Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Руководство по установке

Версия Termit: 2.2

Аннотация

В этом документе содержится информация и процедуры для администраторов.

1. Руководство по установке

В этом руководстве подробно описано, как системным администраторам установить систему терминального доступа «Термит» (СТД «Термит»). Это поможет избежать ошибок, ускорить процесс развертывания и обеспечить корректную работу системы после установки.

Руководство содержит информацию о необходимых компонентах, требованиях к системе, процессе установки, настройке параметров и других важных аспектах работы с системой.

Ссылки на разделы:

2. Подготовка окружения

Перед развертыванием СТД «Термит» подготовьте окружение:

  1. Проверьте, что подсети Docker Compose не пересекаются с сетями для серверов баз данных, LDAP-каталогов, терминалов и брокеров. Подробнее в статье Ошибки при пересечении IP-адресов между Docker и хост-системой.

  2. Разверните отдельные серверы:

    • для брокеров.

      Количество брокеров зависит от типа развертывания:

      • для «Standalone» необходим один брокер;

      • для «High Availability» необходимо три брокера.

    • для терминальных серверов под управлением Windows или Linux в зависимости от требований;

    • (Опционально) для сервера баз данных. Можно использовать существующий сервер.

  3. Проверьте доступ к службе каталогов и PostgreSQL.

  4. Добавьте терминальные серверы в домен службы каталогов.

  5. В каталоге пользователей создайте сервисную учетную запись для синхронизации объектов из службы каталогов. Обязательно отключите опцию «User must change password at next logon» и включите «Password never expires».

  6. В каталоге пользователей создайте группы безопасности для назначения ролей: администратора, технической поддержки и пользователя, в соответствии с требованиями вашей компании.

  7. В каталоге пользователей добавьте в состав групп, созданных на предыдущем шаге, учетные записи пользователей для взаимодействия с СТД «Термит».

3. Настройка межсетевого экрана

В этом разделе описано, как настроить межсетевой экран (МСЭ).

РЕД ОС

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo systemctl status firewalld.service

Если в выводе команды отображается информация, как на изображении ниже, то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

s  code1

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого:

  1. Определите активную зону МСЭ с помощью команды:

    firewall-cmd --get-default-zone
  2. Добавьте правила по списку портов в необходимую активную зону с помощью команды:

    sudo firewall-cmd --zone=%Активная_Зона% --permanent --add-port=%Порт%/tcp

    Где:

Astra Linux

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo ufw status

Если выполнение команды возвращает ответ «Status: inactive», то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого добавьте разрешения командой:

sudo ufw allow %Порт%/tcp

Где: %Порт% — необходимый порт. Список портов смотрите в разделе Порты.

ALT Linux

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo efw

Если выполнение команды возвращает ответ «Firewall is disabled», то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого добавьте правила. В зависимости от используемого МСЭ команды могут отличаться. Подробнее о создании правил МСЭ описано в статьях Etcnet Firewall и UFW.

Windows

Чтобы настроить межсетевой экран на сервере:

  1. Откройте любым способом Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

  2. Выберите Правила для входящих подключений.

    s  firewall
  3. Нажмите Создать правило.

  4. На вкладке Тип правила включите опцию Для порта.

  5. Нажмите Далее.

  6. На вкладке Протокол и порты оставьте Протокол TCP по умолчанию. В параметре Определенные локальные порты: укажите «8443». Полный список портов смотрите в разделе Порты.

  7. Нажмите Далее  Далее  Далее.

  8. На вкладке Имя задайте имя, например «Termit Agent».

Можно создать правило в межсетевом экране с помощью PowerShell:

New-NetFirewallRule -DisplayName "termit-agent TCP 8443" -Direction inbound -Profile Any -Action Allow -LocalPort 8443 -Protocol TCP

4. Базовая конфигурация базы данных

  1. Повторное использование базы данных для новой инсталляции невозможно.

  2. Не поддерживается развертывание БД и брокера на одном сервере.

В этом разделе представлена базовая информация по подготовке сервера баз данных PostgreSQL.

РЕД ОС

В этой инструкции используется последняя доступная версия СУБД PostgreSQL 15. В случае если используется другая версия, то выполняемые команды необходимо изменить. Более подробно можно ознакомиться на сайте документации РЕД ОС.

