On-Premise платформа

Локальная платформа двухфакторной аутентификации Protectimus может быть установлена на частном сервере или в частном облаке клиента.

• Требования для установки на частном сервере: Java (JDK версии 8); СУБД PostgreSQL (версия 10 и выше)
• Требования для установки в частном облаке: 2 Core (CPU), 8 GB (MEM); ОС: Linux/Windows; Disk: 20GB; Load Balancer.

Для обеспечения бесперебойной работы сервера двухфакторной аутентификации, разверните кластер из нескольких серверов (рекомендуем использовать минимум 3 ноды). Для распределения нагрузки понадобится Load Balancer.

Вы можете установить Платформу Protectimus с помощью инсталлятора для Windows или из Docker-образа.

1. Установка Платформы Protectimus из Docker-образа

1. Для установки On-premise платформы Protectimus необходимо скачать и установить docker, docker-compose:

• Docker: https://docs.docker.com/engine/install/
• Docker-compose: https://docs.docker.com/compose/install/

2. Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git

3. Перейти в каталог platform-linux/platform и запустить:

docker-compose up -d

4. За процессом разворачивания платформы можно наблюдать используя команду:

docker-compose logs -f

5. После завершения процесса запуска, платформа будет доступна по адресу: https://localhost:8443

2. Установка платформы на ОС Windows при помощи инсталлятора

1. Загрузите и запустите установщик On-premise платформы Protectimus. Выберите пункт Platform. Если вы планируете использовать компоненты DSPA или RProxy (необходим для интеграции по протоколу RADIUS) и/или доставку OTP паролей через чат-ботов в мессенджерах Telegram, Facebook Messenger, Viber, поставьте галочки напротив соответствующих компонентов. Нажмите Next.

2. Перед развертыванием платформы Protectimus, на вашем сервере должна быть установлена Java. Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.

3. Также на вашем сервере должна быть установлена система управления базами данных PostgreSQL (версия 9.2 и выше). Нажмите кнопку Install, чтобы проверить наличие PostgreSQL. Если PostgreSQL еще не установлена, последняя версия PostgreSQL будет установлена автоматически.

ВНИМАНИЕ: Во время установки вам нужно будет задать имя суперпользователя (superuser name) и пароль. Этот логин и пароль понадобится вам для входа в PostgreSQL позже.

Пожалуйста, запомните свое имя суперпользователя (в данном случае postgres) и пароль, который вы добавите на этом этапе. Это имя и пароль потребуются для входа в PostgreSQL позже.

4. Войдите в базу данных PostgreSQL. Введите имя суперпользователя и пароль, которые вы указали при установке PostgreSQL, и нажмите LogIn. Затем нажмите Next, чтобы продолжить установку.

5. Создайте и выберите базу данных, которую вы будете использовать для локальной платформы Protectimus.

• Создайте новую базу данных. Введите желаемое имя базы данных и нажмите Create.
• Проверьте, создалась ли база данных, с помощью кнопки List.
• Нажмите Select, выберите только что созданную базу данных и нажмите Next.

6. Запустите базу данных. Нажмите Init, чтобы выполнить сценарии SQL и запустить базу данных. Это может занять некоторое время.

7. Выберите папку для установки локальной платформы Protectimus и нажмите Install.

3. Оплата и активация лицензии

1. Перейдите по ссылке https://service.protectimus.com/ru/platform и нажмите на кнопку Приобрести лицензию.

2. Введите ваш лицензионный ключ в поле Ключ лицензирования и нажмите кнопку Отправить.

3. На следующем шаге нажмите на кнопку Оплатить.

4. Выберите способ оплаты. Если вам необходим альтернативный способ оплаты, свяжитесь со службой поддержки клиентов Protectimus.

5. После успешной оплаты нажмите на кнопку Выдача лицензии для платформы.
   
   Вы также можете сделать это на странице https://service.protectimus.com/ru/platform, нажав кнопку Выдача лицензии.

6. Введите ключ в поле Ключ лицензирования и нажмите кнопку Отправить. После этого файл лицензии будет загружен.

7. После получения файла лицензии загрузите его на сервер и укажите путь к файлу лицензии в параметре licence.file.path в файле с именем protectimus.platform.properties.

4. Регистрация в системе Protectimus

5. Синхронизация пользователей с вашей службой каталогов

1. Войдите в свою учетную запись в Protectimus и нажмите: Пользователи — Синхронизация — Добавить поставщика пользователей

2. В разделе Соединение заполните данные о службе каталогов.

keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit

DC=domain,DC=local

CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local

[email protected]

3. После внесения информации о вашем каталоге пользователей, добавьте атрибуты синхронизации.
   
