Zugang zum bwGRiD

Das Baden-Württemberg Grid (bwGRiD) ist Teil der D-Grid Initiative und stellt an 7 Standorten innerhalb Baden-Württembergs über 11.000 Cores für Forschung und Wissenschaft zur Verfügung. Details zur Hardware am Standort Tübingen finden Sie auf der entsprechenden Seite.

 

Die Voraussetzungen zur Nutzung des gesamten Grids ist die Mitgliedschaft bei einer der Universitäten in Baden-Württemberg, ein gültiges DFN Grid Nutzerzertifikat und die Mitgliedschaft in der Virtuellen Organisation (VO) bwGRiD. Im Folgenden wird beschrieben, wie Sie ein solches Zertifikat erhalten und Mitglied in der VO bwGRiD werden können. Es wird nur der Browser Firefox unterstützt. Die Beschreibung ist nur für Angehörige der Universität Tübingen geeignet. Bitte gehen Sie sequentiell vor. Die Abschnitte bauen aufeinander auf.

 

 

Abschnitt 0: Bild für Bild Anleitung der Abschnitte 1 bis 3

CertVO.pdf

Abschnitt I: DFN Grid Nutzerzertifikat erstellen

Das Zertifikat ist eine Art digitaler Ausweis, der Ihre Identität im Web und im Umgang mit anderen Webteilnehmern nachweist. Sie sollten daher sicherstellen, dass niemand in den Besitz des privaten Teils Ihres Zertifikats gelangt. Bitte verwenden Sie nur gute Passwörter, um Ihre Zertifikate zu schützen. Es ist ein Masterpasswort für den allgemeinen Schutz des Zertifikatspeichers im Firefox und je ein weiteres Passwort für jedes exportierte Zertifikat erforderlich.

  1. Bitte überprüfen Sie als erstes im Firefox-Menü unter "Bearbeiten / Einstellungen" im Tab "Sicherheit", dass "[v] Master-Passwort verwenden" aktiviert ist.
  2. Um ein Zertifikat zu erstellen, rufen Sie bitte (NUR Firefox) die Grid-Nutzerzertifikat Seite des DFN auf (klicken Sie hier) und akzeptieren das (nicht signierte) Sicherheitszertifikat der Seite: gegebenenfalls müssen Sie eine Sicherheitsausnahme durchführen, ein Zertifikat herunterladen und dann die "Sicherheits-Ausnahmeregel bestätigen".
  3. Wenn Sie auf der DFN Seite "Willkommen zur DFN-PKI" sind, wählen Sie bitte den Punkt "Nutzerzertifikat" aus. Nun sollten Sie hier sein (bitte klicken Sie auf das Bild, um es zu vergrößern): 
  4. ACHTUNG: Verwenden Sie bitte bei den folgenden Angaben keine Sonderzeichen: verwenden Sie z.B anstelle der deutschen Umlaute 'ae', 'oe', 'ue' und Anstelle von 'ß' nur 'ss'. Verwenden Sie bitte auch keine anderen Sonderzeichen wie "," oder "/". Tragen Sie bitte unter "Zertifikatsdaten" Ihre dienstliche E-Mail-Adresse (z.B. Max.Mustermann@uni-tuebingen.de), den vollständigen Namen (mit vollständigem Vor- und Zunamen, wie im Ausweis) und Ihre Abteilung ein. Lassen Sie bitte im Abschnitt "weitere Angaben" die Felder E-Mail und Abteilung leer, geben Sie jedoch Ihre Telefonnummer (z.B. +49-7071-29-XXXXX) und zweimal eine PIN ein (wird benötigt, falls man das Zertifikat sperren möchte). Abschließend muss man der Zertifizierungsrichtlinie und der Veröffentlichung des Zertifikats zustimmen und mit "weiter" das Formular abschicken.
  5. Auf der nächsten Seite bitte nochmals die Daten überprüfen. Ist alles in Ordnung können Sie mit "Bestätigen" die Daten abschicken. Sind die Daten nicht korrekt, können Sie mit "Ändern" die Daten weiter bearbeiten.
  6. Jetzt wird der Zertifikatantrag erstellt, den Sie dann mittels "Zertifikatantrag anzeigen" herunterladen/ansehen können. Drucken Sie bitte den Antrag aus (eventuell müssen Sie die Datei manuell als pdf-Datei speichern und dann mittels z.B. Acroread öffnen):
  7. In dem ausgedruckten Antrag tragen Sie dann bitte das Geschlecht, die Art und Nummer des noch mindestens sechs Monate gültigen Personalausweises (mit Art ist z.B. Personalausweis oder Reisepass gemeint) und die Adresse Ihrer Abteilung ein. Anschließend versehen Sie den Antrag noch mit Ort, Datum und Ihrer Unterschrift.
  8. Suchen Sie nun mit dem unterschriebenen Antrag und Ihrem noch mindestens sechs Monaten gültigen Personalausweis/Reisepass Ihre Registrierungsstelle (Grid-RA) auf. Bitte vereinbaren Sie hierzu einen Termin mit der Grid-RA

