10 consejos básicos de seguridad en Alfresco

Toni de la Fuente 5 Comments

¡¡Actualizado el punto 5!!

Si estás empezando a usar Alfresco, en cuanto a seguridad y protección, es recomendable que tengas en cuenta los siguientes consejos básicos:

1. No uses la contraseña de administrador por defecto (admin/admin), debe ser lo primero que cambies al acceder por primera vez a Alfresco. Incluso puedes crear un usuario super administrador diferente a admin. A partir de la versión 3.1 puedes añadir tantos administradores como quieras en el grupo ALFRESCO_ADMINISTRATORS (vía Alfresco Explorer).

2. No uses el usuario y contraseña de base de datos por defecto. Como sabes, se usa usuario alfresco, contraseña alfresco y base de datos alfresco, para tenerlo en local está bien, pero no lo uses en un servidor, la salud de tu Alfresco depende de ello.

3. Nunca ejecutes Alfresco con un super usuario (root). Crea un usuario específico para levantar la aplicación. También recuerda que al repositorio físico (alf_data), índices y a la base de datos sólo debe acceder el usuario que levante la aplicación alfresco o el usuario que conecta a la base de datos, restringe acceso a cualquier otro usuario para evitar inconsistencias en BBDD y/o repositorio.

4. Usa un firewall como IPtables en la máquina donde está instalado Alfresco para hacer portforward de los puertos inferiores al 1024.

5. Usa un Apache y ProxyPass para proteger tu servidor de aplicaciones, no expongas tu servidor de aplicaciones. Esta configuración de Apache te puede servir de ejemplo, yo uso un fichero llamado alfresco.conf en /etc/httpd/conf.d/ (RedHat, CentOS y derivados):

ProxyPreserveHost On
ProxyPass /alfresco http://127.0.0.1:8080/alfresco
ProxyPassReverse /alfresco http://127.0.0.1:8080/alfresco

ProxyPass /share http://127.0.0.1:8080/share
ProxyPassReverse /share http://127.0.0.1:8080/share

ProxyPass /mobile http://127.0.0.1:8080/mobile
ProxyPassReverse /mobile http://127.0.0.1:8080/mobile

ProxyPass /studio http://127.0.0.1:8080/studio
ProxyPassReverse /studio http://127.0.0.1:8080/studio

También podríamos configurarlo con mod_proxy_ajp en lugar de mod_proxy, para más info sobre las virtudes de mod_proxy_ajp leer este artículo.

RewriteEngine on
RewriteRule ^/alfresco(.*) ajp://127.0.0.1:8009/alfresco$1 [P,L]
RewriteRule ^/share(.*) ajp://127.0.0.1:8009/share$1 [P,L]
RewriteRule ^/mobile(.*) ajp://127.0.0.1:8009/mobile$1 [P,L]

Recuerda activar en el server.xml del tomcat la siguiente línea y reiniciar Alfresco:

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

6. Revisa los logs de Apache y del servidor de aplicaciones continuamente (en Apache el access_log y el error_log así como sus variantes SSL). En cuanto a Alfresco, recuerda que existe el log4j.properties y te permite investigar cualquier evento que ocurra en Alfresco.

7. Protege los accesos y autenticaciones con SSL. Esto se consigue, por ejemplo, instalando el módulo de Apache mod_ssl, de esa forma las conexiones serán seguras (independientemente si se accede desde Internet o Intranet). Además también aseguras las conexiones vía Webdav. Recuerda que accediendo por FTP las contraseñas viajan en claro.

8. Cuidado con los permisos y roles heredados en Alfresco, pueden ser un problema. Recuerda que en Alfresco el protagonista es el contenido, es en él donde hay que aplicar los permisos.

9. Aprovecha el encadenamiento (chaining) que soporta Alfresco en la autenticación y deja siempre para el final la autenticación con la BBDD local, sobre todo si no puedes acceder al LDAP de turno y quieres usar el usuario admin.

