CNAF Tier1 user guide

Una guida all’utilizzo delle risorse del Tier 1 è disponibile qui (inglese).

Per qualsiasi suggerimento/domanda, scrivere un’email a user-support<AT>lists.cnaf.infn.it

 

Frequently Asked Questions

Richiedere un account presso il CNAF

In caso di problemi, scrivere a sysop@cnaf.infn.it oppure a user-support@lists.cnaf.infn.it

Installazione e utilizzo di un certificato personale

Per utilizzare le risorse di calcolo e di storage del Tier1 via Grid, l’utente deve avere un certificato personale, non necessario nel caso di utilizzo locale delle risorse. Un certificato personale può essere richiesto seguendo queste istruzioni.

Una volta ottenuto il certificato pk12 (da qui in poi cert.p12), è necessario dividerlo in una chiave pubblica e una privata, che vanno salvate in una directory .globus dentro la proprio home directory nella User Interface (UI). I comandi sono:

cd $HOME 
mkdir .globus 
cd .globus 
openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem 
openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem 
chmod 600 usercert.pem 
chmod 400 userkey.pem

I file avranno i seguenti permessi:

-rw------- 1 username virgo 2240 May 28 2019 usercert.pem
-r-------- 1 username virgo 2004 May 28 2019 userkey.pem

Per trasferire dati o sottomettere job usando una Virtual Organization (VO), è necessario generare un proxy contenente le estensioni VOMS usando il comando:

voms-proxy-init --voms <vo name>

E’ possibile verificare la presenza o meno delle estensioni VOMS con il comando:

voms-proxy-info --all

L’output dovrebbe essere simile al seguente:

subject : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Your name/CN=559862463
issuer : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Your name
identity : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Your name
type : RFC3820 compliant impersonation proxy
strength : 1024
path : /tmp/x509up_u21073
timeleft : 11:59:54
key usage : Digital Signature, Key Encipherment, Data Encipherment
=== VO virgo extension information ===
VO : virgo
subject : /C=IT/O=INFN/OU=Personal Certificate/L=CNAF/CN=Your name
issuer : /DC=org/DC=terena/DC=tcs/C=IT/ST=Lazio/L=Frascati/O=Istituto Nazionale di Fisica Nucleare/CN=voms-01.pd.infn.it
attribute : /virgo/virgo/Role=NULL/Capability=NULL
attribute : /virgo/Role=NULL/Capability=NULL
timeleft : 11:59:54
uri : voms-01.pd.infn.it:15009

Se la parte in grassetto non è presente, oppure il tempo indicato come “timeleft” è zero, il proxy non ha le estensioni VOMS e deve essere rigenerato.

Come controllare ed estendere la durata del proxy?

ll meccanismo di proxy renewal si basa su una proxy delegation: bisogna creare un long-term proxy che viene conservato in un server dedicato, che si chiama MyProxy server (myproxy.cnaf.infn.it al CNAF) e che viene utilizzato per creare un nuovo proxy prima che il vecchio scada.

Questo meccanismo è necessario perché, anche se il proxy può essere creato con validità di qualsiasi periodo, le estensioni VO del proxy hanno una durata massima stabilita dalla VO.

Caso di sottomissione del job al WMS (glite-wms-job-submit)

  • Creare normalmente un proxy, ad esempio per la VO Xenon
    • voms-proxy-init –voms xenon.biggrid.nl
  • Creare un long-term proxy sul MyProxy server
    • myproxy-init –voms xenon.biggrid.nl -s <myproxy_server> -d -n
    • Con questo comando, la durata viene allungata di 168 ore (7 giorni), default.
    • Utilizzando la flag -c, è possibile specificare una durata diversa.
    • Esempio, per 10 giorni (240 ore):
    • myproxy-init –voms xenon.biggrid.nl -s <myproxy_server> -d -n -c 240
  • Occorre specificare nel jdl del job la stringa che contiene l’hostname del MyProxy server.
    • MyProxyServer = < string >
    • Esempio:
    • MyProxyServer = “myproxy.cnaf.infn.it”
  • Altri comandi utili:
    • myproxy-info -s <myproxy_server> -dv
    • myproxy-destroy -s <myproxy_server> -d

