RICHIEDERE ED OTTENERE I CERTIFICATI

COME USER

 

RICHIEDERE IL CERTIFICATO PER UN 'UTENTE'
 

L'utente che vuole utilizzare il Toolkit di Globus deve accedere alla macchina locale sulla quale eseguire i comandi di Globus presumibilmente mediante l'utilizzo di un account locale. Utilizzare pero' i comandi di Globus richiede di essere riconosciuto dalla macchina server con la quale l'utente vuole comunicare mediante i comandi del Globus Toolkit. Il modello di sicurezza del GSI prevede la creazione di un "Proxy" per l'utente ovvero di un agente in grado di gestire i meccanismi di autenticazione interfacciando in maniera trasparente l'utente con i meccanismi locali dei server contattati mediante i comandi di Globus. All'attivazione del Proxy lo stesso controllera' la possibilita' per l'utente di essere certificato. Viene controllata cioe' la presenza di un certificato "USER". Come al solito, per ottenere tale certificato e' necessario contattare la Certification Authority. Accedendo alla macchina locale abitualmente utilizzata per utilizzare Globus, si consiglia di eseguire i seguenti comandi:

            "grid-cert-request"

Durante l'esecuzione di tale comando viene richiesta una password che il programma utilizzera' come chiave per criptare la chiave privata dell'utente. Il comando genera quindi una richiesta di certificazione per lo USER. Viene generata una directory:
            "~/.globus"

nella propria home. All'interno di tale directory e' dunque presente il file:

            "usercert_request.pem"

contenente la richiesta di certificato da inviare alla CA.
Al solito, la richiesta deve essere inviata alla CA mediante un messaggio e-mail contenente il file "usercert_request.pem" SENZA ALCUNA MODIFICA, e SENZA OGGETTO.

 

INSTALLARE IL CERTIFICATO PER UN 'UTENTE'

    Ottenuta la risposta della CA riguardo al proprio certificato, l'utente deve salvare il messaggio e-mail ottenuto nella directory:

            "~/.globus"

in un file definito:

            "usercert.pem"

L'utente è dunque pronto per eseguire i comandi di Globus. Ad esempio e' possibile avviare subito il servizio Proxy mediante il comando grid-proxy-init.

N. B. : Attualmente l'utente non e' in grado di connettersi a nessun server che accetti i comandi Globus. Tale affermazione e' necessaria se si pensa che l'utente ha un account locale sulla macchina dalla quale esegue i comandi di Globus ma non ne possiede uno sul server al quale sottopone le richieste. Per essere riconosciuti dal server remoto e' necessario fare una richiesta di iscrizione all'amministratore del server stesso. Non verra' creato un account pertanto non sara' necessario nemmeno utilizzare un nome utente ed una password: per essere riconosciuti bastera' il certificato.

Nel messaggio da inviare all'amministratore del server remoto e' necessario specificare:

  1. Il proprio SUBJECT ovvero il cosiddetto "DISTINGUISHED NAME"

  2. Il proprio USER ovvero il nome utente utilizzato per accedere alla macchina locale

Per ottenere (1):

    Dopo aver ottenuto il certificato ed averlo installato nella propria home si consiglia di digitare il comando:

            "grid-cert-info -subject"

    La riga ottenuta corrisponde al proprio SUBJECT e va copiata nel messaggio e-mail da destinare all'amministratore del server remoto SENZA ALCUNA MODIFICA.

Per ottenere (2):

    ... basta digitare il comando:

            "whoami"

 

Globus ConfigurazioneHome Page di Grasso FabrizioMappa del Sito (Sommario)Installazione del Replica Catalog