IngridPtWiki:Computação Grid:Utilizadores

De IngridPtWiki

Tabela de conteúdo 1 Requisitos de acesso a uma infra-estrutura Grid 1.1 Obter um certificado digital 1.2 Registo na VO 1.3 Instalação do certificado digital 2 Operações de autorização 2.1 Credencial (proxy) de acesso à infra-estrutura 2.2 Informação sobre a credencial gerada 2.3 Lista de atributos (ROLES) de uma dada VO 2.4 Inicializar credencial com um atributo (ROLE) diferente do pré-definido para a VO 2.5 Finalizar sessão 3 Operações com servidores MyProxies 3.1 Armazenar credencial no servidor de MyProxies 3.2 Credenciais armazenadas no servidor de MyProxies 3.3 Revalidar uma credencial através do servidor MyProxy 3.4 Destruir credenciais armazenadas no servidor de MyProxies 4 Submissão de tarefas 5 Manipulação de dados

Requisitos de acesso a uma infra-estrutura Grid

Obter um certificado digital

O primeiro passo para que um utilizador tenha acesso a qualquer infra-estrutura Grid, nacional ou internacional, é a obtenção de um certificado digital X509. Os certificados são emitidos pela LIPCA - Autoridade de Certificação Grid Portuguesa operada pelo LIP, e apenas são validos no contexto de pesquisa académica e actividades educativas. Qualquer outro uso incluindo transacções financeiras são estritamente proibidas. O procedimento para obter um certificado está detalhado na página pública da LIPCA [1]. De forma sucinta, o requerente deve:

• ser membro de uma organização académica portuguesa;
• preencher o formulário disponível em [2], e entrega-lo (em papel) na sua Autoridade de Registo (RA);
  • caso a instituição do utilizador ainda não tenha uma RA, contactar a LIPCA (ca@lip.pt) com vista à instalação de uma RA;
• entrar na "Interface Pública" correspondente à sua Autoridade de Registo [3], e preencher o formulário electrónico;
• no acto da emissão do certificado, o requerente receberá um email da LIPCA com instruções (link) de como aceder ao seu certificado digital
  • O utilizador deve usar o mesmo browser utilizado para requerer o certificado
• Consultar vídeo: Pedir certificado online

Registo na VO

O passo seguinte consiste no registo numa Organização Virtual (VO) de acordo com os objectivos científicos do utilizador. O utilizador deve:

• Verificar se possui o seu certificado instalado no browser;
• Consultar a lista de VOs INGRID:
  • https://voms01.ncg.ingrid.pt:8443/vomses/Siblings.do;
• Seleccionar a VO à qual pretende aderir na interface web do servidor de VOMS, e proceder ao registo;
• Após o registo, o utilizador recebe um email de confirmação do seu endereço electrónico;
• Caso a confirmação seja bem sucedida, o pedido segue para o administrador da VO para aprovação;
• Caso o pedido tenha sido aprovado pelo administrador da VO, o requerente recebe um email de confirmação, e fica automaticamente possibilitado de utilizador todos os recursos disponíveis no contexto da VO.
• Consultar vídeo: Registo numa VO

Instalação do certificado digital

O passo final para que um utilizador comece a interagir com qualquer infra-estrutura Grid é a instalação do certificado digital, no formato .pem, na gLite User Interface. Para tal, o utilizador deve:

• Fazer backup do certificado digital a partir do browser para localhost;
  • Introduzir uma password robusta como passphrase do certificado;
  • Consultar video: Backup do certificado digital (firefox)
• Converter o certificado digital do formato .p12 para o formato .pem

[goncalo@lnsys15 ~]$ openssl pkcs12 -nocerts -in usercert.p12 -out userkey.pem
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

[goncalo@lnsys15 ~]$ openssl pkcs12 -clcerts -nokeys -in usercert.p12 -out usercert.pem
Enter Import Password:
MAC verified OK

[goncalo@lnsys15 ~]$ ll user*
-rw-r--r-- 1 goncalo users 3288 2009-11-09 20:17 usercert.p12
-rw-r--r-- 1 goncalo users 1830 2009-11-09 20:21 usercert.pem
-rw-r--r-- 1 goncalo users 1131 2009-11-09 20:21 userkey.pem

• Garantir que as permissões das chaves publicas e privadas são as correctas

[goncalo@lnsys15 ~]$ chmod 644 usercert.pem; chmod 400 userkey.pem

• Copiar as chaves publicas e privadas do utilizador para a gLite-UI

[goncalo@lnsys15 ~]$ scp user*.pem goncalo@ui01.ncg.ingrid.pt:~/.globus/
goncalo@ui01.ncg.ingrid.pt's password: 
usercert.pem                                                                     100% 1830     1.8KB/s   00:00    
userkey.pem                                                                      100% 1131     1.1KB/s   00:00

Operações de autorização

A interacção com qualquer infra-estrutura Grid é realizada a partir de comandos de linha instalados numa gLite-UI. O utilizador deve, portanto, ter acesso via ssh a esse serviço. Para requerer uma conta/password nos serviços gLite-UI disponíveis no âmbito do projecto INGRID, por favor contacte o suporte técnico.

Credencial (proxy) de acesso à infra-estrutura

[goncalo@lnsys15 ~]$ ssh -l goncalo ui01.ncg.ingrid.pt
goncalo@ui01.ncg.ingrid.pt's password: 
Last login: Mon Nov  2 17:25:14 2009 from elnet-111.lip.pt

[goncalo@ui01 ~]$ voms-proxy-init --voms iber.vo.ibergrid.eu
Cannot find file or dir: /home/ingrid/goncalo/.glite/vomses
Enter GRID pass phrase:
Your identity: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
Creating temporary proxy ........................................................................ Done
Contacting  voms01.ncg.ingrid.pt:40003 [/C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt] "iber.vo.ibergrid.eu" Done
Creating proxy ...................................................................................................................................... Done
Your proxy is valid until Tue Nov 10 07:17:56 2009

Informação sobre a credencial gerada

[goncalo@ui01 ~]$ voms-proxy-info --all
subject   : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges/CN=proxy
issuer    : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
identity  : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
type      : proxy
strength  : 1024 bits
path      : /tmp/x509up_u500
timeleft  : 11:59:50
=== VO iber.vo.ibergrid.eu extension information ===
VO        : iber.vo.ibergrid.eu
subject   : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
issuer    : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt
attribute : /iber.vo.ibergrid.eu/Role=NULL/Capability=NULL
attribute : /iber.vo.ibergrid.eu/Portugal/Role=NULL/Capability=NULL
timeleft  : 11:59:50
uri       : voms01.ncg.ingrid.pt:40003

Lista de atributos (ROLES) de uma dada VO

[goncalo@ui01 ~]$ voms-proxy-list --voms iber.vo.ibergrid.eu
Cannot find file or dir: /home/ingrid/goncalo/.glite/vomses
Enter GRID pass phrase:
Your identity: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
Creating temporary proxy ..................................................................... Done
Contacting  voms01.ncg.ingrid.pt:40003 [/C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt] "iber.vo.ibergrid.eu" Done
Available attributes:
/iber.vo.ibergrid.eu/Role=NULL/Capability=NULL
/iber.vo.ibergrid.eu/Portugal/Role=NULL/Capability=NULL
/iber.vo.ibergrid.eu/Role=Production/Capability=NULL
/iber.vo.ibergrid.eu/Role=SW-Admin/Capability=NULL
/iber.vo.ibergrid.eu/Role=VO-Admin/Capability=NULL

Inicializar credencial com um atributo (ROLE) diferente do pré-definido para a VO

[goncalo@ui01 ~]$ voms-proxy-init --voms iber.vo.ibergrid.eu:/iber.vo.ibergrid.eu/Portugal
Cannot find file or dir: /home/ingrid/goncalo/.glite/vomses
Enter GRID pass phrase:
Your identity: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
Creating temporary proxy ....................................... Done
Contacting  voms01.ncg.ingrid.pt:40003 [/C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt] "iber.vo.ibergrid.eu" Done
Creating proxy .................................. Done
Your proxy is valid until Tue Nov 10 07:23:02 2009

Finalizar sessão

[goncalo@ui01 ~]$ voms-proxy-destroy; voms-proxy-info 
Couldn't find a valid proxy.

Operações com servidores MyProxies

Armazenar credencial no servidor de MyProxies

[goncalo@ui01 ~]$ myproxy-init -d -s px01.ncg.ingrid.pt
Your identity: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
Enter GRID pass phrase for this identity:
Creating proxy ................................. Done
Proxy Verify OK
Your proxy is valid until: Tue Nov 17 11:25:37 2009
Enter MyProxy pass phrase:
Verifying - Enter MyProxy pass phrase:
A proxy valid for 168 hours (7.0 days) for user /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges now exists on px01.ncg.ingrid.pt.

Credenciais armazenadas no servidor de MyProxies

[goncalo@ui01 ~]$ myproxy-info -d -s px01.ncg.ingrid.pt
username: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
owner: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
 timeleft: 167:59:29  (7.0 days)

Revalidar uma credencial através do servidor MyProxy

Para revalidar uma credencial através do servidor MyProxy é necessário ter um proxy valido (a revalidação é feita em contexto de quase expiração). Para demonstrar o procedimento, inicializamos uma credencial de 8 horas, que após revalidação, fica com um limite temporal de 12 horas. Note que a extensão da VO é perdida neste processo de revalidação.

[goncalo@ui01 ~]$ voms-proxy-init --voms iber.vo.ibergrid.eu -vomslife 8:0 -hours 8:0
Cannot find file or dir: /home/ingrid/goncalo/.glite/vomses
Enter GRID pass phrase:
Your identity: /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
Creating temporary proxy ...................................... Done
Contacting  voms01.ncg.ingrid.pt:40003 [/C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt] "iber.vo.ibergrid.eu" Done
Creating proxy ...................................................................... Done
Your proxy is valid until Tue Nov 10 19:39:13 2009

[goncalo@ui01 ~]$ voms-proxy-info --all
subject   : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges/CN=proxy
issuer    : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
identity  : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
type      : proxy
strength  : 1024 bits
path      : /tmp/x509up_u500
timeleft  : 7:59:54
=== VO iber.vo.ibergrid.eu extension information ===
VO        : iber.vo.ibergrid.eu
subject   : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges
issuer    : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=voms01.ncg.ingrid.pt
attribute : /iber.vo.ibergrid.eu/Role=NULL/Capability=NULL
attribute : /iber.vo.ibergrid.eu/Portugal/Role=NULL/Capability=NULL
timeleft  : 7:59:53
uri       : voms01.ncg.ingrid.pt:40003

[goncalo@ui01 ~]$ myproxy-logon -d -s px01.ncg.ingrid.pt
Enter MyProxy pass phrase:
A credential has been received for user /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges in /tmp/x509up_u500.

[goncalo@ui01 ~]$ voms-proxy-info --all
WARNING: Unable to verify signature! Server certificate possibly not installed.
Error: VOMS extension not found!
subject   : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges/CN=proxy/CN=proxy/CN=proxy
issuer    : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges/CN=proxy/CN=proxy
identity  : /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges/CN=proxy/CN=proxy
type      : proxy
strength  : 1024 bits
path      : /tmp/x509up_u500
timeleft  : 11:59:57

Destruir credenciais armazenadas no servidor de MyProxies

[goncalo@ui01 ~]$ myproxy-destroy -d -s px01.ncg.ingrid.pt
Default MyProxy credential for user /C=PT/O=LIPCA/O=LIP/OU=Lisboa/CN=Goncalo Borges was successfully removed.

Submissão de tarefas

Manipulação de dados