4.2. Установка базового серверного компонента

1. Создать пользователя idp при помощи команды: 

   sudo useradd -m idp
   

2. Задать пароль пользователя idp после ввода команды:

   sudo passwd idp
   

1. Добавить пользователя в группу с повышенными привилегиями, дающую права на выполнение команд через sudo):

   sudo usermod -aG wheel idp

1. Добавить пользователя в группу с повышенными привилегиями, дающую права на выполнение команд через sudo):

   sudo usermod -aG astra-admin idp

1. Добавить пользователя в группу с повышенными привилегиями, дающую права на выполнение команд через sudo):

   sudo usermod -aG wheel idp

1. Убедиться, что пользователь добавлен в группу, дающую права на выполнение команд от суперпользователя:

   sudo groups idp

1. Добавить репозиторий FAM:

   1. Создать файл fam.repo (если файл уже создавался ранее, сразу перейти к следующему шагу):

      sudo touch /etc/yum.repos.d/fam.repo

   2. Открыть файл в текстовом редакторе (в данном примере используется текстовый редактор vi):

      sudo vi /etc/yum.repos.d/fam.repo

   3. В файле fam.repo добавить следующую информацию, которая описывает репозиторий FAM:

      [FAM]
      name=FAM Repository
      baseurl=https://packages.avanpost.ru/repository/rpm-hosted/FAM/CentOS/
      enabled=1
      protect=0
      gpgcheck=0
      metadata_expire=30s
      autorefresh=1
      type=rpm-md

      Структура файла fam,repo

      name	Имя репозитория
      baseurl	путь к основному URL репозитория FAM Для CentOS указывается каталог CentOS, для других ОС ALT, REDOS, ROSA соответственно
      enabled	Разрешение на использование репозитория (1 - включен, 0 - отключен)
      protect	Защита от изменений (0 - отключена)
      gpgcheck	Проверка GPG-подписей пакетов (0 - отключена)
      metadata_expire	Время обновления метаданных репозитория (в секундах)
      autorefresh	Автоматическое обновление репозитория (1 - включено)
      type	Указание типа репозитория

   4. После создания/внесения изменений в файл рекомендуется проверить синтаксис и обновить кэш при помощи команд:

      sudo yum repolist
      sudo yum makecache

2. Обновить все установленные пакеты с помощью команды:

   sudo yum update

3. Выполнить установку пакета avpfam:

   sudo yum install -y avpfam --downloadonly --downloaddir=/tmp/ && rpm -i /tmp/avpfam-*

4. При развертывании rpm-пакета в диалоговом окне "Enter domain of FAM Server" ввести внешний домен сервера FAM для прописывания в файл конфигурации Ngnix:

   idp.avanpost.local

   Чтобы исключить (запретить) обновления определенных пакетов, открыть файл /etc/yum.conf (для CentOS 7 и ниже, RHEL 7 и ниже) или /etc/dnf/dnf.conf (для CentOS 8 и выше, RHEL 8 и выше) c помощью выбранного редактора:

   vi /etc/yum.conf
   # или
   vi /etc/dnf/dnf.conf

1. Добавить репозиторий Avanpost FAM в основной файл конфигурации sources.list. При помощи команды sed вставить строку https://packages.avanpost.ru/repository/deb-hosted/ linux main в файл sources.list в директории /etc/apt:

   sed -i '$ a\\ndeb https://packages.avanpost.ru/repository/deb-hosted/ linux main' /etc/apt/sources.list
   

2. Скачать публичный ключ репозитория, используя команду: 
   

   wget -q "https://docs.avanpost.ru/certs/deb-hosted.gpg.key"

3. Добавить публичный ключ в FAM Server при помощи команды: 


   sudo apt-key add deb-hosted.gpg.key

4. Обновить список пакетов при помощи команды через Advanced Packaging Tool: 


   sudo apt update

5. Установить пакет FAM, используя команду:


   sudo apt install avpfam

1. Если не установлены инструменты wget (предназначены для загрузки данных через протоколы HTTP, HTTPS и FTP), установить через Advanced Packaging Tool при помощи команды:

   sudo apt install wget

2. Скачать последнюю версию deb-пакета FAM Server, использую команду:

   wget https://packages.avanpost.ru/repository/deb-hosted/pool/a/avpfam/avpfam_*.*.*_amd64.deb --no-check-certificate

   где *.*.* – это номер версии пакета.

3. Выполнить установку пакета avpfam из директории расположения файла при помощи команды:

   sudo dpkg -i avpfam_*.*.*_amd64.deb

1. Создать директорию /opt/idp:

   sudo mkdir /opt/idp

2. Изменить владельца созданной директории (включая файлы и поддиректории в ней) на пользователя idp:

   sudo chown -R idp:idp /opt/idp

3. Переключиться на служебного пользователя idp: 

   sudo su idp

4. Перейти в созданную директорию /opt/idp:

   cd /opt/idp

5. В зависимости от расположения скачанного файла с архивом дистрибутива Avanpost FAM Server скопировать архив из исходной директории (заменить в команде /source-path на правильный путь с расположением архива дистрибутива Avanpost.*.tar.gz) в целевую директорию  /opt/idp:
   

   cp /source-path/Avanpost.*.tar.gz -t /opt/idp

6. Распаковать файлы дистрибутива из архива, находясь в той же директории:
   

   tar -xvzf Avanpost.*.tar.gz

7. После успешной распаковки удалить архив дистрибутива:
   

   rm Avanpost.*.tar.gz

8. Скопировать базовый конфигурационный файл config.toml.default в config.toml:
   

   cp -f config.toml.default config.toml

9. Установить переменную окружения SSO_CFG с указанием пути /opt/idp/config.toml:
   

   export SSO_CFG=/opt/idp/config.toml

При развертывании в диалоговых окнах необходимо указать следующие настройки:

1. Ввести доменное имя сервера FAM для настройки конфигурации Angie/Nginx:

   Enter domain name of FAM Server for NGINX Config:
   Пример: idp.avanpost.local

2. Ввести IP-адрес сервера FAM:

   Enter IP address of FAM Server for NGINX Config:
   Пример: 127.0.0.1

3. Ввести имя хоста или IP-адрес сервера PostgreSQL для сервера IDP:

   Enter Postgresql Server host name for IDP Server:
   Пример: 127.0.0.1

4. Ввести имя БД для сервера IDP:

   Enter DB name for IDP Server:

5. Ввести имя пользователя БД, созданного при развертывании БД:

   Enter username of DB:

6. Дважды ввести пароль пользователя, созданного при развертывании БД:

   Enter password of DB
   Enter password of DB (again)

1.  Добавить пользователя idp в группу root:

   sudo usermod -aG root idp

1. Удержать пакет FAM от обновления при выполнении команды apt upgrade (если использовалась автоматическая установка):

   sudo apt-mark hold avpfam

2. После установки необходимо добавить пользователя idp в группу root:

   sudo usermod -aG root idp

1. Перейти в директорию /opt/idp:

   cd /opt/idp

2. Выполнить команду генерации ключа:

   sudo ./fam_linux_amd64 -generatekey

1. Перейти в директорию /opt/idp:

   cd /opt/idp

2. Выполнить команду генерации ключа:

   sudo ./fam_linux_amd64 -generatekey

3. Выполнить развёртывание БД с использованием механизма миграций в директории /opt/idp:

   Миграцию БД и последующие команды следует выполнять только после:

   1. Внесения изменённых реквизитов в параметр connectionString.
   2. Генерации ключа шифрования.

   ./fam_linux_amd64 -migratedb postgres

Более подробная информация о сертификатах и ключах шифрования – в статье Выпуск ключа шифрования и сертификата.

1. Проверить в конце конфигурационного файла /etc/nginx/nginx.conf строку:

   include /etc/nginx/sites-enabled/*;

2. Проверить конфигурационный файл idp.conf на основе примера (в указанном примере качестве текстового редактора используется vi):

   sudo vi /etc/nginx/sites-available/idp.conf

   Внимание

   Адрес idp.avanpost.local должен указывать в сети на IP-адрес сервера, на котором размещается система средствами DNS.

   В противном случае требуется локально в конфигурации /etc/hosts клиентской машины, за которой работает пользователь или администратор, выполнить настройку маршрутизации с хоста на IP-адрес сервера с системой.

