DFN Grid Nutzerzertifikate und Mitgliedschaft in der VO bwGRiD

Das Baden-Württemberg Grid (bwGRiD) ist Teil der D-Grid Initiative und stellt an 7 Standorten innerhalb Baden-Württembergs über 11.000 Cores für Forschung und Wissenschaft zur Verfügung. Details zur Hardware am Standort Ulm und zu den teilnehmenden Partnern finden Sie auf unserer bwGRiD Seite.

Die Voraussetzungen zur Nutzung des gesamten Grids ist die Mitgliedschaft bei einer der Universitäten in Baden-Württemberg, ein gültiges DFN Grid Nutzerzertifikat und die Mitgliedschaft in der Virtuellen Organisation (VO) bwGRiD. Im Folgenden wird beschrieben, wie Sie ein solches Zertifikat erhalten und Mitglied in der VO bwGRiD werden können. Es wird nur der Browser Firefox unterstützt. Die Beschreibung ist nur für Angehörige der Universität Ulm geeignet. Bitte gehen Sie sequentiell vor. Die Abschnitte bauen aufeinander auf.

Abschnitt I: DFN Grid Nutzerzertifikat erstellen

Das Zertifikat ist eine Art digitaler Ausweis, der Ihre Identität im Web und im Umgang mit anderen Webteilnehmern nachweist. Sie sollten daher sicherstellen, dass niemand in den Besitz des privaten Teils Ihres Zertifikats gelangt. Bitte verwenden Sie nur gute Passwörter, um Ihre Zertifikate zu schützen. Es ist ein Masterpasswort für den allgemeinen Schutz des Zertifikatspeichers im Firefox und je ein weiteres Passwort für jedes exportierte Zertifikat erforderlich.

1. Bitte überprüfen Sie als erstes im Firefox-Menü unter "Bearbeiten bzw. Extra" (beim Mac unter "Firefox"), Untermenü "Einstellungen", Tab "Sicherheit", dass "[v] Master-Passwort verwenden" aktiviert ist. Weiter sind für einige Funktionen "[v] Java" und "[v] JavaScript" notwendig. Sie können Java und JavaScript im Menü "Bearbeiten bzw. Extra" (beim Mac unter "Firefox"), Untermenü "Einstellungen" im Tab "Inhalt" aktivieren (beim neueren Firefox-Versionen nur JavaScript).

2. Um ein Zertifikat zu erstellen, rufen Sie bitte (NUR Firefox !!!) die Grid-Uni-Ulm CA Seite des DFN auf (klicken Sie hier) und akzeptieren das "nicht signierte" Sicherheitszertifikat der Seite:

   • Firefox 2.0: Einfach "OK" auswählen.
   • Firefox 3.x: Klicken Sie bitte auf den Link "Oder Sie können eine Ausnahme hinzufügen... ", danach auf "Ausnahme hinzufügen", weiter auf "Zertifikat herunterladen", und abschließend auf "Sicherheits-Ausnahmeregel bestätigen".
   • Firefox 3.5+: Da das Wurzelzertifikat der Grid-Zertifikatkette nicht im Firefox enthalten ist, muss immer wie unter "Firefox 3.x" beschrieben vorgegangen werden.

3. Wenn Sie auf der DFN Seite "Willkommen zur DFN-PKI" sind, wählen Sie bitte zuerst den Tab "CA-Zertifikate" und dort den Unter-Tab "Grid Root CA Zertifikat" aus. Hierdurch wird das Root Zertifikat in Ihrem Browser installiert. Nun wählen Sie bitte unter dem Tab "Zertifikate" den Unter-Tab "Nutzerzertifikat" aus. Jetzt sollten Sie hier sein (bitte klicken Sie auf das Bild, um es zu vergrößern - für Details siehe Beschreibung nach Bild):

7. In dem ausgedruckten Antrag tragen Sie bitte Herr bzw. Frau (1) und die Art und Nummer des gültigen Personalausweises (2, mit Art ist z.B. Personalausweis oder Reisepass gemeint) ein. Im Abteilungsfeld (3) ergänzen Sie bitte rechts des Eintrags "Universitaet Ulm" die Abteilung bzw. das Institut, an dem Sie arbeiten (Studenten tragen dort "Student" ein). Darunter geben Sie bitte die Adresse Ihrer Abteilung (4) an (Studenten tragen ihre private Adresse ein). Anschließend versehen Sie den Antrag noch mit Ort, Datum (5) und Ihrer Unterschrift (6).

8. Suchen Sie nun mit dem unterschriebenen Antrag und Ihrem gültigen Personalausweis/Reisepass Ihre Registrierungsstelle (Grid-RA) auf. Bitte vereinbaren Sie hierzu einen Termin mit der Grid-RA (Kontaktdaten siehe rechts oben). Bitte teilen Sie unbedingt dem Operator mit, wenn Sie bereits ein älteres Grid-Zertifikat besitzen und sich Ihre DN (siehe Zeile "Eindeutiger Name") im neuen Grid-Zertifikat geändert hat.

Abschnitt II: Zertifikat im Firefox importieren

Nachdem Ihre Identität von der Registrierungsstelle überprüft worden ist, wird Ihnen der Link zu Ihrem signierten Zertifikat per E-Mail zugeschickt. Diese E-Mail wird vom DFN automatisch erzeugt. Sie wird nicht von uns verschickt.

Der Firefox bietet eine einfache Möglichkeit mittels des "Keystores" bzw. "Zertifikat Managers" Ihre Zertifikate zu verwalten. Ein "Master Passwort" stellt sicher, dass Ihre Zertifikate vor unerlaubten Zugriffen geschützt sind. Wenn Sie noch kein "Master Passwort" gesetzt haben, sollten Sie das nun unbedingt nachholen (für Details siehe vorherigen Abschnitt).

1. Um Probleme beim Umgang mit dem Zertifikat zu vermeiden, aktivieren Sie bitte im Firefox
   Menü "Bearbeiten" bzw. "Extras" (je nach Firefox Version, beim Mac "Firefox"),
   Untermenü "Einstellungen" (die Dialogbox "Einstellungen" ist nun sichtbar),
   Tab "Erweitert",
   Unter-Tab "Verschlüsselung" bzw. "Zertifikate" (je nach Firefox Version)
   die Auswahl "(x) Jedes mal fragen"  - d.h. die Auswahl "( ) Automatisch eines wählen" sollte deaktiviert sein. Wenn sich in Ihrem Firefox-Zertifikatspeicher mehrere Zertifikate befinden kann es sein, dass Firefox bei Verwendung der Automatik-Funktion das Falsche auswählt. Außerdem haben Sie bei eingeschalteter Automatik-Funktion weniger Kontrolle über die Verwendung Ihres Zertifikats. Sie können die Automatik-Funktion evetuell vor der VO-Registrierung (siehe weiter unten, Abschnitt III) wieder einschalten.

2. Wenn Sie noch nicht die Zertifikatkette in Ihrem Firefox-Browser installiert haben, dann können Sie das über den ersten Link der E-Mail "1. Für die CA-Zertifikate wählen Sie bitte die Seite ..." nachholen. Hierzu kopieren Sie den Link in die Adresszeile des Firefox und klicken dann den Sub-Tab "Grid Root CA Zertifikat" an.

3. Um das signierte Zertifikat zu importieren, verwenden Sie bitte den zweiten Link der Zertifikat-E-Mail: Kopieren Sie dafür die Linkadresse nach "2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:" in die Adresszeile des Firefox und rufen die Seite dann auf. Auf der Seite klicken Sie bitte auf "Zertifikat importieren". Je nach Konfiguration Ihres Firefox erscheint dann eine Dialogbox, die nach der Verwendung des Zertifikats fragt. Wählen Sie dort bitte alle drei Optionen aus:

   "[x] Dieser CA vertrauen, um Webseiten zu identifizieren."
   "[x] Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren."
   "[x] Dieser CA vertrauen, um Software-Entwickler zu identifizieren."

   Falls Sie nicht "(x) Jedes mal fragen..." ausgewählt haben, wird Firefox diesen Dialog nicht anzeigen (die Dialogbox wird in manchen Firefox-Versionen grundsätzlich nicht angezeigt). In diesem Fall wird anstelle der eben beschriebenen Dialogbox die Meldung

   "Warnung: Ihr persönliches Zertifikat wurde installiert. Sie sollten eine Sicherungskopie dieses Zertifikats aufheben."

   angezeigt. Auch dies ist in Ordnung. Sie können jetzt mit der Erstellung eines Backups fortfahren.
   

4. Anschließend sollten Sie ein Backup Ihres persönlichen Zertifikats erstellen (in der Regel privater und öffentlicher Teil zusammen). Die Backupdatei benötigen Sie auch im Abschnitt IV. Das Backup erstellen Sie mittels des Firefox Zertifikat-Managers:
   Menü: "Bearbeiten", "Extras" bzw. "Firefox" (je nach Firefox Version),
   Untermenü: "Einstellungen",
   die Dialogbox "Einstellungen" ist nun sichtbar,
   Tab: "Erweitert",
   Unter-Tab: "Verschlüsselung" bzw. "Zertifikate" (je nach Firefox Version),
   Button: "Zertifikate anzeigen" bzw. "Zertifikate",
   die Dialogbox "Zertifikat-Manager" wird nun angezeigt,
   Tab: "Ihre Zertifikate" bzw. "Meine Zertifikate" (je nach Firefox Version).
   Wenn der Import Ihres Zertifikats erfolgreich war, sollten Sie nun eine Zeile mit Ihrem Namen sehen. Wählen Sie die Zeile mit Ihrem persönlichem DFN-Zertifikat aus (die Zeile wird dann blau). Nun klicken Sie auf den Button "Backup" bzw. "Sichern" bzw. "Exportieren" (je nach Firefox Version). Jetzt werden Sie gefragt, wohin Sie das Zertifikat speichern wollen (ggf. werden Sie hier nach Ihrem Masterpasswort gefragt). Speichern Sie das Zertifikat-Backup im PKCS12-Format unter Verwendung eines guten Passworts.
   

Das Backup sollten Sie an einem sicheren Ort aufbewahren; sie können es zum Beispiel auf CD brennen. SCHÜTZEN SIE IHRE SCHLÜSSEL!

Abschnitt III: Mitglied in der Virtuellen Organisation bwGRiD werden

Bitte beantragen Sie die VO-Mitgliedschaft nur einmal. Zur Erneuerung Ihrer VO-Mitgliedschaft siehe Abschnit VIII.

1. Jetzt können Sie die Automatik-Funktion der Firefox-Zertifikatauswahl wieder aktivieren (siehe Abschnitt II Absatz (i), wobei Sie jetzt den Punkt "(x) Automatisch eines wählen" aktivieren). Ohne Automatik-Funktion müssten Sie beim weiteren Vorgehen bis zu 10 mal das Zertifikat manuell auswählen und bestätigen. Sollte es allerdings zu Problemen mit der Automatik-Funktion kommen (insbesondere dann, wenn Sie mehr als ein Zertifikat im Zertifikatspeicher haben), dann lassen Sie bitte die Automatik-Funktion deaktiviert.

2. Öffnen Sie bitte mit dem Firefox die Registrierungsseite der Virtuellen Organisationen bwGRiD. Wenn Sie dem Link folgen, müssen Sie beim ersten Zugriff auf diese Webseite das Server-Zertifikat des Remote-Servers akzeptieren. Danach werden Sie nach Ihrem im Firefox Keystore gespeicherten Grid Zertifikat gefragt. Nur wenn Sie dieses auswählen, können Sie auf die Registrierungsseite zugreifen.

7. Dieses Formular füllen Sie bitte komplett aus (es müssen ALLE Felder ausgefüllt werden und zwar mit den gleichen Daten wie bei der Erstellung des DFN Zertifikats aus Abschnitt I).

