Il Globus Toolkit
utilizza GSI per ottenere la sicurezza nell’autenticazione e nell’utilizzo
delle risorse all’interno di una rete eterogenea com’è il GRID. I motivi
principali che spingono a sviluppare un nuovo sistema per la sicurezza sono:
·
il
bisogno di realizzare comunicazioni sicure (autenticate e spesso confidenziali)
·
il
bisogno di realizzare un sistema per la sicurezza che supporti l’eterogeneità
delle varie organizzazioni che fanno parte del GRID, senza l’obbligo di
realizzare un sistema centralizzato: si vuole lasciare la massima autonomia
alle singole organizzazioni per quanto riguarda i sistemi per la sicurezza
utilizzati al loro interno
·
il
bisogno di supportare il single sign-on per gli utenti del GRID: il singolo
utente si deve autenticare al GRID una ed una sola volta al momento del primo
accesso e poi non gli deve più essere richiesto nessun tipo di autenticazione
(delegation: si delegano tutte le richieste di autenticazione future ad un
proxy)
Il GSI è basato sulla chiave pubblica di codifica
X.509 ed utilizza come protocollo di comunicazione il SSL (Secure Sockets
Layer). Naturalmente per poter realizzare tutte le funzionalità richieste dal
GRID sono state aggiunte delle estensioni per permettere il single sign-on e la
delegation: il Globus Toolkit fornisce a questo scopo una serie di API
denominate GSS-API che rispondono agli standard imposti dal IETF (Internet
Engeneering Task Force).
Per avere maggiori informazioni riguardo ai principali servizi offerti da GSI si rimanda alla lettura della seguente pagina sul sito ufficiale di Globus: Overview of the Grid Security Infrastructure
GSI IN ACTION: nella figura è mostrato un semplice
esempio del funzionamento del sistema di autenticazione e di sicurezza
utilizzato dal Globus Toolkit. L'utente crea un proprio proxy con le
credenziali che ha precedentemente ottenuto dal CA: da questo momento in poi
non dovrà più preoccuparsi di autenticarsi nei vari sistemi per ottenere i
servizi desiderati, ma sarà il proprio proxy che gestirà per lui la sicurezza
(delegation). Quando l'utente fà una richiesta di esecuzione di un comando sul
GRID, il proxy si autentica verso gli host che forniranno il servizio. Grazie
all'utilizzo del GRAM server , che supporta i servizi offerti dal GSI, la
sicurezza delle operazioni è garantita a dispetto dei protocolli usati
localmente da ogni host. Un'ultima funzionalità molto importante offerta dal
GSI è legata alla interoperatività automatica: nel momento in cui l'utente,
tramite il suo proxy, si autentica nell'host A e nell'host B, automaticamente i
due host possono comunicare tra loro in modo sicuro e protetto.
COMANDI
PRINCIPALI PER L'USO DEL GSI CON IL GLOBUS TOOLKIT 2.2
grid-proxy-init: questo comando è utilizzato per creare il
proprio proxy server e renderlo attivo: per creare il certificato per il proxy
viene richiesta la PEM pass phrase utilizzata dall'utente per registrare il
proprio certificato presso la CA. Per maggiori informazioni sul sistema di
certificazione si rimanda alla pagina Come ottenere i certificati.
grid-proxy-destroy: questo comando è utilizzato per
distruggere il proxy server.
grid-proxy-info: questo comando è utilizzato per avere
informazioni riguardo lo stato ed il contenuto di un proxy. Possono essere
visualizzate le seguenti informazioni: il soggetto del certificato, il nome del
generatore del proxy, informazioni sul proxy, lunghezza della chiave usata per
criptare il certificato ed il tempo di validità del proxy. Lo stesso comando
può essere utilizzato per verificare la correttezza e la validità del proxy.
