| 6 | | == Demande de certificat == |
| 7 | | |
| 8 | | On va utiliser la proc ́edure normale pour obtenir un certificat. Les certifi- |
| 9 | | cats pour cette formation ont une limite de validit ́e de quelques jours. Norma- |
| 10 | | lement un certificat a une limite de validit ́e d’un an et peut ˆetre renouvell ́e. |
| 11 | | |
| 12 | | 1. Connectez-vous sur [http://igc.services.cnrs.fr/GRID-FR/certificats.html l’authorit ́e de certification] CNRS pour la France. N’utilisez pas le navigateur safari. |
| 13 | | 1. Cliquez sur “Certificat personnel” `a gauche de la page. |
| 14 | | 1. Remplissez les donn ́ees du premier formulaire. Pour le nom utilisez “Etu-diantUn”, “EtudiantDeux”, etc. Utilisez votre propre prenom. Cliquez sur “[suite]”. La proc ́edure v ́erifie votre adresse ́electronique. Il est imp ́eratif que vous fournissiez une adresse valide et que vous puissiez acc ́eder `a votre boˆıte aux lettres `a distance. |
| 15 | | 1. Choisissez votre organisme, puis cliquez sur “[suite]”. Indiquez CNRS. |
| 16 | | 1. Choisissez votre laboratoire en consultant la liste, puis cliquez sur “[suite]”. |
| 17 | | Indiquez le LAL. |
| 18 | | 1. Un r ́ecapitulatif des informations apparaˆıt. V ́erifiez que les informations |
| 19 | | sont correctes. Si vous cliquez sur “[suite]”, la demande est envoy ́ee. |
| 20 | | 1. L’authorit ́e de certification envoie un message ́electronique `a l’adresse |
| 21 | | que vous avez indiqu ́ee. Dans ce message il y a un lien que vous de- |
| 22 | | vez visiter pour valider votre demande. Si vous utilisez les filtres SPAM, |
| 23 | | v ́erifiez que ce message de confirmation n’est pas marqu ́e comme SPAM. |
| 24 | | 1. Une fois la demande accept ́ee, vous allez recevoir un deuxi `eme message |
| 25 | | ́electronique contenant un lien `a cliquer. A l’ouverture de la page corres- |
| 26 | | pondante, votre certificat est import ́e dans votre navigateur. Vous devez |
| 27 | | ensuite utiliser le mˆeme navigateur que vous avez utilis ́e pour faire la demande. |
| 28 | | |
| 29 | | == L’enregistrement dans une VO == |
| 30 | | L’acc `es aux ressources de la grille est contr ˆol ́e par des organisations vir- |
| 31 | | tuelles (VO). Il est n ́ecessaire d’ ˆetre membre d’au moins une VO. Une fois que |
| 32 | | vous avez votre certificat, il est n ́ecessaire de contacter le “VO Manager ” d’une |
| 33 | | VO pour faire l’enregistrement. |
| 34 | | Le site du “CIC Operations Portal”3 contient les informations pour les VOs |
| 35 | | principales et le lien pour s’enregistrer dans ces VOs. Cette page ne contient |
| 36 | | pas toutes les VOs. Il peut ˆetre n ́ecessaire de contacter quelqu’un de votre or- |
| 37 | | ganisation pour connaˆıtre le serveur correct. |
| 38 | | Aujourd’hui, vous allez utiliser la VO “vo.u-psud.fr ”. |
| 39 | | 1. Allez au serveur VOMS4 pour la VO vo.u-psud.fravec un navigateur sur |
| 40 | | lequel votre certificat est install ́e. |
| 41 | | 2. Cliquez sur le lien “New user registration” dans la liste `a gauche. |
| 42 | | 3. Remplissez le formulaire et cliquez sur le bouton “I have read and agree |
| 43 | | to the VO’s Usage Rules”. |
| 44 | | 4. Vous allez recevoir un message ́electronique pour confirmer votre adresse |
| 45 | | ́electronique. (V ́erifiez encore que le message n’est pas marqu ́e comme |
| 46 | | SPAM.) Cliquez sur l’URL de confirmation indiqu ́ee. |
| 47 | | 5. Le “VO Manager ” doit valider votre demande. Une fois la demande va- |
| 48 | | lid ́ee, vous allez recevoir un message ́electronique. |
| 49 | | 3 |
| 50 | | https ://cic.gridops.org/ |
| 51 | | 4 |
| 52 | | https ://grid12.lal.in2p3.fr :8443/voms/vo.u-psud.fr |
| 53 | | 3 |
| 54 | | |
| 55 | | == Exportation, installation et utilisation du certificat == |
| 56 | | Votre certificat est install ́e dans votre browser. Pour utiliser la grille, on doit |
| 57 | | extraire ce certificat et l’installer dans le “User Interface” grid11.lal.in2p3.fr. |
| 58 | | 1. Utilisez la fonction “export” de votre navigateur pour faire une sauve- |
| 59 | | garde de votre certificat au format pkcs12 (fichier .p12). |
| 60 | | Firefox S ́electionnez le menu FireFox/Preferences. Cliquez sur “Avan- |
| 61 | | cer ” `a droite et l’onglet “Chiffrement”. Cliquez sur le bouton “Affi- |
| 62 | | cher les resultats...”, s ́electionnez votre certificat et utilisez la fonc- |
| 63 | | tion “importer ”. |
| 64 | | Mozilla Dans le menu Edit/Preferences allez dans l’onglet “Privacy & |
| 65 | | Security” puis dans “certificates”. Cliquez sur “Manage Certifica- |
| 66 | | tes”, et utilisez la fonction “backup”. |
| 67 | | Netscape Cliquez sur l’ic ˆone “s ́ecurit ́e” (ou passez par le menu Commu- |
| 68 | | nicator/outils/Information sur la s ́ecurit ́e), puis cliquez sur le choix |
| 69 | | “vos certificats”. |
| 70 | | Internet Explorer Dans le menu Outils/Options Internet, allez dans l’on- |
| 71 | | glet “contenu” et cliquez sur “certificats”. Cliquez ensuite sur “ex- |
| 72 | | porter ”. |
| 73 | | La proc ́edure va demander un mot de passe pour sauvegarder votre cer- |
| 74 | | tificat. Ne l’oubliez pas. |
| 75 | | 2. Copiez votre certificat dans la machine grid11.lal.in2p3.fr. Remplacez cert.p12 |
| 76 | | par le nom exact de votre certificat dans toutes les commandes suivantes. |
| 77 | | Il a peut- ˆetre une extension “.pfx”. |
| 78 | | scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12 |
| 79 | | 3. Connectez-vous via ssh sur grid11.lal.in2p3.fr et cr ́eez, dans votre “home |
| 80 | | directory”, le r ́epertoire .globus. Descendez dans ce r ́epertoire. |
| 81 | | mkdir .globus |
| 82 | | cd .globus |
| | 6 | == Authentification et Autorisation == |
| | 7 | |
| | 8 | === Demande de certificat === |
| | 9 | |
| | 10 | On va utiliser la procédure normale pour obtenir un certificat. Les certificats |
| | 11 | pour cette formation ont une limite de validité de quelques jours. Normalement un |
| | 12 | certificat a une limite de validité d'un an et peut être renouvellé. |
| | 13 | |
| | 14 | |
| | 15 | 1. Connectez-vous sur [http://igc.services.cnrs.fr/GRID-FR/certificats.html l'authorité de |
| | 16 | certification] CNRS pour la France. '''N'utilisez pas le navigateur safari'''. |
| | 17 | |
| | 18 | 1. Cliquez sur ``Certificat personnel'' à gauche de la page. |
| | 19 | |
| | 20 | 1. Remplissez les données du premier formulaire. Pour le nom utilisez |
| | 21 | ``EtudiantUn'', ``EtudiantDeux'', etc. Utilisez votre propre prenom. Cliquez sur |
| | 22 | ``[suite]''. La procédure vérifie votre adresse électronique. Il est impératif |
| | 23 | que vous fournissiez une adresse valide et que vous puissiez accéder à votre boîte |
| | 24 | aux lettres à distance. |
| | 25 | |
| | 26 | 1. Choisissez votre organisme, puis cliquez sur ``[suite]''. Indiquez CNRS\@. |
| | 27 | |
| | 28 | \item Choisissez votre laboratoire en consultant la liste, puis cliquez sur |
| | 29 | ``[suite]''. Indiquez le LAL\@. |
| | 30 | |
| | 31 | \item Un récapitulatif des informations apparaît. Vérifiez que les |