  1. Установите PostgreSQL с помощью команды:

    sudo dnf install postgresql15-server
  2. Инициализируйте базу данных с помощью команды:

    sudo postgresql-15-setup initdb
  3. Запустите сервис PostgreSQL с помощью команды:

    sudo systemctl enable postgresql-15.service --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf параметр listen_addresses должен соответствовать значению '*':

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  bd1

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  bd2

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  7. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  8. Запустите командную оболочку postgres с помощью команды:

    psql
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Установите права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql-15.service
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql-15.service

Astra Linux

В случае инсталляций в режиме контроля мандатного доступа («Воронеж» и «Смоленск») может потребоваться дополнительная конфигурация операционной системы. Подробнее о настройках PostgreSQL и мандатном управлении доступа.

  1. Установите PostgreSQL из репозитория с помощью команды:

    sudo apt install postgresql-11
  2. Проверьте статус сервиса PostgreSQL с помощью команды:

    sudo systemctl status postgresql
  3. При необходимости запустите сервис с помощью команды:

    sudo systemctl start postgresql
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /etc/postgresql/11/main/postgresql.conf параметр listen_addresses должен соответствовать значению '*':

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  bd3

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /etc/postgresql/11/main/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /etc/postgresql/11/main/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  bd4

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  7. Чтобы разрешить удаленное подключение к СУБД пользователю в режиме контроля мандатного доступа, в параметре zero_if_notfound задайте значение yes в файле /etc/parsec/mswitch.conf:

    s  bd5
  8. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  9. Запустите командную оболочку postgres с помощью команды:

    psql
  10. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Установите права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

Debian

  1. Установите сервис PostgreSQL с помощью команды:

    sudo apt install postgresql-15
  2. Проверьте статус сервиса с помощью команды:

    sudo systemctl status postgresql
  3. При необходимости запустите сервис с помощью команды:

    sudo systemctl enable postgresql --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /etc/postgresql/15/main/postgresql.conf, в параметре listen_addresses должно быть значение '*':

    s  debian1
  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /etc/postgresql/15/main/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД, добавьте в файл конфигурации /etc/postgresql/15/main/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password
  7. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  8. Запустите командную оболочку postgres с помощью команды:

    psql
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Установите права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
  10. Перезапустите сервис PostgreSQL с помощью команды:

    sudo systemctl restart postgresql

ALT Linux

Подробнее об установке PostgreSQL можно прочесть на официальном сайте ALT Linux.

  1. Установите компоненты PostgreSQL с помощью команды:

    sudo apt-get install postgresql11-server
  2. Инициализируйте сервер БД с помощью команды:

    sudo /etc/init.d/postgresql initdb
  3. Запустите и добавьте автозапуск с помощью команды:

    sudo systemctl enable postgresql --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр listen_addresses должен соответствовать значению '*'.

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  sql1
  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  sql2
  7. Перезапустите сервис с помощью команды:

    sudo systemctl restart postgresql
  8. Перейдите в консоль управления БД с помощью команды:

    psql -U postgres
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Установите права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

OpenSUSE

  1. Установите компоненты PostgreSQL с помощью команды:

    При необходимости измените версию PostgreSQL.

    sudo zypper install postgresql postgresql-server postgresql-contrib
  2. Запустите и добавьте автозапуск с помощью команды:

    sudo systemctl enable postgresql --now
  3. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/data/postgresql.conf, параметр listen_addresses должен соответствовать значению '*'.

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  sql3
  4. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  5. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  sql4
  6. Перезапустите сервис с помощью команды:

    sudo systemctl restart postgresql
  7. Проверьте статус сервиса с помощью команды:

    sudo systemctl status postgresql

    Статус должен быть «Active».

    s  sql5
  8. Перейдите в консоль управления БД с помощью команды:

    psql -U postgres
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Установите права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

5. Установка балансировщика нагрузки

В этом разделены приведены инструкции по созданию балансировщика нагрузки с высокой доступностью, используя HAProxy и Keepalived. Эти инструменты помогут вам разработать отказоустойчивую архитектуру: она обеспечит минимальное время простоя и повысит производительность системы.

