wiki:Tutorial/Authorization

Version 2 (modified by manyong, 17 years ago) (diff)

--

Authentification et Autorisation

TracNav

Table of Contents

  1. Demande de certificat
  2. Exportation, installation et utilisation du certificat
  3. Manipulation d’un proxy

Demande de certificat

On va utiliser la proc ́edure normale pour obtenir un certificat. Les certifi- cats pour cette formation ont une limite de validit ́e de quelques jours. Norma- lement un certificat a une limite de validit ́e d’un an et peut ˆetre renouvell ́e.

  1. Connectez-vous sur l’authorit ́e de certification CNRS2 pour la France.

N’utilisez pas le navigateur safari. 2 http :igc.services.cnrs.fr/GRID-FR/certificats.html 2

  1. Cliquez sur “Certificat personnel” `a gauche de la page.
  2. Remplissez les donn ́ees du premier formulaire. Pour le nom utilisez “Etu-

diantUn”, “EtudiantDeux”, etc. Utilisez votre propre prenom. Cliquez sur “[suite]”. La proc ́edure v ́erifie votre adresse ́electronique. Il est imp ́eratif que vous fournissiez une adresse valide et que vous puissiez acc ́eder `a votre boˆıte aux lettres `a distance.

  1. Choisissez votre organisme, puis cliquez sur “[suite]”. Indiquez CNRS.
  2. Choisissez votre laboratoire en consultant la liste, puis cliquez sur “[suite]”.

Indiquez le LAL.

  1. Un r ́ecapitulatif des informations apparaˆıt. V ́erifiez que les informations

sont correctes. Si vous cliquez sur “[suite]”, la demande est envoy ́ee.

  1. L’authorit ́e de certification envoie un message ́electronique `a l’adresse

que vous avez indiqu ́ee. Dans ce message il y a un lien que vous de- vez visiter pour valider votre demande. Si vous utilisez les filtres SPAM, v ́erifiez que ce message de confirmation n’est pas marqu ́e comme SPAM.

  1. Une fois la demande accept ́ee, vous allez recevoir un deuxi `eme message ́electronique contenant un lien `a cliquer. A l’ouverture de la page corres-

pondante, votre certificat est import ́e dans votre navigateur. Vous devez ensuite utiliser le mˆeme navigateur que vous avez utilis ́e pour faire la demande. 2.2 L’enregistrement dans une VO L’acc `es aux ressources de la grille est contr ˆol ́e par des organisations vir- tuelles (VO). Il est n ́ecessaire d’ ˆetre membre d’au moins une VO. Une fois que vous avez votre certificat, il est n ́ecessaire de contacter le “VO Manager ” d’une VO pour faire l’enregistrement. Le site du “CIC Operations Portal”3 contient les informations pour les VOs principales et le lien pour s’enregistrer dans ces VOs. Cette page ne contient pas toutes les VOs. Il peut ˆetre n ́ecessaire de contacter quelqu’un de votre or- ganisation pour connaˆıtre le serveur correct. Aujourd’hui, vous allez utiliser la VO “vo.u-psud.fr ”.

  1. Allez au serveur VOMS4 pour la VO vo.u-psud.fravec un navigateur sur

lequel votre certificat est install ́e.

  1. Cliquez sur le lien “New user registration” dans la liste `a gauche.
  2. Remplissez le formulaire et cliquez sur le bouton “I have read and agree

to the VO’s Usage Rules”.

  1. Vous allez recevoir un message ́electronique pour confirmer votre adresse ́electronique. (V ́erifiez encore que le message n’est pas marqu ́e comme

SPAM.) Cliquez sur l’URL de confirmation indiqu ́ee.

  1. Le “VO Manager ” doit valider votre demande. Une fois la demande va-

lid ́ee, vous allez recevoir un message ́electronique. 3 https :cic.gridops.org/ 4 https :grid12.lal.in2p3.fr :8443/voms/vo.u-psud.fr 3

Exportation, installation et utilisation du certificat

Votre certificat est install ́e dans votre browser. Pour utiliser la grille, on doit extraire ce certificat et l’installer dans le “User Interface” grid11.lal.in2p3.fr.

  1. Utilisez la fonction “export” de votre navigateur pour faire une sauve-

garde de votre certificat au format pkcs12 (fichier .p12). Firefox S ́electionnez le menu FireFox/Preferences. Cliquez sur “Avan- cer ” `a droite et l’onglet “Chiffrement”. Cliquez sur le bouton “Affi- cher les resultats...”, s ́electionnez votre certificat et utilisez la fonc- tion “importer ”. Mozilla Dans le menu Edit/Preferences allez dans l’onglet “Privacy & Security” puis dans “certificates”. Cliquez sur “Manage Certifica- tes”, et utilisez la fonction “backup”. Netscape Cliquez sur l’ic ˆone “s ́ecurit ́e” (ou passez par le menu Commu- nicator/outils/Information sur la s ́ecurit ́e), puis cliquez sur le choix “vos certificats”. Internet Explorer Dans le menu Outils/Options Internet, allez dans l’on- glet “contenu” et cliquez sur “certificats”. Cliquez ensuite sur “ex- porter ”. La proc ́edure va demander un mot de passe pour sauvegarder votre cer- tificat. Ne l’oubliez pas.

