User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:authz:alfresco

Alfresco e Gruppi LDAP INFN-AAI

La maggior parte dei servizi web erogati dai Servizi Nazionali della CCR (Alfresco, Calendario, …) sono collegati al servizio LDAP di INFN-AAI e da questo ereditano la struttura dei Gruppi.

I Gruppi LDAP sono la trasposizione degli alberi dei domini di GODiVA. Siccome il nome di un gruppo LDAP deve essere univoco, sì è scelto di costruirlo concatenando gli identificativi numerici dei nodi degli alberi dei domini di GODiVA, che contengono le strutture dati RuoloAnangrafica relative alle identità digitali.

Il nome del gruppo è quindi una sequenza di numeri per niente significativa per un umano, ma in ogni gruppo LDAP è presente l'attributo "description" che contiene la concatenazione dei rispettivi nomi dei nodi degli alberi dei domini di GODiVA.

Grupp Logici e Gruppi LDAP

Come per tutti i nodi degli alberi dei domini di GODiVA, anche per ognuno dei nodi dell'albero dei Gruppi Logici viene generato un gruppo LDAP (base ou=Groups,dc=infn,dc=it). Anche per questi gruppi LDAP il nome è costruito concatenando gli identificativi numerici del nodo dell'albero "Gruppi" di GODiVA, l'attributo "description" contiene la concatenazione dei nomi dei nodi dell'albero ed i suoi membri possono essere sia altri gruppi LDAP che entry LDAP relative ad identità digitali.

Ad esempio, nella sottostante figura sono visualizzati i valori numerici di "idTipo" ed "idNodo" che comporranno il nome del gruppo LDAP e la descrizione che è usata per l'attributo "description" insieme al path completo del nodo.

gruppo-logico-aai

A questo nodo dell'albero del dominio dei gruppi di GODiVA, corrisponde il gruppo LDAP

dn: cn=66_40,ou=Groups,dc=infn,dc=it
cn: 66_40
objectClass: top
objectClass: groupOfNames
description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI
member: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
member: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it

Che, come è immediato vedere, contiene altri gruppi come membri. Il primo è il gruppo che contiene le Identità Digitali che afferiscono in questo gruppo in qualità di "member" e che in questo caso particolare è vuoto

dn: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
cn: 66_40_13_37220
objectClass: top
objectClass: groupOfNames
description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Member

mentre il secondo contiene le Identità Digitali che afferiscono a tale gruppo in qualità di "owner"

dn: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it
member: infnUUID=f8d35e28-2532-43c8-989c-3faa58f5cba4,ou=People,dc=infn,dc=it
description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Owner
objectClass: top
objectClass: groupOfNames
cn: 66_40_13_37233

Alfresco: assegnare privilegi ad un gruppo

Alfresco permette di assegnare privilegi sia a singoli utenti che a membri di gruppi LDAP (che sono popolati con i membri dei corrispondenti gruppi GODiVA).

Per assegnare i privilegi a membri di gruppi istituzionali, basta trovare il gruppo corrispondente. Ad esempio, per assegnare il privilegio di "Consumer" del sito AAI al presidente della Commissione Calcolo e Reti basterà selezionare il gruppo opportuno tra quelli ottenuti con la chiave di ricerca "*nomina:presidente*", come mostrato in figura:

ricerca-alfresco-1

Alfresco esegue la ricerca sia all'interno degli attributi "description" che all'interno del nome del gruppo. Quindi se si conosce l'identificativo numerico è possibile indirizzare la ricerca in modi più efficiente.

cn/ccr/aai/howto/authz/alfresco.txt · Last modified: 2019/05/17 07:21 by enrico@infn.it