E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Release LCG & INFN-GRID Enrico Ferro INFN - Padova
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 LCG 2.0.1, forse... ❖ Consolidamento della precedente versione ❖ Un lungo parto (quasi un mese dal passaggio di consegne del Certification Testbed al reparto deployment), in questo momento (30/6/2004) non è ancora disponibile ❖ Numerosi aggiornamenti...
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 LCG 2.0.1: differenze ❖ Updated Workload Management System packages ( => ) ❖ Updated Information Providers ❖ Updated LCG jobmanagers ❖ Updated LCG BDII ❖ Updated ReplicaManager ❖ Updated lcg-manageSoftware (to install grid applications) ❖ Added lcg_util tools ❖ Updated condorg, gpt, VDT (1.1.8 => ) ❖ Updated edg-java-data-util, edg-java-security, Java SDK ❖ Updated LCFG components rm, wlconfig, info, bdii; removed vonev; added gridicecli. ❖ Added CA ArmesFO, FNAL ❖ OS: Updated kernel ( => legacy), tcpdump, cvs, arpwatch, libcap; added screen
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 INFN-GRID 2.0.1: aggiunte “made in Italy” ❖ VO aggiunte: babar, bio, gridit, inaf, infngrid, ingv, theophys, virgo, gilda (*), enea (**) ❖ Gridice: supporto job monitoring (edt_sensor ADC-.i386.rpm) ❖ Babar: attivata installazione applicazioni via grid ❖ VOMS + LCAS/LCMAPS: VO infngrid gestita con VOMS in via sperimentale => se non non ci sono particolari problemi, transizione delle altre VO italiane ❖ Aggiunto supporto jobs MPI (*) solo su risorse Gilda (**) solo su risorse ENEA
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Integrazione VOMS + LCAS/LCMAPS Enrico Ferro, Federica Fanzago INFN – Padova Vincenzo Ciaschini INFN – CNAF Fabio Spataro INFN - Parma
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Premessa ❖ Obiettivo: utilizzare VOMS per la gestire le VO italiane ❖ VOMS server permette di definire gruppi, ruoli e capabilities e di assegnare a questi i membri di una VO –Esempio: si possono definire dei gruppi corrispondenti agli istituti di appartenenza oppure a seconda dell'ambito di ricerca; si possono definire dei ruoli corrispondenti a diversi livello di privilegio (ad es. normaluser, dbmanager, swmanager) da definire opportunamente nelle risorse ❖ VOMS client (voms-proxy-init) accede al VOMS server per ottenere le credenziali (=una stringa che descrive di quali gruppi/ruoli si è parte); tali credenziali firmate dal server VOMS sono incorporate nel proxy dell'utente ❖ Il proxy “in stile VOMS” è 100% compatibile con il tradizionale grid-proxy-init. Cosa mancava all'appello? ❖ I servizi grid devono prendere in esame anche le credenziali VOMS e in base ad esse differenziare l'accesso alle risorse
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Servizi “VOMS-aware” ❖ E' stato necessario modificare l'implementazione dei servizi (non devono più basarsi sul gridmapfile). Questo lavoro è già stato svolto dal gruppo Gridification di EDG WP4 (NIKHEF: Groep, Steenbakkers,...) ❖ Per il momento due sono i servizi adattati: –Gatekeeper –GridFTP ❖ Cosa è stato cambiato: –Per l'autorizzazione anziché “consultare il gridmapfile” vengono eseguite delle librerie dinamiche (=un insieme di plugins) –Tali plugins decidono se autorizzare l'accesso e con quali GID/UID –Esistono plugins per l'autorizzazione via gridmapfile (=compatibilità con il passato) e via VOMS ❖ Differenza tra LCAS e LCMAPS: –LCAS: filtra l'accesso (=decide se si ha accesso o no) –LCMAPS: mappa nelle credenziali locali (=decide quali GID/UID utilizzare) ❖ Ovviamente a livello di sistema vanno predisposti GID e UID
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 LCAS/LCMAPS ❖ I plugins di LCAS e LCMAPS per VOMS si basano su gridmapfile e groupmapfile –Gridmapfile: "/VO=cms/GROUP=/cms".cms "/VO=cms/GROUP=/cms/it".cms "/VO=cms/GROUP=/cms/it/ROLE=manager".cmsprodman –Groupmapfile: "/VO=cms/GROUP=/cms" cms "/VO=cms/GROUP=/cms/it" cms "/VO=cms/GROUP=/cms/it/ROLE=manager" cmsprodman ❖ Altre osservazioni –Non è stato immediato configurarli, in compenso non sono stati trovati bugs. Ottimo supporto degli autori –Sono molto flessibili ed è possibile gestire alcune VO con VOMS, altre mediante LDAP (chiaramente una singola VO va gestita o in un modo o nell'altro).
