スライド 1

Size: px

Start display at page:

Download "スライド 1"

きのこはやしもと
5 years ago
Views:

1 Shibbolized NAREGI Grid Middleware によるグリッド ID フェデレーション CSI 委託事業 : 平成 1 年度実施報告と平成年度の事業計画 010/06/1 Manabu Higashida manabu@cmc.osaka-u.ac.jp 大阪大学サバーメデゖゕセンター

平成1年度のCSI委託事業の実施報告 1) MICSプロフゔルに対応したグリッド認証局運用規定の策定

? 認証局 CA: Certificate MICSプロフゔルに基づく認証局運用規

る登録局としての業務規程を策定した Authority 登録局 RA: Registration

2 平成1年度のCSI委託事業の実施報告 1) MICSプロフゔルに対応したグリッド認証局運用規定の策定 1 日本に３箇所: KEK, AT, NII 登録機関へ統合!? 認証局 CA: Certificate MICSプロフゔルに基づく認証局運用規程を策定すると同時に各情報基盤センターの全国共同利用登録窓口に要求される登録局としての業務規程を策定した Authority 登録局 RA: Registration Authority 対面確認対面確認写真付き身分証明書を提示登録組織の所属情報を提示証明書発行取得 Classic Profileに基づく業務証明書発行取得 MICS Profileに基づく業務情報基盤センター群が共同利用に供している数千のゕカウントを連携させクラウドサービスの窓口業務を自動化 MICS: Member Integrated Credential Service

3 平成1年度のCSI委託事業の実施報告 ) ShibbolethによるNAREGIミドルウェゕの Shibboleth SP/IdPを開発し業務を自動化 Single Sign-On対応 NAREGIミドルウェゕにU-PKIの成果を取り入れ証明書ストゕ Shibbolethによる初期認証とOに対応するようNAREGI Webポータルおよび関連するラブラリなどを拡張した Shibboleth SP Shibboleth IdP NAREGI Webポータルや登録局のShibboleth SP化を行った 3) 阪大CMCグリッド認証局のMICS/Shibboleth対応 ① 情報基盤センターAの所属情報を提示してグリッド証明書を取得 ② 取得したグリッド証明書を情報基盤センターCに提示してその資源を利用払い出した証明書と対応する属性情報を関係する情報基盤センターに通知し各情報基盤センターのローカルゕカウントとの名寄せが可能な業務フローの検討と雛形となるシステムを試作する情報基盤センター業務フローの設計と業務システム試作を Shib SP Shib IdP Shib SP Shib SP Shib IdP Shib IdP 行った情報基盤センター連携を想定し UMSおよびの登録情報を共有する機能を追加した SP: Service Provider IdP: Identity Provider ID ID ID リポジトリ by N リポジトリ by ADS リポジトリ by LDAP 情報基盤センターB 3 情報基盤センターC 情報基盤センターA

4 NAREGI 初期認証の Shibboleth によるフェデレーション課題 : UMS の初期認証の ID 管理業務が認証局へ集中 e.g. GPID (Grid Pack ID) の登録業務を NII GOC が負担目標 : Shibboleth で連携したポータル間でのシングルサンオンを実現効果 : 各情報基盤センターが発行した共同利用 ID で連携する UMS にシングルサンオン可能付帯効果 : MICS プロフゔルで業務運用されるグリッド認証局 ( に付随する Shibboleth SP) と連携し証明書発行業務の完全なオンラン化 4

UMSにてvoms-myproxy-initコマンドを MyProxy Portal 実行しプロキシ証明書を払い出すユーザ証明書を復号化するためのパスフレーズ DN+VO 4 を入力する

5 Non-Shibbolized NAREGI CA 1 別途ソーシャルフローを介して License DN UMS RA 1 License ID IDを入手しておく License IDを入力しUMSへグリッドユーザ証明書を払い出す VO:DN 3 ユーザ証明書はこのとき入力するパスフレーズによって暗号化される 3 UMSにてvoms-myproxy-initコマンドを MyProxy Portal 実行しプロキシ証明書を払い出すユーザ証明書を復号化するためのパスフレーズ DN+VO 4 を入力するプロキシ証明書を別のパスフレーズによって暗 DN+VO 号化する 5 4 プロキシ証明書を委譲するためにパスフ VO レーズを入力する DN:LN 5 プロキシ証明書に記載された VO と DN にマッチするへのジョブ投入が可能となる LN 5

