====== Centri di calcolo ====== A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia: * un’identità digitale verificata (LoA2); * dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT; * preso visione della nota informativa di carattere generale sul trattamento dei dati personali; * un ruolo attivo all’interno dell’INFN Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch). ===== GODiVA: Interfaccia grafica ===== Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice). ===== GODiVA: Interfaccia command-line ===== Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "--help". Per visualizzare i dettagli associati ad una identità digitale il comando è: godivapy -e prod list identity-details dove può essere infnUUID, e-mail o UID ===== LDAP: ldapsearch ===== Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate Nel caso di autenticazione Kerberos/GSSAPI host=ds1.infn.it base=ou=people,dc=infn,dc=it ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome' ===== Registrazione in proto-AAI ===== Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina: https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3 Eseguendo prima il comando TRYADD e poi il comando ADD. ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address ssh -p 57847 extuserserv@protoserv.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address ===== Utenze non in GODiVA da sanare ===== Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo: * invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN; * assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte * collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina: https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3 ssh -p 57847 extuserserv@protoserv.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line). ===== Fusione Identità ===== - Assicurarsi che le due identità appartengano veramente alla stessa persona. \\ L'identità "primaria" (da lasciare in vita) è quella tipicamente quella più vecchia e col codice fiscale già inserito. \\ Quella "secondaria" viene cancellata automaticamente dopo la fusione. - Cancellare il mailAlternateAddress dall'identità "secondaria" - Assegnare il mailAlternateAddress all'identità principale selezionando IL DOMINIO: INFN - Fare il merge. Dalla gui java di godiva: Identità -> Fusione identità **NB:** Se, inavvertitamente, è rimasto un indirizzo mail nell'identità deattivata per cancellarlo è necessario: - attivare l'identità - cancellare il/i mail-alternate address - aggiornare l'identità e verificare che anche il campo mail si sia ripulito - deattivare l'identità **NB:** Se, dopo la fusione, l'utente non riesce a collegarsi allo user portal potrebbe essere anche necessario cancellare su keycloak l'account generato al volo, collegato all'infnUUID dell'identità cancellata. In tal caso bisogna contattare: aai-support@lists.infn.it [[calcolo#cancellare_un_identita_da_keycloak|Cancellare identità da KeyCloak]] ===== Richiesta RisorseIT da utente con Grant Referente 1 ===== Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1\\ hanno dei problemi a richiedere le RisorseIT tramite il portale utente\\ (la procedura si blocca con la rotella di avanzamento che non avanza). Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link: http://www.infn.it/disciplinareRisorseInformatiche/index.php ===== Creare un account per accede al portale INFN o a Baltig ===== E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)\\ o a Baltig: senza necessariamente creare un account locale. * Collegarsi a GODiVA: GODiVA.jnlp * cercare l'utente * verificare che abbia un'identità di tipo LoA2 * verificare che abbia il Codice fiscale (solo per il portale INFN) * verificare che abbia accettato il disciplinare (solo per Baltig) * scegliere da menu **Comandi** contestuale alla scheda utente: **Crea Default Username** {{ :cn:ccr:aai:doc:rid:comandi-creadefaultusername.png?400 |}} ===== Utente LoA1 senza email o con indirizzo email "scaduto" ===== Dopo aver verificato l'identità dell'utente * creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT Attenzione inserire un indirizzo NON “*infn.it” \\ Sarebbe buona norma verificare prima che l'indirizzo email sia "buono" (mandare un mail ed attenderne la risposta) ===== Utente ha superato il corso informatica di base ma non compare in LDAP ===== Probabilmente la persona ha fatto il corso chiedendo un account moodle. Per aggiornare lo stato del corso inserire il campo: Sicurezza informatica - BASE con i seguenti valori Dominio: INFN Valore: superato From: To: 00-00-000 ===== Chi può fare il corso informatica di base ===== E' necessario che l'identità sia LoA2 ===== Cancellare un'identità da KeyCloak ===== In carico ai soli amministratori di KeyCloak Collegarsi a: [[https://idp.app.infn.it]] -> Administration Console Selezionare il realm: **aai** \\ ATTENZIONE **aai** non aai-ldap Manage -> Users Cercare l'utente Visualizzarlo (premendo il campo ID) Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all'identità disabilitata Tornare all'elenco degli user e cancellare lo user. ===== Cancellazione password LDAP per account Kerberizzati ===== Se un account possiede come locality una sede che valorizza l'attributo: infnKerberosPrincipal: lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza). \\ Lo script gira alle 4:00 alle 12:00 e alle 20:00 ===== Link Utili ===== ==== Registrazione Identità ==== Produzione: [[https://signup.app.infn.it/|]] Preproduzione:[[https://signup.app-pre.infn.it/|]] ==== User Portal ==== Produzione [[https://userportal.app.infn.it|]] Preproduzione [[https://userportal.app-pre.infn.it]] ==== Corso informatica di base ==== [[https://elearning.infn.it/course/view.php?id=105|Corso informatica di Base]]