Durante el intento fallido de autenticación de los usuarios en el Compute Element (CE) se obtiene uno de los siguientes mensajes de error en los registros.

GSS authentication failure
GSS Major Status: General failure
GSS Minor Status Error Chain:
accept_sec_context.c:gss_accept_sec_context:403:
Error during delegation: Delegation protocol violation
Failure: GSS failed Major:000d0000 Minor:00000001 Token:00000000

TIME: ddd mmm  d hh:mm:ss yyyy
 PID: xxx -- Failure: GSS failed Major:000d0000 Minor:00000001 Token:00000000

O el siguiente mensaje de error relacionado también con el servicio de GSS.

PID: xxx -- Failure: globus_gss_assist_gridmap() failed authorization. gridmap.c:globus_l_gss_assist_gridmap_lookup:2070:
Gridmap lookup failure: Could not map /DC=org/DC=doegrids/OU=Services/CN=ce.migrid.com

Es posible que los certificados de máquina no hayan sido correctamente instalados o no correspondan con el FQDN del CE.

Un caso típico de este problema sucede cuando el servidor cuenta con varios alias y el certificado fue solicitado por uno de ellos que no corresponde con su hostname.

Verificar el CN para el cual pertenece el certificado.

$ openssl x509 -in /etc/grid-security/hostcert.pem -subject -issuer -dates -noout
 
    subject= /DC=org/DC=doegrids/OU=Services/CN=ce.migrid.com
                                                ^^^^^^^^^^^^^
    issuer= /DC=org/DC=DOEGrids/OU=Certificate Authorities/CN=DOEGrids CA 1
    notBefore=mmm  d hh:mm:ss yyyy GMT
    notAfter=mmm  d hh:mm:ss yyyy GMT

Comparar este valor con el hostname del servidor.

$ hostname
 
    ce.migrid.com

Si ese es el caso, implementar una de las siguientes alternativas de solución.

1. Solicite un nuevo certificado para el FQDN correcto del Compute Element.
2. Modifique el hostname del Compute Element para que coincida con el CN del certificado.
3. Especifique el valor de la variable GLOBUS_HOSTNAME.

Si se decide implementar la segunda opción deberá ajustarse el archivo /etc/hosts para que la dirección IP del CE primero se resuelva con el FQDN que coincide con el CN del certificado antes de cualquier otro alias. Probablemente también sea aconsejable modificar la opción HOSTNAME del archivo de configuración /etc/sysconfig/network y/o de los archivos de definición de las interfaces de red /etc/sysconfig/network-scripts/ifcfg-eth? para ajustar permanentemente el hostname del sistema al requerido.

Al modificar el hostname probablemente se requiera ajustar la configuración de Condor, especialmente en lo relacionado con el valor de CONDOR_HOST, el directorio de los registros del nodo principal y los archivos /etc/hosts de todos los nodos para que se pueda obtener la dirección IP del CE a partir de su nuevo nombre.

Si se decide implementar la tercera opción, será necesario definir la variable de ambiente GLOBUS_HOSTNAME con el FQDN que coincida con el CN del certificado cada vez que se vayan a utilizar las herramientas del nodo Grid, o en su defecto se deberá modificar el profile de cada usuario involucrado para agregarla permanentemente.

$ export GLOBUS_HOSTNAME=ce.migrid.com
 
# ...