User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:protoserv2

Inserire Utenti e Gruppi in INFN-AAI

Per inserire le entry e' sufficiente collegarsi tramite protocollo SSH al nodo godiva.infn.it sulla porta 57847.

L'autenticazione può avvenire in due modi:

  • SSH Publickey: e' necessario che inviate a Dael Maselli at lnf.infn.it la vostra chiave pubblica ssh in modo da autorizzarla.
  • Kerberos5 GSSAPI: se avete un principal Kerberos correttamente registrato in AAI e siete membri di un servizio di calcolo o della ccr.

Per autenticarsi con SSH pubkey

ssh -i key_file ...

Per autenticarsi con K5 (dopo aver preso il TGT)

ssh -K ...

L'utente SSH dipende dal tipologia di dati che si vogliono gestire.

Gestione Utenti

Per la gestione degli utenti collegarsi come utente userserv. Il comando da eseguire e' quindi:

ssh -p 57847 { -i key_file | -K } userserv@godiva.infn.it

Una volta aperta la connessione, con il comando precedentemente indicato, il server aspetta i comandi uno per linea.

E' possibile eseguire un inserimento singolo scrivendo i comandi come ulteriori parametri nella linea di ssh.

Comandi

ComandoDescrizioneSintassi
TRYADD Mostra la entry che verrebbe inserita con ADD, senza inserirla realmente TRYADD dnsDomain:userName:codiceFiscale:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
ADD Esegue l'inserimento ADD dnsDomain:userName:codiceFiscale:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
MOD Modifica la entry relativa alla userName sostituendo i valori degli attributi con i nuovi MOD dnsDomain:userName:codiceFiscale:Nome:Cognome:[kerberosPrincipal@REALM]:primaryEmailAddress[:mailAlternateAddress[…]]
MODCF Modifica solo il Codice Fiscale della entry relativa alla userName. Volendo anche nome e cognome MODCF dnsDomain:userName:codiceFiscale[:Nome:Cognome]
FIXUID Allinea la username del ramo locale a quella del ramo nazionale FIXUID dnsDomain:userName
ROLLBACKFIXUID Annulla l'allineamento della username del ramo locale a quella del ramo nazionale ROLLBACKFIXUID dnsDomain:userName
DEL Elimina la entry relativa alla userName DEL dnsDomain:userName
SHO Mostra la entry relativa alla userName presente in AAI SHO dnsDomain:userName (puo' contenere wildcard)

NOTA: Nel caso in cui non sia disponibile un Principal Kerberos omettere il contenuto di tale campo, usando quindi due separatori consecutivi.

NOTA: Per i comandi TRYADD, ADD e MOD verra' controllata l'univocita' della username e la coerenza dell'associazione username-codiceFiscale a livello nazionale. Per questo si consiglia di effettuare il TRYADD prima di aggiungere le identita' nei propri DataBase.

NOTA: Solo nel Comando SHO è possibile, come dominio, usare la chiave "all", in questo modo la ricerca sarà effettuata su tutto l'albero delle sedi.

Posix data

I comandi ADDPOSIX e DELPOSIX permettono di aggiungere le informazioni posix nelle entry degli utenti.

ComandoDescrizioneSintassi
ADDPOSIX Aggiunge dati posix ad un utente esistente ADDPOSIX dnsdomain:userName:password:uidNumber:gidNumber:gecos:homeDirectory:loginShell
DELPOSIX Rimuove solo i dati posix di un utente DELPOSIX dnsdomain:userName

ATTENZIONE: Per non inserire la password in ldap, per chi ha Kerberos, usare la stringa KRBPW nel campo password.

Esempi

Inserimento di una singola entry - da inserire in un eventuale script di creazione utente:

# ssh -p 57847 userserv@godiva.infn.it 'ADD lnf.infn.it:dmaselli:MSLDLAXXXXXXXXXX:Dael:Maselli:dmaselli@LNF.INFN.IT:Dael.Maselli@lnf.infn.it:dmaselli@lnf.infn.it:maselli@lnf.infn.it'
# ssh -p 57847 userserv@godiva.infn.it 'ADDPOSIX lnf.infn.it:dmaselli:KRBPW:5748:3101:Dael Maselli,#14/6,:/afs/lnf/user/d/dmaselli:/bin/tcsh'

Inserimento di piu' entry in interattivo

# ssh -p 57847 userserv@godiva.infn.it
> ADD lnf.infn.it:dlenci:XXXXXXXXXXXXXXX:Davide:Lenci::Davide.Lenci:dlenci
Line 1: OK - Entry added
> ADD lnf.infn.it:dmaselli:MSLDLAXXXXXXXXXX:Dael:Maselli:dmaselli:Dael.Maselli:dmaselli:maselli
Line 2: OK - Entry added
> ADDPOSIX lnf.infn.it:dmaselli:KRBPW:5748:3101:Dael Maselli,#14/6,:/afs/lnf/user/d/dmaselli:/bin/tcsh
3 actions requested. 3 done. Bye!

Inserimento di piu' entry da file

# ssh -p 57847 userserv@godiva.infn.it < file
...........
11 actions requested. 11 done. Bye!

Nota sui CF Stranieri

Come gia' discusso, sappiamo benissimo che gli utenti stranieri possono essere privi di CF, ma siccome l'utilizzo del CF in AAI non ha nessun significato "fiscale" (e' solo una funzione di hash dei dati personali), se vi dovesse capitare un caso del genere, potete generare voi stessi il "CF equivalente" per la persona in oggetto, utilizzando il calcolo del codice fiscale per visitatori stranieri, messo a punto da Dael, che troverete in http://www.lnf.infn.it/computing/fcfgen/.

Gruppi

Per la gestione dei gruppi collegarsi come utente groupserv. Il comando da eseguire e' quindi:

ssh -p 57847 [-i rsa_private_key_file] groupserv@godiva.infn.it

Una volta aperta la connessione, con il comando precedentemente indicato, il server aspetta i comandi uno per linea.

E' possibile eseguire un inserimento singolo scrivendo i comandi come ulteriori parametri nella linea di ssh.

Comandi

ComandoDescrizioneSintassi
ADDGROUP Esegue l'inserimento di un gruppo ADD dnsDomain:groupName:gidNumber
MODGROUP Modifica la entry relativa a groupName sostituendo il gidNumber MOD dnsDomain:groupName:gidNumber
ADDUSER Aggiunge un utente a un gruppo ADDUSER dnsDomain:groupName:userName
DELUSER Rimuove un utente da un gruppo DELUSER dnsDomain:groupName:userName
DELGROUP Elimina la entry relativa a groupName DELGROUP dnsDomain:groupName:gidNumber
SHO Mostra la entry relativa a groupName SHO dnsDomain:groupName (puo' contenere wildcard)

Netgroup

Per la gestione dei netgroup collegarsi come utente netgroupserv. Il comando da eseguire e' quindi:

ssh -p 57847 [-i rsa_private_key_file] netgroupserv@godiva.infn.it

Una volta aperta la connessione, con il comando precedentemente indicato, il server aspetta i comandi uno per linea.

E' possibile eseguire un inserimento singolo scrivendo i comandi come ulteriori parametri nella linea di ssh.

Comandi

ComandoDescrizioneSintassi
ADDNETGROUP Esegue l'inserimento di un gruppo ADDNETGROUP dnsDomain:netGroupName
ADDELEMENT Aggiunge una tripletta o un altro netgroup a un netgroup ADDELEMENT dnsDomain:netGroupName:ELEMENT
DELELEMENT Rimuove una tripletta o un altro netgroup da un netgroup DELELEMENT dnsDomain:netGroupName:ELEMENT
DELNETGROUP Elimina la entry relativa a netGroupName DELNETGROUP dnsDomain:netGroupName
SHO Mostra la entry relativa a netGroupName SHO dnsDomain:netGroupName (puo' contenere wildcard)
cn/ccr/aai/howto/protoserv2.txt · Last modified: 2017/05/03 14:25 by anzel@infn.it