RBAC mit OpenLDAP: OpenRBAC

Ähnliche Dokumente
RBAC mit OpenLDAP: OpenRBAC

Role Based Access Control und Identity Management

AAI in TextGrid. Peter Gietz, Martin Haase, Markus Widmer DAASI International GmbH. IVOM-Workshop Hannover,

Datenschutz für medizinische Patientendaten

Federated Identity Management

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS

Raoul Borenius, DFN-AAI-Team

JNDI und JAAS am Beispiel des Moduls directoryservices. Adapter für Authentifizierungs- und Verzeichnisdienste der Fiducia

Authentifizierung und Autorisierung in einem Portal-basierten Grid (C3-Grid)

Betrachtungen zur akademischen Sicherheitsinfrastruktur im D-Grid

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Einführung in Shibboleth. Raoul Borenius, DFN-AAI-Team

Externalisierte Autorisierung mit XACML

VAADIN, SPRING BOOT & REST

Data Management mit UNICORE 6

Sitepark Information Enterprise Server - die Technologie-Plattform von Sitepark

Wo stehen wir: AAI, VO, Sonderinvestitionen

Bibliothekssysteme / Verbundsysteme / Netze

Langzeitarchivierungskonzepte, Visualisierungsmöglichkeiten

GeoXACML im J2EE Environment

Anleitung zur S3 Anbindung im pcvisit Private Server

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

WebLogic goes Security!

12.4 Sicherheitsarchitektur

Development auf der Plattform SAP HANA

Sicherheit für Web-Anwendungen mit SAML2 und OAuth2

!"#$"%&'()*$+()',!-+.'/',

Sicherheitsmechanismen in serviceorientierten Architekturen Hauptseminar im SS 2009 XACML

OpenCA & Shibboleth Universität Konstanz, Rechenzentrum Gruppe Kommunikationsinfrastruktur

(c) 2014, Peter Sturm, Universität Trier

Masterarbeit. Policy-based Authorization for Grid Data-Management

DARIAH-DE Repositorium

Entwicklung einer REST-API zur Erstellung und Konfiguration von Microsoft Teams. Jan Kruse, utilitas GmbH

6.4 Zugriffsschutz in Datenbanken

Grid-Systeme. Betrachtung verschiedener Softwareplattformen zur Realisierung von Grids und Vorstellung des Globus Toolkit Grid Systeme 1

Aktuelle Entwicklungen zu GridShib

Stand der Entwicklung von Shibboleth 2

Projekt Smart Web Grid

Das Projekt NDS-AAI. ZKI-AK Verzeichnisdienste, Hamburg, Peter Gietz, CEO, DAASI International GmbH

Textual Gridicism Edieren mit TextGrid

Architektur von REST basierten Webservices

Entwicklungstand der GUI

Einführung in Shibboleth 2

LDAP verstehen, OpenLDAP einsetzen

für E-Learning in Bayern

4. RADAR-WORKSHOP RADAR APPLICATION PROGRAMMING INTERFACE KARLSRUHE, 25./26. JUNI Matthias Razum, FIZ Karlsruhe

Umfassendes Autorisierungsmanagement

4.8 Anwendungsorientierte Schutzsysteme

WebLogic goes Security

NCP Secure Enterprise Management (für Windows-Betriebssysteme) Neue Features Version 1.03 bis 2.04

Enterprise Web-SSO mit CAS und OpenSSO

Authentifizierung und Autorisierung in Kubernetes

Erläuterungen zu Darstellung des DLQ-Datenportals

Die Funktionsweise und Installation von Shibboleth 46. DFN-Betriebstagung Forum AAI, Franck Borel - UB Freiburg

ANGEWANDTE LINGUISTISCHE DATENVERARBEITUNG PROF. DR. JÜRGEN ROLSHOVEN UTE WINKELMANN

Situation-Adaptive Multimodal Dialogue Platform. Übersicht

consulting Ventum Consulting Hadoop im Unternehmenseinsatz, aber sicher Nürnberg, November 2015 Results, no excuses.

Verteilte Web-Anwendungen mit Ruby. Ruben Schempp Anwendungen

<Insert Picture Here> Einführung in SOA

Systemsicherheit. Lerneinheit 2: Security Enhanced Linux. Prof. Dr. Christoph Karg. Sommersemester Studiengang Informatik Hochschule Aalen

Dabei sollen die Nutzern nach einer Authentifizierung entsprechend ihren Rechten Begriffe ändern, anlegen und kommentieren können.

