РЕД ОС

к сведению

Инструкция по установке Пассворка на ОС:

• РЕД ОС 7.3
• РЕД ОС 8

осторожно

В инструкции используются переключаемые блоки кода для разделения команд согласно версиям операционной системы

1. Минимальные системные требования

Пассворк не требователен к системным ресурсам, а необходимое количество серверов зависит от числа активных пользователей, объема хранимых данных и требований к отказоустойчивости системы.

Ознакомьтесь с полными системными требованиями.

к сведению

Если сервер имеет 2-4 ГБ ОЗУ, то для корректной сборки всех библиотек мы рекомендуем включить SWAP-файл

Создание SWAP файла на Linux

2. Базовые действия перед установкой

Получить права root и обновить локальную базу данных пакетов:

shell

sudo -i 
dnf makecache

Установить пакет для контроля версий Git, веб-сервер Apache2 и утилиту передачи данных curl:

bash

dnf install git httpd curl -y

Запустить службу httpd.service:

shell

systemctl start httpd.service

Включить автозапуск службы:

shell

systemctl enable httpd.service

2.1 Установка и базовая настройка Firewalld

Установить службу динамического управления брандмауэром Firewalld

shell

dnf install firewalld -y

Запустить службу firewalld.service:

shell

systemctl start firewalld.service

Включить автозапуск службы:

shell

systemctl enable firewalld.service

Добавить HTTP-протокол в список разрешенных сервисов конфигурации Firewalld:

shell

firewall-cmd --permanent --add-service=http

Добавить HTTPS-протокол в список разрешенных сервисов конфигурации Firewalld:

shell

firewall-cmd --permanent --add-service=https

Применить изменения в конфигурации Firewalld:

shell

firewall-cmd --reload

2.2 Отключение SELinux и перезагрузка ОС

Отредактировать конфигурационный файл — /etc/selinux/config:

shell

nano /etc/selinux/config

Изменить параметр SELINUX с enforcing на disabled:

shell

SELINUX=disabled

Сохранить изменения (Ctrl+O) и выйдите (Ctrl+X). Перезагрузить систему, чтобы применить изменения в SELinux:

shell

reboot

3. Установка PHP

3.1 Загрузка архива

Загрузить PHP-архив в текущую директорию:

RedOS 7.3

curl -O https://repos.passwork.ru/repository/php/builds/82/linux/redos/73/x86_64/php_latest.tar.gz

RedOS 8

curl -O https://repos.passwork.ru/repository/php/builds/82/linux/redos/80/x86_64/php_latest.tar.gz

к сведению

Вы также можете скачать архивы вручную:

• RedOS 7.3
• RedOS 8

Создать директорию и разархивируйте содержимое:

shell

mkdir ./php && tar -zxvf ./php_latest.tar.gz -C ./php/

3.2 Установка

Установить все .rpm пакеты из архива:

shell

dnf -y install ./php/*.rpm

Установить утилиту PEAR с помощью go-pear.phar:

shell

php ./php/go-pear.phar

к сведению

Выполнить стандартную (без изменений) установку — Enter

3.1 Установка PHP MongoDB драйвера

Установить драйвер PHP MongoDB:

shell

pecl install ./php/mongodb-*.tgz

Создать файлы конфигурации для загрузки и включения PHP MongoDB:

shell

echo "extension=mongodb.so" | tee /etc/php.d/20-mongodb.ini

3.2 Установка PHP Phalcon расширения

Установить расширение PHP Phalcon:

shell

pecl install ./php/phalcon-*.tgz

Создать файлы конфигурации для загрузки и включения PHP Phalcon:

shell

echo "extension=phalcon.so" | tee /etc/php.d/20-phalcon.ini

4. Установка базы данных MongoDB

Установить MongoDB и утилиту для подключений к shell-оболочке:

shell

dnf install mongodb-org-6.0.15 mongodb-org-shell.x86_64 -y

Запустить службу mongod.service:

shell

systemctl start mongod.service

Включить автозапуск службы:

shell

systemctl enable mongod.service

В случае если MongoDB будет запущен с ошибкой, нужно проверить наличие конфигурационного файла /etc/mongod.conf, если данный файл отсутствует, то выполните команду:

shell

mv /etc/mongo/mongod.conf /etc/

И перезапустить службу mongod.service:

shell

systemctl restart mongod.service

5. Управление и загрузка последней версии Пассворк с помощью Git

Перейти в директорию /var/www/:

shell

cd /var/www/

Добавить глобальную конфигурацию Git, указывающую на безопасную директорию:

shell

git config --global --add safe.directory /var/www

Инициализировать Git репозиторий в директории /var/www/:

shell

git init

Добавить удалённый репозиторий Пассворка:

shell

git remote add origin https://passwork.download/passwork/passwork.git

Получить удалённый репозиторий на локальный сервер:

shell

git fetch

к сведению

Система запросит логин и пароль к репозиторию, которые находятся в клиентском портале Пассворка. Если у вас нет доступа к клиентскому порталу, свяжитесь с нами.

Переключиться на ветку v6 с последней актуальной версией Пассворк:

shell

git checkout v6

Назначить права на директории и файлы и сделать apache владельцем всех файлов:

shell

find /var/www/ -type d -exec chmod 755 {} \;
find /var/www/ -type f -exec chmod 644 {} \;
chown -R apache:apache /var/www/

6. Настройка Apache2 для доступа по HTTP-протоколу

Создать файл конфигурации виртуального хоста для HTTP-соединения:

shell

nano /etc/httpd/conf.d/non-ssl.conf

Отредактировать содержимое файла и привести его к следующему виду:

shell

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/public
    <Directory /var/www/public>
        Options +FollowSymLinks -Indexes -MultiViews
        AllowOverride FileInfo
        Require all granted
    </Directory>
    ErrorLog logs/error_log
    TransferLog logs/access_log
    LogLevel warn
</VirtualHost>

Перезапустить веб-сервер httpd.service:

shell

systemctl restart httpd.service

к сведению

Откройте http://passwork.local или http://127.0.0.1 для проверки подключения

7. Прохождение чек-листа

При первом подключении к Пассворку потребуется пройти чек-лист, в ходе которого будут проверены:

• Необходимые параметры
• Подключение к базе данных MongoDB
• Случайно сгенерированный ключ шифрования данных в MongoDB
• Лицензионный ключ

к сведению

Если вы устанавливаете новую копию Пассворка, оставьте все поля по умолчанию

После прохождения чек-листа будет предложено создать первого пользователя, для чего потребуется указать логин, пароль и адрес электронной почты для отправки уведомлений.

осторожно

Первый пользователь по умолчанию является локальным и владельцем Пассворка. В случае назначения владельцем LDAP/SSO пользователя, он автоматически станет локальным и вы не сможете авторизоваться.

8. Настройка доступа по HTTPS-протоколу

8.1 Генерация самоподписанного SSL-сертификата

Установить модуль SSL для Apache2:

shell

dnf install mod_ssl -y

Создать новую директорию для хранения закрытого ключа и сертификата:

shell

mkdir /etc/ssl/private

Сгенерировать самоподписанный сертификат X.509 для Apache2 с помощью OpenSSL:

shell

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -subj '/CN=your.domain.name' -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

осторожно

В поле Common Name (CN) важно указать IP-адрес вашего сервера или имя хоста, так как ваш сертификат должен соответствовать домену (или IP-адресу) для веб-сайта

Сгенерировать параметры Диффи-Хеллмана с длиной ключа 2048:

shell

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Добавить параметры Диффи-Хеллмана к самоподписанному сертификату:

shell

cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/apache-selfsigned.crt

Установить права доступа root пользователю для защиты закрытого ключа и сертификата:

shell

chmod 700 /etc/ssl/private

8.2 Настройка виртуального хоста для доступа по HTTPS-протоколу

Открыть конфигурационный файл для настройки HTTPS-протокола:

shell

nano /etc/httpd/conf.d/ssl.conf

Найти раздел, начинающийся с <VirtualHost _default_:443> и внести следующие изменения:

• Раскомментировать строку DocumentRoot и изменить путь на корневой каталог Пассворка /var/www/public;
• Раскомментировать строку ServerName и изменить www.example.com на IP-адрес или домен сервера (в зависимости от указанного значения в Common Name сертификата):

DocumentRoot /var/www/public
ServerName passwork.local:443

• Добавить директиву — <Directory> после ServerName:

<Directory /var/www/public>
    Options +FollowSymLinks -Indexes -MultiViews
    AllowOverride FileInfo
    Require all granted
</Directory>

• Закомментировать строки с SSLProtocol и SSLCipherSuite в конфигурации:

# SSLProtocol all -SSLv2
# SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

• Обновить пути к файлам сертификатов, которые были сгенерированы ранее:

shell

SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key

• Проверить, что файл конфигурации виртуального хоста соответствует примеру:

shell

Listen 443
<VirtualHost _default_:443>
    DocumentRoot /var/www/public
    ServerName passwork.local:443
    <Directory /var/www/public>
        Options +FollowSymLinks -Indexes -MultiViews
        AllowOverride FileInfo
        Require all granted
    </Directory>
    SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
    SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
</VirtualHost>

Перезапустить веб-сервер httpd.service:

bash

systemctl restart httpd.service

к сведению

Проверить подключение к Пассворку по HTTPS протоколу — https://passwork.local

8.3 Настройка Пассворка для работы по HTTPS-протоколу

При использовании защищенного SSL-соединения (HTTPS) клиентские браузеры требуют определенных флагов для обработки данных Пассворка.

Если флаги session.cookie_secure и disableSameSiteCookie не установлены, браузеры не смогут установить соединение, что может приведет к ошибкам авторизации.

Установить параметр session.cookie_secure в файле /etc/php.ini:

bash

sed -i '/session.cookie_secure =/c session.cookie_secure = On' /etc/php.ini

Установить параметр disableSameSiteCookie в /var/www/app/config/config.ini на значение Off:

bash

sed -i '/disableSameSiteCookie =/c disableSameSiteCookie = Off' /var/www/app/config/config.ini

к сведению

Не устанавливайте эти параметры или верните их в исходное значение, если вы передумаете использовать SSL и будете работать через HTTP-протокол

9. Настройка фоновых задач

Фоновые задачи — это задачи, которые выполняются по планировщику в фоновом режиме. Как настроить фоновые задачи.

осторожно

Фоновые задачи обязательны для корректной работы части функционала Пассворка, например:

• Работы LDAP;
• Отправки почтовых уведомлений;
• Загрузки фавиконов;
• Очистки коллекции session в базе данных Пассворка.

10. Настройка безопасности

осторожно

Перед изменением и настройке параметров безопасности, настоятельно рекомендуем убедиться в стабильной и корректной работе Пассворка, а также создать резервную копию файлов

Безопасность сервера является важной частью обеспечения защиты ценных данных и ресурсов компании. Это процесс, который требует планирования и исполнения, чтобы обеспечить максимальную защиту от различных угроз.

Ознакомиться с рекомендуемыми параметрами безопасности Пассворка.