ScGridPortal管理员使用手册(Ver10)

中科院超级计算中心网格技术支持部ScGridPortal管理员使用手册(Ver.1.0)中科院超级计算中心网格技术支持部2003年11月中科院超级计算中心网格技术支持部1前言..........................................................................................................................................11功能模块简介...............................................................................................................................11.1Portal管理员......................................................................................................................11.2用户管理员........................................................................................................................22操作指南.......................................................................................................................................23背景知识介绍...............................................................................................................................33.1CA认证中心......................................................................................................................33.2用户代理33.2.1Grid证书..........................................................................................................................33.2.2MyProxy证书..................................................................................................................33.3Grid数据库.........................................................................................................................3前言ScGridPortal可分为usermodule，adminmodule，testmodule和accountingmodule共计四个功能模块，管理员模块是其中非常重要的一部分，此处的管理员有两种含义，一种是Portal的管理员，一种是用于添加及管理Portal用户的管理员，但提供的这两种功能，其访问机制是不一样的，前者是直接在Portal上授权给特定的用户，即可配置并查看信息，而后者对于普通用户而言是无法看到的，其功能模块也被物理的放置到另外一台认证服务器上。相关的详细功能说明见下文。1功能模块简介1.1Portal管理员功能主要为Portal的更新资源（用于首次使用及增加Grid节点时）、查看日志及Portal配置。中科院超级计算中心网格技术支持部2z更新资源：动态增加Grid节点（在增加Grid节点时，要由管理员首先做资源更新，普通用户才能使用）。z查看日志：提供查看portal日志的功能（gpdk.log和scgrid.log）zPortal配置：提供查看当前登录用户、查看当前资源信息、GIIS服务器信息及目前的作业状态等1.2用户管理员这一部分的主要功能为创建CA认证中心，添加/删除用户、签发证书、生成用户代理等，具体步骤见下面的操作指南。2操作指南ScGridPortal应用了CA认证，用户代理等安全机制，所以在添加用户时，除了在机器上添加真实的用户帐号外，还要做一系列的认证、配置及添加用户映射等工作，流程大致为（目前基本已实现了自动操作）：添加真实用户帐号添加用户（在认证服务器上，自动完成）签发证书（在认证服务器上，自动完成）创建用户代理（在认证服务器上，自动完成）中科院超级计算中心网格技术支持部3添加用户帐号的映射（一般为/etc/grid-security/grid-mapfile）注：用户帐号映射的形式大致为：/O=cas/O=cnic/OU=cnc.ac.cn/CN=testtest引号中是用户的DN，这个DN是唯一的，具体格式可参见下面的说明，引号后面是对应的机器上的真实用户帐号（DN的格式可完全参照认证服务器中的自动生成的映射，即将认证服务器中自动生成的/etc/grid-security/grid-mapfile中新建用户帐号中的DN部分直接拷贝过来即可）。3背景知识介绍3.1CA认证中心数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是由一个由权威机构-----CA机构，又称为证书授权(CertificateAuthority)中心发行的。数字证书是一个经证书授权中心数字签名的包含客户的公钥等与客户身份相关的信息，如：客户唯一可识别名等等。3.2用户代理3.2.1Grid证书Grid证书就类似一个护照，用以确定你的身份，以免除在使用globus提供的各项功能（提交作业、非匿名查看信息等）时重复确定身份的麻烦，ScGrid证书是由我中心非正式的CA所签发的（Grid证书的默认生存周期为1年）。这也就是前面的操作流程中签发证书所做的。3.2.2MyProxy证书要真正生成在Portal可以使用的用户，还需要通过用户证书来生成Myproxy证书，这个证书的默认生存周期为120小时，即用户通过Portal使用资源的期限是一周，一周之后用户需重新激活帐号，否则将无法登录Portal（可自动完成）3.3Grid数据库为了完全实现用户生成及重新激活代理的自动化操作，我们用mysql作了一个小型的grid数据库，目前只有portaluser和realuser这两个表，这个数据库的内容将会随着今后应用中科院超级计算中心网格技术支持部4及开发的深入而扩充及完善。表结构如下：CREATETABLEportaluser(PortalNamevarchar(8)NOTNULLdefault'',PortalPasswdvarchar(8)NOTNULL,LastUpdateTimeDATETIMENOTNULL,PRIMARYKEY(PortalName))TYPE=MyISAM;CREATETABLErealuser(RealNamevarchar(8)NOTNULLdefault'',RealPasswdvarchar(8)NOTNULL,KeyPasswdvarchar(8)NOTNULL,HomeDirvarchar(20)NOTNULL,Orgnizationvarchar(8)NOTNULL,Memovarchar(8)NOTNULL,PRIMARYKEY(RealName))TYPE=MyISAM;