Utilisation du CA de la machine augite

1. Installation du CA augite (globus)

Si ce n'est déjà fait, suivre ce lien pour récupérer le tar.gz du CA augite et l'installer dans le répertoire /tmp.
S'il s'agit d'une nouvelle session globus, penser à paramétrer l'environnement.

Exécuter le script install_ca.txt dans le shell courant de globus, i.e. donner la commande suivante :

  . /tmp/install_ca.txt

2. Validation du CA (root)

La prise en compte du CA augite par globus permet de considérer comme valides les certificats qu'il émet. En le positionnant CA par défaut, les demandes de certificats seront automatiquement émises pour lui, ce qui n'est cependant pas strictement indispensable (l'option -ca peut aussi être utilisée lors de la demande de certificat).
S'il s'agit d'une nouvelle session root, penser à paramétrer l'environnement.
Exécuter le script fixe_ca.txt dans le shell courant de root, i.e. donner la commande suivante :

  . /tmp/fixe_ca.txt

Comme lors de l'étape 4 de l'installation, il faut valider quand est posée la question

Do you wish to continue (y/n) [y] :

puis répondre q et valider à nouveau pour terminer.

3. Demande de certificats

Attention ! Lorsque des certificats ont déjà été obtenus auprès d'une autorité de certification (projet globus, par exemple), des informations importantes risquent d'être perdues au cours de cette étape car une nouvelle demande écrase la précédente. Il faut dans ce cas sauvegarder d'abord le contenu des répertoires ~/.globus (certificat d'utilisateur) et /etc/grid-security (certificats machine et services).
La même commande, grid-cert-request, est utilisée pour générer les demandes pour les différents certificats (machine, user, et éventuellement services). Si le CA par défaut est un autre CA que le CA augite, utiliser l'option -ca 5ff74123 dans la commande grid-cert-request pour obtenir une demande pour le CA augite.

3.1 Certificat machine et/ou service(root)

Attention, la mise en place du certificat host par root doit impérativement être suivie de la commande suivante :

  $GLOBUS_LOCATION/setup/globus/setup-globus-gram-job-manager

Les demandes pour ces certificats sont obenues par root en utilisant la commande grid-cert-request avec l'option adequate (host ou ldap) :

  grid-cert-request -service host -host <fully-qualified-hostname-here>
  grid-cert-request -service ldap -host <fully-qualified-hostname-here>

soit par exemple grid-cert-request -service host -host augite.int-evry.fr
Se conformer ensuite aux indications affichées par la commande pour adresser la demande par mail à Daniel.Millot@int-evry.fr, puis mettre en place le certificat validé reçu en retour. Attention de bien penser, après la mise en place du certificat host, à donner la commande $GLOBUS_LOCATION/setup/globus/setup-globus-gram-job-manager

3.2 Certificat utilisateur(user)

Pour un utilisateur quelconque, la procédure est similaire à celle concernant les certificats précédents (i.e. envoi de mail et mise en place du certificat) après avoir utilisé la commande :

grid-cert-request

Au lieu de donner simplement la commande grid-cert-request, l'utilisateur peut si nécessaire choisir le nom distingué utilisé, comme par exemple pour l'utilisateur local globus de la machine gneiss :

grid-cert-request  -force -cn "gneiss globus user"

Il faudra penser à vérifier que l'administrateur a bien créée l'entrée correspondant au certificat dans le fichier grid-mapfile de chaque ressource que souhaite utiliser l'utilisateur. Ainsi, par exemple, lorsque le certificat de l'utilisateur local globus d'une nouvelle machine globus sera en place, le super-utilisateur pourra compléter le grid-mapfile local avec la commande (non valide sous debian...) :

grid-mapfile-add-entry -dn "`su -c 'grid-cert-info -subject' globus 2> /dev/null`" -ln globus