Skip to content

Changes

Page history
Retoques finales del procedimiento de migración del PWM luego de migrado authored by Andrés's avatar Andrés
Hide whitespace changes
Inline Side-by-side
Plan-de-migración-del-LDAP-(OpenLDAP-PWM).md
View page @ fe350608
...@@ -119,6 +119,8 @@ git push origin --force --all ...@@ -119,6 +119,8 @@ git push origin --force --all
* Luego se actualiza la configuración del servicio para que apunte a `ldap.interior.edu.uy`. * Luego se actualiza la configuración del servicio para que apunte a `ldap.interior.edu.uy`.
* Podemos detener servicios (`apache2`, `tomcat`) en `chalchal` para reiniciarlos en etapas posteriores de la migración.
#### Llaves Opendkim #### Llaves Opendkim
La configuración de llaves dkim es necesaria para que los mails se envién firmados desde el servidor. Estas llaves han sido generadas para instancias previas de `chalchal` y se encuentran publicadas en la zona `interior.edu.uy`, por lo que las tenemos respaldas. Al recrear `chalchal` se volvieron a regenerar. A continuación procederemos a restaurarlas desde nuestros respaldos. La configuración de llaves dkim es necesaria para que los mails se envién firmados desde el servidor. Estas llaves han sido generadas para instancias previas de `chalchal` y se encuentran publicadas en la zona `interior.edu.uy`, por lo que las tenemos respaldas. Al recrear `chalchal` se volvieron a regenerar. A continuación procederemos a restaurarlas desde nuestros respaldos.
...@@ -211,6 +213,7 @@ Estos serán los pasos que daremos al migrar el PWM. ...@@ -211,6 +213,7 @@ Estos serán los pasos que daremos al migrar el PWM.
service apache2 reload service apache2 reload
``` ```
* Verificar que los servicios (`apache2`, `tomcat`) de `chalchal` estén encendidos.
#### Modificaciones en DNS y certificados #### Modificaciones en DNS y certificados
...@@ -222,12 +225,20 @@ Estos serán los pasos que daremos al migrar el PWM. ...@@ -222,12 +225,20 @@ Estos serán los pasos que daremos al migrar el PWM.
* Se modifcan los alias `identidad`, `www.identidad` * Se modifcan los alias `identidad`, `www.identidad`
* Generación de nuevos certificados TLS (ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#generaci%C3%B3n-de-nuevos-certificados)): * Generación de nuevos certificados TLS (ver [esto](https://git.interior.edu.uy/adminsys/config/-/wikis/Migraci%C3%B3n-del-Owncloud-9.1-de-nube.interior.edu.uy-a-un-NextCloud-16#generaci%C3%B3n-de-nuevos-certificados)):
* Para actualizar certificados debemos detener el servicio apache2. Por lo tanto, esto debe hacerse en un momento en que no exista ningún usuario conectado. Este momento puede determinarse a partir de los logs, de forma similar a como se explicó en la sección anterior **Varela en Modo mantenimiento**
* Cuando no existan usuario conectados detenemos servicios:
``` ```
certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d chalchal.interior.edu.uy,login.interior.edu.uy,identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.edu.uy, www.identidad.interior.udelar.edu.uy service apache2 stop
service apache2 restart ```
service tomcat restart
``` * Actualizamos certificados y volvemos a levantar servicios:
```
certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d chalchal.interior.edu.uy,login.interior.edu.uy,identidad.interior.edu.uy,www.identidad.interior.edu.uy,identidad.interior.udelar.edu.uy,www.identidad.interior.udelar.edu.uy
service apache2 restart
service tomcat restart
```
#### Operaciones sobre el LDAP #### Operaciones sobre el LDAP
...@@ -244,6 +255,25 @@ service tomcat restart ...@@ -244,6 +255,25 @@ service tomcat restart
* En la conifugración de Certbot activamos los dominios `identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.edu.uy, www.identidad.interior.udelar.edu.uy`. * En la conifugración de Certbot activamos los dominios `identidad.interior.edu.uy, www.identidad.interior.edu.uy, identidad.interior.udelar.edu.uy, www.identidad.interior.udelar.edu.uy`.
* Indicamos en las variables de PWM que se está conectando al LDAP de producción: `ldap.interior.edu.uy`. * Indicamos en las variables de PWM que se está conectando al LDAP de producción: `ldap.interior.edu.uy`.
* Al día siguiente detenemos el servicio Tomcat en `varela`, Apache seguirá encendido. `Varela` no se apaga esta vez, recién se detendrá una vez migrada la agenda telefónica hacia otro contenedor de la nueva plataforma. * Ajustes en el servidor `varela`:
* El mismo día detenemos el servicio Tomcat en `varela`, Apache seguirá encendido. `varela` no se apaga esta vez, recién se detendrá una vez migrada la agenda telefónica hacia otro contenedor de la nueva plataforma.
* En `varela` además tenemos quitar de la configuración de dominios certbot a `identidad.interior.edu.uy` pues ya fue migrado:
* Primero que nada editamos la config de certbot del dominio `telefonos.interior.edu.uy` (/etc/letsencrypt/renewal/telefonos.interior.edu.uy.conf) para agregar las pre y post hooks que no estaban presentase.
* Luego quitamos el dominio identidad.interior.edu.uy: `certbot delete --cert-name identidad.interior.edu.uy`
* Extendemos el certificado de `telefonos.interior.edu.uy` para incluir también a `varela.interior.edu.uy`:
```
certbot certonly --standalone --agree-tos --email adminsys@cci.edu.uy --expand -d telefonos.interior.edu.uy,varela.interior.edu.uy
```
* Desactivamos virtualhosts y reiniciamos apache2 y el servicio de la agenda (nodevoip):
```
a2dissite identidad.interior.edu.uy-revpxy-ssl.conf
a2dissite identidad.interior.edu.uy-revpxy-ssl.conf
sevice apache restart
service nodevoip restart
```
* Por último, cerrar la [merge request 12](https://git.interior.edu.uy/adminsys/config/merge_requests/12) del proyecto Config. * Por último, cerrar la [merge request 12](https://git.interior.edu.uy/adminsys/config/merge_requests/12) del proyecto Config.