Skip to end of metadata
Go to start of metadata

3 Sistema

Indice

3.1 Introducción

Esta opción, entre muchas otras cosas, permitirá cambiar la contraseña del usuario administrador de WBSVision®. También se configura la dirección de correo electrónico donde serán enviadas las notificaciones.

3.2 Opciones genéricas

 3.2.1 Contraseña para la administración

Desde esta opción se podrá cambiar la contraseña del usuario administrador local (root)

Este usuario no se puede eliminar, ni replicar, por seguridad del propio sistema.

El usuario "root" esta asociado a cada máquina específica por lo que en un sistema "agrupado", cada WBSVision® (tanto el maestro como el esclavo) tendrá su propia clave para el usuario "root". La contraseña de root podrá estar compuesta por letras (menos la ñ) sin tildes, números y los siguientes caracteres de puntuación !$%<>@,.



Figura 1: Configuración básica


También podremos visualizar desde este apartado el hash de acceso SSH al usuario "wbsadmin", el cual deberá ser enviado al equipo de soporte en caso de ser necesario. Para visualizarlo seleccionaremos Ver hash y automáticamente aparecerá la ventana que se muestra a continuación con el hash de acceso a WBSVision. Para copiarlo será suficiente con seleccionar el icono del portapapeles  que aparece en la parte superior derecha de la ventana. Y si fuese necesario regenerarlo se hace seleccionando el icono de regenerar hash  (la opción de regenerar modifica el password del usuario "wbsadmin").



Figura 2: Ver hash


 3.2.2 Acceso seguro

Esta opción le permitirá habilitar el acceso HTTPS. De forma general WBSVision® utilizará el certificado de máquina generado por si mismo, al cuál podrá acceder desde la pestaña de directorio en el apartado de nombres de máquinas (DNS).


Figura 3: Acceso seguro

Aquí también podrá ajustar el puerto en el que desee ejecutar WBSVision®.


Advertencia: Si usted pretende redefinir el directorio alterando el dominio raíz, es importante que deshabilite el acceso seguro y lo restablezca una vez terminado el proceso, de lo contrario la administración web podría no localizar el certificado local y por tanto perdería el acceso web.

WBSvision soporta de forma nativa TLSv1.2 al habilitar el acceso seguro con los siguientes protocolos de cifrado.

Los cifrados son: TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256


Pero también se puede habilitar desde la ventana de acceso seguro las conexiones TLSv1 y TLSv1.1, las cuales se activarán tanto en la interfaz web como en el acceso a LDAP.

 3.2.3 Exportación e importación de datos 

Usted puede realizar una exportación sencilla de la configuración y los datos a modo de copia de seguridad. El fichero de exportación contiene la información necesaria para restaurar los datos de su sistema en caso de que sea necesario.

Se recomienda que para realizar un mejor respaldo de la información, utilice e integre un sistema de respaldo con este producto, para ello deberá validarse como el usuario "root" y pulsar el botón "Exportar datos" que le mostrará la ventana para descargar un archivo a su ordenador.



Figura 4: Exportación / importación de datos


Si realiza la "importación" de un fichero de configuraciones y datos, perderá toda la información actual. Para poder importar un fichero se deberá tener la misma BASEDN que el WBSVision del cual se sacó el fichero de configuraciones.

En función del tamaño del fichero a importar, el proceso puede durar más o menos tiempo. Es normal que en entornos grandes, con ficheros de más de 1G, pueda tardar hasta media hora.


Cuando se realiza una "exportación normal", se está exportando la información del equipo a las 3.15 horas de la mañana. Cuando se hace una "exportación drástica" se exporta la configuración tal y como está en ese momento.

Si la acción que va a realizar es una exportación, y en particular elige "exportación drástica", mientras la base de datos del directorio se copia, el servicio de directorio se interrumpirá hasta la finalización.

