Astra Linux

38min
Инструкция по установке Пассворка на ОС:
Astra Linux SE 1.7
Astra Linux SE 1.8
В инструкции используются переключаемые блоки кода для разделения команд согласно версиям операционной системы
1. Минимальные системные требования
Пассворк не требователен к системным ресурсам, а необходимое количество серверов зависит от числа активных пользователей, объема хранимых данных и требований к отказоустойчивости системы.
Ознакомьтесь с полными системными требованиями﻿.
Если сервер имеет 2-4 ГБ ОЗУ, то для корректной сборки всех библиотек мы рекомендуем включить SWAP-файл
﻿Создание SWAP файла на Linux﻿﻿
2. Базовые действия перед установкой
Получить права root и обновить локальную базу данных пакетов:
bash
sudo -i 
apt-get update
sudo -i 
apt-get update
﻿
Установить веб-сервер Apache2 и утилиту передачи данных curl:
bash
apt-get install -y apache2 unzip curl
apt-get install -y apache2 unzip curl
﻿
3. Установка PHP
3.1 Загрузка архива
Получить PHP-архив в текущую директорию:
SE 1.7
SE 1.8
wget https://repos.passwork.ru/repository/php/builds/83/linux/astra/18/x86_64/php_latest.tar.gz
wget https://repos.passwork.ru/repository/php/builds/83/linux/astra/18/x86_64/php_latest.tar.gz
﻿
Вы также можете скачать архив вручную: 
﻿Astra Linux SE 1.7﻿
﻿Astra Linux SE 1.8﻿
Создать директорию и разархивируйте содержимое:
shell
mkdir ./php && tar -zxvf ./php_latest.tar.gz -C ./php/
mkdir ./php && tar -zxvf ./php_latest.tar.gz -C ./php/
﻿
3.2 Установка
Установить все .deb пакеты из архива:
shell
apt install ./php/*.deb -y
apt install ./php/*.deb -y
﻿
Установить утилиту PEAR с помощью go-pear.phar:
shell
php ./php/go-pear.phar
php ./php/go-pear.phar
﻿
Выполнить стандартную (без изменений) установку — Enter
3.3 Установка драйвера PHP MongoDB
Установить драйвер PHP MongoDB:
shell
pecl install ./php/mongodb-*.tgz
pecl install ./php/mongodb-*.tgz
﻿
Создать файлы конфигурации для загрузки и включения PHP MongoDB:
Shell
echo "extension=mongodb.so" | tee /etc/php/8.3/apache2/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.3/cli/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.3/apache2/conf.d/20-mongodb.ini
echo "extension=mongodb.so" | tee /etc/php/8.3/cli/conf.d/20-mongodb.ini
﻿
3.4 Дополнительная настройка opcache
Получить расположение конфигурационного файла opcache:
shell
opcache_path=$(php --ini | grep opcache | awk '{print $NF}' | sed 's/,//')
opcache_path=$(php --ini | grep opcache | awk '{print $NF}' | sed 's/,//')
﻿
Отредактировать конфигурационный файл:
shell
nano $opcache_path
nano $opcache_path
﻿
Добавить следующие строки в конфигурационный файл:
shell
opcache.enable=1
opcache.memory_consumption=192
opcache.interned_strings_buffer=16
opcache.max_accelerated_files=100000
opcache.validate_timestamps=0
opcache.revalidate_freq=0
opcache.preload=/var/www/config/preload.php
opcache.preload_user=www-data
opcache.enable=1
opcache.memory_consumption=192
opcache.interned_strings_buffer=16
opcache.max_accelerated_files=100000
opcache.validate_timestamps=0
opcache.revalidate_freq=0
opcache.preload=/var/www/config/preload.php
opcache.preload_user=www-data
﻿
﻿
4. Установка базы данных MongoDB
Получить архив MongoDB в текущую директорию:
SE 1.7
SE 1.8
wget https://repos.passwork.ru/repository/mongodb/6/astra/17/x86_64/mongodb_latest.tar.gz
