Howto

Z PLATON-U4 wiki
Skocz do: nawigacji, wyszukiwania

Spis treści

Jak uzyskać dostęp do usługi?

Żeby skorzystać z usługi muszą mieć Państwo przede wszystkim PROFIL dla Waszej instytucji, wydziału lub grupy roboczej/badawczej oraz indywidualne KONTO w usłudze, zdefiniowane w ramach profilu. Musicie także Państwo posiadać ważny CERTYFIKAT cyfrowy X.509.

Żeby zrozumieć procedurę rejestracji, musimy najpierw zrozumieć pojęcie PROFILU i KONTA.


Profil i konto - szczegółowe informacje

Profil

  • Profil - to przestrzeń dla danych zdefiniowana w naszej usłudze dla Państwa instytucji.
  • Co to znaczy?
  • Usługa PLATON-U4 wykorzystywana jest przez wiele instytucji, organizacji, grup, jednostek badawczych.
  • Każda z tych instytucji czy jednostek ma przydzieloną przestrzeń przechowywania oraz skojarzony z tą przestrzenią profil.
  • Profil to pewne właściwości przestrzeni przechowywania, m.in. tzw. parametry profilu:
  • limity: wielkość przestrzeni (np. 10TB), max. liczba plików i katalogów
  • sposób w jaki przetwarzane i składowane są dane w tej przestrzeni, np.:
  • czy dane replikowane są synchronicznie czy asynchronicznie itd.
  • jak traktowane są prawa dostępu do plików w ramach grupy (np. ignorowane czy respektowane)
  • Pomiędzy profilami NIGDY nie zachodzi wzajemna widoczność danych. To bardzo ważne, ponieważ:
  • np. Instytucja A użytkująca jeden z Profil A, nie widzi danych innej Instytucji B, która używa Profilu B.
  • W ramach profilu - przeciwnie: dane, tj. katalogi domowe użytkowników (kont) są (domyślnie) wzajemnie widoczne.
  • Dobrze jednak wiedzieć, że dla każdego profilu można zdefiniować czy respektowane są prawa dostępu poszczególnych użytkowników do poszczególnych plików czy katalogów (jest to jeden z parametrów profilu).
  • Profil - analogia: jeśli wyobrazimy sobie całą przestrzeń w usłudze U4 jako tort, wtedy profil to kawałek tortu. Dla każdego kawałka tortu, przydzielonego innej instytucji możemy określić pewne właściwości. Profil ma także limity, jak np. wielkość przestrzeni (limit) czy max. liczba plików. Te limity wyznaczają "granice" kawałka tortu przydzielonego danej instytucji czy grupie roboczej. Te właściwości kawałka tortu to właśnie parametry profilu.

Konto

  • Konto - to Państwa osobiste konto, zdefiniowane w ramach profilu.
  • Konto - to reprezentacja w naszym systemie konkretnego, fizycznego użytkownika (osoby).
  • Co to znaczy?
  • W ramach profilu (np. dla instytucji, grupy roboczej czy wydziału) będą wykonywane kopie zapasowe i archiwalne danych przez wiele osób.
  • Każda osoba-użytkownik w ramach profilu ma zdefiniowane idywidualne konto.
  • Konto zapewnia:
  • Dostęp do wspólnej przestrzeni składowania w ramach profilu.
  • Możliwość tworzenia prywatnej przestrzeni przechowywania (np. katalogów własnych), jeśli profil działa w trybie respektowania praw dostępu poszczególnych użytkowników
  • Możliwość "rozliczania" działań poszczególnych użytkowników. Co to znaczy:
  • Wyboraźmy sobie sytuację,w której np. Użytkownika A umieścił w systemie plik - np. kopię zapasową artykułu naukowego a 'Użytkownik B przypadkowo usunął ten plik...
  • Dzięki temu, że istnieją oddzielne konta dla poszczególnych użytkowników, Użytkownik A może odnaleźć kolegę, który zrobił mu "psikusa".
  • Jest to możliwe ponieważ każda operacja na systemie plików skojarzona jest z określonym użytkownikiem czyli kontem.
  • Konto - analogia: jeśli cała przestrzeń w usłudze U4 to tort, a profil to kawałek tortu, wtedy użytkownicy-osoby danego profilu, którym odpowiadają konta w naszej usłudze, mogą dzielić się danym kawałkiem tortu. Przykładowo, mogą "częstować się" przestrzenią przechowywania w ramach limitu skojarzonego z kawałkiem tortu czyli profilem.
  • Warto pamiętać, że poszczególni użytkownicy danego profilu, mimo iż dzielą się przestrzenią przechowywania w ramach profilu, nie zawsze muszą się dzielić samymi danymi czyli plikami i katalogami (a dokładniej ich zawartością).