   Als erstes tragen Sie bitte Ihre E-Mail-Adresse (1) ein. Bei "Select representative" (2) wählen Sie bitte "Christian Mosch" (nur für Mitglieder der Universität Ulm) aus. Unter "Personal Information" geben Sie bitte zuerst Ihren vollständigen Vor-(3, wie im Ausweis) und Zunamen (4, wie im Ausweis) ein, gefolgt von der Telefonnummer (5, z.B. +49-731-50-XXXXX), der Nationalität (6, z.B. German), der Straße Ihrer Arbeitsstätte (7, z.B. Albert-Einstein-Allee 11), Ihrer Abteilung (8, Studenten geben bitte "Student" an), der Postleitzahl (9), dem Ort der Arbeitsstätte (10, meist Ulm) und dem Land (11, meist Germany) ein. Anschließend können Sie Ihren Antrag mit "Submit" (12) abschicken.

8. Jetzt warten Sie bitte auf eine E-Mail mit einem Bestätigungslink.

9. Nachdem Sie die E-Mail erhalten haben, kopieren Sie bitten den Link, fügen ihn im Firefox in der Adresszeile ein und rufen ihn auf. Auf der nun folgenden Seite können Sie Ihre VO-Gruppen-Mitgliedschaft beantragen: Bitte wählen Sie nur die Gruppen "/bwgrid" und "/bwgrid/uniulm" aus. Alle andern Sub-VOs dürfen keinen Haken haben! Jetzt können Sie noch mittels des Links "the Grid and VO AUPs" die Nutzungsbedingungen lesen und dann die Registrierung mit der Zustimmung zu den Nutzungsbedingungen abschließen.

10. Sie werden nun noch zwei weitere E-Mails erhalten: In der ersten wird Ihre VO-Mitgliedschaft "/bwgrid" bestätigt und in der zweiten steht, dass Sie zur Sub-VO "/bwgrid/uni-ulm" hinzugefügt worden sind.

11. Die VO-Registrierung zusammen mit den Bestätigungsmails kann einige Tage in Anspruch nehmen. Das unten verwendete "gsissh" Kommando kann nur funktionieren, wenn Ihre VO-Registrierung abgeschlossen und Ihre VO-Mitgliedschaft zwischen den Grid-Systemen verteilt worden ist.

Abschnitt IV: Import des Zertifikats für die Benutzung mit Globus am kiz

1. Das eben erstellte Backup kopieren Sie jetzt bitte in Ihr kiz home-Verzeichnis (wenn es sich nicht schon dort befindet). Sie benötigen hierfür einen kiz-Unix-Account. Wenn Sie keinen kiz-Unix-Account besitzen, können Sie diesen hier beantragen.

   Sollte das Zertifikat auf einem anderen Linux Rechner liegen, können Sie es folgendermaßen auf den Server kopieren: (Für username geben Sie bitte Ihren kiz Unix-Benutzernamen an; anstelle von DFN-user-certificate.pkcs12.p12 verwenden Sie bitte den Namen der Backup-Datei.)

   scp DFN-user-certificate.pkcs12.p12 username@zeus.rz.uni-ulm.de~/

   Für das Kopieren wird Ihr kiz Unix-Passwort benötigt. Der Rechner Zeus ist nur einer von vielen interaktiven Login-Rechnern. Jeder der kiz-Rechner kann als Zielrechner des Kopiervorgangs dienen.

   Unter Windows können Sie die Datei z.B. mittels WinSCP oder pscp kopieren. Dies gilt auch für unsere Windows-Poolcomputer.
   

   Wenn Sie die bisherigen Arbeitsschritte an einem unserer Linux-Poolcomputer durchgeführt haben, müssen Sie natürlich nichts kopieren. Die Dateien befinden sich bereits in Ihrem kiz Unix-Homeverzeichnis.

2. Jetzt konvertieren Sie das Zertifikat in das pem-Format und kopieren es in Ihr .globus-Verzeichnis (Befehle innerhalb eines Blocks bitte ohne Zeilenumbruch in einer Zeile absetzen):

   1. Loggen Sie sich auf dem Unix-Rechner ein, zu dem Sie das Zertifikat kopiert haben. Wenn Sie Linux benutzen, können Sie sich z.B. mit

      ssh -l username zeus.rz.uni-ulm.de

      auf Zeus einloggen. Als Windows-Benutzer verwenden Sie ein entsprechendes ssh-Terminal Programm, z.B. putty.

      Wenn Sie sich an einem kiz Linux-Poolcomputer befindet, dann öffnen Sie einfach ein Linux-Terminal, z.B. "konsole" oder "xterm". Wenn Sie das entsprechende Icon nicht finden, können Sie auch "Alt"+"F2" drücken und dann "konsole" gefolgt von "RETURN" eintippen.

   2. Konvertieren des privaten Keys ins PEM-Format (Befehle bitte im Terminal-Fenster eintippen):

      openssl pkcs12 -in DFN-user-certificate.pkcs12.p12 -out userkey.pem -nocerts

      Sie benötigen an dieser Stelle zwei Passwörter. Als erstes wird nach dem Passwort gefragt, welches Sie verwendet haben, um Ihr Backup zu schützen. Danach fragt der Befehl nach einem neuen Passwort, welches Sie verwenden wollen, um den privaten Schlüssel in der pem-Datei zu schützen.

   3. Konvertieren des öffentlichen Keys ins PEM-Format:

      openssl pkcs12 -in DFN-user-certificate.pkcs12.p12 -out usercert.pem -clcerts -nokeys

      Hier wird nur nach Ihrem Backup-Passwort gefragt.

      Das eben beschriebene Vorgehen setzt voraus, dass Sie in der Backup-Datei den privaten und den öffentlichen Key des Zertifikats zusammen gespeichert haben. Wenn Ihnen das nicht möglich war (z.B. die Backup-Datei enthält nur den privaten Key), dann können Sie für den öffentlichen Key (usercert.pem) auch direkt die PEM-Datei verwenden, die Sie in der Bestätigungsmail Ihrer DFN-Grid-Zertifikat-Erstellung erhalten haben.

   4. Verschieben der Keys in das Globus-Verzeichnis:

      mkdir -vp ~/.globus;
      mv -v userkey.pem usercert.pem ~/.globus/

   5. Absichern des Zertifikats gegen unerwünschte Zugriffe:

      chmod -c 700 ~/.globus;
      chmod -c 600 ~/.globus/user*

   6. Das Backup-Archiv benötigen Sie jetzt nicht mehr:

      rm -vf DFN-user-certificate.pkcs12.p12

Abschnitt V: Testen des Zertifikats (nachdem die VO-Registrierung abgeschlossen ist)

• Das Testen des Zertifikates ist nur sinnvoll, wenn Ihre VO-Registrierung abgeschlossen und Ihre VO-Mitgliedschaft auf den Grid-Systemen verteilt worden ist. Dies ist in der Regel geschehen, wenn Sie nach dem Erhalt der Bestätigungsmail der VO-Registrierung noch einen Tag warten. Wenn es bei den Tests dennoch Probleme gibt, dann lesen Sie bitte die Hinweise im "Abschnitt VI: Probleme und Lösungen".

• Bevor Sie mit Globus und somit auch mit dem bwGRiD arbeiten können, müssen Sie die Globus-Befehle aktivieren. Hierzu laden Sie das entsprechende Softwaremodul:

  module load system/globus

  Der modul-Befehl ist nur auf den Servern und Linux Pool-Computern des kiz verfügbar.

