HPCI ログインマニュアル
第 21 版
2021 年 01 月 20 日
改訂履歴
発行年月日 版数. 改訂内容
2012.03.30 初版 新規作成
2012.06.06 第 2 版 「3.2.1 アプリケーションの入手」にて、Globus Toolkit のバージョンを追記 旧「3.3.1 CentOS 6, 7 の場合」にて、Globus Toolkit のインストール手順を修正 2012.08.20 第 3 版 MyProxyUploader を利用した手順を削除
GSI-SSHTerm を利用したログイン手順を HPCI 用に修正
「2.4.2.1 エラー対応方法」を追記 2012.08.29 第 4 版 フッターの境界線を追加
2012.10.04 第 5 版 電子証明書をダウンロードする手順を削除 Signing Policy のダウンロードファイルの数を修正 Windows 向けに、.globus フォルダの作成方法を追加
「クイックスタートガイド」に合わせて用語統一
2012.12.05 第 6 版 GSI-SSHTerm を利用する際に、Windows のバッチ起動方法を、エクスプローラ からダブルクリックする方法に変更
「3.2.1 アプリケーションの入手」にて、Windows で GSI-SSHTerm を利用する際 に、バッチ起動時に何も表示されずに終了した場合は、Java インストールパスを 設定いただく必要がある旨を追記
2013.03.27 第 7 版 証明書発行システムの改修に伴い、「2.1 電子証明書の発行手順」、「2.2 代理 証明書の発行手順」の画面イメージを更新
2014.07.30 第 8 版 図 8(メニュー画面)を更新
「1.1 概要」に、メンテナンス・障害情報の通知方法と、障害発生時にportal-c を利用可能である旨、追記
「1.3 動作環境」に、portal-c.hpci.nii.ac.jpを追加
「2.1.1 電子証明書を発行する手順」「2.3.3.1 エラー対応方法」「2.3.4.1 エラー対 応 方 法 」 に portal.hpci.nii.ac.jp で 障 害 が 発 生 し て い る 場 合 は portal-c.hpci.nii.ac.jpを利用するよう追記
「2.1.1.1 エラー対応方法」「2.2.1.1 エラー対応方法」「2.3.1.1 エラー対応方法」
「2.3.4.1 エラー対応方法」で、「ヘルプデスク」を「HPCI 運用事務局ヘルプデス ク」に統一
「2.3.4 myproxy-logon コマンドを利用して代理証明書をダウンロードする手順」
「2.4.3 GSI-OpenSSH を利用してログインする場合」「2.5.3 GSI-OpenSSH を利用 してファイルを転送する場合」で、ダウンロードした代理証明書のファイル名を
「x509up_u[UID]」に変更
「2.3.4.1 エラー対応方法 (4)」に、対処を追記
「2.3.4.1 エラー対応方法 (5)」を追記
「2.4.2.1. エラー対応方法 (3)」「2.4.2.1 エラー対応方法 (4)」を追記
旧「3.3.1 CentOS 6, 7 の場合」に、Globus Toolkit のバージョン情報確認について 追記
「5 付録」を追加
環境依存文字「–」をすべて半角「-」に変更
iii
2014.11.11 第 9 版 「2.1.1 電子証明書を発行する手順 (1)」にて、HPCI 証明書発行システムをブッ クマークに登録する場合の説明を追記
「2.1.1 電子証明書を発行する手順 (2)」にて、言語切り替えリンクについて追記 図 5、図 6 の画面を更新
2014.12.25 第 10 版 「2.1 電子証明書の発行手順」にて、図 8、図 9、図 10、図 12、図 13、図 14、
図 15、図 16 の画面を更新
「2.1.1 電子証明書を発行する手順 (3)」にて、言語切り替えリンクについて追記
「2.1.1.1 エラー対応方法 (6)」「2.1.1.1 エラー対応方法 (6)(7)」を追記
「2.2 代理証明書の発行手順」にて、図 23、図 25、図 26、図 27、図 28、図 29、図 34、図 36、図 37 の画面を更新
「2.2.1 代理証明書を発行する手順」「2.3.1 HPCI 証明書発行システムを利用して 代理証明書をダウンロードする手順」にて、代理証明書発行通知メールに関する 手順を追記
「2.6 電子証明書パスフレーズの変更手順」を追記
2015.09.30 第 11 版 Windows XP の記載を削除、Windows 8/8.1/10 の記載を追加
「1.3 動作環境」にて、サポート Web ブラウザのバージョンを更新
「2.1 電子証明書の発行手順」にて、図 8~図 21 の画面を更新
「2.2 代理証明書の発行手順」にて、図 23~図 33 の画面を更新
「2.3 代理証明書のダウンロード手順」にて、図 36~図 38 の画面を更新
「2.3.1 HPCI 証明書発行システムを利用して代理証明書をダウンロードする手 順」にて、環境変数の設定手順を変更
「2.6 電子証明書パスフレーズの変更手順」にて、図 61~図 68 の画面を更新、
定期的なパスフレーズの変更についての記述を削除
2016.03.24 第 12 版 「1.3 動作環境」にて、Web ブラウザ、GSI-SSHTerm、Globus Toolkit の動作環境 を更新
「2.1 電子証明書の発行手順」、「2.2 代理証明書の発行手順」、「2.6 電子証明 書パスフレーズの変更手順」にて、電子証明書、代理証明書に設定するパスフ レーズの文字数を更新
「2.1.1.1 エラー対応方法 (6)」として、代理証明書を発行する際にパスフレーズ の基準を満たさない場合の対応方法を追記
「2.3.1 HPCI 証明書発行システムを利用して代理証明書をダウンロードする手 順」に環境変数「%TMP%」の確認方法を追記
「2.3.3 GSI-SSHTerm を利用してログイン時に代理証明書をダウンロードする手 順」にて、ダウンロードする代理証明書の有効期間を変更する手順を追記 旧版「2.4. 代理証明書のアップロード手順」を削除
「3.3.1.1 インストール手順」にて、CentOS 5, 6 の場合の Globus Toolkit のインス トール手順について、ソースコード版からパッケージ版にインストールする手順を 変更
「3.3.1.2 ソースコード版からパッケージ版にインストール方法を変更する場合」に て、Globus Toolkit のインストール方法の変更手順を追記
「3.3.2 macOS の場合」にて、Globus Toolkit のインストールを pkg ファイルから行 う手順に変更
「3.4 SCP によるバルクファイル転送の高速化」にて、URL を更新 2016.06.30 第 13 版 「1.3 動作環境」にて、Web ブラウザの動作環境を更新
「2.1.1 電子証明書を発行する手順 (2)」にて、Shibboleth IdP v3 へのアップグレ ードに伴い、ログイン画面(図 6)を更新、属性送信確認画面(図 7)を追加、プ ライマリセンター選択画面の変更に伴い画面と説明を更新
「5.1 代理証明書の発行(格納)とダウンロードの流れについて」にて、図 71 を 更新
「5.2 プライマリセンター選択画面のチェックボックスについて」を追記
2016.09.29 第 14 版 「5.3 ログイン画面のチェックボックスについて」、「5.4 属性送信確認画面につい て」を追記
2017.10.20 第 15 版 図 8、図 23 を更新
「1.3 動作環境」にて、Web ブラウザの動作環境を更新、GSI-SSHTerm、Globus Toolkit の動作環境を更新、HPCI 認証基盤システムの IP アドレスは HPCI 情報 共有 CMS を参照するよう修正
「2.1 電子証明書の発行手順」にて、電子証明書の有効期間を 395 日に修正
