Различия

Показаны различия между двумя версиями страницы.

--- russianway:jms [2024/12/12 23:12] – [Подготовка сервера ALSE 1.7.4 для JMS4LX] root
+++ russianway:jms [2024/12/21 19:00] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 1: / Строка 1: @@
 ====== Установка тестовой среды с JMS 4 LX ======
 ===== Подготовка сервера ALSE 1.7.4 для JMS4LX =====
+Порты для подключений:
+JMS: 5000, 5001/tcp
+JWA: 8120, 8121, 8122/tcp
   * Перечень компонент:{{ :russianway:pasted:20241212-212556.png }}
   * УЗ: {{ :russianway:pasted:20241212-212740.png }}
@@ Строка 14: / Строка 18: @@
 sudo astra-ad-sssd-client -y -d {{ server.domain }} -u {{ defaults.domainadmin }}
 </code> {{ :russianway:pasted:20241212-215557.png }}
-  * <code bash>sudo apt install postgresql postgresql-contrib</code>
+  * <code bash>sudo apt install postgresql
+sudo -u postgres psql -c "ALTER USER \"postgres\" WITH PASSWORD 'VzHgRoC7cvWgMEHjqrkw';"
+</code>
   * <code bash>#установить из base repo
 sudo apt install gss-ntlmssp -y</code>
@@ Строка 40: / Строка 46: @@
 name=ald.sovint.ru
 serverAddress=dc01.ald.sovint.ru
+serverPort=389
 container=OU=root,dc=ald,dc=sovint,dc=ru
-userName=ALD\jmduser
+userName=CN=jmsuser,OU=root,DC=ald,DC=sovint,DC=ru
 password=0680i7Pk8M5jxdcYnMbs
 disabledContainers=Program Data,System,Application
@@ Строка 57: / Строка 64: @@
 EOF
 </code>
+  * Установить серверную часть JMS: <code bash>apt install -f /distrib/aladdin-eap-engine_4.1.0.6244_x64.deb</code>
   * <code bash>
 sudo mkdir /opt/eap-engine/licenses/ -pv
 sudo cp /distrib/ald.sovint.ru.lic /opt/eap-engine/licenses/ -v
 </code>
+  * Установка корневого сертификата домена: <code bash>
+sudo cp -v rootca.crt /usr/local/share/ca-certificates/
+sudo update-ca-certificates
+</code>
+  * Начальная конфигурация: <code bash>
+sudo Aladdin.EAP.Agent.Terminal server initialize -p /distrib/InitialConfiguration.ini
+</code>
+  * {{ :russianway:pasted:20241213-231251.png }}
+  * <code bash>systemctl status eap-engine
+Aladdin.EAP.Agent.Terminal server status
+</code>
+  * Установить серверную часть веб-консоли JMS: <code bash>apt install -f /distrib/aladdin-eap-web-admin_4.1.0.6244_x64.deb</code>
+  * <code bash>sudo tee /opt/eap-web-admin/appsettings.json < EOF
+{
+  "Logging": {
+    "LogLevel": {
+      "Default": "Information",
+      "Microsoft": "Warning",
+      "Microsoft.Hosting.Lifetime": "Information"
+    }
+  },
+  "AllowedHosts": "*",
+  "Kestrel": {
+    "Endpoints": {
+      "Http": {
+        "Url": "http://0.0.0.0:5000"
+      }
+    }
+  },
+  "WebAdminSettings": {
+    "IntegrationApiUrl": "http://localhost:8120",
+    "AuthenticationApiUrl": "http://localhost:8121",
+    "WebAgentUrl": "http://localhost:5601",
+    "ShowWebAgentError": false,
+    "LicenseStatus": {
+      "NotificationDaysCount": 30,
+      "NotificationInterval": 600
+    },
+    "RetrySettings": {
+      "Enabled": true,
+      "RetryTimeout": 10000,
+      "RetryCount": 10,
+      "RetryStatusCodes": [ 503 ]
+    },
+    "UseActiveDirectoryVirtualListView": false,
+    "DefaultActiveDirectoryMaxSizeLimit": 100,
+    "SyncTokenSettings": {
+      "CheckSyncTimeout": 120,