• Nun können Sie sich ein temporäres Zertifikat für die Kommunikation erstellen. Das sogenannte Proxy-Zertifikat ist für 12 Stunden gütig und kann nur auf dem Rechner genutzt werden, auf dem Sie den folgenden Befehl auch aufgerufen haben:

  grid-proxy-init -debug -verify

• Die Daten des Proxy Zertifikats inklusive der Restlaufzeit können Sie anzeigen mit:

  grid-proxy-info

• Um das Zertifikat zu testen, können Sie sich mit gsissh auf dem Globus-Server koios des Grid-Standorts Ulm einloggen. Das gsissh-Kommando sollte Ihnen ohne Angabe eines Passworts (nur mit Hilfe Ihres DFN-Zertifikats) den Login auf dem Globus-Server ermöglichen. Beim ersten Einloggen auf koios wird automatisch eine Man-Page und eine Nutzervereinbarung angezeigt. Bitte lesen Sie die Texte sorgfältig durch und akzeptieren Sie die Nutzervereinbarung.

  gsissh -x -p 2222 koios.rz.uni-ulm.de

  Sollte der Server in Ulm nicht erreichbar sein (z.B. Wartungstag), dann lautet der entsprechende Befehl für den Globus-Server des Standorts Stuttgart:

  gsissh -x -p 2222 gridway.dgrid.hlrs.de

  Wenn dies nicht funktioniert, dann lesen Sie bitte "Abschnitt VI: Probleme und Lösungen".

• Um das Globus-System zu testen können Sie einen einfachen Job starten (für das folgende Kommando sollten Sie auf einem der Globus-Server eingeloggt sein):

  globusrun-ws -submit -s -Ft PBS -c /bin/hostname

  Man muss nicht unbedingt die Globus-Befehle zum Submittieren von Jobs verwenden. Man kann auch direkt PBS-Job-Skripte erstellen und mittels qsub submittieren. Details zum Arbeiten mit dem Queueing-System am bwGRiD Standort Ulm werden beim Einloggen auf koios automatisch angezeigt bzw. können dort jederzeit mit dem Befehl "man bw-grid" abgerufen werden.

• Dateien können Sie wie folgt zum Globus Server in Ulm kopieren:

  gsiscp -P 2222 my-local-file koios.rz.uni-ulm.de:

  Um eine Datei vom Globus Server auf die lokale Festplatte zu kopieren, verwenden Sie entsprechend:

  gsiscp -P 2222 koios.rz.uni-ulm.de:my-remote-file ./

  Bitte bachten Sie, dass hier im Gegensatz zum gsissh Kommando ein großes -P in der Port-Angabe verwendet wird.

• Seit Anfang 2010 gibt es in Karlsruhe einen 128TB+256TB großen globalen Speicherbereich für Mitglieder der VO-bwGRiD. Der Zugang erfolgt ausschließlich mittels Nutzer-Zertifikate nach Aufruf von "grid-proxy-init". Von dem 128TB großen Home-Bereich (~/) wird regelmäßig ein Backup erstellt. Der 256TB große Work-Bereich (~/work/) ist für Scratch-Daten. Dateien können Sie wie folgt zum Work-Bereich in Karlsruhe kopieren:

  gsiscp -P 2222 my-file bwgrid-se.scc.kit.edu:~/work/

  Um eine Datei von Karlsruhe auf die lokale Festplatte zu kopieren, verwenden Sie entsprechend:

  gsiscp -P 2222 bwgrid-se.scc.kit.edu:~/work/my-file ./

  Bitte beachten Sie, dass der Name "bwgrid-se.scc.kit.edu" automatisch auf einen von 6 Servern umgeleitet wird. Daher sollte der zentrale Speicherbereich eine hohe Verfügbarkeit besitzen. Der Zugriff per "gsissh", "globus-url-copy" und "uberftp" ist ebenfalls möglich. Bitte lesen Sie auch die Ausgabe des Befehls

  module help system/globus

  und die Informationen zur Nutzung des zentralen Speicherbereichs auf der bwGRiD Webseite.

