Dokumentacja PL-Grid

Dokumentacja Vine związana z projektem PL-Grid

Certificate Manager (certman) - instrukcja użytkownika

Certificate Manager (w skrócie certman) służy do delegacji długoterminowego proxy certyfikatu do serwera MyProxy. Z tak wydelegowanych certyfikatów mogą korzystać użytkownicy w portalu dostępowym PL-Grid w aplikacjach Vine Toolkit takich jak File Manager, Job Manager, Nano Client.

Certyfikat użytkownika na maszynie klienckiej może istnieć jako para plików PEM, bądź plik keystore z rozszerzeniem JKS (typu Java) lub P12 (typu PKCS12) lub może to byc certyfikat składowany w przeglądarce Firefox lub IE (Chrome używa zasobnika systemowego tak jak IE). Aplikacja poprawnie działa pod systemami Windows, Linux oraz Mac OS (tutaj mogą pojawić się problemy z ładownaiem certyfikatu z przeglądarki). Użytkownik powinien mieć zainstalowane środowisko uruchomieniowe Java 1.5 lub 1.6.

Jest to aplikacja w technologii Java Web Start, która uruchamia sie jako aplikacja standalone na maszynie klienckiej użytkownika. W portalu jest ona podlinkowana na jednej z zakładek np.: o nazwie Configuration lub Konfiguracja.

Ekran powitalny wygląda tak:

Welcome screen

Dolna część ekranu pokazuje informacje o skonfigurowanym certyfikacie użytkownika (jeśli informacja jest dostępna po odpaleniu to znaczy, że pliki z rozszerzeniem pem zostały odnalezione w profilu użytkownika w katalogu .globus ze standardowymi nazwami usercert.pem i userkey.pem). Jeśli certyfikat nie został wykryty od razu, wówczas pojawia się widok konfiguracji certyfikatu.

Na górze (sekcja Myproxy server) jest informacja o docelowym serwerze MyProxy - administrator portalu ma możliwośc skonfigurowania wielu serwerów MyProxy - przeważnie jest to jeden serwer więc użykownik końcowy nie musi dokonywać wyboru.

Zakładka o nazwie Manage Credential umożliwia delegację długoterminowego proxy certyfikatu do serwera MyProxy.
Użytkownik ustawia takie parametry:

Poniżej są dwa przyciski:

Podczas aktywacji jest pokazywany dialog z hasłem, które użytkownik chce ustawić:

MyProxy account password

Później po zakończeniu aktywacji jest pokazywane potwierdzenie:

MyProxy activation success

W przypadku deaktywacji użytkownik nie podaje hasła - musi mieć skonfigurowany lokalnie certyfikat w Certificate Managerze (ten sam, który był użyty przy delegacji/akywacji).

Po zakończeniu deaktywacji pokazywany jest komunikat potwierdzający:

MyProxy account passwordKonfiguracja certyfikatu użytkownika.

PEM files configuration

Ta zakładka umożliwia konfigurację lokalnego certyfikatu użytkownika (WAŻNE! Lokalny klucz prywatny jest wykorzystywany tylko lokalnie, nigdzie nie jest wysyłany)

Pole 'Certificate status' pokazuje czy certyfikat jest poprawnie załadowany pokazując Common Name z wartości DN (Distinguish Name).

Można ustawić dwie ścieżki do plików PEM - jedną do klucza publicznego oraz drugą dla klucza prywatnego.

Certman próbuje wykryć certyfikat w standardowej lokacji w profilu uzytkownika w katalogu .globus - typowe nazwy plików to: usercert.pem i userkey.pem.

Jeśli pliki nie zostały znalezione to można ścieżki ustawić ręcznie za pomocą przycisków "Get Path". Odpowiedni dialog jest wówczas pokazywany:

PEM file path setting

Jeśli ścieżki do plików są poprawne oraz pliki sa poprawnymi plikami PEM wówczas można skonfigurować certyfikat za pomocą klawisza
"Set Certificate / Key Paths".

