JPGRID-GGF0205 第 5 回 GGF 調査会 globusworld 参加報告株式会社 SRA グローバルITサービスカンパニー開発部産業第 4グループ平野基孝 Programs 8 Tutorial 2: Grid Services and Web Services 8 Track

(1)

第

第5

55 5回

回

回GGF

GGF

GGF調査会

調査会

globusWORLD

globusWORLD参加報告

参加報告

株式会社SRA グローバルITサービスカンパニー開発部産業第４グループ平野基孝

Programs

8

Tutorial 2:

–

Grid Services and Web Services

8

Track 3:

–

Developing & Administrating Globus Toolkit

2.2

8

Workshop 1:

(2)

Grid Services and Web Services

8

Introduction to Grid, OGSA, Globus

8

Web services

8

Grid services

8

Business Process Execution Language for

Web Services (BPEL4WS)

OGSA: Open Grid Services Architecture

8

分散システム管理における、インターフェー

スと振舞に関する標準を規定する

–

== Grid Service

8

OGIS: Open Grid Services Infrastructure

–

!= OGSA

• OGSA compliant なシステムで構築されたインフラスト

(3)

“Web Services

Web Services

Web Services”

Web Services

8

WSDL: Web Services Description

Language

–

Web service のインターフェースを記述する

8

SOAP: Simple Object Access Protocol

–

XML ベースの RPC

8

WSDL を用いて、SOAP のRPCインター

フェースを記述する

Grid Services

8

Web services に追加して、“Transient

Service Instance” が必要

–

サービスの動的生成および破棄

–

分散したタスクの状態へのアクセス

–

e.g.) ワークフロー、ビデオ会議システムなど

8

A Grid Service = (WSDL で記述された)イ

ンターフェースand振舞 + ServiceData

(4)

Developing & Administrating

Globus

Globus Toolkit 2.2

Toolkit 2.2

8

Globus 2.x のインストール方法(overview)

および FAQ

8

Globusの各レイヤ/サブシステムの説明、

基本的な API の説明

–

Globus I/O, GSSAPI-GSI, GRAM, MDS

GSSAPI

GSSAPI-

--

-GSI

GSI

8

GSI: Grid Security Infrastructure

–

OpenSSL(ex SSLeay)の上に、Credential

delegation (Proxy cert)メカニズムを実装したも

の

• “Grid” の文字が入っているが、完全に Globus の独自実装

• X.509 user cert を CA cert と見なし、delegation さ

れる側で新規(テンポラリ)に生成した CSR を delegation する側に送り返し、user cert の秘密鍵で署名する

(5)

GSSAPI

GSSAPI-

--

-GSI(cont

GSI(cont

GSI(cont’d)

d)

8

GSSAPI: Generic Security Service API

– IETF (RFC-2743,2744) で規定された、セキュリティサー

ビス API

– GSSAPI-GSI: GSI の上に構築された GSSAPI – Globus I/O は、GSSAPI の上に構築されている

• GSSAPI-GSI を使わない、ベンダ提供の GSSAPI ライブラリを

用いた Globus 実装もある

• 多くのベンダの GSSAPI は、Kerberos の上に構築されている

Windows, Solaris, Linux, *BSD…

Grid Security

8

10 件の発表

– OGSA Security　(Von Welch, ANL)

• How to implement on GT3?

– “OGSA is a good candidate?” (Von Welch)

– Credential management (Jim Basney, NCSA)

– EC PERMIS Project (David Chadwick, University of

Salford)

– Globus on Kerberos (Q??, Sweden PDC)

(6)

OGSA Security

8

とにかく、WS-Security の仕掛けは用意す

る必要がある

–

が、これまでのPKI ベースの実装は捨てられな

い

• IETF 標準である • 下位互換 8

WS-Trust レイヤにおいて、(Microsoft 等

のため)Kerberos token と X.509 証明書の

相互運用をどう実装するか？

OGSA Security(cont

OGSA Security(cont’d)

d)

8

WS-Security のための security context は、

誰が管理するか？

–

WS-Security は、アプリケーションレイヤが

context 管理するプログラミングモデル

• OpenSSL 等と同等

• GSSAPI-GSI レイヤで生成した security context を、

(7)

“OGSA is a good candidate?

OGSA is a good candidate?

OGSA is a good candidate?”

