Установка тестовой среды с JMS 4 LX

Подготовка сервера ALSE 1.7.4 для JMS4LX

Перечень компонент:
УЗ:
Доп. настройки:

Задать hostname

sudo hostnamectl set-hostname jms
nano /etc/hosts

Ввести компьютер в домен:

sudo tee /etc/security/limits.d/90-fsize.conf 2&>/dev/null << EOF
* hard fsize unlimited
* soft fsize unlimited
EOF
sudo apt install astra-ad-sssd-client -y
sudo astra-ad-sssd-client -y -d {{ server.domain }} -u {{ defaults.domainadmin }}

sudo apt install postgresql
sudo -u postgres psql -c "ALTER USER \"postgres\" WITH PASSWORD 'VzHgRoC7cvWgMEHjqrkw';"

#установить из base repo
sudo apt install gss-ntlmssp -y

sudo tee ./InitialConfigurationAD.ini << EOF
[service]
execPath=/opt/eap-engine/Aladdin.EAP.Engine
integrationManagerUrls=http://*:8120
controlManagerUrls=http://localhost:8119
authenticationManagerUrls=http://*:8121
clientManagerUrls=http://*:8122
 
[database]
type=PostgreSQL
serverAddress=127.0.0.1
serverPort=5432
databaseName=JMS4DB-AD
serverLogin=postgres
serverPassword=VzHgRoC7cvWgMEHjqrkw
databaseLogin=postgres
databasePassword=VzHgRoC7cvWgMEHjqrkw
 
[accountSystem]
type=AD
name=ald.sovint.ru
serverAddress=dc01.ald.sovint.ru
serverPort=389
container=OU=root,dc=ald,dc=sovint,dc=ru
userName=CN=jmsuser,OU=root,DC=ald,DC=sovint,DC=ru
password=0680i7Pk8M5jxdcYnMbs
disabledContainers=Program Data,System,Application
useSsl=false
;useSsl=true
mapping=false
attributes=*
referralChasing=false
 
[primaryUser]
accountName=jmsadmin
 
[licenses]
path=/opt/eap-engine/licenses/ald.sovint.ru.lic
EOF

Установить серверную часть JMS:

apt install -f /distrib/aladdin-eap-engine_4.1.0.6244_x64.deb

sudo mkdir /opt/eap-engine/licenses/ -pv
sudo cp /distrib/ald.sovint.ru.lic /opt/eap-engine/licenses/ -v

Установка корневого сертификата домена:

sudo cp -v rootca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

Начальная конфигурация:

sudo Aladdin.EAP.Agent.Terminal server initialize -p /distrib/InitialConfiguration.ini

Certificate Authority

Certification Authority → Certificate Templates → Manage
- Web Server → Duplicate Template
  - General
    - Template display name: JMS Web Server
  - Request Handling
    - Allow private key to be exported
  - Subject Name:
    - Supply in the request
  - Extensions
    - Key Usage:
      - Digital Signature
      - Allow key exchange only with key ecryption (key encipherment)
  - Security:
    - Указать УЗ, которая сможет выпустить сертификат
      - Allow: Read, Write, Enroll
- Certification Authority → Certificate Templates → New
  - JMS Web Server
- certlm.msc Выпустить сертификат для JMS
  - create custom request
    - JMS Web Server
      - Subject
        
        Common Name: jms.ald.sovint.ru
        
        DNS: jms.ald.sovint.ru
      - Private Key
        
        Key Options: Make private key exportable
      - Extensions
        
        Key Usage: Digital Signature, Key Encipherment
  - Certification Authority → Submit new request
    - Указать запрос на сертификат.
    - Выпустить сертификат
    - Полученный сертификат импортировать в хранилище сертификатов компьютера.
    - Экспортировать сертификат в формате pxf (опцию Include all certificatation path if possible НЕ УКАЗЫВАТЬ!)
    - Так же, выгрузить корневой сертификат.

Domain Controller

certlm.msc - Выпустить сертификат на Контроллеры домена по шаблону Kerberos Authentication
Group Policy Management
- Создать политику, действующую на компьютеры домена:
  - Computer Configuration → Policies → Windows Settings → Security Settings → System Services → Smart Card Removal Policy → Automatic
  - Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options → Interactive Logon: Smart Card Removal Behavior → Disconnect if a remote Remote Desktop Services session