Una guida all’utilizzo delle risorse del Tier 1 è disponibile qui (inglese).

Per qualsiasi suggerimento/domanda, scrivere un’email a user-support<AT>lists.cnaf.infn.it

 

Frequently Asked Questions

Richiedere un account presso il CNAF

  • Leggere la Acceptable Use Policy del CNAF-INFN e le norme per il trattamento dei dati personali nell’INFN.
  • Scaricare, compilare e firmare la Access Authorization Form. Se non si conosce la propria persona di riferimento al CNAF, chiedere a user-support@lists.cnaf.infn.it
  • Inviare il form di autorizzazione via email a sysop@cnaf.infn.it e a user-support@lists.cnaf.infn.it
  • Per utenti non associati all’ INFN, inviare anche una copia della propria Carta d’Identità o Passaporto
  • Dopo il controllo dei documenti, l’account sarà creato e si riceverà una conferma via email.

In caso di problemi, scrivere a sysop@cnaf.infn.it oppure a user-support@lists.cnaf.infn.it

Installazione e utilizzo di un certificato personale

Il certificato personale viene rilasciato dalla Certification Authority nazionale INFN CA. Per ottenerlo bisogna essere prima riconosciuti da una Registration Authority locale che inoltra la richiesta alla CA.

 

Per utilizzare le risorse di calcolo e di storage del Tier1 via Grid, l’utente deve avere un certificato personale, non necessario nel caso di utilizzo locale delle risorse. Un certificato personale può essere richiesto alle seguenti Certification Authorities (CA):

  • INFN CA
    • Per ottenere il certificato bisogna essere prima riconosciuti da una Registration Authority locale che inoltra la richiesta alla CA. Presentarsi presso una Registration Authority, con la propria Carta di Identità ed il proprio codice fiscale
    • Una volta che il certificato è stato rilasciato, seguire la procedura descritta qui
  • TERENA CA
    • Sulla pagina web selezionare il proprio Identity Provider per autenticarsi. Per gli utenti appartenenti o associati all’INFN, digitando “INFN” dovrebbe comparire la voce “INFN – National Institute for Nuclear Physics” da selezionare. Tutti gli altri utenti dovranno selezionare l’Identity Provider a cui il proprio ente fa riferimento.
    • Gli utenti INFN, cliccando su “Start single sign-on” verranno rediretti alla pagina web dell’INFN Identity check dove vanno inserite le proprie credenziali INFN AAI.
    • Per ottenere un certificato TERENA pk12, è necessario selezionare Grid Premium nel menù a tendina “Product”.
    • Cliccando su “Request Certificate” il certificato viene salvato nel browser, dal quale è possibile scaricarlo in formato .p12. E’ anche possibile scaricare il certificato in formato .zip. Ad esempio in Firefox, andare su Preferences -> Privacy & Security -> Certificates -> View Certificates, e cliccare due volte sul proprio certificato e poi cliccare su Details -> Export.

Una volta ottenuto il certificato pk12 (da qui in poi cert.p12), è necessario dividerlo in una chiave pubblica e una privata, che vanno salvate in una directory .globus dentro la proprio home directory nella User Interface (UI). I comandi sono:

cd $HOME 
mkdir .globus 
cd .globus 
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem 
openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem 
chmod 600 usercert.pem 
chmod 400 userkey.pem

 

I file avranno i seguenti permessi:

-rw------- 1 tentids darkside 1793 Jan 14 14:23 usercert.pem
-r-------- 1 tentids darkside 2002 Jan 14 14:23 userkey.pem

 

Per trasferire dati o sottomettere job usando una Virtual Organization (VO), è necessario generare un proxy contenente le estensioni VOMS usando il comando:

voms-proxy-init --voms <vo name>

 

E’ possibile verificare la presenza o meno delle estensioni VOMS con il comando:

voms-proxy-info --all

 

L’output dovrebbe essere simile al seguente:

subject : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Matteo Tenti/CN=proxy
issuer : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Matteo Tenti
identity : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Matteo Tenti
type : full legacy globus proxy
strength : 1024
path : /tmp/x509up_u44006 
timeleft : 11:59:56
key usage : Digital Signature, Key Encipherment, Data Encipherment 
=== VO virgo extension information ===
VO : virgo
subject : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Matteo Tenti
issuer : /C=IT/O=INFN/OU=Host/L=CNAF/CN=voms.cnaf.infn.it
attribute : /virgo/Role=NULL/Capability=NULL 
timeleft : 11:59:56 
uri : voms.cnaf.infn.it:15009

 

Se la parte in grassetto non è presente, oppure il tempo indicato come “timeleft” è zero, il proxy non ha le estnsioni VOMS e deve essere rigenerato.

Come controllare ed estendere la durata del proxy?

ll meccanismo di proxy renewal si basa su una proxy delegation: bisogna creare un long-term proxy che viene conservato in un server dedicato, che si chiama MyProxy server (myproxy.cnaf.infn.it al CNAF) e che viene utilizzato per creare un nuovo proxy prima che il vecchio scada.

Questo meccanismo è necessario perché, anche se il proxy può essere creato con validità di qualsiasi periodo, le estensioni VO del proxy hanno una durata massima stabilita dalla VO.

Caso di sottomissione del job al WMS (glite-wms-job-submit)

  • Creare normalmente un proxy, ad esempio per la VO Xenon
    • voms-proxy-init –voms xenon.biggrid.nl
  • Creare un long-term proxy sul MyProxy server
    • myproxy-init –voms xenon.biggrid.nl -s <myproxy_server> -d -n
    • Con questo comando, la durata viene allungata di 168 ore (7 giorni), default.
    • Utilizzando la flag -c, è possibile specificare una durata diversa.
    • Esempio, per 10 giorni (240 ore):
    • myproxy-init –voms xenon.biggrid.nl -s <myproxy_server> -d -n -c 240
  • Occorre specificare nel jdl del job la stringa che contiene l’hostname del MyProxy server.
    • MyProxyServer = < string >
    • Esempio:
    • MyProxyServer = “myproxy.cnaf.infn.it”
  • Altri comandi utili:
    • myproxy-info -s <myproxy_server> -dv
    • myproxy-destroy -s <myproxy_server> -d

Caso di sottomissione del job direttamente al CE (glite-ce-job-submit)

  • Creare normalmente un proxy
    • voms-proxy-init –voms xenon.biggrid.nl
  • Delegare il proxy
    • glite-ce-delegate-proxy -e cream-01.cnaf.infn.it test
    • In questo caso, “test” è la stringa che specifica il nome del proxy delegato (da usare allo step successivo, nella sottomissione del job).
    • Occorre specificare l’endpoint del CE.
  • Sottomettere il job con la referenza alle credenziali proxy delegate (flag -D)
    • glite-ce-job-submit -v -D test -r cream-01.cnaf.infn.it:8443/cream-pbs-cert job.jdl
  • Per rinnovare la delegazione, valida per tutti i job sottomessi con queste credenziali
    • glite-ce-proxy-renew -e cream-01.cnaf.infn.it test
    • (maggiori informazioni)
    • Questo comando richiede una password che va messa a mano.

Importante: ogni job ha associato il proxy che c’era sulla UI al momento della sottomissione del job.

 

Come sottomettere un job in locale?

Nella farm del CNAF è usato LSF9 (IBM Platform LSF Standard 9.1.3.0, Feb 1 2015) come batch system (manuale, referenze utili).

In sintesi, i comandi più utilizzati sono:

  • bsub per sottomettere jobs
    • opzione -o per ridirezionare lo stdout in un file
    • opzione -e per ridirezionare lo stderr in un file
    • opzione -f per trasferire file da locale al nodo prima dell’inizio del job (“flocate > fnodo”) e da nodo a locale dopo la fine del job (“flocate < fnodo”)
    • opzione -q per specificare il nome della coda su cui inviare il job
  • bqueues per controllare lo stato della coda (jobs running, in coda, etc)
  • bjobs per controllare lo stato dei jobs o di un singolo job

GFAL2 utilities per data management

Una descrizione di comandi utili per data management è disponibile qui.

Come utilizzare il cluster HPC (solo utenti INFN)

Come collegarsi al Comitato di Gestione (CDG)

I meeting CDG si tengono abitualmente una volta al mese e sono annunciati via mail. Se si desidera essere informati sui meeting CDG, è necessario inviare una email a user-support@lists.cnaf.infn.it

Le minute e le slide del CDG sono disponibili in agenda.

Al CNAF, la sala dei meeting è “Valerio Venturi”.

Partecipare da remoto è possibile, seguendo le istruzioni inviate via mail.

Report mensili del CdG

I report mensili presentati al CDG del Tier1 sono disponibili sull’agenda.

Come accedere alla VPN del CNAF

Per utilizzare la VPN del CNAF si accede, da un browser, all’URL: https://gate3.cnaf.infn.it e si segue l’installazione guidata del client Cisco AnyConnect.

  • Se si ha un certificato “del CNAF” si accede con questo;
  • se non si ha il certificato del CNAF, si accede con username e password. Se non si ha un account, questo va richiesto via mail a net @ cnaf.infn.it.

Quando si aggiorna il proprio certificato personale, nel campo di testo del client Cisco AnyConnect inserire l’indirizzo gate3.cnaf.infn.it. Viene richiesto di scegliere il certificato che il client utilizzerà per i prossimi accessi.

Come configurare EDUROAM/INFN-dot1x

Le istruzioni per configurare la rete eduroam e la rete INFN-dot1x sono equivalenti. A seconda della rete alla quale ci si vuole collegare, selezionare una delle due.

L’utente deve inserire in fase di configurazione, indipendentemente dal sistema operativo utilizzato, il proprio username e la propria password, specifici per accedere al servizio WiFi eduroam o INFN-dot1x. Le credenziali sono gestite localmente da ogni sezione in modo autonomo, pertanto vanno richieste al proprio Servizio Calcolo di appartenenza. Lo username da configurare deve sempre contenere il nome del dominio DNS della sezione, nella forma utente@sezione.infn.it.

N.B.: esiste un nuovo servizio per la configurazione delle due reti, disponibile all’URL https://cat.eduroam.org/ per l’installazione su molteplici piattaforme.

Istruzioni per Windows XP

Istruzioni per Windows 7

Istruzioni per Windows 8

Istruzioni per MacOS X 10.5.x (Leopard)

Istruzioni per MacOS X 10.6.x e 10.7.x (Lion)

Istruzioni per Linux

 

Come prenotare/partecipare a un’audio conferenza o a una videoconferenza

Tutte le informazioni sono disponibili a questa pagina.