Skip to main content
QUICK REVIEW

[論文レビュー] Managing Dynamic User Communities in a Grid of Autonomous Resources

Roberto Alfieri, R. Cecchini|arXiv (Cornell University)|May 30, 2003
Distributed and Parallel Computing Systems参考文献 5被引用数 63
ひとこと要約

本論文は、大規模なグリッドコンピューティング環境における承認管理の自動化とスケーラビリティを実現するため、仮想組織メンバーシップサービス(VOMS)を提案する。これにより、動的かつ安全に自律的なリソース間でアクセスを管理できる動的ユーザーコミュニティが可能になる。グリッドセキュリティインfrastruture(GSI)を拡張し、検証可能なVOメンバーシップアサーションを導入することで、VOMSは、ローカルサイトの自律性を保ちながら、細かく制御されたポリシー駆動型のアクセス制御を実現する。LCASやLCMAPSといった補完的サービスを併用することで、従来の方法に比べて大幅にスケーラビリティとセキュリティが向上する。

ABSTRACT

One of the fundamental concepts in Grid computing is the creation of Virtual Organizations (VO's): a set of resource consumers and providers that join forces to solve a common problem. Typical examples of Virtual Organizations include collaborations formed around the Large Hadron Collider (LHC) experiments. To date, Grid computing has been applied on a relatively small scale, linking dozens of users to a dozen resources, and management of these VO's was a largely manual operation. With the advance of large collaboration, linking more than 10000 users with a 1000 sites in 150 counties, a comprehensive, automated management system is required. It should be simple enough not to deter users, while at the same time ensuring local site autonomy. The VO Management Service (VOMS), developed by the EU DataGrid and DataTAG projects[1, 2], is a secured system for managing authorization for users and resources in virtual organizations. It extends the existing Grid Security Infrastructure[3] architecture with embedded VO affiliation assertions that can be independently verified by all VO members and resource providers. Within the EU DataGrid project, Grid services for job submission, file- and database access are being equipped with fine- grained authorization systems that take VO membership into account. These also give resource owners the ability to ensure site security and enforce local access policies. This paper will describe the EU DataGrid security architecture, the VO membership service and the local site enforcement mechanisms Local Centre Authorization Service (LCAS), Local Credential Mapping Service(LCMAPS) and the Java Trust and Authorization Manager.

研究の動機と目的

  • 10,000人以上のユーザーと1,000以上のサイトを含む大規模なグリッドコンピューティング環境における、ユーザーアクセス管理のスケーラビリティと自動化の課題に対処すること。
  • 中央集権的なVOレベルのアクセス制御ポリシーを可能にしつつ、ローカルサイトの自律性を保証すること。
  • グリッドマップファイルやLDAPのような手動で行う非スケーラブルな承認メカニズムを、安全で拡張可能かつ分散型の承認フレームワークに置き換えること。
  • 異種のグリッドリソースにまたがるユーザーのロール、グループ、能力を管理するための標準的で拡張可能なアーキテクチャを提供すること。
  • 既存のグリッドセキュリティインfraストラクチャ(GSI)と統合し、ネイティブおよびJavaベースのサービスをサポートする専用の承認および証明書マッピングサービスを通じて、GSI互換の認証とロールベースのアクセス制御を実現すること。

提案手法

  • VOMSシステムの設計と導入により、標準的かつ検証可能な形式でVOメンバーシップ、ロール、能力を埋め込んだ属性証明書を発行・管理する。
  • GSIアーキテクチャに非重要拡張を適用し、プロキシ証明書にVO所属アサーションを含めることで、後方互換性を維持する。
  • ローカルセンター承認サービス(LCAS)をプラグイン可能なフレームワークとして実装し、ユーザーID、VOデータ、ジョブ仕様に基づいたアクセス意思決定を可能にする。
  • グリッド証明書(X.509プロキシ)をローカルシステムID(UID/GID)にマッピングするローカル証明書マッピングサービス(LCMAPS)を、サイト固有のポリシーに従って実装する。
  • JavaベースのTrustManagerとAuthorization Managerを実装し、GSI互換の認証とJavaウェブサービスにおけるロールベースのアクセス制御をサポートする。
  • VO構造をDAGベースのモデルで表現することで、階層的なグループとサブグループを表現し、細かく制御されたアクセス制御と権限の委任を可能にする。

実験結果

リサーチクエスチョン

  • RQ1大規模なグリッド環境における承認管理は、手動または中央集権的なアプローチの限界を超えて、どのように自動化およびスケーリング可能になるか?
  • RQ2一貫性のあるVOレベルのアクセス制御ポリシーを実現しつつ、ローカルサイトの自律性をどのように維持できるか?
  • RQ3動的で検証可能なVOメンバーシップおよびロールアサーションをサポートするため、既存のGSIインfraストラクチャに必要なアーキテクチャ的拡張は何か?
  • RQ4UNIXやJavaベースのサービスを含む異種のネイティブ実行環境間で、どのように安全かつ柔軟に証明書マッピングを実行できるか?
  • RQ5生産的なグリッドデプロイメントにおいて、属性証明書と従来のアクセス制御メカニズムの間で、パフォーマンスと保守性のトレードオフはどのようなものか?

主な発見

  • VOMSは、150カ国にわたり10,000人以上のユーザーと1,000以上のサイトをサポートする大規模なグリッドにおいて、スケーラブルかつ自動化されたユーザーコミュニティ管理を成功裏に実現した。
  • GSIとの統合により、既存のグリッドサービスに変更を加えることなく、安全で後方互換性のある承認が可能になった。
  • LCASとLCMAPSは、モノリシックなグリッドマップファイルに代わる、プラグイン可能でポリシー駆動のアーキテクチャを提供し、サイト固有のアクセスルールと動的証明書マッピングをサポートした。
  • VOMSにおける属性証明書の使用により、中央集権的制御を避けつつ、ロール、グループ、能力を細かく制御可能な拡張可能な承認が可能になった。
  • 承認意思決定をローカルに保つことで、CAS や Akenti に比べてセキュリティと保守性が向上した。
  • 将来的には、標準化されたACとレプリカメカニズムの導入を計画しており、承認インfraストラクチャのさらなるスケーラビリティと信頼性の向上が期待される。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。