| 30 | | Votre certificat est installé dans votre browser. Pour utiliser la grille, on doit extraire ce certificat et l’installer dans le « User Interface » \uimachine. 1. Utilisez la fonction « export » de votre navigateur pour faire une sauvegarde de votre certificat au format pkcs12 (fichier .p12). \begin{description} 1. [Firefox] Sélectionnez le menu FireFox/Preferences . Cliquez sur « Avancer » à droite et l’onglet « Chiffrement ». Cliquez sur le bouton « Afficher les resultats... », sélectionnez votre certificat et utilisez la fonction « importer ». 1. [Mozilla] Dans le menu Edit/Preferences allez dans l’onglet « Privacy \& Security » puis dans « certificates ». Cliquez sur « Manage Certificates », et utilisez la fonction « backup ». 1. [Netscape] Cliquez sur l’icône « sécurité » (ou passez par le menu Communicator/outils/Information sur la sécurité), puis cliquez sur le choix « vos certificats ». 1. [Internet Explorer] Dans le menu Outils/Options Internet, allez dans l’onglet « contenu » et cliquez sur « certificats ». Cliquez ensuite sur « exporter ». La procédure va demander un mot de passe pour sauvegarder votre certificat. Ne l’oubliez pas. 1. Copiez votre certificat dans la machine \uimachine. Remplacez \file{cert.p12} par le nom exact de votre certificat dans toutes les commandes suivantes. Il a peut-être une extension « .pfx ». ‘ scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12 ‘ 1. Connectez-vous via \cmd{ssh} sur \uimachine\ et créez, dans votre « home directory », le répertoire \file{.globus}. Descendez dans ce répertoire. ‘ mkdir .globus cd .globus mv ~/cert.p12 . ‘ 1. Convertissez votre certificat au bon format et donnez-lui les bons droits. Pour utiliser la grille, vous avez besoin de deux fichiers \file{usercert.pem} et \file{userkey.pem} qui contiennent votre clé publique et votre clé privée. ‘ openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem ‘ Ces commandes vont vous demander d’entrer le mot de passe que vous avez utilisé pour créer le fichier \file{cert.p12}. Pour créer le fichier \file{userkey.pem}, la commande vous demande aussi de donner un nouveau mot de passe associé pour protéger le fichier. Normalement on utilise le même mot de passe que pour le fichier \file{cert.p12}. 1. Vérifiez que les fichiers disposent des bons droits. Le fichier \file{userkey.pem} doit avoir les droits 0400; le fichier \file{usercert.pem} doit avoir les droits 0444. Changez les droits avec \cmd{chmod} si nécessaire. ‘ ls -l ~/.globus chmod 0400 ~/.globus/userkey.pem chmod 0444 ~/.globus/usercert.pem ‘ 1. Repérez les différents champs du certificat (sujet, validité...) en lisant son contenu avec la commande \cmd{openssl}. ‘ openssl x509 -text -noout -in ~/.globus/usercert.pem ‘ Quel est votre « Subject »? Quelle est la date de fin de validité de votre certificat? = ={Manipulation d’un proxy} Pour permettre à vos jobs d’accéder aux services de la grille, vous devez créer un proxy. Un proxy est un fichier signé avec votre certificat qui est envoyé avec vos jobs. Les proxies sont valables pour une durée limitée, normalement 12 à 24 heures. 1. Depuis la machine \uimachine, demandez un proxy.\footnote{L’erreur « Cannot find file or dir: ... /.glite/vomses » est normale.} ‘ voms-proxy-init—voms vo.u-psud.fr ‘ Cette commande crée un fichier signé avec votre certificat que vos jobs peuvent utiliser pour accéder aux services de la grille. Il vous est demandé de donner votre mot de passe. 1. Affichez les informations du proxy créé. ‘ voms-proxy-info ‘ Les informations intéressantes sont le « subject », l’équivalent de votre « username » dans la grille, le « timeleft », le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy. 1. Supprimez explicitement le proxy. ‘ voms-proxy-destroy ‘ Cette commande supprime le proxy dans l’ordinateur local. Les copies éventuellement envoyées avec vos jobs ne sont pas affectées. Vérifiez que le proxy a bien été supprimé avec la commande \cmd{voms-proxy-info}. 1. Regardez les autres options disponibles avec la commande \cmd{voms-proxy-init}. (Utilisez \cmd{man} ou l’option « -help ».) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy. Normalement les valeurs par défauts sont correctes. Les anciennes commandes \cmd{grid-proxy-*} pour manipuler les proxies existent toujours. Mais ces commandes ne supportent pas de mettre les informations de votre VO dans le proxy. Les proxies VOMS sont 100\% compatibles avec l’ancien format et il est préférable d’utiliser les commandes \cmd{voms-proxy-*}. Il existe aussi des commandes \cmd{myproxy-*}. Elles permettent le renouvellement automatique des proxies pour des jobs de très longue durée. Ces commandes ne seront pas utilisées dans ce tutorial. = ={Utilisation des groupes et rôles dans une VO} Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Membership Server) peuvent définir des groupes et des rôles. Tous les groupes que vous avez le droit d’utiliser sont décrits dans votre proxy VOMS . Quand on crée un proxy, il est nécessaire de demander d’ajouter les rôles explicitement. Actuellement les groupes et les rôles ne sont pas respectés par tous les services grille. Dans le futur on pourra les utiliser pour le contrôle d’accès aux fichiers et aux services. 1. Pour lister les groupes de votre proxy utilisez la commande \cmd{voms-proxy-info} avec l’option « -all » (peut-être vous devrez créer un nouveau proxy avec \cmd{voms-proxy-init}). Les groupes dans les lignes marquées « attribute ». Une VO peut créer une hiérarchie dans les groupes. ‘ voms-proxy-info -all ‘ De quel(s) groupe(s) faites vous partie? 1. Ajouter le rôle « Tutorial1 » ou « Tutorial2 » dans votre proxy. La moitié des participants à ce tutoriel possède les droits pour utiliser le rôle « Tutorial1 » et les autres pour utiliser « Tutorial2 ». Si vous demandez un rôle pour lequel vous n’avez pas les droits, la commande \cmd{voms-proxy-init} échoue. ‘ voms-proxy-init—voms vo.u-psud.fr:/Role=Tutorial1 ‘ Vérifiez le rôle dans votre proxy avec la commande \cmd{voms-proxy-info}. Vérifiez aussi que la commande génère une erreur quand vous demandez le mauvais rôle. |
| | 30 | Votre certificat est installé dans votre browser. Pour utiliser la grille, on doit extraire ce certificat et l’installer dans le « User Interface » \uimachine. |
| | 31 | 1. Utilisez la fonction « export » de votre navigateur pour faire une sauvegarde de votre certificat au format pkcs12 (fichier .p12). \begin{description} |
| | 32 | * '''Firefox''' Sélectionnez le menu FireFox/Preferences . Cliquez sur « Avancer » à droite et l’onglet « Chiffrement ». Cliquez sur le bouton « Afficher les resultats... », sélectionnez votre certificat et utilisez la fonction « importer ». |
| | 33 | * ''' Mozilla ''' Dans le menu Edit/Preferences allez dans l’onglet « Privacy \& Security » puis dans « certificates ». Cliquez sur « Manage Certificates », et utilisez la fonction « backup ». |
| | 34 | * ''' Netscape ''' Cliquez sur l’icône « sécurité » (ou passez par le menu Communicator/outils/Information sur la sécurité), puis cliquez sur le choix « vos certificats ». |
| | 35 | * '''Internet Explorer ''' Dans le menu Outils/Options Internet, allez dans l’onglet « contenu » et cliquez sur « certificats ». Cliquez ensuite sur « exporter ». |
| | 36 | La procédure va demander un mot de passe pour sauvegarder votre certificat. Ne l’oubliez pas. |
| | 37 | 1. Copiez votre certificat dans la machine \uimachine. Remplacez \file{cert.p12} par le nom exact de votre certificat dans toutes les commandes suivantes. Il a peut-être une extension « .pfx ». |
| | 38 | 'scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12 ‘ |
| | 39 | 1. Connectez-vous via \cmd{ssh} sur \uimachine\ et créez, dans votre « home directory », le répertoire \file{.globus}. Descendez dans ce répertoire. ‘ mkdir .globus cd .globus mv ~/cert.p12 . ‘ |
| | 40 | 1. Convertissez votre certificat au bon format et donnez-lui les bons droits. Pour utiliser la grille, vous avez besoin de deux fichiers \file{usercert.pem} et \file{userkey.pem} qui contiennent votre clé publique et votre clé privée. ‘ openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem ‘ Ces commandes vont vous demander d’entrer le mot de passe que vous avez utilisé pour créer le fichier \file{cert.p12}. Pour créer le fichier \file{userkey.pem}, la commande vous demande aussi de donner un nouveau mot de passe associé pour protéger le fichier. Normalement on utilise le même mot de passe que pour le fichier \file{cert.p12}. |
