v3.1.11

Actualizar de 2.3 a 3.0

Esta versión de Usuarios, presenta muchos cambios a nivel estructural y visual. El cambio mas grande también es sobre el esquema de despliegue: ahora es por medio de imagenes Docker.

A continuación se describen los pasos para realizar la actualización de versión.

NO OLVIDE REALIZAR UNA COPIA DE SEGURIDAD DE LA APLICACIÓN Y LAS BASES DE DATOS ANTES DE CONTINUAR

Consideraciones iniciales

  • Es necesario contar con una instalación de SIU-Araí: Usuarios en la versión 2.3.
  • Se debe tener en cuenta que el proceso de actualización representa migrar las bases OpenLDAP y PostgreSQL
  • Se deberá realizar un despliegue con imágenes Docker
  • La plataforma ahora consta de múltiples módulos independientes (api, idm e idp). Ver más detalles de la nueva arquitectura.

La versión 3.0 actualiza los requerimientos mínimos respecto a la versión anterior:

  • Orquestador para contenedores, con soporte a imágenes Docker
  • PostgreSQL requerido en versión mínima 9.6 y máxima 12
  • OpenLDAP requerido en versión 2.4.44 o superior

Procedimiento

Para migrar de una instalación 2.3 a una 3.0 se deben seguir los siguientes pasos:

  1. Resguardo de las bases de datos y assets
  2. Actualizar Bases de datos
  3. Migrar datos
  4. Desplegar contenedores

Preparar accesos y versiones

  1. Definir la versión a utilizar

    export VERSION=v3.0.2

  2. Autenticarse contra la registry de imágenes Docker del SIU (utiliza credenciales del HUB)

    docker login hub.siu.edu.ar:5005

    Donde opere con imágenes Docker del SIU, se requiere este paso

  3. Descargar la imagen de la nueva versión de la aplicación. Asegurarse de tener la versión adecuada

    docker pull hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idp:$VERSION
docker pull hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION
docker pull hub.siu.edu.ar:5005/siu-arai/arai-usuarios/api:$VERSION

  4. Preparar la configuración de conexión a las bases de datos

    Para poder realizar la migarción, es neceario configurar unas variables de entorno para conectarse a OpenLDAP y PostgreSQL respectivamente. Ajustarlo a los parametros requeridos.

    echo \
"#configurar ENV temporal
LDAP_HOST=ip_ldap_host
LDAP_PORT=389
LDAP_TLS=0
LDAP_METHOD=user
LDAP_BINDUSER=cn=admin,dc=siu,dc=cin,dc=edu
LDAP_BINDPASS=adminldappass
LDAP_SEARCHBASE=dc=siu,dc=cin,dc=edu
LDAP_USERS_OU=usuarios
LDAP_USERS_ATTR=ou
LDAP_ACCOUNTS_OU=usuariosCuentas
LDAP_ACCOUNTS_ATTR=ou
LDAP_GROUPS_OU=groups
LDAP_GROUPS_ATTR=ou
DB_HOST=ip_pg_host
DB_PORT=5432
DB_DBNAME=dbname
DB_USERNAME=dbuser
DB_PASSWORD=dbpass
DB_SCHEMA=usuarios
IDM_URL=http://url.arai-usuarios
SEGURIDAD_ALGORITMO_SALT=yhWGyAH1KI7jPR75FN8V
SEGURIDAD_ALGORITMO_PASS=crypt
SEGURIDAD_LARGO_PASS=8
SEGURIDAD_INFO_PASS="La contraseña debe tener al menos 8 caracteres, entre letras mayúsculas, minúsculas, números y símbolos, no pudiendo repetir caracteres adyacentes"
SEGURIDAD_DURACION_DIAS_PASS=0
TOBA_USUARIO=admin
TOBA_PASSWORD=nada" > migrar.env

Backups de las base de datos

  1. Realizar el backup de PostgreSQL de manera preventiva

    pg_dump -b -O -x --clean --create --disable-triggers --if-exists -h ${DB_HOST} -p ${DB_PORT} -U ${DB_USERNAME} -d ${DB_DBNAME} -f dump_23.sql

  2. Realizar el backup de LDAP de manera preventiva, ver documentación.

Actualizar OpenLDAP

Si esta usando Docker

  • Para entender como el proyecto genera la imagen docker ver aquí.
  • Se han publicado múltiples versiones de la imagen docker. Se requiere la imagen siutoba/docker-openldap-arai con el tag o versión openldap-3.
  • Para personalizar la imagen docker, puede encontrarlo como hacerlo aquí.

Se presupone que se ha configurado un volúmen con los datos del LDAP persistentes de manera externa, como así mismo para la configuración. En este caso, además de realizar el despliegue de la nueva versión openldap-3 (la que ha personalizado), deberá copiar los archivos .ldif al directorio de configuración que mapeará al iniciar el contenedor.

Suponiendo que nuestro directorio de configuración se encuentra en /etc/ldap/slapd.d/ realizamos entonces:

     sudo cp -f idm/templates/ldap/3.0/ldif/cn\=\{* "/etc/ldap/slapd.d/cn=config/cn=schema"

Luego de lo cual reiniciaremos el contenedor correspondiente indicando los volumenes mapeados correspondientes tanto para configuración como datos.

Si esta usando instalación manual

A continuación se describe la actualización basado en OpenLDAP con Debian 10 Buster. Se asume un DN base dc=unx,dc=edu,dc=ar.

  1. El primer paso es detener el servicio OpenLDAP

    sudo systemctl stop slapd

  2. Se deben cargar los NUEVOS esquemas requeridos por SIU-Araí: Usuarios (se encuentran dentro del directorio idm/templates/ldap/3.0/ldif del proyecto).

    sudo cp idm/templates/ldap/3.0/ldif/cn\=\{* "/etc/ldap/slapd.d/cn=config/cn=schema"

sudo chown openldap:openldap "/etc/ldap/slapd.d/cn=config/cn=schema" -R

sudo systemctl start slapd

  3. Opcional. Es posible verificar si los esquemas fueron cargados realmente

    sudo ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config "(objectClass=olcSchemaConfig)" dn

  4. Si no se dispone, agregar el esquema memberOf para los grupos

    sudo ldapmodify -Y EXTERNAL -H ldapi:///  -f idm/templates/ldap/3.0/optional/memberOf.ldif

  5. Opcional. Para verificar que se cuenta con el esquema memberOf

    sudo ldapsearch -LLLQY EXTERNAL -H ldapi:/// -b cn=schema,cn=config "(objectClass=olcSchemaConfig)" | grep memberOf

  6. Crear nuevos indices

    sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f idm/templates/ldap/3.0/optional/index.ldif

Actualizar PostgreSQL

  1. Antes de actualizar, hay que exportar la configuración de la aplicación y descargarla, para ello se crea un directorio temporal instalacion_2_3 que será usada como volumen y recibirá los datos exportados

     cd /ruta/usuarios/2.3
 bin/toba instancia exportar_local
 mkdir -p /tmp/instalacion_2_3 
 cp -R instalacion /tmp/instalacion_2_3/instalacion

  2. Migrar la estructura de la base de datos

      docker run --rm -it  \
  --env-file=migrar.env \
  --volume /tmp/instalacion_2_3:/tmp/mapeo_interno \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION -- \
  idm/bin/instalador docker:db-actualizar -p /tmp/mapeo_interno --no-interaction --no-progress

Recordar que estos sólo con estos pasos no está completa la actualización. La siguiente sección es crucial para finalizar la actualización a la versión 3.0.

Migrar datos

  1. Migrar SPs de SAML

    En la versión 3.0 se migra la configuración de SPs de SAML dentro de la base Postgres. Es necesario correr el siguiente script para importar los SPs de una instalación anterior. Es necesario contar con el archivo sp.yml que está en la versión 2.3 en el directorio config. Una vez que se obtuvo el archivo ejecutar el siguiente comando:

    docker run --rm \
  --env-file migrar.env \
  --volume /ruta/arai-usuarios/2.3.0/sp.yml:/tmp/sp.yml \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION -- \
  idm/bin/instalador migracion:3.0 load-sp /tmp/sp.yml

    Si hay algún error el comando informará de la situación

  2. Migrar datos de LDAP

    En la versión 3.0 se actualiza el esquema LDAP que se utiliza. También se introducen cambios en el formato lógico de los datos (ver aquí para más detalles). El migrador opera sobre la totalidad de los usuarios, pero los cambios los realiza de a un usuario por vez. Esto permite realizar la migración y que finalice a pesar de existir algún inconveniente. Si por algún motivo es necesario volver a ejecutar la migración, simplemente el migrador está preparado para ignorar los usuarios que fueron procesados previamente.

    Ahora ejecutamos la migración propiamente de los datos de OpenLDAP.

    docker run --rm \
  --env-file migrar.env \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION -- \
  idm/bin/instalador migracion:3.0 ldap

    Si hay algún error el comando informará de la situación. En el archivo instalador.log quedará registrado el uid del usuario que presentó inconvenientes, junto con el error sucedido.

    Luego de la migración, es necesario realizar un reindexado de la base LDAP. Ver aquí documentación al respecto.

  3. Configurar aplicación del IDM

    En la versión 3.0 se migra la configuración de SPs de SAML dentro de la base Postgres. Es necesario correr el siguiente script para configurar los conectores SAML a la aplicación que permite el acceso al IDM.

    docker run --rm \
  --env-file migrar.env \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION -- \
  idm/bin/instalador proyecto:bootstrap

    Se le preguntará para actualizar la contraseña del usuario admin. Si no desea cambiarla, solo responda no.

Configurar

Toda la configuración del proyecto se realiza por medio de variables de entorno. Cada módulo cuenta con un conjunto de variables que permiten su parametrización:

No hay una equivalencia directa de la 2.3 a la 3.0. Debe configurar cada archivo y cada variable de entorno.

Rutas locales

Para facilitar el ejemplo del despliegue, se crean dos variables de entorno apuntando a rutas que ya deben existir.

export ASSETS=/ruta/assets
export CERTS=/ruta/certs

En ambas rutas, debe tener lo siguiente:

  • /ruta/assets debe contener los recursos (imágenes de usuarios y aplicaciones) que fueron generados en la instalación 2.3 (revisar /ruta/2.3/config/idp.yml para determinar donde estan alojadas las imágenes).
  • /ruta/certs debe contener los certifiados del IDP (revisar /ruta/2.3/config/idp.yml para determinar donde estan alojados los certificados).

Certificados OIDC

A partir de esta versión, se incorpora soporte a OIDC. Para que funcione, se requieren certificados que son usados para firmar el token JWT

openssl genrsa -out $CERTS/oidc_module.pem 2048
openssl rsa -in $CERTS/oidc_module.pem -pubout -out $CERTS/oidc_module.crt

Desplegar

Vea la instalación para tener un ejemplo del despliegue en Docker.

Volúmenes

Normalmente lo que hay que tener en cuenta aquí es que cuando ejecute los contenedores, enlace el contenido local (los recursos y certificados) con sus rutas a donde el contenedor espera que estén.

Por ejemplo, los contenedores idp, idm y api usan los recursos (imágenes de usuarios y aplicaciones), por lo que debe si está ejecutando con docker-compose deberá tener algo asi:

volumes:
  - $ASSETS:/usr/local/app/resources

El contenedor idp es el que requiere los certificados como proveedor de identidad. Deberá agregarlos así:

volumes:
  - $ASSETS:/usr/local/app/resources
  - $CERTS/certificado_idp.key:/usr/local/app/idp/config/simplesamlphp/certificado_idp.key 
  - $CERTS/certificado_idp.crt:/usr/local/app/idp/config/simplesamlphp/certificado_idp.crt 
  - $CERTS/oidc_module.pem:/usr/local/app/idp/config/simplesamlphp/oidc_module.pem 
  - $CERTS/oidc_module.crt:/usr/local/app/idp/config/simplesamlphp/oidc_module.crt

El contenedor idm es un cliente SAML del IdP. Requiere el certificado público del IdP. Deberá agregarlos así:

volumes:
  - $ASSETS:/usr/local/app/resources
  - $CERTS/certificado_idp.crt:/usr/local/app/idm/instalacion/idp.crt

Versiones menores

A continuación se describen cambios internos de la estructura de la imagen y/o en variables de entornos usadas para su configuración.

3.0.0 a 3.0.1

  • Cambió la ruta interna de assets en la imagen, ahora al montar las imágenes la variable ASSETS_DIR debe apuntar a /usr/local/app/resources. Si tiene imágenes de usuarios/aplicaciones existentes, debe modificar la estructura para que siga la forma:

    /usr/local/app/resources/resources/img/[...]

  • Actualizar la versión de la base PostgreSQL

    docker run --rm \
  --env-file migrar.env \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION \
  --db-migrate --negocio

3.0.1 a 3.0.2

  • Se agregaron dos nuevas ENV para configurar límites de tamaño de imágenes de usuarios y aplicaciones. Agregar las ENV para los módulos idp, idm y api respectivamente.

    IMAGE_MAX_SIZE_APLICACION=200000
IMAGE_MAX_SIZE_USUARIO=204800

  • Cambió la ENV que permite configurar el redirect de la api legacy a la API nueva. En el módulo idm hacer disponible la variable IDM_API_URL. Solo es necesario si se accede a la API vía URL del IDM, como era en las versiones 2.x.

    IDM_API_URL=https://url.api/api/v1

  • Actualizar la versión de la base PostgreSQL

    docker run --rm \
  --env-file migrar.env \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:$VERSION \
  --db-migrate --negocio

3.0.2 a 3.0.3

  • Actualizar la versión de la base PostgreSQL

    docker run --rm \
  --env-file migrar.env \
  hub.siu.edu.ar:5005/siu-arai/arai-usuarios/idm:v3.0.3 \
  --db-migrate --negocio
Actualizar de 3.0 a 3.1Actualizar de 2.2 a 2.3