El MUNGE Uid N Gid Emporio es un servicio de autentificación para crear y validar cartas credenciales. Es diseñado para ser muy ampliable para el uso en un ambiente de racimo HPC.

Esto permite que un proceso certifique el UID y GID de otro proceso local o remoto dentro de un grupo de servidores que tienen usuarios comunes y grupos. Estos servidores forman un reino de seguridad que es definido por una tecla criptográfica compartida.

Los clientes dentro de este reino de seguridad pueden crear y validar cartas credenciales sin el uso de privilegios de raíz, puertas reservadas, o métodos específicos para la plataforma.

Razón fundamental

La necesidad de MUNGE provino del ambiente de racimo HPC. Considere el guión en el cual un demonio local que se ejecuta en un nodo de conexión recibe una petición de cliente y lo expide en demonios remotos que se ejecutan en computan nodos dentro del racimo. Ya que el usuario ha entrado en el sistema ya al nodo de conexión, el demonio local sólo necesita un medio confiable de averiguar el UID y GID del proceso de cliente. Además, los demonios remotos necesitan un mecanismo para asegurar que los datos de autentificación expedidos no han sido cambiados posteriormente.

Una solución común con este problema es usar enchufes de dominio de UNIX para determinar la personalidad del cliente local, y luego expedir esta información en servidores remotos vía conexiones rsh confiadas. Pero esto presenta varios nuevos problemas. En primer lugar, no hay ningún API portátil para determinar la personalidad de un cliente sobre un enchufe de dominio de UNIX. En segundo lugar, rsh conexiones debe provenir de una puerta reservada; el número limitado de puertas reservadas disponibles en un servidor dado directamente limita la escalabilidad. En tercer lugar, los privilegios de raíz se requieren a fin de ligar a una puerta reservada. Finalmente, los demonios remotos no tienen ningunos medios de la determinación si la identidad de cliente es auténtica.

Descripción

Un proceso crea una credencial solicitando un del servicio MUNGE local. La credencial codificada contiene el UID y GID del proceso de origen. Este proceso envia la credencial a otro proceso dentro del reino de seguridad como un medio de demostrar su identidad. El proceso de recepción valida la credencial con el uso de su servicio MUNGE local. La credencial decodificada provee el proceso de recepción de un medio confiable de averiguar el UID y GID del proceso de origen. Esta información puede estar usada para contabilidad o decisiones de control de acceso.

Los contenido de la credencial (incluso cualesquiera datos de carga útil opcionales) son cifrados con una tecla compartida por todos los demonios munged dentro del reino de seguridad. La integridad de la credencial es asegurada por un código de autentificación de mensaje (MAC). La credencial es válida por un tiempo limitado definida antes de su tiempo vivo (TTL). El demonio asegura que las cartas credenciales no vencidas no son vueltas a jugar en un servidor particular. La decodificación de una credencial puede ser restringida a un usuario particular y/o identificación de grupo. Los datos de carga útil pueden estar usados con objetivos, como la fijación la dirección de lugares de destino para asegurar que la credencial sólo es válida en un servidor específico. El formato interno de la credencial es codificado en una manera independiente de la plataforma. Y la credencial sí mismo es base64 codificado para permitir que esto sea transmitido prácticamente cualquier transporte.

Whats Nuevo en Esta Liberación:

· un error fue fijado que causó la corrupción de pilas en AMD-64 usando Libgcrypt.