Seguir

Protección de carpetas en un File Server

SealPath File Server ofrece la posibilidad de ejecutarse como un residente en un servidor de ficheros y proteger de forma continua documentos en carpetas compartidas. Esto permite que los usuarios que acceden a carpetas compartidas “protegidas” de un servidor de ficheros, puedan proteger automáticamente los documentos con sólo guardarlos en las mismas.

Guía de instalación

SealPath File Server puede descargarse de:

http://protection.sealpath.com/downloads/fileserver/sealpathfileserversetup.exe

Una vez descargado, solicitará permisos para instalarse:

spfs1.png

 

Después de aceptar los términos y condiciones del servicio, se instalará el software de SealPath. El software chequea pre-requisitos de instalación como disponer del framework .Net 4.5 instalado. Si el usuario no tiene estos componentes instalados, los instalará automáticamente.

spfs2.png

 

Se solicita un usuario con el que se ejecutará el servicio.  El usuario es necesario para que el servicio funcione correctamente ya que la aplicación necesita tener un contexto de usuario. No intente ejecutar el servicio con Servicio local o de red. Este usuario debe ser un usuario administrador local de la máquina.

spfs3.png

Este servicio estará continuamente ejecutándose. Es necesario instalar SealPath File Server en un servidor que se ejecute 24x7, ya que se estará continuamente monitorizando lo que los usuarios dejan en carpetas compartidas para proteger la información. En caso de que se utilicen arrays de discos no ligados directamente a un servidor de ficheros, será necesario instalar SealPath File Server en un servidor que se esté ejecutándose 24x7 y proteger desde ahí las carpetas correspondientes.

spfs4.png

spfs5.png

Una vez finalizado el proceso de instalación puede ejecutar la interface desde el menú Inicio, Todos programas, SealPath File Server, SealPath File Server Desktop. La sesión de Windows debe iniciarse con el mismo usuario con el que corre el servicio de FileServer. Introduce las credenciales, email y password, de un administrador del Servicio de SealPath (por ejemplo, el que se utiliza para acceder al Panel de Control Web o un administrador delegado que se haya creado desde la consola).

Recordamos los requisitos de usuarios para poner en marcha SealPath FileServer:

  • El servicio de FileServer debe correr con un usuario que sea administrador local de la máquina.
  • La sesión de Windows en la que se va a ejecutar la consola de FileServer, FileServer Desktop, debe iniciarse con el mismo usuario con el que está corriendo el servicio.
  • El usuario SealPath que se valida en FileServer Desktop debe ser un administrador de la organización en SealPath. Este usuario tiene que estar registrado también como usuario protector de la organización.

 

En caso de que el servicio no pueda instalarse o arrancar automáticamente el programa se desinstalará. Se mostrará el siguiente aviso.

spfs6.png

 

Las posibles causas de este error de instalación son:

  • Credenciales de usuario incorrectas de la cuenta con la que se ejecuta el servicio.
  • Usuario sin suficientes permisos. Además de ser administrador el usuario no debe estar en la directiva de seguridad local “Denegar el inicio de sesión como servicio”. El instalador da a este usuario el permiso de “Logon As a Service”, pero no sería efectivo si la directiva de seguridad anterior estuviera definida para este usuario.

spfs7.png

 

La manera de proseguir en caso de error de instalación será  volver a intentar instalar y asegurarse de que las credenciales de usuario son correctas antes de continuar, que el usuario que está realizando la instalación es administrador local y que la cuenta con la que se ejecuta el servicio no pertenece a la directiva de seguridad local “Denegar el inicio de sesión como servicio”.

 

Guía de uso

El funcionamiento general de SealPath File Server es similar al funcionamiento de SealPath Desktop. Esta sección se centra en explicar las funcionalidades añadidas que posee SealPath File Server. Por tal razón únicamente se aborda el manejo de las carpetas y de algunos archivos de configuración que es donde se encuentran las funcionalidades que se incorporan.

Creación de carpetas

Para crear una carpeta protegida sólo se tiene que pulsar sobre el menú carpetas que se muestra en la pantalla principal. Después pulsar en la parte inferior derecha de la ventana en el botón .

spfs8.png

 

Los datos que se pueden configurar de la nueva regla de protección de carpetas son los siguientes:

  • Activar: Checkbox que indica si la regla de protección se activa o no.
  • Nombre: Nombre identificativo para la regla de protección de carpetas dentro del listado.
  • Carpeta: Deberás seleccionar la ruta de la carpeta que deseas proteger.
    • Recursiva: Indica si quieres proteger carpetas internas de forma recursiva.
  • Protección: Asigna una de las protecciones configuradas a la carpeta.
  • Excepciones: Permite indicar qué extensiones no deben ser protegidas con esta regla de protección.

 

spfs9.png

 

La nueva regla de protección de carpetas creada aparecerá ahora en el listado de reglas de protección de carpetas. Sobre esta lista podremos, editar, eliminar o añadir nuevas reglas.

spfs10.png

 

Los documentos de la carpeta protegida serán automáticamente protegidos con sólo guardarse en la misma.

spfs11.png

En las operaciones de protección automática de documentos dentro de la carpeta es posible que se produzcan eventos o alertas y te avise de ellos en SealPath Desktop. Se puede ver un ejemplo en la siguiente figura.

spfs12.png

Pinchando en el hipervínculo “Show” lleva al usuario al listado de eventos donde es posible ver la causa de la alerta y tomar acciones. Una alerta de protección puede ser porque hay documentos ya protegidos con una política sobre la que el usuario no tienes control total para re protegerlos con la nueva regla.

spfs13.png

 Una vez revisadas las alertas, no se avisa de que hay alertas pendientes hasta que aparezcan nuevas alertas.

Principales alertas

Las principales alertas que puede presentar SealPath File Server son:

  • El documento está protegido. No se permite cambiar la protección.
  • Error al proteger el documento. El documento puede estar bloqueado por otra aplicación, o el usuario actual no tiene acceso autorizado.
  • La carpeta no existe o es inaccesible.
  • Error al proteger el fichero. Fallo en la descarga desde Sharepoint.
  • Error al proteger el fichero. Fallo en la subida a Sharepoint.

Protección de carpetas - Edición de carpetas

SealPath File Server permite editar todos los campos que se establecen al momento de crear las carpetas protegidas. 

SealPath File Server permite editar la protección que se ha asignado a la carpeta. Cuando hay un cambio de protección en una carpeta se vuelen a proteger (con la nueva protección) todos los documentos que contiene la carpeta y sus sub-carpetas (en caso de ser recursiva). SealPath FileServer también permite re-proteger documentos que han sido copiados (o movidos) y que están protegidos con una política diferente a la de la carpeta. Esto se permite únicamente cuando la carpeta haya tenido asignada anteriormente la política con la que está protegido el documento.

Cualquier cambio que se produzca en una carpeta provoca que se revisen todos los documentos que contiene la carpeta y sub carpetas (en caso de ser recursiva) para verificar que los documentos están protegidos de acuerdo a las indicaciones de la carpeta.

Pongamos por ejemplo que una carpeta pasa de estar inactiva a activa. Cuando se produce ese cambio es necesario revisar los documentos de la carpeta puesto que puede contener algún documento nuevo que se introdujera mientras estuvo inactiva la carpeta y sea necesario que se proteja. Lo mismo puede suceder cuando una carpeta pasa de ser no recursiva a recursiva.

Eliminación de carpetas

SealPath File Server y SealPath Desktop permiten eliminar carpetas. Basta con seleccionar la carpeta que se desea eliminar en la pestaña de carpetas y hacer clic en el botón de eliminar.  SealPath File Server incluye la opción de desproteger los documentos al momento de eliminar la carpeta.  Para desproteger los documentos es necesario marcar la casilla de desproteger documentos en la ventana de confirmación de la eliminación de la carpeta.  Se puede ver un ejemplo en la siguiente figura.

spfs14.png

Creación de reglas debajo de otras reglas

Supongamos que se aplicó una regla recursiva a una carpeta. Los ficheros en esa carpeta y todas las subcarpetas debajo de ella se protegieron con la política asociada a esa carpeta.

Se desea ahora que una de las subcarpetas tenga una protección automática diferente a la que se estableció en la carpeta padre.  Como SealPath FileServer no reprotege por defecto ficheros que encuentre con una protección diferente a la definida en la regla (para evitar que cualquiera pueda proteger libremente moviendo de una carpeta a otra los ficheros protegidos), si se define una política diferente en esta nueva regla, los ficheros no van a ser reprotegidos, van a seguir con la protección de la regla padre.

