Rychly navod - ucty

Nova ucet

Pristup na NOvA pocitace

Setup

1. Nova ucet - ucet na Nova strojich, viz zde.

Zakladnim predpokladem je vlastnictvi FNAL ID a FNAL kerberos principal a hesla.
Pokud je nemate, muzete je ziskat zde.
Dale je treba mit tzv. Services account, ktery je automaticky vytvoren pri vyplneni formulare v predchozim bode.
Pokud si nepamatujete Services account heslo, nebo dokonce FNAL kerberos heslo, je nutne zavolat na FNAL Service Desk a postupovat dle jejich pokynu.
Nyni je treba pozadat o tzv. "FNALU account".
- Prihlaste se na FNAL ServiceNow pomoci sveho Services account.
- Zvolte Service catalog (menu na levem okraji, nahore) -> Request FNALU Account v "Accounts" menu uprostred stranky.
Jakmile Vam prijde e-mail o vytvoreni "FNALU account", muzete konecne pozadat o Nova account.
- Prihlaste se na FNAL ServiceNow pomoci sveho Services account.
- Zvolte Service catalog (menu na levem okraji, nahore) -> Request CMS/Minos/Other Account v "Account" menu uprostred stranky.
- Zde zadejte sve jmeno, uvedte, ze chcete Nova account, zvolte Choose Options, uvedte svou instituci a nakonec Check out.
- Mel by prijit e-mail (par dni po vyplneni formulare) potvrzujici zrizeni Nova account.

2. Pristup na Nova pocitace

Zakladnim pozadavkem pro pristup na FNAL stroje zvenci je uzivani kerbera. Je tedy nutne nainstalovat a nakonfigurovat kerberizovane ssh.
- Na Linuxu to znamena instalaci balicku ssh-krb5, krb5-user a krb5-config.
- Dale je treba na stroji, odkud se budete prihlasovat do FNAL, z bezpecnostnich duvodu vypnout ssh server. Ve FNAL nemaji radi jiz jen predstavu, ze se lze na Vas stroj prihlasit zvenci bez kerbera a po Vasem prihlaseni do FNAL tim padem kerberos obejit.
  Vypnout ssh server lze bud na jedno nalogovani (tj. pri kazdem prihlaseni nutno delat znovu) pomoci prikazu /etc/init.d/ssh stop, nebo "trvale" prejmenovanim linku S*ssh v adresarich /etc/rd*.d tak, ze pocatecni "S" prepisete na "K" a spustite skript update-rc.d.
- Pak je potreba pozmenit konfiguracni soubor ssh-cka .ssh/config podle navodu ZDE, aby se vyhovelo FNAL bezpecnostnim standartum. Zde zrejme staci pouze vypnout ssh server.
- Nakonec je treba si ulozit soubor krb5.conf do adresare /etc.
Pro pristup na Nova pocitace z mimofermilabovskych stroju je nutne si nejdrive vytvorit kerberos ticket (kinit jmeno@FNAL.GOV).
Na interaktivni Nova nody (momentalne pool 10 nodu) se pak lze prihlasit pomoci
ssh myusername@nova-offline.fnal.gov.
Pokud se Vam nedari se pripojit na Nova stroje, pridejte do .ssh/config nasledujici radky (viz. zde, v mem pripade to bylo nutne, ale postacujici) :
Host *.fnal.gov
ForwardAgent yes
ForwardX11 yes
ForwardX11Trusted yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
GSSAPITrustDns yes
GSSAPIKeyExchange yes
ServerAliveInterval 60

Pokud se stale nemuzete pripojit, mohlo by pomoci pridani nasledujicich radku do .ssh/config :
StrictHostKeyChecking no
UserKnownHostsFile=/dev/null

3. Setup viz zde.

Zakladni nastaveni prostredi, napr. cestu k ROOTu, lze provest spustenim nasledujicich prikazu :
source /grid/fermiapp/nova/novaart/novasvn/srt/srt.sh
export EXTERNALS=/nusoft/app/externals
source $SRT_DIST/setup/setup_novasoft.sh "$@"
Data v ROOT formatu jsou v adresari /nova/data/novaroot/Detectorname/RELEASE, kde release je konkretni verze Nova softwaru, napr S12-12-12.