CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM
4.3. THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM
Thành phần này thiết lập các kiểm soát truy nhập dịch vụ và tài nguyên lưới thông qua giấy uỷ nhiệm lưới theo chuẩn X509. Người dùng qua cổng điện lưới chỉ
có thể truy nhập tài nguyên khi có giấy uỷ nhiệm hợp lệ. Thành phần còn có chức năng quản lý các giấy uỷ nhiệm lưới như thêm mới, gia hạn, gỡ bỏ cho từng người dùng trên cổng điện tử lưới.
4.3.1. Cổng điện tử lưới.
Cổng điện tử lưới được hiểu là cổng kết nối giữa người dùng với các dịch vụ lưới ở tầng dưới. So với các ứng dụng dựa trên Web thông thường, cổng điện tử lưới ưu việt hơn nhờ khả năng tùy biến môi trường người sử dụng, cho phép tách biệt các thành phần nghiệp vụ từ máy chủ ứng dụng và tái sử dụng các thành phần của Web.
Chính nhờ khả năng này, Cổng điện tử lưới đã trở thành sử lựa chọn phổ biến cho các nhà phát triển ứng dụng lưới.
Trên đây là mô hình truy nhập dịch vụ lưới từ cổng điện tử lưới. Người dùng sẽ đăng nhập vào cổng điện tử lưới với tài khoản của mình, đưa ra các đặc tả công việc, các yêu cầu sẽ được chuyển xuống các dịch vụ lưới, phân bổ xuống các tài nguyên lưới để thực hiện, và cuối cùng trả về kết quả cho người dùng trên giao diện Web. Tuy nhiên, khi xây dựng các cổng giao diện lưới, nảy sinh một số yêu cầu bảo mật sau:
Người sử dụng phải có một trình duyệt Web chuẩn để tiếp cận các Cổng điện tử lưới.
Người sử dụng vẫn có thể truy nhập từ những nơi mà những nơi mà giấy ủy nhiệm Grid là không có sẵn đối với họ.
Người sử dụng có thể làm bất cứ điều gì thông qua Cổng điện tử lưới mà giấy ủy nhiệm có thể cho phép họ làm.
4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới.
Việc truy xuất giấy uỷ nhiệm lưới và uỷ quyền truy nhập lưới cho các cổng điện tử được thể hiện như hình vẽ:
Hình 4-22: Mô hình uỷ quyền truy nhập trên cổng điện tử lưới.
(1) Người dùng có thể kết nối với cổng điện tử lưới sử dụng trình duyệt Web và cung cấp các thông tin chứng thực đã đưa ra trước đây tới kho lưu trữ thông qua các form trên web hay các giao diện đơn giản. Người sử dụng có thể xác định một kho lưu trữ MyProxy cho cổng điện tử để sử dụng, nếu có nhiều hơn một kho.
(2) Cổng điện tử sử dụng các thông tin đăng nhập (định danh và mật khẩu) của người dùng yêu cầu lấy giấy ủy nhiệm từ kho lưu trữ.
(3) Khi thông tin đăng nhập là hợp lệ, MyProxy sẽ gửi lại cho cổng điện tử lưới một giấy ủy nhiệm của người dùng. Khi ấy cổng điện tử có thể thay mặt người dùng tiếp cận an toàn tới các dịch vụ lưới.
Hành động logout ra khỏi cổng điện tử sẽ xóa giấy ủy quyền của người dùng trên portal. Khi người dùng quên logout, giấy chứng nhận sẽ mãn hạn tại một thời điểm nhất định khi yêu cầu từ dịch vụ MyProxy.Thời gian sống thường là khoảng vài
giờ. Quá trình này có thể lặp lại nhiều lần, khi người dùng đòi hỏi, cho tới khi giấy ủy quyền giữ bởi MyProxy mãn hạn. Tại thời điểm này, người sử dụng cần chạy chương trình myproxy-init từ vị trí nơi các giấy chứng nhận có sẵn và ủy nhiệm tập mới các giấy ủy quyền tới kho lưu trữ. Thời gian lớn nhất của giấy ủy nhiệm được kho lưu trữ xác định bởi máy chủ lưu trữ. nhưng mặc định là một tuần/lần.
