Difference between revisions of "Accounts"
(→Preparazione account AFS / kerberos e AAI) |
(→Preparazione account AFS / kerberos e AAI) |
||
Line 23: | Line 23: | ||
#Codice Fiscale | #Codice Fiscale | ||
#Gruppo informatico primario | #Gruppo informatico primario | ||
− | + | <br> | |
<B>Si decide lo username di 8 caratteri massimo.</B><br> | <B>Si decide lo username di 8 caratteri massimo.</B><br> | ||
Anche se i nuovi sistemi supportano username piu' lunghi, sia per continuita' con il passato | Anche se i nuovi sistemi supportano username piu' lunghi, sia per continuita' con il passato | ||
sia per evitare eventuali problemi, e' consigliabile attenersi a questa regola.<br> | sia per evitare eventuali problemi, e' consigliabile attenersi a questa regola.<br> | ||
− | + | <br> | |
<B>Si verifica che lo username scelto non sia gia' presente in AAI.</B><br> | <B>Si verifica che lo username scelto non sia gia' presente in AAI.</B><br> | ||
Poiche' INFN AAI richiede che lo username sia unico a livello nazionale, e' necessario verificare che qualche altra sezione | Poiche' INFN AAI richiede che lo username sia unico a livello nazionale, e' necessario verificare che qualche altra sezione | ||
non lo abbia gia' inserito in AAI; per fare questa verifica ci si collega con protoserv2 ([http://wiki.infn.it/cn/ccr/aai/howto/protoserv2 vedi istruzioni]) con il comando:<br> | non lo abbia gia' inserito in AAI; per fare questa verifica ci si collega con protoserv2 ([http://wiki.infn.it/cn/ccr/aai/howto/protoserv2 vedi istruzioni]) con il comando:<br> | ||
− | ''ssh -p 57847 protoserv2@godiva.infn.it<br> | + | ''ssh -p 57847 protoserv2@godiva.infn.it''<br> |
− | > SHO all:username<br> | + | ''> SHO all:username''<br> |
se lo username e' gia' in uso vengono ritornati i dati relativi ad esso, altrimenti il seguente messaggio di errore:<br> | se lo username e' gia' in uso vengono ritornati i dati relativi ad esso, altrimenti il seguente messaggio di errore:<br> | ||
− | ''line nn: ERROR - entry not found<br> | + | ''line nn: ERROR - entry not found''<br> |
<B>Si inserisce lo username in AAI</B><br> | <B>Si inserisce lo username in AAI</B><br> | ||
L'inserimento dello username in AAI si effettua con il seguente comando:<br> | L'inserimento dello username in AAI si effettua con il seguente comando:<br> | ||
− | > ADD pi.infn.it:username:CodiceFiscale:Nome:Cognome:kerberos_principal:email_canonico<br> | + | ''> ADD pi.infn.it:username:CodiceFiscale:Nome:Cognome:kerberos_principal:email_canonico''<br> |
per esempio:<br> | per esempio:<br> | ||
− | > ADD pi.infn.it:terreni: | + | ''> ADD pi.infn.it:terreni:TRRRGPP59S23V454K:Giuseppe:Terreni:terreni@PI.INFN.IT:giuseppe.terreni@pi.infn.it''<br> |
− | + | <br> | |
<B>Creazione account locale</B><br> | <B>Creazione account locale</B><br> | ||
Login su galilinux come root e poi si prende il token di admin con il comando:<br> | Login su galilinux come root e poi si prende il token di admin con il comando:<br> | ||
− | |||
− | |||
− | galilinux ~ # cd /afs/pi.infn.it/project/local/ | + | ''galilinux ~ # klog admin''<br> |
+ | ''password: xxxxxxxx'' | ||
+ | |||
+ | ''galilinux ~ # cd /afs/pi.infn.it/project/local/'' | ||
A questo punto dal file passwd.all si cerca l'ultimo userid (UID) usato e il successivo lo si assegna al nuovo utente.<br> | A questo punto dal file passwd.all si cerca l'ultimo userid (UID) usato e il successivo lo si assegna al nuovo utente.<br> | ||
Si edita passwd.all e si aggiunge una riga con il nuovo username:<br> | Si edita passwd.all e si aggiunge una riga con il nuovo username:<br> | ||
− | username:x:UID:GUID:Nome COGNOME:/home/username:/bin/tcsh<br> | + | ''username:x:UID:GUID:Nome COGNOME:/home/username:/bin/tcsh''<br><br> |
dove GUID e' il valore numero del gruppo informatico principale al quale lo username appartiene.<br> | dove GUID e' il valore numero del gruppo informatico principale al quale lo username appartiene.<br> | ||
Si edita group.all e si inserisce lo username nel gruppo cui appartiene ed eventualmente nei gruppi secondari<br> | Si edita group.all e si inserisce lo username nel gruppo cui appartiene ed eventualmente nei gruppi secondari<br> | ||
− | gruppo:!:nnnn:user1,user2,user3,...,username<br> | + | ''gruppo:!:nnnn:user1,user2,user3,...,username''<br><br> |
dove gruppo e' il nome del gruppo, nnnn il suo valore numerico (GUID) e user1,..,username gli utenti del gruppo<br><br> | dove gruppo e' il nome del gruppo, nnnn il suo valore numerico (GUID) e user1,..,username gli utenti del gruppo<br><br> | ||
Line 68: | Line 69: | ||
secondo il formato:<br> | secondo il formato:<br> | ||
− | username nome.cognome@pi.infn.it | + | ''username nome.cognome@pi.infn.it'' |
A questo punto si lancia il comando:<br> | A questo punto si lancia il comando:<br> | ||
− | galilinux ~ # /usr/local/lxmng/make_passwd<br> | + | ''galilinux ~ # /usr/local/lxmng/make_passwd''<br><br> |
Questo genera i file /etc/passwd e /etc/group per galilinux (sulle altre macchine saranno generati automaticamente all'ora successiva)<br> | Questo genera i file /etc/passwd e /etc/group per galilinux (sulle altre macchine saranno generati automaticamente all'ora successiva)<br> | ||
Per vedere le informazioni del nuovo account dare il comando:<br> | Per vedere le informazioni del nuovo account dare il comando:<br> | ||
− | galilinux ~ # id username<br> | + | ''galilinux ~ # id username''<br> |
==Generazione account e credenziali AFS / Kerberos== | ==Generazione account e credenziali AFS / Kerberos== |
Revision as of 10:14, 15 February 2012
User
Pisa, 30 Novembre 2011 (CET) (G. Terreni)
Note sulla creazione di account sui mezzi di calcolo della sezione
Queste note prescindono dalla verifica amministrativa del diritto del richiedente ad avere accesso alle risorse di calcolo di Sezione
Contents
Introduzione
Al momento in sezione sono presenti diversi ambienti informatici con metodi di autenticazione diversi e indipendenti:
- account AFS / kerberos e accesso al Sistema Informativo INFN Nazionale (AAI)
- account dominio Windows
- accesso a GRID
Di seguito sono descritte le operazioni da eseguire per creare un account AFS/kerberos e AAI
Preparazione account AFS / kerberos e AAI
Prima di procedere e' necessario avere i seguenti dati del richiedente:
- Cognome e Nome
- Codice Fiscale
- Gruppo informatico primario
Si decide lo username di 8 caratteri massimo.
Anche se i nuovi sistemi supportano username piu' lunghi, sia per continuita' con il passato
sia per evitare eventuali problemi, e' consigliabile attenersi a questa regola.
Si verifica che lo username scelto non sia gia' presente in AAI.
Poiche' INFN AAI richiede che lo username sia unico a livello nazionale, e' necessario verificare che qualche altra sezione
non lo abbia gia' inserito in AAI; per fare questa verifica ci si collega con protoserv2 (vedi istruzioni) con il comando:
ssh -p 57847 protoserv2@godiva.infn.it
> SHO all:username
se lo username e' gia' in uso vengono ritornati i dati relativi ad esso, altrimenti il seguente messaggio di errore:
line nn: ERROR - entry not found
Si inserisce lo username in AAI
L'inserimento dello username in AAI si effettua con il seguente comando:
> ADD pi.infn.it:username:CodiceFiscale:Nome:Cognome:kerberos_principal:email_canonico
per esempio:
> ADD pi.infn.it:terreni:TRRRGPP59S23V454K:Giuseppe:Terreni:terreni@PI.INFN.IT:giuseppe.terreni@pi.infn.it
Creazione account locale
Login su galilinux come root e poi si prende il token di admin con il comando:
galilinux ~ # klog admin
password: xxxxxxxx
galilinux ~ # cd /afs/pi.infn.it/project/local/
A questo punto dal file passwd.all si cerca l'ultimo userid (UID) usato e il successivo lo si assegna al nuovo utente.
Si edita passwd.all e si aggiunge una riga con il nuovo username:
username:x:UID:GUID:Nome COGNOME:/home/username:/bin/tcsh
dove GUID e' il valore numero del gruppo informatico principale al quale lo username appartiene.
Si edita group.all e si inserisce lo username nel gruppo cui appartiene ed eventualmente nei gruppi secondari
gruppo:!:nnnn:user1,user2,user3,...,username
dove gruppo e' il nome del gruppo, nnnn il suo valore numerico (GUID) e user1,..,username gli utenti del gruppo
Si edita infine il file /afs/pi.infn.it/project/local/mail/userdb e si inserisce la nuova entry per l'alias di posta
secondo il formato:
username nome.cognome@pi.infn.it
A questo punto si lancia il comando:
galilinux ~ # /usr/local/lxmng/make_passwd
Questo genera i file /etc/passwd e /etc/group per galilinux (sulle altre macchine saranno generati automaticamente all'ora successiva)
Per vedere le informazioni del nuovo account dare il comando:
galilinux ~ # id username
Generazione account e credenziali AFS / Kerberos
A questo punto siamo pronti per la generazione vera e propia dell'account eseguendo lo shell script
galilinux ~ # /root/creazione/crea.sh usename UID group GUID
dove UID e GUID sono gli identificativi numerici restituiti dal comando precedente "id username"
Lo script richiede per prima cosa di immettere la password di amministratore di kerberos;
e dopo la password dell'account da creare (ripetuta due volte).