Microsoft PowerPoint - sc nagoya-sso.pptx

Similar documents
<4D F736F F F696E74202D2091E58B4B96CD98418C678EC08FD88EC08CB195F18D90>

スライド 1

PowerPoint プレゼンテーション

CA Federation ご紹介資料

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

untitled

e-サイエンス基盤としての 計算機センターPOP(Point-of-Presence) 連携

How to Use the PowerPoint Template

スライド 1

BIG‑IP Access Policy Manager | F5 Datasheet

Oracle Secure Enterprise Search 10gを使用したセキュアな検索

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Web ( ) [1] Web Shibboleth SSO Web SSO Web Web Shibboleth SAML IdP(Identity Provider) Web Web (SP:ServiceProvider) ( ) IdP Web Web MRA(Mail Retrieval

ログを活用したActive Directoryに対する攻撃の検知と対策


Oracle Identity Managementの概要およびアーキテクチャ

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

FUJITSU Cloud Service K5 認証サービス サービス仕様書

Juniper Networks Corporate PowerPoint Template

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

POWER EGG 3.0 Office365連携

FIDO技術のさらなる広がり

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

Cisco Unity と Unity Connection Server の設定

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

スライド 1

WSMGR for Web External V7.2 L50 ご紹介

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

スライド 1

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

RENKEI (REsource liNKage for E-scIence) プロジェクトにおけるPoPの展開配備

"CAS を利用した Single Sign On 環境の構築"

Microsoft PowerPoint - 広域分散2005-8pdf用.ppt[読み取り専用]

Password Manager Pro スタートアップガイド

LDAP Manager SupportList

Net'Attest EPS設定例

学認とOffice 365 の 認証連携

認証連携設定例 連携機器 BUFFALO FS-M1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

OpenAM(OpenSSO) のご紹介

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

PowerPoint Presentation

SinfonexIDaaS機能概要書

Active Directory フェデレーションサービスとの認証連携

FileMaker Server Getting Started Guide

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

使える! IBM Systems Director Navigator for i の新機能

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

Oracle9iAS Release 2 (9.0.2) セキュリティ機能概要

R80.10_Distributed_Config_Guide_Rev1

"CAS を利用した Single Sign On 環境の構築"

Press Release english

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

1 本人認証の 本人認証の必要性 ネットワーク社会は 非対面性 非書面性が特性 プライバシーの問題から 実データ 各種証明書の利用が困難 潜在的な なりすまし の危険が潜んでいる 電子認証 の 必要性 現状 現状 ほとんどが固定 ほとんどが固定パスワード 固定パスワードを パスワードを利用

クラスタ構築手順書

PowerPoint プレゼンテーション

Ver1.40 証明書発行マニュアル (Export 可能 ) Windows 10 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserve

AW-PCS認証設定手順1805

Oracle Solaris 仮想環境とプロビジョン環境の構築

SLAMD導入手順

PowerPoint プレゼンテーション

Contents 1. はじめに 3.GUIからのアクセス方法 4 3. 鍵ペアの生成 5 4. サーバ証明書署名要求 (CSR) の作成 9 5. サーバ証明書のインストール 1 6.ServerIronの設定 17

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

Microsoft Azure Microsoft Corporation Global Blackbelt Sales Japan OSS TSP Rio Fujita

Transcription:

全国共同利 ID 連携のための Shibboleth 導 と NAREGI グリッド運 での評価 2008/12/24 Manabu Higashida Manabu Higashida manabu@cmc.osaka-u.ac.jp

基盤センターの 共同利 登録と連動した グリッド認証局業務の 動化

MICS プロファイルを満たす Shibboleth IdP/SP を介したグリド証明書介したグリッド証明書の発 業務連携 CA RA 基盤センター A 4 5 Shib SP 2 Shib IdP ID: K b ID: Kerberos 業務システム 3 DS: W.A.Y.F. 1 Shib SP として実装されたグリッド証明書 2 DS にリダイレクトされ どの基盤セン 発 システムに Web ブ ターから認証を受ける ラウザでアクセス かを指定 1 7 grid certreq 3 基盤センターの全国 4+5 RAからライセ共同利 登録者である License ID User ンスID の払い出しを か否か Shib IdPを経 Certificate い 利 者に通知する 6 由して認証 UMS Shib IdP ID: LDAP 業務システム MyProxy 基盤センター B

