Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Руководство по установке

Версия Termit: 2.3

Аннотация

В этом документе содержится информация и процедуры для администраторов.

1. Руководство по установке

В этом руководстве подробно описано, как системным администраторам установить систему терминального доступа «Термит» (СТД «Термит»). Это поможет избежать ошибок, ускорить процесс развертывания и обеспечить корректную работу системы после установки.

Руководство содержит информацию о необходимых компонентах, требованиях к системе, процессе установки, настройке параметров и других важных аспектах работы с системой.

Ссылки на разделы:

2. Подготовка окружения

Перед развертыванием СТД «Термит» подготовьте окружение:

  1. Проверьте, что подсети Docker Compose не пересекаются с сетями для серверов баз данных, LDAP-каталогов, терминалов и брокеров. Подробнее в статье Ошибки при пересечении IP-адресов между Docker и хост-системой.

  2. Разверните отдельные серверы:

    • для брокеров.

      Количество брокеров зависит от типа развертывания:

      • для «Standalone» необходим один брокер;

      • для «High Availability» необходимо три брокера.

    • для терминальных серверов под управлением Windows или Linux в зависимости от требований;

    • (Опционально) для сервера баз данных. Можно использовать существующий сервер.

    • (Опционально) для RADIUS-сервера, если планируете использовать MFA.

  3. Проверьте доступ к службе каталогов и PostgreSQL.

  4. Добавьте терминальные серверы в домен службы каталогов.

  5. В каталоге пользователей создайте сервисную учетную запись для синхронизации объектов из службы каталогов. Обязательно отключите опцию «User must change password at next logon» и включите «Password never expires».

  6. В каталоге пользователей создайте группы безопасности для назначения ролей: администратора, технической поддержки и пользователя, в соответствии с требованиями вашей компании.

  7. В каталоге пользователей добавьте в состав групп, созданных на предыдущем шаге, учетные записи пользователей для взаимодействия с СТД «Термит».

3. Настройка межсетевого экрана

В этом разделе описано, как настроить межсетевой экран (МСЭ).

РЕД ОС

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo systemctl status firewalld.service

Если в выводе команды отображается информация, как на изображении ниже, то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

s  code1

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого:

  1. Определите активную зону МСЭ с помощью команды:

    firewall-cmd --get-default-zone
  2. Добавьте правила по списку портов в необходимую активную зону с помощью команды:

    sudo firewall-cmd --zone=%Активная_Зона% --permanent --add-port=%Порт%/tcp

    Где:

Astra Linux

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo ufw status

Если выполнение команды возвращает ответ «Status: inactive», то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого добавьте разрешения командой:

sudo ufw allow %Порт%/tcp

Где: %Порт% — необходимый порт. Список портов смотрите в разделе Порты.

ALT Linux

Чтобы проверить настройки МСЭ на каждом из серверов, выполните команду:

sudo efw

Если выполнение команды возвращает ответ «Firewall is disabled», то дальнейшие шаги по конфигурации МСЭ можно пропустить, так как он выключен.

В случае если вывод команды отличается, то необходима дополнительная конфигурация МСЭ. Для этого добавьте правила. В зависимости от используемого МСЭ команды могут отличаться. Подробнее о создании правил МСЭ описано в статьях Etcnet Firewall и UFW.

Windows

Чтобы настроить межсетевой экран на сервере:

  1. Откройте любым способом Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

  2. Выберите Правила для входящих подключений.

    s  firewall
  3. Нажмите Создать правило.

  4. На вкладке Тип правила включите опцию Для порта.

  5. Нажмите Далее.

  6. На вкладке Протокол и порты оставьте Протокол TCP по умолчанию. В параметре Определенные локальные порты: укажите «8443». Полный список портов смотрите в разделе Порты.

  7. Нажмите Далее  Далее  Далее.

  8. На вкладке Имя задайте имя, например «Termit Agent».

Можно создать правило в межсетевом экране с помощью PowerShell:

New-NetFirewallRule -DisplayName "termit-agent TCP 8443" -Direction inbound -Profile Any -Action Allow -LocalPort 8443 -Protocol TCP

4. Базовая конфигурация базы данных

  1. Повторное использование базы данных для новой инсталляции невозможно.

  2. Не поддерживается развертывание БД и брокера на одном сервере.

В этом разделе представлена базовая информация по подготовке сервера баз данных PostgreSQL.

РЕД ОС

В этой инструкции используется последняя доступная версия СУБД PostgreSQL 15. В случае если используется другая версия, то выполняемые команды необходимо изменить. Более подробно можно ознакомиться на сайте документации РЕД ОС.

  1. Установите PostgreSQL с помощью команды:

    sudo dnf install postgresql15-server
  2. Инициализируйте базу данных с помощью команды:

    sudo postgresql-15-setup initdb
  3. Запустите сервис PostgreSQL с помощью команды:

    sudo systemctl enable postgresql-15.service --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf параметр listen_addresses должен соответствовать значению '*':

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  bd1

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  bd2

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  7. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  8. Запустите командную оболочку postgres с помощью команды:

    psql
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Назначьте права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql-15.service
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql-15.service

Astra Linux

В случае инсталляций в режиме контроля мандатного доступа («Воронеж» и «Смоленск») может потребоваться дополнительная конфигурация операционной системы. Подробнее о настройках PostgreSQL и мандатном управлении доступа.

  1. Установите PostgreSQL из репозитория с помощью команды:

    sudo apt install postgresql-11
  2. Проверьте статус сервиса PostgreSQL с помощью команды:

    sudo systemctl status postgresql
  3. При необходимости запустите сервис с помощью команды:

    sudo systemctl start postgresql
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /etc/postgresql/11/main/postgresql.conf параметр listen_addresses должен соответствовать значению '*':

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  bd3

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /etc/postgresql/11/main/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /etc/postgresql/11/main/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  bd4

    Отображение параметров на скриншоте может отличаться. Зависит от версии PostgreSQL.

  7. Чтобы разрешить удаленное подключение к СУБД пользователю в режиме контроля мандатного доступа, в параметре zero_if_notfound задайте значение yes в файле /etc/parsec/mswitch.conf:

    s  bd5
  8. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  9. Запустите командную оболочку postgres с помощью команды:

    psql
  10. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Назначьте права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

Debian

  1. Установите сервис PostgreSQL с помощью команды:

    sudo apt install postgresql-15
  2. Проверьте статус сервиса с помощью команды:

    sudo systemctl status postgresql
  3. При необходимости запустите сервис с помощью команды:

    sudo systemctl enable postgresql --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /etc/postgresql/15/main/postgresql.conf, в параметре listen_addresses должно быть значение '*':

    s  debian1
  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /etc/postgresql/15/main/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД, добавьте в файл конфигурации /etc/postgresql/15/main/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password
  7. Запустите сессию служебного пользователя postgres с помощью команды:

    sudo su - postgres
  8. Запустите командную оболочку postgres с помощью команды:

    psql
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Назначьте права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
  10. Перезапустите сервис PostgreSQL с помощью команды:

    sudo systemctl restart postgresql

ALT Linux

Подробнее об установке PostgreSQL можно прочесть на официальном сайте ALT Linux.

  1. Установите компоненты PostgreSQL с помощью команды:

    sudo apt-get install postgresql11-server
  2. Инициализируйте сервер БД с помощью команды:

    sudo /etc/init.d/postgresql initdb
  3. Запустите и добавьте автозапуск с помощью команды:

    sudo systemctl enable postgresql --now
  4. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр listen_addresses должен соответствовать значению '*'.

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  sql1
  5. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  6. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  sql2
  7. Перезапустите сервис с помощью команды:

    sudo systemctl restart postgresql
  8. Перейдите в консоль управления БД с помощью команды:

    psql -U postgres
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Назначьте права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

OpenSUSE

  1. Установите компоненты PostgreSQL с помощью команды:

    При необходимости измените версию PostgreSQL.

    sudo zypper install postgresql postgresql-server postgresql-contrib
  2. Запустите и добавьте автозапуск с помощью команды:

    sudo systemctl enable postgresql --now
  3. Чтобы разрешить удаленное подключение к СУБД, в файле конфигурации /var/lib/pgsql/data/postgresql.conf, параметр listen_addresses должен соответствовать значению '*'.

    В инструкции предлагается установить для параметра listen_addresses значение * . Это позволит принимать подключения по всем доступным сетевым интерфейсам. Если требуется ограничить доступ только к определенному интерфейсу, то укажите конкретный IP-адрес или имя интерфейса вместо * . Например: listen_addresses='192.168.1.1' или listen_addresses='eth0'. Это поможет ограничить подключение к СУБД только с нужного интерфейса, обеспечивая дополнительный уровень безопасности.

    s  sql3
  4. Чтобы обеспечить достаточное количество слотов для подключений в высоконагруженной системе, в файле конфигурации /var/lib/pgsql/data/postgresql.conf параметр max_connections должен соответствовать значению 500.

  5. Чтобы разрешить удаленное подключение к СУБД с паролем, добавьте в файл конфигурации /var/lib/pgsql/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    В инструкции предлагается добавить в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строку:

    host    all             all             0.0.0.0/0               password

    Эта строка разрешает подключение к СУБД с использованием пароля со всех IP-адресов. Для повышения безопасности рекомендуется указать конкретные IP-адреса или диапазоны адресов, с которых будут разрешены подключения. Например:

    host    all             all             192.168.1.0/24          password

    Это ограничит доступ к СУБД только для адресов в указанном диапазоне, снижая риск несанкционированных подключений.

    s  sql4
  6. Перезапустите сервис с помощью команды:

    sudo systemctl restart postgresql
  7. Проверьте статус сервиса с помощью команды:

    sudo systemctl status postgresql

    Статус должен быть «Active».

    s  sql5
  8. Перейдите в консоль управления БД с помощью команды:

    psql -U postgres
  9. Если при установке брокера:

    • будет выбрана опция «подключиться к уже существующей базе данных», то выполните шаги:

      1. Создайте пустую базу данных с помощью команды:

        CREATE DATABASE %Имя_Базы%;
      2. Создайте нового пользователя с паролем с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
      3. Назначьте права владельца для созданного пользователя на созданную базу с помощью команды:

        ALTER DATABASE %Имя_Базы% OWNER TO %Имя_Пользователя%;
      4. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      5. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql
    • будет выбрана опция «создать новую базу данных», то выполните шаги:

      1. Создайте нового пользователя с паролем и правами на создание новых баз данных с помощью команды:

        CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%' CREATEDB;
      2. Выйдите из командной оболочки psql и сессии пользователя postgres с помощью команды:

        exit
      3. Перезапустите сервис PostgreSQL с помощью команды:

        sudo systemctl restart postgresql

Если при установке выбирается опция «подключиться к уже существующей базе данных», вместо назначения пользователя владельцем можно использовать минимально необходимый набор прав. Для этого выполните следующие шаги:

  1. Создайте пустую базу данных с помощью команды:

    CREATE DATABASE %Имя_Базы%;
  2. Создайте нового пользователя с паролем с помощью команды:

    CREATE USER %Имя_Пользователя% WITH PASSWORD '%Пароль_Пользователя%';
  3. Предоставьте пользователю доступ к базе данных с помощью команды:

    GRANT CONNECT ON DATABASE %Имя_Базы% TO %Имя_Пользователя%;
  4. Подключитесь к базе данных с помощью команды:

    \c %Имя_Базы%
  5. Предоставьте пользователю права на создание объектов и использование схемы public:

    GRANT CREATE, USAGE ON SCHEMA public TO %Имя_Пользователя%;
  6. Предоставьте пользователю права на выполнение операций с уже существующими таблицами в схеме public:

    GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO %Имя_Пользователя%;
  7. Установите дефолтные привилегии для будущих объектов в схеме public:

    ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO %Имя_Пользователя%

5. Установка балансировщика нагрузки

В этом разделены приведены инструкции по созданию балансировщика нагрузки с высокой доступностью, используя HAProxy и Keepalived. Эти инструменты помогут вам разработать отказоустойчивую архитектуру: она обеспечит минимальное время простоя и повысит производительность системы.

Если вы планируете конфигурацию с одним брокером, то пропустите установку балансировщика нагрузки и перейдите к установке брокера.

В текущей реализации поддерживается только TCP-балансировка нагрузки, то есть балансировщик должен работать в режиме SSL Passthrough.

Например, SSL Bridging на порту 443 для связи десктоп-клиент - брокер. При этом внутренний трафик связи брокер - агент должен передаваться в режиме SSL Passthrough.

Ниже приведены инструкции по установке и настройке HAProxy и Keepalived. При использовании другого балансировщика нагрузки убедитесь, что он поддерживает и настроен на работу в режимах, описанных выше.

Перейти к:

6. Установка брокера

В этом разделе описаны шаги по установке и первичной настройке сервера с ролью брокер, входящего в состав СТД «Термит».

Не поддерживается развертывание БД и брокера на одном сервере.

РЕД ОС

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo dnf install docker-ce docker-ce-cli docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  5. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «High Availability» (HA)), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

Astra Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl start docker
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  5. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

  • Подробнее о настройках Docker в операционной системе Astra Linux можно прочесть на официальном сайте Astra Linux.

Debian

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Распакуйте архив с помощью команды:

    unzip termit-2.*.*-*.zip
  4. Запустите установку с помощью команды:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  8. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  9. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

ALT Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt-get install docker-ce docker-compose
    1. Проверьте, установлен ли Docker Compose v2 в качестве плагина с помощью команды:

      docker compose version

      Если вывод команды содержит версию Docker Compose, значит, у вас установлен плагин. (Не путайте с docker-compose --version).

