Context Navigation

Changes between Version 55 and Version 56 of Tutorial/Authorization

Timestamp:: May 16, 2008, 9:19:57 AM (17 years ago)
Author:: jouvin
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

Tutorial/Authorization

-              v55
+              v56
+== Demande de certificat ==
+== Demande et Configuration du Certificat ==
+=== Demande de certificat ===
 On va utiliser la procédure normale pour obtenir un certificat. Les certificats  pour cette formation ont une limite de validité de quelques jours. Normalement un  certificat a une limite de validité d’un an et peut être renouvelé.
+. Connectez-vous sur [http://igc.services.cnrs.fr/GRID-FR/certificats.html l’authorité de certification] CNRS pour la France. '''Il faut impérativement utiliser Internet Explorer ou Firefox dans cette phase.''' Si votre navigateur habituel est différent (par exemple Safari), il faudra après cette phase d'obtention du certificat, exporter le certificat reçu dans IE ou Firefox puis l'importer dans votre navigateur.
+. Cliquez sur "Certificat personnel" à gauche de la page.
+. Remplissez les données du premier formulaire. Pour le nom utilisez "Stagiaire1", "Stagiaire2", etc. Utilisez votre propre prénom. Cliquez sur "[suite]". La procédure vérifie votre adresse électronique. Il est impératif que vous fournissiez une adresse valide et que vous puissiez accéder à votre boîte aux lettres à distance.
+. Choisissez votre organisme, puis cliquez sur "[suite]". Indiquez CNRS.
+. Choisissez votre laboratoire en consultant la liste, puis cliquez sur "[suite]". Indiquez le LAL.
+. Un récapitulatif des informations apparaît. Vérifiez que les  informations sont correctes.  Si vous cliquez sur "[suite]", la demande est envoyée.
+. L’authorité de certification envoie un message électronique à l’adresse  que vous avez indiquée. Dans ce message il y a un lien que vous devez visiter  pour valider votre demande. Si vous utilisez les filtres SPAM, vérifiez que ce  message de confirmation n’est pas marqué comme SPAM.
+. Une fois la demande acceptée, vous allez recevoir un deuxième  message électronique contenant un lien à cliquer.  A  l’ouverture de la page correspondante, votre certificat est importé  dans votre navigateur. '' Vous devez ensuite utiliser le même navigateur que  vous avez utilisé pour faire la demande. ''
+ * Connectez-vous sur [http://igc.services.cnrs.fr/GRID-FR/certificats.html l’authorité de certification] CNRS pour la France. '''Il faut impérativement utiliser Internet Explorer ou Firefox dans cette phase.''' Si votre navigateur habituel est différent (par exemple Safari), il faudra après cette phase d'obtention du certificat, exporter le certificat reçu dans IE ou Firefox puis l'importer dans votre navigateur.
+== L’enregistrement dans une VO ==
+ * Cliquez sur "Certificat personnel" à gauche de la page.
+ * Remplissez les données du premier formulaire. Pour le nom utilisez "Stagiaire1", "Stagiaire2", etc. Utilisez votre propre prénom. Cliquez sur "[suite]". La procédure vérifie votre adresse électronique. Il est impératif que vous fournissiez une adresse valide et que vous puissiez accéder à votre boîte aux lettres à distance.
+ * Choisissez votre organisme, puis cliquez sur "[suite]". Indiquez CNRS.
+ * Choisissez votre laboratoire en consultant la liste, puis cliquez sur "[suite]". Indiquez le LAL.
+ * Un récapitulatif des informations apparaît. Vérifiez que les  informations sont correctes.  Si vous cliquez sur "[suite]", la demande est envoyée.
+ * L’authorité de certification envoie un message électronique à l’adresse  que vous avez indiquée. Dans ce message il y a un lien que vous devez visiter  pour valider votre demande. Si vous utilisez les filtres SPAM, vérifiez que ce  message de confirmation n’est pas marqué comme SPAM.