OEM 12c Cloud Control - mal ohne "Superuser für Alle"

Blockchain-basiertes Föderiertes Identity Management am Beispiel von Ethereum Smart Contracts

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Grundlagen der Web-Entwicklung INF3172

Selbstverwaltung von Subversion Repositories

ROCEEH: Daten und digitale Werkzeuge Z. Kanaeva

BPE-/BRE-Integration in agree. Systemarchitektur, Technologien, Konzepte

Eine Untersuchung der Funktionen des Apache Wicket Webframeworks

Vorstellung der Studie zu Opensource IdM-Systemen

Datensicherheit. 8. Datensicherheit

Zugriffskontrollmechanismen. Rechteverwaltung. und. Gonsu Veronique

FAQ 01/2015. Wie projektieren Sie einen Zugriffsschutz für Projekte in SIMATIC PCS 7?

Access Control in QGIS Server. Elisabeth Leu, QGIS User Meeting, , Bern

Projekte verwalten mit TextGrid

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

Enterprise Content Management für Hochschulen

APEX Datenverwaltung Wo sind die Daten gerade?

Integration von Informationsdiensten in einer bundesweiten AA-Infrastruktur

Zugriffsschutz und Rechtemanagement in Geodateninfrastrukturen

Mathematik Seminar WS 2003: Simulation und Bildanalyse mit Java. Software-Architektur basierend auf dem Plug-in-Konzept

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München

2. Die SBS Console einfach verwalten

Handbuch für die Erweiterbarkeit

Erweiterung des Zugriffsschutzes auf Objektattribute im Internet-GIS kvwmap

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Active Directory. Aufbau Funktion - Objekte

von Vladislava Nadova

Revisionsabfrage im Portalverbund PVP-AuditQuery Projektteam / Arbeitsgruppe:

Datenbanken Grundlagen und Design

RBAC Rollenbasierte Zugriffskontrolle

Kapitel 1 Grundlagen. Skript zur Vorlesung: Datenbanksysteme II Sommersemester Vorlesung: PD Dr. Peer Kröger

Integrierte Datenmanagement-System für marine Forschung in Kiel Carsten Schirnick, Hela Mehrtens, Pina Springer, Lisa Paglialonga, Claas Faber

Konfiguration von Trusted Peer Authentication für die Mindbreeze Search Appliance. Version 2017 Summer Release

Stefan Zörner. Portlets. Portalkomponenten in Java. ntwickier

HP OpenView Select Access

Identity & Access Management in Extranet Portal Projekten

Der Control-M Application Integrator im Projekt

Zentrale Datenbank-Nutzerverwaltung

Transkript:

RBAC mit OpenLDAP: OpenRBAC Treffen des ZKI-AK Verzeichnisdienste, Duisburg, 4.-5.10.2010 Peter Gietz, Markus Widmer, DAASI International GmbH Peter.gietz@daasi.de 1 (c) Oktober 2010 DAASI International

2 (c) Okt. 2010 DAASI International GmbH Agenda Motivationen für rollenbasierte Zugriffskontrolle Der RBAC-Standard XACML OpenRBAC Warum mit OpenLDAP

3 (c) Okt. 2010 DAASI International GmbH Motivation für rollenbasierte Zugriffskontrolle Durch die Verwendung von Rollen wird die Zugriffskontrolle wesentlich übersichtlicher Wenn ein Benutzer die Rolle wechselt (z.b. von Student zu Systemadmin) bekommt er automatisch die entsprechenden Rechte Es werden keine Sonderlösungen eingeführt, die dann nicht dokumentiert sind und vergessen werden Die reale, gewachsene Organisationsstruktur wird durch Rollen (z.b. Student, Professor, Sekretärin) abgebildet Veränderungen in der Organisationsstruktur können einfach in das RBAC-System übernommen werden Es gibt bewährte Standards (RBAC und XACML)

4 (c) Okt. 2010 DAASI International GmbH Klares Rollenkonzept Voraussetzungen Rollen müssen in Benutzerverwaltung abgebildet sein Anwendungen müssen entsprechende Informationen verwerten können Identity Management ist hierbei sehr hilfreich Auch über Föderationsinfrastrukturen (Shibboleth) können Rolleninformationen transportiert werden

5 (c) Okt. 2010 DAASI International GmbH Der RBAC-Standard Der ANSI-Standard RBAC teilt sich auf in drei Bereiche: RBAC Core Hierarchical RBAC (zwei Typen) Separation of Duty (zwei Typen, die im Standard als eigene Bereiche gezählt werden) Wichtige Komponenten sind: Benutzer Rolle Session Berechtigung Ressource

