UMS への VO 登録時の不具合

複数の認証局で発行したユーザ証明書を同一のUMS（共用のUMS）上のVOに登録する

NAREGI Middleware使用手引書(管理者編)

96

には、次の「11.3.1 UMSノードにおける作業」と「11.3.2 SSノードにおける作業」を実 施ください。DGを導入されている場合は「11.3.3 Portalノードにおける作業」も合わせて 実施ください。以下の例では、最初に構築した環境のCA/RAノードをnaregi-cara1、次に構 築した環境のCA/RAノードをnaregi-cara2としています。

11.3.1 UMSノードにおける作業

(1) 証明書の設定

naregi-cara2ノードから証明書の取得、設定を行います

# cd /etc/grid-security/certificates/

# scp naregi-cara2.naregi.org:/usr/naregi/cert/host/naregi-ums.naregi.org/naregica.cer .

← CA証明書の取得

# openssl x509 -in ./naregica.cer -hash –noout 31c4226d

← CA証明書(本例ではnaregica.cer) からホスト証明書発行の認証局 のハッシュ値を確認

# mv naregica.cer 31c4226d.0

← ”ハッシュ値.0”ファイルの作成

# chmod 644 31c4226d.0

# vi 31c4226d.signing_policy

← ”ハッシュ値.signing_policy”

ファイルを作成 access_id_CA X509 '/C=JP/O=naregi/OU=togo2'

← DNはnaregi-cara2のものを指定 pos_rights globus CA:sign

cond_subjects globus '"/C=JP/O=naregi/OU=togo2/*"'

← DNはnaregi-cara2のものを指定

(2) ユーザ証明書の設定

「NAREGI Middleware 導入手引書」の2.8.8(3-1)および2.8.8 (3-2) を参照し、naregi-cara2 で取得したVOMSアカウント、テストアカウントの証明書設定を行います。

VO管理者のアカウントがnaregi-cara1から発行したものと重複する場合は、重複しないア カウント(例えば ”voms2” など)でnaregi-cara2からユーザ証明書を発行してください。

(3) 証明書のインポート

「NAREGI Middleware 導入手引書」の2.8.8(4) を参照して証明書のインポートを行います。

なおインポートする ra.cerは、すでにインポートしているものとファイル名が重複しないよ

NAREGI Middleware使用手引書(管理者編)

97

うリネーム(例えば ”ra2.cer”など)してnaregi-cara2からコピーしてください。

(4) セキュアログインシェルスクリプトの編集と設定

セキュアログインシェルスクリプトの編集と設定を行います。

# cd /usr/naregi/ums

# mkdir VO2

# cp *.sh VO2/

# cd VO2/

# vi pass.sh

#!/bin/sh . /etc/profile

UMS_DIR=/usr/naregi/ums/VO2

← 作成したディレクトリを指定

（略）

続いて「NAREGI Middleware 導入手引書」の2.8.8(5) を参照し、残りのセキュアログイ ンシェルスクリプトの編集と設定を行います。

(5) VOの作成と設定

「3.1 前提条件」から「3.8 登録したユーザのVO情報の設定」までを実施します。なお

「3.6 VO情報の設定」および「4.1 Portalの設定」のvomsesファイル中のUMSノードの ホ ス ト 証 明 書 の DN は 、 最 初 の 環 境 を 構 築 し た 時 に 設 定 し た も の 同 じ も の(例 え ば ”/C=JP/O=naregi/OU=togo/CN=host/ums.naregi.org” であればそのまま同じもの)を指定し てください。

11.3.2 SSノードにおける作業

# cd /etc/grid-security/certificates

# scp naregi-ums.naregi.org:/etc/grid-security/certificates/naregi-cara1.* .

← naregi-umsに配置している naregi-cara1から取得したCA 証明書(ハッシュ値.0、ハッシュ 値.signing_policy)を取得する

# vi naregi-cara1.signing_policy

access_id_CA X509 '/C=JP/O=naregi/OU=togo' pos_rights globus CA:sign

cond_subjects globus '"/C=JP/O=naregi/*"'

← cond_subjectsの項目を /C=JP/O=naregi/*の形式に変更 する

# cd /etc/grid-security/vomsdir

NAREGI Middleware使用手引書(管理者編)

98

# scp naregi-ums.naregi.org:/etc/grid-security/hostcert.pem .

← naregi-umsのホスト証明書 (hostcert.pem)を配置する

11.3.3 Portalノードにおける作業

DGを導入されている場合は、次の操作が必要になります。

# cd /etc/grid-security/vomsdir

# scp naregi-ums.naregi.org:/etc/grid-security/hostcert.pem .

← naregi-umsのホスト証明書 (hostcert.pem)を配置する

上記の設定後、NAREGIミドルウェアPortal画面においてMyProxy証明書を取得し、サイン オンします。これによりジョブが実行可能となります。

11.4 PSE使用時の不具合