Агент Avanpost SmartPAM — это отдельный компонент, предназначенный для работы на подконтрольных хостах (защищаемых ресурсах). Агент не является частью сервера SmartPAM и устанавливается непосредственно на защищаемый ресурс. На эти узлы не требуется копировать полный набор конфигураций. Агент реализован как systemd-сервис.
Чтобы установить и настроить агент выполните следующие шаги:
Создание служебного пользователя
1. Создайте служебного пользователя smartpam (параметр -m необходим для создания домашнего каталога, параметр -d назначает домашнюю папку, параметр -s задаёт оболочку пользователя) и задайте пароль новому пользователю:
sudo useradd -s /bin/bash -d /home/smartpam/ -m -G sudo smartpam sudo passwd smartpam
2. Создайте каталог /opt/smartpam/agent-linux:
sudo mkdir -p /opt/smartpam/agent-linux sudo chown -R smartpam:smartpam /opt/smartpam
3. Если иное не указано явно, дальнейшие описываемые операции выполняйте под служебным пользователем smartpam():
sudo su smartpam cd /opt/smartpam/agent-linux
Развертывание файлов агента из архива
Для развертывания файлов дистрибутива из архива:
-
Пройдите по ссылке: https://packages.avanpost.ru/#browse/browse:avanpost-pam:stable, выберите архив агента для Linux и скачайте его. Поместите дистрибутив на сервер, в каталог
/opt/smartpam/agent-linux.
2. Распакуйте файлы агента из архива:
tar xzf Avanpost.Pam.Agent.Linux-<Номер версии и идентификатор сборки>.tar.gz, где ``<Номер версии и идентификатор>`` — разделенные плюсом номера версии и сборки
Настройка агента
1. Отредактируйте конфигурационный файл:
sudo nano /opt/smartpam/agent-linux/config.yaml
Пример содержимого:
service_name: agent_linux log_level: info event_processor: server_addr: localhost:8011 # Адрес и порт компонента «Event processor» tls: false # Включение TLS ca_file_path: "" # Путь к файлу, содержащему корневой сертификат server_host_override: "" # Игнорировать ошибку проверки hostname сервера при TLS-подключении token: "" # Токен аутентификации proxy_manager: server_addr: localhost:8009 # Адрес и порт компонента «Proxy Manager» tls: false # Включение TLS ca_file_path: "" # Путь к файлу, содержащему корневой сертификат server_host_override: "" # Игнорировать ошибку проверки hostname сервера при TLS-подключении token: "" # Токен аутентификации
2. Создайте файл службы:
sudo nano /etc/systemd/system/smartpam-agent.service
Пример содержимого:
[Unit] Description=Avanpost SmartPAM Agent After=network.target [Service] WorkingDirectory=/opt/smartpam ExecStart=/opt/smartpam/agent-linux/agent-linux Restart=always RestartSec=10 SyslogIdentifier=smartpam-agent User=smartpam Environment="AGENT_LINUX_CONFIG_PATH=/opt/smartpam/agent-linux/config.yaml" CapabilityBoundingSet=CAP_AUDIT_CONTROL CAP_AUDIT_READ AmbientCapabilities=CAP_AUDIT_CONTROL CAP_AUDIT_READ [Install] WantedBy=multi-user.target
1. Обновите конфигурацию Systemd:
sudo systemctl daemon-reload
1. Обеспечьте автоматический запуск агента при загрузке ОС:
sudo systemctl enable smartpam-agent
1. Запустите агент:
sudo systemctl start smartpam-agent