AAI/VO

D-Grid Integrationsprojekt

Im Arbeitspaket »Koordination und Sicherheitsmanagement« werden im D-Grid auftretende Sicherheitsfragestellungen gebündelt sowie deren Bearbeitung koordiniert. Dabei wird auch eine aktive Kooperation mit anderen Fachgebieten des D-Grid Infrastrukturprojekts (DGI-2) sowie mit den Communities organisiert. Übergeordnetes Ziel des Arbeitspaketes ist die Koordination, Beratung und Umsetzung der Sicherheitsaktivitäten in D-Grid mit besonderer Berücksichtigung der nachhaltigen Sicherung entsprechender zentraler Dienste.

Im Arbeitspaket AAI/VO werden die in DGI-1 und IVOM durchgeführten Arbeiten im Bereich der Authentifizierungs- und Autorisierungsinfrastruktur (AAI) im D-Grid fortgeführt. Die rein identitätsbasierte Autorisierung des D-Grid soll erweitert werden, so dass zusätzlich ein Benutzer anhand von Attributen autorisiert werden kann. Zu unterscheiden sind dabei VO-Attribute (VO-Untergruppen, -Benutzerrollen), die innerhalb des VO-Managements dezentral definiert und gepflegt werden, und Campus Attribute (Name, Zugehörigkeit und Rollen in einer Organisation), die dezentral von den Heimatorganisationen der Nutzer verwaltet werden. Die Nutzung dieser Attribute soll eine fein-granulare Autorisierung auf D-Grid-Ressourcen ermöglichen. Für die spätere Integration dieser attributbasierten Autorisierung in die D-Grid-Infrastruktur sollen vorrangig existierende Techniken verwendet werden .

Im Rahmen früherer Arbeiten sind Situationen erkennbar geworden, in denen einzelne Nutzer oder ganze Communities aus administrativen Gründen keine langlebigen Nutzerzertifikate verwenden können. Für dieses Szenario bieten kurzlebige Zertifikate (Short-Lived Certificates) auf Basis einer Shibboleth-Föderation eine leistungsfähige und skalierbare Lösung. Der Short-Lived-Certificate-Service (SLCS) des DFN übersetzt hierbei die Identitäten aus den existierenden Identitätsmanagementsysteme in kurzlebige X.509-Zertifikate, die im Weiteren wie bisher im Grid genutzt werden können.