Parametry profilu

W ramach rejestracji w usłudze musimy określić parametry profilu, który jest przestrzenią przechowywania zdefiniowaną dla Państwa instytucji/grupy/wydziału.

Potrzebujemy te informacje, gdyż pozwalają nam one odpowiednio skonfigurować nasze oprogramowanie i zasoby w naszej infrastrukturze dla Państwa. Np. jeśli spodziewamy się, iż w ramach jednego profilu składowane będą setki tysięcy plików, możemy rozważyć uruchomianiee dodatkowych modułów programowych po stronie naszej usługi dla obsługi danego profilu, np. dedykowany moduł do obsługi meta-danych, tj. m.in. struktury Państwa plików i katalogów.

Dlatego, w ramach procesu rejestracji w usłudze, prosimy Państwa o wypełnienie FORMULARZA REJESTRACJI PROFILU. Pozwala on na określenie następujących parametrów profilu:

  • Przestrzeń [TB] - limit przestrzeni przechowywania,
  • Maksymalna liczba plików,
  • Maksymalna liczba katalogów,
  • Tryb replikacji: synchroniczny/asynchroniczny,
  • Domyślne współdzielenie plików w ramach profilu,
  • Planowana liczba użytkowników,
  • Adresy IP klientów.

Parametry konta

W ramach rejestracji w usłudze musimy także dla każdego profilu określić listę użytkowników oraz informacje o każdym użytkowniku. Po stronie naszej usługi powstaje konto, które jest reprezentacją użytkownika w naszym systemie.

W ramach rejestracji w naszej usłudze, prosimy Państwa o wypełnienie FORMULARZA REJESTRACJI UŻYTKOWNIKA dla każdego użytkownika-konta dodawanego do profilu. Formularz umożliwia podanie m.in. następujących informacji:

  • Nazwa (identyfikator) użytkownika,
  • Publiczna część certyfikatu - umożliwiająca uwierzytelnianie użytkownika w stosunku do systemu.

KROKI REJESTRACJI

Rejestracja w usłudze składa się z 3 głównych kroków:

  • KROK 1: zgłoszenie i weryfikacja INSTYTUCJI / PROFILU
  • KROK 2: rejestracja INSTYTUCJI / PROFILU
  • KROK 3: rejestracja UŻYTKOWNIKA.

Schemat rejestracji ogolny .gif


Poniżej omówione są poszczególne kroki procedury.

KROK 1: Sprawdzenie czy instytucja lub jednostka organizacyjna czy grupa ma już dostęp do usługi

  • Jeśli Państwa INSTYTUCJA MA JUŻ DOSTĘP DO NASZEJ USŁUGI, tzn. ma już profil i wiecie Państwo, kto jest wyznaczony jako osoba kontaktowa / odpowiedzialna za usługę / profil
  • w takim wypadku przechodzimy do kroku 3 procedury.
  • Jeśli Państwa INSTYTUCJA NIE MA JESZCZE DOSTĘPU DO USŁUGI LUB NIEZNANA JEST PAŃSTWU OSOBA KONTAKTOWA/ODPOWIEDZIALNA ZA USŁUGĘ/PROFIL prosimy wypełnić ANKIETĘ ZGŁOSZENIOWĄ INSTYTUCJI.
  • Prosimy w niej o podanie PODSTAWOWYCH informacji o instytucji i/lub grupie czy projekcie, na rzecz którego chcecie Państwo korzystać z naszej usługi.
  • Na podstawie tych danych sprawdzimy czy istnieje w naszej usłudze profil dla Państwa instytucji lub jej podjednostki organizacyjnej;
  • jeśli stwierdzimy, że Państwa INSTYTUCJA LUB GRUPA KORZYSTA JUŻ Z NASZEJ USŁUGI (MA PROFIL), przekażemy Państwu kontakt do osoby odpowiedzialnej za tę usługę/profil w Państwa instytucji - w takim wypadku przechodzimy do kroku 3 procedury.
  • jeśli Państwa INSTYTUCJA NIE MA JESZCZE profilu weryfikujemy czy Państwa instytucja, grupa lub projekt może korzystać z usługi (m.in. czy jest instytucją naukową); jeśli ta weryfikacje przebiegnie pomyślnie, przechodzimy do kroku 2 - rejestracji profilu;

Schemat rejestracji1 .gif


KROK 2: Rejestracja PROFILU

  • Jeśli Państwa instytucja nie ma jeszcze profilu oraz może korzystać z naszej usługi, wtedy:
  • poprosimy Państwa o wypełnienie szczegółowego FORMULARZA REJESTRACYJNEGO PROFILU, określającej m.in. pełne dane instytucji, osoby kontaktowe w sprawach administracyjnych i technicznych, zapotrzebowanie na zasoby.
  • Następnie podjęte zostaną działania administracyjne (np. podpisanie aneksu do umowy na usługi sieci PIONIER) oraz techniczne (przygotowanie zasobów).
  • Otrzymają też Państwo adres dostępu do usługi (IP serwera dostępowego) oraz konto dla osoby kontaktowej w Państwa instytucji, upoważnionej do zgłaszania użytkowników w dalszym etapie postępowania.