3.2.3.1 Automatización de la exportación

Si no se cuenta con otros medios, es posible automatizar el proceso de descarga de estos datos a modo de copia de seguridad utilizando los siguientes comandos:

nombrefichero=`date +"backup%Y%m%d.cgz"`
wget -O /dev/null --no-cache --keep-session-cookies --save-cookies=cookies-file -no-check-certificate https://192.168.0.60/admin/Login\?user=root\&password=12345
 && wget -O "/mnt/backup/wbsVision/$nombrefichero" --no-cache 
--keep-session-cookies --load-cookies=cookies-file 
--no-check-certificate https://192.168.251.39/admin/System\?type=5

3.2.3.2 Exportar configuración y datos mediante CIFS

Otra opción es acceder a un recurso compartido vía SMB/CIFS llamado "snapshots" que solo estará disponible si se activa el servicio NT. Con esto dispondría de una copia reciente (máximo 24 horas de antigüedad), en el mismo formato que la copia que se hace a través de la pestaña de sistema del producto, por lo que se puede utilizar para restaurar el sistema de la misma forma que el otro tipo de copia.

Sólo el usuario "Administrador" tiene permisos para acceder a esta carpeta.


En el sistema Microsoft Windows se puede montar este recurso a través del comando:

/USER:<dominio>\Administrador


Esta información puede ser restaurada en un producto recién instalado, dejando el directorio en el estado en que se encontraba cuando se realizó la exportación.

3.2.3.3 Exportar configuración en entorno virtualizado.

Dentro de los entornos de virtualización, es posible realizar "snapshots" de las máquinas virtuales de los nodos del producto. Estos "snapshotsno son consistentes debido a la operativa de la base de datos Berkley DB, la que utiliza WBSVision®, la cuál necesita hacer un "flush" (volcado) de memoria para dar coherencia a los ficheros de datos.

Por tanto el clonado de las máquinas no es un procedimiento totalmente seguro de backup, por lo que es aconsejable combinarlo con la exportación de datos y configuraciones desde la pestaña "Sistema" del producto.

3.2.4 Servicios

A través de la opción serviciosWBSVision® nos permite hacer una gestión de los servicios que utiliza. Esta gestión se realiza a través de systemd.

Permite las operaciones de: Iniciar, parar y reiniciar, cada uno de los servicios. Con el check que tiene cada servicio, se puede indicar cuales se quiere que sean supervisados automáticamente tanto por WBSVision® como por systemd y reiniciados cuando se detecte que no están activos.

También es necesario que el administrador sea capaz tanto de reiniciar como de apagar el sistema de forma adecuada, para ello se ha diseñado este apartado, que le ayudará de forma sencilla a realizar estas tareas.

Además, de manera informativa, mostramos al Administrador la versión en la que se encuentra WBSVision®.

Figura 5: Servicios del sistema


3.2.4.1 Monitorizar WBSVision®

El sistema puede ser monitorizado a nivel de red y a través del protocolo de gestión SNMP.

La monitorización de red puede realizarse a través de los puertos y servicios siguientes:

Puertos y servicios
  • TCP 389/636: Servicios LDAPv3 y LDAPv3 encapsulado SSL/TLS.
  • TCP/UDP 53: Servicios de nombres DNS.
  • TCP/UDP 88/750: Servicio Kerberos.
  • TCP/UDP: Servicio de actualización de la hora NTP.
  • TCP/UDP 137/138/129: Servicios Netbios para autenticación NTLM.


De cara a realizar verificaciones y enlaces SNMP, el sistema arroja una serie de datos que pueden ser listados como herramienta snmpwalk a través de un comando similar al siguiente:

snmpwalk -Os -c public -v 1 wbsVision

El sistema tiene una community para lectura, la cuál está establecida a public.

Para ampliar la información sobre monitorización, puede consultar Monitorización de servicios en WBSVision.