Shibbolized NAREGI MICS CA CA 1 Shibboleth フェデレーションされた ID に DN 3 UMS RA SP よってポータルへログンする IDはMICSプロフゔルに基づくLRA 業務規定に従って発行されているものとする規定に従う ID か否かは SAML (Security VO:DN Assertion Markup Language)

6 Shibbolized NAREGI MICS CA CA 1 Shibboleth フェデレーションされた ID に DN 3 UMS RA SP よってポータルへログンする IDはMICSプロフゔルに基づくLRA 業務規定に従って発行されているものとする規定に従う ID か否かは SAML (Security VO:DN Assertion Markup Language) 属性情報によって伝達する Shibboleth O によって認証された RA に DN+VO MyProxy Portal SP 1 3 てグリッドユーザ証明書を発行する MICSプロフゔルで業務運用することによって License IDの受け渡しに際する DN+VO ソーシャルフローを介することなくユーザ証明書の発行が可能になる VO DN:LN MICS LRA LN IdP 6

7 グリッド配備運用TF Phase-1の構成 CA 大統一VO管理 DN UMS RA 1 VO:DN 元管理単一VO (csi-grid-cc) への資源提供 GPIDからLNへの名寄せ 3 NII GOCが管理するNAREGI管理ノード群 (を含む) による一 NII GOCが発行するGPID (Grid Pack ID) を取得し NII GOCが管理するNAREGIポータルへログンユーザ証明書の発行に際して NII GOCから資源提供者へGPID:DN を通知する (SVNリポジトリを介して) MyProxy Portal 資源提供者が管理するGPID:LN表と名寄せを行ってgrid-mapfile (DN:LN表) を作成 4 DN+VO DN+VO 5 VO VO DN:LN1 DN:LN LN1 LN 7

8 Shibboleth連携した証明書ストアから代理証明書を発行 MICS CA CA GPID発行業務が不要に! 資源提供者が管理するIDによって連携したポータルへのログンユーザ証明書の発行が可能になるユーザ証明書の発行に先だって UMSのLNを自動的に払い出すと同時に発行後は資源提供者にePPN (eduperson RA 3 DN UMS SP Principal Name) とユーザが設定したDNの対応を通知する UMSのLNはGPID方式で発行し DNは重複を避けるために資源提供サトのLNをUIDにもつメールゕドレスが望ましい? 4 VO1:DN VO:DN MyProxy Portal SP SP Portal MyProxy DN+VO1 5 DN+VO DN+VO1 DN+VO VO1 6 VO 1 DN:LN1 1 DN:LN MICS LRA MICS LRA LN1 IdP IdP LN 8

Shibboleth 対応 Portal の Shibboleth 対応により O が可能となり GPID の管理が不要に!! RA の Shibboleth 対応による O でオンランでのラセンス ID 発行が可能に!! Portal の Shibboleth 対応による O で UMS のホーム作成等が自動化!

グリッドパック担当者計算機管理者書類 (1) グリッドパック申請書 ( 原本 ) 第一センター利用申請書 ( 原本 ) 書類 (1) グリッドパック申請書 ( 原本 ) 第一センター利用申請書 ( 原本 ) メール (1)+ 電話ラセンスID, パスワード,, GPID 本人確認 GPID 受理書類 () グリッドパック申請書 (

(3) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 第一センターゕカウント通知書 ( 写 ) 受理ゕカウント書類 (3) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 通常のゕカウント作成業務 ( 取得済みならスキップ ) 認証局システム証明書 UMS

ゕカウント第一センターがゕカウントを作成した (= 申請者の身分と支払い能力が確認された ) 後に第二センターに伝達する登録済みの場合は継続申請書 + 利用承認書で可 DN 受理書類 (4) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 第一センターゕカウント通知書 ( 写 )

認証サーバ公開鍵のゕップロード ( 必要があれば ) 属性 :EPPN 名寄せ情報登録 (EPPN,UMS ゕカウント ) grid-mapfile 設定準備完了ゕカウント証明書が発行された場合は第一センターおよび GOC(NII) へ自動でメール通知証明書発行処理 (EPPN) ユーザ証明書 DN 情報取得

(1) grid-mapfile 設定準備完了通知メール (3) grid-mapfile 設定完了通知メール (4) VO 設定完了通知メール (3) grid-mapfile 設定完了通知受理 DN 情報取得 ( 新規ツール ) 受理 DN 情報取得 ( 新規ツール ) grid-mapfile 設定 grid-mapfile

