cn:ccr:aai:doc:rid:istruzioni:calcolo
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| cn:ccr:aai:doc:rid:istruzioni:calcolo [2021/02/17 09:12] – [Utente LoA1 senza email o con indirizzo email "scaduto"] monducci@infn.it | cn:ccr:aai:doc:rid:istruzioni:calcolo [2022/05/03 13:30] (current) – [Fusione Identità] monducci@infn.it | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ====== Centri di calcolo ====== | ||
| + | |||
| + | |||
| + | A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia: | ||
| + | |||
| + | * un’identità digitale verificata (LoA2); | ||
| + | * dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT; | ||
| + | * preso visione della nota informativa di carattere generale sul trattamento dei dati personali; | ||
| + | * un ruolo attivo all’interno dell’INFN | ||
| + | |||
| + | Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch). | ||
| + | |||
| + | ===== GODiVA: Interfaccia grafica ===== | ||
| + | |||
| + | Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https:// | ||
| + | |||
| + | ===== GODiVA: Interfaccia command-line | ||
| + | Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https:// | ||
| + | |||
| + | godivapy -e prod list identity-details < | ||
| + | |||
| + | dove < | ||
| + | |||
| + | ===== LDAP: ldapsearch | ||
| + | |||
| + | |||
| + | Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in | ||
| + | |||
| + | | ||
| + | |||
| + | Nel caso di autenticazione Kerberos/ | ||
| + | |||
| + | |||
| + | |||
| + | host=ds1.infn.it | ||
| + | base=ou=people, | ||
| + | ldapsearch -ZZZ -Y GSSAPI -h $host -b $base ' | ||
| + | |||
| + | ===== Registrazione in proto-AAI | ||
| + | Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina: | ||
| + | |||
| + | https:// | ||
| + | |||
| + | Eseguendo prima il comando TRYADD e poi il comando ADD. | ||
| + | |||
| + | ssh -p 57847 extuserserv@protoserv.infn.it TRYADD sede: | ||
| + | |||
| + | |||
| + | |||
| + | ssh -p 57847 extuserserv@protoserv.infn.it ADD sede: | ||
| + | |||
| + | ===== Utenze non in GODiVA da sanare | ||
| + | Per sanare situazioni pregresse esempio utente/ | ||
| + | |||
| + | * invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN; | ||
| + | * assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte | ||
| + | * collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina: | ||
| + | |||
| + | https:// | ||
| + | |||
| + | |||
| + | ssh -p 57847 extuserserv@protoserv.infn.it MOD sede: | ||
| + | |||
| + | |||
| + | Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line). | ||
| + | |||
| + | |||
| + | ===== Fusione Identità ===== | ||
| + | |||
| + | - Assicurarsi che le due identità appartengano veramente alla stessa persona. \\ L' | ||
| + | - Cancellare il mailAlternateAddress dall' | ||
| + | - Assegnare il mailAlternateAddress all' | ||
| + | - Fare il merge. Dalla gui java di godiva: Identità -> Fusione identità | ||
| + | |||
| + | **NB:** Se, inavvertitamente, | ||
| + | - attivare l' | ||
| + | - cancellare il/i mail-alternate address | ||
| + | - aggiornare l' | ||
| + | - deattivare l' | ||
| + | |||
| + | **NB:** Se, dopo la fusione, l' | ||
| + | |||
| + | [[calcolo# | ||
| + | ===== Richiesta RisorseIT da utente con Grant Referente 1 ===== | ||
| + | |||
| + | Attualmente gli utenti che sono gìà LoA2 ed hanno Grant Refernte uguale ad 1\\ | ||
| + | hanno dei problemi a richiedere le RisorseIT tramite il portale utente\\ | ||
| + | (la procedura si blocca con la rotella di avanzamento che non avanza). | ||
| + | |||
| + | Per permettere agli utenti di accettare il Disciplinare Risorse Informatiche farli collegare al seguente link: | ||
| + | |||
| + | http:// | ||
| + | |||
| + | ===== Creare un account per accede al portale INFN o a Baltig ===== | ||
| + | E' possibile creare un account che possa accedere al portale INFN (per sempio per inserire una missione)\\ | ||
| + | o a Baltig: | ||
| + | |||
| + | senza necessariamente creare un account locale. | ||
| + | |||
| + | * Collegarsi a GODiVA: GODiVA.jnlp | ||
| + | * cercare l' | ||
| + | |||
| + | * verificare che abbia un' | ||
| + | * verificare che abbia il Codice fiscale (solo per il portale INFN) | ||
| + | * verificare che abbia accettato il disciplinare (solo per Baltig) | ||
| + | |||
| + | * scegliere da menu **Comandi** contestuale alla scheda utente: **Crea Default Username** | ||
| + | |||
| + | {{ : | ||
| + | |||
| + | |||
| + | ===== Utente LoA1 senza email o con indirizzo email " | ||
| + | |||
| + | Dopo aver verificato l' | ||
| + | |||
| + | * creare un nuovo il mailAlternateAddress selezionando il dominio INFN.IT | ||
| + | |||
| + | Attenzione inserire un indirizzo NON “*infn.it” \\ | ||
| + | Sarebbe buona norma verificare prima che l' | ||
| + | |||
| + | ===== Utente ha superato il corso informatica di base ma non compare in LDAP ===== | ||
| + | |||
| + | Probabilmente la persona ha fatto il corso chiedendo un account moodle. | ||
| + | Per aggiornare lo stato del corso inserire il campo: | ||
| + | Sicurezza informatica - BASE | ||
| + | con i seguenti valori | ||
| + | Dominio: INFN | ||
| + | Valore: superato | ||
| + | From: <data certificato> | ||
| + | To: 00-00-000 | ||
| + | |||
| + | ===== Chi può fare il corso informatica di base ===== | ||
| + | |||
| + | E' necessario che l' | ||
| + | |||
| + | ===== Cancellare un' | ||
| + | In carico ai soli amministratori di KeyCloak | ||
| + | |||
| + | Collegarsi a: [[https:// | ||
| + | |||
| + | Selezionare il realm: **aai** \\ | ||
| + | ATTENZIONE **aai** non aai-ldap | ||
| + | |||
| + | Manage -> Users | ||
| + | |||
| + | Cercare l' | ||
| + | |||
| + | Visualizzarlo (premendo il campo ID) | ||
| + | |||
| + | Verificare che il valore infnUUID (presente tra gli attributi) sia relativo all' | ||
| + | |||
| + | Tornare all' | ||
| + | |||
| + | ===== Cancellazione password LDAP per account Kerberizzati ===== | ||
| + | Se un account possiede come locality una sede che valorizza l' | ||
| + | | ||
| + | infnKerberosPrincipal: | ||
| + | |||
| + | lo script automatico che gira su dsm2.infn.it cancellerà i riferimenti alla password LDAP (con relativa scadenza). \\ | ||
| + | Lo script gira alle 4:00 alle 12:00 e alle 20:00 | ||
| + | |||
| + | ===== Link Utili ===== | ||
| + | |||
| + | ==== Registrazione Identità ==== | ||
| + | |||
| + | Produzione: | ||
| + | |||
| + | |||
| + | Preproduzione: | ||
| + | |||
| + | ==== User Portal ==== | ||
| + | |||
| + | Produzione [[https:// | ||
| + | |||
| + | Preproduzione [[https:// | ||
| + | |||
| + | ==== Corso informatica di base ==== | ||
| + | [[https:// | ||
| + | |||