You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 161 Next »

На этапе развертывания системы необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации всех сервисов системы располагаются в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot\cm) для ОС Windows или в каталоге /opt/indeed/cm для ОС Linux.

Файлы конфигурации службы Card Monitor для OC Windows расположены в %ProgramFiles%\Indeed CM\CardMonitor.

Настройка файлов конфигурации осуществляется при помощи Мастера настройки Indeed CM, который является независимым компонентом и устанавливается отдельно.

Системные требования для установки компонента совпадают с требованиями для установки серверных компонентов системы.

Установка и запуск Мастера настройки Indeed CM

Установка мастера на ОС Windows

Запустите файл IndeedCM.Wizard-<номер версии>.x64.ru-ru.msi из каталога IndeedCM.Server дистрибутива системы и выполните установку, следуя указаниям мастера. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\cm\wizard

Установка и запуск мастера на ОС Linux

Выполните установку веб-приложения из DEB или RPM пакета (cm.wizard.deb, cm.wizard.rpm) в зависимости от используемого Linux дистрибутива.

RHEL и производные дистрибутивы:
sudo rpm -i cm.wizard.rpm
Debian и производные дистрибутивы
sudo dpkg -i cm.wizard.deb

Запустите bash-скрипт cm-wizard-start.sh расположенный в каталоге с дистрибутивом сервера Indeed CM.

sudo bash ./cm-wizard-start.sh

В целях безопасности рекомендуется отключать веб-приложение Мастер настройки Indeed CM после проведения конфигурации системы. 

ОС Windows:

  1. Откройте оснастку Диспетчер служб IIS (Internet Information Services Manager).
  2. В дереве компонентов IIS сервера выберите пункт "Пулы приложений" (Application Pools).
  3. В списке Пулы приложений выберите IndeedCM Wizard.
  4. В меню Действия в правой части окна Диспетчера служб IIS выберите Остановить.

ОС Linux:

  1. Откройте эмулятор терминала.
  2. Выполните команду:
sudo systemctl stop cm-wizard.service

Аутентификация в Мастере настройки Indeed CM

Аутентификация в приложении Мастер Настройки Indeed CM осуществляется по временным кодам аутентификации. Код аутентификации формируется в момент запуска пула приложения IIS IndeedCM Wizard на ОС Windows или в момент старта службы cm-wizard.service на ОС Linux и сохраняется в файл wizard_authentication_code.txt в подкаталоге logs.

Файл wizard_authentication_code.txt расположен:  

  • в каталоге C:\inetpub\wwwroot\cm\wizard\logs для ОС Windows

  • в каталоге /opt/indeed/cm/wizard/logs для ОС Linux. 

  1. Откройте файл wizard_authentication_code.txt и скопируйте Код аутентификации.
wizard_authentication_code.txt
2023-09-20 09:40:06.1557|AuthenticationCode: "YoQZdL2mJC4pYmKJmC7YT8mXDv3FPj2v"

Код аутентификации для Мастера настроек Indeed CM, развернутого на сервере под управлением ОС Linux, также можно получить командой systemctl status

sudo systemctl status cm-wizard.service | grep AuthenticationCode

или получить из журнала приложения systemd юнита cm-wizard.service, выполнив команду:

sudo journalctl -u cm-wizard.service | grep AuthenticationCode

В результате, код аутентификации будет выведен на экран терминала:

Sep 20 09:40:06 indeedcm cm-wizard[416403]: AuthenticationCode: "YoQZdL2mJC4pYmKJmC7YT8mXDv3FPj2v"

     2. С помощью интернет браузера перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard. Введите код в поле Код аутентификации и нажмите Войти:

Настройка параметров системы

В таблице приведены разделы Мастера установки с описанием параметров, которые могут быть в них определены.

Разделы мастера настройки Indeed CM и их описание.

РазделОписание
Перед началом работы

Информация о назначении и возможностях мастера настройки Indeed CM.

Восстановление настроек

Загрузка файла резервной копии конфигурации Indeed CM.

Функции системы:

  • Общие функции
  • Журнал событий
  • Журнал учета СКЗИ
  • Microsoft CA
  • КриптоПро УЦ 2.0
  • КриптоПро DSS
  • Валидата УЦ
  • AirKey Enterprise
  • Клиентский агент

Общие функции: настройка внутренних параметров web-приложений Indeed CM.

Консоль управления (Management Console)

Сервис самообслуживания (Self-Service)

Журнал событий:

Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ.

Удостоверяющие центры: настройка параметров работы с центрами сертификации MS CA, КриптоПро УЦ 2.0 и Валидата УЦ. 

КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS.

AirCard Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirCard Enterprise.

Клиентский агент: настройка параметров работы клиентского агента Indeed CM.

Каталог пользователей:

  • Active Directory
  • КриптоПро УЦ 2.0
  • Active Directory + КриптоПро УЦ 2.0

Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.

  • Соответствия атрибутов

Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства.

Например: создать нового пользователя в ЦР КриптоПро с теми значениями атрибутов, которые есть для существующего пользователя Active Directory.

  • Обновляемые атрибуты

Определение списка атрибутов пользователя при изменении которых требуется обновление сертификата на устройстве.

Отслеживание изменений в атрибутах пользователей Active Directory доступно только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.

Контроль доступа:

  • Администратор ролей

Определение параметров доступа к сервисам Indeed CM.

Доступ к web-приложениям Indeed CM может быть предоставлен либо с использованием Аутентификации Windows (в случае, если сервер системы развернут на доменной рабочей станции под управлением ОС Windows), либо с использованием OpenID Connect сервера.

Определение учетной записи для первоначальной настройки привилегий пользователей в разделе Роли Консоли управления Indeed Certificate Manager.

Указанная учетная запись должна иметь User Principal Name (UPN) и входить в выбранный каталог пользователей системы.

Хранилище данных:

  • Microsoft SQL или PostgreSQL
  • Ключ шифрования

Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа.

Служба Card Monitor

Служба Card Monitor предназначена для выполнения операций по контролю за обращением устройств (USB-токенов и смарт-карт) и выполняет:

    • Отзыв и изъятие (опционально) устройств пользователей, чьи учетные записи были удалены из каталога пользователей Indeed CM
    • Отзыв временных устройств с истекшим сроком действия
    • Выключение (опционально) устройств пользователей, чьи учетные записи Active Directory были отключены
    • Удаление учетных записей (опционально) из каталога пользователей Indeed CM, чьи учетные записи Active Directory были отключены
    • Установку и сброс статуса содержимого устройства (истекает/истекло)

    • Обновление содержимого устройств

      Если обновление устройства проводилось через клиентский агент без автоматического одобрения сертификатов оператором УЦ.

    • Регистрации события Длительное отсутствие связи с агентом в системный журнал

    • Рассылку почтовых уведомлений администраторам и пользователям системы:
      – Истечение срока действия сертификатов пользователей, хранящихся на устройстве
      – Одобрение/отклонение выпуска устройства
      – Одобрение/отклонение обновления сертификатов на устройстве
      – Одобрение/отклонение замены устройства
      – Изменение политики, действующей на пользователя

      Для выполнения задач по регулярному запуску службы Card Monitor, учетная запись, указываемая в мастере настройки должна состоять в группе Администраторов (Administrators) на сервере Indeed CM и иметь разрешение на Вход в качестве пакетного задания (Log on as a batch job).

Для работы Card Monitor в разделе Роли потребуются создать сервисную роль, включить в нее учетную запись, от имени которой будет работать Card Monitor и определить для роли привилегии:

  • Выключение устройства
  • Обновление устройства
  • Отзыв устройства
  • Очистка устройства
  • Отмена назначения устройства
  • Удаление устройства
  • Выключение устройства КриптоПро DSS
  • Обновление устройства КриптоПро DSS
  • Отзыв устройства КриптоПро DSS
  • Удаление устройства КриптоПро DSS
  • Удаление AirCard
  • Удаление записи из журнала учета

Если настроена интеграция с КриптоПро DSS и AirCard Enterprise, то задайте привилегии для работы с данными устройствами.

Подтверждение

Сводная информация по настройкам всех разделов Мастера.

После нажатия кнопки Применить указанные значения для всех параметров будут записаны в файлы конфигурации всех приложений и сохранены в каталоги C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/indeed/cm/wizard/configs/ для ОС Linux для дальнейшего их применения на сервере системы.

Результаты

Результат работы Мастера по записи указанных значений в файлы конфигурации сервисов системы.

Файлы конфигурации можно выгрузить в архив (опция Сохранить файлы конфигурации) для переноса и применения настроек на сервере системы.

При первой установке системы настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Результаты). 

Резервная копия настроек включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования базы данных. При развертывании новых серверов системы используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки.

Файл резервной копии содержит данные сервисных учетных записей для работы с каталогом пользователей, и хранилищем данных, алгоритм и ключ шифрования базы данных системы. Храните файл резервной копии в защищенном месте.

Применение файлов конфигурации на сервере системы

Примените файлы конфигурации, созданные Мастером настройки на сервере (серверах) системы.

ОС Windows:

  1. Откройте консоль Powershell от имени администратора.
  2. Перейдите в директорию C:\inetpub\wwwroot\cm\wizard\configs.

  3. Выполните Powershell-скрипт ApplyConfigurations.ps1, выполнив команду: 

    .\ApplyConfigurations.ps1
  4. В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.

ОС Linux:

  1. Откройте эмулятор терминала.
  2. Перейдите в директорию /opt/indeed/cm/wizard/configs.

  3. Запустите скрипт apply_configurations.sh, выполнив команду: 

    sh ./apply_configurations.sh

  4. В процессе выполнения bash-скрипта укажите учетную запись от имени которой будет запускаться служба Card Monitor.

    Рекомендуется указывать локальную учетную запись, от имени которой запускаются остальные веб-приложения системы.

  • No labels