...
- he/she must have a verified digital identity (LoA2)
- he/she must declare to have read and accepted the INFN rules for the use of IT resources
- he/she must have followed the "Corso di Sicurezza Informatica - BASE"
Actually the third bullet is not a strict requirement: if all the requirements but the last one are met, the request can be accepted, but please notify the user that he/she must follow the course within 30 days.
To check e.g. if the a user whose family name is 'Sgaravatto' is compliant with all the 3 rules, you can execute this ldapsearch queryis complaint with these rules you can use the script /usr/local/bin/check_compliance_to_infn_rules.sh on cld-ctrl-01.
Some examples that show how to use this script:
| Code Block |
|---|
|
$ ldapsearch -x -LLL -Z -h ds2.infn.it -b ou=People,dc=infn,dc=it "(&(sn=*sgaravatto*)(eduPersonAssurance=urn:mace:infn.it:loa2)(schacUserStatus=urn:schac:userStatus:it:infn.it:disciplinareict:approvato+on=202*)(schacUserStatus=urn:schac:userStatus:it:infn.it:formazione:sicurezzainformatica-base:superato+on*))" |
This will return a result, only if the 3 requirements are met
| Code Block |
|---|
|
l: pd
givenName: Massimo
sn: Sgaravatto
cn: Massimo Sgaravatto
telephoneNumber: +390499677360
mail: Massimo.Sgaravatto@pd.infn.it
|
If a result is not returned, check if the first 2 requirement (the "LoA2: stuff and if the user has accepted the INFN rules on IT resource usage). The query will be:
| Code Block |
|---|
|
$ ldapsearch -x -LLL -Z -h ds2.infn.it -b ou=People,dc=infn,dc=it "(&(sn=sgaravatto)(eduPersonAssurance=urn:mace:infn.it:loa2)(schacUserStatus=urn:schac:userStatus:it:infn.it:disciplinareict:approvato+on=202*))" |
If a result is returned, this means that the user didn't follow the course. In this case the request can be accepted, but please notify the user via e-mail that he/she must follow the course within 30 days.
[root@cld-ctrl-01 Comp]# /usr/local/bin/check_compliance_to_infn_rules.sh 'massimo sgaravatto'
Trovati i seguenti utenti in INFN-AAI:
-----------------
Massimo.Sgaravatto@pd.infn.it ....
-->Utente compliant con le disposizioni INFN: l'account puo' essere concesso |
| Code Block |
|---|
|
[root@cld-ctrl-01 Comp]# /usr/local/bin/check_compliance_to_infn_rules.sh '*arcaro*'
Trovati i seguenti utenti in INFN-AAI:
-----------------
Cornelia.Arcaro@pd.infn.it ....
L'utente non ha fatto il corso
-->Utente NON compliant con le disposizioni INFN: l'account NON puo' essere concesso
-----------------
cornelia.arcaro@gmail.com ....
L'utente non ha una identita' Loa2
L'utente non ha accettato il disciplinare
L'utente non ha fatto il corso
-->Utente NON compliant con le disposizioni INFN: l'account NON puo' essere concesso |
| Code Block |
|---|
|
[root@cld-ctrl-01 Comp]# /usr/local/bin/check_compliance_to_infn_rules.sh '*andres gadea*'
Trovati i seguenti utenti in INFN-AAI:
-----------------
andres.gadea@lnl.infn.it ....
Utente deve ancora fare il corso ma e' ancora nel grace period
-->L'account puo' essere concesso, ma ricordare all'utente che deve fare il corso entro 30 giorni dalla data di registrazione (altrimenti l'account sara' sospeso) |
If the account can be created, but "ricordare all'utente che deve fare il corso entro 30 giorni dalla data di registrazione (altrimenti l'account sara' sospeso)" the The text of the e-mail can be something like:
...