Korzystanie z certyfikatów w portalu

  • user warning: Table 'variable' is marked as crashed and should be repaired query: UPDATE variable SET value = 's:1:\"1\";' WHERE name = 'image_gallery_nav_vocabulary' in /var/www/vinetoolkit.org/includes/bootstrap.inc on line 609.
  • user warning: Table 'variable' is marked as crashed and should be repaired query: UPDATE variable SET value = 'a:1:{i:0;s:13:\"primary-links\";}' WHERE name = 'menu_expanded' in /var/www/vinetoolkit.org/includes/bootstrap.inc on line 609.

Aby użytkownik mógł korzystać z usług obliczeniowych oraz składownaia danych niezbędny jest certyfikat użytkownika. Użytkownik infrastruktury PL-Grid może uzyskać taki certyfikat w portalu głównym PL-Grid - tutaj można znaleźć instrukcję jak taki certyfikat otrzymać: Podręcznik użytkownika PL-Grid (punkt 3 - Aplikowanie o certyfikat).

Do zalogowania do narzędzi Vine Toolkit używany jest użytkownik oraz hasło do portalu PL-Grid. Aby aktywować certyfikat w portalu należy delegować certyfikat do serwera MyProxy. W ten sposób umożliwiamy pobieranie certyfikatów proxy (o krótszym czasie ważności) poprzez aplikację wchodzącą w skład narzędzi Vine Toolkit o nazwie Credential Manager.

Poniżej przedstawiamy poszczególne kroki oraz cały scenariusz użycia:

Scenariusz wykorzystania certyfikatów w portaluScenariusz wykorzystania certyfikatów w portalu


1. Użytkownik posiada aktywne konto PL-Grid, konto w portalu Vine Toolkit jest synchronizowane z ARU (portalem głównym PL-Grid) i użytkownik może się na nie zalogować. Użytkownik posiada ważny certyfikat x509 Polish Grid CA lub PL-Grid Simple CA. Długoterminowe Proxy nie zostało wydelegowane na MyProxy serwer. Aby móc wykorzystać aplikacje dostępowe do zasobów obliczeniowych i danych potrzebny jest tzw. proxy certyfikat użytkownika.

2. Aby delegować długoterminowe proxy użytkownik uruchamia aplikację w technologii Java Web Start Certificate Manager (w skrócie certman). Użytkownik posiada na lokalnym komputerze certyfikat x509 (wraz z kluczem prywatnym). Certificate Manager umożliwia łatwe delegowanie długoterminowego proxy certyfikatu do serwera MyProxy (ten sam serwer jest wykorzystany również przez portal). Prywatny klucz użytkownika pozostaje tylko na lokalnym komputerze! Nie jest nigdzie przesyłany. Aplikacja JWS uruchamia się lokalnie na komputerze użytkownika. Poniżej jeden z głównych widoków Certificate Managera:

Widok główny

Tutaj można przeczytać instrukcję korzystania z certmana - Instrukcja Użytkownika

3. Długoterminowy certyfikat proxy użytkownika jest delegowany na serwer MyProxy. Jeśli użytkownik wydeleguje go używając nazwy konta oraz hasła takiego samego jak do portalu wówczas w portalu będzie dostępna funkcjonalność single-sign on – portal automatycznie ściąga krótkoterminowy proxy certyfikat z serwera MyProxy po zalogowaniu użytkownika.
Jeśli nazwa konta portalowego nie zgadza się z kontem w MyProxy lub użytkownik użyje hasła portalowego przy logowaniu (różniącego się od tego w MyProxy) wówczas użytkownik może ręcznie, po zalogowaniu do portalu, pobrać krótkoterminowe proxy w aplikacji Credential Manager:

Widok główny Credential ManageraWidok główny Credential Managera

Tutaj można przeczytać instrukcję korzystania z Credential Managera - Instrukcja użytkownika

Na powyższym rysunku widać już załadowany proxy certificate w portalu – po wygaśnięciu użytkownik może go odnowić podając hasło do konta na serwerze MyProxy. W każdej chwili użytkownik może deaktywować proxy certificate albo w ogóle usunąć je z portalu.

Podsumowując - portal jest gotowy do single sign-on w przypadku gdy:
- nazwa konta i hasło do portalu jest takie samo jak nazwa konta i hasło do MyProxy
- użytkownik za pierwszym razem stworzył mapowanie nazwy wyróżnionej (distinguish name) certyfikatu do swego konta

Jeśli powyższy warunek nie jest spełniony to użytkownik musi ręcznie aktywować proxy w portalu za pomocą aplikacji Credential Manager. Jest to decyzja indywidualna użytkownika – nie musi on tworzyć konta na Myproxy o takiej samej nazwie i haśle jak w portalu VT PL-Grid.

4. Po wykonanej delegacji długoterminowego certyfikatu proxy użytkownik loguje się do portalu, proxy certyfikat jest automatycznie pobierany z serwera MyProxy (służy do tego odpowiednio skonfigurowany „authentication module” w portalu). Jeśli konto w MyProxy jest inne od portalowego wówczas użytkownik ręcznie ściąga proxy certyfikat. Aplikacje portalowe umożliwiające interakcję z zasobami obliczeniowymi są w stanie łączyć się z nimi z powodzeniem z użyciem aktywnego proxy (np.: Job Manager, File Manager).