Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML

Transcripción

1 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML Manuel Sánchez 1, Gabriel López 1, Óscar Cánovas 2, Antonio F. Gómez-Skarmeta 1 1 Departamento de Ingeniería de la Información y las Comunicaciones 2 Departamento de Ingeniería y Tecnología de Computadores Universidad de Murcia {msc,gabilm,skarmeta}@dif.um.es {ocanovas}@ditec.um.es Resumen La computación Grid ha aparecido como un nuevo paradigma para cubrir las necesidades de las aplicaciones científicas actuales. Aunque los trabajos de investigación que se han llevado a cabo sobre este tema son muchos, varios aspectos permanecen aún abiertos. Uno de ellos, la autorización en entornos Grid, es probablemente uno de los tópicos más importantes en relación con los proveedores de recursos, ya que necesitan controlar los usuarios que acceden a sus recursos. Se han propuesto varias arquitecturas de autorización para este tipo de entornos, incluyendo en algunos casos nuevos elementos que introducen componentes redundantes en el sistema. En este trabajo, se propone un nuevo esquema que aprovecha las ventajas de una infraestructura subyacente previamente definida entre las organizaciones involucradas, el sistema NAS-SAML, para construir un entorno Grid con un mecanismo de autorización avanzado y extensible. 1. Introducción En los últimos años, la capacidad de computación y almacenamiento requerida en entornos científicos ha excedido la capacidad ofrecida por los equipos tradicionales. Este problema ha motivado el desarrollo de un nuevo paradigma de computación, llamado Computación Grid [14]. Esta tecnología se basa en la compartición de recursos de un modo flexible, seguro y coordinado, denominado Virtual Organization (VO). Hoy en día, algunos aspectos de la computación Grid, como la compartición de recursos, la monitorización o descubrimiento, han sido resueltos por proyectos como Globus Tookit [13]. Sin embargo, otros aspectos del Grid, relacionados generalmente con la seguridad, están aún abiertos. Uno de los más importantes en este campo es la autorización de los usuarios. De hecho, la autorización es una característica crítica en computación Grid, ya que cuando una organización ofrece sus recursos necesita estar completamente segura de que solamente los usuarios permitidos son capaces de realizar el conjunto de acciones habilitadas sobre cada recurso. Los mecanismos de autorización en el Grid han evolucionado desde un simple fichero, que contiene el conjunto de usuarios que pueden acceder a cada recurso, a esquemas más complejos basados en el uso de servidores de autorización, políticas de control de acceso o certificados de identidad. Se han propuesto muchas soluciones, como CAS [18] o VOMS [11], y se han adaptado varios mecanismos de autorización,

2 2 Manuel Sánchez et al. como PERMIS [8], Akenti [20] o Shibboleth (GridShib) [23], para ofrecer decisiones de autorización a entornos Grid. Sin embargo, estos sistemas de autorización introducen nuevos elementos cuando en la mayoría de las veces se podría aprovechar la ventaja de elementos ya existentes para realizar tareas similares. Aunque la autorización es una tarea clave en entornos Grid, éste no es un problema exclusivo de este campo. Tradicionalmente, las organizaciones han protegido el acceso a su red como un recurso más. La arquitectura AAA fue diseñada para resolver este problema usando diferentes métodos para identificar a los usuarios, como nombre de usuario y contraseña, o certificados de identidad. De este modo, uno de los mecanismos de control de acceso más usado por los proveedores de red es el basado en una arquitectura AAA. Un ejemplo de estos mecanismos es NAS-SAML [16]. Dado que hay organizaciones que usan este tipo de arquitectura para el control de acceso a la red, sería deseable que toda esta información de autorización sobre los usuarios no tuviese que ser duplicada para poder ser usada en otras aplicaciones de alto nivel que también necesitan realizar control de acceso, como el Grid. Este trabajo propone un nuevo mecanismo de autorización que aprovecha las ventajas de disponer de una infraestructura AAA entre dos o más organizaciones para ofrecer decisiones de autorización en un entorno Grid y, además, hace uso de estándares basados en XML como SAML o XACML para gestionar los datos de autorización y las políticas de control de acceso de un modo distribuido y extensible. El resto de este trabajo está estructurado del siguiente modo. En la Sección 2 se da una introducción a la autorización Grid. A continuación, la Sección 3 presenta la propuesta NAS-SAML como entorno de gestión de autorización. La Sección 4 describe la arquitectura propuesta para ofrecer autorización en entornos Grid, y las diferentes alternativas de diseño se muestran en la Sección 5. En la Sección 6 se dan además algunos detalles de la implementación. En la sección 7 se describen otras propuestas de autorización para la computación Grid que han motivado este trabajo. Finalmente, la Sección 8 presenta las conclusiones obtenidas y el trabajo futuro en este tipo de entornos. 2. Autorización en entornos Grid La computación Grid es la respuesta a una demanda cada vez más importante de capacidad de almacenamiento y computación. Esta tecnología intenta hacer uso de los recursos ofrecidos por un conjunto de organizaciones para ofrecer la suma de todos ellos a los usuarios de esas organizaciones. Esta compartición de recursos implica varias cuestiones referentes a autorización, ya que una organización que ofrece sus recursos quiere estar segura de que sólo los usuarios autorizados realizan las acciones permitidas sobre los recursos protegidos. Hoy en día existen varias implementaciones Grid disponibles, como UNICORE [19] o Globus Toolkit (GT), siendo esta última la más común entre estos entornos. En 2002 apareció la especificación Grid denominada OGSA [13] para intentar definir un modo estándar de crear implementaciones Grid. En OGSA, los recursos se ofrecen por medio de servicios Grid, que son servicios Web con interfaces específicas para gestionar el descubrimiento de servicios, creación dinámica, tiempo de vida, notificaciones y otras