    2. Для плагина Docker Compose v2 создайте символьную ссылку для корректной работы установочного скрипта:

      sudo ln -s /usr/lib/docker/cli-plugins/docker-compose /usr/local/bin/docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Распакуйте архив с помощью команды:

    unzip ./termit-2.1*.*-*.zip
  4. Запустите установку с помощью команды:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  8. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  9. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

OpenSUSE

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo zypper install docker docker-compose docker-compose-switch
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. Скопируйте дистрибутив на сервер.

  4. Распакуйте архив с помощью команды:

    unzip ./termit-2.1*.*-*.zip
  5. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  6. Запустите скрипт:

    sudo ./install.sh install
  7. Введите пароль администратора системы.

  8. Укажите имя узла брокера. Имя может быть любым.

  9. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of a new cluster
    2. Add a new node to existing cluster
    Enter 1 or 2»

    Укажите «1».

  10. Введите FQDN адрес брокера (инсталляция «Standalone») или балансировщика (инсталляция «HA»), например «broker.example.com». Портал будет доступен по этому адресу.

  11. Появится сообщение:

    Do you want to connect to an existing database or create a new one? (1/2)
    
    1. Connect to an existing database
    2. Create new database
    
    Enter 1 or 2?
    1. Если вы хотите подключиться к существующей базе данных (БД), то:

      1. Укажите «1».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя БД, например «example».

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

    2. Если вы хотите создать новую базу данных (БД), то:

      1. Укажите «2».

      2. Укажите имя хоста БД, например «db.example.com».

      3. Укажите порт «5432».

      4. Укажите имя новой БД.

      5. Укажите имя пользователя БД, например «termit».

      6. Введите пароль для БД.

Установка брокера занимает около двух минут. Во время запуска отображается ключ шифрования БД, который необходимо сохранить. Этот ключ нужен для установки дополнительных брокеров.

s  key

Для подтверждения успешной операции в браузере, в адресной строке, введите адрес брокера https://broker.example.com. В появившемся окне аутентификации укажите логин «tadm» и пароль «admin» от учетной записи по умолчанию.

  • Если брокер установился с ошибкой, то проверьте логи в контейнерах: «config-service» и «broker-client» с помощью команды:

    sudo docker logs %ID_Контейнера%
  • В случае переустановки брокера выполните шаги по деинсталляции.

7. Установка дополнительного брокера

В этом разделе описано, как установить второй и следующие брокеры.

Перед добавлением брокеров скопируйте дистрибутив на сервер, распакуйте архив и подготовьте ключ шифрования. Рекомендуется создать три брокера для повышения отказоустойчивости, так как:

  • если один из брокеров выйдет из строя, то другие продолжат работать, обеспечивая бесперебойную работу системы;

  • вероятность одновременного сбоя сразу трех брокеров гораздо ниже, что делает систему более устойчивой к неполадкам.

РЕД ОС

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo dnf install docker-ce docker-ce-cli docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

Astra Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl start docker
  3. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

Debian

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt install docker.io docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

ALT Linux

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo apt-get install docker-ce docker-compose

    Для Docker Compose v2, устанавливаемого в качестве плагина (проверьте, что у вас установлен именно плагин с помощью команды docker compose version (не путать с docker-compose --version). Если вывод команды содержит установленную версию Docker Compose — у вас установлен плагин) необходимо создать символьную ссылку для корректной работы установочного скрипта. Для этого выполните команду:

    sudo ln -s /usr/lib/docker/cli-plugins/docker-compose /usr/local/bin/docker-compose
  2. Чтобы установленные компоненты добавить в автозагрузку, выполните команду:

    sudo systemctl enable docker --now
  3. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

OpenSUSE

Перед установкой брокера выполните шаги 1-2 по установке Docker, Docker Compose или перейдите к шагу 3 (установочный скрипт выполнит шаги 1-2, запрашивая подтверждение):

Для установки компонентов необходимы настроенные репозитории.

  1. Чтобы установить Docker, Docker Compose, выполните команду:

    sudo zypper install docker docker-compose docker-compose-switch
  2. Запустите службу с помощью команды:

    sudo systemctl enable docker --now
  3. При необходимости назначьте права на запуск скрипта с помощью команды:

    sudo chmod +x ./install.sh
  4. Запустите скрипт:

    sudo ./install.sh install
  5. Введите пароль администратора системы.

  6. Укажите имя узла брокера. Имя может быть любым.

  7. Появится сообщение:

    «What do you want to do? (1/2)
    1. Install first node of new cluster
    2. Add new node to existing cluster
    Enter 1 or 2»

    Укажите «2».

  8. Укажите имя хоста базы данных (БД), например «db.example.com».

  9. Укажите порт «5432».

  10. Укажите имя БД, например «example».

  11. Укажите имя пользователя БД, например «termit».

  12. Введите пароль для БД.

  13. Вставьте скопированный ключ шифрования.

  14. Введите адрес, указанный на шаге, и проверьте статус брокера в меню после аутентификации.

Установка брокера занимает около двух минут. Для подтверждения успешной операции перейдите на портал администрирования и проверьте, что в разделе Брокеры брокер появился в списке со статусом «Работает».

8. Установка дополнительного ПО на терминальный сервер

Установите дополнительное ПО перед установкой агента на терминальный сервер.

РЕД ОС

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод РЕД ОС в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. Чтобы установить X2Go server на терминальный сервер, выполните команду:

    sudo dnf install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver x2goagent
  3. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo dnf install cifs-utils
  4. Для корректного перенаправления смарт-карт на сервер установите утилиту socat с помощью команды:

    sudo dnf install socat
  5. Установите агент, используя скрипт, полученный при создании сервера.

Astra Linux

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Astra Linux в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. В файле конфигурации /etc/systemd/logind.conf, в параметре KillUserProcesses задайте значение «no» для корректной работы переподключения сессии и перезагрузите терминальный сервер.

    s  kill user
  3. Установите компоненты X2Go сервера с помощью команды:

    sudo apt install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver-x2goagent
  4. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt install cifs-utils
  5. Для корректного перенаправления смарт-карт на сервер установите утилиту socat с помощью команды:

    sudo apt install socat
  6. Установите агент, используя скрипт, полученный при создании сервера.

Debian

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Debian в домен.

  1. В файле конфигурации sshd (/etc/ssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. Установите компоненты X2Go сервера с помощью команды:

    sudo apt install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver-x2goagent
  3. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt install cifs-utils
  4. Для корректного перенаправления смарт-карт на сервер установите утилиту socat с помощью команды:

    sudo apt install socat
  5. Установите агент, используя скрипт, полученный при создании сервера.

ALT Linux

Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод ALT Linux в домен.

  1. В файле конфигурации sshd (/etc/openssh/sshd_config), в параметре X11Forwarding, укажите значение «yes».

  2. В файле конфигурации /etc/systemd/logind.conf, в параметре KillUserProcesses задайте значение «no» для корректной работы переподключения сессии и перезагрузите терминальный сервер.

