Vai al contenuto

Installazione del server Mediation Controller

Nota

Come promemoria, il passaggio a root su macchine Debian deve essere fatto con il seguente comando:

1
su -

Scaricare lo specchio e gli strumenti necessari

Il mirror cyberelements Cleanroom 4.6 e la chiave di firma del repository di Systancia possono essere scaricati da questo link (richiede la creazione di un account cliente): Systancia Marketplace

Oltre allo specchio e alla chiave, per il processo di aggiornamento saranno necessari strumenti di terze parti:

  • Un client SSH (su Windows, lo strumento PuTTY può essere utilizzato)
  • Un client SCP (su Windows, il WinSCP o FileZilla possono essere utilizzati degli strumenti)

Usa il client SSH per connetterti in remoto al tuo server.

Usa il client SCP per trasferire i file sulla tua macchina remota.

Preparazione per l'installazione

Configurazione della rete

È indispensabile definire un indirizzo di rete statico per Mediation Controller. Per fare questo, è necessario prima recuperare il nome dell'interfaccia di rete della macchina. Eseguire il seguente comando come root:

1
ip -br a | grep -ve "^lo"

Questo comando mostra il nome dell'interfaccia di rete, il suo stato e gli indirizzi IP assegnati all'interfaccia.

Esempio

Dopo l'esecuzione del comando, viene visualizzato il seguente output:

1
ens192           UP             10.0.10.10/24

Il nome dell'interfaccia di rete è ens192.

Una volta ottenuto il nome dell'interfaccia di rete, è ora possibile modificare la configurazione di rete della macchina.
Modificare il file /etc/network/interfaces utilizzando il seguente modello:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto INTERFACE_NAME
iface INTERFACE_NAME inet static
    address IP_MED_WEB
    netmask NETMASK
    gateway NETWORK_GATEWAY
    dns-nameservers IP_DNS_1 IP_DNS_2
    dns-search DNS_SUFFIX

# The secondary network interface
auto INTERFACE_NAME:1
iface INTERFACE_NAME:1 inet static
    address IP_MED_SSL
    netmask NETMASK

In caso di:

  • INTERFACE_NAME deve essere sostituito dal nome dell'interfaccia di rete precedentemente recuperata.
  • IP_MED_WEB deve essere sostituito dall'indirizzo IP principale del server, che sarà l'indirizzo IP attraverso il quale è possibile accedere alle console web.
  • NETMASK deve essere sostituito dalla maschera di rete associata all'indirizzo IP.
  • NETWORK_GATEWAY deve essere sostituito dal gateway di rete predefinito.
  • IP_DNS deve essere sostituito dall'indirizzo IP del server DNS. Se occorre configurare più server (massimo 3), separarli con uno spazio.
  • DNS_SUFFIX deve essere sostituito dal suffisso DNS da utilizzare. Se non è necessario inserire alcun suffisso, cancellare la riga.
  • IP_MED_SSL Questo sarà l'indirizzo IP attraverso il quale il router SSL sarà accessibile.
Esempio 
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# This file describes the network interfaces available on your system 
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
    address 10.0.10.10
    netmask 255.255.255.0
    gateway 10.0.10.254
    dns-nameservers 10.0.10.100 10.0.10.101
    dns-search domain.local

# The secondary network interface
auto eth0:1
iface eth0:1 inet static
    address 10.0.10.11
    netmask 255.255.255.0

Prima di applicare la configurazione, ci sono altri tre passaggi da completare.

Il primo è installare il pacchetto resolvconf in modo che la configurazione DNS specificata nel file precedente possa essere applicata:

1
apt install -y resolvconf

Il secondo è quello di verificare la configurazione del file /etc/hosts per quanto riguarda l'indirizzo IP primario della macchina (IP_MED_WEB).
Per fare questo, modificare il file /etc/hosts e verificare che la seconda riga sia nel formato seguente:

2
IP_MED_WEB  FQDN    MACHINE_NAME
Esempio

Se la macchina è denominata MEDIATION-CONTROLLER senza appartenere a un dominio e il suo indirizzo IP IP_MED_WEB è 10.0.10.10, il file verrebbe completato come segue:

2
10.0.10.10  MEDIATION-CONTROLLER

Se la macchina appartiene al dominio DOMAIN.LOCAL, il file verrebbe completato come segue:

2
10.0.10.10  MEDIATION-CONTROLLER.DOMAIN.LOCAL   MEDIATION-CONTROLLER

Attenzione!