「2.1.1 電子証明書を発行する手順 (5)」にて、電子証明書のパスフレーズは適 切に管理すること、パスフレーズが漏えいしたと判明した場合は 1 営業日以内に 電子証明書の失効申請が必要なことを追記
「2.3 代理証明書のダウンロード手順」にて、ダウンロードした代理証明書は適 切に管理することを追記
2019.03.29 第 16 版 「1.3 動作環境」にて、各動作環境を更新
旧「3.2.1 CentOS 6, 7 の場合」を「3.3.1 RHEL 7, 8 の場合」に変更、Globus Alliance 版から NII 版のインストール手順に変更
「3.3.2 macOS の場合」にて、手順更新中であることを記載
「5.5 NII 版 yum リポジトリへの変更手順」を追加 動作環境の対象 OS から Windows 8 の記載を削除
「2.1.1.1 エラー対応方法 (9)」にて HPCI 証明書発行システムの機能追加(不適 切な英文氏名の検出)に伴うエラー対応方法を追加
2019.10.23 第 17 版 「3.3.1.1 インストール手順」の「(3)信頼できる CA の設定」にて、以下変更および 追記。
・システム設定を標準とするよう変更
・第 16 版以前と同様にユーザ設定を行う場合の注意点を追記
2020.06.30 第 18 版 「Docker Container image for GSI-OpenSSH」の公開に伴い、以下記載追加、修 正
1.1 概要 トラブルシューティングの参照先を追加
1.2 全体の流れ 以下項に構成見直し、Docker の記載を追加
・1.2.1 Windows/macOS 場合(Docker Container image for GSI-OpenSSH を使 用)
・1.2.2 Unix/Linux の場合(GSI-OpenSSH を使用)
・1.2.3 Java 環境を利用する場合(Windows/Unix/Linux/macOS などで GSI- SSHTerm を使用)
1.3 動作環境 以下項に構成見直し、Docker の記載を追加
v
・1.3.1 Web ブラウザ
・1.3.2 Docker Container image for GSI-OpenSSH
・1.3.3 GSI-SSHTerm
・1.3.4 GSI-OpenSSH (NII 版)
・1.3.5 ネットワーク設定
2.3 代理証明書のダウンロード手順
・2.3.2 Docker Container image for GSI-OpenSSH を利用して代理証明書をダウ ンロードする手順を追加
・2.3.3 GSI-SSHTerm を利用してログイン時に代理証明書をダウンロードする手 順 項目名称見直し修正
・2.3.4 myproxy-logon コマンドを利用して代理証明書をダウンロードする手順項 目名称見直し修正
2.4 ログインサーバへログインする手順
・2.4.1 Docker Container image for GSI-OpenSSH を利用してログインする場合 Docker Container image for GSI-OpenSSH を利用してログインする場合を追加
・2.4.2 GSI-SSHTerm を利用してログインする場合 項目名称見直し修正
・2.4.3 GSI-OpenSSH を利用してログインする場合 項目名称見直し修正 2.5 ログインサーバへファイルを転送する手順
・2.5.1 Docker Container image for GSI-OpenSSH を利用してファイルを転送する 場合を追加
・2.5.2 GSI-SSHTerm を利用してファイルを転送する場合 項目名称見直し修正
・2.5.3 GSI-OpenSSH を利用してファイルを転送する場合 項目名称見直し修正 3 (付録)アプリケーションの導入手順
・3.1 Docker Container image for GSI-OpenSSH のインストール手順を追加
・ 3.2 GSI-SSHTerm のイン ストール手 順 Docker Container image for GSI- OpenSSH を使用するよう文言を修正
・3.4 SCP によるバルクファイル転送の高速化 表現見直し、修正 4 用語集
・Docker Container image for GSI-OpenSSH を追加 5 付録
・5.1 代理証明書の発行(格納)とダウンロードの流れについて Docker Container image for GSI-OpenSSH の内容を追記
以下項番に GSI-SSHTerm 非推奨の文言を追記
・1.2 1.2.3 1.3.3 2.3.3 2.4 2.4.2 2.5 2.5.2 3.2 全体
・Windows 7 はサポート終了につき、記述を削除
Globus Toolkit のインストール手順の修正 3.3.1.1 インストール手順 (3)(エ)
複数ユーザー利用時、上書き確認メッセージにより、更新されない場合があるた め、mv コマンドに「–f」オプションを追記。
2020.08.03 第 19 版 提供構成の変更にともない、Globus Toolkit 6.0 (NII 版)から
GSI-OpenSSH (NII 版)と Grid Community Toolkit 6.2 に変更。
以下項目名修正
・Globus Toolkit→GSI-OpenSSH 1.3.4 2.4.3 2.5.1.2 2.5.3 3.3
・Globus Toolkit→myproxy-logon コマンド 2.3.4
1.3.4 GSI-OpenSSH (NII 版)
動作環境に Grid Community Toolkit 6.2 を追記 3.3.1.1 インストール手順 (1)
Grid Community Toolkit を導入するための EPEL リポリトジ追加手順を追記 2020.10.16 第 20 版 NII-GSI 2020R1 公開に対応し、下記の記載を変更。
1.1 概要 RHEL8 の記述を追加。
1.3.4 GSI-OpenSSH (NII 版)
RHEL8 の動作確認済み情報を追記。
3.3 GSI-OpenSSH のインストール手順 RHEL8 の記述を追記。
3.3.1 タイトル修正
RHEL 6, 7 の場合→RHEL 6, 7, 8 の場合。
3.3.1.1 インストール手順 (1)
RHEL8 は yum ではない為、yum の記述を削除。
3.3.1.1 インストール手順 (2) RHEL8 の手順、注意事項を追加。
2021.01.20 第 21 版 NII-GSI 2020R1(RHEL7 対応版)公開に対応、RHEL6 の EOL に伴い下記の記載 を変更。
1.1 概要 RHEL6 の記述を削除
1.3.3 GSI-SSHTerm RHEL6 の記述を削除
1.3.4 GSI-OpenSSH (NII 版) RHEL6 の記述を削除。
3.3.1 タイトル修正
3.3.1.1 インストール手順 (2)
注意事項を変更。RHEL6 の手順を削除。
5.5 タイトル修正
5.5.1 Globus Alliance 版から NII 版 yum リポジトリへの変更手順 RHEL6 の手順を削除
5.5.2 NII 版のパッケージへのアップデート手順 RHEL6 の手順を削除。
vii
ドキュメントリスト
管理者ガイドグループ
HPCI アカウント IdP 管理マニュアル
GSI-SSH システム管理マニュアル
サーバ証明書取得マニュアル
認証局システム管理マニュアル
証明書管理システム管理マニュアル
証明書発行システム管理マニュアル
Shibboleth DS 管理マニュアル
HPCI 認証局運用規程
認証局プロファイル設計書
試験環境用 HPCI アカウント IdP 管理マニュアル
試験環境用 GSI-SSH システム管理マニュアル
試験環境用 サーバ証明書取得マニュアル
試験環境用 認証局システム管理マニュアル
