| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
При написании статьи использовалась версия КонсультантПлюс 4021. |
Аннотация
Данная статья содержит описание последовательности действий для установки Интранет-версии СПС КонсультантПлюс (далее - Консультант+) на ОС Astra Linux. Для установки использовался предоставленный разработчиками Консультант+ комплект ПО. В качестве примера будет рассмотрена установка Консультант+ для пользователя с именем consultant (это имя принято в настройках Консультант+ по умолчанию). Предполагается, что установка выполняется администратором системы, имеющим привилегии суперпользователя (для Astra Linux Special Edition с включенным МКЦ - имеющим привилегии суперпользователя и высокий уровень целостности). Архив для установки загружен администратором в подкаталог Загрузки домашнего каталога администратора.
Установка offline-версии
Далее предполагается, что установочный комплект файлов Консультант+ скопирован (распакован) в подкаталог Загрузки домашнего каталога администратора, выполняющего установку.
Создать пользователя consultant и его домашний каталог (/home/consultant). Команда:
Command sudo useradd -m consultant Скопировать подкаталог OFFLINE установочного комплекта в домашний каталог пользователя:
Command sudo cp - fR Загрузки/OFFLINE /home/consultant/
Аннотация
Данная статья содержит описание последовательности действий для установки Интранет-версии СПС КонсультантПлюс (далее - Консультант+) на ОС Astra Linux. Для установки использовался предоставленный разработчиками Консультант+ комплект ПО. В качестве примера будет рассмотрена установка Консультант+ для пользователя consultant (это имя принято в настройках Консультант+ по умолчанию). Предполагается, что установка выполняется администратором системы, имеющим привилегии суперпользователя (для Astra Linux Special Edition - также имеющим высокий уровень целостности). Архив для установки загружен администратором в подкаталог Загрузки домашнего каталога.
Установка
Далее предполагается, что установочный комплект файлов Консультант+ скопирован (распакован) в подкаталог Загрузки домашнего каталога пользователя, выполняющего установку.
Создать пользователя для тестирования командой:
Command sudo useradd -m consultant Скопировать подкаталог OFFLINE установочного комплекта в домашний каталог пользователя:
Command sudo cp - fR Загрузки/OFFLINE/CONSBASE /home/consultant/OFFLINE/ Если ОС работает в режиме Защищённой Программной Среды (ЗПС), то установить публичный ключ для программ КонсультантПлюс:
Скопировать публичный ключ из подкаталога SERVICE комплекта поставки:
Command sudo cp "Загрузки/SERVICE/PublicKey/consultant-plus_pub.key" "/etc/digsig/keys/"
sudo chown root:root "/etc/digsig/keys/consultant-plus_pub.key"
sudo update-initramfs -u -k allДля применения изменений после установки публичного ключа перезагрузить ОС:
Command sudo systemctl reboot Выполнить регистрацию приложения КонсультантПлюс:
Сформировать запрос на регистрацию:
Command Информация В результате операции копирования должна быть создана следующая структура каталогов:
Блок кода /home/consultant/OFFLINE/CONSBASE
sudo ./licons --regСформированный запрос будет размещен в подкаталоге SEND (файл с расширением *.QR);
Сформированный запрос передать для обработки в компанию "КонсультантПлюс" и получить файлы с кодом ответа и расширением *.AR;/ ADM/ BASE/ DISTR/ RECEIVE/ SEND/ SYSTEM/ USERS/Установить права доступа к файлам для информационной базы OFFLINE:
Command sudo chown -R user:user Полученные файлы скопировать в подкаталог RECEIVE, и повторно выполнить команду регистрации:
Command
CONSBASE/home/consultant/OFFLINE/
./licons --reg
sudoПри выполнении команды будет выдана информация о регистрации информационной базы:
Блок кода Licons tool 4021.00.20.534713 Copyright (C) КонсультантПлюс 1992-2021 Название системы Номер Регистрация ----------------------------------------------------------- Консультант Бюджетные организации 1030387 ЕстьИнициализировать комплект командой licons с ключом --adm:
Command sudo ./licons --adm Программа выведет в консоль версию сборки, копирайт, каталог с ИБ и каталог запуска llicons. При необходимости программа построит общие словари. Пример полученной информации при запуске:
chmod -R 775 /home/consultant/OFFLINE/ Если используется Astra Linux Special Edition и ОС должна работать в режиме Защищенной Программной Среды (ЗПС), то установить публичный ключ для программ КонсультантПлюс:
Скопировать публичный ключ из подкаталога SERVICE комплекта поставки:
Command sudo cp "Загрузки/SERVICE/PublicKey/consultant-plus_pub.key" "/etc/digsig/keys/"
sudo chown root:root "/etc/digsig/keys/consultant-plus_pub.key"
sudo update-initramfs -u -k allДля применения изменений после установки публичного ключа перезагрузить ОС:
Command sudo systemctl reboot
Регистрация offline-версии
Выполнить регистрацию приложения КонсультантПлюс:
Сформировать запрос на регистрацию с помощью входящей в комплект поставки программы licons (представлена файлом с именем liconsXXXXXX, где XXXXXX - код из шести цифр. Программа далее для краткости обозначается именем licons):
Command sudo /home/consultant/OFFLINE/CONSBASE/licons --reg Сформированный запрос будет размещен в каталоге /home/consultant/OFFLINE/CONSBASE/SEND (файл с расширением *.QR);
Сформированный запрос передать для обработки в компанию "КонсультантПлюс" и получить файлы с кодом ответа и расширением *.AR;
Полученные файлы скопировать в подкаталог /home/consultant/OFFLINE/CONSBASE/RECEIVE, и повторно выполнить команду регистрации:
Command sudo /home/consultant/OFFLINE/CONSBASE/licons --reg При выполнении команды будет выдана информация о регистрации информационной базы:
Блок кода Licons tool 4021.00.20.534713
Блок кода Title licons --reg Copyright (C)
КонсультантПлюс 1992-2021 Название системы Номер Регистрация ----------------------------------------------------------- Консультант Бюджетные организации 1030387 Есть
Инициализировать комплект командой licons с ключом --adm:
Command sudo /home/consultant/OFFLINE/CONSBASE/licons --adm Программа выведет в консоль версию сборки, копирайт, каталог с информационной базой и каталог запуска licons. При необходимости программа построит общие словари. Пример полученной информации при запуске:
Блок кода Title licons --reg Licons tool 4020.00.00.443440 Copyright (C) ConsultantPlus 2020. All rights reserved. BASE path: /home/consultant/OFFLINE/CONSBASE/BASE/ pwd: /home/consultant ------------------- -------------- Название системы Номер Регистрация ---------------------------------------------------------------- -------------------- КонсультантПлюс: Версия Проф 51113 Есть
Установить права доступа к файлам для информационной базы OFFLINE:
Command sudo chown -R user:user /home/consultant/OFFLINE/
sudo chmod -R 775 /home/consultant/OFFLINE/CONSBASE/-------------- Название системы Номер Регистрация ---------------------------------------------------------------- -------------- КонсультантПлюс: Версия Проф 51113 ЕстьПри выпрлнении команды может быть выдано предупреждение о том, что наполнение информационной базы устарело.
Установка и настройка интранет-версии
Установить пакеты Astra Linux для работы с Интранет-версией (необходимо подключить в качестве репозитория основной диск и диск с актуальным оперативным обновлением):
Web-сервер apache2 и сопутствующие пакеты:
Command sudo apt install libpng16-16 librsvg2-2 apache2 Балансировщик нагрузки:
Command sudo apt install haproxy Пакет шрифтов:
Command sudo apt install fonts-dejavu после установки пакета шрифтов выполнить обновление кэша шрифтов:
Command sudo fc-cache -r -f -v Пакет для подключении режима авторизации в ИВ:
Command sudo apt install odbc-postgresql
Установить Интранет-версию:
Скопировать файлы:
Command sudo cp -fR ~/Загрузки/ONLINE /home/consultant/ONLINE/ Информация После копирования должна быть создана следующая структура каталогов:
Установить пакеты Astra Linux для работы с Интранет-версией (необходимо подключить в качестве репозитория основной диск и диск с актуальным оперативным обновлением):
Web-сервер apache2 и сопутствующие пакеты:
Command sudo apt install libpng16-16 librsvg2-2 apache2 Балансировщик нагрузки:
Command sudo apt install haproxy Пакет шрифтов (после установки пакета - выполняется обновление кэша шрифтов):
sudo apt install fonts-dejavuCommand sudo fc-cache -r -f -v Пакет для подключении режима авторизации в ИВ:
Command sudo apt install odbc-postgresql Установить Интранет-версию:
Скопировать файлы:
Command sudo cp -fR ~/Загрузки/ONLINE/cons /home/consultant/ONLINE/ Проверить и скорректировать файл START.KEY, в котором указан каталог с кэшем для ИВ:
Command echo --CACHEDIR=/home/consultant/ONLINE/cons/TEMP | sudo tee/home/consultant/ONLINE/cons/CGI/START.KEY Синхронизировать и настроить START.KEY для обслуживания кэша ИВ припополнении оффлайн ИБ:
Command cp -fR /home/consultant/ONLINE/cons/CGI/START.KEY /home/consultant/OFFLINE/CONSBASE/ Проверить и скорректировать в файле /home/consultant/ONLINE/cons/CGI/BASE.DIR путь до оффлайн ИБ в текстовом формате:
Command echo /home/consultant/OFFLINE/CONSBASE/ | sudo tee /home/consultant/ONLINE/cons/CGI/BASE.DIR Создать в каталоге /home/consultant/ONLINE/cons/TEMP подкаталог CONSCACHE/RTFCACHE:
Command mkdir -p /home/consultant/ONLINE/cons/TEMP/CONSCACHE/RTFCACHE Создать символическую ссылку на созданный каталог /home/consultant/ONLINE/cons/TEMP/CONSCACHE/RTFCACHE в каталоге с ресурсом cons:
Command sudo ln -s Блок кода
TEMP/CONSCACHE/RTFCACHE /home/consultant/ONLINE/cons//home/consultant/ONLINE/cons/Установить необходимые для работы права доступа:
Command sudo chown -R consultant:consultant /home/consultant/
sudo chmod 775 -R /home/consultant/
Настроить интранет-версию:
Информация В качестве примера будет использована тестовая конфигурация для пользователя consultant, имя которого можно заменить на любое другое. При замене пользователя или каталогов необходимоскорректировать и привести пути в конфигурационных файлах в соответствие с теми, которые будут созданы или изменены.Имена файлов и каталогов в путях регистрозависимы! Проверить параметры в следующих файлах:
CGI/ help/ querylog/ static4020_00_20_483774/ SYSTEM/ TEMP/Проверить и при необходимости скорректировать файл /home/consultant/ONLINE/cons/CGI/START.KEY, в котором указан каталог с кешем данных для интернет-версии:
ФайлБлок кода --CACHEDIR=
SYSTEM/conssrv2.service:/home/consultant/ONLINE/cons/TEMPСкопировать файл /home/consultant/ONLINE/cons/CGI/START.KEY для обслуживания кеша данных интернет-версии при пополнении оффлайн-базы данныхСоздать символическую ссылку на этот файл в каталоге /etc/systemd/system:
Файл /Command sudo ln cp -s fR /home/consultant/ONLINE/cons/SYSTEMCGI/conssrv2START.service /etc/systemd/system
ONLINEKEY /home/consultant/
cons/SYSTEM/online-worker@.service:OFFLINE/ CONSBASE/ Проверить и при необходимсти скорректировать в файле /home/consultant/ONLINE/cons/CGI/BASE.DIR путь до оффлайн-информационной базы:
Блок кода /home/consultant/OFFLINE/CONSBASE/Создать в каталоге /home/consultant/ONLINE/cons/TEMP подкаталог CONSCACHE/RTFCACHE:
Command mkdir -p Создайть символическую ссылку на этот файл в каталоге /etc/systemd/system:
Command sudo ln -s /home/consultant/ONLINE/cons/SYSTEM/online-worker@.service /etc/systemd/systemTEMP/CONSCACHE/RTFCACHE Создать символическую ссылку на созданный каталог В файле /home/consultant/ONLINE/cons/SYSTEM/online-pool.target в параметре Wants секции [Unit] указать нужное количество запускаемых обработчиков в формате online-worker@ПОРТ.service. Для каждого обработчика нужно указать свой номер ip/tcp порта, который он будет использовать. В примере приведена настройка запуска двух параллельных процессов на портах 8006 и 8007:
Блок кода [Unit] Wants=conssrv2.service online-worker@8006.service online-worker@8007.serviceСоздайть символическую ссылку на этот файл в каталоге /etc/systemd/system:
Command sudo ln -s /home/consultant/ONLINE/cons/SYSTEM/online-pool.target /etc/systemd/system Перезапустить сервис systemd командой:
Command sudo systemctl daemon-reload Запустить пул обработчиков командой:
Command sudo systemctl start online-pool.target TEMP/CONSCACHE/RTFCACHE в каталоге с ресурсом cons:
Command sudo ln -s /home/consultant/ONLINE/cons/TEMP/CONSCACHE/RTFCACHE /home/consultant/ONLINE/cons/ Установить необходимые для работы права доступа:
Command sudo chown -R consultant:consultant /home/consultant/
sudo chmod 775 -R /home/consultant/
Блок кода Блок кода Настроить интранет-версию:
- Проверить и при необходимости откорректировать параметры в файлах запуска служб Консультант+ (юнитах). Если используются принятые по умолчанию пользователь и пути к каталогам, то корректировка не требуется. Далее приведены стандартные настройки:
Файл /home/consultant/ONLINE/cons/SYSTEM/conssrv2.service:
Блок кода collapse true [Unit] Description=ConsultantPlus service [Service] Type=simple PIDFile=/tmp/conssrv2.pid WorkingDirectory=
Убедиться, что все нужные сервисы запустились командой:
Command ps aux | grep online.cgi Корректный результат:
Блок кода /home/consultant/ONLINE/cons
Если процессы не запустились, то следует внимательно проверить права на папки и файлы для вашего пользователя, а также пути во всех конфигурационных файлах (следите за регистром).
