Внимание! В случае повторной установки ПО рекомендуется произвести очистку кэша используемого веб‑браузера.
Распаковка инсталляционного комплекта
Распакуйте инсталляционный rpm/deb‑пакет, находясь в папке, где расположен пакет, выполнив команду с правами суперпользователя:
РЕД ОС | sudo dnf install <наименование пакета>.rpm |
Astra Linux | sudo dpkg ‑i <наименование пакета>.deb |
Альт Сервер | sudo apt‑get install <наименование пакета>.rpm |
Инсталляционный rpm/deb‑пакет будет автоматически распакован в директорию /opt/aecaRa.
Структура распакованного инсталляционного rpm/deb‑пакета приведена в таблице ниже (Таблица 4).
Таблица 4 – Структура установочного комплекта Центра регистрации Aladdin eRA
Структурный элемент | Назначение элемента |
/opt/aecaRa | Установочный комплект Центра регистрации Aladdin eRA, а также используемые дополнительные инструменты. |
/opt/aecaRa/dist | Путь развертывания продукта, который содержит создаваемые временные файлы. |
..dist/backup/ | Созданные резервные копии Центра регистрации Aladdin eRA. |
..dist/certificates/aeca‑ca | Расположение сертификата для установки соединения с Центром сертификации Aladdin еСА. |
..dist/certificates/ssl | Расположение сертификатов для управления SSL‑соединением. |
..dist/environment/ | Расположение переменных окружения сервисов. |
..dist/logs/ | Расположения технических логов сервисов. |
/opt/aecaRa/eula | Файл лицензионного соглашения. |
/opt/aecaRa/samples | Содержит шаблоны файлов конфигурации для внутреннего использования Центром регистрации Aladdin eRA. |
/opt/aecaRa/scripts | Содержит скрипты управления Центром регистрации Aladdin eRA. |
../scripts/internal | Скрипты для внутреннего использования программы. |
../scripts/backup.sh | Скрипт резервного копирования конфигурации Центра регистрации Aladdin eRA |
../scripts/config.sh | Конфигурационный файл Центра регистрации Aladdin eRA. |
../scripts/database_create.sh | Скрипт создания базы данных Центра регистрации Aladdin eRA. |
../scripts/diagnostics.sh | Скрипт сбора диагностической информации Центра регистрации Aladdin eRA. |
../scripts/install.sh | Скрипт установки и обновления текущей версии Центра регистрации Aladdin eRA. |
../scripts/restore.sh | Скрипт восстановления из резервной копии конфигурации Центра регистрации Aladdin eRA. |
../scripts/uninstall.sh | Скрипт удаления Центра регистрации Aladdin eRA. |
/opt/aecaRa/services | Сервисы Серверной части Центра регистрации Aladdin eRA. |
/opt/aecaRa/scripts/jc_checksum | Файл с эталонами контрольных сумм исполняемых файлов Центра регистрации Aladdin eRA. |
/opt/aecaRa/static | Артефакты Клиентской части Центра регистрации Aladdin eRA. |
../opt/aecaRa/bin/jcverify | Каталог утилиты контроля целостности «jcverify». |
../opt/aecaRa/bin/jcverify/jcverify | Утилита контроля целостности «jcverify». |
../opt/aecaRa/bin/jcverify/jcverify.txt | Вспомогательный файл для работы утилиты целостности «jcverify». |
/opt/aecaRa/digsig/keys/aladdin_pub.key | Публичный открытый ключ производителя для обеспечения ЗПС ОС Astra Linux SE. |
- Владельцем распакованных файлов будет являться пользователь «root», другие пользователи не будут иметь прав доступа к инсталляционному комплекту.
Настройка конфигурации программы
Перед установкой программного комплекса требуется определить значения следующих параметров:
- Webserver– укажите используемый веб‑сервер (`nginx`, `apache` или `cpnginx`). Также значение параметра можно будет ввести после запуска инсталлятора установки, в интерактивном режиме выбрав веб‑сервер;
- webserver_path– укажите папку с файлами для развёртывания веб‑сервера. Также значение параметра можно будет ввести при запуске инсталлятора, в интерактивном режиме указав путь к файлам веб‑сервера:
- конфигурация Nginx располагается по пути /etc/nginx;
- конфигурация A.уесpache располагается для Astra Linux SE по пути /etc/apache2, для RedOS – по пути /etc/httpd, для Альт Сервер по пути /etc/httpd2;
- конфигурация cpnginx располагается по пути /etc/opt/cprocsp/cpnginx;
- database_password– укажите пароль создаваемой базы данных (имя базы данных по умолчанию ‑ aecara). После обновления с версии 2.0 до версии 2.2, а также после создания и настройки базы данных (см. раздел 4.3) пароль пользователя базы данных отображается в конфигурационном файле в шифрованном виде (алгоритм шифрования AES‑256 с использованием сгенерированного в файле /opt/aecaRa/scripts/key ключа шифрования). Пароль не должен содержать специальные символы «|» и «\»;
- aeca_ca_host– укажите адрес (IP‑адрес или доменное имя) Центра сертификации Aladdin eCA, к которому будет подключён Центр регистрации Aladdin eRA (пример, 22.5.21);
- aeca_ca_auth_password– укажите пароль от контейнера закрытого ключа учётной записи администратора, используемой для взаимодействия Центр регистрации Aladdin eRA с Центром сертификации Aladdin eCA;
- kerberos_service_principal– укажите принципал HTTP‑службы, используемой для валидации Kerberos‑билетов (состоит из HTTP/<доменное имя стенда>.<домен>, пример значения: HTTP/ra01.presale.aeca);
- kerberos_keytab_locationукажите расположение keytab‑файла для принципала HTTP‑службы для валидации Kerberos‑билетов. Рекомендуется располагать данный файл по пути /etc/http.keytab (пример значения /etc/http.keytab);
- kerberos_krb5_location– укажите расположение conf файла (по умолчанию располагается по пути /etc/krb5.conf, не рекомендуется изменять без веской причины);
- kerberos_ad_domain– укажите имя домена службы каталог в верхнем регистре (пример значения параметра: AECA);
- kerberos_ad_server– укажите LDAP‑адрес для подключения к домену. Обычно, состоит из ldap://<имя контроллера домена>.<домен> (пример ldap://dc1.presale.aeca);
- resource_type– укажите тип подключаемой ресурсной системы (доступные значения: FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN);
- resource_base_dn– укажите точку подключения к ресурсной системе (пример значения dc=presale,dc=aeca);
- certificate_raw_server_password– укажите пароль от контейнера закрытого ключа веб‑сервера;
- root_cert_path– укажите абсолютный путь к сертификату корневого центра сертификации из цепочки сертификатов сервера СУБД. Значение параметра необходимо заполнить только при включённом флаге обязательного использования TLS для подключения к СУБД (при значении параметра use_tls=true);
- hostname– укажите полное имя компьютера, на котором будет развёрнут Центра регистрации Aladdin eRA.
При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента программы должен быть организован по протоколу TLS ГОСТ, должна обеспечиваться TLS‑аутентификация пользователей в программном средстве с использованием отечественных криптографических алгоритмов, а маркеров доступа пользователей Центра сертификации Aladdin eCA должен быть подписан по алгоритму ГОСТ Р 34.11‑2012/34.10‑2012 256/512 Бит. Для этого настройте конфигурационный файл в соответствии с таблицей ниже (Таблица 5).
Таблица 5 – Параметры для настройки TLS ГОСТ
Параметр | Значение |
webserver | 'cpnginx' |
webserver_path | '/etc/opt/cprocsp/cpnginx' |
sign_provider | 'CRYPTO_PRO' |
sign_key_algorithm | 'GOST_R_34_10_2012' |
sign_key_length | '256' или '512 |
sign_hash_algorithm | 'GOST_R_34_11_2012' |
Отредактируйте конфигурационный файл /opt/aecaRa/scripts/config.sh, выполнив команду:
sudo nano /opt/aecaRа/scripts/config.shНастраиваемые параметры конфигурационного файла /opt/aecaRa/scripts/config.sh позволяют задавать:
- параметры конфигурации развёртывания сервисов центра регистрации;
- параметры конфигурации подключения к центру сертификации;
- параметры конфигурации подключаемой ресурсной системы;
- параметры конфигурации offline‑выпуска сертификатов;
- параметры сертификата веб‑сервера центра регистрации;
- расписание синхронизации ресурсных систем;
- расписание синхронизации разрешённых издателей;
- расписание архивации журнала событий;
- конфигурацию базы данных;
- конфигурация памяти.
