Paquetes y Software de Instalación de la CA de IRISGrid

• Solicitar el alta de instituciones o centros
• Solicitar el alta de nuevos recursos
• Solicitar el alta de nuevos usuarios
• Solicitar la autorización para el uso de recursos
• Solicitar la baja un usuario

Los procedimientos que las instituciones o centros que deseen participar en la iniciativa IRISGrid deberan seguir los siguientes pasos, independientemente de si la institución o centro incluya unicamente recursos o recursos y usuarios.

1. Solicitud de nombre institución o centro

1. Crear una página Web que incluya la siguiente información (ver ejemplos):
   
   
   • Nombre propuesto de la institución o centro.
   • Representante (Nombre, teléfono y email).
   • Responsable Tecnico (Nombre , teléfono, y email).

2. El representante deberá solicitar el alta de su centro o institución enviado un email al Coordinador de IRISGrid con un enlace a la página Web descrita en el punto anterior.

2. Configuración y solicitud de las credenciales

1. El coordinador de IRISGrid enviara la solicitud (Nivel 1 de seguridad) a todos los mienbros del Comite Ejecutivo para su evaluacion durante un periodo maximo de un dia habil y comprobara que el nuevo centro o institución cumple los requisitos minimos. El coordinador comunicara al representante del centro o institución candidata el resultado de la evaluacion del Comite Ejecutivo.

2. Instalar los paquetes de la CA de IRISGrid mediante la secuencia de comandos:

    $GPT_LOCATION/sbin/gpt-build \
            globus_simple_ca_41d1861c_setup-0.12.tar.gz <flavor>
    $GPT_LOCATION/sbin/gpt-postinstall
    $GLOBUS_LOCATION/setup/globus_simple_ca_41d1861c_setup/setup-gsi

   donde flavour definen las opciones de instalacion para el centro o institucion, por ejemplo, gcc32dbg, vendorcc32dbg,...



3. Una vez instalado, modificar el fichero /etc/grid-security/certificates/globus-user-ssl.conf.41d1861c:

   ...
   [ req_distinguished_name ]
   # BEGIN CONFIG
   countryName                      = Country Name (2 letter code)
   countryName_default              = ES
   countryName_min                  = 2
   countryName_max                  = 2
   0.organizationName               = Level 0 Organization
   0.organizationName_default       = irisgrid
   0.organizationalUnitName         = Level 0 Organizational Unit
   0.organizationalUnitName_default = DACYA-UCM
   commonName                       = Name (e.g., John M. Smith)
   commonName_max                   = 64
   emailAddress                     = Email Address
   emailAddress_max                 = 40
   ...

4. Crea un nuevo certificado X509 para el Representante y otro para el Responsable Tecnico. El DN final debe tener la forma:

   /C=ES/O=irisgrid/OU=Nombre_Centro/CN=Nombre Completo/Email=mail

   Para solicitar los certificados, usar el comando:

   grid-cert-request -ca -int

   Se creara, entre otros, el archivo $HOME/.globus/usercert_request.pem, ejecutar el siguiente comando para obtener el fingerprint de la solicitud (anotar el resultado para comprobarlo posteriormente con IRISGrid CA).

    openssl dgst -c -sha1 $HOME/.globus/usercert_request.pem 

   La figura del Responsable Tecnico es necesaria, aunque el centro o institución solo incluya usuarios, para implementar el Canal Técnico.

5. Añadir IRISGrid CA como CA válida en la herramienta de correo electronico descargando los ficheros adecuados.

6. El Representante enviara la solicitud a IRISGrid CA quien se pondra en contacto por teléfono con el con el fin de comprobar la validez de los certificados comparando los fingerprints de las solicitudes. Una vez comprobados, IRIS-GRID CA enviara los certificados firmados al Responsable. (Nivel 1 de seguridad).

