1.9.Установка и настройка сервисов
1. Установить необходимые пакеты
$ sudo apt-get install openjdk-6-jdk libapache2-mod-jk tomcat7 tomcat7-user
2. При необходимости установить КриптоПро используя jre из пакета openjdk-6-jdk. Например,
$ chmod a+x install.sh
$ sudo ./install.sh /usr/lib/jvm/java-6-openjdk-$(dpkg-architecture -qDEB_BUILD_ARCH)/jre
настроить КриптоПро JCP с использованием актуальных ключей и носителей, используя jre из пакета openjdk-6-jdk. Вызвать панель управления КриптоПро
$sudo ./ControlPane.sh /usr/lib/jvm/java-6-openjdk-$(dpkg-architecture -qDEB_BUILD_ARCH)/jre
В панели управления настроить контейнер с ключом.
Если ключи располагаются на диске в виде контейнера с файлами, то нужно дать права доступа на каталог и все файлы.
3. Распаковать содержимое архива tomcat7.zip в одну директорию с исходными кодами ЛОД
$ unzip tomcat7.zip
4. Поправить пути до JDK и tomcat7 в скриптах управления локальной копией tomcat в каталоге tomcat7/bin/
5. Настроить контекст tomcat в конфигурационных файлах в каталоге tomcat7/conf/:
5.1. context.xml:
jdbc/ru.lanit.ws.datasource - настройки подключения к БД
ru.lanit.ws.keystore.path - тип хранилища ключей КриптоПро
ru.lanit.ws.keyalias.name - имя контейнера с ключами
ru.lanit.ws.keypassword.value - пароль от контейнера
ru.lanit.ws.service.mediaroot - путь к каталогу медиа-файлов ЛОДа
ru.lanit.ws.smev.timerPeriod - интервал автообновления данных из базы для сервиса открытых данных (в милисекундах)
5.2 server.xml - прописать уникальные в рамках сервера порты: shutdown, http, ajp
6. Убедиться, что порты в конфиге ЛОДа совпадают с портами в конфигурационных файлах tomcat:
6.1 lod/conf.py - SERVICE_PORT_MEZHVED должен соответствовать HTTP порту конфигурационного файла server.xml tomcat
6.2 lod/httpd.conf - worker.lod_minec_prod.port должен соответствовать AJP порту конфигурационного файла server.xml tomcat
7. Запустить экземпляр сервера tomcat и перезапустить apache
$ tomcat7/bin/startup.sh
$ sudo service apache2 restart
8. После выполнения вышеперечисленных действий, сервисы будут доступны по адресам:
8.1. Сервис приема заявлений с ПГУ.
Описание сервиса: http://<сервер>/service/pgu/pgu_service.wsdl
Сервис: http://<сервер>/service/pgu/
1.10.Настройка модуля ЕСИА
Для настройки модуля ЕСИА, необходимо прописать настройки в файле conf_esia.py. Путь к файлу конфигурации: home//lod/esia.
1. Конфигурирование ключей для работы с ЕСИА:
1.1. В каталог home//lod/esia необходимо скопировать файл с приватным ключом и файл с сертификатом в формате pem.
1.2. Необходимо прописать названия файлов в конфигурационном файле.
Закрытая часть ключа прописывается в секции: 'key_file'. Открытая часть – в секции: 'cert_file'. Пример:
'key_file': path.join(BASEDIR, 'myesia.key'), # private part
'cert_file': path.join(BASEDIR, 'myesia.pem'), # public part
2. Указать модулю ЕСИА файл с метаданными поставщика идентификации. По умолчанию в комплект поставки системы входит файл с метаданными тестового поставщика идентификации ЕСИА, указанного в методических рекомендациях по интеграции с ЕСИА. Что бы указать метаданные поставщика идентификации нужно сохранить его в каталоге модуля esia и прописать ссылку на него в конфигурационном файле в секции ‘metadata’ подсекция ‘local’
Пример:
'metadata': {
'local': [path.join(BASEDIR, 'shibboleth.xml')],
},
3. Указываем имя поставщика услуг, которое выдается при регистрации системы в ЕСИА. Секция 'entityid'.
Пример: 'entityid': 'http://saml76.195.26.167.126'
4. Настраиваем урл’ы поставщика услуг (ЛОД). В секции 'service' в подсекции 'sp' два узла отвечают за настройку урл’ов:
'assertion_consumer_service' – урл, на который служба ЕСИА присылает ответ на запрос авторизации;
'assertion_consumer_service' – урл на который служба ЕСИА присылает ответ на запрос авторизации;
'single_logout_service' – урл на который ЕСИА присылает ответ на запрос разрыва соединения – logout.
Пример:
'sp' : {
'name': 'lod',
'endpoints': {
'assertion_consumer_service': [
('http://<сервер>/esia/acs/',
saml2.BINDING_HTTP_POST),
],
'single_logout_service': [
('http:// <сервер>/esia/ls/',
saml2.BINDING_HTTP_REDIRECT),
],
},
5. Настраиваем урл’ы поставщика идентификации. В секции 'service' в подсекции 'idp' два узла отвечают за настройку урл’ов:
'single_sign_on_service' – урл на который отправляется запрос на авторизацию. По-умолчанию указывает на URL тестовой ЕСИА, в соответствии с методическими рекомендациями по интеграции с ЕСИА.
Пример:
'https://demo1-esia.gosuslugi.ru/idp/shibboleth': {
'single_sign_on_service': {
saml2.BINDING_HTTP_REDIRECT: 'https://demo1-esia.gosuslugi.ru/idp/profile/SAML2/Redirect/SSO',
},
'single_logout_service': {
saml2.BINDING_HTTP_REDIRECT: 'https://demo1-esia.gosuslugi.ru/idp/profile/SAML2/Redirect/SLO',
},
},
6. Данные о компании и контактных лицах. Секция 'contact_person' – контактные лица, где:
'company' – имя компании
'email_address' – электронный адрес контактного лица.
'contact_type' – тип контактного лица
Секция 'organization' – данные о компании, где:
'name' – имя компании
'display_name' – имя компании
'url' – урлкомании
Пример:
'contact_person': [
{'company': '<организация>',
'email_address': 'admin@<организация>.ru',
'contact_type': 'technical'},
],
'organization': {
'name': [('<организация>', 'en')],
'display_name': [('<организация>', 'en')],
'url': [('http:// <организация>.ru', 'en')],
},
7. Метаданные поставщика услуг
Для того чтобы сформировать метаданные поставщика услуг необходимо перейти по адресу: http://<сервер>/esia/metadata/.
Эти метаданные необходимо предоставить при регистрации системы.
|