利用開始各センターから個別に課金平成 1 年度グリッドパック業務フロー (Shibboleth 未対応 ) 名寄せ情報を元に fqan を自動生成通知書類は各センターから送付 VO 設定作業 fqanフゔル更新 ( 新規ツール ) VO 設定作業 fqanフゔル更新 ( 新規ツール ) UMS fqan VO 設定作業

を名寄せするグリッドマップフゔルの自動生成や VO 所属情報の分散管理など認可サービスとの連携を検討している書類 (4) 第一センター VO 通知書 ( 原本 ) 書類 (5) GOC DN 通知書 ( 原本 ) GOC VO 通知書 ( 原本 ) GPID ではなく Shibboleth 属性 EPPN 情報をもとに DN 情報を取得

9 Shibboleth 対応 Portal の Shibboleth 対応により O が可能となり GPID の管理が不要に!! RA の Shibboleth 対応による O でオンランでのラセンス ID 発行が可能に!! Portal の Shibboleth 対応による O で UMS のホーム作成等が自動化!! 利用者第一センター GOC(NII) 第二センター利用者第一センター GOC(NII) 第二センター LRA 担当者グリッドパック担当者計算機管理者グリッドパック担当者 LRA 管理者グリッドパック担当者計算機管理者 LRA 担当者グリッドパック担当者計算機管理者グリッドパック担当者 LRA 管理者グリッドパック担当者計算機管理者書類 (1) グリッドパック申請書 ( 原本 ) 第一センター利用申請書 ( 原本 ) 書類 (1) グリッドパック申請書 ( 原本 ) 第一センター利用申請書 ( 原本 ) メール (1)+ 電話ラセンスID, パスワード,, GPID 本人確認 GPID 受理書類 () グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 受理ラセンス ID ラセンスID 発行処理本人確認受理書類 () 第一センターゕカウント通知書 ( 原本 ) 通常のゕカウント作成業務 ( 取得済みならスキップ ) 書類 (3) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 受理書類 (3) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 第一センターゕカウント通知書 ( 写 ) 受理ゕカウント書類 (3) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 通常のゕカウント作成業務 ( 取得済みならスキップ ) 認証局システム証明書 UMS オンランでラセンスID 発行 ID/Passwd 入力 Shibbleth 認証情報 Shibboleth 認証システム IdP 認証サーバ認証局システム (RA) リダレクションラセンスID リダレクション自動化通常のゕカウント作成業務ゕカウント暫定 ID PWの交付他当該センターで必要とされる追加の手続き ( あれば ) ゕカウント第一センターがゕカウントを作成した (= 申請者の身分と支払い能力が確認された ) 後に第二センターに伝達する登録済みの場合は継続申請書 + 利用承認書で可 DN 受理書類 (4) グリッドパック申請書 ( 原本にLRA 署名 ) 第一センター利用申請書 ( 写 ) 第一センターゕカウント通知書 ( 写 ) 通常のゕカウント作成業務 Shibbleth 認証情報オンランでラセンスID 通知オンランでラセンスID Shibbleth 秘密鍵パスフレーズ入力認証情報 Grid-Portal (Shibbolized) Grid-Potarl 代表ゕカウントで H ログン属性 :EPPN ラセンスID 管理 DB UMS UMS ゕカウント作成認証サーバ公開鍵のゕップロード ( 必要があれば ) 属性 :EPPN 名寄せ情報登録 (EPPN,UMS ゕカウント ) grid-mapfile 設定準備完了ゕカウント証明書が発行された場合は第一センターおよび GOC(NII) へ自動でメール通知証明書発行処理 (EPPN) ユーザ証明書 DN 情報取得 (gmap_tool1) メール () VO 設定依頼 SVN repo GPID DN DN 情報取得 (gmap_tool1) 受理自動化受理名寄せ情報登録 (DN) UMS ゕカウント管理 DB grid-mapfile 設定 (gmap_tool) grid-mapfile 設定 (gmap_tool) VO 設定作業メール (1) grid-mapfile 設定準備完了通知メール (3) grid-mapfile 設定完了通知メール (4) VO 設定完了通知メール (3) grid-mapfile 設定完了通知受理 DN 情報取得 ( 新規ツール ) 受理 DN 情報取得 ( 新規ツール ) grid-mapfile 設定 grid-mapfile 設定グリッドパックグリッドパック登録完了通知登録完了確認書類 (5) 書類 (7) 第二センターゕカウント通知書第一センターゕカウント通知書 ( 原本 ) 第二センターゕカウント通知書 ( 原本 ) 書類 (6) ( 写 ) DN 通知書 ( 原本 ) DN 通知書 ( 原本 ) VO 通知書 ( 原本 ) VO 通知書 ( 原本 ) 利用開始各センターから個別に課金平成 1 年度グリッドパック業務フロー (Shibboleth 未対応 ) 名寄せ情報を元に fqan を自動生成通知書類は各センターから送付 VO 設定作業 fqanフゔル更新 ( 新規ツール ) VO 設定作業 fqanフゔル更新 ( 新規ツール ) UMS fqan VO 設定作業 fqanフゔル更新 ( 新規ツール ) 情報基盤センターの業務システムに Shibboleth による ID 連携を組み込むことによって各々の情報基盤センターがこれまで管理維持してきた全国共同利用 ID を基にグリッド証明書を発行しシングルサンオンでグリッドサービスの利用が可能となるさらにグリッド利用 ID と全国共同利用 ID を名寄せするグリッドマップフゔルの自動生成や VO 所属情報の分散管理など認可サービスとの連携を検討している書類 (4) 第一センター VO 通知書 ( 原本 ) 書類 (5) GOC DN 通知書 ( 原本 ) GOC VO 通知書 ( 原本 ) GPID ではなく Shibboleth 属性 EPPN 情報をもとに DN 情報を取得書類 (6) 第二センターゕカウント通知書 ( 原本 ) 第二センター VO 通知書 ( 原本 ) 利用開始各センターから個別に課金登録完了通知 VO は各センターで分散管理 ( 複数と連携する ) 登録完了通知 NAREGI の Shibboleth 対応による O で GPID の管理が不要に!! 代わりに Shibboleth 属性の EPPN と UMS ゕカウントと DN の情報を管理登録完了通知 GPID ではなく Shibboleth 属性 EPPN 情報をもとに DN 情報を取得

