|
Документ взят из кэша поисковой машины. Адрес
оригинального документа
: http://theory.sinp.msu.ru/pipermail/rdig-na3/2009-April/000020.html
Дата изменения: Sat Apr 11 13:50:56 2009 Дата индексирования: Tue Oct 2 06:39:04 2012 Кодировка: |
Здравствуйте, Сергей. С СА и WEb UI примерно понятно. Как быть с VOMS для соответствующей ВО? Будем создавать отдельную? Мне кажется, что было бы удобно, чтобы при автоматическом генерировании сертификатов для группы пользователей, производились соответствующие манипуляции по регистрации этих сертификатов в ВО, т.е. на VOMS. В каком центе такой сервис будет находиться? Далее по тексту. > 10. Использование CRL, похоже, нецелесообразно, поскольку сертификаты > короткоживущие > (максимум неделя, а может и меньше). Я могу ошибаться, но, по-моему, есть какие-то сервисы, которые отказываются обслуживать запросы пользователей, если его сертификат был подписан СА, соответствующий CRL которого на данном сервисе истёк. Есть какая-то опция, позволяющая отключать проверку CRL на сервисе? Далее. Мы используем нашу учебную инфраструктуру в том числе и для проведения семестровых занятий для студентов. Соответственно, и сертификаты нам нужны, действительные семестр. Вижу несколько вариантов в этом случае: 1. Если такая наша деятельность по обучению всех желающих (любознательных коллег, студенто и т.п.) легальна с точки зрения EGEE NA3, то проблема решается просто: на странице запроса сертификатов добавляется поле для указания срока его действиствия. Тогда можно будет обойтись и одним VOMS сервисом с одной ВО. 2. Если такая деятельность неприемлема в рамках EGEE NA3, то придётся каждому ресурсному центру разделять ресурсы между разными ВО: RDIG_NA3_VO и своей локальной ВО (edu), - а также поддерживать свой VOMS. Николай. > Если есть какие-то соображения или предложения, просьба высказываться. > > С уважением, > Сергей Олешко > > Victor Kotlyar wrote: > >> Здравствуйте, Николай. >> >> Предлагаю: >> 1. на первоначальном этапе воспользоваться вашей VO edu (потом, когда >> у ПИЯФ будет CA+web UI, может быть придется создавать еще одну VO ); >> 2. У нас нет своего CA, и на первом этапе мы хотели бы использовать >> RDIG сертификаты пользователей (также ожидая появления CA в ПИЯФ) >> 3. сертификаты получать у вашего CA мы пока не планируем, но будем его >> поддерживать на наших ресурсах; >> 4. VO администрирование пусть будет у вас, в будущем, будет видно как >> лучше. >> >> Для этого: >> 1. нам нужен сертификат для вашего CA, желательно rpm пакет; >> 2. Нам необходимы настройки для вашего VOMS сервера и VO (желательно >> строчки в yaim конфигуратор) >> 3. зерегестрируйте пожалуйста >> "/C=RU/O=RDIG/OU=users/OU=ihep.su/CN=Victor Kotlyar" в VO edu, для >> настройки и опытов >> >> >> Это для первого этапа. >> Но, как получается, все ваши сервисы tob-BDII, WMS, LB, LFC, VOMS >> должны быть доступны из нашей сети (194.190.160.0/21) >> >> Как пройдем первый этап, пойдем дальше. >> >> Из ресурсов: у нас также lcg-CE+2WN и SE dCache srm2+space reservation >> on, все установлено под xen hypervisor'ом. >> >> С уважением, >> Виктор Котляр >> >> on 09.04.2009 16:28, Nikolay Kutovskiy wrote: >> >> >>> Виктор, отвечаю на Ваши вопросы. >>> >>> Nikolay Kutovskiy wrote: >>> >>>> Добрый день, Виктор! >>>> >>>> Я Вам чуть попозже отвечу на эти вопросы. связываться напрямую можно >>>> со мной с копией Сергею Белову. >>>> >>>> С уважением, >>>> Николай. >>>> >>>> Victor Kotlyar wrote: >>>> >>>>> Не мог бы кто-нибудь из Дубны рассказать структуру учебной фермы, а >>>>> именно интересует вопросы связанные с VOMS и CA, как происходит >>>>> авторизация и откуда и как можно пользоваться вашей инфраструктурой. >>>>> >>> как уже писал Сергей Белов, у нас есть следующий набор сервисов: >>> грид-сайт №1: >>> top-BDII, WMS, LB, lcg-CE+2WNs, DPM SE, site-BDII, LFC; >>> >>> сайт №2: >>> lcg-CE+2WNs, DPM SE, site-BDII; >>> >>> сайт №3: >>> lcg-CE+3WNs c поддержкой MPI (установлена на прошлой недели, тесты с >>> параллельной задачей проходят, но реальные параллельные задачи пока >>> не запускались). >>> >>> Также есть свой VOMS (пока поддерживается только одна ВО - edu от >>> англ. education) и CA, чтобы созданную инфрастуктуру сделать >>> полностью автономной (т.е. независящую ни от каких внешних сервисов, >>> СА и пр.) для любых своих нужд таких, как >>> - обучения пользователей; >>> - системных администраторов с предоставлением каждому из них набора >>> необходимых для курса обучения ресурсов; >>> - обучения или предоставления тренировочного полигона для разработчиков; >>> - предоставления ресурсов для тестировщиков ППО, если тестирование не >>> касается вопросов производительности (т.к. всё это работает не на >>> реальном "железе", а на виртуалках openvz - www.openvz.org). >>> >>> >>>>> Мы предлагаем добавить наши CE+SE к вам. >>>>> Если вас это устраивает, то: >>>>> 1. нам надо будет настроиться, чтоб вы могли пользоваться нашим >>>>> кластером (настроить ваши VOMS+CA). >>>>> >>> ..... >>> >> 3. вы добавляете наш сайт в ваш top BDII и ваш WMS сможет уже >>> >> запускать задачи к нам. >>> >>> для этого мы должны определиться, какие (-ую) ВО будет поддерживать >>> такая общая инфраструктура. Учитывая кол-во уже сконфигурированных >>> элементов, проще будет переконфигурировать ваши CE и SE на поддержку >>> ВО edu. Но этот вопрос, как и любые другие предложения/замечания >>> обсужаются. >>> >>> >>>>> 2. Далее, как все будет настроено, мы пробуем запускать задания >>>>> напрямую от вас >>>>> >>> от нас в смысле с нашего UI? я предлагаю сделать несколько UI, чтобы >>> у тренеров была возможность заводить пользователей в удобное для них >>> время. Параметры для настройки UI я могу выслать. >>> >>> >>>>> 4. вы должны принимать host сертификаты RDIG. >>>>> >>> Все сервисы данной учебной инфраструктуры принимают сертификаты, >>> подписанные в RDIG. >>> >>> >>> Исходя из всего описанного выше, мне на данный момент хотелось бы >>> прояснить следующие вопросы: >>> - количество и взаимоотношения между нашими локальными CA: >>> 1) у каждой организации свой СА и мы просто признаём подписанные >>> каждым из этих СА сертификаты; >>> 2) если использовать один СА, то придётся либо на время проведения >>> курсов договариваться, чтобы владеющий паролем СА в определённое >>> время (в начальной фазе тренинга) был готов оперативно подписать >>> заявки на сертификаты всем, что может быть не совсем удобно для >>> такого человека. Ситуация, когда пароль от СА, знают все тренера, >>> чтобы каждый из них в нужный момент имел возможность подписать сам >>> заявки от пользоателей, по-моему, не совсем желательная. >>> - сколько ВО должна поддерживать данная инфраструктура. >>> - если мы соглашаемся использовать ресурсы такой общей учебной >>> инфраструтктуры в рамках одной ВО, то нужно будет продумать, кто >>> должен иметь право быть администратором этой ВО (один человек? по >>> одному представителю от организации? все тренера?). >>> >>> Мне любопытно, под какими сертификатами работают уже имеющиеся в >>> разных институтах для t-infrastructure сервисы? подписанные RDIG? >>> собственными локальными СА? >>> >>> Сейчас к учебной инфраструктуре в ОИЯИ извне доступа нет. Для доступа >>> извне мне нужно поговорить с нашей сетевой службой для открытия >>> необходимых портов, но на это надо какое-то время. >>> >>> Пока всё. >>> >>> Николай. >>> >>>>> <>Инфраструктура готова :) >>>>> >>>>> С уважением, >>>>> Виктор Котляр >>>>> >>>>> п.с. желательно знать: с кем можно связываться напрямую по вопросам >>>>> настройки. >>>>> >>>>> >> _______________________________________________ >> Rdig-na3 mailing list >> Rdig-na3 at theory.sinp.msu.ru >> http://theory.sinp.msu.ru/mailman/listinfo/rdig-na3 >> >> >> >