Инсталляция Access Manager

Сценарий Инсталляция АМ включает как первичную установку Access Manager, так и установку Access Manager, в случае если у пользователя нет резервной копии. Чтобы начать инсталляцию, после выбора сценария нажмите Далее.

Схема хостов

Хост представляет собой физический или виртуальный сервер, на котором располагаются компоненты Access Manager.

Добавить хост

1. Нажмите Добавить хост.

   Максимальное количество хостов — 20.

   Примечание

   Прежде чем добавить хост для компонента Core Server, вы можете выбрать провайдеры аутентификации, которые будут установлены на одном хосте с Core Server. Также вы можете добавить провайдеры после настройки хоста.

2. Используя подсказки мастера конфигурации, введите параметры SSH и укажите информацию о сервисной учетной записи.

   Важно

   Сервисная учетная запись должна состоять в группе sudo.

3. Используя подсказки мастера конфигурации, введите параметры HTTPS.

   Если вы планируете использовать балансировщик нагрузки, укажите этот HTTPS-адрес в конфигурационном файле балансировщика.

4. Нажмите Проверить хост.

   Примечание

   При проверке хоста происходит SSH-подключение для попытки соединения с сервером. Введенные данные можно добавить в мастер конфигурации без проверки соединения.

   При необходимости данные хоста можно отредактировать после добавления.

5. Добавьте на хост серверные компоненты.

   Обязательные компоненты включают Log Server, Identity Provider, Management Console и User Console. Вы можете добавить компоненты на один хост с Core Server или создать отдельный хост для каждого обязательного компонента.

6. Нажмите Добавить для перехода к следующему шагу.

7. Просмотрите таблицу хостов и проверьте правильность заполненных данных.

   • Чтобы отредактировать данные хоста, нажмите , внесите изменения и нажмите Сохранить.

   • Чтобы удалить хост, нажмите . После удаления компоненты Access Manager не удаляются с хоста автоматически. При удалении всех хостов дальнейшее прохождение сценария мастера конфигурации будет недоступно.

Адрес балансировщика

Для повышения отказоустойчивости и производительности используйте балансировщик нагрузки.

1. Выберите опцию Использовать сторонний балансировщик и заполните таблицу с учетом следующих рекомендаций:
   • Чтобы указать один общий адрес балансировщика для каждого установленного на одном хосте компонента, выберите опцию Использовать один адрес балансировщика для всех компонентов.
   • Укажите адрес балансировщика, если вы планируете использовать более одного экземпляра какого-либо серверного компонента Access Manager, например два компонента Core Server.
   • Для одного хоста можно указать только один адрес балансировщика.
   • Если для балансировщика необходимо использовать порт не по умолчанию (443), укажите его в таблице в формате balance.indeed.test:5443.
2. Чтобы убедиться, что указанные адреса доступны, нажмите Проверить адреса балансировщиков.

Провайдеры

Провайдер в Access Manager представляет собой систему аутентификации, которая предоставляет механизмы защиты для проверки подлинности.

По умолчанию на хост с Core Server устанавливается доменный пароль. Дополнительно из выпадающего списка можно выбрать другие провайдеры, которые устанавливаются на хосте с Core Server.

При установке Key Server добавьте провайдер Key Provider (Indeed Key).

Сертификаты

Загрузите заранее подготовленные сертификаты для добавленного хоста.

1. Добавьте сертификаты открытого ключа домена или стороннего УЦ с расширением .pem, .crt или .cer.

2. Добавьте серверные сертификаты с расширением .pfx, выписанные на DNS-имя хоста, и укажите пароль.

   Вы можете использовать общий сертификат для всех хостов Access Manager. Включите опцию Использовать общий сертификат и нажмите Добавить сертификат. Сертификат должен содержать DNS-имена всех хостов Access Manager и балансировщиков (при наличии).

   Примечание

   Сертификат .pfx должен иметь расширение Использование ключа (Key Usage) с разрешениями Цифровая подпись (Digital Signature) и Шифрование ключей (Key Encipherment).

3. (Опционально) Сгенерируйте клиентский сертификат для более безопасного взаимодействия модулей интеграции с Core Server.

   1. Нажмите Сгенерировать сертификат.
   2. В открывшемся окне задайте имя сертификата.
   3. Нажмите Добавить.
   4. Скачайте сгенерированный сертификат с расширением .pfx.

