с подключенным компонентом astra-ce расширенного (extended) репозитория |
Аннотация
В данной статье представлена инструкция по установке серверов и реплик контроллера домена FreeIPA в связке с центром сертификации DogTag. Для успешного запуска центра сертификации DogTag требуется установка OpenJDK из компонента astra-ce расширенного репозитория Astra Linux Special Edition x.7. Отдельно про установку OpenJDK см. Расширенный репозиторий Astra Linux Special Edition x.7: установка и развертывание OpenJDK.
Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации. При использовании программного обеспечения расширенного репозитория рекомендуется для дополнительной изоляции процессов осуществлять их запуск в изолированной программной среде (контейнере). При использовании для этих целей Docker-контейнеров их запуск целесообразно осуществлять от имени непривилегированного пользователя в rootless-режиме, а при включенном мандатном контроле целостности (МКЦ) с применением технологии запуска контейнеров на пониженном или выделенном уровне МКЦ. Подробнее см. Руководство по КСЗ в составе эксплуатационной документации используемого обновления. |
| Установка FreeIPA в связке с центром сертификации DogTag должна выполняться из компонента astra-ce расширенного репозитория. Подробнее про структуру и использование репозиториев см. Репозитории Astra Linux Special Edition x.7: структура, особенности подключения и использования. |
Что такое DogTag
Общая информацияЦентр сертификации DogTag представляет собой систему управления сертификатами корпоративного класса, обеспечивающую управление полным жизненным циклов сертификатов. Под термином "сертификат" подразумевается сертификат публичного (открытого) ключа, использующий цифровую подпись центра сертификации для аутентификации (удостоверяющий сертификат). Сертификаты являются текстовыми файлами и могут содержать такую информацию, как имена лиц или названия организаций, адреса и т.д. Сертификаты используются для того, чтобы удостовериться в принадлежности открытого ключа субъекту. Центр сертификации DogTag интегрирован со службами FreeIPA, и поддерживает следующие возможности работы с сертификатами:
При работе с Контроллер ЕПП FreeIPA в Astra Linux в автоматическом режиме обеспечивается выпуск и обновление сертификатов серверов FreeIPA. Оригинальная документация DogTagОригинальная документация DogTag доступна по ссылке: https://github.com/dogtagpki/pki/wiki. |
Установка пакетов
- Подключить репозитории:
- основной репозиторий и актуальное оперативное обновление основного репозитория
- для обновлений, выпущенных до Astra Limux Special Edition 1.8 — актуальное оперативное обновление базового репозитория;
- актуальное оперативное обновление расширенного репозитория, включая компонент astra-ce
Обновить кеш пакетов:
sudo apt update Опционально: установить актуальное обновление:
sudo apt dist-upgrade Установить пакеты
Для установки первичного сервер FreeIPA:
sudo apt install astra-freeipa-server dogtag-pki Для установки серверов-реплик FreeIPA:
sudo apt install astra-freeipa-server astra-freeipa-client dogtag-pki
- Дальнейшую настройку выполнять в соответствии с инструкциями Контроллер ЕПП FreeIPA в Astra Linux (варианты установки с центром сертификации DogTag).
Для подключения центра сертификации к ранее установленному серверу (реплике) FreeIPA см. FreeIPA: Подключение центра сертификации DogTag в Astra Linux Special Edition 1.6