User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:protoaai:protoserv3

Inserire Utenti e Gruppi in protoAAI <infnUUID>

Per inserire le entry e' sufficiente collegarsi tramite protocollo SSH al nodo godiva.infn.it sulla porta 57847.

L'autenticazione può avvenire in due modi:

  • SSH Publickey: e' necessario che inviate ad aai-support at infn.it la vostra chiave pubblica ssh in modo da autorizzarla.
  • Kerberos5 GSSAPI: se avete un principal Kerberos correttamente registrato in AAI e siete membri di un servizio di calcolo o della ccr.

Per autenticarsi con SSH pubkey

ssh -i key_file ...

Per autenticarsi con K5 (dopo aver preso il TGT)

ssh -K ...

L'utente SSH dipende dal tipologia di dati che si vogliono gestire.

Gestione Utenti SPROVVISTI DI CODICE FISCALE

E' possibile inserire account locali di utenti SPROVVISTI DI CODICE FISCALE. In mancanza di un Codice Fiscale valido, la chiave univoca da utilizzare è il valore dell'attributo infnUUID assegnato all'identità digitale (che quindi deve essere definita precedentemente).

Il valore di infnUUID può essere visualizzato sia usando l'interfaccia grafica GODiVA-GUI sia attraverso una semplice qyery LDAP non autenticata. In questo caso è ovviamente necessario conoscere il valore di un altro attributo univoco, come l'indirizzo e-mail utilizzato in fase di registrazione dell'anagrafica.

Supponendo di voler trovare il valore di infnUUID di Pinco Pallino il cui indirizzo e-mail è Pinco.Pallino@mail.io, la query LDAP sarebbe

/usr/bin/ldapsearch  -o ldif-wrap=no -ZZ -x  -LLL -h ds.infn.it  -b ou=people,dc=infn,dc=it 'mailAlternateAddress=Pinco.Pallino@mail.io' dn 2>/dev/null | cut -d " " -f 2 | cut -d "=" -f 2 | cut -d "," -f 1

Una volta che si è ottenuto il valore di infnUUID basterà collegarsi via SSH come utente extuserserv al nodo godiva.infn.it. Il comando da eseguire e' quindi:

ssh -p 57847 { -i key_file | -K } extuserserv@godiva.infn.it

Una volta aperta la connessione, con il comando precedentemente indicato, il server aspetta i comandi uno per linea.

E' possibile eseguire un inserimento singolo scrivendo i comandi come ulteriori parametri nella linea di ssh.

Comandi

ComandoDescrizioneSintassi
TRYADD Mostra la entry che verrebbe inserita con ADD, senza inserirla realmente TRYADD dnsDomain:userName:infnUUID:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
ADD Esegue l'inserimento ADD dnsDomain:userName:infnUUID:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
MOD Modifica la entry relativa alla userName sostituendo i valori degli attributi con i nuovi MOD dnsDomain:userName:infnUUID:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
FIXUID Allinea la username del ramo locale a quella del ramo nazionale FIXUID dnsDomain:userName
ROLLBACKFIXUID Annulla l'allineamento della username del ramo locale a quella del ramo nazionale ROLLBACKFIXUID dnsDomain:userName
DEL Elimina la entry relativa alla userName DEL dnsDomain:userName
SHO Mostra la entry relativa alla userName presente in AAI SHO dnsDomain:userName (puo' contenere wildcard)

NOTA: Nel caso in cui non sia disponibile un Principal Kerberos omettere il contenuto di tale campo, usando quindi due separatori consecutivi.

NOTA: Per i comandi TRYADD, ADD e MOD verra' controllata l'univocita' della username e la coerenza dell'associazione username-infnUUID a livello nazionale. Per questo si consiglia di effettuare il TRYADD prima di aggiungere le identita' nei propri DataBase.

NOTA: Solo nel Comando SHO è possibile, come dominio, usare la chiave "all", in questo modo la ricerca sarà effettuata su tutto l'albero delle sedi.

cn/ccr/aai/howto/protoaai/protoserv3.txt · Last modified: 2019/09/09 13:39 by enrico@infn.it