CA RA 1 Shibboleth SP (Service Provider) として実装されたグリッド証明書発 システムにWebブラウザからアクセス 2 DS (Discovery Service) にリダイレクトされ どの基盤センターから認証を受けるかを指定 3 基盤センターの全 国共同利 登録者で あるか否か Shibboleth IdP (Idendity Provider) を経由してパスワードによる認証を う 4+5 認証後 RAからライセンスIDの払い出しを い 利 者に通知する (UMSへグリッド証明書を格納する際に必要 ) 4 5 Shib SP 2 Shib IdP ID: Kerberos 業務システム 3 DS: W.A.Y.F. 基盤センター A 7 grid certreq 1 6 License ID User Certificate UMS Shib IdP ID: LDAP 業務システム MICS プロファイルを満たす Shibboleth IdP/SP を介したグリッド証明書の発 業務連携 MP MyProxy 基盤センター B 4

Shibboleth SP (Service Provider) をアクセスすると まずIdPのDS (Discovery Service) にリダイレクトされる : 1 リストの中から阪 CMC の IdP (Identity Provider) を 名 CAS (12 ) 東北 NIS (1 ) と連携予定 グリッドコンピューティング研究会を通じて他センターとの連携も提案予定 2 選択 ポップアップ 3 阪 CMCの 規模計算機システム の全国共同利 アカウント (MS ActiveDirectory Server Kerberos) の ID/ パスワードを し認証を受ける

IdPによる認証後 Shibboleth SP (Service Provider) に戻る 阪 グリッド認証局からユーザ証明書を発 するために必要となるライセンス ID の発 を指 ( 阪 CMC 開発部分 ): 3 選択

NAREGIポータル (Web UI) にて 取得したライセンスIDと付帯情報を する 阪 グリッド認証局からユーザ証明書が発 され付随する UMS (User Management Server) に格納される : 4 5 選択 他センターに設置したUMSにグリッド証明書を格納する場合は 当該 UMS の CUI にて grid-certreq コマンドを実 する

以下 ここに った過程を 時間の許す限り

セキュリティ インシデントを教訓に : あらまし The Case of clark/clark シンプルなパスワード アタックによる侵 rootkitによるカーネル トラップで ID/Password を盗み される 侵 者 ( 複数 ) の痕跡を洗い出してダーティな OS を再インストール 教訓 ID/Password の機会を最 化 認証サーバを独 し 般ユーザが利 可能なサーバとは切り離すバとは切り離す 仮想 OS を導 し ユーザ毎にプロセス空間を完全に分離する IDS による監視 Force10 社製 P10 ( 元 Metanetworks 社製 ) の導

次期システムの利 イメージ @2005 Web ポータルからシングル サインオン ユーザ ID とワンタイム パスワード SECURE MATRIX by CSE 基本サービスの接続 設定を確 VPN+ 仮想サーバによってすべてのサービスを媒介 NAS HPC/Grid/Visualization CGM ユーザ占有環境を提供 プライバシーとセキュリティ 他の 切のユーザから隔離することでセキュリティ バイオレーションが起こる機会を最 化 ハイパーバイザからの外部監視 監査 ユーザによる完全なカスタマイズ OS ライブラリ アプリケーションの れ替えは 由 在 き過ぎたときは スナップショットによるロールバック User Terminal uid otp VPN GSI Credential NAREGI Certificate Kerberos Ticket Virtual Hosting Server isolated security domain

Global Storage Sharing with NFSv4 SuperSINET NFSv4 Server for LAN NAS GW Local Area Network 10GbE act as NFSv4 Clients 10GbE Wide Area Network Pseudo-Filesystems for importing to LAN Pseudo-Filesystems for exporting to WAN HPC Host HPC Host HPC Host act as GFS Clients KDC LDAP NAS GW FC Storage Area Network TGT NFSv4 Server for WAN for Cross Realm ID-mapping

Web2.0 はすべてを救う!? ターミナル エミュレータもタもWebサービス化? RFB on Web Browser (VNC Java Viewer) 携帯電話でも使える!? AjaxTermは全てを解決するか? http://antony.lesuisse.org/qweb/trac/wiki/ajaxterm t / / iki/aj Latain 1 のみ対応 :UTF 8? 日本語? 泥臭いターミナル サービスはまだ必要 Windows Active DirectoryはKerberos+LDAPによるアイデンティティ マネジメントと判明! Windows クライアントを全て取り込める!? PKI による初期認証も可能らしい MacOS X も ADS との親和性を謳い始めた http://www.apple.com/jp/macosx/features/windows/ http://www.apple.com/jp/server/macosx/features/windowsservices.html er/macos /feat res/ sser ices html Linux Distro s もほぼ Kerberos 対応

着実に kerberize されつつあるかも Microsoft Active Directory 最も普及している Kerberos ベースのアイデンティティ マネジメント KDC (Key distribution Center) として相互運用性が高い SPNEGO ready IE 501and 5.0.1 IIS 50 5.0 MIT Kerberos for Windows 30 3.0 は不安定だった 3.1 on β Windows クライアント Firefox 1.5 PuTTY WinSCP FileZilla など KX.509/KPKCS11 Kerberized MyProxy

SPNEGO Simple and Protected GSSAPI RFC 2478/4178 Negotiation Mechanism MS 方言では Securer Protocol Negotiation SPNEGO aware な Web サーバ ( ポータル ) にアクセスして Kerberos クレデンシャルを取得し SSO を実現 Apache2 mod_auth_krb (http://sourceforge.net/projects/modauthkerb) Microsoft 推奨?» http://support.microsoft.com/?id=555092 mod_spnego (http://sourceforge.net/projects/modgssapache) / / h mod_auth_vas (http://rc.vintela.com/topics/mod_auth_vas/) Apache2 for Windows mod_auth_sspi (http://sourceforge.net/projects/mod auth sspi)

API 問題 (SSPI vs. GSSAPI) RFC 2048/2743 GSSAPI (Generic Security Service API) MS 方言 SSPI (Security Service Provider Interface) NTLM などに対応するため? SPNEGO 対応によりプロトコルとしては GSSAPI と互換性あり Windowsクライアントのバリエーション MS SSPI にのみ対応したアプリケーション IE Web フォルダ (a.k.a. マイネットワーク ) を含むすべての MS アプリケーション Firefox 1.0 MIT GSSAPI にのみ対応したアプリケーション WinSCP (http://winscp.net/ 次期リリースで SSPI 対応 ) FileZilla (http://sourceforge.net/projects/filezilla/) 両者に対応しているアプリケーション Firefox 1.5 ( 設定が面倒なので XPI を作る必要あり ) PuTTY» CSS 版 at http://www.certifiedsecuritysolutions.com/downloads.html com/downloads html» Vintela 版 at http://rc.vintela.com/topics/putty/

ccache (Credential Cache) 問題 MSの 独自 実装 vs. MIT (vs. Heimdal) LSA: Local Security Authority サブシステムにクレデンシャルを格納 MIT の GSSAPI からもアクセス可能 手動でインポート : ms2mit.exe 自動でインポート : NetIDMgr aka a.k.a. Network Identity Manager 3.1 からちゃんと動く? (β テスト中 ) MIT の ccache から MS LSAにエクスポート (mit2ms.exe) も可能 副作用は起きないか?

Kerberos and PKI Integration Efforts Since 1995 PK INIT Kerberos の pre authentication (kinit) を PKI で やっと RFC 4556 (2006/10/06 現在 : Standards Track) に Draft 39の実装 : Microsoft (Since Draft 9) Heimdal PK CROSS Cross Realm 環境構築の認証 ( 鍵交換 ) を PKI で PK APP (?) draft ietf cat kerberos pk cross 08 itf t k Kerberos のクレデンシャルから PKI の証明書 ( 短期間 ) を取得 KX.509 MyProxy

基盤センターにおける Single Sign-On 安全 安 な安 な Pre Authenticationの保障 利 者に対して 連携を必要とする多組織に対して 全国共同利 施設としての登録業務実績 Webアプリケーションとの互換性 Web サービス化の追従を許さない先鋭性 性能 規模

Lessons from operation in the Earth Simulator Authentication Two Factor Authentication One Time Password, combination of PIN or Passphrase Pseudo random number, periodically being generated from Security Token Job Management NQS II with node by node resource reservation File Sharing Multiple gateways to pass with different credentials http://www.jamstec.go.jp/es/en/system/scheduling.html http://www.jamstec.go.jp/jamstec-j/spod/system/hardware.ja/mdps.html

阪大 CMC の取り組み Grid Operation を単純化 簡素化し 既存のセン ター運用業務へ取り込む すべての高性能計算機資源を Grid 資源として提供 ベクトル型スーパーコンピュータへのミドルウェアの移植 PC クラスタをセンター運用に耐えうる品質に引き上げる すべての利用登録者に Grid PKI 証明書を発行 CMC 以外の学内共同利用センターからの登録者も含む レーザーエネルギー学研究センター (ILE) 核物理研究センター (RCNP)