10 Shibboleth による複数 VO 連携課題 : VO 管理がどんぶり (Virtual Organization Management Server by glite) DN がどの VO に所属しているかを管理しているがこれまで積極的に活用されていない voms-myproxy-init at UMS (User Management Server) VO 名を拡張領域に格納した代理証明書を発行計算機資源 () 認可は VO 単位で行われている GACL: Grid Access Control List での認可を LRPS- を介してへ通知 DN と LN の対応は /etc/grid-securityt/grid-mapfile で管理されている DN がどの VO に所属しているかは関知していない目標 : 資源提供に際する認可 ( 課金 ) を VO 単位で行い VO の構成メンバー管理を VO 管理者に委譲する UMS における構成情報 : /opt/glite/etc/vomses, ${HOME}/.glite/vomses を分散管理する手法を提案する 10

11 複数のVOの資源を連携して使う VOの管理権限をVO管理者へ委譲 VO管理者は支払い責任者として計算機資源の利用申請を行うを操作してVOの構成員 (DN表) を自由に CA 管理できる計算機資源提供者はのGACL (Grid Access RA DN UMS Control List) にてVOに認可を与え必要であればVO管理者に負担金の請求を行う 1 3 VO1:DN VO:DN MyProxy DN+VO1 Portal Portal 4 DN+VO DN+VO1 MyProxy DN+VO VO1 VO DN:LN1 DN:LN 5 LN1 LN 11

12 Shibbolized NAREGIによる複数VO連携 MICS CA グリッドパック利用者をプールゕカウントへグリッドパック利用申請によって各情報基盤センターのゕカウントが発行されるとユーザ証明書が発行可能になる (UMSのゕカウントは証明書払出し時に自動的に作成される) CA ただし申請時に必ずひとつ以上のVOに所属し伴って VO管理者によるFF ンタビューをパスすることを要請する SP RA 3 グリッドパック利用申請時にすべての提供資源を選択すれば VO管理者主導のプールゕカウント的な運用が可能になる DN UMS 4 VO1:DN VO:DN MyProxy DN+VO1 DN+VO Portal SP SP Portal 5 DN+VO1 MyProxy DN+VO VO1 6 VO 1 DN:LN1 1 DN:LN MICS LRA MICS LRA LN1 IdP IdP LN 1

13 平成年度の事業計画 ID フェデレーションによるグリッド認証基盤の普及 Phase-1: MICSプロフゔル対応の阪大グリッド認証局 (Semi- Production Level) による試験的な配備運用によるフゖージビリテゖスタデゖ (6 月 7 月 ) 連携予定機関 : 九大東工大東北大京大サービス展開 : GSI (Globus Security Infrastructure) 認証による GSI-H ( 対話型処理 ), Gfarm ( ストレージ共有 ) GRAM ( ジョブ実行 ) Phase-: NIIグリッド認証局 (Production Level) と学術認証フェデレーション GakuNin と連携した本格的な配備運用グリッドIDフェデレーションの業務化を視野に!!

