System Użytkowników Wirtualnych

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

Skrócona instrukcja składania wniosków o wpis do Rejestru Podmiotów Wykonujących Działalność Leczniczą z użyciem profilu zaufanego (e-PUAP) lub bezpiecznego.
IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
Nowy model komunikacji z emitentami
Skrócona instrukcja składania wniosków o zmianę wpisu do Rejestru Podmiotów Wykonujących Działalność Leczniczą z użyciem profilu zaufanego (e-PUAP) lub.
CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS.
Kamil Smitkiewicz Bezpieczeństwo w PHP.
Zabezpieczenia w programie MS Access
1 Import certyfikatów do Firefox Warsztaty promocyjne dla użytkowników usługi Gracjan Jankowski, Michał Jankowski, PCSS.
WinSCP - Konfiguracja Przystosowanie WinSCP do specyfiki środowiska
Konwersja klucza z formatu PEM (certyfikaty Gridowe) do PKCS12 Warsztaty promocyjne dla użytkowników usługi Michał Jankowski, PCSS.
Uwierzytelnianie i autoryzacja dostępu do portali
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
WITAM NA SZKOLENIU Porady na dziś i jutro.
SSL - protokół bezpiecznych transmisji internetowych
Znany tylko własny klucz; Pęk kluczy zawiera tylko jeden klucz.
PKI, OPIE Auth Mateusz Jasiak.
PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key)
Poznańskie Centrum Superkomputerowo-Sieciowe Cezary Mazurek
Artur Szmigiel Paweł Zarębski Kl. III i
Zapewnianie bezpieczeństwa w sieciach
Artur Spulnik, Aleksandra Otremba
Łukasz Trzciałkowski Bartłomiej Żuchowski Łukasz Pawłowski.
Inżynieria Oprogramowania
USŁUGA FTP 1. Definicja FTP. FTP (File Transfer Protocol, ang. protokół transmisji plików) jest protokołem typu klient-serwer, który umożliwia przesyłanie.
Zarządzanie Kontami Użytkowników w Systemie Globus
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
? Rosnące potrzeby użytkowników Rozmiar problemu Czas Komputer domowy
Dropbox.
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
PKI – a bezpieczna poczta
Konfiguracja kont w programie Adobe Dreamweaver
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
JAK ZROBIĆ STRONE WWW PIERWSZA STRONA W INTERNECIE
Metody zabezpieczania transmisji w sieci Ethernet
Bankowość Internetowa w P-SFUK
Witaj. Zapraszamy Ciebie do zapoznania się z przewodnikiem, który pokaże jak założyć konto oraz w jaki sposób można korzystać z usług w serwisie iplay.pl.
Rejestr systemu Windows
Podpis elektroniczny Między teorią a praktyką
Sieć oparta o serwer Ubuntu 12.10
Serwery Aplikacji Tworzenie bezpiecznych aplikacji.
Administracja systemami operacyjnymi Wiosna 2014
Dziennik.
Logowanie do platformy PEUP
Informatyka Poczta elektroniczna.
Narzędzia klienta usługi archiwizacji Warsztaty „Usługa powszechnej archiwizacji” Michał Białoskórski, CI TASK Bartłomiej Balcerek, WCSS.
Konfiguracja VPN Klienta – Windows 7
Konfiguracja VPN Serwera – Windows 7
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
1. Logowanie z usługą Active Directory. a) logowanie do domeny Windows 2003 Server odbywa się znacznie szybciej niż w poprzednich wersjach. b) nie ma odwołania.
Sposoby zdalnego sterowania pulpitem
Serwery Aplikacji Bezpieczeństwo w Aplikacjach.NET uruchamianych pod IIS Arkadiusz Popa, WMiI, UŁ.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
Znajdowanie pokoju i wchodzenie do niego Skorzystaj z funkcji wyszukiwania programu Lync w celu znalezienia pokojów, do których masz dostęp. 1.W oknie.
INTERNET jako „ocean informacji”
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
Instalacja certyfikatu Dostęp do Rachunku przez Internet BS Pawłowice dla przeglądarki Mozilla Firefox.
Grupa: administratorzy lokalni JST. Użytkownik systemu CEIDG - materiały szkoleniowe2 Informacje wstępne Zakładanie konta w CEIDG -Wybór sposobu dostępu.
Warszawa, r. 1 PLATFORMA USŁUG ELEKTRONICZNYCH Nowe możliwości komunikacji z ZUS.
Co to jest e-PUAP  e-PUAP to Elektroniczna Platforma Administracji Publicznej – nowoczesny system komunikacji pomiędzy Obywatelem, Przedsiębiorcą a Urzędem.
Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl.
SIECI KOMPUTEROWE WYKŁAD 8. BEZPIECZEŃSTWO SIECI
materiały dla uczestników
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
KRYPTOGRAFIA KLUCZA PUBLICZNEGO WIKTOR BOGUSZ. KRYPTOGRAFIA KLUCZA PUBLICZNEGO Stosując metody kryptograficzne można zapewnić pełną poufność danych przechowywanych.
Samorządowa Elektroniczna Platforma Informacyjna (SEPI) Kompleksowe rozwiązanie służące do udostępniania informacji i usług publicznych.
Podpis elektroniczny – załóż profil zaufany
Zapis prezentacji:

System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz jankowsk@man.poznan.pl pawelw@man.poznan.pl

Spis treści Podstawowe pojęcia Uwierzytelnianie w Globusie Autoryzacja w Globusie System Użytkowników Wirtualnych Jak uzyskać certyfikat?

Uwierzytelnianie (Authentication) Udowodnienie tożsamości Skąd komputer ma wiedzieć, że łączy się z nim Kowalski Skąd Kowalski ma wiedzieć, że łączy się z tym komputerem z którym chciał (np. z serwisem bankowym) Np. łączenie z serwisem bankowym

Autoryzacja (authorisation) Sprawdzenie prawa do przeprowadzenia określonej operacji Przykłady operacji: Logowanie na maszynę Zlecenie zadania Dostęp do plików Wiąże się z uwierzytelnianiem. Musimy wiedzieć dla kogo sprawdzamy prawa

Certyfikat Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy. Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.

Centrum certyfikacji (Certificate authority) Organizacja (lub osoba) wystawiająca certyfikaty. Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu Analogia – urząd miasta wystawiający dowody osobiste

Uwierzytelnianie w Globusie Każde połączenie sieciowe w Globusie wykorzystuje certyfikat użytkownika i serwera (lub usługi) Administrator serwera definiuje listę akceptowanych CA w zależności od potrzeb (umieszcza klucze publiczne CA w katalogu /etc/grid-security/certificates)

UWAGA!!!!! Akceptowanie certyfikatów CA nie oznacza zezwolenia na dostęp do zasobów. Sprawdzenie i akceptacja certyfikatu gwarantuje jedynie tożsamość osoby łączącej się przez sieć. Administrator zasobów nadaje prawa dostępu do zasobów.

Autoryzacja w Globusie Aby uruchamiać zadania w gridzie TRZEBA być wpisanym do pliku grid- mapfile na każdym klastrze w gridzie. Jest to mało praktyczne, dlatego powstał System Użytkowników Wirtualnych (VUS)

VUS -jak to działa? 2. Czy Kowalska należy do Clusterix? 1. Uruchom zadanie 6. Wyniki 3. TAK Kowalska VOIS 4. Zaloguj użytkownika na jedno z kont Clusterix (zawsze 1 użytkownik na 1 konto w danej chwili) 5. Wykonaj zadanie 7. Jeśli konto nie jest używane, można na nie zalogować innego użytkownika

Autoryzacja VOIS - Przykład Clusterix PCZ Cyfronet PCSS staff operators programiści Lab_users Clusterix TUC Cyfronet PSNC Scientists operators programmers staff Lab_users Hierarchia VO Polityka bezp. administratora VO Grupy kont Polityka bezp. administratora zasobów Grid Node guests common power login:

VUS -zalety Mały narzut administracyjny (brak kont „osobistych”) Konta nie są przypisane na stałe, ale można śledzić historię przypisań Mieszana polityka bezpieczeństwa zarządcy VO i administratora zasobu Możliwość różnicowania uprawnień Możliwość zablokowania niechcianych użytkowników Wtyczki autoryzujące -elastyczność

