En este caso uniremos los dos trabajos dándole una vuelta de rosca: el menú dependerá del tipo de usuario que se loguea al sistema.

Deberá incluirse un nuevo campo en la tabla que almacena los logias que indique el tipo de usuario en cuestión. En este ejemplo la tabla de usuario queda así:

Donde TIPO guarda un valor numérico indicando el tipo de usuario (1=admin, 2=usuario, 3=supervisor).

Para el menú, nos basaremos en el ejemplo del otro tutorial mencionado salvo que es necesario agregarle un campo de tipo de usuario para que se diferencie si el ítem de menú es valido para el usuario logueado.

TIP: para estos menús es mi costumbre agregarle dos campos mas. GRUPO para, como su nombre lo indica, agrupar cada ítem del menú (por ejemplo ítems de Sistema, Usuario, Ventas, Compras, etc.) y POSICION para poder darles un orden distinto al momento de extraerlo de la base de datos.

Entonces… crearemos el login siguiendo los pasos que se explican en este post, quedándonos algo similar a esto:

$link = mysql_connect(”server”, “database”, “P4ssw0rd”);
mysql_select_db(”meyddbb”, $link);

#Se obtienen los datos del form
$USUARIO=$_POST["USUARIO"];
$PASSWORD=$_POST["PASSWORD"];

#se busca un registro que coincida con el nombre pasado
$busqueda=mysql_query(”SELECT * FROM USUARIOS
                       WHERE USR=’$USUARIO’”, $link);
$filas = mysql_num_rows($busqueda);

#Primero se verifica si la busqueda esta vacia
if ($filas==0)
  {
  #Si esta vacia NOMBRE DE USUARIO ingresado NO EXISTE
  header(”location:error.php?err=USUARIO-NO-EXISTE”);
  }
else
  {
  #En caso de no ser cero significa que el usuario existe y
  #se compara la password ingresada
  #con la almecenada en la base de datos
  $PASS_GUARDADA=mysql_result($busqueda, 0, “PASSWD”);
  if($PASSWORD==$PASS_GUARDADA)
    {
    #En esta instancia ya se ha realizado la verificacion
    #y se procede a guardar los datos de sesion
    #correspondientes, generar el log y redireccionar a la seccion debida
    $TIPO_USR=mysql_result($busqueda, 0, “IDTIPO”);

    # inicio de sesion y carga de datos
    session_start();
    $_SESSION["tipo"] = mysql_result($busqueda, 0, “TIPO”);
    $_SESSION["idusr"]= mysql_result($busqueda, 0, “IDUSR”);
    $_SESSION["nombre"]=mysql_result($busqueda, 0, “NOMBRE”);

    #creacion del menu que se mantendra en un array de sesion
    $QUERY=”SELECT * FROM MENU WHERE TIPO = $TIPO_USR”;
    $RS=mysql_query($QUERY, $link);
    $CANT=mysql_num_rows($RS);
    for ($i=0; $i<$CANT; $i++)
      {
      $key=mysql_result($RS, $i, “TITULO”);
      $value=mysql_result($RS, $i, “LINK”);
      $_SESSION["MENU"][$key] = $value;
      }
    header(”location:PAGINA-PRINCIPAL”);
    }
  else
    {
    #Las passwords no eran iguales
    header(”location:error.php?err=PASS-INCORRECTA”);
    }
  }

Como veran, ahora el menú que se extrae de la base de datos depende del campo TIPO, puntualmente de que tenga el valor de la variable $TIPO_USR que justamente tiene almacenado el indicador de TIPO del usuario que se acaba de loguear.

Ahora solamente es necesario iniciar la sesion en cada pagina donde se necesite el menú e invocarlo como ya se ha visto antes:

session_start();
session_register('MENU');
foreach ($_SESSION["MENU"] as $fila => $valor)
   {
   echo “<a href='$valor'>$fila</a><br>";
   }

Manos a la obra!

En este pequeño ejemplo veremos como conectar dos redes remotas utilizando las herramientas de enrutamiento avanzado del kernel Linux (iproute2).
La red A (192.168.0.0/24) se conecta a Internet con el Router A (192.168.0.254 para la interface local y 200.1.2.3 para la interface externa) mientras que la red B (192.168.1.0/24) se conecta con el Router B (192.168.1.254 para la interface local y 190.5.6.7 para la interface externa).

