В этой статье:
Шаг 1. Проверьте системные требования
Шаг 2. Подготовьте серверную часть СУБД
Шаг 3. Установите клиентскую часть СУБД
Шаг 6. Создайте репозиторий метаданных
Шаг 7. Создайте служебного пользователя подсистемы безопасности
Шаг 8. Установите серверную часть веб-приложения
Шаг 9. Настройте конфигурацию веб-приложения на веб-сервере
Шаг 10. Проверьте работу BI-сервера
Шаг 11. Запустите веб-приложение
Расширенная установка веб-приложения «Форсайт. Аналитическая платформа» в ОС Linux (СУБД PostgreSQL)
Для работы с веб-приложением должна быть сформирована система с использованием программного обеспечения «Форсайт. Аналитическая платформа», которая предполагает наличие:
клиентских компьютеров с доступом к сети, в которой расположен веб-сервер;
веб-сервера, на котором установлена серверная часть веб-приложения;
BI-сервера, на котором установлен веб-сервис PP.SOM;
сервера лицензий, используемого для активации продукта «Форсайт. Аналитическая платформа» сетевой лицензией и контроля количества одновременно работающих пользователей;
сервера приложений, используемого для выполнения отложенных задач;
сервера баз данных, на котором установлена одна из поддерживаемых версий СУБД PostgreSQL.
Примечание. BI-сервер, сервер приложений и веб-приложение могут располагаться на одном физическом сервере. При выполнении ресурсоёмких задач располагайте сервер приложений и BI-сервер на различных физических серверах.
В руководстве представлена установка веб-приложения «Форсайт. Аналитическая платформа» с использованием СУБД PostgreSQL для следующих версий ОС семейства Linux:
Astra Linux SE 1.7;
Ubuntu 18.04;
CentOS 7;
РЕД ОС 7.3;
Rocky Linux 8;
ALT Linux 10.
Информацию по установке на другие операционные системы можно найти в справочной системе.
В процессе установки BI-сервера (шаг 4) и серверной части веб-приложения (шаг 8) используются дистрибутивы, входящие в комплект поставки продукта «Форсайт. Аналитическая платформа»:
| Версия ОС семейства Linux | Дистрибутивы для установки BI-сервера | Дистрибутивы для установки веб-сервера |
| Astra Linux SE 1.7 | foresight-fp9.x-biserver_9.9.<номер сборки>~astra~1.7_amd64.deb | foresight-fp9.x-webserver_9.9.<номер сборки>~astra~1.7_all.deb |
| Ubuntu 18.04 | foresight-fp9.x-biserver_9.9.<номер сборки>~ubuntu~18.04_amd64.deb | foresight-fp9.x-webserver_9.9.<номер сборки>~ubuntu~18.04_all.deb |
| CentOS 7 | foresight-fp9.x-biserver_9.9.<номер сборки>.el7.x86_64.rpm | foresight-fp9.x-webserver_9.9.<номер сборки>.el7.noarch.rpm |
| РЕД ОС 7.3 | foresight-fp9.x-biserver_9.9.<номер сборки>.redos7.3.x86_64.rpm | foresight-fp9.x-webserver_9.9.<номер сборки>.redos7.3.noarch.rpm |
| Rocky Linux 8 | foresight-fp9.x-biserver_9.9.<номер сборки>.rocky8.x86_64.rpm | foresight-fp9.x-webserver_9.9.<номер сборки>.rocky8.noarch.rpm |
| ALT Linux 10 | foresight-fp9.x-biserver_9.9.<номер сборки>.alt10.x86_64.rpm | foresight-fp9.x-webserver_9.9.<номер сборки>.alt10.noarch.rpm |
После установки веб-приложения будут созданы следующие каталоги:
для BI-cервера:
/opt/foresight/fp9.x-biserver. Основные файлы BI-сервера;
/etc/opt/foresight/fp9.x-biserver. Дополнительный конфигурационный файл экземпляра BI-сервера envvars для задания переменных окружения Apache HTTP Server;
/etc/apache2-fp9.x. Конфигурационные файлы экземпляра Apache HTTP Server с BI-сервером для Astra Linux, Ubuntu;
/etc/httpd-fp9.x. Конфигурационные файлы экземпляра Apache HTTP Server с BI-сервером для CentOS, РЕД ОС, Rocky Linux;
/etc/httpd2-fp9.x. Конфигурационные файлы экземпляра Apache HTTP Server с BI-сервером для ALT Linux;
для веб-сервера:
/opt/foresight/fp9.x-webserver. Основные файлы веб-сервера;
/etc/opt/foresight/fp9.x-webserver. Дополнительный конфигурационный файл экземпляра веб-сервера envvars для задания переменных окружения Apache HTTP Server;
/etc/apache2-fp9.x-web. Конфигурационные файлы экземпляра Apache HTTP Server с веб-сервером для Astra Linux, Ubuntu;
/etc/httpd-fp9.x-web. Конфигурационные файлы экземпляра Apache HTTP Server с веб-сервером для CentOS, РЕД ОС, Rocky Linux;
/etc/httpd2-fp9.x-web. Конфигурационные файлы экземпляра Apache HTTP Server с веб-сервером для ALT Linux.
Шаг 1. Проверьте системные требования
Убедитесь в соблюдении системных требований для:
Также ознакомьтесь с требованиями к настройкам операционной системы и поддерживаемыми версиями СУБД PostgreSQL.
Системные
требования к клиентским компьютерам
Системные
требования к веб-серверу
Системные
требования к BI-серверу и серверу приложений
Системные
требования к серверу лицензий
Системные
требования к серверу баз данных
Требования
к настройкам операционной системы
Поддерживаемые
версии СУБД PostgreSQL
Шаг 2. Подготовьте серверную часть СУБД
Подготовка заключается в создании отдельной базы данных и пользователя, который будет являться администратором этой базы данных.
После выполнения всех действий по подготовке СУБД рекомендуется проверить подключение пользователя к созданной базе данных средствами самой СУБД. Если в дальнейшем возникнут проблемы подключения к репозиторию, то также может потребоваться проверка прав пользователя и дополнительная настройка на уровне СУБД.
Процедура подготовки сервера PostgreSQL производится администратором СУБД.
Важно. Для обеспечения безопасности системы перед подготовкой сервера PostgreSQL проверьте настройки параметра lc_messages в конфигурационном файле postgresql.conf. Язык сообщений PostgreSQL должен совпадать с языковыми настройками операционной системы.
Для подготовки сервера PostgreSQL выполните скрипты любым из доступных способов, например, с помощью приложения pgAdmin или консоли psql. При выполнении скриптов учитывайте следующие особенности:
параметры USER_NAME, DATABASE_NAME и SCHEMA_NAME должны быть прописаны в верхнем регистре;
наименования параметров регистрозависимые и должны быть указаны в кавычках. Если кавычки пропущены, то при выполнении скрипта в СУБД наименования параметров будут преобразованы к нижнему регистру;
Примечание. При работе с менеджером репозитория для корректного подключения к СУБД установите флажок «Учитывать регистр при работе с СУБД».
выполнение скриптов должно производиться администратором СУБД с привилегией SUPERUSER, если при подготовке сервера PostgreSQL используется консоль psql.
Совет. Для подготовки сервера PostgreSQL в ОС Linux используйте готовый скрипт. После выполнения скрипта будет создан пользователь базы данных NEW_DATABASE с паролем NEW_DATABASE, база данных NEW_DATABASE, репозиторий с идентификатором NEW_DATABASE и служебный пользователь SERVICE_USER с паролем SERVICE_USER.
Создание пользователя базы данных
Для создания пользователя базы данных выполните скрипт:
CREATE ROLE "USER_NAME" LOGIN ENCRYPTED PASSWORD 'USER_PASSWORD' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE NOREPLICATION;
Где:
USER_NAME. Имя создаваемого пользователя;
Важно. Имя пользователя ADMIN недопустимо для использования.
USER_PASSWORD. Пароль создаваемого пользователя.
Создание базы данных
Для создания базы данных выполните скрипт:
CREATE DATABASE "DATABASE_NAME"
WITH OWNER = "USER_NAME"
ENCODING = 'UTF8' TABLESPACE = pg_default LC_COLLATE = default
LC_CTYPE = default CONNECTION LIMIT = -1;
ALTER DATABASE "DATABASE_NAME"
SET lo_compat_privileges = 'on';
GRANT ALL ON DATABASE "DATABASE_NAME"
TO "USER_NAME";
Где:
USER_NAME. Имя пользователя, созданного ранее;
DATABASE_NAME. Идентификатор создаваемой базы данных.
Важно. Создание базы данных выполняется через служебную базу данных postgres по умолчанию. Для дальнейшей подготовки сервера СУБД подключитесь к созданной базе данных.
Создание пользовательской схемы в текущей базе данных
По умолчанию используется схема public. При работе со схемой public учитывайте особенности, приведенные в разделе «Особенности работы с СУБД PostgreSQL».
Для создания пользовательской схемы в текущей базе данных выполните скрипт:
CREATE SCHEMA "SCHEMA_NAME" AUTHORIZATION "USER_NAME"
Где:
USER_NAME. Имя пользователя, созданного ранее;
SCHEMA_NAME. Идентификатор пользовательской схемы.
После выполнения действий будет создана пользовательская схема. Созданный на первом этапе пользователь будет являться владельцем схемы.
Для использования пользовательской схемы в качестве схемы по умолчанию выполните скрипт:
SET search_path TO "SCHEMA_NAME";
После выполнения действий вместо схемы public по умолчанию будет использоваться пользовательская схема.
Примечание. Для получения подробной информации о работе с пользовательскими схемами обратитесь к документации PostgreSQL.
Поддержка типа данных Lo
Для хранения многобайтовой информации в PostgreSQL используется тип данных Lo. По умолчанию, после создания базы данных, поддержка работы с данным типом отключена. Для включения поддержки типа данных Lo выполните скрипт:
SET search_path TO "SCHEMA_NAME";
CREATE FUNCTION loin (cstring) RETURNS lo AS
'oidin' LANGUAGE internal IMMUTABLE STRICT;
CREATE FUNCTION loout (lo) RETURNS cstring AS 'oidout' LANGUAGE internal
IMMUTABLE STRICT;
CREATE FUNCTION lorecv (internal) RETURNS lo AS 'oidrecv' LANGUAGE
internal IMMUTABLE STRICT;
CREATE FUNCTION losend (lo) RETURNS bytea AS 'oidsend' LANGUAGE internal
IMMUTABLE STRICT;
CREATE TYPE lo (INPUT = loin, OUTPUT = loout, RECEIVE = lorecv, SEND
= losend, INTERNALLENGTH = 4, PASSEDBYVALUE);
CREATE CAST (lo AS oid) WITHOUT FUNCTION AS IMPLICIT;
CREATE CAST (oid AS lo) WITHOUT FUNCTION AS IMPLICIT;
CREATE OR REPLACE FUNCTION lo_manage() RETURNS pg_catalog.trigger AS
'$libdir/lo' LANGUAGE C;
Где:
SCHEMA_NAME. Идентификатор пользовательской схемы.
Примечание. Если используется одна или несколько пользовательских схем, то выполните скрипт для каждой схемы. Если пользовательская схема не создана, то выполните скрипт без указания параметра SCHEMA_NAME. По умолчанию используется схема public.
Особенности работы с СУБД PostgreSQL
Если при работе используется схема по умолчанию public, то у всех пользователей репозитория будет возможность создания таблиц. Это может привести к проблемам обновления пользователей и разграничению прав доступа у пользователей, которые являются администраторами репозитория. Для избежания возможных ошибок необходимо создавать все объекты только под пользователем, который создан на первом шаге и является владельцем и администратором схемы - ADMIN.
Конфигурация по умолчанию для серверов PostgreSQL включает в себя функцию автоочистки - освобождение пространства, занимаемого удалёнными из таблиц данными, с помощью SQL-команды VACUUM. Также производится обновление статистики, которая используется планировщиком для выбора способа выполнения запросов. Если предполагается интенсивная работа по изменению данных в таблицах, то рекомендуется настроить конфигурацию таким образом, чтобы автоочистка производилась в периоды малых нагрузок на сервер (ночью, в выходные). Настройку можно производить в соответствии с документацией, доступной на сайте разработчика.
Шаг 3. Установите клиентскую часть СУБД
Для установки клиентской части СУБД PostgreSQL выполните команду:
Astra Linux, Ubuntu:
sudo apt-get install postgresql-client
CentOS, Rocky Linux:
sudo yum install postgresql postgresql-libs
РЕД ОС:
sudo dnf install postgresql postgresql-libs
ALT Linux:
sudo apt-get install postgresql14
После выполнения действия будет установлен драйвер PostgreSQL, с помощью которого «Форсайт. Аналитическая платформа» взаимодействует с сервером баз данных.
Альтернативным вариантом является установка клиента Postgres Pro. Инструкция по установке доступна на сайте производителя.
Если осуществляется ручная установка BI-сервера из архива или установка клиентской части СУБД выполнена после установки BI-сервера, то создайте символьную ссылку с помощью команды:
Astra Linux, Ubuntu:
sudo ln -s /usr/lib/x86_64-linux-gnu/libpq.so.5 /usr/lib/x86_64-linux-gnu/libpq.so
CentOS, РЕД ОС, Rocky Linux, ALT Linux:
sudo ln -s /usr/lib64/libpq.so.5 /usr/lib64/libpq.so
Шаг 4. Установите BI-сервер
Для установки BI-сервера:
Убедитесь, что доступна сеть Интернет.
Обновите информацию о пакетах:
Astra Linux, Ubuntu, ALT Linux:
sudo apt-get update
CentOS, РЕД ОС, Rocky Linux:
sudo yum update
Скопируйте дистрибутив foresight-fp9.x-biserver*.deb/rpm из комплекта поставки в домашнюю директорию /home/<имя пользователя>. Наименование дистрибутива зависит от версии OC Linux.
При необходимости определите пользователя, от имени которого будет установлен BI-сервер:
whoami
Установите скопированный дистрибутив BI-сервера:
Astra Linux, Ubuntu:
sudo dpkg -i foresight-fp9.x-biserver*.deb
CentOS, Rocky Linux:
sudo yum localinstall foresight-fp9.x-biserver*.rpm
РЕД ОС:
sudo dnf install foresight-fp9.x-biserver*.rpm
ALT Linux:
sudo apt-get install -y foresight-fp9.x-biserver*.rpm
Установите недостающие зависимости для Astra Linux, Ubuntu:
sudo apt-get -f install
При необходимости повторно обновите информацию о пакетах.
Для корректной работы используйте актуальные библиотеки из системных репозиториев.
Примечание. Необходимые библиотеки содержатся в дистрибутиве BI-сервера и не требуют дополнительной установки. При установке недостающих библиотек отображается соответствующее сообщение.
Список
библиотек для пакета fp9.x-biserver
В процессе установки будет:
создан новый экземпляр конфигурации Apache2;
включен MPM worker;
включен модуль fp9.x-biserver для загрузки mod_axis2;
созданы ссылки вида apachectl-fp9.x в директории /usr/sbin для управления экземпляром;
зарегистрирован и добавлен в автозагрузку сервис apache2-fp9.x для Astra Linux, Ubuntu, сервис httpd-fp9.x для CentOS, РЕД ОС, Rocky Linux, сервис httpd2-fp9.x для ALT Linux;
установлены файлы BI-сервера;
зарегистрирован и добавлен в автозагрузку сервис foresight-xvfb для запуска виртуального графического дисплея под номером 987. Сервис foresight-xvfb будет запущен автоматически.
Примечание. Для изменения версии BI-сервера достаточно установить поверх другую версию пакета. Файлы конфигурации будут сохранены, если в пакете не будет обновлена их версия.
