1 / 9

INFN-AAI Protoserv

INFN-AAI Protoserv. Dael Maselli Tutorial INFN-AAI Plus 26-30 Marzo 2012. Perché I. Il ramo nazionale ou=People,dc=infn,dc=it è gestito da Godiva in modo automatico I rami locali sono dedicati alle sedi che inserirscono utenti in ou=People,dc= SEDE ,dc=infn,dc=it

hadassah-lawrence
Download Presentation

INFN-AAI Protoserv

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INFN-AAIProtoserv Dael Maselli Tutorial INFN-AAI Plus 26-30 Marzo 2012

  2. Perché I • Il ramo nazionale ou=People,dc=infn,dc=it è gestito da Godiva in modo automatico • I rami locali sono dedicati alle sedi che inserirscono utenti in ou=People,dc=SEDE,dc=infn,dc=it • Gliutenti nelle sedi devono comunque essere definiti con i dati anagrafici coerenti • Associare ad ogni identità presente in AAI un’utenza per il login e gli indirizzi email INFN-AAI - Dael Maselli - 2010

  3. Perché II • Godiva non è ancora pronto per far gestire gli utenti locali nel DS ai servizi di calcolo delle sedi • Nel frattempo, per non perdere traccia degli utenti locali è necessario popolare comunque i rami ou=People,dc=SEDE,dc=infn,dc=it • Controllo univocità username • Mapping utente-anagrafica in base al CF tramite trigger di Godiva INFN-AAI - Dael Maselli - 2010

  4. Come • Per risolvere il problema è stata scritta un’interfaccia semplificata e personalizzata al DS LDAP • Uno script Perl accessibile tramite SSH • Protoserv accetta determinati parametri utili ad AAI • Ne controlla la coerenza • Crea una entry LDAP nel ramo di sede • Chiama una Godiva-API indicando il CF da “sincronizzare” INFN-AAI - Dael Maselli - 2010

  5. Autenticazione • Protoserv prevede l’autenticazione tramite • SSH PKI • Kerberos 5 GSSAPI (&(isMemberOf=s:csn7:calcolo:*)(infnKerberosPrincipal=*)) • Ogni connessione ha gli stessi privilegi su tutti i rami • A volte è necessario “aggiustare” il CF di un utente di un’altra sede perché l’identità corrisponde ad un vostro utente • Ogni modifica cross-domain viene immediatamente notificata e sono comunque disponibili i backup per ripristinare la situazione INFN-AAI - Dael Maselli - 2012

  6. LDAP • Tutti i dati inseriti via Protoserv sono ineriti nel DS LDAP di produzione di INFN-AAI • Per fare ricerche complesse è possibile quindi utilizzare le interfacce standard LDAP come ldapsearch o GUI come Apache Directory Studio • Il DS di AAI risponde al nodo ds.infn.it INFN-AAI - Dael Maselli - 2010

  7. Gestione attributi POSIX • Protoserv ora offre un’interfaccia anche per l’inserimento dei dati posix per le entry locali • Questo permette di implementare tutte le funzionalità di un server NIS • Nuovi comandi permettono di inserire • Tutte le informazioni del passwd • Gestione gruppi • Gestione nis-netgroup INFN-AAI - Dael Maselli - 2012

  8. Gestione attributi POSIX • Si può sostituire NIS con il server LDAP di INFN-AAI • È anche possibile utilizzarlo come backend di un MTA per il routing della posta (userdb) • La documentazione aggiornata si trova, come sempre, su wiki.infn.it INFN-AAI - Dael Maselli - 2012

  9. F I N E INFN-AAIProtoserv Dael Maselli Tutorial INFN-AAI Plus

More Related