Abschnitt II: Zertifikat im Firefox importieren

Nachdem Ihre Identität von der Registrierungsstelle überprüft worden ist, wird Ihnen ein signiertes Zertifikat per E-Mail zugeschickt (bitte erst weiter lesen).

 

  • Um Probleme beim Umgang mit dem Zertifikat zu vermeiden, aktivieren Sie bitte im Firefox im Menü "Bearbeiten / Einstellungen" (Firefox unter Mac: Menü "Firefox / Einstellungen") im Tab "Erweitert", Unter-Tab "Verschlüsselung" den Punkt "(x) Jedes mal fragen" (d.h. der Punkt "( ) Automatisch eines wählen" sollte deaktiviert sein). Wenn sich in Ihrem Firefox-Zertifikatspeicher mehrere Zertifikate befinden, kann es sein, dass Firefox bei Verwendung der Automatik-Funktion das Falsche auswählt. Außerdem haben Sie mit eingeschalteter Automatik-Funktion weniger Kontrolle über die Verwendung Ihres Zertifikats. Sie können eventuell die Automatik-Funktion vor der VO-Registrierung (siehe weiter unten, Abschnitt III) wieder einschalten.
  • Es gibt jetzt zwei Möglichkeiten, das Zertifikat zu importieren:

    • Einfacher Weg: Um das signierte Zertifikat zu importieren, verwenden Sie bitte den zweiten Link der Zertifikat-E-Mail: Kopieren Sie dafür die Linkadresse nach "2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:" in die Adresszeile des Firefox und rufen die Seite dann auf. Auf der Seite klicken Sie bitte auf "Zertifikat importieren". Je nach Konfiguration Ihres Firefox erscheint dann eine Dialogbox, die nach der Verwendung des Zertifikats fragt. Wählen Sie dort bitte alle drei Optionen aus:

      "[x] Dieser CA vertrauen, um Webseiten zu identifizieren."
      "[x] Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren."
      "[x] Dieser CA vertrauen, um Software-Entwickler zu identifizieren."

      Falls Sie nicht "(x) Jedes mal fragen..." ausgewählt haben, wird Firefox diesen Dialog nicht anzeigen (die Dialogbox wird in manchen Firefox-Versionen grundsätzlich nicht angezeigt). In diesem Fall wird anstelle der eben beschriebenen Dialogbox die Meldung

      "Warnung: Ihr persönliches Zertifikat wurde installiert. Sie sollten eine Sicherungskopie dieses Zertifikats aufheben."

      angezeigt. Auch dies ist in Ordnung. Sie können jetzt mit der Erstellung eines Backups fortfahren...

    • ALTERNATIVE: Der erste Link in der E-Mail ("1. Für die CA-Zertifikate wählen Sie bitte die Seite") bietet Ihnen eine alternative Möglichkeit, Ihre Zertifikate zu verwalten bzw. zu importieren: Hierzu kopieren Sie bitten den ersten Link, fügen ihn im Firefox in die Adresszeile ein und rufen die Seite auf. Dann importieren Sie das Zertifikat über "CA-Information", "Laden des CA-Zertifikats" und "Wurzelzertifikat". Sie müssen hier unter Umständen mehrere Zertifikate importieren, mindestens jedoch das Wurzelzertifikat und Ihr eigenes Zertifikat.
  • Anschließend sollten Sie bitte ein Backup Ihres persönlichen Zertifikats (in der Regel privat+public Key zusammen) machen (die Backupdatei brauchen Sie im Abschnitt IV). Im Firefox machen Sie das Backup so: Wählen Sie das Menü "Bearbeiten" (unter Mac: "Firefox") und darin "Einstellungen" aus. Im Fenster Einstellungen wählen Sie bitte im Tab "Erweitert" den Sub-Tab "Verschlüsselung" aus. Jetzt klicken Sie auf "Zertifikate anzeigen" und wählen im Tab "Ihre Zertifikate" Ihr persönliches DFN-Zertifikat aus (dazu klicken Sie bitte Ihren eigenen Namen unter "DFN-Verein" an). Mit einem Klick auf "Sichern..." (Firefox 2: "Backup") werden Sie gefragt, wohin Sie das Zertifikat speichern wollen (ggf. werden Sie hier auch noch nach Ihrem Masterpasswort gefragt; diese Datei wird im Abschnitt IV benötigt). Speichern Sie das Zertifikat-Backup im PKCS12-Format unter Verwendung eines guten Passworts ab.

Das Backup sollten Sie an einem sicheren Ort aufbewahren; sie können es zum Beispiel auf CD brennen. SCHÜTZEN SIE IHRE SCHLÜSSEL!

Abschnitt III: Mitglied in der Virtuellen Organisation bwGRiD werden

  • Jetzt können Sie die Automatik-Funktion der Firefox-Zertifikatauswahl wieder aktivieren (siehe Abschnitt II Absatz (i), wobei Sie jetzt den Punkt "(x) Automatisch eines wählen" aktivieren). Ohne Automatik-Funktion müssten Sie beim weiteren Vorgehen bis zu 10 mal das Zertifikat manuell auswählen und bestätigen. Sollte es allerdings zu Problemen mit der Automatik-Funktion kommen (insbesondere dann, wenn Sie mehr als ein Zertifikat im Zertifikatspeicher haben), dann lassen Sie bitte die Automatik-Funktion deaktiviert.

  • Rufen Sie bitte im Firefox die D-Grid Seite auf. Wenn die D-Grid Webseite nicht funktionieren sollte, so klicken Sie bitte direkt hier. Dort klicken Sie in der Navigationsleiste auf der linken Seite nacheinander auf "D-Grid User Portal", "Zugang zu den Ressourcen" und "Mitgliedschaft in einer VO". Hier folgen Sie bitte dem Link "https://.../D-Grid-VO-Member" im Textbereich auf der rechten Seite. Der Link führt zu einer Liste der VOMRS Server des Forschungszentrums Jülich:
  • Akzeptieren Sie bitte als erstes das Zertifikat (siehe oben). Sie werden dann vom Firefox mehrfach (je nach Browser-Version, Browser-Einstellungen und Betriebssystem bis zu 10 mal) nach Ihrem persönlichen Zertifikat zur Authentifizierung gefragt. Bestätigen Sie jeweils mit OK. Sie sollten dann auf folgender Seite sein:
  • Auf der Seite klicken Sie bitte in der Zeile "bwgrid" auf den Pfeil in der Spalte "Member Registration".
  • Sie werden dann zum VO-Registrierungsbereich weitergeleitet. Hier akzeptieren Sie bitte wieder ein Zertifikat (siehe oben) und authentifizieren sich mit Ihrem Zertifikat.
  • Jetzt klicken Sie bitte auf "Registration (Phase I)". Sie erhalten dann das folgende Formular:

  • Dieses Formular füllen Sie bitte komplett aus (es müssen ALLE Felder ausgefüllt werden und zwar mit den gleichen Daten wie bei der Erstellung des DFN Zertifikats aus Abschnitt I).

    Als erstes tragen Sie bitte Ihre E-Mail-Adresse (1) ein. Bei "Select representative" (2) wählen Sie bitte "Werner Dilling" (nur für Mitglieder der Universität Tübingen) aus. Unter "Personal Information" geben Sie bitte zuerst Ihren vollständigen Vor-(3, wie im Ausweis) und Zunamen (4, wie im Ausweis) ein, gefolgt von der Telefonnummer (5, z.B. +49-731-50-XXXXX), der Nationalität (6, z.B. German), der Straße Ihrer Arbeitsstätte (7, z.B. Albert-Einstein-Allee 11), der Abteilungsabkürzung (8), der Postleitzahl (9), dem Ort der Arbeitsstätte (10, meist Tübingen) und dem Land (11, meist Germany) ein. Anschließend können Sie Ihren Antrag mit "Submit" (12) abschicken.

  • Jetzt warten Sie bitte auf eine E-Mail mit einem Bestätigungslink.

  • Nachdem Sie die E-Mail erhalten haben, kopieren Sie bitten den Link, fügen ihn im Firefox in der Adresszeile ein und rufen ihn auf. Auf der nun folgenden Seite können Sie Ihre VO-Gruppen-Mitgliedschaft beantragen: Bitte wählen Sie nur die Gruppen "/bwgrid" und "/bwgrid/unituebingen" aus. Alle andern Sub-VOs dürfen keinen Haken haben! Jetzt können Sie noch mittels des Links "the Grid and VO AUPs" die Nutzungsbedingungen lesen und dann die Registrierung mit der Zustimmung zu den Nutzungsbedingungen abschließen.

  • Sie werden nun noch zwei weitere E-Mails erhalten: In der ersten wird Ihre VO-Mitgliedschaft "/bwgrid" bestätigt und in der zweiten steht, dass Sie zur Sub-VO "/bwgrid/unituebingen" hinzugefügt worden sind.
  • Die VO-Registrierung zusammen mit den Bestätigungsmails kann einige Tage in Anspruch nehmen. Das unten verwendete "gsissh" Kommando kann nur funktionieren, wenn Ihre VO-Registrierung abgeschlossen und Ihre VO-Mitgliedschaft zwischen den Grid-Systemen verteilt worden ist.

Abschnitt IV: Import des Zertifikats für die Benutzung mit Globus auf hpc-bw

  1. Das eben erstellte Backup kopieren Sie jetzt bitte in Ihr home-Verzeichnis auf hpc-bw (wenn es sich nicht schon dort befindet). Sie benötigen hierfür einen Account. Wenn Sie keinen zdv-Unix-Account besitzen, können Sie diesen hier beantragen.
    Sollte das Zertifikat auf einem anderen Linux Rechner liegen, können Sie es folgendermaßen auf den Server kopieren: (Für username geben Sie bitte Ihren zdv Unix-Benutzernamen an; anstelle von DFN-user-certificate.pkcs12.p12 verwenden Sie bitte den Namen der Backup-Datei.)
    scp DFN-user-certificate.pkcs12.p12 username@hpc-bw.uni-tuebingen.de:~/
    Für das Kopieren wird Ihr zdv Unix-Passwort benötigt. 

  2. Jetzt konvertieren Sie das Zertifikat in das pem-Format und kopieren es in Ihr .globus-Verzeichnis (Befehle innerhalb eines Blocks bitte ohne Zeilenumbruch in einer Zeile absetzen):

    1. Loggen Sie sich auf hpc-bw ein, auf den Sie das Zertifikat kopiert haben. Wenn Sie Linux benutzen, können Sie sich z.B. mit

      ssh -l username hpc-bw.uni-tuebingen.de

      auf hpc-bw einloggen. Als Windows-Benutzer verwenden Sie ein entsprechendes ssh-Terminal Programm, z.B. putty.

    2. Konvertieren des privaten Keys ins PEM-Format (Befehle bitte im Terminal-Fenster eintippen):

      openssl pkcs12 -in DFN-user-certificate.pkcs12.p12 -out userkey.pem -nocerts

      Sie benötigen an dieser Stelle zwei Passwörter. Als erstes wird nach dem Passwort gefragt, welches Sie verwendet haben, um Ihr Backup zu schützen. Danach fragt der Befehl nach einem neuen Passwort, welches Sie verwenden wollen, um den privaten Schlüssel in der pem-Datei zu schützen.

    3. Konvertieren des öffentlichen Keys ins PEM-Format:

      openssl pkcs12 -in DFN-user-certificate.pkcs12.p12 -out usercert.pem -clcerts -nokeys

      Hier wird nur nach Ihrem Backup-Passwort gefragt.

      Das eben beschriebene Vorgehen setzt voraus, dass Sie in der Backup-Datei den privaten und den öffentlichen Key des Zertifikats zusammen gespeichert haben. Wenn Ihnen das nicht möglich war (z.B. die Backup-Datei enthält nur den privaten Key), dann können Sie für den öffentlichen Key (usercert.pem) auch direkt die PEM-Datei verwenden, die Sie in der Bestätigungsmail Ihrer DFN-Grid-Zertifikat-Erstellung erhalten haben.

    4. Verschieben der Keys in das Globus-Verzeichnis:

      mkdir -vp ~/.globus;
      mv -v userkey.pem usercert.pem ~/.globus/

    5. Absichern des Zertifikats gegen unerwünschte Zugriffe:

      chmod -c 700 ~/.globus;
      chmod -c 600 ~/.globus/user*

    6. Das Backup-Archiv benötigen Sie jetzt nicht mehr:

      rm -vf DFN-user-certificate.pkcs12.p12

    7.  Für Arbeiten von daheim aus: erstellen Sie jetzt den Ordner

  mkdir .globus/certificates

und fügen Sie die Zertifikate aus dem Ordner /opt/bwgrid/bwstue/globus/share/certificates ein. Dies müssen Sie nur tun, wenn Sie von daheim aus arbeiten wollen. Auf dem Cluster müssen Sie den Ordner certificates gar nicht erst anlegen und Sie sind schon nach Punkt f fertig. Sollten Sie auf dem Cluster arbeiten, und es nicht funktionieren, so prüfen Sie doch bitte nach, ob der Ordner certificates wirklich nicht existiert und löschen Sie diesen gegebenenfalls.

Abschnitt V: Testen des Zertifikats (nachdem die VO-Registrierung abgeschlossen ist)

  • Das Testen des Zertifikates ist nur sinnvoll, wenn Ihre VO-Registrierung abgeschlossen und Ihre VO-Mitgliedschaft auf den Grid-Systemen verteilt worden ist. Dies ist in der Regel geschehen, wenn Sie nach dem Erhalt der Bestätigungsmail der VO-Registrierung noch mindestens einen Tag warten.

  • Bevor Sie mit Globus und somit auch mit dem bwGRiD arbeiten können, müssen Sie die Globus-Befehle aktivieren:

    module load globus

    Der module-Befehl ist hier genauer beschrieben.

  • Nun können Sie sich ein temporäres Zertifikat für die Kommunikation erstellen. Das sogenannte Proxy-Zertifikat ist für 12 Stunden gütig und kann nur auf dem Rechner genutzt werden, auf dem Sie den folgenden Befehl auch aufgerufen haben:

    grid-proxy-init -debug -verify

  • Die Daten des Proxy Zertifikats inklusive der Restlaufzeit können Sie anzeigen mit:

    grid-proxy-info

  • Um das Zertifikat zu testen, können Sie sich mit gsissh auf dem Globus-Server gt4 des Grid-Standorts Tübingen einloggen. Das gsissh-Kommando sollte Ihnen ohne Angabe eines Passworts (nur mit Hilfe Ihres DFN-Zertifikats) den Login auf dem Globus-Server ermöglichen.

    gsissh -p 2222 gt4.uni-tuebingen.de

    Sollte der Server in Tübingen nicht erreichbar sein (z.B. Wartungstag), dann lautet der entsprechende Befehl für den Globus-Server des Standorts Stuttgart:

    gsissh -p 2222 gridway.dgrid.hlrs.de

    • Um das Globus-System zu testen können Sie einen einfachen Job starten (für das folgende Kommando sollten Sie auf einem der Globus-Server eingeloggt sein):

      globusrun-ws -submit -s -Ft PBS -c /bin/hostname

      Man muss nicht unbedingt die Globus-Befehle zum Submittieren von Jobs verwenden. Man kann auch direkt PBS-Job-Skripte erstellen und mittels qsub submittieren. Details zum Arbeiten mit dem Queueing-System an den einzelnen bwGRiD Standorten werden beim Einloggen auf den einzelnen Standorten automatisch angezeigt bzw. können dort über die jeweilige webpage abgerufen werden.

    • Dateien können Sie wie folgt zum Globus Server in Tübingen kopieren:

      gsiscp -P 2222 my-local-file gt4.uni-tuebingen.de:

      Um eine Datei vom Globus Server auf die lokale Festplatte zu kopieren, verwenden Sie entsprechend:

      gsiscp -P 2222 gt4.uni-tuebingen.de:my-remote-file ./

      Bitte bachten Sie, dass hier im Gegensatz zum gsissh Kommando ein großes -P in der Port-Angabe verwendet wird.

      Beachten Sie bitte auch, dass Sie als lokaler Benutzer beim einloggen auf dem GT4-Server direkt auf ihr home-Verzeichniss von hpc-bw eingelogt werden, da hpc-bw und der GT4-Server auf das selbe Filesystem zugreifen.

    Betriebszustand

    grüne Ampel

    Schnellzugriff

    Webmailer

    EPV

    Aktuelle Kurse

    Passwortänderung

    Netzkarte

    E-Services

    Remote-Betreuung

    FAQ