3 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 3 características. Esta especificación fue rediseñada con la aparición en 2004 de WSFR [9], pero manteniendo inalteradas las principales ideas originales. En las primeras implementaciones Grid, la autorización se realizaba por medio de un fichero, denominado grid-mapfile, que contenía una relación entre los nombres identificadores de usuarios y nombres de cuentas locales. Sólo si el identificador aparecía en este fichero el usuario obtenía permiso para acceder al recurso. Esta solución no es muy escalable y otro conjunto de soluciones, como CAS, VOMS, PERMIS o Akenti, que se describirán con más detalle en la sección de trabajos relacionados, aparecieron para tratar de solventar el problema. En [25] se describen los requerimientos que un modelo de seguridad para Grid debe cumplir. Este documento indica que se necesita un servicio de autorización para evaluar las reglas de política para tomar decisiones de autorización basadas en información sobre el solicitante y el servicio destino. Este servicio de autorización debe ser transparente al usuario y al servicio destino. Usando esta aproximación, una vez que el usuario se ha autenticado, el sistema que gestiona el recurso debe contactar con su servicio de autorización y debe obtener una decisión al respecto. El Global Grid Forum (GGF) [3], a través de uno de sus grupos de trabajo, definió un servicio de autorización OGSA basado en el uso de SAML para solicitar y expresar sentencias de autorización, OGSA-SAML [24]. Como se muestra en la Figura 1, OGSA-SAML define nuevas sentencias SAML para transportar toda la información necesaria entre un punto de aplicación de política (Policy Enforcement Point, PEP) y un punto de decisión de política (Policy Decision Point, PDP). El PEP es el elemento responsable de asegurar que solo los usuarios con permiso pueden hacer uso de los recursos protegidos, mientras que el PDP es el elemento que toma las decisiones de autorización, usando la información obtenida desde el PEP. Los nuevos elementos que se introducen son las sentencias ExtendedAuthorizationDecisionQuery y SimpleAuthorizationDecisionStatement. La primera es una consulta de autorización que incluye un parámetro para indicar al PDP si el PEP sólo necesita una decisión booleana simple, en lugar de una lista de derechos para el usuario. La segunda es una sentencia de decisión de autorización que contiene la respuesta de autorización completa, sin enumeración de derechos. Algunas consideraciones sobre seguridad de la interfaz OGSA-SAML y el modelo de autorización que propone pueden encontrarse en [24]. Esta especificación se ha incluido en GT, ofreciendo un interfaz para servicios Grid denominada SAMLRequest port type. De este modo, la entidad contenedora del servicio Grid, actuando como PEP, puede ser configurada para comprobar los permisos del usuario consultando una entidad PDP. De esta forma, un servicio de autorización que implemente la interfaz SAMLRequest debe ser desplegado en el sistema para asumir el papel de PDP, comprobando los atributos del usuario para tomar decisiones de autorización. En la propuesta presentada en este trabajo, como se explica a continuación, el servicio de autorización aprovecha la ventaja de tener una infraestructura NAS-SAML existente en una organización para gestionar los atributos de usuario y para tomar decisiones de autorización.

4 4 Manuel Sánchez et al. Figura 1. Servicio de Autorización OGSA-SAML 3. Arquitectura de control acceso basada en SAML Durante los últimos años, como controlar los usuarios que están haciendo uso de la red se ha convertido en un importante desafío para los administradores de ésta. Como consecuencia directa, varias tecnologías de seguridad han surgido recientemente para ofrecer mecanismos de control de acceso basados en la autenticación de los usuarios. Tradicionalmente, los sistemas de acceso a la red se han basado en mecanismos como nombre de usuario y contraseña o en la autenticación mutua usando certificados de identidad X.509, siguiendo una aproximación más avanzada, siendo estos últimos especialmente útiles para organizaciones preocupadas por la identidad real de los solicitantes. Existen otras organizaciones donde los usuarios son clasificados de acuerdo con algún tipo de información, como su tarea administrativa, el tipo de servicio que obtienen, o algún otro tipo de requerimiento interno. En estos escenarios la identidad no es suficiente para otorgar el acceso al recurso que está siendo controlado, ya que se debería saber el rol que juega el usuario dentro de la organización para ofrecerle el servicio correcto. De este modo, es necesario un sistema capaz de asignar a los diferentes usuarios el conjunto de atributos que especifican estos privilegios o roles. Este tipo de sistemas son normalmente diseñados siguiendo los principios del modelo RBAC [12]. En [16] se presenta una aproximación al control de acceso a la red basada en certificados de identidad X.509 y atributos de autorización siguiendo el modelo descrito. Esta propuesta se basa en los estándares XACML y SAML, que son usados para expresar políticas de control de acceso y sentencias de autorización respectivamente. El proceso de autorización está principalmente basado en la definición de estas políticas de control de acceso [15], incluyendo el conjunto de usuarios pertenecientes a los diferentes dominios que podrán tener asignados diferentes roles para obtener acceso a la red de un proveedor de servicios, bajo determinadas circunstancias. El punto de partida es un escenario de acceso a la red basado en el estándar 802.1X y la arquitectura AAA, donde son centralizados los procesos relacionados con la autenticación, autorización y contabilidad de los usuarios. El sistema define el siguiente modo de operación: Cada usuario pertenece a un dominio origen, donde tiene asignados un conjunto de roles que juega en esa organización. Cuando este usuario solicita una conexión de red en un dominio particular (dominio origen o diferente), por medio de la conexión 802.1X, la solicitud es capturada por el servidor AAA, localizado en el dominio destino. Este servidor realiza una consulta para obtener los atributos del usuario a la autoridad responsable de su gestión, localizada en el dominio origen. De modo alterna-

5 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 5 tivo, siguiendo una aproximación Push, el mismo usuario puede presentar su conjunto de atributos en lugar de hacer que el servidor AAA los recupere. Finalmente, una vez que el servidor AAA del dominio destino tiene los atributos envía una consulta de decisión de autorización a la entidad PDP local, que proporciona una respuesta indicando si los atributos satisfacen o no la política de control de acceso al recurso. Más aún, esta política puede también establecer el conjunto de obligaciones derivadas de la decisión tomada, por ejemplo, parámetros de calidad de servicio, opciones de seguridad, etc. Este escenario, aunque está enfocado para el control de acceso a la red, puede ser usado como base para la provisión de servicios de autorización a aplicaciones de alto nivel, por ejemplo, entornos Grid. Más aún, debido a que NAS-SAML has sido integrado [17] con el proyecto PERMIS [8], el entorno Grid podría ser extendido fácilmente a dominios gestionados por esta solución. 4. Arquitectura propuesta En esta sección se describe el conjunto de elementos que se necesitan en la solución propuesta para aprovechar las ventajas que ofrece la infraestructura NAS-SAML, es decir, un sistema ya desplegado que puede ofrecer mecanismos de autorización a organizaciones que desean colaborar por medio de entornos Grid, específicamente usando el middleware Globus Toolkit. De esta manera, a continuación se describen tanto los elementos de la arquitectura NAS-SAML, como los elementos implicados en las tareas de autorización de un Grid basado en Globus Toolkit 3. El siguiente paso consiste en la integración de ambos escenarios haciendo uso de la interfaz de autorización para Grid OGSA-SAML. Siguiendo este enfoque, como muestra la Figura 2, cada organización que comparte una infraestructura AAA con soporte NAS-SAML tiene su propio servidor AAA, el elemento clave en este escenario ya que es el responsable de realizar el proceso de autorización en cada dominio. Dos módulos ayudan al servidor AAA para realizar las tareas de autorización, la Autoridad Fuente o Source Authority (SA), que se encarga de gestionar los atributos de autorización, y el PDP, encargado de la toma de decisiones. Como se describe en [16], cuando el servidor AAA necesita información sobre un usuario externo, pregunta por sus atributos al servidor AAA localizado en el dominio origen de dicho usuario. La comunicación entre servidores AAA se realiza a través del protocolo DIAMETER, concretamente la extensión DIAMETER-SAML propuesta en este trabajo. El proceso de autorización es guiado por las políticas de control de acceso, representadas en XACML, como se describe en [15]. Por otro lado, un proceso de autorización en un entorno Grid necesita los elementos que se muestran en la Figura 2. En este entorno, cuando un usuario final quiere acceder a un Servicio Destino, el servidor GT3 puede comprobar los derechos del usuario para realizar la acción solicitada preguntando a un Servicio de Autorización OGSA-SAML. Para tomar la decisión correcta, este servicio puede hacer uso de información sobre el usuario contenida en la propia solicitud de autorización o, si fuese necesario, puede contactar con entidades externas, como es el objetivo de este trabajo. Cuando se trata de integrar los dos escenarios descritos, el principal reto es ofrecer a estas organizaciones el modo de cooperar usando una infraestructura Grid por medio

6 6 Manuel Sánchez et al. Figura 2. Elementos de la arquitectura GRID-NAS-SAML de un modelo avanzado y extensible de autorización. Este servicio de autorización trata de hacer uso de elementos de información de autorización ya existentes, de manera que toda la información de autorización de la organización se encuentre centralizada en un único punto, y no dispersa entre las diferentes aplicaciones. Ese objetivo puede conseguirse aprovechando la extensibilidad de la interfaz de autorización OGSA-SAML y la flexibilidad de la infraestructura NAS-SAML para procesar las solicitudes de autorización del entorno Grid. Es necesario definir como ambos modelos pueden ser integrados, es decir, definir las interfaces de comunicación entre las entidades involucradas y las diferentes alternativas de diseño dependiendo de los requerimientos del usuario y los escenarios de aplicación. De este modo, se necesita además definir cómo el Servicio de Autorización tiene que enviar las consultas de autorización al servidor AAA local, para seguir el proceso de autorización que se detalla en [16] 5. Alternativas de diseño En un escenario NAS-SAML son posibles cuatro posibles alternativas de diseño, dependiendo del uso de un modelo Pull o Push para el acceso a la red, y de si el usuario solicita acceso en su dominio origen, o en un dominio destino. Esta sección se centra en los escenarios inter-dominio, ya que una VO solo tiene sentido entre diferentes organizaciones. De este modo, se describen dos escenarios basados en las aproximaciones Pull y Push, implicando al menos dos dominios administrativos. En el primer caso, el usuario obtiene acceso al sistema Grid de modo tradicional y cada tarea de autorización

