Системные требования
Установка компонента рекомендуется на следующих серверных операционных системах и платформах:
Платформа | Операционная система | Формат поставки | Веб-сервер | СУБД |
---|---|---|---|---|
Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.) | Oracle Linux 8, Oracle Linux 9 | rpm-пакет, .tar.gz-архив | Nginx 1.25 |
|
CentOS 7, CentOS 8, CentOS Stream | rpm-пакет, .tar.gz-архив | |||
RHEL 7, RHEL 8 | rpm-пакет, .tar.gz-архив | |||
Альт (Alt) 8 СП Сервер, Альт Сервер 9, Альт Сервер 10 | rpm-пакет, .tar.gz-архив | |||
РедОС Сервер 7 | rpm-пакет, .tar.gz-архив | |||
Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE | deb-пакет, .tar.gz-архив | |||
Debian 11, Debian 12, Debian 13 | deb-пакет, .tar.gz-архив |
Для оценки серверных ресурсов, необходимых для функционирования системы аутентификации на базе продуктов Avanpost FAM/MFA+ в обозначенных средних случаях, следует воспользоваться соответствующей документацией.
Архитектура
На схеме изображены возможные взаимодействия компонента Avanpost FAM Server c другими компонентами системы (нумерация списка соответствует нумерации стрелок на схеме):
- Передача запросов от пользователей и клиентских компонентов системы к Avanpost FAM Server;
- Отправка исходящих запросов на аутентификацию в мобильное приложение Avanpost Authenticator и обработка входящих запросов от мобильного приложения через компонент Avanpost FAM Mobile Services;
- Выполнение подписи сообщений через криптопровайдер (опционально при необходимости использования ГОСТ-алгоритмов подписи и шифрования);
- Чтение и сохранение данных;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным Avanpost FAM Windows Logon;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным Avanpost FAM Agent для сценариев интеграции с Enterprise SSO-приложениями;
- Отправка запросов на аутентификацию со стороны Linux АРМ с установленным Avanpost FAM Linux Logon;
- Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.
- Передача запросов на аутентификацию со стороны Avanpost FAM LDAP Proxy для сценариев интеграции приложений с поддержкой только LDAP-аутентификации.
В состав компонента Avanpost FAM Server входят следующие обязательные модули:
- Avanpost FAM Server;
- Nginx.
Допускается использование другого веб-сервера вместо Nginx при выполнении ручной настройки публикации веб-интерфейсов с учётом особенностей указанного веб-сервера.
Также для функционирования Avanpost FAM Server обязательно использование базы данных на основе СУБД PostgreSQL (компонент Avanpost FAM Database).
Дополнительно для выполнения отдельных операций может потребоваться использование в составе Avanpost FAM Server криптопровайдера (к примеру, КриптоПро CSP, КриптоПро JCP и т.д.).
Сетевые взаимодействия
Схема доступных сетевых взаимодействий:
В таблице указаны сетевые интерфейсы компонента Avanpost FAM Server доступные для внешних вызовов:
Сетевой интерфейс | Назначение | Протокол | Порты по умолчанию |
---|---|---|---|
Web Auth UI | Аутентификация в веб-приложения, подключенные через OAuth/OpenID Connect, SAML, Reverse Proxy | HTTP | 80 |
SelfService Web UI | Самообслуживание пользователей через веб-интерфейс личного кабинета | HTTP | 80 |
Admin Web UI | Администрирование системы через веб-интерфейс административной консоли | HTTP | 80 |
Reverse Proxy | Внешние запросы пользователей в направлении веб-приложений, подключенных к механизму Reverse Proxy | HTTP | 80 |
gRPC API | Запросы со стороны прикладных компонентов Windows Logon (Credential Provider), Linux Logon (PAM Linux), Agent, LDAP Proxy | gRPC | 9007 |
REST API | Управляющие запросы со стороны произвольных прикладных интеграций | HTTP | 80 |
Metrics | Запросы на сбор метрик | HTTP | 80 |
В таблице указаны внешние обращения к другим сетевым интерфейсам со стороны компонента Avanpost FAM Server:
Механизм | Назначение | Протокол | Порты по умолчанию |
---|---|---|---|
Syslog | Отправка сообщений по syslog | HTTP | 80 |
Mobile Services | Отправка Push-запросов, обработка внешних запросов на Mobile API для мобильного приложения-аутентификатора | HTTP | 80 |
LDAP Sync | LDAP-синхронизация, LDAP-аутентификация | HTTP | 80 |
Варианты развёртывания
Стандартное развёртывание
Выполняется в конфигурации одного узла.
Рекомендуется развёртывание с использованием как минимум 2 серверов/VM:
- Сервер приложений;
- Сервер БД.
Отказоустойчивое развёртывание
Описано в статье про развёртывание системы.