Avanpost FAM/MFA+ : 3.5.3. Компонент Avanpost FAM SelfService

Компонент Avanpost FAM SelfService — серверный компонент, предназначенный для публикации в DMZ общего личного кабинета, сформированного на базе нескольких личных кабинетов FAM Server

Компонент обеспечивает следующие функции:

  • реализовать общий личный кабинет на основе опроса нескольких экземпляров Avanpost FAM Server;
  • публиковать личный кабинет Avanpost Server в DMZ (демилитаризованную зону);
  • выполнять функцию сервера авторизации, затем проксируя запросы авторизации в FAM Server через NATS-сервер.

Компонент Avanpost FAM SelfService предназначен для случаев, когда используется несколько экземпляров Avanpost FAM Server, связанных в отказоустойчивый кластер и синхронизирующих данные посредством репликации. Avanpost FAM SelfService позволяет сформировать общий единый личный кабинет на базе личных кабинетов экземпляров FAM Server. При этом в стандартной ситуации сформированный общий кабинет в целях безопасности публикуется в DMZ (демилитаризованная зона), передавая данные в FAM Server посредством настроенного NATS-сервера.

Системные требования

Установка компонента рекомендуется на следующих серверных операционных системах и платформах:

ПлатформаОперационная системаФормат поставкиПрочие требования
Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.)Oracle Linux 8, Oracle Linux 9rpm-пакет, .tar.gz-архив

Требования к сетевым ресурсам для функционирования FAM Self Service соответствуют требованиям, предъявляемым к развернутым экземплярам FAM Server, для поддержки которых используется компонент.


CentOS 7, CentOS 8, CentOS Streamrpm-пакет, .tar.gz-архив
RHEL 7, RHEL 8rpm-пакет, .tar.gz-архив
Альт (Alt) 8 СП Сервер, Альт Сервер 9, Альт Сервер 10rpm-пакет, .tar.gz-архив
РедОС Сервер 7rpm-пакет, .tar.gz-архив
Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CEdeb-пакет, .tar.gz-архив
Debian 11, Debian 12, Debian 13deb-пакет, .tar.gz-архив
Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022zip-архив

Для оценки серверных ресурсов, необходимых для функционирования системы аутентификации на базе продуктов Avanpost FAM/MFA+ в обозначенных средних случаях, следует воспользоваться соответствующей документацией.

Варианты развертывания 

Установка Avanpost SelfService допускается на серверы под управлением Linux ОС и Windows ОС:

Безопасность 

TLS-шифрование передаваемых данных

При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.

TLS-шифрование обеспечивает следующую функциональность в рамках Avanpost FAM SelfService:

  • Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
  • Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
  • Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.

Публикация личного кабинета в DMZ

Публикация личного кабинета в DMZ позволяет разместить общий личный кабинет, сформированный для экземпляров FAM Server, в отдельном изолированном сегменте сети. Так как отсутствуют прямые контакты между открытыми для общего доступа серверами и экземплярами Avanpost FAM Server, данный подход повышает безопасность, изолируя экземпляры Avanpost FAM Server в случае взлома сервера с общим личным кабинетом.

Авторизация в NATS-сервере доступна следующими способами:

  • Через использование логина и пароля.
  • Через использование токена. 

Обсуждение