fig. 22Come <strong>di</strong>cevamo precedentemente, il server VOMS fornisce un database per la gestione<strong>degli</strong> utenti iscritti ad una determinata VO. All'interno <strong>di</strong> tale database sono presenti<strong>di</strong>verse tabelle, fra le quali:• Usr che contiene informazioni inerenti agli utenti;• groups che contiene informazioni inerenti ai gruppi;• capabilities che contiene informazioni inerenti alle capacità;• roles che contiene informazioni inerenti ai ruoli.Queste sono le tabelle principali che il VOMS fornisce per la gestione <strong>di</strong> utenti, gruppi,privilegi e ruoli.Luca Gerardo 566/2636 Pagina 40 <strong>di</strong> 113
5. Un'estensione del servizio VOMS con certificati Robot5.1 Concetto <strong>di</strong> certificato RobotCome già detto nei capitoli precedenti, i certificati X.509 sono usati per sod<strong>di</strong>sfare lerichieste del modello <strong>di</strong> sicurezza GSI, utilizzato in ambito Grid.Oltre ai certificati <strong>di</strong>gitali X.509, ne esistono altri, detti certificati Robot, anch'essiX.509, che <strong>di</strong>fferiscono dai primi per la modalità d'uso, anche se la procedura per larichiesta <strong>di</strong> questi ultimi è la stessa <strong>di</strong> quella che bisogna effettuare per poter ottenere uncertificato <strong>di</strong>gitale X.509. Tali certificati sono stati introdotti da qualche anno affinché leapplicazioni potessero usufruirne e, in particolare, affinché queste ultime potesserosvolgere dei compiti automatizzati a nome dell'utente. Dato che, come già detto, uno deirequisiti del modello GSI è l'autenticazione, anche un'applicazione deve essere in grado<strong>di</strong> autenticarsi per poter ottenere le rispettive autorizzazioni. Il processo <strong>di</strong>autenticazione è necessario al fine <strong>di</strong> portare a termine il proprio compito e svolgere,dunque, le proprie operazioni facendo uso delle risorse della Grid. Il certificato Robot, a<strong>di</strong>fferenza del classico certificato <strong>di</strong>gitale X.509, è salvato su un supporto fisso (e-tokenUSB), ed è legato ad un'applicazione piuttosto che ad una persona. Per evitare problemi,nel caso in cui dovesse essere smarrito il token USB, il certificato Robot in esso salvatoè criptato me<strong>di</strong>ante password. In verità è possibile salvare all'interno dello stesso tokenUSB più certificati: uno per ogni applicazione. Così come si preferiscono ai certificati<strong>di</strong>gitali X.509 i rispettivi certificati proxy, creati a partire dai primi, allo stesso modoun'applicazione, anziché utilizzare i certificati Robot, pre<strong>di</strong>lige l'uso dei certificatiproxy, creati a partire dai certificati salvati su token USB.5.2 Estensione delle facility del VOMSAttualmente, sia grazie ai certificati <strong>di</strong>gitali personali X.509, sia grazie al VOMS, èpossibile sod<strong>di</strong>sfare tutti i requisiti previsti dal modello architetturale <strong>di</strong> sicurezza GSI,quali:• single sign on;• delegazione;• Integration with various local securety solutions;Luca Gerardo 566/2636 Pagina 41 <strong>di</strong> 113