Variables de entorno
A continuación, se describen las variables de entorno que son utilizadas para realizar la instalación de Arai-Usuarios. Éstas están en el archivo .env.
Genéricos
| Variable | Descripción |
|---|---|
| INSTALADOR_TIMEOUT | tiempo de ejecución de los comandos internos que tiene el instalador. Por defecto 360 segundos |
IDM
| Variable | Descripción |
|---|---|
| IDM_URL | la url pública para acceder al servicio, ej: https://institucion.edu.ar/usuarios |
| IDM_URL_HOST | la parte de url pública para acceder al servicio, ej: https://institucion.edu.ar |
| IDM_URL_ALIAS | la parte de url pública para acceder al servicio, ej: /usuarios |
| IDM_LOG_LEVEL | el nivel de detalles del log de ejecución. Puede ser: ERROR, WARNING, NOTICE,INFO o DEBUG |
| IDM_LOG_HANDLER | el lugar donde se registra el log de ejecución. Puede ser: file para mandar a un archivo en la raiz del proyecto, errorlog para mandarlo al manejador de errores de Apache (error.log o similar), syslog al manejador global de logs del sistema o graylog para mandarlo a un servicio Graylog |
| IDM_SESSION_HANDLER | el manejador de sesiones, donde el IDM almacena las sesiones. Puede ser: file o memcache |
| IDM_SESSION_NAME | nombre de la cookie de sesión. No puede colisionar con el de otra instalación |
| IDM_FORMATO_UID | el tipo de formato a utilizar al generar los identificadores de las cuentas a partir del nombre y apellido. Puede ser simple o nombre.apellido. El primero, crea un identificador del tipo <inicial-nombre><apellido>, mientras que el segundo crea uno con la forma <nombre>.<apellido> |
| IDM_PERMITE_MAILS_DUPLICADOS | indica si se permite cargar usuarios con email duplicados. Sólo recomendable para migración de usuarios. Puede ser true o false |
| IDM_USUARIO_TEMPLATE_MAIL | ruta al directorio de templates de mail |
| IDM_API_URL | la url para redigir al servicio nuevo de API en versión v1, ej: https://institucion.edu.ar/api/v1 |
Para utilizar el handler
graylog, se debe configurar el servicio Graylog. Para utilizar el handlermemcache, se debe configurar el servicio Memcached.
IDP
| Variable | Descripción |
|---|---|
| IDP_URL | la url para acceder al servicio IDP, ej: https://institucion.edu.ar/idp. Si se instala detrás de un proxy, esta url es la interna |
| IDP_URL_PROXY | opcional, la url externa del proyecto, para cuando se instala detrás de un proxy reverso |
| IDP_URL_PERFIL | la url pública del perfil del usuario. Apunta al portal SIU-Huarpe, ej: https://huarpe.institucion.edu.ar/perfil |
| IDP_URL_ERROR | la url a donde el usuario puede seguir en caso de error de login en el IDP |
| IDP_LOG_LEVEL | el nivel de detalles del log de ejecución. Puede ser: ERROR, WARNING, NOTICE,INFO o DEBUG |
| IDP_LOG_HANDLER | el lugar donde se registra el log de ejecución. Puede ser: file para mandar a un archivo en la raiz del proyecto, errorlog para mandarlo al manejador de errores de Apache (error.log o similar), syslog al manejador global de logs del sistema. graylog NO está soportado aún |
| IDP_CLAVE_CONSOLA | la clave de la consola de administración del IDP (para acceder al metadatos XML) accesible desde https://url-idp/saml2/idp/metadata.php |
| IDP_SESSION_HANDLER | el manejador de sesiones, donde almacena las sesiones. Puede ser: phpsession o memcached |
| IDP_THEME | el identificador del template de login. Puede ser vacío |
| IDP_MODO_PRODUCCION | Indica que el IDP trabajará de forma optimizada con los recursos |
Para utilizar el handler
graylog, se debe configurar el servicio Graylog. El alias de url al perfil debe contener/perfil, no puede ser cambiado.
API
| Variable | Descripción |
|---|---|
| API_URL | la url para acceder al servicio API, ej: https://institucion.edu.ar/api |
| API_LOG_LEVEL | el nivel de detalles del log de ejecución. Puede ser: ERROR, WARNING, NOTICE,INFO o DEBUG |
| API_LOG_HANDLER | el lugar donde se registra el log de ejecución. Puede ser: file para mandar a un archivo en la raiz del proyecto, errorlog para mandarlo al manejador de errores de Apache (error.log o similar), syslog al manejador global de logs del sistema o graylog para mandarlo a un servicio Graylog |
| API_BASIC_CLIENTES | los clientes permitidos a conectarse a la api mediante autenticación basic. En formato '[["usr", "pass"], ...]' |
| API_BASIC_SERVIDOR | indica si se permite autenticar mediante basic. Puede ser On u Off |
Para utilizar el handler
graylog, se debe configurar el servicio Graylog.