Jesli certyfikat jest poprawnie załadowany w części informacyjnej na dole wypełnią się detale certyfikatu.

Keystore - certyfikat w pojedycznym pliku

Keystore setting

Aby skonfigurować certyfikat z pliku keystore nalezy wybrać opcję "Use certificate keystore". Po wybraniu tej wartośći wygląd zakładki zmieni się.
Sa na niej dwa pola do ustawienia: scięzka do pliku keystore oraz hasło do tego pliku. Scieżkę do pliku ustawia sie za pomocą przycisku "Get path":

Keystore file path setting

Po tym jak ścieżka i hasło są ustawione używamy przycisku "Set keystore" aby załadować certyfikat.

Inna opcją jest wybranie certyfikatu z przeglądarki. W tym celu użytkownik powinien nacisnąć przycisk "Web browser keystore selector".
Pojawi się dialog wyboru przeglądarki jeśli zostanie prawidłowo wykryta:

Browser selection

Po wyborze przeglądarki użytkonik widzi dialog z listą dostępnych certyfikatów w keystorze przeglądarki:

Cert selection

Po pomyślnym skonfigurowaniu certyfikatu z przeglądarki pola 'Keystore path' oraz 'Keystore password' są nieaktywne, aby wskazać, że źródłem certyfikatu jest przeglądarka. W każdym momencie możliwe jest ustawienie certyfikatu z pliku keystore za pomocą przycisku "Get path".

Cert from browser

Po tym jak certyfikat jest załadowany, użytkownik może wrócić do zakładki "Manage Credential" aby wydelegować proxy do serwera MyProxy. W przypadku gdy źródłem certyfikatu jest keystore pole "Private Key Password" jest nieaktywane, jako że wcześniej ustawione hasło do pliku keystore jest używane w zamian.

Credential Manager - instrukcja użytkownika

Credential Manager - umożliwia użytkownikowi pobranie krótkoterminowych proxy w portalu. Aplikacja jest dostępna dla użytkowników zalogowanych np. pod zakładką Konfiguracja lub Configuration.

Ekran powitalny wygląda tak:

Widok główny Credential ManageraWidok główny Credential Managera

Użytkownik dodaje nowy Credential za pomocą przycisku New Credential.

Wówczas w dolnej części pojawia sie formularz w którym należy wypełnic odpowiednie pola:

Formularz dla nowego credentialaFormularz dla nowego credentiala

Label – dowolna etykieta
User name – nazwa konta na serwerze MyProxy (np.: ustawione w Certificate Managerze)
Name - pole nieużywane w większości przypadków
Lifetime – czas życia proxy certyficatu w portalu (w sekundach)
Passphrase - hasło do konta na MyProxy serwerze (np.: ustawione w Certificate Managerze)

Po poprawnym pobraniu credentiala (inaczej proxy certyfikatu) w tabelce pojawi się odpowiedni wpis:

Pobrany proxy certyfikat w tabelcePobrany proxy certyfikat w tabelce

W każdej chwili można deaktywować dany proxy certyfikat za pomocą przycisku 'Deactivate credential'.

Przycisk 'Edit credential' pozwala na edycję już wcześniej zdefiniowanego credentiala.

Przycisk 'Delete credential' pozwala na usuwanie credentiali.

Single Sign-On

Aby umożliwić automatyczne pobranie certyfikatu, to oprócz użycia tej samej nazwy użytkownika oraz hasła zarówno do konta portalowego jaki i na serwer MyProxy, należy dodać mapowanie nazwy wyróżnionej certyfikatu do konta w portalu.

Obok tabeli z prawej storny mamy dostępny komponent do tworzenia takich mapowań. Wystarczy je zdefioniować raz na początku.

Główny widok wygląda tak:

Komponent do ustawiania mappinguKomponent do ustawiania mappingu

Aby dodać mapowanie wciskamy przycisk 'Change mappings'.

Wówczas pojawia nam się okno z listą dostępnych nazw wyróżnionych certyfikatów ktorych proxy były wcześniej pobierane i widczne w tabeli obok.

Ustawienie mapowaniaUstawienie mapowania

Należy przeciągnąć myszą wybrane nazwy na lewą stronę do kolumny 'Mappings'. Poźniej można zamknąć okno.

Po czym widok zmienia się i widać, które nazwy są aktualnie zmapowane do konta:

Widok z ustawionym mapowaniemWidok z ustawionym mapowaniem

Po tej operacji, jeśli użytkownik wyloguje się i zaloguje następnym razem, proxy będzie pobrane w sposób automatyczny.

Job Manager - instrukcja użytkownika

Job Manager służy do zlecania zadań do różnych zasobów obliczeniowych. Aplikacja dostępna jest tylko dla zalogowanych użytkowników.

Widok główny JobManageraWidok główny JobManagera

Domyślny widok przedstawia listę zleconych zadań, wraz z informacją o ich identyfikatorze, statusie, czasie zlecenia i ewentualnego zakończenia obliczeń oraz maszynie, na której obliczenia są wykonywane. Zlecone zadania można filtrować, wyświetlając tylko te o wybranym statusie.

Aby zlecić nowe zadanie obliczeniowe należy wybrać opcję "New Job". Wówczas widok Job Managera ulegnie zmianie i będzie przedstawiał się tak jak na poniższej ilustracji.
Job Manager - zlecanie nowego zadania obliczeniowegoJob Manager - zlecanie nowego zadania obliczeniowego

Po lewej stronie pojawia się lista dostępnych zasobów obliczeniowych, do których można zlecać zadania. Po wybraniu odpowiedniego zasobu, należy podać parametry zadania. Parametry można podawać wpisując odpowiednie informacje w rubrykach formularza podzielonego na kilka zakładek, lub wczytując opis zadania z pliku, ewentualnie wklejając opis zadania w zakładce JSDL. Tak jak sugeruje nazwa zakładki, obsługiwanym językiem opisu zadań jest JSDL.
Jeżeli parametry zadania wpisuje się ręcznie do formularza, w zakładce JSDL można zobaczyć wygenerowany opis zadania w postaci tekstu. Jeżeli natomiast gotowy opis zadania wkleja się lub wczytuje z pliku, wszelkie dane są analizowane i trafiają do odpowiednich rubryk formularza.

Working directory - Katalog roboczy, w którym zadanie ma być wykonane
Executable - Ścieżka do aplikacji, którą zadanie ma uruchomić
Arguments - Argumenty aplikacji (każdy argument musi znajdować się w oddzielnej linii!)
Environment variables - Zmienne środowiskowe, których odpowiednie ustawienie jest wymagane przez aplikację (każda zmienna środowiskowa, w postaci ZMIENNA=WARTOŚĆ, musi znajdować się w oddzielnej linii!)
Standard input - Nazwa pliku, którego aplikacja oczekuje na wejściu
Standard output - Nazwa pliku, do którego ma być przekierowane standardowe wyjście aplikacji
Standard error - Nazwa pliku, do którego ma zostać przekierowane stderr aplikacji
Distribution - Jeżeli plugin Vine Toolkit realizujący zlecanie obliczeń do wybranego zasobu wspiera rozszerzenia JSDL dla aplikacji równoległych to można wybrać z listy opcję odpowiednią dla zadania. Jeżeli nie to jedyną możliwością jest Single i parametr ten praktycznie nie ma znaczenia
Processes per node - Ilość procesów, które mają być uruchomione na jednym węźle
Threads per process - Ilość wątków w ramach procesu
Process count - - Całkowita ilość procesów

Job Manager - PlikiJob Manager - Pliki

Data type - Rodzaj pliku: wejściowy (in), wyjściowy (out) lub wejściowo-wyjściowy (inout)
File name - Nazwa pliku
Delete on termination - Informacja czy plik ma być usunięty po zakończeniu zadania
Creation flag - Informacja o tym, czy plik o tej samej nazwie, jeżeli już takowy istnieje, ma zostać nadpisany (overwrite(/i>), uzupełniony (append) czy ma mieć zmienioną nazwę, tak by uniknąć konfliktu nazw i nadpisania plików (don't overwrite)
Source - URL do pliku (tylko in lub inout)
Target - URL do pliku (tylko out lub inout)

Po wybraniu opcji Select source file lub Select target file można wybrać odpowiedni plik korzystając z File Managera.

Job Manager - Wymagania zasoboweJob Manager - Wymagania zasobowe

Host name - Nazwa maszyny, na której zadanie ma zostać wykonane
Individual CPU count - Liczba procesorów wymagana dla każdego zasobu
Individual virtual memory - Zapotrzebowanie na pamięć wirtualną dla każdego zasobu
Total resource count -
Total virtual memory - Zapotrzebowanie na pamięć wirtualną dla wszystkich zasobów
Total CPU count - Liczba procesorów wymagana globalnie, dla wszystkich zasobów
File system - Teoretycznie można tu zamapować jakiś system plików, ale jest to opcja praktycznie nieobsługiwana i ignorowana przez większość middlewarów
Exclusive execution - Flaga oznaczająca czy zadanie musi mieć żądane zasoby na wyłączność

Job Manager - Ogólne informacje o zadaniuJob Manager - Ogólne informacje o zadaniu
Wszystkie informacje ogólne o zadaniu są opcjonalne i służą tylko celom porządkowym i informacyjnym.

Job name - Nazwa zadania
Job description - Opis zadania
Project name - Nazwa projektu
Project description - Opis projektu
Job user - Nazwa użytkownika, zlecającego zadanie
Job group - Nazwa grupy użytkowników, do której należy użytkownik zlecający zadanie
Application name - Nazwa aplikacji
Application description - Opis aplikacji
Application version - Informacja o wersji aplikacji

Job Manager - JSDLJob Manager - JSDL

Po podaniu pełnej specyfikacji zadania, można je zlecić do wybranego zasobu obliczeniowego, wybierając opcję Submit. Jeżeli parametry zadania są niepoprawne i chcemy rozpocząć cały proces od początku, można wszystko skasować wybierając opcję Reset. Można też zrezygnować ze zlecania nowego zadania, wybierając opcję Cancel.

Korzystanie z certyfikatów w portalu

Aby użytkownik mógł korzystać z usług obliczeniowych oraz składownaia danych niezbędny jest certyfikat użytkownika. Użytkownik infrastruktury PL-Grid może uzyskać taki certyfikat w portalu głównym PL-Grid - tutaj można znaleźć instrukcję jak taki certyfikat otrzymać: Podręcznik użytkownika PL-Grid (punkt 3 - Aplikowanie o certyfikat).

Do zalogowania do narzędzi Vine Toolkit używany jest użytkownik oraz hasło do portalu PL-Grid. Aby aktywować certyfikat w portalu należy delegować certyfikat do serwera MyProxy. W ten sposób umożliwiamy pobieranie certyfikatów proxy (o krótszym czasie ważności) poprzez aplikację wchodzącą w skład narzędzi Vine Toolkit o nazwie Credential Manager.

Poniżej przedstawiamy poszczególne kroki oraz cały scenariusz użycia:

Scenariusz wykorzystania certyfikatów w portaluScenariusz wykorzystania certyfikatów w portalu


1. Użytkownik posiada aktywne konto PL-Grid, konto w portalu Vine Toolkit jest synchronizowane z ARU (portalem głównym PL-Grid) i użytkownik może się na nie zalogować. Użytkownik posiada ważny certyfikat x509 Polish Grid CA lub PL-Grid Simple CA. Długoterminowe Proxy nie zostało wydelegowane na MyProxy serwer. Aby móc wykorzystać aplikacje dostępowe do zasobów obliczeniowych i danych potrzebny jest tzw. proxy certyfikat użytkownika.

2. Aby delegować długoterminowe proxy użytkownik uruchamia aplikację w technologii Java Web Start Certificate Manager (w skrócie certman). Użytkownik posiada na lokalnym komputerze certyfikat x509 (wraz z kluczem prywatnym). Certificate Manager umożliwia łatwe delegowanie długoterminowego proxy certyfikatu do serwera MyProxy (ten sam serwer jest wykorzystany również przez portal). Prywatny klucz użytkownika pozostaje tylko na lokalnym komputerze! Nie jest nigdzie przesyłany. Aplikacja JWS uruchamia się lokalnie na komputerze użytkownika. Poniżej jeden z głównych widoków Certificate Managera:

Widok główny

Tutaj można przeczytać instrukcję korzystania z certmana - Instrukcja Użytkownika

3. Długoterminowy certyfikat proxy użytkownika jest delegowany na serwer MyProxy. Jeśli użytkownik wydeleguje go używając nazwy konta oraz hasła takiego samego jak do portalu wówczas w portalu będzie dostępna funkcjonalność single-sign on – portal automatycznie ściąga krótkoterminowy proxy certyfikat z serwera MyProxy po zalogowaniu użytkownika.
Jeśli nazwa konta portalowego nie zgadza się z kontem w MyProxy lub użytkownik użyje hasła portalowego przy logowaniu (różniącego się od tego w MyProxy) wówczas użytkownik może ręcznie, po zalogowaniu do portalu, pobrać krótkoterminowe proxy w aplikacji Credential Manager:

Widok główny Credential ManageraWidok główny Credential Managera

Tutaj można przeczytać instrukcję korzystania z Credential Managera - Instrukcja użytkownika

Na powyższym rysunku widać już załadowany proxy certificate w portalu – po wygaśnięciu użytkownik może go odnowić podając hasło do konta na serwerze MyProxy. W każdej chwili użytkownik może deaktywować proxy certificate albo w ogóle usunąć je z portalu.

Podsumowując - portal jest gotowy do single sign-on w przypadku gdy:
- nazwa konta i hasło do portalu jest takie samo jak nazwa konta i hasło do MyProxy
- użytkownik za pierwszym razem stworzył mapowanie nazwy wyróżnionej (distinguish name) certyfikatu do swego konta

Jeśli powyższy warunek nie jest spełniony to użytkownik musi ręcznie aktywować proxy w portalu za pomocą aplikacji Credential Manager. Jest to decyzja indywidualna użytkownika – nie musi on tworzyć konta na Myproxy o takiej samej nazwie i haśle jak w portalu VT PL-Grid.

4. Po wykonanej delegacji długoterminowego certyfikatu proxy użytkownik loguje się do portalu, proxy certyfikat jest automatycznie pobierany z serwera MyProxy (służy do tego odpowiednio skonfigurowany „authentication module” w portalu). Jeśli konto w MyProxy jest inne od portalowego wówczas użytkownik ręcznie ściąga proxy certyfikat. Aplikacje portalowe umożliwiające interakcję z zasobami obliczeniowymi są w stanie łączyć się z nimi z powodzeniem z użyciem aktywnego proxy (np.: Job Manager, File Manager).

Menadżer Plików (File Manager) - instrukcja użytkownika

Wstęp

Obecnie jednym z najczęściej wykorzystywanych narzędzi w pracy na komputerze jest oprogramowanie służące do przeglądania jego zasobów. Każda platforma posiada własny sposób zarządzania plikami, katalogami lub też innymi strukturami danych. Pierwszym dobrze znanym menadżerem plików był Norton Commander dostępny latach 90-tych na platformę DOS. Z biegiem lat i ewolucją systemów operacyjnych zmianie uległy również przeglądarki plików. Każdy dostawca systemów przedstawił swoja wersje oprogramowania do zarządzania danymi - Apple stworzył przeglądarkę Finder a Microsoft – Explorer. Jednak rozwiązanie, w którym użytkownik może przeglądać dwie różne lokacje zasobów w jednym momencie, w dwóch wertykalnie podzielonych panelach nadal pozostaje najczytelniejsze i najłatwiejsze w obsłudze. Z tego powodu na większość platform dostępne jest oprogramowanie przypominające Norton Commandera. Na przykład dla systemów Unix stworzony został Midnight Commander, dla systemów MS Windows powstał Total Commander a dla systemów Mac OS – muCommander. Menadżer Plików jedna z aplikacji wchodząca w skład Vine Toolkit daje funkcjonalność taką jak wymienione narzędzia jednak dzięki pracy w środowisku przeglądarek internetowych jest w pełni przenośny na inne platformy.

Podstawy

Główne okno programu Menadżer Plików (Rysunek 1) podzielone jest na dwa panele – lewy i prawy. W każdym panelu użytkownik może wybrać jaki system plików chce przeglądać. Systemy plików definiowane są przez administratora w odpowiednim pliku konfiguracyjnym. W chwili obecnej Vinetoolkit obsługuje następujące systemy plików:

Rysunek 1. Okno główne Menadżera PlikówRysunek 1. Okno główne Menadżera Plików

W górnej części każdego z paneli (Rysunek 2) znajduje się rozwijana lista, z której użytkownik może wybrać system plików na jakim chce pracować. Po wybraniu jednego z zasobów wyświetli się lista dostępnych plików i katalogów. Rysunek 1 przedstawia dwie różne listy plików w oddzielnych panelach. Poza nazwą plików z listy można również odczytać datę ostatniej modyfikacji, rozmiar oraz typ – czy jest to plik czy katalog.

Rysunek 2. Wybór systemu plikówRysunek 2. Wybór systemu plików

Zmiana katalogu może odbyć się na dwa sposoby. Pierwszym jest wpisanie ścieżki do katalogu w pole tekstowe znajdujące się pod listą wyboru systemu plików. Przejście do katalogu nadrzędnego może odbyć się poprzez kliknięcie na zieloną strzałkę obok pola tekstowego. Drugą metodą na zmianę katalogu jest podwójne kliknięcie przyciskiem myszki na wybranym katalogu. Metody te są najbardziej intuicyjne i najczęściej spotykane w innych menadżerach plików.

Operacje na plikach

Menadżer Plików pakietu Vinetoolkit pozwala na wykonanie podstawowych operacji na plikach pochodzących z różnych systemów. Do operacji tych należą:

Kopiowanie plików następuje poprzez zaznaczenie pliku i przeciągnięcie go do wybranej lokacji. Pojedyncze kliknięcie lewego przycisku myszy powoduje zaznaczenie pliku, natomiast podwójne kliknięcie powoduje jego otwarcie w spokrewnionej aplikacji. Jeśli żadna aplikacja nie została spokrewniona z plikiem nastąpi zapisanie go na dysku lokalnym w wybranej przez użytkownika lokacji.

Zmiana nazwy pliku lub katalogu odbywa się za pośrednictwem menu kontekstowego pliku, do którego użytkownik ma dostęp po zaznaczeniu wybranego obiektu i kliknięciu na nim prawym przyciskiem myszy. Inne funkcje dostępne z menu kontekstowego to usuwanie wybranego obiektu oraz pobranie pliku na dysk lokalny.

Poniżej listy plików znajdują się przyciski służące do wysyłania plików na określony system plików oraz tworzenie nowych katalogów. Po kliknięciu na przycisk „Wyślij plik” użytkownik będzie miał możliwość wyboru pliku z dysku lokalnego. Wybranie przycisku „Stwórz katalog” spowoduje otwarcie okna dialogowego pozwalającego na wpisanie nazwy katalogu, który chcemy utworzyć.