Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay 91191 Gif-sur-Yvette Cedex Plan • Tests avec Globus • Cluster OCRE • OpenPBS, Condor, RFIO • Évaluations diverses • JAVA et certificats X.509 2 Lyon 31/05/01 Tests Globus • Nouveaux certificats CNRS – DN inversé par rapport aux certificats CNRS-Test: il faut ajouter ce DN dans le grid-mapfile pour la migration de chaque utilisateur de CNRS-Test vers Datagrid-fr • Listes de révocation – Si la CRL d’une CA est installée sur un gatekeeper ou sur un client Globus, celle-ci doit impérativement être en cours de validité, sinon Globus refuse la confiance à tous les certificats de cette CA. Donc, il faut soit: – Ne pas installer de CRL (fortement déconseillé) – Installer les CRLs et les maintenir à jour aussi bien pour les gatekeepers que pour les postes clients • Test de l’option TCP_PORT_RANGE – Permet de fixer pour un émetteur (gatekeeper ou client) une gamme de ports Destination; (pas de contrôle des ports Sources) 3 Lyon 31/05/01 Cluster OCRE • Cluster OCRE: – – – – – 32 PCs bi-processeurs 735 MHz, 1Go RAM, Linux RedHat 6.2 Sur chaque PC: Ethernet 100 Mbit/s + Myrinet 2.5 Gbit/s Système de batch: PBS CEA Direction des Applications Militaires Usage interne CEA • Globus 1.1.3 + passerelle PBS installés et testés en local • Ouverture ports réseau Globus Saclay <-> OCRE en cours • Application envisagée par DataGRID Saclay: ALICE 4 Lyon 31/05/01 OpenPBS, Condor, RFIO • Gatekeeper seipca107: – 3 jobmanager installés: Fork Condor et Open PBS • Interface Globus vers Open PBS et Condor – Problème: les options non reconnues par RSL ne sont pas transmises au système de batch – Solution: modifier le script de traduction fichier RSL -> batch. Cela permet la transmission transparente des options • Condor + RFIO: – RFIO utilise des binaires tpread et tpwrite identiques. Le test de argv[0] dans le code determine l’action. – Problème: si Condor migre ces programmes, il les renomme. RFIO n’arrive plus à déterminer l’action à faire. – Solution: RFIO sur un disque partagé par le pool Condor; soumettre à Condor un shell contenant les appels à RFIO. 5 Lyon 31/05/01 Évaluations diverses • Outils de sécurité: – Utilisation de NESSUS : Scanne par réseau et émet un rapport de sécurité – Installation de Tripwire: permet de lister les répertoires et fichiers modifiés (utile en cas d’intrusion) • Veille technologique: Middleware GRID en JAVA – Évaluation de JAVELIN ( http://javelin.cs.ucsb.edu/ ) – 100% JAVA, pour application en JAVA – Démo satisfaisante (4 machines) – Avenir de ce produit? 6 Lyon 31/05/01 JAVA et Certificats X.509 • Beaucoup de bibliothèques existent dans le JDK ou sont disponibles (e.g. IAIK: commercial) – A partir du JDK 1.3: certificats X.509v3 et CRLs – Lecture des certificats: OK pour toutes les CA du DataGRID sauf CNRS-Test et INFN à cause d’un bug dans le JDK • Différents paradigmes pour la gestion des certificats: – JAVA utilise des « keystore », format propriétaire. Support limité de pkcs12 (lecture seule) avec le JAVA Secure Socket Extension (gratuit) – Globus/OpenSSL: répertoire de fichiers .pem dont le nom est une partie du hachage MD5 du sujet du certificat • Avec les classes et outils du JDK 1.3: – Pas de CRLs dans les keystores, donc pas de vérification des CRLs – Pas d’exportation de clé privée depuis un keystore 7 Lyon 31/05/01 JAVA et Certificats X.509 (con’t) • Développements: – Classe X509Test: lit et imprime un certificat (encodé en Base64 ou DER) – Classe pkcs12tojks: convertit un certificat/clé privée du format pkcs12 vers le format Java KeyStore (2 bugs dans le JSSE rapportés à SUN et confirmés…) – Classe X509CertificateChecker: vérifie une chaîne de certificats « à la Globus/OpenSSL » (i.e. certificats de confiance et CRLs sous forme de fichiers placés dans un répertoire) – Classe MyX509TrustManager (en cours): utilisable pour une démo de serveur de fichier au dessus de SSL + identification réciproque client et serveur par certificat X.509 avec certificats racine et CRLs « à la Globus/OpenSSL » 8 Lyon 31/05/01