Документ взят из кэша поисковой машины. Адрес оригинального документа : http://theory.sinp.msu.ru/pipermail/ru-ngi/2014q3/001411.html
Дата изменения: Mon Aug 18 13:24:41 2014
Дата индексирования: Sun Apr 10 18:02:21 2016
Кодировка:
[RU-NGI] Local files access on DPM SE via gsiftp

[RU-NGI] Local files access on DPM SE via gsiftp

Andrey Kiryanov globus at pnpi.nw.ru
Tue Aug 12 17:10:20 MSK 2014 

Добрый день,

Простым отключением DSI, конечно, ничего добиться не удастся. Нужно 
_полностью_ настроить отдельный сервис по старой схеме.

Ваши выводы неверны: вы пытаетесь использовать части DPM для того, для 
чего они не предназначены. Доступ к локальной файловой системе на 
дисковых узлах был рудиментом, и, вообще, классифицирован как дыра в 
безопасности EGI-SVG-2012-3390. В последних выпусках DPM эту дыру 
наконец-то заткнули.

12.08.2014 12:50, Vladimir Tikhomirov wrote:
>
>     Добрый день.
>   Да, если выключить загрузку DSI модуля при запуске
> globus-gridftp-server, то локальная фаловая система становится
> доступной. Но это мало что дает, поскольку не делается мэппинг
> пользователей, а все команды типа edg-gridftp-mkdir или globus-url-copy
> выполнялись от имени dpmmgr. Другими словами, все созданные таким
> образом директории и файлы оказываются доступны (в том числе и на
> запись) практически любому пользователю с Грид сертификатом. Логика
> такого решения мне совершенно непонятна: практически это делает все
> семейство упомянутых команд безполезным.
>     Всего наилучшего,
>     В.Т.
>
> 6 августа 2014 г., 18:54 пользователь Andrey Kiryanov <globus at pnpi.nw.ru
> <mailto:globus at pnpi.nw.ru>> написал:
>
>     Добрый день,
>
>     06 авг. 2014 г., в 16:43, Vladimir Tikhomirov
>     <tikhomir at sci.lebedev.ru <mailto:tikhomir at sci.lebedev.ru>> написал(а):
>      >  А что значит - собственный сервер? Запустить еще одного демона
>     globus-gridftp-server? Но с какими настройками, чем он будет (кроме
>     порта) отличаться от уже запущенного?
>
>     Да, запустить ещё одного демона. Отличаться он будет именно
>     настройками, в частности - модулем DSI, точнее его отсутствием.
>
>      >  Да, хотелось бы иметь доступ к локальной файловой системе через
>     Грид команды типа edg-gridftp-ls и globus-url-copy, и чтобы при этом
>     удаленный пользователь мэппился в определенную локальную группу -
>     для ограничения доступа к локальной ф.с. тем, кому не следует.
>
>     Вы можете этого добиться правильной настройкой отдельного сервиса
>     gridftp, но, возвращаясь к изначальному вопросу, на новом DPM SE
>     такой режим работы не поддерживается, и вам придётся всё делать
>     вручную. Тут я, к сожалению, не смогу вам помочь.
>
>      >    Всего наилучшего,
>      >    В.Т.
>      >
>      >
>      > 6 августа 2014 г., 13:39 пользователь Andrey Kiryanov
>     <globus at pnpi.nw.ru <mailto:globus at pnpi.nw.ru>> написал:
>      > Добрый день,
>      >
>      > Нет, в dmlite нельзя. Даже если вы включите мэппинг в настройках
>     сервера и заставите его работать от другого пользователя, он всё
>     равно не будет отдавать список файлов вне виртуального пространства
>     имён.
>      >
>      > Если вам обязательно нужен именно gridftp для доступа к локальной
>     файловой системе - повесьте свой собственный сервер на другой порт.
>      >
>      > 05 авг. 2014 г., в 23:38, Vladimir Tikhomirov
>     <tikhomir at sci.lebedev.ru <mailto:tikhomir at sci.lebedev.ru>> написал(а):
>      >
>      > >     Добрый день.
>      > >  А нельзя ли в этом dmlite организовать мэппинг пользователей,
>     как было раньше - чтобы
>      > > команды типа edg-gridftp-mkdir или globus-url-copy выполнялись
>     не от имени dpmmgr.dpmmgr
>      > > а от, скажем, atlas015.atlas ?
>      > >    Всего наилучшего,
>      > >    В.Тихомиров.
>      > >
>      > >
>      > > 2 августа 2014 г., 11:56 пользователь Vladimir Tikhomirov
>     <tikhomir at sci.lebedev.ru <mailto:tikhomir at sci.lebedev.ru>> написал:
>      > >    Добрый день.
>      > >  Не уверен, что так. У меня есть два SE c DPM - один в ФИАН
>     (se2.grid.lebedev.ru <http://se2.grid.lebedev.ru>), другой - в МИФИ
>     (о котором и шла
>      > > речь - se04.lxfarm.mephi.ru <http://se04.lxfarm.mephi.ru>). На
>     обоих сейчас - EMI3, только в ФИАН - под SL5 (и 32 бит), в МИФИ -
>     под SL6. Так вот на
>      > > ФИАНовском локальная файловая система посредством
>     edg-gridftp-ls видна, а на МИФИстском - нет.
>      > >  А что такое dmlite-gridftp? У меня:
>      > > [root at se2] ~ #  rpm -aq | grep 'dmlite\|gridftp' | sort
>      > > dmlite-libs-0.6.1-2.el5
>      > > dmlite-plugins-adapter-0.6.1-1.el5
>      > > dmlite-plugins-mysql-0.6.0-2.el5
>      > > globus-gridftp-server-6.38-1.el5
>      > > globus-gridftp-server-control-2.10-1.el5
>      > > globus-gridftp-server-progs-6.38-1.el5
>      > >
>      > > [root at se04] ~ # rpm -aq | grep 'dmlite\|gridftp' | sort
>      > > dmlite-libs-0.6.2-2.el6.x86_64
>      > > dmlite-plugins-adapter-0.6.2-2.el6.x86_64
>      > > dmlite-plugins-mysql-0.6.2-2.el6.x86_64
>      > > globus-gridftp-server-6.38-1.el6.x86_64
>      > > globus-gridftp-server-control-2.10-1.el6.x86_64
>      > > globus-gridftp-server-progs-6.38-1.el6.x86_64
>      > >
>      > >  Может быть, дело именно в том, от какого пользователя работает
>     gridftp - от root или dpmmgr? А где это задается?
>      > >
>      > >    Всего наилучшего,
>      > >    В. Тихомиров.
>      > >
>      > >
>      > > 1 августа 2014 г., 13:30 пользователь Andrey Kiryanov
>     <globus at pnpi.nw.ru <mailto:globus at pnpi.nw.ru>> написал:
>      > >
>      > > Добрый день,
>      > >
>      > > После обновления до dmlite-gridftp снаружи будет видно только
>     виртуальное пространство имён. Также, сервис gridftp будет работать
>     от имени пользователя dpmmgr, а не от рута, как раньше.
>      > >
>      > > 01 авг. 2014 г., в 12:52, Vladimir Tikhomirov
>     <tikhomir at sci.lebedev.ru <mailto:tikhomir at sci.lebedev.ru>> написал(а):
>      > > >   Добрый день.
>      > > > Мне необходим доступ к локальной файловой системе на SE
>     компьютере, на
>      > > > котором установлена DPM. И раньше, когда этот комп работал
>     под SL4/gLite,
>      > > > такой доступ был. Например, команда
>      > > > $ edg-gridftp-ls gsiftp://se04.lxfarm.mephi.ru
>     <http://se04.lxfarm.mephi.ru>
>      > > > показывала всю локальную фйловую систему se04.lxfarm.mephi.ru
>     <http://se04.lxfarm.mephi.ru> (хотя это,
>      > > > наверное, и не правильно с точки зрения безопасности).
>      > > > После обновления на SL6/EMI3 теперь так:
>      > > > $ edg-gridftp-ls gsiftp://se04.lxfarm.mephi.ru
>     <http://se04.lxfarm.mephi.ru>
>      > > > dpm
>      > > > т.е. видна только DPM ветвь, но не локальная файловая система.
>      > > > Никто не обращал внимание на такое обстоятельство? Чем вообще
>      > > > определяется, что именно в файловой системе видно и доступно
>     через
>      > > > команды серии edg-gridftp-?
>      > > >   Всего наилучшего,
>      > > >   В.Тихомиров.
>      > >
>      > > --
>      > > Cheers,
>      > >         Andrey Kiryanov.
>      > >
>      > >
>      > >
>      >
>      > --
>      > Cheers,
>      >         Andrey Kiryanov.
>      >
>      >
>
>     --
>     Cheers,
>              Andrey Kiryanov.
>
>

-- 
Cheers,
	Andrey Kiryanov.

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1881 bytes
Desc: �������������������������� ������������ S/MIME
URL: <http://theory.sinp.msu.ru/pipermail/ru-ngi/attachments/20140812/3ce669a6/attachment-0001.p7s>

More information about the RU-NGI mailing list