+ * Une fois la demande acceptée, vous allez recevoir un deuxième  message électronique contenant un lien à cliquer.  A  l’ouverture de la page correspondante, votre certificat est importé  dans votre navigateur. '' Vous devez ensuite utiliser le même navigateur que  vous avez utilisé pour faire la demande. ''
+=== L’enregistrement dans une VO ===
 L’accès aux ressources de la grille est contrôlé par des organisations  virtuelles (VO). Il est nécessaire d’être membre d’au moins une VO  . Une fois  que vous avez votre certificat, il est nécessaire de contacter le "VO Manager" d’une VO pour faire l’enregistrement.
- Le site du [https://cic.gridops.org CIC Operations  Portal] contient les informations pour les VOs  principales et le lien pour s’enregistrer dans ces VOs. Cette page ne contient pas  toutes les VOs. Il peut être nécessaire de contacter quelqu’un de votre  organisation pour connaître le serveur correct.
- Aujourd’hui, vous allez utiliser la VO "vo.lal.in2p3.fr".
-. Allez au serveur  [https://grid12.lal.in2p3.fr:8443/voms/vo.lal.in2p3.fr VOMS] pour la VO vo.lal.in2p3.fr avec un navigateur sur lequel votre certificat est installé.
-. Cliquez sur le lien "New user registration" dans la liste à  gauche.
-. Remplissez le formulaire et cliquez sur le bouton "I have read  and agree to the VO’s Usage Rules".
-. Vous allez recevoir un message électronique pour confirmer votre adresse  électronique. (Vérifiez encore que le message n’est pas marqué comme SPAM  .) Cliquez sur l’URL de confirmation indiquée.
-. Le "VO Manager" doit valider votre demande. Une fois  la demande validée, vous allez recevoir un message électronique.
+== Exportation, installation et utilisation du certificat ==
+Le site du [https://cic.gridops.org CIC Operations  Portal] contient les informations pour les VOs  principales et le lien pour s’enregistrer dans ces VOs. Cette page ne contient pas  toutes les VOs. Il peut être nécessaire de contacter quelqu’un de votre  organisation pour connaître le serveur correct.
+Votre certificat est installé dans votre browser. Pour utiliser la grille, on  doit extraire ce certificat et l’installer dans le "User Interface" grid11.lal.in2p3.fr.
+''Note: ce tutorial utilise la VO `vo.lal.in2p3.fr` dans les exemples et les exercices. Il faut remplacer cette VO par celle dont vous êtes réellement membre.''
+ * Allez au serveur  [https://grid12.lal.in2p3.fr:8443/voms/vo.lal.in2p3.fr VOMS] pour la VO vo.lal.in2p3.fr avec un navigateur sur lequel votre certificat est installé.
+ * Cliquez sur le lien "New user registration" dans la liste à  gauche.
+ * Remplissez le formulaire et cliquez sur le bouton "I have read  and agree to the VO’s Usage Rules".
+ * Vous allez recevoir un message électronique pour confirmer votre adresse  électronique. (Vérifiez encore que le message n’est pas marqué comme SPAM  .) Cliquez sur l’URL de confirmation indiquée.
+ * Le "VO Manager" doit valider votre demande. Une fois  la demande validée, vous allez recevoir un message électronique.
+=== Exportation, installation et utilisation du certificat ===
+Votre certificat est installé dans votre browser. Pour utiliser la grille, on  doit extraire ce certificat et l’installer dans le "User Interface" grid1*lal.in2p3.fr.
 . Utilisez la fonction "export" de votre navigateur pour faire  une sauvegarde de votre certificat au format pkcs12 (fichier .p12). Dans le dialogue d'exportation, veillez à '''sélectionner l'exportation de la clé privée''', si ce n'est pas le cas par défaut. Quelque soit le navigateur, il vous sera demandé un mot de passe pour protéger votre clé privée : '''il est très important''' de mettre un mot de passe correct (au moins 8 caractères, mélange de lettres, chiffres et ponctuation...).
   * '''Firefox''' Sélectionnez le menu FireFox/Preferences  . Cliquez sur  "Avancer" à droite et l’onglet "Chiffrement". Cliquez sur le bouton "Afficher les resultats", sélectionnez votre certificat et utilisez la fonction "importer".
   * ''' Mozilla ''' Dans le menu Edit/Preferences allez dans l’onglet "Privacy \& Security" puis dans "certificates".  Cliquez sur "Manage Certificates", et utilisez la fonction "backup".
   * ''' Netscape ''' Cliquez sur l’icône "sécurité" (ou passez par le menu Communicator/outils/Information sur la sécurité), puis cliquez sur le choix "vos certificats".
   * '''Internet Explorer ''' Dans le menu Outils/Options Internet, allez dans l’onglet "contenu" et cliquez sur "certificats".  Cliquez ensuite sur "exporter".
 . Connectez vous à un UI si ce n'est pas encore le cas. Vous pouvez utilisez l'UI publique `grid11.lal.in2p3.fr`. Dans ce cas utilisez `gsissh` (attention : `gsissh` suppose que vous soyez déjà enregistré dans la VO).
 . Copiez votre certificat sur votre UI, si ce n'est pas la machine sur laquelle il a été exporté (ou l'UI que vous utilisez).  Remplacez  ''cert.p12'' par le nom exact de votre certificat dans toutes les commandes suivantes. S'il a été exporté depuis Internet Explorer, il a probablement une extension `.pfx`. Pour cela vous pouvez utiliser la commande suivante (`mac-ensxx` est votre machine de travaill et `myuserid` est votre nom d'utilisateur sur cette machine) . ''Remarque : si votre répertoire `.globus` n'existe pas, vous devez le créer''.
+ * Utilisez la fonction "export" de votre navigateur pour faire  une sauvegarde de votre certificat au format pkcs12 (fichier .p12). Dans le dialogue d'exportation, veillez à '''sélectionner l'exportation de la clé privée''', si ce n'est pas le cas par défaut. Quelque soit le navigateur, il vous sera demandé un mot de passe pour protéger votre clé privée : '''il est très important''' de mettre un mot de passe correct (au moins 8 caractères, mélange de lettres, chiffres et ponctuation...).
+  * Firefox : Sélectionnez le menu FireFox/Preferences  . Cliquez sur  "Avancer" à droite et l’onglet "Chiffrement". Cliquez sur le bouton "Afficher les resultats", sélectionnez votre certificat et utilisez la fonction "importer".
+  * Mozilla  : Dans le menu Edit/Preferences allez dans l’onglet "Privacy \& Security" puis dans "certificates".  Cliquez sur "Manage Certificates", et utilisez la fonction "backup".
+  * Netscape  : Cliquez sur l’icône "sécurité" (ou passez par le menu Communicator/outils/Information sur la sécurité), puis cliquez sur le choix "vos certificats".
+  * Internet Explorer  : Dans le menu Outils/Options Internet, allez dans l’onglet "contenu" et cliquez sur "certificats".  Cliquez ensuite sur "exporter".
+ * Connectez vous à un UI si ce n'est pas encore le cas. Vous pouvez utilisez l'UI publique `grid1*lal.in2p3.fr`. Dans ce cas utilisez `gsissh` (attention : `gsissh` suppose que vous soyez déjà enregistré dans la VO).
+ * Copiez votre certificat sur votre UI, si ce n'est pas la machine sur laquelle il a été exporté (ou l'UI que vous utilisez).  Remplacez  ''cert.p12'' par le nom exact de votre certificat dans toutes les commandes suivantes. S'il a été exporté depuis Internet Explorer, il a probablement une extension `.pfx`. Pour cela vous pouvez utiliser la commande suivante (`mac-ensxx` est votre machine de travaill et `myuserid` est votre nom d'utilisateur sur cette machine) . ''Remarque : si votre répertoire `.globus` n'existe pas, vous devez le créer''.
 {{{
 scp myuserid@mac-enxx:cert.p12 ~/.globus/cert.p12
 }}}
 . Définir les droits d'accès au certificat : il doit impérativement être en lecture seule pour le propriétaire et sans droit pour les autres (0400) :
+ * Définir les droits d'accès au certificat : il doit impérativement être en lecture seule pour le propriétaire et sans droit pour les autres (0400) :
 {{{
 chmod 0400 usercert.p12
 …
 __Exercices__ :
 . Repérez les différents champs du certificat (sujet,  validité...) en lisant son contenu avec la commande '''openssl''' :
+Repérez les différents champs du certificat (sujet,  validité...) en lisant son contenu avec la commande `openssl`:
 {{{
 openssl pkcs12 -in ~/.globus/usercert.p12  -nokeys
 }}}
+. Quel est votre "Subject"?  Quelle est la date de fin de validité de votre certificat?
+ * Quel est votre "Subject"?
+ * Quelle est la date de fin de validité de votre certificat?
+== Manipulation d’un proxy ==
+== S'identifier sur la Grille ==
+=== Creation d'un Proxy ===
 Pour permettre à vos jobs d’accéder aux services de la grille, vous devez avoir un proxy. Un proxy est un un "clone" de votre certificat contenant des informations supplémentaires, telles que la VO à laquelle vous appartenez (ces extensions sont souvent appelées `extensions VOMS`).  Les proxies sont valables pour une durée limitée, normalement 12 à 24 heures.
+. Demander un `proxy` à l'aide de la commande `voms-proxy-init` (l’erreur `Cannot find file or dir: ... /.glite/vomses` est normale). Pour cette commande, vous devez entrer le mote de passe qui protège votre clé privée (défini à l'étape précédente) :
+Les principales commandes permettant d'obtenir un proxy et de le gérer sont :
+ * `voms-proxy-init --voms VO` : permet de créer un proxy à partir du certificat. Cette commande demande le mot de passe protégeant la clé privée créée à l'étape précédente. '''Il est très important d'utiliser l'option `--voms`'''. `VO` est le nom de votre VO.
+''Note: le message `Cannot find file or dir: ... /.glite/vomses` est normal.''
+ * `voms-proxy-info` : affiche les informations sur le proxy existant. Avec l'option `-all`, permet d'afficher la liste des groupes et roles activés.
+ * `voms-proxy-destroy` : supprime un proxy encore valide.
+ __Exercices__ :
+ * Demander un `proxy` à l'aide de la commande `voms-proxy-init` (). Pour cette commande, vous devez entrer le mote de passe qui protège votre clé privée (défini à l'étape précédente) :
 {{{
 voms-proxy-init -—voms vo.lal.in2p3.fr
 }}}
+. Affichez les informations du proxy créé. Les informations intéressantes sont le "subject", l’équivalent de votre "username" dans la grille, le "timeleft", le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy.
+ * Affichez les informations du proxy créé. Les informations intéressantes sont le "subject", l’équivalent de votre "username" dans la grille, le "timeleft", le temps durant lequel le certificat est encore valable, et le nom de fichier pour le proxy.
 {{{
 voms-proxy-info
 }}}
 . Supprimez explicitement le proxy. Cette commande supprime le proxy dans l’ordinateur local.  Les copies éventuellement envoyées avec vos jobs ne sont pas affectées.  Vérifiez que le proxy a bien été supprimé avec la commande `voms-proxy-info`.
+ * Supprimez explicitement le proxy. Cette commande supprime le proxy dans l’ordinateur local.  Les copies éventuellement envoyées avec vos jobs ne sont pas affectées.  Vérifiez que le proxy a bien été supprimé avec la commande `voms-proxy-info`.
 {{{
 voms-proxy-destroy
 }}}
 . Regardez les autres options disponibles avec la commande `voms-proxy-init`.  (Utilisez `man` ou l’option `--help`.) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy.  Normalement les valeurs par défauts sont correctes.
+ * Regardez les autres options disponibles avec la commande `voms-proxy-init`.  (Utilisez `man` ou l’option `--help`.) On peut changer, par exemple, la durée de vie et la taille (nombre de « bits ») du proxy.  Normalement les valeurs par défauts sont correctes.
 ''Note : les anciennes commandes `grid-proxy-*` pour manipuler les proxies existent toujours mais ne doivent plus être utilisées car elles ne permettent pas l'utilisation des groupes et rôles VOMS.  Il faut utiliser les commandes `voms-proxy-*`, comme documenté dans ce tutorial. Il est important d'utiliser l'option `--voms` lors de la création du proxy.''
 …
 Il existe aussi des commandes `myproxy-*`.  Elles permettent le renouvellement automatique des proxies pour des jobs de très longue durée.  Leur utilisation est présentée dans la partie de ce tutoriel sur [wiki:Tutorial/JobSubm#Renouvelerleproxyencoursdejob la soumission de jobs].
+== Utilisation des groupes et rôles dans une VO ==
+=== Utilisation des Groupes et Rôles dans une VO ===
 Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Membership Server) peuvent définir des groupes et des rôles.  Tous les groupes que vous avez le droit d’utiliser sont décrits dans votre proxy VOMS.  Quand on crée un proxy, il est nécessaire de demander d’ajouter les rôles explicitement.
 Actuellement les groupes et les rôles ne sont pas respectés par tous les services grille. Dans le futur on pourra les utiliser pour le contrôle d’accès aux fichiers et aux services.
+. Pour lister les groupes de votre proxy utilisez la commande '''voms-proxy-info''' avec l’option "-all" (peut-être vous devrez  créer un nouveau proxy avec '''voms-proxy-init'''). Les groupes dans les  lignes marquées "attribute".  Une VO peut créer une hiérarchie dans les groupes.
+  * '''{{{voms-proxy-info -all }}}'''   De quel(s) groupe(s) faites vous partie?
+. Ajouter le rôle "Tutorial1" ou "Tutorial2" dans votre proxy.  La moitié des participants à ce tutoriel possède les droits pour utiliser le rôle "Tutorial1" et les autres pour utiliser "Tutorial2".  Si vous demandez un rôle pour lequel vous n’avez pas les droits, la commande '''voms-proxy-init''' échoue.
+  * '''{{{voms-proxy-init—voms vo.lal.in2p3.fr:/Role=Tutorial1}}}'''
+Vérifiez le rôle dans votre proxy avec la commande '''voms-proxy-info'''.
+ * Pour lister les groupes de votre proxy utilisez la commande `voms-proxy-info`avec l’option "-all" (peut-être vous devrez  créer un nouveau proxy avec `voms-proxy-init`). Les groupes dans les  lignes marquées "attribute".  Une VO peut créer une hiérarchie dans les groupes.
+  * `voms-proxy-info -all` : de quel(s) groupe(s) faites vous partie?
+ * Ajouter le rôle "Tutorial1" ou "Tutorial2" dans votre proxy.  La moitié des participants à ce tutoriel possède les droits pour utiliser le rôle "Tutorial1" et les autres pour utiliser "Tutorial2".  Si vous demandez un rôle pour lequel vous n’avez pas les droits, la commande `voms-proxy-init`échoue.
+  * `voms-proxy-init—voms vo.lal.in2p3.fr:/Role=Tutorial1`Vérifiez le rôle dans votre proxy avec la commande `voms-proxy-info`.
 Vérifiez aussi que la commande génère une erreur quand vous demandez le mauvais rôle.