- Created by Mikhail Yakovlev, last modified by Ilya Solovyev on Aug 18, 2022
You are viewing an old version of this page. View the current version.
Compare with Current View Page History
« Previous Version 42 Next »
Запустите файл IndeedCM.Server.msi из дистрибутива Indeed Certificate Manager (каталог IndeedCM.Server) и выполните установку, следуя указаниям мастера. В процессе установки будет предложено выбрать способ контроля доступа для всех приложений системы.
Система Indeed CM состоит из набора сервисов:
- Консоль управления (Management Console) – веб-приложение icm.
- Сервис самообслуживания (Self Service) – веб-приложение icmservice.
- Консоль самообслуживания за пределами домена (Remote Self Service) – веб-приложение icmremote.
- Сервис разблокировки смарт-карт – веб-приложение credprovapi.
- Сервис API – веб-приложение icmapi.
- Сервис отслеживания состояния карт – Служба Card Monitor, не имеет веб-приложения.
- Сервисы клиентского агента:
- Сервис регистрации агентов – веб-приложение agentregistrationapi.
- Сервис для удаленного выполнения задач – веб-приложение agentserviceapi.
Каждый сервис имеет собственные файлы конфигурации и настройки доступа.
При выборе Аутентификации Windows будут заданы следующие параметры контроля доступа:
- Проверка подлинности (Authentication):
- Проверка подлинности Windows (Windows Authentication) для приложений icm, icmapi, icmservice. Остальные способы отключены.
- Анонимная проверка подлинности (Anonymous Authentication) для приложения credprovapi, agentregistrationapi, agentserviceapi.
- Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения icmremote.
- Параметры SSL (SSL Settings):
- Требовать SSL (Require SSL) для всех приложений.
- Сертификаты клиента (Client certificates):
- Игнорировать (Ignore) для приложений icm, icmapi, icmremote, icmservice, credprovapi, agentregistrationapi.
- Требовать (Require) для приложения agentserviceapi.
При выборе Аутентификации по персональным сертификатам пользователей будут заданы следующие параметры контроля доступа:
- Проверка подлинности (Authentication):
- Анонимная проверка подлинности (Anonymous Authentication) для приложений icm, icmapi, icmservice, credprovapi, agentregistrationapi, agentserviceapi. Остальные способы отключены.
- Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения icmremote.
- Параметры SSL (SSL Settings):
- Требовать SSL (Require SSL) для всех приложений.
- Сертификаты клиента (Client certificates):
- Игнорировать (Ignore) для приложений credprovapi, icmremote, agentregistrationapi.
- Требовать (Require) для приложений icm, icmapi, icmservice, agentserviceapi.
Если каталог пользователей расположен в Active Directory, то сертификаты, используемые для аутентификации должны содержать User Principal Name. Без включенного в сертификат UPN вход в web-приложения Indeed CM будет невозможен.
После установки системы Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (IIS Manager).
Для настройки защищенного соединения для веб-приложений Indeed CM, необходимо выпустить SSL/TLS-сертификат и Привязать (Bindings) его в Диспетчере служб IIS (IIS Manager) для сайта Default Web Site:
- Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager).
- Выберите сайт Default Web Site и перейдите в раздел Привязки... (Bindings...).
- Нажмите Добавить... (Add...), выберите Тип: (Type:) https и Порт: (Port:) 443.
- Выберите SSL-сертификат: (SSL certificate:) и нажмите OK.
Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).
Общее имя (Common name) сервера Indeed CM (FQDN) в поле Субъект (Subject).
DNS-имя (DNS Name) сервера Indeed CM в поле Дополнительное имя субъекта (Subject Alternative Name). Например: indeedcmru.demo.local (или соответствующую запись с подстановочными знаками, например: *. demo.local).
- No labels