wget https://repos.passwork.ru/repository/mongodb/6/astra/17/x86_64/mongodb_latest.tar.gz
﻿
Создать директорию и разархивируйте содержимое:
Shell
mkdir ./mongodb && tar -zxvf ./mongodb_latest.tar.gz -C ./mongodb/
mkdir ./mongodb && tar -zxvf ./mongodb_latest.tar.gz -C ./mongodb/
﻿
Установить MongoDB с помощью dpkg:
Shell
dpkg -i ./mongodb/*.deb
dpkg -i ./mongodb/*.deb
﻿
Запустить службу mongod.service:
shell
systemctl start mongod.service
systemctl start mongod.service
﻿
Включить автозапуск службы:
shell
systemctl enable mongod.service
systemctl enable mongod.service
﻿
5. Получение релиз-кандидата Пассворка
Перейти на клиентский портал Пассворка и скопировать номер сертификата для получения Релиз-кандидата:
﻿
Проверить доступную версию релиз-кандидата Пассворка из клиентского портала с помощью скопированного номера сертификата запросом:
Shell
curl -X GET "https://portal.passwork.ru/api/version?rc=yes&apikey=CERTIFICATE" -w "\n"
curl -X GET "https://portal.passwork.ru/api/version?rc=yes&apikey=CERTIFICATE" -w "\n"
﻿
PowerShell
{"response":{"last-available-version":"xxxxxxxx"}}
{"response":{"last-available-version":"xxxxxxxx"}}
﻿
Необходимо убедиться, что для скачивания доступна релиз-кандидат версия Пассворка — 07xxxxxx
Получить Пассворк с помощью запроса:
Shell
curl -o "/var/www/passwork.zip" "https://portal.passwork.ru/api/download?rc=yes&apikey=CERTIFICATE"
curl -o "/var/www/passwork.zip" "https://portal.passwork.ru/api/download?rc=yes&apikey=CERTIFICATE"
﻿
Разархивировать релиз-кандидат версию Пассворка в физическое расположение:
shell
unzip /var/www/passwork.zip -d /var/www/
unzip /var/www/passwork.zip -d /var/www/
﻿
Назначить права на директории, файлы и сделать www-data владельцем всех файлов:
bash
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R www-data:www-data /var/www/
﻿
6. Настройка Apache2 для доступа по HTTP протоколу
Открыть файл конфигурации виртуального хоста для HTTP-соединения:
bash
nano /etc/apache2/sites-enabled/000-default.conf
nano /etc/apache2/sites-enabled/000-default.conf
﻿
Отредактировать содержимое файла и приведите его к следующему виду:
bash
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
﻿
Отключить режим AstraMode в Apache2:
bash
sed -i 's/# AstraMode on/AstraMode off/' /etc/apache2/apache2.conf
sed -i 's/# AstraMode on/AstraMode off/' /etc/apache2/apache2.conf
﻿
Включить модуль перезаписи URL-адресов и перезапустить службу Apache2:
bash
a2enmod rewrite
service apache2 restart
a2enmod rewrite
service apache2 restart
﻿
Открыть http://passwork.local или http://127.0.0.1 для проверки подключения к Пассворк
7. Прохождение чек-листа
При первом подключении к Пассворку потребуется пройти чек-лист, в ходе которого будут проверены:
Необходимые параметры
Подключение к базе данных MongoDB
Изменить подключение к MongoDB на адрес — mongodb://localhost:27017
Случайно сгенерированный ключ шифрования данных в MongoDB
Лицензионный ключ
После прохождения чек-листа будет предложено создать первого пользователя, для чего потребуется указать логин, пароль и адрес электронной почты для отправки уведомлений.
Первый пользователь по умолчанию является локальным и владельцем Пассворка. В случае назначения владельцем LDAP/SSO пользователя, он автоматически станет локальным и вы не сможете авторизоваться.