10. Realiza backup del repositorio y la base de datos todos los días, ya sea en frío (parando Alfresco) o en caliente, haciendo backup de la base de datos e inmediatamente del repositorio (en este orden). También puedes usar la aplicación de copia de seguridad de Intecna (ver repositorio de software libre de la Junta de Andalucía).

Seguro que se puede ampliar esta lista, ¿que consejos recomiendas tu?

Enseñando Alfresco por México, Perú y Chile

Toni de la Fuente 10 Comments

A finales de noviembre, haremos una gira para enseñar Alfresco al otro lado del Atlántico, tendré la oportunidad de visitar México DF, Lima y Santiago de Chile. 3 países, 3 capitales, 3 seminarios, unos 25.000 km y un buen puñado de reuniones en 11 días intensos.

seminarios-2009-ruta

Todo esto es gracias al contacto establecido con compañías locales interesadas en la formación e implantación de Alfresco en sus respectivos paises.

Según Google Analytics, México, Perú y Chile están en el Top 5 de visitantes de blyx.com, por lo tanto, si vives en estos países y estás interesado en asistir a los seminarios, aquí tienes más información:

Estos serán, a grandes rasgos, los contenidos del seminario:

  • Introducción y visión de Alfresco
    • Componentes
    • Caracteristicasalfresco_t
    • Estrategia
  • Administración del sistema Alfresco
  • Implementación: buenas prácticas
    • Casos de uso
    • Arquitectura
    • Desarrollo
    • Mantenimiento
  • Ejemplo práctico
    • Toma de requisitos
    • Reglas
    • Workflow
    • Modelo de datos

Alfresco implementation best practices (presentación)

Toni de la Fuente Leave a comment

Ya de vuelta del Meetup, decir que en líneas generales ha sido un evento bastante interesante, en cuanto a asistencia (más de 200 personas), interés de los allí presentes y nivel de las charlas. Como ya comenté, estuve hablando de buenas prácticas en la implementación de Alfresco de la mano de Intecna Soluciones.  Básicamente en la charla, que duró una hora y pico, abordémasterclass temas relacionados con los casos de uso, componentes y características de Alfresco, y finalmente consejos sobre arquitectura, clustering, autenticación, webscripts, desarrollo y seguridad, etc. La verdad es que como ya preveía, se quedaron en el tintero muchas cosas pero creo que, al menos, conté lo más importante sin profundizar mucho en el tema. Fue curioso porque el personal de Alfresco ubicó mi charla en el grupo de las “non-technical” pero sin embargo fue totalmente técnica (lo siento porque creo que algunos asistentes que no se enteraron de mucho).

Quiero agradecer a todos los asistentes y a mis compañeros de Intecna, concretamente a Fernando Gonzalez, Gildo Castillo y Roberto Gamiz que me han resuelto muchas dudas cuando estuve traduciendo y preparando la presentación. También, por supuesto, al staff de Alfresco que estuvo allí al pie del cañón y Jeff Potts, Russ Danner y Peter Monks por contar conmigo.

UPDATE: Me comenta Nancy Garrity, Alfresco Community Manager, que ya tenemos un espacio Best Practices creado en la Wiki de Alfresco para ir poniendo las buenas prácticas.

Aquí la presentación en español:

Nos vemos en Madrid, Alfresco Meetup!

Toni de la Fuente 1 Comment

intecna

El próximo martes 20 de Octubre estaremos de Meetup con Alfresco en el Hotel Meliá Los Galgos  de Madrid. Todo parece indicar que será un éxito de asistencia ya que se ha cerrado el registro con casi dos semanas de antelación, algo que no ha pasado por ahora en ninguna de las otras ciudades donde se celebrará. ¿Qué es y para qué sirve este encuentro? Alfresco lo explica muy bien en su web.

alfresco-logoDe Alfresco vendrán John Powell (CEO), Paul Hampton, Gabriele Columbro, Ben Hagan y Mike Hatfield, además del personal de Márketing y Formación. Será un placer tenerlos por tierras españolas.