8

OGSA は実装を規定しないので、果たして

異なるメーカ間で、credential delegation を

含めた認証機構に互換が保てるのか？

–

すでに、Kerberos ベースの実装と X.509 ベー

スの実装間で、問題が見えている

8

メジャーベンダの実装を使用する場合、ラ

イセンス問題は大丈夫なのか？

–

Globus の“Open Source”なフレイバーとの衝

突は？？

Credential management

8

Credential は色んな役割を果たし、それを

管理する方法も色々あるだろう

–

現在の Globus のような、Filesystem のみによ

る管理だけで良いのか？

• SmartCard　(USB device 等も含む) • Online CA

– 主にWeb portal 用に開発された MyProxy を、もっと汎用

(8)

EC PERMIS Project

8

PMI: Permission Management Infrastructure

– PKI よりメタな、組織・サービスのアクセス制御のための

インフラ

• PKI は基本的に “Identity” の認証であり、アクセス許可はその

他の枠組み(Globus であれば、grid-mapfile)で、その “Identity” にのみ適応される 8

PERMIS

– PMI ベースのアクセスコントロールシステム • PKI の上に構築 – PAPI, Kerberos での実装も存在 • 信頼できる X.509 CA で署名されたアクセスポリシーを、LDAP で管理

• E-tendering (Stanford City Conuncil), E-planing (Bologna

Comune)で使用されている

Globus

Globus on

on

on Kerberos

Kerberos

8

Kerberos ベースの GSSAPI を使った

Globus の実装の話

–

Free な Kerberos として Heimdal を使用

–

grid-porxy-init -> kinit and pkiinit

• kinit で kerberos token を取得

• pkiinit でその token を X.509 cert に見せかける • Credential delegation は kerberos token がそのま

ま渡る方法(?)

–

GASS, GRAM へのKerberos token passing の

実装

(9)

Panel: Grid Identity

8

X.509 cert is really needed??

– MS passport, Liberty Alliance

– X.509 は、CRL の管理も大変だし、そもそも cert の管理もめんどくさい 8

Cert の中に、実際の個人名って必要なの?

– Audit trail のためには必要 – 匿名性の保護はどうするの? 8

CA は世の中で一つ?(Global)それともたくさん

(Federated)?

– Federation model がビジネス分野では現実性が高い

JPGRID-GGF0205 第 5 回 GGF 調査会 globusworld 参加報告 株式会社 SRA グローバルITサービスカンパニー開発部産業第 4グループ 平野基孝 Programs 8 Tutorial 2: Grid Services and Web Services 8 Track

第

第

第

第5

55

5回

回

回

回GGF

GGF

GGF

GGF調査会

調査会

調査会

調査会

globusWORLD

globusWORLD

globusWORLD

globusWORLD参加報告

参加報告

参加報告

参加報告

Programs

Programs

Programs

Programs

Tutorial 2:

–

Grid Services and Web Services

Track 3:

–

Developing & Administrating Globus Toolkit

2.2

Workshop 1:

Grid Services and Web Services

Grid Services and Web Services

Grid Services and Web Services

Grid Services and Web Services

Introduction to Grid, OGSA, Globus

Web services

Grid services

Business Process Execution Language for

Web Services (BPEL4WS)

OGSA: Open Grid Services Architecture

OGSA: Open Grid Services Architecture

OGSA: Open Grid Services Architecture

OGSA: Open Grid Services Architecture

分散システム管理における、インターフェー

スと振舞に関する標準を規定する

–

== Grid Service

OGIS: Open Grid Services Infrastructure

–

!= OGSA

“Web Services

Web Services

Web Services”

Web Services

WSDL: Web Services Description

Language

–

Web service のインターフェースを記述する

SOAP: Simple Object Access Protocol

–

XML ベースの RPC

WSDL を用いて、SOAP のRPCインター

フェースを記述する

Grid Services

Grid Services

Grid Services

Grid Services

Web services に追加して、“Transient

Service Instance” が必要

–

サービスの動的生成および破棄

–

分散したタスクの状態へのアクセス

–

e.g.) ワークフロー、ビデオ会議システムなど

JPGRID-GGF0205 第 5 回 GGF 調査会 globusworld 参加報告株式会社 SRA グローバルITサービスカンパニー開発部産業第 4グループ平野基孝 Programs 8 Tutorial 2: Grid Services and Web Services 8 Track