Antes uma breve introduação ao serviço do RPilot. O RPilot funciona com um automatizador de processos, para o produto da CAFe ele irá auxiliar e executar para nossos clientes as ações de instalação do IDP, sua configuração e sua atualização. Ele conta com um motor shell script para executar suas receitas.

Requisitos Mínimos para sua máquina virtualizada

Etapas

Necessário solicitar ao sistema RNP sua adesão ao serviço do RPilot, para isso você deve entrar em contato através do canal do nosso atendimento@rnp.br, nós envie um email com o assunto 'Adesão ao RPilot', lembrando que será apenas aceito aquelas instituições que já foram homologadas como aderentes ao sistema RNP.

• Enviar um email para atendimento@rnp.br com assunto Adesão RPilot

• Aguardar o retorno dos acessos para RPilot

• Após receber os credencias realizar o primeiro acesso ao sistema RPilot

Guia deste roteiro

• Servidores

• Produtos

• Receitas

Como associar o seu servidor ao RPilot

Após seu autenticar no sistema você será encaminhado a tela de gerenciamento da sua instituição dentro do RPilot. Será apresentado um Menu lateral esquerdo conforme figura abaixo:

O nome da sua instituição será mostrado logo acima.

No menu procure por "Servidores", clique para acessar essa opção.

Servidores

Na tela que será apresentada clique no botão azul "+ Adicionar Servidor", ele aparece ao lado direito da tela, veja figura abaixo:

Nesse momento será necessário passar os dados do servidor para que o sistema RPilot o identifique. Preencha os dados ali solicitados:

• Nome do Servidor - "Use um nome fácil para sua identificação, sugiro que seja o nome usado em seu virtualizador, assim você saberá de qual máquina se trata"

• Domínio - "Use o domínio que será usado para o DNS desse serviço, por exemplo rnp.br"

• Host - "Use o nome que será usado para o DNS dese serviço, por exemplo cafe ou idp, sem o domínio apenas o nome"

• Nome da interface de rede - "Colete o nome da sua inteface de rede do seu servidor, para isso use o comando em seu sistema Linux, por exemplo eth0, ens160, etc"

• Endereço IP - "Passar o endereço IP do seu servidor, se estiver usando NAT passar o endereço NAT"

• Máscara de Rede - "Passar a máscara de rede onde o servidor esta configurado, passar no formato de quatro octetos, por exemplo 255.255.255.0"

• Ao final clicar no botão azul "Salvar"

Figura abaixo:

Detalhes do Servidor

Após fazer o cadastro correto do seu serivdor no RPilot você será direcionado para a tela de detalhes do servidor, use essa tela para rever sua configurações e caso perceba algo de errado em sua configurações use o botão Editar no campo superior direto.

Nesse momento também será feita a instalação do agente do RPilot no seu servidor configurado. Para isso você vai precisar copiar o comando que aparece indicado em "Instrução de Instalação do Agente".

Estando com os requsitos prontos basta executar o comando dentro do seu servidor e aguardar o fim da instalação. Quando o processo estiver terminado aguarde o campo "Status" ser alterado para agente instalado e ficar na cor verde.

Pronto! Nesse momento concluímos a instalação do Agente do Rpilot no seu servidor IDP. Agora iremos para as próximas etapas:

Após realizar a instalação do agente RPilot em seu servidor chegou o momento de escolher o produto no qual deseja vincular a sua conta. Para isso você deve navegar pelo menu latreral esquerdo, selecione a opção "Produtos Vinculados", figura abaixo:

Vincular Produto

Nessa tela no canto superior direito haverá um botão azul com a mensagem "Vincular Produto", clique nesse botão.

Será mostrado um menu no centro da tela

Nesse momento você poderá selecionar aquele produto no qual deseja associar a sua conta e usar os processos nele presentes para execução em seu servidor cadastrado. Como nesse caso estamos fazendo a Adesão de um IDP CAFe você irá selecionar o produto CAFe.

Após selecionar o produto CAFe você verá em sua box virtual o produto ali selecionado.