Настроить web-сервер apache2:/SYSTEM User=consultant Group=consultant ExecStart=/home/consultant/ONLINE/cons/SYSTEM/conssrv2 TimeoutSec=15 Restart=always [Install] WantedBy=multi-user.targetФайл /home/consultant/ONLINE/cons/SYSTEM/online-worker@.service:
Блок кода collapse true [Unit] Description=ConsultantPlus service [Service] Type=simple PIDFile=/tmp/conssrv2.pid WorkingDirectory=/home/consultant/ONLINE/cons/SYSTEM User=consultant Group=consultant ExecStart=/home/consultant/ONLINE/cons/SYSTEM/conssrv2 TimeoutSec=15 Restart=always [Install] WantedBy=multi-user.target le@se16:~$ cat /home/consultant/
Активировать необходимые модули apache2 выполнив следующую команду:
Command sudo a2enmod proxy proxy_balancer proxy_http После активации модулей перезапустить apache2:
Command sudo systemctl restart apache2 Отключить авторизацию Apache2 (только для Astra Linux Special Edition): в файле /etc/apache2/apache2.conf раскомментировать параметр AstraMode и изменить его значение на off:
Блок кода AstraMode offНастроить основной порт ИВ для «прослушивания» и открытия пула приложений ИВ. Для этого в файле /etc/apache2/ports.conf указать порт, на котором будет работать ваш ресурс в виде (в примере порт 8080):
Настроить пул портов, используемых приложением ИВ. Для этого в файле /home/consultant/Блок кода Listen 8080ONLINE/cons/SYSTEM/online
в тэге <VirtualHost*:8080> указать порт, на котором будет работать ресурс (в примере порт 8080):
Блок кода <VirtualHost *:8080> ServerAdmin vpibot@consultant.ru ...Указать пути к документам:
Блок кода DocumentRoot /home/consultant/ONLINE/cons <Directory "-worker@.service [Unit] Description=ConsultantPlus worker on port %I PartOf=online-pool.target [Service] Type=simple PIDFile=/tmp/online-worker%I.pid WorkingDirectory=/home/consultant/ONLINE/cons">
/TEMP/CONSCACHE User=consultant Group=consultant ExecStart=/home/consultant/ONLINE/cons/
CGI/online.
Command cgi --port %I --conssrv standalone TimeoutSec=15 Restart=always [Install] WantedBy=multi-user.targetВ файле
/home/consultant/ONLINE/cons/SYSTEM/online
sudo ln -s /etc/apache2/sites-available/online.conf /etc/apache2/sites-enabled/online.conf Проверить синтаксис файлов конфигурации apache2 выполнив команду:
Command sudo apache2ctl -t Корректный результат выполнения команды не содержит сообщений об ошибках.
-pool.target в параметре Wants секции [Unit] указать нужное количество запускаемых обработчиков в формате online-worker@ПОРТ.service. Для каждого обработчика нужно указать свой номер порта, который он будет использовать. В примере приведена настройка запуска двух параллельных процессов на портах 8006 и 8007:
Блок кода [Unit] Wants=conssrv2.service online-worker@8006.service online-worker@8007.service
Исправить права доступа к юнитам:
Command sudo chmod -x /home/consultant//ONLINE/cons/SYSTEM/online-worker@.service
sudo chmod -x /home/consultant//ONLINE/cons/SYSTEM/online-pool.target
sudo chmod -x /home/consultant//ONLINE/cons/SYSTEM/conssrv2.serviceСоздать символические ссылки на юниты в каталоге /etc/systemd/system:
Command sudo ln -s /home/consultant/ONLINE/cons/SYSTEM/conssrv2.service /etc/systemd/system
sudo ln -s /home/consultant/ONLINE/cons/SYSTEM/online-worker@.service /etc/systemd/system
sudo ln -s /home/consultant/ONLINE/cons/SYSTEM/online-pool.target /etc/systemd/systemПерезагрузить службы systemd командой:
Command sudo systemctl daemon-reload Разрешить автоматический запуск обработчиков после перезагрузки:
Command sudo systemctl enable online-pool.target Запустить пул обработчиков командой:
Command sudo systemctl start online-pool.target Убедиться, что все нужные службы запустились. Команда для проверки:
Command ps aux | grep online.cgi Корректный результат:
Блок кода consultant 688 6.1 6.5 502680 262928 ? Ssl 17:33 0:04 /home/consultant/ONLINE/cons/CGI/online.cgi --port 8007 --conssrv standalone consultant 691 6.2 6.5 502680 263068 ? Ssl 17:33 0:05 /home/consultant/ONLINE/cons/CGI/online.cgi --port 8006 --conssrv standaloneЕсли процессы не запустились, то следует внимательно проверить права на папки и файлы для вашего пользователя, а также пути во всех конфигурационных файлах (следите за регистром);
- Настроить web-сервер apache2:
