E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Prácticas Autorización y Autenticación Juan Eduardo Murrieta León DGSCA - UNAM Tutorial para Usuarios Ciudad de México,
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Temario Acensando la UI Llaves pública y privada VOMS –voms-proxy-init –voms-proxy-info –voms-proxy-destroy MyProxy –myproxy-init –myproxy-info –myproxy-get-delegation –myproxy-destroy
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Conectarse a la UI vía Secure Shell –Ejecutar el programa Secure Shell Client Hostname: gilda02.super.unam.mx Username: mexicocityXX Donde XX está en [01..40] Password: GridMEX XX Donde XX está en [01..40] Clave del Certificado: MEXICOCITY Cómo acceder a la Interfaz de Usuario
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Preliminares: directorio.globus El directorio.globus contiene su certificado personal y su llave privada Ponga atención a los permisos – userkey.pem contiene su llave privada, y debe se legible sólo por usted (permisos 400) – usercert.pem es su certificado y contiene su llave pública, la cual debe ser legible por otros (permisos 644) [mexicocity01]$ ls -la.globus/u* -rw-r--r-- 1 mexicocity01 gilda 1131 Oct 1 03:27.globus/usercert.pem -r mexicocity01 gilda 963 Oct 1 03:27.globus/userkey.pem
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, voms-proxy-init: crear credenciales Principales opciones voms-proxy-init --voms -help, -usage Despliega la ayuda -version Despliega la versión -debug Habilita salida de depuración adicional -quiet, -q Modo silencioso, salida mínima -verify Verifica el certificado para hacer el proxy -pwstdin Permite que la palabra clave sea leída de stdin -limited Crea un proxy limitado -valid El Proxy es válido para h horas y m minutos (por omisión 12:00) -hours H El Proxy es válido por H horas (por omisión:12) -bits Número debits en la llave {512|1024|2048|4096} -cert Ubicación no estándar del certificado de usuario -key Ubicación no estándar de la llave del usuario -certdir Ubicación no estándar del directorio de certificados de confianza -out Ubicación no estándar del nuevo certificado proxy -voms > Especifica el servidor voms : command es opcional. -order > Especifica el orden de los atributos. -vomslife Intenta obtener un pseudo-certificado VOMS válido por h horas y m minutos (por omisión el valor de -valid). -include Incluye el contenido de los archivos especificados -confile Ubicación no estándar de la dirección del servidor de voms. -vomses Ubicación no estándar de los archivos de configuración.
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, voms-proxy-init: salida [mexicocity01]$ voms-proxy-init --voms gilda Cannot find file or dir: /home/mexicocity01/.glite/vomses Your identity: /C=IT/O=GILDA/OU=Personal Enter GRID pass phrase: ************ Creating temporary proxy Done Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it] "gilda" Done Creating proxy Done Your proxy is valid until Tue Oct 18 23:06: ANTIGUA
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, voms-proxy-info: verifica credenciales voms-proxy-info –Principales opciones : -all imprime todas las opciones del proxy -file especifica una ubicación diferente del proxy
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, [antigua01]$ voms-proxy-info --all subject : /C=IT/O=GILDA/OU=Personal proxy issuer : /C=IT/O=GILDA/OU=Personal identity : /C=IT/O=GILDA/OU=Personal type : proxy strength : 512 bits path : /tmp/x509up_u501 timeleft : 11:57:40 === VO gilda extension information === VO : gilda subject : /C=IT/O=GILDA/OU=Personal issuer : /C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it attribute : /gilda/Role=NULL/Capability=NULL timeleft : 11:57:33 voms-proxy-info salida Atributos estándar de globus extensiones Voms
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, voms-proxy-destroy: destruye credenciales voms-proxy-destroy –No tiene opciones –Termina sesión en la grid Destruye el certificado proxy señalado por la variable de ambiente $X509_USER_PROXY
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, [mexicocity01]$ echo $X509_USER_PROXY /tmp/x509up_u501 [mexicocity01]$ voms-proxy-destroy [mexicocity01]$ [mexicocity01]$ voms-proxy-info --all Couldn't find a valid proxy. [mexicocity01]$ voms-proxy-destroy: salida
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Primer Ejercicio 1.Cree un certificado proxy plano sin solicitar membresía (VO) 2.Verifique su proxy, compruebe que éste no tiene extensiones VOMS 3.Destruya el proxy creado 4.Verifique su proxy de nuevo 5.Repita los pasos 1-4 de nuevo, esta vez solicitando la membresía al grupo gilda
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Proxy de larga duración : MyProxy Servidor myproxy: –myproxy-init Permite crear y almacenar un certificado proxy de larga duración –myproxy-info Obtiene información acerca de un certificado de larga duración almacenado y vigente –myproxy-get-delegation Obtiene un nuevo certificado proxy del servidor MyProxy –myproxy-destroy Verifíquelos con la opción myproxy-xxx --help Un servicio dedicado en el RB puede renovar automáticamente el proxy –Contactando al servidor myproxy
