Centri di calcolo

A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia:

• un’identità digitale verificata (LoA2);
• dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT;
• preso visione della nota informativa di carattere generale sul trattamento dei dati personali;
• un ruolo attivo all’interno dell’INFN

Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).

Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).

Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "–help". Per visualizzare i dettagli associati ad una identità digitale il comando è:

godivapy -e prod list identity-details <identificativo> 

dove <identificativo> può essere infnUUID, e-mail o UID

Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in

https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate

Nel caso di autenticazione Kerberos/GSSAPI

host=ds1.infn.it 
base=ou=people,dc=infn,dc=it 
ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome' 

Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

Eseguendo prima il comando TRYADD e poi il comando ADD.

ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

ssh -p 57847 extuserserv@protoserv.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:

• invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN;
• assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte
• collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

ssh -p 57847 extuserserv@protoserv.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line).

1. Assicurarsi che le due identità appartengano veramente alla stessa persona.
   L'identità "primaria" (da lasciare in vita) è quella tipicamente quella più vecchia e col codice fiscale già inserito.
   Quella "secondaria" viene cancellata automaticamente dopo la fusione.
2. Cancellare il mailAlternateAddress dall'identità "secondaria"
3. Assegnare il mailAlternateAddress all'identità principale selezionando IL DOMINIO: INFN
4. Fare il merge. Dalla gui java di godiva: Identità → Fusione identità

NB: Se, inavvertitamente, è rimasto un indirizzo mail nell'identità deattivata per cancellarlo è necessario:

1. attivare l'identità
2. cancellare il/i mail-alternate address
3. aggiornare l'identità e verificare che anche il campo mail si sia ripulito
4. deattivare l'identità

NB: Se, dopo la fusione, l'utente non riesce a collegarsi allo user portal potrebbe essere anche necessario cancellare su keycloak l'account generato al volo, collegato all'infnUUID dell'identità cancellata. In tal caso bisogna contattare: aai-support@lists.infn.it

Cancellare identità da KeyCloak

Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1
hanno dei problemi a richiedere le RisorseIT tramite il portale utente
(la procedura si blocca con la rotella di avanzamento che non avanza).

Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link:

http://www.infn.it/disciplinareRisorseInformatiche/index.php

E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)
o a Baltig:

senza necessariamente creare un account locale.

• Collegarsi a GODiVA: GODiVA.jnlp
• cercare l'utente

• verificare che abbia un'identità di tipo LoA2
• verificare che abbia il Codice fiscale (solo per il portale INFN)
• verificare che abbia accettato il disciplinare (solo per Baltig)

• scegliere da menu Comandi contestuale alla scheda utente: Crea Default Username

Dopo aver verificato l'identità dell'utente

• creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT

Attenzione inserire un indirizzo NON “*infn.it”
Sarebbe buona norma verificare prima che l'indirizzo email sia "buono" (mandare un mail ed attenderne la risposta)

Probabilmente la persona ha fatto il corso chiedendo un account moodle. Per aggiornare lo stato del corso inserire il campo:

Sicurezza informatica - BASE

con i seguenti valori

Dominio: INFN
Valore: superato
From: <data certificato>
To: 00-00-000

E' necessario che l'identità sia LoA2

In carico ai soli amministratori di KeyCloak

Collegarsi a: https://idp.app.infn.it → Administration Console

Selezionare il realm: aai
ATTENZIONE aai non aai-ldap

Manage → Users

Cercare l'utente

Visualizzarlo (premendo il campo ID)

Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all'identità disabilitata

Tornare all'elenco degli user e cancellare lo user.

Se un account possiede come locality una sede che valorizza l'attributo:

infnKerberosPrincipal:

lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza).
Lo script gira alle 4:00 alle 12:00 e alle 20:00

Produzione: https://signup.app.infn.it/

Preproduzione:https://signup.app-pre.infn.it/

Produzione https://userportal.app.infn.it

Preproduzione https://userportal.app-pre.infn.it

Corso informatica di Base