Caso di sottomissione del job direttamente al CE (glite-ce-job-submit)

  • Creare normalmente un proxy
    • voms-proxy-init –voms xenon.biggrid.nl
  • Delegare il proxy
    • glite-ce-delegate-proxy -e cream-01.cnaf.infn.it test
    • In questo caso, “test” è la stringa che specifica il nome del proxy delegato (da usare allo step successivo, nella sottomissione del job).
    • Occorre specificare l’endpoint del CE.
  • Sottomettere il job con la referenza alle credenziali proxy delegate (flag -D)
    • glite-ce-job-submit -v -D test -r cream-01.cnaf.infn.it:8443/cream-pbs-cert job.jdl
  • Per rinnovare la delegazione, valida per tutti i job sottomessi con queste credenziali
    • glite-ce-proxy-renew -e cream-01.cnaf.infn.it test
    • (maggiori informazioni)
    • Questo comando richiede una password che va messa a mano.

Importante: ogni job ha associato il proxy che c’era sulla UI al momento della sottomissione del job.

 

GFAL2 utilities per data management

Una descrizione di comandi utili per data management è disponibile qui.

Come utilizzare il cluster HPC (solo utenti INFN)

Come collegarsi al Comitato di Gestione (CDG)

I meeting CDG si tengono abitualmente una volta al mese e sono annunciati via mail. Se si desidera essere informati sui meeting CDG, è necessario inviare una email a user-support@lists.cnaf.infn.it

Le minute e le slide del CDG sono disponibili in agenda.

Al CNAF, la sala dei meeting è “Valerio Venturi”.

Partecipare da remoto è possibile, seguendo le istruzioni inviate via mail.

Report mensili del CdG

I report mensili presentati al CDG del Tier1 sono disponibili sull’agenda.

Come accedere alla VPN del CNAF

Per utilizzare la VPN del CNAF si accede, da un browser, all’URL: https://gate3.cnaf.infn.it e si segue l’installazione guidata del client Cisco AnyConnect.

  • Se si ha un certificato “del CNAF” si accede con questo.

    ATTENZIONE: nella pagina di login di https://gate3.cnaf.infn.it cliccare direttamente su ‘Login’ lasciando vuoto il campo password; questa operazione rimanda al download dell’applicazione Cisco AnyConnect.

  • se non si ha il certificato del CNAF, si accede con username e password. Se non si ha un account, questo va richiesto via mail a net @ cnaf.infn.it.

Quando si aggiorna il proprio certificato personale, nel campo di testo del client Cisco AnyConnect inserire l’indirizzo gate3.cnaf.infn.it. Viene richiesto di scegliere il certificato che il client utilizzerà per i prossimi accessi.

Come configurare EDUROAM/INFN-dot1x

Le istruzioni per configurare la rete eduroam e la rete INFN-dot1x sono equivalenti. A seconda della rete alla quale ci si vuole collegare, selezionare una delle due.

L’utente deve inserire in fase di configurazione, indipendentemente dal sistema operativo utilizzato, il proprio username e la propria password, specifici per accedere al servizio WiFi eduroam o INFN-dot1x. Le credenziali sono gestite localmente da ogni sezione in modo autonomo, pertanto vanno richieste al proprio Servizio Calcolo di appartenenza. Lo username da configurare deve sempre contenere il nome del dominio DNS della sezione, nella forma utente@sezione.infn.it.

N.B.: esiste un nuovo servizio per la configurazione delle due reti, disponibile all’URL https://cat.eduroam.org/ per l’installazione su molteplici piattaforme.

Istruzioni per Windows XP

Istruzioni per Windows 7

Istruzioni per Windows 8

Istruzioni per MacOS X 10.5.x (Leopard)

Istruzioni per MacOS X 10.6.x e 10.7.x (Lion)

Istruzioni per Linux

 

Come prenotare/partecipare a un’audio conferenza o a una videoconferenza

Tutte le informazioni sono disponibili a questa pagina.