В компаниях с определенным уровнем секретности чаще работают на российской операционной системе Astra Linux, которая имеет сертификацию до уровня государственной тайны «особой важности». В таких организациях обычно используется закрытая информационная среда. При этих условиях одному из наших заказчиков требовалась настройка безопасных и изолированных окружений для разработки и эксплуатации интеграций.
У компании сложная структура: в разных отделах используют разные базы 1С, самописные сервисы, есть настроенная передача файлов через протокол SMB, при этом зачастую нет прямой сетевой связанности. В компании пользовались самописной шиной, однако была проблема с поддержкой. Чтобы настроить обмен, заказчик решил использовать DATAREON Platform.
Условия при работе в закрытом контуре:
- отсутствует доступ к интернету;
- любое дополнительное ПО или библиотеку нужно заранее скачивать, переносить вручную и устанавливать локально;
- привычных «быстрых» решений, вроде подключения по SSH или RDP, не было — все работы выполнялись непосредственно на площадке заказчика.
А теперь расскажу, какие нюансы были при настройке DEV и PROD окружения для разработки и эксплуатации.
Запуск от доменного пользователя
Требование заказчика заключалось в том, чтобы платформа работала не от локального, а от доменного пользователя. Это было связано с авторизацией в СУБД и доступом к SMB-ресурсам.
Как это работает в Windows
В Windows для этого достаточно указать пользователя при установке DATAREON Platform. Дальше система сделает все необходимое сама.
Как это работает в Astra Linux
В Linux пришлось добавить дополнительный сервисный процесс и настраивать Kerberos, чтобы программа подключалась к домен-контроллеру и получала токен авторизации нужного пользователя. На решение этой задачи ушло несколько часов. Для администратора с опытом работы в Linux это привычно, но если команда привыкла к Windows — процесс может затянуться.
Администраторы подготовили keytab-файл для автоматического входа пользователя. На машине с установленным DATAREON мы написали следующий systemd-сервис (/etc/systemd/system/kinit-username.service) для автоматического входа и продления токена доступа:
``` [Unit] Description=Kerberos autologin for username After=network.target [Service] Type=simple ExecStart=/usr/bin/kinit -k -t /etc/security/keytabs/username.keytab username@domain ExecStartPost=/usr/bin/krenew -K 60 -b RemainAfterExit=yes [Install] WantedBy=multi-user.target ```
Чтобы DATAREON запускался от имени данного пользователя, нужно было переопределить пользователя в сервисе, который запускает DATAREON: sudo systemctl edit platformmanager.service.
``` [Service] User=username@domain ```
Работа с сертификатами
DATAREON использует сертификаты в формате PFX, который является стандартом для Windows. Для Linux часто используют другой формат, например, PEM.
Как это работает в Windows
Формат PFX обрабатывается DATAREON напрямую, включает и публичную часть, и закрытый ключ.
Как это работает в Astra Linux
Для Linux администраторы подготовили два файла, которые пришлось объединять. Технически задача решается одной командой, но важно учесть её на этапе установки:
``` openssl pkcs12 -export -out cert.pfx -inkey key.pem -in cert.pem ```
Точки монтирования для подключения по SMB-протоколу
Проблема аналогичная проблеме с доменным пользователем: если в Windows настроить источник в виде общей папки довольно просто, то в Astra Linux для этого нужно совершить больше действий.
Как это работает в Windows
В Windows путь к расшаренной папке можно указать напрямую.
Как это работает в Astra Linux
В Linux пришлось дополнительно использовать сервис Samba, который выполняет монтирование внешней расшаренной папки в файловую систему Linux, что позволяет остальным программам обращаться к файлам в расшаренной папке как к простым файлам на диске. После этого в DATAREON Platfrom прописывается путь к точке монтирования.
Для автоматического монтирования SMB-шары к файловой системе Linux следует:
1. Заполнить файл с данными авторизации /etc/samba/credentials:
``` username=ЛОГИН password=ПАРОЛЬ domain=ДОМЕН ```
2. Прописать адрес шары и точку монтирования в /etc/fstab:
``` //server/share /mnt/smb cifs credentials=/etc/samba/credentials 0 0 ```
3. Затем можно смонтировать вновь добавленную шару: sudo mount -a. При перезапуске системы монтирование будет выполняться автоматически.
В DATAREON должна быть указана точка монтирования.
Выводы
Развернуть DATAREON Platform на Astra Linux технически несложно: установка выполняется в одну-две команды. Основные проблемы связаны с особенностями корпоративной инфраструктуры, а также с тем, чтобы найти грамотного системного администратора, который будет решать возникающие вопросы. Ведь для тех, кто привык работать в Windows, эти задачи могут показаться сложнее, чем они есть на самом деле.
Недавно мы выпустили большой документ «Обзор российских ESB-решений», где собраны полезные материалы и все готовые обзоры. Будет интересно ИТ-директорам, архитекторам, разработчикам. Про DATAREON Platform там, кстати, тоже есть обзор.
Для всех, кто интересуется шинами данных, у нас есть сообщество в Телеграме «Шины не для машины». Это площадка для диалога между российскими разработчиками ESB и компаниями, которым нужна интеграционная шина. Если вы хотите узнать больше о DATAREON Platform, «1С:Шине», Factor-ESB и других отечественных решениях, вступайте в сообщество и задавайте вопросы.