| | 41 | 1. Vérifiez que les fichiers disposent des bons droits. Le fichier \file{userkey.pem} doit avoir les droits 0400; le fichier \file{usercert.pem} doit avoir les droits 0444. Changez les droits avec \cmd{chmod} si nécessaire. ‘ ls -l ~/.globus chmod 0400 ~/.globus/userkey.pem chmod 0444 ~/.globus/usercert.pem ‘ |
| | 42 | 1. Repérez les différents champs du certificat (sujet, validité...) en lisant son contenu avec la commande \cmd{openssl}. ‘ openssl x509 -text -noout -in ~/.globus/usercert.pem ‘ Quel est votre « Subject »? Quelle est la date de fin de validité de votre certificat? |
| | 43 | |
| | 44 | === Manipulation d’un proxy === |
| | 45 | Pour permettre à vos jobs d’accéder aux services de la grille, vous devez créer un proxy. Un proxy est un fichier signé avec votre certificat qui est envoyé avec vos jobs. Les proxies sont valables pour une durée limitée, normalement 12 à 24 heures. |
| | 46 | 1. Depuis la machine \uimachine, demandez un proxy.\footnote{L’erreur « Cannot find file or dir: ... /.glite/vomses » est normale.} ‘ voms-proxy-init—voms vo.u-psud.fr ‘ Cette commande crée un fichier signé avec votre certificat que vos jobs peuvent utiliser pour accéder aux services de la grille. Il vous est demandé de donner votre mot de passe. |
| | 47 | 1. Affichez les informations du proxy créé. ‘ voms-proxy-info ‘ Les informations intéressantes sont le « subject », l’équivalent de votre « username » dans la grille, le « timeleft », le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy. |
| | 48 | 1. Supprimez explicitement le proxy. ‘ voms-proxy-destroy ‘ Cette commande supprime le proxy dans l’ordinateur local. Les copies éventuellement envoyées avec vos jobs ne sont pas affectées. Vérifiez que le proxy a bien été supprimé avec la commande \cmd{voms-proxy-info}. |
| | 49 | 1. Regardez les autres options disponibles avec la commande \cmd{voms-proxy-init}. (Utilisez \cmd{man} ou l’option « -help ».) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy. Normalement les valeurs par défauts sont correctes. Les anciennes commandes \cmd{grid-proxy-*} pour manipuler les proxies existent toujours. Mais ces commandes ne supportent pas de mettre les informations de votre VO dans le proxy. Les proxies VOMS sont 100\% compatibles avec l’ancien format et il est préférable d’utiliser les commandes \cmd{voms-proxy-*}. Il existe aussi des commandes \cmd{myproxy-*}. Elles permettent le renouvellement automatique des proxies pour des jobs de très longue durée. Ces commandes ne seront pas utilisées dans ce tutorial. = ={Utilisation des groupes et rôles dans une VO} Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Membership Server) peuvent définir des groupes et des rôles. Tous les groupes que vous avez le droit d’utiliser sont décrits dans votre proxy VOMS . Quand on crée un proxy, il est nécessaire de demander d’ajouter les rôles explicitement. Actuellement les groupes et les rôles ne sont pas respectés par tous les services grille. Dans le futur on pourra les utiliser pour le contrôle d’accès aux fichiers et aux services. 1. Pour lister les groupes de votre proxy utilisez la commande \cmd{voms-proxy-info} avec l’option « -all » (peut-être vous devrez créer un nouveau proxy avec \cmd{voms-proxy-init}). Les groupes dans les lignes marquées « attribute ». Une VO peut créer une hiérarchie dans les groupes. ‘ voms-proxy-info -all ‘ De quel(s) groupe(s) faites vous partie? 1. Ajouter le rôle « Tutorial1 » ou « Tutorial2 » dans votre proxy. La moitié des participants à ce tutoriel possède les droits pour utiliser le rôle « Tutorial1 » et les autres pour utiliser « Tutorial2 ». Si vous demandez un rôle pour lequel vous n’avez pas les droits, la commande \cmd{voms-proxy-init} échoue. ‘ voms-proxy-init—voms vo.u-psud.fr:/Role=Tutorial1 ‘ Vérifiez le rôle dans votre proxy avec la commande \cmd{voms-proxy-info}. Vérifiez aussi que la commande génère une erreur quand vous demandez le mauvais rôle. |
