+
La GridShib CA può essere configurato per utilizzare il MyProxy CA. A partire con v3.0, il server MyProxy include la possibilità di agire come autorità di certificazione (CA), certificati di firma con una chiave CA configurata su richiesta per gli utenti autenticati che non dispongono già di certificati memorizzati nel repository MyProxy. Gli utenti possono eseguire myproxy-accesso per l'autenticazione e ottenere un certificato dal MyProxy CA quando e dove necessario, senza bisogno di memorizzare le chiavi a lunga durata e certificati nel repository MyProxy o altrove. La funzionalità MyProxy CA richiede la configurazione di PAM e / o SASL per sostenere username / password e / o l'autenticazione Kerberos per l'ottenimento di certificati. L'amministratore myproxy server deve anche configurare il myproxy-server con la chiave CA, CA altri attributi, e un metodo per la mappatura nomi utente myproxy a nomi distinti (DN) nei certificati firmati. Sono supportati tre metodi di mappatura: certificate_mapfile. che segue il formato griglia-mapfile Globus Toolkit, certificate_mapapp. che fornisce un general-purpose interfaccia call-out, e LDAP. Il server MyProxy può agire come un CA, un archivio, o entrambi. La funzionalità di CA è disattivata a meno che le opzioni di configurazione di CA nel myproxy-server. config sono abilitati. Allo stesso modo, il myproxy-server. config accepted_credentials stabilisce se i clienti in grado di memorizzare le credenziali sul server. Un modello myproxy-server. config è fornita in $ GLOBUS_LOCATION / share / myproxy. Per impostazione predefinita, il MyProxy CA rilascia certificati validi per 12 ore. Questo può essere personalizzato utilizzando l'opzione max_cert_lifetime in myproxy-server. config. Supporto MyProxy CA è un contributo di Monte Goode da Lawrence Berkeley National Laboratory. MyProxy CA Installazione La MyProxy CA può essere configurato per utilizzare un hardware modulo di protezione. Installare il myproxy server in base alle istruzioni per l'installazione MyProxy Server. Crea il tuo CA utilizzando SimpleCA o equivalente. Il pacchetto Globus SimpleCA è incluso nell'installazione myproxy-server. Assicurarsi di creare le credenziali di accoglienza per la myproxy-server. Nota: la passphrase PEM si sceglie durante la configurazione SimpleCA deve essere inserito nella linea di configurazione certificate_issuer_key_passphrase myproxy-server. config (vedi sotto). Configurare il myproxy-server per utilizzare PAM e / o SASL. Configurare la funzionalità di CA nel file myproxy-server. config. Per esempio: pam "sufficienti" SASL authorized_retrievers "sufficienti" "*" certificate_issuer_cert /home/globus/.globus/simpleCA/cacert. pem certificate_issuer_key /home/globus/.globus/simpleCA/private/cakey. pem certificate_issuer_key_passphrase "myproxy" certificate_serialfile / home / globus /.globus / simpleCA / seriale /home/globus/.globus/simpleCA/newcerts certificate_out_dir certificate_mapfile / etc / grid-security / grid-mapfile Nota: il certificate_issuer_key_passphrase è la passphrase PEM si è scelto per l'installazione SimpleCA. Riavviare il myproxy-server per le modifiche di configurazione abbiano effetto. Si dovrebbe ora essere in grado di recuperare i certificati utilizzando myproxy-accesso. Per esempio: Se ci sono problemi, consultare la guida alla risoluzione dei problemi. Revoca Se si configura MyProxy con SimpleCA, allora si può revocare i certificati e generare liste di revoca dei certificati (CRL) utilizzando i comandi openssl ca. Le seguenti istruzioni presuppongono SimpleCA è installato in /home/globus/.globus/simpleCA e la tua myproxy-server. config è configurato come sopra. Il seguente script (installato a $ GLOBUS_LOCATION / share / myproxy / myproxy-crl. cron) può essere installato come un job cron per generare periodicamente CRL: Varie impostazioni CRL possono essere specificati in $ SIMPLECADIR / grid-ca-ssl. conf. Vedere il ca OpenSSL (1) documentazione per i dettagli. Per revocare un certificato, per i certificati $ SIMPLECADIR / newcerts e utilizzare il seguente script (installato a $ GLOBUS_LOCATION / share / myproxy / myproxy-Revoca), passando il percorso del file sulla riga di comando: Se si utilizza MyProxy con un modulo hardware di sicurezza. probabilmente sarà necessario aggiungere le opzioni - Engine agli script in base alla documentazione HSM. Ultima modifica 12/06/12. & Copy; 2000-2016 Board of Trustees dell'Università dell'Illinois.
No comments:
Post a Comment