UNPA_ERROR AL ACCEDER A ARAI-USUARIOS UNA VEZ INSTALADO HUARPE

Buenos dias, el motivo del presente es para realizarles consultas respecto a la instalación de arai-usuarios. Primeramente les comento que tenemos arai-registry, arai-usuarios y huarpe instalado en el mismo servidor (el cual es de prueba). Pero los tres con distintos virtualhosts.
Para la instalación de la plataforma SIU-Arai se siguio la guia paso a paso: http://documentacion.siu.edu.ar/wiki/SIU-Arai/ejemploPasoAPaso
1- Se clono el dockerCerts y las variables se editaron de la siguiente manera:
LISTA_SERVER: arai-usuarios.unpa.edu.ar huarpe.unpa.edu.ar
LISTA_CLIENTES: arai-usuarios-cli huarpe-cli
a- Se copiaron los certificados generados a /certs.
b- Se copiaron a /etc/apache2/ssl los certificados arai-usuarios.unpa.edu.ar.cert.pem y arai-usuarios.unpa.edu.ar.key.pem.
3- Se generaron los certificados IDP.
4- Se clono y descargo registry.
5- Se edito el archivo arai-registry.env. El cual se adjunta.
6. Se verifico, instalo y cambiaron los permisos del directorio arai-registry instalado
7. Se creo el VH registry.conf, el cual se adjunta. Y se agrego en /etc/hosts del sevidor donde instalamos.
8- Se ejecuto el comando curl --user user:pass http://registry.local.siu/arai-registry/rest/packages/1 y salio el error 404 por lo que asumimos que funciono correctamente.
9- Procedimos a instalar arai-usuarios, para lo que clonamos y descargamos arai-usuarios.
10- Instalamos ldap como sudo apt-get install slapd ldap-utils y luego reconfiguramos, definiendo como nombre de usuario admin, y como dominio unpa.edu.ar. Segun el manual https://hub.siu.edu.ar/siu-arai/arai-usuarios/blob/develop/doc/INSTALACION_MANUAL.md:
a- Se deben cargar los esquemas edu-person, edu-org y arai-usuarios. Esta carga consiste solo en copiar los archivos a /etc/ldap/slapd.d/cn=config/cn=schema?
b- Crear la estructura definida en estructura-arai-usuarios, con el comando ldapadd -x -W -D “cn=admin,dc=unpa,dc=edu,dc=ar” -f estructura-arai-usuarios.ldif
c- Chequeamos que la estructura haya sido creada correctamente (ldapsearch -x -W -D “cn=admin,dc=unx,dc=edu,dc=ar” -b “dc=unx,dc=edu,dc=ar”) y que los esquemas estén cargados (ldap search -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config “(objectClass=olcSchemaConfig)” dn). Pudimos visualizar ambos archivos correctamente.
11- Se configuró el archivo arai-usuarios.env, el cual se adjunta.
12- Se ejecutó la sentencia para verificar que la configuración sea correcta y las únicas alertas fueron que no estaba instalada la sentencia gmp y que la bd arai-usuarios no existia. De manera que instale php5-gmp y cree la bd arai-usaurios con encoding latin1.
13. Ejecute la instalación correctamente, cambie los permisos y saque el modo mantenimiento.
14- Se creo el VH usuarios.conf, el cual se adjunta. Y se agrego en /etc/hosts del sevidor donde instalamos. También en la pc escritorio desde donde nos conectamos al arai-usuarios.
[b]15- El siguiente paso es hacer que la CA autofirmada sea válida en el SO y verifique los certificados clientes. Siguiendo el instructivo http://documentacion.siu.edu.ar/wiki/SIU-Arai/certificados, se debe agregar la CA como trusted a la pc cliente con la que yo me quiero conectar?? Es decir en cualquier pc escritorio supongamos, con la que yo quiera acceder al servidor que tiene instalada la aplicación arai-usuarios, debo ejecutar esto?
cp ca.cert.pem /usr/share/ca-certificates/ca_unpa.crt
nano /etc/ca-certificates.conf

agregar ca_propia.crt al final del archivo

update-ca-certificates --fresh[/b]

Yo lo hice asi, es decir copie y agregue el ca_unpa.crt al archivo ca-certificates de mi pcEscritorio.
En el servidor lo único que hice fue setear el VH arai-usuarios para que use los certificados alojados en /etc/apache2/ssl, siguiendo el instructivo http://documentacion.siu.edu.ar/wiki/SIU-Arai/certificados

[b]16- Probe acceder a https://arai-usuarios.unpa.edu.ar/gestion/ y efectivamente accededo correctamente.

17- Lo siguiente era agregar Usuarios a Registry, esto quiere decir en mi caso agregar la aplicación arai-usuarios a arai-registry no? La sentencia que ejecute es: ./bin/arai-cli registry:add --maintainer-email hacienda@unpa.edu.ar --maintainer hacienda http://registry.unpa.edu.ar/arai-registry.
Si bien sincronizo correctamente, tengo algunas consultas:
El usuario que utilizo en la sentencia ./bin/arai-cli registry:add --maintainer-email hacienda@unpa.edu.ar --maintainer hacienda http://registry.unpa.edu.ar/arai-registry, tiene que ser el usuario seteado en arai-registry.env, o es un usuario cualquiera?

18- Luego Procedimos a instalar huarpe, editando el archivo huarpe.env, el cual se adjunta; y generando el VH huarpe.conf, el cual se adjunta. Si bien sincronizo correctamente y puedo acceder a https://huarpe.unpa.edu.ar/, al ingresar me sale el mensaje “Algunas de estas aplicaciones sólo pueden ser accesibles desde dentro de la Red de la institución.” . Si intento acceder desde aquí a ARAI-Usuarios me sale el mensaje adjunto: UNPA_ERROR AL ACCEDER A ARAI-USUARIOS DESDE HUARPE.png. Si luego intento acceder desde el navegador como: https://arai-usuarios.unpa.edu.ar/gestion/ me sale el mensaje adjunto: UNPA_ERROR AL ACCEDER A ARAI-USUARIOS DESDE LA URL DEFINIDA EN EL VHOST.png

Por lo que la consulta es: ¿Por que pudo haber ocurrido esto? ¿Que configuración me falta o está errónea por lo cual no puedo acceder a arai-usuarios?

Desde ya muchas gracias

Saludos
Paola
UNPA


siu.rar (41.4 KB)

Hola!

Si siguen paso a paso la guía (al menos para la versión publicada y con la cual se hizo la guía) deberían poder reproducir un ambiente con esos valores. Lo recomendable quizá es que incluso mantengan esos nombres de hosts de prueba inclusive. De todas formas vamos a ir viendo paso a paso que les sucedió.

Les está faltando registrar la CA (ca.cert.pem) en el sistema operativo del servidor donde hicieron la instalación de Arai (usuarios, huarpe). Es necesario para que el servidor pueda validar las conexiones de las api que recibe vía SSL Client.

Todo ok.

Si, luego lo validan uds manualmente (deberia listar estos schemas) e incluso el instalador valida antes de instalar si existen.

Primero, la url base está mal, ya que le incluyeron el alias. Debe quedar TOBA_URL_BASE=“https://arai-usuarios.unpa.edu.ar. Este alias debe ser definido en otra variable, TOBA_ALIAS_PROYECTO=“/gestion”.

Deberían habilitar TOBA_FORZAR_HTTPS=“on” para evitar problemas con HTTPS y Toba. También, la url de Huarpe está mal, (debería ser exacta a la cual tienen en huarpe.env) ARAI_USUARIOS_URL_PORTAL=https://huarpe.unpa.edu.ar.

Tienen que activar la instrucción SSLVerifyClient opcional_no_ca en el vhost, de otro modo no va a validar los accesos a la api rest utilizando ssl client. Esto es así hasta al menos esta versión actual de Araí-Usuarios, aunque planeamos cambiarlo a futuro.

De nuevo, en el servidor necesitan regristar esta CA autogenerada. En la pc local, para pruebas, sirve solamente para que al ingresar con el navegador a la url del sistema, no les diga que el sitio es no seguro (que no se reconoce el certificado que posee el sitio, esto es xq se genero un certificado autofirmado y la CA no está presente en la raiz de certificados de CA mundial). Registrandolo en la PC debería reconocer el certificado del sitio web, aunque esto pueden darle ignorar o confiar manualmente.

El usuario que se pone en maintainer es uno que se muestra en Arai-Usuarios (en el abm de aplicaciones) como responsable del sistema. A modo informativo. No es el usuario de la api rest de Registry (esto lo configuraron bien en el .env respectivo).

Bien, ese mensaje es a modo informativo, por ahora Huarpe no excluye el acceso a dichas apps aunque lo que se quiere es “deshabilitar” los links a las apps que no se puedan acceder desde fuera de la institucion (apps administrativas por ej) si se está accediendo desde fuera de la red de dicha institución. Esto falta implementar.

El primer error claramente se puede ver en la url el doble alias “gestion”. Con ajustar lo anteriormente indicado se debería solucionar.

El segundo error, es consecuencia del primero. En este caso, toda la plataforma tiene salida de logs adecuada para comenzar a analizar la situación. En el caso de la imagen el IDP seguramente no puede reconocer a la aplicacion Usuarios por el doble “gestion” (revisen el log de arai-usuarios y algo como “METADATA_NOT_FOUND” les debería estar dando).

La recomendación es, ya que están instalando un ambiente de pruebas, lo vuelvan a reinstalar completo. No es muy dificil si ya llegaron hasta aquí, además van a comenzar a entender como encajan las piezas :slight_smile:

Saludos!

Hola Sergio! muchisimas gracias por tu respuesta. Efectivamente haciendo esos cambios en arai-usuarios.env puedo acceder desde Huarpe a arai-usuarios correctamente.
El unico problema que tengo es que cuando habilito en el virtualhost usuarios.conf la linea:
SSLVerifyClient require, me sale el error adjunto:
He tratado de solucionarlo cambiando la variable security.tls.version.max de firefox que estaba seteada en 3 y usar 1 o 2, pero tampoco funciona. Ingresar con otro navegador y tampoco funciona.
Comentarizar la linea SSLProtocol all -SSLv2 -SSLv3, pero tampoco funciona, me sigue saliendo el mismo error. Por lo pronto le comentarice la linea SSLVerifyClient require, de manera que pueda continuar con la conexion entre Huarpe y Mapuche.
Si me pudieran orientar a que se puede deber el error adjunto se los agradeceria.
Muchas gracias por su ayuda!

Saludos
Paola
UNPA


UNPA_ERROR AL HABILITAR SSLVerifyClient.png

UNPA_ERROR AL HABILITAR SSLVerifyClient.png

No conocía el error… lo que se me ocurre es (viendo este y este resultado de búsqueda en internet), que tienen mal configurada la PC o mal registrado el conjunto de certificados raiz. No se como llegaron a esto… Podrían probar desde otra PC en la misma red e intentar acceder (si es linux, configurar el /etc/hosts y denifir IP HOST para poder acceder al otro equipo).