README Этот файл содержит краткую информацию о получении сертификатов для системы Globus (http://www.globus.org). На русском языке об этой системе можно почитать в журнале "Открытые системы", 2001, номер 11, стр. 10-15. (http://www.osp.ru/os/2001/11/010.htm). Краткая информация об использовании Globus в экспериментах по физике высоких энергий может быть найдена на сайте http://dbserv.pnpi.spb.ru/RRCF/. ПОЛУЧЕНИЕ СЕРТИФИКАТА ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ Globus Для работы с Globus вам понадобится получить сертификат от какой-либо авторизованной организации. Если вы не знаете таких организаций, то вы можно получить (бесплатно) сертификат от авторов системы Globus, смотрите http://gcs.globus.org:8080/gcs или используя простой сертификационный центр Globus Simple Certificate Authority (Simple CA), который включен в данную установку системы Globus, что рекомендуется авторами Globus. Если вы хотите иcпользовать по умолчанию Simple CA, то выполните такие действия: Под пользователем globus выполните скрипт $GLOBUS_LOCATION/setup/globus/setup-simple-ca В домашнем каталоге пользователя globus создастся подкаталог .globus/simpleCA. Владельцем Simple CA будет globus. Затем выполните под root скрипт $GLOBUS_LOCATION/setup/globus_simple_ca_[CA-Hash]_setup/setup-gsi -default Где CA-Hash вы возьмете из последнего сообщения предыдущего скрипта. В результате создастся директория /etc/grid-security/certificates Создание сертификата хоста -------------------------- Под root выполните grid-cert-request -host Под globus выполните grid-ca-sign -in /etc/grid-security/hostcert_request.pem -out hostsigned.pem и в текущем каталоге создастся файл hostsigned.pem Под root выполните mv ~globus/hostsigned.pem /etc/grid-security/hostcert.pem Создание сертификата пользователя --------------------------------- Положим, какой-то пользователь, например , хочет подключиться к работе в нашем GRID. Для этого он должен выполнить команду: grid-cert-request В домашнем каталоге пользователя создастся подкаталог .globus, куда записываются файлы usercert_request.pem и usercert.pem. У него запросят пароль, который необходимо завести для него в данной системе. Пароль может быть весьма нетривиальным и включать пробелы. Например, паролем может быть нижеприведённая фраза: Не тяни Кота за хвост. Теперь надо послать usercert_request.pem на подпись администратору globus, это можно сделать например послав письмо пользователю globus: mail real@globus.address < $HOME/.globus/usercert_request.pem Получив запрос, пользователь globus должен выполнить команду: grid-ca-sign -in /tmp/usercert_request.pem -out signed.pem и переслать получившийся в результате ее выполнения файл signed.pem обратно. Пользователю полученный сертификат необходимо поместить в свой каталог .globus: cp /tmp/signed.pem $HOME/.globus/usercert.pem Пользователь для тестирования сертификата должен выполнить команду: grid-proxy-init -debug -verify Под суперпользователем root выполните команду: $GLOBUS_LOCATION/bin/setperms.sh. Под root создайте файл /etc/grid-security/grid-mapfile, в котором должна быть строка вида "content" Где content это информация, выдаваемая командой "grid-cert-info -subject" которую надо выполнить под . Затем, под root надо выполнить скрипты $GLOBUS_LOCATION/setup/globus/setup-globus-gaa-authz-callout $GLOBUS_LOCATION/setup/globus/setup-globus-gram-job-manager Тестирование установки ---------------------- Тестирование GRAM через командную строку ---------------------------------------- Под пользователем выполнить: grid-proxy-init globus-personal-gatekeeper -start Вторая команда выведет строку что-то в виде показанном ниже: ":4589:/O=Grid/O=Globus/CN=Your Name" или, если вы использовали Simple CA, в виде типа: ":32817:/O=Grid/OU=GlobusTest/OU=simpleCA-hostname/OU=domain/CN=Your Name" Подставьте эту строку в команду вместо "": globusrun -o -r "" '&(executable=/bin/date)' Вы должны увидеть дату и время. В этой точке вы получили работающий персональный прокси и gatekeeper. Тестирования fork и sge (Sun Grid Engine) менеджеров с использованием MMJFS. В окне globus выполнить: cd $GLOBUS_LOCATION globus-start-container Для тестировантия fork менеджера под пользователем выполнить: grid-proxy-init cd $GLOBUS_LOCATION managed-job-globusrun -factory http://:8080/ogsa/services/base/gram/MasterForkManagedJobFactoryService -file schema/base/gram/examples/test.xml Вы должны увидеть сообщения вида: WAITING FOR JOB TO FINISH Job Status: Active Job Status: Done DESTROYING SERVICE SERVICE DESTROYED Для тестирования sge менеджера необходимо, чтобы SGE был установлен и сконфигурирован. Необходимо в файл /etc/services добавить строку sge_commd port/tcp # Sun Grid Engine Где port номер порта SGE. Под пользователем выполнить: grid-proxy-init (если еще не запущен) cd $GLOBUS_LOCATION managed-job-globusrun -factory http://:8080/ogsa/services/base/gram/MasterSGEManagedJobFactoryService -file schema/base/gram/examples/test.xml Вы должны увидеть такие же сообщения, как и в случае с fork менеджером. Тестирование OGSA Service Data Browser GUI ----------------------------------------- Под пользователем globus выполнить: cd $GLOBUS_LOCATION bin/globus-start-container Под пользователем выполнить: cd $GLOBUS_LOCATION bin/globus-sdb Появится окно Service Data Browser, а в нем фрейм, разверните его и увидите текущий список служб. ЗАКЛЮЧЕНИЕ Система Globus развивается весьма энергично. В связи с этим на сайте http://www.globus.org довольно часто появляются обновления. Так что следите за новостями. Для дальнейшей настройки системы GT 3.2 полезно ознакомиться с документаций на странице http://www-unix.globus.org/toolkit/docs/3.2/index.html