Jak uzyskać certyfikat? Polish Grid CA http://www.man.poznan.pl/plgrid-ca Certyfikat można otrzymać dla hosta/serwisu z Polski związanego niekomercyjnie z Gridem. Należy utworzyć „certificate request” i wysłać go do plgrid-ca@man.poznan.pl W Globusie polecenie grid-cert-request List należy podpisać certyfikatem administratora

VUS - Instalacja i konfiguracja Krok po kroku: http://clx.task.gda.pl/docbook/html/VUS_conf_guide.html Zainstalować Utworzyć grupę i konta „wirtualne” Uruchomić skrypt prepare-db.sh Skonfigurować dostęp do bazy Utworzyć plik /etc/grid-security/gsi- authz.conf W razie potrzeby zmodyfikować plik /etc/grid- security/vuam-config

Pytania? http://vus.psnc.pl vus@man.poznan.pl

Łańcuch certyfikatów Przykład: Certyfikat Kowalskiego może być podpisany certyfikatem Nowaka, który ma certyfikat podpisany przez PCSS, który ma certyfikat podpisany przez VERISIGN. Plik z certyfikatem Kowalskiego zawiera certyfikat Nowaka i PCSS Klucz publiczny VERISIGN jest na liście domyślnie akceptowanych certyfikatów (np. w Netscape i MSIE) Kowalski jest uwierzytelniony

Certyfikat proxy Certyfikat jest standardowo chroniony hasłem Użycie zwykłego certyfikatu do komunikacji wymagałoby podawania hasła przy przesyłaniu każdej wiadomości lub zlecaniu każdego zadania Certyfikat proxy jest certyfikatem podpisanym przez użytkownika, nie wymagającym hasła, za to o krótkim terminie ważności.

Jak uzyskać dostęp do Clusterixa? Skontaktować się z administratorem w najbliższym ośrodku w celu założenia konta. Uzyskać certyfikat podpisany przez Polish Grid CA. Uzyskać wpis do serwisu VOIS – za pośrednictwem administratora w ośrodku.

Szyfrowanie Algorytm z kluczem symetrycznym Ten sam klucz jest używany do szyfrowania i odszyfrowywania. Algorytm z kluczami asymetrycznymi Wiadomość zaszyfrowaną przy pomocy jednego klucza można odszyfrować WYŁĄCZNIE przy użyciu drugiego klucza Duża złożoność obliczeniowa

Klucze Klucz prywatny – używany tylko przez właściciela – należy go chronić i nikomu nie udostępniać Dla bezpieczeństwa klucz prywatny może być chroniony hasłem Klucz publiczny – dostępny dla wszystkich

Szyfrowanie danych Klucz publiczny ... lub czasopisma. A wysyła wiadomość do B A musi znać klucz publiczny B Klucz publiczny ... lub czasopisma. ... lub czasopisma. 0Hgdasy6h9h1jqP Klucz prywatny Szyfrowanie Przesyłanie Odszyfrowanie

Podpis cyfrowy Klucz publiczny Kupuj akcje. Podpis-OK A wysyła wiadomość do B B musi znać klucz publiczny A Klucz publiczny Kupuj akcje. Podpis-OK Kupuj akcje. 082C67A78D Klucz prywatny Podpisanie Przesyłanie Weryfikacja

Certyfikat X509 Tekst zawierający: Unikalną nazwę użytkownika (maszyny, serwisu) Datę ważności (najczęściej 1 rok) Klucz publiczny Powyższy tekst jest podpisany kluczem prywatnym CA

Certyfikat Kupuj akcje. 082C67A78D Kupuj akcje. Certyfikat-OK A wysyła wiadomość do B z kluczem publicznym w certyfikacie B musi ufać (znać klucz publiczny) wystawcy certyfikatu Kupuj akcje. 082C67A78D Klucz publiczny A Kupuj akcje. Certyfikat-OK Klucz prywatny + (hasło) Podpisanie Przesyłanie Weryfikacja

CA Jest to certyfikat podpisany samym sobą (Subject=Issuer) Tylko od użytkownika/administratora zależy zaufanie dla danego CA Ufamy, że CA prawidłowo wystawia certyfikaty i tylko dla osób o potwierdzonej tożsamości Każdy może utworzyć CA