  1. Copiez votre certificat dans la machine grid11.lal.in2p3.fr. Remplacez cert.p12

par le nom exact de votre certificat dans toutes les commandes suivantes. Il a peut- ˆetre une extension “.pfx”. scp cert.p12 etud01@…:~/cert.p12

  1. Connectez-vous via ssh sur grid11.lal.in2p3.fr et cr ́eez, dans votre “home

directory”, le r ́epertoire .globus. Descendez dans ce r ́epertoire. mkdir .globus cd .globus mv ~/cert.p12 .

  1. Convertissez votre certificat au bon format et donnez-lui les bons droits.

Pour utiliser la grille, vous avez besoin de deux fichiers usercert.pem et userkey.pem qui contiennent votre cl ́e publique et votre cl ́e priv ́ee. openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Ces commandes vont vous demander d’entrer le mot de passe que vous avez utilis ́e pour cr ́eer le fichier cert.p12. Pour cr ́eer le fichier userkey.pem, la commande vous demande aussi de donner un nouveau mot de passe associ ́e pour prot ́eger le fichier. Normalement on utilise le mˆeme mot de passe que pour le fichier cert.p12. 4

  1. V ́erifiez que les fichiers disposent des bons droits. Le fichier userkey.pem

doit avoir les droits 0400 ; le fichier usercert.pem doit avoir les droits 0444. Changez les droits avec chmod si n ́ecessaire. ls -l ~/.globus chmod 0400 ~/.globus/userkey.pem chmod 0444 ~/.globus/usercert.pem

  1. Rep ́erez les diff ́erents champs du certificat (sujet, validit ́e...) en lisant son

contenu avec la commande openssl. openssl x509 -text -noout -in ~/.globus/usercert.pem Quel est votre “Subject” ? Quelle est la date de fin de validit ́e de votre certificat ?

Manipulation d’un proxy

Pour permettre `a vos jobs d’acc ́eder aux services de la grille, vous devez cr ́eer un proxy. Un proxy est un fichier sign ́e avec votre certificat qui est envoy ́e avec vos jobs. Les proxies sont valables pour une dur ́ee limit ́ee, normalement 12 `a 24 heures.

  1. Depuis la machine grid11.lal.in2p3.fr, demandez un proxy.5

voms-proxy-init --voms vo.u-psud.fr Cette commande cr ́ee un fichier sign ́e avec votre certificat que vos jobs peuvent utiliser pour acc ́eder aux services de la grille. Il vous est de- mand ́e de donner votre mot de passe.

  1. Affichez les informations du proxy cr ́e ́e.

voms-proxy-info Les informations int ́eressantes sont le “subject”, l’ ́equivalent de votre “username” dans la grille, le “timeleft”, le temps durant lequel le cer- tificat est encore valable, et le nom de fichier pour le proxy.

  1. Supprimez explicitement le proxy.

voms-proxy-destroy Cette commande supprime le proxy dans l’ordinateur local. Les copies

́eventuellement envoy ́ees avec vos jobs ne sont pas affect ́ees. V ́erifiez que

le proxy a bien ́et ́e supprim ́e avec la commande voms-proxy-info.

  1. Regardez les autres options disponibles avec la commande voms-proxy-

init. (Utilisez man ou l’option “-help”.) On peut changer, par exemple, 5 L’erreur “Cannot find file or dir : ... /.glite/vomses” est normale. 5 la dur ́ee de vie et la taille (nombre de “bits”) du proxy. Normalement les valeurs par d ́efauts sont correctes. Les anciennes commandes grid-proxy-* pour manipuler les proxies existent toujours. Mais ces commandes ne supportent pas de mettre les informations de votre VO dans le proxy. Les proxies VOMS sont 100% compatibles avec l’ancien format et il est pr ́ef ́erable d’utiliser les commandes voms-proxy-*. Il existe aussi des commandes myproxy-*. Elles permettent le renouvelle- ment automatique des proxies pour des jobs de tr `es longue dur ́ee. Ces com- mandes ne seront pas utilis ́ees dans ce tutorial. 2.5 Utilisation des groupes et r ˆoles dans une VO Les organisations virtuelles qui utilisent VOMS (Virtual Organisation Mem- bership Server) peuvent d ́efinir des groupes et des r ˆoles. Tous les groupes que vous avez le droit d’utiliser sont d ́ecrits dans votre proxy VOMS. Quand on cr ́ee un proxy, il est n ́ecessaire de demander d’ajouter les r ˆoles explicitement. Actuellement les groupes et les r ˆoles ne sont pas respect ́es par tous les ser- vices grille. Dans le futur on pourra les utiliser pour le contr ˆole d’acc `es aux fichiers et aux services.

  1. Pour lister les groupes de votre proxy utilisez la commande voms-proxy-

info avec l’option “-all” (peut- ˆetre vous devrez cr ́eer un nouveau proxy avec voms-proxy-init). Les groupes dans les lignes marqu ́ees “attribute”. Une VO peut cr ́eer une hi ́erarchie dans les groupes. voms-proxy-info -all De quel(s) groupe(s) faites vous partie ?

  1. Ajouter le r ˆole “Tutorial1” ou “Tutorial2” dans votre proxy. La moiti ́e des

participants a ce tutoriel poss ede les droits pour utiliser le r ˆole “Tuto- rial1” et les autres pour utiliser “Tutorial2”. Si vous demandez un r ˆole pour lequel vous n’avez pas les droits, la commande voms-proxy-init

́echoue.

voms-proxy-init --voms vo.u-psud.fr:/Role=Tutorial1 V ́erifiez le r ˆole dans votre proxy avec la commande voms-proxy-info. V ́erifiez aussi que la commande g ́en `ere une erreur quand vous demandez le mauvais r ˆole.