He tenido la suerte de ser invitado a impartir una Master Class sobre “Buenas Prácticas con Alfresco”, cuya documentación he podido revisar junto a los gurús Jeff Potts (Optaros), Russ Danner (Rivetlogic) y Peter Monks (Alfresco). La Master Class durará una hora y media, trataré temas como usos conocidos y desconocidos de Alfresco DM y WCM, herramientas, buenas prácticas relacionadas tanto con el desarrollo como con implantación, dimensionamiento, etc. Me temo que se me harán cortos los 90 minutos…

La agenda de la jornada ya está disoponible y puedes verla aquí. Mi compañero (y experto en Alfresco) Fernando González y yo estamos deseando que llegue la fecha!! Si no nos vemos allí ya os contaré y os pasaré la presentación por SlideShare.

Posiblemente, el secreto del éxito de Alfresco

Toni de la Fuente 2 Comments

Mi gran amigo Victor Fernandez, con el que he tenido la suerte de trabajar y aprender muchas cosas en los últimos años, me preguntaba el otro día por qué está Alfresco en boca de todo el mundo, todos quieren usarlo, integrarlo y conocerlo, la respuesta que le di fue la siguiente:

Interfaces que soporta, formas de acceder, integrar, ampliar e interactuar con la aplicación:

  1. Alfresco Explorer
  2. Alfresco Share
  3. Alfrescdo iShare (en desarrollo)
  4. Webdav
  5. RSS/ATOM
  6. Webservices (SOAP)
  7. REST (AJAX/Mashups/Webscripts)exito
  8. CIFS
  9. FTP
  10. NFS
  11. SharePoint Protocol
  12. SMTP
  13. IMAP
  14. JMX
  15. CMIS
  16. JCR
  17. Java Foundation API
  18. OpenSearch
  19. WCM
  20. JBoss JBPM Workflows

No sé si se me olvida alguna pero, es interesante verdad? Podrían tomar nota algunos productos que son infinitamente más caros que Alfresco. El que no se integra es porque no quiere…

Info extendida de algunos de estos puntos aquí, gracias Alejandro.

Nueva interfaz para iPhone en Alfresco Labs 3.2

Toni de la Fuente 4 Comments

Como ya dijimos en su momento, Alfresco 3.2 traería muchas novedades. Una de las más interesantes es la nueva interfaz para dispositivos móviles y claramente diseñado para iPhone, un nuevo webclient orientado a estos dispositivos. Aunque aún está muy verde no deja de ser toda una declaración de intenciones.

Puedes descargar la versión 3.2 de Alfresco aquí, instalarla en menos de 5 minutos y probar, desde tu teléfono móvil la siguiente URL: http://IP-servidor:8080/mobile/p (importante la p al final). Estas son unas capturas hechas con mi iPhone hace unos minutos:

Pantalla de login:

foto

Pantalla principal:

foto2foto3

Puedes ver el listado completo de novedades y mejoras aquí.

Digitalización, scanning y OCR con Alfresco

Toni de la Fuente 18 Comments

alfresco-logoEn el paradigma “oficina sin papeles”, intervienen muchos actores, siendo los principales las personas, que deben ajustarse a una serie de procedimientos y metodologías, y los sistemas de información, que deben proveer soluciones al paradigma.

En cuanto a complejidad, un proyecto de “Paperless Office” es tan difícil y en ocasiones frustrante como un proyecto de “Single Sign” o “Identity Management” en grandes organizaciones consolidadas ya sean públicas o privadas. El problema principal son, por un lado las soluciones Open Source de calidad, que no son muchas, los requerimientos técnicos del cliente dados muchas veces por aplicaciones obsoletas y heredadas.

Con Alfresco, gracias a características como el soporte CIFS, Webdav, reglas, transformación de formatos, workflow o indexación, conseguimos aproximarnos a nuestro objetivo, aunque en una oficina sin papeles necesitaríamos integrarnos con otras soluciones como firma digital, etc, que ya contemplaré algún día por estos lares.

En este caso me gustaría contar qué puede hacer Alfresco por nosotros en cuanto a digitalización de documentos, escaneo masivo (bulk scan) y OCR:

a) Ad-hoc scanning: usando CIFS o Webdav con la extracción de metadatos automática (por defecto). La mayoría de las impresoras/escaner multifunción modernas de oficina y de cierta envergadura soporta montar volúmenes remotos (conectarse a carpetas de red) para colocar la documentación escaneada. También podríamos hacerlo desde un escaner conectado a nuestra estación de trabajo. De esta forma se almacenarían los documentos directamente en Alfresco y posteriormente se pueden lanzar workflows, transformaciones, reglas, etc. Por ejemplo, una hoja de gastos, hoja de reclamaciones, actas, pedidos de clientes, documentos de identificación en puestos de control, etc.

En el caso anterior, que hemos llamado Ad-hoc scanning, no se contempla indexación del contenido de los documentos ya que estas grandes impresoras por defecto no hacen reconocimiento de texto (OCR), por lo que el documento escaneado, aun conteniendo texto, sería como una imagen. Para salvar este escollo se puede integrar con Alfresco una solución gratuita llamada Intelliant, basada en la SDK de Tiger OCR. Esta solución, que sólo funciona si el servidor Alfresco está instalado en un sistema operativo MS Windows, nos permitirá, a través de reglas y transformaciones, extraer todo el texto de un documento escaneado de forma que se pueda indexar y podamos hacer búsquedas por el contenido, algo realmente cómodo.

b) Batch scanning: Cuando necesitamos escanear cientos de documentos tipo plantilla, por ejemplo hojas de matrícula, facturas, exámenes, etc, y de éstos documentos queremos extraer la información y poder vincularla a metadatos de Alfresco, ya sea del modelo de datos por defecto o de un modelo personalizado, necesitaremos una solución que permita mapear la información existente en la plantilla/documento escaneado de turno, con un tipo de contenido de Alfresco, campo del documento con un metadato en Alfresco, etc. Esta solución se llama Kofax Ascent Capture, Alfresco dispone de un plugin gratuito y disponible en la forja de Alfresco [http://forge.alfresco.com]. Este software utiliza la API de WebServices de Alfresco para realizar su trabajo. El plugin sólo funciona en MS Windows.

Kofax Ascent Capture tiene las siguientes características (fuente):

  • Corrección y mejora automática de imágenes.
  • Separado automático de documentos e identificación automática de formularios.
  • OCR, ICR y OMR para reconocimiento de texto impreso o escrito a mano en cientos de idiomas, códigos de barras y otros tipos de códigos.
  • Certificado para funcionar con la mayoría de scanners, ver listado.
  • Integración con Alfresco y gestión de procesos de negocio.

La opción a) es completamente gratuita y la opción b) depende del propio software Kofax Ascent Capture, que no es gratuito.

Hay otras soluciones como usar un escaner con soporte eCopy, cuyo conector con Alfresco ha sido desarrollado por SIRA Systems. Este conector permite a un usuario escanear un documento y ponerlo directamente en Alfresco. Este software se instala en el escaner y hace de interfaz entre el escaner y Alfresco. Sería una solución del tipo a) ya que no contempla selección ni mapeo de datos de los documentos escaneados, aunque si permite la indexación del contenido ya que incorpora un OCR, esta solución cuesta 2.495USD. Más información sobre el conector de SIRA Systems aquí.

Consultoría sobre Zimbra en el mundo real.

Toni de la Fuente 19 Comments

zimbra_logoEl otro día recibí un correo electrónico de un antiguo compañero de trabajo que sabía que yo andaba en temas del mundo Open Source, para hacerme una serie de cuestiones relacionadas con Zimbra. Le respondí y le pregunté si le importaba que usara esa respuesta para crear un artículo en mi blog, él accedió y aquí está el correo con cierto toque de rimel y polvos para que quedase medio bien.

