Перейти к основному содержимому

Установка в OC Linux

Архитектура

Strongpass для Linux состоит из двух компонентов:

  • модуля интеграции с FreeIPA, ALD Pro;
  • сервиса проверки паролей;

Развертывание продукта можно произвести в двух вариантах:

  • Вариант 1. Размещение всех компонентов на одном сервере. Оба компонента устанавливаются на все контроллеры домена.
  • Вариант 2. Размещение сервиса проверки паролей на выделенном сервере. На все контроллеры домена необходимо установить только модуль интеграции.
FreeIPA
ALD Pro
FreeIPA...
База
скомпрометированных
паролей
База...
Сервис
Strongpass
СервисStrongpa...
База
скомпрометированных
паролей
База...
Сервис
Strongpass
СервисStrongpa...
Модуль Strongpass
для Linux
Модуль Strongp...
Вариант 1
Вариант 1
Вариант 2
Вариант 2
FreeIPA
ALD Pro
FreeIPA...
Модуль Strongpass
для Linux
Модуль Strongp...
FreeIPA
ALD Pro
FreeIPA...
Модуль Strongpass
для Linux
Модуль Strongp...
Рис 1. Варианты развертывания продукта

Подготовительные действия

Последнюю актуальную версию Strongpass можно скачать со страницы https://strongpass.ru/download/.

Перед установкой продукта необходимо запросить временную демонстрационную лицензию или купить постоянную лицензию. Без файла лицензии (временной или постоянной) проверки паролей проводиться не будут. Сообщения об отсутствии лицензии можно увидеть в журнале сообщений Strongpass.

Установка

Вариант 1. Все компоненты на одном сервере

Загрузка файлов на сервера.

Все компоненты должны быть установлены на всех контроллерах домена.

  1. Загрузите во временный каталог на все контроллеры домена файл strongpass.tar.gz
  2. Распакуйте файл
tar -xzf strongpass.tar.gz
  1. Распакуйте файл strongpass-integration-module.tar.gz в каталог /opt/strongpass командами:
mkdir -p /opt/strongpass
tar xzf strongpass-integration-module.tar.gz -C /opt/strongpass
  1. Распакуйте файл strongpass-service.tar.gz в каталог /opt/strongpass командами:
mkdir -p /opt/strongpass
tar xzf strongpass-service.tar.gz -C /opt/strongpass

Настройка и запуск сервиса

  1. При необходимости отредактируйте конфигурационный файл /opt/strongpass/config/config.yml. Конфигурационный файл позволяет установить настройки журналирования, адрес и порт на котором будет работать сервис.
  2. Скопируйте файл лицензий. Файл лицензий должен располагаться по пути /opt/strongpass/config/strongpass.lic
  3. Скопируйте файл сервиса systemd:
cp /opt/strongpass/install/strongpass.service /etc/systemd/system
  1. Активируйте и запустите сервис
systemctl enable strongpass
systemctl start strongpass
  1. Проверьте состояние сервиса.
systemctl status strongpass
  1. Проверьте журнал сообщений сервиса на наличие сообщений об ошибках. По умолчанию сообщения записываются в файл /var/log/strongpass/strongpass.log

В случае ошибок для диагностики выполните команды ниже и проанализируйте сообщения на предмет причин ошибок. В случае отсутствия ошибок считается, что сервис запустился успешно.

journalctl -u strongpass -n 100
cat /var/log/strongpass/strongpass.log

Добавление модуля интеграции в FreeIPA/ALD Pro

Данную процедуру необходимо выполнить на всех контроллерах домена.

  1. Добавьте модули интеграции в FreeIPA/ALD Pro с помощью двух команд. При выполнении команд необходимо будет ввести пароль администратора домена.
ldapmodify -h localhost -p 389 -a -D cn="Directory Manager" -W -f /opt/strongpass/install/config_preop.ldif
ldapmodify -h localhost -p 389 -a -D cn="Directory Manager" -W -f /opt/strongpass/install/config_preextop.ldif

При успешном добавлении модулей вы получите сообщения:

adding new entry "cn=strongpass_preop,cn=plugins,cn=config"
adding new entry "cn=strongpass_preextop,cn=plugins,cn=config"
  1. Установите права на каталог журнала сообщений.

Модуль интеграции запускается под учетной записью LDAP сервера, поэтому используется учетная запись и группа dirsrv.

mkdir -p /var/log/strongpass
chown dirsrv:dirsrv -R /var/log/strongpass
  1. Перезапустите службу LDAP сервера. [ваш_домен] - ваш домен.
systemctl restart dirsrv@[ваш_домен].service
  1. Проверьте статус сервера.
systemctl status dirsrv@[ваш_домен]
  1. Проверьте наличие ошибок и сообщений в журнале LDAP сервера.
grep -P '(WARN|ERR|INF).*strongpass__plugin' /var/log/dirsrv/slapd-[ваш-домен]/errors

В случае успешного запуска модуля интеграции в журнале LDAP сервера вы увидете сообщения:

strongpass__preexop плагин успешно запущен.
strongpass__preop плагин успешно запущен.
  1. Проверьте наличие ошибок и сообщений в журнале сообщений Strongpass.