Pronto! Nesse momento você já tem acesso a todas as receitas de configuração, instalação e atualização da CAFe para a sua conta RPilot.

Nessa roteiro iremos aprender o processo de solicitar a execução de uma ação dentro do nosso servidor usando o RPilot. Nosso foco aqui será a instalação do IDP da CAFe então esse processo será direcionado para isso não dando ênfase em outros pontos. Caso tenha interesse em saber mais sobre a ferramenta RPilot acesse o manual do usuário através desse Link.

Esse é o painel de execuação. Nele podemos executar a receita de instalação do IDP da CAFe.

Repare que nele podemos confirmar o nosso servidor através das informações do servidor como Nome , Chave de registro , ID do Registro único, Domínio, Hostname e IP.

Também pode verificar o Status do agente RPilot instalado no seu servidor, confirme se ele está com o Status em verde com a informação "Agente Instalado".

Passos para execução:

• Escolher o tipo de execução

• Escoher a opção "Executar Receita"

• Clicar no botão "Próximo"

Será mostrada uma tela para que você possa escolher seu "Produto" e abaixo você deve escolher qual "Receita" deseja executar:

Escolha o produto CAFe e a receita de Instalação do IDPvX.X.X conforme figura acima.

Dashboard Servidor

Para acessar o dashboard do seu servidor dentro do RPilot você precisa acessar a opção "Servidores" no menu de funcionalidades lateral esquerdo. Figura abaixo:

Para acessar o dashboard do seu servidor você pode, ou clicar em cima da linha referente ao seu servidor, ou clicar no ícone das 3 bolinhas dentro da coluna "Ações", Figura abaixo:

Após acessar o painel do dashboard será apresentado um pequeno painel de monitoramento e gerenciamento. Será nesse painel que você irá encontrar o caminho para as solicitações de execução das receitas dos seus produtos vinculados, conforme figura abaixo:

No canto superior esquerdo o indicativo do nome do servidor que está aberto, todas as suas ações dentro desse painel serão para esse servidor.

No canto inferior esquerdo é possível ver o status do agente para esse servidor.

No canto superior direito temos o botão "Solicitar execução" para solicitar a execução de uma ação em seu servidor.

Para garantir que o processo de instalação do IDP via Receita no RPilot foi corretamente executado vamos rodar um script de homologação.

Seguindo os mesmos passos da execução da receita de instalação do IDP você agora ira executar o script de "Homologar Instalação IDP"

Acessando pelo mesmo caminho das receitas de execução, agora selecione a receita "Homologar Instalação IDP" e execute. Esse script é de execução única e padrão, não havendo a necessidade de passar valores de parâmetros.

Ao final da execução você pode acessar o log para verificar o resultado.

Se todas as checagens forem bem sucedidas você deverá receber a mensagem abaixo.

Avise ao Service Desk da RNP que executou o script de homologação, nossa equipe poderá verificar se tudo ocorreu conforme o esperado e irá entrar em contato caso necessário.

Se ocorrer alguma falha na checagem você deverá receber a mensagem abaixo. Identifique qual/quais checagem não foram bem sucedidas e faça a devida correção. Em caso de dúvidas entre em contato com o Service Desk.

Verifique e corrija os erros e então execute novamente este script.

Para garantir que o processo de instalação do MFA via Receita no RPilot foi corretamente executado vamos rodar um script de homologação.

Seguindo os mesmos passos da execução da receita de instalação do IDP você agora ira executar o script de "Homologar Instalação MFA"

Acessando pelo mesmo caminho das receitas de execução, agora selecione a receita "Homologar Instalação MFA" e execute. Esse script é de execução única e padrão, não havendo a necessidade de passar valores de parâmetros.

Ao final da execução você pode acessar o log para verificar o resultado.

Ao lado de cada checagem será mostrado um OK para validações corretas.

Avise ao Service Desk da RNP que executou o script de homologação, nossa equipe poderá verificar se tudo ocorreu conforme o esperado e irá entrar em contato caso necessário.

Se ocorrer alguma falha na checagem ou o valor aparecer não preenchido. Identifique qual/quais checagem não foram bem sucedidas e faça a devida correção. Em caso de dúvidas entre em contato com o Service Desk.

Verifique e corrija os erros e então execute novamente este script.

Copiar o arquivo da logo para o servidor IDP

Copie o arquivo pronto em formato .png para dentro do diretório /home/... do seu IDP.

Copie o arquivo para o diretório do Shibboleth

Uma vez com o arquivo correto em seu /home/... copie para o seguinte diretório:

Alterar o arquivo para o nome padrão do shibboleth

Após copiar o seu arquivo de logo para dentro do diretório /images do shibboleth, vamos agora alterar para o nome padrão que o shibboleth utiliza para carregar a imagem da logo na tela de login.

Executar o script de build do shibboleth para carregar a nova logo

Agora vamos acessar o script do shibboleth para executar um novo build com a nova imagem da logo, para isso faça:

Reiniciar o serviço do Jetty

Testar sua alteração de logo

Acesse agora o portal https://sp.rnp.br/chimarrao e escolha a sua instituição, a sua tela de login agora deverá apresentar a sua nova logo !

Para que a receita possa funcionar de acordo com as informações da sua instituição, por exemplo, dados e valores necessárias e exclusivas da usa infraestrutura, o RPilot fornece uma opção de inserção de variáveis específicas que a receita entende como sendo os parâmetros da instalação.

No caso do IDP da CAFe existem 36 variáveis necessárias para a instalação correta do IDP. Que podemos dividir em 4 subclasses:

• Informações para certificado Shibboleth e metadado

• Informação para conexão e configuração com base de diretório LDAP/AD

• Informações para configuração de um webserver Apache

• Informações para configuração do recurso do Dashboard MFA integrado ao IDP CAFe

Shibboleth e Metadado

ORGANIZATION -> Nome da Instituição por extenso. Exemplo: Rede Nacional de Ensino e Pesquisa

INITIALS -> A sigla da instituição. Exemplo: RNP

CITY -> Cidade da instituição. Exemplo: Brasília

STATE -> Unidade Federativa da instituição. Exemplo: DF

URL -> Endereço da página institucional. Exemplo: https://www.rnp.com

OU -> Sigla do setor técnico. Exemplo: DTI

CONTACTGIVEN -> Nome do responsável técnico. Exemplo: João Silva

CONTACTMAIL -> Endereço de email do contato. Exemplo: joao.silva@rnp.br

CONTACTSUR -> Sobrenome do contato apenas. Exemplo: Silva

Conexão e configuração com Diretório LDAP/AD

LDAPATTR -> Atributo para autenticação na CAFe. Exemplo: uid, mail ou sAMAccountName

LDAPDN -> DN onde consulta os usuários na base LDAP. Exemplo: ou=pessoas,dc=rnp,dc=local

LDAPFORM -> Formato para construção das consultas na base LDAP. Exemplo: uid=%s,dc=rnp,dc=local

LDAPPWD -> Senha do usuário de BIND da base LDAP.

LDAPSERVER -> Endereço do servidor LDAP. Exemplo: 192.168.1.20

LDAPSERVERPORT -> Porta usada para conexão LDAP. Exemplo: 389 ou 636

LDAPSERVERPROTO -> Protocolo de comunicação LDAP. Exemplo: ldap:// ou ldaps://

LDAPSERVERSSL -> Valor 0 para SEM SSL e valor 1 para COM SSL.

LDAPSUBTREESEARCH -> Permitir consulta vertical abaixo do DN LDAP informado, por padrão essa opção deve estar 'true'. Exemplo: true

LDAPUSER -> Usuário de BIND para consulta no LDAP. Exemplo: uid=leitor-shib,ou=pessoas,dc=rnp,dc=local

DIRECTORY -> Essa variável vai tratar sobre qual o tipo de diretório você está conectando ao IDP. Essa informação e crucial que esteja certa para o correto funcionamento do IDP. Você só pode usar dois valores:

OPENLDAP

ou

AD

Passar esse valores em MAIUSCULO

Configuração para o Apache

DOMAIN -> Apenas o domínio da instituição. Exemplo: rnp.br

HN -> Apenas o nome do servidor, sem domínio. Exemplo: idp

HN_DOMAIN -> Apenas o domínio. Exemplo: cafe.rnp.br

IP -> Digitar o IP do servidor IDP. Se estiver usando NAT digitar o IP NAT.

Dashboard MFA da CAFe

PAINEL_ADMIN_EPPN -> Exemplo, se valor de eppn for abc@instituicao.br, deve ser cadastrado somente abc: associado também ao cadastro do administrador. O EPPN na maior parte das instituições é o MD5 do username. Em caso de dúvidas do valor, peça para o usuário administrador acessar a url https://sp.rnp.br/ e se autenticar. Após a autenticação, será exibida a informação eduPerson-eduPersonPrincipalName. Pegue a informação que vem antes do @. A figura a seguir mostra um exemplo onde é retornado “73637a38dea854e281cda9f6f00af507@instituicao.br”.

PAINEL_ADMIN_NAME -> Será criada uma conta inicial de administrador para o usuário em questão: quando o painel de segurança é instalado, é cadastrado automaticamente um usuário inicial que receberá permissão de administrador. Será este usuário que irá atribuir permissões de administrador e operador a outros usuários. Certifique que todos os dados do usuário administrador inicial foi cadastrado corretamente

FQDN -> se trata do FQDN do seu servidor IDP. Exemplo: “idp.instituicao.br”

SMTP_ASSINATURA -> Nome que irá aparecer no email enviado como remetente. Exemplo: Instituição de Pesquisa e Educação.

SMTP_EMAIL_ORIGINADOR -> E-mail do originador. Se trata do e-mail que será exibido para o usuário como originador do e-mail. Exemplo: no-reply@instituticao.br

SMTP_HOST -> se trata dos dados de acesso necessários para que o painel de segurança possa enviar e-mails. Preencha aqui o endereço do servidor SMTP. Exemplo: smtp.instituicao.br

SMTP_NOME_AMIGAVEL -> Digite o Nome amigavel a ser exibido para identificar quem envia os e-mails: na ser exibido para identificar quem envia os e-mails. Exemplo: Nome da Instituição

SMTP_PASSWORD -> senha para autenticação na conta SMTP.

SMTP_PORT -> porta do servidor SMTP. Exemplo: 587

SMTP_USERNAME -> conta a ser utilizada para se autenticar no servidor SMTP

MSG_AUTENTICACAO -> Mensagem que irá aparecer na tela de login para os usuários. Exemplo: Digite aqui sua matrícula:

URL_RECUPERACAO_SENHA -> Caso possua uma URL para direcionar seus usuários para um sistema de recuperação de senha digite aqui esse endereço. Exemplo: https://endereco_recuperacao.com.br/

Preencher os valores dos parâmetros de acordo com a suas informações

Ao terminar de preencher todos os campos clicar no botão "Próximo" ao final do rodapé.

Após seguir para o próximo passo de execução uma tela de revisão dos parâmetros será apresentado para que você possa verificar se as informações passadas para a receita de instalação estão corretas.

Se algo estiver incorreto você pode clicar no botão "Voltar" para corrigir. Se tudo estiver correto você pode então confirmar a execução da receita de instalação do IDP.

Você será apresentado em uma painel com um formato em tabela, sendo ele dividio da seguinte forma:

6 colunas

Nome do Servidor -> Servidor no qual foi executado aquela receita.

Tipo de execução -> Se foi executado uma Receita, um Comando Avulso ou uma Geração de Certificado.

Data da Solicitação -> Data e hora da solicitação, início.

Data da execução -> Data e hora da execução, término.

Status -> Executando, Sucesso ou Erro.

Ações -> Log

Após a execução terminar, seja com Sucesso ou Erro você pode clicar na linha ou ir em Ações nas 3 bolinhas e clicar em Log para verificar o conteúdo descritivo executado na Receita.