4.3.3. Dịch vụ quản lý giấy uỷ nhiệm.
Dịch vụ này giúp cho người dùng có thể truy nhập các dịch vụ lưới hỗ trợ bảo mật GSI một cách dễ dàng, có thể đăng nhập một lần hay ủy quyền cho cổng điện tử lưới thực hiện các công việc trên lưới.
Một số chức năng của dịch vụ như sau:
- Xác thực người dùng lưới: Dịch vụ có cơ chế kiểm tra tính hợp lệ của người dùng, bảo đảm người dùng phải có một giấy ủy nhiệm X509 còn thời hạn khi sử dụng các dịch vụ cài đặt bảo mật GSI. Nếu không hợp lệ, người dùng phải quay lại màn hình đăng nhập xin cấp giấy ủy nhiệm từ dịch vụ.
- Quản lý vòng đời: Dịch vụ có khả năng cập nhật động thời gian sống của giấy ủy nhiệm, một khoảng thời gian nhất định, giấy ủy nhiệm sẽ tự hủy nếu người dùng quên (bỏ ) kích hoạt nó.
- Cấp lại giấy ủy nhiệm: Do giấy ủy nhiệm cho người dùng có thời gian sống là hạn chế, khi người dùng sử dụng một dịch vụ tính toán nào đó với bộ dữ liệu lớn, thời gian xử lý lâu thì dịch vụ bảo mật phải có cơ chế làm tươi lại giấy ủy nhiệm, không làm ảnh hưởng tới công việc của người trên lưới.
- Quản lý kho lưu trữ: Rõ ràng hệ thống lưu trữ rất nhiều giấy ủy nhiệm người dùng để ủy quyền lên portal, nên việc quản lý kho lưu trữ là rất quan trọng. Các giấy ủy nhiệm người dùng được mã hóa trong kho lưu trữ, để cho dù kho lưu trữ có bị tổn thương, kẻ địch vẫn phải mất một thời gian để giải mã, và khi đó giấy ủy nhiệm người dùng có thể sẽ hết hạn. Dịch vụ cung cấp khả năng cho phép người dùng lựa chọn các hệ thống kho lưu trữ trên các miền phân tán khác nhau về mặt địa lý qua công nghệ phân tán của dịch vụ lưới.
- Quản lý giấy ủy nhiệm đa người dùng: người dùng có thể có nhiều giấy chứng nhận khác nhau, từ các nhà thẩm quyền CA khác nhau. Dịch vụ cung cấp khả năng lưu trữ tất cả các giấy chứng nhận của người dùng, đưa thông tin về công việc người dùng muốn thực hiện, lựa chọn giấy ủy nhiệm đúng đắn cho mỗi phần việc, sau đó trả lại giấy ủy nhiệm cho người dùng.
Dịch vụ được xây dựng dựa trên các nền tảng:
- Globus Toolkit: đây là bộ công cụ nền tảng để phát triển lưới, với chuẩn mở xây dựng các dịch vụ lưới OGSA và hạ tầng bảo mật GSI
- SimpleCA: nhà thẩm quyền cung cấp các giấy ủy nhiệm lưới, là nền tảng trong cấu hình bảo mật GSI
- Gridsphere Portal: cổng điện tử chuẩn mở, kết hợp giữa hai công nghệ Web và Grid, tạo nên một nền tảng cho cả người sử dụng và các nhà phát triển lưới. Đã có rất nhiều dự án đã và đang phát triển trên nền tảng Gridsphere như HPC Europa, D-Grid, P-Grade, BIRN, Telescience, Australian Virtual Observatory, UK Science.
- MyProxy: máy chủ để lưu trữ các giấy ủy nhiệm trực tuyến.
- Java Cog Kit: là bộ cung cụ phát triển lưới, ánh xạ giữa công nghệ Java và Globus Toolkit, cho phép các nhà phát triển xây dựng các ứng dụng lưới bằng ngôn ngữ Java
Dưới đây là mô tả các thể hiện của dịch vụ trên nền tảng Gridsphere:
- Quản lý người dùng lưới
- Quản lý giấy uỷ nhiệm lưới:
- Các quyền cho các giao dịch truyền file có hỗ trợ GSI:
- Đệ trình các công việc trên lưới:
4.4 MỘT SỐ HẠN CHẾ CỦA VOMS.
Hai dịch vụ chính của hệ thống quản lý tổ chức ảo là dịch vụ VOMS và dịch vụ EDG-MKGRIDMAP. Hai dịch vụ ăn khớp, phối hợp tốt với nhau trong hệ thống quản lý người dùng lưới nói chung nên rất phù hợp khi vận dụng vào môi trường lưới của hệ thống liên thư viện GOODAS. Trong đó, dịch vụ VOMS là một dịch vụ mã nguồn mở.
Từ đó, luận văn đóng góp thêm phần thiết kế đa ngôn ngữ cho giao diện quản trị của VOMS-Admin, giúp cho quy trình quản lý thân thiện hơn nhiều người dùng.
Tuy nhiên, hệ thống quản lý tổ chức ảo vẫn còn nhiều vấn đề. Dịch vụ phụ trách quản lý thông tin người dùng trên cấp độ VO và dịch vụ ánh xạ người dùng trên cấp độ RP vẫn còn có các hạn chế cơ bản của nó.
4.4.1 Hạn chế của VOMS.
Hiện tại, quy trình đăng ký của VOMS không hỗ trợ quản lý chính sách sử dụng lưới AUP (Grid Acceptable Use Policy ) và thời gian hiệu lực của quyền thành viên trong VO. Nó không thích hợp trong các VO có quy mô lớn trên khu vực hoặc toàn cầu. Để giải quyết những giới hạn này, Fermilab và WLCG (Worldwide LHC Computing Service) đã phát triển VOMRS, một công cụ mới, cho phép quản lý đăng ký mạnh mẽ và mềm dẻo hơn với các tính năng sau đây:
1/. Hỗ trợ nhiều cấp độ quản trị (Ví dụ: Quản lý VO, quản lý nhóm...). Mỗi cấp độ sẽ có các quyền khác nhau trong quản lý VO.
2/. Muốn tham gia vào VO, người dùng phải đồng ý với chính sách sử dụng lưới và VO- AUP (VO & Grid Acceptable Use Policy).
3/. Cho phép người quản trị theo dõi phiên bản và sự thay đổi của AUP.
4/. Quản lý thời gian hiệu lực của quyền thành viên trong VO.
4.4.2 Hạn chế của EDG-MKGRIDMAP.
Dịch vụ ánh xạ người dùng EDG-MKGRIDMAP là một giải pháp phổ biến cho quy trình ánh xạ người dùng lưới vào tài khoản cục bộ. Và thực tế, đang được dùng rộng rãi trong các cộng đồng lưới Globus và Glite. Tuy nhiên, cơ chế ánh xạ của EDG- MKGRIDMAP là cứng. Trong một số trường hợp, cơ chế ánh xạ cứng là không đủ để giải quyết một số yêu cầu ánh xạ đặc biệt.
Ví dụ, người dùng A là thành viên của VO GOODAS. Trong VO GOODAS có 2 nhóm con là nhóm Math và nhóm Literature. Người dùng A muốn sử dụng các tài liệu của cả 2 nhóm này. Như vậy, họ phải là thành viên của cả 2 nhóm Math và Literature. Trên máy cục bộ, tài khoản hệ thống thao tác với các tài nguyên nhóm Math là “laMath” (local account Math), với tài nguyên nhóm Literature là
“laLiterature”. Để thực thi quyền, EDG-MKGRIDMAP phải ánh xạ người dùng A vào 2 tài khoản cục bộ “laMath” và “laLiterature”. Trong tệp Gripmap, xuất hiện 2 mục ánh xạ, sẽ dẫn tới nhập nhằng hệ thống không biết phải lựa chọn mục nào khi thực hiện. Như vậy, trong trường hợp này, cơ chế ánh xạ cứng không đáp ứng được. Để giải quyết, cần có cơ chế khác mềm dẻo, mang tính “động” hơn. Cơ chế này cho phép lựa chọn ánh xạ căn cứ vào thời điểm thực thi. Đó là GUMS.