Damos por sentado que desde la interface externa del Router A se puede llegar a la interface externa del Router B y viceversa.

El tunel GRE creara una nueva red a la cual le asignaremos el bloque 10.0.0.0/24 donde 10.0.0.1 será el extremo del router A y 10.0.0.2 será el extremo del router B.

NOTA: es importante que ambas redes no compartan el mismo bloque ya que eso generaría problemas de enrutamiento. Es posible utilizar el mismo bloque solo si se utilizan subredes pero esa configuración escapa al alcance de este tutorial.

Este tutorial se basa en iprouite2 el cual viene con kernels 2.2 en adelante. En ambos routers deberá estar levantado el modulo ip_gre.o.

Comenzaremos con la configuración del router A, verificacion del módulo correspondiente
#modprobe ip_gre.o
Creacion del tunel GRE
#ip tunel add REDB mode gre remote 190.5.6.7 local 200.1.2.3 ttl 255
Se levanta el extremo del tunel
#link set REDB up
Se le asigna su dirección IP
#ip addr add 10.0.0.1 dev REDB
Agregamos la ruta hacia la red B
#ip route add 192.168.1.0/24 dev REDB
De la misma manera se realiza en el router B.
#modprobe ip_gre.o
#ip tunel add REDA mode gre remote 200.1.2.3 local 190.5.6.7 ttl 255
#link set REDA up
#ip addr add 10.0.0.2 dev REDA
#ip route add 192.168.0.0/24 dev REDA

La idea es que en cualquier momento se pueda agregar un registro de log simbolizando algún suceso puntual (login fallido, login exitoso, modificación de un dato, cambio de password, etc.)

Todos los sucesos los almacenaremos en una tabla dentro de la base de datos. La estructura de la misma será la siguiente:

NOTA: no es muy común almacenar logs en una base de datos debido al gran tamaño que pueden tomar. Considero que la ventaja de hacerlo es poder realizar consultas y búsquedas mas fácil y para no permitir que la base de datos crezca demasiado se puede programar una tarea que cada x tiempo baje a un archivo de texto los registros con fecha anterior a cierta cantidad de días o meses.

Veamos una descripción de cada campo:

• IDREGISTRO: simplemente un ID para cada registro.
• FECHA: la fecha y hora en la cual se registra el evento.
• IP: la dirección IP del cliente.
• USUARIO: el usuario con el cual se sucedió el evento.
• EVENTO: un indicador de que tipo de evento es. Esto debería ir acompañado de una tabla que relacione los IDs de eventos con una descripción.

DETALLES: si se quiere se puede crear este campo especial el cual guarda distinta info para cada evento. Supongamos que registraremos un login fallido, solo necesitamos la fecha, el usuario que intento loguearse y la IP del cliente. Ahora, si el evento es por ejemplo la compra de un producto o el envío de un mensaje a otro usuario necesitamos guardar otros datos distintos. Por eso este campo varia su formato dependiendo el ID de evento que tiene.

A modo genérico el código a insertar es el siguiente:


<?
# conexion a base de datos
$link = mysql_connect("server", "database", "P4ssw0rd");
mysql_select_db("meyddbb", $link);
#generando las variables de datos
$ip=$_SERVER['REMOTE_ADDR'];
$fecha=date('Y/m/d H:m:s');
$idusuario=”aqui tomar el ID de usuario de una variable de session, por ejemplo”;
$id=0;    #la ID del evento a registrar
$sql_log="INSERT INTO LOG (EVENTO, IP, FECHA, USUARIO) VALUES ($id, '$ip', '$fecha, '$idusuario')";
$rs_log=mysql_query($sql_log, $link);
?>


Comandos a utilizar

Para poder determinar si el servicio esta corriendo podemos realizar dos caminos, ambos mediante un comando shell:

A) Buscar su PID (proccess ID) correspondiente.

Si ejecutamos el comando:
#cat /var/run/squid.pid
obtendremos ese número, en el caso de que este ejecutándose o vacío si no estuviera corriendo.

B) Verificar si está escuchando los ports correspondientes.

