> On-Premise платформа

On-Premise платформа

Локальная платформа двухфакторной аутентификации Protectimus может быть установлена на частном сервере или в частном облаке клиента.
  • Требования для установки на частном сервере: Java (JDK версии 8); СУБД PostgreSQL (версия 10 и выше)
  • Требования для установки в частном облаке: 2 Core (CPU), 8 GB (MEM); ОС: Linux/Windows; Disk: 100GB; Load Balancer.
Для обеспечения бесперебойной работы сервера двухфакторной аутентификации, разверните кластер из нескольких серверов (рекомендуем использовать минимум 3 ноды). Для распределения нагрузки понадобится Load Balancer.

Вы можете установить Платформу Protectimus с помощью инсталлятора для Windows или из Docker-образа.

1. Установка Платформы Protectimus из Docker-образа

  1. Для установки On-premise платформы Protectimus необходимо скачать и установить docker, docker-compose:
 
  1. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git
 
  1. Перейти в каталог platform-linux и запустить:
docker-compose up -d
 
  1. За процессом разворачивания платформы можно наблюдать используя команду:
docker-compose logs -f
 
  1. После завершения процесса запуска, платформа будет доступна по адресу: https://localhost:8443

2. Установка платформы на ОС Windows при помощи инсталлятора

  1. Загрузите и запустите установщик On-premise платформы Protectimus. Выберите пункт Platform. Если вы планируете использовать компоненты DSPA или RProxy (необходим для интеграции по протоколу RADIUS) и/или доставку OTP паролей через чат-ботов в мессенджерах Telegram, Facebook Messenger, Viber, поставьте галочки напротив соответствующих компонентов. Нажмите Next.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 1  
  1. Перед развертыванием платформы Protectimus, на вашем сервере должна быть установлена Java. Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 2  
  1. Также на вашем сервере должна быть установлена система управления базами данных PostgreSQL (версия 9.2 и выше). Нажмите кнопку Install, чтобы проверить наличие PostgreSQL. Если PostgreSQL еще не установлена, последняя версия PostgreSQL будет установлена автоматически.
ВНИМАНИЕ: Во время установки вам нужно будет задать имя суперпользователя (superuser name) и пароль. Этот логин и пароль понадобится вам для входа в PostgreSQL позже.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 3 Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 4 Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 5 Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 6 Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 7
Пожалуйста, запомните свое имя суперпользователя (в данном случае postgres) и пароль, который вы добавите на этом этапе. Это имя и пароль потребуются для входа в PostgreSQL позже.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 8  
  1. Войдите в базу данных PostgreSQL. Введите имя суперпользователя и пароль, которые вы указали при установке PostgreSQL, и нажмите LogIn. Затем нажмите Next, чтобы продолжить установку.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 9  
  1. Создайте и выберите базу данных, которую вы будете использовать для локальной платформы Protectimus.
  • Создайте новую базу данных. Введите желаемое имя базы данных и нажмите Create.
  • Проверьте, создалась ли база данных, с помощью кнопки List.
  • Нажмите Select, выберите только что созданную базу данных и нажмите Next.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 10  
  1. Запустите базу данных. Нажмите Init, чтобы выполнить сценарии SQL и запустить базу данных. Это может занять некоторое время.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 11  
  1. Выберите папку для установки локальной платформы Protectimus и нажмите Install.
Установка платформы двухфакторной аутентификации Protectimus на Windows - шаг 12 Сервер будет запущен на порту 8080, а платформа будет доступна по адресу http://localhost:8080. Ссылка откроется автоматически после установки. После запуска платформы вам необходимо зарегистрироваться в системе.

3. Оплата и активация лицензии

После запуска платформы Вы должны зарегистрироваться в системе. Для этого Вам будет необходимо получить лицензию. Перейдите на страницу http://platform_path/licensing, выберите необходимое количество опций и получите ключ лицензирования.

С помощью полученного ключа Вы сможете оплатить и загрузить лицензию на сайте по адресу https://service.protectimus.com/platform/licensing. Если необходима другая схема оплаты — обратитесь в службу поддержки Protectimus.

После получения файла лицензии загрузите его на сервер и укажите путь к файлу в параметре licence.file.path файла protectimus.platform.properties. Перезагрузите сервер для активации изменений.

4. Регистрация в системе Protectimus

Установщик автоматически откроет регистрационную форму по адресу http://localhost:8080. Пожалуйста, создайте учетную запись и войдите в систему для настройки необходимых параметров. Установка 2FA платформы Протектимус - регистрация в системе

5. Синхронизация пользователей с вашей службой каталогов

  1. Войдите в свою учетную запись в Protectimus и нажмите:    Пользователи — Синхронизация — Добавить поставщика пользователей
Синхронизация on-premise платформы Protectimus со службами каталогов - шаг 1
  1. Заполните данные о службе каталогов.
Синхронизация on-premise платформы Protectimus со службами каталогов - шаг 2   Основные настройки:
Поле Значение Примечание
Urls Url адрес подключения к вашему серверу LDAP Пример: ldaps://dc1.domain.local:636
Для DSPA необходимо использовать именно ldaps соединение, также нужно импортировать SSL сертификат.
Стандартный способ:
keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit
Base DN Полный DN каталога, в котором находятся ваши пользователи Пример:
DC=domain,DC=local
User Dn DN или userPrincipalName администратора или пользователя, который имеет доступ к информации пользователей Пример:
CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local
[email protected]
For DSPA, the user must have rights to change passwords
Пароль Пароль указанного пользователя  
Фильтр Фильтр, который будет применен при синхронизации Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать

Пример:
(memberOf=CN=DSPA Group,DC=domain,DC=local) 
Для импорта пользователей из определенной группы
(mail=*)
Для импорта только тех пользователей, у которых указан атрибут mail
 
  1. После успешного добавления поставщика пользователей, необходимо синхронизировать пользователей Protectimus со службой каталогов. Это можно сделать тремя способами:
 
  • Нажать кнопку ‘синхронизировать сейчас’, чтобы синхронизировать всех пользователей одновременно.
Синхронизация on-premise платформы Protectimus со службами каталогов - шаг 3  
  • Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию ‘синхронизировать отдельных пользователей’.
Синхронизация on-premise платформы Protectimus со службами каталогов - шаг 4  
  • Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр “Активирован” вверху страницы.
Синхронизация on-premise платформы Protectimus со службами каталогов - шаг 5

6. Настройка SSL

По умолчанию для SSL соединения с платформой Protectimus используется самоподписанный SSL сертификат. Если вы хотите импортировать собственный доверенный SSL сертификат, следуйте дальнейшим инструкциям.

Для импорта сертификата понадобится сам SSL сертификат, ключ от сертификата, утилиты keytool и openssl.

  1. Импортируйте сертификат, как доверенный, в keystore:
keytool -keystore ___.jks -import -alias ___ -file ___.crt -trustcacerts

Пример:
keytool -keystore publicStore.jks -import -alias protectimus -file protectimus.crt -trustcacerts
 
  1. Конвертируйте сертификат в PKCS12 формат:
openssl pkcs12 -inkey ___.key -in ___.crt -export -out certificate.pkcs12

Пример:
openssl pkcs12 -inkey privateKey.key -in protectimus_2020-2022.crt -export -out certificate.pkcs12
 
  1. Импортируйте сертификат в keystore:
keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore ___.jks

Пример:
keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore publicStore.jks

7. Настройка платформы

Проведите интеграцию платформы Protectimus с сервисом, который планируете защитить, и задайте необходимые настройки. Для этого скачайте нужную вам инструкцию на странице Интеграции.
Last updated on 2021-11-25