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-init: almacena cred. proxy Principales opciones -c hours especifica el tiempo de vida de las credenciales almacenadas -t hours especifica el tiempo de vida máximo de las credenciales recibidas -s especifica el servidor myproxy usado para almacenar las credenciales -d almacena una credencial con el DN en el proxy, en lugar del nombre del usuario (obligatorio para algunos servicios de administración de datos y renovación de certificados) Para renovación de certificados es también obligatorio –n (sin palabra clave). También tiene que especificar el subject de los principales que pueden renovar una delegación (-R sujeto, o -A para cualquier principal)
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-init: salida [antigua01]$ myproxy-init Your identity: /C=IT/O=GILDA/OU=Personal Enter GRID pass phrase for this identity: *********** Creating proxy Done Proxy Verify OK Your proxy is valid until: Tue Mar 13 14:00: Enter MyProxy pass phrase: *********** Verifying password - Enter MyProxy pass phrase: A proxy valid for 168 hours (7.0 days) for user antigua01 now exists on grid001.ct.infn.it. [mexicocity01]$ ANTIGUA CLAVE DE MYPROXY
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-info: recibe la información del proxy almacenado Útil para recibir información sobre las credenciales almacenadas Necesita que existan credenciales locales para ejecutarse –El usuario necesita tener un proxy válido para ejecutar este comando. Si las credenciales han sido inicializadas con la opción –d, se puede usar también esta opción
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-info salida [mexicocity01]$ myproxy-info -v Socket bound to port server name: /C=IT/O=INFN/OU=Host/L=Catania/CN=grid001.ct.infn.it checking if server name matches server name does not match checking if server name matches server name accepted username: mexicocity01 owner: /C=IT/O=GILDA/OU=Personal timeleft: 167:54:03 (7.0 days)
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-get-delegation: obtiene el proxy Este comando se utiliza para recibir la delegación de un certificado proxy de larga duración almacenado en un servidor myproxy Es independiente de la máquina, no es necesario tener el certificado cargado Si las credenciales fueron inicializadas con la opción –d, también se tiene que especificar en la petición del myproxy-get-delegation
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-get-delegation: salida [mexicocity01]$ myproxy-get-delegation Enter MyProxy pass phrase: A proxy has been received for user antigua01 in /tmp/x509up_u501
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-destroy: destruyendo el proxy Borra, si existe, las credenciales de larga duración del servidor myproxy especificado Para especificar el servidor myproxy se debe usar la opción -s De nuevo, el usuario debe tener una certificado proxy válido
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, myproxy-destroy: salida [mexicocity01]$ myproxy-destroy -v Socket bound to port server name: /C=IT/O=INFN/OU=Host/L=Catania/CN=grid001.ct.infn.it checking if server name matches server name does not match checking if server name matches server name accepted Default MyProxy credential for user mexicocity01 was successfully removed.
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Segundo Ejercicio 1.Cree un myproxy en el servidor grid001.ct.infn.it 2.Obtenga una delegación del servidor myproxy 3.Verifique la información del proxy creado en el servidor myproxy 4.Destruya tanto el proxy local como el proxy almacenado en el servidor myproxy 5.Repita los pasos 1-4 usando la opción –d 6.¿Qué diferencias encuentra entre los dos proxys?
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Extensiones Voms en un proxy delegado myproxy no soporta nativamente a VOMS Para solventar este problema: –Obtenga el proxy delegado –Ejecute el comando voms-proxy-init, con la opción –noregen
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Salida de ejemplo Extensión Voms agregada [mexicocity01]$ myproxy-get-delegation Enter MyProxy pass phrase: ************ A proxy has been received for user antigua01 in /tmp/x509up_u501 [mexicocity01]$ voms-proxy-init --voms gilda -noregen Cannot find file or dir: /home/mexicocity01/.glite/vomses Your identity: /C=IT/O=GILDA/OU=Personal CN=proxy/CN=proxy/CN=proxy Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it] "gilda" Done Creating proxy Done Warning: your certificate and proxy will expire Wed Mar 7 02:18: which is within the requested lifetime of the proxy
E-infrastructure shared between Europe and Latin America FP62004Infrastructures6-SSA Ciudad de México, Tutorial para Usuarios, Preguntas