globus 4.0.8 在redhat上的安装配置全程记录

 

这份文档是反复安装多次 globus ，对整个操作步骤有一个清晰的印象和简单的理解后，在某一次保存的 snapshot 基础上开始边安装边记录的安装文档，但并不依赖这个 snapshot 的细节。
 
包括以下内容：
配置前准备；
证书配置；
配置 gridftp 服务器；
配置 webservice container ；
设置 RFT ；
设置 WS GRAM 。
 

一，配置前准备

当前我系统状态是 redhat 10, 内核 2.4.22 ，已经安装 JDK1.5.0, ANT1.6.5 ， globus-4.0.8 （解压前的安装包是 gt4.0.8-all-source-installer.tar.gz ）， libiodbc3.52.6-1 。 postgresql 数据库暂时没有安装。主机名是 localhost.localdomain(hostname 和 hostname –f 返回的都是这个 ) 。在 /etc/profile 中设置了 JAVA_HOME 和 ANT_HOME 两个环境变量，没有也不需要设置 CLASSPATH ，在 ANT 中明确说过设置 CLASSPATH 如果操作不当可能会出问题。可执行文件 java 位于 $JAVA_HOME/bin 目录下，可执行文件 ant 位于 $ANT_HOME/bin 下。软件包的安装都非常简单。对于 JAVA 和 ANT ，解压然后设置环境变量就可以。对于 libiodbc ，从官方网站下载最新的 rpm 包直接安装，对于 gt4 ，安装使用下述命令：
[globus@localhost gt4.0.8-all-source-installer]$ ./configure --prefix=/usr/local/globus-4.0.8/ --with-iodbc=/usr
[globus@localhost gt4.0.8-all-source-installer]$ make
[globus@localhost gt4.0.8-all-source-installer]$ make install
一切成功完成之后，进入下一步。当然，别忘了设置 GLOBUS_LOCATION 环境变量，我觉得最好也设在 /etc/profile 中，省去为每个用户单独设置的麻烦。
 
二，证书配置
证书配置的整个过程很简单：创建一个 CA(Certificate Authority) à 安装 gsi(grid security infrastructure ，网格安全基础设施 ) 。这两步以后，就建立了一个完整的证书认证体系。如果一个实体想申请证书，只需要使用 grid-cert-request 命令创建自己的一个密钥和证书申请文件，然后把证书申请文件送交 CA 签名，签名之后的文件就成了申请者的证书。
以上是纯工具性的，至于 globus 如何使用和为什么要这样使用证书这个工具，现在自己也是新手，需要熟练以后慢慢再去体会。以下是为了能让 globus 正确运行的配置：
创建 CA ：
先用 root 用户设置主机名：
[root@localhost root]# hostname test.gridlab.jlu.edu
网上很多安装过的朋友都说使用 hostname 设置了主机名以后重启又会丢失，不过我确从来没有遇到过这样的情况。我这里使用 hostname 设置完主机名后，发现 /etc/hosts 文件和 /etc/sysconfig/network 文件都没有改变，但无论重启与否， hostname 返回的都是设置的主机名而不是 localhost.localdomain ，有可能是因为我使用的是虚拟机所以这样。不过我安装了几次后觉得主机名不是个大问题，我这里说的步骤都是在我这里可行的。到这里设置之后，可能就不能启动 http 服务器了，需要手动在 /etc/hosts 文件中添加 IP 和新的主机名的映射才能启动 httpd 。
[globus@localhost globus]$ hostname

test.gridlab.jlu.edu

[globus@localhost globus]$ /usr/local/globus-4.0.8/setup/globus/setup-simple-ca
输出太长了，就不贴出来了。按照提示一路走下去就可以。 Complete 之后，
[globus@localhost globus]$ /usr/local/globus-4.0.8/setup/globus_simple_ca_a3e0f25e_setup/setup-gsi -default

setup-gsi: Configuring GSI security
Making /etc/grid-security...
mkdir /etc/grid-security
mkdir /etc/grid-security: Permission denied at /usr/local/globus-4.0.8/setup/globus_simple_ca_a3e0f25e_setup/setup-gsi.pl line 100

出错了，原来权限不够，这条命令应该在 root 下执行。
[root@localhost root]# /usr/local/globus-4.0.8/setup/globus_simple_ca_a3e0f25e_setup/setup-gsi -default
这一次就好了。
然后就是申请证书，主机的证书 / 密钥，用户的证书 / 密钥。
[root@localhost root]# source /usr/local/globus-4.0.8/etc/globus-user-env.sh
[root@localhost root]# grid-cert-request -host `hostname`
接下来就是让 CA 为主机的证书申请文件签名。
[globus@localhost globus]$ source /usr/local/globus-4.0.8/etc/globus-user-env.sh
最好把上面这条命令也加到 /etc/profile 里面去：
[root@localhost root]# cat >> /etc/profile
. /usr/local/globus-4.0.8/etc/globus-user-env.sh
CTRL C 保存退出。
让 CA 为主机的申请文件签名：
[globus@localhost globus]$ grid-ca-sign -in /etc/grid-security/hostcert_request.pem -out sign.pem
[root@localhost root]# mv /home/globus/sign.pem /etc/grid-security/hostcert.pem

mv: overwrite `/etc/grid-security/hostcert.pem'? y

[root@localhost root]# cd /etc/grid-security/
[root@localhost grid-security]# ll *.pem

-rw-rw-r--    1 globus   globus       2724 Jul 12 22:56 hostcert.pem
-rw-r--r--    1 root     root         1420 Jul 12 22:50 hostcert_request.pem
-r--------    1 root     root          887 Jul 12 22:50 hostkey.pem

注意，看到上面的 hostcert.pem ，它的属主是 globus 而不是 root ，而且权限位是 664, 应该改过来，否则在后面配置 gridftp 时会出错，尽管那时有错误提示信息。
[root@localhost grid-security]# chown root:root hostcert.pem
[root@localhost grid-security]# chmod 644 hostcert.pem
证书文件中包含了用户的公钥信息，其他用户都要能读但不能写，密钥是用户的私钥，必须秘密保存。
globus 作为运行 webservice container 的用户，也应该有主机的证书 / 密钥：
[root@localhost grid-security]# chown root:root hostcert.pem
[root@localhost grid-security]# chmod 644 hostcert.pem
[