三、配置子节点(2)

下面，我们来配置第二台电脑，也就是我们的子节点。因为网格是分布式的，我们总不能只有一台电脑吧。

我这子节点，其实是我用虚拟机，虚拟出来的。下面我就来讲一讲，如何配置子节点的。

安装VMWare WorkStation

首先把VMWare WorkStation的压缩包拷贝到/usr/local下面，解压后，进入安装目录，运行安装程序
./install.pl，然后就一步一步提示你安装到那个地方了。网上有很多教程，大家不明白的可以搜索一下。

这里，我要提醒大家的是，我的主节点，最开始安装的是FC 4和VM 5，但是由于总是出毛病，我把系统更新到了FC 6。
但是更新之后，我的VM 5就无法启动了，所以我就准备重新安装VM 5。可是在FC 6上，系统内核版本
过高，VM 5根本无法重新安装，提示我，找不到对应的内核版本。

也可能是我直接升级Fedora的原因，希望大家还是
首先用VM 5试一下，因为VM 6现在根本没有破解的序列号，只能试用的。

所以，我从网上down下来了VM 6,经过安装，哈哈，竟然没有过期的日期，大概是VM 6从系统中，读出了我的VM 5的注册信息。

我用VM 虚拟出了一个FC 4操作系统，大家可能会问我，怎么不用FC 6？其实是我怕麻烦的原因，因为我在把主机从FC 4升级到
FC 6之前，先前已经安装好了虚拟的FC 4，况且，我的电脑配置极低，硬盘也小。那请大家原谅。

下面，有几步，有不清楚的，大家可以参看主节点的配置方法
第一，安装jdk
第二，安装ant
第三，安装globus

大家可以看看，我的安装路径
[root@xx2 ~]# tail /etc/profile

export ANT_HOME=/usr/local/ant
export GLOBUS_LOCATION=/usr/local/globus
export JAVA_HOME=/usr/local/jdk
export CLASS_PATH="./:JAVA_HOME/lib:JAVA_HOME/jre/lib"
export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$ANT_HOME/bin:$PLAYER_HOME/bin:$PATH

接下来，让我们对子节点进行安全配置
[root@xx1 simpleCA]# pwd
/home/globus/.globus/simpleCA


[root@xx1 simpleCA]# scp globus_simple_ca_b62cb8c1_setup-0.19.tar.gz xx2.com:/home/globus
root@xx2.com's password:
globus_simple_ca_b62cb8c1_setup-0.19.tar.gz                       100%  211KB 210.8KB/s   00:00

这里，我以前已经安装过了，这里为了做个教程，所以加了参数-force，重新编译
[globus@xx2 ~]$ /usr/local/globus/sbin/gpt-build -force globus_simple_ca_b62cb8c1_setup-0.19.tar.gz

切换到root用户
[globus@xx2 ~]$ su - root
Password:

[root@xx2 ~]# /usr/local/globus/setup/globus_simple_ca_b62cb8c1_setup/setup-gsi -default
setup-gsi: Configuring GSI security
Installing /etc/grid-security/certificates//grid-security.conf.b62cb8c1...
Running grid-security-config...
Installing Globus CA certificate into trusted CA certificate directory...
Installing Globus CA signing policy into trusted CA certificate directory...
setup-gsi: Complete

下面，我们看看security directory下面都是怎样的。
[root@xx2 ~]# ls /etc/grid-security/
certificates       globus-host-ssl.conf  grid-security.conf    hostkey.pem
containercert.pem  globus-user-ssl.conf  hostcert.pem
containerkey.pem   grid-mapfile          hostcert_request.pem

这里，我建议，把globus所要用到环境变量写道/etc/profile文件里面，否则，每次都要运行相应的命令。
所以我们如下一句。
[root@xx2 ~]# tail /etc/profile

. /usr/local/globus/etc/globus-user-env.sh


我们对xx2.com生成一个主机证书，所以要首先运行请求证书命令。
[root@xx2 ~]# grid-cert-request -host xx2.com

    /etc/grid-security/hostcert_request.pem already exists
    /etc/grid-security/hostcert.pem already exists
    /etc/grid-security/hostkey.pem already exists

If you wish to overwrite, run the script again with -force.

哦，我先前已经安装过了，所以加个参数force。

[root@xx2 ~]# grid-cert-request -host xx2.com -force

    /etc/grid-security/hostcert_request.pem already exists
    /etc/grid-security/hostcert.pem already exists
    /etc/grid-security/hostkey.pem already exists

Generating a 1024 bit RSA private key
....++++++
........++++++
writing new private key to '/etc/grid-security/hostkey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Level 0 Organization [Grid]:Level 0 Organizational Unit [GlobusTest]:Level 1 Organizational Unit [simpleCA-xx1.com]:Name (e.g., John M. Smith) []:

A private host key and a certificate request has been generated
with the subject:

/O=Grid/OU=GlobusTest/OU=simpleCA-xx1.com/CN=host/xx2.com

----------------------------------------------------------

The private key is stored in /etc/grid-security/hostkey.pem
The request is stored in /etc/grid-security/hostcert_request.pem

Please e-mail the request to the Globus Simple CA cy_xiaoxiao@yahoo.com.cn
You may use a command similar to the following:

cat /etc/grid-security/hostcert_request.pem | mail cy_xiaoxiao@yahoo.com.cn

Only use the above if this machine can send AND receive e-mail. if not, please
mail using some other method.

Your certificate will be mailed to you within two working days.
If you receive no response, contact Globus Simple CA at cy_xiaoxiao@yahoo.com.cn

我们可以看到，在子节点上，生成了一个主机私钥/etc/grid-security/hostkey.pem，
请求证书/etc/grid-security/hostcert_request.pem

下面我们应该作什么呢？就是我们要作为globus即网格来给主机签署一下证书，让我们的网格信任xx2.com.
那么，我们应该让哪个globus用户来签署xx2.com的hostcert_request.pem呢？

我们是用xx1.com来作为主节点的，所以，我们应该由xx1.com上的globus用户来签署证书。

那么，究竟我的说法成立不？下面，让我们来看一下，首先切换到相应的目录
[root@xx2 grid-security]# pwd
/etc/grid-security

接着，查看请求文件，其中有一部分如下：
[root@xx2 grid-security]# more hostcert_request.pem
=========================================================================
Certificate Subject:

    /O=Grid/OU=GlobusTest/OU=simpleCA-xx1.com/CN=host/xx2.com

这句，OU=simpleCA-xx1.com，不是说明我们的SimpleCA中心就是xx1.com，
CN=host/xx2.com，说明请求的用户名称是xx2.com的主机。

这就明白了，xx1.com是公司领导，xx2.com是部下，部下要作事情，不是要由领导批准吗？

所以，我们把那个请求文件弄过去，让xx1.com上的globus签署一下。
[root@xx2 grid-security]# scp hostcert_request.pem xx1.com:/tmp

请注意，在这里，我用了“弄”一个字，就是说不管是拷贝还是电邮或者FTP只要送过去就行。

看看，我是09：06拷贝来的，果真是这个文件。
[root@xx1 tmp]# ls -la hostcert_request.pem
-rw-r--r-- 1 root root 1377 07-09 09:06 hostcert_request.pem

下面，切换到globus用户，签署请求文件
[root@xx1 tmp]# su - globus
[globus@xx1 ~]$ cd /tmp

[globus@xx1 tmp]$ grid-ca-sign -in hostcert_request.pem -out hostcert.pem

To sign the request
please enter the password for the CA key:

The new signed certificate is at: /home/globus/.globus/simpleCA//newcerts/03.pem

看一下，声称的主机证书，其中有两句，Issuer是xx1.com，Subject是xx2.com，哈哈，已经成功签署。
[globus@xx1 tmp]$ cat hostcert.pem

Issuer: O=Grid, OU=GlobusTest, OU=simpleCA-xx1.com, CN=Globus Simple CA
Subject: O=Grid, OU=GlobusTest, OU=simpleCA-xx1.com, CN=host/xx2.com

[globus@xx1 tmp]$ scp hostcert.pem root@xx2.com:/tmp

root@xx2.com's password:
hostcert.pem                                  100% 2632     2.6KB/s   00:00

[root@xx2 grid-security]# mv /tmp/hostcert.pem .
mv: overwrite `./hostcert.pem'? yes

下面，我们看看，是不是子节点上有两套证书了。
[root@xx2 grid-security]# ls -la *pem
-rw-r--r--  1 globus globus 2632 Jul  1 23:45 containercert.pem
-r--------  1 globus globus  887 Jul  1 23:45 containerkey.pem
-rw-r--r--  1 root   root   2632 Jul  9 09:15 hostcert.pem
-rw-r--r--  1 root   root   1377 Jul  9 08:48 hostcert_request.pem
-r--------  1 root   root    887 Jul  9 08:48 hostkey.pem

对着呢。所以，我们往下走，既然xx2.com已经有了主机和容器的证书，并且也信任了我们的网格CA，最后一步就是要让xx2.com
信任我在主机xx1.com上的用户zx。因为只有这样的话，我才能用zx用户在xx1.com上调度xx2.com的资源或者命令。

以防大家弄错，我先在xx2.com上新建一个zhangxiao用户，他对应xx1.com上的zx用户，代表zx在xx2.com上执行命令。这个问题
其实很好理解，zx用户对于xx2.com来说是没有意义的，因为xx2.com这台电脑，没有也不知道zx这个用户。所以zx@xx1.com提交的作业
，必须有相应的本地用户来执行。

当大家看明白了上面的那段话，你也可以把zx映射到相依的其它用户，动脑筋稍加修改就可以了。

那么，我们把zx@xx1.com所有的证书拷贝给zhangxiao@xx2.com，然后让在xx2.com上生成认证。

保证切换到相应的目录
[root@xx1 .globus]# pwd
/home/zx/.globus

总共三个文件
[root@xx1 .globus]# ls
usercert.pem  usercert_request.pem  userkey.pem

拷贝过去
[root@xx1 .globus]# scp *.pem zhangxiao@xx2.com/home/zhangxiao/.globus

在xx2.com上面
[root@xx2 .globus]# pwd
/home/zhangxiao/.globus

它们三个已经拷贝过来了。
[root@xx2 .globus]# ls -la *pem
-rw-r--r--  1 zhangxiao zhangxiao 2635 Jul  9 10:04 usercert.pem
-rw-r--r--  1 zhangxiao zhangxiao 1376 Jul  9 10:04 usercert_request.pem
-r--------  1 zhangxiao zhangxiao  963 Jul  9 10:04 userkey.pem


哈哈，接下来我让xx2.com对zx对应的zhangxiao用户进行认证
[zhangxiao@xx2 ~]$ grid-proxy-init -verify -debug

User Cert File: /home/zhangxiao/.globus/usercert.pem
User Key File: /home/zhangxiao/.globus/userkey.pem

Trusted CA Cert Dir: /etc/grid-security/certificates

Output File: /tmp/x509up_u503
Your identity: /O=Grid/OU=GlobusTest/OU=simpleCA-xx1.com/OU=com/CN=zx
Enter GRID pass phrase for this identity:
Creating proxy .........................++++++++++++
...........++++++++++++
Done
Proxy Verify OK
Your proxy is valid until: Mon Jul  9 22:08:44 2007

怎么？最后一行竟然是24小时之后就过期了，太不爽了。下次还要重新认证吗？

原来是我忘记加参数了。这次加上参数让它10000小时0秒后过期
[zhangxiao@xx2 ~]$ grid-proxy-init -verify -debug -valid 10000:0

Warning: your certificate and proxy will expire Fri Jul  4 11:20:07 2008
which is within the requested lifetime of the proxy

嘿嘿，08年才过期呢。


首先，我们要让xx2.com的容器生成证书。

[root@xx2 grid-security]# vi grid-mapfile
[root@xx2 grid-security]# cat grid-mapfile
"/O=Grid/OU=GlobusTest/OU=simpleCA-xx1.com/OU=com/CN=zx" zhangxiao

切换到zhangxiao@xx2.com，我们拷贝一个文件看看
[zhangxiao@xx2 ~]$ globus-url-copy gsiftp://xx2.com/tmp/www.txt gsiftp://xx1.com/tmp/www.from.xx1.com

我们在xx1.com上看看文件属主，果真是zx，这就又验证了zhangxiao@xx2.com是zx@xx1.com的代理映射。
[root@xx1 tmp]# ls www.from.xx1.com -la
-rw-r--r-- 1 zx zx 644 07-09 10:17 www.from.xx1.com

那么反向能不能成立啊？我们来试试。
[zx@xx1 tmp]$ globus-url-copy gsiftp://xx1.com/tmp/mytest gsiftp://xx2.com/tmp/form.xx1

[root@xx2 ~]# ls /tmp/form.xx1 -la
-rw-r--r--  1 zhangxiao zhangxiao 337 Jul  9 10:30 /tmp/form.xx1
果真是zhangxiao的属主。