В этой статье:
Шаг 1. Подготовка доменного окружения
Шаг 3. Настройка интегрированной доменной аутентификации
Шаг 4. Сохранение учётных данных для подключения к СУБД
Настройка интегрированной доменной аутентификации со встроенной авторизацией
Для настройки интегрированной доменной аутентификации со встроенной авторизацией на веб-сервере Apache2 в ОС Linux выполните шаги, указанные ниже. Совместное использование интегрированной доменной аутентификации со встроенной авторизацией доступно только при работе с СУБД PostgreSQL.
Важно. Настройка встроенной авторизации выполняется один раз при первичной настройке системы.
Шаг 1. Подготовка доменного окружения
«Форсайт. Аналитическая платформа» получает информацию о доменных субъектах безопасности из службы каталогов домена или глобального каталога, которые должны быть настроены в компьютерной сети. Взаимодействие со службой каталогов осуществляется по протоколу LDAP/LDAPS.
Если служба каталогов текущего домена (глобального каталога текущей сети) сформирована на базе Active Directory и работа с «Форсайт. Аналитическая платформа» осуществляется в ОС Windows, то для подключения к данной службе не требуются дополнительные настройки.
Если служба каталогов расположена на сервере с ОС Linux или необходимо подключиться к службе каталогов не текущей, а какой-либо другой сети (сервер с ОС Linux или Windows), то выполните следующие действия в зависимости от операционной системы:
Установите недостающие пакеты в зависимости от версии ОС Linux:
Debian-подобные дистрибутивы:
sudo apt install libldap-2.4-2 libsasl2-modules-gssapi-mit
RedHat-подобные дистрибутивы:
sudo yum install openldap openldap-clients
ALT Linux:
sudo apt-get install openldap-common
Скачайте и запустите инсталлятор OpenSSL. По умолчанию OpenSSL устанавливается в папку C:\Program Files\OpenSSL-Win64.
Добавьте в системную переменную PATH путь до папки bin - C:\Program Files\OpenSSL-Win64\bin.
Также подготовка доменного окружения включает в себя:
установку и настройку Kerberos на сервере СУБД PostgreSQL. Убедитесь, что добавлена информация о домене в файле /etc/krb5.conf. Для получения подробной информации обратитесь к документации Kerberos;
создание keytab-файлов и настройку службы HTTP. Keytab-файлы используются для аутентификации пользователей без ввода пароля в Astra Linux Directory (ALD) в ОС Linux или Active Directory (AD) в ОС Windows. В keytab-файле хранятся имена принципалов Kerberos и соответствующие им зашифрованные ключи, полученные на основе паролей Kerberos.
Примечание. При изменении свойств пользователя keytab-файлы должны быть пересозданы.
Шаг 2. Настройка BI-сервера
По умолчанию при установке BI-сервера конфигурационные файлы экземпляра Apache2 располагаются в папке:
/etc/apache2-fp10.x в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x в ALT Linux.