Generales
Institución
| Variable | Descripción |
|---|---|
| INSTITUCION_EMAIL | el email de soporte que figura en la pantalla de login |
| INSTITUCION_SIGLA | la sigla de la institucion que figura en los mails |
| INSTITUCION_URL | la url de la institucion que figura en los mails |
Directivas de seguridad
| Variable | Descripción |
|---|---|
| SEGURIDAD_ALGORITMO_SALT | Especifica cual sera el salt que se usará previo a hashear la clave |
| SEGURIDAD_ALGORITMO_PASS | el algoritmo de seguridad para almacenamiento de las claves. Recomendado crypt. Puede ser crypt o sha |
| SEGURIDAD_LARGO_PASS | la longitud mínima de caracteres de la constraseña de los usuarios |
| SEGURIDAD_INFO_PASS | el mensaje de error, explicando el motivo del error (el largo; el contenido: letras mayúsculas y minúsculas, números y símbolos; no repetir caracteres adyacentes)' |
| SEGURIDAD_DURACION_DIAS_PASS | cantidad de días de vigencia de las contraseñas (para desactivar colocar '0') |
| SEGURIDAD_RECAPTCHA_SITIO | el sitio definido en recaptcha. Ver https://www.google.com/recaptcha |
| SEGURIDAD_RECAPTCHA_CLAVE | la clave del sitio definido en recaptcha. Ver https://www.google.com/recaptcha |
| SEGURIDAD_INTENTOS_ACTIVAR_RECAPTCHA | cantidad de intentos de login fallidos antes de agregar validación por recaptcha. Por defecto es 3 |
| SEGURIDAD_REINICIAR_TIEMPO_RECAPTCHA | tiempo en segundos en el que se controla la cantidad de intentos fallidos del login. Por defecto 3600 segundos |
| SEGURIDAD_ACTIVAR_SEGUNDO_FACTOR | indica si se activa el uso de segundo factor de autenticación a nivel global |
Restricciones sobre mail principal
| Variable | Descripción |
|---|---|
| VINCULACION_MAIL_PPAL | Indica si el mail principal autentica en forma independiente o si autentica contra el IDP. Posibles valores: independiente, login. Si es login, la recuperación de clave por mail necesita que el usuario tenga cargado un correo externo en "mail de recuperación".Por defecto independiente |
Recuperación de contraseñas
| Variable | Descripción |
|---|---|
| MAIL_RECOVERY_SUBJECT | el sujeto del mensaje o título del email de recuperación |
| MAIL_RECOVERY_FROM | dirección que figura como emisor del email de recuperación |
| MAIL_RECOVERY_REPLYTO | dirección a donde deben llegar respuestas directas al email de recuperación |
| MAIL_RECOVERY_FROMNAME | el nombre de la institución |
| MAIL_RECOVERY_TOKEN_LIFETIME | el tiempo de vida en segundos que es válido un token de recuperación de contraseña enviado por mail |
Verificación de cuentas de mail
| Variable | Descripción |
|---|---|
| MAIL_VERIFIER_SUBJECT | el sujeto del mensaje o título del email de verificación de cuentas de mail |
| MAIL_VERIFIER_FROM | dirección que figura como emisor del email de verificación de cuentas de mail |
| MAIL_VERIFIER_REPLYTO | dirección a donde deben llegar respuestas directas al email de verificación de cuentas de mail |
| MAIL_VERIFIER_FROMNAME | el nombre de la institución |
| MAIL_VERIFIER_TOKEN_LIFETIME | el tiempo de vida en segundos que es válido un token de verificación de cuentas de mail enviado por email |
Segundo Factor de Autenticación
| Variable | Descripción |
|---|---|
| SECOND_FACTOR_SUBJECT | el sujeto del mensaje o título del email de registro de dispositivo |
| SECOND_FACTOR_FROM | dirección que figura como emisor del email de registro de dispositivo |
| SECOND_FACTOR_REPLYTO | dirección a donde deben llegar respuestas directas al email de registro de dispositivo |
| SECOND_FACTOR_FROMNAME | el nombre de la institución |
| SECOND_FACTOR_TOKEN_LIFETIME | el tiempo de vida en segundos que es válido un token de registro enviado por mail |
Recursos
| Variable | Descripción |
|---|---|
| ASSETS_DIR | el directorio donde se tiene almacenada las imágenes de usuarios y aplicaciones, con una estructura interna requerida |
| ASSETS_URL | la url pública con la cual se referencia a imágenes de usuarios y aplicaciones, almacenadas en la ruta ASSETS_DIR. Necesario para, por ejemplo, desde SIU-Huarpe ver la imágen del perfil o de las aplicaciones |
| ASSETS_URL_PROXY | la url pública de los assets, para cuando se instala detrás de un proxy reverso |
| IMAGE_MAX_SIZE_APLICACION | establece el límite máximo en el tamaño de imagenes de aplicaciones. En bytes. |
| IMAGE_MAX_SIZE_USUARIO | establece el límite máximo en el tamaño de imagenes de usuarios. En bytes. |
Directivas de cache
| Variable | Descripción |
|---|---|
| CACHE_BACKEND | el manejador de caché de la aplicación. Puede ser file, apcu o memcached |
Para utilizar el backend
memcached, se debe configurar el servicio Memcached.