Настройка логирования
Для отслеживания работы BI-сервера и фиксирования различных ошибок включите логирование системных сообщений при необходимости. Для этого в файле /etc/opt/foresight/fp9.x-biserver/envvars добавьте следующие строки:
PP_LOG=1
PP_LOGTIME=1
По умолчанию системные сообщения записываются:
в файл /var/log/apache2-fp9.x/error.log для Astra Linux, Ubuntu;
в файл /var/log/httpd/error-fp9.x.log для CentOS, РЕД ОС, Rocky Linux;
в файл /var/log/httpd2/error-fp9.x.log для ALT Linux.
Шаг 5. Настройте BI-сервер
Для настройки BI-сервера:
Отключите режим AstraMode для экземпляра apache2-fp9.x в Astra Linux. Для этого замените строку «#AstraMode on» в конфигурационном файле /etc/apache2-fp9.x/apache2.conf на указанную:
AstraMode off
Запустите веб-сервер Apache2:
Astra Linux, Ubuntu:
sudo service apache2-fp9.x start
CentOS, РЕД ОС, Rocky Linux:
sudo service httpd-fp9.x start
ALT Linux:
sudo service httpd2-fp9.x start
Создайте файл Metabases.xml для настройки подключения к репозиторию:
sudo nano /opt/foresight/fp9.x-biserver/bin/Metabases.xml
Заполните файл Metabases.xml:
<PP>
<Metabases>
<REPOSITORY_ID
Name="REPOSITORY_ID" Authentication="1" Driver="DRIVER_ID"
Package="STANDARDSECURITYPACKAGE" DebugMode="1">
<LogonData
DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE"/>
<Credentials
Authentication="1"/>
</REPOSITORY_ID>
</Metabases>
</PP>
Где:
REPOSITORY_ID. Уникальный идентификатор репозитория;
DRIVER_ID. Идентификатор драйвера СУБД у репозитория. Для PostgreSQL – POSTGRES;
DATABASE_NAME. Идентификатор базы данных, созданной при подготовке серверной части СУБД в шаге 2;
SERVER_DATABASE. IP-адрес или DNS-имя, под которым зарегистрирован сервер базы данных.
В зависимости от настроек подключения к репозиторию формируется список репозиториев в окне регистрации для входа в систему.
При необходимости скачайте и распакуйте архив Metabases.zip с примером заполнения файла Metabases.xml.
Активируйте сетевую лицензию. Для этого в конце файла переменных окружения /etc/opt/foresight/fp9.x-biserver/envvars вставьте строку:
LSFORCEHOST=<имя сервера>
Раздайте права доступа для пользователя Apache2 на папку с установленным BI-сервером:
Astra Linux, Ubuntu:
sudo chown -R www-data:www-data /opt/foresight/fp9.x-biserver
CentOS, РЕД ОС, Rocky Linux, ALT Linux:
sudo chown -R apache:apache /opt/foresight/fp9.x-biserver
Перезапустите сервис BI-сервера:
Astra Linux, Ubuntu:
sudo systemctl restart apache2-fp9.x
CentOS, РЕД ОС, Rocky Linux:
sudo systemctl restart httpd-fp9.x
ALT Linux:
sudo systemctl restart httpd2-fp9.x
Установленный BI-сервер будет работать в фоновом режиме как отдельный сервис Linux. Экземпляр Apache2 с BI-сервером по умолчанию будет запускаться на порту 8809. Для просмотра необходимых портов используйте:
файл /etc/apache2-fp9.x/ports.conf для Astra Linux, Ubuntu;
файл /etc/httpd-fp9.x/conf/httpd-fp9.x.conf для CentOS, РЕД ОС, Rocky Linux;
файл /etc/httpd2-fp9.x/conf/httpd2-fp9.x.conf для ALT Linux.
Шаг 6. Создайте репозиторий метаданных
Для создания репозитория метаданных на сервере PostgreSQL:
Измените текущий каталог на папку установки BI-сервера:
cd /opt/foresight/fp9.x-biserver/bin
Запустите консольное приложение RepoManager с указанными параметрами:
sudo PP_NODISPLAY=1 ./RepoManager -ocreate-repo -tpostgres -sSERVER_DATABASE -pPORT -uUSER_NAME -wUSER_PASSWORD -dDATABASE_NAME -fresource -i
Где:
SERVER_DATABASE. IP-адрес или DNS-имя, под которым зарегистрирован сервер базы данных, указанный в шаге 5;
PORT. Порт сервера СУБД. Параметр является необязательным, если сервер СУБД доступен через порт 5432, используемый по умолчанию. Если порт по умолчанию был изменён, то укажите актуальный номер порта;
USER_NAME. Имя пользователя, созданного при подготовке серверной части СУБД в шаге 2;
USER_PASSWORD. Пароль пользователя, созданного при подготовке серверной части СУБД в шаге 2;
DATABASE_NAME. Идентификатор базы данных, созданной при подготовке серверной части СУБД в шаге 2.
После выполнения действия будет создан репозиторий метаданных в указанной СУБД на схеме по умолчанию public.
Для создания репозитория на пользовательской схеме дополнительно используйте параметр –mSCHEMA_NAME, где SCHEMA_NAME – это идентификатор пользовательской схемы, созданной при подготовке серверной части СУБД в шаге 2.
Шаг 7. Создайте служебного пользователя подсистемы безопасности
Служебный пользователь подсистемы безопасности обеспечивает:
вход в систему;
корректную работу аудита и блокировку пользователей;
использование роли приложения при работе с СУБД;
использование функции хэширования паролей.
Для создания служебного пользователя подсистемы безопасности:
Выполните скрипт, с помощью которого на сервере СУБД будет создан служебный пользователь с определённым набором прав доступа к объектам, в клиентской части СУБД:
-- Создание служебного
пользователя
CREATE ROLE "SERVICE_USER_NAME"
WITH
LOGIN
NOSUPERUSER
INHERIT
NOCREATEDB
NOCREATEROLE
NOREPLICATION
ENCRYPTED PASSWORD 'SERVICE_USER_PASSWORD';
-- Раздача прав
ALTER ROLE "SERVICE_USER_NAME"
SET lo_compat_privileges TO 'on';
GRANT SELECT ON TABLE SCHEMA_NAME.b_jlo
TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_logerr(character
varying, character varying, character varying, character varying,
character varying, character varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_lognerr(character
varying, character varying, character varying, character varying,
character varying, character varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_lognerr_s(character
varying, character varying, character varying, character varying,
character varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_sec_dat_value(character
varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_du_chk(character
varying, numeric) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_du_clear(character
varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_du_save(character
varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_usr_check(character
varying) TO "SERVICE_USER_NAME";
GRANT EXECUTE ON FUNCTION SCHEMA_NAME.b_lockuser(character
varying, integer) TO "SERVICE_USER_NAME";
Скрипт используется для схемы по умолчанию public. Если репозиторий метаданных был создан на пользовательской схеме, то добавьте строку:
GRANT USAGE ON SCHEMA "SCHEMA_NAME" to "SERVICE_USER_NAME";
Перед строкой:
ALTER ROLE "SERVICE_USER_NAME" SET lo_compat_privileges TO 'on';
Где:
SERVICE_USER_NAME. Имя создаваемого служебного пользователя;
Важно. Имя пользователя P4AUDIT зарезервировано системой и недоступно для использования.
SERVICE_USER_PASSWORD. Пароль создаваемого служебного пользователя;
SCHEMA_NAME. Идентификатор схемы по умолчанию - public или пользовательской схемы, созданной при подготовке серверной части СУБД в шаге 2.
Сохраните созданные учётные данные служебного пользователя на компьютере с установленным BI-сервером.
После выполнения действий будет создан служебный пользователь подсистемы безопасности средствами СУБД.
Сохранение созданных учётных данных служебного пользователя
Для сохранения созданных учётных данных служебного пользователя на компьютере с установленным BI-сервером:
Измените текущий каталог на папку установки BI-сервера:
cd /opt/foresight/fp9.x-biserver/bin
Запустите консольное приложение PP.Util со следующими параметрами:
sudo PP_NODISPLAY=1 ./PP.Util /save_audit_creds /ALG enc_alg /SCOPE scope realm|/DC login password
Где:
enc_alg. Алгоритм шифрования, который будет применяться при шифровании учётных данных:
gos. По умолчанию. Используется шифрование алгоритмом GOST R 34.11-2012;
sim. Учётные данные сохраняются в открытом виде.
Важно. Для обеспечения безопасности в промышленной эксплуатации продукта «Форсайт. Аналитическая платформа» используйте значение gos.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
scope. Способ сохранения учётных данных:
hkcu. Учётные данные будут храниться в файле registry.reg, расположенном в каталоге по умолчанию. Каталог по умолчанию зависит от указания переменой окружения HOME в файле /etc/opt/foresight/fp9.x-biserver/envvars:
если переменная задана, то файл будет расположен в каталоге $HOME/.config/Foresight/Foresight Analytics Platform/registry;
если переменная не задана, то файл будет расположен в каталоге /root/.config/Foresight/Foresight Analytics Platform/registry для Astra Linux, Ubuntu или /usr/share/httpd/.config/foresight/Foresight Analytics Platform/registry для CentOS, РЕД ОС, Rocky Linux, ALT Linux;
hklm. Учётные данные будут храниться в файле registry.reg, расположенном в каталоге /opt/foresight/fp9.x-biserver/bin;
file. По умолчанию. В файл settings.xml. Учётные данные будут храниться в файле settings.xml, расположенном в созданном каталоге. Каталог зависит от указания переменой окружения HOME в файле /etc/opt/foresight/fp9.x-biserver/envvars:
если переменная задана, то файл будет расположен в каталоге $HOME/.config/Foresight/Foresight Analytics Platform;
если переменная не задана, то файл будет расположен в каталоге /var/www/.config/Foresight/Foresight Analytics Platform для Astra Linux, Ubuntu или /usr/share/httpd/.config/foresight/Foresight Analytics Platform для CentOS, РЕД ОС, Rocky Linux, ALT Linux.
Если файл содержится по указанным путям, то он будет перезаписан. Если файл отсутствует, то он будет создан.
Важно. Для сохранения учётных данных служебного пользователя в файл settings.xml выполните предварительные действия для раздачи прав доступа к файлу.
Необязательный параметр. Если параметр не задан, то используется значение по умолчанию;
realm|/DC. Область действия учётных данных служебного пользователя. Выберите один из способов:
realm. Если в файле Metabases.xml, созданном в шаге 5, указано более одного сервера базы данных и учётные данные служебного пользователя должны отличаться для каждого из них, то задайте идентификатор вида «SERVER_DATABASE|TYPE» для конкретного сервера, где:
SERVER_DATABASE. IP-адрес или DNS-имя, под которым зарегистрирован сервер базы данных, указанный в шаге 5;
TYPE. Тип используемого драйвера - POSTGRES.
Например: "127.0.0.1|POSTGRES".
Примечание. Для избежания синтаксических ошибок значение задаётся в верхних кавычках.
/DC. Если в файле Metabases.xml, созданном в шаге 5, указан один или более серверов баз данных, но учётные данные служебного пользователя должны быть одинаковыми для всех серверов, то используйте данный параметр без указания дополнительных настроек.
Обязательный параметр;
login. Имя существующего служебного пользователя. Обязательный параметр;
password. Пароль существующего служебного пользователя. Необязательный параметр. Если пароль не указан, то он будет запрошен в интерактивном режиме.
После выполнения действий учётные данные служебного пользователя будут добавлены на компьютере с BI-сервером.
Примеры использования команды:
sudo PP_NODISPLAY=1 ./PP.Util /save_audit_creds /SCOPE hkcu "10.30.210.10|POSTGRES" SERVICE_USER_NAME SERVICE_USER_PASSWORD
sudo PP_NODISPLAY=1 ./PP.Util /save_audit_creds /SCOPE hkcu /DC SERVICE_USER_NAME SERVICE_USER_PASSWORD
Раздача прав доступа к файлу
При сохранении созданных учётных данных служебного пользователя в файл settings.xml выполните предварительные действия для раздачи прав доступа к файлу:
Создайте каталог для хранения учётных данных служебного пользователя с помощью команды:
если переменная HOME задана:
sudo mkdir -p "$HOME/.config/Foresight/Foresight Analytics Platform"
если переменная HOME не задана:
sudo mkdir –p "/var/www/.config/Foresight/Foresight Analytics Platform"
Назначьте владельцем каталога пользователя www-data с помощью команды:
если переменная HOME задана:
Astra Linux, Ubuntu:
sudo chown -R www-data:www-data "$HOME/.config/Foresight/Foresight Analytics Platform"
CentOS, РЕД ОС, Rocky Linux, ALT Linux:
sudo chown -R apache:apache "$HOME/.config/Foresight/Foresight Analytics Platform"
если переменная HOME не задана:
Astra Linux, Ubuntu:
sudo chown -R www-data:www-data "/var/www/.config/Foresight/Foresight Analytics Platform"
CentOS, РЕД ОС, Rocky Linux, ALT Linux:
sudo chown -R apache:apache "/var/www/.config/Foresight/Foresight Analytics Platform"
Запустите консольное приложение PP.Util от имени пользователя www-data для Astra Linux, Ubuntu или apache для CentOS, РЕД ОС, Rocky Linux, ALT Linux. После чего сохраните учётные данные служебного пользователя. Пример команды:
sudo -u www-data PP_NODISPLAY=1 /opt/foresight/fp9.x-biserver/bin/PP.Util /sac /SCOPE file "SERVER_DATABASE|POSTGRES" SERVICE_USER_NAME SERVICE_USER_PASSWORD
Где:
SERVER_DATABASE. IP-адрес или DNS-имя, под которым зарегистрирован сервер базы данных, указанный в шаге 5;
SERVICE_USER_NAME. Имя служебного пользователя;
SERVICE_USER_PASSWORD. Пароль служебного пользователя.
Перезапустите сервис BI-сервера:
Astra Linux, Ubuntu:
sudo systemctl restart apache2-fp9.x
CentOS, РЕД ОС, Rocky Linux:
sudo systemctl restart httpd-fp9.x
ALT Linux:
sudo systemctl restart httpd2-fp9.x
После выполнения действий учётные данные служебного пользователя будут сохранены в файл settings.xml.
Шаг 8. Установите серверную часть веб-приложения
Для установки серверной части веб-приложения:
Убедитесь, что доступна сеть Интернет.
Скопируйте дистрибутив foresight-fp9.x-webserver*.deb/rpm из комплекта поставки в домашнюю директорию /home/<имя пользователя>. Наименование дистрибутива зависит от версии ОС Linux.
Установите скопированный дистрибутив веб-сервера:
Astra Linux, Ubuntu:
sudo dpkg -i foresight-fp9.x-webserver*.deb
CentOS, Rocky Linux:
sudo yum localinstall foresight-fp9.x-webserver*.rpm
РЕД ОС:
sudo dnf install foresight-fp9.x-webserver*.rpm
ALT Linux:
sudo apt-get install -y foresight-fp9.x-webserver*.rpm
Отключите режим AstraMode для экземпляра apache2-fp9.x-web в Astra Linux. Для этого замените строку «#AstraMode on» в конфигурационном файле /etc/apache2-fp9.x-web/apache2.conf на указанную:
AstraMode off
Список зависимостей
для пакета fp9.x-webserver
Серверная часть веб-приложения будет установлена в папку /opt/foresight/fp9.x-webserver. При установке будет создан и настроен новый экземпляр apache2-fp9.x-web для Astra Linux, Ubuntu, httpd-fp9.x-web для CentOS, РЕД ОС, Rocky Linux, httpd2-fp9.x-web для ALT Linux. Веб-приложение будет настроено на работу с локальным BI-сервером по порту 8809. Адрес BI-сервера можно изменить в файле /opt/foresight/fp9.x-webserver/config/PP.xml. Само веб-приложение будет доступно на порте 8109.
Шаг 9. Настройте конфигурацию веб-приложения на веб-сервере
Для настройки конфигурации веб-приложения:
Откройте файл PP.xml, расположенный в папке /opt/foresight/fp9.x-webserver/config. По умолчанию в файле содержится следующая структура:
<?xml version="1.0"
encoding="utf-8" ?>
<pp>
<proxy url="http://localhost:8809/fpBI_App_v9.x/axis2/services/PP.SOM.Som"
/>
<metabase id="" />
</pp>
Задайте параметры подключения к BI-серверу:
proxy/service. Укажите путь, по которому располагается BI-сервер, в качестве значения атрибута url:
http://<BI-сервер>:<номер порта>/fpBI_App_v9.x/axis2/services/PP.SOM.Som
Где:
<BI-сервер>. IP-адрес или DNS-имя сервера, на котором установлен BI-сервер.
Для определения IP-адреса сервера выполните команду:
ip address
Для определения DNS-имени сервера выполните команду:
hostname
<номер порта>. Номер порта, по которому доступен BI-сервер. По умолчанию используется порт 8809;
Примечание. При использовании раздела <proxy> выполнение запросов будет происходить через серверную часть веб-приложения - PPService.axd. При использовании раздела <service> выполнение запросов будет происходить из браузера напрямую, в обход серверной части веб-приложения.
При использовании раздела <proxy> значение атрибута url не учитывается. Параметры подключения к BI-серверу содержатся в следующих файлах:
/etc/opt/foresight/fp9.x-webserver/envvars. В переменной PP_SOM автоматически задаётся путь, по которому располагается BI-сервер по умолчанию, при установке серверной части веб-приложения:
PP_SOM=http://localhost:8809/fpBI_App_v9.x/axis2/services/PP.SOM.Som
/etc/apache2-fp9.x-web/sites-available/webserver.conf в Astra Linux, Ubuntu, /etc/httpd-fp9.x-web/sites-available/webserver.conf в CentOS, РЕД ОС, Rocky Linux, /etc/httpd2-fp9.x-web/sites-available/webserver.conf в ALT Linux. В параметре ProxyPass используется переменная PP_SOM и задан путь до PPService.axd:
ProxyPass /fp9.x/app/PPService.axd ${PP_SOM} retry=1 acquire=3000 timeout=6000 Keepalive=On
metabase. Укажите идентификатор репозитория, заданный в шаге 5, в качестве значения атрибута id.
Перезапустите веб-сервер:
Astra Linux, Ubuntu:
sudo
service apache2-fp9.x restart
sudo service apache2-fp9.x-web restart
CentOS, РЕД ОС, Rocky Linux:
sudo
service httpd-fp9.x restart
sudo service httpd-fp9.x-web restart
ALT Linux:
sudo
service httpd2-fp9.x restart
sudo service httpd2-fp9.x-web restart
Пример файла PP.xml:
<?xml version="1.0" encoding="utf-8"
?>
<pp>
<service url="http://localhost:8809/fpBI_App_v9.x/axis2/services/PP.SOM.Som"/>
<metabase id="WAREHOUSE" />
</pp>
Шаг 10. Проверьте работу BI-сервера
Для проверки работы BI-сервера:
Скопируйте URL BI-сервера:
http://<BI-сервер>:<номер порта>/fpBI_App_v9.x/axis2/services/PP.SOM.Som
Где:
<BI-сервер>. IP-адрес или DNS-имя сервера, указанное в шаге 9;
<номер порта>. Номер порта, указанного в шаге 9. По умолчанию используется порт 8809.
Создайте две ссылки и откройте их в браузере:
добавьте к адресу «?wsdl», например:
http://localhost:8809/fpBI_App_v9.x/axis2/services/PP.SOM.Som?wsdl
удалите из адреса «PP.SOM.Som», например:
http://localhost:8809/fpBI_App_v9.x/axis2/services
Если в браузере отображается ошибка, то проверьте настройки BI-сервера и перезапустите его.
Если BI-сервер работает корректно, то будет открыт набор доступных операций для работы с веб-сервисом по первой ссылке в виде XML, по второй – в виде списка.
Шаг 11. Запустите веб-приложение
Для запуска веб-приложения откройте веб-браузер и в адресной строке укажите путь к веб-приложению:
http://<BI-сервер>:8109/fp9.x/app
Где:
<BI-сервер>. IP-адрес или DNS-имя сервера, указанное в шаге 9.
После выполнения действия будет отображено окно регистрации. По умолчанию выполняется подключение к репозиторию, указанному в файле PP.xml в шаге 9. Для подключения к другому репозиторию укажите его идентификатор в адресной строке:
http://localhost:8109/fp9.x/app/login.html#repo=<идентификатор репозитория>
Список доступных репозиториев формируется в файле Metabases.xml, созданном в шаге 5.
Примечание. При авторизации в веб-приложении могут возникнуть ошибки, связанные с ограничениями политики CORS.
Для решения проблемы и повышения безопасности системы при обмене данными между разными доменами настройте механизм CORS:
Откройте файл:
/etc/apache2-fp9.x/apache2.conf в Astra Linux, Ubuntu;
/etc/httpd-fp9.x/conf/httpd-fp9.x.conf в CentOS, РЕД ОС, Rocky Linux;
/etc/httpd2-fp9.x/conf/httpd2-fp9.x.conf в ALT Linux.
