Accounts

From I.N.F.N. Wiki
Revision as of 10:56, 15 February 2012 by Terreni (talk | contribs) (Generazione account e credenziali AFS / Kerberos)

Jump to: navigation, search

User Pisa, 30 Novembre 2011 (CET) (G. Terreni)

Note sulla creazione di account sui mezzi di calcolo della sezione



Queste note prescindono dalla verifica amministrativa del diritto del richiedente ad avere accesso alle risorse di calcolo di Sezione

Introduzione

Al momento in sezione sono presenti diversi ambienti informatici con metodi di autenticazione diversi e indipendenti:

  • account AFS / kerberos e accesso al Sistema Informativo INFN Nazionale (AAI)
  • account dominio Windows
  • accesso a GRID

Di seguito sono descritte le operazioni da eseguire per creare un account AFS/kerberos e AAI

Preparazione account AFS / kerberos e AAI

Prima di procedere e' necessario avere i seguenti dati del richiedente:

  1. Cognome e Nome
  2. Codice Fiscale
  3. Gruppo informatico primario


Si decide lo username di 8 caratteri massimo.
Anche se i nuovi sistemi supportano username piu' lunghi, sia per continuita' con il passato sia per evitare eventuali problemi, e' consigliabile attenersi a questa regola.

Si verifica che lo username scelto non sia gia' presente in AAI.
Poiche' INFN AAI richiede che lo username sia unico a livello nazionale, e' necessario verificare che qualche altra sezione non lo abbia gia' inserito in AAI; per fare questa verifica ci si collega con protoserv2 (vedi istruzioni) con il comando:

ssh -p 57847 protoserv2@godiva.infn.it
> SHO all:username

se lo username e' gia' in uso vengono ritornati i dati relativi ad esso, altrimenti il seguente messaggio di errore:

line nn: ERROR - entry not found

Si inserisce lo username in AAI
L'inserimento dello username in AAI si effettua con il seguente comando:

> ADD pi.infn.it:username:CodiceFiscale:Nome:Cognome:kerberos_principal:email_canonico

per esempio:
> ADD pi.infn.it:terreni:TRRRGPP59S23V454K:Giuseppe:Terreni:terreni@PI.INFN.IT:giuseppe.terreni@pi.infn.it

Creazione account locale
Login su galilinux come root e poi si prende il token di admin con il comando:

galilinux ~ # klog admin
password: xxxxxxxx

galilinux ~ # cd /afs/pi.infn.it/project/local/

A questo punto nel file passwd.all si cerca l'ultimo userid (UID) usato e il successivo lo si assegna al nuovo utente.
Si edita passwd.all e si aggiunge una riga con il nuovo username:

username:x:UID:GUID:Nome COGNOME:/home/username:/bin/tcsh

dove GUID e' il valore numero del gruppo informatico principale al quale lo username appartiene.

Si edita group.all e si inserisce lo username nel gruppo cui appartiene ed eventualmente nei gruppi secondari

gruppo:!:nnnn:user1,user2,user3,...,username

dove gruppo e' il nome del gruppo, nnnn il suo valore numerico (GUID) e user1,..,username gli utenti del gruppo

Si edita infine il file /afs/pi.infn.it/project/local/mail/userdb e si inserisce la nuova entry per l'alias di posta
secondo il formato:

username nome.cognome@pi.infn.it


A questo punto si lancia il comando:

galilinux ~ # /usr/local/lxmng/make_passwd

Questo genera i file /etc/passwd e /etc/group per galilinux (sulle altre macchine saranno generati automaticamente all'ora successiva)
Per vedere le informazioni del nuovo account dare il comando:

galilinux ~ # id username

Generazione account e credenziali AFS / Kerberos

A questo punto siamo pronti per la generazione vera e propria dell'account posizionandoci in:

galilinux ~# cd /root/utils/creazione

ed eseguendo lo shell script

galilinux ~ # ./crea.sh usename UID group GUID expiration-date

dove UID e GUID sono gli identificativi numerici restituiti dal comando precedente "id username"
e l'expiration-date e' la data di scadenza dell'account nel formato dd/mm/yyyy.
Mentre i campi username UID group GUID sono obbligatori il campo expiration-date e' facoltativo e se non e' specificato si assume per default la data del 31/12/2037.
Lo script richiede per prima cosa di immettere la password di amministratore di kerberos;
successivamente viene chiesta la password dell'account da creare (ripetuta due volte).

Per esempio il comando:

galilinux ~ # ./crea.sh bianchi 9090 cms 1023 31/03/2012

creera' l'account bianchi appartenete al gruppo cms con scadenza al 31 marzo 2012.


Al termine della procedura l'account e' pronto per essere rilasciato all'utente.

Generazione account WINDOWS

La generazione dell'account nel dominio Windows viene fatta utilizzando l'interfaccia standard del sistema Windows.
Si assegna lo stesso username e la stessa password AFS/kerberos (anche se sono indipendenti l'una dall'altra).

Consegna delle credenziali dell'account all'utente

Una volta generati gli account e verificato che tutto funziona regolarmente, si predispongono due documenti:

Credenziali di account
Presa d'atto

I primo, da rilascare a l'utente, contiene i dati dell'account (username, password,...) e delle brevi raccomandazioni sul corretto utilizzo dello stesso.
Il secondo contiene l'assunzione di responsabilita' e deve essere firmato dall'utente e conservato dal Servizio Calcolo.

Retrieved from "http://wiki.pi.infn.it/wiki/index.php?title=Accounts&oldid=839"