Schemat rejestracji2 .gif


KROK 3: Dopisanie do PROFILU nowego KONTA / UŻYTKOWNIKA

Jeśli Państwa instytucja ma już profil, i chcecie Państwo dopisać nowego użytkownika do tego profilu:

  • OSOBA KONTAKTOWA wyznaczona dla danego profilu, żąda dopisania nowego użytkownika do profilu za pomocą FORMULARZA REJESTRACJI UŻYTKOWNIKA.
  • W tym formularzu podajecie Państwo podstawowe dane o użytkowniku, m.in. imię, nazwisko, nazwę w systemie (identyfikator) oraz przekazujecie publiczną część jego certyfikatu, która będzie służyła do uwierzytelniania tego użytkownika.

Schemat rejestracji3 .gif

OSOBA KONTAKTOWA DO PROFILU, REJESTRACJA UŻYTKOWNIKÓW, PRAWA DOSTĘPU

Z naszej strony niemożliwa jest weryfikacja, który pracownik instytucji klienckiej (z naszej perspektywy użytkownik) powinien mieć dostęp do jakich profili czyli przestrzeni przechowywania danych. W tej kwestii zdajemy się na Państwa. Każda instytucja może też mieć inny pomysł czy potrzeby związane z organizacją profili. Np. w części instytucji sprawdzi się pojedynczy profil dla całej instytucji, w innych konieczne będzie założenie odrębnych profili dla wielu jednostek organizacyjnych. Zalecenia dotyczące organizacji profili znajdują się w kolejnym punkcie.

Osoba kontaktowa do profilu

Dla uporządkowania zarządzania profilami oraz procesu rejestracji użytkowników:

  • dla każdego profilu określamy tzw. osobę kontaktową / odpowiedzialną za dany profil:
    • Rolą osoby odpowiedzialnej jest m.in. dbanie, by do profilu zostały przypisane właściwe osoby-użytkownicy, np. by do profilu Wydziału X instytucji uzyskali dostęp tylko pracownicy Wydziału X, a nie uzyskali dostępu pracownicy Wydziału Y czy Projektu Z.
    • Obowiązuje zasada, że osoba wskazana jako osoba odpowiedzialna/kontaktowa dla profilu (najczęściej ta sama która utworzyła profil) decyduje o dalszym przydzielaniu osób tj. kont do profilu. Zakładamy, że ta osoba odpowiedzialna ma rozeznanie, kto powinien uzyskać dostęp do określonych danych kopii zapasowych i archiwalnych składowanych w naszej usłudze.
  • Ze swojej strony zapewniamy, że do danego profilu uzyskają dostęp tylko osoby tj. konta wskazane przez osobę kontaktową/odpowiedzialną wskazaną podczas rejestracji danego profilu. Każdy użytkownik jest autoryzowany (tj. sprawdzane są jego uprawnienia) w stosunku do profilu, do którego próbuje uzyskać dostęp łącząc się z naszą usługą.

Zalecenia dot. organizacji profili

Poniżej omawiamy kilka przykładowych podejść do organizacji profili:

  • W przypadku niewielkich instytucji, z reguły wystarczające jest istnienie jednego profilu per instytucja, z którego wspólnie korzysta jedna do kilku osób (administratorów) na potrzeby wykonywania kopii zapasowych czy archiwalnych wspólnych danych instytucji.
  • W przypadku większych instytucji - np. uczelni:
  • może być uzasadnione tworzenie profili dla różnych wydziałów czy instytutów;
  • oddzielne profile mogą być tworzone także dla oddzielnych projektów czy grup badawczych, jeśli nie ma w takim wypadku potrzeby i/lub woli współdzielenia danych archiwalnych i kopii zapasowych pomiędzy tymi grupami i/lub pomiędzy grupami a całą instytucją lub wydziałem;
  • Wnioskowanie o oddzielny profil ma także uzasadnienie w przypadku dużych projektów - składujących duże ilości danych, np. dziesiątki czy setki terabajtów lub setki tysięcy plików.
  • Wskazówką do "wyodrębnienia" nowego profilu w ramach instytucji, która już ma profil może być także chęć oddzielenia danych archiwalnych do długofalowego składowania z danych ogólnego profilu do wykonywania kopii zapasowych lub specyficzne wymagania dot. przetwarzania i przechowywania tych danych (np. replikacja synchroniczna).