Una configurazione errata del file può causare un errore durante l'installazione del pacchetto collectd.

Infine, resta solo riavviare il servizio networking per caricare la nuova configurazione di rete:

1
systemctl restart networking

Configurazione del gestore di pacchetti APT

Posizionare i file recuperati dal Systancia Marketplace sul server in /tmp/ utilizzando un client SCP:

  • systancia.gpg
  • cleanroom-4.6.1-build33.1096.D12-full.tgz

Accedi al server come root, poi esegui i seguenti comandi per sbloccare il repository di Systancia, configurare il suo utilizzo in APT e autenticarlo.

1
2
3
4
5
mv /tmp/systancia.gpg /etc/apt/trusted.gpg.d/
mkdir -p /opt/systancia/repository/
tar xvzf /tmp/cleanroom-4.6*.tgz -C /opt/systancia/repository/
echo "deb file:///opt/systancia/repository/ bookworm ipdiva" > /etc/apt/sources.list.d/systancia.list
apt update

Si consiglia vivamente di disabilitare l'installazione di pacchetti non necessari quando si eseguono i comandi apt. Per farlo, eseguire il seguente comando:

1
echo -e 'APT::Install-Recommends false;\nAPT::Install-Suggests false;' > /etc/apt/apt.conf.d/99norecommends

Controllo della presenza del locale en_US.utf8

L'installazione del server Mediation Controller richiede la generazione di locale en_US.utf8.
Per verificare se sono già stati generati sul server, eseguire il seguente comando come root:

1
locale -a  | grep en_US.utf8

Se il ritorno di comando mostra en_US.utf8, allora procedere alla fase successiva della configurazione GRUB.
In caso contrario, eseguire i seguenti comandi per aggiungere questo locale alla macchina:

1
2
sed -i "s/# en_US.UTF-8 UTF-8/en_US.UTF-8 UTF-8/" /etc/locale.gen
locale-gen

Configurazione del programma di avvio GRUB

Una volta eseguiti questi comandi, è necessario riavviare la macchina dopo aver applicato una impostazione nel programma di avvio GRUB:

1
2
3
sed '9s/quiet/quiet vsyscall=emulate/' -i /etc/default/grub
update-grub
reboot

Installazione del server cyberelements Cleanroom Mediation Controller

Installazione di componenti di base

Iniziare l'installazione dei componenti utilizzando il seguente comando come root:

1
apt install -y ipdiva-base

Dopo aver scaricato tutte le dipendenze, si aprirà una finestra che vi chiederà di selezionare il tipo di server. mediation:

Quindi selezionare la modalità di installazione standalone:

Questa porta di ascolto è solitamente impostata su 443, ma la porta 8443 può essere utilizzata anche se il server di mediazione utilizza un solo IP:

Inserire l'indirizzo di accesso web del server Mediation Controller (corrisponde a IP_MED_WEB nella configurazione di rete):

Infine, inserire l'indirizzo IP del router SSL (corrisponde a IP_MED_SSL nella configurazione di rete):

Cosa fare in caso di errore?

Se vi è un errore nelle informazioni inserite, continuare con l'installazione del pacchetto ipdiva-base e quindi utilizzare il seguente comando per riconfigurare il server:

1
dpkg-reconfigure ipdiva-base

Installazione di componenti specifici

Iniziare l'installazione dei componenti specifici del server Mediation Controller utilizzando il seguente comando:

1
apt install -y ipdiva-safe-server

Per completare l'installazione del server è necessario riavviare il server (utilizzare il comando reboot).

Installazione di driver per la connessione a database Microsoft SQL Server

Se si desidera connettersi a un database esterno ed è un Microsoft SQL Server, devono essere installati driver ODBC aggiuntivi.

Sono disponibili due versioni: la versione 17 e la versione 18.

connessione TLS richiesta con i driver della versione 18

L'uso dei driver ODBC 18 richiede che la connessione sia crittografata utilizzando TLS. Per fare questo, MS SQL Server deve essere configurato per la crittografia della connessione.