Если вы планируете конфигурацию с одним брокером, то пропустите установку балансировщика нагрузки и перейдите к установке брокера.

В текущей реализации поддерживается только TCP-балансировка нагрузки, то есть балансировщик должен работать в режиме SSL Passthrough.

Ниже приведены инструкции по установке и настройке HAProxy и Keepalived. Вы можете использовать другой балансировщик нагрузки, однако убедитесь, что он настроен для работы в режиме SSL Passthrough.

Перейти к:

6. Установка брокера

В этом разделе описаны шаги по установке и первичной настройке сервера с ролью брокер, входящего в состав СТД «Термит».

РЕД ОС

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo dnf install docker-ce docker-ce-cli docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  5. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «High Availability» (HA)), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

  • Подробнее о настройках компонентов операционной системы можно прочесть на официальном сайте Astra Linux.

Astra Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl start docker
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  5. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

  • Подробнее о настройках компонентов операционной системы можно прочесть на официальном сайте Astra Linux.

Debian

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  4. Запустите установку с помощью команды:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  8. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  9. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

ALT Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt-get install docker-ce docker-compose
    s  broker
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Распакуйте архив с помощью команды:

    unzip ./termit-2.1*.*-*.zip
  4. Запустите установку с помощью команды:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  8. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  9. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

  • Подробнее о настройках компонентов операционной системы можно прочесть на официальном сайте Astra Linux.

OpenSUSE

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo zypper install docker docker-compose docker-compose-switch
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip ./termit-2.1*.*-*.zip
  5. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

  • Подробнее о настройках компонентов операционной системы можно прочесть на официальном сайте Astra Linux.

7. Установка дополнительного брокера

В этом разделе описано, как установить второй и следующие брокеры.

Перед добавлением брокеров скопируйте дистрибутив на сервер, распакуйте архив и подготовьте ключ шифрования. Рекомендуется создать три брокера для повышения отказоустойчивости, так как:

  • если один из брокеров выйдет из строя, то другие продолжат работать, обеспечивая бесперебойную работу системы;

  • вероятность одновременного сбоя сразу трех брокеров гораздо ниже, что делает систему более устойчивой к неполадкам.

РЕД ОС

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo dnf install docker-ce docker-ce-cli docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

Astra Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl start docker
  3. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

Debian

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

ALT Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt-get install docker-ce docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

OpenSUSE

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo zypper install docker docker-compose docker-compose-switch
  2. Запустите службу с помощью команды:

    sudo systemctl enable docker --now
  3. При необходимости выдайте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

8. Установка дополнительного ПО на терминальный сервер

Перед установкой агента на терминальный сервер необходимо установить дополнительное ПО на терминальный сервер.

РЕД ОС

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод РЕД ОС в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. Чтобы установить Java 11 на терминальный сервер, выполните команду:

    sudo dnf install java-11-openjdk
  3. Чтобы изменить версию Java, используемую по умолчанию, выполните команду:

    sudo alternatives --config java

    И выберите пункт меню, соответствующий Java 11.

  4. Чтобы установить X2Go server на терминальный сервер, выполните команду:

    sudo dnf install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver x2goagent
  5. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo dnf install cifs-utils
  6. Установите агент, используя скрипт, полученный при создании сервера.

Astra Linux

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Astra Linux в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. В файле конфигурации /etc/systemd/logind.conf, в параметре KillUserProcesses задайте значение no для корректной работы переподключения сессии и перезагрузите терминальный сервер.

    s  kill user
  3. Установите компоненты OpenJDK с помощью команды:

    sudo apt install openjdk-11-jdk

    Подробнее об установке OpenJDK можно прочесть на официальном сайте Astra Linux.

  4. В случае если ранее были установлены другие версии OpenJDK, выполните дополнительную конфигурацию, выбрав установленную 11 версию с помощью команды:

    sudo update-alternatives --config java
  5. Установите компоненты X2Go сервера с помощью команды:

    sudo apt install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver-x2goagent
  6. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt update
    sudo apt install --only-upgrade cifs-utils
  7. Установите агент, используя скрипт, полученный при создании сервера.

  8. Установите пакет xprintidle из репозитория Debian:

    1. Чтобы добавить репозиторий Debian 10 (замените «buster» на кодовое имя версии Debian, которую вы хотите использовать) и автоматического создания файла debian.list, выполните команду:

      echo "deb http://deb.debian.org/debian buster main" | sudo tee -a /etc/apt/sources.list.d/debian.list

      Эта команда создаст файл debian.list в директории /etc/apt/sources.list.d/, если ранее он не был создан, и добавит указанную строку в файл.

  9. Чтобы добавить отсутствующие GPG-ключи для репозиториев Debian, выполните команду:

    sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 648ACFD622F3D138 0E98404D386FA1D9 DCC9EFBF77E11517
  10. Обновите список пакетов с помощью команды:

    sudo apt update
  11. Установите xprintidle с помощью apt:

    sudo apt install xprintidle
  12. При необходимости удалите репозиторий Debian. Это поможет избежать конфликтов в будущем:

    sudo rm /etc/apt/sources.list.d/debian.list
    sudo apt update

Debian

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Debian в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. Установите компоненты OpenJDK с помощью команды:

    sudo apt install openjdk-17-jdk
  3. В случае если ранее были установлены другие версии OpenJDK, выполните дополнительную конфигурацию, выбрав установленную 17 версию с помощью команды:

    sudo update-alternatives --config java
  4. Установите компоненты X2Go сервера с помощью команды:

    sudo apt install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver-x2goagent
  5. Установите пакет xprintidle с помощью команды:

    sudo apt install xprintidle
  6. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt update
    sudo apt install --only-upgrade cifs-utils
  7. Установите агент, используя скрипт, полученный при создании сервера.

ALT Linux

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод ALT Linux в домен.

  1. В файле конфигурации sshd (/etc/openssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. В файле конфигурации /etc/systemd/logind.conf, в параметре KillUserProcesses задайте значение no для корректной работы переподключения сессии и перезагрузите терминальный сервер.

  3. Установите компоненты Java с помощью команды:

    sudo apt-get install java-11-openjdk
  4. Установите компоненты X2Go сервера с помощью команды:

    sudo apt-get install x2goserver-xsession x2goserver-fmbindings x2goserver-x2goagent
  5. Добавьте X2Go в автозапуск с помощью команды:

    sudo systemctl enable x2goserver --now
  6. Установите пакет xprintidle с помощью команды:

    sudo apt-get install xprintidle
  7. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt-get update
    sudo apt-get install cifs-utils
  8. Установите агент, используя скрипт, полученный при создании сервера.

Windows

  1. Для Windows Server 2012R2 и Windows Server 2016 (редакции ниже 1803) необходимо:

    1. Установить утилиту curl.

    2. Установочные файлы из архива curl, из каталога bin, разместить в системной директории C:\Windows\system32.

    3. Установить Latest Microsoft Visual C++ Redistributable Version.

  2. Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Windows в домен.

  1. Включите роль «Remote Desktop Session Host» («Узел сеансов удаленных рабочих столов»):

    1. Откройте Диспетчер серверов  Панель мониторинга.

    2. В правом верхнем углу нажмите Управление.

    3. Выберите Добавить роли и компоненты.

    4. Нажмите Далее.

    5. На вкладке Тип установки оставьте по умолчанию опцию Установка ролей и компонентов.

    6. Нажмите Далее.

    7. На вкладке Выбор сервера оставьте по умолчанию Выберите сервер из пула серверов.

    8. Нажмите Далее.

    9. На вкладке Роли сервера включите опцию Службы удаленных рабочих столов.

    10. Нажмите Далее  Далее  Далее.

    11. На вкладке Службы ролей включите опцию Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) и нажмите Добавить компоненты.

    12. Нажмите Далее  Установить.

      После установки и добавления роли перезагрузите ВМ.

  2. Включите политику «Разрешить удаленный запуск любых программ» и выключите политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов»:

    1. Откройте консоль MMC.

    2. В левом верхнем углу нажмите Файл и выберите Добавить или удалить оснастку.

      s  politics2
    3. В доступных оснастках выберите Редактор объектов групповой политики.

    4. В параметре Объект групповой политики оставьте по умолчанию Локальный компьютер.

      Параметры ниже могут быть настроены с использованием групповой политики или локальной.

    5. Нажмите Готово  ОК.

