Для настройки интегрированной доменной аутентификации на веб-сервере Apache2 в ОС Linux при использовании BI-сервера, который выполняет все необходимые функции по авторизации в СУБД и последующему управлению потоком с данными, выполните шаги, указанные ниже.
По умолчанию при установке BI-сервера конфигурационные файлы экземпляра Apache2 располагаются в папке:
/etc/apache2-fp10.x в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x в ALT Linux.
Для настройки BI-сервера:
Установите недостающие пакеты в зависимости от версии ОС Linux:
Debian-подобные дистрибутивы:
sudo apt install libsasl2-modules-gssapi-mit libapache2-mod-auth-gssapi
RedHat-подобные дистрибутивы:
sudo yum install cyrus-sasl-gssapi mod_session mod_auth_gssapi
ALT Linux:
sudo apt-get install apache2-mod_auth_gssapi libsasl2-plugin-gssapi
Скопируйте конфигурационные файлы экземпляра Apache2 в экземпляры, созданные при установке BI-сервера:
Debian-подобные дистрибутивы:
cp /etc/apache2/mods-available/auth_gssapi.load
/etc/apache2-fp10.x/mods-available/
cp /etc/apache2/mods-available/session.load /etc/apache2-fp10.x/mods-available/
cp /etc/apache2/mods-available/session_cookie.load /etc/apache2-fp10.x/mods-available/
RedHat-подобные дистрибутивы:
cp /etc/httpd/conf.modules.d/01-session.conf
/etc/httpd-fp10.x/conf.modules.d/
cp /etc/httpd/conf.modules.d/10-auth_gssapi.conf /etc/httpd-fp10.x/conf.modules.d/
ALT Linux:
cp /etc/httpd2/conf/mods-available/auth_gssapi.load
/etc/httpd2-fp10.x/conf/mods-available/
cp /etc/httpd2/conf/mods-available/session.load /etc/httpd2-fp10.x/conf/mods-available/
cp /etc/httpd2/conf/mods-available/session_cookie.load /etc/httpd2-fp10.x/conf/mods-available/
Включите недостающие модули Apache2 в Debian-подобных дистрибутивах и ALT Linux:
a2enmod-fp10.x
auth_gssapi
a2enmod-fp10.x authz_user
a2enmod-fp10.x authn_core
a2enmod-fp10.x headers
a2enmod-fp10.x session
a2enmod-fp10.x session_cookie
a2enmod-fp10.x rewrite
a2enmod-fp10.x setenvif
Включите модуль mod_request.so в RedHat-подобных дистрибутивах. Раскомментируйте строку в файле /etc/httpd-fp10.x/conf.modules.d/00-base.conf:
LoadModule request_module modules/mod_request.so
Измените конфигурационный файл BI-сервера fp10.x-biserver.conf, расположенный в папке:
/etc/apache2-fp10.x/mods-available в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x/conf.d в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x/conf/mods-available в ALT Linux.
Приведите содержимое файла к следующему виду:
# Foresight AnalyticsPlatform
LoadModule axis2_module "/opt/foresight/fp10.x-biserver/bin/libmod_axis2_2_4.so"
Axis2RepoPath "/opt/foresight/fp10.x-biserver/bin"
Axis2LogFile "/opt/foresight/fp10.x-biserver/var/log/axis2.log"
Axis2LogLevel info
Axis2ServiceURLPrefix services
<Location /FPBI_App_v10.x/axis2>
SetHandler axis2_module
Require valid-user
AuthType GSSAPI
GssapiAllowedMech krb5
GssapiCredStore keytab:<путь до keytab-файла для службы HTTP>
GssapiDelegCcacheDir /opt/foresight/fp10.x-biserver/var/cache
GssapiUseSessions On
<IfModule mod_session.c>
Session on
</IfModule>
<IfModule mod_session_cookie.c>
SessionCookieName gssapi_sessionpath=/;httponly;secure;
</IfModule>
</Location>
В файле указаны пути до основных файлов BI-сервера, расположенных в папке /opt/foresight/fp10.x-biserver по умолчанию.
Перезапустите BI-сервер.
После выполнения действий будет настроен BI-сервер.
В Active Directory может использоваться неограниченное и ограниченное делегирование:
для использования неограниченного делегирования установите переключатель «Trust this user for delegation to any service (Kerberos only)» на вкладке «Delegation» в свойствах пользователя;
для использования ограниченного делегирования:
Установите переключатель «Trust this user for delegation to specified services only > Use any authentication protocol» на вкладке «Delegation» в свойствах пользователя.
Дополните конфигурационный файл BI-сервера fp10.x-biserver.conf в разделе <Location>. Включите опцию GssapiUseS4U2Proxy и укажите вспомогательные параметры:
GssapiUseS4U2ProxyOn
GssapiCredStore client_keytab:<путь до keytab-файла для службы HTTP>
GssapiCredStore ccache:FILE:/opt/foresight/fp10.x-biserver/var/cache/krb5ccache
В Astra Linux Directory используется неограниченное делегирование.
Для настройки интегрированной доменной аутентификации:
Настройте два подключения к репозиторию в файле Metabases.xml:
для администратора в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «1»;
для доменных пользователей в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «2».
Пример файла Metabases.xml:
<PP>
<Metabases>
<REPOSITORY_ID Name="WAREHOUSE" Authentication="1" Driver="WSF" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID>
<REPOSITORY_ID_INT_DOMAIN Name="WAREHOUSE_INT_DOMAIN" Authentication="2" Driver="WSF" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID_INT_DOMAIN>
</Metabases>
</PP>
Укажите полное доменное DNS-имя сервера:
в параметре SERVER в файле /opt/foresight/fp10.x-biserver/etc/Metabases.xml;
в параметрах serviceUrl, baseUrl в файле /opt/foresight/fp10.x-webserver/r/config/config.json;
в переменной PP_SOM в файле /etc/opt/foresight/fp10.x-webserver/envvars.
Для веб-сервера Apache2 укажите параметр ServerName внутри тега <VirtualHost> в файле:
/etc/apache2-fp10.x-web/sites-available/webserver.conf в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x-web/conf.d/00-virtualhost.conf в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x-web/conf/sites-available/000-default.conf в ALT Linux.
Задайте параметры сопоставления атрибутов службы каталогов и атрибутов субъектов безопасности «Форсайт. Аналитическая платформа», укажите учётные данные для подключения к службе каталогов в файле settings.xml. При необходимости для доменов или поддоменов подключите дополнительные контроллеры.
Перезапустите BI-сервер и серверную часть веб-приложения.
Добавьте доменных пользователей и/или группы в менеджере безопасности.
После выполнения действий будет настроена интегрированная доменная аутентификация.
См. также: