CESNET

Jak se zapojit

Do VOCE se může zapojit každý člověk ze střední Evropy, který je zároveň členem akademické obce. Dále je potřeba mít platný osobní certifikát od nějaké mezinárodně uznávané certifikační autority, kvůli zde vyžadovanému zabezpečenému přístupu k zdrojům VOCE. Zároveň tato práce v prostředí gridů vyžaduje zabezpečený přístup,

Prosím, přečtěte si pozorně následující informace týkající se VOCE:

Registrace uživatelů

Nastavení výpočetních zdrojů

Registrace uživatelů

Certifikát

Jak získat certifikát

Certifikát je datový soubor sloužící k jednoznačné identifikaci osoby podobně jako občanský nebo řidičský průkaz. Každý certifikát je digitálně podepsaný a jeho doba platnosti je limitována. Platný bezpečnostní certifikát můžete získat od místní certifikační autority (CA). Ta zajišťuje a potvrzuje pravost certifikátu, jeho udržování a také odvolává jeho platnost. Seznam certifikačních autorit, které jsou přijatelné pro VOCE je založen na základě seznamu autorit EUGridPMA. . Seznam certifikačních autorit a podrobný návod jak získat osobní certifikát je uveden v tabulce níže.

Jak vložit certifikát do prohlížeče

Internetové prohlížeče (Internet Explorer, Mozzila FireFox, Opera) mají v srovnání s middlewarem používaným v gridových výpočtech odlišný formát certifikátů. Prohlížeče vyžadují formát PKCS12, kdežto gridový software používá formát PEM. Pokud je Váš certifikát v PEM formátu, musíte si nainstalovat OpenSSL (obvykle předinstalován v Linuxových distribucích; použijte verzi pro MS Windows). Tento program slouží k převodu certifikátů z formátu PEM do formátu PKCS12. Pro převod mezi formáty nainstalujte na stroj OpenSSL a zadejte do příkazové řádky příkaz uvedený níže.

openssl pkcs12 -export -inkey userkey.pem -in usercert.pem -out my_cert.p12 -name "My certificate"

kde:
userkey.pem -- Cesta k souboru s Vaším osobním klíčem.
usercert.pem -- Cesta k souboru obsahujícím Váš certifikát
my_cert.p12 -- Cesta kam chcete uložit Váš nově vytvořený certifikát v formátu PKCS12
"My certifikate" -- Volitelné jméno certifikátu, lze použít dále pokud chceme v prohlížeči vybrat právě tento certifikát (v případě, že jich máme v prohlížeči naimportovaných několik)

Budete muset vložit celkem dvě hesla, první vložíte když budete exportovat heslo z prohlížeče, to druhé je heslo k Vašemu privátnímu klíči. Z hlediska bezpečnosti nevadí, pokud jsou obě hesla stejná. Až se Vám podaří vyexportovat Váš certifikát, musíte ho importovat do prohlížeče. Dále je uveden postup jak naimportovat certifikáty do několika nejznámějších prohlížečů.

Firefox

  • Zapnětě Firefox
  • Klikněte na "Nástroje" a v nabídce vyberte "Možnosti".
  • Vyberte "Rozšířené"
  • Vyberte záložku "Šifrování" a v sekci "Certifikáty" zatrhněte "Vždy se dotázat".
  • Klikněte na tlačítko "Certifikáty".
  • Klikněte na tlačítko "Importovat"
  • Uveďte cestu k souboru "my_cert.p12". Program se Vás zeptá na hlavní heslo Software Security Device
  • (heslo, které slouží k ochraně všech citlivých osobních dat, které jsou v prohlížeči) a na heslo použité k zašifrování záložní kopie certifikátu.

Mozilla nebo Netscape

  • Zapněte Mozillu nebo Netscape
  • Jděte do Edit menu a vyberte "Preferences -> Privacy & Security -> Certificates -> Manage Certificates"
  • Vyberte Import Certificate option
  • Zadejte cestu k souboru my_cert.p12.
  • Jděte do Edit menu a vyberte "Preferences -> Privacy & Security -> Certificates -> Master Passw...
  • V políčku "Master Password Timeout" , zatrhněte "Every time it is needed". Tento krok je vyžadován aby se zabránilo webserverům získat Vaše osobní údaje z Vašeho prohlížeče bez Vašeho souhlasu.