Полный перечень и описание параметров конфигурации приведено в Таблица 6.
Таблица 6 – Описание параметров конфигурации
Параметр | Значение параметра по умолчанию | Описание |
Конфигурация развертывания | ||
webserver | #CHANGEIT | Используемый веб‑сервер (nginx,apache, cpnginx) |
webserver_path | #CHANGEIT | Папка с файлами для развёртывания сервиса (по умолчанию: конфигурация nginx располагается по пути /etc/nginx, для Astra Linux конфигурация apache располагается по пути /etc/apache2, для RedOS конфигурация apache располагается по пути /etc/httpd, конфигурация cpnginx располагается по пути /etc/opt/cprocsp/cpnginx) |
aeca_path | '/opt/aecaRa/dist' | Папка с файлами для развёртывания Центра регистрации Aladdin eRA |
environment_path | '/opt/aecaRa/dist/environment' | Папка с переменными окружения для сервисов |
webserver_config_path | '/opt/aecaRa/dist/webserver' | Расположение конфигурации Центра регистрации Aladdin eRA для веб‑сервера |
encryption_key_path | '/opt/aecaVa/scripts/key' | Ключ для шифрования конфигурационного файла |
proxy_connect_timeout | '320' | Время ожидания подключения к прокси-серверу перед тем, как будет выдано сообщение об ошибке. Только для Nginx. Настраивается разработчиками. Редактировать не следует. |
proxy_send_timeout | '320' | Время ожидания ответа от прокси-сервера после отправки запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для Nginx. Настраивается разработчиками. Редактировать не следует. |
proxy_read_timeout | '720' | Время ожидания чтения ответа от прокси-сервера после получения успешного запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для Nginx. Настраивается разработчиками. Редактировать не следует. |
ssl_protocols | 'TLSv1.2 TLSv1.3' | Поддерживаемые версии протокола TLS. Доступно использование только TLSv1.2 и/или TLSv1.3 (при использовании обоих версий протокола необходимо указывать их через пробел). |
ssl_ciphers | По умолчанию не задано. | Поддерживаемые наборы шифров для TLS‑соединения. Данный параметр позволяет ограничить наборы шифров (cipher suites), которые могут использоваться при TLS‑соединении. Разделитель между наборами – «:». Если клиент не поддерживает ни один из указанных в данном параметре наборов, TLS‑соединение не будет установлено. По умолчанию значение в данном параметре не задано, что означает отсутствие управления со стороны Центра регистрации перечнем допустимых наборов шифров (ciphersuites) TLS‑соединения для веб‑сервера. В данном параметре могут быть указаны любые наборы шифров, поддерживаемые используемой на сервере Центра регистрации версией Openssl для TLS версии 1.2. Получить список поддерживаемых используемым Openssl наборов шифров для TLS версии 1.2 можно с помощью команды: openssl ciphers ‑tls1_2 ‑s Данный параметр учитывается только при использовании Nginx или Apache. Конфигурирование наборов шифров TLS‑соединения для Cpnginx осуществляется с помощью утилиты «cpconfig» из состава СКЗИ «КриптоПро CSP»[1]. |
Путь хранения резервных копий | ||
backup_path | '/opt/aecaRa/dist/backup' | Папка, в которую сохраняются резервные копии Центра регистрации Aladdin eRA |
Путь хранения лог‑файлов | ||
logs_base | '/opt/aecaRa/dist/logs' | Папка, в которой хранятся лог‑файлы |
аrchive_path | '/opt/aecaRa/dist/ | Папка, в которую сохраняется архив журнала событий, сформированный в результате автоматической архивации по заданным параметрам |
Путь хранения контейнера сертификата и ключа веб‑сервера, а также цепочек сертификатов разрешённых издателей | ||
certificates_ssl_path | '/opt/aecaRa/dist/ | Папка, содержащая сертификат веб‑сервера и цепочки сертификатов разрешённых издателей |
certificates_aeca_ | '/opt/aecaRa/dist/certificates | Путь хранения контейнера сертификата для авторизации в Центре сертификации Aladdin eCA |
Конфигурация пользователя | ||
aeca_user | 'aeca' | Имя пользователя Центра регистрации Aladdin eRA, используемое для работы программы |
aeca_group | 'aeca' | Группа, в которой состоит пользователь Центра регистрации Aladdin eRA |
Конфигурация памяти | ||
memory | 6144 | Максимальный лимит оперативной памяти |
enable_gc_diagnostic | 'false' | Флаг сбора диагностической информации о памяти |
Конфигурация базы данных | ||