6 (c) Okt. 2010 DAASI International GmbH RBAC-Core Definiert grundlegende Funktionen, die eine RBAC- Implementierung beinhalten muss. Dazu gehören: Anlegen und Löschen eines Benutzers, einer Rolle oder einer Session Hinzufügen und Entfernen von Berechtigungen auf Ressourcen Definiert die Funktion checkaccess, mit der eine Zugriffsentscheidung angefordert werden kann Definiert weitere Funktionen zum Ändern von Beziehungen der Komponenten untereinander Abfrage von Informationen zu den einzelnen Komponenten des Systems

7 (c) Okt. 2010 DAASI International GmbH RBAC-Core

8 (c) Okt. 2010 DAASI International GmbH Hierarchical RBAC Erweitert die Grundfunktionalität um Rollenhierarchien, wobei es zwei Typen gibt: Limited Role Hierarchy: Rollen sind in Baumstrukturen geordnet (jeweils nur ein Elternknoten) General Role Hierarchy: Rollen können in freien Graphen organisiert sein (beliebig viele Elternknoten) Hierbei werden einige im RBAC-Core definierte Funktionen angepasst: z.b. die Funktion addactiverole, die Rollen in einer Session aktiviert, muss nun auch über die Hierarchie implizit geerbte Rollen berücksichtigen Darüber hinaus werden neue Funktionen definiert zum Ändern der Hierarchien von Rollen

9 (c) Okt. 2010 DAASI International GmbH Hierarchical RBAC

10 (c) Okt. 2010 DAASI International GmbH Separation of Duty Um zu verhindern, dass ein Benutzer gleichzeitig sehr unterschiedliche Rollen ausübt, wird als weiterer Zusatz eine Pflichtentrennung eingeführt Über sogenannte Sets werden sich gegenseitig ausschließende Rollen definiert Es wird unterschieden zwischen Static Separation of Duty Dynamic Separation of Duty

11 (c) Okt. 2010 DAASI International GmbH Static Separation of Duty (SSD) Statisch bedeutet hier: über die Zeit nahezu unveränderlich SSD-Sets definieren sich grundsätzlich ausschließende Rollen, die kein Benutzer gleichzeitig innehaben darf Die in SSD-Sets definierten Einschränkungen werden bei jeder Zuweisung von einer Rolle zu einem Benutzer angewendet

Static Separation of Duty (SSD) 12 (c) Okt. 2010 DAASI International GmbH

13 (c) Okt. 2010 DAASI International GmbH Dynamic Separation of Duty (DSD) Im Unterschied zum SSD werden die Einschränkungen erst beim Aktivieren von Rollen (also zur Laufzeit ) in einer Session geprüft Hierdurch kann es einem Benutzer z.b. möglich sein die Rollen Antragssteller und Antragsprüfer auszufüllen, jedoch nicht gleichzeitig Eine aktive Rolle zu haben bedeutet, im Unterschied zu einer nicht aktiven Rolle, dass diese in einer Session eingetragen ist

Dynamic Separation of Duty (DSD) 14 (c) Okt. 2010 DAASI International GmbH

15 (c) Okt. 2010 DAASI International GmbH Erweiterbarkeit von RBAC Das durch den Standard definierte RBAC stellt bereits eine sehr umfangreiche Bibliothek zur Verfügung, mit der viele Autorisierunganforderungen erfüllt werden können Diese Funktionalität kann aber auch sehr leicht erweitert werden, da der Standard selbst bereits in einzelne Bereiche gegliedert ist, die aufeinander aufbauen. Ein Beispiel hierfür ist Multi-session Separation of Duties (David Chadwick, 2006): Eine Erweiterung, in der ein Benutzer immer nur eine Session gleichzeitig starten kann

16 (c) Okt. 2010 DAASI International GmbH XACML Extended Access Control Markup Language OASIS-Standard Es gibt XACML-Profile für SAML und LDAP/DSML, sowie für RBAC Generisch: Zugriffsregeln (Policy) können anwendungsunabhängig spezifiziert werden Verteilt: Eine Policy kann sich auf eine andere an einem anderen Ort gespeicherte Policy beziehen Komplex: Im Prinzip eine eigene Programmiersprache Setzt sich deshalb nur langsam durch

17 (c) Okt. 2010 DAASI International GmbH XACML-Elemente PolicySet: Container für Policies bzw. weitere PolicySets Policies und PolicySets können mit Algorithmen kombiniert werden Bedingungen setzen sich zusammen aus Subjekt, Ressource und Aktion Environment Policy Decision Point (PDP) Policy Enforcement Point (PEP) Target: Sammlung vereinfachter Bedingungen Rule: Access Control Regeln Attribute

18 (c) Okt. 2010 DAASI International GmbH XACML spezifiziert: XACML-Elemente Element <Policy> in dem Policy-Regeln abgebildet werden Element <Request> in dem eine Zugriffskontrollabfrage spezifiziert werden kann

19 (c) Okt. 2010 DAASI International GmbH XACML-Policy Eine Policy besteht aus zwei Teilen: Einleitender Bereich im Element <Target> Die einzelnen Regeln im Element <Rule>

20 (c) Okt. 2010 DAASI International GmbH XACML-Policy-Target Im Target-Element sind die Elemente <Subjects>, <Resources> und <Actions> enthalten Diese Angaben sind keine Pflicht, sondern bezeichnen die Anwendbarkeit der gesamten Policy ohne die einzelnen in der Policy enthaltenen Regeln zu betrachten Werden die darin enthaltenen Bedingungen zum boolschen Wert TRUE ausgewertet, so wird die Policy angewendet Werden sie zu FALSE ausgewertet, werden die in dieser Policy spezifizierten Regeln nicht weiter ausgewertet Wird eines der genannten Elemente nicht angegeben, so wird es zu TRUE ausgewertet

21 (c) Okt. 2010 DAASI International GmbH XACML-Policy-Rules Im Rule-Element sind die Elemente <Target> und <Condition> enthalten Jedes <Target> wiederum besteht aus den Elementen <Subjects>, <Resources> und <Actions>. Werden diese nicht näher spezifiziert, werden sie zum boolschen Wert TRUE ausgewertet Das <Condition>-Element enthält Vergleichsoperationen auf Attributwerten des XACML-Requests und logische Verknüpfungen mehrerer solcher Vergleichsoperationen Insgesamt wird <Condition> wieder zu einem boolschen Wert ausgewertet

22 (c) Okt. 2010 DAASI International GmbH XACML-Policy-Beispiel 1/2 <Policy PolicyId="SamplePolicy" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0: rule-combining-algorithm:permit-overrides"> <Target> <Subjects/> <Resources> <ResourceMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal"> <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">SampleServer </AttributeValue> <ResourceAttributeDesignator DataType="http://www.w3.org/2001/XMLSchema#string" AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resourceid"/> </ResourceMatch> </Resources> <Actions> <AnyAction/> </Actions> </Target>

23 (c) Okt. 2010 DAASI International GmbH XACML-Policy Beispiel 2/2 <Rule RuleId= Rule-X1-1 Effect= Permit > <Target> <Subjects /> <Resources /> <Actions /> </Target> <Condition> <Expression /> </Condition> </Rule> <Rule>...</Rule> </Policy>

24 (c) Okt. 2010 DAASI International GmbH XACML-Request XACML-Request besteht aus drei Elementen: Subject: Das Objekt (Person), das Zugriff auf eine Ressource erhalten möchte. Es wird mit den zur Auswertung der Policies notwendigen Attributen übergeben. Im Kontext von RBAC sind dies vor allem die aktivierten Rollen. Resource: Das Objekt, auf das zugegriffen werden soll. Auch dieses wird mit den zur Auswertung der Policies notwendigen Attributen übergeben. Action: Die Operation, die ausgeführt werden soll. Eine solche Operation wäre z.b. lesender Zugriff auf die Ressource.

25 (c) Okt. 2010 DAASI International GmbH XACML-Request-Protokoll Als Request-Response-Protokoll kann SAML über SOAP verwendet werden So kann ein XACML Policy Decision Point über einen Web Service abgefragt werden

26 (c) Okt. 2010 DAASI International GmbH XACML-Request Beispiel 1/2 <?xml version="1.0" encoding="utf-8"?> <Request xmlns="urn:oasis:names:tc:xacml:2.0:context:schema:os" xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" xsi:schemalocation="urn:oasis:names:tc:xacml:2.0:context:schema :os http://docs.oasis-open.org/xacml/access_control-xacml- 2.0-context-schema-os.xsd"> <Subject> <Attribute AttributeId= "urn:oasis:names:tc:xacml:1.0:subject:subject-id" DataType="http://www.w3.org/2001/XMLSchema#string"> <AttributeValue>foo</AttributeValue> </Attribute> <Attribute> </Attribute> </Subject> <Resource> <Attribute AttributeId= "info:fooproject:resource:item-id" DataType="http://www.w3.org/2001/XMLSchema#anyURI"> <AttributeValue>f6839544-38f6-4a87-874d-b0435cbbc699 </AttributeValue </Attribute> </Resource>

