Globus GSI
Izvor: CRO NGI
Sadržaj |
Uvod
Globus GSI (engl. Grid Security Infrastructure) je skup sigurnosnih protokola i tehnologija zasnovanih na digitalnim certifikatima koje koriste grid servisi.
U radu sa grid servisima korisnici se koriste posebnim oblikom certifikata - kratkoročnim zastupničkim (engl. proxy) certifikatom. Zastupnički certifikat se koristi za autentikaciju i autorizaciju korisnika prilikom pristupa sredstvima. Zastupnički certifikat ima ograničeno trajanje života. Nakon isteka korisnik stvara novi da bi mogao nastaviti rad. Ograničeno trajanje života onemogućava zloupotrebu certifikata.
Instalacija certifikata
Pomoću skripte
Pokrenuti skriptu na UI čvoru:
$ /opt/certVerify/convertCert.sh <MojCert.p12>
Napomena: prva lozinka koju skripta traži je ona kojom ste zaštitili privatni ključ prilikom backupa cetrifikata, a druga je lozinka koju želite koristiti ubuduće u grid okolini. Svaka od ovih lozinki unosi se dvaput. Lozinke mogu biti jednake.
Ručno
Korisnički certifikat se sprema u PEM formatu u sljedeće datoteke:
- ~/.globus/usercert.pem - korisnički certifikat
- ~/.globus/userkey.pem - privatni ključ korisničkog certifikata.
Na operacijskom sustavu MS Windows, datoteke se spremaju u direktorij "C:\Documents and Settings\<username>\.globus".
Datoteke moraju imati sljedeće ovlasti:
- usercert.pem: 444
- userkey.pem: 400.
Ukoliko su datoteke spremljene na alternativnim lokacijama potrebno je postaviti varijable okoline X509_USER_CERT za lokaciju korisničkog certifikata i X509_USER_KEY za lokaciju pripadajućeg ključa.
Dohvat informacija o certifikatu
Detaljne informacije o korisničkom certifikatu moguće je dobiti pomoću naredbe:
grid-cert-info.
Ukoliko certifikat nije spremljen na podrazumjevanoj lokaciji koristi se sljedeći oblik naredbe:
grid-cert-info -file usercert.pem
Za dohvat imena certifikata koristi se sljedeći oblik naredbe:
grid-cert-info -subject
Rad sa zastupničkim certifikatima
Korisnik prije početka rada sa grid servisima mora stvoriti zastupnički certifikat. Preduvjet za stvaranje zastupničkog certifikata s korisničkim je da korisnički certifikat i ključ budu instalirani na računalu na kojem se stvara zastupnički certifikat.
Zastupnički certifikat se stvara naredbom:
grid-proxy-init
Nakon završetka rada preporuča se eksplicitno uništavanje zastupničkog certifikata naredbom:
grid-proxy-destroy
BITNO: Ne brisati zastupnički certifikat, ukoliko postoje vaši aktivni poslovi ili poslovi koje čekaju na izvođenje u sustavima Condor-G i GridWay. U suprotnom će doći do greške u izvođenju poslova.
Prilikom prvog pristupa sustavu preporuča se testirati da li je sve u redu s korisničkim certifikatom sljedećom naredbom:
grid-proxy-init -debug -verify
Tijekom rada moguće je dobiti informacije o certifikatu naredbom:
grid-proxy-info