  3. Установите компоненты X2Go сервера с помощью команды:

    sudo apt-get install x2goserver-xsession x2goserver-fmbindings x2goserver-x2goagent
  4. Добавьте X2Go в автозапуск с помощью команды:

    sudo systemctl enable x2goserver --now
  5. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo apt-get install cifs-utils
  6. Для корректного перенаправления смарт-карт на сервер установите утилиту socat с помощью команды:

    sudo apt-get install socat
  7. Установите агент, используя скрипт, полученный при создании сервера.

Windows

  1. Для Windows Server 2012R2 и Windows Server 2016 (редакции ниже 1803) необходимо:

    1. Установить утилиту curl.

    2. Установочные файлы из архива curl, из каталога bin, разместить в системной директории C:\Windows\system32.

  2. Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод Windows в домен.

  1. Включите роль «Remote Desktop Session Host» («Узел сеансов удаленных рабочих столов»):

    1. Откройте Диспетчер серверов  Панель мониторинга.

    2. В правом верхнем углу нажмите Управление.

    3. Выберите Добавить роли и компоненты.

    4. Нажмите Далее.

    5. На вкладке Тип установки оставьте по умолчанию опцию Установка ролей и компонентов.

    6. Нажмите Далее.

    7. На вкладке Выбор сервера оставьте по умолчанию Выберите сервер из пула серверов.

    8. Нажмите Далее.

    9. На вкладке Роли сервера включите опцию Службы удаленных рабочих столов.

    10. Нажмите Далее  Далее  Далее.

    11. На вкладке Службы ролей включите опцию Remote Desktop Session Host (Узел сеансов удаленных рабочих столов) и нажмите Добавить компоненты.

    12. Нажмите Далее  Установить.

      После установки и добавления роли перезагрузите ВМ.

  2. Включите политику «Разрешить удаленный запуск любых программ» и выключите политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов»:

    1. Откройте консоль MMC.

    2. В левом верхнем углу нажмите Файл и выберите Добавить или удалить оснастку.

      s  politics2
    3. В доступных оснастках выберите Редактор объектов групповой политики.

    4. В параметре Объект групповой политики оставьте по умолчанию Локальный компьютер.

      Параметры ниже могут быть настроены с использованием групповой политики или локальной.

    5. Нажмите Готово  ОК.

    6. Раскройте Политика «Локальный компьютер».

    7. Раскройте Конфигурация компьютера  Административные шаблоны  Компоненты Windows.

      s  politics3
    8. Выберите Службы удаленных рабочих столов  Узел сеансов удаленных рабочих столов  Подключения.

      s  politics1
    9. Нажмите два раза левой кнопкой мыши на политику «Разрешить удаленный запуск любых программ».

    10. Активируйте опцию Включено и нажмите ОК.

    11. Нажмите два раза левой кнопкой мыши на политику «Ограничить пользователей служб удаленных рабочих столов одним сеансов служб удаленных рабочих столов».

    12. Активируйте опцию Отключено и нажмите ОК.

    13. Откройте cmd.exe и примените политики с помощью команды gpupdate /force или перезагрузите сервер.

      После успешной операции в выводе команды появится сообщение «Computer Policy update has completed successfully».

  3. Настройте разрешение на подключение пользователей по RDP:

    1. Удобным способом откройте Управление компьютером.

    2. Выберите Локальные пользователи и группы.

      s  comp
    3. Выберите Группы  Пользователи удаленного рабочего стола.

    4. Двойным кликом мыши нажмите на Пользователи удаленного рабочего стола.

    5. Нажмите Добавить.

    6. В поле Введите имена выбираемых объектов (примеры): введите Пользователи домена.

    7. Нажмите ОК  ОК.

  4. Установите Latest Microsoft Visual C++ Redistributable Version.

  5. Установите агент, используя скрипт, полученный при создании сервера. Установка должна выполняться с правами администратора.

OpenSUSE

В этой инструкции приведен пример установки пакета для X2Go, скачанного по этой ссылке.

  • В репозиториях OpenSUSE нет официального пакета для X2Go. Есть только экспериментальная версия, доступная по ссылке.

  • Проверьте, что все терминальные серверы введены в домен. Подробнее в статье Ввод OpenSUSE в домен. Далее проверьте конфигурацию файла sssd.conf, находящийся по пути sudo vim /etc/sssd/sssd.conf и установите значение False в следующей строке:

    use_fully_qualified_names = False
  • Проверьте, что на всех терминальных серверах доступны порты. Подробнее в статье Требования к развертыванию.

  1. Добавьте репозиторий X2Go с помощью команды:

    sudo zypper addrepo -f http://packages.x2go.org/opensuse/15.4/main x2go_repos
  2. Обновите репозиторий с помощью команды:

    sudo zypper refresh
  3. Установите компоненты X2Go сервера с помощью команды:

    sudo zypper install x2goserver
  4. Добавьте X2Go в автозапуск с помощью команды:

    sudo systemctl enable x2goserver.service --now
  5. Проверьте статус службы x2goserver с помощью команды:

    sudo systemctl status x2goserver.service

    Статус должен быть «Active»:

    s  install opensuse2
  6. Чтобы избежать ошибки при монтировании сетевых дисков, установите пакет cifs-utils с помощью команды:

    sudo zypper install cifs-utils
  7. Для корректного перенаправления смарт-карт на сервер установите утилиту socat с помощью команды:

    sudo zypper install socat
  8. Установите агент, используя скрипт, полученный при создании сервера, добавив в конце параметр /etc/systemd/system/.

    Пример скрипта:

    rm -f ./agent-installer && wget --no-check-certificate https://<FQDN брокера/балансировщика>/dist/agent-installer -O agent-installer && sudo chmod +x agent-installer && sudo ./agent-installer install https://<FQDN брокера/балансировщика> <секрет> /etc/systemd/system/

    Последний параметр является опциональным и указывается в тех случаях, когда каталог systemd отсутствует в директории /lib (то есть не существует пути /lib/systemd/system/, необходимого для установки агента) и находится по другому пути. В случае OpenSUSE для доступа к каталогу systemd необходимо указывать путь /etc/systemd/system/ в конце скрипта, иначе агент не будет установлен.

    Пример:

    s  install opensuse3

9. Аутентификация пользователя на терминальном сервере по сертификату

При выключенном Kerberos на десктоп-клиенте

В этом разделе описано, как настроить аутентификацию пользователя на терминальном сервере по сертификату при выключенном Kerberos на десктоп-клиенте.

Linux

Для повышения безопасности подключения пользователей к терминальным серверам настройте аутентификацию по сертификату. Это можно сделать тремя способами:

Способ 1. Через условный блок, используя один порт для подключения

  1. Для этого после установки терминального агента в конце файла /etc/ssh/sshd_config(РЕД ОС, AstraLinux, Debian, OpenSUSE)/ /etc/openssh/sshd_config(ALT Linux) добавьте строки:

    TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
    AuthenticationMethods publickey,password
    Match User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey

    Таким образом обычным пользователям разрешается заходить только с использованием временных сертификатов, подписанных доверенным ключом. При этом администратор системы может подключаться с использованием пароля или ключа, как и до внесения изменений.

  2. Перезагрузите sshd с помощью команды:

    sudo systemctl restart sshd

Способ 2. Через условный блок, используя два порта (для пользователей и администратора)

  1. Для этого после установки терминального агента в файле /etc/ssh/sshd_config(РЕД ОС, AstraLinux, Debian, OpenSUSE)/ /etc/openssh/sshd_config(ALT Linux) раскомментируйте строку с указанием порта, если она ранее не была изменена (Смотрите Ручное изменение портов в файле конфигурации шлюза и агента).

  2. Ниже добавьте похожую строку с указанием произвольного порта, по которому сможет подключаться только администратор системы:

    Port 22
    Port 2222

    Где:

    • Port 22 — порт для пользователей;

    • Port 2222 — порт для администратора.

  3. В том же файле в конце добавьте строки:

    Match LocalPort 22
          TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
          AuthenticationMethods publickey,password
    Match LocalPort 2222, User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey

    Таким образом обычным пользователям разрешается заходить только с использованием временных сертификатов, подписанных доверенным ключом, но только через порт 22. При этом администратор системы может подключаться с использованием пароля или ключа, как и до внесения изменений, но только через порт 2222.

  4. Перезагрузите sshd с помощью команды:

    sudo systemctl restart sshd

    На системах с SELinux (например РЕД ОС) могут возникнуть проблемы при использовании нового порта для SSH. Чтобы разрешить сервису SSH использовать новый порт, выполните команду:

    sudo semanage port -a -t ssh_port_t -p tcp 2222

Способ 3. Через дублирование ssh-сервиса

  1. Создайте копии конфигурационного файла с помощью команды:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_crt_pwd
    2. Для ALT Linux:

      sudo cp /etc/openssh/sshd_config /etc/openssh/sshd_config_crt_pwd
  2. В новом конфигурационном файле измените строку с портом на любой другой:

    Port 2222
  3. Создайте новый сервис sshd через копирование конфигурации существующего сервиса с помощью команды:

    sudo cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd_crt_pwd.service
  4. Измените строку ExecStart (укажите путь до нового конфигурационного файла sshd_config_crt_pwd) в скопированном файле:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshd_config_crt_pwd
    2. Для ALT Linux:

      ExecStart=/usr/sbin/sshd -D -f /etc/openssh/sshd_config_crt_pwd
  5. Запустите и добавьте в автозагрузку новый сервис с помощью команды:

    sudo systemctl enable --now sshd_crt_pwd.service

    На системах с SELinux (например РЕД ОС) могут возникнуть проблемы при использовании нового порта для SSH. Чтобы разрешить сервису SSH использовать новый порт, выполните команду:

    sudo semanage port -a -t ssh_port_t -p tcp 2222
  6. Добавьте в конце конфигурационного файла первого экземпляра ssh-сервиса /etc/ssh/sshd_config/ /etc/openssh/sshd_config(ALT Linux):

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      AllowUsers ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
    2. Для ALT Linux:

      AllowUsers ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ

      Таким образом по порту 22 сможет подключаться только администратор системы.

  7. Добавьте в конце конфигурационного файла первого экземпляра ssh-сервиса /etc/ssh/sshd_config_crt_pwd:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
      AuthenticationMethods publickey,password
    2. Для ALT Linux:

      TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
      AuthenticationMethods publickey,password

      Таким образом по 2222 порту смогут подключаться остальные пользователи, которые предоставят сертификат, подписанный доверенным ключом.

  8. Перезапустите сервисы с помощью команды:

    sudo systemctl restart sshd && sudo systemctl restart sshd_crt_pwd

Windows

На ТС Windows необходимо скачать и установить OpenSSH версии v9.5.0.0p1-Beta.

Для повышения безопасности подключения пользователей к терминальным серверам настройте аутентификацию по сертификату. Для этого после установки терминального агента:

  1. Настройте терминальный агент в конфигурационном файле C:\ProgramData\ssh\sshd_config. Для этого:

    1. В файле конфигурации измените параметр Port:

      Port 13389
    2. Перезагрузите sshd с помощью команды:

      Restart-Service sshd -Force

      Подробнее смотрите в разделе.

  2. Настройте ssh. Это можно сделать двумя способами:

Способ 1. Через условный блок, используя один порт для подключения

  1. Откройте конфигурационный файл SSH (C:\ProgramData\ssh\sshd_config) и перед строками:

    Match Group administrators
           AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

    добавьте:

    casignaturealgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
    
    PubkeyAcceptedAlgorithms=ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa-cert-v01@openssh.com,ssh-rsa
    
    TrustedUserCAKeys "C:\Program Files\TermitAgent\config\termit-ssh-ca.pub"
    
    AuthenticationMethods publickey
    
    Match User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey

    Таким образом обычным пользователям разрешается заходить только с использованием временных сертификатов, подписанных доверенным ключом. При этом администратор системы может подключаться с использованием пароля или ключа, как и до внесения изменений.

  2. Перезагрузите sshd с помощью команды:

    Restart-Service sshd -Force

Способ 2. Через условный блок, используя два порта (для пользователей и администратора)

  1. В конфигурационном файле SSH (C:\ProgramData\ssh\sshd_config) добавьте похожую строку с указанием произвольного порта, по которому сможет подключаться только администратор системы:

    Port 2222

    Где:

    • Port 2222 — порт для администратора.

  2. В том же файле перед строками:

    Match Group administrators
           AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

    Добавьте:

    Match LocalPort 13389
          casignaturealgorithms ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
    
          PubkeyAcceptedAlgorithms=ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ssh-ed25519@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa-cert-v01@openssh.com,ssh-rsa
    
          TrustedUserCAKeys "C:\Program Files\TermitAgent\config\termit-ssh-ca.pub"
    
          AuthenticationMethods publickey
    
    Match LocalPort 2222, User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey
  3. Перезагрузите sshd с помощью команды:

    Restart-Service sshd -Force

    Чтобы разрешить сервису SSH использовать новый порт, требуется открыть входящее подключение. Для этого выполните команду:

    New-NetFirewallRule -DisplayName "SSH Range" -Direction Inbound -Protocol TCP -LocalPort 13389,2222 -Action Allow
  4. В файле конфигурации агента "C:\Program Files\TermitAgent\config" измените параметр TERMIT_AGENT_RDP_PARAMS:

    TERMIT_AGENT_RDP_PARAMS={"rdpOverSshPort": 13389}
  5. Перезапустите агент с помощью команды

    Restart-Service termit-agent -Force

При включенном Kerberos на десктоп-клиенте

В этом разделе описано, как настроить аутентификацию пользователя на терминальном сервере по сертификату при включенном Kerberos на десктоп-клиенте.

Linux

Для повышения безопасности подключения пользователей к терминальным серверам настройте аутентификацию по сертификату. Это можно сделать тремя способами:

Способ 1. Через условный блок, используя один порт для подключения

  1. Для этого после установки терминального агента в конце файла /etc/ssh/sshd_config(РЕД ОС, AstraLinux, Debian, OpenSUSE)/ /etc/openssh/sshd_config(ALT Linux) добавьте строки:

    TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
    AuthenticationMethods publickey
    Match User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey

    Таким образом обычным пользователям разрешается заходить только с использованием временных сертификатов, подписанных доверенным ключом. При этом администратор системы может подключаться с использованием пароля или ключа, как и до внесения изменений.

  2. Перезагрузите sshd с помощью команды:

    sudo systemctl restart sshd

Способ 2. Через условный блок, используя два порта (для пользователей и администратора)

  1. Для этого после установки терминального агента в файле /etc/ssh/sshd_config(РЕД ОС, AstraLinux, Debian, OpenSUSE)/ /etc/openssh/sshd_config(ALT Linux) раскомментируйте строку с указанием порта, если она ранее не была изменена (Смотрите Ручное изменение портов в файле конфигурации шлюза и агента).

  2. Ниже добавьте похожую строку с указанием произвольного порта, по которому сможет подключаться только администратор системы:

    Port 22
    Port 2222

    Где:

    • Port 22 — порт для пользователей;

    • Port 2222 — порт для администратора.

  3. В том же файле в конце добавьте строки:

    Match LocalPort 22
          TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
          AuthenticationMethods publickey
    Match LocalPort 2222, User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
          AuthenticationMethods password publickey

    Таким образом обычным пользователям разрешается заходить только с использованием временных сертификатов, подписанных доверенным ключом, но только через порт 22. При этом администратор системы может подключаться с использованием пароля или ключа, как и до внесения изменений, но только через порт 2222.

  4. Перезагрузите sshd с помощью команды:

    sudo systemctl restart sshd

    На системах с SELinux (например РЕД ОС) могут возникнуть проблемы при использовании нового порта для SSH. Чтобы разрешить сервису SSH использовать новый порт, выполните команду:

    sudo semanage port -a -t ssh_port_t -p tcp 2222

Способ 3. Через дублирование ssh-сервиса

  1. Создайте копии конфигурационного файла с помощью команды:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_crt_pwd
    2. Для ALT Linux:

      sudo cp /etc/openssh/sshd_config /etc/openssh/sshd_config_crt_pwd
  2. В новом конфигурационном файле измените строку с портом на любой другой:

    Port 2222
  3. Создайте новый сервис sshd через копирование конфигурации существующего сервиса с помощью команды:

    sudo cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/sshd_crt_pwd.service
  4. Измените строку ExecStart (укажите путь до нового конфигурационного файла sshd_config_crt_pwd) в скопированном файле:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshd_config_crt_pwd
    2. Для ALT Linux:

      ExecStart=/usr/sbin/sshd -D -f /etc/openssh/sshd_config_crt_pwd
  5. Запустите и добавьте в автозагрузку новый сервис с помощью команды:

    sudo systemctl enable --now sshd_crt_pwd.service

    На системах с SELinux (например РЕД ОС) могут возникнуть проблемы при использовании нового порта для SSH. Чтобы разрешить сервису SSH использовать новый порт, выполните команду:

    sudo semanage port -a -t ssh_port_t -p tcp 2222
  6. Добавьте в конце конфигурационного файла первого экземпляра ssh-сервиса /etc/ssh/sshd_config/ /etc/openssh/sshd_config(ALT Linux):

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      AllowUsers ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ
    2. Для ALT Linux:

      AllowUsers ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ

      Таким образом по порту 22 сможет подключаться только администратор системы.

  7. Добавьте в конце конфигурационного файла первого экземпляра ssh-сервиса /etc/ssh/sshd_config_crt_pwd:

    1. Для РЕД ОС, AstraLinux, Debian, OpenSUSE:

      TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
      AuthenticationMethods publickey
    2. Для ALT Linux:

      TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub
      AuthenticationMethods publickey

      Таким образом по 2222 порту смогут подключаться остальные пользователи, которые предоставят сертификат, подписанный доверенным ключом.

  8. Перезапустите сервисы с помощью команды:

    sudo systemctl restart sshd && sudo systemctl restart sshd_crt_pwd

Windows

Внутренние пользователи осуществляют подключение к серверу по стандартному RDP-порту 3389, в то время как внешние пользователи подключаются через защищённый туннель, использующий порт 13389.

Для повышения безопасности подключения пользователей к терминальным серверам настройте аутентификацию по сертификату. Для этого после установки терминального агента выполните настройки из раздела .

10. Установка шлюза удаленного доступа

В этом разделе описано, как установить шлюз удаленного доступа и настроить аутентификацию.

Установка шлюза

Установите компонент openssh-server:

РЕД ОС
sudo dnf install openssh-server
Astra Linux
sudo apt install openssh-server
Debian
sudo apt install openssh-server
OpenSUSE
sudo zypper install openssh-server
ALT Linux
sudo apt-get install openssh-server

Настройка шлюза удаленного доступа

Настройка аутентификации шлюза по LDAP

Настройте шлюз удаленного доступа через ввод в домен. Подробнее о вводе в домен смотрите в статье на сайтах:

По умолчанию при потере соединения сессия остается в статусе «Активная».

Чтобы изменить поведение сессии и перевести ее в статус «Отключена» в панели администрирования, необходимо в файле конфигурации шлюза удаленного доступа /etc/ssh/sshd_config изменить параметры ClientAliveInterval и ClientAliveCountMax.

Пример:

  • ClientAliveInterval — 15

  • ClientAliveCountMax — 3

Сессия переходит в статус «Отключена» через 45 секунд.

Настройка аутентификации десктоп-клиента по сертификату на шлюзе

Чтобы настроить аутентификацию десктоп-клиента по сертификату на шлюзе удаленного доступа:

  1. Скачайте корневой сертификат в настройках внешнего подключения.

  2. Добавьте в файл конфигурации /etc/ssh/sshd_config (для Alt Linux /etc/openssh/sshd_config) строки:

    TrustedUserCAKeys /etc/ssh/key.pub

    (для Alt Linux TrustedUserCAKeys /etc/openssh/key.pub)

    Если не используете предыдущие версии СТД «Термит»:

    AuthenticationMethods "publickey"

    Если используете предыдущие версии СТД «Термит»:

    AuthenticationMethods "publickey password"
  3. Назначьте права на файл с помощью команды:

    sudo chmod 600 /etc/ssh/key.pub
  4. Перезагрузите sshd с помощью команды:

    sudo systemctl restart sshd

Сервер настроен на допуск всех пользователей, предоставляющих сертификат, выданный центром сертификации (root_ca), при подключении.

11. Установка десктоп-клиента

Чтобы установить десктоп-клиент:

  1. В адресной строке браузера введите адрес брокера, например https://broker.example.com.