Для настройки BI-сервера:
Установите недостающие пакеты в зависимости от версии ОС Linux:
Debian-подобные дистрибутивы:
sudo apt install libsasl2-modules-gssapi-mit libapache2-mod-auth-gssapi
RedHat-подобные дистрибутивы:
sudo yum install cyrus-sasl-gssapi mod_session mod_auth_gssapi
ALT Linux:
sudo apt-get install apache2-mod_auth_gssapi libsasl2-plugin-gssapi
Скопируйте конфигурационные файлы веб-сервера Apache2 в экземпляр Apache2 с BI-сервером:
Debian-подобные дистрибутивы:
cp /etc/apache2/mods-available/auth_gssapi.load
/etc/apache2-fp10.x/mods-available/
cp /etc/apache2/mods-available/session.load /etc/apache2-fp10.x/mods-available/
cp /etc/apache2/mods-available/session_cookie.load /etc/apache2-fp10.x/mods-available/
RedHat-подобные дистрибутивы:
cp /etc/httpd/conf.modules.d/01-session.conf
/etc/httpd-fp10.x/conf.modules.d/
cp /etc/httpd/conf.modules.d/10-auth_gssapi.conf /etc/httpd-fp10.x/conf.modules.d/
ALT Linux:
cp /etc/httpd2/conf/mods-available/auth_gssapi.load
/etc/httpd2-fp10.x/conf/mods-available/
cp /etc/httpd2/conf/mods-available/session.load /etc/httpd2-fp10.x/conf/mods-available/
cp /etc/httpd2/conf/mods-available/session_cookie.load /etc/httpd2-fp10.x/conf/mods-available/
Включите недостающие модули Apache2 в Debian-подобных дистрибутивах и ALT Linux:
a2enmod-fp10.x
auth_gssapi
a2enmod-fp10.x authz_user
a2enmod-fp10.x authn_core
a2enmod-fp10.x headers
a2enmod-fp10.x session
a2enmod-fp10.x session_cookie
a2enmod-fp10.x rewrite
a2enmod-fp10.x setenvif
Включите модуль mod_request.so в RedHat-подобных дистрибутивах. Раскомментируйте строку в файле /etc/httpd-fp10.x/conf.modules.d/00-base.conf:
LoadModule request_module modules/mod_request.so
Измените конфигурационный файл BI-сервера fp10.x-biserver.conf, расположенный в папке:
/etc/apache2-fp10.x/mods-available в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x/conf.d в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x/conf/mods-available в ALT Linux.
Приведите содержимое файла к следующему виду:
# Foresight AnalyticsPlatform
LoadModule axis2_module "/opt/foresight/fp10.x-biserver/bin/libmod_axis2_2_4.so"
Axis2RepoPath "/opt/foresight/fp10.x-biserver/bin"
Axis2LogFile "/opt/foresight/fp10.x-biserver/var/log/axis2.log"
Axis2LogLevel info
Axis2ServiceURLPrefix services
<Location /FPBI_App_v10.x/axis2>
SetHandler axis2_module
Require valid-user
AuthType GSSAPI
GssapiAllowedMech krb5
GssapiCredStore keytab:<путь до keytab-файла для службы HTTP>
GssapiDelegCcacheDir /opt/foresight/fp10.x-biserver/var/cache
GssapiUseSessions On
<IfModule mod_session.c>
Session on
</IfModule>
<IfModule mod_session_cookie.c>
SessionCookieName gssapi_sessionpath=/;httponly;secure;
</IfModule>
</Location>
В файле указаны пути до основных файлов BI-сервера, расположенных в папке /opt/foresight/fp10.x-biserver по умолчанию.
После выполнения действий будет настроен BI-сервер.
В Active Directory может использоваться неограниченное и ограниченное делегирование:
для использования неограниченного делегирования установите переключатель «Trust this user for delegation to any service (Kerberos only)» на вкладке «Delegation» в свойствах пользователя;
для использования ограниченного делегирования:
Установите переключатель «Trust this user for delegation to specified services only > Use any authentication protocol» на вкладке «Delegation» в свойствах пользователя.
Дополните конфигурационный файл BI-сервера fp10.x-biserver.conf в разделе <Location>. Включите опцию GssapiUseS4U2Proxy и укажите вспомогательные параметры:
GssapiUseS4U2ProxyOn
GssapiCredStore client_keytab:<путь до keytab-файла для службы HTTP>
GssapiCredStore ccache:FILE:/opt/foresight/fp10.x-biserver/var/cache/krb5ccache
В Astra Linux Directory используется неограниченное делегирование.
Шаг 3. Настройка интегрированной доменной аутентификации
Для настройки интегрированной доменной аутентификации:
Настройте два подключения к репозиторию в файле Metabases.xml:
для администратора в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «1»;
для доменных пользователей в параметрах подключения к репозиторию должен содержаться атрибут Authentication со значением «2».