すべての高性能計算機資源を Grid 資源として提供 ローカルスケジューラの統一と NAREGI GridVM 対応 (CSI 委託事業として ) NEC NQS II 対応機種 SX: SUPER UX PC Cluster: SuSE Enterprise Linux, OpenSuSE 多段キュー : Faire Share Queue + Job Assigned Map フェアシェア型定額制 飽き資源情報の提供と実行予約 SXもGrid 資源として提供 ( 現時点では GridMPI 未対応 )

阪 CMC の 規模計算機システム構成 Total: 46.1 TFLOPS, 16.0 TB ヘテロ型クラスタ NEC SXとPCクラスタの混在 フェアシェアによる定額利 NQS による連成ジョブ記述 FC-SANによるストレージ共有 NEC SX-9 遊休時利 PC クラスタ NEC Express 5800 56Xd CMC 16.4 TFLOPS 10.0 TB 18.3 TFLOPS 1.0 TB NEC SX 8R ILE 学内全国共同利 センター 連携 5.3 TFLOPS 3.0 TB RCNP 1PB FC-Storage 集約型仮想サーバファーム NEC Express-5800 120Rg- 1 6.1 TFLOPS 動的な資源拡張 キューが伸びると遊休時 利 PC クラスタが動的に 組み込まれる 2.0 TB 10GbE w/toe NIC によ るクラスタリング

NAREGI M/Wの各コンポーネントと阪 CMCの構成との位置関係 Local Authentication CA/RA Grid LDAP NAREGI Grid Middleware β2 VOMS UMS (CMC Proprietary) GridVM Server for PC Cluster MyProxy Grid Portal MyProxy+ GridVM Server for PC Cluster GridVM Server for SX SS IS NAS IS CDAS user frontend login Kerberos KDC Local Scheduler: NEC NQS II w/jobmanipulator w/gridschedulemaster 既存の全国共同利 システムとNAREGIミドルウェアβ2の共存 ローカル認証にKerberosを導 し CUI/GUI共に連動するSingle ロ カル認証にK b を導 し CUI/GUI共に連動するSi l Sign Onを実現すると同時に NAREGI認証システムをWebイン ターフェイスに隠蔽 ローカル スケジューラNEC NQS II対応のNAREGIコンポーネン トを既存運 と併存可能なように開発

すべての利用登録者に Grid PKI 証明書を発行 NAREGI CA による Grid PKI の構築と阪大 CMC 認証局 CP/CPS 策定 (v1.1) AP Grid PMA minimum i CA requirements 準拠?! 秘密の CA 室 本人性の検証 確認は簡素化 支払責任者 経理責任者の印鑑で十分じゃないの?! Web I/F と Kerberos 認証によるソーシャル エンジニアリング フローの簡素化 License IDによる申請者の検証を隠蔽 Passphrase による秘密鍵の暗号化を隠蔽 Campus CA から Kerberos PKINIT (RFC4556) による Grid CA へのフェデレーションを視野に 業務に乗らない 簡素化 隠蔽できない処理も 失効処理 RA 業務を共同利用掛の通常業務に組み込む NEC DEVIAS NAVIAS ( 仮称 )

3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 4 月 5 月 更新期間 有効期間 : 最長 13 ヶ月 年度末処理 更新期間 年度末処理 利用申請 阪大独自の Grid LDAP による継続処理 既存の全国共同利用の窓口で随時 郵送によるID 通知 Kerberos 認証による Webポータル SSO 1 Click でGrid 証明書発行 Grid LDAPにライセンスIDをあらかじめ払い出してありWebポータルの 1 Click 操作で証明書と引き替える (2から3つ) 3 月頭にクリア 継続申請を受け付けた際に再度払い出し 更新期間中の新規申請の取り扱い 1 Click 秘密鍵の危殆化への対策 UMS での集中管理 CUIによる対話操作を排除 失効処理 危殆化に伴って随時 CA 運用責任者による操作