  2. Выберите источник авторизации:

    • Авто. Система автоматически выберет LDAP-каталог из списка доступных каталогов или внутренних пользователей.

    • Внутренние пользователи. Вход будет выполнен под учетной записью локального администратора «tadm».

    • Имя LDAP-каталога, отображаемое полное имя которого было задано при добавлении в систему, например «ldap123».

  3. Для входа под учетной записью локального администратора системы укажите в поле ввода:

    • Ваш логин — «tadm».

    • Пароль — пароль по умолчанию «admin».

      Пользователь входит под доменной учетной записью. Атрибут для имени пользователя указан в настройках LDAP раздел тип LDAP в графе «Атрибут, используемый для поиска пользователя».

  4. Нажмите Войти.

    s  login5

    После успешного входа в систему откроется интерфейс портала администрирования.

  5. В левом меню выберите раздел Скачать клиент.

  6. Выберите операционную систему и установите десктоп-клиент.

Windows

  1. Перейдите на вкладку Windows.

  2. Скачайте Десктоп-клиент для Windows 7/8.1 или Десктоп-клиент для Windows 10/11 и установите его.

    Также можно установить десктоп-клиент в «тихом» режиме. Информация о ходе выполнения отображаться не будет. Для установки в таком режиме добавьте параметр /S. Пример: "%путь до exe файла%\termit-desktop-2...exe" /S.

MacOS

  1. Перейдите на вкладку MAC OS.

  2. Скачайте Десктоп-клиент для Mac OS и выполните шаги по установке.

  3. Скачайте XQuartz и выполните шаги по установке.

  4. Скачайте и установите приложение Microsoft Remote Desktop из App Store.

    При подключении к сессии на терминальном сервере Windows будет открыто приложение Microsoft Remote Desktop и окно для ввода пароля. После ввода пароля запустится сессия. Во время сессии завершать работу приложения Microsoft Remote Desktop нельзя, так как это приведет к отключению от сессии.

Перед запуском десктоп-клиента в настройках необходимо разрешить использование СТД «Термит». Для этого выберите в меню Apple  Системные настройки, затем в боковом меню нажмите Конфиденциальность и безопасность, прокрутите вниз до параметра Разрешить использование приложений, загруженных из: и выберите App Store и от подтвержденных разработчиков.

Linux

Astra Linux

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Перейдите на вкладку Linux.

  2. Скачайте Десктоп-клиент для Linux deb.

  3. Установите клиент Термит:

    sudo apt install ./termit-desktop-2.*.deb

    Где:

    ./termit-desktop-2.*.deb — название файла.

Установка в ЗПС

  1. Перед установкой поместите публичный (открытый) ключ, скачанный с брокера по пути https://broker.example.com/dist/termit_astra.key, в директорию /etc/digsig/keys с помощью команды:

    sudo cp %Путь_к_Открытому_Ключу% /etc/digsig/keys
  2. Обновите ключи с помощью команды:

    sudo update-initramfs -u -k all
  3. Перезагрузите ПК.

  4. Включите режим замкнутой программой среды (ЗПС), если не был включен ранее:

    zpc
  5. Установите десктоп-клиент в обычном режиме.

    При отображении «Ошибка сегментирования» ключ не может быть считан.

РЕД ОС

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Перейдите на вкладку Linux.

  2. Скачайте Десктоп-клиент для Linux rpm и выполните шаги по установке.

  3. Обновите репозиторий с помощью команды:

    sudo dnf update
  4. Установите десктоп-клиент:

    sudo dnf install ./termit-desktop-2.*.rpm

    Где:

    ./termit-desktop-2.*.rpm — название файла.

ALT Linux

Десктоп-клиент поддерживает только FreeRDP версии 2 (freerdp2). При установке десктоп-клиента пакет freerdp2 будет установлен автоматически.

  1. Перейдите на вкладку Linux.

  2. Скачайте Десктоп-клиент для Linux rpm.

  3. Обновите репозиторий с помощью команды:

    sudo apt-get update
  4. Установите десктоп-клиент:

    sudo apt-get install ./termit-desktop-2.*.rpm
  5. Для корректного запуска десктоп-клиента установите бит setuid:

    sudo chmod 4755 /opt/Термит/chrome-sandbox

12. Установка сертификата на десктоп-клиент

Для успешного подключения к СТД «Термит» необходимо, чтобы используемый корневой сертификат был добавлен в список доверенных на десктоп-клиенте.

Windows

  1. Запустите сертификат двойным нажатием на него и выберите опцию Установить сертификат.

  2. Выберите опцию Текущий пользователь:

    При работе с правами администратора установка возможна в хранилище сертификатов компьютера (для всех пользователей).

  3. Выберите опцию Поместить все сертификаты в следующие хранилище, нажмите Обзор и выберите Доверенные корневые центры сертификации.

    При наличии промежуточного центра сертификации повторите шаги выше, выбрав хранилище Промежуточные центры сертификации на шаге 3.

  4. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

РЕД ОС

  1. Скопируйте файл корневого сертификата в каталог /etc/pki/ca-trust/source/anchors/ с помощью команды:

    sudo cp %Путь_к_сертификату% /etc/pki/ca-trust/source/anchors/

    Где: %Путь_к_сертификату% — полный путь к файлу сертификата в формате PEM.

  2. Чтобы применить изменения, выполните команды:

    sudo update-ca-trust force-enable
    sudo update-ca-trust extract
  3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Astra Linux

Сертификат должен быть в формате CRT.

Если формат сертификата отличается, необходимо выполнить его конвертацию используя утилиту openssl, например:

  • Если сертификат имеет кодировку DER:

    openssl x509 -inform DER -in %Исходный_Сертификат% -out %Конечный_Сертификат%
  • Если исходный сертификат имеет кодировку PEM:

    openssl x509 -inform PEM -in %Исходный_Сертификат% -out %Конечный_Сертификат%

    Где:

    • %Исходный_Сертификат% — путь к исходному сертификату «certificate.cer».

    • %Конечный_Сертификат% — путь к конечному сертификату, например «certificate.crt».

      1. Скопируйте полученные выше сертификаты в каталог /usr/local/share/ca-certificates с помощью команды:

        sudo cp %Путь_к_сертификату% /usr/local/share/ca-certificates

        Где: %Путь_к_сертификату% — полный путь к файлу сертификата.

      2. Чтобы применить изменения, выполните команду:

        sudo update-ca-certificates
      3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

ALT Linux

Подробнее об установке сертификата можно прочесть на официальном сайте.

  1. Скопируйте корневой сертификат в хранилище сертификатов с помощью команды ниже. Сертификат должен быть в формате .CRT.

    sudo cp %путь_к_сертификату% /etc/pki/ca-trust/source/anchors/
  2. Обновите хранилище сертификатов с помощью команды:

    sudo update-ca-trust

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

OpenSUSE

  1. Скопируйте файл корневого сертификата в каталог /etc/pki/trust/anchors с помощью команды:

    sudo cp %Путь_к_сертификату% /etc/pki/trust/anchors

    Где: %Путь_к_сертификату% — полный путь к файлу сертификата в формате PEM.

