Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 78 - cách ứng dụng với các cấu hình môi trường thực thi cụ thể. Container cũng điều khiển chu kỳ sống của các Grid service, và phân phối các yêu cầu đến các service instance. Container mở rộng cũng như bao gồm các interface chuẩn của một Web Service Engine (WSE), WSE chịu trách nhiệm xử lý các thông điệp XML. Web Service Engine và Grid Service Container được đặt trong một Hosting Environment, chịu trách nhiệm triển khai các chức năng của một Web Server truyền thống như sử dụng protocol vậ n chuyển HTTP,… Hiện nay GT3 Service Container có thể chạy trên các hosting environment sau: + Embedded Container: là một hosting environment được sử dụng chủ yếu trong các client hay các server hạng nhẹ, cho phép tạo lập và quản lý các Grid service instance. + Stand-alone Container: cơ bản dựa trên embedded hosting environment cùng với một command-line đầu cuối, cho phép khởi động và kết thúc hosting environment. GT3 có 2 lệnh để thực hiện việc này : globus-start- container, globus-stop-container. + J2EE Web Container (Servlet) : Là embedded hosting environment chạy trong một Java engine (Web container) như Tomcat. Web container này sử dụng các Web service cung cấp bởi Java engine thay các service chuẩn cung cấp bởi GT3. + J2EE Enterprise JavaBeans Container (EJB) : Là embedded hosting environment chạy trong một EJB application server (EJB container) như WebSphere Application Server. Chi tiết các thành phần và sự khác biệt giữa cùng một thành phần trong 2 kiến trúc sẽ được giới thiệu ở phần sau. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 79 - 3 3 . . 4 4 . . C C á á c c t t h h à à n n h h p p h h ầ ầ n n c c h h í í n n h h 3 3 . . 4 4 . . 1 1 . . S S e e r r c c u u r r i i t t y y I I n n f f r r a a s s t t r r u u c c t t u u r r e e 3 3 . . 4 4 . . 1 1 . . 1 1 . . G G i i ớ ớ i i t t h h i i ệ ệ u u Trong GT, việc bảo mật Grid được đảm trách bởi module Grid Security Infrastructure (GSI). Như đã biết, yêu cầu về bảo mật, an toàn là một trong những vấn đề chính trong các thiết kế Grid. Các thành phần bảo mật cơ sở của GT đã đưa ra các cơ chế khá tốt để thực hiện việc chứng thực, phân quyền, bảo mật liên lạc giữa các node trong Grid. GSI là một sự mở rộng các protocol và API của các chuẩn về bảo mật hiện hành. GSI được xây dựng trên các công nghệ, các chuẩn như : + Mô hình mã hoá khóa công khai (public key infrastructure(PKI)) + X.509 certificate + Protocol Secure Sockets Layer (SSL) Tất cả các kết nối liên lạc trong Grid đều được mã hoá theo công nghệ RSA 1024 bit và truyền tải với protocol SSL. + Generic Security Service API (GSS-API) Toàn bộ phần cài đặt của GSI đều tuân theo GSS-API (là một bộ API chuẩn dành cho các hệ thống bảo mật được tổ chức Internet Engineering Task Force (IETF) đưa ra). GSI đã mở rộng các chuẩn này để cung cấp thêm chức năng đăng nh ập một lần (single sign-on), ủy quyền (delegation), identity mapping (ánh xạ thực thể). Một số chức năng chính của GSI + Chứng thực một/hai chiều (Single/Mutual authentication) + Có cơ chế truyền thông an toàn. + Có cơ chế chứng thực. + Có cơ chế uỷ quyền. Hình 3-5 tóm tắt cấu trúc và chức năng các thành phần của GSI Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 80 - Hình 3-5 Các thành phần của GSI. Dưới đây giới thiệu một số khái niệm và cơ chế chủ yếu của GSI. 3 3 . . 