INFNAAI Enrico M V Fasanelli CCR settembre 2016

INFN-AAI Enrico M. V. Fasanelli CCR settembre 2016

INFN-AAI Directory Services Godiva App. Server Godiva 1 Godiva 2 SLB Godiva Data. Base ODA 1 ODA 2 Oracle RAC LDAP Slaves core DS 1 DS 2 (LNF) (CNAF) LDAP Masters core DSm 1 DSm 2 (LNF) (CNAF) INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 2

LDAP Core Server l l Totale entry: 51099 Entry ramo nazionale: l 22992 (ou=People) l 13641(ou=Groups) 5 Server nazionali l 3 master: 2 LNF + 1 CNAF l 2 slave: 1 LNF + 1 CNAF Aggiornati nel 2015 l SL / Centos 6. 6 l Cluster o. Virt su Hardware nuovo INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 3

LDAP Slave in sede l 13 server locali l 12 sedi l Pisa, Roma 2, Lecce, Bologna, Roma 1, Catania, LNF, Perugia, LNS, LNGS (solo ramo nazionale), Bari, Cagliari INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 4

Gruppi INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 5

Gruppi l ldapsearch -ZZZ -Y GSSAPI -h ds. infn. it -b ou=groups, dc=infn, dc=it 'cn=166_14_26_37264’ # 166_14_26_37264, Groups, infn. it dn: cn=166_14_26_37264, ou=Groups, dc=infn, dc=it cn: 166_14_26_37264 object. Class: top object. Class: group. Of. Names description: Accessi->Accessi INFN->Accessi LNF->EPS Tornello Stazione: : Accessi Dipendente: Normale INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 6

Gruppi l l @166_14_26_37264 @infn. it: ismemberof=accessi: infn: lnf: eps_tornello_st azione: : acc_dip_norm INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 7

Gruppi l l @166_14_26_37264 @infn. it: ismemberof=accessi: infn: lnf: eps_tornello_st azione: : acc_dip_norm INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 8

Campo mail l l Il campo “mail” ora è sempre valorizzato. Per ogni anagrafica, analizzando tutti i mail. Alternate. Address, viene considerato il primo dei seguenti criteri che ritorna un risultato: l l'email della sede del ruolo ATTIVO da dipendente (borsista, assegnista o collaboratore) l l'email della sede del ruolo ATTIVO da associato l l'email della sede del ruolo (o dei ruoli) ATTIVO da ospite (dalla più recente) l l'email della sede dei ruoli SCADUTI (nell'ordine da dipendente, associato, ospite, partendo dal più recente) l l'indirizzo mail. Alternate creato più recente, indipendentemente dal ruolo Se dopo questa sequenza non ho ancora un risultato, allora il campo mail resta vuoto. INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 9

Username temporanee l l l L’attuale sistema di auto-registrazione assegna username “temporanea” del tipo NCnnnnnn Il livello di confidenza sulla veridicità dei dati della Identità Digitale associata a tale username è zero (Lo. A 0) Quando all’utente viene assegnata una username locale, la username “temporanea” viene sovrascritta automaticamente INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 10

GODi. VA l Login Kerberos INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 11

godivacli l l GODi. VA espone 2 tipi di API: l Eseguibili da chiunque (senza autenticazione) l Soggette ad autorizzazioni (autenticate) godivacli ora permette di accedere alle API via autenticazione con certificato X. 509 l Bisogna ovviamente scrivere le interfacce a queste API, ma l’infrastruttura ora c’è. INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 12

To Do Futuro prossimo

Registrazione Ospiti l Account l Gli utenti auto-registrati ottengono un account che anche se “temporaneo” permette l’utilizzo di alcune risorse informatiche dell’INFN (ad esempio l’agenda) l Dovranno quindi prendere visione ed accettare il disciplinare per l’utilizzo delle risorse informatiche dell’INFN l Lo. A 0 INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 14

Registrazione Ospiti l l L'attuale sistema di auto-registrazione dovrà essere modificato permettere l'upload del documento di riconoscimento. L’idea è che: l L'utente si auto-registra in GODi. VA inserendo: nome e cognome, data e luogo di nascita, sesso, email, la copia del documento di identità con foto ed un Referente scelto tra quelli presentati sulla pagina. l Legge ed accetta il disciplinare l Il Referente prescelto verifica i dati e conferma l Lo. A 1 l oppure no l Lo. A 0 INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 15

Referenti l l l Referenti dovranno essere nominati dai Direttori con l'indicazione del campo di competenza (ad esempio: "Atlas", "CMS", "Calcolo", "Dipartimento"). L'informazione viene salvata in GODi. VA ed AAI e presentata all'utente in fase di registrazione. Dovrà essere creato il ruolo e quanto serve per la sua gestione. INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 16

Account locali l l Il sistema di registrazione potrebbe essere parametrizzato per poter “ospitare” i vari form di richiesta di account per accesso alle risorse informatiche di sede/esperimento. Questa potrebbe essere una “anticipazione tecnologica” in quanto il disegno di INFN-AAI prevedeva il servizio di richiesta e configurazione di account locale. INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 17

To Do Futuro ……….

Verso un servizio INFN-AAI l l Formazione l Tutorial AAI Livello I l Lecce 19 -21 ottobre 2016 l Tutorial AAI Livello II l Bologna 7 -11 novembre 2016 l Fit. SM (Foundamental & Advanced) l Pisa 29 novembre – 1 dicembre 2016 (TBC) Formalizzazione l ……………… INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 19

Formazione III l Fit. SM richiesto per 16, approvato per 10 partecipanti l Il costo del corso non aumenta se aumentano i discenti (entro un numero ragionevole) INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 20

Formazione I INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 21

Formazione II INFN-AAI - Enrico M. V. Fasanelli - CCR settembre 2016 22

FINE INFN-AAI Enrico M. V. Fasanelli CCR settembre 2016