Avanpost FAM/MFA+ : Установка FAM Server в Linux

Avanpost FAM Server – основной компонент системы аутентификации, который предоставляет потребителям услуги аутентификации, набор веб-сервисов и API для других компонентов системы. Способ и особенности установки основного серверного компонента зависят от типа ОС, в которой осуществляется установка. 

Тип ОССпособ установки
  • Oracle Linux 8; Oracle Linux 9;
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8.

Установка из rpm-пакета

  • Debian 11, 12, 13;
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10.

Установка из deb-пакета

  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE
  • RedОС Сервер 7, RedОС Сервер 8
Установка из tar.gz-архива

Требования к окружению

Перед выполнением развертывания Avanpost FAM Server необходимо, что выполняется соблюдение следующих условий:

Примечание

Установка и настройка указанных программ выходит за границы текущей инструкции и описана в справочных руководствах, идущих в комплекте с операционной системой Linux, на которой производится развёртывание.

Способ установкиУстановленные программыДополнительные требования
Установка из rpm-пакета
  • sudo программа выполнения команд от имени суперпользователя.
  • openssl программа управления сертификатами;
  • psql CLI-клиент из состава PostgreSQL;
  • nginx веб-сервер/прокси-сервер;
  • xmlsec1 — программа управления проверкой подписи XML (для использования SAML);
  • xmlsec1-openssl программа управления проверкой подписи XML на основе библиотеки OpenSSL (для использования SAML).
Требуются выполнить синхронизацию времени в ОС с сервером синхронизации времени.
Установка из deb-пакета
  • sudo программа выполнения команд от имени суперпользователя.
  • openssl программа управления сертификатами;
  • psql CLI-клиент из состава PostgreSQL;
  • nginx веб-сервер/прокси-сервер;
  • xmlsec1 — программа управления проверкой подписи XML (для использования SAML);
  • xmlsec1-openssl программа управления проверкой подписи XML на основе библиотеки OpenSSL (для использования SAML).
Установка из tar.gz-архива
  • sudo программа выполнения команд от имени суперпользователя.
  • openssl программа управления сертификатами;
  • psql CLI-клиент из состава PostgreSQL;
  • nginx веб-сервер/прокси-сервер;
  • xmlsec1 — программа управления проверкой подписи XML (для использования SAML);
  • xmlsec1-openssl программа управления проверкой подписи XML на основе библиотеки OpenSSL (для использования SAML);
  • tar программа архивирования.

Состав установочного пакета

В установочном пакете содержится:

  • набор дистрибутивов основного серверного компонента Avanpost FAM с файлами, необходимыми для установки; 
  • основной конфигурационный файл, необходимый для работы серверной части, предварительно настроенный для выполнения базового развёртывания с помощью текущей инструкции;
  • минимальный конфигурационный файл для Nginx.

При внесении изменений в конфигурационный файл выполнение развёртывания должно производиться с учётом возможного влияния изменённых параметров в сравнении с конфигурационным файлом из дистрибутива.

Создание и развёртывание базы данных

Создать пользователя СУБД avanpost с паролем и базу данных idp с помощью команд:

sudo -u postgres psql
CREATE USER avanpost WITH PASSWORD 'Passw0rd';
CREATE DATABASE idp OWNER=avanpost ENCODING=utf8;
\q
CREATE USER avanpost WITH PASSWORD 'Passw0rd'

Команда SQL, выполняемая в среде psql, которая создает нового пользователя с именем avanpost и заданным паролем 'Passw0rd'

CREATE DATABASE idp OWNER=avanpost ENCODING=utf8

Команда SQL для создания новой базы данных с именем idp. Опции OWNER=avanpost устанавливают пользователя avanpost в качестве владельца базы данных. Опция ENCODING=utf8 устанавливает кодировку базы данных на UTF-8

В случае потребности в изменении реквизитов базы данных (сервера БД, наименования БД, имени пользователя или пароля) необходимо вписать корректные реквизиты в конфигурационный файл /opt/idp/config.toml в формате PostgreSQL Connection URI в параметр connectionString в секцию database

Найти файл pg_hba.conf. Т.к. путь к файлу pg_hba.conf для разных ОС может отличаться, воспользоваться командой: 

find / -name 'pg_hba.conf'

В файле /etc/postgresql/версия/main/pg_hba.conf изменить метод аутентификации на md5 для IPv4 (host all all 127.0.0.1/32) и IPv6 (host all all ::1/128) подключений:

После внесения изменений в pg_hba.conf перезапустить PostgreSQL.

Обсуждение