3. Содержимое конфигурационного файла в idp.conf должно соответствовать:

   server {
       listen        80;
       server_name   idp.avanpost.local;
       location / {
           proxy_pass       http://127.0.0.1:4008;
           proxy_set_header X-Real-IP $remote_addr;
   		proxy_set_header Host $host;
   		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           add_header Content-Security-Policy "default-src 'self'; img-src 'self' https: data:; connect-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self';" always;
   
     
               }
   }

4. Проверить ссылку в sites-enabled. Если ее нет, выполнить:

   sudo ln -s /etc/nginx/sites-available/idp.conf /etc/nginx/sites-enabled/idp.conf

5. Для внесения изменений в конфигурацию Nginx:
   1. Проверить конфигурацию:

sudo nginx -t
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful

1. 1. . Перечитать конфигурацию Nginx:

sudo systemctl reload nginx

1. 1. При необходимости (если появляется ошибка 502) ввести команду для изменения булевого значения httpd_can_network_connect. Она позволит веб-серверу httpd устанавливать сетевые соединения, делая это разрешенным и постоянным.

setsebool httpd_can_network_connect on -P

1. Создать конфигурационный файл idp.conf на основе примера:

   для Nginx

   sudo vi /etc/nginx/conf.d/idp.conf

   для Angie

   sudo vi /etc/angie/http.d/idp.conf

   Внимание

   Адрес idp.avanpost.local должен указывать в сети на IP-адрес сервера, на котором размещается система средствами DNS.

   В противном случае требуется локально в конфигурации /etc/hosts клиентской машины, за которой работает пользователь или администратор, выполнить настройку маршрутизации с хоста на IP-адрес сервера с Системой.

   Пример:

   127.0.0.1   localhost

   127.0.0.1   idp.avanpost.local

2. Перед выполнением дальнейших действий должен быть сгенерирован сертификат (см. статью 4.1.2. Выпуск ключа шифрования и сертификата) и создана директория для ключей. Далее следует скопировать содержимое конфигурационного файла в idp.conf:

   server {
       listen        80;
       server_name   idp.avanpost.local;
       location / {
           proxy_pass       http://127.0.0.1:4008;
           proxy_set_header X-Real-IP $remote_addr;
   		proxy_set_header Host $host;
   		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           add_header Content-Security-Policy "default-src 'self'; img-src 'self' https: data:; connect-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self';" always;
   
       }
   
    }

3. Проверить конфигурацию:

   sudo nginx -t
   # nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
   # nginx: configuration file /etc/nginx/nginx.conf test is successful

4. Перезапустить Nginx:

   sudo systemctl restart nginx

1. Проверить реквизиты базы данных (сервера БД, наименования БД, имени пользователя или пароля) в конфигурационном файле /opt/idp/config.toml в формате PostgreSQL Connection URI в параметр connectionString в секцию database. 
2. Проверить наличие файла key.dat в /opt/idp. Если ключ отсутствует, сгенерировать ключ шифрования key.dat.

1. Установить переменную окружения SSO_CLOUD_IDP_ENABLED:

   export env SSO_CLOUD_IDP_ENABLED=true

2. Задать параметры в конфигурационном файле FAM Server в секции настройки взаимодействия с Bridge-компонентами для по аналогии:

   [cloud]
   [cloud.bridge]
   grpcServerAddress = 'localhost:50052'
   httpServerAddress = 'localhost:8082'
   token = "bridgeToken12345678"

   Параметр	Значение
   grpcServerAddress	Адрес и порт, по которому FAM Server будет принимать gRPC-запросы от Bridge-компонентов.
   httpServerAddress	Адрес и порт, по которому FAM будет принимать HTTP-запросы от Bridge-компонентов.
   token	Секретный токен, который должен совпадать с указанным в конфигурации Bridge-компонентов (LDAP Link, RADIUS Bridge и т.п.).

3. Настроить Bridge-компоненты (LDAP Link и Radius Bridge Component) согласно иснтрукции.

