La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006.

Presentazioni simili


Presentazione sul tema: "FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006."— Transcript della presentazione:

1 FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006

2 Catania, Primo Workshop TriGrid VL, 13.03.2006 2 Accesso alla griglia Per accedere alla griglia di gilda: 1.Scaricare un UI virtuale sul proprio pc da eseguire con VMPlayer 2.Accedere remotamente con ssh alla UI su glite-tutor.ct.infn.it

3 Catania, Primo Workshop TriGrid VL, 13.03.2006 3 Metodo d’accesso 1 Download GILDA USER INTERFACE COMBINED VIRTUAL utilizzando il seguente link e leggere il file README https://gilda.ct.infn.it/VirtualServices.html (GILDA UI VM Combined )GILDA UI VM Combined

4 Catania, Primo Workshop TriGrid VL, 13.03.2006 4 Estrazione UI virtuale Decomprimere il file GILDAVM_Comb.tar.bz2: Linux: accedere alla directory dove volete decomprimere la macchina virtuale e digitate: Windows: Utilizzando winrar decomprimere il file nella directory di gradimento >tar xjvf GILDAVM_Comb.tar.bz2

5 Catania, Primo Workshop TriGrid VL, 13.03.2006 5 Accesso alla UI virtuale Eseguite VMPlayer http://www.vmware.com/download/player/ e selezionate “otherlinux.vmx” situato nella cartella UIVM http://www.vmware.com/download/player/ Accedete utilizzando il seguente account username = gildauser password = gildauser I tutor vi assegneranno un identificativo da 1 a 40 che dovrete usare per tutta la durata della sessione

6 Catania, Primo Workshop TriGrid VL, 13.03.2006 6 Copia delle credenziali Copiare i certificati personali di GILDA sulla UICombined Virtuale, digitando i seguenti comandi sulla vmplayer: (dove XX=01,….,50 and Passwd: GridCATXX) (PEM PASSPHRASE: CATANIA) >cd.globus >scp –p cataniaXX@glite-tutor.ct.infn.it:/home/cataniaXX/.globus/*.pem.

7 Catania, Primo Workshop TriGrid VL, 13.03.2006 7 Metodo d’accesso 2 Alternativamente e’ stata predisposta una UI remota con 40 account di prova da accedere con un client ssh: Login : cataniaXX@glite-tutor.ct.infn.it dove XX=01,..40 Passwd : GridCATXX XX=01,..,50 PEM PASSPHRASE PEM : CATANIA (usare ssh su unix oppure putty per windows: download http://www.putty.nl/latest/x86/putty.exe oppurehttp://www.putty.nl/latest/x86/putty.exe http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe)http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

8 Catania, Primo Workshop TriGrid VL, 13.03.2006 8 Premessa Creazione del proxy VOMS Utilizzo MyProxy

9 Catania, Primo Workshop TriGrid VL, 13.03.2006 9 Verifica sicurezza credenziali La directory nascosta “.globus” contiene le vostre chiavi personali publiche e private [glite-tutor] /home/russod > ls -la.globus total 16 drwxr-xr-x 2 russod users 4096 Jan 25 12:39. drwx------ 15 russod users 4096 Mar 3 2006.. -rw-r--r-- 1 russod users 1593 Jan 25 02:24 usercert.pem -r-------- 1 russod users 1916 Jan 25 02:24 userkey.pem [glite-tutor] /home/russod > Controllate i permessi!!

