Back to Documentation | English Version
Guías para configuración de MyProxy
Versión 1.0 - 17/5/2006
GuiasConfiguracionMyProxy.doc (236 KB)
|
1 Introducción
1.1 Propósito y alcance de este documento
Este documento describe los pasos a seguir por los administradores del portal GridSphere para la habilitación del módulo de certificación MyProxy.
Este documento asume que los servicios y los recursos compartidos por Globus ya han sido configurados correctamente.
La instalación y configuración descriptas corresponden a un servidor Linux Debian.
1.2 Definiciones de términos y abreviaturas
Los siguientes términos y abreviaturas son utilizados en el presente documento:
|
Término o Abreviatura |
Definición |
|
GT4 |
Globus Toolkit 4.0.x |
|
GSI |
Grid Security Infraestructure |
|
CA |
Certificate Authority |
|
Host certificate |
Certificado de una entidad final (no CA) que pertenece a un host. En GSI, este certificado generalmente está guardado en /etc/grid-security/hostcert.pem. |
1.3 Referencias
A continuación se detallan los documentos relacionados:
|
Documento |
Descripción |
|
Glosario.doc |
Glosario de términos relacionados con la tecnología grid |
|
GuiasInstalacionGlobus.doc |
Guía de instalación de Globus Toolkit |
|
GuiasInstalacionGridsphere.doc |
Guía de instalación de portal Gridsphere |
2 Conceptos generales
2.1 MyProxy
MyProxy es un software open source para el manejo de credenciales X.509 (certificados y claves privadas). MyProxy combina un repositorio de credenciales online con un Certificate Authority online para permitir a los usuarios obtener credenciales.
Los usuarios pueden usar MyProxy para delegar credenciales a servicios, actuando de parte de ellos, guardando credenciales en el repositorio de MyProxy y enviando el passphrase al servicio.
Para los usuarios que no tienen una credencial, MyProxy Certificate Authority (CA) provee además de métodos convenientes para obtenerlas.
2.2 Grid Security Infraestructure
Grid Security Infraestructure (GSI) es la parte de Globus Toolkit que provee los servicios de seguridad básicos que se necesitan para el soporte de grids.
GSI provee de capacidad de delegación: una extensión del protocolo SSL que reduce el número de veces que un usuario debe ingresar su passphrase. Si una ejecución en el grid requiere el uso de varios recursos del grid (cada uno de lo cuales requiere autenticación mutua) o si es necesario que haya agentes que requieran servicios de parte de un usuario, el reingreso de la passphrase puede ser evitado creando un proxy.
Un proxy consiste en un nuevo certificado y clave pública. El par puede ser regenerado por cada proxy u obtenido por otros medios. El nuevo certificado es firmado por el dueño, no por el CA. El certificado incluye además una marca de tiempo luego de la cual el proxy no debe ser aceptado por otros.
3 Instalación
Una configuración típica de MyProxy tiene un myproxy-server dedicado para el sitio y clientes MyProxy instalados en todos los sistemas donde otros clients Globus están instalados.
MyProxy está compilado e instalado como parte de una instalación GT4 default. No se requiere instalación extra para este componente.
4 Configuración
No se requiere configuración adicional para usar clientes MyProxy luego de ser instalados, pero se puede setear la variable de entorno MYPROXY_SERVER al host del myproxy-server.
Para configurar el myproxy-server se debe modificar el archivo $GLOBUS_LOCATION/etc/myproxy-server.config. Este paso se debe hacer a fin de aceptar requerimientos, el server no está habilitado por default. Para habilitaro, se deben descomentar las líneas del archivo como sigue:
#
# Complete Sample Policy
#
# The following lines define a sample policy that enables all
# myproxy-server features. See below for more examples.
accepted_credentials "*"
authorized_retrievers "*"
default_retrievers "*"
authorized_renewers "*"
default_renewers "none"
Este archivo se puede copiar con permisos de root a /etc/myproxy-server.config para no ser sobreescrito por futuras instalaciones.
El myproxy-server.config setea la política para myproxy-server, especificando qué credenciales pueden guardarse en el repositorio del server y quién esta autorizado a recuperar credenciales.
El archivo soporta expresiones regulares limitadas para coincidir con los distinguished names (DNs) de los usuarios. (Ver http://www.globus.org/toolkit/docs/4.0/security/myproxy/admin-index.html para opciones de configuración)
5 Prueba
Para verificar la instalación y configuración de myproxy-server, se puede ejecutar myproxy-server directamente desde el shell. Si se está usando un host certificate, será necesario ejecutar myproxy-server como root. Se debe asegurar que la variable GLOBUS_LOCATION esté seteada al directorio de instalación de MyProxy. Luego, dependiendo del shell, se debe ejecutar uno de los siguientes comandos:
Csh shell
source $GLOBUS_LOCATION/etc/globus-user-env.csh
sh shell
.$GLOBUS_LOCATION/etc/globus-user-env.sh
Luego ejecutar
$GLOBUS_LOCATION/sbin/myproxy-server -d.
Esto ejectua el programa en modo debug. Será necesario reiniciarlo para cada pedido de prueba. En otro shell se puede ejectuar un cliente MyProxy para probar el server.
Si se ejecuta sin el argumento -d, myproxy-server se ejecuta en background, aceptando conexiones TPC en el puerto 7512, y haciendo un fork para cada conexión que entre.
Para una instalación myproxy-server típica, el host donde corre debe tener creado /etc/grid-security y un host certificate instalado. En este caso myproxy-server correrá como root para acceder el host certificate y la clave.
6 Deploy
En el directorio $GLOBUS_LOCATION/share/myproxy/etc.init.d.myproxy hay instalado un script de arranque para MyProxy.
Este archivo se debe editar para setear la variable GLOBUS_LOCATION correctamente.
Para instalarlo en Debian, se debe copiar el archivo a /etc/init.d/myproxy y ejecutar como root
# update-rc.d myproxy defaults
Este comando inserta los links utilizando los defaults. Por último rebootear el servidor.
Nota: para iniciar/detener/reiniciar el servicio se puede utilizar el comando
# invoke-rc.d myproxy [start|stop|restart]