Сравнение версий

Старая версия 6

changes.mady.by.user Климкин Евгений Сергеевич

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Климкин Евгений Сергеевич

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Оффлайн установка (закрытый контур) описана в разделах:

v1.0_3.2.1 Установка в закрытом контуре на ОС Ubuntu 22/24

v1.0_3.2.2 Установка в закрытом контуре на ОС Astra Linux 1.7.5 / 1.7.6

v1.0_3.2.3 Установка в закрытом контуре на ОС Astra Linux 1.8.1

v1.0_3.2.4 Установка в закрытом контуре на ОС RedOS 7.3.4/7.3.5/8.0 установка в закрытом контуре

Якорь
ansible_host
ansible_host

...

  1. Для настройки хоста, на который будет выполняться развертывание системы, требуется отредактировать файл inventory/hosts.yml. В переменной ansible_host необходимо указать IP-адрес или доменное имя целевого хоста:

    Блок кода
    languageyml
    ---
common:
  hosts:
    # Хост для выполнения stand-alone установки NAICE
    common_host:
      ansible_host: <IP-адрес или доменное имя хоста для NAICE>


    Примечание

    Указанный IP-адрес или доменное имя хоста будет добавлен в параметр в Subject Alternative Name при генерации самоподписанного сертификата во время установки сервисов NAICE. 


  2. Настроить режим доступа к хосту по SSH в файле ansible.cfg в зависимости от предпочитаемого варианта:

    1. по логину/паролю:

      Блок кода
      [defaults]
inventory = hosts.yml
host_key_checking = False
deprecation_warnings = False

      и дополнить hosts.yml:

      Блок кода
      languageyml
      ---
common:
  hosts:
    common_host:
      ansible_host: <IP-адрес или доменное имя хоста для NAICE>      
      ansible_user: <логин пользователя>
      ansible_ssh_pass: <пароль пользователя>
      ansible_become_pass: <пароль для повышения привилегий (sudo)>


    2. по ключу (предварительно необходимо сгенерировать и поместить ключ на целевой хост):

      Блок кода
      [defaults]
inventory = hosts.yml
host_key_checking = True
private_key_file = <путь к файлу ключа>
deprecation_warnings = False


  3. Проверить корректность указанных настроек и наличие доступа до удаленного хоста с помощью команд: 

    Блок кода
    ansible all --list-hosts  # проверить список хостов
ansible all -m ping       # проверить доступ до хостов

    Пример вывода, если хост доступен:

    Блок кода
    languagebash
    common_host | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python3"
    },
    "changed": false,
    "ping": "pong"
}

Якорь
naice_vars
naice_vars

Настройка переменных в файле group_vars/all.yml

Настройки переменных указаны в файле group_vars/all.yml и используются для конфигурирования сервисов. Полностью назначение переменных описано в конце статьи в разделе "Приложение А". Система будет работоспособна при использовании дефолтных значений переменных. Далее описаны наиболее востребованные переменные кофигурации сервисов.

Настройка часового пояса (TZ)

Для корректного отображения времени в системе NAICE необходимо задать следующий параметр в файле конфигурации group_vars/all.yml.

Формат переменной:

Блок кода
languagebash
time_zone: "Регион/Город"

...

Блок кода
{"server-info":{"version":"1.4","build":"14","root":false,"serverType":"elm","daemonMode":"server","serverMode":"offline","protocolSupported":3,"protocolActual":3,"server-type":"elm","protocol-supported":3,"protocol-actual":3},"status":2,"result":"OK"}

Замена сертификатов по умолчанию для работы протокола EAP-PEAP

...

Якорь
eap_peap_setup
eap_peap_setup

  1. Для работы метода аутентифкации EAP-PEAP (по логину/паролю пользователя) требуется наличие валидного сертиката на стороне RADIUS-сервера NAICE. По умолчанию публичный сертифкат встроен в контейнер naice-radius и готов к работе. При необходимости замены данный сертифкат может быть заменен на другой. Для корректной установки потребуется:

    1. Сертификат корневого сервера ЦС;

    2. Сертификат для сервера NAICE;

    3. Приватный ключ сертификата сервера NAICE.

  2. Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/tls.

