Table of Contents

Centri di calcolo

A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia:

Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).

GODiVA: Interfaccia grafica

Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).

GODiVA: Interfaccia command-line

Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "–help". Per visualizzare i dettagli associati ad una identità digitale il comando è:

godivapy -e prod list identity-details <identificativo> 

dove <identificativo> può essere infnUUID, e-mail o UID

LDAP: ldapsearch

Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in

https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate

Nel caso di autenticazione Kerberos/GSSAPI

host=ds1.infn.it 
base=ou=people,dc=infn,dc=it 
ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome' 

Registrazione in proto-AAI

Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

Eseguendo prima il comando TRYADD e poi il comando ADD.

ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 
ssh -p 57847 extuserserv@protoserv.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Utenze non in GODiVA da sanare

Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

ssh -p 57847 extuserserv@protoserv.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line).

Fusione Identità

  1. Assicurarsi che le due identità appartengano veramente alla stessa persona.
    L'identità "primaria" (da lasciare in vita) è quella tipicamente quella più vecchia e col codice fiscale già inserito.
    Quella "secondaria" viene cancellata automaticamente dopo la fusione.
  2. Cancellare il mailAlternateAddress dall'identità "secondaria"
  3. Assegnare il mailAlternateAddress all'identità principale selezionando IL DOMINIO: INFN
  4. Fare il merge. Dalla gui java di godiva: Identità → Fusione identità

NB: Se, inavvertitamente, è rimasto un indirizzo mail nell'identità deattivata per cancellarlo è necessario:

  1. attivare l'identità
  2. cancellare il/i mail-alternate address
  3. aggiornare l'identità e verificare che anche il campo mail si sia ripulito
  4. deattivare l'identità

NB: Se, dopo la fusione, l'utente non riesce a collegarsi allo user portal potrebbe essere anche necessario cancellare su keycloak l'account generato al volo, collegato all'infnUUID dell'identità cancellata. In tal caso bisogna contattare: aai-support@lists.infn.it

Cancellare identità da KeyCloak

Richiesta RisorseIT da utente con Grant Referente 1

Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1
hanno dei problemi a richiedere le RisorseIT tramite il portale utente
(la procedura si blocca con la rotella di avanzamento che non avanza).

Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link:

http://www.infn.it/disciplinareRisorseInformatiche/index.php

Creare un account per accede al portale INFN o a Baltig

E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)
o a Baltig:

senza necessariamente creare un account locale.

Utente LoA1 senza email o con indirizzo email "scaduto"

Dopo aver verificato l'identità dell'utente

Attenzione inserire un indirizzo NON “*infn.it”
Sarebbe buona norma verificare prima che l'indirizzo email sia "buono" (mandare un mail ed attenderne la risposta)

Utente ha superato il corso informatica di base ma non compare in LDAP

Probabilmente la persona ha fatto il corso chiedendo un account moodle. Per aggiornare lo stato del corso inserire il campo:

Sicurezza informatica - BASE

con i seguenti valori

Dominio: INFN
Valore: superato
From: <data certificato>
To: 00-00-000

Chi può fare il corso informatica di base

E' necessario che l'identità sia LoA2

Cancellare un'identità da KeyCloak

In carico ai soli amministratori di KeyCloak

Collegarsi a: https://idp.app.infn.it → Administration Console

Selezionare il realm: aai
ATTENZIONE aai non aai-ldap

Manage → Users

Cercare l'utente

Visualizzarlo (premendo il campo ID)

Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all'identità disabilitata

Tornare all'elenco degli user e cancellare lo user.

Cancellazione password LDAP per account Kerberizzati

Se un account possiede come locality una sede che valorizza l'attributo:

infnKerberosPrincipal:

lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza).
Lo script gira alle 4:00 alle 12:00 e alle 20:00

Registrazione Identità

Produzione: https://signup.app.infn.it/

Preproduzione:https://signup.app-pre.infn.it/

User Portal

Produzione https://userportal.app.infn.it

Preproduzione https://userportal.app-pre.infn.it

Corso informatica di base

Corso informatica di Base