  2. Обновите хранилище сертификатов с помощью команды:

    sudo update-ca-certificates
  3. Перезапустите браузер и проверьте доверие сертификату, открыв адрес брокера.

Для систем Linux иногда необходима дополнительная ручная конфигурация хранилищ браузеров Firefox и Chrome\Chromium:

Chrome\Chromium
  1. Перейдите в меню Настройки  Конфиденциальность и безопасность  Безопасность  Настроить сертификаты и перейдите на вкладку Центры сертификации.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

Firefox
  1. Перейдите в Настройки  Приватность и защита  Защита  Сертификаты  Просмотр сертификатов.

  2. Добавьте необходимый сертификат или цепочку сертификатов с помощью кнопки Импорт.

  3. Укажите необходимый уровень доверия.

MacOS

  1. Запустите сертификат двойным нажатием на него, сертификат будет добавлен в приложение Связка ключей.

  2. Найдите в приложении добавленный сертификат или цепочку сертификатов.

  3. Укажите необходимый уровень доверия.

13. Выпуск самоподписанного сертификата

13.1. Создание корневого сертификата (CA)

Ниже описано, как создать корневой сертификат с помощью OpenSSL.

  1. Создайте закрытый ключ корневого сертификата с помощью команды:

    openssl genrsa -out ca.key 4096
  2. Создайте корневой сертификат на основе закрытого ключа с помощью команды:

    openssl req -new -x509 -days 365 -key ca.key -out ca.cert.pem

    При появлении запроса введите пароль для закрытого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN.

    Результат:

    • ca.key — закрытый ключ корневого сертификата;

    • ca.cert.pem — корневой сертификат.

13.2. Создание сертификата сервера

Ниже описано, как создать сертификат сервера с помощью OpenSSL.

  1. Создайте закрытый ключ сертификата сервера с помощью команды:

    openssl genrsa -out server.key 4096
  2. Создайте запрос на подпись сертификата на основе закрытого ключа с помощью команд:

    openssl req -new -key server.key -out server.csr -addext "subjectAltName = DNS:broker.example.com"
    openssl x509 -req -days 365 -in server.csr -CA ca.cert.pem -CAkey ca.key -CAcreateserial -out server.crt -extfile <(printf "subjectAltName=DNS:broker.example.com")

    При появлении запроса введите пароль для корневого ключа и сведения об организации, такие как страна или регион, штат, организация, подразделение и FQDN. CN должно соответствовать DNS-имени сервера, например broker.example.com.

  3. Выпустите сертификат на основе ранее сформированного запроса с помощью команды:

    openssl x509 -in server.crt -text -noout -ext subjectAltName

    Результат:

    • server.key — закрытый ключ для сертификата сервера;

    • server.crt — сертификат сервера.

  4. Импортируйте ключ и сертификат в настройках HTTPS.

14. Обновление пакетов десктоп-клиента на РЕД ОС при установке в закрытом контуре

Когда нет доступа к внешней сети или есть доступ только к определенным ресурсам, то можно обновить пакеты десктоп-клиента на РЕД ОС в закрытом контуре.

  1. Создайте каталог на ПК с помощью команды:

    $ mkdir /home/user/repo
  2. Скачайте пакет termit-desktop в каталог repo.

  3. Скачайте пакеты из репозитория в каталог repo с помощью команды:

    $ dnf repoquery --requires --resolve --recursive ./termit-desktop-2.***.rpm | grep -v "i686" | sort -u > packages.txt
    $ dnf download $(cat packages.txt) --downloaddir .
  4. Перед созданием репозитория установите пакет с помощью команды:

    sudo dnf install createrepo_c
  5. Создайте репозиторий с помощью команды:

    $ createrepo_c .
  6. Перенесите пакеты на другой ПК, на котором нет доступа к внешней сети.

  7. Отключите репозитории на ПК с помощью команды:

    $ sudo dnf config-manager --set-disabled kernels updates base
  8. Добавьте локальный репозиторий с помощью команды:

    $ sudo dnf config-manager --add-repo /home/user/repo
  9. Отключите проверку ключей с помощью команды:

    $ sudo dnf config-manager --save --setopt=home_user_repo.gpgcheck=0
  10. Установите пакет с помощью команды:

    $ sudo dnf install termit-desktop-2.***.rpm

15. Деинсталляция компонентов

Деинсталляция компонентов СТД «Термит» включает в себя удаление:

  • брокера;

  • агента;

  • клиента.

При необходимости удалите XQuartz и X2Go клиенты на MacOS.

Удаление брокера

Чтобы удалить брокер терминального сервера:

  1. Перейдите в каталог, куда был распакован дистрибутив.

  2. Запустите скрипт с параметром uninstall с помощью команды:

    sudo ./install.sh uninstall

При деинсталляции брокера база данных удаляется вручную. Повторное использование базы данных для новой инсталляции невозможно.

Удаление агента

Чтобы удалить агент:

  1. На портале администрирования, в левом меню выберите раздел Серверы.

  2. Наведите курсор на нужный сервер и нажмите на FQDN адрес сервера.

  3. В правом верхнем углу нажмите Дополнительно.

  4. Выберите Удалить агент.

  5. Скопируйте актуальную команду На портале администрирования или предложенную ниже:

    • Для Linux:

      sudo ./agent-installer uninstall
    • Для Windows:

      .\agent-installer.exe uninstall
  6. Для Linux перейдите в каталог, где был запущен скрипт установки агента.

    Для Windows (операция удаления может быть выполнена только с правами администратора) перейдите по пути C:\Program Files\TermitAgent\.

  7. Выполните скопированную команду в терминале.

Агент удален на терминальном сервере.

Удаление десктоп-клиента

РЕД ОС

Чтобы удалить десктоп-клиент, введите команду:

sudo dnf remove termit-desktop

Astra Linux

Чтобы удалить десктоп-клиент, введите команду:

sudo apt remove termit-desktop

ALT Linux

Чтобы удалить десктоп-клиент, введите команду:

sudo apt-get remove termit-desktop

MacOS

Чтобы удалить десктоп-клиент:

  1. Откройте Finder.

  2. В боковом меню Finder нажмите на Программы.

  3. Удалите десктоп-клиент.

Windows

Чтобы удалить десктоп-клиент:

  1. Введите Панель управления в поле поиска на панели задач, а затем в списке результатов выберите Панель управления.

  2. Перейдите в Программы  Программы и компоненты.

  3. Удалите десктоп-клиент.

Также можно удалить десктоп-клиент в «тихом» режиме. Информация о ходе выполнения отображаться не будет. Для удаления в таком режиме добавьте параметр /S:

 "C:\Program Files\termit-desktop\Uninstall Термит.exe" /S