試験環境用 Shibboleth DS 管理マニュアル
試験環境用 HPCI 連携試験マニュアル
Shibboleth SP 管理マニュアル
利用者ガイドグループ
HPCI ログインマニュアル
目次
1. はじめに... 1
1.1. 概要 ... 1
1.2. 全体の流れ... 3
1.2.1. Windows/macOS 場合(Docker Container image for GSI-OpenSSH を使用) ... 3
1.2.2. Unix/Linux の場合(GSI-OpenSSH を使用) ... 4
1.2.3. Java 環境を利用する場合(Windows/Unix/Linux/macOS などで GSI-SSHTerm を使用) ... 5
1.3. 動作環境 ... 7
1.3.1. Web ブラウザ ... 7
1.3.2. Docker Container image for GSI-OpenSSH ... 7
1.3.3. GSI-SSHTerm ... 7
1.3.4. GSI-OpenSSH (NII 版) ... 7
1.3.5. ネットワーク設定 ... 7
2. 利用手順 ... 9
2.1. 電子証明書の発行手順 ... 9
2.1.1. 電子証明書を発行する手順 ... 9
2.2. 代理証明書の発行手順 ... 22
2.2.1. 代理証明書を発行する手順 ... 22
2.3. 代理証明書のダウンロード手順 ... 34
2.3.1. HPCI 証明書発行システムを利用して代理証明書をダウンロードする手順 ... 34
2.3.2. Docker Container image for GSI-OpenSSH を利用して代理証明書をダウンロードする手順 ... 40
2.3.3. GSI-SSHTerm を利用してログイン時に代理証明書をダウンロードする手順... 42
2.3.4. myproxy-logon コマンドを利用して代理証明書をダウンロードする手順 ... 46
2.4. ログインサーバへログインする手順 ... 50
2.4.1. Docker Container image for GSI-OpenSSH を利用してログインする場合... 50
2.4.2. GSI-SSHTerm を利用してログインする場合 ... 52
2.4.3. GSI-OpenSSH を利用してログインする場合 ... 55
2.5. ログインサーバへファイルを転送する手順 ... 58
2.5.1. Docker Container image for GSI-OpenSSH を利用してファイルを転送する場合 ... 58
2.5.2. GSI-SSHTerm を利用してファイルを転送する場合 ... 59
2.5.3. GSI-OpenSSH を利用してファイルを転送する場合 ... 63
2.6. 電子証明書パスフレーズの変更手順 ... 65
2.6.1. 電子証明書パスフレーズを変更する手順 ... 65
3. (付録)アプリケーションの導入手順 ... 71
3.1. Docker Container image for GSI-OpenSSH のインストール手順 ... 71
3.1.1. Docker ID の取得 ... 71
3.1.2. Docker Container image for GSI-OpenSSH のインストール ... 71
3.2. GSI-SSHTerm のインストール手順 ... 72
3.2.1. アプリケーションの入手 ... 72
3.3. GSI-OpenSSH のインストール手順 ... 74
ix
3.3.1. RHEL 7, 8 の場合 ... 74
3.3.2. macOS の場合 ... 78
3.4. SCP によるバルクファイル転送の高速化 ... 79
4. 用語集 ... 80
5. 付録 ... 82
5.1. 代理証明書の発行(格納)とダウンロードの流れについて ... 82
5.2. プライマリセンター選択画面のチェックボックスについて ... 84
5.3. ログイン画面のチェックボックスについて ... 87
5.4. 属性送信確認画面について ... 88
5.5. NII 版 yum リポジトリへの変更手順 (RHEL 7 の場合) ... 90
5.5.1. Globus Alliance 版から NII 版 yum リポジトリへの変更手順 ... 90
5.5.2. NII 版のパッケージへのアップデート手順 ... 90
1. はじめに
1.1.
概要
本書は、HPCI 環境へのログインマニュアルです。
本書では、HPCI の利用者の方を対象に、電子証明書の発行から、課題採択時に連絡のあった HPCI を利用す るためのログインサーバ(以下、ログインサーバ)へのログインまでの下記の流れと手順について解説します。
電子証明書の発行
HPCI の資源にシングルサインオンするためには、はじめに電子証明書を発行する必要があります。詳細 な手順は 「2.1 電子証明書の発行手順」をご参照ください。
代理証明書の発行、ダウンロード
HPCI の資源にシングルサインオンするためには、電子証明書の発行後、代理証明書を発行し、クライアン トマシンにダウンロードする必要があります。詳細な手順は「2.2 代理証明書の発行手順」「2.3 代理証明 書のダウンロード手順」をご参照ください。
ログインサーバへのログイン、ファイル転送
代理証明書を発行後、HPCI の資源に実際にログインしたり、ファイル転送したりするためには、「2.4 ログ インサーバへログインする手順」ならびに「2.5 ログインサーバへファイルを転送する手順」をご参照くださ い。
必要なアプリケーションのインストール
HPCI の資源にシングルサインオンするために必要なクライアントアプリケーションをインストールするため には、「3(付録)アプリケーションの導入手順」をご参照ください。
なお、HPCI 環境へログインするためには、事前に HPCI-ID を取得し、参加している利用課題が採択され、HPCI アカウントを取得していることが前提となります。
メンテナンス情報や障害情報は、HPCI 運用事務局ヘルプデスクからのメール通知、もしくは HPCI 情報共有 CMS(Contents Management System)の「国立情報学研究所 > 運用情報」でご確認いただけます。
情報をご確認のうえ、もし、証明書発行システム(portal.hpci.nii.ac.jp)で障害が発生している場合
は、portal-c.hpci.nii.ac.jp をご利用ください(障害状況により、一部の機能はご利用いただけ ないことがございます) 。
HPCI 情報共有 CMS
https://www.hpci-office.jp/info/
本書に掲載されているコマンドイメージのうち、太字の箇所は実際にコマンドを入力していただく箇所です。
「%」で始まる箇所は、Unix/Linux/macOS の管理者rootで実行していただく箇所です。
「$」で始まる箇所は、Unix/Linux/macOS の一般ユーザで実行していただく箇所です。
「C:¥>」で始まる箇所は、Windows のコマンドプロンプトで実行していただく箇所です。
本書では、Red Hat Enterprise Linux Server release 7 と 8 で異なる手順は、【RHEL7 の場合】【RHEL8 の場合】
2
と記載します。また、Red Hat Enterprise Linux は RHEL と略記します。
トラブルシューティングについては、HPCI 情報共有 CMS に公開している「トラブルシューティング - GSI-SSH システム管理関連」を参照してしてください。
トラブルシューティング - GSI-SSH システム管理関連 https://www.hpci-office.jp/info/x/wJ7mBQ
1.2.