    6. Раскройте Политика «Локальный компьютер».

    7. Раскройте Конфигурация компьютера  Административные шаблоны  Компоненты Windows.

      s  politics3
    8. Выберите Службы удаленных рабочих столов  Узел сеансов удаленных рабочих столов  Подключения.

      s  politics1
    9. Нажмите два раза левой кнопкой мыши на политику «Разрешить удаленный запуск любых программ».

    10. Активируйте опцию Включено и нажмите ОК.

    11. Нажмите два раза левой кнопкой мыши на политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов».

    12. Активируйте опцию Отключено и нажмите ОК.

    13. Откройте cmd.exe и примените политики с помощью команды gpupdate /force или перезагрузите сервер.

      После успешной операции в выводе команды появится сообщение «Computer Policy update has completed successfully».

  3. Настройте разрешение на подключение пользователей по RDP:

    1. Удобным способом откройте Управление компьютером.

    2. Выберите Локальные пользователи и группы.

      s  comp
    3. Выберите Группы  Пользователи удаленного рабочего стола.

    4. Двойным кликом мыши нажмите на Пользователи удаленного рабочего стола.

    5. Нажмите Добавить.

    6. В поле Введите имена выбираемых объектов (примеры): введите Пользователи домена.

    7. Нажмите ОК  ОК.

  4. Установите агент, используя скрипт, полученный при создании сервера.

OpenSUSE

В этой инструкции приведен пример установки пакета для X2Go, скачанного по этой ссылке.

  • В репозиториях OpenSUSE нет официального пакета для X2Go. Есть только экспериментальная версия, доступная по ссылке.

  • Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод OpenSUSE в домен.

  1. Установите компоненты OpenJDK с помощью команды:

    sudo zypper install java-11-openjdk
  2. В случае если ранее были установлены другие версии OpenJDK, выполните дополнительную конфигурацию, выбрав установленную 11 версию с помощью команды:

    sudo alternatives --config java
  3. Добавьте репозиторий X2Go с помощью команды:

    sudo zypper addrepo https://download.opensuse.org/repositories/X11:RemoteDesktop:x2go/15.5/X11:RemoteDesktop:x2go.repo
  4. Обновите репозиторий с помощью команды:

    sudo zypper refresh
  5. Установите компоненты X2Go сервера с помощью команды:

    sudo zypper install x2goserver
  6. Добавьте X2Go в автозапуск с помощью команды:

    sudo systemctl enable x2goserver.service --now
  7. Проверьте статус службы x2goserver с помощью команды:

    sudo systemctl status x2goserver.service

    Статус должен быть «Active»:

    s  install opensuse2
  8. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo zypper install cifs-utils
  9. Установите агент, используя скрипт, полученный при создании сервера, добавив в конце параметр /etc/systemd/system/.

    Пример скрипта:

    rm -f ./agent-installer && wget --no-check-certificate https://<FQDN брокера/балансировщика>/dist/agent-installer -O agent-installer && sudo chmod +x agent-installer && sudo ./agent-installer install https://<FQDN брокера/балансировщика> <секрет> /etc/systemd/system/

    Последний параметр является опциональным и указывается в тех случаях, когда каталог systemd отсутствует в директории /lib (то есть не существует пути /lib/systemd/system/, необходимого для установки агента) и находится по другому пути. В случае OpenSUSE для доступа к каталогу systemd необходимо указывать путь /etc/systemd/system/ в конце скрипта, иначе агент не будет установлен.

    Пример:

    s  install opensuse3

9. Установка шлюза удаленного доступа

В этом разделе описано, как установить шлюз удаленного доступа для аутентификации по LDAP.

  1. Установите компонент openssh-server:

    РЕД ОС
    sudo dnf install openssh-server
    Astra Linux
    sudo apt install openssh-server
    Debian
    sudo apt install openssh-server
    OpenSUSE
    sudo zypper install openssh-server
    ALT Linux
    sudo apt-get install openssh-server
  2. Настройте шлюз удаленного доступа через ввод в домен. Подробнее о вводе в домен смотрите в статье на сайтах:

По умолчанию при потере соединения сессия остается в статусе «Активная».

Чтобы изменить поведение сессии и перевести ее в статус «Отключена» в панели администрирования, необходимо в файле конфигурации шлюза удаленного доступа /etc/ssh/sshd_config изменить параметры ClientAliveInterval и ClientAliveCountMax.

Пример:

  • ClientAliveInterval — 15

  • ClientAliveCountMax — 3

Сессия переходит в статус «Отключена» через 45 секунд.

10. Установка десктоп-клиента

Чтобы установить десктоп-клиент:

  1. В браузере, в адресной строке введите адрес, по которому доступна СТД «Термит», например https://broker.example.com.

  2. Введите имя пользователя и пароль.

    Пользователь входит под доменной учетной записью. Атрибут для имени пользователя указан в настройках LDAP раздел тип LDAP в графе «Атрибут, используемый для поиска пользователя».

Windows

  1. В левом меню выберите раздел Скачать клиент.

  2. Скачайте Термит клиент для Windows 7/8.1 или Термит клиент для Windows 10/11 и установите его.

    Также можно установить десктоп-клиент в «тихом» режиме. Информация о ходе выполнения отображаться не будет. Для установки в таком режиме добавьте параметр /S. "%путь до exe файла%\termit-desktop-2...exe" /S.

Linux

Astra Linux

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Скачайте Термит клиент для Linux deb.

  2. Установите клиент Термит:

    sudo apt install ./termit-desktop-2.*.*-amd64.deb

    Где:

    ./termit-desktop-2..-amd64.deb — название файла.

Установка в ЗПС

  1. Перед установкой поместите публичный (открытый) ключ, скачанный с брокера по пути https://broker.example.com/dist/termit_astra.key, в директорию /etc/digsig/keys с помощью команды:

    sudo cp %Путь_к_Открытому_Ключу% /etc/digsig/keys
  2. Обновите ключи с помощью команды:

    sudo update-initramfs -u -k all
  3. Перезагрузите ПК.

  4. Включите режим замкнутой программой среды (ЗПС), если не был включен ранее:

    zpc
  5. Установите десктоп-клиент в обычном режиме.

    При отображении «Ошибка сегментирования» ключ не может быть считан.

РЕД ОС

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Скачайте Термит клиент для Linux rpm и выполните шаги по установке.

  2. Обновите репозиторий с помощью команды:

    sudo dnf update
  3. Установите десктоп-клиент:

    sudo dnf install ./termit-desktop-2.*.*-amd64.rpm

    Где:

    ./termit-desktop-2..-amd64.rpm — название файла.

ALT Linux

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Скачайте Термит клиент для Linux rpm.

  2. Обновите репозиторий с помощью команды:

    sudo apt-get update
  3. Установите десктоп-клиент:

    sudo apt-get install ./termit-desktop-2.*.*-amd64.rpm
  4. Для корректного запуска десктоп-клиента установите бит setuid:

    sudo chmod 4755 /opt/Термит/chrome-sandbox

MacOS

  1. Скачайте Термит клиент для Mac OS и выполните шаги по установке.

  2. Скачайте Клиент X2Go для Mac OS, соответствующий вашей ОС, и выполните шаги по установке.

  3. Скачайте XQuartz и выполните шаги по установке.

  4. Скачайте и установите приложение Microsoft Remote Desktop из App Store или с сайта macadmins.software, нажав на значок напротив «Remote Desktop Standalone Installer».

    При подключении к сессии на терминальном сервере Windows будет открыто приложение Microsoft Remote Desktop и окно для ввода пароля. После ввода пароля запустится сессия. Во время сессии завершать работу приложения Microsoft Remote Desktop нельзя, так как это приведет к отключению от сессии.

Перед запуском десктоп-клиента в настройках необходимо разрешить использование СТД «Термит». Для этого выберите в меню Apple  Системные настройки, затем в боковом меню нажмите Конфиденциальность и безопасность, прокрутите вниз до параметра Разрешить использование приложений, загруженных из: и выберите App Store и от подтвержденных разработчиков.

11. Установка сертификата на десктоп-клиент

Для успешного подключения к СТД «Термит» необходимо, чтобы используемый корневой сертификат был добавлен в список доверенных на десктоп-клиенте.

Windows

  1. Запустите сертификат двойным нажатием на него и выберите опцию Установить сертификат.

  2. Выберите опцию Текущий пользователь:

    При работе с правами администратора установка возможна в хранилище сертификатов компьютера (для всех пользователей).

  3. Выберите опцию Поместить все сертификаты в следующие хранилище, нажмите Обзор и выберите Доверенные корневые центры сертификации.

    При наличии промежуточного центра сертификации повторите шаги выше, выбрав хранилище Промежуточные центры сертификации на шаге 3.

  4. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

РЕД ОС

  1. Скопируйте файл корневого сертификата в каталог /etc/pki/ca-trust/source/anchors/ с помощью команды:

    sudo cp %Путь_к_сертификату% /etc/pki/ca-trust/source/anchors/

    Где: %Путь_к_сертификату% — полный путь к файлу сертификата в формате PEM.

  2. Чтобы применить изменения, выполните команды:

    sudo update-ca-trust force-enable
    sudo update-ca-trust extract
  3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Astra Linux

Сертификат должен быть в формате CRT.

Если формат сертификата отличается, необходимо выполнить его конвертацию используя утилиту openssl, например:

  • Если сертификат имеет кодировку DER:

    openssl x509 -inform DER -in %Исходный_Сертификат% -out %Конечный_Сертификат%
  • Если исходный сертификат имеет кодировку PEM:

    openssl x509 -inform PEM -in %Исходный_Сертификат% -out %Конечный_Сертификат%

    Где:

    • %Исходный_Сертификат% — путь к исходному сертификату «certificate.cer».

    • %Конечный_Сертификат% — путь к конечному сертификату, например «certificate.crt».

      1. Скопируйте полученные выше сертификаты в каталог /usr/local/share/ca-certificates с помощью команды:

        sudo cp %Путь_к_сертификату% /usr/local/share/ca-certificates

        Где: %Путь_к_сертификату% — полный путь к файлу сертификата.

      2. Чтобы применить изменения, выполните команду:

        sudo update-ca-certificates
      3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

ALT Linux

Подробнее об установке сертификата можно прочесть на официальном сайте.

  1. Скопируйте корневой сертификат в хранилище сертификатов с помощью команды ниже. Сертификат должен быть в формате .CRT.

    sudo cp %путь_к_сертификату% /etc/pki/ca-trust/source/anchors/
  2. Обновите хранилище сертификатов с помощью команды:

    sudo update-ca-trust

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

OpenSUSE

  1. Скопируйте файл корневого сертификата в каталог /etc/pki/trust/anchors с помощью команды:

    sudo cp %Путь_к_сертификату% /etc/pki/trust/anchors

    Где: %Путь_к_сертификату% — полный путь к файлу сертификата в формате PEM.

  2. Обновите хранилище сертификатов с помощью команды:

    sudo update-ca-certificates
  3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

MacOS

  1. Запустите сертификат двойным нажатием на него, сертификат будет добавлен в приложение Связка ключей.

  2. Найдите в приложении добавленный сертификат или цепочку сертификатов.

  3. Укажите необходимый уровень доверия.

12. Выпуск самоподписанного сертификата

12.1. Создание корневого сертификата (CA)

Ниже описано, как создать корневой сертификат с помощью OpenSSL.

  1. Создайте закрытый ключ корневого сертификата с помощью команды:

    openssl genrsa -out ca.key 4096
  2. Создайте корневой сертификат на основе закрытого ключа с помощью команды:

    openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pem

    При появлении запроса введите пароль для закрытого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN.

    Результат:

    • ca.key — закрытый ключ корневого сертификата;

    • ca.cert.pem — корневой сертификат.

12.2. Создание сертификата сервера

Ниже описано, как создать сертификат сервера с помощью OpenSSL.

  1. Создайте закрытый ключ сертификата сервера с помощью команды:

    openssl genrsa -out server.key 4096
  2. Создайте запрос на подпись сертификата на основе закрытого ключа с помощью команд:

    openssl req -new -key server.key -out server.csr -addext "subjectAltName = DNS:broker.example.com"
    openssl x509 -req -days 365 -in server.csr -CA ca.cert.pem -CAkey ca.key -CAcreateserial -out server.crt -extfile <(printf "subjectAltName=DNS:broker.example.com")

    При появлении запроса введите пароль для корневого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN. CN должно соответствовать DNS-имени сервера, например broker.example.com.