7 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 7 es realizada por el Servicio de Autorización sin intervención alguna del usuario. En el segundo caso, el usuario tiene que seleccionar previamente el conjunto de atributos que desea usar y presentarlos al Servicio de Autorización Autorización Grid basada en NAS-SAML. Modelo Pull En este modelo, el proceso de autorización es totalmente transparente para usuario, de este modo, la aplicación cliente Globus no necesita ser modificada para adaptarla a este escenario. Como se muestra en la Figura 3, cuando el usuario desea obtener acceso al Servicio Destino, el servidor GT3 envía una sentencia ExtendedAuthorizationDecisionQuery al Servicio de Autorización. Este mensaje contiene la identidad del usuario, el recurso destino y la acción que se quiere realizar sobre el recurso. En este modelo, el recurso es el Servicio Grid invocado por el usuario, y la acción es el método del servicio que se desea ejecutar. Una vez que el Servicio de Autorización ha obtenido esta información, construye un sentencia estándar SAML AuthorizationDecisionQuery y la envía al servidor AAA local, usando DIAMETER-SAML como protocolo de transporte. Figura 3. Modelo Pull Cuando el servidor AAA recibe la sentencia AuthorizationDecisionQuery envía un mensaje SAMLRequest con la sentencia AttributeQuery al servidor AAA del dominio origen del usuario, preguntando por sus atributos. El servidor AAA origen obtiene estos atributos desde su SA local y responde con una sentencia AttributeStatement. Cuando el servidor AAA local recibe el mensaje, usa estos atributos y la información recibida desde el Servicio de Autorización para obtener la decisión de autorización consultando el servidor PDP local. La sentencia AuthorizationDecisionStatement recibida desde el servidor PDP es enviada al Servicio de Autorización, el cual reenvía el resultado de la decisión al servidor GT3 como una sentencia SimpleAuthorizationDecisionStatement.

8 8 Manuel Sánchez et al. La ventaja de esta alternativa es que una Virtual Organization basada en NAS- SAML puede introducir los mecanismos de autorización sin conocimiento por parte del usuario. De este modo, los usuarios continúan accediendo al servidor GT3 del modo tradicional y las organizaciones pueden gestionar los atributos, y su relación con los permisos, de un modo transparente. El inconveniente de esta alternativa es que el usuario no puede controlar los parámetros relacionados con el proceso de autorización, como por ejemplo, el conjunto de atributos a usar para obtener la decisión Autorización Grid basada en NAS-SAML. Modelo Push En el modelo Push, el usuario selecciona directamente los atributos que quiere presentar en el dominio destino para solicitar acceso al servicio Grid. Figura 4. Recuperación de atributos Como muestra la Figura 4, este proceso se realiza por medio de un servidor Web seguro (WS) que devuelve el conjunto de atributos seleccionado por el usuario. En primer lugar, el usuario y el WS se autentican mutuamente usando certificados de identidad X.509. Después, el WS solicita los atributos del usuario a su dominio origen usando la infraestructura AAA. Para esto, envía un AttributeQuery al servidor AAA local preguntando por estos atributos, esta consulta es reenviada al servidor AAA del dominio origen del usuario, el cual obtiene estos atributos desde su Autoridad Fuente. Estos atributos son enviados de vuelta al WS a través del servidor AAA local en una sentencia AttributeStatement. Finalmente, el usuario selecciona el conjunto de atributos que quiere presentar o revelar y el WS se los proporciona como una sentencia SAML Assertion firmada de digitalmente. Una vez que el usuario ha obtenido los atributos que desea puede usarse un Certificado Proxy X.509 [22], usado en GT para identificar al usuario, para transportarlos y presentarlos al servidor GT3. La razón de usar un Certificado Proxy X.509 para añadir los atributos de usuario, en lugar de usar un Certificado de Atributo X.509, es que el

9 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 9 proxy es un certificado con tiempo de vida muy corto, creado por el usuario desde su propio certificado de identidad de modo similar a un ticket y además, es actualmente soportado por Globus Toolkit. De este modo, no se necesita incorporar funcionalidad adicional relacionada a los Certificados de Atributos X.509. Estos atributos se añaden al proxy como extensiones no críticas que puede recuperar el servidor GT3. De este modo, estos atributos pueden usarse para tomar decisiones de autorización en lugar de obtenerlas desde el servidor AAA del dominio origen, como muestra la Figura 5. Figura 5. Modelo Push Cuando el servidor GT3 recibe la solicitud del usuario, recupera los atributos y los añade como evidencias a la sentencia ExtendedAuthorizationDecisionQuery, enviada al Servicio de Autorización. Usando los datos recibidos, este servicio construye una sentencia AuthorizationDecisionQuery que es enviada al servidor AAA local. Usando la identidad del usuario, el recurso que está siendo solicitado, el método del servicio, y las evidencias, el PDP toma una decisión consultando su política local y responde al servidor AAA usando una sentencia AuthorizationDecisionStatement. Desde el punto de vista del usuario final, esta solución es más intrusiva, ya que requiere soporte de las aplicaciones cliente para las credenciales de atributos. Por otro lado, permite al usuario tener mayor control sobre la solicitud de autorización que en el modelo Pull, por ejemplo, seleccionando diferentes perfiles de autorización dependiendo de los requerimientos del usuario. 6. Detalles de Implementación Para desarrollar el escenario descrito en este trabajo, se han usado los siguientes elementos: El software usado para implementar los servidores AAA, OpenDIAMETER [4], ha sido extendido para soportar la aplicación DIAMETER-SAML como se describe en [16].

10 10 Manuel Sánchez et al. El soporte SAML también es necesario para construir las diferentes sentencias, para ello se ha utilizado la librería OpenSAML [5]. La SA y el PDP se han implementado como servicios web que se comunican con el servidor AAA correspondiente usando la interfaz SOAP ofrecida por la librería OpenSAML, implementando la interfaz Protocol Interface (PI) definida en [16]. Para incluir los atributos de usuario en certificados proxy se ha añadido a Globus Toolkit un nuevo servicio. Esta aplicación recibe estos atributos y los inserta en los certificados proxy como extensiones no críticas. El Servicio de Autorización Grid implementa el SAMLRequest port type. Este servicio también es capaz de hacer solicitudes a la infraestructura AAA a través de la interfaz DIAMETER-SAML. También se ha implementado el servicio SAMLAuthorizationCallout, que es responsable de recuperar la información necesaria desde el certificado proxy del usuario y de incluir esta información en la sentencia ExtendedAuthorizationDecision- Query. Finalmente, las políticas que gestionan el sistema, es decir, política de asignación de roles a usuarios y políticas de acceso a recursos han sido implementadas mediante XACML [10], del modo definido en [15]. La tabla 1 muestra un resumen de las tecnologías utilizadas: Aplicación Versión Uso OpenDIAMETER d Infraestructura AAA Tomcat Servicios web Globus Toolkit 3.3 Plataforma Grid OpenSAML C++ y Java Soporte SAML SunXACML 1.2 Soporte XACML Cuadro 1. Software usando en el escenario 7. Trabajo relacionado Como se mencionó anteriormente, varios mecanismos de autorización Grid se han propuesto durante los últimos años. En esta sección se van a analizar cinco de los más importantes, subrayando las principales ventajas y desventajas relacionadas con cada uno de ellos Mecanismos específicos para entornos Grid Dos mecanismos de autorización específicamente diseñados para entornos Grid son CAS y VOMS. Ambos ofrecen soluciones para Globus Toolkit. CAS [18] consiste en una tercera parte confiable responsable de gestionar las políticas que controlan el acceso al Grid. Este sistema trata de solventar el problema de

