MyProxy

MyProxy é um software de código aberto para gerenciamento de infra-estrutura de chaves públicas X.509. MyProxy combina um repositório de credencial on-line com uma autoridade certicadora (CA) para permitir que os usuários obtenham facilmente credenciais quando e onde necessitarem[NCSA06].

MyProxy tem como preceito fornecer certicados temporários para os usuários que desejarem submeter seus trabalhos. Uma das vantagens neste tipo de serviço é que é possível criar a idéia de segurança temporária, ou seja, um usuário ganha o direito de usar a grade por um período curto de tempo, e, acabado esse tempo seu certicado expira e é necessário que se renove para continuar usando a grade.

Como comentado anteriormente nesta dissertação, quando um usuário deseja utilizar a grade computacional é necessário que se emita um certicado de uso, estes certicados devem ser compatíveis com a Autoridade Certicadora da grade, em especial pelo Globus, e MyProxy pode fornecer estes certicados. O processo para que isso seja efetuado utilizando o middleware globus tookit, segue os seguintes passos, impreterivelmente nessa ordem:

1. O usuário solicita o modelo do certicado à Autoridade Certicadora.

2. O usuário compila esse certicado usando o Globus Tookit em sua máquina usando o seguinte comando:

$GLOBUS_LOCATION/sbin/gpt-build globus_simple_ca_<...>.tar.gz gcc32dbg 3. O usuário após esse passo, deve denir este certicado como padrão, pois, uma

máquina pode possuir diversos certicados de diversas autoridades certicado- ras, entretanto, somente um destes certicados pode ser usado por vez como padrão:

$GLOBUS_LOCATION/setup/gpt-build globus_simple_ca_<...>/setup-gsi -default

54 Certicados Proxy 4. O próximo passo é requisitar seu certicado de usuário da grade, gerando a

chave pública e a chave privada com o seguinte comando:

grid-cert-request (neste passo será pedida a senha para o certicado pessoal) 5. Agora deve-se enviar a chave pública à Autoridade Certicadora da grade para

ser assinado:

cat /home/globus/.globus/usercert_request.pem | mail licht@lncc.br

6. O certicado agora tem que ser assinado pela Autoridade Certicadora com o comando:

grid-ca-sign -in usercert_request.pem -out usercert.pem

Onde usercert_request.pem é a chave pública da pessoa que requisitou a assi- natura e usercert.pem é a chave assinada que será reenviada ao solicitante. 7. O certicado assinado é enviado ao solicitante e este deve colocar o certicado

assinado em:

/home/globus/.globus

Vale lembrar que este diretório citado acima é o diretório padrão em sistemas operacionais derivados do unix, como linux, por exemplo, e para aplicações com o Middleware Globus Toolkit.

Como pôde ser visto nos passos acima, não é tão simples submeter um trabalho à grade. É fato a necessidade de utilização de permissões devido à necessidade de segurança, também é fato que devido a estas necessidades, pode ocorrer que a inclusão de um novo usuário leve tempo elevado e por muitas vezes intolerável. Isto ocorre, por exemplo, quando da assinatura do certicado depende um gerente de certicação que pode não estar disponível naquele momento, sem levar em conta a possibilidade da rede estar indisponível ou mesmo o email com a chave pública não chegar ao destino.

Quando se pensa nos problemas citados acima, notamos que até que se perceba a demora no retorno do certicado assinado e a necessidade de reenvio, pode ter

5.1 Certicados de Curta Duração 55 passado muito tempo, que pode prejudicar o uso da grade (dias, por exemplo). Em geral, quando usamos a grade, percebemos a necessidade de que tudo seja mais automatizado, ou seja, em poucos minutos possa estar usando o serviço, entretanto, se tiver que esperar um tempo maior que esse, pode causar perda do interesse no uso da grade ou mesmo perda da necessidade de uso, já que pode-se não estar mais disponível para submissão de trabalhos. Um exemplo que pode ser visto é quando em um workshop, em que o período normal é em torno de uma semana e, se o certicado demorar tal tempo, pode ter prejudicado os testes e uso da grade.

MyProxy veio com o intuito de fornecer certicados de uma maneira mais simples e funcional, para que se consiga uma permissão temporária de uso da grade,neste caso, basta que se solicite um certicado ao servidor MyProxy e este o enviará dinâmicamente, (desde que o certicados esteja disponível em um repositório), tudo isso sem abrir mão da segurança.

Em um processo normal de criação de certicados, é denido o tempo em que esse certicado estará valido, em uma instalação normal da CA esse tempo é de 5 anos, mas é comum entre os gerentes de certicação denir tempos menores que este (um ano, por exemplo).

Quando é usado o servidor MyProxy, este tempo de validade do certicado costuma ser bem menor. Normalmente este tempo é de sete dias podendo ser au- mentado ou diminuido de acordo com as políticas de cada CA. Vale lembrar que quando da expiração do certicado, caso os trabalhos submetidos à grade, ou por outro motivo um usuário desejar que seu certicado tenha um prazo maior, basta que este faça uma nova requisição, renovando o mesmo. Para não se perder o con- trole disto, o gerente de certicação, pode a qualquer tempo, tirar os direitos de uso se assim achar necessário, por considerar que o certicado foi violado, por exemplo.