¶ Validación remota de accesos vía DeporNetWS
Esta validación remota está especialmente diseñada para el escenario donde DeporWin (y sus correspondientes BB.DD.) están ubicados en la nube (cloud).
¶ Objetivos
- Seguir dando servicio al control de acceso en los casos en que la conexión al cloud no esté disponible. Realizando una validación local simplificada, por ejemplo, vía listas blancas.
- No requerir de redirección de puertos ni de uso de VPN
¶ Arquitectura
-
Un Vigilante local ejecutándose en un equipo ubicado en la red local LAN de un determinado centro, que será el encargado de control los distintos elementos hardware (lectores, controladores, tornos,...).
-
Este Vigilante local, al recibir una petición de acceso desde unos de los lectores, solicitará que se realice **remotamente **la validación de dicho acceso.
-
La petición de validación será mediante la llamada al correspondiente método del DeporNetWS (POST /accesos/accesoremoto).
-
Tendremos dos posibles configuraciones:
- DeporNetWS realizará la validación de dicho acceso mediante una llamada TCP/IP a un Vigilante remoto, que estará ejecutándose en un equipo ubicado en la propia "nube".
- En una segunda fase, el DeporNetWS realizará la validación de dicho acceso directamente (mediante una nueva implementación nativa de la lógica de acceso).
¶ Parametros INI en VIGILANTE LOCAL:
| PUERTO X | Valor | DESCRIPCIÓN |
|---|---|---|
| ValidarAccesoEnVigilanteRemoto | Si | |
| ValidacionPrioritariaEnVigilanteRemoto | Si | Indica si un acceso se validará primero en el Vigilante remoto |
| CantidadVigilantesRemotos | 1 | Cantidad de Vigilantes remotos con los que se intentará validar |
| TiempoRehabilitacionValidacionRemota | 300 | Por defecto 300 segundos y 0 indica que no se rehabilita |
| CantidadMaximaErroresConexionParaDeshabilitacionValidacionRemota | 3 | Por defecto 3 y 0 indica que no se deshabilita automáticamente |
| PUERTO X TERMINAL T | VALOR | DESCRIPCIÓN |
|---|---|---|
| IdTerminal | Identificador del terminal (normalmente una dirección IP y puerto, siguiendo la configuración de cada tipo de lector) | |
| ValidarAccesoEnVigilanteRemoto | Si |
| PUERTO P VIGILANTE REMOTO X | VALOR | DESCRIPCIÓN |
|---|---|---|
| TipoVigilanteRemoto | DeporNetWS | (DeporNetWS=validación vía WS, Vigilante=validación clásica vía TCP/IP contra vigilante remoto) |
| URLDeporNetWS | http://dominio:puerto | URL del DeporNetWS |
| DesarrolladorDeporNetWS | T-Innova | Nombre del usuario para realizar el LoginDesarrollador en el DeporNetWS |
| PasswordDeporNetWS | {{3E3A3B5CC401586F65}} | Contraseña encriptada del usuario para realizar el LoginDesarrollador en el DeporNetWS |
| HTTPProxyDeporNetWS | Ninguno | En caso necesario, proxy para el acceso a DeporNetWS |
| IP | Dirección IP o “LogicaEnWS” | Dirección IP local del Vigilante remoto en el cual se validarán los accesos |
| PuertoTCP | 5010 | Puerto TCP del Vigilante remoto (este Vigilante tiene que tener activado el ServidorVigilante) |
| Puerto | 5 | Puerto de la sección [Puerto ?] del Vigilante remoto que representa a la puerta remota |
| Fotos | NINGUNO | NINGUNO si no se tiene ninguna réplica de las fotos de los usuarios en local |
| Alias | VR1 | Alias del Vigilante remoto en el cual se validarán los accesos |
¶ Parametros INI en VIGILANTE REMOTO:
| PUERTO X | VALOR | DESCRIPCIÓN |
|---|---|---|
| TipoLector | PUERTA_REMOTA | PUERTA_REMOTA (si no queremos mostrar los accesos por pantalla) o VIRTUAL (si queremos ver los accesos por pantalla) |
| PUERTO X TERMINAL Y | VALOR | DESCRIPCIÓN |
|---|---|---|
| IdTerminal | XXXX | Debe coincidir con el identificador del terminal en el Vigilante local Los demás parámetros "lógicos" de esta sección serán los que se usarán para la validación del acceso (Tipo de entrada, puerta lógica, coherencias, edades, ...) |
¶ Procedimiento puesta en marcha
¶ Requisitos previos
-
Partimos de un vigilante que tenga VigilaLogica y VigilaTecnica ya separados y bien estructurados.
-
Un Equipo local con:
- Vigilante Local instalado
- Servicio Agente de trabajos instalado
- SQL Server Express para bases de datos locales de listas blancas
- DSuite Update Services con el check marcado de Actualizar Bases de datos (para mantener las BD de listas blancas al día)
- Como veremos después, el equipo local necesitará tanto el VIGILALOGICA.INI como el VIGILATECNICA.INI con ciertas modificaciones
-
En Servidor Remoto:
- Instalado módulo de Servidor DepornetWS.
- UN SERVICIO DepornetWS ESPECÍFICO PARA ATENDER LAS PETICIONES DE VIGILANTE REMOTO (es decir, NO utilizar el mismo DepornetWS que se pueda estar usando para atender a DeporSite, si lo tienen)
- Valorar por cada centro hacer tantos WS como bloques de acceso se consideren oportunos.
- Si no estaba instalado previamente, preparar en servidor un entorno VIGILANTEWS y en el proceso de instalación de DSuite dar este entorno para configurar el nuevo servicio
- Si ya había un servicio DepornetWS instalado, creamos desde linea de comandos en modo administrador un nuevo servicio con el comando:
Sc create "Servidor DeporNetWS - Vigilante Remoto" binPath= "D:\Deporwin\Web\DeporNetWSv2\DeporNetWSv2.exe /Entorno=\"VIGILANTEWS"" type= own start= demand obj= "NT AUTHORITY\NetworkService" displayname= "Servidor DeporNetWS - Vigilante Remoto"
- En DEPORWIN.INI del entorno nuevo VIGILANTEWS recomendamos que la cadena de conexión contra la base de datos autentifique contra un usuario de deporwin
- Este entorno remoto necesitará el VIGILALOGICA.INI con ciertas modificaciones, como veremos.
- IMPORTANTE. Recordar que normalmente los INI del DeporNetWSv2 parten de la carpeta del programa, y se suele redireccionar DEPORWIN.INI al directorio de todos los INI. Habrá que hacer lo mismo con VIGILALOGICA.INI, haciendo:
[INI]
DirectorioRaizIni=C:\Deporwin\INI (o la ruta inicial de los archivos INI de la aplicación)
¶ Pasos para servidor contra WS
-
En el INI VIGILANTEWS copiamos el VIGILALOGICA.INI que tenemos preparado.
- Para cada puerto y terminal, cambiamos IdTerminal, asegurándonos que tenga el identificador del terminal en el Vigilante Local
-
En el INI del Vigilante Local copiamos tanto VIGILALOGICA.INI como VIGILATECNICA.INI que tenemos preparados.
- En VIGILATECNICA.INI, en cada puerto que deseemos que valide contra servidor remoto, añadimos a la sección los siguientes parámetros, a partir del comentario ;Nuevo vigilante remoto WS:
[Puerto 1]
[.....]
;Nuevo vigilante remoto WS
ValidarAccesoEnVigilanteRemoto=Si
ValidacionPrioritariaEnVigilanteRemoto=Si
CantidadVigilantesRemotos=1
TiempoRehabilitacionValidacionRemota=300
CantidadMaximaErroresConexionParaDeshabilitacionValidacionRemota=1
- Y por cada puerto se añadirá una sección por cada Vigilante Remoto que indicará los parámetros de conexión al WS:
[Puerto 1 Vigilante Remoto 1]
TipoVigilanteRemoto=DepornetWS
URLDeporNetWS=http://[IP DEL SERVIDOR REMOTO]:[PUERTO DEL SERVIDOR REMOTO]
DesarrolladorDeporNetWS=T-Innova
PasswordDeporNetWS={{******************}}
HTTPProxyDeporNetWS=Ninguno
IP=LogicaEnWS
PuertoTCP=5010
Puerto=1
;Fotos=NINGUNO
Fotos=C:\deporwin\bd\fotos
Alias=VigilanteRemoto1
- En VIGILALOGICA.INI se ha de cambiar el NivelSeguridad por el que deseemos tener en el caso que pasemos a modo desconexión.
- La recomendación es dejarlo en NivelSeguridad=1 para que en caso de caída use las listas blancas que hayamos configurado
[Parametros]
NivelSeguridad=1
[...]
- En VIGILATECNICA.INI asegurarse que el IdLogica concida exactamente con el nombre de la lógica definida en VIGILALOGICA.INI
- Ejemplo: Si en VIGILALOGICA.INI tenemos:
[Logica Entrada Principal]
- En VIGILATECNICA.INI tendremos:
[Puerto 1 Terminal 1]
IdLogica=Logica Entrada Principal
[...]
¶ Pasos para modo desconectado
- En equipo Vigilante Local hemos de tener instalado y configurado un agente de trabajos.
- En DEPORWIN.INI del vigilante local añadiremos sección para que el agente sea capaz de conectar con el WS:
[Conexion DeporNetWS]
URLWebService=http://[IP DEL SERVIDOR REMOTO]:[PUERTO DEL SERVIDOR REMOTO]
DesarrolladorWS=T-Innova
PasswordWS={{******************}}
- Se debe crear en el agente de tareas una nueva tarea de tipo Sincronización datos de acceso personas