NAREGI-β2: 利 申請 CMC 利 者管理サーバ LDAP NAREGI- CA at CMC VOMS MyProxy KDC Users User Management Server(UMS) User Certificate Private Key VOMS Proxy Certificate Portal Services delegation delegation Client Environment WFT PSE GVS VOMS Proxy Certificate VOMS Proxy Certificate client SS delegation Workflow (WF) WF Credential Repository VOMS Proxy Certificate delegation The Super Scheduler (SS) VOMS Proxy Certificate Grid Jobs GridVM GridVM GridVM

NAREGI-β2: 証明書発 CMC 利 者管理サーバ LDAP NAREGI- CA at CMC VOMS MyProxy KDC Users User Management Server(UMS) User Certificate Private Key VOMS Proxy Certificate Portal Services delegation delegation Client Environment WFT PSE GVS VOMS Proxy Certificate VOMS Proxy Certificate client SS delegation Workflow (WF) WF Credential Repository VOMS Proxy Certificate delegation The Super Scheduler (SS) VOMS Proxy Certificate Grid Jobs GridVM GridVM GridVM

NAREGI-β2: Proxy 証明書発 CMC 利 者管理サーバ LDAP NAREGI- CA at CMC VOMS MyProxy KDC Users User Management Server(UMS) User Certificate Private Key VOMS Proxy Certificate Portal Services delegation delegation Client Environment WFT PSE GVS VOMS Proxy Certificate VOMS Proxy Certificate client SS delegation Workflow (WF) WF Credential Repository VOMS Proxy Certificate delegation The Super Scheduler (SS) VOMS Proxy Certificate Grid Jobs GridVM GridVM GridVM

全体システム説明 利用者管理 /NAREGI 運用管理連携システム システム概念図 利用者登録業務 zenkoku ( 利用者管理サーバ ) https 利用者管理 DB Devias/Server Devias UGM/C for LDAP 連動 (Devias サイトモジュールコールル ) ldaps ユーザエントリ作成 ライセンス ID 登録 他 gridldap 大阪大学 IT 認証基盤システム 利用者管理サーバ navias contoller nis Devias UGM/C for Linux Devias OPT/C for Linux 専用 Port(28016)/ssh ユーザエントリ作成 ホームディレクトリ作成 他 専用 Port(28020) ユーザエントリ作成 他 navias Agent ums mail Devias UGM/C for Linux Devias OPT/C for Linux 専用 Port(28016)/ssh ユーザエントリ作成 ホームディレクトリ作成 他 専用 Port(28016)/ssh ユーザエントリ作成 Devias UGM/C for Windows kauth KerberosServer (KDC) 専用 Port(28020) 専用 Port(28020) VO への登録 gridmapfile 作成 navias Agent navias Agent voms gridvms1 利用者パスワード変更 Devias OPT/C for Windows 専用 Port(28017) 専用 Port(28020) gridmapfile 作成 navias Agent gridvms2 https psync パスワード変更サーバ Devias OPT/Server 専用 Port(28020) gridmapfile 作成 navias Agent gridvms3

利用者登録連携 利用者管理 /NAREGI 運用管理連携システム 利用者管理システム ( 利用者登録画面 ) Gid Grid-ldap へ登録するライセンス ID を自動生成する

ユーザ自身による証明書発行 (Web エンロール ) 利用者管理 /NAREGI 運用管理連携システム ユーザ証明書発行処理シーケンス grid-portal 1.GRID ポータルシステムへログイン バックグラウンドで利用者のユーザ証明書発行に関する申請処理と承認処理が自動で処理されます gridra Web エンロールシステムへジャンプ (Kerberos SSO) 2. ユーザ証明書発行リンクをクリック 3. ユーザ証明書発行処理 ( ボタン押下のみ ) ユーザ証明書が生成される

システム成果 利用者管理 /NAREGI 運用管理連携システム 運用性及び操作性の簡易化 効率化 利用者の操作 管理者の手動業務 管理者 証明書申請ユーザ証明書申請 利用者アカウント申請へ包含 ライセンス ID 生成 ライセンス ID 格納 ライセンス ID 管理 完全自動化 通知 ライセンス ID 発行 ライセンス ID 入力 パスフレーズ入力 省略化 利用者 クリックのみで証明書発行 証明書発行

阪 CMC の業務システム 共同利 掛が利 者登録に使っている管理 者システム (NEC 製 DEVIAS) 管理者インターフェイスに グリッド証明書発 に必要 な ライセンス ID の払い出しや 所属 VO の設定項 を追加 バックエンド処理システムに Unix アカウントの発 な どと同様に グリッドマップファイルの 成などのグ リッド の処理を追加 APGrid PMA が MICS プロファイル による 業務を承認し 古の 共通利 番号制 が 復活すれば すべての全国共同利 ユーザ にグリッド証明書を発 できる準備はある!?