4 4 . . 1 1 . . 2 2 . . C C á á c c n n g g u u y y ê ê n n t t ắ ắ c c v v à à k k h h á á i i n n i i ệ ệ m m c c ơ ơ b b ả ả n n t t r r o o n n g g b b ả ả o o m m ậ ậ t t G G r r i i d d 1. Các nguyên tắc cơ bản Lĩnh vực bảo mật bao gồm 3 dịch vụ cơ bản : chứng thực (authentiacation), phân quyền (authorization) và mã hoá (encryption). Một tài nguyên Grid phải được chứng thực trước tiên nhằm xác định các hoạt động nào được phép trong Grid. Khi các tài nguyên Grid đã được chứng thực, Grid user có thể được cấp các quyền thích hợp để sử dụng các tài nguyên. Tuy nhiên, các việc này vẫn chưa bảo vệ được dữ liệu trong quá trình trao đổi giữa các node. Do đó, cần ph ải cần thêm dịch vụ mã hoá dữ liệu. Tổ chức International Organization for Standardization (ISO) đã đưa ra danh sách các dịch vụ cơ bản trong các hệ thống bảo mật hiện đại, trong các tài liệu ISO 7498-2 (OSI Security Architecture) và ISO 10181 (OSI Security Frameworks). Một số dịch vụ liên quan đến bảo mật Grid được giải thích dưới đây: + Authentication (chứng thực) Là quá trình xác minh tính hợp lệ của một cá nhân, và xác định người đó là ai. Không chỉ có con người mới cần đượ c chứng thực, các service, ứng dụng, và các thực thể khác cũng cần được chứng thực trong hệ thống Grid. + Access control Đảm bảo mỗi người dùng hay máy tính sử dụng service được phép thực hiện những gì anh ta muốn làm. Quá trình phân quyền thường được dùng đồng nghĩa với access control. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 81 - + Data integrity Đảm bảo dữ liệu không bị thay đổi hay phá hủy bởi các hoạt động trái phép. + Data confidentiality Đảm bảo các thông tin nhạy cảm không được tiết lộ cho các tổ chức không liên quan. Data confidentiality còn được gọi là sự riêng tư (privacy) + Key management Liên quan đến việc phát sinh, phân phối, chứng thực, lưu trữ một cách an toàn các khóa sử dụng trong quá trình mã hóa, giải mã các thông điệp. GSI cùng với Public Key Infrastructure(PKI) cung cấp một framework (bao gồm các protocol, service, và các chuẩn) nhằm hỗ trợ Grid với 5 dị ch vụ trên. 2. Các khái niệm quan trọng trong bảo mật Grid và GSI + Symmetric Encryption Mã hoá kiểu Symmetric dựa trên việc sử dụng một khoá bí mật để thực hiện mã hoá và giải mã dữ liệu. Để đảm bảo dữ liệu chỉ được đọc bởi bên gửi và bên nhận, khoá được trao đổi một cách bí mật giữa 2 bên. Nếu ai đó lấy được khóa bí mật đã sử dụng để mã hoá, họ có thể giải mã được thông tin. Phương pháp mã hoá này kém an toàn nhưng tốc độ mã hóa/giải mã lạ i nhanh hơn dạng mã hoá Asymmetric trình bày dưới dây. + Asymmetric Encryption Phương pháp này được gọi là phương pháp mã hoá khoá công khai, cũng được sử dụng rất thường xuyên. Phương pháp này sử dụng một cặp khoá để mã hóa (được gọi là khóa công khai (public key) và khóa bí mật (private key)). Khóa để mã hoá khác với khoá được sử dụng để giải mã. Phương pháp mã hoá khóa công khai yêu cầu các bên phải bảo vệ kỹ các khóa bí mật của mình, trong khi khóa công khai của họ không cần được bảo vệ, có thể được công bố rộng rãi trong cộng đồng. Thông thườ ng, khóa công khai được để trong các chứng chỉ điện tử (digital certificate) được cấp bởi Certificate Authority, nơi chịu trách nhiệm quản lý các khóa công khai và người chủ của khóa công khai tương ứng. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 82 - Hệ thống khoá công khai thực hiện bảo mật hai lần trên thông điệp trao đổi giữa các bên. Trước hết, bên gửi sẽ mã hóa thông điệp bằng khóa bí mật của mình, sau đó mã hoá tiếp lần nữa bằng khóa công khai của bên nhận. Khi nhận được thông điệp, bên nhận sẽ thực hiện giải mã bằng khóa bí mật của mình trước, sau đó tiếp tục giải mã bằng khóa công khai của bên gửi. Bằng cách này, không ai khác có th ể đọc được thông điệp trừ khi có được khóa bí mật của một bên, nhưng điều này rất khó thực hiện được vì hai bên gửi và nhận không trao đổi khóa cho nhau, và khóa bí mật được giữ ở mỗi bên. Các thuật toán phát sinh khóa bí mật và khóa công khai được thiết kế sao cho một thông điệp được mã hoá bởi một khoá thì chỉ có thể được giải mã bởi khoá còn lại tương ứng, và không thể giải mã bởi khoá dùng để mã hoá. Các cặp khoá được phát sinh bằng cách tìm 2 số nguyên tố cực lớn khác nhau. Ngay cả khi khóa công khai được để công khai rộng rãi, cũng rất khó để các máy tính hiện nay có thể tìm ra khóa bí mật từ khóa công khai. Các thuật toán này tăng độ tin cậy về bảo mật nhưng lại tốn rất nhiều thời gian để mã hóa, đặc biệt là khi phải mã hóa một lượng lớn dữ liệu. Do đó, trong thực tế, người chỉ dùng phương pháp public key encryption để trao đổi khóa của phương pháp symmetric encryption giữa hai bên, và sau đó, việc mã hoá/giải mã được sử dụng bằng khoá symmetric này. + Distinguished Name (DN) Distinguished Name là một chuỗi ký tự duy nhất dùng để định danh người dùng (người dùng có thể là một người hay một thực thể ) trong Grid, có thể nói DN là một “Grid username”. DN là một thành phần của chứng chỉ điện tử. Phần lớn thông tin trong DN là do CA cung cấp. + Digital certificates (Chứng chỉ điện tử) Chứng chỉ điện tử là một tài liệu điện tử chứa thông tin định danh tài nguyên, người dùng Grid và khóa công khai tương ứng. Một chứng chỉ điện tử là một cấu trúc dữ liệu chứa khóa công khai và các thông tin chi tiết về chủ của khóa công khai đó. Một chứng chỉ được xem như là một thẻ nhận dạng điện tử không thể làm giả sau khi đã được đ óng dấu bởi CA trong môi trường Grid. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 83 - Khi một thực thể trong Grid muốn bắt đầu một phiên làm việc với đối tác nào đó, nó sẽ đính kèm chứng chỉ điện tử của mình vào thông điệp thay vì khóa công khai. Bên nhận kiểm tra chữ ký của CA trong chứng chỉ vừa nhận được. Nếu chữ ký đó là của một CA mà bên nhận tin tưởng, thì nó có thể chấp nhận và tin tưởng rằng khóa công khai trong chứng chỉ thực sự đến từ n ơi gửi (thao tác này đề phòng trường hợp giả danh người chủ của khóa công khai). Sau đó, bên nhận sẽ sử dụng khóa công khai của bên gửi để giải mã SSL session ID, SSL ID này dùng để mã hoá tất cả các dữ liệu truyền thông giữa 2 bên. Các chứng chỉ điện tử của GSI dựa