Para permitir cambios de protecciones dentro de una regla, se estableció una excepción al comportamiento que se ha descrito en el párrafo anterior. Cada regla guarda un histórico de las 5 últimas políticas de protección definidas en la regla. Si el sistema detecta que el fichero está protegido con una política presente en el histórico de políticas definidas en la regla, el fichero es reprotegido a la política actual asociada a la regla. De esta forma, cuando el administrador cambia la política de una regla, el sistema detecta que los ficheros en la carpeta protegida tienen la política anteriormente aplicada y reprotege de forma automática los ficheros con la nueva política.

Siguiendo esta lógica, cuando se crea una regla en una subcarpeta debajo de una carpeta que tiene asociada otra regla, se debe definir primero como política de protección la misma política que tiene la carpeta padre. Una vez aceptada esta configuración, se modifica la regla para asociarle la política que realmente se quiere aplicar. El sistema detecta que los ficheros están protegidos con una política que ya estuvo asociada a la regla (el histórico tendrá un único elemento, la primera política, que coincide con la de la regla padre) y reprotege automáticamente todos los ficheros debajo de esta subcarpeta con la nueva política. Por tanto, el establecimiento de la política de la regla de la carpeta superior sirve para meterla en el histórico de políticas y permite así la reprotección.

Manejo reglas vía PowerShell Rule Manager

Es una herramienta que permite gestionar las reglas de protección de carpetas a través de comandos PowerShell.

Las funciones de estos comandos PowerShell permiten realizar lo siguiente:

  • Creación de reglas nuevas.
  • Activación-desactivación de reglas.
  • Eliminación de reglas.
  • Copia de las reglas de protección.
  • Exportar reglas a un fichero Xml.
  • Importar las reglas de protección desde un fichero Xml.
  • Copias de seguridad de las reglas y restauración desde la copia de seguridad.

En el documento “SealPath PowerShell Rule Manager - Guía de uso” se encuentra una descripción más detallada de la instalación y funcionalidades de PowerShell Rule Manager.

Exportación automática de reglas

Cada vez que se añade o se actualiza una regla, la lista de reglas en el FileServer es exportada a un fichero. El fichero se encuentra en el directorio de la herramienta “Powershell Rule Manager”, “%ProgramFiles%\SealPath Technologies\SealPath File Server\Tools\RulesManagerPowerShell”. El nombre del fichero en el que se exportan las reglas es “RulesFoldersExportAuto.xml”.

Este fichero se genera como copia de seguridad automática de las reglas de protección automática. Las reglas se guardan de forma local en el fichero “…rules.data” en el perfil local del usuario con el que corre el servicio de SealPath FileServer, en “%localappdata%\sealpath”. Si por cualquier razón este fichero se borrara o se dañara, el administrador puede recuperar las reglas definidas mediante la importación de este fichero.

Esta importación se realiza con la herramienta “Powershell Rule Manager”. El comando “Set-ImportRules” importa las reglas presentes en este fichero de copia de seguridad. La ruta por defecto que coge este comando es “%ProgramFiles%\SealPath Technologies\SealPath File Server\Tools\RulesManagerPowerShell”. Busca los ficheros con nombre “RulesFolderExportAuto.xml” o “RulesFoldersConfigExport.xml” en este directorio. El parámetro “-pathFile” permite establecer una ruta diferente de esta ruta por defecto. Si no encuentra ningún fichero con alguno de esos dos nombres en el directorio indicado (o en el directorio por defecto si este parámetro no se utiliza), devuelve un error indicando que no se ha encontrado el fichero de reglas a importar.

Carpetas de Sharepoint

SealPath File Server permite crear carpetas protegidas dentro de carpetas y librerías de Sharepoint  (2010, 2013, 2016 y Office 365). En el proceso de creación de la carpeta la única diferencia con una carpeta local es que se debe introducir la url de la carpeta de Sharepoint a mano.  La funcionalidad es la misma que se ofrece para las carpetas locales. Cuando se copia un documento dentro de la carpeta protegida que apunta a una carpeta de Sharepoint este se protege automáticamente.  A continuación, se muestra una figura que ilustra la creación de carpetas protegidas que apuntan a Sharepoint.

spfs16.png

Carpetas de Alfresco CMIS

Para poder agregar una regla con Alfresco CMIS es necesario introducir la dirección SMB del directorio que se quiere compartir en la pantalla de creación de reglas. Si esta dirección se encuentra dentro del root especificado en la configuración CMIS, se tratará como tal.

A tener en cuenta que el usuario con el que se inicia el servicio de SealPath tiene que tener privilegios en el SMB/CIFS de Alfresco

spfs17.png

 Archivos de configuración

SealPath File Server tiene un conjunto de ficheros de configuración que permiten ajustar su funcionamiento interno. Estos archivos de configuración permiten ajustar parámetros relacionados con la concurrencia, manejo de memoria, conexiones con Sharepoint, administración de las caché, administración de los logs entre otros.  Esta sección se centra únicamente en los parámetros de configuración relacionados con SealPath File Server.

AppSettings.config

En este archivo de configuración se establecen diferentes parámetros que determinan el funcionamiento correcto y óptimo de SealPath File Server. Los parámetros se establecen utilizando las etiquetas <add> que tienen dos atributos: uno representa una clave (key) y otro representa el valor (value). A continuación, se muestra un ejemplo de esta etiqueta.

<add key="CheckRuleDirectoriesDelay" value="120"/>

 Los parámetros de este fichero de configuración los podemos clasificar en 4 categorías: manejo  de  caché, manejo de directorios, protección de ficheros y manejo de reglas.

Manejo de reglas

  • RuleLogSize: Tamaño máximo de elementos que puede contener el log de una regla.

<add key="RuleLogSize" value="250"/>

 

  • RuleLogTime: Tiempo (en días) máximo que puede permanecer un log en una regla.

<add key="RuleLogTime" value="15"/>

 

  • UpdateRuleViewDelay: Tiempo (en segundos) de actualización de la interfaz gráfica. Mientras más grande sea este valor más lenta será la actualización de los resultados de las protecciones. En cambio si el valor es muy pequeño podría cargar el procesador con actualizaciones innecesarias. Se recomienda que el valor se encuentre entre los 5 y 10 segundos.

<add key="UpdateRuleViewDelay" value="5"/>

Manejo  de  caché

  • PolicyHistoricalSize: Cantidad de elementos que pueden permanecer en el histórico de políticas de una regla. Mientras mayor sea este valor mayor cantidad de elementos tendremos en el histórico de las políticas para cada una de la reglas lo que podría tener como consecuencia que se pierda el control sobre cuáles ficheros se pueden reproteger al ser introducidos en una carpeta protegida.

<add key="PolicyHistoricalSize" value="5"/>

  • EraseOldCacheDelay: Período (en minutos) de ejecución del bucle de eliminación de elementos de la caché. La caché se elimina periódicamente, pero únicamente se elimina la caché que deja de ser útil (aquella que ya no referencia a ningún archivo o directorio). Mientras mayor sea este valor habrá mayores posibilidades de que se esté subutilizando la memoria, en cambio si el valor es muy pequeño se podría cargar el procesador tareas innecesarias.

<add key="EraseOldCacheDelay" value="1440"/>

Manejo de directorios

  • CheckRuleDirExistenceDelay: Periodo (en segundos) para la verificación de la existencia de los directorios de las reglas. En caso de que el directorio no exista al momento de hacer la verificación se presentará en la interfaz de usuario un mensaje de error indicando que el directorio es inalcanzable.

<add key="CheckRuleDirExistenceDelay" value="60"/>

  • CheckDirRetryDelay: Cada vez que se modifica el contenido de un directorio o subdirectorio (en caso de carpetas recursivas) que está siendo monitorizado por una regla éste es incluido en una lista de directorios que van a ser verificados periódicamente durante un tiempo determinado. Este parámetro indica el periodo (en minutos) para la inclusión de las rutas de verificación periódica en la lista de directorios a escanear.

<add key="CheckDirRetryDelay" value="1"/>

  • MaxTimeRetryDir: Tiempo (en minutos) máximo que puede permanecer un directorio en la lista de verificación periódica.

<add key="MaxTimeRetryDir" value="60"/>

  • CheckRuleDirectoriesDelay: Periodo (en minutos) de verificación de los directorios de todas las reglas.

<add key="CheckRuleDirectoriesDelay" value="120"/>

  • MaxScanningDirTasks: Cantidad máxima de tareas que escanean directorios. Indica cuantos directorios se pueden escanear en paralelo como máximo. Es recomendable que este valor sea menor que la cantidad de núcleos del servidor. A mayor valor más rápido podrían escanearse los directorios pero también incrementaría la utilización del procesador. Para ajustar este parámetro debe tenerse en cuenta el parámetro de MaxProtectingTasks.

<add key="MaxProtectingTasks" value="2"/>

  • MaxPendingDirToScan: Cantidad máxima de directorios pendientes de escanear. A mayor cantidad de directorios pendientes a escanear mayor será la utilización de la memoria.

<add key="MaxPendingDirToScan" value="1000"/>

  • SharepointCheckDelay: Periodo (en segundos) de verificación de las reglas con directorios de Sharepoint. Determina la periodicidad de las consultas a Sharepoint.

<add key="SharepointCheckDelay" value="60"/>

Protección de ficheros

  • MaxProtectingTasks: Cantidad máxima de tareas protectoras de ficheros. Es recomendable que este valor sea menor que la cantidad de núcleos del servidor. A mayor valor más rápido podrían protegerse los ficheros en cola, pero también incrementaría la utilización del procesador. Para ajustar este parámetro debe tenerse en cuenta el parámetro de MaxScanningDirTasks.

<add key="MaxProtectingTasks" value="2"/>

  • MaxPendingFileToProtect: Cantidad máxima de documentos pendientes de proteger. A mayor cantidad de ficheros pendientes a escanear mayor será la utilización de la memoria.

<add key="MaxPendingFileToProtect" value="100000"/>

 

Ajustes especiales del fichero AppSettings.config

Existen tres situaciones especiales en las cuales se deben cambiar los parámetros por defecto del fichero de configuración AppSettings.Config

  • Se elimina la caché de ficheros y las carpetas asociadas a las reglas de protección contienen más de 15.000 ficheros.
  • Se va a hacer una copia de más de 15.000 ficheros en una carpeta asociada a una regla de protección.
  • Se agrega regla de protección y se le asocia una carpeta que tiene más de 15000 ficheros dentro de ella.

En caso de que ocurra una de las situaciones antes mencionadas se deben modificar los siguiente parámetros de configuración.

<add key="MaxPendingFileToProtect" value="200000"/>

<add key="UpdateRuleViewDelay" value="30"/>

<add key="CheckDirRetryDelay" value="120"/>

<add key="MaxTimeRetryDir" value="360"/>

<add key="MaxPendingDirToScan" value="20000"/>

<add key="CheckRuleDirectoriesDelay" value="10080"/>

Cuando la cantidad de documentos pendientes de revisar/proteger llegue a cero se deberán cambiar los parámetros a su valor original.

SharepointSites.config

En este archivo se configuran las conexiones a los servidores de SharePoint. Es posible agregar la cantidad de

servidores Sharepoint que se necesiten. La configuración de cada servidor Sharepoint se agrega utilizando una etiqueta Site como la que se muestra a continuación:

<Site url="site" domain="domain" username="user" password="pass" online="false" deleteVersionHistory="false" deleteVersionHistory="false"  relyingParty=""

isAdfs="false" adfUrl=""/>

Sharepoint configuration file example:

<?xml version="1.0" encoding="utf-8" ?>

<sharepoint>

  <sites>

    <Site url="http://sharepoint.myCompany.com"

   domain="myDomain"

   username="myUser"

   password="myPassword”

   online="false"

   deleteVersionHistory="false"

   relayingParty=""

   isAdfs="false"

   adfUrl=""/>

    <Site url="https://mySharepoint.sharepoint.com"

   domain=""

   username="[email protected]"

   password="myPassword"

   online="true"

   deleteVersionHistory="false"

   relyingParty=""

   isAdfs="false"

   adfsUrl=""/>

<Site url="https://sharepoint.myCompany.com "

   domain=""

   username="[email protected]"

   password="myPassword"

   online="false"

   deleteVersionHistory="false"

   relyingParty="urn:sharepoint:myCompany"

   isAdfs="true"

   adfsUrl="myAdfs.myCompany.com"/>

 

 />

  </sites>

</sharepoint>

 El primer Site es un ejemplo de configuración para Sharepoint 2010, 2013 y 2016. El segundo Site es una configuración para Sharepoint Office365. El tercer Site es una configuración con autenticación de ADFS.