  3. В секции переменных плейбука group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-PEAP требуется указать переменные, чтобы включить интеграцию:

    Блок кода
    languageyml
    # параметры сертификатов
# требует настройки ТОЛЬКО ЕСЛИ планируется использовать сторонний сертификат сервера в radius
# перед запуском плейбука требуется создать папку сертификатов на целевой машине и положить в неё все требуемые сертификаты
# для включения установки сертификатов протокола EAP необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/tls
radius_cert_dir_copy: false   # включить копирование сертификатов из директории ansible/roles/docker/files/tls
radius_certs_ca_cert_file: trusted_server.crt   # имя файла корневого (CA) сертификата
radius_certs_private_key_file: trusted_server.k   # имя файла приватного ключа сертификата сервера
radius_certs_private_key_password:   # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не запаролен
radius_certs_certificate_file: trusted_server_chain.crt   # имя файла сертификата сервера


    Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:

    ПараметрНазначение
    radius_cert_dir_copyПеременная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius.
    radius_certs_ca_cert_fileИмя файла корневого сертификата ЦС.
    radius_certs_private_key_fileИмя файла приватного ключа сервера.
    radius_certs_private_key_password

    Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.

    radius_certs_certificate_fileИмя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-PEAP.


Добавление сертификатов для работы протокола EAP-TLS

...

Якорь
eap_tls_setup
eap_tls_setup

  1. Для работы метода аутентификации EAP-TLS, настройка которой подробно рассмотрена в разделе v1.0_4.7 Настройка EAP-TLS аутентификации, требуется выпустить сертификат, предназначенный для использования NAICE, и расположить его на хосте, с которого будет запускаться выполнение плейбука Ansible. Для корректной установки требуются:

    1. Сертификат корневого сервера ЦС;

    2. Сертификат для сервера NAICE;

    3. Приватный ключ сертификата сервера NAICE.

  2. Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/eap-tls.

  3. В секции переменных плейбука group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-TLS требуется указать переменные, чтобы включить интеграцию:

    Блок кода
    languageyml
    # параметры для авторизации по протоколу EAP-TLS
# параметры сертификатов
# для включения установки сертификатов протокола EAP-TLS необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/eap-tls
radius_eap_tls_cert_dir_copy: false # включить (true) или выключить (false) копирование сертификатов из директории ansible/roles/docker/files/eap-tls
radius_eap_tls_certs_ca_cert_file: trusted_server.crt # имя файла корневого (CA) сертификата
radius_eap_tls_certs_private_key_file: trusted_server.k # имя файла приватного ключа сертификата сервера
radius_eap_tls_certs_private_key_password:  # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не запаролен
radius_eap_tls_certs_certificate_file: trusted_server_chain.crt # имя файла серверного сертификата
# настройки проверки статуса отозванных сертификатов по протоколу OCSP
radius_eap_tls_ocsp_enable: 'true' # Включение проверки статуса отзыва сертификата по протоколу OCSP
radius_eap_tls_ocsp_override_url: 'true' # Использовать URL сервиса OCSP из сертификата
radius_eap_tls_ocsp_url: 'http://100.110.2.12/ocsp' # URL для обращения к сервису OCSP
radius_eap_tls_ocsp_softfail: 'true' # Мягкая проверка доступа к серверу проверки OSCP, если сервер недоступен, процесс не завершится, а продолжится
radius_eap_tls_ocsp_timeout: 0 # Таймаут обращения к серверу OSCP
radius_eap_tls_ocsp_use_nonce: 'true' # Позволяет включить одноразовый код в запрос - nonce, который может быть включен в соответствующий ответ

    Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:

    ПараметрНазначение
    radius_eap_tls_cert_dir_copyПеременная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius.
    radius_eap_tls_certs_ca_cert_fileИмя файла корневого сертификата ЦС.
    radius_eap_tls_certs_private_key_fileИмя файла приватного ключа сервера.
    radius_eap_tls_certs_private_key_password

    Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.

    radius_eap_tls_certs_certificate_fileИмя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-TLS.
    radius_eap_tls_ocsp_enableВключить проверку статуса отзыва сертификата по протоколу OCSP (false | true). По умолчанию false (проверка отключена).
    radius_eap_tls_ocsp_override_urlОткуда брать URL OCSP-сервера: false - использовать URL из сертификата клиента; true - использовать URL из настройки radius_eap_tls_ocsp_url. По умолчанию false.
    radius_eap_tls_ocsp_urlURL для обращения к OCSP-серверу (разрешен только http-режим).
    radius_eap_tls_ocsp_softfailПоведение в случае недоступности OCSP-сервера (false | true): false - прекратить аутентификацию, если не удается получить доступ; true - продолжить аутентификацию без проверки отзыва сертификата, если OCSP-сервер не доступен.
    radius_eap_tls_ocsp_timeoutТаймаут обращения к серверу OCSP (секунды). По умолчанию 0.
    radius_eap_tls_ocsp_use_nonceВключить одноразовый код nonce в запрос на проверку сертификата для предотвращения подмены запроса (false | true): false - не включать, true - включить. По умолчанию true.


...