7. El Responsable Tecnico actualizara la página web con los enlaces a los certificados firmados.

   • Nombre del centro o institución
   • Representante (Nombre, teléfono, e-mail y certificado X509 firmado por IRISGrid CA
   • Responsable Tecnico (nombre, teléfono, e-mail y certificado X509 firmado por IRISGrid CA)

   Los certificados deben publicarse en la página web en formato der, para exportarlos ejecutar el siguiente comando:

   openssl x509 -outform der -in $HOME/.globus/usercert.pem \
           -out $HOME/.globus/usercert.der

8. El Representante y Responsable Tecnico importaran los certificados en su gestor de correo para implementar los canales de seguridad descritos en la seccion de seguridad. Los certificados pueden convertirse en formato pkcs12 (aceptado por los gestores de correo habituales) mediante el comando:

   openssl pkcs12 -export -in usercert.pem -inkey userkey.pem \
           -out usercert.p12 

El siguiente procedimiento supone la existencia de un centro o institución dado de alta de acuerdo al procedimiento anterior.

1. Cuando se añaden nuevos recursos es necesario crear certificados para las máquinas y sus servicios. Estos certificados se crean con el DN recomendado por Globus pero siempre usando el formato:

   /C=ES/O=irisgrid/OU=Nombre_Centro/CN=host/FQDN máquina

   para generar el certificado ejecutar el comando:

    grid-cert-request -ca -host FQDN

2. Actualizar la página web para que incluya información del sitio (ver ejemplos):

   • Nombre del Centro o Institucion
   • Representante (Nombre, teléfono, e-mail y certificado X509 firmado por IRISGrid CA
   • Responsable Tecnico (nombre, teléfono, e-mail y certificado X509 firmado por IRISGrid CA)
   • Credenciales de su CA si es diferente a IRISGrid CA
   • Sistemas conectados al Grid (nombre, arquitectura, sistema operativo, y componentes Globus instalados)

3. El Representante deberá solicitar la firma de los nuevos certificados enviandolos por mail a IRISGrid CA (Nivel 1 de seguridad), que firmara los certificados y los devolverá en un e-mail al Representante (Nivel 1 de seguridad). El Responsable Técnico instalará los certificados de los nuevos recursos.

El siguiente procedimiento supone la existencia de un centro o institución dado de alta de acuerdo al procedimiento anterior.

1. Crea un nuevo certificado X509 para el usuario. El DN final debe tener la forma:

   /C=ES/O=irisgrid/OU=Nombre_Centro/CN=Nombre Completo/Email=mail

   Para solicitar los certificados, usar el comando:

   grid-cert-request -ca -int

2. El Representante deberá solicitar la firma de los nuevos certificados enviando un mail a IRISGrid CA. Es importante resaltar que el Representante es el encargado de autenticar internamente dentro de su institución o centro a los usuarios. Todos los nuevos usuarios deberan enviar firmado (primero por fax y luego por correo) el documento de compromiso de seguridad de IRISGrid (ver la seccion de Documentos) a la direccion postal de IRISGrid CA. IRISGrid CA firmara los certificados y los enviara en un e-mail de vuelta al Representante (Nivel 1de seguridad).

IRISGrid proporciona autenticacion. Sin embargo, la autorización se realiza de forma totalmente independiente dentro de cada institución o centro. Para solicitar la autorización a usar un sistema gestionado por una institución o centro se seguiran los siguientes pasos:

1. En la página web de cada institución o centro se describe la información necesaria que se deberá enviar a su Representante. Siempre será el Representante de cada institución o centro el que solicite autorización a otro Representante (Nivel 1 de seguridad).
2. Cada institución o centro decidirá si autoriza el uso de sus máquinas y los procedimientos que deberá utilizar el solicitante, asi como las politicas y procedimientos de seguridad internos que deberá respetar. En tal caso podra (si es necesario) enviar la contraseña del nuevo usuario al Representante que lo solicito (Nivel 2 de seguridad).

El Representante de cada institución o centro debe llevar un registro de todas las cuentas que ha solicitado para los usuarios de su institución o centro. Cuando un usuario no vaya a usar el Grid, el Representante debe informar a los Responsables Tecnicos de todas las instituciones o centros donde el usuario tenia cuenta. Además deberá informar a IRISGrid CA para añadirlo en la CRL.