14 Global Storage Sharing with NFSv4 005 年の試案 SuperSINET NFSv4 Server for LAN NAS GW Local Area Network 10GbE act as NFSv4 Clients 10GbE Wide Area Network Pseudo-Filesystems for importing to LAN Pseudo-Filesystems for exporting to WAN HPC Host HPC Host HPC Host act as GFS Clients KDC LDAP NAS GW FC Storage Area Network TGT NFSv4 Server for WAN for Cross Realm ID-mapping

データグリッド型ストレージ共有東北大学 Window s MacOS Linux Fibre Channel Gfarm

Gfarm ストレージ GFS-toGfarm ゲートウェ複製 GFS-toGfarm ゲートウェ Gfarm ストレージ

Fibre Channel デゖスクゕレ GFS グローバルフゔルシステム Gfarm ストレージクラウド H1

NICT電磁波計測研究センターとの共同研究 SX-9の解析結果をオンタムでストレージクラウドへ転送し随時Gfarmクラ

15 データグリッド型ストレージ共有東北大学 Window s MacOS Linux Fibre Channel Gfarm FUSE クラゕント SX-9 デゖスクゕレ複製共有 Gfarm NAS コントローラ複製 Gfarm ストレージ Gfarm ストレージ GFS-toGfarm ゲートウェ複製 GFS-toGfarm ゲートウェ Gfarm ストレージ大阪大学複製 Fibre Channel SX-9 デゖスクゕレ PC クラスタ SAN システムエリゕネットワーク Fibre Channel デゖスクゕレ GFS グローバルフゔルシステム Gfarm ストレージクラウド H1 H年度学際大規模情報基盤共同利用共同研究課題宇宙天気クラウドOneSpaceNetとのデータグリッド型フゔル共有 NICT電磁波計測研究センターとの共同研究 SX-9の解析結果をオンタムでストレージクラウドへ転送し随時Gfarmクラゕントで共有し分散解析可視化を行う FUSE: Filesystem in Userspace NAS: Network-Attached Storag

ディペンダブルな広域SAN共有東北大学 Fibre Channel SX-9 デゖスクゕレ ToE NIC

欠落など OpenFlow Switch ゲートウェ大阪大学 OpenFlow Switch SX-9 Fibre Channel

ルシステム大阪-仙台間での0ミリ秒を越える往復遅延を有する LFN (Long Fat Network) を介しても 1Gbps

SINET3とJGN+を動的に使い分けよりデゖペンダブルな広域ストレージ共有を実現する SX-9にToE NICを増設し

17 ディペンダブルな広域SAN共有東北大学 Fibre Channel SX-9 デゖスクゕレ ToE NIC ベクトルコンピューティングクラウド SINET3 JGN+ GFS-toiSCSI 800km往復による 0ms以上の遅延と揺らぎ欠落など OpenFlow Switch ゲートウェ大阪大学 OpenFlow Switch SX-9 Fibre Channel デゖスクゕレ PC クラスタ SAN システムエリゕネットワーク Fibre Channel デゖスクゕレ GFS グローバルフゔルシステム大阪-仙台間での0ミリ秒を越える往復遅延を有する LFN (Long Fat Network) を介しても 1Gbps (100MB/s) を越える転送性能の実現を目指すとともに OpenFlow技術を導入することにより SINET3とJGN+を動的に使い分けよりデゖペンダブルな広域ストレージ共有を実現する SX-9にToE NICを増設し FibreChannel SANをEthernetに延長するゲートウェ装置を介して遠隔地のストレージを直接参照する ToE: TCP Offload Engine NIC: Network Interface Card

スライド 1

スライド 1 High Performance Computing Infrastructure と学認合田憲人国立情報学研究所背景と目的 2 HPCI 京コンピュータと国内のスーパーコンピュータや大規模ストレージを連携して利用するための革新的ハイパフォーマンスコンピューティングインフラロードマップ 2011/03 基本仕様策定 ( ネットワーク, 認証, ユーザ管理支援, 共用ストレージ, 先端ソフトウェア運用