7. Installation av applikationsserver
7.2. Installation av lokala Säkerhetstjänster
7.2.2. Installation utan lokala Säkerhetstjänsters Autentiseringstjänst
windows servrarna
Delad diskyta för en fail-over lösning, se Appendix C - Krav på delad diskyta vid en fail-over installation När databasserver och applikationsserver är förberedda, kan lokala Säkerhetstjänster installeras på applikationsservern.
Att installera lokala Säkerhetstjänster kan utföras på två sätt:
Singleserver lösning utan fail-over.
Fail-over lösning, som vi rekommenderar för en produktionsmiljö.
7.2.1. Val av installationstyp
Kopiera <Lokal_sakerhetstjanst> till valfri katalog på applikationsservern. Installationsprogrammet ligger under katalogen <Lokal_sakerhetstjanst>\install\.
7.2.2. Installation utan lokala Säkerhetstjänsters Autentiseringstjänst
Om inte den medföljande Autentiseringstjänsten ska användas så är det möjligt att konfigurera lokala Säkerhetstjänster att använda en annan IdP, detta hanteras då viametadata. Trots detta är det nödvändigt att ange något värde på konfigurationerna för IdP för att inte installationsskriptet ska falera i ett senare skede. Lämpligen kan man ange samma värden som för application host för certifikat och publik port men välja en annan intern port som är ledig och som inte är reserverad, t.ex 8444 och 8445.
Installation av SingelServer eller första noden i en fail-over lösning
Installationen kommer att kopiera in de filer som behövs för applikationsservern, samt registrera en service ”Lokal Säkerhetstjänst <version>”.
Efter installationen är det rekommenderat att byta servicekonto, se 2.17 Installation och administration (Windows)#Appendix B - Skapa separat .
servicekonto
Exekvera SakerhetstjansterSetup.exe under katalogstrukturen , …<Lokal_sakerhetstjanst>\install\ . Välkomstsidan visas. Klicka på knappen Next .
Från version 2.15 av Säkerhetstjänster har installationsprogrammet förbättrats. Man installerar på samma sätt som tidigare, men varje konfigurationsavsnitt har ett eget fönster i installationsprogrammet.
Sedan kan man när som helst spara undan konfigurationen genom att klicka på save-knappen. Detta kan vara bra att veta om man av någon anledning behöver pausa installationen för att återuppta denna vid ett senare tillfälle utan att behöva mata in alla värden på nytt igen.
1.
2.
3.
Välj "installation first node" och klicka på knappen Next .
Tryck på Browseoch välj vilken konfiguration-fil som ska användas. Det finns en katalog i installationspaketet som innehåller fördiefinerade konfig under följande struktur:
urationsfiler <Lokal_sakerhetstjanst>\install\resource\target . Välj beroende på typ av portkonfiguration, se beskrivning: Översikt adresser och portar.
8443 port installation (local.default.8443.ports.win.target.properties) innebär att alla tjänster har samma adress men olika portar för varje tjänst (standard i Säkerhetstjänster < 2.7).
443 port installation (local.default.443.ports.win.target.properties) innebär att alla tjänster nås på samma port (443 som standard) med olika adresser för varje tjänst.
3.
4.
Observera att en konfiguration med samma port för alla tjänster (port 443) även kräver flera ip-adresser samt en korrekt konfigurerad lastbalanserare!
Tryck sedan på knappen Next .
Ange sökvägen till katalog där java JDK finns installerat (exkludera katalogen bin) vart Säkerhetstjänsten ska installeras, sökväg till Säkerhetstjän, stens delade diskarea (som används av alla noder),
samt port för OSGI konsolen. I den delade diskarean läggs t.ex. konfigurationsfiler och binärer. Denna behöver i en Singleserver-installation ej vara delad.
Tryck sedan på knappen Next .
Save knappen är till för att man i installationsflödet ska kunna spara undan en kopia av konfigurationerna. Denna properties fil kommer då att innehålla de värden som man har fyllt i under installationens gång. De värden man inte har fyllt i kommer att hämtas från den konfigurationsfil som man utgick ifrån.
4.
5.
Parameter Defaultvärde Exempel Beskrivning
Path to Java JDK C:\Program Files\Java\jdk1.8.0_xx Katalog där java JDK finns installerat. Exkludera katalogen bin.
Path to installation directory
C:\Program Files\Inera\Lokala Säkerhetstjänster 2.17
Katalog där Säkerhetstjänster ska installeras.
Path to shared disk space
-- C:\share Katalog till Säkerhetstjänstens delade diskarea (som används
av alla noder).
OSGI Consol Port 1111 1111 Port för OSGI konsolen
5.
6.
Fyll i fälten för Log archive shared path och Log store proxy address.
Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Log archive shared path
<share>\xlog_archive Sökväg till den delade area där komprimerade PDL-logg arkiv sparas. Kommer att användas om lokala Loggtjänsten installeras.
Log store proxy address
ws.sakerhetstjanst.
example.com
Säkerhetstjänstens nationella publika adress.
Anges för att skicka PDL-loggar till nationella Loggtjänsten, när lokal loggtjänst inte installeras.
6.
7.
Fyll i fältet för Log Reports shared path.
Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Log Reports shared path <share>\logreports Sökväg till en delad filarea där färdiga rapporter sparas.
De funktionscertifikat som ska användas beskrivs i avsnitt
Fyll i fälten. 2.17 Installation och administration (Windows)#SITHS funktionscertifikat.
Systemets portar beskrivs i avsnitt Översikt adresser och portar.
Tryck sedan på knappen Next .
7.
-- Sökvägen till där funktionscertifikatet för legitimering (certificate.p12-fil) för Säkerhetstjänsten är sparat.
Bör inte vara ett SITHS-certifikat.
Server PKCS#12 certific password ate
-- Lösenord till ovan funktionscertifikat.
Application port (interna - server port)
8443 Https port för Säkerhetstjänstens Admin-GUI för intern åtkomst.
Application port (public - load balancer port)
8443 | 443 Https port för Säkerhetstjänstens Admin-GUI för extern åtkomst. Sätt värde 8443 för en och sätt värde 443 för en Se figurerna ovan.
8443 port-installation 443 port-installation.
Fyll i fälten. De funktionscertifikat som ska användas beskrivs i avsnitt 2.17 Installation och administration (Windows)#SITHS funktionscertifikat.
Systemets portar beskrivs i avsnitt Översikt adresser och portar.
Tryck sedan på knappen Next .
Parameter Defa
-- Sökväg till där man sparat funktionscertifikatet (certificate.p12-fil) för webbtjänsterna.
Bör vara ett SITHS-certifikat.
WS PKCS#12 certifi password cate
-- Lösenord till ovan funktionscertifikat
8.
8080 Port som Säkerhetstjänstens webbtjänster kommer att publiceras på för intern åtkomst.
Web Service Port (public - server port)
8080
| 443
Port som Säkerhetstjänstens webbtjänster kommer att publiceras på för extern åtkomst. Sätt värde 8080 för en 8443 port-installation och sätt värde 443 för en 443 port-installation. Se figurerna ovan.
Välj typ av kommunikation mellan noderna. Se beskrivning i kapitel 2.17 Installation och administration (Windows)#Kluster med Infinispan (Distributed in-memory cache) .
Vid UDP - Kontrollera att det andra fältet är en gilitg multicast-adress. (Tredje fältet används ej i detta läge)
Vid TCP - Ange i tredje fältet en kommaseparerad lista med alla noder och dess portnummer(inom hakparantes) som ska användas. (Andra fältet används ej i detta läge)
Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Infinispan protocol - UDP or TCP
UDP Protokoll för kommunikation mellan klusternoder.
Infinispan multicast address
239.0.10.1 Multicastadress för kommunikation mellan klusternoder när protokollet
UDP är valt.
Infinispan cluster members
nod1.sakerhetstjanst.example.com[7800], nod2.sakerhetstjanst.example.com[7800]
Statisk kommaseparerad lista på klusternoder när protokollet TCP är valt med portnumret inom 'hakparantes' såsom i exemplet.
10.
11.
Fyll i fälten. De funktionscertifikat som ska användas beskrivs i avsnitt 2.17 Installation och administration (Windows)#SITHS funktionscertifikat.
Systemets portar beskrivs i avsnitt Översikt adresser och portar.
Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
IdP tjänstens publika adress.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installati .
on utan Lokala Säkerhetstjänsters Autentiseringstjänst
Path to IdP PKCS#12
-- Sökväg till där man sparat funktionscertifikatet,legitimering, (certificate.p12-fil) för IdP tjänsten.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installati .
on utan Lokala Säkerhetstjänsters Autentiseringstjänst
Bör inte vara ett SITHS-certifikat.
IdP PKCS#12 password
-- Lösenord till ovan funktionscertifikat. Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation utan Lokala Säkerhetstjänsters
. Autentiseringstjänst
IdP port (internal)
8445 Port som används av SSO-service internt. Observera att ett värde måste anges även om inte autentiseringstjänsten ska installeras, se Installation utan Lokala Säkerhetstjänsters
. Autentiseringstjänst
IdP port (public)
8445 | 443 Port som används av SSO-service externt. Sätt värde 8445 för en 8443 port-installation och sätt värde 443 för en 443 port-installation. Se figurerna ovan.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installati .
on utan Lokala Säkerhetstjänsters autentiseringstjänst
Fyll i fälten. De funktionscertifikat som ska användas beskrivs i avsnitt 2.17 Installation och administration (Windows)#SITHS funktionscertifikat.
Systemets portar beskrivs i avsnitt Översikt adresser och portar.
Tryck sedan på knappen Next .
11.
