Tutorial manual
Configurazioni necessarie per gliteUI
Forgot your password?
MyproxyServer
Il servizo myproxy si trova su egrid-2.egrid.it
Il servizio é configurato per accettare,rinnovvare e servire i certificati per le seguenti CA INFN,EGRID,GRID@Trieste
Il file di configurazione é /etc/myproxy-server.config:: ATTENZIONE lo script di partenza e stato modifica per evitare che il file venga riscirtto ogni volta, l apolicy e stata aperta per evitare roblemi per il rinnovo dei certficato il campo dei certificati e troppo variabile per un parsing.:
# more /etc/myproxy-server.config # Policy aperta accepted_credentials "*" authorized_retrievers "*" default_retrievers "*" authorized_renewers "*" default_renewers "*" #accepted_credentials "/C=IT/L=Trieste - Italy/O=EGRID/*" #authorized_renewers "/C=IT/L=Trieste - Italy/O=EGRID/*" #authorized_retrievers "/C=IT/L=Trieste - Italy/O=EGRID/*" #accepted_credentials "/C=IT/O=INFN/*" #authorized_renewers "/C=IT/O=INFN/*" #authorized_retrievers "/C=IT/0=INFN/*" #accepted_credentials "/O=GRID@Trieste/*" #authorized_renewers "/O=GRID@Trieste/*" #authorized_retrievers "/O=GRID@Trieste/*"
Viene riscritto ad ogni riavvio del server! Eliminata configurazione automatica modificando script di avvio
'start')
if [ -x $MYPROXY ]; then
echo "Starting up MyProxy"
# ELEMINATA CONFIGURAZIONE AUTOMATICA
# $MKCONFIG
$MYPROXY $PORT $CONFIG $STORE $VERBOSE
Il file che provvede a risciverlo é /etc/rc.d/init.d/myproxy-generate-config.pl pare che legga i certifcati delle varie CA presenti in /etc/gridsecurity e non abbia file di configurazione
Trouble shotting
nel caso che un utente che sta usando il comando myproxy-init ha l'ouput rimane appesso il servizio puó esserre defunto.
Controllare il suo stato:
root@egrid-2:/root# ps -ef | grep myproxy root 4321 1 0 May25 ? 00:00:00 /opt/globus/sbin/myproxy-server -c /etc/myproxy-server.config --verbose root 10929 4321 0 May27 ? 00:00:00 [myproxy-server <defunct>] root 5333 4838 0 18:06 pts/1 00:00:00 grep myproxy
E far ripartire il servizo normalmente:
root@egrid-2:/root# service myproxy stop root@egrid-2:/root# service myproxy start
Integrazione con RB
Il servizio che si occuppa di rinnovare i certificati proxy che stanno scadendo e' edg-wl-proxyrenewal.
I certificati che vengono rinnovati vengono salvati nella directory /opt/edg/var/spool/edg-wl-renewd
Il programma non effetta logging, per attivvarlo modificare lo script di aprtenza aggiungendo l'opzione -d al comando alla linea 93:
su "$EDG_WL_USER" -c "${EDG_WL_LOCATION}/sbin/edg-wl-renewd -r ${PROXY_REPOSITORY}" && success "edg-wl-renewd startup" || failure "edg-wl-renewd startup
ATTENZIONE
Il rinnovo del certificato non avviene se il myproxy non e' stato creato dall'utente con l'opzione -d serve a salvare il file con una hash del DN del certificato, e il server puo' rinnovare solamente questa opzione. L'errore che si vede con l'opzione di Debug e':
[25467] Trying to renew proxy in 8eec2983ac2be8f52e7e6157396419a6.0 ERROR from server: Credentials do not exist Unable to retrieve credential information ERROR from server: Credentials do not exist Unable to retrieve credential information
L'errore si puo' verificare nel caso che un utente crea un myproxy sia per la delegation che per il renewal con l'opzione -d per entrambi.
Per verificare tale eventualita', controllare nella directory /var/myproxy sul MYPROXY_SERVER i dati. Per ogni certifcato salvato ci sono 2 file
- NOME.data Dati Relativi al certificato
- NOME.cred Il certificato vero e proprio
Per il rinnovo da parte del RB il NOME deve essere di 33 caratteri, hash del DN del Certificato, e il file NOME.data deve contenere la stringa RENEWERS=*
Se il file non contiene la stringa RENEWERS e un certificato per la delegation e' quindi il sistema si blocca.