+      "TotalSyncTimeout": 600
+    }
+  },
+  "DataProtectionOptions": {
+    "ApplicationName": "Aladdin.EAP.Admin.Web",
+    "KeyLocation": "/var/aladdin/eap-engine/keys/",
+    "KeyLifetimeDays": 90
+  }
+}
+EOF
+</code><code bash>
+systemctl restart eap-web-admin
+</code>
+  * <code bash>
+mkdir /etc/aladdin/eap-web-admin/ssl
+cp -v /distrib/jms.pfx /etc/aladdin/eap-web-admin/ssl
+Aladdin.EAP.Agent.Terminal ssl enable --path /etc/aladdin/eap-web-admin/ssl/jms.pfx --password 1234567890 </code><code bash>
+sed -i 's/"IntegrationApiUrl":.*/"IntegrationApiUrl":"https:\/\/jms.ald.sovint.ru:8120",/g' /etc/aladdin/eap-web-admin/appsettings.json
+sed -i 's/"AuthenticationApiUrl":.*/"AuthenticationApiUrl":"https:\/\/jms.ald.sovint.ru:8121",/g' /etc/aladdin/eap-web-admin/appsettings.json
+</code><code bash>nano /etc/aladdin/eap-web-admin/appsettings.json</code><code json>
+"Kestrel": {
+  "Endpoints": {
+    "Http": {
+      "Url": "http://localhost:5001"
+    },
+    "Https": {
+      "Url": "https://*:5000",
+      "Certificate": {
+        "Path": "/etc/aladdin/eap-web-admin/ssl/jms.pfx",
+        "Password": "1234567890"
+        }
+      }
+    }
+  },
+</code><code bash>systemctl restart eap-web-admin</code>
+  * <code bash>sed -i 's/"AuthApiURL":.*/"AuthApiURL": https\/\/jms.ald.sovint.ru:8121/g' /etc/aladdin/jwa-service/appsettings.json
+sed -i 's/"ClientApiURL":.*/"ClientApiURL": https\/\/jms.ald.sovint.ru:8122/g' /etc/aladdin/jwa-service/appsettings.json</code>
+  * <code bash>sudo Aladdin.EAP.Agent.Terminal certificates install --path jms_enroll.pfx --password 1234567890</code>
+==== Установка JMS Web Agent====
+  * <code bash>
+sudo apt install pcscd -y
+sudo apt install -f ./jcpkcs11-2_2.9.0.874_al_x64.deb
+sudo apt install -f ./aladdin-jms-web-agent_4.1.0.62.44_x64.deb
+/opt/jms-client/Aladdin.JMS.WebAgent --jms-host jms.ald.sovint.ru –-jms-web-
+host jms.ald.sovint.ru
+/opt/jms-client/jwa-service.sh bg
+</code>
+==== Импорт сертификатов ====
+===== Настройка MSCA Proxy =====
+Входящие порты:
+, 6611 TCP
+  * Установить .NET 4.8 Framework https://go.microsoft.com/fwlink/?linkid=2088631
+  * Установить Aladdin.CAProxyService-1.0.0.4-x64
+  * <code cmd>netsh http add sslcert ipport=0.0.0.0:6611 certhash=fd20805c859aedb31de3e12b3800db6c99ca7429 appid={670f608f-28ad-4724-8264-7b3c0eb2dfd6}</code>
+  * Выполнить проверку работы сервиса: http://localhost:6610/api/ca/ping
+  * Создать пользователя
+    * **ca_proxy_user**
+  * Создать группу
+    * **CA_PROXY_GROUP**
+    * включить в группу **CA_PROXY_GROUP** пользователя **ca_proxy_user**
+  * Запустить reg-файл <code reg>Windows Registry Editor Version 5.00
+[HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\CA Proxy Service\MSCAProxyWebApi]
+"MSCAProxyWebApiAddresses"="http://*:6610;https://*:6611"
+"AuthorizeAsGroupMember"="CA_PROXY_GROUP"
+"AuthorizationGroupStore"="Machine"</code>
+  * Перезапустить службу <code cmd>net stop CAProxySvc_default
+net start CAProxySvc_default</code>
+===== Настройка профилей JMS =====
+===== Certificate Authority =====
+==== Шаблон JMS Web Server ====
+  * ** Certification Authority** -> Certificate Templates -> Manage
+    * Web Server -> Duplicate Template
+      * General
+        * Template display name: JMS Web Server
+      * Request Handling
+        * Allow private key to be exported
+      * Subject Name:
+        * Supply in the request
+      * Extensions
+        * Key Usage:
+          * Digital Signature
+          * Allow key exchange only with key ecryption (key encipherment)
+      * Security:
+        * Указать УЗ, которая сможет выпустить сертификат
+          * Allow: Read, Write, Enroll
+    * ** Certification Authority** -> Certificate Templates -> New
+      * JMS Web Server
+==== Выпустить сертификат JMS Server ====
+    * certlm.msc Выпустить сертификат для JMS
+      * create custom request
+        * JMS Web Server
+          * Subject
+            * Common Name: jms.ald.sovint.ru
+            * DNS: jms.ald.sovint.ru
+          * Private Key
+            * Key Options: Make private key exportable
+          * Extensions
+            * Key Usage: Digital Signature, Key Encipherment
+      * Экспортировать сертификат в формате pxf (опцию Include all certificatation path if possible НЕ УКАЗЫВАТЬ!)
+      * Так же, выгрузить корневой сертификат.
+ ==== Выпустить сертификат MSCA Proxy ====
+    * certlm.msc Выпустить сертификат для JMS
+      * create custom request
+        * JMS Web Server
+          * Subject
+            * Common Name: mscaproxy.ald.sovint.ru
+            * DNS: mscaproxy.ald.sovint.ru
+          * Extensions
+            * Key Usage: Digital Signature, Key Encipherment
+ ==== Выпустить сертификат JMS Enrollment Agent Computer ====
+    * certlm.msc Выпустить сертификат для JMS
+      * create custom request
+        * JMS Enrollment Agent (Computer)
+          * Subject
+            * Common Name: jms.ald.sovint.ru
+            * DNS: jms.ald.sovint.ru
+    * Экспортировать в pfx.
+===== Domain Controller =====
+  * **certlm.msc** - Выпустить сертификат на Контроллеры домена по шаблону **Kerberos Authentication**
+  * **Group Policy Management**
+    * Создать политику, действующую на компьютеры домена:
+      * Computer Configuration -> Policies -> Windows Settings -> Security Settings -> System Services -> Smart Card Removal Policy -> Automatic
+      * Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Interactive Logon: Smart Card Removal Behavior -> Disconnect if a remote Remote Desktop Services session
+===== Создание профилей JMS =====
+  * Выполнить привязку профилей по умолчанию:
+    * Инициализация JaCarta PKI по умолчанию
+    * Профиль выпуска по умолчанию
+    * Профиль клиентского агента по умолчанию
+  * Создать профиль выпуска "Выпуск сертификатов - УЦ Microsoft СА"
+    * Прокси сервер:
+      * Адрес прокси-сервера: **https://ca.ald.sovint.ru:6611**
+      * Логин: **ca_proxy_user**
+    * Тип подписи запроса из консоли управления JMS: **Общий (подпись запроса на** сервере)
+    * Шаблоны сертификатов
+      * Пользователь:	**JMSSmartcardUser**
+      * Администратор:	**JMSSmartcardUser**
+    * Типы приложений: **PKI**
+    * Криптопровайдер для генерации ключевой пары: **Microsoft Base Smart Card Crypto Provider**