14 de noviembre de 2020

Como usar Console Connection de Oracle OCI

Muchos se preguntan como hacer para conectarse a un equipo en Oracle OCI, si perdiera conexión SSH o un scritorio remoto de Windows si el servidor tuviera algún error y no sabamos cual es. Admito decir que me ha tocado hacer restore de equipos en ese estado por desconocimiento y se que no soy el único, asi que comparto este post que es muy interesante e importante que conozco cualquier admin de Oracle OCI.

Les cuento que Oracle tiene una opción llamada Connection Console, en la cual nos permite acceder a un servidor por consola, de la misma forma que si tuvieramos un monitor conectado al equipo. Esto nos permitiria por ejemplo reiniciarlo y ver todo el proceso.

Son pasos muy sencillos que voy a pasar a contarles en este post.

TIP 1: CUANDO CREAMOS UNA VM EN OCI, HAY QUE BLANQUEAR LA CLAVE DE ROOT Y GUARDARLA, NECESITAMOS TENER UN LOGIN PARA NO DEPENDER DE LA CONEXIÓN POR KEY DEL USUARIO OPC.

Indice del Post:

1. Creación de conexión en oci.
2. Conexión a un Linux desde un Linux.
3. Conexión a un Linux x VNC
4. Conexión a Windows desde VNC

1) Creación conexión en OCI.

    a. Creamos las key necesarias.

Podemos realizarlo desde putty, como explico en un blog anterior: (link)

O desde el mismo linux podemos generarlo con los siguientes pasos:

[root@ ~]# mkdir cc_server
[root@ ~]# cd cc_server/
[root@ cc_server]# ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /root/cc_server/server_name
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/cc_server/server_name
Your public key has been saved in /root/cc_server/server_name.
The key fingerprint is:
SHA256:1fmSzd8aGM4aqfCU1lRWfsjIvVaFFWMQkf4faAGfYbw root@hostname

The key's randomart image is:
+---[RSA 2048]----+
|       .=**o|
|      o *+.o|
|     ..B==..|
|     . oE= o|
|     S = B+ |
|    o = *o+.|
| . + + =.. =|
|    = . o o.|
|      o . . |
+----[SHA256]-----+

[root@cc_server]# ls -l
total 8
-rw-------. 1 root root 1831 Nov 13 00:19 server_name
-rw-r--r--. 1 root root 401 Nov 13 00:19 server_name.pub


b. Generación Conexión en OCI.
Nos logueamos a la consola, dentro de la instancia a la cual nos queremos conectar por consola y vamos a Resources -> Console Connection.


Aquí hacemos click en “Create Console Connection

c.. Para generar la Key para la Console Connection, copiamos el texto del .pub que generamos en el paso a.

d. En la siguiente ventana pegamos el texto o subimos el archivo.


Para finalizar click en el botón abajo a la izquierda “Create Console Connection

e. Nos tiene que mostrar la creación de esta forma:


f. Como paso final, tenemos que copiar el string o línea de comando que nos genera OCI.
Una vez que vemos el estado en verde, a la derecha de todo si hacemos click en los 3 puntitos vamos a ver lo siguiente:


2. Conexión a un Linux desde un Linux.

a. Copiamos el comando que corresponda al caso

El copy queda en el porta papeles, si lo pegamos en un Notepad deberiamos ver algo como esto:

ssh -o ProxyCommand='ssh -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.sa-saopaulo-1.antxeljrefwssfdcxzasyw33utjz5lqwn2lkldnt2laswhvsi8xhasabrpoksa@instance-console.sa-saopaulo-2.oraclecloud.com' ocid1.instance.oc1.sa-saopaulo-1.asdxdljrxsqqsvycqcjsgkvn6s6i5yosyb6x3yqgvvzorrfkbasbselosmlq

b. IMPORTANTE: Editar el string para que nos podamos conectar.
Hay que pasarle la ppk que generamos al comienzo para que funcione con el parámetro -i

TIP2: AL TERMINAR ESTE COMANDO SE QUEDA ESPERANDO UN ENTER, LUEGO MUESTRA EL LOGIN.

[root@cc_server]# ls

server_name  server_name.pub

 

[root@cc_server]# ssh -i server_name -o ProxyCommand='ssh -i server_name -W %h:%p -p 443 ocid1.instanceconsoleconnection.oc1.sa-saopaulo-1.araxeldrxssssvycxzfmyw33utjz5lqen3vbnt2fglwddsi9xhryssqpyasa@instance-console.sa-saopaulo-1.oraclecloud.com' ocid1.instance.oc1.sa-saopaulo-1.antaaljrxsddssycqcjsgkvn7s6i4yxwyb6x3yddvvzorrddbuufdeljaolq

 

The authenticity of host '[instance-console.sa-saopaulo-1.oraclecloud.com]:443 ([141.XXX.XX.145]:443)' can't be established.

 

RSA key fingerprint is SHA256:9H87so+XdiQdAShinPD@1KfgHjlkk5SzKEAjdaDzcvA.

Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

Warning: Permanently added '[instance-console.sa-saopaulo-1.oraclecloud.com]:443,[141.XXX.XX.145]:443' (RSA) to the list of known hosts.

 

=================================================

IMPORTANT: Use a console connection to troubleshoot a malfunctioning instance. For normal operations, you should connect to the instance using a Secure Shell (SSH) or Remote Desktop connection. For steps, see https://docs.cloud.oracle.com/iaas/Content/Compute/Tasks/accessinginstance.htm

 

For more information about troubleshooting your instance using a console connection, see the documentation: https://docs.cloud.oracle.com/en-us/iaas/Content/Compute/References/serialconsole.htm#four

=================================================


[ENTER] PARA QUE MUESTE EL LOGIN

 

Oracle Linux Server 8.2

Kernel 5.4.17-2011.6.2.el8uek.x86_64 on an x86_64

 

Activate the web console with: systemctl enable --now cockpit.socket


hostname login:


c. Ahora viene la importante del TIP1, acá necesitamos si o si un login (usuario y contraseña), sino no encontré forma de conectarme. (por lo menos yo)

Oracle Linux Server 8.2

Kernel 5.4.17-2011.6.2.el8uek.x86_64 on an x86_64

 

Activate the web console with: systemctl enable --now cockpit.socket

 

hostname   login: root

Password: ********

Last login: Fri Nov 13 00:08:32 on pts/0

[root@servidor_destino~]#


Y listo estamos en el servidor, y podemos realizar las acciones necesarias para solucionar algún problema. Normalmente son de red, puertos cerrados por error, desintalación del open-ssh o algún motivo que no nos permita conectar por ssh.

Por ejemplo, si reiniciamos desde OCI mientras estamos conectados, vamos a poder ver la típica pantalla de linux de como bajan y suben los servicios.


3. Conexión a un Linux x VNC

a. Necesario Instalar o bajar cualquier vncviewer.
Yo suelo usar este, pero puede ser cualquiera:

b. Copiamos el string de conexion para windows.

c.   Abrimos Windows PowerShell


d. Omiti un paso, que sería exactamente el mismo que hicimos en el punto 1 para el Linux, que sería crear la ppk y pub.

TIP3: Tenemos la opción de convertir la misma ppk que creamos en el linux, y reutilizarla en el windows para la conexión por VNC (en caso de usar windows). De esta forma no hace falta crear una nueva key y nos queda la opción para conectarnos de ambas formas a la misma instancia.

Para convertir la ppk a formato de putty que utiliza ..

