CHƯƠNG 2. NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI
3.2. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO
3.2.1. Người dùng với VOMS
3.2.1.1 Người dùng lưới với VOMS.
Muốn sử dụng tài nguyên trong lưới, người dùng phải tham gia vào VO có quyền sử dụng tài nguyên đó. Việc đầu tiên người dùng cần làm là đăng ký thành viên với người quản trị VO. Mỗi người dùng có thể đăng ký với nhiều VO khác nhau. Sau khi được chấp nhận, người dùng xin chứng nhận tạm thời (proxy cerfiticate) để có quyền truy cập tài nguyên.
Cụ thể, quy trình người dùng xin gia nhập VO như sau:
1/. Người dùng sở hữu chứng chỉ số của CA được VOMS Server tín nhiệm. Người dùng truy cập web admin của VOMS Server, cung cấp một số thông tin cá nhân, đồng ý với các điều khoản sử dụng lưới của VO và nộp đơn xin gia nhập.
2/. Một email được gửi tới hòm thư của người dùng. Người dùng nhận được email, lựa chọn đồng ý tiếp tục quá trình đăng ký.
3/. Người dùng chờ quyết định từ VO-Admin xem xét đơn gia nhập VO. Một email thông báo sẽ được gửi tới người dùng khi có kết quả xét duyệt của người quản trị VO.
Hình 3- 5: Quy trình xin đăng ký dùng lưới tính toán.
grid-proxy-init là công cụ để cấp phép chứng chỉ số tạm thời cho người dùng lưới. Thay vì sử dụng grid-proxy-init, ta sẽ sử dụng voms-proxy-init để xin cấp chứng thực quyền thành viên. Giống như công cụ grid-proxy-init, công cụ voms-proxy-init cũng tạo ra chứng chỉ số tạm thời cho người dùng lưới, và gắn thêm các thông tin về phân quyền của người dùng từ VOMS server.
Các thông tin này bao gồm giấy ủy quyền của người dùng, của VOMS server và thời hạn của chứng nhận tạm thời. Tất cả các thông tin này sau đó đều được xác nhận bằng chữ kỹ số của VOMS server. Các chứng nhận do voms-proxy-init sinh ra đều hoạt động tốt với các hệ thống cũ không hỗ trợ VO để đảm bảo tính tương thích ngược.
Quy trình người dùng xin chứng chỉ số tạm thời như sau như sau:
1/. Người dùng và VOMS server xác thực lẫn nhau.
2/. Người dùng gửi yêu cầu xin chứng thực đến VOMS server.
3/. VOMS server xác nhận thành viên & vai trò của người dùng trong VO và kiểm tra lại yêu cầu; sau đó cấp và trả lại cho người dùng các thông tin được yêu cầu.
4/. Người dùng kiểm tra các thông tin nhận được.
Ngoài các thuộc tính cơ bản của chứng nhận lưới, chứng nhận tạm thời gắn thêm các thuộc tính nhận được từ VOMS server. Ngoài ra, người dùng có thể tích hợp thêm các thuộc tính xác thực khác như phương pháp Kerberos, nhãn thời gian…
Sau khi có chứng nhận VO từ VOMS, người dùng gửi các chứng nhận này đến đến RP để sử dụng tài nguyên. Để kiểm tra quyền, Gatekeeper bên phía thực thi sẽ tách các thuộc tính bổ sung từ VOMS, kiểm định và xác thực các thuộc tính phân quyền. Các thuộc tính này, kết hợp với chính sách sử dụng tài nguyên trước đó giữa VO và RP, sẽ quyết định các tài nguyên người dùng được phép sử dụng. Các thuộc tính này là không bắt buộc, nên các chứng thực do VOMS sinh ra vẫn đảm bảo tính tương thích ngược, tức là làm việc được với các hệ thống không hỗ trợ kiểm tra các thuộc tính về phân quyền.
3.2.1.2 Người quản trị với VOMS
Người quản trị VOMS được chia ra 2 cấp độ quản trị. Ở cấp độ quản lý nhóm, họ quản lý quyền, thành viên của các nhóm con trong VO. Ở cấp độ toàn VO, người quản trị có thêm nhiệm vụ quản lý các đơn gia nhập VO.
Cụ thể, người quản trị nhóm có các quyền sau:
Hình 3- 7: Người quản trị nhóm với hệ thống.
Người quản trị nhóm phụ trách quản lý người dùng (thêm, xóa, tìm kiếm), quản lý nhóm (thêm, xóa, tìm kiếm, quản lý ACL cho nhóm), quản lý vai trò (thêm, xóa, tìm kiếm), quản lý thành viên (thêm, bớt; gán, gỡ bỏ vai trò của các thành viên). Người quản trị VO thừa kế các quyền quản lý của quản trị nhóm.
Hình 3-8: Quản trị nhóm và quản trị VO.
Ngoài ra, quản trị VO còn có thêm các quyền quản lý riêng ở cấp độ toàn tổ chức. Đó là quản lý đăng ký.
Hình 3-9: Quản trị VO và hệ thống.