định dạng chứng chỉ X.509, một định dạng chuẩn về chứng chỉ điện tử do tổ chức Internet Engineering Task Force (IETF) đưa ra. Những chứng chỉ này có thể dùng được với các phần mềm dựa trên PKI khác bao gồm các trình duyệt web của Microsoft, Netscape. Về cấu trúc và quá trình cấp một chứng chỉ điện tử, xin xem trong phụ lục E- Cấu trúc chứng chỉ điện tử. * Các loại chứng chỉ điện tử Có 2 loại chứng chỉ khác nhau được dùng trong môi trường Grid. Loại thứ nhất là chứng chỉ dành cho người dùng (user certificate) và chứng chỉ dành cho các Grid server (Server certificate). - User certificate Một người dùng sẽ cần một user certificate để đại diện cho mình, chứng chỉ này xác định tên người dùng thực sự của Grid chứ không phải tên một server hay tên máy trạm. Ví dụ, có một ai đó tên Bobby, thì trong chứng chỉ điện tử của anh ta có thể có một distinguished name như sau: “/O=Grid/O=GridTest/OU=test.domain.com/CN=Bobby" - Server certificate Nếu một người dùng muốn chạy các ứng dụng yêu cầu chứng thực trên server, sẽ cần phải có một server certificate. Server certificate sẽ ghi fully-qualified domain name của server vào user certificate của người đó. Để user certificate có hiệu lực, full-qualified DNS name của người đó Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 84 - phải giống như trong user certificate. Ví dụ : nếu tên server là “Darksky”, tên trong server certificate có thể là : /CN=Service/Darksky.<domain>.<com> + Certificate Authority (CA) Việc bảo mật trong Grid được xác lập thông qua việc sử dụng các chứng chỉ ở mức host và người dùng, các chứng chỉ này sau đó được ánh xạ vào các người dùng cục bộ trên host. Để có được các chứng chỉ này, các bản yêu cầu xin cấp chứng chỉ được tạo ra, gửi đến một CA tin cậy, CA này sẽ thực hiện ký xác nhận vào chứng chỉ và gửi lại người yêu cầu. Một CA đúng ngh ĩa có nhiều trách nhiệm khác nhau trong môi trường Grid. Các trách nhiệm chính của một CA tốt bao gồm : - Xác định được các thực thể đang yêu cầu cấp chứng chỉ. - Cấp phát, loại bỏ và lưu trữ các chứng chỉ. - Bảo vệ các CA server. - Quản lý không gian tên cho các chủ sở hữu chứng chỉ. - Theo dõi các hoạt động. Trong một số môi trường PKI, có thêm một Registrant Authority (RA) hoạt động liên kết với CA để thực hiện các nhiệm v ụ trên. RA chịu trách nhiệm kiểm tra và đảm bảo các thông tin người dùng là đúng đắn và hợp lệ, chấp thuận hay từ chối các yêu cầu cấp chứng chỉ trước khi chuyển yêu cầu đến CA. Globus Toolkit có cung cấp một module simple CA để phục vụ cho việc thử nghiệm các ứng dụng trong một trường Grid. Trong trừơng hợp này, simple CA kiêm luôn chức năng của CA và RA. Khi số lượng chứng chỉ tăng lên, thường sẽ tách thành 2 nhóm CA và Ra riêng lẻ . Một vấn đề then chốt trong môi trường PKI là đảm bảo tính tin cậy, có thể tin tưởng của hệ thống. Trước khi một CA có thể ký, đóng dấu và cấp chứng chỉ cho các thực thể khác, nó cũng phải làm một việc tương tự cho chính nó, để bản thân CA có thể được đại diện bằng chứng chỉ của mình. Điều đó có nghĩa CA cần phải làm các công việc sau: 1. CA phát sinh ngẫu nhiên c ặp khóa cho nó. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 85 - 2. CA lưu trữ bảo mật khóa bí mật của nó. 3. CA tự tạo ra chứng chỉ cho chính mình. 4. CA ký xác nhận chứng chỉ đó bằng khóa bí mật của mình. Một số lưu ý với CA: - Khóa bí mật của CA là một trong những phần qua trong nhất trong toàn bộ môi trường PKI. Nó được dùng để ký xác nhận các chứng chỉ trong môi trường Grid, do đó, nếu có ai lấy được khóa bí mật của CA thì họ sẽ có thể giả danh bất cứ ai trong môi trường Grid. Do đó cần thực hiện tất cả các giải pháp bảo mật có thể để bảo vệ khóa bí mật của CA. - Thông thường, trong một môi trường Grid đơn lẻ, một CA sẽ cung cấp chứng chỉ cho một nhóm cố định các người dùng. Tuy nhiên, nếu có 2 công ty hoặc VO cần phải liên lạc với nhau, và cần phải tin tưởng đối tác của mình. Điều này yêu cầu cả hai CA phải tin tưởng lẫ n nhau hay cùng tham gia vào một vùng cho phép sử dụng chéo chứng chỉ (cross certification). Ví dụ : Alice, một nhân viên thuộc một tổ chức với CA riêng của mình, muốn thực thi một công việc trên một máy tính thuộc Grid của Mike, nằm ngoài tổ chức và thuộc về một CA khác. Để có thể thực hiện được điều đó, các điều sau cần được xem xét: _Alice và Mike cần một cách để có thể lấy được khóa công khai chứng chỉ của đối tác. _Mike cần phải chắc chắn là có thể tin tưởng được CA của Alice và ngược lại. Các máy tính trong Grid, đến từ nhiều vùng bảo mật hay các VO khác nhau, cần phải tin tưởng vào chứng chỉ của đối tác, do đó, các vai trò và các mối quan hệ giữa các CA cần phải được xác định. Điều này có thể thực hiện bằng cách mở rộng môi trường PKI trên toàn cầu. + Gridmap File Sau khi đã có các chứng chỉ, một thực thể Grid cần phải biết người dùng nào có chứng chỉ nào được phép truy cập đến các tài nguyên của nó. Điều này được thực hiện bằng một file Grid map. File Grid map là một file trên tài nguyên đầu Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 86 - cuối, thực hiện ánh xạ các DN vào các người dùng cục bộ trên tài nguyên. Sau khi được ánh xạ, một DN có thể sử dụng tài nguyên trên host như là một người dùng cục bộ, tức DN có toàn quyền của người dùng cục bộ. Điều này cho phép phân cho các người dùng Grid khác nhau các quyền khác nhau trên tài nguyên thông qua các người dùng cục bộ được ánh xạ. Để từ chối truy cập đối với một DN, chỉ cần loại bỏ DN đó ra khỏi Grid map file. Trong GT, trên hệ th ống Linux, Grid map file được lưu trong file : /etc/security/gridmap-file. Gridmap-file là một file text, mỗi dòng là một ánh xạ giữa DN và user cục bộ, có dạng như sau: “DN” <user cục bộ> Ví dụ : “/C=VN/O=HCMUNS/OU=FIT/CN=NMDzung/USERID=Dzung” root 3 3 . . 4 4 . . 1 1 . . 3 3 . . C C ơ ơ c c h h ế ế h h o o ạ ạ t t đ đ ộ ộ n n g g Chúng ta vừa tìm hiểu một số khái niệm cơ bản về bảo mật trong Grid, trong phần này sẽ tìm hiểu các cơ chế hoạt động của các thành phần của GSI để có thể cung cấp các dịch vụ bảo mật. + Quy trình chuẩn bị để có thể sử dụng Grid Hình 3-6 giới thiệu quy trình khởi tạo cho phép một người dùng Grid (có thể là người hay host) sử dụng GSI để tham gia vào Grid, gồm các bước sau: 1. Sao chép khóa công khai của CA về host. 2. Tạo khóa bí mật và một bản yêu cầu chứng nhận chứng chỉ. 3. Gửi bản yêu cầu chứng nhận đến CA qua email hay theo một cách an toàn nào đó. 4. CA ký tên chứng nhận vào bản yêu cầu để tạo thành một chứng chỉ và gửi lại user. Chương 3. Giới thiệu bộ Globus Toolkit phiên bản 3.2 - 87 - Hình 3-6 Quy trình khởi tạo để sử dụng GSI Quy trình trên kết thúc khi user nhận được chứng chỉ của mình, lúc này trên host của user sẽ có 3 thứ quan trọng: 1. Khóa công khai của CA 2. Khóa bí mật của Grid host 3. Chứng chỉ điện tử của Grid host Để có thể thực hiện các việc chứng thực và giao tiếp cho Grid host một cách an toàn, không được để bất cứ ai truy cập được khóa bí mật của mình. GSI cung cấp thêm một tầng bảo mật nữa để đảm bảo an toàn cho khóa bí mật, đ ó là sử dụng thêm một passphrase (mật khẩu) bí mật nữa khi sử dụng khóa bí mật cùng với chứng chỉ điện tử. Điều này ngăn không cho một ai sau khi lấy được chứng chỉ điện tử và khóa bí mật có thể sử dụng chúng để truy cập đến các tài nguyên Grid. + Quy trình chứng thực và phân quyền Hình 3-7 mô tả quy trình chứng thực và phân quyền của GSI. Ở đây, mô tả các bước để Grid host B chứng thực và phân quyền sử dụng cho Grid host A. 1. Grid host A gửi user certificate đến host B, yêu cầu muốn mở kết nối đến host B để sử dụng tài nguyên của B, ví dụ vậy. 2. Host B sẽ bắt đầu thực hiện chứng thực host A. Host B lấy khóa công khai và subject (DN) của người dùng từ user certificate bằng cách sử dụng khóa công khai của CA. 3. Host B tạo một số ngẫu nhiên (X) và gửi lại cho host A. 4. Khi host A nhận được số X, sẽ mã hoá số X bằng khóa bí mật của người dùng. Số X sau khi mã hoá (Y) sẽ được gửi lại cho host B. [...]... -startdate -subject enddate Lấy thông tin về chứng chỉ Ví dụ : - $ Grid- cert-info –subject “/O =Grid/ O=GridTest/OU=test.domain.com/CN=GreenStar" -issuer -help Grid- proxy-init -hours Thực hiện khởi tạo proxy và đăng nhập vào -bits Grid -help Grid- proxy- Logout khỏi Grid, thực hiện hủy proxy cục destroy bộ Lưu ý, các proxy ở xa không bị huỷ Grid- proxy-info -subject -issuer Lấy thông tin về proxy -type -timeleft... Bảng 3-3 Các file cấu hình GSI của GT3 + Các công cụ - 92 - Chương 3 Giới thiệu bộ Globus Toolkit phiên bản 3.2 GT3 cung cấp các công cụ cho phép người dùng có thể cấu hình GSI, đăng nhập và sử dụng tài nguyên Grid Tên công cụ Các tham số Grid- cert-request Diễn giải & Ví dụ Sử dụng để tạo một cặp khóa công khai/bí mật và một bản yêu cầu cấp chứng chỉ trong thư mục ~/.globus/ Grid- cert-info -all -startdate... chỉnh để giải quyết vấn đề quản lý và chia sẻ tài nguyên trong Grid Giải pháp này được thể hiện trong hình 3-1 0 - 94 - Chương 3 Giới thiệu bộ Globus Toolkit phiên bản 3.2 Hình 3-1 0 Kiến trúc quản lý tài nguyên trong Globus Toolkit Trong kiến trúc này, ngôn ngữ Resource Specification Language (RSL), được sử dụng để trao đổi các yêu cầu về tài nguyên giữa các thành phần: từ ứng dụng (application) đến resource... nhau), nhưng người dùng và các nhà phát triển ứng dụng chỉ cần sử dụng một cơ chế, một giao diện duy nhất (của GRAM) để yêu cầu và sử dụng các tài nguyên này Hiện nay GRAM không có khả năng lập lịch và tìm kiếm để tìm các tài nguyên và để tự động gửi các công việc đến các hệ thống thích hợp, không có các chức năng kế toán và tính