GARR WS08 - Milano, 2-4 Aprile Grid Tutorial Parte 3 gLite e la LAN practicals Mario Reale GARR GRID GARR WS08-Milano-2-Aprile-2008

GARR WS08 - Milano, 2-4 Aprile Contenuti 1. Porte da tenere aperte 2. NAT 3. Certificati –Server –CA files –VOMS public keys Installazione di un servizio gLite

GARR WS08 - Milano, 2-4 Aprile Porte da tenere aperte (1/5) Le porte da tenere aperte sono specifiche del servizio gLite considerato (CE, BD-II, WMS, WN, VOMS, UI…..) –Statiche e dinamiche Alcune sono configurabili –Attraverso YAIM –In file di configurazione specifici ( Condor,…) /opt/condor/etc/condor_config –Attraverso environment variables (Globus) Per molti servizi si raccomanda di aprire in outbound tutte le porte > 1023

GARR WS08 - Milano, 2-4 Aprile Porte da tenere aperte (2/5) Condor ( WMS, CE..) –COLLECTOR PORT 9618 TCP UDP (Condor Collector) –HIGHPORT 9700 TCP UDP –LOWPORT 9600 TCP, UDP Globus ( WMS, CE, SE, WN, …) gridFTP server –GLOBUS_TCP_PORT_RANGE=min,max env variable 20000,25000 TCP Incoming connections (nel caso server) –GLOBUS_TCP_SOURCE_RANGE=min,max env variable 20000,25000 TCP Outgoing connections (nel caso server) –gridFTP Control port 2811 TCP, UDP Una guida per Condor e Firewalls: Una guida per Globus e Firewalls: index.html#id

GARR WS08 - Milano, 2-4 Aprile La lista completa, dettagliata e aggiornata di tutte le porte usate da gLite per ogni servizio e’ disponibile su CVS al CERN org.glite.site-info.ports info.ports/doc/middleware-ports.txt?view=loghttp://glite.cvs.cern.ch/cgi-bin/glite.cgi/org.glite.site- info.ports/doc/middleware-ports.txt?view=log Porte da tenere aperte (3/5)

GARR WS08 - Milano, 2-4 Aprile Porte rilevanti per il glite-CE –2811, 5120, 2119, 9618 TCP UDP – TPC UDP (Torque/PBS) –33332 TCP UDP (Blah,LRMS) Porte rilevanti per il BD-II –2135, 2170 TCP UDP Porte rilevanti per il WMS server –2811, 7443, 5120, 8443 TCP UDP Porte rilevanti per il WN – TCP UDP (Torque/PBS) Porte da tenere aperte (4/5)

GARR WS08 - Milano, 2-4 Aprile Porte rilevanti per LB server –9000,9001, 9003 TCP UDP Porte rilevanti per LFC File Catalog –5010, 8085, 3306 TCP UDP Porte rilevanti per VOMS server –8443 TCP UDP – xxx TCP UDP a seconda della VO Porte rilevanti per DPM –5001, 2811, TCP UDP Porte da tenere aperte (5/5)

GARR WS08 - Milano, 2-4 Aprile Grid e NAT WAN Sito A Sito B NAT CE WMS BD-II CE BD-II WNs SE

GARR WS08 - Milano, 2-4 Aprile gLite e NAT In generale, nessun servizio globale di gLite puo’ stare dietro ad una NAT –Tutti nella DMZ L’eccezione sostanziale sono i (numerosi) Worker Nodes –Normalmente gridFTP configurata in Passive mode SRC istanzia tutta la comunicazione Il WN triggera il trasferimento dal WMS del Job Wrapper con il job, l’user proxy, gli eseguibili e le Sandbox

GARR WS08 - Milano, 2-4 Aprile Certificati e Sicurezza I meccanismi con cui si impementa la sicurezza di gLite in pratica implicano l’utilizzo sui servers di 3 cose: –Certificati server (host) INFN CA (EUGRIDPMA) –Chiavi pubbliche delle CA (CA files) che certificano utenti e servers ( lcg-CA files) –Certificato (chiave pubblica) dei VOMS server che vengono utilizzati dagli utenti delle VO che usano l’infrastruttura

GARR WS08 - Milano, 2-4 Aprile certificati server Certificano l’identita’ di un server in Grid –reverse DNS check –utilizzati da Globus GSI –Consentono la comunicazione sicura col server stesso Necessari su tutti i nodi gLite tranne: –Worker Nodes –BD-II Posizionati normalmente in –/etc/grid-security/cert-server.pem –/etc/grid-security/key-server.pem Handle with care !

GARR WS08 - Milano, 2-4 Aprile Chiavi pubbliche delle CA Servono a verificare le identita’ degli utenti e delle risorse –La CA firma i certificati utenti con la sua chiave privata Necessari su tutti i nodi gLite tranne il BD-II Posizionati normalmente in –/etc/grid-security/certificates Reperibili su: – Make sure you have the updated ones !

GARR WS08 - Milano, 2-4 Aprile Chiave pubblica del VOMS server UI, CE, glite-WMS, lcg-RB hanno bisogno della chiave pubblica dei VOMS autorizzanti gli utenti per verificare l’identita’ del VOMS e istanziare una comunicaizone sicura con esso Posizionate normalmente in –/etc/grid-security/vomsdir

GARR WS08 - Milano, 2-4 Aprile Certificati gLite servHost certCA filesVOMS cert UI-SI WN-SI- WMS / RBSI CESI VOMSSI - LBSI BD-II---

GARR WS08 - Milano, 2-4 Aprile Certificati gLite servHost certCA filesVOMS cert MONSI - LFCSI - DPMSI - FTSSI - AMGASI - EDSSI -

GARR WS08 - Milano, 2-4 Aprile Installazione di un servizio gLite

GARR WS08 - Milano, 2-4 Aprile Installazione di gLite 3.1 (SLC4) Si verificano i pre-requisiti Si installa con yum ( o apt) Si configura con YAIM Informazioni e guide su – WARNING: non tutti I servizi sono gia’ disponibili per gL 3.1 (porting a SLC4)

GARR WS08 - Milano, 2-4 Aprile Pre-requisiti e tools d’install/config Certificati server CA rpm files ( lcg-CA installabili con yum) NTP / time Java ( JDK 1.5.0_14 ) –wget yum –Repositories YAIM –site-info.def –Files ausiliari –Guida d’installazione e configurazione su

GARR WS08 - Milano, 2-4 Aprile Installazione (es.UI) apt-get install yum (se non c’e’ yum) cd /etc/yum.repos.d/ wget -r -l1 -H -t1 -nd -N -np -erobots=off deployment.web.cern.ch/grid0deployment/yaim/repos/ deployment.web.cern.ch/grid0deployment/yaim/repos/ yum install lcg-CA yum install glite-UI

GARR WS08 - Milano, 2-4 Aprile Configurazione (per.es.UI) Customize site-info.def /opt/glite/yaim/bin/yaim -c -v -s site-info.def -n glite-UI /opt/glite/yaim/bin/yaim -c -s site-info.def -n glite-UI

GARR WS08 - Milano, 2-4 Aprile Stato del porting (gL 3.1) a SLC4: