Indeed CM Server

Indeed CM состоит из следующих сервисов:

• Консоль управления (Management Console) – веб-приложение mc;
• Сервис самообслуживания (Self-Service) – веб-приложение ss;
• Сервис удаленного самообслуживания за пределами домена (Remote Self-Service) – веб-приложение rss;
• Сервис разблокировки и выключения устройств – веб-приложение credprovapi;
• Сервис API – веб-приложение api;
• Сервер OpenID Connect – веб-приложение oidc;
• Сервис отслеживания состояния устройств – Служба Card Monitor, не имеет веб-приложения;
• Cервис регистрации агентов – веб-приложение agentregistrationapi;
• Сервис агентов для удаленного выполнения задач – веб-приложение agentserviceapi.

Информация

Каждый сервис имеет собственные файлы конфигурации и настройки доступа.

Для установки и настройки сервера Indeed Certificate Manager выполните следующие действия:

ОС Windows

1. Запустите файл IndeedCM.Server-<номер версии>.x64.ru-ru.msi из каталога IndeedCM.WindowsServer дистрибутива системы и установите сервер, следуя указаниям мастера.

2. Выберите способ контроля доступа для всех приложений системы: аутентификация Windows или по персональным сертификатам пользователей.

   Аутентификация Windows

   При выборе аутентификации Windows будут заданы следующие параметры контроля доступа:

   • Проверка подлинности (Authentication):
     • Проверка подлинности Windows (Windows Authentication) для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис API (api). Остальные способы отключены.
     • Анонимная проверка подлинности (Anonymous Authentication) для следующих веб-приложений: Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервисы клиентских агентов (agentregistrationapi, agentserviceapi).
     • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения Сервис удаленного самообслуживания (rss).
   • Параметры SSL (SSL Settings):
     • Требовать SSL (Require SSL) для всех веб-приложений.
     • Сертификаты клиента (Client certificates):
       • Игнорировать (Ignore) для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервис API (api), Сервис регистрации клиентских агентов (agentregistrationapi).
       • Требовать (Require) для веб-приложения Сервис агентов (agentserviceapi).

   Аутентификация по персональным сертификатам пользователей

   При выборе аутентификации по персональным сертификатам пользователей будут заданы следующие параметры контроля доступа:

   • Проверка подлинности (Authentication):
     • Анонимная проверка подлинности (Anonymous Authentication) для всех веб-приложений. Остальные способы отключены.
     • Анонимная проверка подлинности (Anonymous Authentication) и Проверка подлинности с помощью форм (Forms Authentication) для приложения Сервис удаленного самообслуживания (rss).
   • Параметры SSL (SSL Settings):
     • Требовать SSL (Require SSL) для всех веб-приложений.
     • Сертификаты клиента (Client certificates):
       • Игнорировать (Ignore) для следующих веб-приложений: Сервис удаленного самообслуживания (rss), Сервис разблокировки смарт-карт (credprovapi), Сервис регистрации клиентских агентов (agentregistrationapi).
       • Требовать (Require) для для следующих веб-приложений: Консоль управления (mc), Сервис самообслуживания (ss), Сервис API (api), Сервис агентов (agentserviceapi).

   предупреждение

   Если каталог пользователей находится в Active Directory, то сертификаты, используемые для аутентификации, должны содержать значение User Principal Name (UPN). В веб-приложения невозможно войти, если в сертификате нет значения UPN.

   После установки системы Параметры SSL для каждого приложения можно изменить вручную в Диспетчере служб IIS (Internet Information Services (IIS) Manager).

3. Выпустите SSL/TLS-сертификат и привяжите его в Диспетчере служб IIS (Internet Information Services (IIS) Manager) для сайта Default Web Site:

   1. Запустите Диспетчер служб IIS (Internet Information Services (IIS) Manager).
   2. Выберите сайт Default Web Site и перейдите в раздел Привязки... (Bindings...).
   3. Нажмите Добавить... (Add...), выберите Тип: (Type:) https и Порт: (Port:) 443.
   4. Выберите SSL-сертификат: (SSL certificate:) и нажмите OK.

   

   предупреждение

   Субъект (Subject) сертификата должен содержать атрибут Общее имя (Common name) (FQDN сервера Indeed CM).

   Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера Indeed CM). Например: server.demo.local или соответствующую запись с подстановочными знаками, например: *. demo.local (Wildcard certificate).

   Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение Проверка подлинности сервера (Server Authentication).

ОС Linux

RHEL-based

1. Установите RPM пакет через пакетный менеджер из дистрибутива Indeed Certificate Manager. Для использования пакетного менеджера требуются права суперпользователя.

   sudo rpm -i cm.-<номер версии>.x86_64.rpm

2. Установите TrueType шрифты Windows для корректной работы Сервиса удаленного самообслуживания. В RHEL и производных дистрибутивах пакет называется msttcore-fonts-installer:

   sudo yum install -y msttcore-fonts-installer
   fc-cache -f -v

Debian-based

1. Установите DEB пакет через пакетный менеджер из дистрибутива Indeed Certificate Manager. Для использования пакетного менеджера требуются права суперпользователя.

   sudo dpkg -i cm.-<номер версии>_amd64.deb

2. Установите TrueType шрифты Windows для корректной работы Сервиса удаленного самообслуживания. В Debian и производных дистрибутивах пакет называется ttf-mscorefonts-installer:

   wget http://ftp.ru.debian.org/debian/pool/contrib/m/msttcorefonts/ttf-mscorefonts-installer_3.8.1_all.deb
   sudo dpkg -i ttf-mscorefonts-installer_3.8.1_all.deb
   fc-cache -f -v

3. Настройте управление приложениями.

   Во время установки сервера для управления приложениями создаются файлы служб systemd. Данная подсистема инициализации и управления службами позволяет запускать приложения автоматически при старте сервера Indeed CM и держать их запущенными без участия пользователя.

   По умолчанию systemd запускает приложения Indeed CM от имени учетной записи www-data.

   Информация

   В RHEL и производных дистрибутивах учетная запись www-data по умолчанию отсутствует. Учетную запись www-data можно добавить через утилиту useradd или заменить используемую учетную запись пользователя (директива User=<имя пользователя>) в файлах служб cm-<имя сервиса>.service, располагающихся в директории /etc/systemd/system.

   Пример команды для создания пользователя www-data

   useradd -d /var/www -m www-data -s /sbin/nologin

Пример файла службы Консоли управления, запускаемой от имени нестандартной учетной записи cm_adm

[Unit]
Description=Indeed CM Management Console Application

[Service]
WorkingDirectory=/opt/indeed/cm/mc/
ExecStart=/opt/indeed/cm/mc/Cm.Web.ManagementConsole
Restart=always
RestartSec=10
KillSignal=SIGINT
SyslogIdentifier=cm-mc
User=cm_adm
Environment=ASPNETCORE_URLS="http://localhost:5001"
Environment=ASPNETCORE_ENVIRONMENT=Production
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

Чтобы включить автозапуск и немедленный старт приложений, выполните файл сценария start-cm-services.sh из директории с дистрибутивом Indeed Certificate Manager:

chmod +x start-cm-services.sh
sudo ./start-cm-services.sh

предупреждение

Для запуска любого файла сценария требуются разрешения на выполнение у данного файла. В ходе работы сценария требуются права суперпользователя.

4. Для корректной работы приложений настройте параметры системы через Мастер настройки (рекомендуется) или вручную.
5. Для безопасной работы с других машин настройте веб-сервер. В инструкциях описывается привязка SSL/TLS-сертификатов и настройка подключения по протоколу HTTPS.

Служба Card Monitor

Card Monitor – это служба для контроля использования устройств (USB-токенов и смарт-карт). Устанавливается вместе с сервером Indeed CM.

Служба Card Monitor выполняет следующие операции:

• отзыв и изъятие устройств пользователей, чьи учетные записи были удалены из каталога пользователей Indeed CM;
• отзыв временных устройств с истекшим сроком действия;
• выключение устройств пользователей, если их учетные записи были отключены в Active Directory;
• удаление пользователей из каталога пользователей Indeed CM, если их учетные записи были отключены в Active Directory;
• установка и сброс статуса сертификатов на устройстве;
• обновление содержимого устройства;
• регистрация события Длительное отсутствие связи с агентом в системный журнал;
• удаление агентов, которые были неактивны в течение настраиваемого периода времени;
• рассылка почтовых уведомлений администраторам и пользователям Indeed CM.

Настройка привилегий

Для работы Card Monitor необходимо создать сервисную роль в разделе Конфигурация→Роли Консоли управления, включить в нее учетную запись, от имени которой будет работать Card Monitor, и определить для роли следующие привилегии:

• выключение устройства;
• обновление устройства;
• отмена обновления устройства;
• отзыв и очистка устройства;
• отмена назначения устройства;
• удаление устройства;
• удаление агента;
• удаление задачи;
• удаление записи из журнала учета.

Если настроена интеграция с КриптоПро DSS и AirCard Enterprise, то задайте привилегии для работы с данными устройствами:

• выключение устройства КриптоПро DSS;
• обновление устройства КриптоПро DSS;
• отмена обновления устройства КриптоПро DSS;
• отзыв устройства КриптоПро DSS;
• удаление устройства КриптоПро DSS;
• удаление AirCard.