Antes de seguir quiero describir de una forma muy breve qué es Zimbra (extraído/traducido de su web): Zimbra Collaboration Suite (ZCS) 5.0 es una moderna e innovadora aplicación de mensajería y colaboración. Zimbra es la primera solución de código abierto para la empresa, proveedor de servicios, educación, gobiernos y medios; ofreciendo tanto a administradores como a usuarios finales una cantidad importante de características y beneficios. Zimbra es una opción interesante como servidor de correo electrónico en Mac y Linux, también soporta clientes para Windows y protocolos para reemplazar MS Exchange sin problemas. Más información aquí.

Consulta:

Tengo un amigo que tiene una empresa y necesita algo para tener sincronizado el mail, contactos, calendario y demás en las tres delegaciones que tiene, además el tiene un flamante iPhone y quiere tener acceso a todo ello de manera móvil.

En los PCs de las delegaciones podría instalar el Yahoo Zimbra Desktop (que no es mas que un cliente para Zimbra) o bien el conector de Zimbra para MS Outlook que sincronice todos los datos. Pero claro he visto que la versión Open Source ni tiene conector ni tiene soporte para iPhone.

He visto que para el tema de importar los datos de MS Outlook (mensajes, adjuntos, contactos y calendario) existe el Zimbra Import Wizard que en teoría tras la migración te lo deja todo bien en el nuevo entorno y te mantiene la estructura de carpetas.

La pregunta es: ¿puedo hacer eso con la Open Source? Sino es asi, merece la pena pagar por la versión Zimbra Network y un plus para el iPhone?

Respuesta:

Como sabes Zimbra tiene dos versiones, la Network Edition (de pago) y la Open Source Edition (gratis), la diferencia principal entre ambas es:

  1. Una es de pago por número y tipo de usuario (Basic, Standard o Enterprise) y la otra es gratis. Eso ya lo sabías 😉
  2. La Network soporta MAPI y la Open Source no. MAPI es el protocolo de MS que ha conseguido implementar Zimbra y simula ser un MS Exchange por lo que permite a un iPhone configurarlo como si de un cliente Exchange se tratara y sincronizar OTA (over the air) tanto la libreta de direcciones, calendarios y correos. La opción MAPI solo está disponible en la Network Edition para cuentas de usuario Enterprise (las más caras).

Otros aspectos a tener en cuenta:

  1. El Yahoo Zimbra Desktop es un cliente de correo pesado que permite trabajar offline, pero es pesado de verdad, te monta un servidor de aplicaciones Java (Jetty) en local, por lo que consume recursos y necesitaras estaciones de trabajo potentes. Este cliente funciona muy bien, pero consume memoria y disco (como es lógico porque descarga los correos del servidor). Este cliente te funciona para Zimbra Colaboration Suite tanto la versión Network como Open Source y es gratis, también para cualquier otra cuenta de Yahoo, Gmail u otros. En cuanto al conector de Zimbra para sincronizar con MS Outlook, las últimas versiones funciona bien, puedes tenerlo en cuenta en clientes MS Windows.
  2. Para importar los PTS y demás datos de Outlook, Zimbra se lo tiene muy currado y dispone de una aplicación que funciona muy bien pero que, por lo que yo se, sólo te sirve para la versión Enterprise (yo lo he probado en esta).

