Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7) с подключенным расширенным (extended) репозиторием
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

с подключенным

расширенным

компонентом astra-ce расширенного (extended)

репозиторием

репозитория


Аннотация

В данной статье представлена инструкция по установке связки Foreman-Puppet-Ansible. Для успешной установки требуется подключение расширенного репозитория. серверов и реплик контроллера домена FreeIPA в связке с центром сертификации DogTag. Для успешного запуска центра сертификации DogTag требуется установка OpenJDK из компонента astra-ce расширенного репозитория Astra Linux Special Edition x.7. Отдельно про установку OpenJDK см. Расширенный репозиторий Astra Linux Special Edition x.7: установка и развертывание OpenJDK.

Предупреждение
titleВнимание!

Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации.
Подробнее см. Использование стороннего программного обеспечения в аттестованных информационных системах, функционирующих под управлением Astra Linux Special Edition.

При использовании программного обеспечения расширенного репозитория рекомендуется для дополнительной изоляции процессов осуществлять их запуск в изолированной программной среде (контейнере) [п. 7.2 РукКСЗ1]. При использовании для этих целей Docker-контейнеров их запуск целесообразно осуществлять от имени непривилегированного пользователя в rootless-режиме, а при включенном мандатном контроле целостности (МКЦ) с применением технологии запуска контейнеров на пониженном [п. 7.2.1] или выделенном [п. 7.2.7] уровне МКЦ.


Предупреждение
Установка FreeIPA в связке с центром сертификации DogTag должна выполняться из компонента astra-ce расширенного репозитория.
Подробнее про структуру и использование репозиториев см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования.

Что такое

Foreman, Puppet, Ansible

DogTag


Раскрыть

Общая информация

Foreman

Puppet

Puppet — кроссплатформенное распределенное клиент-серверное приложение, позволяющее централизованно управлять конфигурацией операционных систем и программ, установленных на удаленных компьютерах, использующих практически любую операционную систему.

На компьютеры, управляемые с помощью Puppet, устанавливается специальное ПО - агент Puppet. Агент Puppet периодически опрашивают сервер Puppet, получает и применяет централизованно внесенные администратором изменения в конфигурацию. Конфигурация описывается на специальном декларативном предметно-ориентированном языке. 

Система управления конфигурациями Ansible

Ansible — система управления конфигурациями, написанная на языке программирования Python, с использованием декларативного языка разметки для описания конфигураций. Используется для автоматизации настройки и развертывания программного обеспечения.

В концепции Ansible администратор создает определенные сценарии («плейбуки») (англ. playbook, play — игра, пьеса, book — книга) в формате YAML с описанием требуемых состояний управляемых систем. Каждый «плейбук» — это описание состояния ресурсов системы, в котором она должна находиться в конкретный момент времени, включая установленные пакеты, запущенные службы, созданные файлы и многое другое. Сервер Ansible проверяет, что каждый из ресурсов системы находится в ожидаемом состоянии и пытается исправить состояние ресурса, если оно не соответствует ожидаемому. При этом сценарии обладают свойством идеипотентности: повторное выполнение сценариев не изменяет результат первого выполнения.

Для выполнения задач используется система модулей. Модуль - небольшая программа, выполняющая на управляемой машине определенное действие (действия).

Каждая задача представляет собой имя задачи, используемый модуль и список параметров, характеризующих задачу. Система Ansible поддерживает переменные, фильтры обработки переменных (поддержка осуществляется библиотекой Jinja2), условное выполнение задач, параллельное выполнение, шаблоны файлов. Адреса и настройки целевых систем содержатся в файлах «инвентаря» (inventory). Поддерживается группирование. Для реализации набора сходных задач существует система ролей.

В отличие от системы управления конфигурациями Puppet система Ansible не требует установки на управляемые компьютеры каких-либо агентов, а подключение к управляемым машинам осуществляется через службу SSH. Подробнее см. Система управления конфигурациями Ansible

Оригинальная документация

Оригинальная документация Foreman

Оригинальная документация Foreman доступна по ссылкам:

Оригинальная документация Puppet

Центр сертификации DogTag представляет собой систему управления сертификатами корпоративного класса, обеспечивающую управление полным жизненным циклов сертификатов. Под термином "сертификат" подразумевается сертификат публичного (открытого) ключа, использующий цифровую подпись центра сертификации для аутентификации (удостоверяющий сертификат). Сертификаты являются текстовыми файлами и могут содержать такую информацию, как имена лиц или названия организаций, адреса и т.д. Сертификаты используются для того, чтобы удостовериться в принадлежности открытого ключа субъекту. Центр сертификации DogTag интегрирован со службами FreeIPA, и поддерживает следующие возможности работы с сертификатами:

  • Выпуск сертификатов;
  • Выдачу (публикацию) сертификатов;
  • Отзыв сертификатов;
  • Создание и публикацию списков отзыва сертификатов;
  • Профили сертификатов;
  • Протокол публикации сертификатов Simple Certificate Enrollment Protocol (SCEP);
  • Создание локального удостоверяющего центра (Registration Authority,LRA) организации аутентификации и управлениям политиками;
  • Сохранение и восстановление закрытых ключей;
  • Управление токенами:
    • Профили токенов;
    • Выдачу, блокировку, восстановление и очистку токенов;
    • Запись токенов;

При работе с Контроллер ЕПП FreeIPA в Astra Linux в автоматическом режиме обеспечивается выпуск и обновление сертификатов серверов FreeIPA.

Оригинальная документация DogTag

Оригинальная документация DogTag Оригинальная документация Puppet доступна по ссылке: https://puppetgithub.com/docs/

Оригинальная документация Ansible

Оригинальная документация Ansible доступна по ссылке: https://docs.ansible.com/dogtagpki/pki/wiki.

Установка пакетов

  1. Подключить репозитории:
    • основной репозиторий и актуальное оперативное обновление основного репозитория
    • актуальное оперативное обновление базового репозитория;
    • актуальное оперативное обновление расширенного репозитория, включая компонент astra-ce

  2. Обновить список кеш пакетов:

    Command
    sudo apt update


  3. Опционально: установить актуальное обновление:

    Command
    sudo apt dist-upgrade


  4. Установить пакеты

    1. Для установки первичного сервер FreeIPA:

      Command
      sudo apt install astra-freeipa-server dogtag-pki


    2. Для установки серверов-реплик FreeIPA:

      Command
      sudo apt install astra-freeipa-server astra-freeipa-client dogtag-pki


  5. Дальнейшую настройку выполнять в соответствии с инструкциями Контроллер ЕПП FreeIPA в Astra Linux (варианты установки с центром сертификации DogTag).

Для подключения центра сертификации к ранее установленному серверу (реплике) FreeIPA см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6