Полный путь до журнала сообщений указан в файле /opt/strongpass/config/config.yml. По умолчанию файл журнала Strongpass располагается по пути /var/log/strongpass/strongpass.log.

При успешном запуске модулей интеграции в журнале Strongpass будет два сообщения:

strongpass__preexop плагин успешно запущен.
strongpass__preop плагин успешно запущен.

Установка Strongpass для Linux завершена. Продукт готов к работе.

Вариант 2. Сервис проверки на выделенном сервере

На своем компьютере распакуйте файл, скачанный с сайта

tar -xzf strongpass.tar.gz

Установка и запуск сервиса

  1. Подготовьте сервер для установки сервиса.
  2. Загрузите файл `strongpass-service.tar.gz на подготовленный сервер.
  3. Распакуйте файл strongpass-service.tar.gz в каталог /opt/strongpass командами:
mkdir -p /opt/strongpass
tar xzf strongpass-service.tar.gz -C /opt/strongpass
  1. Отредактируйте конфигурационный файл /opt/strongpass/config/config.yml. Конфигурационный файл позволяет установить настройки журналирования, адрес и порт на котором будет работать сервис. Укажите IP-адрес и порт, на которых будет работать сервис.
  2. Скопируйте файл лицензий. Файл лицензий должен располагаться по пути /opt/strongpass/config/strongpass.lic
  3. Скопируйте файл сервиса systemd:
cp /opt/strongpass/install/strongpass.service /etc/systemd/system
  1. Активируйте и запустите сервис
systemctl enable strongpass
systemctl start strongpass
  1. Проверьте состояние сервиса.
systemctl status strongpass
  1. Проверьте журнал сообщений сервиса на наличие сообщений об ошибках. По умолчанию сообщения записываются в файл /var/log/strongpass/strongpass.log

В случае ошибок для диагностики выполните команды ниже и проанализируйте сообщения на предмет причин ошибок. В случае отсутствия ошибок считается, что сервис запустился успешно.

journalctl -u strongpass -n 100
cat /var/log/strongpass/strongpass.log

Загрузка и настройка модуля интеграции

Модуль интеграции необходимо установить на всех контроллерах домена.

  1. Загрузите на все контроллеры домена файл strongpass-integration-module.tar.gz
  2. Распакуйте файл strongpass-integration-module.tar.gz в каталог /opt/strongpass командами:
mkdir -p /opt/strongpass
tar xzf strongpass-integration-module.tar.gz -C /opt/strongpass

Стандартный конфигурационный файл для модуля выглядит следующим образом:

bypass_errors: false
log:
  file: /var/log/strongpass/strongpass.log
  level: info
service:
  address: 127.0.0.1
  port: 9876

В конфигурационном файле укажите IP-адрес сервера, на котором запущен сервис, и порт, на котором слушает сервис.

Добавление модуля интеграции в FreeIPA/ALD Pro

Данную процедуру необходимо выполнить на всех контроллерах домена.

  1. Добавьте модули интеграции в FreeIPA/ALD Pro с помощью двух команд. При выполнении команд необходимо будет ввести пароль администратора домена.
ldapmodify -h localhost -p 389 -a -D cn="Directory Manager" -W -f /opt/strongpass/install/config_preop.ldif
ldapmodify -h localhost -p 389 -a -D cn="Directory Manager" -W -f /opt/strongpass/install/config_preextop.ldif

При успешном добавлении модулей вы получите сообщения:

adding new entry "cn=strongpass_preop,cn=plugins,cn=config"
adding new entry "cn=strongpass_preextop,cn=plugins,cn=config"
  1. Установите права на каталог журнала сообщений.

Модуль интеграции запускается под учетной записью LDAP сервера, поэтому используется учетная запись и группа dirsrv.

mkdir -p /var/log/strongpass
chown dirsrv:dirsrv -R /var/log/strongpass
  1. Перезапустите службу LDAP сервера. [ваш_домен] - ваш домен.
systemctl restart dirsrv@[ваш_домен].service
  1. Проверьте статус сервера.
systemctl status dirsrv@[ваш_домен]
  1. Проверьте наличие ошибок и сообщений в журнале LDAP сервера.
grep -P '(WARN|ERR|INF).*strongpass__plugin' /var/log/dirsrv/slapd-[ваш-домен]/errors

В случае успешного запуска модуля интеграции в журнале LDAP сервера вы увидете сообщения:

strongpass__preexop плагин успешно запущен.
strongpass__preop плагин успешно запущен.
  1. Проверьте наличие ошибок и сообщений в журнале сообщений Strongpass.

Полный путь до журнала сообщений указан в файле /opt/strongpass/config/config.yml. По умолчанию файл журнала Strongpass располагается по пути /var/log/strongpass/strongpass.log.

При успешном запуске модулей интеграции в журнале Strongpass будет два сообщения:

strongpass__preexop плагин успешно запущен.
strongpass__preop плагин успешно запущен.

Установка Strongpass для Linux завершена. Продукт готов к работе.