11 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 11 representación y aplicación de políticas de acceso en VO. En la última versión se ha introducido SAML para expresar las sentencias de política ofrecidas por el servicio CAS. Esta propuesta tiene algunos inconvenientes: En primer lugar, necesita usar un servidor CAS que centraliza todas las políticas de la comunidad, lo que incrementa la importancia derivada de la disponibilidad de este servidor y disminuye el control de las organizaciones involucradas en favor de la organización virtual. En segundo lugar, CAS sólo soporta el modelo Push, aunque se tiene previsto que las nuevas versiones de CAS permitan el modelo Pull en sus modos de operación e incluyan también algún tipo de replicación para aumentar la disponibilidad. Finalmente, el elemento que aplica la autorización en CAS es el propio servicio destino. De este modo, todos los servicios protegidos deben entender o ser compatibles con CAS para poder interoperar con el servidor. El Virtual Organization Membership Service (VOMS) [11] ha sido desarrollado en el marco de los proyectos DataGrid [1] y DataTAG [2] para tratar de solventar los problemas de escalabilidad y flexibilidad de los mecanismos de autorización en Globus. En este caso toda la información de autorización se mantiene en una base de datos, que es consultada por el servidor siempre que un cliente hace una solicitud. Este sistema trabaja en modo Push, ya que el usuario crea primero un certificado proxy añadiendo la información de autorización como extensiones no críticas y entonces intenta acceder al Grid. Una nueva versión usando Certificados de Atributos X.509 está siendo desarrollada. VOMS presenta los mismos problemas que CAS relacionados con la centralización y uso del modelo Push. Sin embargo, la aplicación de la autorización es realizada por un elemento central, el Gatekeeper, eliminando la necesidad de modificar cada servicio para hacer compatible con el sistema de autorización. Más aún, como la información de autorización es añadida al certificado proxy del usuario mediante extensiones no críticas, este tipo de certificados pueden ser usados por Gatekeepers no compatibles con VOMS Mecanismos de autorización existentes adaptados a entornos Grid En esta sección se presentan tres propuestas de autorización ya existentes que han sido adaptadas para trabajar en entornos Grid. PERMIS [8] es un sistema de gestión de confianza basado en Certificados de Atributos X.509 para especificar atributos de usuario. También define un lenguaje de política de control de acceso específico basado en jerarquías de roles, expresado en XML. Este sistema ha sido integrado en GT3 como un método de autorización por medio del Servicio de Autorización PERMIS [7]. Este es un servicio Grid que implementa la interfaz SAMLRequest y que hace uso de la API PERMIS para tomar decisiones de autorización. Pero esta integración está incompleta, ya que no se ha definido un protocolo para intercambiar la información de autorización entre las diferentes organizaciones que usan PERMIS, como el protocolo DIAMETER usado en NAS-SAML. Además, este modelo no permite el acceso al Grid en modo Push. Akenti [20] es un sistema de autorización que representa la política de acceso a recursos como un conjunto de certificados distribuidos firmados de modo digital. De este modo, cuando se requiere una decisión de autorización, el motor de política recupera todos los certificados requeridos y toma la decisión necesaria. Los recursos son accedidos

12 12 Manuel Sánchez et al. a través de una pasarela de recursos, que actúa como un PEP, contactando con un servidor Akenti. El uso de un plug-in para gestionar la interfaz entre el gestor de trabajos en GT2 y el servidor Akenti se describe en [21], aunque aún no se ha implementado una solución para integrar Akenti en Grids OGSA. Más aún, como PERMIS, este sistema fue diseñado para trabajar en organizaciones únicas, y no en entornos multi-dominio, como el caso de Grid. GridShib [23] es un proyecto cuyo objetivo principal es la integración de Shibboleth [6] y Globus para ofrecer una federación de identidades y una política de aplicación basada en atributos para sistemas Grid. Shibboleth fue diseñado para realizar control de acceso basado en atributos en aplicaciones Web, usando SAML para expresar y transportar los datos de autorización. Más aún, Shibboleth ofrece interacción con los recursos de modo anónimo que GridShib espera importar también a entornos Grid. Este sistema también ofrece la posibilidad de acceder al Grid usando los modelos Pull y Push. GridShib ofrece un resultado similar al de esta propuesta. La principal diferencia entre ambas alternativas está en la arquitectura subyacente, NAS-SAML y Shibboleth en el caso de GridShib. En NAS-SAML, las organizaciones involucradas se aprovechan de la infraestructura AAA existente, que ha sido previamente desarrollada para otros propósitos, en este caso, el control de acceso a la red, mientras que Shibboleth es una arquitectura con un destino específico, las aplicaciones web. 8. Conclusiones Este sección muestra que cuando dos o más organizaciones quieren colaborar por medio de un entorno Grid tienen que introducir nuevos elementos para gestionar los derechos de los usuarios y el control de acceso a los recursos. Además, en algunos casos los elementos introducidos son redundantes, ya que cada organización tiene su propio mecanismo de autorización o las organizaciones que colaboran comparten una infraestructura de autorización previamente desarrollada con otra intención. Con el fin de evitar este problema cuando las organizaciones que colaboran comparten una infraestructura AAA, este trabajo propone aprovechar las ventajas de esta infraestructura AAA subyacente para ofrecer un mecanismo de autorización extensible y escalable basado en el uso de sentencias SAML para representar los datos de autorización. Debido a que NAS-SAML permite trabajar tanto en modo de operación Pull como Push, este mecanismo de autorización ofrece estas dos alternativas de acceso a un entorno Grid. La primera cuando el usuario no necesita saber nada sobre el proceso de autorización y la segunda cuando un usuario avanzado puede seleccionar un perfil específico para acceder al sistema Grid, y optimizar de este modo el uso de los recursos. Además, se muestra claramente como es posible usar sentencias SAML y NAS-SAML para ofrecer decisiones de autorización a aplicaciones de alto nivel como el Grid. 9. Agradecimientos Trabajo parcialmente financiado por los proyectos IST y TIC C06-03.

13 Propuesta de autorización para entornos Grid basada en la arquitectura NAS-SAML 13 Referencias 1. DataGrid project home page. eu-datagrid. 2. DataTag project home page Global grid forum OpenDIAMETER project home page OpenSAML project home page Shibboleth project home page D. Chadwick, S. Otenko, and V. Welch. Using SAML to link the Globus Toolkit to the PERMIS Authorisation Infrastructure, September Proceedings of Eighth Annual IFIP TC-6 TC-11 Conference on Communications and Multimedia Security. 8. D.W. Chadwick, O. Otenko, and E. Ball. Implementing role based access controls using x.509 attribute certificates. IEEE Internet Computing, pages 62 69, March April K. Czajkowski, D. Ferguson, I. Foster, J. Frey, S. Graham, T. Maguire, D. Snelling, and S. Tuecke. From Open Grid Services Infrastructure to WS-Resource Framework: Refactoring & Evolution, A. Anderson et al. EXtensible Access Control Markup Language (XACML) Version 1.0, February OASIS Standard. 11. R. Alfieri et al. Managing Dynamic User Communities in a Grid of Autonomous Resources, Conference for Computing in High Energy and Nuclear Physics. 12. D. Ferraiolo, R. Sandhu, S. Gavrila, D.R. Kuhn, and R. Chandramouli. Proposed nist standard for role-based access control. ACM Transaction on Information and System Security, 4(3), I. Foster, C. Kesselman, J.M. Nick, and S. Tuecke. The Physiology of the Grid. An Open Grid Services Architecture for Distributed Systems integration, Globus Project. 14. I. Foster, C. Kesselman, and S. Tuecke. The anatomy of the Grid. enabling scalable virtual organizations. Supercomputer Applications, G. López, O. Cánovas, and A. F. Gómez. Use of xacml policies for a network access control service. In Proceedings 4th International Workshop for Applied PKI, IWAP 05, pages IOS Press, G. López, O. Cánovas, A. F. Gómez, J. D. Jimenez, and R. Marín. A network access control approach based on the aaa architecture and authorzation attributes. Journal of Network and Computer Applications JNCA, To be published. 17. Gabriel López, Óscar Cánovas, Antonio F. Gómez-Skarmeta, Sassa Otenko, and David Chadwick. A heterogeneos network access service based on permis and saml. In Proceedings 2nd European PKI Workshop, volume 3545 of Lecture Notes in Computer Science, pages Springer, Laura Pearlman, Von Welch, Carl Kesselman, Ian Foster, and Steve Tuecke. The Community Authorization Service: Status and Future, Conference for Computing in High Energy and Nuclear Physics. 19. A. Streit, D. Erwin, Th. Lippert, D. Mallmann, R. Menday, M. Rambadt, M. Riedel, M. Romberg, B. Schuller, and Ph. Wieder. UNICORE - From Project Results to Production Grids, M. Thompson, A. Essiari, and S. Mudumbai. Certificate-based authorization policy in a PKI environment. ACM Transactions on Information and System Security (TISSEC), 6: , November M.R. Thompson, A. Essiari, K. Keahey, V. Welch, S. Lang, and B. Liu. Fine Grained Authorization for Job and Resource Management using Akenti and the Gloubs Toolkit, March Proceedings of Computing in High Energy and Nuclear Physics.

14 14 Manuel Sánchez et al. 22. S. Tuecke, V. Welch, D. Engert, L. Pearlman, and M. Thompson. Internet X.509 Public Key Infrastructure (PKI) Proxy Certificate Profile, June RFC V. Welch, T. Barton, K. Keahey, and F. Siebenlist. Attributes, Anonymity and Access: Shibboleth and Globus Integration to Facilitate Grid Collaboration, th Annual PKI R&D Workshop. 24. Von Welch, Rachana Ananthakrishnan, Frank Siebenlist, David Chadwick, Sam Meder, and Laura Pearlman. Use of SAML for OGSA Authorization, February Von et all. Welch. Security for Grid Services, Twelfth Internation Symposiumon High Performance Distributed Computing.