3.2.4.2 Instalación del Portal de Provisión

Uno de los servicios que se monitoriza es el Portal de Provisión. En este caso, si el Portal de Provisión no está aún instalado, se mostrará un botón para poder instalarlo en la misma máquina de WBSVision®, tal y como se muestra en la siguiente figura:

Figura 6: Portal de Provisión no instalado

Si nos disponemos a instalar el Portal de Provisión y pinchamos sobre el botón "Instalar", se nos mostrará una pantalla modal para indicar el puerto en el que vamos a desplegar el Portal de Provisión y el contexto que vamos a usar para acceder al Portal. Cabe indicar que si el nombre del contexto se deja vacío, el acceso al Portal será como ROOT, es decir, "http(s)://IP:PORT".

Figura 7: Información para despliegue del Portal de Provisión

Como podemos ver en la imagen, los campos "Puerto" y "Contexto de Aplicación" se rellenan con unos valores por defecto. En el caso del campo "Puerto" este valor es obligatorio y si lo dejamos sin rellenar, al guardar nos mostrará un mensaje indicándonos que este campo es obligatorio, tal como muestra la siguiente figura:

Figura 8: Mensaje de advertencia de campo obligatorio

En el caso del campo "Contexto de Aplicación" si lo dejamos vacío el portal se instalará como ROOT y el acceso al portal será "http(s):nombre del Servidor:puerto/". Una vez rellenamos los campos correctamente y le damos a guardar, si todo ha ido bien, nos mostrará un mensaje indicando que se ha realizado correctamente la instalación del Portal de Provisión.

Figura 9: Instalación correcta del Portal de Provisión

3.2.5 Personalización de las comunicaciones


Figura 10: Información administrativa


Si WBSVision® tiene acceso directo a Internet, sólo es necesario configurar la cuenta de correo.

En el caso de que no fuera así, será necesario introducir el parámetro "Servidor de reenvío de correo" que indicará la dirección del servidor que entregará el correo, puesto que, como WBSVision® no tiene conexión directa a Internet, esta tarea la tendrá que realizar la máquina encargada del envío de correo.

El "Correo de administración" será usado para enviar posibles alertas o notificaciones que pueda generar WBSVision® en base a configuración o por posibles problemas auto-detectados.

Si activamos la casilla "Envío con autenticación SMTP" nos aparecerán los campos para introducir las credenciales con las que queramos  acceder a nuestro servidor SMTP. En ellas introduciremos nuestro usuario SMTP (NO introduciremos la dirección de correo, únicamente el usuario) y la contraseña.

El "Puerto de correo" es el puerto por el cual se realizará el envío de mensajes a nuestro servidor de correo.

La casilla "Activar STARTTLS" nos permite activar la comunicación STARTTLS con nuestro servidor de correo.

La pantalla de configuración, permite enviar un correo de prueba al "Correo de administración" para comprobar que la configuración es correcta.


En el campo "URL del Portal de Provisión" se podrá introducir la URL donde esta desplegado el Portal de Provisión. La URL a indicar en este apartado sigue el siguiente formato:

http/s://<ip_portal>:<port_portal>/AutoProvisionPortal

Ahora, por defecto, tanto la aprobación de peticiones como los reseteos de contraseñas que nos llegan por email, se realizan en pantallas de WBSVision®. Disponemos de dos check, "Pantalla de aprobación de peticiones en el Portal" y "" para indicar que estas acciones se realicen con pantallas del Portal en vez de usar las pantallas de WBSVision®. En el caso de que marquemos estas casillas y no hallamos rellenado la URL del Portal de Provisión, la URL por defecto que tomará será:

https://<ip_wbsVision>:8443/AutoProvisionPortal



 Figura 11: Personalización del email


La personalización del email permite adaptar los correos que envía el sistema. También es posible personalizar los mensajes de notificación de cambio correcto y erróneo de password.

En ella también podremos ajusta el email que queremos que aparezca como remitente y el alias que deseemos que se le asigne a esa dirección. 

Por otro lado, si queremos tener estos emails en modo internacionalización, debemos de crear, para cada email, su fichero correspondiente con un prefijo que indique el idioma del email. Es decir, si queremos internacionalizar el mensaje del email que se manda cuando la contraseña ha funcionado correctamente, haremos lo siguiente:

 - En el fichero "passwordChangeCorrect.html" tendremos el idioma por defecto que queramos tener en caso de que el usuario no tenga un idioma preconfigurado.

