EGRID System Administration commands
EGRID Tutorial for version 1.0
Configurazioni necessarie per gliteUI
Forgot your password?
EGRID RFC 3
Stato: Bozza I
Preliminari all'aggiunta (da espletarsi a cura dell'utente)
L'utente della griglia EGRID deve essere in possesso di un certificato personale rilasciato dalla CA di INFN (http://security.fi.infn.it/CA/) in corso di validità.
La procedura di abilitazione dell'utente all'uso di EGRID parte quando l'utente comunica all'indirizzo e-mail <staff@egrid.it> le seguenti informazioni:
- Nome e Cognome;
- Istituto di affiliazione;
- Indirizzo e-mail valido.
Tutte queste informazioni sono leggibili dalla parte pubblica del certificato, per cui l'utente può semplicemente allegare questo alla e-mail con cui richiede l'abilitazione all'uso della griglia.
L'utente deve firmare queste e-mail di richiesta allo Staff di EGRID con il proprio certificato INFN-CA usando la tecnologia S/MIME; cfr. [EGRID-SMIME] per istruzioni su come configurare il browser "Mozilla" per questo.
Procedura di aggiunta di un utente
Per abilitare un utente che abbia fatto richiesta all'uso della griglia EGRID, è necessario aprire un account, seguendo i passi qui sotto elencati:
- Aggiungere tre entry
nell'albero LDAP:
- account dell'utente
- gruppo privato dell'utente
- ramo contenitore dei gruppi controllati dall'utente
- Impostare una password per l'account appena creato.
- Aggiungere il nome account dell'utente al gruppo
egridusr; per usare effettivamente la griglia, è necessario che l'utente venga aggiunto a tutti i gruppi di contratto e di progetto con cui deve collaborare: si suppone che questo compito verrà svolto dagli amministratori di contratto e di progetto, e non dallo Staff EGRID. - Aggiungere il DN LDAP dell'account appena creato
all'elemento
groupOfNamesche definisce la VOEGRID - Abilitare l'utente all'uso di tutti i Computing Element e Storage Element della griglia EGRID.
- Creare lo spazio personale (home) in griglia
Lo script egrid-adduser esegue le operazioni numerate da 1. a 4. a partire dal certificato dell'utente in formato PEM.
Apertura di un account sul server utenti centrale
Il server LDAP in cui vengono custoditi gli account utente è
egrid-1.egrid.it , da cui le informazioni di autenticazione
vengono copiate su egrid-se-01.pd.infn.it (SE di produzione
a Padova).
L'account dell'utente viene creato aggiungendo una entry nel
ramo ou=People,ou=NSS,o=egrid,c=it dell'albero LDAP, di
classe posixAccount e shadowAccount, come nell'esempio
seguente::
dn: cn=Riccardo Murri, ou=People, ou=NSS, o=egrid, c=it cn: Riccardo Murri description: subject= /C=IT/O=INFN/OU=Personal Certificate/L=ICTP/CN=Riccardo Murri gidNumber: 1 homeDirectory: /home/egrid/rmurri loginShell: /bin/bash objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: pkiUser objectClass: posixAccount objectClass: shadowAccount objectClass: top shadowExpire: 1119451068 shadowLastChange: 1097757232 sn: Murri uid: rmurri uidNumber: 1
I vari campi vanno impostati come segue:
- description
- la prima riga di questo attributo deve
contenere la stringa
subject=seguita dal subject estratto dal certificato dell'utente rilasciato da INFN-CA - cn
- Nome e cognome dell'utente, come scritti nel campo
CNdelsubjectdel certificato. - uid
- il nome dell'account utente; si stipula che il nome dell'account sia interamente in lettere minuscole, e ricavato dal cognome dell'utente, con un prefisso costituito dalle iniziali dei nomi, ma si sta attualmente considerando l'opportunità di usare l'indirizzo e-mail come nome account, in modo da avere nomi account globalmente unici.
- shadowExpire
- la data di scadenza del certificato, in formato "UNIX epoch"
- homeDirectory
/home/egrid/seguita dal nome dell'account; questo formato è attualmente necessario per il funzionamento dello script di creazione automatica delle home directory (cfr. [EGRID-RFC-2])
Per creare il gruppo privato dell'utente, è necessario
aggiungere al ramo ou=Group,ou=NSS,o=egrid,c=it una entry di
classe posixGroup, come nell'esempio seguente:
dn: cn=rmurri, ou=Group, ou=NSS, o=egrid, c=it
cn: rmurri
gidNumber: 1
objectClass: posixGroup
objectClass: top
I vari campi sono impostati come segue:
- cn
- nome dell'account utente
Per creare il ramo contenitore dei gruppi controllati
dall'utente, è necessario aggiungere al ramo
ou=Group,ou=NSS,o=egrid,c=it una entry di classe
organizationalUnit, come nell'esempio seguente:
dn: ou=Riccardo Murri, ou=Group, ou=NSS, o=egrid, c=it
description: contenitore dei gruppi controllati da Riccardo Murri
objectClass: organizationalUnit
objectClass: top
ou: Riccardo Murri
I vari campi sono impostati come segue:
- ou
- nome e cognome dell'utente, come nel campo
CNdel subject del certificato.
Lo script egrid-cert2ldif genera un file LDIF pronto per essere caricato nell'albero LDAP di EGRID a partire dal certificato dell'utente.
Impostazione di una password
La password si imposta con il comando ldappasswd :
ldappasswd -x -H ldap://egrid-1.egrid.it:10389/c=it/o=egrid \
-W -D 'cn=Manager,o=egrid,c=it' \
'cn=Nome Cognome, ou=People, ou=NSS, o=egrid, c=it'
Aggiunta di un utente al gruppo egridusr
È sufficiente aggiungere il nome account dell'utente (campo
uid nella entry LDAP in ou=People,ou=NSS,o=egrid,c=it)
alla lista dei valori dell'attributo memberUid della entry
cn=egridusr, ou=Group, ou=NSS, o=egrid, c=it
Aggiunta di un utente alla VO EGRID
È necessario aggiungere il DN dell'account appena creato alla
lista dei valori dell'attributo member dell'elemento
ou=EGRID, ou=VO, o=egrid, c=it ; per esempio:
dn: ou=Group1,ou=VO, o=egrid, c=it
cn: Group1
ou: Group1
objectClass: groupofnames
member: cn=Alessandra Tedeschi,ou=People,ou=NSS,o=egrid,c=it
[...]
member: cn=NUOVO ACCOUNT,ou=People,ou=NSS,o=egrid,c=it
La lista degli attributi member di ou=EGRID, ou=VO,
o=egrid, c=it viene usata per costruire i grid-mapfile dei
CE (cfr. sezione "Abilitazione all'uso dei CE ed SE")
Abilitazione all'uso dei CE ed SE
L'abilitazione all'uso dei CE ed SE (inserimento nel
grid-mapfile ) sui siti centrali della griglia EGRID avviene
automaticamente entro 12 ore dall'apertura dell'account.
L'abilitazione all'uso dei CE ed SE (inserimento nel
grid-mapfile ) sui siti periferici della griglia EGRID viene
effettuata dai sistemisti periferici secondo procedure e
criteri definiti localmente.
Creazione della home directory
Le home directory per i nuovi utenti vengono create automaticamente sullo SE centrale entro 12 ore dall'apertura dell'account.
Le home directory sugli SE periferici vengono create dai sistemisti periferici, secondo procedure definite localmente.
Rimozione di un utente
Per disabilitare l'accesso alla griglia di un utente, si devono effettuare le seguenti operazioni:
- cancellazione dell'account utente, del gruppo privato dell'utente, del ramo contenitore dei gruppi controllati dal server LDAP di EGRID;
- rimozione dell'utente dalla VO
EGRID - disabilitazione dell'accesso ai CE ed agli SE di griglia;
- rimozione dell'account utente da tutti i gruppi di cui è membro.
- rimozione della home utente dagli SE;
Lo script egrid-deluser
può effettuare le operazioni 1., 2. e 4. (limitatamente alla
rimozione dal gruppo egridusr) automaticamente a partire dal
nome dell'account utente.
Rimozione dei dati utente dal server LDAP
Si rimuovono dall'elbero LDAP degli utenti e VO di EGRID:
- la foglia
cn=NOME COGNOME, ou=People, ou=NSS, o=egrid, c=itche definisce l'account utente; - la foglia
cn=ACCOUNT, ou=Group, ou=NSS, o=egrid, c=itche definisce il gruppo privato dell'utente; - il ramo
ou=NOME COGNOME, ou=Group, ou=NSS, o=egrid, c=itche contiene i gruppi controllati dall'utente.
Questa operazione può essere effettuata tramite qualsiasi LDAP Browser o con il comando 'ldapdelete':
ldapdelete -x -W -D 'cn=Manager,o=egrid,c=it' \
-H ldap://egrid-1.egrid.it:10389/c=it/o=egrid \
'cn=NOME COGNOME,ou=People,ou=NSS,o=egrid,c=it' \
'cn=ACCOUNT,ou=Group,ou=NSS,o=egrid,c=it' \
'ou=NOME COGNOME,ou=Group,ou=NSS,o=egrid,c=it'
La cancellazione dei gruppi controllati dall'utente dal server LDAP provocherà entro poche ore la scomparsa di questi gruppi dagli SE, e quindi l'indisponibilità dei dati di proprietà di questi gruppi. Non è possibile controllare che su tutta la griglia non esistano dati in possesso di questi gruppi; questo pone un problema: dovremo considerare i gruppi come "eterni", nel senso che una volta creati non li si può cancellare?
Rimozione di un utente dalla VO EGRID
Si rimuove il DN dell'account utente dai valori dell'attributo
member della foglia ou=EGRID, ou=VO, o=egrid, c=it
nell'albero LDAP di EGRID.
Questa operazione può essere effettuata tramite qualsiasi LDAP
Browser o con il comando ldapmodify.
Disabilitazione dell'accesso ai CE ed agli SE
Avviene automaticamente sui CE e gli SE centrali, entro 12 ore dalla cancellazione dell'utente dal server LDAP e dalla VO.
Nei siti periferici, avviene con modalità e tempi decisi dai sistemisti locali.
Rimozione dell'utente dai gruppi
Lo script egrid-deluser cancella il nome account dell'utente
dal gruppo 'egridusr'; altrimenti, questa operazione può
essere effettuata con un LDAP browser o con il comando
ldapmodify.
La cancellazione dell'utente dai gruppi di contratto e di progetto avviene ad opera dei rispettivi amministratori; è necessario quindi istituire una mailing list di collegamento su cui annunciare le cancellazioni?
Rimozione della home utente dagli SE
Si è giudicato meglio non delegare questa operazione ad uno script automatico; per rimuovere le home di un utente dallo SE centrale lo Staff di EGRID contatterà i sistemisti dello SE. È opportuno controllare che i dati custoditi nella home di un utente non siano usati anche da altri utenti; sarebbe forse opportuno annunciare le cancellazioni su una mailing-list?
A rimuovere la home di un utente da uno SE periferico, provvederà il sistemista locale.
Riferimenti
[EGRID-SMIME] Alessio Terpin, "Comunicazione sicura con MozillaMail", http://www.egrid.it/doc/utenti/MozillaMail/
[EGRID-RFC-2] Riccardo Murri, "Struttura PFN per realizzare l'accesso separato ai dati", http://www.egrid.it/doc/rfc/2
Modifiche
$Log$