Пример файла Metabases.xml:
<PP>
<Metabases>
<REPOSITORY_ID Name="WAREHOUSE" Authentication="1" Driver="POSTGRES" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID>
<REPOSITORY_ID_INT_DOMAIN Name="WAREHOUSE_INT_DOMAIN" Authentication="2" Driver="POSTGRES" Package="STANDARDSECURITYPACKAGE">
<LogonData DATABASE="DATABASE_NAME" SERVER="SERVER_DATABASE" CASESENSITIVE="true"/>
</REPOSITORY_ID_INT_DOMAIN>
</Metabases>
</PP>
Укажите полное доменное DNS-имя сервера:
в параметре SERVER в файле /opt/foresight/fp10.x-biserver/etc/Metabases.xml;
в параметрах serviceUrl, baseUrl в файле /opt/foresight/fp10.x-webserver/r/config/config.json;
в переменной PP_SOM в файле /etc/opt/foresight/fp10.x-webserver/envvars.
Для веб-сервера Apache2 укажите параметр ServerName внутри тега <VirtualHost> в файле:
/etc/apache2-fp10.x-web/sites-available/webserver.conf в Debian-подобных дистрибутивах;
/etc/httpd-fp10.x-web/conf.d/00-virtualhost.conf в RedHat-подобных дистрибутивах;
/etc/httpd2-fp10.x-web/conf/sites-available/000-default.conf в ALT Linux.
Задайте параметры сопоставления атрибутов службы каталогов и атрибутов субъектов безопасности «Форсайт. Аналитическая платформа», укажите учётные данные для подключения к службе каталогов в файле settings.xml. При необходимости для доменов или поддоменов подключите дополнительные контроллеры.
Перезапустите BI-сервер и серверную часть веб-приложения.
Добавьте доменных пользователей и/или группы в менеджере безопасности.
После выполнения действий будет настроена интегрированная доменная аутентификация.
Шаг 4. Сохранение учётных данных для подключения к СУБД
При использовании встроенной авторизации подключение к СУБД выполняется под учётными данными технологической учётной записи. Убедитесь, что в менеджере безопасности создан пользователь, учётные данные которого будут использоваться в качестве технологической учётной записи.
Для сохранения учётных данных технологической учётной записи используйте утилиту PP.Util с параметром save_creds и указанием ключевого слова DBOWNER:
./PP.Util_start.sh /save_creds metabase_id login [password] DBOWNER
PP.Util.exe /save_creds metabase_id login [password] DBOWNER
После выполнения действия:
в ОС Linux учётные данные будут сохранены в файле Metabases.xml в разделе Credentials, соответствующем идентификатору репозитория;
в ОС Windows учётные данные будут сохранены в разделе реестра [HKLM\SOFTWARE\Foresight\Foresight Analytics Platform\10.0\Metabases\<идентификатор репозитория>\Credentials\Item0] и в файле Metabases.xml, если он используется.
В веб-приложении для применения настроек в файле Metabases.xml перезапустите BI-сервер.
Шаг 5. Использование встроенной авторизации
Для использования встроенной авторизации в менеджере безопасности установите флажок «Использовать встроенную авторизацию» на вкладке «Контроль доступа» в разделе «Редактор политик».
Шаг 6. Настройка браузера
Для настройки браузера включите сервер в разрешённые узлы или локальную сеть, например:
в браузере Google Chrome добавьте строковый параметр AuthNegotiateDelegateAllowlist в ветке реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] с указанием списка серверов, которым браузер может предоставлять учётные данные пользователей;
в браузере Mozilla Firefox задайте значение «http://,https://» для параметров network.negotiate-auth.delegation-uris, network.negotiate-auth.trusted-uris. Параметры содержатся в списке по адресу:
about:config
Шаг 7. Вход в систему
Для входа в систему нажмите кнопку «Войти» в окне регистрации:
После выполнения действий авторизация доменного пользователя будет выполняться средствами «Форсайт. Аналитическая платформа». Обращение к СУБД и соединение с репозиторием происходит с использованием сохранённых учётных данных технологической учётной записи.