[SOLUCIONADO] Re:UNPA_Instalación cluster docker

Buen día!
Siguiendo la documentación https://expedientes.siu.edu.ar/docs/, estoy configurando las redes y traefik.
Pude ejecutar:

  1. git clone https://hub.siu.edu.ar/siu/expedientes
  2. sudo docker network create --driver=overlay traefik-public
    Error “Error response from daemon: This node is not a swarm manager. Use “docker swarm init” or “docker swarm join” to connect this node to swarm and try again.”
    debemos ejecutar sudo docker swarm init
    y luego sudo docker network create --driver=overlay traefik-public.
  3. sudo docker network create --driver=overlay red-siu
    Ahora en el paso que tengo que modificar el dominio base, ejecuto
    sudo sed -i ‘s/unpa.local/unpa.edu.ar/g’
    traefik.le.yml
    traefik.yml
    desde el directorio /expedientes/prod/servicios/ (así me quedo a mí) y cuando miro los archivos traefik.le.yml o traefik.yml no veo cambios, esto es correcto? debería ver cambios en estos archivos?
    Saludos Fernando.

Buenos días!
Al no tener respuesta a mi consulta, deje el paso de cambiar el dominio base ejecutando lo siguiente:
sudo sed -i ‘s/uunn.local/unpa.edu.ar/g’
traefik.le.yml
traefik.yml
Y seguí avanzando en la instalación hasta la sección de Configurar y desplegar Araí-Usuarios, donde en el paso de Generar certificados, tuve el siguiente error:
al registrar los certificados y claves generadas en Docker, ejecutando:

docker secret create usuarios_idp_saml_key ./certs/certificado_idp.key

obtengo esto:

“Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.40/secrets/create: dial unix /var/run/docker.sock: connect: permission denied”

Cual sera el error?

Hola Fernando!

Perdón por la demora, este tema fue armado en el proyecto de expediente digital (este es el foro de arai-usuarios en particular) por eso no me mandé a responder antes. No tengo todas las respuestas pero voy mirando e interpretando que necesitas.

En este punto, debería modificarte este archivo en las líneas 41 y 49, es un simple buscar y reemplazar el comando anterior (sed). Eso lo tienen que ver uds, si están mal posicionados al ejecutar el reemplazo o que falló que no les editó los archivos.

Algún problema sobre como estén administrando la instalación del cluster docker swarm. O de la instalación de Docker digamos.

Muchas Gracias por tu respuesta Sergio!!!
Pude seguir avanzando en la instalación, resolviendo el problema al ejecutar docker secret create usuarios_idp_saml_key ./certs/certificado_idp.key:

“Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Post http://%2Fvar%2Frun%2Fdocker.sock/v1.40/secrets/create: dial unix /var/run/docker.sock: connect: permission denied”

ejecutando: sudo usermod -a -G docker $USER y reiniciando el server.

Seguí con la instalación realizando el Bootstraping del proyecto y desplegando el stack de instalción de Arai Usuarios sin problemas. Pero al momento de acceder a https://uunn.local/usuarios, en mi caso https://unpa.edu.ar/usuarios no me dejo.
Mirando los logs de apache puedo ver las siguientes lineas:
[Fri Aug 21 09:10:35.563006 2020] [access_compat:error] [pid 1081] [client 10.0.5.16:47498] AH01797: client denied by server configuration: /var/www/html/usuarios
[Fri Aug 21 09:10:35.661427 2020] [access_compat:error] [pid 1081] [client 10.0.5.16:47498] AH01797: client denied by server configuration: /var/www/html/favicon.ico
Alguna idea de donde mirar para resoverlo?

Hola Fernando,

este log es del Apache del contenedor de usuarios o lo tenes instalado sobre el server?.

El error de access_compat que menciona tiene que ver con como esta configurado el VH/Alias en cuestion, en el caso de Arai-Usuarios por ser una aplicacion Toba deberia tener esto dentro:


               <IfModule !mod_access_compat.c>
		#Apache 2.2.x
		##Piense en actualizar la version del web server a Apache 2.4.x al menos
		##Si desea seguir en esta version, descomente las siguientes lineas
		#	Order allow,deny
		#	Allow from all
		</IfModule>
		<IfModule mod_access_compat.c>
			#Apache 2.3.x/2.4.x  back-comp (deprecated)
			Order allow,deny
			Allow from all
		</IfModule>
		<IfModule mod_authz_core.c>
			#Apache 2.4.x 
			Require all granted
		</IfModule>

Donde activamente se consulta el modulo de Apache presente y se intenta realizar el ajuste correspondiente, ahora… si el archivo de configuracion central de Apache (/etc/apache2/apache2.conf) contiene directivas que prohiben dicho ajuste, puede que se produzca un error como el que estas viendo.