全体の流れ
以降で説明する各節は、下記の全体フロー(図 1)の番号と対応しています。
図 1
ログインサーバへログインするためには、ご利用になるクライアント環境の OS に合わせて下記を読み進めてく ださい。
(1) 1.2.1 Windows/macOS 場合(Docker Container image for GSI-OpenSSH を使用)
(2) 1.2.2 Unix/Linux の場合(GSI-OpenSSH を使用)
(3) 1.2.3 Java 環境を利用する場合(Windows/Unix/Linux/macOS などで GSI-SSHTerm を使用)
1.2.1. Windows/macOS場合(Docker Container image for GSI-OpenSSH を使用)
(1) 2.1.1 電子証明書を発行する手順 (2) 2.2.1 代理証明書を発行する手順
(3) 2.3.2 Docker Container image for GSI-OpenSSH を利用して代理証明書をダウンロードする手順 (4) 2.4.1 Docker Container image for GSI-OpenSSH を利用してログインする場合
(5) 2.5.1 Docker Container image for GSI-OpenSSH を利用してファイルを転送する場合 HPCIログインマニュアル 第18版からは、GSI-SSHTerm は非推奨です。
Docker Container image for GSI-OpenSSH をご利用ください。
2.1 電子証明書の発行手 順
利用者
2.2 代理証明書の発行手 順
2.3 代理証明書のダウン ロード手順
2.4 ログインサーバへロ グインする手順
3 (付録)アプリケーション の導入手順
2.5 ログインサーバへファ イルを転送する手順
※一部関連あり
※一部関連あり
4 図 2
1.2.2. Unix/Linuxの場合(GSI-OpenSSH を使用)
(1) 2.1.1 電子証明書を発行する手順
(2) 2.3.1 HPCI 証明書発行システムを利用して代理証明書をダウンロードする手順 (3) 3.3 GSI-OpenSSH のインストール手順
(4) 2.4.3 GSI-OpenSSH を利用してログインする場合 (5) 2.5.3 GSI-OpenSSH を利用してファイルを転送する場合
利用者
(Docker Container image for GSI-OpenSSH を使用する場合)
2.1.1 電子証明書を発行する手順
2.2.1 代理証明書を発行する手順
2.3.2 Docker Container image for GSI- OpenSSH を利用して代理証明書をダ
ウンロードする手順 電子証明書を発行済み
2.5.1 Docker Container image for GSI-OpenSSH を利用してファ イルを転送する場合
ログインサーバにアクセス完了 3.1 Docker Container image for GSI-OpenSSH のイン
ストール手順 準備
2.4.1 Docker Container image for GSI-OpenSSH を利用してロ グインする場合
図 3
1.2.3. Java環境を利用する場合(Windows/Unix/Linux/macOSなどで GSI-SSHTerm を使用)
(1) 2.1.1 電子証明書を発行する手順 (2) 2.2.1 代理証明書を発行する手順
(3) 2.3.3 GSI-SSHTerm を利用してログイン時に代理証明書をダウンロードする手順 (4) 2.5.2 GSI-SSHTerm を利用してファイルを転送する場合
HPCIログインマニュアル 第18版からは、GSI-SSHTerm は非推奨です。
Docker Container image for GSI-OpenSSH をご利用ください。
利用者 (Unix/Linux)
2.1.1 電子証明書を発行する手順
2.2.1 代理証明書を発行する手順
2.3.1 HPCI 証明書発行システムを利 用して代理証明書をダウンロードす
る手順
2.3.4 myproxy-logon コマンドを利用 して代理証明書をダウンロードする
手順
2.4.3 GSI-OpenSSH を利用してログインする場合 代理証明書をクライアントマシンに取得
電子証明書を発行済み
2.5.3 GSI-OpenSSH を利用してファイルを転送する場合
ログインサーバにアクセス完了 3.3 GSI-OpenSSH のインストール手順
(2.3.4、2.4.3、2.5.3 の手順を利用する場合に必要)
準備
6 図 4
利用者
(Windows/Unix/Linux/macOS など Java 環境)
2.1.1 電子証明書を発行する手順
2.2.1 代理証明書を発行する手順 2.3.1 HPCI 証明書発行システムを利
用して代理証明書をダウンロードす る手順
2.3.3 GSI-SSHTerm を利用してログ イン時に代理証明書をダウンロード
する手順 2.4.2 GSI-SSHTerm を利用してログ
インする場合 代理証明書を クライアントマシンに取得
電子証明書を発行済み
2.5.2 GSI-SSHTerm を利用してファイルを転送する場合
ログインサーバにアクセス完了 3.2 GSI-SSHTerm のインストール手順 準備
1.3.
動作環境
1.3.1. Webブラウザ
HPCI 証明書発行システムの動作確認済み Web ブラウザ(2020 年 2 月 28 日)
Internet Explorer 11.476.18362.0, Microsoft Edge 44.18362.449.0, Google Chrome 80.0.3987.122, Firefox 73.0.1, Safari 12.0
1.3.2. Docker Container image for GSI-OpenSSH
Docker Container image for GSI-OpenSSH に関しては、ご利用になるクライアント環境の OS により、下記サイ トをご確認ください。
(1) Windows 10 の場合
Docker を用いた HPCI ログイン (Windows10 編)
・ 1.2 動作環境
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-win10.html
(2) macOS の場合
Docker を用いた HPCI ログイン (macOS 編)
・ 1.2 動作環境
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-macOS.html
1.3.3. GSI-SSHTerm
GSI-SSHTerm の動作 OS:以下の動作確認済み OS
※Windows 8.1/10 (Amazon Corretto 8 を利用), RHEL 7 x86_64 (OpenJDK 8 を利用), Mac OS X 10.11 (Amazon Corretto 8 を利用)では動作確認済み
1.3.4. GSI-OpenSSH (NII版)
GSI-OpenSSH (NII 版) の動作 OS:以下の動作確認済み OS
※RHEL 7 x86_64, RHEL 8 x86_64 では動作確認済み Grid Community Toolkit 6.2
※第 19 版以降の手順では、GSI-OpenSSH (NII 版)の動作に必要なパッケージとして、Grid Community Toolkit の導入も行われます。
1.3.5. ネットワーク設定
次のポートを開放する必要があります。
HPCIログインマニュアル 第18版からは、GSI-SSHTerm は非推奨です。
Docker Container image for GSI-OpenSSH をご利用ください。
8
表 1 【outbound(外向きの通信)】
TCP /UDP
送信元 ホスト
送信元 ポート
受信側 ホスト
受信側 ポート
用途
TCP
[クライアントマシン]ANY
[認証局リポジトリ]80 443
HPCI 認証局情報の取得(証 明書、CRL)(3 参照)
TCP
[クライアントマシン]ANY
[ShibbolethDS サーバ]443
Shibboleth 認証(2.1.1 参照)TCP
[クライアントマシン]ANY
[プライマリセンターの IdP サーバ]443
Shibboleth 認証(2.1.1 参照)TCP
[クライアントマシン]ANY
[HPCI 証明書発行システム]443
HPCI 証明書発行システムへ の ア ク セ ス ( 電 子 証 明 書 発 行、代理証明書発行)(2.1.1 参照)TCP
[クライアントマシン]ANY
[HPCI 証明書発行システム]7512
代 理 証 明 書 の ダ ウ ン ロ ー ド(2.3 参照)
TCP
[クライアントマシン]ANY
[ログインサーバ]2222
gsissh, gsiscp(2.4、2.5 参照)UDP
[クライアントマシン]ANY
[DNS サーバ]53
DNSUDP
[クライアントマシン]123
[NTP サーバ]123
NTP※ 2020/02/28 時点では、以下のように設定してください。また、HPCI 認証基盤システムの各 IP アドレスは、
以下の HPCI 情報共有 CMS のページを参照してください。
HPCI 情報共有 CMS HPCI 認証基盤システムの IP アドレス https://www.hpci-office.jp/info/x/YwokB
表 2
サーバ IP アドレス
[認証局リポジトリ] 「HPCI 情報共有 CMS HPCI 認証基盤システムの IP アドレス」に公 開している認証局リポジトリ(www.hpci.nii.ac.jp)の項目をご 確認ください。
[ShibbolethDS サーバ] 「HPCI 情報共有 CMS HPCI 認証基盤システムの IP アドレス」に公 開している ShibbolethDS サーバ(ds.hpci.nii.ac.jp)の項目をご 確認ください。
[HPCI 証明書発行システム] 「HPCI 情報共有 CMS HPCI 認証基盤システムの IP アドレス」に公 開している HPCI 証明書発行システム(portal.hpci.nii.ac.jp, portal-c.hpci.nii.ac.jp)の項目をご確認ください。
[プライマリセンターの IdP サーバ]
Web ブラウザで HPCI 証明書発行システムにアクセス後、「プライマリ センター選択画面」でご自身のプライマリセンターの IdP を選択し、リ ダイレクトされた先の URL をご確認ください[ログインサーバ]
ローカルアカウントでログインして使うサーバの IP アドレス(システム 構成機関から連絡を受けるか、あるいは、HPCI 運用事務局のホーム ページでご確認ください)[DNS サーバ]
ご利用いただいているシステムの管理者にご確認ください[NTP サーバ]
ご利用いただいているシステムの管理者にご確認ください2. 利用手順
2.1.
電子証明書の発行手順
HPCI の資源にシングルサインオンするためには、電子証明書を発行する必要があります。
また、電子証明書の有効期間は 395 日です。再発行は有効期限の 30 日前から行えます。
以下では、電子証明書を発行する手順を解説します。
2.1.1. 電子証明書を発行する手順
(1) HPCI 証明書発行システムへアクセスします。
HPCI
証明書発行システム
https://portal.hpci.nii.ac.jp/
なお、portal.hpci.nii.ac.jp に アク セスできないときは 、 「 1.1 概要」 をご参照 の うえ、portal- c.hpci.nii.ac.jpをご利用ください。
また、HPCI 証明書発行システムをブックマークに登録する場合は、下記(3)で画面「HPCI 証明書発行システム メニュー」(図 8)に遷移後、上記の URL を登録してください。プライマリセンター選択画面(図 5)の URL は、ア クセスするたびに変わるため、ブックマークから呼び出しても、正常に動作しないことがあります。
(2) 自動的にプライマリセンター選択画面(図 5)にリダイレクトされますので、HPCI-ID 登録時に選択したプラ イマリセンターを選択してください。選択すると、ログイン画面(図 6)が表示されますので、HPCI アカウント でログインしてください。なお、言語切り替えリンク「日本語に切り替え」や「Change language to English」をク リックし、日本語表示、英語表示を切り替えることができます。
プライマリセンター選択画面(図 5)の 2 つのチェックボックス「ブラウザ起動中は IdP の選択画面をスキップす る」と「選択したプライマリセンターを保存して今後 IdP の選択画面をスキップする」の詳細につきましては、「5.2 プライマリセンター選択画面のチェックボックスについて」をご参照ください。
10 図 5
ログイン画面(図 6)の 2 つのチェックボックス「次回ログイン時にユーザ名とパスワードを求める」と「このサー ビスプロバイダへの属性情報の送信設定を解除する」の詳細につきましては、「5.3 ログイン画面のチェックボ ックスについて」をご参照ください。
図 6
ログイン画面(図 6)の次に属性送信確認画面(図 7)が表示されましたら、HPCI 証明書発行システムに提供 される情報を確認し、ボタン「同意」を押下してください。
なお、属性送信確認画面(図 7)の詳細につきましては、「5.4 属性送信確認画面について」をご参照ください。
図 7
(3) ログインに成功すると、画面「HPCI 証明書発行システムメニュー」に遷移します(図 8)。なお、言語切り替 えリンク「Japanese」や「English」をクリックし、日本語表示、英語表示を切り替えることができます。
図 8
(4) リンク「電子証明書発行」をクリックすると、画面「電子証明書発行」が表示されます。
電子証明書を初めて発行する場合
12 画面「電子証明書発行」は、図 9 となります。
図 9
すでに電子証明書を発行したことがある場合
画面「電子証明書発行」は、図 10 となります。
図 10
(5) この画面「電子証明書発行」(図 9、図 10)で、必要な電子証明書のパスフレーズを入力し、ボタン「発行」
を押下してください。
なお、2020/02/28 時点では、電子証明書のパスフレーズは以下の全てを満たす必要があります。
1 12 文字以上であること
2 アルファベット大文字、アルファベット小文字、数字、記号の内、3 種類以上を含むこと
3 HPCI アカウントや、HPCI アカウントの一部(@より前の部分、@より後ろの部分)、HPCI-ID の数字部分を 含まないこと
4 英字氏名の一部(姓、名、ミドルネーム)を含まないこと
電子証明書のパスフレーズが漏えいすると、第三者に勝手に代理証明書を発行され、各資源提供機関の計 算機に、あなたのアカウントでログインされてしまう可能性があります。そのため、パスフレーズは他者に知ら れないよう安全に管理してください。万が一、パスフレーズの漏えいが判明した場合は、『電子証明書失効・パ スフレーズ初期化申請マニュアル』を参考に、1 営業日以内に必ず電子証明書の失効申請を行ってください。
電子証明書失効・パスフレーズ初期化申請マニュアル
https://www.hpci.nii.ac.jp/ca/application.html
また、HPCI 運用事務局ヘルプデスク(http://www.hpci-office.jp/pages/helpdesk)へその旨を 早急に連絡してください。
電子証明書を初めて発行する場合
新規に発行する電子証明書のパスフレーズを、「新しい電子証明書のパスフレーズ」に入力してください。
パスフレーズは必須入力で、12 文字以上、20 文字以下で入力してください。
なお、「新しい電子証明書のパスフレーズ」は、後で「2.2 代理証明書の発行手順」ならびに「2.3 代理証明書の ダウンロード手順」で代理証明書を発行するときに必要です。
すでに電子証明書を発行したことがある場合
現在の電子証明書のパスフレーズを、「現在の電子証明書のパスフレーズ」に入力してください。
新規に発行する電子証明書のパスフレーズを、「新しい電子証明書のパスフレーズ」に入力してください。
パスフレーズは必須入力で、12 文字以上、20 文字以下で入力してください。
なお、「新しい電子証明書のパスフレーズ」は、後で「2.2 代理証明書の発行手順」ならびに「2.3 代理証明書の ダウンロード手順」で代理証明書を発行するときに必要です。
(6) 電子証明書の発行に成功すると、画面「電子証明書発行完了」(図 11)が表示されます。
14 図 11
以上の操作により、発行した電子証明書は証明書管理システムのリポジトリに格納されます。
なお、電子証明書の有効期限内は、本作業は不要です。
ログインサーバへアクセスするためには、代理証明書をクライアントマシンにダウンロードする必要があるため、
引き続き「2.3 代理証明書のダウンロード手順」をご参照ください。
2.1.1.1. エラー対応方法
(1) エラーメッセージ「新しい電子証明書のパスフレーズを入力してください。」が表示された場合
画面「電子証明書発行」(図 9、図 10)において、エラーメッセージ「新しい電子証明書のパスフレーズを入力し てください。」が表示された場合、パスフレーズが未入力の状態でボタン「発行」を押下しています(図 12)。
図 12
対処として、パスフレーズを入力してから、ボタン「発行」を押下してください。
(2) エラーメッセージ「12 文字以上入力してください。」が表示された場合
画面「電子証明書発行」(図 9)、(図 10)において、エラーメッセージ「12 文字以上入力してください。」が表示 された場合、入力したパスフレーズが 12 文字未満の状態でボタン「発行」を押下しています(図 13)。
図 13
対処として、12 文字以上のパスフレーズを入力してから、ボタン「発行」を押下してください。
(3) エラーメッセージ「20 文字以下入力してください。」が表示された場合
16
画面「電子証明書発行」(図 9)、(図 10)において、エラーメッセージ「20 文字以下入力してください。」が表示 された場合、入力したパスフレーズが 20 文字を超える状態でボタン「発行」を押下しています(図 14)。
図 14
対処として、20 文字以下のパスフレーズを入力してから、ボタン「発行」を押下してください。
(4) エラーメッセージ「新しい電子証明書のパスフレーズが一致しません」が表示された場合
画面「電子証明書発行」(図 9)、(図 10)において、エラーメッセージ「新しい電子証明書のパスフレーズが一 致しません」が表示された場合、入力した 2 つのパスフレーズが異なる状態でボタン「発行」を押下しています
(図 15)。
図 15
対処として、2 つのパスフレーズを一致させてから、ボタン「発行」を押下してください。
(5) エラーメッセージ「現在の電子証明書のパスフレーズが正しくありません」が表示された場合
画面「電子証明書発行」(図 10)において、エラーメッセージ「現在の電子証明書のパスフレーズが正しくありま せん」が表示された場合、現在の電子証明書のパスフレーズの入力が間違っている状態でボタン「発行」を押 下しています(図 16)。
図 16
18
対処として、「現在の電子証明書のパスフレーズ」には、現在の電子証明書の正しいパスフレーズを入力してく ださい。
(6) エラーメッセージ「パスフレーズが基準を満たしていません。」、「有効な文字種別を入力してください。」、
「文字種が規定外です。」が表示された場合
画面「電子証明書発行」(図 10)において、エラーメッセージ「パスフレーズが基準を満たしていません」(図 17)、「有効な文字種別を入力してください。」(図 18)、「文字種が規定外です。」(図 19)が表示された場合、