Отключить авторизацию Apache2 (только для Astra Linux Special Edition): в файле /etc/apache2/apache2.conf раскомментировать параметр AstraMode и изменить его значение на off:
Блок кода AstraMode offАктивировать необходимые модули apache2 выполнив следующую команду:
Command sudo a2enmod proxy proxy_balancer proxy_http После активации модулей перезапустить apache2:
Command sudo systemctl restart apache2
Настроить основной порт ИВ для «прослушивания» и открытия пула приложений ИВ. Для этого в файле /etc/apache2/ports.conf указать порт, на котором будет работать ваш ресурс в виде (в примере порт 8080):
Блок кода Listen 8080Настроить пул портов, используемых приложением ИВ. Для этого в файле /home/consultant/ONLINE/cons/SYSTEM/online.conf:
в тэге <VirtualHost*:8080> указать порт, на котором будет работать ресурс (в примере порт 8080):
Блок кода <VirtualHost *:8080> ServerAdmin vpibot@consultant.ru ...Указать пути к документам (при использовании стандартных настроек изменения не требуются):
Блок кода DocumentRoot /home/consultant/ONLINE/cons <Directory "/home/consultant/ONLINE/cons">
Скопировать файл /home/consultant/ONLINE/cons/SYSTEM/online.conf в каталог /etc/apache2/sites-available и создать символическую ссылку на него в каталоге /etc/apache2/sites-enabled командами:
Command sudo cp -fR /home/consultant/ONLINE/cons/SYSTEM/online.conf /etc/apache2/sites-available
sudo ln -s /etc/apache2/sites-available/online.conf /etc/apache2/sites-enabled/online.confПроверить синтаксис файлов конфигурации apache2 выполнив команду:
Command sudo apache2ctl -t Корректный результат выполнения команды не содержит сообщений об ошибках;
Убедиться, что все нужные службы по-прежнему запущены:
Command ps aux | grep online.cgi Если сервисы остановились, то перезапустить их:
Command sudo systemctl daemon-reload
sudo systemctl restart online-pool.targetЕсли сервисы работают корректно, то перезапустить apache2:
Command sudo systemctl restart apache2
Убедиться, что все нужные сервисы по-прежнему запущены:
Command ps aux | grep online.cgi Если сервисы остановились, то перезапустить их:
Command sudo systemctl daemon-reload
sudo systemctl restart online-pool.targetЕсли сервисы работают корректно, то перезапустить apache2:
Command sudo systemctl restart apache2 - Проверить и при необходимости откорректировать параметры в файлах запуска служб Консультант+ (юнитах). Если используются принятые по умолчанию пользователь и пути к каталогам, то корректировка не требуется. Далее приведены стандартные настройки:
- Настроить балансировщик для распределения нагрузки. Для распределения нагрузки используется прокси-сервер haproxy. Параметры настройки сервера haproxy находятся в файле /etc/haproxy/haproxy.cfg:
Добавить пул портов, используемых приложением ИВ:
Блок кода frontend online bind 127.0.0.1:8081 default_backend servers backend servers timeout queue 30s server s1 127.0.0.1:8006 check maxconn 1 server s2 127.0.0.1:8007 check maxconn 1Перезапустить службу haproxy:
Command sudo systemctl restart haproxy Проверить готовности интернет-версии:
Command systemctl list-units | grep -E "conssrv|online-|apache|haproxy" В результате отобразятся процессы со статусом “loaded active running” :
Блок кода apache2.service
Добавить пул портов, используемых приложением ИВ:
Блок кода frontend online bind 127.0.0.1:8081 default_backend servers backend servers timeout queue 30s server s1 127.0.0.1:8006 check maxconn 1 server s2 127.0.0.1:8007 check maxconn 1Перезапустить haproxy:
Command sudo systemctl restart haproxy Проверить готовности ИВ:
Command systemctl list-units | grep -E "conssrv|online-|apache|haproxy" В результате отобразятся процессы со статусом “loaded active running” :
Блок кода apache2.service loaded active running The Apache HTTP Server conssrv2.service loaded active running ConsultantPlus service haproxy.service loaded active running HAProxy Load Balancer online-worker@8006.service loaded active running ConsultantPlus worker on port 8006 online-worker@8007.service loaded active running ConsultantPlus worker on port 8007 online-pool.target loaded active active ConsultantPlus starting worker pool
Обновление ИВ на новую версию
- Для замены модуля приложения online.cgi:
- Остановить пул приложений командой:
sudo systemctl stop online-pool.target - Заменить необходимые файлы ИВ online.cgi и файлы в каталоге static XXXX_XX_XX_XXXXXX.
