Under CopyrightFaroughi, A.A.Faroughi2022-03-0727.3.20082007https://publica.fraunhofer.de/handle/publica/27751510.24406/publica-fhg-277515Reliable authentication and authorisation are crucial for both service providers and their customers, where the former want to protect their resources from unauthorised access and fraudulent use while their customers want to be sure that unauthorised access to their data is prevented. In Grid environments Virtual Organisations (VO) have been adopted as a means to organise and control access to resources and data based on roles that are assigned to users. Moreover, attribute based authorisation has emerged providing a decentralised approach with better scalability. Up to now UNICORE authentication and authorisation is based on X.509-certificates only. In this master thesis we will present two implementational solutions to integrate both role or attribute based authorisation using VOMS and attribute based authorisation using Shibboleth into UNICORE.ABKÜRZUNGSVERZEICHNIS S.VI-VII Inhaltsverzeichnis S.VIII-X 1. EINLEITUNG S.1-4 - 1.1 IVOM-PROJEKT S.1-3 - 1.3 GLIEDERUNG S.3-4 2. GRUNDLAGEN S.5-46 - 2.1 GRID COMPUTING S.5-13 - 2.1.1 Charakterisierung von Grids S.6-9 - 2.1.2 Grid-Architektur S.9-11 - 2.1.3 OGSA und Grid Services S.11-13 - 2.2 VIRTUELLE ORGANISATION S.14-20 - 2.2.1 Charakterisierung von Virtuellen Organisationen S.15-18 - 2.2.2 VO-Struktur S.19 - 2.2.3 Defizite der heutigen VO-Ansätze S.19-20 - 2.3 PUBLIC KEY INFRASTRUCTURE S.21-29 - 2.3.1 X.509-Zertifikate S.25-27 - 2.3.2 Mehrseitige Authentifizierung S.27-28 - 2.3.3 Proxy-Zertifikate S.28 - 2.3.4 Attributzertifikate S.28-29 - 2.3.5 Short-lived-Credentials S.29 - 2.4 AUTHENTIFIZIERUNGS- UND AUTORISIERUNGS-INFRASTRUKTUREN S.30-35 - 2.4.1 Authentifizierung S.30-32 - 2.4.2 Autorisierung S.32-33 - 2.4.3 Zugriffskontrolle S.33-34 - 2.4.4 Mögliche Probleme bei der Verwendung von AAI S.35 - 2.5 FEDERATED IDENTITY MANAGEMENT S.36-40 - 2.5.1 SAML S.38-40 - 2.6 GRID - MIDDLEWARE S.41-46 - 2.6.1 UNICORE S.41-44 - 2.6.2 Globus Toolkit S.44-45 - 2.6.3 gLite S.46 3. UNICORE AAI UND VO MANAGEMENT S.47-67 - 3.1 DAS UNICORE-SICHERHEITSMODELL S.47-48 - 3.1.1 Authentifizierung S.47 - 3.1.2 Autorisierung S.47-48 - 3.1.3 Integrität der Jobs S.48 - 3.1.4 Single-Sign-On in UNICORE S.48 - 3.2 PROBLEME VON IDENTITÄTSBASIERTER ZUGANGSENTSCHEIDUNG S.49-50 - 3.3 VO-MANAGEMENT S.51-53 - 3.3.1 Anforderungen an ein VO-Management-System S.51-53 - 3.4 VO-MANAGEMENT-SYSTEME S.54-67 - 3.4.1 Shibboleth S.54-58 - 3.4.2 Shibbolisierung des Grids S.58 - 3.4.3 VO-Management per Shibboleth S.58-60 - 3.4.4 MyVocs S.60-61 - 3.4.5 GridShib S.61-63 - 3.4.6 VOMS S.63-66 - 3.4.7 VOMRS S.66-67 - 3.5 