Últimas noticias:
El Ayuntamiento de Teruel implanta WBSAirback

La comunidad de Madrid concede una subvención al desarrollo de WBSAgnitio

Implantación de WBSAlejandría en el Museo Nacional Centro de Arte Reina Sofía

Implantación WBSAgnitio en el ministerio de Educación

WBSAgnitio FAQ

Versión de producto: 1.1

A continuación se exponen las preguntas y respuestas mas habituales, de los usuarios del producto. Las preguntas y respuestas estan dispuestas por categorías

Sistema

He instalado WBSAgnitio, y no puedo validar el usuario o bien me valido como “Administrador” pero no puedo ver las demás pestañas del producto

R: Usted debe validarse con el usuario “root”

Quiero configurar dos tarjetas de red y el sistema sólo permite configurar una

R: Actualmente el producto sólo permite manejar una única tarjeta de red.

Necesito hacer copias de seguridad de WBSAgnitio ¿Cómo puedo hacerlas?

R: El procedimiento de copia y respaldo del sistema es algo bastante sencillo de ejecutar, si bien existen diferentes formas de realizarlo.

La manera más sencilla es entrar en la administración del producto como administrador (“root”) y una vez ahí, dentro de la pestaña de administración existe una opción llamada “Exportar configuración y datos”, a través de la cuál es posible descargar un fichero que contiene toda la información de entradas, configuraciones y certificados.

Otra alternativa, es acceder a un recurso compartido vía SMB/CIFS llamado “snapshots” el cuál está disponible si se activa el servicio NT y tiene una copia reciente (máximo 24 horas de antigüedad), en el mismo formato que la copia que se hace vía la pestaña de “Sistema” del producto, por lo que se puede utilizar para restaurar el sistema de la misma forma que el otro tipo de copia. Sólo el usuario “Administrador” tiene permisos para acceder a esta carpeta.

En el sistema Microsoft Windows se puede montar este recurso a través del comando:

> net use Z: \\WBSAgnitio\snapshots <contraseña del usuario Administrador> /USER:<dominio>\Administrador

Esta información puede ser restaurada en un producto recién instalado, dejando el directorio en el estado en que se encontraba cuando se realizó la exportación.

Quiero hacer copias de seguridad de WBSAgnitio y este está instalado en un entorno virtualizado (Xen, VMWare ESX, etc)

R: Dentro de los entornos de virtualización, es posible realizar “snapshots” de las máquinas virtuales de los nodos del producto. Estos “snapshots” no siempre son consistentes debido a la operativa de “Berckley DB” la base de datos que utiliza WBSAgnitio, la cuál necesita hacer un “flush” de memoria para dar coherencia a los ficheros de datos. Por tanto el clonado de máquinas no es un procedimiento totalmente seguro de backup, por lo que es aconsejable combinarlo con descargas de datos y configuraciones desde la pestaña “Sistema” del producto.

Quiero monitorizar WBSAgnitio ¿De que forma puedo hacerlo?

R: El sistema puede ser monitorizado a nivel de red y a través del protocolo de gestión SNMP.

La monitorización de red puede realizarse a través una verificación de los puertos y servicios siguientes:

TCP 389/636: Servicios LDAPv3 y LDAPv3 encapsulado SSL/TLS.
TCP/UDP 53: Servicio de nombres DNS
TCP/UDP 88/750: Servicio Kerberos
TCPr/UDP 123: Servicio de actualización de hora NTP
TCP/UDP 137/138/129: Servicios Netbios para autenticación NTLM

De cara a realizar verificaciones y enlaces SNMP, el sistema arroja una serie de datos que pueden ser listados con la herramienta “snmpwalk” a través de un comando similar al siguiente:

$ snmpwalk -Os -c public -v 1 wbsagnitio

Como se puede observar, el sistema tiene una “community” para lectura, la cuál está establecida a “public”.

Reloj

La hora de los equipos no se sincroniza contra WBSAgnitio

R: Verifique que tiene congifurados correctamente los servidores de tiempo. Para estar seguro ponga como servidor NTP1: time.nist.gov. Si el error persiste, verifique que existe conectividad ICMP (ping) al equipo y que no tenga un cortafuegos entre medias. Hay que recordar que en caso de tener firewalls se debe abrir el puerto UDP 123.

Directorio

Los caracteres especiales como vocales acentuadas y eñes se ven mal en la interfaz web

R: El directorio (vía web) presenta los resultados en la codificación ISO-8859-1. El navegador debe ajustarse automáticamente, sin embargo, si tiene este problema debe ajustar manualmente la codificación del navegador.

El directorio muestra pocos resultados de entradas

R: Vía la herramienta de web, el directorio presenta un máximo de 250 resultados que se muestran en 25 páginas de 10 entradas cada una. Lo normal es afinar la búsqueda usando el formulario de búsqueda. También es importante recordar que para las consultas vía LDAP el directorio presenta un máximo de 5.000 resultados por lo que lo habitual es utilizar filtros de búsqueda que permitan obtener un número menor de entradas.

Vía LDAP no puedo escribir o realizar cambios en el directorio

R: Usted necesita conectarse a través de LDAPS de lo contrario no podrá realizar cambios en el directorio.

No puedo conectarme a través de LDAPS a pesar de que hasta ahora me estaba conectando correctamente

R: Puede que el certificado de servidor de WBSAgnitio haya caducado. Usted puede regenerarlo a través de la pestaña de directorio, ubicando la entrada wbsagnitio.<dominio raiz>. Una vez en la entrada, basta con pulsar la opción “Actualizar certificado”. Recuerde que para algunas aplicaciones debe descargar el certificado público (SMIME/PEM) e importarlo dentro de su propio almacén para configurar la conexión LDAPS.

Quiero crear más atributos de usuario ¿Es posible?

R: Si. Usted debe crear nuevos objetos en el esquema, desde la pestaña “Directorio” puede ver la opción en la parte superior derecha, para entrar en la gestión de objetos de esquema. Es una tarea fácil, siempre que usted tenga los conocimientos necesarios, de lo contrario busque algún experto que le asesore, antes de crear nuevos objetos de esquema.

Deseo hacer una aplicación que se conecte vía LDAP a WBSAgnitio pero no sé como

R: Si utiliza el entorno de desarrollo Java, puede utilizar JNDI o bien nuestras API's (WBS-API). Para realizar escrituras en el directorio vía Java necesita crear un almacén de certificados e importar el certificado de servidor de WBSAgnitio, esto se hace con la herramienta “keytool” que viene con Java (keytool -import -storepass <contraseña> -keystore /ruta/a/keystore -file /ruta/a/wbsagnitio-ca.pem). En C++ se puede utilizar el API gratuito de Mozilla (http://www.mozilla.org/directory/csdk-docs/getstart.htm).

Quiero que un servidor Web Apache autentique contra WBSAgnitio

R: Debe instalar el módulo mod_auth_ldap y configurar un fichero .htaccess en el directorio que se desea autenticar. La sintáxis es:

AuthName “Validacion”

AuthType Basic

AuthLDAPURL ldap://<wbsagnitio.dominio.org o dirección IP>/?uid

Require valid-user

O para vaildar usuarios que pertenezcan a un grupo:

Require group cn=Usuarios,ou=grupos, ...

Usuarios

Quiero que el directorio también autentique los usuarios que están en otro directorio LDAPv3 ¿Puedo hacerlo?

R: Si. Usted puede crear una rama “externa” apuntando a ese directorio. Sin embargo esto es un poco complicado, porque entre otras cosas WBSAgnitio maneja datos específicos para servicios como Kerberos, DNS o dominios NT, por lo que estos servicios no validarán los usuarios externos si no cumplen la norma de WBSAgnitio. Además si este directorio no está disponible, evidentemente no se validarán, además puede haber retrasos en la comunicación. Recomendamos que si usted necesita crear una rama “externa” se asesore por profesionales que le indiquen como hacerlo de forma correcta.

Quiero permitir que otros usuarios den de alta grupos y usuarios, pero que no editen o borren usuarios ya creados

R: Usted puede crear una nueva “rama” o contenedor. La rama debe ser “interna” y una vez creada usted debe asignar uno o varios grupos para gestionar la rama. Los usuarios de dichos grupos podrán crear usuarios en esta rama y también podrán editarlos y borrarlos, pero no tendrán permiso sobre usuarios en la “raíz” o bien sobre otras ramas.

