Общая установка без балансировки
В состав общей установки без балансировки входит установка сервера управления и серверов доступа (SSH-Proxy\RDP-Proxy) на разные серверы.
Перед началом установки необходимо выполнить подготовку файлов конфигурации.
Inventory
- Перейдите в папку дистрибутива indeed-pam-linux.
- Измените название файла inventory.template на inventory.
Отредактируйте файл inventory:
- В разделе managment укажите FQDN адрес сервера управления.
- В разделе access укажите FQDN адрес сервера доступа SSH Proxy.
- Для всех серверов, кроме локального, добавьте строку:
remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123
.remote_ssh_user=root
— имя пользователя с правами sudo для удаленного подключения к ресурсу.ansible_ssh_password=123
— пароль пользователя для удаленного подключения к ресурсу.ansible_become_password=123
— пароль пользователя для удаленного подключения к ресурсу.
- Закомментируйте все поля, в которые не вносились изменения.
- Сохраните изменения.
# NOTE: To access docker host use local.docker name instead of localhost
[management]
pammng.test.local
[access]
pamgtw.test.local remote_ssh_user=root ansible_ssh_password=123 ansible_become_password=123
#[haproxy]
#HAPROXY_SERVER_FQDN_OR_IP
#[rds]
#RDS_SERVER_FQDN_OR_IP
# Use this section to override vars
#[all:vars]
#server_fqdn=OVERRIDE_SERVER_FQDN
Файлы конфигурации
Распакуйте скачанные файлы конфигурации и перенесите полученные папки по пути indeed-pam-linux\state.
Сертификаты
Сертификат удостоверяющего центра
Перенесите сертификат УЦ по пути indeed-pam-linux\state\ca-certificates.
Сертификаты серверов
Перейдите по пути indeed-pam-linux\state\certs и создайте отдельную папку для сервера управления, назвав ее FQDN именем сервера управления.
Перенесите сертификаты серверов управления в папки, которые соответствуют серверам.
Перейдите по пути indeed-pam-linux\state\keys\rdp-proxy и создайте отдельную папку для каждого сервера доступа, назвав ее FQDN именем сервера доступа.
Перенесите сертификаты серверов доступа в папки, которые соответствуют серверам.
vars
- Перейдите по пути indeed-pam-linux\scripts\ansible и откройте файл vars.yml.
- Найдите строку
# pfx_pass: "ENTER_HERE"
и удалите#
. - Вместо
ENTER_HERE
укажите пароль от сертификатов и сохраните изменения.
Установка
- Перенесите дистрибутив на целевой Linux ресурс.
- Если выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:Если не выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:
sudo bash run-deploy.sh
sudo bash run-deploy.sh --bench-skip
- При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.
- Дождитесь окончания установки.
Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.
Перезапуск компонентов
Сервер управления
Для перезапуска компонентов сервера управления Indeed PAM используйте следующие команды (команды должны выполняться в папке /etc/indeed/indeed-pam):
Перезапуск всех компонентов:
sudo docker compose -f docker-compose.management-server.yml down
sudo docker compose -f docker-compose.management-server.yml up -d
или
sudo docker-compose -f docker-compose.management-server.yml down
sudo docker-compose -f docker-compose.management-server.yml up -d
Перезапуск конкретного компонента:
sudo docker compose -f docker-compose.management-server.yml up -d <Имя компонента> --force-recreate
или
sudo docker-compose -f docker-compose.management-server.yml up -d <Имя компонента> --force-recreate
Пример перезапуска компонента Indeed PAM Core:
sudo docker compose -f docker-compose.management-server.yml up -d core --force-recreate
или
sudo docker-compose -f docker-compose.management-server.yml up -d core --force-recreate
Сервер доступа
Перезапустить компоненты сервера доступа Indeed PAM используя следующие команды (команды должны выполняться в папке /etc/indeed/indeed-pam):
sudo docker compose -f docker-compose.access-server.yml down
sudo docker compose -f docker-compose.access-server.yml up -d
или
sudo docker-compose -f docker-compose.access-server.yml down
sudo docker-compose -f docker-compose.access-server.yml up -d