РекомендацияКраткая инструкция
Использование трехзвенной архитектуры серверов
  1. Сервер базы данных на базе ОС Astra Linux Server / Альт Сервер / РЕД ОС
  2. Веб-сервер на базе ОС Astra Linux Server / Альт Сервер / РЕД ОС
  3. Сервер приложений* (требуется только при необходимости просмотра файлов моделей и dwg в СОД) на базе ОС Astra Linux Server / Альт Сервер / РЕД ОС Windows Server

Подробнее в требованиях к конфигурации.

*В зависимости от планируемой загруженности серверов и при необходимости распределения очереди конвертации приложений может быть несколько.

Использование антивируса и брандмауэра на веб-серверах

Необходимо добавить в исключения используемые порты и протоколы.

Пример с использованием UFW

  • Открыть порт https на сервере c nginx:
sudo ufw allow https
  • Открыть порт 5432 для подключения к базе Postgres:
sudo ufw allow 5432/tcp
  • Открыть порт 4616 для подключения к vitro-workflow:
sudo ufw allow 4616/tcp
  • Открыть порт 4615 для подключения к vitro-server:
sudo ufw allow 4615/tcp
Использование  https протокола и cертификатов SSL
  1. Использование входящих https-соединений для nginx:

в файл /etc/nginx/sites-available/default отредактировать или добавить следующие блоки:

server {
        listen 80 default_server;
        listen [::]:80 default_server;
         
        #permanent redirekt from http to https
        return 301 https://$host$request_uri;
}
server {
        # SSL configuration
        #
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
  
        server_name vitro.example.ru;
        }  
}

Более подробно настройка сертификатов и nginx описана в статье по установке.


  2. Настройка защищенного соединения для подключения к базе данных:

  • Указать алгоритмы шифрования, которые будут использоваться сервером баз данных, изменив параметр ssl_ciphers в postgresql.conf.
  • Поместить сертификаты корневых центров сертификации (CA), которым вы доверяете, в файл в каталоге данных
  • Установить параметр ssl_ca_file в postgresql.conf для нового имени файла и добавить опцию аутентификации clientcert=verify-ca или clientcert=verify-full в соответствующие hostssl строки в файле pg_hba.conf.

Более подробно настройка шифрованного соединения для подключения к базе данных описана в официальной документации.

Смена пароля администратора, установленного по умолчанию

Для смены пароля после установки:

  1. Перейти в структуру Пользователи 
  2. Перейти в контейнер ООО "Компания" 
  3. Вызвать контекстное меню на пользователе admin 
  4. Выбрать Установить пароль 
  5. Ввести старый и новый пароли и нажать Ок 
Настройка безопасности учетных записей

Необходимо настроить параметры в соответствии с требованиями к паролю в списке "Конфигурация": Безопасность→ Аутентификация→ По паролю.

Базовые требования:

  1. Минимальная длина пароля - 12 символов (установить значение параметра "Минимальная длина пароля": 12)
  2. Минимальное количество символов в нижнем регистре - 1 символ (установить значение параметра "Минимальное количество символов в нижнем регистре в пароле": 1)
  3. Минимальное количество символов в верхнем регистре - 1 символ (установить значение параметра "Минимальное количество символов в верхнем регистре в пароле": 1)
  4. Минимальное количество цифр в пароле - 1 символ (установить значение параметра "Минимальное количество цифр в пароле": 1)
  5. Минимальное количество спец. символов в пароле - 1 символ (установить значение параметра "Минимальное количество спец. символов в пароле": 1)

Подробнее в статье о настройке.

Настройка разграничения прав доступа

Ограничить пользователям права на изменение и удаление на списки Центра Администрирования (за исключением необходимого):

  1. Перейти в Центр администрирования → Настройки пространства → Списки → Пространства, выбрать Центр администрирования и перейти на вкладку Права. Удалить права пользователям без привилегий. 
  2. Перейти в Центр администрирования → Настройки пространства → Списки, на вкладке Права соответствующего списка разорвать наследование прав и выдать право на изменение пользователям без привилегий для следующих списков:
    1. Версии файлов
    2. Связь
    3. Скрытая директория
    4. Сообщения
    5. Маршрут

    6. Файловое хранилище

Ограничить пользователям права на изменение типов элементов и атрибутов:

  1. Перейти в Центр администрирования → Настройки пространства → Списки, разорвать права и выдать права на просмотр пользователям без привилегий для следующих списков:
    1. Атрибуты
    2. Типы элементов

Подробности о настройке и список необходимых прав доступа в статье.

Настройка протокола Kerberos для использования доменной аутентификации в Linux (опционально)

На примере настройки для ОС Ubuntu:

  1. Установить необходимые пакеты

    apt install heimdal-clients chrony

  2. Задать имя серверу

    hostnamectl set-hostname vitroweb.domain.local

  3. Настроить синхронизацию времени

    timedatectl set-timezone Europe/Moscow

  4. Добавить в файл chrony.conf строку: 

    chrony.conf
    nano /etc/chrony.conf
server dc1.domain.local iburst

  5. Создание учетной записи в AD

    1. На контроллере домена в оснастке "Пользователи и компьютеры" добавить нового пользователя со стандартными правами. От этой учетной записи будут выполняться запросы к AD DS. В текущем примере создаем пользователя с именем входа vitro_krb5.

  6. Создание keytab-файла 

    ktpass /princ HTTP/vitroweb.public.com@DOMAIN.LOCAL /mapuser vitro_krb5@DOMAIN.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /out C:\temp\krb5.keytab /pass <пароль пользователя>

  7. Настройка kerberos на Linux сервере:

    1. Открыть на редактирование файл krb5.conf 

      nano  /etc/krb5.conf

    2. Привести файл к виду: 

      /etc/krb5.conf
      [libdefaults]
default_realm = DOMAIN.LOCAL
 
# The following krb5.conf variables are only for MIT Kerberos.
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
 
# The following libdefaults parameters are only for Heimdal Kerberos.
    fcc-mit-ticketflags = true
 
[realms]
    DOMAIN.LOCAL = {
        kdc = 10.0.0.1
        kdc = 10.0.0.5
        admin_server = domain.local
        default_domain = domain.local
    }
 
[domain_realm]
    .domain.local = DOMAIN.LOCAL
    domain.local = DOMAIN.LOCAL

    3. Перейти в каталог с файлом keytab и выполнить команду: 

      kinit -S HTTP/vitroweb.domain.local@DOMAIN.LOCAL vitro_krb5

    4. Выполнить: 

      klist

  8. Настройка Веб-приложения Vitro для авторизации в каталоге LDAP/AD при помощи сервис принципала

    1. Отредактировать (а при отсутствии предварительно создать) файл /usr/local/Vitro.Server.Core.Web/Vitro/Server/Conf/auth.json: 

      auth.json
      {
"DomainName": "dc1.domain.local",
"Container": "DC=vitro,DC=intra",
"UserName": "vitro_krb5",
"Password": "@pwd4krb!",
"AuthType": "Basic"
}


Подробности указаны в статьях по настройке для Linux и Windows.



  • No labels