27 (c) Okt. 2010 DAASI International GmbH XACML-Request Beispiel 2/2 <Action> <Attribute AttributeId= "urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#string"> <AttributeValue> info:fooproject:action:retrieve-content </AttributeValue> </Attribute> </Action> <Environment/> </Request>

28 (c) Okt. 2010 DAASI International GmbH OpenRBAC OpenRBAC ist eine OpenSource-Implementierung des RBAC-Standards Im Rahmen einer Diplomarbeit von Markus Widmer bei DAASI International entstanden Im Rahmen von mehreren Grid-Forschungsprojekten von DAASI eingesetzt und weiterentwickelt worden Implementiert den gesamten Standard außer General Role Hierarchy (Da die Rollenhierarchien im LDAP-Baum abgebildet werden) Die RBAC-Funktionen werden von OpenRBAC selbst geschützt Stabile Version und Dokumentation unter http://www.openrbac.de

29 (c) Okt. 2010 DAASI International GmbH OpenRBAC-Schichten-Modell OpenRBAC ist in verschiedenen Schichten implementiert: Kern (Datenbackend) ist ein OpenLDAP-Server mit entsprechend definiertem DIT und Schema Die RBAC-Funktionen sind als PHP-Klassen implementiert, wobei die drei Bereiche Core, Hierarchical und Separation of Duty gekapselt sind Die PHP-Klassen können über Web-Service Wrapper als Web Services aufgerufen werden Erweiterte Webservices können ebenfalls auf die einzelnen RBAC-Methoden zugreifen Die Funktion Check-Access ist auch über das XACML/SAML-Protokoll abfragbar

OpenRBAC Schichten Modell 30 (c) Okt. 2010 DAASI International GmbH

31 (c) Okt. 2010 DAASI International GmbH Warum OpenLDAP als Backend Teile der Informationen (über die Benutzer) sind meistens ohnehin schon in einem LDAP-Server Die einzelnen Informationen sind in verschiedenen Teilbäumen organisiert (ou=roles, ou=resources, ou=sessions, etc) und können, wo sinnvoll auch auf verschiedenen LDAP-Servern liegen (z.b. User auf dem Authentifizierungsserver und der Rest auf einem eigenen OpenRBAC-Server Das entwickelte Datenmodell ist grundsätzlich mit XACML kompatibel

32 (c) Okt. 2010 DAASI International GmbH Warum OpenLDAP als Backend (Open)LDAP kann sehr schnell Antworten auf Access- Fragen geben CheckAccess ist über einen einzigen LDAP-Filter realisierbar Ein OpenLDAP-Server auf einem starken Rechner (Multi-Core mit 48 GB RAM) kann auch bei großen Datenmengen (z.b. 1 Million Ressourcen) über 60.000 Abfragen pro Sekunde beantworten

33 (c) Okt. 2010 DAASI International GmbH OpenRBAC im Projekt TextGrid TextGrid entwickelt eine Virtuelle Forschungsumgebung für Geisteswissenschaftler, augenblicklich für: Editionsphilologen, Linguisten, Musikwissenschaftler und Kunsthistoriker Die TextGrid-Software besteht aus zwei Bausteinen TextGridLab : GUI und Webservices basierte Workbench TextGridRep: Middleware zur Verwaltung der Informationsobjekte im Grid Für die Authentifizierungs- und Autorisierungsinfrastruktur werden LDAP, OpenRBAC und Shibboleth eingesetzt

34 (c) Okt. 2010 DAASI International GmbH TextGridLab Das TextGridLab (Laboratory) bietet Zugriff auf fachwissenschaftliche Werkzeuge, Services und Inhalte GUI über Eclipse Rich Client (RCP) und verteilte als WebServices realisierte Werkzeuge Webbasierte GUI für Retrieval Workbench beliebig über neue Web Services erweiterbar