| | 32 | informations sont correctes. Si vous cliquez sur ``[suite]'', la |
| | 33 | demande est envoyée. |
| | 34 | |
| | 35 | \item L'authorité de certification envoie un message électronique à l'adresse |
| | 36 | que vous avez indiquée. Dans ce message il y a un lien que vous devez visiter |
| | 37 | pour valider votre demande. Si vous utilisez les filtres SPAM, vérifiez que ce |
| | 38 | message de confirmation n'est pas marqué comme SPAM\@. |
| | 39 | |
| | 40 | \item Une fois la demande acceptée, vous allez recevoir un deuxième |
| | 41 | message électronique contenant un lien à cliquer. A |
| | 42 | l'ouverture de la page correspondante, votre certificat est importé |
| | 43 | dans votre navigateur. \em{Vous devez ensuite utiliser le même navigateur que |
| | 44 | vous avez utilisé pour faire la demande}. |
| | 45 | |
| | 46 | \end{enumerate} |
| | 47 | |
| | 48 | \subsection{L'enregistrement dans une VO} |
| | 49 | |
| | 50 | L'accès aux ressources de la grille est contrôlé par des organisations |
| | 51 | virtuelles (VO). Il est nécessaire d'être membre d'au moins une VO\@. Une fois |
| | 52 | que vous avez votre certificat, il est nécessaire de contacter le ``VO Manager'' |
| | 53 | d'une VO pour faire l'enregistrement. |
| | 54 | |
| | 55 | Le site du \htmladdnormallinkfoot{``CIC Operations |
| | 56 | Portal''}{https://cic.gridops.org/} contient les informations pour les VOs |
| | 57 | principales et le lien pour s'enregistrer dans ces VOs. Cette page ne contient pas |
| | 58 | toutes les VOs\@. Il peut être nécessaire de contacter quelqu'un de votre |
| | 59 | organisation pour connaître le serveur correct. |
| | 60 | |
| | 61 | Aujourd'hui, vous allez utiliser la VO ``\voname''. |
| | 62 | |
| | 63 | \begin{enumerate} |
| | 64 | |
| | 65 | \item Allez au serveur |
| | 66 | \htmladdnormallinkfoot{VOMS}{https://grid12.lal.in2p3.fr:8443/voms/\voname} |
| | 67 | pour la VO \voname avec un navigateur sur lequel votre certificat est |
| | 68 | installé. |
| | 69 | |
| | 70 | \item Cliquez sur le lien ``New user registration'' dans la liste à |
| | 71 | gauche. |
| | 72 | |
| | 73 | \item Remplissez le formulaire et cliquez sur le bouton ``I have read |
| | 74 | and agree to the VO's Usage Rules''. |
| | 75 | |
| | 76 | \item Vous allez recevoir un message électronique pour confirmer votre adresse |
| | 77 | électronique. (Vérifiez encore que le message n'est pas marqué comme SPAM\@.) |
| | 78 | Cliquez sur l'URL de confirmation indiquée. |
| | 79 | |
| | 80 | \item Le ``VO Manager'' doit valider votre demande. Une fois |
| | 81 | la demande validée, vous allez recevoir un message électronique. |
| | 82 | |
| | 83 | \end{enumerate} |
| | 84 | |
| | 85 | \subsection{Exportation, installation et utilisation du certificat} |
| | 86 | |
| | 87 | Votre certificat est installé dans votre browser. Pour utiliser la grille, on |
| | 88 | doit extraire ce certificat et l'installer dans le ``User Interface'' \uimachine. |
| | 89 | |
| | 90 | \begin{enumerate} |
| | 91 | |
| | 92 | \item Utilisez la fonction ``export'' de votre navigateur pour faire |
| | 93 | une sauvegarde de votre certificat au format pkcs12 (fichier .p12). |
| | 94 | |
| | 95 | \begin{description} |
| | 96 | |
| | 97 | \item[Firefox] Sélectionnez le menu FireFox/Preferences\@. Cliquez sur |
| | 98 | ``Avancer'' à droite et l'onglet ``Chiffrement''. Cliquez sur le bouton ``Afficher les resultats...'', |
| | 99 | sélectionnez votre certificat et utilisez la fonction |
| | 100 | ``importer''. |
| | 101 | |
| | 102 | \item[Mozilla] Dans le menu Edit/Preferences allez dans l'onglet |
| | 103 | ``Privacy \& Security'' puis dans ``certificates''. Cliquez sur |
| | 104 | ``Manage Certificates'', et utilisez la fonction ``backup''. |
| | 105 | |
| | 106 | \item[Netscape] Cliquez sur l'icône ``sécurité'' (ou passez par le |
| | 107 | menu Communicator/outils/Information sur la sécurité), puis cliquez |
| | 108 | sur le choix ``vos certificats''. |
| | 109 | |
| | 110 | \item[Internet Explorer] Dans le menu Outils/Options Internet, allez |
| | 111 | dans l'onglet ``contenu'' et cliquez sur ``certificats''. Cliquez |
| | 112 | ensuite sur ``exporter''. |
| | 113 | |
| | 114 | \end{description} |
| | 115 | |
| | 116 | La procédure va demander un mot de passe pour sauvegarder votre certificat. Ne |
| | 117 | l'oubliez pas. |
| | 118 | |
| | 119 | \item Copiez votre certificat dans la machine \uimachine. Remplacez |
| | 120 | \file{cert.p12} par le nom exact de votre certificat dans toutes |
| | 121 | les commandes suivantes. Il a peut-être une extension ``.pfx''. |
| | 122 | |
| | 123 | \begin{yexample}\begin{verbatim} |
| | 124 | scp cert.p12 etud01@grid11.lal.in2p3.fr:~/cert.p12 |
| | 125 | \end{verbatim}\end{yexample} |
| | 126 | |
| | 127 | \item Connectez-vous via \cmd{ssh} sur \uimachine\ et |
| | 128 | créez, dans votre ``home directory'', le répertoire \file{.globus}. |
| | 129 | Descendez dans ce répertoire. |
| | 130 | |
| | 131 | \begin{yexample}\begin{verbatim} |
| | 132 | mkdir .globus |
| | 133 | cd .globus |
| 84 | | 4. Convertissez votre certificat au bon format et donnez-lui les bons droits. |
| 85 | | Pour utiliser la grille, vous avez besoin de deux fichiers usercert.pem et |
| 86 | | userkey.pem qui contiennent votre cl ́e publique et votre cl ́e priv ́ee. |
| 87 | | openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem |
| 88 | | openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem |
| 89 | | Ces commandes vont vous demander d’entrer le mot de passe que vous |
| 90 | | avez utilis ́e pour cr ́eer le fichier cert.p12. Pour cr ́eer le fichier userkey.pem, |
| 91 | | la commande vous demande aussi de donner un nouveau mot de passe |
| 92 | | associ ́e pour prot ́eger le fichier. Normalement on utilise le mˆeme mot de |
| 93 | | passe que pour le fichier cert.p12. |
| 94 | | 4 |
| 95 | | 5. V ́erifiez que les fichiers disposent des bons droits. Le fichier userkey.pem |
| 96 | | doit avoir les droits 0400 ; le fichier usercert.pem doit avoir les droits 0444. |
| 97 | | Changez les droits avec chmod si n ́ecessaire. |
| 98 | | ls -l ~/.globus |
| 99 | | chmod 0400 ~/.globus/userkey.pem |
| 100 | | chmod 0444 ~/.globus/usercert.pem |
| 101 | | 6. Rep ́erez les diff ́erents champs du certificat (sujet, validit ́e...) en lisant son |
| 102 | | contenu avec la commande openssl. |
| 103 | | openssl x509 -text -noout -in ~/.globus/usercert.pem |
| 104 | | Quel est votre “Subject” ? Quelle est la date de fin de validit ́e de votre |
| 105 | | certificat ? |
| 106 | | |
| 107 | | == Manipulation d’un proxy == |
| 108 | | |
| 109 | | Pour permettre `a vos jobs d’acc ́eder aux services de la grille, vous devez |
| 110 | | cr ́eer un proxy. Un proxy est un fichier sign ́e avec votre certificat qui est envoy ́e |
| 111 | | avec vos jobs. Les proxies sont valables pour une dur ́ee limit ́ee, normalement |
| 112 | | 12 `a 24 heures. |
| 113 | | 1. Depuis la machine grid11.lal.in2p3.fr, demandez un proxy.5 |
| 114 | | voms-proxy-init --voms vo.u-psud.fr |
| 115 | | Cette commande cr ́ee un fichier sign ́e avec votre certificat que vos jobs |
| 116 | | peuvent utiliser pour acc ́eder aux services de la grille. Il vous est de- |
| 117 | | mand ́e de donner votre mot de passe. |
| 118 | | 2. Affichez les informations du proxy cr ́e ́e. |
| 119 | | voms-proxy-info |
| 120 | | Les informations int ́eressantes sont le “subject”, l’ ́equivalent de votre |
| 121 | | “username” dans la grille, le “timeleft”, le temps durant lequel le cer- |
| 122 | | tificat est encore valable, et le nom de fichier pour le proxy. |
| 123 | | 3. Supprimez explicitement le proxy. |
| 124 | | voms-proxy-destroy |
| 125 | | Cette commande supprime le proxy dans l’ordinateur local. Les copies |
| 126 | | ́eventuellement envoy ́ees avec vos jobs ne sont pas affect ́ees. V ́erifiez que |
| 127 | | le proxy a bien ́et ́e supprim ́e avec la commande voms-proxy-info. |
| 128 | | 4. Regardez les autres options disponibles avec la commande voms-proxy- |
| 129 | | init. (Utilisez man ou l’option “-help”.) On peut changer, par exemple, |
| 130 | | 5 |
| 131 | | L’erreur “Cannot find file or dir : ... /.glite/vomses” est normale. |
| 132 | | 5 |
| 133 | | la dur ́ee de vie et la taille (nombre de “bits”) du proxy. Normalement les |
| 134 | | valeurs par d ́efauts sont correctes. |
| 135 | | Les anciennes commandes grid-proxy-* pour manipuler les proxies existent |
| 136 | | toujours. Mais ces commandes ne supportent pas de mettre les informations de |
| 137 | | votre VO dans le proxy. Les proxies VOMS sont 100% compatibles avec l’ancien |
| 138 | | format et il est pr ́ef ́erable d’utiliser les commandes voms-proxy-*. |
| 139 | | Il existe aussi des commandes myproxy-*. Elles permettent le renouvelle- |
| 140 | | ment automatique des proxies pour des jobs de tr `es longue dur ́ee. Ces com- |
| 141 | | mandes ne seront pas utilis ́ees dans ce tutorial. |
| 142 | | 2.5 Utilisation des groupes et r ˆoles dans une VO |
| 143 | | Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Mem- |
| 144 | | bership Server) peuvent d ́efinir des groupes et des r ˆoles. Tous les groupes que |
| 145 | | vous avez le droit d’utiliser sont d ́ecrits dans votre proxy VOMS. Quand on |
| 146 | | cr ́ee un proxy, il est n ́ecessaire de demander d’ajouter les r ˆoles explicitement. |
| 147 | | Actuellement les groupes et les r ˆoles ne sont pas respect ́es par tous les ser- |
| 148 | | vices grille. Dans le futur on pourra les utiliser pour le contr ˆole d’acc `es aux |
| 149 | | fichiers et aux services. |
| 150 | | 1. Pour lister les groupes de votre proxy utilisez la commande voms-proxy- |
| 151 | | info avec l’option “-all” (peut- ˆetre vous devrez cr ́eer un nouveau proxy |
| 152 | | avec voms-proxy-init). Les groupes dans les lignes marqu ́ees “attribute”. |
| 153 | | Une VO peut cr ́eer une hi ́erarchie dans les groupes. |
| 154 | | voms-proxy-info -all |
| 155 | | De quel(s) groupe(s) faites vous partie ? |
| 156 | | 2. Ajouter le r ˆole “Tutorial1” ou “Tutorial2” dans votre proxy. La moiti ́e des |
| 157 | | participants `a ce tutoriel poss `ede les droits pour utiliser le r ˆole “Tuto- |
| 158 | | rial1” et les autres pour utiliser “Tutorial2”. Si vous demandez un r ˆole |
| 159 | | pour lequel vous n’avez pas les droits, la commande voms-proxy-init |
| 160 | | ́echoue. |
| 161 | | voms-proxy-init --voms vo.u-psud.fr:/Role=Tutorial1 |
| 162 | | V ́erifiez le r ˆole dans votre proxy avec la commande voms-proxy-info. |
| 163 | | V ́erifiez aussi que la commande g ́en `ere une erreur quand vous demandez |
| 164 | | le mauvais r ˆole. |
| | 135 | \end{verbatim}\end{yexample} |
| | 136 | |
| | 137 | \item Convertissez votre certificat au bon format et donnez-lui les bons |
| | 138 | droits. Pour utiliser la grille, vous avez besoin de deux fichiers |
| | 139 | \file{usercert.pem} et \file{userkey.pem} qui contiennent votre clé |
| | 140 | publique et votre clé privée. |
| | 141 | |
| | 142 | \begin{yexample}\begin{verbatim} |
| | 143 | openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem |
| | 144 | openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem |
| | 145 | \end{verbatim}\end{yexample} |
| | 146 | |
| | 147 | Ces commandes vont vous demander d'entrer le mot de passe que vous avez utilisé pour |
| | 148 | créer le fichier \file{cert.p12}. Pour créer le fichier |
| | 149 | \file{userkey.pem}, la commande vous demande aussi de donner un nouveau mot de passe |
| | 150 | associé pour protéger le fichier. Normalement on utilise le même mot de passe |
| | 151 | que pour le fichier \file{cert.p12}. |
| | 152 | |
| | 153 | \item Vérifiez que les fichiers disposent des bons droits. Le fichier |
| | 154 | \file{userkey.pem} doit avoir les droits 0400; le fichier |
| | 155 | \file{usercert.pem} doit avoir les droits 0444. Changez les droits |
| | 156 | avec \cmd{chmod} si nécessaire. |
| | 157 | |
| | 158 | \begin{yexample}\begin{verbatim} |
| | 159 | ls -l ~/.globus |
| | 160 | chmod 0400 ~/.globus/userkey.pem |
| | 161 | chmod 0444 ~/.globus/usercert.pem |
| | 162 | \end{verbatim}\end{yexample} |
| | 163 | |
| | 164 | \item Repérez les différents champs du certificat (sujet, |
| | 165 | validité...) en lisant son contenu avec la commande \cmd{openssl}. |
| | 166 | |
| | 167 | \begin{yexample}\begin{verbatim} |
| | 168 | openssl x509 -text -noout -in ~/.globus/usercert.pem |
| | 169 | \end{verbatim}\end{yexample} |
| | 170 | |
| | 171 | Quel est votre ``Subject''? Quelle est la date de fin de validité |
| | 172 | de votre certificat? |
| | 173 | |
| | 174 | \end{enumerate} |
| | 175 | |
| | 176 | \subsection{Manipulation d'un proxy} |
| | 177 | |
| | 178 | Pour permettre à vos jobs d'accéder aux services de la grille, |
| | 179 | vous devez créer un proxy. Un proxy est un fichier signé avec votre |
| | 180 | certificat qui est envoyé avec vos jobs. Les proxies sont |
| | 181 | valables pour une durée limitée, normalement 12 à 24 heures. |
| | 182 | |
| | 183 | \begin{enumerate} |
| | 184 | |
| | 185 | \item Depuis la machine \uimachine, demandez un proxy.\footnote{L'erreur |
| | 186 | ``Cannot find file or dir: ... /.glite/vomses'' est normale.} |
| | 187 | |
| | 188 | \begin{yexample}\begin{verbatim} |
| | 189 | voms-proxy-init --voms vo.u-psud.fr |
| | 190 | \end{verbatim}\end{yexample} |
| | 191 | |
| | 192 | Cette commande crée un fichier signé avec votre certificat que vos |
| | 193 | jobs peuvent utiliser pour accéder aux services de la grille. |
| | 194 | Il vous est demandé de donner votre mot de passe. |
| | 195 | |
| | 196 | \item Affichez les informations du proxy créé. |
| | 197 | |
| | 198 | \begin{yexample}\begin{verbatim} |
| | 199 | voms-proxy-info |
| | 200 | \end{verbatim}\end{yexample} |
| | 201 | |
| | 202 | Les informations intéressantes sont le ``subject'', l'équivalent de |
| | 203 | votre ``username'' dans la grille, le ``timeleft'', le temps durant lequel |
| | 204 | le certificat est encore valable, et le nom de fichier pour le proxy. |
| | 205 | |
