Общие сведения
Системные требования
Установка компонента рекомендуется на следующих серверных операционных системах и платформах:
| Платформа | Операционная система | Формат поставки | Веб-сервер | СУБД |
|---|---|---|---|---|
| Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.) | Oracle Linux 8, Oracle Linux 9 | rpm-пакет, .tar.gz-архив | Nginx 1.25 |
|
| CentOS 7, CentOS 8, CentOS Stream | rpm-пакет, .tar.gz-архив | |||
| RHEL 7, RHEL 8 | rpm-пакет, .tar.gz-архив | |||
| Альт (Alt) 8 СП Сервер, Альт Сервер 9, Альт Сервер 10 | rpm-пакет, .tar.gz-архив | |||
| РедОС Сервер 7 | rpm-пакет, .tar.gz-архив | |||
| Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE | deb-пакет, .tar.gz-архив | |||
| Debian 11, Debian 12, Debian 13 | deb-пакет, .tar.gz-архив |
Архитектура
На схеме изображены возможные взаимодействия компонента Avanpost FAM Server c другими компонентами системы (нумерация списка соответствует нумерации стрелок на схеме):
- Передача запросов от пользователей и клиентских компонентов системы к Avanpost FAM Server;
- Отправка исходящих запросов на аутентификацию в мобильное приложение Avanpost Authenticator и обработка входящих запросов от мобильного приложения через компонент Avanpost FAM Mobile Services;
- Выполнение подписи сообщений через криптопровайдер (опционально при необходимости использования ГОСТ-алгоритмов подписи и шифрования);
- Чтение и сохранение данных;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным Avanpost FAM Windows Logon;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным Avanpost FAM Agent для сценариев интеграции с Enterprise SSO-приложениями;
- Отправка запросов на аутентификацию со стороны Linux АРМ с установленным Avanpost FAM Linux Logon;
- Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.
- Передача запросов на аутентификацию со стороны Avanpost FAM LDAP Proxy для сценариев интеграции приложений с поддержкой только LDAP-аутентификации.
В состав компонента Avanpost FAM Server входят следующие обязательные модули:
- Avanpost FAM Server;
- Nginx.
Допускается использование другого веб-сервера вместо Nginx при выполнении ручной настройки публикации веб-интерфейсов с учётом особенностей указанного веб-сервера.
Также для функционирования Avanpost FAM Server обязательно использование базы данных на основе СУБД PostgreSQL (компонент Avanpost FAM Database).
Дополнительно для выполнения отдельных операций может потребоваться использование в составе Avanpost FAM Server криптопровайдера, к примеру, КриптоПро CSP.
Сетевые взаимодействия
Схема доступных сетевых взаимодействий:
В таблице указаны сетевые интерфейсы компонента Avanpost FAM Server доступные для внешних вызовов:
| Сетевой интерфейс | Назначение | Протокол | Порты по умолчанию |
|---|---|---|---|
| Web Auth UI | Аутентификация в веб-приложения, подключенные через OAuth/OpenID Connect, SAML, Reverse Proxy | HTTP | 80 |
| SelfService Web UI | Самообслуживание пользователей через веб-интерфейс личного кабинета | HTTP | 80 |
| Admin Web UI | Администрирование системы через веб-интерфейс административной консоли | HTTP | 80 |
| Reverse Proxy | Внешние запросы пользователей в направлении веб-приложений, подключенных к механизму Reverse Proxy | HTTP | 80 |
| gRPC API | Запросы со стороны прикладных компонентов Windows Logon (Credential Provider), Linux Logon (PAM Linux), Agent, LDAP Proxy | gRPC | 9007 |
| REST API | Управляющие запросы со стороны произвольных прикладных интеграций | HTTP | 80 |
| Metrics | Запросы на сбор метрик | HTTP | 80 |
В таблице указаны внешние обращения к другим сетевым интерфейсам со стороны компонента Avanpost FAM Server:
| Механизм | Назначение | Протокол | Порты по умолчанию |
|---|---|---|---|
| Syslog | Отправка сообщений по syslog | HTTP | 80 |
| Mobile Services | Отправка Push-запросов, обработка внешних запросов на Mobile API для мобильного приложения-аутентификатора | HTTP | 80 |
| LDAP Sync | LDAP-синхронизация, LDAP-аутентификация | HTTP | 80 |
Варианты развёртывания
Стандартное развёртывание
Выполняется в конфигурации одного узла.
Рекомендуется развёртывание с использованием как минимум 2 серверов/VM:
- Сервер приложений;
- Сервер БД.
Отказоустойчивое развёртывание
Описано в статье про развёртывание системы.
Безопасность
Шифрование секретов и одноразовых кодов
Для шифрования секретов используется алгоритм AES в режиме CBC с ключом длиной 512 бит.
Надёжно шифруется и хранится в зашифрованном виде в полях БД следующая информация:
- Пароли учётных записей, которые требуется хранить в обратимом виде для подстановки за пользователя в режимах Reverse Proxy и Enterprise SSO;
- Секреты OpenID Connect-приложений;
- Секреты для TOTP;
- Разделяемые секреты RADIUS NAS;
- Пароли технологических УЗ для подключения к LDAP-каталогам;
- Одноразовые коды, используемые при отправке и временно хранимые в БД:
- OTP в SMS;
- OTP в E-mail;
- одноразовые коды для Avanpost Authenticator;
- OTP в push-оповещениях, отправляемые посредством мессенджера (Telegram).
Необратимое хеширование паролей пользователей
Для защиты основных паролей, которые хранятся в БД, а также секретов, для которых не требуется восстановление, по умолчанию используется необратимое хеширование при помощи алгоритма bcrypt со значением cost равным 10.