El significado de los parámetros de cada uno de los “sites” es el siguiente:

  • url: dirección base de la biblioteca de SharePoint
  • domain: nombre del dominio (si tiene) el usuario
  • username: usuario con el que se va a conectar (debe tener FULL CONTROL en las carpetas que se quieren proteger)
  • password: contraseña del usuario.
  • online: true si es Sharepoint online (Office365) o false si es un Sharepoint onPremise
  • deleteVersions: true si se van a borrar las versiones previas del fichero protegido en el momento de subir el fichero protegido por FileServer (valor recomendado False).
  • relayingParty: En caso de que sea necesario una configuración ADFS.
  • isAdfs: si es un sistio con ADFS o no.
  • adfurl: la url de adfs si es que la tiene.

NOTA: La contraseña de usuario se cifra a través de la herramienta de SealPath SharePointConfigurationTool.

 

Metadatos SharePoint

Opcionalmente, podría haber sitios que no quieran proteger los ficheros automáticamente sino, en base a ciertos parámetros y acciones definidas por el usuario. Para ello se utilizan cuatro nuevos parámetros quedando una configuración como la que se muestra a continuación.

spfs18.png

Las nuevas columnas y sus respectivos significados son:

  • columnStatus: Indica el nombre interno de la columna “status” en SharePoint, es decir, el valor de “COLUMN_STATUS_INTERNAL_NAME” debe ser igual al nombre interno configurado en el sitio de SharePoint para la columna Status.
  • unprotected: Indica el nombre interno del estado de “no protegido” y que no se puede proteger aún. Es decir, el valor del parámetro “UNPROTECTED_COLUMN_INTERNAL_NAME” debe ser el nombre interno definido en SharePoint para el estado Unprotected.
  • pendingStatus: Indica el nombre interno del estado de “pendiente de protección” por tanto, el valor del parámetro “PENDING_COLUMN_INTERNAL_NAME” debe ser igual al nombre interno configurado en SharePoint para el estado Pending.
  • protectedStatus: Indica el nombre interno del estado de “protegido” por tanto, no pendiente de protección. Como en los casos anteriores esto hace que, el valor del parámetro “PROTECTED_COLUMN_INTERNAL_NAME” sea el mismo del nombre interno configurado en SharePoint para el estado Protected.

La siguiente imagen muestra la configuración de una columna de estado para nuestro sitio de SharePoint. Esta columna tendrá los valores asignados:

  • Unprotected
  • Pending
  • Protectedspfs19.png

Configuración de metadatos

Por tanto, los valores de los parámetros de la configuración del sitio, en lo referente a los metadatos deberían ser:

spfs20.png

 

CmissSites.config

En este archivo se configuran las conexiones a los servidores de Alfresco Cmis. Es posible agregar la cantidad de servidores Alfresco Cmis que sean necesarios. La configuración de cada servidor Alfresco Cmis se agrega utilizando una etiqueta Site como la que se muestra a continuación:

<?xml version="1.0" encoding="utf-8" ?>

<cmiss>

  <server type="alfresco">

    <site>

      <url>http://192.168.0.31:8080/alfresco</url>

      <root>\\192.168.0.31</root>

      <username>admin</username>

      <password>123456</password>

    </site>

        <site>

      <url>http://192.168.0.32:8080/alfresco</url>

      <root>\\192.168.0.32</root>

      <username>admin</username>

      <password>123456</password>

    </site>

  </server>

</cmiss>

 

El significado de los parámetros del site es el siguiente:

  • URL: dirección por la cual se accede al Alfresco via web (URL + puerto). También es necesario especificar la ruta del Alfresco.
  • ROOT: la obtención de los archivos se realiza por CMIS pero la protección por SMB. Por lo tanto, es necesario la dirección del Alfresco por SMB.
  • USERNAME: el nombre de usuario con privilegios mínimos de lectura en Alfreco.
  • PASSWORD: contraseña del usuario de Alfresco.

NOTA: La contraseña de usuario se cifra a través de la herramienta de SealPath SharePointConfigurationTool.

Configuración ADFS

Los atributos relyingParty, isAdfs y adfsUrl de la etiqueta Site del archivo de configuración SharepointSites.config son específicos para la configuración de SealPath File Server para ser utilizado con autenticación de Sharepoint con ADFS. El atributo relyingParty debe contener el identificador que se le ha asignado al servidor de Sharepoint en la configuración del servidor ADFS.  El atributo adfsUrl indica la dirección del servidor ADFS.