#netstat –pant | grep –i squid

devolverá una línea si Squid se encuentra corriendo o vacío si no lo esta.

En ambos casos es necesario conocer los valores por defecto para cada servicio en las distintas distros Linux o su configuración puntual.

Reinicio de servicios

#/etc/init.d/squid [start|stop|restart]

Seguridad

www-data ALL=(ALL) NOPASSWD:/bin/cat /var/run/squid.pid
www-data ALL=(ALL) NOPASSWD:/sbin/netstat –pant | /bin/grep –i squid
www-data ALL=(ALL) NOPASSWD:/etc/init.d/squid start
www-data ALL=(ALL) NOPASSWD:/etc/init.d/squid stop
www-data ALL=(ALL) NOPASSWD:/etc/init.d/squid restart
Para profundizar sobre SUDO sigan este link.

Enviando los comandos desde la aplicación

$x=exec(“sudo /bin/cat /var/run/squid.pid”);

$x=exec(“sudo /etc/init.d/squid restart”);

Ultimas consideraciones

Escenario propuesto

Estamos hablando del supuesto caso de licenciar una pequeña empresa la cual cuenta con:

• 5 estaciones de trabajo con MS Windows XP Profesional SP3 en español.
• Cada puesto cuenta con suite MS Office 2003.
• 1 servidor con MS Windows Server 2003 Standard con TS activado para los 5 usuarios.
• Se solicita además presupuesto de solución Antivirus para los 6 equipos.

Otro detalle a tener en cuenta es que en cada caso informé que la empresa en la cual se licenciará el software no es la misma en la que trabajo sino un cliente de ésta. La idea sería poder tener un porcentaje de ganancia en todo el asunto… de algo hay que vivir, no?

El universo de licencias y packs de Microsoft es tan amplio y complicado que no he encontrado dos vendedores que me digan lo mismo o me presupuesten el mismo producto. Incluso gente certificada en soluciones MS me ha dicho textualmente que “el licenciamiento es una nebulosa que hasta dudo que la gente de MS la tenga clara”.

Aclaración Importante: si bien éste post tiene como objetivo demostrar que el licenciamiento es un gasto por demás de elevado y puede ser evitado trabajando con herramientas libres, todo lo expuesto en él tiene como premisa la veracidad de la información. No solo que no inflaré ningún precio expuesto sino que incluso estaré tratando de conseguir el mejor presupuesto de licenciamiento.

Licencias de Sistema Operativo

Hace bastante tiempo MS ha culminado de dar soporte a su SO más utilizado: Windows XP. Hoy en día todas las licencias que me han presupuestado son para MS Windows 7 pero son válidas para versiones anteriores aunque solo si se instalan antes de Julio de 2010. Igualmente me aseguraron que no era necesario cambiar el SO de los equipos, solo tendría que guardar la factura de la nueva compra en el caso de que Software Legal Argentina hiciera una auditoria.

Una cuestión importante: en varios lugares me indicaron que con la compra de al menos 5 licencias uno ya entra en un plan de licencias por volumen y que no necesariamente las 5 licencias deberían ser del mismo producto. Aparentemente la diferencia entre una misma licencia dentro y fuera del plan por volúmenes va desde el %75 al %100.

Veamos algunos precios (en todos los casos se debe comprar como mínimo 5 unidades y los precios ya incluyen impuestos (%21 de IVA para Argentina):

• Proveedor 1: U$S 227.48 por puesto.
• Proveedor 2: U$S 258.94 por puesto.
• Proveedor 3: U$S 214.59 por puesto.
• Proveedor 4: U$S 218.56 por puesto.

Como vemos, el mejor presupuesto que tenemos es el del proveedor 3 el cual nos daría un total de U$S 1072.95 por los 5 equipos.

Licencias de Office

Para el popular paquete de oficina el caso es el práct5icamente mismo que con el Sistema Operativo: solo están disponibles licencias para la última versión.

En este caso los packs varían según se necesite utilizar lo básico (MS Word, MS Excel, MS PowerPoint y MS Outlook) y ir agregando herramientas. Como aclaración MS Access solo figura en la versión mas cara.

