Установка приложения «Менеджер службы каталогов» (пакет dsm)

Установка включает шаги:

Предварительная настройка.
Установка пакета.
Проверка работоспособности.

Предварительная настройка

Для предварительной настройки:

Создайте каталог /opt/dsm/:
```
sudo mkdir -p /opt/dsm/
```

Создайте в каталоге файл application.yml и добавьте в него необходимые параметры (см. пример содержимого файла или скачайте файл с минимальным набором требуемых настроек):

Для успешного запуска приложения при создании или редактировании файла application.yml учитывайте следующее:

формат *.yml чувствителен к форматированию (см. RFC 9512), соблюдайте отступы;
если используется HTTPS, то значения server.ssl.key-store-password и server.ssl.key-password также укажите в зашифрованном виде с использованием Base64.

секция server:

port — порт для подключения к приложению (значение по умолчанию — 8080);

ssl — настройки SSL-соединения:

В примере файла application.yml указаны параметры SSL-соединения, при которых приложение будет доступно только по HTTPS.

metrics_enabled — включает мониторинг для SSL-соединения (см. секцию Prometheus в разделе Сбор метрик приложения «Менеджер службы каталогов»);

Доступные значения:
- true — включает;
- false — выключает.
key-store — путь к хранилищу ключей, содержащему сертификат SSL;
key-store-password — пароль, зашифрованный с помощью Base64, для доступа к хранилищу ключей;
key-store-type — тип хранилища ключей (JKS или PKCS12);
key-alias — псевдоним, идентифицирующий ключ в хранилище ключей;
key-password — пароль, зашифрованный с помощью Base64, для доступа к ключу в хранилище ключей;

секция logging:

В секции приведены параметры, которые установлены по умолчанию в приложении. Они применяются, если в application.yml не заданы другие.

Более подробную информацию по настройке логирования см. в разделе «Логирование приложения "Менеджер службы каталогов"».

level — уровень логирования для приложения (формат: <название приложения>: <уровень логирования>);

Доступные уровни логирования:
- DEBUG — уровень отладочных сообщений;
- ERROR — уровень ошибок;
- INFO — уровень информационных сообщений;
- OFF — логирование выключено;
- TRACE — уровень всех сообщений;
- WARN — уровень предупреждений;
file:
- name — название файла с логом;
- logback — библиотека для работы с логами:
  - rollingpolicy — секция управления ротацией и архивацией логов:
    
    file-name-pattern — определяет название лог-файла и частоту ротации;
    
    max-file-size — максимальный размер лог-файла;
    
    total-size-cap — максимальный суммарный размер всех лог-файлов;
    
    max-history — максимальное количество лог-файлов;

секция ldap:
- connection — настройки подключения к контроллеру домена:
  - host — адрес для подключения;
  - port — порт для подключения;
  - responseTimeoutMillis — тайм-аут ответа LDAP-операций, в миллисекундах (значение по умолчанию — 120000);
- sso:
  - krb-tgt-path — путь до тикета kerberos технической учетной записи, от имени которой будут выполняться операции, после авторизации по SSO;
секция authentication — настройки доступа по технологии единого входа (SSO):
- kerberos:
- kdc-address` — адрес центра распространения ключей;
- service-principal — логин UPN;
- keytab-location — путь до keytab-файла;
секция gpm:
- admx — настройки ADMX-шаблонов:
  - path — путь к ADMX-шаблонам, содержащим описание политик;
  - locale — применяемая локализация, а также название директории относительно пути к ADMX-шаблонам, определенным в параметре path;
  - target-namespace — целевое пространство имен в случае отсутствия или различия с определенных в файлах шаблонов и локализации;
  - hide-empty-categories — cкрытие категорий, не содержащих других категорий и политик;
    
    Доступные значения:
    
    true — включает;
    
    false — выключает.
- server-path — путь к каталогу, где лежат файлы со значениями политик после их выбора в шаблонах;
секция management:
- server:port — порт для подключения к актуаторам приложения.

Пример application.yml:

server:
  port: 8090
  ssl:
    metrics_enabled: true
    key-store: /opt/dsm/springboot.p12
    key-store-password: cGFzc3dvcmQx
    key-store-type: pkcs12
    key-alias: springboot
    key-password: cGFzc3dvcmQy

logging:
  level:
    tech.inno.dsm: DEBUG
  file:
    name: /var/log/dsm.log
  logback:
    rollingpolicy:
      file-name-pattern: /var/log/dsm_%d{yyyy-MM-dd}_archive-%i.log
      max-file-size: 10MB
      total-size-cap: 1000MB
      max-history: 365

ldap:
  connection:
    host: 127.0.0.1
    port: 389
    responseTimeoutMillis: 120000
    sso:
      krb-tgt-path: /tmp/krb5cc_1000

authentication:
  kerberos:
    kdc-address: ast-dc1.dsmreview.lan
    service-principal: HTTP/dsmsso.inno.tech
    keytab-location: /opt/dsm/sso.keytab

gpm:
  admx:
    path: /app/inno-samba/share/samba/admx
    locale: en-US
    target-namespace: http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions
  server-path: /app/inno-samba/var/locks

management:
  server:
    port: 8081

Установка пакета

Установите пакет:

при установке из репозитория выполните:
- Astra Linux
- РЕД ОС
sudo apt install dsm -y
sudo dnf install dsm -y
при установке из архива укажите путь к распакованным файлам и имя пакета; например:
- Astra Linux
- РЕД ОС
sudo apt install ./packages/dsm-2.11.0/dsm_2.11.0-1_amd64.deb -y
sudo dnf install ./packages/dsm-2.11.0/dsm-2.11.0-1.x86_64.rpm -y

После установки приложение запускается автоматически с правами пользователя root.

Проверка работоспособности

Для проверки корректности установки и работоспособности приложения:

Убедитесь, что сервис работает и активен:
```
sudo systemctl status dsm.service
```
Откройте приложение в веб-браузере на порте, указанном в файле application.yml. В примере выше — 8090. Если параметр port не указан в application.yml, используется значение по умолчанию — 8080.

В случае недоступности веб-интерфейса приложения см. логи в каталоге, указанном в application.yml. В приведенном примере файла application.yml приложение сохраняет данные логирования с уровнем DEBUG в файл dsm.log в каталоге /var/log/.