Abschnitt VI: Probleme und Lösungen

Wenn der Zertifikat-gestützte gsissh Zugriff auf den Globus-Server in Ulm oder Stuttgart nicht ohne Angabe eines Passworts funktioniert (bzw. wenn Sie überhaupt keine Verbindung bekommen), dann kann das an folgenden Gründen liegen:

• Der jeweilige Globus-Server ist "down" (z.B. Warung, Defekt, etc). Sie können die Erreichbarkeit des Globus-Servers in Ulm mittels

  ping koios.rz.uni-ulm.de

  und die Erreichbarkeit des Globus-Servers in Stuttgart mittels

  ping gridway.dgrid.hlrs.de

  überprüfen. Wenn der jeweilige Server per Ping erreichbar ist, sollte der gsissh-Login in der Regel auch funktionieren.

• Sie haben nicht "grid-proxy-init ..." vor dem "gsissh ..." Kommando aufgerufen.

• Sie haben das "grid-proxy-init ..."-Kommando auf einem anderen Rechner gestartet als jetzt das "gsissh ..."-Kommando. Wenn Sie den Rechner wechseln, müssen Sie erneut das "grid-proxy-init ..."-Kommando auf dem neuen Rechner aufrufen.

• Sie haben Ihren Benutzernamen in der Datei "~/.ssh/config" fest eingestellt, z.B. enthält die Datei die Zeilen

  Host *
  User dagobert

  Mit vorgegebenem Benutzernamen kann gsissh nicht funktionieren. Bitte entfernen Sie solche oder ähnliche Zeilen aus der "~/.ssh/config" Datei.

• Ihre VO-Registrierung ist noch nicht abgeschlossen. Bitte vollenden Sie erst Ihre VO-Registrierung.

• Das Verteilen der VO-Daten dauert mindestens einen Tag: D.h. wenn Sie sich vollständig registriert und die beiden Bestätigungsmails erhalten haben, können Sie sich frühestens am nächsten Tag einloggen.

• Bitte überprüfen Sie unter https://vomrs.zam.kfa-juelich.de:8443/vo/bwgrid/vomrs ob Ihre VO-Mitgliedschaft in "/bwgrid" und "/bwgrid/uniulm" im Status "Approved" ist. Sie finden diese Information, indem Sie auf das "[+]" Zeichen von "[+] Member Info" klicken und dann auf "Select Groups & Group Roles". Wenn Ihr Status nicht innerhalb weniger Tage auf "Approved" wechselt, dann kontaktieren Sie bitte Ihre Grid-RA (Kontaktdaten siehe rechte oben).

• Die Chain-of-Trust ist veraltet bzw. kann nicht gefunden werden, wenn Sie Meldungen wie

  grid_proxy_init.c:1079:globus_credential: Error verifying credential: Failed to verify credential
  globus_gsi_callback_module: Could not verify credential
  globus_gsi_callback_module: Could not verify credential: unable to get issuer certificate
  globus_gsi_callback_module: Can't get the local trusted CA certificate: Cannot find trusted CA certificate with hash 34f8e29c

  während des grid-proxy-init-Aufrufs erhalten. Wenden Sie sich in diesem Fall bitte unter Angabe der vollständigen Fehlermeldung an Ihre Grid-RA (Kontaktdaten siehe rechte oben).

Abschnitt VII: Betrieb eines eigenen Globus / GSI-SSH Systems

1. Wenn Sie auf Ihrem eigenen (Linux) Rechner Globus verwenden möchten, müssen Sie Globus (Version 4.0.8) selbst compilieren, installieren und konfigurieren. Darüber hinaus benötigen Sie das openssl Paket. Openssl ist bei den meisten Linux-Distributionen im Paketumfang enthalten, muss aber eventuell nachinstalliert werden. Weitere Tips zum Betrieb von Globus (u.a. zur Installation der "Chain of Trust") finden Sie unter Punkt ii diese Abschnitts. Für den Betrieb eines eigenen Globus-Systems können wir leider keinen Support leisten.