Los precios que listo a continuación son los mas baratos de entre los proveedores contactados y ya incluyen los impuestos (IVA del %21 para Argentina) y son precios por volumen (compra mínima de 5 unidades).

• Office 2007: U$S 434.41
• Office Small Bussiness 2007: U$S 513.00
• Office Pro Plus 2007: U$S 585.64
• Office Enterprice 2007: U$S 575.74

Trataremos de acomodarnos al pack mínimo con lo cual por los 5 puestos de trabajo estaremos gastando un total de U$S 2172.05 en licencias de uso.

Windows Server

En nuestra empresa ficticia los 5 empleados acceden a una sesión de Terminal Server para ejecutar el sistema de gestión, motivo por el cual es necesario adquirir las licencias del SO del servidor, licencias de acceso por usuario y licencias de Terminal Server. Como en todos los casos, las licencias que nos presupuestaron son para la última versión (MS Windows Server 2008) y ya incluyen impuestos.

Proveedor 1

• Windows Server Standard 2008 U$S 1095.05
• WinSrvCAL 2008 U$S 39.93 cada una
• WinTSCAL U$S 119.79 cada una

Proveedor 2

• Windows Server Standard 2008 U$S 848.13
• WinSrvCAL 2008 U$S 34.17 cada una
• WinTSCAL U$S 98.71 cada una

Proveedor 3

• Windows Server Standard 2008 U$S 879.50.-
• WinSrvCAL 2008 U$S 35.44 cada una.
• WinTSCAL U$S 102.36 cada una.

Basándonos en el presupuesto mas económico (el proveedor 2) tenemos un total de U$S 1512.53 en licencias, que incluyen la licencia del SO del servidor mas las 5 licencias de acceso de los usuarios mas las 5 licencias de acceso a Termial Services.

Conclusiones

Podemos ver, entonces, que el gasto total es del licenciamiento solo del software de Microsoft es de:

U$S 1072.95 (SO en 5 PC’s)
+
U$S 2172.05 (Office en 5 PC’s)
+
U$S 1512.53 (SO del server + 5 CAL + 5 TCAL)
———————————————————————
Total: U$S 4757.53

Teniendo en cuenta los mejores precios y que todos los usuarios accederán a la vez al servidor mediante Terminal Server.

En éste presupuesto no tenemos en cuenta el costo de licencias de antivirus o herramientas puntuales (de diseño, por ejemplo).

Cómo bajar éstos costos

Existen muchas formas de abaratar los costos de nuestra empresa ficticia sin tener que caer en la piratería.

Como se dijo anteriormente, suponemos que todos los usuarios necesiten trabajar a la vez en el sistema de gestión (mediante Terminal Server) por lo que no es posible disminuir la cantidad de licencias TSCAL.

Un punto importante es la utilización de herramientas ofimáticas libres como Open Office. Ésta suite corre tanto en MS Windows como en GNU/Linux por lo que estaríamos ahorrando cerca de U$S 2200.00. Los usuarios poco experimentados ni sabrán que se les cambió la suite ofimática mientras que los mas conocedores pueden encontrar diferencias, pero que en ningún caso valen la pena como para gastar U$S 413.00 por usarlas.

Gracias a WINE muchas aplicaciones que no son multiplataformas pueden correr perfectamente en GNU/Linux motivo por el cual no esnecesario correr MS Windows en las estaciones de trabajo.

Con respecto a la utilización de un servicio de directorio para centralizar la administración de los usuarios y recursos, es posible reemplazar un servidor corriendo Active Directory con SAMBA bien configurado mas un sistema LDAP abierto como OpenLDAP. En éste punto recomiendo enérgicamente la utilización de eBox server el cual integra todos estos servicios y muchos mas de manera limpia además de ser muy intuitivo para administrar. Los equipos de la red pueden unirse al dominio mediante Likewise Open.

Artículos de interés

En este artículo se habla sobre la disyuntiva de tener que licenciar el software de la empresa solo por acostumbramiento de los usuarios.

En este otro artículo se plantean casos de éxito de migraciones a software libre en empresas.

Los presupuestos

A modo de evidencia adjunto las imágenes de los distintos precios que he recibido. Obviamente algunos datos fueron tapados para preservar la confidencialidad de los proveedores.

Desde hace un tiempo al entidad Software Legal Argentina ha estado enviando cartas a muchas empresas locales solicitando que completen un formulario para el control del licenciamiento de software.

Lamentablemente (y por cuestiones mas bien culturales) muchas empresas de nuestro país no tienen las licencias del software que utilizan quedando en una encrucijada: ha de invertir una cantidad de dinero bastante elevada (dependiendo del software utilizado puede incluso ser mayor al costo del equipo) o queda expectante corriendo el riesgo de ser multado en caso de que Software Legal audite el parque informático?
Un factor importante que generalmente no es tenido en cuenta es el rechazo al cambio: el acostumbramiento o la dependencia hacia un sistema operativo, ofimática o simplemente visual obliga a los empresarios a mantener los sistemas utilizados desechando cualquier nueva alternativa.

No siempre dicho rechazo es debido al acostumbramiento sino a una cuestión cultural o heredada que indica que solo se puede utilizar MS Windows para trabajar. En cada nueva versión del sistema operativo de Microsoft el usuario ha tenido que enfrentar cambios mayores no solo en el aspecto visual sino en la organizacion de los menús, aplicaciones, formas de trabajo y operatoria, pero siendo  estos aceptados por los usuarios.

En Internet pueden encontrarse varios videos en los cuales se presenta a un grupo aleatorio de personas una portátil con GNU/Linux o MAC OS instalado pero se les dice que están viendo una nueva versión de MS Windows, recibiendo una aceptación que no tiene cuando se les dice que en realidad es otro Sistema Operativo.

NOTA: en este post se puede ver un ejemplo de migraciones exitosas sorteando los prejuicios de los usuarios.

Es justo, entonces, que las empresas tengan que enfrentar grandes gastos o incluso multas por mantener y utilizar software solo porque quienes lo utilizan se niegan a trabajar de otra manera?

Salvo cuestiones muy puntuales que todavía no están maduras en el universo del software libre (como un reemplazo para Active Directory de MS o herramientas de diseño a la altura de Adobe o Corel) toda la operatoria ofimática y de gestión puede realizarse sin inconvenientes utilizando software de código abierto, libre y sin licencias pagas.

Por supuesto que cada empresa es un mundo y que cada caso es particularmente distinto, pero de todas formas llevar adelante una migración a plataformas abiertas requiere cierto grado de compromiso ya sea por parte de la alta gerencia, los usuarios e incluso de quien lleve adelante dicha implementación.

Existen aplicaciones y paquetes que permiten dar a los usuarios una experiencia de trabajo más amena y similar a lo acostumbrado, lo cual se traduce en una migración mas amena, con mayor aceptación y menos ‘ruido’ en la operatoria de negocio de la empresa que, en definitiva, es lo más importante.
Tanto los sistemas de información como el software y el hardware en el que se apoyan deben ser un soporte para las operaciones de la empresa sin perder el foco del negocio.  Cada esfuerzo de la compañía tiene como meta aumentar la productividad, reducir costos, simplificar los procedimientos y otorgar valor agregado a los productos o servicios y el software libre permite que no se pierdan de vista estas metas pensando en pagar licencias o enfrentar acciones judiciales por no tenerlas.

En todos los casos que tuve que meter mano en asuntos como este, la necesidad de que el usuario que ejecuta la aplicación sea administrador local radicaba solamente en que debía tener permisos para crear carpetas (y agregar archivos) en el raíz del disco (C:\). No vamos a poner en tela de juicio a los desarrolladores (para que existen las variables de entorno y las carpetas personales, me pregunto?!?!) solo vamos a ver como otorgar dichos permisos a los usuarios comunes del sistema o a un grupo específico (en este caso trabajaremos con el grupo de usuarios locales).

En el caso de estar utilizando Windows XP debemos, como primer paso, descativar el uso compartido simple de archivos (que habilitará la solapa de seguridad de las carpetas). Se realiza entrando las opciones de carpeta.

Desactivando la copción desde la solapa VER, al final de la lista.

Ahora cuando veamos las propiedades de una carpeta aparecerán las mismas opciones que en Windows 2003.

Para continuar abrimos el cuadro de propiedades del disco C:\ y en la pestaña de Seguridad vamos a las opciones Avanzadas

Alli seleccionamos el grupo o usuario en cuestión (en este caso el grupo de usuarios locales) y luego click en modificar.

