Use-Cases

Die Anforderungen wurden in den Projekten C3Grid, MediGRID, MedInfoGRID, Services@MediGRID, PartnerGrid und TextGrid identifiziert. Vertreter dieser Communities haben sich daher in einem Konsortium zusammengefunden, um gemeinsam an der Lösung der vorgestellten Probleme zu arbeiten. Das Vorhaben ist im D-Grid Beirat vorgestellt, diskutiert und als ein “Gap-Projekt” identifiziert worden. Es ist davon auszugehen, dass auch in weiteren Communities, die bisher wenig Grid- Erfahrung ausweisen, dieser Bedarf besteht. Die geplanten Arbeitsschritte sind daher als prototypisch für die Anwendung einer nutzerfreundlichen Sicherheitsinfrastruktur in Grids zu verstehen.

Use-Case A: Nutzer ohne persönliches Zertifikat, die einen Short-Lived Credential Service nutzen

Sie melden sich am Portal (z.B. C3Grid) an. Die Authentifizierung erfolgt im Rahmen der DFN-AAI Föderation durch Shibboleth über die Heimateinrichtungen der Nutzer. Für diese Nutzer ist die Shibboleth-Infrastruktur weitgehend vorhanden, es fehlt jedoch die produktive Shibboleth-Integration in GridSphere sowie Lösungen, wie sie danach im Grid für die Nutzung der Ressorucen autorisiert werden.

Use-Case B: Nutzer mit persönlichen Zertifikaten

Diese Nutzer besitzen zwar ein persönliches Zertifikat, greifen aber i.d.R. nicht direkt auf einen Grid-Rechner zu, sondern authentifizieren sich über ein Portal (z.B. MediGRID) oder eine web-basierte Software (siehe TextGrid). Neben den EUGridPMA-konformen Zertifikate sind dabei auch andere Fälle zu betrachten wie die Heilberufezertifikate aus dem Gesundheits- wesen oder Zertifikate z.B. aus der Industrie. Für diese Anwender sollten diese Zertifikate im Grid nutzbar sein, wenn ein ausreichend hohes Sicherheitsniveau seitens der ausstellenden CA vorliegt und der jeweilige Ressourcenprovider derartige Zertifikate akzeptiert.

Hier wird vor allem eine Vereinfachung des Authentifizierungsprozesses gefordert, der nach den Erfahrungen in MediGRID und Services@MediGRID durch technische Optimierungen noch deutlich verbessert werden kann. Da der Prozess sich ab dem Upload eines Proxys auf einen MyProxy Server im Grid auch nicht vom SLC-Verfahren unterscheidet, bietet es sich an, hier eine gemeinsame technische Lösung zu etablieren, die allen Nutzern von D-Grid unabhängig vom Authentifizierungsverfahren gerecht wird.

Use-Case C: Nutzer, die bestimmte Anwendungen im Grid ad-hoc und quasi anonym nutzen

Für bestimmte Anwendungsszenarien im Grid ist eine individuelle Authentifizierung von Nutzern nicht unbedingt erforderlich und wünschenswert. So sollen einige Dienste auch anonym bleibenden Nutzern zugänglich sein. Ein Beispiel wäre die Nutzung des C3Grids im Rahmen einer Kooperation mit dem Klimahaus in Bremerhaven, bei der die breite Öffentlichkeit Zugang zu frei verfügbaren Daten und Workflows bekommen soll. Im Rahmen von MediGRID gibt es ebenfalls eine Anzahl von Anwendungen – insbesondere aus der Bioinformatik – die zum Einen keinen besonderen datenschutzrechtlichen Bestimmungen unterliegen und zum Anderen von weltweit verteilten Forschergruppen genutzt werden sollen. Diese Anwendungen sind aus Gründen des Grid-typischen Ressourcenbedarfs lokal begrenzt verfügbar. Auch im Rahmen von TextGrid wird der anonyme Zugriff auf veröffentlichte Daten im Grid zugelassen. Mit der Einrichtung des anonymen Zugriffs könnte die Nutzerzahl deutlich vervielfacht werden.

Für diese Anwendungsfälle ist ein Verfahren zu entwickeln, das insbesondere auf organisatorische und rechtliche Fragestellungen eingeht.