Zprovoznění konektor serveru

Konektor server je volitelnou součástí instalace IAM appliance, k běžnému fungování není nutný. V případě složitějších nasazení, kdy se k identity manageru napojují systémy jako Microsoft Exchange nebo systémy spravované přes .exe aplikaci, je jeho použití nezbytné.

Kroky zprovoznění konektor serveru

  1. Instalace konektor serveru

  2. Přidání důvěryhodných certifikátů

  3. Nasazení konektorů

  4. (nepovinně) Nasazení WinRM skriptů

  5. Spuštění konektor serveru

  6. Integrace na úrovni IdM

Instalace konektor serveru

Pro instalaci konektor serveru je vhodné mít IAM appliance alespoň ve verzi 0.5. Potom konektor server nainstalujete pomocí příkazu dnf install iam-app-connector-server.

Při instalaci si služba vygeneruje heslo uložené v souboru /data/volumes/connector-server/secrets/cserver.pwfile. Toto heslo se nastavuje interně do služby při jejím startu a zároveň je potřeba ho zadat do CzechIdM v dalších krocích tohoto návodu.

Přidání důvěryhodných certifikátů

Konektor server je Java aplikace integrovaná s Python knihovnou pywinrm. Pro TLS zabezpečenou komunikaci je nutné dodat certifikáty, kterým má služba věřit.

Důvěryhodné certifikáty pro Java

Certifikáty jsou nahrávány z adresáře /data/volumes-shared/cacerts. Každý důvěřovaný certifikát musí být umístěn v samostatném souboru ve formátu PEM. Názvy souborů nesmí obsahovat mezery, znaky s diakritikou nebo speciální znaky.

Důvěryhodné certifikáty pro Python

Pokud nepoužíváte winrn-ad konektor, nebo v něm nevoláte WinRM skripty, můžete tuto část přeskočit.

Při používání WinRM je nutné do souboru /data/volumes/connector-server/winrm-cacert/winrm_ca.pem umístit certifikát CA ve formátu PEM. Do tohoto umístění nelze uložit přímo certifikát serveru, se kterým winrm komunikace probíhá, musí se jednat opravdu o certifikát CA. Komentáře (řádky začínající na #) ze souboru odstraňte. Pokud používáte více certifikačních autorit, umístěte do tohoto souboru postupně na samostatné řádky všechny jejich certifikáty ve formátu PEM (včetně hlaviček -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----).

Nasazení konektorů

Konektory jsou Java .jar balíčky. Potřebné konektory nahrajte do adresáře /data/volumes/connector-server/bundles. Konektor server si je při svém startu načte.

Nasazení WinRM skriptů

Pokud nepoužíváte winrn-ad konektor, nebo v něm nevoláte WinRM skripty, můžete tuto část přeskočit.

WinRM skripty jsou kombinací skriptů v jazycích Python a PowerShell a jejich nasazení je zpravidla nasazení cele struktury adresářů. Tuto strukturu adresářů nakopírujte do /data/volumes/connector-server/winrm-scripts. Konektor server si při svém startu na těchto souborech opraví vlastnictví a oprávnění dle potřeby.

Pokud konektor server již běží, změny na WinRM skriptech se projeví okamžitě.

Spuštění konektor serveru

Konektor server se ovládá stejně jako ostatní služby IAM appliance pomocí příkazu systemctl start/stop/restart iam-connector-server.service.

Automatické spouštění konektor serveru povolte příkazem systemctl enable iam-connector-server.service.

Integrace na úrovni IdM

Protože je služba konektor serveru volitelnou součástí IAM appliance, je nutné ji do identity manageru CzechIdM nutné dokonfigurovat ručně. Postupujte dle oficiálního návodu k identity manageru.

Jako umístění, kde služba konektor serveru běží, použijte:

Table 1. Informace pro napojení konektor serveru
Parametr Hodnota

Hostname

connector-server

Port

8759

Použít SSL

ne

Heslo

obsažené v souboru /data/volumes/connector-server/secrets/cserver.pwfile na disku IAM appliance