¿Puedo delegar la gestión de los usuarios y grupos ubicados en la raiz?

R: No. Sólo el usuario “root” puede gestionar estos grupos y usuarios. Para delegar, es obligatorio crear una rama. Las aplicaciones en general no distinguen si los usuarios están o no en ramas.

Grupos

Quiero ver los usuarios que pertenecen a un grupo

R: Usted puede consultar los usuarios de un grupo, buscando el grupo en la pestaña directorio y pulsando el primero de los iconos del grupo (buscar, editar y borrar). Al pulsar se listarán todos los usuarios del grupo. Para quitar algún usuario del grupo, se debe pulsar en editar y en la opción “Gestionar grupos” y arrastrar el grupo fuera.

Quiero que los usuarios de un grupo o de varios grupos automáticamente pertenezcan a otro grupo

R: Usted puede “anidar” un grupo dentro de otro. Para hacerlo, debe buscar el grupo que desea que contenga otros grupos, al pulsar en editar, puede pulsar en la opción “grupos” y una vez ahí arrastrar los grupos a los cuáles quiere que pertenezca.

Equipo

Quiero dar de baja un equipo en el dominio NT de WBSAgnitio ¿qué debo hacer?

R: Usted debe buscar el nombre de equipo en la pestaña “Directorio”, una vez localizado, pulsando en el icono de borrar, el equipo se eliminará del dominio.

Entradas DNS

¿Como puedo crear subdominios?

R: Un subdominio literalmente es una nueva zona DNS, por lo que para crear un subdominio (en el término exacto de la palabra) necesito añadir un nuevo dominio (subdominio.dominio.org). Sin embargo muchas personas llaman subdominios a las entradas y registros A o CNAME como (intranet.dominio.org), si este es el caso basta con crear la entrada A o CNAME en el dominio (dominio.org). La diferencia es que un subdominio permite crear nuevas entradas, por ejemplo intranet.subdominio.dominio.org.

¿Como configuro servidores de correo para un dominio?

R: Lo primero es crear un registro A con el nombre y dirección IP del servidor o servidores SMTP. A continuación lo normal es buscar la zona SOA o dominio para el cuál queremos realizar la configuración. Una vez en la zona, debemos picar en “Añadir” en el apartado “Servidores de correo”. El nombre de host, debe coincidir con el registro A que hemos introducido, el nombre completo debe tener la forma smtp.dominio.org. La prioridad se asigna en función de la capacidad teórica del servidor de correo, una prioridad más baja significa que el servidor recibirá más correos.

¿Debo crear CNAME's o registros A?

R: Los CNAME facilitan la administración, lo normal es crear un registro A como nodo1.dominio.org y el resto de registros con la misma IP podrían ser CNAME que apunten al registro A.

¿Puedo crear un CNAME apuntando a un nombre DNS externo?

R: Si, puedo crear un CNAME como por ejemplo buscador.dominio.org apuntando a www.google.es.

He creado los dominios y registros en WBSAgnitio, pero no los veo en Internet

R: Recuerde que previamente necesita registrar los dominios a través de un registrador, el cuál debe darlos de alta en los registros raíz. Una vez realizado esto y haber indicado correctamente los servidores de nombres, los cuáles deben a puntar a la IP de WBSAgnitio (debe habilitarse el puerto 53 UDP/TCP), debe configurar correctamente las zonas indicando los servidores de nombres en cada una, si el servidor de nombres es un registro de la misma zona, debería ser un registro A. A partir de esto, usted debe ver correctamente estos registros en Internet.

Ramas

¿Si creo ramas, los usuarios y grupos de estas ramas no se autenticarán en las aplicaciones?

R: Por supuesto que se autenticarán. Salvo algunas configuraciones específicas, las aplicaciones en general no distinguen si los usuarios están o no en ramas.

¿Si creo usuarios en una rama, estos pueden pertenecer a grupos de la raíz u otras ramas?

R: Claro que si. La pertenencia se gestiona de la misma manera que si estuviesen en la misma rama.

Últimas noticias: