INTEGRACIÓN

PORTAL-LDAP-ENTORNO VDI

Integración Portal-LDAP-Entorno VDI

Empresa:
Institución Ferial de Extremadura (FEVAL)

Fecha:

Autor:
UTE

Versión:
1

Páginas:
10
Índice

Índice___________________________________________________________________2
Introducción_____________________________________________________________2
Detalle__________________________________________________________________2
Definición de los distintos perfiles de usuarios_____________________________2
Alta de una empresa____________________________________________________3
Role Administrador del sistema__________________________________________3
Responsable Gestión Vivero ____________________________________________4
Responsable de la empresa______________________________________________6
Desarrollo a acometer en cada una de las fases_____________________________9

Introducción

El presente documento define la integración entre el Portal, el entorno VDI y el dominio LDAP.

Se han definido 2 fases en el desarrollo. En la primera fase se desarrollará la funcionalidad

básica antes de la certificación del proyecto. En una segunda fase, se completará el resto del
desarrollo.

Se describen los distintos roles o perfiles de usuarios que interactúan con el portal y qué
funcionalidades deben estar soportadas para cada uno de ellos.

Detalle

Definición de los distintos perfiles de usuarios

Los distintos perfiles de usuarios que usarían la integración “Portal–Entrono VDI” son los
siguientes:

• Administrador del sistema: Se encarga de configurar los entornos LDAP,

VDI, VMWare y parametrizar el Portal para su integración con los entornos
virtuales.

• Responsable Gestión Vivero: Se encarga de recibir y analizar las

peticiones del responsable de cada una de las empresas del Vivero, y
validar ó denegar las mismas. En el caso de que se deniegue la petición,
deberá introducir el motivo. Este tipo de role sólo accede al Portal, NO
realiza ninguna modificación en el entorno VDI-VMWare y LDAP.

• Responsable de la empresa: Es la persona que tiene permisos para

tramitar las necesidades de su empresa. Su único interfaz de trabajo para
realizar las peticiones es el Portal.

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 2 de 10

 • Usuario del entorno: Pertenece a una empresa perteneciente al Vivero.
Sólo puede verificar la configuración de su perfil de usuario. Por ejemplo,
verificar á qué tipo de POOLs de máquinas virtuales tiene acceso. Esta
parte del desarrollo no es imprescindible ya que al acceder al entorno VDI
ya se le muestran los PCs disponibles.

Alta de una empresa

Las fases para dar de alta una empresa y los datos de la misma en el entorno Portal-
VMWare-VDI-LDAP son los siguientes:

• El administrador del sistema crea las máquinas virtuales (en base a

plantillas) necesarias, configura tanto el entorno VMWare, VDI y la
integración con el Portal y crea los grupos LDAP asignados a POOLs o
grupos de PCs.

• El “Responsable Gestión Vivero” da de alta la nueva empresa en el Vivero.

• El “Responsable de la empresa” accede al portal con la cuenta que le ha

proporcionado el “Responsable Gestión Vivero”. A continuación rellena los
datos de los distintos usuarios de la empresa y asigna las máquinas
virtuales a las que podrá acceder cada uno. A los usuarios de su compañía
les proporciona la información de “Nombre de usuario” y cuenta de acceso
temporal (la deben cambiar en el primer inicio de sesión).

• El “Usuario del entorno” accede al portal utilizando la cuenta de usuario y

contraseña que le ha proporcionado el responsable de su empresa. Podrá
ver en el entorno las máquinas virtuales a las que tiene acceso.

Role Administrador del sistema

A continuación se detallan las acciones que debe realizar el administrador del sistema:

• El administrador del sistema crea las máquinas virtuales (en base a

plantillas) necesarias (utilizando las herramientas de VMWare). Con las
herramientas del entorno VDI crea los POOLs de máquinas (creadas a partir
del mismo tipo de plantilla) y los asocia a Grupos existentes en el LDAP.

• Siempre que se vaya a crear un nuevo tipo máquina virtual se deberá

realizar el siguiente proceso:

− Crear la plantilla utilizada para desplegar las distintas máquinas

virtuales.

− A partir de la plantilla desplegar las distintas máquinas virtuales

necesarias.

− Crear el POOL de máquinas virtuales que agrupa a máquinas

virtuales creadas con la misma plantilla.

