INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus Marzo 2012
Perché I Il ramo nazionale ou=People,dc=infn,dc=it è gestito da Godiva in modo automatico I rami locali sono dedicati alle sedi che inserirscono utenti in ou=People,dc=SEDE,dc=infn,dc=it Gli utenti nelle sedi devono comunque essere definiti con i dati anagrafici coerenti Associare ad ogni identità presente in AAI un’utenza per il login e gli indirizzi 2INFN-AAI - Dael Maselli
Perché II Godiva non è ancora pronto per far gestire gli utenti locali nel DS ai servizi di calcolo delle sedi Nel frattempo, per non perdere traccia degli utenti locali è necessario popolare comunque i rami ou=People,dc=SEDE,dc=infn,dc=it Controllo univocità username Mapping utente-anagrafica in base al CF tramite trigger di Godiva 3INFN-AAI - Dael Maselli
Come Per risolvere il problema è stata scritta un’interfaccia semplificata e personalizzata al DS LDAP Uno script Perl accessibile tramite SSH Protoserv accetta determinati parametri utili ad AAI Ne controlla la coerenza Crea una entry LDAP nel ramo di sede Chiama una Godiva-API indicando il CF da “sincronizzare” 4INFN-AAI - Dael Maselli
Autenticazione Protoserv prevede l’autenticazione tramite SSH PKI Kerberos 5 GSSAPI (&(isMemberOf=s:csn7:calcolo:*)(infnKerberosPrincipal=*)) Ogni connessione ha gli stessi privilegi su tutti i rami A volte è necessario “aggiustare” il CF di un utente di un’altra sede perché l’identità corrisponde ad un vostro utente Ogni modifica cross-domain viene immediatamente notificata e sono comunque disponibili i backup per ripristinare la situazione 5INFN-AAI - Dael Maselli
LDAP Tutti i dati inseriti via Protoserv sono ineriti nel DS LDAP di produzione di INFN-AAI Per fare ricerche complesse è possibile quindi utilizzare le interfacce standard LDAP come ldapsearch o GUI come Apache Directory Studio Il DS di AAI risponde al nodo ds.infn.it 6INFN-AAI - Dael Maselli
Gestione attributi POSIX Protoserv ora offre un’interfaccia anche per l’inserimento dei dati posix per le entry locali Questo permette di implementare tutte le funzionalità di un server NIS Nuovi comandi permettono di inserire Tutte le informazioni del passwd Gestione gruppi Gestione nis-netgroup 7INFN-AAI - Dael Maselli
Gestione attributi POSIX Si può sostituire NIS con il server LDAP di INFN-AAI È anche possibile utilizzarlo come backend di un MTA per il routing della posta (userdb) La documentazione aggiornata si trova, come sempre, su wiki.infn.it 8INFN-AAI - Dael Maselli
F I N E INFN-AAI Protoserv Dael Maselli Tutorial INFN-AAI Plus