En respuesta a tu pregunta, con la Open Source no puedes si los clientes son iPhone, por el soporte MAPI, si tus clientes móviles son otros podrías utilizar Funambol (algún día hablaré de esa maravilla) que, basado en syncML, permite sincronizar dispositivos móviles y no tan móviles con aplicaciones de servidor. Funambol cuenta con un conector para Zimbra libre y gratuito. Funambol tiene clientes para BlackBerry, Thunderbird y muchos más, incluso para iPhone, la diferencia es que en todos funciona genial menos en iPhone porque este último no permite exportar datos del calendario por syncML, es decir, sólo puedes sincronizar la agenda. Son cosas de los amigos de Apple… a veces no son tan “cool” como parece…

¿Te merece la pena pagar por la versión Network Edition? Pues para lo que quiere esta empresa yo pienso que si, no es mucho dinero y la solución, desde mi punto de vista, es mucho mejor que MS Exchange, las posibilidades que te brinda Zimbra son inmensas, los Zimlets son muy potentes, la capacidad de integración es muy buena y el soporte no funciona nada mal. En http://www.zimbra.com/quote/configurator.php puedes ver lo que cuestan las cuentas Network Edition de una forma más o menos estimada, de las que deberías comprar como mínimo 25 Enterprise a un precio de 875USD (35 dolares por usuario) y no necesitarás ningún plugin de iPhone. También dispones de la Starter Edition (http://www.zimbra.com/quote/starterpkg.php) que son 15 cuentas Professional por 399USD (26,6 dolares por usuario). La Starter no tiene soporte pero si actualizaciones, por eso es más barata. Además en la Wiki y en los Foros de Zimbra hay muy buena información.

Eso ha sido todo.

Ya sabéis, en Intecna somos partners de Zimbra, si queréis una implantación no dudéis en contactar.

Adios Nagios, hola Icinga.

Toni de la Fuente 6 Comments

nagiosLos que me conocen saben que soy un enamorado de Nagios, lo conozco desde hace años, desde que se llamaba Netsaint, lo he montado siempre que he podido para demostrar que no tiene nada que envidiar a software propietario y caro que se ve por las grandes compañías de todo el mundo. Me consta que sigue montado en sitios por los que he pasado, no diré más pistas ;).

En los últimos años, a Nagios le han salido muchos competidores en el mundo del Open Source: Zenoss, Hyperic, Pandora, OpenNMS, Zabbix, Centreon y Groundwork, estos dos últimos basados en Nagios. Lo cierto es que tenía la sensación de que Nagios estaba siendo adelantado por sus competidores. El problema principal es que, a pesar de la gran comunidad que existe en torno a Nagios, el core sólo lo desarrolla una persona en USA y parece ser que era un cuello de botella para otros desarrolladores y los usuarios finales. Esto no ha caído en saco roto y la comunidad se ha puesto manos a la obra para que el proyecto pueda seguir creciendo como se merece. Así que la gente de nagios-portal.org, NagVis, NagTrap, PNP4Nagios, icingacheck_multi, NagiosGrapher y NETWAYS han realizado un fork llamado Icinga, que significa en Zulú “explorar o examinar”.

Es la grandeza del Software Libre, y gracias a la libretad de adaptar, modificar, publicar podemos tener noticias como esta. Como ellos mismos indican en su FAQ ya ha ocurrido esto otras veces, por ejemplo con Mambo->Joomla o con XFree86->X.org.

Todo esto está muy bien, pero ¿ganará la comunidad con este cambio? A tenor de lo que la gente de Icinga promete, estoy seguro que si, y mucho. Veamos:

  • Soportará características y plugins de Nagios y será facil migrar desde Nagios.
  • Soportará extensiones y desarrollos e integraciones gracias a una API.
  • Tendrá una nueva interfaz web basada en PHP.
  • Tendrá como addons: PNP, NagVis, Grapher V2 y NagTrap.
  • Nueva interfaz NDO con soporte para ser almacenado en ficheros o en base de datos permitiendo el acceso a esos datos desde la API con PHP o desde WebServices.
  • ReportDesigner para realizar informes personalizados y se podrán configurar envíos automáticos de informes cada cierto tiempo.
  • También se contemplan mejoras para grandes instalaciones.

Por ahora toca esperar, parece que la primera versión de Icinga saldrá el próximo 20 de Mayo. Habrá que estar atento, yo ya he puesto una nota en mi calendario.