Người dùng lưới với VOMS

Một phần của tài liệu Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 57)

Muốn sử dụng tài nguyên trong lưới, người dùng phải tham gia vào VO có quyền sử dụng tài nguyên đó. Việc đầu tiên người dùng cần làm là đăng ký thành viên với người quản trị VO. Mỗi người dùng có thểđăng ký với nhiều VO khác nhau. Sau khi được chấp nhận, người dùng xin chứng nhận tạm thời (proxy cerfiticate) để có quyền truy cập tài nguyên.

Cụ thể, quy trình người dùng xin gia nhập VO như sau:

1/. Người dùng sở hữu chứng chỉ số của CA được VOMS Server tín nhiệm. Người dùng truy cập web admin của VOMS Server, cung cấp một số thông tin cá nhân,

đồng ý với các điều khoản sử dụng lưới của VO và nộp đơn xin gia nhập.

2/. Một email được gửi tới hòm thư của người dùng. Người dùng nhận được email, lựa chọn đồng ý tiếp tục quá trình đăng ký.

3/. Người dùng chờ quyết định từ VO-Admin xem xét đơn gia nhập VO. Một email thông báo sẽ được gửi tới người dùng khi có kết quả xét duyệt của người quản trị VO.

58

grid-proxy-init là công cụ để cấp phép chứng chỉ số tạm thời cho người dùng lưới. Thay vì sử dụng grid-proxy-init, ta sẽ sử dụng voms-proxy-init để xin cấp chứng thực quyền thành viên. Giống như công cụ grid-proxy-init, công cụ voms-proxy-init cũng tạo ra chứng chỉ số tạm thời cho người dùng lưới, và gắn thêm các thông tin về

phân quyền của người dùng từ VOMS server.

Các thông tin này bao gồm giấy ủy quyền của người dùng, của VOMS server và thời hạn của chứng nhận tạm thời. Tất cả các thông tin này sau đó đều được xác nhận bằng chữ kỹ số của VOMS server. Các chứng nhận do voms-proxy-init sinh ra

đều hoạt động tốt với các hệ thống cũ không hỗ trợ VO để đảm bảo tính tương thích ngược.

Quy trình người dùng xin chứng chỉ số tạm thời như sau như sau: 1/. Người dùng và VOMS server xác thực lẫn nhau.

2/. Người dùng gửi yêu cầu xin chứng thực đến VOMS server.

3/. VOMS server xác nhận thành viên & vai trò của người dùng trong VO và kiểm tra lại yêu cầu; sau đó cấp và trả lại cho người dùng các thông tin được yêu cầu. 4/. Người dùng kiểm tra các thông tin nhận được.

59

Ngoài các thuộc tính cơ bản của chứng nhận lưới, chứng nhận tạm thời gắn thêm các thuộc tính nhận được từ VOMS server. Ngoài ra, người dùng có thể tích hợp thêm các thuộc tính xác thực khác như phương pháp Kerberos, nhãn thời gian…

Sau khi có chứng nhận VO từ VOMS, người dùng gửi các chứng nhận này đến

đến RP để sử dụng tài nguyên. Để kiểm tra quyền, Gatekeeper bên phía thực thi sẽ

tách các thuộc tính bổ sung từ VOMS, kiểm định và xác thực các thuộc tính phân quyền. Các thuộc tính này, kết hợp với chính sách sử dụng tài nguyên trước đó giữa VO và RP, sẽ quyết định các tài nguyên người dùng được phép sử dụng. Các thuộc tính này là không bắt buộc, nên các chứng thực do VOMS sinh ra vẫn đảm bảo tính tương thích ngược, tức là làm việc được với các hệ thống không hỗ trợ kiểm tra các thuộc tính về phân quyền.

60

Một phần của tài liệu Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 57)

Tải bản đầy đủ (PDF)

(111 trang)