新しい電子証明書のパスフレーズがパスフレーズ強度基準に満たない状態でボタン「発行」を押下しています。
図 17
図 18
図 19
対処として、「新しい電子証明書のパスフレーズ」には、「2.1.1 電子証明書を発行する手順 (5)」や画面「電子 証明書発行」の下部に記載している、電子証明書のパスフレーズが満たすべき基準に則した文字列を入力し てください。
(7) エラーメッセージ「既に有効な証明書が存在しています。」が表示された場合
画面「電子証明書発行」(図 10)において、エラーメッセージ「既に有効な証明書が存在しています。」が表示さ れた場合、既に有効な電子証明書が存在しています(図 20)。
20 図 20
既に有効な電子証明書が存在しているので、新規に電子証明書を発行する必要はありません。引き続き、「2.2 代理証明書の発行手順」、または「2.3 代理証明書のダウンロード手順」で代理証明書を発行してください。
(8) エラーメッセージ「システムエラーが発生しました。」が表示された場合
画面「システムエラー」(図 21)が表示された場合、画面メッセージ(コード番号を含む)をメモし、HPCI 運用事 務局ヘルプデスク(http://www.hpci-office.jp/pages/helpdesk)へお問合せください。
図 21
(9) エラーメッセージ「英字氏名の文字列中に半角スペースが検出されませんでした。英字氏名が 1 ワードの み(Surname と Firstname が区切られていない、または Surname のみ、Firstname のみ等)の可能性があり ます。HPCI 申請支援システムにて、英字氏名の見直しをお願いします。」が表示された場合
エラーメッセージ「英字氏名の文字列中に半角スペースが検出されませんでした。・・・」(図 22)が表示された 場合、HPCI 申請支援システムに登録された英字氏名の文字列中に半角スペースがない状態になっています。
具体的には、登録された英字氏名が1ワードのみ(Surname と Firstname が区切られていない、または Surname のみ、Firstname のみ等)の可能性があります。
対処として、HPCI 申請支援システム(https://www.hpci-office.jp/entry/)で英字氏名を修正してく ださい。
図 22
22
2.2.
代理証明書の発行手順
「2.3 代理証明書のダウンロード手順」にて、HPCI 証明書発行システムから代理証明書をダウンロードする際 は、事前に本節の内容を実施しておく必要はありません。
なお、代理証明書の発行(格納)とダウンロードの違いにつきましては、「5.1 代理証明書の発行(格納)とダウ ンロードの流れについて」をご参照ください。
2.2.1. 代理証明書を発行する手順
(1) HPCI 証明書発行システムへアクセスします。
詳細な手順は、「2.1.1(1)~(3)」をご参照ください。
(2) リンク「代理証明書発行」をクリックすると、画面「代理証明書発行」(図 23)が表示されます。
図 23
代理証明書を「代理証明書リポジトリ」に格納するため、画面上部のラジオボタン「リポジトリに格納」が選択さ れた状態で、下記の項目を入力し、ボタン「発行」を押下してください。
電子証明書 - パスフレーズ(電子証明書に設定したパスフレーズ)
代理証明書 - 有効期限(代理証明書の有効期限を選択)
代理証明書 - パスフレーズ - 代理証明書リポジトリから代理証明書を取得する際に必要なパ スフレーズ
代理証明書 - パスフレーズ(確認) - 確認(代理証明書に設定するパスフレーズ:確認用)
代理証明書発行通知メールを受け取る
- 代理証明書発行時に発行通知メールを受信するかどうかの設定
なお、2020/02/28 時点では、代理証明書のパスフレーズは以下の全てを満たす必要があります。
1 8 文字以上であること
2 アルファベット大文字、アルファベット小文字、数字、記号の内、3 種類以上を含むこと
3 HPCI アカウントや、HPCI アカウントの一部(@より前の部分、@より後ろの部分)、HPCI-ID の数字部分を 含まないこと
4 英字氏名の一部(姓、名、ミドルネーム)を含まないこと
5 電子証明書のパスフレーズと一致せず、またその一部としても含まれないこと(※)
※ 代理証明書発行画面で入力した文字列を比較します。HPCI 認証基盤では、パスフレーズを平文また は復号可能な形式で保管しておりません。
(3) 代理証明書の発行に成功すると、画面「代理証明書発行完了」が表示されます(図 24)。画面「代理証明 書発行」(図 23)で、「代理証明書発行通知メールを受け取る」にチェックを入れていた場合、代理証明書 発行通知メールが届きます。また、この設定を変更した場合、メール受信設定変更通知メールが届きます。
24 図 24
発行された代理証明書は、代理証明書リポジトリに格納されます。
以上で、代理証明書の発行は完了です。
2.2.1.1. エラー対応方法
(1) エラーメッセージ「パスフレーズを入力してください。」が表示された場合
画面「代理証明書発行」(図 23)において、エラーメッセージ「パスフレーズを入力してください。」が表示された 場合、電子証明書パスフレーズ、または、代理証明書パスフレーズが未入力の状態でボタン「発行」を押下して います(図 25)。
図 25
対処として、パスフレーズを入力してから、ボタン「発行」を押下してください。
(2) エラーメッセージ「8 文字以上入力してください。」が表示された場合
画面「代理証明書発行」(図 23)において、エラーメッセージ「8 文字以上入力してください。」が表示された場合、
証明書パスフレーズ、または、代理証明書パスフレーズが 8 文字未満の状態でボタン「発行」を押下しています
(図 26)。
26 図 26
対処として、8 文字以上のパスフレーズを入力してから、ボタン「発行」を押下してください。
(3) エラーメッセージ「20 文字以下入力してください。」が表示された場合
画面「代理証明書発行」(図 23)において、エラーメッセージ「20 文字以下入力してください。」が表示された場 合、証明書パスフレーズ、または、代理証明書パスフレーズが 20 文字を超える状態でボタン「発行」を押下して います(図 27)。
図 27
対処として、20 文字以下のパスフレーズを入力してから、ボタン「発行」を押下してください。
(4) 証明書パスフレーズに対するエラーメッセージ「パスフレーズが間違っています。」が表示された場合
画面「代理証明書発行」(図 23)において、証明書パスフレーズに対するエラーメッセージ「パスフレーズが間 違っています。」が表示された場合、入力した証明書パスフレーズが間違っている状態でボタン「発行」を押下し ています(図 28)。
28 図 28
対処として、正しい証明書パスフレーズを入力しなおしてから、ボタン「発行」を押下してください。
(5) 代理証明書パスフレーズに対するエラーメッセージ「パスフレーズが一致しません。」が表示された場合
画面「代理証明書発行」(図 23)において、代理証明書パスフレーズに対するエラーメッセージ「パスフレーズ が一致しません。」が表示された場合、入力した 2 つの代理証明書パスフレーズが異なる状態でボタン「発行」
を押下しています(図 29)。
図 29
対処として、2 つの代理証明書パスフレーズを一致させてから、ボタン「発行」を押下してください。
(6) エラーメッセージ「パスフレーズが基準を満たしていません。」、「有効な文字種別を入力してください。」、
「文字種が規定外です。」が表示された場合
画面「代理証明書発行」(図 23)において、エラーメッセージ「パスフレーズが基準を満たしていません」(図 30)、「有効な文字種別を入力してください。」(図 31)、「文字種が規定外です。」(図 32)が表示された場合、
新しい代理証明書のパスフレーズがパスフレーズ強度基準に満たない状態でボタン「発行」を押下しています。
30 図 30
図 31
32 図 32
対処として、「代理証明書パスフレーズ」には、「2.2.1 代理証明書を発行する手順 (2)」や画面「代理証明書発 行」の下部に記載している、代理証明書のパスフレーズが満たすべき基準に則した文字列を入力してください。
(7) エラーメッセージ「システムエラーが発生しました。」が表示された場合
画面「システムエラー」(図 33)が表示された場合、画面メッセージ(コード番号を含む)を確認してください。
特に、「526:code(-3 )」と表示された場合は、電子証明書の有効期限が切れている可能性があります。
図 33
対処として、電子証明書を再発行してから、代理証明書を発行してください。
その他のコード番号の場合は、画面メッセージ(コード番号を含む)をメモし、HPCI 運用事務局ヘルプデスク
(http://www.hpci-office.jp/pages/helpdesk)へお問合せください。
34
2.3.
代理証明書のダウンロード手順
以下、代理証明書リポジトリから、代理証明書をダウンロードするための 4 つの手順を提示します。ユーザのク ライアント環境の OS により、適した手順を選択してください。
ダウンロードした代理証明書が漏えいすると、第三者に悪用されて、各資源提供機関の計算機に、あなたのア カウントでログインされてしまう可能性があります。そのため、ダウンロードした代理証明書は安全に管理してく ださい。万が一、代理証明書の漏えいが判明した場合は、HPCI 運用事務局ヘルプデスク(http://www.hp ci-office.jp/pages/helpdesk)へその旨を早急に連絡してください。
表 3 ク ラ イ ア ン ト
環境の OS
2.3.1 HPCI 証明書発行シス テムを利用して代理証明書 をダウンロードする手順
2.3.2 Docker Container im age for GSI-OpenSSH を利 用して代理証明書をダウン ロードする手順
2.3.4 myproxy-logon コマン ドを利用して代理証明書を ダウンロードする手順
Windows ○ ○ -
macOS ○ ○ -
Linux ○ - ○
Web ブラウザを利用 Docker Desktop が必要
なお、代理証明書の発行(格納)とダウンロードの違いにつきましては、「5.1 代理証明書の発行(格納)とダウ ンロードの流れについて」をご参照ください。
2.3.1. HPCI証明書発行システムを利用して代理証明書をダウンロードする手順
HPCI 証明書発行システムを利用して代理証明書をダウンロードする際は、事前に「2.2 代理証明書の発行手 順」の内容を実施しておく必要はありません。
(1) HPCI 証明書発行システムへアクセスします。
詳細な手順は、「2.1.1(1)~(3)」をご参照ください。
(2) リンク「代理証明書発行」をクリックすると、画面「代理証明書発行」(図 34)が表示されます。
HPCIログインマニュアル 第18版からは、GSI-SSHTerm は非推奨です。
Docker Container image for GSI-OpenSSH をご利用ください。
図 34
代理証明書を取得するため、画面上部のラジオボタン「ダウンロード」が選択された状態で、下記の項目を入力 し、ボタン「発行」を押下してください。
電子証明書 - パスフレーズ(電子証明書に設定したパスフレーズ)
代理証明書 - 有効期限(代理証明書の有効期限を選択)
代理証明書発行通知メールを受け取る
- 代理証明書発行時に発行通知メールを受信するかどうかの設定
代理証明書の発行に成功すると、画面「代理証明書発行完了」が表示されます(図 35)。画面「代理証明書発 行」(図 23)で、「代理証明書発行通知メールを受け取る」にチェックを入れていた場合、代理証明書発行通知 メールが届きます。また、この設定を変更した場合、メール受信設定変更通知メールが届きます。
36 図 35
画面「代理証明書発行完了」(図 35)表示後、Web ブラウザに応じたダウンロードダイアログが表示されますの で、下表(表 4)の通りに代理証明書に名前を付けて保存してください。なお、Unix/Linux/macOS の場合は、コ マンドgsisshの実行時にエラーになりますので、ダウンロードしたファイルの権限を600としてください。
表 4
クライアント環境の OS 格納するフォルダ名 格納するファイル名
Windows 8.1/10 %TMP% (*1) x509up_u_%USERNAME% (*2) Unix/Linux/macOS /tmp x509up_u$UID
(*1) Windows で環境変数「%TMP%」を確認する方法は、下表(表 5)を参照してください。
表 5
OS 確認する場所
Windows 8.1/10 コントロール パネル > システムとセキュリティ > システム >システムの詳細設 定 > 環境変数
※「ユーザ環境変数」と「システム環境変数」の両方に TMP の設定がある場合、
「ユーザ環境変数」の値を確認してください(ユーザ環境変数が優先されます)。
(*2) Windows で環境変数「%USERNAME%」を確認する方法は、コマンドプロンプトを実行し、下記のようにコマン ドを実行します。
C:¥> echo %USERNAME%
user
←環境変数%USERNAME%の値が表示される
以上で、Web 経由による代理証明書のダウンロードは完了です。
ログインサーバへアクセスするためには、引き続き「2.4 ログインサーバへログインする手順」をご参照ください。
2.3.1.1. エラー対応方法
(1) エラーメッセージ「パスフレーズを入力してください。」が表示された場合
画面「代理証明書発行」(図 34)において、エラーメッセージ「パスフレーズを入力してください。」が表示された 場合、証明書パスフレーズ未入力の状態でボタン「発行」を押下しています(図 36)。
38 図 36
対処として、パスフレーズを入力してから、ボタン「発行」を押下してください。
(2) 証明書パスフレーズに対するエラーメッセージ「パスフレーズが間違っています。」が表示された場合
画面「代理証明書発行」(図 34)において、証明書パスフレーズに対するエラーメッセージ「パスフレーズが間 違っています。」が表示された場合(図 37)、入力した証明書パスフレーズが間違っている状態でボタン「発行」
を押下しています。
図 37
対処として、正しい証明書パスフレーズを入力しなおしてから、ボタン「発行」を押下してください。
(3) エラーメッセージ「システムエラーが発生しました。」が表示された場合
画面「システムエラー」(図 38)が表示された場合、画面メッセージ(コード番号を含む)を確認してください。
特に「526:code(-3 )」と表示された場合は、電子証明書の有効期限が切れている可能性があります。
40 図 38
対処として、電子証明書を再発行してから、代理証明書を発行してください。
その他のコード番号の場合は、画面メッセージ(コード番号を含む)をメモし、HPCI 運用事務局ヘルプデスク
(http://www.hpci-office.jp/pages/helpdesk)へお問合せください。
2.3.2. Docker Container image for GSI-OpenSSHを利用して代理証明書をダウンロードする手順
ここでは、Docker Container image for GSI-OpenSSH が提供する Grid Community Toolkit の myproxy-logon コ マンドを利用して、代理証明書をダウンロードする手順を解説します。
事前に「3.1 Docker Container image for GSI-OpenSSH のインストール手順」を参考に、Docker Container image for GSI-OpenSSH を導入しておいてください。
また、myproxy-logon コマンドを利用して代理証明書をダウンロードする際は、事前に「2.2 代理証明書の発行 手順」の内容を実施して、代理証明書リポジトリに代理証明書を格納しておく必要があります。
2.3.2.1. 事前準備
クライアント環境の OS により、以下の手順を実施してください。
(1) Windows 10 の場合
下記サイトの手順を実施してください。
Docker を用いた HPCI ログイン (Windows10 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-win10.html
【実施する手順】
・ 3.4 Docker コンテナの起動
・ 3.5 bash の実行
(2) macOS の場合
下記サイトの手順を実施してください。
Docker を用いた HPCI ログイン (macOS 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-macOS.html
【実施する手順】
・ 3.4 Docker コンテナの起動
・ 3.5 bash の実行
2.3.2.2. 代理証明書の取得
myproxy-logon コマンドを利用して、代理証明書をダウンロードします。クライアント環境の OS により、以下の 手順を実施してください。
代理証明書の取得後、引き続きログインサーバへアクセスするためには、「2.4 ログインサーバへログインする 手順」をご参照ください。
(1) Windows 10 の場合
下記サイトの手順を実施してください。
