Interoperabilität und Integration der VO-Management Technologien im D-Grid

Um dem Benutzer den transparenten Zugriff auf einen Pool von Ressourcen zur ermöglichen ist der Aufbau einer allgemeinen AAI-Struktur notwendig. Wissenschaftler arbeiten über Instituts- und Ländergrenzen hinweg in Projekten und Arbeitsgruppen zusammen. Diese so genannten „Virtuellen Organisationen“ (VO) sind von zentraler Bedeutung für den praktischen Einsatz von Grids. In einer allgemeinen Grid-Infrastruktur spielen dabei Sicherheitsfragen (z. B. Datensicherheit) eine hervorgehobene Rolle und müssen bei allen Stufen der Bildung und des Managements von VOs berücksichtigt werden. Beide Aufgaben werden bereits im DGI behandelt (FG 1.10 VO Management und FG 3.4 Aufbau einer AA-Infrastruktur für das D-Grid).

Im Laufe der ersten Projektmonate wurde im Rahmen der Anforderungsanalyse für die beiden genannten Porjekte  festgestellt, dass es in den Communities verschiedene Anforderungen an ein allgemeines VO- und AA-Management gibt. Abhängig von der Community werden verschiedene Ansätze verfolgt:

• Communities, die bereits seit Jahren in international verteilten Kollaborationen Grid-basiert zusammenarbeiten, bevorzugen ein zentrales Management von Virtuellen Organisationen. Dies bietet das so genannte VOMS System. Als Beispiel kann hier die Hochenergiephysik genannt werden.
• Communities, in denen die Mehrheit der Nutzer bislang nicht Grid-basiert zusammenarbeitet, bevorzugen den Shibboleth-Ansatz, der die institutionellen Identity-Mangement Systeme ausnutzt, um schnell zu einem Grid-Angebot für diese Nutzer zu kommen. So wird z.B. in der Klimaforschungs-Community ein Shibboleth-Ansatz seit längerem verfolgt.
• Communities, die UNICORE als Grid Middleware einsetzen, verwenden bisher nur UNICORE-interne Autorisierungsmechanismen.

Das DGI hat die Aufgabe eine gemeinsame Grid-Infrastruktur zu erstellen und die Communities entsprechend ihrer Anforderungen zu unterstützen. Durch den Aufbau verschiedener technischer Systeme zum Management von „Virtuellen Organisationen“ ist das Ziel einer gemeinsamen und allgemeine Grid-Infrastruktur gefährdet. Mit den derzeitigen Ressourcen der DGI Arbeitspakete FG1-10 und FG3-4 ist es nicht möglich, interoperable Dienste für VOMS und Shibboleth zu entwickeln.

Das in Folgenden beschriebene Projekt „Interoperabilität und Integration der VO-Management Technologien im D-Grid“ wird in enger Zusammenarbeit mit dem DGI und den Communities Dienste entwickeln, die die Integration von VOMS und Shibboleth-basierten VO-Management-Systemen in das D-Grid ermöglichen.

Beschreibung des Projekts

Die verschiedenen Communities im D-Grid verwenden sowohl unterschiedliche Grid Middleware  als auch unterschiedliche Authentifizierungs- und Autorisierungstechnologien (bzw. Schnittstellen, also AAI). Die drei im D-Grid durch das DGI unterstützten Middleware sind gLite, GT4 und UNICORE, die Authentifizierungsmechanismen im D-Grid basieren auf Shibboleth und X.509, für die Autorisierung wird VOMS (bei X.509 Authentifizierung) eingesetzt und können die von Shibboleth verwalteten Attribute verwendet werden. UNICORE unterstützt in der aktuellen im D-Grid eingesetzten Version keine virtuellen Organisationen.
In verschiedenen nationalen Projekten werden derzeit Shibboleth-basierte Infrastrukturen zur einheitlichen und organisations-übergreifenden Authentifizierung und Autorisierung von Nutzern eingehend untersucht. Shibboleth verfolgt hierbei einen verteilten dezentralen Ansatz, der die vertrauenswürdige Authentifizierung eines Nutzers eng an dessen Heimatorganisation bindet. Zu den allgemein anerkannten Vorteilen von Shibboleth gegenüber anderen Verfahren zählen insbesondere:

• gute Skalierbarkeit und vereinfachtes Management durch verteilten Ansatz,
• guter Schutz der Privatsphäre (Privacy), da Informationen über den Nutzer ausschließlich an dessen Heimatorganisation vorgehalten und gepflegt werden und der Nutzer die Kontrolle über die Daten hat, die zur Autorisierung weitergegeben werden,
• hohe Zuverlässigkeit der vorgehaltenen Informationen, sofern diese über ein wohldefiniertes und gut gepflegtes Identity Management System der Heimatorganisation gespeist werden,
• unmittelbare Einbindung großer Nutzerdatenbanken in Shibboleth-basierte Dienste ohne hohen Aufwand zur Integration.

Aus diesen Gründen wird eine auf Shibboleth basierende AAI auch für den Einsatz im D-Grid zunehmend von Interesse. Eine notwendige Voraussetzung zur nachhaltigen Umsetzung ist in einem übergreifenden VO-Management zu sehen, welches sowohl die zentrale als auch die dezentrale Administration von Nutzern und deren Rechten geeigneten wohldefinierten Prozessen unterwirft.

Ziel des Projekts

Folgende übergeordneten Ziele werden mit der Integration von Shibboleth in die Infrastruktur des D-Grid und der Erweiterung des zugehörigen VO-Managements vorrangig verfolgt:

• Die Implementierung eines übergreifenden VO-Managements einschließlich der Integration in Globus Toolkit 4, gLite und UNICORE ermöglicht eine einheitlichen Nutzer- und Rechteverwaltung zur Authentifizierung und Autorisierung in den Communities, unabhängig von der jeweils verwendeten Grid Middleware.
• Die Authentifizierung der Nutzer in „shibbolisierten“ Grid-Umgebungen wird unmittelbar gegenüber deren Heimateinrichtung erfolgen und ist somit eng an die dort zugrunde liegenden organisatorischen Verfahren für Eintritt und Austritt gekoppelt. Die Heimateinrichtung wird dabei festlegen können, mit welchen technischen Verfahren ihre Nutzer sich authentifizieren. Bei Verwendung alternativer Verfahren werden die bisher verwendeten PKI-basierten Ansätze entlastet.
• Communities mit bestehenden Nutzerdatenbanken werden durch die Einführung von Shibboleth in die Lage versetzt, einer großen Zahl von Anwendern den Zugang zu Grid-Diensten zu ermöglichen. Der bisher notwendige Aufwand für ein Massen-Rollout von Nutzer-Zertifikaten entfällt.
• Der Verwaltungsaufwand für die Verlängerung oder durch den gegebenenfalls notwendigen Rückruf von Nutzer-Zertifikaten entfällt. Für den Nutzer entfällt die regelmäßige Erneuerung des Zertifikats.

Darüber hinaus wird die Integration von Shibboleth in D-Grid von ähnlichen Vorhaben in anderen Anwendungsbereichen, wie der im Aufbau befindlichen DFN-AAI oder auf europäischer Ebene den Arbeiten der JRA5 in GÉANT2, profitieren.

Ziele der einzelnen Arbeitspakete

 AP1 Evaluierung von internationalen Shibboleth-basierten VO-Management-Projekten:

1.  die Ergebnisse bzw. Zwischenergebnisse dieser Projekte konzeptionell und durch praktische Tests zu bewerten,
2. die Vor- und Nachteile zentraler und dezentraler VO-Architekturen zu erfassen,
3. an der internationalen Diskussion qualifiziert teilzunehmen und sie zu beeinflussen,
4. die Grundlage für die Auswahl geeigneter Technologien bzw. Produkte für D-Grid bereitzustellen. Diese Auswahl ist notwendig, um redundante Entwicklungen und inkompatible Infrastrukturen zu vermeiden.

AP2 Anforderungen an ein VO-Management aus Sicht der Community Grids:

1.  das Spektrum quantitativer Anforderungen (Größe, Anzahl, Dauer) an VOs aus den Communities, speziell anhand derer aus den Earth-Sciences (C3-Grid, Geogrid), den Geisteswissenschaften (Text-Grid), der Ingenieur-Community (InGrid) und der Medizin-Community (MediGrid), zu ermitteln,
2. die qualitativen Anforderungen an VOs wie Komplexität, Abbildung von Rollen und Rechten sowie Einbettung in internationale Shibboleth-Föderationen und vorhandene VO-Management-Strukturen zu ermitteln.
3. die für Nutzer und Administratoren aus diesem Bereich akzeptablen und notwendigen Nutzungsformen in Form von Use-Cases und daraus folgenden Requirements zu beschreiben.
   1. Dies beinhaltet insbesondere Anforderungen an ein dynamisches, föderiertes User Provisioning, das Community-übergreifend – und damit Infrastruktur-unabhängig – ausgelegt ist.
   2. Anforderungen an eine VO-Management-Architektur (VOs als managed objects) und dessen Teilmodelle.

AP3 Konzeption der Autorisierung auf Grid-Ressourcen:

1. die Definition von Rechten basierend auf den Rollen und Capabilities des VO-Managements und dem Anforderungsgerüst aus AP2
2. die Konzeption der ressourcenspezifischen Autorisierungsmodule zur Abbildung der definierten Rechte auf Funktionalitäten
3. die Definition eines auf föderierte Autorisierungen ausgelegtes Informations- und Kommunikationsmodells
4. die Definition eines Satzes atomarer VO-Management-Dienste und adäquater Aggregations-/ Kompositionsdienste

 AP4 Integration und Entwicklung, Test:

1. die aufgrund  der Evaluierung (AP1) ermittelte Auswahl geeigneter Technologien für das D-Grid zu verifizieren und zu konsolidieren,
2. die Nutzungs- und Administrations-Interfaces zur Umsetzung des VO-Managements sowie Komponenten für die Autorisierung bereitzustellen,
3. Nutzer-Schnittstelle zur Auswahl von Attributen und VO-Merkmalen,
4. Umsetzung der Architektur zur VO-Administration,
5. Autorisierungs-Management und -Entscheidung auf Ressourcen,
6. Integration und Test in Grid Middleware.
   1. UNICORE – VOMS
   2. UNICORE – Shibboleth
   3. Liberty – Shibboleth
   4. UNICORE – Liberty

 AP5 Vorbereitung zur Überführung in einen D-Grid-Dienst:

1. die vollständigen Lösung für das D-Grid zu präsentieren und zu dokumentieren,
2. eine Plattform für die Weiterentwicklung und Bewertung durch reale Nutzer bereitzustellen,
3. fehlende, ineffizient, ineffektiv oder nicht skalierbar implementierte Funktionalität zu ermitteln und zu dokumentieren,
4. die für das D-Grid notwendigen Deployment-Dienste bereitzustellen.

Beteiligte Projektpartner:

• Alfred Wegener Institut (AWI)
• DAASI International GmbH
• Fraunhofer Institute SCAI
• Leibniz Rechenzentrum (LRZ)
• Regionales Rechenzentrum für Niedersachsen (RRZN) und Forschungszentrum L3S

Assoziierte Partner: DFN-Verein, Forschungszentrum Jülich, SUN Microsystems GmbH, Universität Göttingen