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Esempio globus-job-run con fork + gridftp # Utente “normale” $ voms-proxy-init -voms lcfgt $ voms-proxy-info -info Attribute : /lcfgt/Role=NULL/Capability=NULL $ globus-job-run grid021.pd.infn.it:2119/jobmanager-fork /usr/bin/id uid=2452(infngrid002) gid=2405(infngrid) $ globus-url-copy file:///tmp/delme gsiftp://grid021.pd.infn.it/tmp/delme_infngrid # Lo stesso utente lavora ora come “datamanager” $ voms-proxy-init -voms lcfgt:Rdatamanager $ voms-proxy-info -info Attribute : /lcfgt/Role=datamanager/Capability=NULL Attribute : /lcfgt/Role=NULL/Capability=NULL $ globus-job-run grid021.pd.infn.it:2119/jobmanager-fork /usr/bin/id uid=2401(igrid_man001) gid=2404(igrid_man) groups=2405(infngrid) $ globus-url-copy file:///tmp/delme gsiftp://grid021.pd.infn.it/tmp/delme_manager $ edg-gridftp-ls --verbose 'gsiftp://grid021.pd.infn.it/tmp/*delme*' -rw-rw-r-- 1 infngrid infngrid 12 Jun 30 16:09 /tmp/delme_infngrid -rw-rw-r-- 1 igrid_ma igrid_ma 12 Jun 30 16:09 /tmp/delme_manager $ cat /opt/edg/etc/lcmaps/gridmapfile "/VO=lcfgt/GROUP=/lcfgt/ROLE=datamanager".igrid_man "/VO=lcfgt/GROUP=/lcfgt".infngrid $ cat /opt/edg/etc/lcmaps/groupmapfile "/VO=lcfgt/GROUP=/lcfgt/ROLE=datamanager" igrid_man "/VO=lcfgt/GROUP=/lcfgt" infngrid Su CE e SE la configurazione di LCMAPS:
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Riepilogo attività ❖ Riepilogo attività: –Configurazione e setup di un server VOMS per una nuova VO di prova (V. Ciaschini, F. Spataro) –Configurazione sull'RLS di tale VO (A. Italiano | Cavalli?) –Installazione e configurazione di LCAS e LCMAPS sia per gatekeeper e gridftp (E. Ferro) –Ricompilazione e installazione Gridftp “LCAS/LCMAPS compliant” (il gatekeeper in uso già supporta LCAS/LCMAPS) (E. Ferro) –Test sistematico sia per l'accesso mediante VOMS che mediante gridmapfile utilizzando gruppi e ruoli diversi (F. Fanzago) Sottomissione jobs semplici (globus-job-run, edg-job-submit) Utilizzo di gridftp Sottomissione jobs più complessi con l'utilizzo di comandi del Replica Manager –Collaborazione con M. Serra, M. Dimou, D. Qing (LCG) per l'integrazione di VOMS in LCG –Documentazione e segnalazione problemi riscontrati (F. Fanzago, E. Ferro, F. Spataro, V. Ciaschini)
E. Ferro, F. Fanzago - CNAF, Bologna - 1/07/2004 Conclusioni ❖ Non sono stati riscontrati grossi problemi tecnici; quelli trovati sono stati quasi tutti risolti: –Documentazione LCAS/LCMAPS imprecisa/errata su alcuni punti specifici (ovviamente quelli vitali) –Interfaccia web amministrazione server VOMS: invio mail non funzionante, in alcune circostanze un utente può essere cancellato indebitamente –VOMS client: migliorati help, opzioni a linea di comando, messaggi di errore ❖ Nella nuova release di INFN-GRID la VO infngrid sarà gestita mediante VOMS (=voms-proxy-init), nulla cambia per le altre VO (=grid-proxy-init). ❖ Il lavoro svolto è documentato e disponibile ai colleghi di LCG: –