35 (c) Okt. 2010 DAASI International GmbH TextGridRep Das TextGridRep (Repository) ist ein im Grid verteiltes Repository für geisteswissenschaftliche Forschungsdaten und zielt auf langfristige Verfügbarkeit und Zugänglichkeit Hält wohl definierte (Web Service-) Schnittstellen für TextGridLab bereit Besteht aus: TG-auth* für Autorisierung und Authentifizierung (Shibboleth und OpenRBAC) TG-search: XML-Datenbank für Metadaten und Volltexte, RDF-Datenbank für Relationen TG-crud Service (create/retrieve/update/delete) Überbrückt die LDAP/Shibboleth-AAI und die PKI-basierte Grid Sicherheitsinfrastruktur (GSI)

36 (c) Okt. 2010 DAASI International GmbH TextGrid-Szenarien für Einbindung eines externen PDP (OpenRBAC) Kontaktierung des PDP über TG-Crud (unabhängig von Globus-Grid- Middleware) E-Mail-Verifikation (TextGrid LDAP) / Shibboleth-Authentifizierung TG-crud authentifiziert sich im Grid über ROBOT-Zertifikat Zusätzl. Mapping der PDP-Policy auf POSIX ACLs Shibboleth-Authentifizierung und SLC (Short Lived Credential) Userrechte werden auf Dateiebene durchgesetzt ROBOT-Zertifikat wird nur noch für anonyme Zugriffe verwendet Zusätzl. direkte Kontaktierung des PDP durch Globus (XACML-Callout) Shibboleth-Authentifizierung und SLC (Short Lived Credential) Userrechte werden auf Globus-Ebene durchgesetzt

37 (c) Okt. 2010 DAASI International GmbH Szenario 1

38 (c) Okt. 2010 DAASI International GmbH Szenario 2 Nutzer authentifiziert sich über Shibboleth (TG-auth*) TG-auth* generiert Schlüssel und SLC-Zertifikat-Request (private key ist nur im RAM, nicht auf Festplate) Portal leitet Request an SLCS weiter, SLCS signiert SLC signiertes Zertifikat wird im TG-auth* abgelegt TG-crud holt sich SLC von TG-auth* Daten werden im Heimat-Verzeichnis des SLC-Nutzers abgelegt Zugriffsrechte werden von TG-auth* (RBAC) in das Dateisystem der Grid-Middleware gemappt (ACLs)

39 (c) Okt. 2010 DAASI International GmbH Szenario 2 Architektur

40 (c) Okt. 2010 DAASI International GmbH Szenario 3 - XACML-SAML SLCs wie in Szenario 2 Daten werden ebenso im Heimat-Verzeichnis des SLC- Nutzers abgelegt Zugriffsrechte werden von Globus als PEP direkt bei TGauth* als PDP über das XACML-SAML-Request-Response- Protokoll abgefragt, wobei Folgendes mitgegeben wird: Subject-DN aus dem Zertifikat Name der Ressource (Datei) gewünschte Operation für Zugriff Auf Dateiebene erhält Globus über Gruppenzugehörigkeit alle Rechte auf die von ihm verwalteten Ressourcen

41 (c) Okt. 2010 DAASI International GmbH Szenario 3 - XACML-SAML

42 (c) Okt. 2010 DAASI International GmbH Bewertung In allen Szenarien hat sich OpenRBAC als flexibel einsetzbar bewährt Vorteile Szenario 2 und 3: Ressource weiß, welcher Nutzer was macht Gridknoten müssen nicht einzeln konfiguriert werden sondern können zentral über einen PDP verwaltet werden Nachteil Szenario 2: Replikation der ACLs benötigt Root-Rechte Nicht alle Policyregeln des PDP sind in ACLs abbildbar z.b. keine delete permission Vorteile Szenario 3: Es findet keinerlei zeitverzögerte Replikation statt (weder Gridmapfile noch ACLs) Alle Regeln sind prinzipiell abbildbar, der gesamte Funktionsumfang von RBAC kann genutzt werden

43 (c) Okt. 2010 DAASI International GmbH Diskussion OpenRBAC ist reine Backend-Infrastruktur Graphen können mit einem gewissen Aufwand nachrüstbar Es ist für OpenRBAC transparent: ob Rollen zentral oder dezentral vergeben werden Die OpenRBAC-Methoden sind von OpenRBAC geschützte Ressourcen Zentraler PDP ist zentral für die Anwendungen, nicht Verwaltung ob Vieraugenprinzip eingeführt wird, muss im Frontend implementiert werden Auch extreme Role Engineering ist im Frontend

44 (c) Okt. 2010 DAASI International GmbH

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback