Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay Gif-sur-Yvette Cedex

Lyon 31/05/01 2 Plan Tests avec Globus Cluster OCRE OpenPBS, Condor, RFIO Évaluations diverses JAVA et certificats X.509

Lyon 31/05/01 3 Tests Globus Nouveaux certificats CNRS –DN inversé par rapport aux certificats CNRS-Test: il faut ajouter ce DN dans le grid-mapfile pour la migration de chaque utilisateur de CNRS-Test vers Datagrid-fr Listes de révocation –Si la CRL dune CA est installée sur un gatekeeper ou sur un client Globus, celle-ci doit impérativement être en cours de validité, sinon Globus refuse la confiance à tous les certificats de cette CA. Donc, il faut soit: –Ne pas installer de CRL (fortement déconseillé) –Installer les CRLs et les maintenir à jour aussi bien pour les gatekeepers que pour les postes clients Test de loption TCP_PORT_RANGE –Permet de fixer pour un émetteur (gatekeeper ou client) une gamme de ports Destination; (pas de contrôle des ports Sources)

Lyon 31/05/01 4 Cluster OCRE Cluster OCRE: –32 PCs bi-processeurs 735 MHz, 1Go RAM, Linux RedHat 6.2 –Sur chaque PC: Ethernet 100 Mbit/s + Myrinet 2.5 Gbit/s –Système de batch: PBS –CEA Direction des Applications Militaires –Usage interne CEA Globus passerelle PBS installés et testés en local Ouverture ports réseau Globus Saclay OCRE en cours Application envisagée par DataGRID Saclay: ALICE

Lyon 31/05/01 5 OpenPBS, Condor, RFIO Gatekeeper seipca107: –3 jobmanager installés: Fork Condor et Open PBS Interface Globus vers Open PBS et Condor –Problème: les options non reconnues par RSL ne sont pas transmises au système de batch –Solution: modifier le script de traduction fichier RSL -> batch. Cela permet la transmission transparente des options Condor + RFIO: –RFIO utilise des binaires tpread et tpwrite identiques. Le test de argv[0] dans le code determine laction. –Problème: si Condor migre ces programmes, il les renomme. RFIO narrive plus à déterminer laction à faire. –Solution: RFIO sur un disque partagé par le pool Condor; soumettre à Condor un shell contenant les appels à RFIO.

Lyon 31/05/01 6 Évaluations diverses Outils de sécurité: –Utilisation de NESSUS : Scanne par réseau et émet un rapport de sécurité –Installation de Tripwire: permet de lister les répertoires et fichiers modifiés (utile en cas dintrusion) Veille technologique: Middleware GRID en JAVA –Évaluation de JAVELIN ( ) –100% JAVA, pour application en JAVA –Démo satisfaisante (4 machines) –Avenir de ce produit?

Lyon 31/05/01 7 JAVA et Certificats X.509 Beaucoup de bibliothèques existent dans le JDK ou sont disponibles (e.g. IAIK: commercial) –A partir du JDK 1.3: certificats X.509v3 et CRLs –Lecture des certificats: OK pour toutes les CA du DataGRID sauf CNRS-Test et INFN à cause dun bug dans le JDK Différents paradigmes pour la gestion des certificats: –JAVA utilise des « keystore », format propriétaire. Support limité de pkcs12 (lecture seule) avec le JAVA Secure Socket Extension (gratuit) –Globus/OpenSSL: répertoire de fichiers.pem dont le nom est une partie du hachage MD5 du sujet du certificat Avec les classes et outils du JDK 1.3: –Pas de CRLs dans les keystores, donc pas de vérification des CRLs –Pas dexportation de clé privée depuis un keystore

Lyon 31/05/01 8 JAVA et Certificats X.509 (cont) Développements: –Classe X509Test: lit et imprime un certificat (encodé en Base64 ou DER) –Classe pkcs12tojks: convertit un certificat/clé privée du format pkcs12 vers le format Java KeyStore (2 bugs dans le JSSE rapportés à SUN et confirmés…) –Classe X509CertificateChecker: vérifie une chaîne de certificats « à la Globus/OpenSSL » (i.e. certificats de confiance et CRLs sous forme de fichiers placés dans un répertoire) –Classe MyX509TrustManager (en cours): utilisable pour une démo de serveur de fichier au dessus de SSL + identification réciproque client et serveur par certificat X.509 avec certificats racine et CRLs « à la Globus/OpenSSL »