   Нажмите кнопку Атрибуты.
   
   
   Затем добавьте атрибуты, как показано в примере.
   
   
   
   

4. После успешного добавления поставщика пользователей вам необходимо импортировать пользователей в систему Protectimus и синхронизировать их с вашим каталогом пользователей.
   
   В поле Режим синхронизации выберите, как вы хотите импортировать своих пользователей.
   
   Есть три варианта настроек импорта пользователей:
   • Только импорт — данные пользователей никогда не будут обновляться.
   • Импорт и обновление — данные пользователей будут обновляться, когда это возможно.
   • Импорт, обновление и удаление — данные пользователей будут обновляться, когда это возможно. Пользователи Protectimus, а также назначенные им программные токены будут удалены при удалении пользователя из внешнего пользовательского хранилища.

5. Теперь задайте настройку Использовать пагинацию.
   
   Когда включена опция Использовать пагинацию, и количество записей превышает 200 или 500, для извлечения данных будет использовано несколько запросов. Это нужно потому, что LDAP по умолчанию ограничивает количество возвращаемых записей.

6. Настройте Фильтр который будет применен при синхронизации.
   
   Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.
   
   Например, чтобы импортировать только тех пользователей, у которых указаны атрибуты telephoneNumber и mail, настройте такой фильтр:
   
   

   (&(telephoneNumber=*)(mail=*))

   
   Для импорта пользователей из определенной группы выберите нужную группу.

7. Далее задайте настройку Выпустить SMS токен.
   
   Если активирована опция Выпустить SMS токен, во время синхронизации вашим пользователям будут выпущены и назначены SMS-токены.

8. В разделе Назначение на ресурс вы можете выбрать ресурс, на который будут назначены пользователи при синхронизации.
   
   

9. Следующий шаг — активировать синхронизацию пользователей. Это можно сделать тремя способами:
   
   
   1. Нажать кнопку Синхронизировать сейчас, чтобы синхронизировать всех пользователей одновременно.
      
      
      Вы также можете нажать кнопку Синхронизировать измененных пользователей, чтобы синхронизировать только тех пользователей, которые были изменены с момента последней синхронизации.
      
      
      
   2. Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию Синхронизировать отдельных пользователей.
   
   
   
   3. Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.
   

6. Как настроить SSL-сертификат, доставку сообщений по email и SMS, указать путь к файлу лицензии

• Добавить SSL-сертификат для платформы Protectimus. Поддерживаются разные форматы SSL сертификатов, включая .pkcs12, .pem, .der, .pfx.
• Настроить доставку сообщений по электронной почте.
• Настроить подключение к SMPP-серверу, чтобы добавить своего поставщика SMS для доставки одноразовых паролей по SMS.
• Указать путь к файлу лицензии. Обратите внимание, путь к файлу лицензии должен быть указан с двойными обратными слешами (C:\\some\\path\\file).

6.1. Настройка SSL-сертификата

https.port

https.keystore.type

https.keystore.password

https.keystore

https.port = 8443
https.keystore.type = JKS
https.keystore.password = **********
https.keystore = C:\\Program Files\\Protectimus\\Platform\\keystore.jks

6.2.Настройка доставки сообщений по электронной почте

smtp.host

smtp.port

smtp.user

smtp.password

default.from.address

smtp.host = smtp-server.com
smtp.port = 25
smtp.user = [email protected]
smtp.password = **********

6.3. Настройка подключения к серверу SMPP

smpp.server.login

smpp.server.password

smpp.server.host

smpp.server.port

smpp.message.encoding

smpp.from.address

smpp.server.login = login
smpp.server.password = **********
smpp.server.host = smpp.example.com
smpp.server.port = 12000
smpp.message.encoding = UTF-8
smpp.from.address = Protectimus

7. Как импортировать доверенный SSL сертификат

1. Импортируйте сертификат, как доверенный, в keystore:

keytool -keystore ___.jks -import -alias ___ -file ___.crt -trustcacerts

Пример:
keytool -keystore publicStore.jks -import -alias protectimus -file protectimus.crt -trustcacerts

2. Конвертируйте сертификат в PKCS12 формат:

openssl pkcs12 -inkey ___.key -in ___.crt -export -out certificate.pkcs12

Пример:
openssl pkcs12 -inkey privateKey.key -in protectimus_2020-2022.crt -export -out certificate.pkcs12

3. Импортируйте сертификат в keystore:

keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore ___.jks

Пример:
keytool -importkeystore -srckeystore certificate.pkcs12 -srcstoretype PKCS12 -destkeystore publicStore.jks

8. Настройка платформы