8. Настройка доступа по HTTPS протоколу
8.1 Генерация самоподписанного SSL-сертификата
Создать новую директорию для хранения закрытого ключа и сертификата:
bash
mkdir /etc/apache2/ssl/
mkdir /etc/apache2/ssl/
﻿
Сгенерировать самоподписанный сертификат X.509 для Apache2 с помощью OpenSSL:
bash
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -addext 'subjectAltName=DNS: your.domain.name' -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
﻿
Common Name (CN) — Важно указать IP-адрес сервера или имя хоста, так как сертификат должен соответствовать домену (или IP-адресу) для веб-сайта;
subjectAltName (SAN) — Альтернативное имя домена или IP-адрес.
Установить права доступа root пользователю для защиты закрытого ключа и сертификата:
bash
chmod 600 /etc/apache2/ssl/*
chmod 600 /etc/apache2/ssl/*
﻿
8.2 Настройка виртуального хоста для доступа по HTTPS-протоколу
Активировать модуль SSL в Apache2, позволяя серверу поддерживать протокол HTTPS:
bash
a2enmod ssl
a2enmod ssl
﻿
Включить конфигурационный файл виртуального хоста сайта с настройками для SSL-соединения:
bash
a2ensite default-ssl
a2ensite default-ssl
﻿
Открыть файл конфигурации виртуального хоста для HTTPS-соединения:
bash
nano /etc/apache2/sites-enabled/default-ssl.conf
nano /etc/apache2/sites-enabled/default-ssl.conf
﻿
Найти раздел, начинающийся с <VirtualHost _default_:443> и внести следующие изменения:
Добавить директиву ServerName (имя сервера или IP-адрес) и порт 443 под строкой ServerAdmin:
bash
ServerAdmin webmaster@localhost
ServerName passwork.local:443
ServerAdmin webmaster@localhost
ServerName passwork.local:443
﻿
Добавить директиву <Directory> после ServerName:
bash
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
<Directory /var/www/public>
        Options FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
    </Directory>
﻿
Найти следующие изменения и обновите пути к файлам, которые были сгенерированы ранее или указать своё расположение до сертификата и ключа:
bash
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SSLCertificateFile /etc/apache2/ssl/apache.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
﻿
После внесения изменений проверить, что файл конфигурации виртуального хоста соответствует примеру:
bash
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName passwork.local:443
        DocumentRoot /var/www/public
        <Directory /var/www/public>
            Options FollowSymLinks MultiViews
            AllowOverride All
            Order allow,deny
            allow from all
        </Directory>
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apache.crt
        SSLCertificateKeyFile /etc/apache2/ssl/apache.key
    </VirtualHost>
</IfModule>
﻿
Перезапустить службу Apache2 чтобы применить внесённые изменения в конфигурацию:
bash
systemctl restart apache2
systemctl restart apache2
﻿
Проверьте подключение к Пассворк по протоколу HTTPS на https://passwork.local﻿
8.3 Настройка Пассворка для работы по HTTPS-протоколу
При использовании защищенного SSL-соединения (HTTPS) клиентские браузеры требуют определенных флагов для обработки данных Пассворка.
Если флаг session.cookie_secure не установлен, браузеры не смогут установить соединение, что может приведет к ошибкам авторизации.
Установить параметр session.cookie_secure в файле /etc/php/8.3/apache2/php.ini:
bash
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php/8.3/apache2/php.ini
sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php/8.3/apache2/php.ini
﻿
Не устанавливайте этот параметр или верните в исходное значение, если вы передумаете использовать SSL и будете работать через HTTP-протокол
9. Настройка фоновых задач
Фоновые задачи — это задачи, которые выполняются по планировщику в фоновом режиме. Как настроить фоновые задачи﻿.
Фоновые задачи обязательны для корректной работы части функционала Пассворка, например:
Работы LDAP;
Отправки почтовых уведомлений;
Загрузки фавиконов;
Очистки коллекции session в базе данных Пассворка.
﻿
РЕД ОС
Alma/Rocky/CentOS/MSVSPhere