1. Перейти в директорию /opt/idp (если пользователь не находился в данной директории):

   cd /opt/idp

2. Запустить команду инициализации:

   ./fam_linux_amd64 -init

1. 1. Перейти в директорию /opt/idp (если пользователь не находился в данной директории):

   cd /opt/idp

2. Создать учетную запись администратора с указанием логина и пароля (в данной инструкции в качестве примера использован admin:admin123):

   sudo ./createadmin_linux_amd64 -login admin -pwd admin123 -mcp -conn 'postgres://avanpost:Passw0rd@127.0.0.1:5432/idp?sslmode=disable&search_path=public'

   где используются следующие параметры:
   • -login — логин создаваемого пользователя;
   • -pwd — пароль создаваемого пользователя;
   • -conn — строка подключения к базе данных (используется значение параметра connectionString из конфигурационного файла config.toml).

     Начиная с версии FAM 1.16.0, команды -createuser и -assignrole утилиты fam_linux_amd64 не поддерживаются. Для создания учетной записи администратора используется отдельная утилита createadmin_linux_amd64.

1. Запустить службу idp:

sudo systemctl start idp

1. Создать конфигурационный файл сервиса при помощи команды (на базе примера):

   sudo vi /etc/systemd/system/idp.service

   Пример конфигурационного файла

   [Unit]
   Description=IDP
   
   [Service]
   WorkingDirectory=/opt/idp
   ExecStart=/opt/idp/fam_linux_amd64
   Restart=always
   RestartSec=10
   SyslogIdentifier=idp
   User=idp
   Environment="SSO_CFG=/opt/idp/config.toml"
   Environment="http_proxy=127.0.0.1:9090"
   Environment="https_proxy=127.0.0.1:9090"
   Environment="SSO_API_SERVICE_WITH_NO_PROXY=0"
   Environment="SSO_PUSH_SERVICE_WITH_NO_PROXY=0"
   TimeoutStopSec=5
   
   [Install]
   WantedBy=multi-user.target

   Параметр	Значение
   [Unit]
   Description	Описание сервиса для отображения администратору.
   [Service]
   WorkingDirectory	Рабочая директория, в которой запускается процесс.
   ExecStart	Команда для запуска сервиса, в которой указывается расположение исполняемого файла Avanpost FAM Server.
   Restart	Параметр настройки автоматического перезапуска сервиса.
   RestartSec	Время ожидания (в секундах) перед перезапуском сервиса после его остановки.
   SyslogIdentifier	Имя, под которым логи сервиса записываются в системный журнал.
   User	Имя пользователя, от имени которого запускается процесс
   Environment	Переменные окружения: SSO_CFG - используется для определения местоположения конфигурационного файла FAM Server; http_proxy - Адрес прокси-сервера для нешифрованного трафика; https_proxy - Адрес прокси-сервера для шифрованного трафика; SSO_API_SERVICE_WITH_NO_PROXY - Выключение обхода прокси-сервера для внутренних API-запросов (1 - функция no_proxy включена; 0 - функция no_proxy выключена и все запросы выполняются через прокси); SSO_PUSH_SERVICE_WITH_NO_PROXY - Выключение обхода прокси-сервера для PUSH-запросов (1 - функция no_proxy включена; 0 - функция no_proxy выключена и все запросы выполняются через прокси).
   TimeoutStopSec	Время ожидания (в секундах), в течение которого systemd ждёт завершения процесса idp после отправки сигнала завершения.
   [Install]
   WantedBy	Параметр, указывающий, когда должен быть запущен сервис (по умолчанию multi-user.target – сервис будет запускаться автоматически при загрузке системы).

2. Перезагрузить конфигурацию systemd:

   sudo systemctl daemon-reload

3. Настроить на автоматический запуск при старте системы:

   sudo systemctl enable idp

4. Запустить службу idp:

   sudo systemctl start idp

Проверка корректности установки и настройки Avanpost FAM выполняется следующим образом:

1. Открыть в браузере страницу http://idp.avanpost.local/admin. 
2. Убедиться, что открылась страница аутентификации в административную консоль Avanpost FAM. 
3. Ввести логин и пароль созданной учётной записи администратора:
   1.  – логин: admin;
   2.  – пароль: admin123.
4. Убедиться, что получен доступ к административной консоли Avanpost FAM и ее функциям.