- Запустить пул приложений:
sudo systemctl start online-pool.target
- Остановить пул приложений командой:
- Для замены модуля службы conssrv2:
- Оостановить пул приложений:
sudo systemctl stop conssrv2.service - Заменить файлы;
- Запустить службу:
sudo systemctl start conssrv2.service
- Оостановить пул приложений:
Применение изменений в файле online.ini
Группу приложений online-pool.target необходимо перезагружать при изменении в файлах каталога CGI и SYSTEM:
- Остановите пул приложений командой:
sudo systemctl stop online-pool.target - Заменить необходимые файлы ИВ online.cgi и файлы в каталоге staticXXXX_XX_XX_XXXXXX;
- Запустить пул приложений:
sudo systemctl start online-pool.target
На этом настройка интранет-версии завершена. Проверить её работоспособность можно открыв встроенный браузер Firefox и зайдя по адресу http://127.0.0.1:8080
Диагностика ошибок
Если при входе на сайт ожидаемая страница не отображается, то для диагностики можно посмотреть записи в файлах журналов:
/var/log/apache2/error.log
/home/consultant/ONLINE/cons/TEMP/CONSCACHE/CONS_ERR.TXT
/home/consultant/ONLINE/cons/TEMP/CONSCACHE/LOG.TXT
/home/consultant/ONLINE/cons/SYSTEM/CONS_ERR.TXT
/home/consultant/OFFLINE/CONSBASE/CONS_ERR.TXT
Диагностика работы сервисов выполняется командами:
sudo systemctl list-units | grep -E "conssrv|online-|apache|haproxy"sudo systemctl status online-pool.target
sudo systemctl status online-worker@800*
sudo systemctl status apache2.service
sudo systemctl status haproxy
Авторизация пользователей
Авторизация пользователей на сервере ИВ необходима для работы с функциями «Избранное», «Папки», «Документы на контроле» и т.п. Пользовательские данные хранятся на сервере ИВ, поэтому при обращении пользователя на сервер необходимо идентифицировать его, для чего и используется авторизация. Имеется два способа авторизации: собственная и доменная.
Собственная авторизация
Собственная авторизация применяется в случаях, когда на предприятии нет возможности обеспечить доступ и работу веб-сайта Интранет-версии пользователям с доменом этого предприятия или политиками безопасности. При собственной авторизации пользователи самостоятельно регистрируются в системе задавая Логин, Пароль и указывая свой e-mail. Если режим Собственной авторизации включен, пользователь Интранет-версии может работать как в обычном режиме, не проходя авторизацию (Анонимный вход «Без Авторизации») так и с Авторизацией, введя Логин и Пароль. При Анонимном входе, если пользователь обратился к функциям для которых требуются пользовательские данные (например, функции «Избранное» и «Папки») появится сообщение о необходимости Авторизации. В этом случае пользователю будет необходимо самостоятельно ввести свой Логин и Пароль или зарегистрироваться. Данные авторизации сохраняются в течение всего сеанса работы. Если пользователь закрыл браузер более чем на 20 минут, потребуется повторная авторизация. Описание подключения режима собственной авторизации см. Приложение 3.
Для корректной работы необходимы:
- установленная и настроенная БД SQL Postgres;
- разрешенное подключение пользователя к БД;
- скорректированные значения параметров в online.ini.
Доменная авторизация
Доменную авторизацию следует применять в случае, когда пользователи ИВ входят в домен предприятия. При включенном режиме доменной авторизации авторизация пользователей происходит автоматически и незаметно для пользователя – в момент входа в Интранет-версию. При этом необходимо, чтобы пользователь вошел на свой компьютер авторизованным пользователем в домене. Пользователи, не прошедшие проверку (не авторизованные в домене), не смогут работать с ресурсом Интранет-версии – для них система потребует ввода имени и пароля существующего доменного пользователя. Описание подключения режима собственной авторизации см. Приложение 4.
