Zarządzanie Kontami Użytkowników w Systemie Globus Paweł Wolniewicz Michał Jankowski

Konta użytkowników w Gridzie Do uruchomienia dowolnego procesu na komputerze potrzebne jest konto użytkownika Wskazane jest, aby procesy różnych użytkowników były uruchamiane na innych kontach

Globus Każdy użytkownik musi mieć wpis do pliku grid-mapfile grid-mapfile może zawierać tylko pojedynczych użytkowników, a nie całe organizacje Zalecane jest, żeby każdy użytkownik miał odrębne konto Nie ma wsparcia dla zbierania informacji rozliczeniowych

W odniesieniu do GRIDów Rozwój GRIDów trzeciej generacji (NGG) „The Grids that evolve along these lines will need to exhibit all the properties, most importantly, interoperability. In this way a collection of Grids, each providing specialized facilities, will interoperate to form a single Grid at the interface level. We believe that addressing these research priorities (with the representative balance between the pure technical and the social/business oriented issues) in the 2005 to 2010 timeframe will enable Europe to take the global lead in Grid technology and its application in the Information Society of the future” . Next Generation Grid(s), European Grid Research 2005 - 2010 Expert Group Report, ftp://ftp.cordis.lu/pub/ist/docs/ngg_eg_final.pdf

W odniesieniu do GRIDów Rozwój GRIDów trzeciej generacji (NGG) CECHY: przezroczysty i niezawodny, bezpieczny w użyciu pomiędzy niezależnymi domenami skalowalny łatwy w wykorzystaniu, konfiguracji i zarządzaniu ‘ukierunkowany’ na użytkownika masowy i powszechny wykorzystujący istniejące standardy

BRAK ELASTYCZNEJ POLITYKI AUTORYZACJI I ROZLICZANIA ZASOBÓW Inne rozwiązania EDG - przypisanie konta przy pierwszym dostępie CAS - autoryzacja grupy użytkowników Proste modyfikacje modułu Gatekeeper (np. Uniwersytet w Edynburgu) BRAK ELASTYCZNEJ POLITYKI AUTORYZACJI I ROZLICZANIA ZASOBÓW

Wymagania Użytkownik Administrator zasobu - W łatwy sposób zlecać zadania na zdalne zasoby - Mieć dostęp do pełnych informacji o wykorzystanych zasobach Administrator zasobu - Wiedza na temat aktualnych użytkowników zasobu - Pełna kontrola dostępu do zasobu - Proste dodawanie nowej maszyny do gridu

Wymagania Zarządca wirtualnej organizacji Zarządca grupy zasobów Dostęp do pełnych informacji na temat wszystkich użytkowników danej organizacji Proste dodawanie nowej osoby do organizacji Zarządca grupy zasobów Zbieranie pełnych informacji rozliczeniowych Dostęp do pełnych informacji rozliczeniowych dotyczących wszystkich zasobów.

Założenia Otwarta architektura oparta na wtyczkach Możliwość zbierania i przechowywania informacji rozliczeniowych Skalowalność Minimum zmian w Globusie Różne sposoby autoryzacji Pula kont przydzielanych użytkownikom w razie potrzeby Odporność na błędy

Implementacja Podmiana biblioteki gss_assist ma wpływ na moduły gatekeeper, gridftpserver i MDS Serwis przechowujący informacje rozliczeniowe Serwer wirtualnej organizacji przechowujący listę użytkowników i zbiorcze rozliczenie Każda organizacja może mieć własną pulę kont wirtualnych (z inną grupą unixową) Serwer grupy zasobów przechowujących listę maszyn i zbiorcze rozliczenie

Architektura

Moduł Autoryzujący Rozszerza moduł gatekeepera Umożliwia stosowanie różnych wtyczek autoryzujących wykorzystanie RAD autoryzacja z grid-mapfile GAM autoryzacja Szablony certyfikatów przypisanie konta wirtualnego bazująca na VO uruchomienie

Moduł Autoryzujący 1. Odpytuje wszystkie wtyczki o zgodę 2. Wybiera i przypisuje wolne konto 3. Zapisuje informacje rozliczeniowe (czas, użytkownik, konto) 4. Uruchamia zadanie 5. Zapisuje informacje rozliczeniowe (czas zakończenia)

Przykładowe wtyczki autoryzujące Akceptuj wszystkich z pliku grid-mapfile Zablokuj wpisanych na lokalną czarną listę Zapytaj zdalny system autoryzacji o zgodę Akceptuj wszystkich z danej VO Akceptuj wszystkich z certyfikatem pasującym do szablonu. (np. /C=PL/O=GRID/O=PSNC/*)

Serwis rozliczeniowy Rozszerza standardowy system rozliczeniowy przez przypisanie pełnej nazwy użytkownika (DN) zamiast nazwy konta. Pozwala na dodawanie informacji rozliczeniowych specyficznych dla danej aplikacji używa certyfikatu użytkownika Przesyła informacje rozliczeniowe do odpowiednich serwerów VO.

Serwer wirtualnej organizacji Zarządza listą uczestników Lista ta jest sprawdzana przez niektóre wtyczki autoryzujące i przez serwer autoryzacji Przechowuje zbiorcze informacje rozliczeniowe Serwery wirtualnych organizacji mogą tworzyć strukturę hierarchiczną

Serwer grupy zasobów Utrzymuje listę zasobów Może przechowywać konfigurację wspólną dla całej grupy. Przechowuje zbiorcze informacje rozliczeniowe Serwery grupy zasobów mogą tworzyć strukturę hierarchiczną

Wdrożenie Testowe instalacje PCSS - Linux, Irix Projekt SGI Grid Projekt Clusterix Projekt EU CoreGrid (w fazie negocjacji)