Servicios de Integración

Los servicios de integración son los que integran las funciones referentes a los usuarios (autentificación, autorización, creación, etc.) con otros servicios o recursos de la red. En este epígrafe se abordan los principales sistemas que están conectados con el directorio de una forma no nativa.

3.2.1. Sistemas conectados

En los servicios de la Red UCLV hay dos tipos fundamentales de sistemas conectados. Un grupo de estos sistemas son los que implementan su propio esquema de manejo de usuarios, es decir, que son sistemas que tienen sus propias bases de datos de usuarios, listas de

control de acceso, etc. La solución que se ha llevado a cabo en esta situación es la exportación desde el servicio de directorio de la información requerida para la construcción de las bases de datos propias de estos sistemas. En este caso toma lugar un agente (normalmente un script accesible por Web) en la plataforma del servicio de directorio y otro (también un script pero de ejecución en consola) en la parte del servicio en cuestión. El primer agente toma la información del directorio que le fue solicitada y la envía al otro agente que es el encargado de procesarla y realizar las funciones de importación en la base de datos propia del sistema. Este agente de la parte del servicio a gestionar debe ser ejecutado de forma sistemática según la frecuencia razonable para la actualización de dicha información. Las bases de datos de este tipo de servicio generalmente pueden ser archivos de texto o bases de datos relacionales.

Los servicios que actualmente gestionan sus usuarios de esta manera en la Red UCLV son los siguientes:

• Proxy de Internet (Squid): en la generación de las listas de control de acceso de los usuarios de cada área y según la clasificación del servicio de acceso a Internet que tengan. Se definen de esta forma los roles basándose en grupos de seguridad, por lo que con la simple inclusión de un usuario en un grupo se asegura que éste aparezca en la correspondiente ACL del Proxy.

• Agentes de transporte de correo electrónico (Sendmail): en la generación de las ACLs para la entrada y salida de correo nacional e internacional, como se muestra en la Figura 3.1. Al igual que en caso anterior se utilizan grupos de seguridad para la definición de los roles.

El otro tipo de sistemas conectados son los que pueden hacer uso de protocolos estándares como LDAP y Kerberos para las funciones referentes a los usuarios. El concepto de este tipo de interoperabilidad es mucho más sencillo que el expuesto anteriormente y es el que prevalece en la tendencia actual del manejo de usuarios en las aplicaciones que se desarrollan en plataformas de SLCA. En este caso no hay necesidad de agentes externos

para la interconexión de los sistemas, solamente la correcta elaboración de algún archivo de configuración y en algunos casos el uso de módulos, como por ejemplo PAM (Pluggable Authentication Modules).

Figura 3.1. ACLs generadas para el Sendmail.

Con este tipo de integración funcionan actualmente:

• Servicio de Correo Electrónico: en la autenticación del protocolo IMAP (para leer los correos) con el uso de módulos PAM para Kerberos.

• Autenticación de Estaciones de Trabajo y Servidores: autenticación de estaciones de trabajo de profesores y estudiantes, así como de algunos servidores, utilizando también los módulos PAM para Kerberos.

• Portales Web y otros Sitios: autenticación y autorización de los usuarios de algunos portales Web de la intranet universitaria usando las APIs de LDAP desde los lenguajes de programación para dichas aplicaciones, tales como PHP, Perl, ASP y Python. Ejemplos de estos portales son: La Intranet Universitaria (http://intranet.uclv.edu.cu) y el Portal Web Docente de la Facultad de Ingeniería Eléctrica (FIE) (http://webdocente.fie.uclv.edu.cu). En la Figura 3.2 se muestra la interfaz de configuración de la conexión LDAP del Portal Web Docente de la FIE.

Figura 3.2. Configuración de LDAP para los usuarios del portal WebDocente de la FIE.

3.2.2. Creación masiva de cuentas

Las bases de datos de las Secretarías Docentes de cada facultad de la UCLV se replican con una base de datos centralizada que se mantiene actualmente en el Nodo Central de la red. Esta base de datos está soportada sobre Microsoft SQL Server y es la fuente más actualizada de información sobre de los estudiantes. Después de terminada la matricula de estudiantes de cada nuevo curso escolar, se procede a la creación masiva de las cuentas de usuarios de estas personas. Este proceso tiene cierto grado de automatización, ya que también se crea la estructura organizativa que estas cuentas van a tener en el directorio basándose en las facultades, carreras, años y grupos. También se puede ejecutar esta tarea en diferentes etapas del curso, teniendo en cuenta las nuevas matrículas solamente.

A parte de la propia creación de las cuentas, se genera también los listados por facultad y por carrera de los nuevos usuarios de la red, especificando los datos de las cuentas.

También se generan listas para ser entregadas a los responsables de cada grupo de estudiantes, donde se brinda una especie de tirilla de información personal que debe ser entregada a cada usuario y es donde se le especifica la información de su nueva credencial digital (nombre de usuario y contraseña inicial generada aleatoriamente). La creación masiva de cuentas se lleva a cabo mediante la utilización de scripts hechos en VBScript y con la utilización de ADSI.