use_tls | false | Флаг обязательного использования TLS для подключения к СУБД. Допустимые значения: true, false |
max_db_pool_size | '50' | Максимальный размер пула подключений к СУБД. Настраивается разработчиками. Редактировать не следует. |
database_username | 'aeca' | Имя пользователя базы данных, используемое для работы Центра регистрации Aladdin eRA |
database_password | #CHANGEIT | Пароль пользователя базы данных, используемый для работы Центра регистрации Aladdin eRA. Пароль не должен содержать специальные символы «|» и «\» |
database_host | 'localhost' | Сетевой адрес базы данных |
database_port | '5432' | Порт, используемый для подключения к базе данных |
database_name | 'aecara' | Имя базы данных, используемой Центром регистрации Aladdin eRA |
root_cert_path | #CHANGEIT | Абсолютный путь к сертификату корневого ЦС из цепочки сертификатов сервера СУБД |
Конфигурация Центра регистрации | ||
http_port | '80' | Порт для подключения к программному комплексу по протоколу http |
https_port | '443' | Порт для подключения к программному комплексу по протоколу https |
hostname | 'localhost' | Имя сервера, на котором развёртывается Центр регистрации. |
hostname_no_mtls | По умолчанию не задано. | Параметр используется только в конфигурации с CPNGINX. Имя хоста (должно отличаться от значения hostname), используемое для доступа к интерфейсу без использования mTLS. |
number_of_services | '16' | Количество активных сервисов в системе. Настраивается разработчиками, редактировать не следует. |
logs_file_max_size | '10MB' | Максимальный размер лог‑файла (файла с диагностической информацией) сервиса перед его архивацией. При достижении данного значения текущий лог‑файл (access.log или service.log) будет заархивирован. Файл будет сохранен в текущем каталоге хранения лог‑файлов данного сервиса с именем {access или service}‑{дата в формате YYYY‑MM‑DD}.{индекс лога}.log. |
logs_max_history | '10' | Максимальный срок хранения архивов с лог‑файлами в днях. Архивы, срок хранения которых превышает указанное в данном параметре значение, будут автоматически удаляться. |
logs_total_size_cap | '100MB' | Максимальный общий объем лог‑файлов, включая архивы, каждого типа (access или service) для каждого сервиса. При достижении данного объема наиболее старые архивы данного типа будут удаляться. |
Переменные окружения, используемые всеми сервисами | ||
logging_response | false | Флаг для сбора и регистрации ответов сервисов |
logging_sql | false | Флаг для сбора и регистрации информации о подключениях и запросах к базе данных PostgreSQL |
Ключ для внутренней аутентификации | ||
api_key | '2d2ec9b4‑ad3d‑4ed0‑8961 | Значение ключа для внутренней аутентификации. Для служебного пользования |
Переменные окружения, используемые сервисом ca‑adapter‑service | ||
aeca_ca_host | #CHANGEIT | IP‑адрес Центра сертификации, к которому происходит подключение |
aeca_ca_auth_filename | AUTH_CA_PATH | Имя файла контейнера сертификата, используемого для авторизации в Центре сертификации |
aeca_ca_auth_password | #CHANGEIT | Пароль от контейнера сертификата, используемого для авторизации в Центре сертификации |
Переменные окружения, используемые сервисом kerberos‑provider‑service | ||
kerberos_service | #CHANGEIT | Уникальное имя для клиента, которому разрешается аутентификация в Kerberos, используемое для авторизации |
kerberos_keytab | #CHANGEIT | Расположение keytab‑файла, содержащего Kerberos‑билет принципала, используемого для авторизации |
kerberos_krb5 | #CHANGEIT | Расположение файла конфигурации krb5.conf |
kerberos_ad_domain | #CHANGEIT | Имя подключаемого домена |
kerberos_ad_server | #CHANGEIT | Адрес сервера AD (ldap) |
Переменные окружения, используемые сервисом ldap‑service | ||
resource_type | #CHANGEIT | Тип ресурсной системы (FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN) |
resource_base_dn | #CHANGEIT | Точка подключения ресурса |
ldap_sign_in_failure_ | 5 | Максимальное количество неудачных попыток аутентификации через LDAP |
ldap_sign_in_failure_ | 3600000 | Время задержки после последней неудачной попытки аутентификации через LDAP |
Переменные окружения, используемые сервисом settings‑service | ||
certificate_server_ | server | Имя файла сертификата веб‑сервера |
certificate_raw_ | #CHANGEIT | Пароль от контейнера сертификата веб‑сервера |
issuers_name | issuers | Имя файла разрешённых издателей, получаемого от Центра сертификации Aladdin eCA |
issuers_sync | '0 */30 * * * *' | CRON‑выражение, по которому выполняется синхронизация разрешённых издателей |
offline_enrollment_enabled | false | Флаг включения offline‑выпуска сертификатов. Возможные значения: true/false |
offline_enrollment_cron | '0 * * * * *' | CRON выражение, по которому будет запускаться offline‑выпуск сертификатов |
offline_enrollment_template_id | #CHANGEIT | Идентификатор шаблона, который будет использоваться для offline‑выпуска[2] |
offline_enrollment_request_path | #CHANGEIT | Путь к каталогу с файлами запросов на сертификат для offline‑выпуска. Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение для данного каталога. |
offline_enrollment_certificate_path | #CHANGEIT | Путь к каталогу, в который будут записываться сертификаты, созданные в результате offline‑выпуска. Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение и запись для данного каталога. |
offline_enrollment_error_path | #CHANGEIT | Путь к каталогу, в который будут записываться запросы на сертификат, создание сертификата по которым было отклонено или завершено с ошибкой. Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение и запись для данного каталога. |
Переменные окружения, используемые сервисом security‑service | ||
session_max_count | "‑1" | Максимальное число одновременных сессий аккаунта в виде натурального числа. При указании значения «‑1» ограничение на количество одновременных сессий пользователя будет отсутствовать. |
token_expire | ‘18000’ | Время жизни JWT‑токена (маркера доступа), мс. |
refresh_token_expire | ‘86400000’ | Время жизни JWT‑токена обновления, мс. |
sign_provider | 'EMBEDDED' | Провайдер подписи маркера доступа (выбирается между стандартным ‑ 'EMBEDDED' и КриптоПро ‑ 'CRYPTO_PRO') |
sign_key_algorithm | 'RSA' | Алгоритм ключа подписи маркера доступа. Для стандартного провайдера доступны алгоритмы 'RSA' и 'ECDSA'. Для провайдера КриптоПро доступны алгоритмы 'RSA' и 'GOST_R_34_10_2012'. |
sign_key_length | '2048' | Длина ключа подписи маркера доступа |
sign_hash_algorithm | 'SHA512' | Алгоритм хэширования подписи маркера доступа, Доступные для выбора значения алгоритмов хэширования: 1) для стандартного провайдера (EMBEDDED): · для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' · для алгоритма ключа 'ECDSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' 2) для провайдера КриптоПро (CRYPTO_PRO): · для алгоритма ключа 'GOST_R_34_10_2012' доступен алгоритм хэширования 'GOST_R_34_11_2012' Для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384' |
Переменные окружения, используемые сервисом logs‑service | ||
archive_cron | '0 0 0 1 * *' | CRON‑выражение, по которому запускается архивация журнала событий |
archive_enabled | 'true' | Флаг: включена архивация. Возможные значения: true, false |
archive_millis_ago | '15778800000' | Период архивации (мс) (архивировать записи старше…) |
Использования HTTP взаимодействия с SCEP | ||
allow_scep_http | true | Флаг использования протокола HTTP при взаимодействии с ним по протоколу SCEP. Если установлено значение «false», то программа отключает от веб‑сервера HTTP‑конфигурацию для SCEP‑сервиса |
max_requests_count | '30' | Максимальное число параллельных HTTP запросов При превышении числа запросов в систему данного значения, для последующих запросов будет возвращаться HTTP код ошибки 429 (Слишком много запросов). Настраивается разработчиком, редактировать не следует. |
[1] Инструкция по установке и настройке cpnginx - https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/440/0/nginx-gost-binary-packages. Описание порядка конфигурирования наборов шифров представлено в разделе 6.
[2] Указан идентификатор шаблона «Smartcard Logon»
Создание и настройка базы данных
Перед установкой Центра регистрации Aladdin eRA необходимо создать и настроить базу данных Центра регистрации Aladdin eRA. Это может быть выполнено одним следующих из способов:
- В автоматическом режиме, посредством запуска скрипта.
- В ручном режиме.
После создания и настройки базы данных пароль пользователя базы данных, заданный в конфигурационном файле /opt/aecaRa/scripts/config.sh в параметре database_password, отображается в зашифрованном виде. Шифрование пароля выполняется по алгоритму AES‑256 с использованием автоматически сгенерированного в файле /opt/aecaRa/scripts/key ключа шифрования. Пароль не должен содержать специальные символы «|» и «\».
Созданная база данных (имя базы данных по умолчанию aecara) предназначена для хранения информации:
- об учётных записях;
- о заявках;
- о правилах выдачи сертификатов;
- журнала событий;
- о ролях пользователей;
- о правах, определённых для ролей пользователей.
Создание и настройка базы данных в автоматическом режиме
Перед созданием базы данных в конфигурационном файле /opt/aecaRa/scripts/config.sh должны быть заданы параметры создаваемой базы данных в (см. раздел 4.2 настоящего руководства).
Для создания и настройки базы данных запустите скрипт, выполнив команду от имени суперпользователя[1]:
sudo bash /opt/aecaRa/scripts/database_create.shВ результате выполнения скрипта будет создана база данных с параметрами, указанными в конфигурационном файле /opt/aecaRa/scripts/config.sh (имя пользователя, пароль, имя базы данных).
[1] Выполнение скрипта требует наличия утилиты psql из пакета СУБД (postgresql, postgresql-client, postgrespro-std, jatoba4-client).
Создание и настройка базы данных PostgreSQL в ручном режиме
Требования к настройке предварительно установленной СУБД PostgreSQL:
- создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
- создание базы данных, используемой программой в процессе работы;
- назначение созданному пользователю полных прав доступа к созданной базе данных.
Возможно использование локальной СУБД или удалённой, доступной для подключений.
- Запустите PostgreSQL, выполнив команду:
sudo systemctl start postgresql- Добавьте запуск PostgreSQL в автозагрузку, выполнив команду:
sudo systemctl enable postgresql- Зайдите под пользователем «postgres» в PostgreSQL, выполнив команду:
sudo ‑u postgres psql- Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;где aeca – задаваемое имя пользователя по умолчанию, в случае указания отличного имени пользователя, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';где ‘aeca’ – задаваемый пароль пользователя по умолчанию. В случае указания отличного пароля, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;где aecara – задаваемое имя базы данных по умолчанию, в случае указания отличного имени базы данных, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;- Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;\q- Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit- Перезапустите СУБД PostgreSQL, выполнив команду:
sudo systemctl restart postgresql- Установите расширение pgcrypto в БД PostgreSQL, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecaraгде aecara – имя созданной базы данных.
Требования к настройке предварительно установленной СУБД PostgreSQL:
- создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
- создание базы данных, используемой программой в процессе работы;
- назначение созданному пользователю полных прав доступа к созданной базе данных.
Возможно использование локальной СУБД или удалённой, доступной для подключений.
- Запустите PostgreSQL, выполнив команду:
sudo systemctl start postgresql- Добавьте запуск PostgreSQL в автозагрузку, выполнив команду:
sudo systemctl enable postgresql- Зайдите под пользователем «postgres» в PostgreSQL, выполнив команду:
sudo ‑u postgres psql- Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;где aeca – задаваемое имя пользователя по умолчанию, в случае указания отличного имени пользователя, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';где ‘aeca’ – задаваемый пароль пользователя по умолчанию. В случае указания отличного пароля, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;где aecara – задаваемое имя базы данных по умолчанию, в случае указания отличного имени базы данных, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).
- Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;- Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;\q- Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit- Перезапустите СУБД PostgreSQL, выполнив команду:
sudo systemctl restart postgresql- Установите расширение pgcrypto в БД PostgreSQL, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecaraгде aecara – имя созданной базы данных.
Требования к настройке предварительно установленной СУБД Jatoba:
- создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
- создание базы данных, используемой Программой в процессе работы;
- назначение созданному пользователю полных прав доступа к созданной базе данных.
Возможно использование локальной СУБД или удаленной, доступной для подключений.
