Desplegar Araí
Desde la raíz del repositorio primeramente procederemos a adaptar los archivos de configuración de Araí a las necesidades de su instalación y luego desplegar los distintos stacks.
Configuración General
Cambiar dominio
En los archivos de configuración se asume el dominio uunn.local
, para cambiarlo por el dominio definitivo puede utilizar el siguiente comando (reemplace universidad.edu.ar
por el dominio real que utilizará durante el despliegue)
sed -i 's/uunn.local/universidad.edu.ar/g' \
prod/arai/usuarios.api.env \
prod/arai/usuarios.idp.env \
prod/arai/usuarios.env \
prod/arai/usuarios.yml \
prod/arai/personas.api.env \
prod/arai/personas.env \
prod/arai/personas.yml \
prod/arai/docs.yml \
prod/arai/docs.env \
prod/arai/notificaciones.yml \
prod/arai/notificaciones.env \
prod/arai/huarpe.env \
prod/arai/huarpe.yml
Huarpe es un caso especial pues existe una expresión regular con la URL que deberemos ajustar:
sed -i 's/uunn\\.local/universidad\\.edu\\.ar/g' prod/arai/huarpe.env
Secretos en Docker
Los secretos son blobs de información que deben almacenarse de forma segura y no pueden ser versionados. Ejemplos de esto son: passwords, claves de SSH, certificados SSL, etc. Más información aquí.
Los servicios que conforman esta documentación requieren que ciertos secretos estén definidos antes de comenzar el despliegue.
Esta es la lista de secretos requeridos por Araí durante el despliegue:
usuarios_db_pass
: Password de la conexión con la base de datos.usuarios_ldap_admin_pass
: Password de bind de admin de ldap.usuarios_ldap_config_pass
: Password de bind del config de ldap.usuarios_pass_salt
: Salt de los passwords generados por Araí-Usuarios.usuarios_api_users
: Json que define pares de usuario/password para la autenticación de la API de usuarios.usuarios_idp_simplesaml_admin
: Password del panel de control de Administrador provisto con SimpleSAMLPhp.personas_db_pass
: Password de la conexión con la base de datos de personas.personas_api_users
: Json que define pares de usuario/password para la autenticación de la API de Personas.docs_api_pass
: Password de la API de Documentos.docs_db_pass
: Password de la conexión con Postgres.docs_repo_pass
: Password de la conexión con Nuxeo.docs_conexion_usuarios
: Credenciales y endpoint de la conexión con Usuarios.docs_conexion_sudocu
: Credenciales y endpoint de la conexión con SUDOCU.huarpe_secret
: Token de 31 caracteres.huarpe_conexion_usuarios
: Credenciales de la conexión por API con Usuarios.huarpe_conexion_docs
: Credenciales de la conexión por API con Documentos.notificaciones_db_pass
: Password de la conexión con la base de datos de notificaciones.notificaciones_api_users
: Json que define pares de usuario/password para la autenticación de la API de Notificaciones.notificaciones_dsn_seguro
: String de conexión a un provider de envió de mails
Creación de secretos
La distribucion provee el script de bash prod/arai/secrets.sh.dist
para ejemplificar como inicializar todos los valores requeridos. Si desea mantener un archivo propio con las claves de su ambiente ejecute:
cp prod/arai/secrets.sh.dist prod/arai/secrets.sh
y modifique el script prod/arai/secrets.sh
con los datos correspondientes a su entorno. Luego ejecutelo para cargar los secretos dentro de Docker.
./prod/arai/secrets.sh
En el caso que se mantenga un repositorio de configuraciones propio, se recomienda ignorar este archivo y evitar subirlo. Tambien es posible no escribir las claves en archivos y configurar los secretos a mano tomando el script
prod/arai/secrets.sh.dist
como referencia.
Configurar y desplegar Araí-Personas
La especificación del stack de este módulo se encuentra en prod/arai/personas.yml
. Existen tambien otros archivos de configuración asociados: prod/arai/personas.api.env
y prod/arai/personas.env
Crear la Base de Datos
Crear la base de datos como recurso externo, recordar que la configuración para la misma se debe incluir en el secreto previo y también en archivo prod/arai/personas.env
DB_HOST=db-personas
DB_PORT=5432
DB_DBNAME=arai_personas
DB_USERNAME=postgres
DB_PASSWORD=postgres
DB_SCHEMA=personas
DB_ENCODING=UTF8
Deberá crear la base de datos con los datos definidos previamente. Si requiere mayor información, en el sitio de documentación de Araí-Personas hay mayor detalle de los parámetros involucrados y la base de Postgres.
Inicializar la Base de Datos
Nota: Asume que la base de datos especificada en la sección anterior ya está creada.
Este paso se lleva a cabo mediante el despliegue de la tarea
docker stack deploy \
--with-registry-auth \
-c prod/arai/util/personas_migrar_base.yml \
personas_db
Puede verificar el estado de ejecución del mismo de la siguiente manera:
docker service logs personas_db_migrar -f
Una vez finalizado con éxito, puede borrar el stack:
docker stack rm personas_db
Desplegar el stack
Finalmente, puede desplegar el stack:
docker stack deploy --with-registry-auth -c prod/arai/personas.yml personas
Habilitar acceso API de personas
Para acceder a la API de personas desde fuera del cluster se debe descomentar las siguientes
líneas
en el archivoprod/arai/personas.yml
. Tener en cuenta las recomendaciones de seguridad al respecto.
Esto se realiza sólo si se desea agregar un nuevo usuario y contraseña para lograr que un nuevo cliente se autentifique
contra la API de Araí-Personas. Para esto se debe modificar prod/arai/secrets.sh
y agregar los datos de acceso en el secret personas_api_users
.
Primero se debe eliminar el servicio personas_api
y el secret personas_api_users
de la siguiente forma:
docker service rm personas_api
docker secret rm personas_api_users
Luego, por ejemplo, para agregar el usuario mi_sistema
con contraseña mi_sistema
a los clientes permitidos de acceder
a la api:
printf '[["documentos","documentos123"],["huarpe","huarpe123"],["mi_sistema","mi_sistema"]]' | docker secret create personas_api_users -
Luego se debe volver a crear el secret ejecutando ./prod/arai/secrets.sh
y finalmente se debe realizar nuevamente el deploy de personas como se indica aquí
.
Opcional. Es posible verificar el funcionamiento de la API consultando un recurso que devuelve información de versión:
curl https://universidad.edu.ar/personas/v1/info -u user:pass
Recuerde reemplazar "user:pass" por las credenciales válidas, junto con la URL válida para conectarse a la API. El resultado de la consulta debe ser un JSON conteniendo "nombre", "version", etc.
Configurar y desplegar Araí-Usuarios
La especificación del stack de este módulo se encuentra en prod/arai/usuarios.yml
. Existen tambien otros archivos de configuración asociados: prod/arai/usuarios.api.env
, prod/arai/usuarios.env
y prod/arai/usuarios.idp.env
Nota sobre la persistencia de datos
Este stack utiliza un volumen llamado
usuarios_assets
para guardar la imagen de perfil de los usuarios. Es importante que el almacenamiento subyacente sea compartido por todos los nodos del cluster donde este stack se este ejecutando para que mantengan entre ellos un estado consistente de la base de imagenes. Para lograr esto se requiere contar con una tecnología de almacenamiento distribuido (NFS, GlusterFS, etc) montada en cada nodo. Como alternativa al almacenamiento distribuido tambien es posible simplificar el despliegue limitando la ejecución de este stack a un único nodo del cluster conectado al almacenamiento centralizado.
Acceso a Postgres
Los parámetros de conexión los puede encontrar en el archivo prod/arai/usuarios.env
, son los siguientes:
DB_HOST=db-siu
DB_PORT=5432
DB_DBNAME=usuarios
DB_USERNAME=postgres
DB_SCHEMA=usuarios
Acceso a LDAP
Los parámetros de conexión los puede encontrar en el archivo prod/arai/usuarios.env
, son los siguientes:
LDAP_HOST=ldap
LDAP_PORT=389
LDAP_TLS=0
LDAP_METHOD=user
LDAP_BINDUSER=cn=admin,dc=siu,dc=cin,dc=edu
LDAP_BINDPASS_FILE=/run/secrets/usuarios_ldap_admin_pass
LDAP_SEARCHBASE=dc=siu,dc=cin,dc=edu
LDAP_USERS_OU=usuarios
LDAP_USERS_ATTR=ou
LDAP_ACCOUNTS_OU=usuariosCuentas
LDAP_ACCOUNTS_ATTR=ou
LDAP_GROUPS_OU=groups
LDAP_GROUPS_ATTR=ou
LDAP_NODES=
Creación de Base de Datos
Crear e inicializar la Base de Datos de LDAP
Dirigirse al sitio de documentación de Araí-Usuarios sobre cómo crear la base de LDAP.
https://documentacion.siu.edu.ar/usuarios/docs/cache/instalacion-bases-ldap/
Crear e inicializar la Base de Datos de Postgres
Nota: En este apartado se crea e inicializa la base de datos con la estructura necesaria para Arai-Usuarios. Es requerido que esta base de datos se cree en el cluster usando el encoding UTF-8.
Este paso se lleva a cabo mediante el despliegue de la tarea
docker stack deploy \
--with-registry-auth \
-c prod/arai/util/usuarios_inicializar_base.yml \
usuarios_init_db
Puede verificar el estado de ejecución del mismo de la siguiente manera:
docker service logs usuarios_init_db_idm -f
Una vez finalizado con éxito, puede borrar el stack:
docker stack rm usuarios_init_db
Generar certificados
Araí-Usuario requiere dos pares de claves para funcionar, una para firmar los tokens SAML y otra para firmar los tokens JWT de OIDC.
Para generar los certificados utilizados para firmar los tokens SAML ejecutar:
mkdir prod/arai/certs
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out prod/arai/certs/certificado_idp.crt -keyout prod/arai/certs/certificado_idp.key
Para generar los certificados utilizados en OIDC para firmar tokens JWT ejecutar:
openssl genrsa -out prod/arai/certs/oidc_module.pem 2048
openssl rsa -in prod/arai/certs/oidc_module.pem -pubout -out prod/arai/certs/oidc_module.crt
Para finalizar, registre los certificados y claves generadas en Docker.
docker config create usuarios_idp_saml_cert ./prod/arai/certs/certificado_idp.crt
docker secret create usuarios_idp_saml_key ./prod/arai/certs/certificado_idp.key
docker secret create usuarios_idp_oidc_key ./prod/arai/certs/oidc_module.pem
docker config create usuarios_idp_oidc_cert ./prod/arai/certs/oidc_module.crt
Bootstraping del proyecto
La primera vez que se instala este proyecto es necesario realizar dos tareas administrativas para que todo funcione correctamente. Las tareas a realizar son:
- Registrar la UI de Araí-Usuarios como SP
- Crear y setear un password para el usuario
admin
Para realizar este paso, es necesario que las bases de datos estén inicializadas
Estas dos tareas se realizan ejecutando el siguiente comando:
ADMIN_PASS=toba1234 docker stack deploy \
--with-registry-auth \
-c prod/arai/util/usuarios_crear_admin.yml \
boot
Setee la variable ADMIN_PASS
al password que desee.
Puede verificar el estado de ejecución del mismo de la siguiente manera:
docker service logs boot_idm -f
Una vez finalizado, puede borrar el stack:
docker stack rm boot
Inicializar integración de Arai-Personas
Para realizar este paso, es necesario que el servicio Arai-Personas este inicializada y desplegado
.
Este comando genera por cada usuario, una persona y lo deja vinculado.
docker stack deploy \
--with-registry-auth \
-c prod/arai/util/usuarios_inicializar_personas.yml \
usuarios_personas_init
Puede verificar el estado de ejecución del mismo de la siguiente manera:
docker service logs usuarios_personas_init_idm -f
El resultado de la migración debería ser una salida similar a esta:
Resumen de la migración LDAP
--------------------------------------------------------------------
usuarios procesados: 56 en 2 lotes
usuarios migrados: 56
usuarios con error en la migración: 0
usuarios reiniciados (poseen idPersona): 0
usuarios ignorados (no poseen idPersona): 56
Una vez finalizado, puede borrar el stack:
docker stack rm usuarios_personas_init
Nota: la inicialización es un proceso idempotente, es decir se puede ejecutar sucesivas veces y se encarga de procesar solo los usuarios pendientes (tanto sea usuarios nuevos, como los no procesados por algún error previo).
Para mayores detalles sobre la vinculación con Arai-Personas, ver la documentación de inicialización y gestión disponibles.
Desplegar el stack
Finalmente, puede desplegar el stack:
docker stack deploy --with-registry-auth -c prod/arai/usuarios.yml usuarios
Una vez realizados estos pasos, debería poder acceder en https://uunn.local/usuarios (o el dominio que haya definido)
Verificar los servicios
Con el despliegue realizado, es posible verificar la configuración hecha ejecutando:
docker stack deploy --with-registry-auth --compose-file prod/arai/util/usuarios_verificar.yml usuarios_verificar
docker service logs usuarios_verificar_idm -f
docker stack rm usuarios_verificar
La verificación mostrará en la salida de su ejecución el chequeo de:
- la versión de la base de datos PostgreSQL
- los esquemas de la base OpenLDAP
- la versión de la imagen Docker respecto a las bases
- conexiones a servicios varios
El servicio anterior requiere que el nodo que ejecuta los comandos Docker sea el mismo donde se despliega el stack usuarios
, agregarle por tanto el labels.cmd=usuarios
al nodo para que el servicio usuarios_verificar
se inicie:
NODE_NAME=$(docker info --format '{{ .Name }}')
docker node update --label-add cmd=usuarios $NODE_NAME
Configurar logo
Este paso es opcional, pero deseable.
Para configurar el logo debe seguir los siguientes pasos:
- Ingrese a Araí-Usuarios (user
admin
y password seteado anteriormente) - Dirigirse al item Aplicaciones
- Ir a la lupa a la derecha de la fila de la aplicación Araí-Usuarios
- Cargar el ícono. https://hub.siu.edu.ar/siu/expedientes/-/blob/master/var/logos/usuarios.png