảm bảo là nó không bị giả mạo và kiểm tra xem người yêu cầu có được quyền truy cập tài khoản người dùng cục bộ mà LMJFS đang chạy. LMJFS khởi tạo một MJS và trả lại tham chiếu dịch vụđến người dùng.
7/. Người yêu cầu kết nối tới MJS để bắt đầu công việc. Người yêu cầu và MJS kiểm chứng lẫn nhau trước khi tiến hành quá trình giao dịch. MJS kiểm định xem requestor có đủ thẩm quyền để thực thi trong tài khoản cục bộ hay không còn requestor kiểm định xem MJS có giấy ủy nhiệm (GRIM credential) hợp lý từ máy chủ hay không, điều này cho phép client không chỉ xác định được là MJS chạy trên