| | 1 | = Autorisation et Authentification = |
| | 2 | [[TracNav]] |
| | 3 | |
| | 4 | [[TOC(inline)]] |
| | 5 | |
| | 6 | 2 Authentification et Autorisation |
| | 7 | 2.1 Demande de certificat |
| | 8 | On va utiliser la proc ́edure normale pour obtenir un certificat. Les certifi- |
| | 9 | cats pour cette formation ont une limite de validit ́e de quelques jours. Norma- |
| | 10 | lement un certificat a une limite de validit ́e d’un an et peut ˆetre renouvell ́e. |
| | 11 | 1. Connectez-vous sur l’authorit ́e de certification CNRS2 pour la France. |
| | 12 | N’utilisez pas le navigateur safari. |
| | 13 | 2 |
| | 14 | http ://igc.services.cnrs.fr/GRID-FR/certificats.html |
| | 15 | 2 |
| | 16 | 2. Cliquez sur “Certificat personnel” `a gauche de la page. |
| | 17 | 3. Remplissez les donn ́ees du premier formulaire. Pour le nom utilisez “Etu- |
| | 18 | diantUn”, “EtudiantDeux”, etc. Utilisez votre propre prenom. Cliquez |
| | 19 | sur “[suite]”. La proc ́edure v ́erifie votre adresse ́electronique. Il est imp ́eratif |
| | 20 | que vous fournissiez une adresse valide et que vous puissiez acc ́eder `a |
| | 21 | votre boˆıte aux lettres `a distance. |
| | 22 | 4. Choisissez votre organisme, puis cliquez sur “[suite]”. Indiquez CNRS. |
| | 23 | 5. Choisissez votre laboratoire en consultant la liste, puis cliquez sur “[suite]”. |
| | 24 | Indiquez le LAL. |
| | 25 | 6. Un r ́ecapitulatif des informations apparaˆıt. V ́erifiez que les informations |
| | 26 | sont correctes. Si vous cliquez sur “[suite]”, la demande est envoy ́ee. |
| | 27 | 7. L’authorit ́e de certification envoie un message ́electronique `a l’adresse |
| | 28 | que vous avez indiqu ́ee. Dans ce message il y a un lien que vous de- |
| | 29 | vez visiter pour valider votre demande. Si vous utilisez les filtres SPAM, |
| | 30 | v ́erifiez que ce message de confirmation n’est pas marqu ́e comme SPAM. |
| | 31 | 8. Une fois la demande accept ́ee, vous allez recevoir un deuxi `eme message |
| | 32 | ́electronique contenant un lien `a cliquer. A l’ouverture de la page corres- |
| | 33 | pondante, votre certificat est import ́e dans votre navigateur. Vous devez |
| | 34 | ensuite utiliser le mˆeme navigateur que vous avez utilis ́e pour faire la demande. |
| | 35 | 2.2 L’enregistrement dans une VO |
| | 36 | L’acc `es aux ressources de la grille est contr ˆol ́e par des organisations vir- |
| | 37 | tuelles (VO). Il est n ́ecessaire d’ ˆetre membre d’au moins une VO. Une fois que |
| | 38 | vous avez votre certificat, il est n ́ecessaire de contacter le “VO Manager ” d’une |
| | 39 | VO pour faire l’enregistrement. |
| | 40 | Le site du “CIC Operations Portal”3 contient les informations pour les VOs |
| | 41 | principales et le lien pour s’enregistrer dans ces VOs. Cette page ne contient |
| | 42 | pas toutes les VOs. Il peut ˆetre n ́ecessaire de contacter quelqu’un de votre or- |
| | 43 | ganisation pour connaˆıtre le serveur correct. |
| | 44 | Aujourd’hui, vous allez utiliser la VO “vo.u-psud.fr ”. |
| | 45 | 1. Allez au serveur VOMS4 pour la VO vo.u-psud.fravec un navigateur sur |
| | 46 | lequel votre certificat est install ́e. |
| | 47 | 2. Cliquez sur le lien “New user registration” dans la liste `a gauche. |
| | 48 | 3. Remplissez le formulaire et cliquez sur le bouton “I have read and agree |
| | 49 | to the VO’s Usage Rules”. |
| | 50 | 4. Vous allez recevoir un message ́electronique pour confirmer votre adresse |
| | 51 | ́electronique. (V ́erifiez encore que le message n’est pas marqu ́e comme |
| | 52 | SPAM.) Cliquez sur l’URL de confirmation indiqu ́ee. |
| | 53 | 5. Le “VO Manager ” doit valider votre demande. Une fois la demande va- |
| | 54 | lid ́ee, vous allez recevoir un message ́electronique. |
| | 55 | 3 |
| | 56 | https ://cic.gridops.org/ |
| | 57 | 4 |
| | 58 | https ://grid12.lal.in2p3.fr :8443/voms/vo.u-psud.fr |
| | 59 | 3 |
| | 60 | 2.3 Exportation, installation et utilisation du certificat |
| | 61 | Votre certificat est install ́e dans votre browser. Pour utiliser la grille, on doit |
| | 62 | extraire ce certificat et l’installer dans le “User Interface” grid11.lal.in2p3.fr. |
| | 63 | 1. Utilisez la fonction “export” de votre navigateur pour faire une sauve- |
| | 64 | garde de votre certificat au format pkcs12 (fichier .p12). |
| | 65 | Firefox S ́electionnez le menu FireFox/Preferences. Cliquez sur “Avan- |
| | 66 | cer ” `a droite et l’onglet “Chiffrement”. Cliquez sur le bouton “Affi- |
| | 67 | cher les resultats...”, s ́electionnez votre certificat et utilisez la fonc- |
| | 68 | tion “importer ”. |
| | 69 | Mozilla Dans le menu Edit/Preferences allez dans l’onglet “Privacy & |
| | 70 | Security” puis dans “certificates”. Cliquez sur “Manage Certifica- |
| | 71 | tes”, et utilisez la fonction “backup”. |
| | 72 | Netscape Cliquez sur l’ic ˆone “s ́ecurit ́e” (ou passez par le menu Commu- |
| | 73 | nicator/outils/Information sur la s ́ecurit ́e), puis cliquez sur le choix |
| | 74 | “vos certificats”. |
| | 75 | Internet Explorer Dans le menu Outils/Options Internet, allez dans l’on- |
| | 76 | glet “contenu” et cliquez sur “certificats”. Cliquez ensuite sur “ex- |
| | 77 | porter ”. |
| | 78 | La proc ́edure va demander un mot de passe pour sauvegarder votre cer- |
| | 79 | tificat. Ne l’oubliez pas. |
| | 80 | 2. Copiez votre certificat dans la machine grid11.lal.in2p3.fr. Remplacez cert.p12 |
| | 81 | par le nom exact de votre certificat dans toutes les commandes suivantes. |
| | 82 | Il a peut- ˆetre une extension “.pfx”. |
| | 83 | scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12 |
| | 84 | 3. Connectez-vous via ssh sur grid11.lal.in2p3.fr et cr ́eez, dans votre “home |
| | 85 | directory”, le r ́epertoire .globus. Descendez dans ce r ́epertoire. |
| | 86 | mkdir .globus |
| | 87 | cd .globus |
| | 88 | mv ~/cert.p12 . |
| | 89 | 4. Convertissez votre certificat au bon format et donnez-lui les bons droits. |
| | 90 | Pour utiliser la grille, vous avez besoin de deux fichiers usercert.pem et |
| | 91 | userkey.pem qui contiennent votre cl ́e publique et votre cl ́e priv ́ee. |
| | 92 | openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem |
| | 93 | openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem |
| | 94 | Ces commandes vont vous demander d’entrer le mot de passe que vous |
| | 95 | avez utilis ́e pour cr ́eer le fichier cert.p12. Pour cr ́eer le fichier userkey.pem, |
| | 96 | la commande vous demande aussi de donner un nouveau mot de passe |
| | 97 | associ ́e pour prot ́eger le fichier. Normalement on utilise le mˆeme mot de |
| | 98 | passe que pour le fichier cert.p12. |
| | 99 | 4 |
| | 100 | 5. V ́erifiez que les fichiers disposent des bons droits. Le fichier userkey.pem |
| | 101 | doit avoir les droits 0400 ; le fichier usercert.pem doit avoir les droits 0444. |
| | 102 | Changez les droits avec chmod si n ́ecessaire. |
| | 103 | ls -l ~/.globus |
| | 104 | chmod 0400 ~/.globus/userkey.pem |
| | 105 | chmod 0444 ~/.globus/usercert.pem |
| | 106 | 6. Rep ́erez les diff ́erents champs du certificat (sujet, validit ́e...) en lisant son |
| | 107 | contenu avec la commande openssl. |
| | 108 | openssl x509 -text -noout -in ~/.globus/usercert.pem |
| | 109 | Quel est votre “Subject” ? Quelle est la date de fin de validit ́e de votre |
| | 110 | certificat ? |
| | 111 | 2.4 Manipulation d’un proxy |
| | 112 | Pour permettre `a vos jobs d’acc ́eder aux services de la grille, vous devez |
| | 113 | cr ́eer un proxy. Un proxy est un fichier sign ́e avec votre certificat qui est envoy ́e |
| | 114 | avec vos jobs. Les proxies sont valables pour une dur ́ee limit ́ee, normalement |
| | 115 | 12 `a 24 heures. |
| | 116 | 1. Depuis la machine grid11.lal.in2p3.fr, demandez un proxy.5 |
| | 117 | voms-proxy-init --voms vo.u-psud.fr |
| | 118 | Cette commande cr ́ee un fichier sign ́e avec votre certificat que vos jobs |
| | 119 | peuvent utiliser pour acc ́eder aux services de la grille. Il vous est de- |
| | 120 | mand ́e de donner votre mot de passe. |
| | 121 | 2. Affichez les informations du proxy cr ́e ́e. |
| | 122 | voms-proxy-info |
| | 123 | Les informations int ́eressantes sont le “subject”, l’ ́equivalent de votre |
| | 124 | “username” dans la grille, le “timeleft”, le temps durant lequel le cer- |
| | 125 | tificat est encore valable, et le nom de fichier pour le proxy. |
| | 126 | 3. Supprimez explicitement le proxy. |
| | 127 | voms-proxy-destroy |
| | 128 | Cette commande supprime le proxy dans l’ordinateur local. Les copies |
| | 129 | ́eventuellement envoy ́ees avec vos jobs ne sont pas affect ́ees. V ́erifiez que |
| | 130 | le proxy a bien ́et ́e supprim ́e avec la commande voms-proxy-info. |
| | 131 | 4. Regardez les autres options disponibles avec la commande voms-proxy- |
| | 132 | init. (Utilisez man ou l’option “-help”.) On peut changer, par exemple, |
| | 133 | 5 |
| | 134 | L’erreur “Cannot find file or dir : ... /.glite/vomses” est normale. |
| | 135 | 5 |
| | 136 | la dur ́ee de vie et la taille (nombre de “bits”) du proxy. Normalement les |
| | 137 | valeurs par d ́efauts sont correctes. |
| | 138 | Les anciennes commandes grid-proxy-* pour manipuler les proxies existent |
| | 139 | toujours. Mais ces commandes ne supportent pas de mettre les informations de |
| | 140 | votre VO dans le proxy. Les proxies VOMS sont 100% compatibles avec l’ancien |
| | 141 | format et il est pr ́ef ́erable d’utiliser les commandes voms-proxy-*. |
| | 142 | Il existe aussi des commandes myproxy-*. Elles permettent le renouvelle- |
| | 143 | ment automatique des proxies pour des jobs de tr `es longue dur ́ee. Ces com- |
| | 144 | mandes ne seront pas utilis ́ees dans ce tutorial. |
| | 145 | 2.5 Utilisation des groupes et r ˆoles dans une VO |
| | 146 | Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Mem- |
| | 147 | bership Server) peuvent d ́efinir des groupes et des r ˆoles. Tous les groupes que |
| | 148 | vous avez le droit d’utiliser sont d ́ecrits dans votre proxy VOMS. Quand on |
| | 149 | cr ́ee un proxy, il est n ́ecessaire de demander d’ajouter les r ˆoles explicitement. |
| | 150 | Actuellement les groupes et les r ˆoles ne sont pas respect ́es par tous les ser- |
| | 151 | vices grille. Dans le futur on pourra les utiliser pour le contr ˆole d’acc `es aux |
| | 152 | fichiers et aux services. |
| | 153 | 1. Pour lister les groupes de votre proxy utilisez la commande voms-proxy- |
| | 154 | info avec l’option “-all” (peut- ˆetre vous devrez cr ́eer un nouveau proxy |
| | 155 | avec voms-proxy-init). Les groupes dans les lignes marqu ́ees “attribute”. |
| | 156 | Une VO peut cr ́eer une hi ́erarchie dans les groupes. |
| | 157 | voms-proxy-info -all |
| | 158 | De quel(s) groupe(s) faites vous partie ? |
| | 159 | 2. Ajouter le r ˆole “Tutorial1” ou “Tutorial2” dans votre proxy. La moiti ́e des |
| | 160 | participants `a ce tutoriel poss `ede les droits pour utiliser le r ˆole “Tuto- |
| | 161 | rial1” et les autres pour utiliser “Tutorial2”. Si vous demandez un r ˆole |
| | 162 | pour lequel vous n’avez pas les droits, la commande voms-proxy-init |
| | 163 | ́echoue. |
| | 164 | voms-proxy-init --voms vo.u-psud.fr:/Role=Tutorial1 |
| | 165 | V ́erifiez le r ˆole dans votre proxy avec la commande voms-proxy-info. |
| | 166 | V ́erifiez aussi que la commande g ́en `ere une erreur quand vous demandez |
| | 167 | le mauvais r ˆole. |
