User Tools

Site Tools


Sidebar

cn:ccr:aai:doc:rid:istruzioni

This is an old revision of the document!


Istruzioni operative

In questa sezione raccoglieremo le istruzioni operative aggiornate, relative alle versioni in produzione delle due applicazioni web

Utenti

Utenti, approvatori e certificatori

Centri di calcolo

A partire dalla messa in produzione del nuovo sistema di registrazione delle identità digitali, prima di assegnare un account ad un utente il centro di calcolo dovrebbe verificare che l’utente abbia:

  • un’identità digitale verificata (LoA2);
  • dichiarato di aver letto ed accettato il disciplinare INFN per l’utilizzo delle risorse IT;
  • preso visione della nota informativa di carattere generale sul trattamento dei dati personali;
  • un ruolo attivo all’interno dell’INFN

Queste informazioni sono registrate sia in GODiVA (e sono visualizzabili sia via interfaccia grafica che attraverso interfaccia a linea di comando) che nell’LDAP di INFN-AAI (e visualizzabili quindi via ldapsearch).

GODiVA: Interfaccia grafica

Per visualizzare le informazioni di cui sopra è sufficiente aprire l’applicazione GODiVA (istruzioni in https://wiki.infn.it/cn/ccr/aai/howto/godiva/home) e ricercare l’utente e, tra i dettagli, verificare il Level of Assurance, il Disciplinare Risorse informatiche e, tra i ruoli, un ruolo attivo tra dipendente, associato, ospite e visitatore (vedi screen-shot in appendice).

GODiVA: Interfaccia command-line

Le istruzioni per scaricare la nuova CLI a GODiVA scritta in python (godivapy) sono in https://baltig.infn.it/infn-aai/godivapy. La CLI è dotata di help accessibile via switch "–help". Per visualizzare i dettagli associati ad una identità digitale il comando è:

godivapy -e prod list identity-details <identificativo> 

dove <identificativo> può essere infnUUID, e-mail o UID

LDAP: ldapsearch

Gli attributi che contengono i valori relativi al Level of Assurance, presa visione ed accettazione del disciplinare e ruolo sono visibili solo attraverso query LDAP autenticate. Le istruzioni su come effettuare una query LDAP autenticata sono in

https://wiki.infn.it/cn/ccr/aai/howto/useldap#query_ldap_autenticate

Nel caso di autenticazione Kerberos/GSSAPI

host=ds1.infn.it 
base=ou=people,dc=infn,dc=it 
ldapsearch -ZZZ -Y GSSAPI -h $host -b $base 'cn=nome cognome' 

Registrazione in proto-AAI

Successivamente il centro di calcolo dovrebbe procedere alla registrazione dell’account nel ramo locale utilizzando la procedura presente in questa pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

Eseguendo prima il comando TRYADD e poi il comando ADD.

ssh -p 57847 extuserserv@godiva.infn.it TRYADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 
ssh -p 57847 extuserserv@godiva.infn.it ADD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Utenze non in GODiVA da sanare

Per sanare situazioni pregresse esempio utente/account inserito nel solo ramo locale e quindi non collegato ad un’identità digitale, il centro di calcolo dovrebbe procedere in questo modo:

  • invitare l’utente a registrare la propria identità digitale usando il nuovo sistema (signUp ed userPortal) e ad effettuare la richiesta di accesso alle risorse IT in modo che l’utente prenda visione ed accetti il disciplinare per l’utilizzo delle risorse informatiche dell’INFN;
  • assegnare all’utente il ruolo di Ospite, con qualifica opportunamente selezionata tra quelle proposte
  • collegare l’identità nazionale a quella locale tramite il comando MOD presente alla pagina:

https://wiki.infn.it/cn/ccr/aai/howto/protoaai/protoserv3

ssh -p 57847 extuserserv@godiva.infn.it MOD sede:uid:infnUUID:Nome:Cognome:Kerberos:mail:mail_alternate_address 

Dove infnUUID dovrà essere l’infnUUID dell’identità digitale (campo visibile, nel DN dell’entry LDAP o tramite GODiVA, sia interfaccia grafica che command-line).

Gestori dei gruppi di approvatori e certificatori

cn/ccr/aai/doc/rid/istruzioni.1595407363.txt.gz · Last modified: 2020/07/22 08:42 by enrico@infn.it