   Als Windows- bzw. Linux-Benutzer können Sie auch das Java-basierte GSISSH-Term verwenden. Auch bei Verwendung von GSISSH-Term benötigen Sie meist zusätzlich openssl zur Konvertierung der Keys und müssen die "Chain of Trust" installieren (siehe Punkt ii). Der Betrieb von GSISSH-Term ist ebenfalls ohne Support.

2. Wenn Sie Ihre eigene Globus Installation (Version 4.0.8) aufgesetzt haben bzw. GSISSH-Term verwenden, müssen Sie die Dateien der "Chain of Trust" selbst herunterladen und installieren. Die Basisausstattung für das "$GLOBUS_LOCATION/share/certificates/" bzw. für das "~/.globus/certificates/" Verzeichnis finden Sie hier:

   http://www.grid.lrz.de/res/globus/certificates.tar

   Da die Zertifikate in dem Archiv nicht immer auf dem neuesten Stand sind, benötigen Sie eventuell noch Updates aus dem folgenden Verzeichnis:

   http://dist.eugridpma.info/distribution/igtf/current/accredited/tgz/

3. Wenn Sie eines der Programme installiert haben, sollten das weitere Vorgehen analog Abschnitt IV sein.

Abschnitt VIII: Erneuern Ihres DFN Grid Zertifikats und Ihrer VO-Mitgliedschaft (1x pro Jahr)

Erneuern der VO-Mitgliedschaft

Ein Jahr nach der Registrierung bei der VO bwGRiD erhalten Sie eine automatisch erzeugte E-Mail "Your VO membership will expire". Wenn Sie Ihre VO-Mitgliedschaft erneuern wollen, dann folgen Sie bitte den Anweisungen der E-Mail:

• Bitte klicken Sie in der E-Mail auf "re-sign" bzw. "renew" und melden Sie sich auf der dadurch geöffneten Webseite mit Ihrem Grid-Zertifikat im Browser an. Hinweis: Wenn Sie keine E-Mail erhalten haben, können Sie den Punkten i-v im Abschnitt III folgen, um den VO-Registrierungsbereich zu erreichen.
• Navigieren Sie zur Seite "Re-sign the Grid and VO AUPs" (siehe Bild rechts). Hinweis: Den "Member Info" Bereich kann man nur duch Klicken auf das entsprechende "[+]" Zeichen ausklappen.
• Klicken Sie nun zuerst auf den Link, der die "Grid and VO AUPs" anzeigt.
• Abschließend bestätigen Sie Ihr Einverständnis durch einen Klick auf den entsprechenden Button "I have read and agree ...".

Erneuern des DFN Grid Zertifikats

Ein Jahr nach der Erstellung Ihres DFN Grid Zertifikats erhalten Sie eine automatisch erzeugte E-Mail "Ihr GridGermany Zertifikat wird ablaufen". Wenn Sie Ihr Grid Zertifikat erneuern wollen, dann folgen Sie bitte den Anweisungen der Abschnitte I, II und IV dieses Textes. Zur Erneuerung des DFN Grid Zertifikats muss dieses neu erzeugt werden und Sie müssen sich erneut ausweisen.

Bitte beachten Sie, dass die DN (u.a. Ihr Name und Ihre Abteilungsabkürzung) des neuen Zertifikats mit der des alten übereinstimmt. Dies ist natürlich nur dann sinnvoll, wenn Sie immer noch in der gleichen Abteilung arbeiten. In diesem Fall darf die VO Registrierung in Abschnitt III NICHT wiederholt werden.

Wenn sich jedoch Ihre DN ändert (z.B. sind Sie nicht mehr Student, sondern nun Mitarbeiter des Instituts IBestens), dann melden Sie dies bitte während des Identifizierungstermins. Wir kontaktieren dann die VO-Registrierungsstelle (vomrs-admin(at)fz-juelich.de) mit der Bitte, Ihre Gruppen-Zugehörigkeit zur VO-bwGRiD entsprechend anzupassen.

Die Grid RA der Universität Ulm hat keinen unmittelbaren Einfluss auf den Inhalt der automatisch verschickten Mails. Sie werden von den DFN-Servern automatisch erzeugt.