10 Catania, Primo Workshop TriGrid VL, 13.03.2006 10 voms-proxy-init: opzioni Sintassi: voms-proxy-init --voms [:command] Dove command è: /Role=rolename per ottenere privilegi differenti rispetto al default (NULL) e /gilda/ (se il server permette questi comandi) voms-proxy-init –-voms gilda:/Role=VO-Admin voms-proxy-init --voms gilda:/gilda/ -hours [x], crea un proxy valido per x ore (default 12) -vomslife x, crea un proxy esteso valido per x ore (default: same of proxy) -cert Certificato utente in locazione non-standard -key Chiave utente in locazione non-standard -out Nuovo Certificato in locazione non-standard -userconf Servers Voms user-defined Default file per Servers Voms for voms server address file: /opt/glite/etc/vomses oppure ~/.glite/vomses. Sintassi: \

11 Catania, Primo Workshop TriGrid VL, 13.03.2006 11 Autenticarsi su Grid: esercizio Esercizio 1: Ottenere accesso sulla griglia: Ottenere una shell su glite-tutor.ct.infn.it Autenticarsi sulla griglia tramite voms-proxy-init

12 Catania, Primo Workshop TriGrid VL, 13.03.2006 12 Creazione proxy VOMS [glite-tutor] /home/russod > voms-proxy-init --voms gilda Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it Enter GRID pass phrase: [Inserire grid passfrase] Your proxy is valid until Tue Mar 7 00:18:29 2006 Creating temporary proxy................................ Done Contacting voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it] "gilda" Done Creating proxy.............................. Done Your proxy is valid until Tue Mar 7 00:18:35 2006 [glite-tutor] /home/russod > _ Soluzione esercizio 1

13 Catania, Primo Workshop TriGrid VL, 13.03.2006 13 Verificare le credenziali: voms-proxy-info voms-proxy-info Options principali: -all Visualizza tutte le informazioni del proxy -file Specifica una differente posizione del proxy Esercizio 2 : verificate le vostre credenziali

14 Catania, Primo Workshop TriGrid VL, 13.03.2006 14 Verifica delle credenziali [glite-tutor] /home/russod > voms-proxy-info --all subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it/CN=proxy issuer : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it identity : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it type : proxy strength : 512 bits path : /tmp/x509up_u3018 timeleft : 11:59:52 === VO gilda extension information === VO : gilda subject : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it issuer : /C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it attribute : /gilda/Role=NULL/Capability=NULL timeleft : 11:59:52

15 Catania, Primo Workshop TriGrid VL, 13.03.2006 15 Esercizio 3: Creazione proxy voms Esercizio 3 : create un proxy voms richiedendo l’appartenenza al gruppo generic-users e verificate il proxy

16 Catania, Primo Workshop TriGrid VL, 13.03.2006 16 Esercizio 3: soluzione [glite-tutor] > voms-proxy-init --voms gilda:/gilda/generic-users Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=BARI/CN=BARI01/Email=roberto.barbera@ct.infn.it Enter GRID pass phrase: [Inserire grid passfrase] Your proxy is valid until Tue Mar 7 04:40:49 2006 Creating temporary proxy...................................... Done Contacting voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it] "gilda" Creating proxy................................................ Done Your proxy is valid until Tue Mar 7 04:40:49 2006 [glite-tutor] > _ Soluzione esercizio 3:

17 Catania, Primo Workshop TriGrid VL, 13.03.2006 17 Esercizio 3: verifica gruppo [glite-tutor] > voms-proxy-info --all subject : /C=IT/O=GILDA/OU=Personal Certificate/L=BARI/CN=BARI01/Email=roberto.barbera@ct.infn.it/CN=proxy issuer : /C=IT/O=GILDA/OU=Personal Certificate/L=BARI/CN=BARI01/Email=roberto.barbera@ct.infn.it identity : /C=IT/O=GILDA/OU=Personal Certificate/L=BARI/CN=BARI01/Email=roberto.barbera@ct.infn.it type : proxy strength : 512 bits path : /tmp/x509up_u3373 timeleft : 11:50:24 === VO gilda extension information === VO : gilda subject : /C=IT/O=GILDA/OU=Personal Certificate/L=BARI/CN=BARI01/Email=roberto.barbera@ct.infn.it issuer : /C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it attribute : /gilda/generic-users/Role=NULL/Capability=NULL attribute : /gilda/Role=NULL/Capability=NULL timeleft : 11:50:24 [glite-tutor] > _

18 Catania, Primo Workshop TriGrid VL, 13.03.2006 18 Proxy di lungo termine: MyProxy myproxy server: –myproxy-init  Permette di creare e memorizzare un proxy a lungo termine –myproxy-info  Ottiene informazioni di un proxy a lungo termine –myproxy-get-delegation  Ottiene un nuovo proxy dal server MyProxy –myproxy-destroy  Elimina il proxy dal server –Ogni comando myproxy-XXX ha la corrispondente pagina di man e lo switch –help per approfondite informazioni sulle opzioni Un servizio dedicato sul Resource Broker può rinnovare automaticamente il proxy contattando il server MyProxy

19 Catania, Primo Workshop TriGrid VL, 13.03.2006 19 Creazione di un proxy di lungo termine Esercizio 4: Creare un proxy sul MyProxy server grid001.ct.infn.it Opzioni principali di myproxy-init: -c Specifica la durata delle credenziali -s Specifica l’hostname del server MyProxy TIP: Utilizzate export MYPROXY_SERVER=grid001.ct.infn.it in.bashrc per evitare di dover ripetere –s su ogni comando myproxy-xxx -d Memorizza le credenziale con un nome differente rispetto all’user name nel proxy (obbligatorio per alcuni servizi di data management services e per il rinnovo automatico del proxy) Per il rinnovo automatico del proxy è inoltre obbligatorio l’uso di – n (no passphrase).

20 Catania, Primo Workshop TriGrid VL, 13.03.2006 20 Esercizio 4: soluzione [glite-tutor] /home/russod > myproxy-init --voms gilda –s grid001.ct.infn.it Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it Enter GRID pass phrase for this identity: [Inserire grid passfrase] Creating proxy............................ Done Proxy Verify OK Your proxy is valid until: Mon Mar 13 13:05:01 2006 Enter MyProxy pass phrase: [Inserire nuova passfrase] Verifying password - Enter MyProxy pass phrase: [Reinserire passfrase] A proxy valid for 168 hours (7.0 days) for user russod now exists on grid001.ct.infn.it. [glite-tutor] /home/russod > Soluzione esercizio 4 Nota: Se state utilizzando la VM appendete l’opzione -d

21 Catania, Primo Workshop TriGrid VL, 13.03.2006 21 My-proxy-info Utile per verificare le informazione sul proxy Necessita di credenziali locali per essere utilizzato Se le credenziali sono state create con –d quest’opzione deve essere usata con my-proxy-info [glite-tutor] /home/russod > myproxy-info –s grid001.ct.infn.it username: russod owner: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it timeleft: 167:59:49 (7.0 days) [glite-tutor] /home/russod > myproxy-info –d –s grid001.ct.infn.it username: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it owner: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it timeleft: 167:59:49 (7.0 days)

22 Catania, Primo Workshop TriGrid VL, 13.03.2006 22 Myproxy-get-delegation Utilizzato per ottenere una delega per un proxy di lungo termine memorizzato sul server myproxy Se le credenziali sono state inizializzate con l’opzione – d e’ necessario ripetere l’opzione Nota: il comando non permette il rinnovo per di un proxy generato con –n (senza passphrase) [glite-tutor] /home/russod > myproxy-get-delegation -d -s grid001.ct.infn.it Enter MyProxy pass phrase: A proxy has been received for user /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it in /tmp/x509up_u3018 [glite-tutor] /home/russod >

23 Catania, Primo Workshop TriGrid VL, 13.03.2006 23 Myproxy-destroy Elimina il proxy sul server my proxy (se esiste) [glite-tutor] /home/russod > myproxy-destroy -d -s grid001.ct.infn.it Default MyProxy credential for user /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Dario Russo/Email=dario.russo@ct.infn.it was successfully removed.

24 Catania, Primo Workshop TriGrid VL, 13.03.2006 24 Domande


Scaricare ppt "FESR www.trigrid.it Trinacria Grid Virtual Laboratory Esercitazione sulla Security Dario Russo INFN Catania Catania, 14 Marzo 2006."

Presentazioni simili


Annunci Google