En el contenedor de Arai-Usuarios eso no deberia suceder ya que sale configurado de forma que se puedan realizar dichos ajustes, por eso mi pregunta sobre la pertenencia del log que pasaste.

Saludos

PD: Por lo que veo tambien puede ser causado por un intento de acceso fuera del documentRoot especificado, lo que explicaria quizas las rutas en el error.
Mas info

Muchas Gracias por tu respuesta Ricardo!
Seguí revisando la instalación y me di cuenta que cuando realicé el Bootstraping del proyecto, solo ejecute:
ADMIN_PASS=toba1234 docker stack deploy
–with-registry-auth
-c util/usuarios_crear_admin.yml
boot
y no probé verificar el estado de ejecución del mismo:
docker service logs boot_idm -f
Que si no entendí mal me iría diciendo los problemas que tendría en la instalación de Arai Usuarios. Efectivamente al momento de ejecutarlo me muestra los siguientes errores:

boot_idm.1.fi5bcdvmq6oc@general-grievous | ================================================================================
boot_idm.1.fi5bcdvmq6oc@general-grievous | Iniciando el proceso en SIU-Arai-Usuarios (versión v3.0.2)
boot_idm.1.fi5bcdvmq6oc@general-grievous | ================================================================================
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | ____ ___ _ _ _ _ ___ _ __ __
boot_idm.1.fi5bcdvmq6oc@general-grievous | / | | | | | / \ _ __ __ () | _|| | / |
boot_idm.1.fi5bcdvmq6oc@general-grievous | _
_ | || | | |_____ / _ \ | '/ _ | (_) | |/ _ | |/| |
boot_idm.1.fi5bcdvmq6oc@general-grievous | ) | || || |
/ ___ | | | (| | | | | (| | | | |
boot_idm.1.fi5bcdvmq6oc@general-grievous | |
/|_
/ // __| _,|() |_,|| |_|
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | ================================================================================
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | Creación de usuario root de SIU-Arai-Usuarios. Se lo guiará paso a paso
boot_idm.1.fi5bcdvmq6oc@general-grievous | para crearlo. En el transcurso se le pedirá su
boot_idm.1.fi5bcdvmq6oc@general-grievous | confirmación antes de realizar ninguna acción.
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | El proceso esta por iniciar. ¿Desea continuar? (yes/no) [yes]:
boot_idm.1.fi5bcdvmq6oc@general-grievous | >
boot_idm.1.fi5bcdvmq6oc@general-grievous | 1) Inicialización de proyecto
boot_idm.1.fi5bcdvmq6oc@general-grievous | =============================
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | [NOTA] Se encontró la aplicación con id: idm-core
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | In UsuariosManager.php line 441:
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | No se pudo crear el objeto en el servidor LDAP: Invalid syntax
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | In Ldap.php line 930:
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | No se pudo crear el objeto en el servidor LDAP: Invalid syntax
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous |
boot_idm.1.fi5bcdvmq6oc@general-grievous | proyecto:bootstrap [–no-progress] [–password PASSWORD

Espero que me puedan ayudar!

Hola Fernando,

Es un problema con tu instalación de OpenLDAP y/o los esquemas que cargaste y/o cómo los cargaste. Seguí la guía detallada y fijate si te olvidaste algún paso, o si no reiniciaste el servicio openldap, que suele pasar. Hay controles opcionales por ejecutar que estaría bueno que los corras… y con esa info en mano nos indiques como está tu instalación.

Buen día Sergio.
Si ejecuto sudo ldapsearch -x -W -D “cn=admin,dc=unpa,dc=edu,dc=ar” -b “dc=unpa,dc=edu,dc=ar” para verificar que las entidades se hayan cargado adecuadamente, obtengo:

extended LDIF

LDAPv3

base <dc=unpa,dc=edu,dc=ar> with scope subtree

filter: (objectclass=*)

requesting: ALL

unpa.edu.ar

dn: dc=unpa,dc=edu,dc=ar
objectClass: top
objectClass: dcObject
objectClass: organization
o: UNPA
dc: unpa

admin, unpa.edu.ar

dn: cn=admin,dc=unpa,dc=edu,dc=ar
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9ZmpiZFFVR3JQTEdKeUtGRXZpQnhkc05lcVlOdjRWZ0M=

groups, unpa.edu.ar

dn: ou=groups,dc=unpa,dc=edu,dc=ar
objectClass: top
objectClass: organizationalUnit
ou: groups

usuarios, unpa.edu.ar

dn: ou=usuarios,dc=unpa,dc=edu,dc=ar
objectClass: top
objectClass: organizationalUnit
ou: usuarios

usuariosCuentas, unpa.edu.ar

dn: ou=usuariosCuentas,dc=unpa,dc=edu,dc=ar
objectClass: top
objectClass: organizationalUnit
ou: usuariosCuentas

devs, groups, unpa.edu.ar

dn: cn=devs,ou=groups,dc=unpa,dc=edu,dc=ar
objectClass: groupOfNames
cn: devs
member: cn=admin,dc=unpa,dc=edu,dc=ar

search result

search: 2
result: 0 Success

numResponses: 7

numEntries: 6

Y si ejecuto sudo ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config “(objectClass=olcSchemaConfig)” dn para verificar que los esquemas fueron cargados realmente, obtengo:

dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

Fernando,

No figuran los esquemas de araí !!!

https://documentacion.siu.edu.ar/usuarios/docs/cache/conceptos-storage/#ldap

Lo que tiene que arrojar es un listado, adicionando los esquemas que cargaste oportunamente.

dn: cn=schema,cn=config
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
dn: cn={4}arai-usuarios,cn=schema,cn=config
dn: cn={5}edu-org,cn=schema,cn=config
dn: cn={6}edu-person,cn=schema,cn=config

Véan como están configurando OpenLDAP, si copiaron bien los archivos, si le asignaron permisos, si reiniciaron el servicio… miren los logs del mismo.

Hola Sergio!
Pude cargar los esquemas de Arai Usuarios, ahora al ejecutar sudo ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config “(objectClass=olcSchemaConfig)” dn, obtengo:
dn: cn=schema,cn=config

dn: cn={0}core,cn=schema,cn=config

dn: cn={1}cosine,cn=schema,cn=config

dn: cn={2}nis,cn=schema,cn=config

dn: cn={3}inetorgperson,cn=schema,cn=config

dn: cn={4}arai-usuarios,cn=schema,cn=config

dn: cn={5}edu-org,cn=schema,cn=config

dn: cn={6}edu-person,cn=schema,cn=config

Y mirando la documentación de https://documentacion.siu.edu.ar/usuarios/docs/cache/conceptos-storage/#ldap, tiene en cuenta los pasos opcionales que salen https://documentacion.siu.edu.ar/usuarios/docs/cache/instalacion-bases-ldap/, así que también los corrí porque antes no lo había hecho.
Verifique los permisos y reinicie el servicio Ldap, pero sigo teniendo el mismo error.
Lo que no pude ver son los logs de Ldap, porque no los pude encontrar.

Saludos Fernando.

Fernando,

No tengo nada documentado para un OpenLDAP instalado manualmente sobre como hacer un seguimiento de logs. Te diría que lo googlees un poco hay miles.

Si te puedo decir que para cambiarlo en LDAP, internamente, tipo el nivel de debug, etc, hay que manejarlo con configuración tipo como esto. Es bienvenida la colaboración para que podamos mejoar la documentación actual !!!

Buen día Sergio!
La instalación de Arai Usuarios la estoy realizando sobre una maquina virtual en proxmox, así que hoy lo único que hice fue apagarla y volverla a levantar. Luego ejecute nuevamente el Bootstraping del proyecto:

ADMIN_PASS=toba1234 docker stack deploy
–with-registry-auth
-c util/usuarios_crear_admin.yml
boot

y probé verificar el estado de ejecución del mismo:

docker service logs boot_idm -f

Y se ejecuto correctamente.

boot_idm.1.3du49rlq4yx7@general-grievous | ================================================================================
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | Creación de usuario root de SIU-Arai-Usuarios. Se lo guiará paso a paso
boot_idm.1.3du49rlq4yx7@general-grievous | para crearlo. En el transcurso se le pedirá su
boot_idm.1.3du49rlq4yx7@general-grievous | confirmación antes de realizar ninguna acción.
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | El proceso esta por iniciar. ¿Desea continuar? (yes/no) [yes]:
boot_idm.1.3du49rlq4yx7@general-grievous | >
boot_idm.1.3du49rlq4yx7@general-grievous | 1) Inicialización de proyecto
boot_idm.1.3du49rlq4yx7@general-grievous | =============================
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | [NOTA] Se encontró la aplicación con id: idm-core
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | [NOTA] Se actualizó el password del admin
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | [NOTA] Se asoció la cuenta de admin al IDM
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | [ OK ] Se completó el proceso de creación y actualización de usuario admin
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | ================================================================================
boot_idm.1.3du49rlq4yx7@general-grievous | Proceso ejecutado en SIU-Arai-Usuarios (versión v3.0.2)
boot_idm.1.3du49rlq4yx7@general-grievous |
boot_idm.1.3du49rlq4yx7@general-grievous | ================================================================================

Así que después desplegué el stack Arai Usuarios:

docker stack deploy --with-registry-auth -c usuarios.yml usuarios

Que también se ejecuto correctamente.
Al momento de navegar a https://unpa.edu.ar/usuarios no me dejo, pero eso lo voy a seguir como otro tema.