INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010
Perché I Il ramo nazionale ou=People,dc=infn,dc=it è gestito da Godiva in modo automatico I rami locali sono dedicati alle sedi che tramite Godiva inseriscono i loro utenti in ou=People, dc=SEDE,dc=infn,dc=it Gli utenti nelle sedi devono comunque essere coerenti con i dati anagrafici Deve esistere un mapping tra ogni utente del DS con un’identità del person registry 2INFN-AAI - Dael Maselli
Perché II Godiva non è ancora pronto per far gestire gli utenti nel DS ai servizi di calcolo delle sedi Nel frattempo, per non perdere traccia degli utenti locali è necessario popolare comunque i rami ou=People,dc=SEDE,dc=infn,dc=it Controllo univocità username Mapping utente-anagrafica in base al CF tramite trigger di Godiva 3INFN-AAI - Dael Maselli
Come Per risolvere il problema è stata scritta un’interfaccia semplificata e personalizzata al DS LDAP Uno script Perl accessibile tramite SSH Protoserv accetta determinati parametri utili ad AAI Ne controlla la coerenza Crea una entry LDAP nel ramo di sede Chiama una Godiva-API via SOAP indicando il CF da “sincronizzare” 4INFN-AAI - Dael Maselli
Autenticazione Protoserv prevede l’autenticazione tramite SSH PKI Ogni connessione ha gli stessi privilegi su tutti i rami Sembrerebbe un bug di sicurezza......invece è una FEATURE!!! A volte è necessario “aggiustare” il CF di un utente di un’altra sede perché l’identità corrisponde ad un vostro utente Ogni modifica cross-domain viene immediatamente notificata e sono comunque disponibili i backup per ripristinare la situazione 5INFN-AAI - Dael Maselli
LDAP Tutti i dati inseriti via Protoserv sono disponibili nel DS LDAP di AAI Per fare ricerche complesse è possibile quindi utilizzare le interfacce standard LDAP come ldapsearch o GUI come Apache Directory Studio Il DS di AAI risponde al nodo ds.infn.it 6INFN-AAI - Dael Maselli
F I N E INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus