Page tree
Skip to end of metadata
Go to start of metadata
Sadržaj

Uvod


VOMS (engl. Virtual Organization Membership Service) je skup sigurnosnih protokola i tehnologija koji omogućuju upravljanje korisničkim računima i ovlastima korisnika više virtualnih organizacija koji dijele iste računalne resurse zasnovane na digitalnim certifikatima koje koriste grid servisi.

U radu s grid servisima korisnici se koriste posebnim oblikom certifikata - kratkoročnim zastupničkim (engl. proxy) certifikatom. Zastupnički certifikat se koristi za autentikaciju i autorizaciju korisnika (kao člana određene virtualne organizacije) prilikom pristupa sredstvima. Zastupnički certifikat ima ograničeno trajanje života. Nakon isteka korisnik stvara novi da bi mogao nastaviti rad. Ograničeno trajanje života onemogućava zloupotrebu certifikata.

Instalacija certifikata


Korisnički certifikat se sprema u PEM formatu u sljedeće datoteke:

  • ~/.globus/usercert.pem - korisnički certifikat
  • ~/.globus/userkey.pem - privatni ključ korisničkog certifikata.

Na operacijskom sustavu MS Windows, datoteke se spremaju u direktorij "C:\Documents and Settings\<username>\.globus".

Datoteke moraju imati sljedeće ovlasti:

  • usercert.pem: 444
  • userkey.pem: 400.

Ukoliko su datoteke spremljene na alternativnim lokacijama potrebno je postaviti varijable okoline X509_USER_CERT za lokaciju korisničkog certifikata i X509_USER_KEY za lokaciju pripadajućeg ključa.

Dohvat informacija o certifikatu


Detaljne informacije o korisničkom certifikatu moguće je dobiti pomoću naredbe:

voms-proxy-info -all 

Ukoliko certifikat nije spremljen na podrazumijevanoj lokaciji koristi se sljedeći oblik naredbe:

voms-proxy-info -file usercert.pem -all

Za dohvat imena certifikata koristi se sljedeći oblik naredbe:

voms-proxy-info -subject

Rad sa zastupničkim certifikatima


Korisnik prije početka rada s grid servisima mora stvoriti zastupnički certifikat. Preduvjet za stvaranje zastupničkog certifikata s korisničkim je da korisnički certifikat i ključ budu instalirani na računalu na kojem se stvara zastupnički certifikat.

Zastupnički certifikat se stvara naredbom:

voms-proxy-init -voms <VO>

Nakon završetka rada preporuča se eksplicitno uništavanje zastupničkog certifikata naredbom:

voms-proxy-destroy

BITNO: Ne brisati zastupnički certifikat, ukoliko postoje vaši aktivni poslovi ili poslovi koje čekaju na izvođenje u sustavu WMS. U suprotnom će doći do greške u izvođenju poslova.

Prilikom prvog pristupa sustavu preporuča se testirati je li sve u redu s korisničkim certifikatom sljedećom naredbom:

voms-proxy-init -debug -verify

Tijekom rada moguće je dobiti informacije o certifikatu naredbom:

voms-proxy-info -all

Obnavljanje certifikata


Zastupnički certifikat stvoren kao što je opisano u prethodnom odjeljku može predstavljati problem: ako posao ne završi prije isteka valjanosti zastupničkog certifikata koji se koristi za podnošenje posla, posao se prekida. To se lako može dogoditi, na primjer, ako je potrebno puno vremena da bi se posao izvršio, ili ako posao stoji dugo u red za čekanje. Najlakše rješenje ovog problema je korištenje zastupničkog certifikata s jako dugim rokom valjanosti, ali na račun povećanog sigurnosnog rizika. Uz to trajanje VOMS zastupničkog certifikata ograničeno je VOMS poslužiteljem i ne može biti proizvoljno dugo.

Kako bi prevladali ovo ograničenje, koristi se sustav repozitorija zastupničkih certifikata, koji korisniku omogućuje stvaranje i spremanje dugotrajnih zastupničkih certifikata u namjenskom poslužitelju (MyProxy poslužitelj). WMS će tada biti u mogućnosti koristiti ove dugotrajne zastupničke certifikate za povremeno obnavljanje zastupničkog certifikata za podneseni posao prije njegovog isteka dok se posao ne završi (ili dugotrajni certifikat ne istekne).

Kreiranje dugotrajnog zastupničkog certifikata

$ myproxy-init -s <myproxy_server> -d -n --voms <VO>

Blok -s <myproxy_server> se koristi za definiranje MyProxy poslužitelja. Moguće je izostaviti taj blok iz naredbi vezanih za MyProxy servis. Tada ce sustav koristiti MyProxy poslužitelj definiran MYPROXY_SERVER varijablom okoline.

Opcija -n zaobilazi korištenje lozinke za pristup dugotrajnom zastupničkom certifikatu kako bi WMS mogao automatski obnavljati certifikat.

Blok --voms <VO> se koristi za definiranje VO.

Dohvat informacija o dugotrajnom certifikatu

$ myproxy-info -s <myproxy_server> -d

Brisanje dugotrajnog certifikata

$ myproxy-destroy -s <myproxy_server> -d

JDL skripta

Kako bi se prilikom izvođenja posla koristio dugotrajni zastupnički certifikat potrebno je u JDL skriptu posla dodati liniju:

MyProxyServer   = "<myproxy_server>";

Ta linija određuje hoće li se za autentifikaciju posla na EGI-ju koristiti dugotrajni zastupnički certifikat i na kojem poslužitelju će se taj certifikat nalaziti.

  • No labels