Dentro de las opciones avanzadas de seguridad (algunos las conocen como “opciones atómicas”) encontramos la que dará permisos para crear nuevas carpetas y agregar contenido a la misma:

En el caso de que el sistema que daba error necesite crear solo un archivo (generalmente algún temporal) la opción a marcar sería “Crear archivos / escribir datos”

Éste tutorial explica en seis pasos como se puede ejecutar una transacción a la cual no se tiene permisos mediante el módulo de funciones RS_HDSYS_CALL_TC_VARIANT en SAP R/3.

Veremos un ejemplo práctico con algunas screenshots.

1) En la pantalla principal ingresar el menu SISTEMA -> STATUS

2) Dentro del campo Programa(dynpro) hacer doble click sobre el texto para visualizar el código fuente.

3) En la ventana de visualización de codigo fuente cambiar de objeto ya sea con SHIFT+F5 o en el menu Programa->Otro Objeto.

4) Seleccionar la opcion Modulo funciones y escribir RS_HDSYS_CALL_TC_VARIANT en el campo de texto. Ejecutar con F8

5) Ahora se verá el código del programa RS_HDSYS_CALL_TC_VARIANT, ejecutarlo pulsando F8

6) En el campo TCODE escribir el codigo de transacción al cual no teniamos acceso, es necesario quitar la marca (X) del campo AUTJHORITY_CHECK, ejecutar la transacción con F8. Saldrá una ventana pidiendo el valor de dicho campo, dejarlo en cero y darle ACEPTAR.

Si bien ya no es mas un zero-day exploit, durante unos dias pudimos disfrutar de escalar privilegios en todos los sistemas Windows de 16 y 32 bits (desde NT hasta 7) debido a un pequeño bug que vienen arastrando desde julio de 1993 hasta estos días.

No discutiremos si se han tomado demasiado a pecho el tema de reutilizar código, ni tocaremos nada en los corazansitos de los amantes de MS.

Tavis Ormandy (la persona que descubrió dicho BUG) se camnsó de notificarlo a MS, llegando al punto de crear un exploit y publicarlo para que por fin sea tomado en cuenta.

En éste link pueden ver el mail original y un link para descargar los fuentes el exploit y un pequeño ejemplo que al ajecutarlo les abrirá un consola con el usuario NT_AUTHORITY\SYSTEM.

Ya hay actualizaciones de varios AV para detectar esta DLL y el exploit. También es posible evitar un ataque basado en este bug simplemente deshabilitando la compatibilidad con 16 bits. Por supuesto que ya existe el parche correspondiente para nuestros sistemas Windows x86

Mas info AQUI AQUI

Que ventajas podemos enumerar teniendo Apache y Mysql sobre GNU/Linux y no sobre MS Windows?

• Consola del sistema: prácticamente no hay límites si combinamos la potencia de PHP con BASH. Mediante el comando exec(); es posible tomar el total control sobre el SO.
• Ejecución de scripts PHP desde consola: al instalar PHP se dota a GNU/Linux de un intérprete de línea de comandos. Para quienes pueden resolver cualquier tarea mediante PHP es muy útil poder ejecutarloen una consola del sistema. Podemos dejar cualquier script PHP programado para que el sistema lo ejecute. Ver este post.
• Seguridad: con un simple firewall con IPTables y teniendo el sistema actualizado el desarrollador puede dormir tranquilo.
• Recursos: es posible realizar una pequeña instalación del SO con sólo lo necesario, reduciendo los requerimientos de hardware y aumentando la performance del servidor.

Según he hablado con desarrolladores que utilizan WAMP, su opción se basa casi exclusivamente en el hecho de que no disponen de otro equipo para realizar la instalación de Linux.  No es necesario cambiarte de sistema operativo (en el caso de que seas usuario exclusivo de Windows). Puedes instalar un equipo virtual: recomiendo VirtualBox ya que Virtual PC de Microsoft no me ha levantado las últimas versiones de Ubuntu y Debian.

En éste link encontrarán un paso a paso para tener instalado un sistema mínimo Debian y transfomarlo en un servidor LAMP.