Docker を用いた HPCI ログイン (Windows10 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-win10.html
【実施する手順】
・ 3.6 ログインサーバへのログイン>代理証明書のダウンロード
(2) macOS の場合
下記サイトの手順を実施してください。
Docker を用いた HPCI ログイン (macOS 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-macOS.html
【実施する手順】
・ 3.6 ログインサーバへのログイン>代理証明書のダウンロード
2.3.2.3. 事後処理
Docker Container image for GSI-OpenSSH の Docker コンテナから抜けて OS 側に戻る場合、クライアント環境 の OS により、以下の手順を実施してください。
(1) Windows 10 の場合
下記サイトの手順を実施してください。
42 Docker を用いた HPCI ログイン (Windows10 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-win10.html
【実施する手順】
・ 3.7 bash の終了
(2) macOS の場合
下記サイトの手順を実施してください。
Docker を用いた HPCI ログイン (macOS 編)
https://www.hpci.nii.ac.jp/gt6/docker/HPCI-Login-Docker-macOS.html
【実施する手順】
・ 3.7 bash の終了
2.3.3. GSI-SSHTermを利用してログイン時に代理証明書をダウンロードする手順
ここでは、GSI-SSHTerm の MyProxy クライアント機能を利用して、ログイン時に代理証明書を代理証明書リポ ジトリからダウンロードする手順を解説します。
事前に「3.2 GSI-SSHTerm のインストール手順」を参考に、GSI-SSHTerm をインストールしておいてください。ま た、「2.2 代理証明書の発行手順」の内容を実施して、代理証明書リポジトリに代理証明書を格納しておいてく ださい。
(1) GSI-SSHTerm を起動します。
・ Windows の場合: エクスプローラを起動後、ディレクトリbin
配下に移動し、ファイル
sshterm.batを ダブルクリックして実行してください。・ Unix/Linux/macOS の場合: ディレクトリ bin
配下に移動し、ファイル
sshterm.sh を実行してくださ い。起動に成功すると、下記の画面が表示されます(図 39)。
HPCIログインマニュアル 第18版からは、GSI-SSHTerm は非推奨です。
Docker Container image for GSI-OpenSSH をご利用ください。
図 39
もし、Windows でご利用の場合で、上記のような画面(図 39)が表示されず、GSI-SSHTerm が起動しなかった 時は、Java の動作に必要なパスが設定されていない可能性があります。「3.2.1」をご参照のうえ、対処を行って ください。
(2) 代理証明書を代理証明書リポジトリからダウンロードして、ログインサーバへログインします。
ダイアログ「Connect to host...」(図 39)の欄「Host to Connect to:」にログインサーバのホスト名を入力してボタ ン「OK」を押下してください。ログインサーバのホスト名は、ローカルアカウントを発行したシステム構成機関か ら通知されます。ダイアログ「Grid Certificate/Proxy needed for Authentication」(図 40)が表示されますので、
「Retrieve Credentials from MyProxy」の各項目について、以下の情報を入力してください。
図 40
Host: portal.hpci.nii.ac.jp
Account Name: ご自身の HPCI-ID
(HPCI アカウントや接続先のローカルアカウントではありません)
Passphrase: 代理証明書発行時に指定したパスフレーズ
正しい情報を入力したら、ボタン「Use MyProxy」を押下してください。代理証明書がダウンロードされ、ログイン サーバに自動でログインできます。このとき、代理証明書の有効期間は 24 時間となります。代理証明書の有効 期間を 24 時間以外としたい場合、「Connect to host...」のダイアログ(図 39)で、「Advanced」を選択し「Proxy
44 Lifetime(hour):」の値を 24 以外の値に変更してください
ダウンロードした代理証明書は、下表(表 6)の通りに自動で保存されます。
表 6
クライアント環境の OS 格納するフォルダ名 格納するファイル名
Windows 8.1/10 %TMP% (*1) x509up_u_%USERNAME% (*2) Unix/Linux/macOS /tmp x509up_u$UID
(*1) (*2) Windows で環境変数「%TMP%」「%USERNAME%」を確認する方法は、「2.3.1 HPCI 証明書発行システム を利用して代理証明書をダウンロードする手順」を参照してください。
以上で、代理証明書のダウンロードは完了です。ダウンロードした代理証明書の情報を確認したい場合は、メ ニューバーの「Proxy > Proxy Info」から確認してください(図 41)。
図 41
(3) GSI-SSHTerm 終了時に、ダイアログ「GSI-SSHTerm」(図 42)が表示され、ダウンロードした代理証明書を 削除するかどうか選択する必要があります。
図 42
ボタン「はい」を押下すると代理証明書を削除します。ボタン「いいえ」を押下すると代理証明書を削除しません。
通常はボタン「いいえ」を押下して、代理証明書をクライアントマシンに残すようにします。この場合、次回以降 のログイン時にこの代理証明書を使用するようになり、ダイアログ「Connect to host...」(図 39)にログインサー バのホスト名を入力してボタン「OK」を押下するだけで、ログインサーバへログインできるようになります。
代理証明書をクライアントマシンに残したくない場合は、ボタン「はい」を押下して代理証明書を削除してください。
この場合、次回のログイン時は「2.3.3」の手順を参照のうえ、代理証明書をダウンロードしなおす必要がありま す。
2.3.3.1. エラー対応方法
(1) エラーメッセージ「Problem while accessing MyProxy. MyProxy get failed.」と表示された場合
上記 2.3.3 にて、エラーメッセージ「Problem while accessing MyProxy. MyProxy get failed.」(図 43)と表示され た場合、以下の原因が考えられます。
図 43
A. 代理証明書リポジトリのホスト名が間違っている
→ 代理証明書リポジトリの正しいホスト名を入力しなおしてください。
B. 証明書発行システム(portal.hpci.nii.ac.jp)で障害が発生している
→ 「1.1 概要」を参照のうえ、portal-c.hpci.nii.ac.jpをご利用ください。
C. 代理証明書リポジトリに格納されている代理証明書の有効期限が切れている
→ 「2.2 代理証明書の発行手順」を参照のうえ、代理証明書を発行しなおしてから、上記 2.3.3 を参照 のうえ、代理証明書をダウンロードしなおしてください。
D. 入力した HPCI-ID が間違っている
→ 正しい HPCI-ID を入力しなおしてください。
(2) エラーメッセージ「MyProxy: Password must be at least 6 characters long.」が表示された場合
上記 2.3.3 にて、エラーメッセージ「MyProxy: Password must be at least 6 characters long.」が表示された場合、
入力したパスフレーズが短すぎます(図 44)。
図 44
対処として、正しいパスフレーズを入力のうえ、ボタン「Use MyProxy」を押下してください。
(3) エラーメッセージ「MyProxy: Bad username and/or password」が表示された場合
上記 2.3.3 にて、エラーメッセージ「MyProxy: Bad username and/or password」が表示された場合、入力した
