Unity IDM

Usługa Unity IDM umożliwia zarządzanie użytkownikami m.in. oprogramowania UNICORE oraz integrację różnych źródeł uwierzytelniania w infrastrukturze PL-Grid (np. LDAP). Pozwala użytkownikom na dostęp do zasobów za pomocą nazwy oraz hasła użytkownika PL-Grid bez potrzeby dostarczania aplikacjom klienckim własnego klucza i certyfikatu (otrzymywanego w portalu PL-Grid w postaci pliku PKCS12).

Wykorzystanie Unity w kliencie UNICORE (UCC)

Jak wcześniej zostało wspomniane, usługę Unity IDM można wykorzystać podczas codziennej pracy z klientami UNICORE. Umożliwia ona korzystanie z tej samej nazwy użytkownika oraz hasła, które zostały określone podczas rejestracji w portalu PL-Grid. W przypadku klienta tekstowego UNICORE Commandline Client (UCC) należy skorzystać z wersji 7.x i odpowiednio przygotować plik z ustawieniami. Najłatwiej to sprawdzić logując się na dowolną z maszyn dostępowych PL-Gridu i sprawdzając możliwość połączenia, np. z ośrodkiem ICM.

W tym celu, po zalogowaniu należy utworzyć plik o przykładowej nazwie unity.preferences z ustawieniami przedstawionymi poniżej.

# enabling unity authentication:
#
authenticationMethod=unity
unity.address=https://unity.grid.icm.edu.pl/plgrid/saml2unicoreidp-soap/AuthenticationService

# truststore containing trusted CA certs:
#
truststore.type=directory
truststore.directoryLocations.1=/etc/grid-security/certificates/*.pem
truststore.directoryLocations.2=/etc/unicore/ucc/certificates/ca_*.pem
truststore.crlLocations.1=/etc/grid-security/certificates/*.r0
truststore.ocspMode=IGNORE

# do not check the SSL cert contains correct hostname:
#
client.serverHostnameChecking=NONE

# address(es) of the registries to contact (space separated list):
#
registry=https://hyx.grid.icm.edu.pl:8080/ICM-HYDRA/services/Registry?res=default_registry

# default directory for output:
#
output=.

Należy zwrócić uwagę na wiersze 3-4, w których określona została metoda uwierzytelniania z wykorzystaniem Unity oraz adres wykorzystywany w ramach infrastruktury PL-Grid. Dodatkowo, w wierszu 20 wskazano bezpośredni adres ośrodka ICM.

Po zapisaniu powyższego pliku, korzystać można z wersji klienta UCC zainstalowanego na maszynach dostępowych. Utworzony plik z ustawieniami przekazywany jest jako argument parametru podczas wykonania połączenia z lokalnym serwerem UNICORE. Poniższy zrzut ekranu prezentuje przykładowe uruchomienie, podczas którego można zaobserwować, że użytkownik został zapytany o nazwę użytkownika i hasło. Oczywiście została podana ta sama nazwa użytkownika oraz hasło, które jest wykorzystywane w portalu PL-Grid, a także podczas logowania do maszyn dostępowych PL-Grid.

$ ucc connect -c unity.preferences -v

[ucc connect] UCC 1.7.4, http://www.unicore.eu
[ucc connect] Properties file: <docs.preferences>
[ucc connect] Reading properties file <docs.preferences>
[ucc connect] Current directory is </icm/hydra/home/grid/plgkluszczynski>
[ucc connect] Output goes to <.>
[ucc connect] Registry = https://hyx.grid.icm.edu.pl:8080/ICM-HYDRA/services/Registry?res=default_registry
Please enter your username:
plgkluszczynski
Please enter your login (Unity password) password:
**********
[ucc connect] Checking registry connection.
[ucc connect] Registry connection status: OK
[ucc connect] Current directory is </icm/hydra/home/grid/plgkluszczynski>
[ucc connect] Output goes to <.>
[ucc connect] Using site default for TSS lifetime.
[ucc connect] Connecting to https://hyx.grid.icm.edu.pl:8080/ICM-HYDRA/services/TargetSystemFactoryService?res=default_target_system_factory
You can access 1 target system(s).

W przypadku korzystania z klienta na innych maszynach, należy pamiętać o odpowiednim skonfigurowaniu zaufanych CA.

Zaawansowane ustawienia usług UNICORE

Tak jak zostało opisane na stronie Logowanie przez Unity, preferencje wybrane podczas logowania do portalu UNICORE można edytować w panelu użytkownika dostępnym pod poniższym adresem:

Po przejściu na wskazaną stronę, pojawi się strona logowania do panelu użytkownika (o ile użytkownik nie był wcześniej zalogowany). W tym celu należy wykorzystać nazwę i hasło użytkownika PL-Grid.

Po poprawnym zalogowaniu użytkownik zobaczy stronę ze szczegółami swojego konta, którego przykład prezentuje poniższy obrazek.

Można tutaj sprawdzić takie informacje jak:

• status swojego konta,
• zarejestrowane certyfikaty użytkownika (X500Name) które mogą być wykorzystywane przez usługi docelowe,
• wewnętrzne grupy Unity, które odzwierciedlają m.in. aktywne usługi globalne i dziedzinowe.

Podczas korzystania z usług wykorzystujących Unity IDM, większość standardowych ustawień powinna być w zupełności wystarczająca. Zaawansowani użytkownicy mogą jednak zapoznać się ze szczegółowymi ustawieniami w sekcji Preferences. Widoczne są tam dwie zakładki: SAML Authentication oraz UNICORE. Pierwszą zakładkę można pominąć, w infrastrukturze PL-Grid jej ustawienia nie są obecnie wykorzystywane. Druga zakładka oferuje ustawienia specyficzne dla UNICORE. Zakładkę tę prezentuje poniższy obrazek.

Wpisy w tabeli preferencji pojawią się automatycznie po zachowaniu ustawień logowania do portalu. Wybierając opcje edycji (lub dodania nowych ustawień) można skonfigurować następujące preferencje dla poszczególnych dostawców usług (np. portalu UNICORE):

• Czy chcemy potwierdzać za każdym razem logowanie do usługi.
• Tożsamość (jeśli jest ich kilka), z jaką użytkownik będzie przedstawiony określonemu dostawcy usługi (należy ograniczyć się do tożsamości typu x500 gdyż są one używane przez infrastrukturę UNICORE).
• Ukryte atrybuty nieprzekazywane określonemu dostawcy usługi (przy czym zalecamy nie używanie tej funkcji: Unity przekazuje tylko niezbędną ilość informacji potrzebnych dla działania usług).
• Domyślny okres trwania (w dniach) autoryzacji usług UNICORE do pracy na konto użytkownika. Warto zaznaczyć że jest to wymagane przy dostępie do infrastruktury UNICORE. Minimalny zalecany czas to wartość nieco większa niż przewidywany czas najdłuższego zadania. Domyślna wartość 14 dni jest rozsądna dla konfiguracji ośrodków w infrastrukturze PL-Grid.

Co dalej?

Jeśli użytkownik korzysta z klienta UCC lub URC, to w zasadzie wszystko. Korzystanie z usługi Unity IDM umożliwia wykorzystanie loginu i hasła użytkownika PL-Gridu do przeprowadzania obliczeń. Warto jednak zapoznać się także z wygodnym sposobem dostępu przez przeglądarkę. Więcej informacji można znaleźć w kolejnej sekcji podręcznika zatytułowanej: UNICORE Portal.