Для корректной работы необходимы:
- готовый домен, для примера: DOMAIN.LOCAL;
- адрес сайта, для примера: website.ru
- имя сервера с ресурсом ИВ, для примера: server-name
- доступ к серверу домена по протоколу LDAP;
- права root для Linux сервера с ИВ;
- права Администратора для Windows сервера AD
ServerAdmin vpibot@consultant.ru
#Корневая директория ресурса онлайн-версии
DocumentRoot /home/consultant/ONLINE/cons
<Directory "/home/consultant/ONLINE/cons">
Require all granted
</Directory>
#Перенаправление на online.cgi только запросов к online.cgi
#Все статические файлы будут обрабатываться самим apache2
ProxyPreserveHost On
ProxyPass /cgi/online.cgi http://127.0.0.1:8081/cgi/online.cgi
#Настройка стандартных потоков вывода и ошибок в стандартные файлы
apache2
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</ VirtualHost>
Файл haproxy.conf (отражено только необходимое изменение):
frontend online
bind 127.0.0.1:8081
default_backend servers
backend servers
timeout queue 30s
server s1 127.0.0.1:8006 check maxconn 1
server s2 127.0.0.1:8007 check maxconn 1
Внимание! Необходимо соблюдать кодировку символов, регистр
файлов и каталогов, установленных в ОС Linux.
18Приложение 3
Включение режима собственной авторизации ВНИМАНИЕ! В качестве
примера будет использована тестовая конфигурация для пользователя SQL
Postgres cons и БД consdb.
Для включения режима собственной авторизации необходимо:
1.
2.
3.
4.
5.
Установить SQL Postgres
Добавить БД consdb
Добавить пользователя cons и права для работы с БД consdb.
Скорректировать файл online.ini
Перегрузить службу и пул приложения.
В БД SQL Postgres для создания набора таблиц необходимо выполнить
скрипт из комплекта поставки postgres_consdb_tpl_upd.sql.
$ sudo -u cons psql -d consdb -f "postgres_consdb_tpl_upd.sql" -L logfile.log
если все выполнилось без ошибок, то следует проверить выборку из одной
таблицы командой:
$ sudo -u cons psql -d consdb --c="select * from users;" -L logfile_cmd.log
По окончанию вывода, необходимо нажать клавишу q.
Скорректировать файл online.ini (отражено только необходимое изменение):
UserDataInterface = 1
UseQueryHistory = 1
ForceCustomAuth = 1
AdminEmail =
SMTPServer =
SMTPPort = 25
SMTPLogin =
SMTPPwd =
;(default = 0) 0/1 выкл/вкл авторизацию
;(default = 0) 0/1 выключить/включить использование
Истории поисков
; (default = 0) 0/1 выкл/вкл режим Cобственной
авторизации
; e-mail администратора
; адрес почтового сервера для исходящих сообщений
; порт для сервера исходящих сообщений (default = 25)
; логин для сервера исходящих сообщений
; пароль для сервера исходящих собщений
UsersDBPath = "Driver={PostgreSQL ANSI};
database=consdb;server=127.0.0.1;port=5432;uid=cons;pwd=123456"
После изменений значений параметров для работы авторизации необходимо
перезапустить службу conssrv2 и пул приложений.
Остановите пул приложения и службу:
$ sudo systemctl stop online-pool.target
$ sudo systemctl stop conssrv2.service
Запустите пул приложений:
$ sudo systemctl start online-pool.target
19Приложение 4
Включение режима доменной авторизации
ВНИМАНИЕ! В качестве примера будет использована тестовая конфигурация для
пользователя consultant-ldap и группы consultant-ldap-group. Доменное имя
Active Directory domain.local. Полное имя сервера с ресурсом Интранет Версии:
server-name.website.ru. Имена можно заменить на любые, соответствующие
настройкам Ваших сети. Необходимые условия для реализации:
готовый домен, для примера: DOMAIN.LOCAL;
готовый адрес сайта, для примера: website.ru
имя сервера с ресурсом ИВ, для примера: server-name
доступ к серверу домена по протоколу LDAP;
права root для Linux сервера с ИВ;
права Администратора для Windows сервера AD
Для включения режима доменной авторизации необходимо:
1. Добавить поддержку протокола аутентификации для сервера server-name.
2. Добавить поддержку доменной авторизации в web-сервере apache на
сервере server-name
3. Установить связь с контролером домена пользователем consultant-ldap
для сервера server-name.website.ru
4. Добавить пользователей в группу доступа consultant-ldap-group
5. Скорректировать файл online.ini
6. Перегрузить службу и пул приложения.
