Компонент Avanpost FAM SelfService — серверный компонент, предназначенный для публикации в DMZ общего личного кабинета, сформированного на базе нескольких личных кабинетов FAM Server.
Компонент обеспечивает следующие функции:
- реализовать общий личный кабинет на основе опроса нескольких экземпляров Avanpost FAM Server;
- публиковать личный кабинет Avanpost Server в DMZ (демилитаризованную зону);
- выполнять функцию сервера авторизации, затем проксируя запросы авторизации в FAM Server через NATS-сервер.
Компонент Avanpost FAM SelfService предназначен для случаев, когда используется несколько экземпляров Avanpost FAM Server, связанных в отказоустойчивый кластер и синхронизирующих данные посредством репликации. Avanpost FAM SelfService позволяет сформировать общий единый личный кабинет на базе личных кабинетов экземпляров FAM Server. При этом в стандартной ситуации сформированный общий кабинет в целях безопасности публикуется в DMZ (демилитаризованная зона), передавая данные в FAM Server посредством настроенного NATS-сервера.
Системные требования
Установка компонента рекомендуется на следующих серверных операционных системах и платформах:
Платформа | Операционная система | Формат поставки | Прочие требования |
---|---|---|---|
Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.) | Oracle Linux 8, Oracle Linux 9 | rpm-пакет, .tar.gz-архив | Требования к сетевым ресурсам для функционирования FAM Self Service соответствуют требованиям, предъявляемым к развернутым экземплярам FAM Server, для поддержки которых используется компонент. |
CentOS 7, CentOS 8, CentOS Stream | rpm-пакет, .tar.gz-архив | ||
RHEL 7, RHEL 8 | rpm-пакет, .tar.gz-архив | ||
Альт (Alt) 8 СП Сервер, Альт Сервер 9, Альт Сервер 10 | rpm-пакет, .tar.gz-архив | ||
РедОС Сервер 7 | rpm-пакет, .tar.gz-архив | ||
Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE | deb-пакет, .tar.gz-архив | ||
Debian 11, Debian 12, Debian 13 | deb-пакет, .tar.gz-архив | ||
Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022 | zip-архив |
Для оценки серверных ресурсов, необходимых для функционирования системы аутентификации на базе продуктов Avanpost FAM/MFA+ в обозначенных средних случаях, следует воспользоваться соответствующей документацией.
Варианты развертывания
Установка Avanpost SelfService допускается на серверы под управлением Linux ОС и Windows ОС:
Безопасность
TLS-шифрование передаваемых данных
При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.
TLS-шифрование обеспечивает следующую функциональность в рамках Avanpost FAM SelfService:
- Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
- Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
- Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.
Публикация личного кабинета в DMZ
Публикация личного кабинета в DMZ позволяет разместить общий личный кабинет, сформированный для экземпляров FAM Server, в отдельном изолированном сегменте сети. Так как отсутствуют прямые контакты между открытыми для общего доступа серверами и экземплярами Avanpost FAM Server, данный подход повышает безопасность, изолируя экземпляры Avanpost FAM Server в случае взлома сервера с общим личным кабинетом.
Авторизация в NATS-сервере доступна следующими способами:
- Через использование логина и пароля.
- Через использование токена.