Prima di iniziare l'installazione dei driver ODBC, è necessario installare i pacchetti necessari per la preparazione, quindi preparare il repository Microsoft per l'installazione del pacchetto:

1
2
3
4
apt install -y curl apt-transport-https gpg
curl -fsSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor -o /usr/share/keyrings/microsoft-prod.gpg
curl https://packages.microsoft.com/config/debian/12/prod.list > /etc/apt/sources.list.d/mssql-release.list
apt update

Successivamente, installare i driver in base alla versione selezionata e configurare le impostazioni di sistema per l'utilizzo del comando sqlcmd:

1
2
3
ACCEPT_EULA=Y apt install -y msodbcsql17 mssql-tools python3-pip
pip install mssql-scripter --break-system-packages
ln -sfn /opt/mssql-tools/bin/sqlcmd /usr/bin/sqlcmd

1
2
3
ACCEPT_EULA=Y apt install -y msodbcsql18 mssql-tools18 python3-pip
pip install mssql-scripter --break-system-packages
ln -sfn /opt/mssql-tools18/bin/sqlcmd /usr/bin/sqlcmd

I driver ODBC sono ora correttamente installati.
Se il server Mediation Controller ha accesso a un server MS SQL, il seguente comando dovrebbe consentire la connessione al server remoto:

1
sqlcmd -S SERVER\INSTANCE_NAME,PORT -U USER

In caso di:

  • SERVER deve essere sostituito con il nome DNS o l'indirizzo IP del server MS SQL.
  • INSTANCE_NAME deve essere sostituito con il nome dell'istanza a cui connettersi; se non necessario, rimuovere anche il carattere di barra inversa.
  • PORT deve essere sostituito con la porta di connessione all'istanza di database MS SQL.
  • USER deve essere sostituito con il nome utente per stabilire la connessione.
Esempio

Se il server Mediation Controller ha accesso a un server di database MS SQL tramite l'indirizzo IP 10.0.10.100, l'istanza da accedere è l'ascolto sulla porta 1433 e l'account di accesso è sql-user. Quindi il comando di connessione è il seguente:

1
sqlcmd -S 10.0.10.100,1433 -U sql-user

Se si dovesse specificare l'istanza di connessione denominata MSSQLINSTANCE, il comando verrebbe modificato come segue:

1
sqlcmd -S 10.0.10.100\MSSQLINSTANCE,1433 -U sql-user

Configurazione di un server NTP

Si raccomanda di impostare un server orario per mantenere aggiornato l'orologio del sistema. nella pagina di configurazione NTP.

Configurazioni iniziali su elementi cyber Cleanroom

I componenti del server Mediation Controller sono installati. Ora è necessario configurare il Mediation Controller.

  • Modificare le password predefinite

    Modificare le password predefinite per le console di sistema.

    Cambiamento

  • Installare certificati e licenze

    Il Mediation Controller richiede diversi certificati e una licenza per essere operativo.

    Installare certificati e licenza

  • Configurare il certificato web

    Configurare il certificato web utilizzato per connettersi alle interfacce web

    Configurare

  • Dichiarazione di un nome DNS

    Aggiungere un nome DNS autorizzato per connettersi alle interfacce web.

    Aggiungere

  • Configurare l'host virtuale SSL

    Configurazione dell'host virtuale cyberelements Cleanroom SSL, che consente di specificare l'indirizzo di connessione al router SSL per i client e il meccanismo di accoppiamento Edge Gateway.

    Configurare

  • Configurare l'organizzazione

    Configurare l'organizzazione elementi cyber Cleanroom.

    Configurare

  • Dichiarazione dei gateway di bordo

    Declare che i Gateway Edge o i Gateway HTML5 devono essere installati e generare un token di accoppiamento.

    Creazione di token di accoppiamento

  • Creare un sito logico

    Creare e configurare un sito logico che raggruppi Gateway Edge e Gateway HTML5 che possono accedere alle risorse locali.

    Creazione di un sito

  • Installare un Edge Gateway

    Installare e configurare un nuovo Edge Gateway con il server Mediation Controller appena installato.
    Sarà inoltre configurata un'istanza di HTML5 Gateway.

    Installare