toán chi phí Thay vào đó, nó cung cấp các công cụ và giao diện để xây dựng... là tên được sử dụng bởi LDAP để phân biệt các điểm vào trong directory service) lấy được trong bước 2 vào người dùng cục bộ thông qua gridmap-file Hình 3-7 Thủ tục chứng thực và phân quyền với GSI Lúc này, người dùng trên host A đã được cho phép hoạt động như một người dùng cục bộ trên host B Trong môi trường Grid, một host có vai trò là client trong một số trường hợp, có thể là server trong một số trường... Active Công việc đã nhận đủ các tài nguyên cần thiết và đang được thực thi 5 Suspended Công việc đã bị ngừng tạm thời bởi bộ lập lịch Chỉ có một số bộ lập lịch cho phép công việc vào trạng thái Suspended 6 StageOut Trình quản lý công việc gửi các file dữ liệu kết quả đến các kho lưu trữ ở xa Một số công việc có thể không có trạng thái này 7 Done Công việc đã thực hiện xong và thành công 8 Failed - 98 -. .. /etc /Grid- security File Diễn giải hostcert.pem Là server certificate được sử dụng trong mutual authentication hostkey.pem Khóa bí mật tương ứng với server certificate Grid- mapfile File ánh xạ giữa tên người dùng Grid (subject hay DN) với người dùng cục bộ /etc /Grid- CA certificate security/certificates ca-signing-policy.conf $HOME/.globus usercert.pem Certificate của người dùng (subject name,khóa công. .. yêu cầu và sử dụng các tài nguyên để thực thi các công việc GRAM xử lý các yêu cầu về tài nguyên để thực thi các ứng dụng từ xa, cấp phát các tài nguyên cần thiết, thực thi và quản lý trạng - 96 - Chương 3 Giới thiệu bộ Globus Toolkit phiên bản 3.2 thái và tiến độ của các công việc đang thực hiện Nó cũng thực hiện cập nhật các thông tin về khả năng và tính sẵn sàng của các tài nguyên đang quản lý cho... khai của người dùng trong user certificate 7.2 Host C sử dụng khóa công khai của người dùng để lấy subject và khóa công khai của proxy trong proxy certificate 7.3 Giả sử subject của người dùng là : “/O =Grid/ O=GridTest/OU=test.domain.com/CN=GreenStar" Subject của proxy certificate cũng giống như subject của người tạo ra nó (ở đây là người dùng trên host A) và có dạng như sau: “/O =Grid/ O=GridTest/OU=test.domain.com/CN=GreenStar/CN=proxy"... thông điệp và lấy yêu cầu của proxy 10 Host C thực hiện ánh xạ proxy subject vào người dùng cục bộ thông qua Grid- mapfile, và thực thi công việc dưới quyền của người dùng cục bộ Thủ tục trên cho phép uỷ quyền từ xa, trong đó một người dùng tạo proxy trên host ở xa Ngoài ra, Globus Toolkit còn cho phép uỷ quyền cục bộ, trong đó người dùng tạo proxy ngay trên host của mình, thông qua lệnh Grid- proxy-init . công khai/bí mật và một bản yêu cầu cấp chứng chỉ trong thư mục ~/.globus/ Grid- cert-info -all -startdate -subject - enddate -issuer -help Lấy thông tin về chứng chỉ. Ví dụ : $ Grid- cert-info. Grid- cert-info –subject “/O =Grid/ O=GridTest/OU=test.domain.com/CN=GreenStar" Grid- proxy-init -hours -bits -help Thực hiện khởi tạo proxy và đăng nhập vào Grid. Grid- proxy- destroy. khỏi Grid, thực hiện hủy proxy cục bộ. Lưu ý, các proxy ở xa không bị huỷ. Grid- proxy-info -subject -issuer -type -timeleft -strength -help Lấy thông tin về proxy Bảng 3-4 Bảng các công