- Запустите Jatoba, выполнив команду:
sudo systemctl start jatoba‑[версия]Добавьте запуск Jatoba в автозагрузку, выполнив команду:
sudo systemctl enable jatoba‑[версия]- Зайдите под пользователем «postgres» в Jatoba, выполнив команду:
РЕД ОС | sudo ‑u postgres psql |
Astra Linux SE | sudo ‑u postgres psql |
Альт Сервер | sudo – postgres ‑s /bin/bash ‑bash‑4.4$ /usr/jatoba‑[версия]/bin/psql psql |
- Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;где aeca – задаваемое имя пользователя.
- Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';где ‘aeca’ – задаваемый пароль пользователя.
Внимание! Пароль не должен содержать специальные символы «|» и «\».
- Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;где aecara – задаваемое имя базы данных.
- Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;- Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;\q- Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit- Перезапустите СУБД Jatoba, выполнив команду:
sudo systemctl restart jatoba‑[версия]- Установите расширение pgcrypto в БД Jatoba, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecaraгде aecara – имя созданной базы данных.
Установка программы
Для инициализации процесса установки Центра регистрации Aladdin eRA необходимо запустить скрипт с правами суперпользователя[1]:
sudo bash /opt/aecaRa/scripts/install.sh- В случае запуска от имени пользователя, не имеющего соответствующих привилегий, будет выведено сообщение, после которого работа инсталлятора завершится:
"This script must be run as root!"- При использовании Astra Linux Special Edition и наличии мандатных политик[2] может быть выведено сообщение:
ВАЖНО: error obtaining MAC configuration for user "aeca"В данном случае явно назначьте классификационную метку пользователю aeca, выполнив команду:
sudo pdpl‑user ‑l 0:0 aecaИ повторно запустите скрипт установки.
После инициализации процесса установки интерактивный инсталлятор запущен и пользователю будет предложено (в случае, если ранее Центр регистрации Aladdin eRA был установлен):
- установить ПО;
- обновить ПО;
- завершить работу инсталлятора.
Подтвердите выбор действия, вводом цифры «1» и процесс установки ПО будет запущен.
В случае, если в конфигурационном файле /opt/aecaRа/scripts/config.sh не определён используемый веб‑сервер или введено неверное значение параметра webserver, то в процессе установки пользователю будет предложено выбрать используемый веб‑сервер:
- apache;
- nginx;
- cpnginx;
Подтвердите выбор действия вводом цифры «1», «2» или «3».
В случае, если в конфигурационном файле /opt/aecaRа/scripts/config.sh не определено расположение конфигурации выбранного веб‑сервера (параметр webserver_path), то в процессе установки пользователю будет предложено ввести расположение конфигурации.
В процессе установки требуется ввести полный путь до ранее подготовленных и скопированных на жёсткий диск файлов:
- контейнера сертификата PKCS#12, используемого для авторизации в Центре сертификации Aladdin eCA;
- контейнера сертификата PCS#12 веб‑сервера.
В процессе установки осуществляется:
- создание системного пользователя и соответствующей группы, от имени которых функционирует Центр регистрации Aladdin eRA;
- установка прав для создаваемого пользователя Центра регистрации Aladdin eRA;
- установка контейнера сертификата, используемого для авторизации в Центре сертификации AladdineСA;
- установка контейнера сертификата веб‑сервера Центра регистрации Aladdin eRA;
- подготовка, установка параметров и служебных сервисов;
- запуск служебных сервисов;
- запись номера сборки Центра регистрации Aladdin eRA в базу данных[3].
Ход установки программы отображён в виде горизонтальной шкалы с указанием процентов выполнения установки. В случае возникновения ошибки установка будет прекращена, сообщение об ошибке будет выведено в консоль пользователя.
После первичной установки программного средства системному пользователю aeca будет назначена командная оболочка /sbin/nologin, которая запрещает интерактивный вход в ОС. При обновлении ПО командная оболочка не меняется. Чтобы сменить командную оболочку, выполните команду:
sudo usermod ‑s /bin/bash aeca[1] Выполнение скрипта требует наличия утилиты psql из пакета СУБД (postgresql, postgresql-client, postgrespro-std, jatoba4-client).
[2] Подробная информация по аутентификации в СУБД PostgreSQL для Astra Linux Special Edition приведена в https://wiki.astralinux.ru/pages/viewpage.action?pageId=238751148
[3] Значение номера сборки записывается в таблицу «build_info» схемы «aeca_ra_info».