User Tools

Site Tools


Sidebar

cn:ccr:aai:doc:rid:istruzioni:calcolo

Centri di calcolo

A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia:

  • un’identità digitale verificata (LoA2);
  • dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT;
  • preso visione della nota informativa di carattere generale sul trattamento dei dati personali;
  • un ruolo attivo all’interno dell’INFN

Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).

GODiVA: Interfaccia grafica

Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).

GODiVA: Interfaccia command-line

Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "–help". Per visualizzare i dettagli associati ad una identità digitale il comando è:

godivapy -e prod list identity-details <identificativo> 

dove <identificativo> può essere infnUUID, e-mail o UID

LDAP: ldapsearch

Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in

https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate

Nel caso di autenticazione Kerberos/GSSAPI

host=ds1.infn.it 
base=ou=people,dc=infn,dc=it 
ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome' 

Registrazione in proto-AAI

Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

Eseguendo prima il comando TRYADD e poi il comando ADD.

ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 
ssh -p 57847 extuserserv@protoserv.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Utenze non in GODiVA da sanare

Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:

  • invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN;
  • assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte
  • collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

ssh -p 57847 extuserserv@protoserv.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line).

Fusione Identità

  1. Assicurarsi che le due identità appartengono veramente alla stessa persona.
    L'identità "primaria" (da lasciare in vita) è quella tipicamente col codice fiscale già inserito.
    Quella "secondaria" viene cancellata automaticamente dopo la fusione.
  2. Cancellare il mailAlternateAddress dall'identità "secondaria"
  3. Assegnare il mailAlternateAddress all'identità principale selezionando IL DOMINIO: INFN
  4. Fare il merge. Dalla gui java di godiva: Identità → Fusione identità

NB: Se, dopo la fusione, l'utente non riesce a collegarsi allo user portal potrebbe essere anche necessario cancellare su keycloak l'account generato al volo, collegato all'infnUUID dell'identità cancellata. In tal caso bisogna contattare: aai-support@lists.infn.it

Cancellare identità da KeyCloak

Richiesta RisorseIT da utente con Grant Referente 1

Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1
hanno dei problemi a richiedere le RisorseIT tramite il portale utente
(la procedura si blocca con la rotella di avanzamento che non avanza).

Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link:

http://www.infn.it/disciplinareRisorseInformatiche/index.php

Creare un account per accede al portale INFN o a Baltig

E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)
o a Baltig:

senza necessariamente creare un account locale.

  • Collegarsi a GODiVA: GODiVA.jnlp
  • cercare l'utente
  • verificare che abbia un'identità di tipo LoA2
  • verificare che abbia il Codice fiscale (solo per il portale INFN)
  • verificare che abbia accettato il disciplinare (solo per Baltig)
  • scegliere da menu Comandi contestuale alla scheda utente: Crea Default Username

Utente LoA1 senza email o con indirizzo email "scaduto"

Dopo aver verificato l'identità dell'utente

  • creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT

Attenzione inserire un indirizzo NON “*infn.it”
Sarebbe buona norma verificare prima che l'indirizzo email sia "buono" (mandare un mail ed attenderne la risposta)

Utente ha superato il corso informatica di base ma non compare in LDAP

Probabilmente la persona ha fatto il corso chiedendo un account moodle. Per aggiornare lo stato del corso inserire il campo:

Sicurezza informatica - BASE

con i seguenti valori

Dominio: INFN
Valore: superato
From: <data certificato>
To: 00-00-000

Chi può fare il corso informatica di base

E' necessario che l'identità sia LoA2

Cancellare un'identità da KeyCloak

In carico ai soli amministratori di KeyCloak

Collegarsi a: https://idp.app.infn.it → Administration Console

Selezionare il realm: aai
ATTENZIONE aai non aai-ldap

Manage → Users

Cercare l'utente

Visualizzarlo (premendo il campo ID)

Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all'identità disabilitata

Tornare all'elenco degli user e cancellare lo user

Registrazione Identità

User Portal

Corso informatica di base

cn/ccr/aai/doc/rid/istruzioni/calcolo.txt · Last modified: 2021/06/08 11:19 by monducci@infn.it