4. Нажмите Далее для перехода к следующему шагу.

Каталоги пользователей

С помощью мастера конфигурации можно добавить несколько каталогов пользователей.

Автоматическое добавление

Если ранее вы устанавливали AM, не используя мастер конфигурации, данные каталогов пользователей можно заполнить автоматически. Для этого:

1. Нажмите Импортировать.

2. Загрузите конфигурационный файл:

   • из AM 9.x: am/core/app-settings.json
   • из AM 8.2: C:\inetpub\wwwroot\am\core\Web.config

3. После появления сообщения Данные импортированы проверьте данные.

   При необходимости данные каталога можно отредактировать после добавления.

4. Нажмите Далее для перехода к следующему шагу.

Ручное добавление

Чтобы добавить каталог пользователей вручную:

1. Нажмите Добавить каталог.

2. Заполните поля, используя подсказки мастера конфигурации.

   При необходимости данные каталога можно отредактировать после добавления.

3. (Опционально) Чтобы проверить соединение и адрес подключения, нажмите Проверить каталог.

   Примечание

   Для проверки LDAPS-соединения используется сертификат открытого ключа, добавленный на шаге Сертификаты.

4. При необходимости отредактируйте соответствие атрибутов пользователей.

   Список атрибутов:

   • Active Directory, Samba DC, РЕД АДМ
   • FreeIPA
   • ALD Pro
   Примечание

   • Если вы используете версию FreeIPA 4.6-4.9, в настройке Соответствие атрибутов пользователя для атрибута AM идентификатор контейнера (ID) задайте значение entrydn.

   • Если вы используете каталог РЕД АДМ с модулем RDP Windows Logon, в настройке Соответствие атрибутов пользователя для атрибута AM уникальное имя пользователя (SamCompatibleName) задайте значение sn.

5. Нажмите Добавить.

6. Нажмите Далее для перехода к следующему шагу.

Базы данных

Access Manager поддерживает работу с Microsoft SQL и PostgreSQL.

Автоматическое добавление

Если ранее вы устанавливали AM, не используя мастер конфигурации, информацию о базе данных Core Server можно заполнить автоматически. Для этого:

1. Нажмите Импортировать.

2. Загрузите конфигурационный файл:

   • из AM 9.x: am/core/app-settings.json
   • из AM 8.2: C:\inetpub\wwwroot\am\core\Web.config

3. После появления сообщения Данные импортированы проверьте данные.

4. Нажмите Далее для перехода к следующему шагу.

Ручное добавление

Чтобы добавить базу данных вручную:

1. Заполните информацию о выбранной СУБД, используя подсказки мастера конфигурации.

2. Введите логин и пароль пользователя базы данных.

3. Выберите тип алгоритма шифрования и сгенерируйте ключ.

   Важно

   Если вы используете такие алгоритмы шифрования, как RC2, TripleDes или DES, сначала добавьте ключ в мастер конфигурации, а затем внесите изменения в конфигурационный файл am/core/app-settings.json.

   В блоке Storage в строке Algorithm добавьте тип используемого алгоритма.

4. Введите данные для подключения к Log Server.

5. Нажмите Добавить.

6. Нажмите Далее для перехода к следующему шагу.

Сессионный ключ

1. Нажмите Сгенерировать новый ключ. При генерации нового ключа шифрования все текущие сессии станут недоступными.
2. Нажмите Далее для перехода к следующему шагу.

Логирование

1. При необходимости измените уровень логирования серверных компонентов.
2. Нажмите Далее для перехода к следующему шагу.

Syslog

Опционально добавьте соединение с Syslog-сервером, чтобы использовать хранилище данных Syslog в компоненте Log Server. Пример настройки Syslog-сервера описан в разделе Настройка окружения.

Первичный администратор

1. Назначьте первичного администратора:

   • Вручную: укажите ID в формате GUID учетной записи пользователя, которому будут выданы права первичного администратора. Как получить GUID первичного администратора.
   • Автоматически: укажите логин и пароль учетной записи пользователя из выбранного каталога.

2. Нажмите Далее для перехода к следующему шагу.

Выдать права администратора другим пользователям можно в Management Console после установки.

Key Server

Примечание

Этот раздел доступен в мастере конфигурации, если в разделе Схема хостов добавлен хост для Key Server.