Adress till IdP tjänsten som används för att identifiera/autentisera användare med SITHS-kort.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation .
utan Lokala Säkerhetstjänsters Autentiseringstjänst
Path to secure IdP PKCS#12
-- Sökväg till där funktionscertifikatet(legitimering) för IdP (certificate.p12-fil) för Säkerhetstjänsten är sparat.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation .
utan Lokala Säkerhetstjänsters Autentiseringstjänst
Bör inte vara ett SITHS-certifikat.
Secure IdP PKCS#12 password
-- Lösenord till ovan funktionscertifikat.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation .
utan Lokala Säkerhetstjänsters Autentiseringstjänst
Secure IdP port (internal)
8444 Port som används för att identifiera/autentisera användare med SITHS-kort internt.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation .
Port som används för att identifiera/autentisera användare med SITHS-kort externt. Sätt värde 8444 för en 8443 port-installation och sätt värde 443 för en 443 port-installation. Se figurerna ovan.
Observera att ett värde måste anges även om inte Autentiseringstjänsten ska installeras, se Installation .
utan Lokala Säkerhetstjänsters Autentiseringstjänst
Fyll i fälten. De funktionscertifikat som ska användas beskrivs i avsnitt 2.17 Installation och administration (Windows)#SITHS funktionscertifikat.
Systemets portar beskrivs i avsnitt Översikt adresser och portar.
Tryck sedan på knappen Next .
12.
Säkerhetstjänsten publika Common Domain adress.
(Om common domain inte används, dvs systemet ingår inte i en federation, ange "cd.
sakerhetstjanst.example.com")
Path to common domain Identity PKCS#12
-- Sökväg till där funktionscertifikatet(legitimering) för common domain (cd-certificate.p12-fil) för Säkerhetstjänsten är sparat.
(Om common domain inte används, dvs systemet ingår inte i en federation, ange samma funktionscertifikat som ovan.)
Common domain PKCS#12 password
-- Lösenord till ovan funktionscertifikat.
Common domain Port (internal)
8446 Port som används för intern åtkomst till Common Domain.
Common domain Port (public)
8446 | 443 Port som används för extern åtkomst till Common Domain. Sätt värde 8446 för en 8443 och sätt värde 443 för en . Se figurerna ovan.
13.
14.
Fyll i fälten. Se adresser som kan användas för test respektive produktion i avsnitt HSA-WS.
Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Host address example.com Adress till HSA tjänsten.
Port 443 Port för HSA tjänsten.
Search base c=SE Sökbas för HSA.
Context path /svr-hsaws2/hsaws Context path för HSA.
14.
15.
Fyll i fälten. Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Host address ntjp.example.com Adress till Personuppgiftstjänsten.
Port 443 Port för Personuppgiftstjänsten.
Fyll i fälten. Tryck sedan på knappen Next .
15.
16.
17.
Parameter Defaultvärde Exempel Beskrivning
Host address db.sakerhetstjanst.example.
com
Adress till databas(MySQL)-servern.
Port 3306 Port till MySQL.
User name sak Den användare som Säkerhetstjänstens skall använda för att koppla upp sig mot databasen.
Password Lösenord för databasanvändaren.
Database name prefix
example_ Namnen på databaserna kan ges ett prefix ifall så önskas. I annat fall lämnas detta fält tomt.
(Vill man ha ett underscore mellan prefix och namn så måste detta ingå).
Fyll i fälten. Tryck sedan på knappen Next .
Parameter Defaultvärde Exempel Beskrivning
Address replica server 1 mongodb1.sakerhetstjanst.example.com Adress till MongoDB Primary server.
Address replica server 2 mongodb2.sakerhetstjanst.example.com Adress till MongoDB Secondary server.
(Vid singelnodinstallation ange samma adress som server 1).
Port 27017 Port för MongoDB.
Username sak Användare för MongoDB.
Password Lösenord MongoDB.
17.
18.
19.
Fyll i fälten. Tryck sedan på knappen Next .
Parameter Default
värde Exe mpel
Beskrivning
Database name PDL log pdllog MongoDB databas för PDL-loggar Database name archive
auditlog MongoDB databas för systemloggar
Database name statistics log
statistics MongoDB databas för autentiseringsstatistik
Collection name prefix exa mple_
I databaserna skapas Collections som kan ges ett prefix ifall så önskas. I annat fall lämnas detta fält tomt. (Vill man ha ett underscore mellan prefix och namn så måste detta anges)
Days to keep statistics data in database
92 Antal dagar som statistikloggarna sparas innan de automatiskt tas bort.
Days to keep audit logs in MongoDB
92 Antal dagar som auditloggarna sparas innan de automatiskt tas bort.
Klicka på knappen Next för att starta installationen.
Systemet installeras och meddelar användaren med en bekräftelsedialog hur installationen gick. Klicka på knappen Exit för att avsluta.
19.
20.
1.
För uppstart av systemet, gå till avsnitt
Klicka på knappen Done för att avsluta installationen. 2.17 Installation och administration (Windows)
#Uppstart av applikationsserver.