cn:ccr:aai:doc:rid:istruzioni:calcolo
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | |||
cn:ccr:aai:doc:rid:istruzioni:calcolo [2022/05/03 11:57] – [Fusione Identità] monducci@infn.it | cn:ccr:aai:doc:rid:istruzioni:calcolo [2022/05/03 13:30] (current) – [Fusione Identità] monducci@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Centri di calcolo ====== | ||
+ | |||
+ | |||
+ | A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia: | ||
+ | |||
+ | * un’identità digitale verificata (LoA2); | ||
+ | * dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT; | ||
+ | * preso visione della nota informativa di carattere generale sul trattamento dei dati personali; | ||
+ | * un ruolo attivo all’interno dell’INFN | ||
+ | |||
+ | Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch). | ||
+ | |||
+ | ===== GODiVA: Interfaccia grafica ===== | ||
+ | |||
+ | Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https:// | ||
+ | |||
+ | ===== GODiVA: Interfaccia command-line | ||
+ | Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https:// | ||
+ | |||
+ | godivapy -e prod list identity-details < | ||
+ | |||
+ | dove < | ||
+ | |||
+ | ===== LDAP: ldapsearch | ||
+ | |||
+ | |||
+ | Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in | ||
+ | |||
+ | | ||
+ | |||
+ | Nel caso di autenticazione Kerberos/ | ||
+ | |||
+ | |||
+ | |||
+ | host=ds1.infn.it | ||
+ | base=ou=people, | ||
+ | ldapsearch -ZZZ -Y GSSAPI -h $host -b $base ' | ||
+ | |||
+ | ===== Registrazione in proto-AAI | ||
+ | Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina: | ||
+ | |||
+ | https:// | ||
+ | |||
+ | Eseguendo prima il comando TRYADD e poi il comando ADD. | ||
+ | |||
+ | ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede: | ||
+ | |||
+ | |||
+ | |||
+ | ssh -p 57847 extuserserv@protoserv.infn.it ADD sede: | ||
+ | |||
+ | ===== Utenze non in GODiVA da sanare | ||
+ | Per sanare situazioni pregresse esempio utente/ | ||
+ | |||
+ | * invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN; | ||
+ | * assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte | ||
+ | * collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina: | ||
+ | |||
+ | https:// | ||
+ | |||
+ | |||
+ | ssh -p 57847 extuserserv@protoserv.infn.it MOD sede: | ||
+ | |||
+ | |||
+ | Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line). | ||
+ | |||
+ | |||
+ | ===== Fusione Identità ===== | ||
+ | |||
+ | - Assicurarsi che le due identità appartengano veramente alla stessa persona. \\ L' | ||
+ | - Cancellare il mailAlternateAddress dall' | ||
+ | - Assegnare il mailAlternateAddress all' | ||
+ | - Fare il merge. Dalla gui java di godiva: Identità -> Fusione identità | ||
+ | |||
+ | **NB:** Se, inavvertitamente, | ||
+ | - attivare l' | ||
+ | - cancellare il/i mail-alternate address | ||
+ | - aggiornare l' | ||
+ | - deattivare l' | ||
+ | |||
+ | **NB:** Se, dopo la fusione, l' | ||
+ | |||
+ | [[calcolo# | ||
+ | ===== Richiesta RisorseIT da utente con Grant Referente 1 ===== | ||
+ | |||
+ | Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1\\ | ||
+ | hanno dei problemi a richiedere le RisorseIT tramite il portale utente\\ | ||
+ | (la procedura si blocca con la rotella di avanzamento che non avanza). | ||
+ | |||
+ | Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link: | ||
+ | |||
+ | http:// | ||
+ | |||
+ | ===== Creare un account per accede al portale INFN o a Baltig ===== | ||
+ | E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)\\ | ||
+ | o a Baltig: | ||
+ | |||
+ | senza necessariamente creare un account locale. | ||
+ | |||
+ | * Collegarsi a GODiVA: GODiVA.jnlp | ||
+ | * cercare l' | ||
+ | |||
+ | * verificare che abbia un' | ||
+ | * verificare che abbia il Codice fiscale (solo per il portale INFN) | ||
+ | * verificare che abbia accettato il disciplinare (solo per Baltig) | ||
+ | |||
+ | * scegliere da menu **Comandi** contestuale alla scheda utente: **Crea Default Username** | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | |||
+ | ===== Utente LoA1 senza email o con indirizzo email " | ||
+ | |||
+ | Dopo aver verificato l' | ||
+ | |||
+ | * creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT | ||
+ | |||
+ | Attenzione inserire un indirizzo NON “*infn.it” \\ | ||
+ | Sarebbe buona norma verificare prima che l' | ||
+ | |||
+ | ===== Utente ha superato il corso informatica di base ma non compare in LDAP ===== | ||
+ | |||
+ | Probabilmente la persona ha fatto il corso chiedendo un account moodle. | ||
+ | Per aggiornare lo stato del corso inserire il campo: | ||
+ | Sicurezza informatica - BASE | ||
+ | con i seguenti valori | ||
+ | Dominio: INFN | ||
+ | Valore: superato | ||
+ | From: <data certificato> | ||
+ | To: 00-00-000 | ||
+ | |||
+ | ===== Chi può fare il corso informatica di base ===== | ||
+ | |||
+ | E' necessario che l' | ||
+ | |||
+ | ===== Cancellare un' | ||
+ | In carico ai soli amministratori di KeyCloak | ||
+ | |||
+ | Collegarsi a: [[https:// | ||
+ | |||
+ | Selezionare il realm: **aai** \\ | ||
+ | ATTENZIONE **aai** non aai-ldap | ||
+ | |||
+ | Manage -> Users | ||
+ | |||
+ | Cercare l' | ||
+ | |||
+ | Visualizzarlo (premendo il campo ID) | ||
+ | |||
+ | Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all' | ||
+ | |||
+ | Tornare all' | ||
+ | |||
+ | ===== Cancellazione password LDAP per account Kerberizzati ===== | ||
+ | Se un account possiede come locality una sede che valorizza l' | ||
+ | | ||
+ | infnKerberosPrincipal: | ||
+ | |||
+ | lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza). \\ | ||
+ | Lo script gira alle 4:00 alle 12:00 e alle 20:00 | ||
+ | |||
+ | ===== Link Utili ===== | ||
+ | |||
+ | ==== Registrazione Identità ==== | ||
+ | |||
+ | Produzione: | ||
+ | |||
+ | |||
+ | Preproduzione: | ||
+ | |||
+ | ==== User Portal ==== | ||
+ | |||
+ | Produzione [[https:// | ||
+ | |||
+ | Preproduzione [[https:// | ||
+ | |||
+ | ==== Corso informatica di base ==== | ||
+ | [[https:// | ||
+ | |||
cn/ccr/aai/doc/rid/istruzioni/calcolo.txt · Last modified: 2022/05/03 13:30 by monducci@infn.it