1. Copiamos la ppk a una carpeta del Windows.
2. Abrimos la ppk con PuttyGen, en el menú Conversions -> Import Key

3. Guardamos la Private Key 



e. Nos ubicamos en el directorio donde está la ppk y .pub 

f.  Pegamos el comando en un notepad y lo editamos al igual que nos paso en Linux, tenemos que pasar el path de la ppk, justamente donde nos muestra en verde.


g. Ejecución del comando para crear el tunnel en nuestra pc con plink.exe y conectarnos por VNC

 
El comando queda standbye , ahora estamos en condiciones de abrir el VNC.

h. Iniciamos el vnc y pasamos localhost:5900 (verán que es el puerto que tenemos del c omando que copiamos en oci).  Hacemos click "Connect"

Y LISTO!!, ESTAMOS CONECTADOS COMO SI TUVIERAMOS UN MONITOR POR VGA JEJE AL SERVIDOR.



4.













 
Conexión a Windows desde VNC

Con todo lo explicado anteriormente, espero que quede sobreentendido que los mismos pasos se hacen para una instancia Windows y nos conectamos por VNC. Solo recuerden que hay que editar el comando que se copian cuando crean la conexión de la consola en oci.


Bueno , este es el final.. realmente es algo muy útil. Espero que este claro y por favor cualquier sugerencia o duda me dejan un comentario y trato de mejorar algún punto.

Referencias:
https://docs.cloud.oracle.com/en-us/iaas/Content/Compute/References/serialconsole.htm


4 de noviembre de 2020

Como setear la política de Password en Oracle ERP Cloud

Buenas tardes, en esta oportunidad les voy a enseñar como configurar una correcta política de password en su ERP Cloud, aparente sucesor de EBS en la nube de Oracle.

Lamentablemente no hay entornos de prueba o gratuitos para ERP Cloud, salvo que sean Parner de Oracle o soliciten algún entorno de demo.

Veamos paso a paso, como sería en un entorno Vision (Demo).

1. Nos logueamos en nuestro ERP Clud.

2. Luego tenemos que ir al menu Tools









3. Click en Security Console











4. Dentro de la Consola de Seguridad creamos una categoría a la cual vamos a asignar a nuestros usuarios. La password policy va a estar asignada a esta categoria.




























Aca Podemos editar la default, lo cual recomiendo o crear una nueva. En este caso voy a crear una nueva para mostrar como se hace y los pasos para editar la DEFAULT serían similares.

5. Click en Create y luego Edit arriba a la derecha, para completar los campos:

























El campo obligatorio que tenemos que completar es el "User Category Name" y tambien podemos poner una descripción sobre la categoría que estaríamos creando. El resto de los campos pueden quedar por defecto.

6. Save and Close y luego click en DONE.

Visualizaremos las dos categorias:










7. Ahora vamos a cambiar la password policy, hacemos click sobre la categoría que queremos modificar, en mi caso sería la CUSTOM y luego en el panel izquierdo sekeccionamos Password Policy y click en Edit










8. La recomendación es utilizar password complejas:



También es importante, habilitar el checkbox para que no se pueda utilizar la última password y que el administrador no pueda resetear la pass manualmente.

IMPORTANTE: ESTE CAMBIO AFECTA A LAS CONTRASEÑAS, ASI QUE SI LA PASSWORD ACTUAL NO CUMPLE CON LA COMPLEJIDAD, EL USUARIO NO VA A PODER VOLVER A LOGUEARSE, OBLIGANDOLO A CAMBIARLA.

9. Click en Save and Close (si hacen click en DONE, no persisten los cambios).

10. Agregar usuarios a la categoría.

Desde esta misma pantalla podemos agregar a los usuarios que queremos que estén bajo esta categoría y política de password.











Hacemos click en Users y luego en Edit a la derecha, para ir a la pantalla que nos va a permitir agregar usuarios.

11. Veremos un botón +Add, al cual le hacemos click para ir sumando usuarios...









12. Buscamos el usuario, por lo gral ingresando parte del nombre o apellido, ya nos aparece. Luego hacemos click sobre el mismo y click en add.








13. Si buscamos el usuario para resetearle la password, podemos validar que el administrador no tiene permitido realizarlo, lo tiene que hacer el mismo usuario desde la pantalla de login.

Espero que les sirva para quienes son nuevos en ERP Cloud y puedan configurar una política de password segura.