そう思っていた時期が ありました

阪 CMCのアプローチ その1 NAREGI 連携なんて無理 と考えていた頃 阪 だけでも 第 1 段階 すべての登録ユーザにグリッド証明書を 1 click によるグリッド証明書発 すべての計算機資源をグリッドに提供 ローカルスケジューラのパイプキューを閉塞 開放することで提供資源を適宜制御

T2Kのアプローチ NAREGI CA による相互認証基盤の確 投 先を陽に指定したバッチジョブ実 Gfarm によるデータ共有 中島浩, T2k 連携とグリッド運, T2K シンポジウムつくば 2008. 建部修, T2k 連携とグリッド運, T2K シンポジウムつくば 2008.

第 2 段階 阪 CMCのアプローチ その2 T2K グリッド連携の刺激を受けて共存を考え始める 他の基盤センターの登録ユーザにもグリッド証明書を発 MICS プロファイルを満たす Shibboleth SP/IdP による連携 提供資源を 排他的に共有 ローカルスケジューラの予約マップをメタスケジューラに後 からインジクシジェクション

RESTful なグリッド

Web2.0 はすべてを救う!? ターミナル エミュレータもタも Web サービス化? RFB on Web Browser (VNC Java Viewer) 携帯電話でも使える!? AjaxTermは全てを解決するか? http://antony.lesuisse.org/qweb/trac/wiki/ajaxterm org/qweb/trac/wiki/ajaxterm Latain-1 のみ対応 :UTF-8? 本語? 泥臭いターミナル サービスはまだ必要 Windows Active Directory は Kerberos+LDAP によるア イデンティティ マネジメントと判明! Windows クライアントを全て取り込める!? PKIによる初期認証も可能らしい MacOS XもADSとの親和性を謳い始めた http://www.apple.com/jp/macosx/features/windows/ http://www.apple.com/jp/server/macosx/features/windowsservi ces.html Linux Distroʼsもほぼ Kerberos 対応

MICS 業務規定

グリッド認証局の業務負担 プロダクションレベル認証局の登録窓 (RA) への負荷の 極集中 歩く RA と呼ばれた もいたが LRA 窓 の分散 基盤センターの共同利 掛 ( システム管理掛 ) それでも利 者は窓 で 実検 Photo ID and/or Official Document

対面による本人性の審査 確認 Federation of Campus PKI and Grid PKI for Academic GOC Management Conformable to AP Grid PMA by Toshiyuki Kataoka and others at APAN-24

対面による審査 ( must contact and present 会って見せる ) は これまでの大型計算機センター運用では要請されは要請されてこなかった 大学や研究機関に所属 支払責任者 経理責任者の印鑑 ( 支払の担保 ) 当面 Grid PKIにおいては これまでの業務の延長でなんら問題ないのではないだろうか?! 阪大 CMC 認証局 CP/CPS 第 1 版 現時点で対面による確認を要請すれば発行できる対象を狭めてしまう RA が整備された段階で CP/CPS を 国際化 すればよいのではないか?! Campus PKI の RA は 対面性 を要請していない?! Production Level CA と相互認証してもらえるのか?! 国内 : NII, KEK, 産総研 VOを統括する機関がROアカウントとの対応付けに際してCP/CPS が許容できるか検証してくれる?!

MICS プロファイル Member Integrated X.509 PKI Credential Service 1 年 1ヶ 以上存続している既存の認証基盤と連動してグリッド証明書を発 する The initial vetting of identity for any entity in the primary authentication system that is valid for certification should be based on a face to face meeting and should be confirmed via photoidentification and/or similar valid official documents. 導 例 TeraGrid の NCSA グリッド認証局 ( 仮承認?) NCSA がこれまで ってきた ピアレビュー によるアカウン ト発 の枠組みを活かす TACC のグリッド認証局 Classic プロファイルのグリッド認証局と併存? IGTF Accrediation Review of MICS Authentication Profile (Update) by Marg Murray, TACC, 2007/05/30

MICS はすべてを救う!? 国では NSF が 元的に資 提供 NCSAが利 登録窓 を に引き受けてきた PI (Principal Investigator) への権限委譲 本では 旧 型計算機センター 現各種情 報基盤センターが全国共同利 の窓

Shibboleth による IDフェデレーション

VO 管理者への VO 管理権限の委譲

VO の普及過程遷移 Phase-0 (2006-) 阪 独 の取り組み すべての利 登録者に Grid PKI 証明書を発 ( できるように License ID を発 ) Default VO: CMC_Osaka 証明書 SubjectDN UID 課 グループ» grid-mapfile を課 システム NAVIAS ( 仮称 ) が 動 成 Phase-1 (2007/06-) 東 との連携 (+ 九 +NII) Phase-2 VO 連携 阪 へ利 申請し 東 の UID を紐付ける 阪 が VO ホスティング : CMCGSIC_Osaka 証明書 SubjectDN@ 阪 UID@ 阪 課 グループ @ 阪 証明書 SubjectDN@ 阪 UID@ 東 課 グループ @ 東» grid-mapfie は 動で変更する必要あり» ユーザ情報のセキュアな伝達 段の確 が必要» これらを開発するなら費 負担発

VO Domain RENKEI RENKEI Osaka Osaka RENKEI Osaka vo1 PKI Domain NII/NAREGI CA 阪 CMC CA RO 6 拠点 Kyusyu Univ. Osaka Univ. Nagoya Univ. I. of Molecular Sci. Tokyo Tech. NII/NAREGI User Service Grid Certificate Authorities and Virtual Organization VO: Virtual Organization RO: Real Organization PKI: Public Key Infrastructure

Registration Agency 構想に向けて 今回のアカウンティング ポリシー ローカル アカウントを発 し grid mapfile で証明書と紐付ける 阪 学 : 通常の全国共同利 アカウント発 にグリッド証明書が付随 東京 業 学 : 通常の全国共同利 アカウントを発 し 別途発 され たグリッド証明書を紐付け その他 : 時アカウントを発 代理店業務 NII/NAREGI にて連携アカウントの代理発 業務 各拠点のアカウント発 に必要な情報を包 括して収集 名 職名 所属 研究分野 メールア ドレス 電話番号など 各拠点に 括して代理申請 各拠点にて証明書との紐付けを う

料 相殺 制度の導 検討

VO Administrator VO ホスティング ファーム VO Administrator VO Administrator VOMS VOMS VOMS voms myproxy init 基盤センター A MyProxy UMS Proxy Certificate with VO MyProxy UMS Proxy Certificate with VO 基盤センター B User Certificate User Certificate 発 されたグリッド証明書と各基 盤センターのローカルアカウントを相互に紐付ける必要がある grid certreq NAREGIでは ローカルアカウントの作成とgrid mapfileによる対応付けが必要 RA CA 基盤センターをまたがる VO 形成の 援 53 egee のように プールアカウントで対応するという 針もあるが LCAS/LCMAPSのような拡張が必要 そもそもVOMSをどうホスティングするか? VO 管理者にすべてのVO 管理権限を委譲するか? 各基盤センターで どの VO に資源提供するかの認可制御と課 をいかに うか?:

認証局 現時点でサービスしている認証局 プロダクションレベル (Classic Profile) AIST, KEK, NII/NAREGI セミプロダクションレベル (MICS Profile 公認 ) 阪 CMC プライベート認証局 T2K 筑波 京速コンの登録機関との位置関係を想定して検討すべき 東? 兵庫県? 既存の基盤センター業務システムとの連携 U PKI の SSO 実証実験に阪 CMC が提供する Shibboleth SP と各基盤センターの IdP との連携 LDAP: OK, Kerberos (ActiveDirectory Server): OK, NIS: OK? VO 運 実アカウントか? GT, NAREGI プールアカウントか? 課 は? egee LCAS/LCMAPS 管理ノード 昨年度の連携実証にて様々な構成での相互運 性を検証済み 計算ノード (GridVM) 通常運 と NAREGI への資源提供は併存 本年度実施予定の機能拡張 ( 東北 + 阪 にて ) ローカルスケジューラ (NEC NQS II を想定 ) への直接的な予約と NAREGI SSからの予約が 排他的に共存 GridMPI 以外の MPI 対応 ( ただし同 GridVM 内のみ ) 課 情報はローカルスケジューラ ( または OS の課 機能 ) で採取 問題はそれ (NEC NQS II) 以外 阪 学 CMC PBS Pro, LoadLeveler T2K (Torque+SCore, SGE, Parallelnavi), KEK (LSF) 54

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック