Pfad/Path D-Grid GmbH / Projekte / Gap Projekte / GapSLC / 

Gap-SLC

Nutzung von kurzlebigen Zertifikaten in portal-basierten Grids

 

In den bisherigen Projekten der D-Grid-Initiative wurden leistungsfähige Grid-Umgebungen für die verschiedenen Communities entwickelt und implementiert. Um noch mehr Nutzer in das Grid zu bringen, muss jedoch die Einstiegsschwelle möglichst niedrig sein. Ein Aspekt dabei ist eine Sicherheitsinfrastruktur, die auch Nutzerkreise anspricht, die nur geringe Erfahrungen bei der Verwendung von persönlichen Zertifikaten haben.

Das Gap-Projekt nimmt diese Anforderung auf und wird Lösungen bereitstellen, die für Nutzer mit geringer Technik-Affinität den Zugang zum Grid erleichtern. Ausgehend von den Erfahrungen der beteiligten Community-Grids C3Grid, MediGRID und TextGrid sollen Lösungen entwickelt werden, die einerseits die spezifischen Anforderungen der Nutzer aufnehmen, andererseits aber so generisch sind, dass sie auch von anderen Communities nachgenutzt werden können.

Entsprechend wurden die zu behandelnden use cases ausgewählt:

Use Case A. Nutzer ohne persönliches Zertifikat, die einen Short-Lived Credential Service (SLCS) nutzen
Nach einer Anmeldung am Portal erfolgt die Authentifizierung im Rahmen der DFN-AAI Föderation durch Shibboleth über die Heimateinrichtungen der Nutzer. Danach sollen kurzlebige Zertifikate genutzt werden. Um die Autorisierung bei den Ressourcenprovidern feingranular zu gestalten, werden SAML (Secure Assertion Markup Language) Assertions verwendet, die auch Informationen aus dem VO-Management enthalten sollen.

Use Case B. Nutzer mit persönlichen Zertifikaten
Für Nutzer mit persönlichem Zertifikat, die i.d.R. nicht direkt auf einen Grid-Rechner zugreifen, sondern sich über ein Portal oder eine web-basierte Software authentifizieren, soll der Authentifizierungsprozesses vereinfacht werden. Außerdem sollen neben EUGridPMA-konformen Zertifikaten auch andere Fälle (z.B. Heilberufezertifikate aus dem Gesundheitswesen oder Zertifikate z.B. aus der Industrie) betrachtet werden. Für diese Anwender sollten diese Zertifikate im Grid nutzbar sein, wenn ein ausreichend hohes Sicherheitsniveau seitens der ausstellenden CA vorliegt und der jeweilige Ressourcenprovider derartige Zertifikate akzeptiert.

Use Case C. Nutzer, die bestimmte Anwendungen im Grid ad-hoc und quasi anonym nutzen möchten
Für bestimmte Anwendungsszenarien im Grid ist eine individuelle Authentifizierung von Nutzern nicht unbedingt erforderlich und wünschenswert. Beispiele dafür sind der Zugriff auf validierte Klimadaten für die interessierte Öffentlichkeit, einige Anwendungen auf der Bioinformatik und der Zugriff auf publizierte Texte. Diese Anwendungen besitzen das Potential, weitere Nutzergruppen an das Grid zu führen. Daher wird für diese Fälle ein Verfahren entwickelt, das insbesondere auf organisatorische und rechtliche Fragestellungen eingeht.


Bei der Projektplanung sind die Anforderungen aus C3-Grid, MediGRID / Services@MediGRID, TextGrid, PartnerGrid, DGI und BIS-Grid eingegangen. Das Projekt Gap-SLC ist aber offen für Kooperationen mit weiteren Projekten und wird nach Projektstart einen Workshop veranstalten, um die Bedarfe in anderen Communities zu erfassen.