1. В разделе Параметры взаимодействия с Access Manager в поле Доверенный ID введите произвольный уникальный идентификатор.

   Значение идентификатора должно совпадать со значением в настройке провайдера Indeed Key Доверенный ID Indeed Key Server в Management Console.

2. В разделе Параметры взаимодействия с мобильным приложением Indeed Key введите внешний адрес и внешний порт.

   Эти параметры необходимы для дальнейшей регистрации и получения push-уведомлений на мобильном устройстве.

3. Для связи мобильного приложения с Key Server используйте внешний сертификат.

   • Оставьте опцию Использовать внешний сертификат выключенной и используйте сертификат, добавленный в разделе Сертификаты. В таком случае убедитесь, что в альтернативных именах этого сертификата указан внешний адрес.

   • Включите опцию Использовать внешний сертификат и выберите сертификат:

     • Сертификат от стороннего УЦ — добавьте серверный сертификат (PFX) и сертификат открытого ключа.
     • Сертификат, выданный службой поддержки Indeed — добавьте только серверный сертификат (PFX). Сертификат открытого ключа не требуется.

Резервное копирование

Резервная копия мастера конфигурации — это зашифрованный файл, который используется для восстановления настроек мастера. Этот файл потребуется для изменения конфигурации текущей версии Access Manager.

Предупреждение

Сохраните файл резервной копии мастера конфигурации и запомните пароль.

Без резервной копии и пароля вы не сможете в дальнейшем изменить конфигурацию Access Manager с помощью мастера.

Чтобы сохранить резервную копию мастера конфигурации:

1. Задайте пароль для резервной копии мастера конфигурации.
2. Нажмите Скачать резервную копию.
3. Нажмите Далее для перехода к следующему шагу.

Чтобы сохранить резервную копию конфигурации AM:

1. Включите функцию Сохранять резервные копии АМ. По умолчанию функция отключена.

2. Нажмите Параметры резервного копирования АМ и задайте данные:

   • Путь установки АМ — путь к текущей версии АМ. Значение по умолчанию: /opt/am.

     Примечание

     Если вы добавили несколько хостов, укажите одинаковый путь установки AM для всех хостов. Чтобы резервная копия была создана успешно, конфигурационные файлы компонентов Access Manager на всех хостах должны находиться в этой папке.

   • Путь сохранения резервных копий — путь к папке для хранения резервных копий. Значение по умолчанию: /opt/am_backup.

3. Нажмите Сохранить.

   Резервная копия содержит копию папки /am. Если на момент сохранения в папке оставались архивы tar.gz, они также сохраняются.

4. При необходимости отключите функцию Удалять локальные Docker-образы. По умолчанию функция включена.

   Функция удаляет уже загруженные в локальное хранилище образы Docker. Полный список загруженных образов можно посмотреть с помощью команды:

   sudo docker images

5. Нажмите Скачать резервную копию.

6. Нажмите Далее для перехода к следующему шагу.

Установка AM

Выберите сценарий установки Access Manager:

Автоматическая установка

Выберите автоматическую установку, чтобы установить Access Manager с помощью мастера конфигурации.

Если вы устанавливаете компоненты Access Manager на нескольких хостах, начните установку последовательно для каждого хоста. Начать установку каждого следующего компонента можно только после завершения установки предыдущего.

1. Нажмите Начать и дождитесь завершения установки.

   В случае возникновения ошибки, скачайте лог-файл и при необходимости обратитесь в техническую поддержку.

2. Чтобы завершить работу мастера, выполните следующую команду в терминале:

   sudo bash ./setup.sh stop

Ручная установка

Выберите ручную установку, чтобы с помощью мастера создать архив с заполненными конфигурационными файлами для дальнейшей самостоятельной установки Access Manager. Для каждого хоста создается отдельная конфигурация, которую можно скачать как одним архивом, так и по отдельности.

1. Нажмите Начать и дождитесь завершения установки.

   В случае возникновения ошибки, скачайте лог-файл и при необходимости обратитесь в техническую поддержку.

2. Нажмите Скачать архив, переместите архив на необходимый хост и распакуйте его. Конфигурационные файлы заполнены с помощью мастера конфигурации.

3. Чтобы завершить работу мастера, выполните следующую команду в терминале:

   sudo bash ./setup.sh stop

4. Перенесите архив на целевой хост и выполните шаги по ручной настройке.