Главная / Обучение / Практикум / Авторизация и аутентификация

Авторизация и аутентификация

Эта страница покажет Вам этапы проверки персонального сертификата и затем создания и проверки VOMS proxy. Предполагается, что Вы уже начали сеанс работы на User Interface (в этом примере используется UI на glite-tutor.ct.infn.it) и у Вас есть действительный цифровой сертификат, расположенный в директории .globus и текущая директория - это Ваша home directory.

Проверка персонального сертификата

Ваш персональный цифровой сертификат разделён на 2 отдельных файла, расположенных в директории, названной .globus. Эти файлы фактически являются Вашими открытым и закрытым ключами и будут использоваться для аутентифицированного соединения с другими элементами Грид. Очень важно, чтобы эти файлы имели правильно установленные права доступа, иначе Вы не сможете создать proxy. Проверьте права доступа командой

ls -l .globus

которая выведет на экран следующее, если же Ваш сертификат не разделён и составляет один файл, то внимательно прочитайте эту инструкцию.

[giorgio@glite-tutor giorgio]$ ls -l .globus
total 8
-rw-r--r--    1 giorgio  users        1613 Jun  7 15:16 usercert.pem
-r--------    1 giorgio  users        1914 Jun  7 15:16 userkey.pem

Вы модете просмотреть содержимое Вашего сертификата командой

grid-cert-info

[giorgio@glite-tutor giorgio]$ grid-cert-info
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3901 (0xf3d)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=IT, O=GILDA, CN=GILDA Certification Authority
        Validity
            Not Before: Apr 12 08:32:31 2006 GMT
            Not After : Apr 12 08:32:31 2007 GMT
        Subject: C=IT, O=GILDA, OU=Personal Certificate, L=INFN, CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:c7:c9:9a:ae:81:e5:0f:03:c9:f6:0f:5b:3c:c5:
                    [cut...] 
                    9c:54:93:ae:b4:f2:5c:fc:62:f7:ff:f8:50:fc:c7:
                    00:4b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                41:8D:0A:A0:6D:3E:24:00:9E:98:FA:3B:EF:6F:40:DC:CB:86:81:0B
            X509v3 Authority Key Identifier:
                keyid:F2:4E:BA:9C:42:04:41:7F:A0:0A:AA:35:D0:98:93:12:37:EF:8C:76
                DirName:/C=IT/O=GILDA/CN=GILDA Certification Authority
                serial:00

    Signature Algorithm: md5WithRSAEncryption
        91:b1:2b:45:40:74:b1:0a:ba:d5:d2:fb:ad:32:07:9f:a9:3b:
        [cut...]        
        dd:4f

Заслуживают внимания такие вещи как дата создания и дата истечения срока действия сертификата, название и атрибуты Центра Сертификации, который выдал сертификат, поле Common Name(CN) владельца сертификата, а также поле Subject сертификата, которое уникально идентифицирует владельца сертификата.

Создание voms proxy

Этот шаг можно сравнить со входом в Грид, поскольку без него Вы сможете сделать очень мало. Команда, которая выполняет это - voms-proxy-init --voms VO-NAME. Например, если Ваша ВО - gilda, то Вы должны ввести:

voms-proxy-init --voms gilda

и если всё было сделано правильно, то Вы должны получить:

[giorgio@glite-tutor giorgio]$ voms-proxy-init --voms gilda
Cannot find file or dir: /home/giorgio/.glite/vomses
Your identity: /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it
Enter GRID pass phrase:
Creating temporary proxy ....................................... Done
Contacting  voms.ct.infn.it:15001 [/C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it] "gilda" Done
Creating proxy ............................................ Done
Your proxy is valid until Fri Jul 14 00:34:00 2006

Проверка вашего voms proxy

После создания proxy Вы можете получить информацию о нём, используя команду voms-proxy-info. Гораздо полезнее использовать опцию -all, поскольку в этом случае также будет выведена информация, связанная с ВО, которая добавляется VOMS сервером. Например такая, как информация о группе, к которой принадлежит пользователь (в нашем случае - tutor) или о роли, назначенной пользователю. Также можно заметить, что выводится два интервала продолжительности действия: первый относится собственно к proxy, а на другой ссылаются, как на время действия AC(Access Control) правил, добавленных VOMS сервером. Для того чтобы пользователь имел полные права для работы в Грид, оба эих интервала должны быть ненулевыми.

[giorgio@glite-tutor giorgio]$ voms-proxy-info --all
subject   : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it/CN=proxy
issuer    : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it
identity  : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it
type      : proxy
strength  : 512 bits
path      : /tmp/x509up_u513
timeleft  : 11:39:55
=== VO gilda extension information ===
VO        : gilda
subject   : /C=IT/O=GILDA/OU=Personal Certificate/L=INFN/CN=Emidio Giorgio/Email=emidio.giorgio@ct.infn.it
issuer    : /C=IT/O=GILDA/OU=Host/L=INFN Catania/CN=voms.ct.infn.it/Email=emidio.giorgio@ct.infn.it
attribute : /gilda/Role=NULL/Capability=NULL
attribute : /gilda/tutors/Role=NULL/Capability=NULL
timeleft  : 11:39:54

Дальнейшая информация и ссылки

Краткое введение в Управление Сертификатами, составленное Marisa Luvisetto

gLite3 User Guide

egee@pnpi.nw.ru

©2004-2010 ПИЯФ РАН им. Б.П.Константинова

СтатистикаСтатистика сайта