Servicios
Base de datos PostgreSQL
| Variable | Descripción |
|---|---|
| DB_HOST | el host/ip del equipo donde corre la base de datos |
| DB_PORT | el puerto donde corre la base de datos |
| DB_DBNAME | el nombre de la base de datos |
| DB_USERNAME | el usuario para la conectarse a la base de datos |
| DB_PASSWORD | la clave del usuario para conectarse a la base de datos |
| DB_SCHEMA | el nombre del esquema dentro de la base de datos. Por ahora solo funciona con usuarios |
| DB_ENCODING | la codificación de caracteres de la base de datos. Debe ser LATIN1 |
Directorio OpenLDAP
| Variable | Descripción |
|---|---|
| LDAP_HOST | host del servidor LDAP |
| LDAP_PORT | puerto del servidor LDAP |
| LDAP_TLS | si autentica con encriptación tls. Puede ser 1 o 0 |
| LDAP_METHOD | el método de autenticacion configurado en ldap, ej: user |
| LDAP_BINDUSER | el DN (distinguished name) del usuario para conectarse al ldap, ej: "cn=admin,dc=siu,dc=cin,dc=edu" |
| LDAP_BINDPASS | password del usuario de ldap con el cuál la aplicación se va a conectar (el user es cn=admin en el ej.) |
| LDAP_SEARCHBASE | el DN (distinguished name) raiz de la búsqueda en ldap, ej: "dc=siu,dc=cin,dc=edu" |
| LDAP_USERS_OU | la entidad que contiene los usuarios. Valor defecto es usuarios |
| LDAP_USERS_ATTR | el atributo que permite formar el DN de los usuarios. Valor defecto es ou |
| LDAP_ACCOUNTS_OU | la entidad que contiene las cuentas de usuario. Valor defecto es usuariosCuentas |
| LDAP_ACCOUNTS_ATTR | el atributo que permite formar el DN de las cuentas de usuario. Valor defecto es ou |
| LDAP_GROUPS_OU | la entidad que contiene los usuarios. Valor defecto es groups |
| LDAP_GROUPS_ATTR | el atributo que permite formar el DN de los grupos. Valor defecto es ou |
| LDAP_NODES | opcional, los nodos que dependen del DN raíz donde es posible almacenar los usuarios. Por defecto vacio |
Memcached
| Variable | Descripción |
|---|---|
| MEMCACHED_HOST | opcional, host del servicio Memcached |
| MEMCACHED_PORT | opcional, puerto del servicio Memcached |
| MEMCACHED_USER | opcional, el usuario de conexión al servicio Memcached |
| MEMCACHED_PASS | opcional, la clave de conexión al servicio Memcached |
Graylog
| Variable | Descripción |
|---|---|
| GRAYLOG_HOST | opcional, host del servicio Graylog |
| GRAYLOG_PORT | opcional, puerto del servicio Graylog |
| GRAYLOG_PROTOCOL | opcional, el protocolo de conexión a Graylog. Puede ser udp o tcp |
Envío de mails
| Variable | Descripción |
|---|---|
| MAILER_HELO | nombre HELO del host del servicio SMTP |
| MAILER_HOST | host del servicio SMTP |
| MAILER_PORT | puerto del servicio SMTP |
| MAILER_FROM | dirección que envía el mail |
| MAILER_SEGURIDAD | el tipo de seguridad SMPT. Puede ser ssl o tls |
| MAILER_AUTH | si requiere autenticación. Puede ser 1 o 0 |
| MAILER_USUARIO | el usuario con el cual autenticar en el SMTP |
| MAILER_CLAVE | la clave del usuario |
Interna de Toba
| Variable | Descripción |
|---|---|
| TOBA_USUARIO | el usuario administrador del proyecto |
| TOBA_PASSWORD | el password del usuario administrador |
| TOBA_USUARIO_EMAIL | opcional, el email del usuario administrador |
| TOBA_FORZAR_HTTPS | opcional, si se desea utilizar https, o un proxy reverso y forzar que la aplicación opere con HTTPS. Puede ser off u on. Por defecto off |
| TOBA_SESSION_SAVE_PATH | opcional, ruta donde almacena las sesiones php o host:port de conexión a servicio memcached |
Configuración para conexión con SIU-Arai: Registry
| Variable | Descripción |
|---|---|
| ARAI_REGISTRY_URL | url donde se instaló el servicio registry. ej: http://institucion.edu.ar/arai-registry |
| ARAI_REGISTRY_USER | usuario de conexion para la api de registry |
| ARAI_REGISTRY_PASS | pass de conexion para la api de registry |