aprovisionamiento de identidad - tareas #2799 · ... con un acl openldap): 1/ derechos de ......
TRANSCRIPT
Aprovisionamiento de Identidad - Tareas 2799
Configurar un primer prototipo LDAP PWM
04032014 1012 PM - Daniel Vintildear Ulriksen
Status Cerrada Start date 04032014
Priority Alta Due date
Assignee Cielito - LDAP Done 80
Category Estimated time 000 hour
Target version Spent time 750 hours
Description
En 2647 vimos la instalacioacuten de ldap y de pwm e incluso tenemos baacutesicamente funcional una auto-inscripcioacuten LDAP en
httpsidentidadinteriorudelareduuypwm
Para acceder directamente al LDAP podemos utilizar un front-end como ApacheDS Studio
Hay que ver de estudiar los derechos de acceso al LDAP para tener una forma de administracioacuten si es posible por CENUR o Centro de
la base de usuarios que en general se auto-suscriben
History
1 - 04282014 1043 PM - Germaacuten Bianchi
- File apacheds_1png added
- File apacheds_2png added
- Status changed from Nueva to En curso
- Done changed from 0 to 10
Estuve investigando un poco sobre esta tarea y me surgieron algunas dudas
Puede ser que el auto-aprovisionamiento de contrasentildea no esteacute funcionando Ya que intente crearme una cuenta pero nunca me enviacutea en coacutedigo de
validacioacuten a la casilla de correo
Tambieacuten estuve viendo la configuracioacuten desde el config-manager pero a la hora de crear una conexioacuten con el ApacheDS usando los datos de la wiki no lo
logreacute Cuando pide ingresar el DN tambieacuten pide una contrasentildea que no se cual es probeacute la compartida pero no funcionoacute y en el config-manager hay un
campo LDAP Proxy Password que estaacute vaciacuteo (que supongo que se corresponde con el campo LDAP Proxy User =
cn=admindc=interiordc=udelardc=edudc=uy)
Agradezco cualquier comentario que me pueda ayudar a realizar la conexioacuten
2 - 04292014 1045 AM - Andreacutes Piacuteas
Estaacute bien como estas definiendo la conexioacuten Germaacuten En las reglas del firewall habiacutea omitido habilitar los puertos de LDAP las disculpas del caso Luego
de activarlos probeacute conectarme de la misma manera y funcionoacute Probaacute hacerlo ahora
Yo en mi caso me creeacute un usuario mediante ApacheDS dentro de la unidad organizacional gente
3 - 06022014 1158 AM - Andreacutes Piacuteas
- Priority changed from Normal to Alta
4 - 06052014 0824 PM - Germaacuten Bianchi
- Assignee changed from Germaacuten Bianchi to Andreacutes Piacuteas
09292018 15
Para investigar sobre el funcionamiento de PWM necesito acceso a Curie
Necesitariacutea buscar una manera de incluir valores numeacutericos en el password y hacer funcionar el recaptcha
5 - 06062014 1200 AM - Daniel Vintildear Ulriksen
necesito acceso a Curie
te creeacute una cuenta gbianchi en curie con derecho sudo Tienes acceso con tu clave ssh germanarrakis la contrasentildea temporaria de la cuenta estaacute en
~contrasenha
OjO que en curie tenemos maacutes o menos en producccioacuten el pad
6 - 06092014 0925 AM - Andreacutes Piacuteas
- Assignee changed from Andreacutes Piacuteas to Germaacuten Bianchi
Germaacuten te la paso porque ya fue creado el acceso Si no podes entrar avisame
Daniel acordate que si le creaste la cuenta con passwd -e por mas que se conecte usando su clave publica le va a solicitar la contrasentildea anterior
7 - 06092014 1252 PM - Daniel Vintildear Ulriksen
Daniel acordate que si le creaste la cuenta con passwd -e por mas que se conecte usando su clave publica le va a solicitar la contrasentildea
anterior
Me acuerdo estas vez no le hice el passwd -e
Para el proceso estaacute bien crearla con passwd -e cuando esa contrasentildea se enviacutea por correo se minimiza el riesgo de cuenta durmiente con datos que
circularon en mails sin mucha proteccioacuten Cuando se tiene la clave puacuteblica se da acceso con eacutesta no se compromete la contrasentildea dejaacutendola en un
archivo y NO se hace un passwd -e
8 - 06092014 0106 PM - Daniel Vintildear Ulriksen
Retomo un mail referente a esta tarea
El 040614 2210 Germaacuten Bianchi escribioacute
En lo referente a esa tarea estuve investigando sobre el funcionamiento de LDAP en si (ya que no sabiacutea mucho del tema) y probando con la
creacioacuten de grupos y usuarios con ApacheDS
Bien es un punto importante Conviene estudiar coacutemo dar derechos (aunque sea a fuego con un acl openldap) 1 derechos de administracioacuten a un
grupo (y no solo a una cuenta como ahora) 2 coacutemo agrupar las cuentas en grupos (CENUR carrera departamento ) y oroganizar la administracioacuten
decentralizada
PWM lo probeacute pero no lo viacute mucho noteacute eso de la contrasentildea y que una vez enviada la solucitud de registro no me enviaba al correo el coacutedigo para
finalizar el registro Voy a meterme con eso entonces analizar el coacutedigo y ver de encontrar alguna solucioacuten
09292018 25
Cuando lo armeacute recuerdo que logramos auto-registrar cuentas Quizaacutes lo dejeacute deshabilitado hay que verificar la configuracioacuten o si algo cambioacute en el
servidor
Para todo esto iquesttienes la contrasentildea del usuario ldap informatica que administra Una vez logueado con esa cuenta esa misma contrasentildea sirve para
el panel de configuracioacuten de PWM
Recuerdo que algo intenteacute documentar en las tareas de este proyecto pero si quieren nos hacemos una sesioacuten de trabajo por audio chat y pad para
compartir el conocimiento y los objetivos
9 - 06162014 1000 PM - Germaacuten Bianchi
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que utilizar
una conexioacuten segura a pesar de que estaba entrando por HTTPS) no quise tocar la configuracioacuten del Apache para no romper nada del Pad lo volviacute para
atras editando el archivo de configuracioacuten a mano desde Curie
Voy a seguir tratando de incluir el Recaptcha
10 - 06182014 0933 PM - Germaacuten Bianchi
- Assignee changed from Germaacuten Bianchi to Andreacutes Piacuteas
Andreacutes te paso la tarea porque por lo que viacute el servidor Curie no se estaacute comunicando con dominios externos a la red de CSIC (por ej no responde ping a
googlecom) esto es necesario para la validacioacuten del codigo de reCaptcha
Parece ser algo con los servidores DNS que tiene configurados pero no quise cambiarlos por si esta asiacute por alguna razoacuten
11 - 06192014 1025 AM - Daniel Vintildear Ulriksen
en primer lugar [[servidorescurie]] tiene actualizaciones de seguridad pendientes Porfa verifiquemos regularmente los servidores a los que accedemos
y actualicemoslos lo hago
Adicionalmente tiene como solo resolvedor (ver etcresolvconf y etcnetworkinterfaces) la 254 (socrates) que estaacute en la LAN y recientemente viacute que no
esa respondiendo a la DMZ Si hay que poner un solo resolvedor que sea el 33 y voy a ver de permitir las respuestas de socrates a toda la red 24
12 - 06192014 1036 AM - Daniel Vintildear Ulriksen
no quise tocar la configuracioacuten del Apache para no romper nada del Pad
Hiciste bien En un servidor de desarrollo y pruebas tenemos que poder romper lo que necesitemos romper
Tenemos que separar las cosas en desarrollo y en prod creemos un servidor para el pad Sugiero revivamos ritchie
13 - 06202014 1209 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Germaacuten Bianchi
09292018 35
Te devuelvo la tarea Germaacuten El pad estaacute migrado al servidor Ritchie (ver 3036) y curie resuelve bien Puedes hacer lo que necesites como servidor de
test
14 - 06202014 1213 AM - Daniel Vintildear Ulriksen
Respecto a tu anaacutelisis
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que
utilizar una conexioacuten segura a pesar de que estaba entrando por HTTPS)
Es maacutes o menos hasta esa situacioacuten que yo logreacute probar pero ahora el re-captcha queda cargando auacuten cuando el servidor puede resolver
Lo de la exigencia de https quizaacutes sea porque accedemos al pwm a traveacutes de un reverse proxy en que el https 443 estaacute redirigido al http 8080
ltLocation pwmgt
ProxyPass httpidentidadinteriorudelareduuy8080pwm
ProxyPassReverse httpidentidadinteriorudelareduuy8080pwm
ltLocationgt
15 - 06202014 1234 PM - Germaacuten Bianchi
re-captcha queda cargando auacuten cuando el servidor puede resolver
Queda cargando porque la seguridad del navegador lo bloquea una vez desactivada la proteccioacuten el reCaptcha cargavalida correctamente Me falta
investigar en que se basa el navegador para cosiderarlo no seguro
16 - 07022014 1104 PM - Germaacuten Bianchi
- Done changed from 10 to 30
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo hacia
con http y por eso el navegador lo interpretaba como no seguro Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo configureacute
para que PWM indique las poliacuteticas
Lo del grupo de administradores todaviacutea lo estoy investigando porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea
para saber si es administrador Si se tiene un grupo pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre
el usuario logueado (solo funcionariacutea seteando un atributo para indicar si es administrador en el usuario)
17 - 07022014 1154 PM - Daniel Vintildear Ulriksen
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo
09292018 45
hacia con http y por eso el navegador lo interpretaba como no seguro
Ok se entiende
Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Ok como primer solucioacuten estaacute bien iquestpuedes documentar exactamente queacute archivo(s) modificaste (yo no lo sabriacutea encontrar)
Lo bueno seriacutea tener una documentacioacuten en la wiki de la instalacioacuten completa
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo
configureacute para que PWM indique las poliacuteticas
iquestEs decir iquestCoacutemo lo modificaste iquesten un archivo lo que no funciona es por la interfaz de configuracioacuten web iquestestmaos de acuerdo
Lo del grupo de administradores todaviacutea lo estoy investigando
Ok
porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea para saber si es administrador Si se tiene un grupo
pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre el usuario logueado (solo funcionariacutea seteando
un atributo para indicar si es administrador en el usuario)
ok maacutes o menos entiendo
Conviene investigar tambieacuten los temas de grupo para la administreacioacuten del ldap con apacheDS
18 - 03022015 0408 PM - Andreacutes Piacuteas
- Status changed from En curso to Resuelta
- Assignee changed from Germaacuten Bianchi to Cielito - LDAP
- Done changed from 30 to 80
Esto ya habriacutea quedado resuelto
19 - 03122015 1215 PM - Andreacutes Piacuteas
- Status changed from Resuelta to Cerrada
Files
apacheds_1png 489 KB 04292014 Germaacuten Bianchi
apacheds_2png 371 KB 04292014 Germaacuten Bianchi
09292018 55
Para investigar sobre el funcionamiento de PWM necesito acceso a Curie
Necesitariacutea buscar una manera de incluir valores numeacutericos en el password y hacer funcionar el recaptcha
5 - 06062014 1200 AM - Daniel Vintildear Ulriksen
necesito acceso a Curie
te creeacute una cuenta gbianchi en curie con derecho sudo Tienes acceso con tu clave ssh germanarrakis la contrasentildea temporaria de la cuenta estaacute en
~contrasenha
OjO que en curie tenemos maacutes o menos en producccioacuten el pad
6 - 06092014 0925 AM - Andreacutes Piacuteas
- Assignee changed from Andreacutes Piacuteas to Germaacuten Bianchi
Germaacuten te la paso porque ya fue creado el acceso Si no podes entrar avisame
Daniel acordate que si le creaste la cuenta con passwd -e por mas que se conecte usando su clave publica le va a solicitar la contrasentildea anterior
7 - 06092014 1252 PM - Daniel Vintildear Ulriksen
Daniel acordate que si le creaste la cuenta con passwd -e por mas que se conecte usando su clave publica le va a solicitar la contrasentildea
anterior
Me acuerdo estas vez no le hice el passwd -e
Para el proceso estaacute bien crearla con passwd -e cuando esa contrasentildea se enviacutea por correo se minimiza el riesgo de cuenta durmiente con datos que
circularon en mails sin mucha proteccioacuten Cuando se tiene la clave puacuteblica se da acceso con eacutesta no se compromete la contrasentildea dejaacutendola en un
archivo y NO se hace un passwd -e
8 - 06092014 0106 PM - Daniel Vintildear Ulriksen
Retomo un mail referente a esta tarea
El 040614 2210 Germaacuten Bianchi escribioacute
En lo referente a esa tarea estuve investigando sobre el funcionamiento de LDAP en si (ya que no sabiacutea mucho del tema) y probando con la
creacioacuten de grupos y usuarios con ApacheDS
Bien es un punto importante Conviene estudiar coacutemo dar derechos (aunque sea a fuego con un acl openldap) 1 derechos de administracioacuten a un
grupo (y no solo a una cuenta como ahora) 2 coacutemo agrupar las cuentas en grupos (CENUR carrera departamento ) y oroganizar la administracioacuten
decentralizada
PWM lo probeacute pero no lo viacute mucho noteacute eso de la contrasentildea y que una vez enviada la solucitud de registro no me enviaba al correo el coacutedigo para
finalizar el registro Voy a meterme con eso entonces analizar el coacutedigo y ver de encontrar alguna solucioacuten
09292018 25
Cuando lo armeacute recuerdo que logramos auto-registrar cuentas Quizaacutes lo dejeacute deshabilitado hay que verificar la configuracioacuten o si algo cambioacute en el
servidor
Para todo esto iquesttienes la contrasentildea del usuario ldap informatica que administra Una vez logueado con esa cuenta esa misma contrasentildea sirve para
el panel de configuracioacuten de PWM
Recuerdo que algo intenteacute documentar en las tareas de este proyecto pero si quieren nos hacemos una sesioacuten de trabajo por audio chat y pad para
compartir el conocimiento y los objetivos
9 - 06162014 1000 PM - Germaacuten Bianchi
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que utilizar
una conexioacuten segura a pesar de que estaba entrando por HTTPS) no quise tocar la configuracioacuten del Apache para no romper nada del Pad lo volviacute para
atras editando el archivo de configuracioacuten a mano desde Curie
Voy a seguir tratando de incluir el Recaptcha
10 - 06182014 0933 PM - Germaacuten Bianchi
- Assignee changed from Germaacuten Bianchi to Andreacutes Piacuteas
Andreacutes te paso la tarea porque por lo que viacute el servidor Curie no se estaacute comunicando con dominios externos a la red de CSIC (por ej no responde ping a
googlecom) esto es necesario para la validacioacuten del codigo de reCaptcha
Parece ser algo con los servidores DNS que tiene configurados pero no quise cambiarlos por si esta asiacute por alguna razoacuten
11 - 06192014 1025 AM - Daniel Vintildear Ulriksen
en primer lugar [[servidorescurie]] tiene actualizaciones de seguridad pendientes Porfa verifiquemos regularmente los servidores a los que accedemos
y actualicemoslos lo hago
Adicionalmente tiene como solo resolvedor (ver etcresolvconf y etcnetworkinterfaces) la 254 (socrates) que estaacute en la LAN y recientemente viacute que no
esa respondiendo a la DMZ Si hay que poner un solo resolvedor que sea el 33 y voy a ver de permitir las respuestas de socrates a toda la red 24
12 - 06192014 1036 AM - Daniel Vintildear Ulriksen
no quise tocar la configuracioacuten del Apache para no romper nada del Pad
Hiciste bien En un servidor de desarrollo y pruebas tenemos que poder romper lo que necesitemos romper
Tenemos que separar las cosas en desarrollo y en prod creemos un servidor para el pad Sugiero revivamos ritchie
13 - 06202014 1209 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Germaacuten Bianchi
09292018 35
Te devuelvo la tarea Germaacuten El pad estaacute migrado al servidor Ritchie (ver 3036) y curie resuelve bien Puedes hacer lo que necesites como servidor de
test
14 - 06202014 1213 AM - Daniel Vintildear Ulriksen
Respecto a tu anaacutelisis
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que
utilizar una conexioacuten segura a pesar de que estaba entrando por HTTPS)
Es maacutes o menos hasta esa situacioacuten que yo logreacute probar pero ahora el re-captcha queda cargando auacuten cuando el servidor puede resolver
Lo de la exigencia de https quizaacutes sea porque accedemos al pwm a traveacutes de un reverse proxy en que el https 443 estaacute redirigido al http 8080
ltLocation pwmgt
ProxyPass httpidentidadinteriorudelareduuy8080pwm
ProxyPassReverse httpidentidadinteriorudelareduuy8080pwm
ltLocationgt
15 - 06202014 1234 PM - Germaacuten Bianchi
re-captcha queda cargando auacuten cuando el servidor puede resolver
Queda cargando porque la seguridad del navegador lo bloquea una vez desactivada la proteccioacuten el reCaptcha cargavalida correctamente Me falta
investigar en que se basa el navegador para cosiderarlo no seguro
16 - 07022014 1104 PM - Germaacuten Bianchi
- Done changed from 10 to 30
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo hacia
con http y por eso el navegador lo interpretaba como no seguro Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo configureacute
para que PWM indique las poliacuteticas
Lo del grupo de administradores todaviacutea lo estoy investigando porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea
para saber si es administrador Si se tiene un grupo pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre
el usuario logueado (solo funcionariacutea seteando un atributo para indicar si es administrador en el usuario)
17 - 07022014 1154 PM - Daniel Vintildear Ulriksen
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo
09292018 45
hacia con http y por eso el navegador lo interpretaba como no seguro
Ok se entiende
Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Ok como primer solucioacuten estaacute bien iquestpuedes documentar exactamente queacute archivo(s) modificaste (yo no lo sabriacutea encontrar)
Lo bueno seriacutea tener una documentacioacuten en la wiki de la instalacioacuten completa
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo
configureacute para que PWM indique las poliacuteticas
iquestEs decir iquestCoacutemo lo modificaste iquesten un archivo lo que no funciona es por la interfaz de configuracioacuten web iquestestmaos de acuerdo
Lo del grupo de administradores todaviacutea lo estoy investigando
Ok
porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea para saber si es administrador Si se tiene un grupo
pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre el usuario logueado (solo funcionariacutea seteando
un atributo para indicar si es administrador en el usuario)
ok maacutes o menos entiendo
Conviene investigar tambieacuten los temas de grupo para la administreacioacuten del ldap con apacheDS
18 - 03022015 0408 PM - Andreacutes Piacuteas
- Status changed from En curso to Resuelta
- Assignee changed from Germaacuten Bianchi to Cielito - LDAP
- Done changed from 30 to 80
Esto ya habriacutea quedado resuelto
19 - 03122015 1215 PM - Andreacutes Piacuteas
- Status changed from Resuelta to Cerrada
Files
apacheds_1png 489 KB 04292014 Germaacuten Bianchi
apacheds_2png 371 KB 04292014 Germaacuten Bianchi
09292018 55
Cuando lo armeacute recuerdo que logramos auto-registrar cuentas Quizaacutes lo dejeacute deshabilitado hay que verificar la configuracioacuten o si algo cambioacute en el
servidor
Para todo esto iquesttienes la contrasentildea del usuario ldap informatica que administra Una vez logueado con esa cuenta esa misma contrasentildea sirve para
el panel de configuracioacuten de PWM
Recuerdo que algo intenteacute documentar en las tareas de este proyecto pero si quieren nos hacemos una sesioacuten de trabajo por audio chat y pad para
compartir el conocimiento y los objetivos
9 - 06162014 1000 PM - Germaacuten Bianchi
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que utilizar
una conexioacuten segura a pesar de que estaba entrando por HTTPS) no quise tocar la configuracioacuten del Apache para no romper nada del Pad lo volviacute para
atras editando el archivo de configuracioacuten a mano desde Curie
Voy a seguir tratando de incluir el Recaptcha
10 - 06182014 0933 PM - Germaacuten Bianchi
- Assignee changed from Germaacuten Bianchi to Andreacutes Piacuteas
Andreacutes te paso la tarea porque por lo que viacute el servidor Curie no se estaacute comunicando con dominios externos a la red de CSIC (por ej no responde ping a
googlecom) esto es necesario para la validacioacuten del codigo de reCaptcha
Parece ser algo con los servidores DNS que tiene configurados pero no quise cambiarlos por si esta asiacute por alguna razoacuten
11 - 06192014 1025 AM - Daniel Vintildear Ulriksen
en primer lugar [[servidorescurie]] tiene actualizaciones de seguridad pendientes Porfa verifiquemos regularmente los servidores a los que accedemos
y actualicemoslos lo hago
Adicionalmente tiene como solo resolvedor (ver etcresolvconf y etcnetworkinterfaces) la 254 (socrates) que estaacute en la LAN y recientemente viacute que no
esa respondiendo a la DMZ Si hay que poner un solo resolvedor que sea el 33 y voy a ver de permitir las respuestas de socrates a toda la red 24
12 - 06192014 1036 AM - Daniel Vintildear Ulriksen
no quise tocar la configuracioacuten del Apache para no romper nada del Pad
Hiciste bien En un servidor de desarrollo y pruebas tenemos que poder romper lo que necesitemos romper
Tenemos que separar las cosas en desarrollo y en prod creemos un servidor para el pad Sugiero revivamos ritchie
13 - 06202014 1209 AM - Daniel Vintildear Ulriksen
- Assignee changed from Andreacutes Piacuteas to Germaacuten Bianchi
09292018 35
Te devuelvo la tarea Germaacuten El pad estaacute migrado al servidor Ritchie (ver 3036) y curie resuelve bien Puedes hacer lo que necesites como servidor de
test
14 - 06202014 1213 AM - Daniel Vintildear Ulriksen
Respecto a tu anaacutelisis
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que
utilizar una conexioacuten segura a pesar de que estaba entrando por HTTPS)
Es maacutes o menos hasta esa situacioacuten que yo logreacute probar pero ahora el re-captcha queda cargando auacuten cuando el servidor puede resolver
Lo de la exigencia de https quizaacutes sea porque accedemos al pwm a traveacutes de un reverse proxy en que el https 443 estaacute redirigido al http 8080
ltLocation pwmgt
ProxyPass httpidentidadinteriorudelareduuy8080pwm
ProxyPassReverse httpidentidadinteriorudelareduuy8080pwm
ltLocationgt
15 - 06202014 1234 PM - Germaacuten Bianchi
re-captcha queda cargando auacuten cuando el servidor puede resolver
Queda cargando porque la seguridad del navegador lo bloquea una vez desactivada la proteccioacuten el reCaptcha cargavalida correctamente Me falta
investigar en que se basa el navegador para cosiderarlo no seguro
16 - 07022014 1104 PM - Germaacuten Bianchi
- Done changed from 10 to 30
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo hacia
con http y por eso el navegador lo interpretaba como no seguro Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo configureacute
para que PWM indique las poliacuteticas
Lo del grupo de administradores todaviacutea lo estoy investigando porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea
para saber si es administrador Si se tiene un grupo pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre
el usuario logueado (solo funcionariacutea seteando un atributo para indicar si es administrador en el usuario)
17 - 07022014 1154 PM - Daniel Vintildear Ulriksen
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo
09292018 45
hacia con http y por eso el navegador lo interpretaba como no seguro
Ok se entiende
Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Ok como primer solucioacuten estaacute bien iquestpuedes documentar exactamente queacute archivo(s) modificaste (yo no lo sabriacutea encontrar)
Lo bueno seriacutea tener una documentacioacuten en la wiki de la instalacioacuten completa
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo
configureacute para que PWM indique las poliacuteticas
iquestEs decir iquestCoacutemo lo modificaste iquesten un archivo lo que no funciona es por la interfaz de configuracioacuten web iquestestmaos de acuerdo
Lo del grupo de administradores todaviacutea lo estoy investigando
Ok
porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea para saber si es administrador Si se tiene un grupo
pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre el usuario logueado (solo funcionariacutea seteando
un atributo para indicar si es administrador en el usuario)
ok maacutes o menos entiendo
Conviene investigar tambieacuten los temas de grupo para la administreacioacuten del ldap con apacheDS
18 - 03022015 0408 PM - Andreacutes Piacuteas
- Status changed from En curso to Resuelta
- Assignee changed from Germaacuten Bianchi to Cielito - LDAP
- Done changed from 30 to 80
Esto ya habriacutea quedado resuelto
19 - 03122015 1215 PM - Andreacutes Piacuteas
- Status changed from Resuelta to Cerrada
Files
apacheds_1png 489 KB 04292014 Germaacuten Bianchi
apacheds_2png 371 KB 04292014 Germaacuten Bianchi
09292018 55
Te devuelvo la tarea Germaacuten El pad estaacute migrado al servidor Ritchie (ver 3036) y curie resuelve bien Puedes hacer lo que necesites como servidor de
test
14 - 06202014 1213 AM - Daniel Vintildear Ulriksen
Respecto a tu anaacutelisis
Se volvioacute a activar el servicio de aprovisionamiento (ahora manda el passphrase por correo electroacutenico)
Realizando pruebas con el Recaptcha y habilitando el Require HTTPS del Configuration Editor del PWM me dejoacute afuera (me deciacutea que teniacutea que
utilizar una conexioacuten segura a pesar de que estaba entrando por HTTPS)
Es maacutes o menos hasta esa situacioacuten que yo logreacute probar pero ahora el re-captcha queda cargando auacuten cuando el servidor puede resolver
Lo de la exigencia de https quizaacutes sea porque accedemos al pwm a traveacutes de un reverse proxy en que el https 443 estaacute redirigido al http 8080
ltLocation pwmgt
ProxyPass httpidentidadinteriorudelareduuy8080pwm
ProxyPassReverse httpidentidadinteriorudelareduuy8080pwm
ltLocationgt
15 - 06202014 1234 PM - Germaacuten Bianchi
re-captcha queda cargando auacuten cuando el servidor puede resolver
Queda cargando porque la seguridad del navegador lo bloquea una vez desactivada la proteccioacuten el reCaptcha cargavalida correctamente Me falta
investigar en que se basa el navegador para cosiderarlo no seguro
16 - 07022014 1104 PM - Germaacuten Bianchi
- Done changed from 10 to 30
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo hacia
con http y por eso el navegador lo interpretaba como no seguro Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo configureacute
para que PWM indique las poliacuteticas
Lo del grupo de administradores todaviacutea lo estoy investigando porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea
para saber si es administrador Si se tiene un grupo pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre
el usuario logueado (solo funcionariacutea seteando un atributo para indicar si es administrador en el usuario)
17 - 07022014 1154 PM - Daniel Vintildear Ulriksen
Ahora si se muestra el reCaptcha correctamente el problema era que al no estar seteado el https en el Tomcat cuando iba a solicitar el captcha lo
09292018 45
hacia con http y por eso el navegador lo interpretaba como no seguro
Ok se entiende
Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Ok como primer solucioacuten estaacute bien iquestpuedes documentar exactamente queacute archivo(s) modificaste (yo no lo sabriacutea encontrar)
Lo bueno seriacutea tener una documentacioacuten en la wiki de la instalacioacuten completa
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo
configureacute para que PWM indique las poliacuteticas
iquestEs decir iquestCoacutemo lo modificaste iquesten un archivo lo que no funciona es por la interfaz de configuracioacuten web iquestestmaos de acuerdo
Lo del grupo de administradores todaviacutea lo estoy investigando
Ok
porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea para saber si es administrador Si se tiene un grupo
pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre el usuario logueado (solo funcionariacutea seteando
un atributo para indicar si es administrador en el usuario)
ok maacutes o menos entiendo
Conviene investigar tambieacuten los temas de grupo para la administreacioacuten del ldap con apacheDS
18 - 03022015 0408 PM - Andreacutes Piacuteas
- Status changed from En curso to Resuelta
- Assignee changed from Germaacuten Bianchi to Cielito - LDAP
- Done changed from 30 to 80
Esto ya habriacutea quedado resuelto
19 - 03122015 1215 PM - Andreacutes Piacuteas
- Status changed from Resuelta to Cerrada
Files
apacheds_1png 489 KB 04292014 Germaacuten Bianchi
apacheds_2png 371 KB 04292014 Germaacuten Bianchi
09292018 55
hacia con http y por eso el navegador lo interpretaba como no seguro
Ok se entiende
Lo solucioneacute editando el coacutedigo de la parte de captcha de PWM para que use HTTPS
Ok como primer solucioacuten estaacute bien iquestpuedes documentar exactamente queacute archivo(s) modificaste (yo no lo sabriacutea encontrar)
Lo bueno seriacutea tener una documentacioacuten en la wiki de la instalacioacuten completa
Tambieacuten se pueden ingresar valores numeacutericos en la contrasentildea al utilizar las poliacuteticas especificadas en el LDAP no funciona bien por lo que lo
configureacute para que PWM indique las poliacuteticas
iquestEs decir iquestCoacutemo lo modificaste iquesten un archivo lo que no funciona es por la interfaz de configuracioacuten web iquestestmaos de acuerdo
Lo del grupo de administradores todaviacutea lo estoy investigando
Ok
porque PWM tiene la opcioacuten de que se ejecute una consulta sobre el usuario que se loguea para saber si es administrador Si se tiene un grupo
pwmadmin con atributos member especificado los usuarios no funciona porque la consulta es sobre el usuario logueado (solo funcionariacutea seteando
un atributo para indicar si es administrador en el usuario)
ok maacutes o menos entiendo
Conviene investigar tambieacuten los temas de grupo para la administreacioacuten del ldap con apacheDS
18 - 03022015 0408 PM - Andreacutes Piacuteas
- Status changed from En curso to Resuelta
- Assignee changed from Germaacuten Bianchi to Cielito - LDAP
- Done changed from 30 to 80
Esto ya habriacutea quedado resuelto
19 - 03122015 1215 PM - Andreacutes Piacuteas
- Status changed from Resuelta to Cerrada
Files
apacheds_1png 489 KB 04292014 Germaacuten Bianchi
apacheds_2png 371 KB 04292014 Germaacuten Bianchi
09292018 55