  3. Выпустите сертификат на основе ранее сформированного запроса с помощью команды:

    openssl x509 -in server.crt -text -noout -ext subjectAltName

    Результат:

    • server.key — закрытый ключ для сертификата сервера;

    • server.crt — сертификат сервера.

  4. Импортируйте ключ и сертификат в настройках HTTPS.

13. Обновление пакетов десктоп-клиента на РЕД ОС при установке в закрытом контуре

Когда нет доступа к внешней сети или есть доступ только к определенным ресурсам, то можно обновить пакеты десктоп-клиента на РЕД ОС в закрытом контуре.

  1. Создайте каталог на ПК:

    $ mkdir /home/user/repo
  2. Скачайте пакет termit-desktop в каталог repo.

  3. Скачайте пакеты из репозитория в каталог repo:

    $ dnf repoquery --requires --resolve --recursive ./termit-desktop-2.***.rpm | grep -v "i686" | sort -u > packages.txt
    $ dnf download $(cat packages.txt) --downloaddir .
  4. Перед созданием репозитория установите пакет:

    sudo dnf install createrepo_c
  5. Создайте репозиторий:

    $ createrepo_c .
  6. Перенесите пакеты на другой ПК, на котором нет доступа к внешней сети.

  7. Отключите репозитории на ПК:

    $ sudo dnf config-manager --set-disabled kernels updates base
  8. Добавьте локальный репозиторий:

    $ sudo dnf config-manager --add-repo /home/user/repo
  9. Отключите проверку ключей:

    $ sudo dnf config-manager --save --setopt=home_user_repo.gpgcheck=0
  10. Установите пакет:

    $ sudo dnf install termit-desktop-2.***.rpm

14. Деинсталляция компонентов

Версия Termit: 2.2

Деинсталляция компонентов СТД «Термит» включает в себя удаление:

  • брокера;

  • агента;

  • клиента.

При необходимости удалите XQuartz и X2Go клиенты на MacOS.

Удаление брокера

Чтобы удалить брокер терминального сервера:

  1. Перейдите в каталог, куда был распакован дистрибутив.

  2. Запустите скрипт с параметром uninstall:

    sudo ./install.sh uninstall

При деинсталляции брокера база данных удаляется вручную. Повторное использование базы данных для новой инсталляции невозможно.

Удаление агента

Чтобы удалить агент:

  1. На портале администрирования, в левом меню выберите раздел Серверы.

  2. Наведите указатель мыши на нужный сервер и нажмите на FQDN адрес сервера.

  3. В правом верхнем углу нажмите Дополнительно.

  4. Выберите Удалить агент.

  5. Скопируйте актуальную команду На портале администрирования или предложенную ниже:

    • Для Linux:

      sudo ./agent-installer uninstall
    • Для Windows

      .\agent-installer.exe uninstall
  6. Для Linux перейдите в каталог, где был запущен скрипт установки агента.

    Для Windows (операция удаления может быть выполнена только с правами администратора) перейдите по пути C:\Program Files\TermitAgent\.

  7. Выполните скопированную команду в терминале.

Агент удален на терминальном сервере.

Удаление десктоп-клиента

РЕД ОС

Чтобы удалить десктоп-клиент, введите команду:

sudo dnf remove termit-desktop

Astra Linux

Чтобы удалить десктоп-клиент, введите команду:

sudo apt remove termit-desktop

ALT Linux

Чтобы удалить десктоп-клиент, введите команду:

sudo apt-get remove termit-desktop

MacOS

Чтобы удалить десктоп-клиент:

  1. Откройте Finder.

  2. В боковом меню Finder нажмите Программы.

  3. Удалите десктоп-клиент.

Windows

Чтобы удалить десктоп-клиент:

  1. Введите Панель управления в поле поиска на панели задач, а затем в списке результатов выберите Панель управления.

  2. Перейдите в Программы  Программы и компоненты.

  3. Удалите десктоп-клиент.

Также можно удалить десктоп-клиент в «тихом» режиме. Информация о ходе выполнения отображаться не будет. Для удаления в таком режиме добавьте параметр /S: «C:\Program Files\termit-desktop\Uninstall Термит.exe» /S.