Context Navigation

Changes between Version 39 and Version 40 of Tutorial/Authorization

Timestamp:: May 18, 2007, 5:15:20 PM (17 years ago)
Author:: /C=FR/O=CNRS/OU=UMR8607/CN=Michel Jouvin/emailAddress=jouvin@…
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

Tutorial/Authorization

-                      v39
+                      v40
 [[TOC(inline)]]
+''Note : la plupart des exemples de ce tutoriel utilise la VO `vo.u-psud.fr`. On peut la remplacer par n'importe quelle autre VO (ex : `atlas`, `biomed`, `lhcb`). Le nom designant une VO est identique quel que soit le site de la grille utilisé. De même la machine utilisée dans le tutoriel est `grid11.lal.in2p3.fr` : elle peut être remplacée par n'importe quelle machine configurée comme une gLite UI (ex : les serveurs internes du LAL).''
 == Authentification et Autorisation ==
 …
 === Exportation, installation et utilisation du certificat ===
+Votre certificat est installé dans votre browser. Pour utiliser la grille, on  doit extraire ce certificat et l’installer dans le "User Interface" grid11.lal.in2p3.fr.
+. Utilisez la fonction "export" de votre navigateur pour faire  une sauvegarde de votre certificat au format pkcs12 (fichier .p12).
+Votre certificat est installé dans votre browser. Pour utiliser la grille, on  doit extraire ce certificat et l’installer dans le "User Interface" grid11.lal.in2p3.fr.
+. Utilisez la fonction "export" de votre navigateur pour faire  une sauvegarde de votre certificat au format pkcs12 (fichier .p12). Dans le dialogue d'exportation, veillez à '''sélectionner l'exportation de la clé privée''', si ce n'est pas le cas par défaut. Quelque soit le navigateur, il vous sera demandé un mot de passe pour protéger votre clé privée : '''il est très important''' de mettre un mot de passe correct (au moins 8 caractères, mélange de lettres, chiffres et ponctuation...).
   * '''Firefox''' Sélectionnez le menu FireFox/Preferences  . Cliquez sur  "Avancer" à droite et l’onglet "Chiffrement". Cliquez sur le bouton "Afficher les resultats", sélectionnez votre certificat et utilisez la fonction "importer".
   * ''' Mozilla ''' Dans le menu Edit/Preferences allez dans l’onglet "Privacy \& Security" puis dans "certificates".  Cliquez sur "Manage Certificates", et utilisez la fonction "backup".
   * ''' Netscape ''' Cliquez sur l’icône "sécurité" (ou passez par le menu Communicator/outils/Information sur la sécurité), puis cliquez sur le choix "vos certificats".
+  * '''Internet Explorer ''' Dans le menu Outils/Options Internet, allez dans l’onglet "contenu" et cliquez sur "certificats".  Cliquez ensuite sur "exporter". La procédure va demander un mot de passe pour sauvegarder votre certificat. Ne  l’oubliez pas.
+. Copiez votre certificat dans la machine grid11.lal.in2p3.fr.  Remplacez  ''cert.p12'' par le nom exact de votre certificat dans toutes les commandes suivantes. Il a peut-être une extension ".pfx".
+  * '''{{{scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12}}}'''
+. Connectez-vous via '''ssh''' sur grid11.lal.in2p3.fr et  créez, dans votre "home directory", le répertoire ''.globus''.  Descendez dans ce répertoire.
+  * '''{{{mkdir .globus}}}'''
+  * '''{{{cd .globus}}}'''
+  * '''{{{mv ~/cert.p12 . }}}'''
+. Convertissez votre certificat au bon format et donnez-lui les bons  droits.  Pour utiliser la grille, vous avez besoin de deux fichiers ''usercert.pem'' et ''userkey.pem'' qui contiennent votre clé publique et votre clé privée.
+  * '''{{{openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem  }}}'''
+  * '''{{{openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem }}}'''                                                                                     Ces commandes vont vous demander d’entrer le mot de passe que vous avez utilisé pour  créer le fichier ''cert.p12''.  Pour créer le fichier  ''userkey.pem'', la commande vous demande aussi de donner un nouveau mot de passe  associé pour protéger le fichier.  Normalement on utilise le même mot de passe  que pour le fichier ''cert.p12''.
+. Vérifiez que les fichiers disposent des bons droits.  Le fichier  ''userkey.pem'' doit avoir les droits 0400; le fichier ''usercert.pem'' doit avoir les droits 0444.  Changez les droits avec '''chmod''' si nécessaire.
+  * '''{{{ls -l ~/.globus }}}'''
+  * '''{{{chmod 0400 ~/.globus/userkey.pem  }}}'''
+  * '''{{{chmod 0444 ~/.globus/usercert.pem  }}}'''
+. Repérez les différents champs du certificat (sujet,  validité...) en lisant son contenu avec la commande '''openssl'''.
+  * '''{{{openssl x509 -text -noout -in ~/.globus/usercert.pem }}}'''
+Quel est votre "Subject"?  Quelle est la date de fin de validité de votre certificat?
+  * '''Internet Explorer ''' Dans le menu Outils/Options Internet, allez dans l’onglet "contenu" et cliquez sur "certificats".  Cliquez ensuite sur "exporter".
+. Copiez votre certificat dans la machine grid11.lal.in2p3.fr (ou l'UI que vous utilisez).  Remplacez  ''cert.p12'' par le nom exact de votre certificat dans toutes les commandes suivantes. S'il a été exporté depuis Internet Explorer, il a probablement une extension `.pfx`.