El servidor ADFS debe tener activado el endpoint “/adfs/services/trust/13/usernamemixed” para que SealPath File Server se pueda autenticar correctamente (para más información ver https://technet.microsoft.com/es-es/library/adfs2-help-endpoints(v=ws.10).aspx).

Buenas prácticas para servicios de almacenamiento en la nube

SealPath File Server puede ser utilizado para proteger cualquier carpeta, incluso una carpeta que esté siendo compartida utilizando un servicio de almacenamiento en la nube. La mayoría de los servicios de almacenamiento en la nube tienen un funcionamiento muy similar. Se establece una carpeta en local que quiere ser compartida y todo lo que se introduzca en esa carpeta se almacena automáticamente en la nube y se sincroniza en los ordenadores que estén conectados a la misma cuenta.

OneDrive, Box, Google Drive, Dropbox, etc.

Para utilizar SealPath File Server en conjunto con uno de estos servicios es recomendable instalar el software del servicio deseado en el servidor de ficheros donde está instalado SealPath File Server. Una vez elegida la carpeta que se desea sincronizar con el servicio de almacenamiento se puede crear una carpeta protegida (en SealPath) que apunte a la carpeta compartida (con el servicio de almacenamiento) o a cualquiera de sus subdirectorios.  De esta manera todo lo que se introduzca en la capeta protegida en cualquiera de los ordenadores que estén conectados a la misma cuenta del servicio de almacenamiento se protegerá inmediatamente se sincronice con el servidor de ficheros.

OneDrive para empresa

El servicio de OneDrive para la empresa tiene la particularidad de que es necesario sincronizarlo con una biblioteca de Sharepoint para poder utilizarlo. El funcionamiento básico es el mismo que el OneDrive tradicional y su utilización junto con SealPath File Server se puede hacer como se indicó en la sección anterior. En este escenario se deben copiar los ficheros que deseen protegerse en la carpeta de OneDrive de cada usuario y en ningún caso se deben copiar los ficheros a la carpeta de Sharepoint. Copiar los ficheros a la carpeta de Sharepoint podría causar una duplicidad de ficheros, se almacenarían ficheros protegidos y su correspondiente versión no protegida de forma simultanea lo que podría desembocar en un bucle infinito de protección del mismo fichero.

Otra posibilidad, igualmente valida, es proteger la biblioteca (o alguno de sus subdirectorios) de Sharepoint que está conectada al OneDrive. Este enfoque tiene la ventaja de que no sería necesario instalar el OneDrive en el mismo ordenador donde se encuentra el instalado SealPath File Server.

Configuración de proxy

Si la conexión a Internet se realiza a través de un proxy, puede configurarse en SealPath File Server a través de Opciones/Proxy.

 proxy.png

La comunicación puede realizarse a través del proxy definido en la máquina en Internet Explorer o a través de un proxy específico que se define aquí mediante URL y puerto (separados por “:”).

Para cualquiera de estas dos opciones, se pueden configurar los siguientes casos:

  • Sin autenticación de usuario: No se requiere ninguna validación de credenciales en esta comunicación con el proxy.
  • Con autenticación integrada de Windows: El proxy autentica a los usuarios a través de Directorio Activo. Las credenciales que SealPath File Server da al proxy son las credenciales de la cuenta con la que está corriendo el servicio.
  • Credenciales introducidas explícitamente: El proxy autentica a los usuarios a través de Directorio Activo o a través de listas de usuarios. Las credenciales que SealPath File Server da al proxy son las credenciales introducidas en esta configuración.

 Sealpath FileServer puede detectar la configuración automática del proxy. La opción ‘Automatically detect settings’ encuentra a través de la definición en el DNS un fichero ‘wpad.dat’ con la configuración automática del proxy. La opción ‘Use automatic configuration script’ encuentra en la URL indicada el fichero ‘proxy.pac’ con la configuración automática del proxy.

 proxy2.png

En caso de que un fallo de comunicación sea producido por una configuración de proxy incorrecta, se puede ver en el log del servicio la siguiente entrada: “System.ServiceModel.EndpointNotFoundException: There was no endpoint listening at … System.Net.WebException: The remote server returned an error: (407) Proxy Authentication Required”.

Aspectos del funcionamiento

Para poder configurar y utilizar este producto de forma eficiente es necesario conocer algunos aspectos relevantes de su funcionamiento.

Detección de ficheros copiados

Para detectar los ficheros que se copian a una carpeta protegida se utilizan los mecanismos que implementa Windows de forma estándar. Cada vez que se copia, crea o modifica un fichero o directorio se genera un evento indicando la acción que se ha realizado y el fichero en cuestión, SealPath File Server reacciona a esos eventos verificando los ficheros (para determinar si se deben proteger) e incluyéndolos en una lista de ficheros a proteger en caso de ser necesario.

Verificación de carpetas

Existen cinco supuestos en los que se verifica una carpeta. La verificación de una carpeta consiste en recorrer todo su contenido para determinar si debe ser protegido.

Arranque de SealPath File Server

El momento de arranque se verifican todas las carpetas protegidas y sus subdirectorios (en caso de ser recursiva) con el objetivo de proteger todos los archivos que se hubiesen agregado mientras no estuvo funcionando.

Nueva carpeta protegida

Cuando se protege una carpeta se analiza su contenido con la intención de proteger todo el contenido que tuviera originalmente.

Modificación de los parámetros de una regla

Cuando se modifica alguno de los parámetros de una carpeta protegida (o regla) se verifican todos los documentos con el objetivo de determinar si debe proteger algún fichero nuevo (en caso de que pase de ser no recursiva a recursiva la carpeta, por ejemplo) o si se deben re-proteger los ficheros que contiene (en caso de cambio de política de protección)

Verificación periódica de carpetas

Los mecanismos que implementa Windows y que utiliza SealPath File Server para detectar los ficheros copiados, modificados o recién creados tienen limitaciones relacionadas con la cantidad de eventos que pueden generar (están limitados por el tamaño de los buffers). Para solventar estas limitaciones se ha implementado un bucle que se encarga de verificar de forma periódica (con un periodo configurable) cualquier carpeta en la que haya sido copiado, creado o modificado un fichero durante un intervalo de tiempo determinado (también configurable). Los parámetros de configuración que se ven involucrados en esta funcionalidad son: CheckDirRetryDelay y MaxTimeRetryDir.

Pongamos por ejemplo que se copian 10000 ficheros en una carpeta protegida. Es posible que se pueda detectar la copia de 500 ficheros utilizando los mecanismos que proporciona Windows, los otros 9500 podrían quedar sin ser detectados y por lo tanto desprotegidos. En este contexto es que es útil este tipo de verificación.

Cuando el sistema detecta que se ha copiado el primer fichero agrega el directorio donde ha sido copiado a una lista de directorios que deben ser verificados periódicamente y hace la primera verificación inmediatamente se introduce el directorio en la lista. De esta manera los 9500 ficheros que no fueron detectados inicialmente pueden ser verificados y protegidos.

Verificación de todas las carpetas protegidas

Periódicamente se inicia un bucle que se encarga de verificar todas las carpetas protegidas a las que se le hubiese copiado o creado algún fichero desde la última verificación. El objetivo de esta verificación es asegurarnos que de no se quede ningún documento sin proteger en caso de que no hubiese sido detectada su creación o modificación por los mecanismos que implementa Windows. El parámetro donde puede configurarse la periodicidad de esta verificación es: CheckRuleDirectoriesDelay.

Conexión con Sharepoint

A pesar de que SealPath File Server ofrece la misma funcionalidad para carpetas en Sharepoint como para carpetas locales su manejo y verificación son completamente diferentes. La detección de los cambios en las carpetas del Sharepoint se hace únicamente mediante verificación periódica. Periódicamente (con el tiempo configurable) se le solicita al servidor de Sharepoint una lista de los documentos que han sido creados, modificados o copiados desde la última verificación. Los documentos susceptibles a ser protegidos se descargan, se protegen, se sube la versión protegida y se elimina de Sharepoint la copia anterior no protegida.

Las consultas a Sharepoint se realizan utilizando el CAML (Collaborative Application Markup Language) que es un lenguaje propietario de Sharepoint basado en XML que, entre otras cosas, se puede utilizar para realizar consultas a Sharepoint. Para modificar la periodicidad de estas consultas se debe editar el parámetro SharepointCheckDelay.

Conexión con Alfresco CMIS

Para poder identificar qué elementos se deben proteger, se hace una consulta CMIS (Content Management Interoperability Services). Dicha consulta se efectúa a través de REST cada minuto y solo devuelve aquellos ficheros que hayan tenido cambios o hayan sido creados desde la anterior consulta.

 

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

Inicie sesión para dejar un comentario.
Tecnología de Zendesk