Decyzję o ew. zdefiniowaniu odrębnego profilu dla podjednostki organizacyjnej instytucji lub grup badawczej, podejmujemy na podstawie prośby użytkowników lub na podstawie analizy danych wprowadzonych przez użytkownika w FORMULARZU REJESTRACJI PROFILU. W razie wątpliwości, kontaktujemy się z Państwem w celu uzgodnienia optymalnej konfiguracji.

Certyfikaty cyfrowe

Dla zapewnienia poufności danych, nasza usługa musi jednoznacznie określać, z kim ma do czynienia. Uwierzytelnianie użytkowników, odbywa się w oparciu o certyfikaty cyfrowe X.509.

Temat certyfikatów cyfrowych jest dość skomplikowany. Jednak w zamian, certyfikaty cyfrowe zapewniają wysoki poziom bezpieczeństwa, ponieważ tylko osoba, która posiada klucz prywatny certyfikatu (dokladniej: klucz prywatny związany z certyfikatem), nigdy nie ujawniany żadnej osobie trzeciej, ma prawo dostępu do danego konta oraz danych za jego pomocą składowanych a także danych profilu, do którego należy konto.

Akceptowane urzędy certyfikacji

Do korzystania z naszej usługi każdy z użytkowników końcowych musi posiadać certyfikat osobisty podpisany przez jeden z akceptowanych przez nas urzędów certyfikacji (CA). Użytkownik musi uzyskać taki certyfikat zanim zostanie zgłoszony do usługi, tzn. zanim będzie można go skojarzyć z danym profilem za pomocą FORMULARZA REJESTRACJI UŻYTKOWNIKA. Wspierane przez naszą usługę urzędy certyfikacji to:

  1. TERENA TCS
  2. Pionier PKI
  3. Polish Grid CA

Więcej informacji o certyfikatach cyfrowych oraz urzędach certyfikacji (CA) znajduje się w sekcji Certyfikaty niniejszego Wiki oraz w prezentacji "Rejestracja" z warsztatów Usługi Powszechnej Archiwizacji - patrz Materiały z warsztatów. Źródła te zawierają m.in. informacje, gdzie i jak można uzyskać certyfikat cyfrowy wspierany przez naszą usługę.

Własne urzędy certyfikacji użytkowników

W uzasadnionych przypadkach, możemy rozważyć wspieranie innych niż zdefiniowane powyżej urzędy certyfikacji. Na przykład, jeśli uczelnia ma swój własny urząd certyfikacji możemy rozpatrzyć jego wykorzystanie do uwierzytelniania użytkowników.

Jednakże każdy taki przypadek musi być indywidualnie przeanalizowany. Musimy m.in. sprawdzić czy:

  • tzw. polityka urzędu certyfikacji spełnia wymagania naszej usługi;
  • certyfikaty wydawane przez dany urząd certyfikacji są kompatybilne z naszą usługa na poziomie technicznym.

Bezpieczeństwo klucza prywatnego certyfikatu

Bezpieczeństwo Państwa danych zależy od sposobu obchodzenia się z KLUCZEM PRYWATNYM związnym z certyfikatem.

Należy uważać, by NIE UJAWNIAĆ KLUCZA PRYWATNEGO ZWIĄZANEGO Z CERTYFIKATEM, ponieważ nie respektowanie tej reguły przez Państwa umożliwia innym osobom podszycie się pod Państwa oraz dostęp do danych składowanych w naszej usłudze, za pośrednictwem Państwa konta.

NIGDY NIE POWINNIŚCIE PAŃSTWO UDOSTĘPNIAĆ KLUCZA PRYWATNEGO ZWIĄZANEGO Z CERTYFIKATEM OSOBOM TRZECIM oraz ŻADNEJ INSTYTUCJI, włączając naszą usługę.

Z tego względu, NIGDY nie prosimy Państwa o przekazanie nam klucza prywatnego do certyfikatu. Również podczas wypełniania FORMULARZA REJESTRACJI UŻYTKOWNIKA, podajecie nam Państwo WYŁĄCZNIE CZEŚĆ PUBLICZNĄ certyfikatu.

Informacje, jak uzyskać tę część publiczną certyfikatu dla certyfikatów pozyskanych z poszczególnych CA, znajdują się w dziale Certyfikaty Wiki.

Uwaga! Niektóre formaty przechowywania certyfikatów (np. PKCS12) zawierają TAKŻE KLUCZY PRYWATNY związany z certyfikatem. Z tego względu nie należy podawać plików w takim formacie osobom trzecim ani też wysyłać do naszej usługi.

Jeśli wyślecie Państwo klucz prywatny związany z certyfikatem, klucz taki należy traktować jako skompromitowany i należy unieważnić certyfikat z, którym związany jest ten klucz.

Osobiste
Przestrzenie nazw
Warianty
Działania
Nawigacja
Część Prywatna
Narzędzia