+{{{scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12}}}
+. Connectez-vous via '''ssh''' sur grid11.lal.in2p3.fr et  créez, dans votre "home directory", le répertoire ''.globus'', descendez dans ce répertoire et copiez y le certificat exporté précédemment (le nom `usercert.p12` est imposé) :
+{{{
+mkdir .globus
+cd .globus
+mv ~/cert.p12 usercert.p12
+}}}
+. Définir les droits d'accès au certificat : il doit impérativement être en lecture seule pour le propriétaire et sans droit pour les autres (0400) :
+{{{
+chmod 0400 usercert.p12
+}}}
+''Note : si votre répertoire `.globus` existe déjà et contient des fichiers avec l'extension `.pem`, il faut les supprimer.''
+__Exercices__ :
+. Repérez les différents champs du certificat (sujet,  validité...) en lisant son contenu avec la commande '''openssl''' :
+{{{
+openssl pkcs12 -in ~/.globus/usercert.p12  -nokeys
+}}}
+. Quel est votre "Subject"?  Quelle est la date de fin de validité de votre certificat?
 === Manipulation d’un proxy ===
-Pour permettre à vos jobs d’accéder aux services de la grille, vous devez créer un proxy. Un proxy est un fichier signé avec votre certificat qui est envoyé avec vos jobs.  Les proxies sont valables pour une durée limitée, normalement 12 à 24 heures.
-. Depuis la machine grid11.lal.in2p3.fr, demandez un proxy ''(L’erreur « Cannot find file or dir: ... /.glite/vomses » est normale)''.
-  * '''{{{voms-proxy-init—voms vo.u-psud.fr }}}''' Cette commande crée un fichier signé avec votre certificat que vos jobs peuvent utiliser pour accéder aux services de la grille.  Il vous est demandé de donner votre mot de passe.
-. Affichez les informations du proxy créé.
-  * '''{{{voms-proxy-info }}}'''   Les informations intéressantes sont le "subject", l’équivalent de votre "username" dans la grille, le "timeleft", le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy.
-. Supprimez explicitement le proxy.
-  * '''{{{voms-proxy-destroy }}}'''   Cette commande supprime le proxy dans l’ordinateur local.  Les copies éventuellement envoyées avec vos jobs ne sont pas affectées.  Vérifiez que le proxy a bien été supprimé avec la commande '''voms-proxy-info.'''
-. Regardez les autres options disponibles avec la commande '''voms-proxy-init'''.  (Utilisez '''man''' ou l’option "-help".) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy.  Normalement les valeurs par défauts sont correctes.
-Les anciennes commandes '''grid-proxy-*''' pour manipuler les proxies existent toujoursmais ne doivent plus être utilisées car elles ne permettent pas l'utilisation des groupes et rôles VOMS.  Il est faut utiliser les commandes '''voms-proxy-*''', comme documenté dans ce tutorial.
+Il existe aussi des commandes '''myproxy-*'''.  Elles permettent le renouvellement automatique des proxies pour des jobs de très longue durée.  Leur utilisation est présentée dans la partie sur la soumission de jobs.
+Pour permettre à vos jobs d’accéder aux services de la grille, vous devez avoir un proxy. Un proxy est un un "clone" de votre certificat contenant des informations supplémentaires, telles que la VO à laquelle vous appartenez (ces extensions sont souvent appelées `extensions VOMS`).  Les proxies sont valables pour une durée limitée, normalement 12 à 24 heures.
+. Demander un `proxy` à l'aide de la commande `voms-proxy-init` (l’erreur `Cannot find file or dir: ... /.glite/vomses` est normale). Pour cette commande, vous devez entrer le mote de passe qui protège votre clé privée (défini à l'étape précédente) :
+{{{
+voms-proxy-init -—voms vo.u-psud.fr
+}}}
+. Affichez les informations du proxy créé. Les informations intéressantes sont le "subject", l’équivalent de votre "username" dans la grille, le "timeleft", le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy.
+{{{
+voms-proxy-info
+}}}
+. Supprimez explicitement le proxy. Cette commande supprime le proxy dans l’ordinateur local.  Les copies éventuellement envoyées avec vos jobs ne sont pas affectées.  Vérifiez que le proxy a bien été supprimé avec la commande `voms-proxy-info`.
+{{{
+voms-proxy-destroy
+}}}
+. Regardez les autres options disponibles avec la commande `voms-proxy-init`.  (Utilisez `man` ou l’option `--help`.) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy.  Normalement les valeurs par défauts sont correctes.
+''Note : les anciennes commandes `grid-proxy-*` pour manipuler les proxies existent toujours mais ne doivent plus être utilisées car elles ne permettent pas l'utilisation des groupes et rôles VOMS.  Il faut utiliser les commandes `voms-proxy-*`, comme documenté dans ce tutorial. Il est important d'utiliser l'option `--voms` lors de la création du proxy.''
+Il existe aussi des commandes `myproxy-*`.  Elles permettent le renouvellement automatique des proxies pour des jobs de très longue durée.  Leur utilisation est présentée dans la partie sur la soumission de jobs.
 === Utilisation des groupes et rôles dans une VO ===