MyProxy

Das Problem: GLOBUS bietet zwar ein single-sign-on; auf dem Computer, auf dem dieses sign-on durchgeführt wird, muss aber der private Schlüssel des Benutzers vorhanden sein. Verwendet man mehrere (verschiedene) sign-on Rechner (etwa einen zuhause und vielleicht zwei verschiedene in der Arbeit), so muss auf jedem dieser Schlüssel vorhanden sein. Dies ist ein Sicherheits- und ein Managementproblem.

Die Lösung: MyProxy ist ein Online-Zertifikats-Repository, das es erlaubt, X.509 Proxy-Zertifikate, geschützt durch ein temporäres Passwort, zentral zu speichern, um später über das Netzwerk von diesem zentralen Repository einen Proxy zu beziehen.

MyProxy ist die einzige Credential-Repository-Software, die GSI verwendet und PKI-Credentials verwaltet. Die Benutzung von MyProxy erspart nicht nur die Verwaltung mehrerer Schlüsselkopien auf verschiedenen Rechnern, sondern auch das Kopieren von privaten Schlüsseln über ein ungeschützes Netzwerk, was eine Sicherheitslücke darstellen würde. MyProxy wird außerdem auch für die Nutzung von Grid-Portalen verwendet.
Durch MyProxy wird die Mobilität von Grid-Benutzern erhöht, so dass die Benutzung von Grid-Funktionen von jedem Grid-Server aus möglich wird. Da diese Proxy-Zertifikate auch für die Authentifizierung bei der Verwendung von Datenbanken und anderer Software verwendet werden können, ist deren Verfügbarkeit sehr wichtig.

Die Voraussetzung für die Verwendung von MyProxy ist die Client-Installation von MyProxy (Bei Fragen bezüglich einer solchen Installation wenden Sie sich bitte an das LRZ Grid Team). In einer Standard GLOBUS GT4-Installation ist diese Komponente bereits enthalten.

Ein MyProxy-Server ist am LRZ auf dem Server myproxy.lrz.de installiert und konfiguriert. Die wichtigsten Befehle werden im Folgenden beschrieben. Weiterführende Informationen erhalten Sie auf der WWW-Seite http://grid.ncsa.uiuc.edu/myproxy oder von Ihrem LRZ GridTeam.

Vorgehensweise für die Benutzung von LRZ-Myproxy:

Proxy auf dem MyProxy-Server erzeugen (defaultmäßig für 7 Tage) und neue, temporäre Passphrase für Proxy erstellen.

myproxy-init -s myproxy.lrz.de

Nun kann auf einem beliebigen client, auf dem Sie bisher z.B. grid-proxy-init gemacht haben, mit

myproxy-logon -smyproxy.lrz.de

Mit dem folgenden Befehl kann man einen bereits erzeugten Proxy auf dem MyProxy-Server löschen, falls das Verfallsdatum noch nicht erreicht ist:

myproxy-destroy -s myproxy.lrz.de

Von den folgenden zwei Befehlen ist abzuraten, da sie die den privaten Schlüssel über das Netzwerk übertragen. An deren Stelle sollten myproxy-init und myproxy-logon verwendet werden.

myproxy-store und myproxy-retrieve

Noch ein Hinweis zur Installation von MyProxy:
Wenn nur der MyProxy-Teil einer Globus-Distribution auf dem Client installiert werden soll, muss man statt "make" nach "configure" folgendes machen:
make gsi-myproxy