| | 206 | \item Supprimez explicitement le proxy. |
| | 207 | |
| | 208 | \begin{yexample}\begin{verbatim} |
| | 209 | voms-proxy-destroy |
| | 210 | \end{verbatim}\end{yexample} |
| | 211 | |
| | 212 | Cette commande supprime le proxy dans l'ordinateur local. Les copies |
| | 213 | éventuellement envoyées avec vos jobs ne sont pas affectées. Vérifiez que |
| | 214 | le proxy a bien été supprimé avec la commande \cmd{voms-proxy-info}. |
| | 215 | |
| | 216 | \item Regardez les autres options disponibles avec la commande |
| | 217 | \cmd{voms-proxy-init}. (Utilisez \cmd{man} ou l'option ``-help''.) |
| | 218 | On peut changer, par exemple, la durée de vie et la taille (nombre |
| | 219 | de ``bits'') du proxy. Normalement les valeurs par défauts sont correctes. |
| | 220 | |
| | 221 | \end{enumerate} |
| | 222 | |
| | 223 | Les anciennes commandes \cmd{grid-proxy-*} pour |
| | 224 | manipuler les proxies existent toujours. Mais ces commandes ne supportent pas de mettre |
| | 225 | les informations de votre VO dans le proxy. Les proxies VOMS sont |
| | 226 | 100\% compatibles avec l'ancien format et il est préférable d'utiliser |
| | 227 | les commandes \cmd{voms-proxy-*}. |
| | 228 | |
| | 229 | Il existe aussi des commandes \cmd{myproxy-*}. Elles permettent le |
| | 230 | renouvellement automatique des proxies pour des jobs de très longue |
| | 231 | durée. Ces commandes ne seront pas utilisées dans ce tutorial. |
| | 232 | |
| | 233 | \subsection{Utilisation des groupes et rôles dans une VO} |
| | 234 | |
| | 235 | Les organisations virtuelles qui utilisent VOMS (Virtual Organisation |
| | 236 | Membership Server) peuvent définir des groupes et des rôles. Tous les |
| | 237 | groupes que vous avez le droit d'utiliser sont décrits dans votre |
| | 238 | proxy VOMS\@. Quand on crée un proxy, il est nécessaire de demander d'ajouter les |
| | 239 | rôles explicitement. |
| | 240 | |
| | 241 | Actuellement les groupes et les rôles ne sont pas respectés par tous les services |
| | 242 | grille. Dans le futur on pourra les utiliser pour le contrôle d'accès aux |
| | 243 | fichiers et aux services. |
| | 244 | |
| | 245 | \begin{enumerate} |
| | 246 | |
| | 247 | \item Pour lister les groupes de votre proxy utilisez la commande |
| | 248 | \cmd{voms-proxy-info} avec l'option ``-all'' (peut-être vous devrez |
| | 249 | créer un nouveau proxy avec \cmd{voms-proxy-init}). Les groupes dans les |
| | 250 | lignes marquées ``attribute''. Une VO peut créer une hiérarchie dans les groupes. |
| | 251 | |
| | 252 | \begin{yexample}\begin{verbatim} |
| | 253 | voms-proxy-info -all |
| | 254 | \end{verbatim}\end{yexample} |
| | 255 | |
| | 256 | De quel(s) groupe(s) faites vous partie? |
| | 257 | |
| | 258 | \item Ajouter le rôle ``Tutorial1'' ou ``Tutorial2'' dans |
| | 259 | votre proxy. La moitié des participants à ce tutoriel possède les droits pour utiliser le rôle |
| | 260 | ``Tutorial1'' et les autres pour utiliser ``Tutorial2''. Si vous |
| | 261 | demandez un rôle pour lequel vous n'avez pas les droits, la commande |
| | 262 | \cmd{voms-proxy-init} échoue. |
| | 263 | |
| | 264 | \begin{yexample}\begin{verbatim} |
| | 265 | voms-proxy-init --voms vo.u-psud.fr:/Role=Tutorial1 |
| | 266 | \end{verbatim}\end{yexample} |
| | 267 | |
| | 268 | Vérifiez le rôle dans votre proxy avec la commande |
| | 269 | \cmd{voms-proxy-info}. Vérifiez aussi que la commande génère une |
| | 270 | erreur quand vous demandez le mauvais rôle. |
| | 271 | |
| | 272 | \end{enumerate} |