Задайте заголовки Origin, Access-Control-Allow-Origin, Access-Control-Allow-Methods, Access-Control-Allow-Headers:
<IfModule mod_headers.c>
SetEnvIf Origin ^(<разрешённый домен>)$ CORS_ALLOW_ORIGIN=$1
Header always set Access-Control-Allow-Origin %{CORS_ALLOW_ORIGIN}e env=CORS_ALLOW_ORIGIN
Header merge Vary "Origin"
Header always set Access-Control-Allow-Methods "POST, OPTIONS, <методы HTTP-запросов>"
Header always set Access-Control-Allow-Headers "get-ppbi-time, content-type, soapaction, accept-language, cache-control, Authorization, <заголовки HTTP-запросов>"
</IfModule>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]
В подстановках:
<разрешённый домен>. Укажите домен, для которого будет разрешено получение запросов, в виде регулярного выражения. Например, регулярное выражение для домена example.com:
https?://(?:.+\.)?example\.com(?::\d{1,5})?
Данная настройка включает использование механизма CORS на родительском и дочерних ему доменах, а также динамически устанавливается на текущий протокол, домен, порт без использования правил перезаписи;
<методы HTTP-запросов>. Укажите дополнительные методы для доступа к ресурсу. Методы POST, OPTIONS являются обязательными;
<заголовки HTTP-запросов>. Укажите заголовки, которые используются ресурсом. Заголовки get-ppbi-time,content-type, soapaction, accept-language, cache-control, Authorization являются обязательными.
Примечание. Убедитесь, что указанные параметры механизма CORS соответствуют требованиям используемого ресурса.
Подключите модули headers, rewrite в Astra Linux, Ubuntu:
sudo a2enmod-fp9.x headers rewrite
Перезапустите сервис BI-сервера:
Astra Linux, Ubuntu:
sudo systemctl restart apache2-fp9.x
CentOS, РЕД ОС, Rocky Linux:
sudo systemctl restart httpd-fp9.x
ALT Linux:
sudo systemctl restart httpd2-fp9.x
Пример готового скрипта для СУБД PostgreSQL
В примере содержатся все части выделенных скриптов для СУБД PostgreSQL, приведённые в шагах 2, 6, 7:
скачайте и распакуйте архив Script_example_public.zip, если используется схема public;
скачайте и распакуйте архив Script_example_custom_scheme.zip, если используется пользовательская схема.
Аутентификация в продукте
В продукте «Форсайт. Аналитическая платформа» доступно несколько методов аутентификации. Метод аутентификации выбирается в зависимости от требуемых мер безопасности при настройке доступа к репозиторию.
Проверка учётных данных может производиться на сервере СУБД и/или в «Форсайт. Аналитическая платформа».
Доступны следующие базовые типы аутентификации:
парольная. По умолчанию;
интегрированная доменная;
доменная.
Для получения подробной информации обратитесь к разделу «Аутентификация в продукте».
Для использования интегрированной доменной или доменной аутентификации включите поддержку доменных групп на сервере PostgreSQL и выполните настройку в соответствии с разделом «Настройка доменной/интегрированной доменной аутентификации на веб-сервере Apache2».
Удаление BI-сервера
Для удаления файлов BI-сервера без удаления конфигурационных файлов выполните команду:
Astra Linux, Ubuntu, ALT Linux:
sudo apt-get remove fp9.x-biserver
CentOS, РЕД ОС, Rocky Linux:
sudo yum remove fp9.x-biserver
После выполнения действия будут удалены файлы BI-сервера. Файлы конфигурации, содержащиеся в папках /etc/apache2-fp9.x и /etc/opt/foresight/fp9.x-biserver, а также новые файлы, не входящие в пакет установки, в этих папках и /opt/foresight/fp9.x-biserver будут сохранены и могут использоваться при следующей установке дистрибутива.
Для полного удаления BI-сервера вместе с файлами конфигурации выполните команду:
Astra Linux, Ubuntu, ALT Linux:
sudo apt-get purge fp9.x-biserver
CentOS, РЕД ОС, Rocky Linux:
sudo yum purge fp9.x-biserver
После выполнения действия будет полностью удалён BI-сервер вместе с файлами конфигурации. При этом новые файлы, не входящие в пакет установки, будут сохранены.
Удаление серверной части веб-приложения
Для удаления файлов веб-сервера без удаления конфигурационных файлов выполните команду:
Astra Linux, Ubuntu, ALT Linux:
sudo apt-get remove fp9.x-webserver
CentOS, РЕД ОС, Rocky Linux:
sudo yum remove fp9.x-webserver
После выполнения действия будут удалены файлы веб-сервера. Файлы конфигурации, содержащиеся в папках /etc/apache2-fp9.x-web и /etc/opt/foresight/fp9.x-webserver, а также новые файлы, не входящие в пакет установки, в этих папках и /opt/foresight/fp9.x-webserver будут сохранены и могут использоваться при следующей установке дистрибутива.
Для полного удаления веб-сервера вместе с файлами конфигурации выполните команду:
Astra Linux, Ubuntu, ALT Linux:
sudo apt-get purge fp9.x-webserver
CentOS, РЕД ОС, Rocky Linux:
sudo yum purge fp9.x-webserver
После выполнения действия будет полностью удалён веб-сервер вместе с файлами конфигурации. При этом новые файлы, не входящие в пакет установки, будут сохранены.