− Asociar el POOL de máquina a un Grupo del dominio LDAP.

Previamente se deberá crear el Grupo en el dominio introduciendo

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 3 de 10

 el nombre del mismo (descriptivo de su función y con 14 caracteres
como máximo) y una descripción que informe de su utilidad. Para
que un usuario pueda utilizar una máquina de un POOL
determinado debe pertenecer al Grupo asociado.

NOTA:En el apartado “Responsable de la empresa” se

detalla el uso de estos grupos en el portal.

− Deberá parametrizar el portal para que el “Responsable de una

empresa determinada” pueda seleccionar este tipo de máquina
virtual. Véase apartado “Responsable de la empresa”. En este
apartado se entra en más detalle las acciones que debe realizar el
“Administrador del sistema”.

Responsable Gestión Vivero

A continuación se detallan las acciones que debe realizar el “Responsable Gestión
Vivero”:

• El Responsable Gestión Vivero da de alta la nueva empresa en el Vivero

utilizando el portal. Los datos que debe introducir son los siguientes:

− Nombre empresa: Nombre de la empresa que se da de alta en el

Vivero.

− Datos del responsable de la empresa (tomará el rol de

Responsable de la empresa).

− Número de empleados: Indica el número de empleados de la

empresa.

− Número de máquinas virtuales que estarán disponibles para la

empresa.

Una vez se ha dado de alta una empresa, el Responsable Gestión Vivero debe poder
aumentar el número de empleados de una empresa determinada y las máquinas
virtuales disponibles. A priori, lo que no podrá hacer es modificar el nombre de la
empresa o dar de baja dicha empresa (este nombre se utiliza para crear grupos y
usuarios en el LDAP).

Las acciones de dar de baja una empresa las debe realizar el Administrador del Sistema
(eliminar los grupos y usuarios de la empresa en el LDAP y las carpetas de datos en el
servidor de ficheros).

En el Portal se le debe permitir al Responsable Gestión Vivero poder buscar una

empresa determinada para poder modificar el número de empleados y número de
máquinas virtuales.

En el proceso de alta de una empresa, el código del portal desencadenará las siguientes
acciones en el LDAP:

• Creará un grupo en el dominio con el nombre “GNombreEmpresa”

(máximo 14 caracteres permitidos en el LDAP). El código debe verificar

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 4 de 10

 previamente que no existe dicho grupo.

NOTA:NombreEmpresa se sustituye con el nombre correcto

de la empresa. En la creación de Grupos y de cuentas de
usuario no se pueden introducir cadenas de más de 14
caracteres.

• Creará un usuario con nombre de cuenta “NombreEmpresa000” (es el

“Responsable de la empresa”) con los datos específicos que el Responsable
Gestión Vivero ha introducido. Lo incluirá en el grupo “GNombreEmpresa” y
en el grupo “AdmEmpresas” (grupo que engloba a todos los responsables
de las distintas empresas.^

NOTA:En un segundo documento se especificará que

campos debe rellenar a la hora de crear cuentas en el
dominio. Por ejemplo, scripts de inicio a ejecutar, carpeta
“Home Folder”, etc.

• En base al “número de empleados” creará las cuentas de la empresa;

“NombreEmpresa001” , “NombreEmpresa002”, “NombreEmpresa003”, …
(la suma de todos incluyendo la cuenta “NombreEmpresa000” debe ser el
número de empleados). Los datos de cada usuario los podrá introducir
posteriormente el “Responsable de la empresa”. Los incluirá a todos en el
grupo del dominio “GNombreEmpresa” (Por defecto a todos los usuarios los
incluye en los grupos “usuarios del dominio” y “usuarios”).

• Creará una carpeta en el servidor de ficheros correspondiente a datos de la

empresa. Por ejemplo, tomará el nombre “Carpeta_ NombreEmpresa” y
pondrá permisos de acceso con control total únicamente al usuario
NombreEmpresa000 y con permisos de lectura al grupo GNombreEmpresa.
El servidor donde se guarda estas carpetas debe de poder ser
parametrizable por el administrador del sistema.

• Número de máquinas virtuales. Este dato se utilizará en la interfaz en el

portal del “Responsable de la empresa” para limitar las máquinas virtuales
que puede asignar a los usuarios. Lo ideal es que todos los datos
necesarios (número de máquinas virtuales, número de empleados,…) los
almacene en ciertos campos del LDAP (por ejemplo, pertenecientes al
grupo GNombreEmpresa).

• Debe incluirse por defecto en grupos LDAP predefinidos por el

administrador del sistema. Esto grupos a los que se incorporan por
defecto deben de poder ser modificables por el administrador del Sistema.
En el apartado “Responsable de la empresa” se detalla la utilidad de estos
grupos. A modo de resumen, especifican qué tipo de máquinas virtuales
están disponibles a los usuarios.

• Interfaz para gestión de peticiones. Debe existir una interfaz donde se

muestren las peticiones realizadas por los “Responsables de las distintas
empresas” y sobre dicho interfaz poder responder. La respuesta se le
mostrará al responsable de la empresa que realizó la petición. Si este tipo
de flujo supone demasiada complejidad de código en el Portal, se podría

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 5 de 10

 optar por utilizar el sistema de mensajería como herramienta de apoyo,
utilizando la dirección de correo que los usuarios tengan configuradas en el
LDAP.

Responsable de la empresa
Cuando una empresa se da de alta en el Vivero, se le suministra una cuenta y una
contraseña predefinida (que debe cambiar en el primer inicio de sesión) para acceder al
Portal. Es la cuenta con el role “Responsable de la empresa”. Junto al nombre de la
cuenta de usuario con el role “Responsable de la empresa”, se le proporciona un
pequeño informe que describe cómo trabajar en el Portal y se le indica el número
máximo de usuarios (se le indica el nombre de cuenta de los mismos y la clave temporal
a modificar en el primer inicio) y PCs virtuales que puede tener para acceder al entorno
virtualizado.

Cuando toda cuenta se crea en el LDAP, debe estar configurada para que cambie su
contraseña en su primer inicio en el Portal (esta configuración se realiza en el LDAP). El
Portal debe de ser capaz de detectar esta situación y mostrarle una ventana con tres
campos:
• Campo1: Contraseña actual (que debe ser cambiada)

• Campo2: Nueva contraseña

• Campo3: Nueva contraseña

NOTA: Una vez aceptada la ventana por parte del usuario,

el Portal debe comprobar que los datos introducidos en los
campos “Campo2” y “Campo3” son iguales y en tal caso
actualizar los datos en el LDAP. En el caso que el cambio
no hay producido correctamente, se le debe mostrar
nuevamente la ventana con los tres campos para que
vuelta a introducir los datos. Esta comprobación del
estado de la cuenta (necesidad de cambio de la
contraseña o cuenta deshabilitada) se debe realizar para
todos los usuarios que se validan en el Portal.

A continuación se detallan las acciones que debe realizar el “Responsable de la

empresa”:

• Una vez el “Responsable de la empresa” se ha validado en el portal, debe

tener acceso a 2 links:

– Gestión datos de usuario. En formato HTML, el contenido debe ser

algo parecido al siguiente:

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 6 de 10

 El responsable de la empresa podrá incorporar y modificar los datos de los
distintos empleados de la empresa. No podrá modificar el nombre de cuenta
del usuario (EmpresaXXX) y el número de usuarios. Si necesita más
usuarios, deberá realizar una petición al Responsable Gestión Vivero.

Al acceder el responsable a la interfaz, se deben cargar los datos de los

distintos usuarios desde el LDAP. Debe crear una línea por cada usuario
que pertenezca al grupo “GNombreEmpresa” y por cada usuario debe
recuperar los datos almacenados en el LDAP.

Si quiere modificar los datos de un usuario, debe habilitar una pestaña y

modificar los datos del usuario. Al salvar los datos sólo se salvarán aquellos
usuarios con la pestaña de modificación habilitada.

NOTA:En el momento que se habilite para modificar la fila

correspondiente a un usuario, ya no podrá ser
deshabilitada. También se podría definir que si vuelve a no
habilitar la fila, se carguen nuevamente los datos previos
a la modificación.

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 7 de 10

 • Gestión PCs Disponibles: En formato HTML, el contenido debe ser algo
parecido al siguiente:

El responsable de la empresa podrá modificar el tipo PCs virtuales asociados a

cada uno de los usuarios de la empresa.

En el ejemplo que aparece en la imagen, “PC_Tipo1”, “PC_Tipo2” y

“PC_Tipo3” son tres tipos de PCs virtuales que están disponibles en la
plataforma VDI. Se corresponden con tres grupos en el dominio LDAP. Por
ejemplo, podrán tomar los nombres; G_PC_Tipo1, G_PC_Tipo2 y G_PC_Tipo3.
Al seleccionar el “Responsable de la empresa” que el usuario Empresa003
pueda iniciar un PC tipo “PC_Tipo2, al salvar los datos el código del portal debe
incluir al usuario “Empresa003” en el grupo “G_PC_Tipo2”.

Si el “Responsable de la Empresa” quiere modificar los PCs virtuales a un

usuario, debe habilitar una pestaña y modificar si un PC está o no disponible
para un usuario. A la hora de salvar los cambios, se salvarán los cambios de
los usuarios con la pestaña de modificación habilitada. El salvado de datos
indica que se modifican los grupos a los que pertenece el usuario. En el
ejemplo de la siguiente figura, al usuario “Empresa002” pasaría de pertenecer
de G_PC_Tipo1, G_PC_Tipo2 y G_PC_Tipo3 a pertenecer sólo a G_PC_Tipo1,
y G_PC_Tipo3. El usuario “Empresa003” pasaría de pertenecer a G_PC_Tipo2
a pertenecer a los grupos G_PC_Tipo2 y G_PC_Tipo3.

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 8 de 10

 El número de cruces seleccionadas no puede ser mayor que el número de PCs
virtuales disponibles para la empresa (campo Nº Máximo de PCs virtuales). Si
necesita más PCs, deberá realizar una petición al Responsable Gestión Vivero.

Los tipos de PCs disponibles (columnas) y la asociación con los grupos del
dominio LDAP deben de poder ser parametrizadas por el Administrador del
Sistema. Esto permitirá al administrador ir añadiendo PCs tipo a lo largo del
tiempo.

También debe existir un Link donde el Administrador del Sistema puede detallar
la funcionalidad soportada por cada una de la plantillas tipo de Pcs. Por
ejemplo, indicar que el tipo “PC_Tipo1” es un pc con; Microsoft XP
SP2+Microsoft Office+Adobe Acrobat Reader,… Esto permitirá al responsable
de la empresa identificar cuáles son sus necesidades. Por ejemplo, identificar
que PC_Tipo es un equipo LINUX y qué aplicativos hay instalados.

Desarrollo a acometer en cada una de las fases

A continuación se listas las características que deberían estar disponibles en la fase 1
(necesaria para la certificación). El resto se realizaría en una segunda fase.

• El “Responsable Gestión Vivero” debe de poder dar de altas empresas en el

portal.

• En el alta de la empresa se creará un grupo en el dominio con el nombre

“GNombreEmpresa” (máximo 14 caracteres permitidos en el LDAP). El
código debe verificar previamente que no existe dicho grupo.

• Creará un usuario con nombre de cuenta “NombreEmpresa000” (es el

“Responsable de la empresa”) con los datos específicos que el Responsable
Gestión Vivero ha introducido. Lo incluirá en el grupo “GNombreEmpresa” y
en el grupo “AdmEmpresas” (grupo que engloba a todos los responsables
de las distintas empresas).

• En base al campo “número de empleados” creará las cuentas de la

empresa; “NombreEmpresa001” , “NombreEmpresa002”,
“NombreEmpresa003”, … (la suma de todos incluyendo la cuenta
“NombreEmpresa000” debe ser el número de empleados). Los incluirá a
todos en el grupo del dominio “GNombreEmpresa” (Por defecto a todos los
usuarios los incluye en los grupos “usuarios del dominio” y “usuarios”).

• Debe incluirse por defecto en grupos LDAP predefinidos por el

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 9 de 10

 administrador del sistema. Estos grupos a los que se incorporan por defecto
deben poder ser modificables por el administrador del Sistema. Estos
grupos especifican qué tipo de máquinas virtuales están disponibles a los
usuarios.

INTEGRACIÓN PORTAL-LDAP-ENTORNO VDI Página 10 de 10