Internet Explorer

  • Zapněte Internet Explorer
  • Klikněte na "Nástroje" a vyberte "Možnosti Internetu"
  • Vyberte záložku "Obecné" a v sekci "Certifikáty" klikněte na "Certifikáty"
  • Klikněte na "Importovat" a a uvítá Vás "Průvodce importem certifikátu", postupujte podle v něm uvedených instrukcí. Zadejte cestu k souboru, vložte heslo pro Váš soukromý klíč a zatrhněte "Povolit silnou ochranu privátního klíče". Tato ochrana zabrání webovým serverům, aby získaly Vaše osobní údaje z prohlížeče bez Vašeho souhlasu.
  • Tento certifikát by se měl uložit k "Osobním" certifikátům. Také prosím, vyberte vysoký stupeň zabezpečení Internetu, zabráníte tím tomuto prohlížeči, aby uložil Vaše heslo.

Obnova Vašeho osobního certifikátu

Pokud nezměníte jméno předmětu Vašeho osobního certifikátu, platnost Vašeho osobního certifikátu bude automaticky prodloužena po překročení doby platnosti.

Bez správně vloženého certifikátu ve Vašem prohlížeči nelze pokračovat v registraci.

Je také možné, aby uživatelé pracovali s jejich osobními certifikáty zaregistrovanými u VOCE (měnili je a/nebo získali nové). Bohužel, tuto činnost musí ručně vykonávat administrátoři VOCE. Proto je každý uživatel požádán, aby poslal e-mail obsahující nový certifikát, který musí být připojen ještě před koncem data platnosti jeho/jejího osobního certifikátu, který používá při přístupu k službám VOCE. Potřebujeme tedy kompletní certifikát, ne pouze jeho jméno předmětu, zkontrolujte, prosím, že mail obsahuje výstupní soubor uvedeného příkazu openssl x509 -in
Tento e-mail s novým certifikátem podepište Vaším předcházejícím registrovaným certifikátem a pošlete na adresu kouril@ics.muni.cz.

Také nezapomeňte na to, že můžete používat svůj osobní certifikát pouze u jedné virtuální organizace. Takže pro přístup k jiné virtuální organizaci než je VOCE potřebujete další osobní certifikát. Pokud se více zajímáte o využití zdrojů VOCE, prosím vyplňte registrační formulář do VOCE(použíjte prohlížeč, kde je importovaný Váš osobní certifikát).

Registrace uživatelů

Pokud se chcete stát členy VOCE, prosíme vyplňte registrační formulář (použijte internetový prohlížeč s instalovaným certifikátem).

Prodloužení účtu

Vaše členství ve VOCE je vázáno na každoroční prodloužení Vašeho účtu ve VOCE. Váš VOCE účet je možné prodloužit online po vyplnění formulářového pole, v němž je třeba krátce popsat Vaše dosavadní aktivity ve VOCE včetně dalších, plánovaných.

Administrace

Všichni uživatelé VOCE jsou rozděleni do institucí VOCE. Každá instituce VOCE je složena ze skupiny uživatelů, kteří jsou autonomně řízeni určitým administrátorem. Členství v instituci VOCE je definován uživatelovým jménem. Instituce VOCE může být napojena na již existující organizaci spolupracující s EGEE nebo to může být pouze virtuální skupina uživatelů. která byla vytvořena za účelem usnadnění administrace. V každé zemi je určitá instituce, která pracuje s uživateli, kterým nevyhovuje ani jedna z existujících institucí VOCE.

Rakousko, Austrian Grid CA
UNIINNSBRUCK /C=AT/O=AustrianGrid/OU=UIBK/
GUP /C=AT/O=AustrianGrid/OU=JKU/
Chorvatsko, SRCE CA
SRCE /C=HR/O=edu/OU=srce/
RBI /C=HR/O=edu/OU=irb/
FESB /C=HR/O=edu/OU=fesb/
Česká republika, CESNET CA, Step by Step Guide
CESNET /C=CZ/O=CESNET/

/O=CESNET/
Maďarsko, NIIF CA
MTA SZTAKI /C=HU/O=KFKI RMKI CA/OU=SZTAKI/

/C=HU/O=NIIF/OU=Certificate Authorities/CN=NIIF Root CA

/C=HU/O=NIIF CA/OU=GRID/
NIIF /C=HU/O=KFKI RMKI CA/OU=NIIF/
KFKI RMKI /C=HU/O=KFKI RMKI CA/OU=KFKI RMKI/
ELTE /C=HU/O=KFKI RMKI CA/OU=ELTE/
BME /C=HU/O=KFKI RMKI CA/OU=BME/
Polsko, Polish Grid CA
ICM /C=PL/O=GRID/O=ICM/
PSNC /C=PL/O=GRID/O=PSNC/
CYFRONET /C=PL/O=GRID/O=Cyfronet/
Slovensko, SlovakGrid CA
II-SAS /C=SK/O=SlovakGrid/
Slovinsko, SIGNET CA
JSI /C=SI/O=SiGNET/

Nastavení UI

Pokud byste chtěli používat vaše vlastní UI, musíte ho konfigurovat tak, aby podporovalo VOCE, k dispozici je jednoduchý konfigurační soubor. Ten si uložte jako: "/opt/glite/etc/voce/glite_wms.conf". Pro více detailů týkající se přístupu k VOCE UI, navštivte sekci Uživatelské rozhraní.

Registrace zdrojů

Pokud chcete nabídnout Vaše výpočetní zdroje, aby se staly částí VOCE, pak se prosím držte instrukcí uvedených níže.
Automatická konfigurace za použití YAIM s pomocí VOMS
K využití této možnosti změňte Váš soubor "site-info.def" podle instrukcí níže.

K souboru "site-info.def"

  • přidejte ldap://meta-ldap.cesnet.cz/ou=People,o=VOCE,dc=eu-egee,dc=org k GRIDMAP_AUTH
  • přidejte na konec souboru:
    VOS="$VOS voce"
    # egee_voce je příklad výpočetní fronty
    QUEUES="$QUEUES egee_voce"
    EGEE_VOCE_GROUP_ENABLE="voce"
    ########
    # voce #
    ########
    VO_VOCE_SW_DIR=$VO_SW_DIR/voce
    VO_VOCE_DEFAULT_SE=$SE_HOST
    VO_VOCE_STORAGE_DIR=$CLASSIC_STORAGE_DIR/voce
    VO_VOCE_VOMS_SERVERS="vomss://skurut19.cesnet.cz:8443/voms/voce?/voce/"
    VO_VOCE_VOMSES="'voce skurut19.cesnet.cz 7001 /DC=cz/DC=cesnet-ca/O=CESNET/CN=skurut19.cesnet.cz voce'"
    VO_VOCE_VOMS_CA_DN="'/DC=cz/DC=cesnet-ca/CN=CESNET CA'"
    kde SE_HOST je nějaké SE organizace v VOCE (pokud Vaše organizace nemá SE, použijte dpm1.egee.cesnet.cz)
Do users.conf přidejte:
19488:voceprd:1077:voce:voce:prd:
19489:vocesgm:1077:voce:voce:sgm:
19114:voce001:1077:voce:voce::
19122:voce002:1077:voce:voce::
19123:voce003:1077:voce:voce::
19124:voce004:1077:voce:voce::
19128:voce005:1077:voce:voce::
19129:voce006:1077:voce:voce::
19130:voce007:1077:voce:voce::
19131:voce008:1077:voce:voce::
19132:voce009:1077:voce:voce::
19133:voce010:1077:voce:voce::
19134:voce011:1077:voce:voce::
19138:voce012:1077:voce:voce::
19144:voce013:1077:voce:voce::
19145:voce014:1077:voce:voce::
19146:voce015:1077:voce:voce::
19147:voce016:1077:voce:voce::
19148:voce017:1077:voce:voce::
19149:voce018:1077:voce:voce::
19150:voce019:1077:voce:voce::
19151:voce020:1077:voce:voce::
Do groups.conf přidejte:
"/VO=voce/GROUP=/voce/ROLE=lcgadmin":::sgm:
"/VO=voce/GROUP=/voce/ROLE=production":::prd:
"/VO=voce/GROUP=/voce"::::
Také je potřeba mít instalovaný certifikát našeho VOMS serveru skurut19.cesnet.cz v /etc/grid-security/vomsdir.
K získání certifikátu prosím zkontrolujte VOCE kartu na stránkách CIC portálu.

Více informací o YAIM najdete na yaim.info a na template konfigurace v "/opt/glite/yaim/examples/siteinfo/site-info.def".

K dispozici je také LFC (LFC = LCG File Catalog = LHC Computing Grid File Catalog = Large Hadron Collider Computing Grid File Catalog) na adrese lfc1.egee.cesnet.cz