 - Creamos un fichero por cada idioma que incluyamos con el formato "passwordChangeCorrect_XX.html" donde XX será el locale que se usa para el idioma.

Esto mismo tendremos que hacer para el resto de email que podemos configurar.

3.2.6 Opciones de red

3.2.6.1 Configuración de red 

Este producto también permite la configuración de los interfaces de red del sistema.

Se detectan automáticamente los interfaces disponibles y la configuración de red actual.

Permite configurar:

  • Una dirección IP
  • Máscara de subred
  • Puerta de enlace.

Una vez definidos estos parámetros y guardados se sobrescribirá la antigua configuración de red y se adaptarán los servicios a dicha configuración.

En dicha configuración del producto, no podrá manejar más de una tarjeta de red.


En esta sección se podrá realizar determinadas acciones sobre los bloques de información, pulsando el icono correspondiente:

Botones
  • Pasa la pantalla a modo edición, añadiendo al final una nueva fila en blanco que permitirá añadir un nuevo registro.
  • Recargar la información en ese momento.
  •  Almacenar la información que ha sido introducida.


Figura 12: Configuración de red


Es importante intentar no especificar más de una pasarela de red, puesto que la tabla de rutas decidiría aleatoriamente la interfaz por la que salir.

Una mejor práctica es indicar rutas estáticas en el cuadro inferior.


Por último, sería conveniente registrar los servidores de nombres de nuestra organización o bien alguno al que tengamos acceso.

Si no se especifican servidores de nombres y no se tiene acceso a Internet, algunas operaciones irán anormalmente lentas.

3.2.7 Opciones de reloj

En este apartado, usted puede ajustar las opciones de tiempo para el sistema. Recuerde que es muy importante la sincronización de repositorios vía Listeners o SSO. Puede configurar servidores de tiempo para asegurarse de que el reloj de la máquina permanece sincronizado.


Figura 13: Vista general de "Opciones de reloj"


3.2.7.1 Tiempo del sistema

El reloj del sistema representa la noción de la máquina del paso del tiempo. En este sentido, el tiempo también incluye el paso de los días en el calendario.

El reloj del sistema es típicamente implementado como la cuenta simple de un número de "ticks" transcurridos desde una fecha inicial arbitraria, llamada "epoch".

Los sistemas Unix y POSIX codifican el tiempo como el número de segundos transcurridos desde el inicio del "epoch" en 1970-01-01 00:00:00 Z.


En este apartado se puede configurar tanto la hora como la fecha del sistema.


Figura 14: Tiempo del sistema


3.2.7.2 Servidor de tiempo 

WBSVision® incorpora un servidor de tiempo NTP para mantener sincronizados los relojes de los equipos de su red.

El servicio NTP de este producto posee un lazo de seguimiento de fase implementado en el núcleo del sistema, para obtener un mejor rendimiento.

El protocolo NTP utiliza el sistema jerárquico de estratos de reloj, los sistemas de estrato 1 se sincronizan con dispositivos del estrato 0.


Los sistemas de este estrato son referidos como servidores de tiempo. Tanto el estado del servidor NTP (activo/inactivo) como los servidores NTP de estrato superior con los que se sincronizará WBSVision® son parámetros configurables en este apartado.

Si desea sincronizar los relojes de sus equipos de red contra este producto, debe cambiar el estado de servidor al estado "activo".



Figura 15: Servidores NTP


NOTA: Si la hora de los equipos no se sincroniza contra WBSVision® verifique que tiene configurados correctamente los servidores de tiempo. Para estar seguro ponga como primer servidor NTP "time.nist.gov". Si el error persiste, verifique que existe conectividad ICMP (ping) al equipo y que no tenga un cortafuegos entre medias. Hay que recordar que en caso de firewalls se debe abrir el puerto UDP 123.



  • No labels