2007年06月13日

お知らせ

長らくほったらかしになってますが、この度、異動しまして、この先Gridに関わることはないであろうと思います。ここは、そんなわけで、またもやほったらかしです。今もそこそこのアクセスがあるようなので、そのまま置いておきますが、いずれ管理者サイドから削除される可能性がありますのでご了承ください。
posted by ハタケヤマ モトヒロ at 12:12| Comment(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年09月07日

delegation その2

「グリッド・コンピューティングとは何か 日本アイ・ビー・エム システムズ・エンジニアリング株式会社著 SOFTBANK Publishing」のP.66の(*7)を勝手に転載します。


(*7)Globus Toolkitの方針として、GRAMによるジョブの実行には完全なプロキシ証明書のみを受け付けることになっています。また、Globus Toolkitにデフォルトで含まれるGRAMクライアント・ツール(図4.10のglobusrunコマンドなど)は、図4.10Bで示される権限委譲の際、制限付きのプロキシ証明書を作成します。このため、GRAMサーバのデフォルトの設定ではglobusrunコマンド等で実行されるリモートプログラム自身が、さらに他のGRAMサーバにジョブを投入することはできません(制限付きのプロキシ証明書で第三のGRAMサーバにアクセスすることになり、それが拒絶されるからです)。これにより、もし中継のGRAMサーバ上にある、委譲されたプロキシ証明書が盗まれたとしても、これを使用して新たなジョブを別サーバで実行することはできません。もしも、制限付きのプロキシ証明書を受け付けることにすれば、一度制限付きのプロキシ証明書を盗まれただけで(プロキシ証明書には有効期限はあるものの、その期限内ならば)、ワーム型の不正なジョブを流されると、すべてのグリッド環境につながれたマシンが脅威にさらされてしまいかねません。また、GridFTPによるデータアクセスには、制限付きのプロキシ証明書によるアクセスを許可する方針を取っています。この場合は悪意のある管理者に制限付きのプロキシ証明書を盗まれると、GSIの枠内ではデータの書き換えやデータを盗まれるという不正を防げない可能性があります。それでも、こういった方針を取っているのは、メリットの方が大きいからでしょう。


ということが出てました。GT3の時の内容ですが、GT4でも同じでしょうか?

「もしも、制限付きのプロキシ証明書を受け付けることにすれば、」とあるのは、そう設定できるってことでしょうか?

それと、5.2. Syntax of the interfaceにあるように、クライアントでstubを利用する際に
((Stub)port)._setProperty(Constants.AUTHORIZATION, SelfAuthorization.getInstance());
というようなものを使えば、あるサービスから別のサービスを呼び出す時にcertificate付きで実行できるのかな??という気がしました。何もしない場合は、「host authorization is performed.」だそうで、HostAuthorization.getInstance()にしたら、動作しましたが、SelfAuthorization.getInstance()にしたら、

Operation unauthorized (Mechanism level: Authorization failed. Expected "/O=Grid/OU=GlobusTest/OU=simpleCA-aaaaaa.cccccc.co.jp/OU=comtec.co.jp/CN=globus user" target but received "/O=Grid/OU=GlobusTest/OU=simpleCA-aaaaaa.cccccc.co.jp/CN=host/ggggg.ssssss.cccccc.co.jp") at org.globus.gsi.gssapi.GlobusGSSContextImpl.initSecContext(GlobusGSSContextImpl.java:507)

というエラーが出ました。でも、サービスからサービスの呼び出しには、まず、制限付きプロキシでも受け付けるようにしないといけないんでしょうか?

ますます混乱してきました。サービスからRFTサービスを呼ぶのはやめ、GridFTPを呼ぶようにしたので、さしあたっては問題ないのですが、どうも気にかかります。
posted by ハタケヤマ モトヒロ at 17:08| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする

2005年08月31日

delegation

どうにかこうにか動くようになりました。続きを読む
posted by ハタケヤマ モトヒロ at 17:49| Comment(0) | TrackBack(0) | 雑感 | このブログの読者になる | 更新情報をチェックする