Настройка параметров системы

На этапе развертывания Indeed CM необходимо указать нужные значения в файлах конфигурации для каждого сервиса. Файлы конфигурации настраиваются в Мастере настройки Indeed CM.

Мастер настройки является независимым компонентом и устанавливается отдельно.

OC Windows

Файлы конфигурации всех сервисов Indeed CM расположены в корневом каталоге веб-приложений IIS (путь по умолчанию %SystemDrive%\inetpub\wwwroot\cm). Файлы конфигурации службы Card Monitor расположены в %ProgramFiles%\Indeed CM\CardMonitor.

Установка Мастера настройки

Запустите файл IndeedCM.Wizard-<номер версии>.x64.ru-ru.msi из каталога IndeedCM.WindowsServer дистрибутива системы и выполните установку, следуя указаниям мастера. Мастер настройки устанавливается в каталог C:\inetpub\wwwroot\cm\wizard.

info

В целях безопасности рекомендуется отключить веб-приложение Мастер настройки Indeed CM после завершения конфигурации системы.

1. Откройте оснастку Диспетчер служб IIS (Internet Information Services Manager).
2. В дереве компонентов IIS сервера выберите пункт Пулы приложений (Application Pools).
3. В списке Пулы приложений выберите IndeedCM Wizard.
4. В меню Действия в правой части окна Диспетчера служб IIS выберите Остановить.

Аутентификация в Мастере настройки

Аутентифицироваться в Мастере настройки Indeed CM можно по временным кодам аутентификации.

Чтобы открыть Мастер настройки Indeed CM:

1. Получите код аутентификации. Для этого запустите пул приложения IIS IndeedCM Wizard, и код сохранится в файл wizard_authentication_code.txt в каталоге C:\inetpub\wwwroot\cm\wizard\logs.
2. Откройте файл wizard_authentication_code.txt и скопируйте код аутентификации.
3. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
4. Введите код в поле Код аутентификации и нажмите Войти.

Настройка параметров системы

В таблице приведены разделы Мастера настройки Indeed CM и их описание.

Раздел	Описание
Перед началом работы	Информация о назначении и возможностях мастера настройки Indeed CM.
Восстановление настроек	Загрузка файла резервной копии конфигурации Indeed CM.
Функции системы: - Общие функции - Журнал событий - Журнал учета СКЗИ - Microsoft CA - КриптоПро УЦ 2.0 - КриптоПро DSS - Валидата УЦ - AirCard Enterprise - Клиентский агент	Общие функции: настройка внутренних параметров веб-приложений Indeed CM. Консоль управления: Журнал учета устройств и сертификатов Организационная структура Интеграция с Indeed Access Manager Интеграция с Secret Net Studio (доступна только для инсталляций под управлением ОС Windows) Интеграция со СМЭВ Внутренний документооборот Сброс пароля пользователя в Active Directory Просмотр SO PIN устройства Публикация сертификатов в файловое хранилище Публикация сертификатов не поддерживается для примонтированных сетевых дисков. Задайте путь к файловому хранилищу в формате: \Имя рабочей станции\Имя сетевого каталога Сервис самообслуживания: Просмотр содержимого устройства Работа с TPM Virtual Smart Card Работа с Windows Hello for Busines Загрузка файлов и ресурсов Журнал событий: Переопределять атрибут имени пользователя для поиска в Журнале событий. Значение по умолчанию: CN (common name) Настройка подключения к единому журналу событий для нескольких серверов Indeed CM Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ. Удостоверяющие центры: настройка параметров работы с центрами сертификации MS CA, КриптоПро УЦ 2.0 и Валидата УЦ. КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS. AirCard Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirCard Enterprise. Клиентский агент: настройка параметров работы клиентского агента Indeed CM.
Каталог пользователей	Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.
Соответствия атрибутов	Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства. Например, создать нового пользователя в ЦР КриптоПро с теми же значениями атрибутов, как и для существующего пользователя Active Directory.
Обновляемые атрибуты	Определение списка атрибутов пользователя, при изменении которых требуется обновление сертификата на устройстве. В список отслеживаемых атрибутов пользователя в параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию включены: общее имя (CN), e-mail, UPN-имя пользователя. Отслеживание изменений в атрибутах пользователей Active Directory доступно только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.
Контроль доступа: Администратор ролей	Определение параметров доступа к сервисам Indeed CM. Доступ к веб-приложениям Indeed CM предоставляется либо с использованием Аутентификации Windows (если сервер системы развернут на доменной рабочей станции под управлением ОС Windows), либо через сервер OpenID Connect. Определение учетной записи для первоначальной настройки привилегий пользователей в разделе Роли Консоли управления Indeed CM. Указанная учетная запись должна иметь User Principal Name (UPN) и входить в выбранный каталог пользователей системы.
Хранилище данных	Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа.
Служба Card Monitor	Настройки Card Monitor – службы для контроля использования устройств (USB-токенов и смарт-карт). Служба Card Monitor выполняет следующие операции: - отзыв и изъятие устройств пользователей, чьи учетные записи были удалены из каталога пользователей Indeed CM; - отзыв временных устройств с истекшим сроком действия; - выключение устройств пользователей, если их учетные записи были отключены в Active Directory; - удаление пользователей из каталога пользователей Indeed CM, если их учетные записи были отключены в Active Directory; - установка и сброс статуса сертификатов на устройстве; - обновление содержимого устройства; - регистрация события Длительное отсутствие связи с агентом в системный журнал; - удаление агентов, которые были неактивны в течение настраиваемого периода времени; - рассылка почтовых уведомлений администраторам и пользователям Indeed CM. Для запуска службы Card Monitor укажите учетную запись, которая состоит в группе Администраторов (Administrators) на сервере Indeed CM и имеет разрешение на Вход в качестве пакетного задания (Log on as a batch job) в политике Active Directory. Для работы Card Monitor создайте сервисную роль в разделе Конфигурация→Роли Консоли управления, включите в нее учетную запись, от имени которой будет работать Card Monitor, и определите привилегии для роли.
Подтверждение	Сводная информация по настройкам всех разделов Мастера. После нажатия кнопки Применить указанные значения все параметры будут записаны в файлы конфигурации всех приложений и сохранены в каталоги C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/indeed/cm/wizard/configs/ для ОС Linux для дальнейшего их применения на сервере системы.
Результаты	Результат работы Мастера по записи указанных значений в файлы конфигурации сервисов системы. Файлы конфигурации можно выгрузить в архив (опция Сохранить файлы конфигурации) для переноса и применения настроек на сервере системы. При первой установке системы настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Результаты). Резервная копия настроек включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования базы данных. При развертывании новых серверов системы используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки. Файл резервной копии содержит данные сервисных учетных записей для работы с каталогом пользователей, и хранилищем данных, алгоритм и ключ шифрования базы данных системы. Храните файл резервной копии в защищенном месте.

Применение файлов конфигурации на сервере Indeed CM

Примените файлы конфигурации, созданные Мастером настройки, на сервере Indeed CM.

1. Откройте консоль Powershell от имени администратора.
2. Перейдите в директорию C:\inetpub\wwwroot\cm\wizard\configs.
3. Запустите Powershell-скрипт deploy_configuration.ps1:

.\deploy_configuration.ps1

4. В процессе выполнения Powershell-скрипта укажите пароль учетной записи, используемой для запуска службы Card Monitor.

OC Linux

Файлы конфигурации всех сервисов Indeed CM располагаются в каталоге /opt/indeed/cm.

Установка и аутентификация

RHEL-based

1. Установите Мастер настройки из RPM пакета cm.wizard-<номер версии>.x86_64.rpm:

sudo rpm -i cm.wizard-<номер версии>.x86_64.rpm

Debian-based

1. Установите Мастер настройки из DEB пакета cm.wizard-<номер версии>_amd64.deb.

sudo dpkg -i cm.wizard-<номер версии>_amd64.deb

2. Запустите bash-скрипт start-cm-wizard.sh, расположенный в каталоге с дистрибутивом сервера Indeed CM.

sudo bash ./start-cm-wizard.sh

3. Получите код аутентификации для запуска Мастера настройки. Код аутентификации доступен при выводе запуска скрипта start-cm-wizard.sh.
4. Откройте браузер и перейдите по адресу https://<FQDN сервера Indeed CM>/cm/wizard.
5. Введите код в поле Код аутентификации и нажмите Войти.

info

В целях безопасности рекомендуется отключить веб-приложение Мастер настройки Indeed CM после завершения конфигурации системы.

1. Откройте эмулятор терминала.
2. Выполните команду:

sudo systemctl stop cm-wizard.service

Как еще получить код аутентификации

Способ 1. Запустите службу cm-wizard.service. Код сохранится в файл wizard_authentication_code.txt в каталоге /opt/indeed/cm/wizard/logs.
Способ 2. Выполните команду systemctl status:

sudo systemctl status cm-wizard.service | grep AuthenticationCode

Способ 3. Получите код из журнала приложения systemd юнита cm-wizard.service по команде:

sudo journalctl -u cm-wizard.service | grep AuthenticationCode

Код аутентификации будет выведен на экран терминала.

Настройка параметров системы

В таблице приведены разделы Мастера настройки Indeed CM и их описание.

Раздел	Описание
Перед началом работы	Информация о назначении и возможностях мастера настройки Indeed CM.
Восстановление настроек	Загрузка файла резервной копии конфигурации Indeed CM.
Функции системы: - Общие функции - Журнал событий - Журнал учета СКЗИ - Microsoft CA - КриптоПро УЦ 2.0 - КриптоПро DSS - Валидата УЦ - AirCard Enterprise - Клиентский агент	Общие функции: настройка внутренних параметров веб-приложений Indeed CM. Консоль управления: Журнал учета устройств и сертификатов Организационная структура Интеграция с Indeed Access Manager Интеграция с Secret Net Studio (доступна только для инсталляций под управлением ОС Windows) Интеграция со СМЭВ Внутренний документооборот Сброс пароля пользователя в Active Directory Просмотр SO PIN устройства Публикация сертификатов в файловое хранилище Публикация сертификатов не поддерживается для примонтированных сетевых дисков. Задайте путь к файловому хранилищу в формате: \Имя рабочей станции\Имя сетевого каталога Сервис самообслуживания: Просмотр содержимого устройства Работа с TPM Virtual Smart Card Работа с Windows Hello for Busines Загрузка файлов и ресурсов Журнал событий: Переопределять атрибут имени пользователя для поиска в Журнале событий. Значение по умолчанию: CN (common name) Настройка подключения к единому журналу событий для нескольких серверов Indeed CM Журнал учета СКЗИ: настройка параметров ведения журнала учета СКЗИ. Удостоверяющие центры: настройка параметров работы с центрами сертификации MS CA, КриптоПро УЦ 2.0 и Валидата УЦ. КриптоПро DSS: настройка интеграции с ПАК КриптоПро DSS. AirCard Enterprise: настройка интеграции с сервером виртуальных смарт-карт Indeed AirCard Enterprise. Клиентский агент: настройка параметров работы клиентского агента Indeed CM.
Каталог пользователей	Определение каталога пользователей системы. Параметры подключения отображаются в зависимости от выбранного каталога.
Соответствия атрибутов	Определение атрибутов, с которыми необходимо создать нового пользователя в Центре Регистрации КриптоПро УЦ 2.0 с использованием Indeed CM в момент выпуска устройства. Например, создать нового пользователя в ЦР КриптоПро с теми же значениями атрибутов, как и для существующего пользователя Active Directory.
Обновляемые атрибуты	Определение списка атрибутов пользователя, при изменении которых требуется обновление сертификата на устройстве. В список отслеживаемых атрибутов пользователя в параметрах шаблонов сертификатов Microsoft CA и КриптоПро УЦ 2.0 по умолчанию включены: общее имя (CN), e-mail, UPN-имя пользователя. Отслеживание изменений в атрибутах пользователей Active Directory доступно только для атрибутов из полей Субъект (Subject) и Дополнительное имя субъекта (Subject Alternative Name) сертификата.
Контроль доступа: Администратор ролей	Определение параметров доступа к сервисам Indeed CM. Доступ к веб-приложениям Indeed CM предоставляется либо с использованием Аутентификации Windows (если сервер системы развернут на доменной рабочей станции под управлением ОС Windows), либо через сервер OpenID Connect. Определение учетной записи для первоначальной настройки привилегий пользователей в разделе Роли Консоли управления Indeed CM. Указанная учетная запись должна иметь User Principal Name (UPN) и входить в выбранный каталог пользователей системы.
Хранилище данных	Определение хранилища данных системы, алгоритма шифрования данных. Создание резервной копии ключа шифрования и восстановление ключа из копии. Параметры подключения к хранилищу определяются в зависимости от выбранного типа.
Служба Card Monitor	Настройки Card Monitor – службы для контроля использования устройств (USB-токенов и смарт-карт). Служба Card Monitor выполняет следующие операции: - отзыв и изъятие устройств пользователей, чьи учетные записи были удалены из каталога пользователей Indeed CM; - отзыв временных устройств с истекшим сроком действия; - выключение устройств пользователей, если их учетные записи были отключены в Active Directory; - удаление пользователей из каталога пользователей Indeed CM, если их учетные записи были отключены в Active Directory; - установка и сброс статуса сертификатов на устройстве; - обновление содержимого устройства; - регистрация события Длительное отсутствие связи с агентом в системный журнал; - удаление агентов, которые были неактивны в течение настраиваемого периода времени; - рассылка почтовых уведомлений администраторам и пользователям Indeed CM. Для запуска службы Card Monitor укажите учетную запись, которая состоит в группе Администраторов (Administrators) на сервере Indeed CM и имеет разрешение на Вход в качестве пакетного задания (Log on as a batch job) в политике Active Directory. Для работы Card Monitor создайте сервисную роль в разделе Конфигурация→Роли Консоли управления, включите в нее учетную запись, от имени которой будет работать Card Monitor, и определите привилегии для роли.
Подтверждение	Сводная информация по настройкам всех разделов Мастера. После нажатия кнопки Применить указанные значения все параметры будут записаны в файлы конфигурации всех приложений и сохранены в каталоги C:\inetpub\wwwroot\cm\wizard\configs для ОС Windows и /opt/indeed/cm/wizard/configs/ для ОС Linux для дальнейшего их применения на сервере системы.
Результаты	Результат работы Мастера по записи указанных значений в файлы конфигурации сервисов системы. Файлы конфигурации можно выгрузить в архив (опция Сохранить файлы конфигурации) для переноса и применения настроек на сервере системы. При первой установке системы настройте необходимые параметры и сохраните их копию (опция Сохранить резервную копию параметров конфигурации в разделе Результаты). Резервная копия настроек включает в себя все параметры, определенные при установке системы для всех сервисов, а также алгоритм и ключ шифрования базы данных. При развертывании новых серверов системы используйте файл резервной копии, указав его в разделе Восстановление настроек Мастера настройки. Файл резервной копии содержит данные сервисных учетных записей для работы с каталогом пользователей, и хранилищем данных, алгоритм и ключ шифрования базы данных системы. Храните файл резервной копии в защищенном месте.

Применение файлов конфигурации на сервере Indeed CM

Примените файлы конфигурации, созданные Мастером настройки, на сервере Indeed CM.

1. Откройте эмулятор терминала.
2. Перейдите в директорию /opt/indeed/cm/wizard/configs.
3. Убедитесь, что файл скрипта имеет права на исполнение, и запустите bash-скрипт deploy_configuration.sh:

sh ./deploy_configuration.sh

4. В процессе выполнения bash-скрипта укажите учетную запись, от имени которой будет запускаться служба Card Monitor.

tip

Рекомендуется указать локальную учетную запись, от имени которой запускаются остальные веб-приложения Indeed CM.