С корректировать файл online.ini (отражено только необходимое изменение):
UserDataInterface = 1
UseQueryHistory = 1
ForceCustomAuth = 0
;(default = 0) 0/1 выкл/вкл авторизацию
;(default = 0) 0/1 выключить/включить использование
Истории поисков
; (default = 0) 0/1 выкл/вкл режим Cобственной
авторизации
После изменений значений параметров для работы авторизации необходимо
перезапустить службу conssrv2 и пул приложений.
После изменений значений параметров для работы авторизации необходимо
перезапустить службу conssrv2 и пул приложений.
Остановите пул приложения и службу:
$ sudo systemctl stop online-pool.target
$ sudo systemctl stop conssrv2.service
Запустите пул приложений:
$ sudo systemctl start online-pool.target
20Приложение 5
Добавление публичного ключа для Astra Linux SE 1.6
Для добавления публичного ключа требуются права суперпользователя (root).
Вариант 1:
1. Скопировать предоставленную папку /cons_pub_key на ПК
2. Перейти в скопированную папку /cons_pub_key
3. Запустить скрипт:
$ sudo ./add-conskey.sh
4. Перезапустить Операционную систему.
Вариант 2 :
1. В каталог /etc/digsig/keys необходимо скопировать публичный ключ
consultant-plus_pub.key (идет в комплекте с дистрибутивом).
2. Внести изменения в файл /etc/digsig/digsig_initramfs.conf:
2.1 Открыть файл:
$ sudo mcedit /etc/digsig/digsig_initramfs.conf
2.2 Внести изменения:
DIGSIG_ENFORCE=1
DIGSIG_LOAD_KEYS=1
2.3 Сохранить изменения и выйти.
3. Выполнить команду:
$ sudo update-initramfs -u -k all
4. Перезапустить операционную систему.
21Приложение 6
Минимальные знания необходимы для сопровождения ПНВ(НВ) ИВ Linux
версии.
Просмотр файловой структуры. Понимание файловой структуры Linux, в
том числе:
/ – корневой главный каталог
/home – каталог с папками всех пользователей
~ – домашняя папка /home/user_name
/mnt (mount) – каталог монтирование (подключения) носителей
/media - съемные носители
/usr - (user applications) Программы пользователя
/usr/local - Файлы пользователя
/bin - (binaries) бинарные файлы пользователя
/etc - (etcetera) конфигурационные файлы
Подключения и отключение внешних носителей РУСБ.10015-01 95 01-1
раздел 3.3.2.1.
Установка и просмотр Символических и Жестких ссылок.
Копирование и изменения прав для файлов, каталогов, в том числе
рекурсивно – РУСБ.10015-01 97 01-1 раздел 3.3.
Запуск программ и пакетов. Удаление программ и пакетов.
Просмотр запущенных программ и установленных пакетов.
Просмотр и остановка запущенных процессов.
loaded active running The Apache HTTP Server conssrv2.service loaded active running ConsultantPlus service haproxy.service loaded active running HAProxy Load Balancer online-worker@8006.service loaded active running ConsultantPlus worker on port 8006 online-worker@8007.service loaded active running ConsultantPlus worker on port 8007 online-pool.target loaded active active ConsultantPlus starting worker pool
На этом настройка интранет-версии завершена. Проверить её работоспособность можно открыв встроенный браузер Firefox и зайдя по адресу http://127.0.0.1:8080
Обновление на новую версию
- Для замены модуля приложения online.cgi:
Остановить пул приложений командой:
Command sudo systemctl stop online-pool.target - Заменить необходимые файлы (/home/consultant/ONLINE/CGI/online.cgi и файлы в каталоге /home/consultant/ONLINE/staticXXXX_XX_XX_XXXXXX);
Запустить пул приложений:
Command sudo systemctl start online-pool.target
- Для замены модуля службы conssrv2:
Оостановить пул приложений:
Command sudo systemctl stop conssrv2.service - Заменить обновляемые файлы (/home/consultant/ONLINE/SYSTEM/conssrv2) ;
Запустить службу:
Command sudo systemctl start conssrv2.service
Диагностика ошибок
Если при входе на сайт ожидаемая страница не отображается, то для диагностики можно посмотреть записи в файлах журналов:
- /var/log/apache2/error.log
- /home/consultant/ONLINE/cons/TEMP/CONSCACHE/CONS_ERR.TXT
- /home/consultant/ONLINE/cons/TEMP/CONSCACHE/LOG.TXT
- /home/consultant/ONLINE/cons/SYSTEM/CONS_ERR.TXT
- /home/consultant/OFFLINE/CONSBASE/CONS_ERR.TXT
Диагностика работы служб выполняется командами:
| Command |
|---|
| systemctl list-units | grep -E "conssrv|online-|apache|haproxy" systemctl status online-pool.target systemctl status online-worker@800* systemctl status apache2.service systemctl status haproxy |