MOTIVATION FÜR DIE UNICORE-ERWEITERUNG S.67 4. UNICORE-ERWEITERUNG DURCH VO-TECHNOLOGIEN S.68-72 - 4.1 ANFORDERUNGEN FÜR DIE UNICORE-INTEGRATION DURCH VO-TECHNOLOGIEN S.68-71 - 4.1.1 Allgemeine Anforderungen an die Integration S.68-69 - 4.1.2 Anforderungen aus Benutzer-Sicht S.70 - 4.1.3 Anforderungen aus Administrations-Sicht S.70-71 - 4.2 KREATIVITÄTSRAUM DER UNICORE-INTEGRATION S.72 5. KONZEPTION S.73-120 - 5.1 ALLGEMEINE INTEGRATIONSARCHITEKTUR S.73-74 - 5.2 KONZEPTION DER VO-AUTHENTIFIZIERUNG S.75-83 - 5.2.1 Begrifflichkeiten der Authentisierung S.75-79 - 5.2.2 Benötigte Benutzer-Schritte für den UNICORE-Zugang S.79-80 - 5.2.3 Integrationskonzepte für die Authentisierung S.80-83 - 5.3 KONZEPTION DER VO-AUTORISIERUNG S.84-94 - 5.3.1 Parteien und Objekte einer VO-Autorisierung S.84 - 5.3.2 Autorisierung durch VO-Credentials S.85-86 - 5.3.3 Kommunikationsstrategien für die verteilte Autorisierung S.87-88 - 5.3.4 Pull- oder Push-Ansatz der VO-Credentials S.88-89 - 5.3.5 Richtlinien für die verteilte Autorisierung S.89-90 - 5.3.6 Die identitätsbasierte UUDB S.90-91 - 5.3.7 Konzeption der UUDBVO S.91-94 - 5.4 INTEGRATION VON SHIBBOLETH IN UNICORE S.95-102 - 5.4.1 Einbehaltung der Shibboleth-Kommunikation S.95-97 - 5.4.2 Integration durch ein externes Modul S.98-100 - 5.4.3 Integration durch GridShib-CA und UNICORE-Plugin S.100-102 - 5.5 INTEGRATION VON VOMS IN UNICORE S.103-111 - 5.5.1 Extrahieren der VOMS-Attribute S.103-105 - 5.5.2 Allgemeine Integrationsarchitektur von VOMS und UNICORE S.105-106 - 5.5.3 Architekturvorschlag durch AJO-Integration S.106-108 - 5.5.4 Architekturvorschlag durch einen SLC-Service S.108-110 - 5.5.5 Architekturvorschlag durch eine Keystore-Erweiterung S.110-111 - 5.6 INTEGRATION DER SHIBBOLETH- UND VOMS-ARCHITEKTUR S.112-113 - 5.7 INTEROPERABILITÄT DER UNICORE-KONZEPTION S.114-120 - 5.7.1 Kombination von VO- und Campusattributen S.116-120 6. IMPLEMENTIERUNG S.121-148 - 6.1 IMPLEMENTIERUNG DER PLUGINS S.121-126 - 6.1.1 Verarbeiten der Credential-Dateien S.121-123 - 6.1.2 Erstellung sowie Erweiterung einer UNICORE-Benutzeridentität S.123-126 - 6.2 IMPLEMENTIERUNG DER UUDBVO S.127-148 - 6.2.1 Bereitstellung einer Autorisierung durch Attribute S.127-131 - 6.2.2 Administration der Attributliste S.131-134 - 6.2.3 Verifizieren und Validieren der Credentials S.134-136 - 6.2.4 Extrahieren der Attribut-Credentials S.136-146 - 6.2.5 UNICORE-PDP S.146-148 7. BEWERTUNG DER UNICORE-ERWEITERUNG S.149-150 - 7.1 BEWERTUNG DER ALLGEMEINEN ANFORDERUNGEN S.149-150 - 7.2 BEWERTUNG DER ANFORDERUNGEN DER BENUTZER S.150 - 7.3 BEWERTUNG DER ANFORDERUNGEN DES ADMINISTRATORS S.150 8. ZUSAMMENFASSUNG UND AUSBLICK S.151de003005006518master thesis