wiki.habital.lv - User contributions [en]

Подключение к CheckPoint с помощью strongswan и libreswan

2021-01-28T18:21:45Z

Eugene: Created page with "== Подключение к CheckPoint с помощью strongswan и libreswan == Евгений Мисник === 1 Сертификаты для подключе..."

== Подключение к CheckPoint с помощью strongswan и libreswan ==

Евгений Мисник

 

=== 1 Сертификаты для подключения ===

Для подключения к CheckPoint потребуются следующие сертификаты:

* CA сертификат CheckPoint “internal_ca.pem”. Этот сертификат можно получить, подключившись к шлюзу CheckPoint на порт 18264:

$ wget http://<checkpoint gw address>:18264/internal_ca.cer $ openssl x509 -inform DER -outform PEM -in internal_ca.cer -out internal_cap.pem

* Сертификат сервера “checkpoint-cert.pem”. Его можно получить с адреса шлюза:

$ openssl s_client -connect <checkpoint gw address>:443

* CRL сертификат:

$ wget http://<checkpoint gw address>:18264/ICA_CRL1.crl $ openssl crl -in ICA_CRL1.crl -inform DER -outform PEM -out ICA_CRL1.crl

Срок действия сертификата “ICA_CRL1.crl” несколько дней. Поэтому “strongswan” будет пытаться обновить этот сертификат с CheckPoint шлюза.

# openssl crl -in /etc/strongswan/ipsec.d/crls/ICA_CRL1.crl -text -noout Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha256WithRSAEncryption Issuer: /O=smartcenter..i6sh4u Last Update: Jan 10 06:04:27 2021 GMT Next Update: Jan 17 06:04:27 2021 GMT CRL extensions: X509v3 Issuing Distrubution Point: critical Full Name: URI:http://smartcenter.example.org:18264/ICA_CRL1.crl DirName: O = smartcenter..i6sh4u, CN = ICA_CRL1

Подключаться “strongswan” будет к сайту “smartcenter”. Так как адреса для этого имени нет, то в файле “/etc/hosts” надо принудительно прописать IP-адрес:

# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 <checkpoint gw ip-address> smartcenter smartcenter.example.org

Лог в файле “/var/log/messages” может выглядеть так:

Jan 19 17:46:13 kvm charon: 16[CFG] using trusted ca certificate "O=smartcenter..i6sh4u" Jan 19 17:46:13 kvm charon: 16[CFG] checking certificate status of "O=smartcenter..i6sh4u, CN=smart VPN Certificate" Jan 19 17:46:13 kvm charon: 16[CFG] fetching crl from ’O=smartcenter..i6sh4u, CN=ICA_CRL1’ ... Jan 19 17:46:13 kvm charon: 16[LIB] unable to fetch from O=smartcenter..i6sh4u, CN=ICA_CRL1, no capable fetcher found Jan 19 17:46:13 kvm charon: 16[CFG] fetching crl from ’http://smartcenter:18264/ICA_CRL1.crl’ ...

Кроме этих сертификатов потребуется сертификат клиента, зарегистрированного на CheckPoint, “cpuser.p12”. Из этого сертификата надо получить сертификат клиента “cpuser.pem” и сертификат ключа “cpuser-key.pem”:

$ openssl pkcs12 -in cpuser.p12 -nocerts -out cpuser-key.pem $ openssl pkcs12 -in cpuser.p12 -nokeys -out temp.pem

Сертификат “temp.pem” содержит в себе сертификат пользователя и CA сертификат. С помощью редактора сертификат надо разделить на части, сохранить их как отдельные pem-файлы и с помощью openssl посмотреть содержимое сертификатов. Сертификат клиента будет содержать в себе что-то вроде этого: “Subject: O=smartcenter..i6sh4u, OU=users, CN=cpuser”.

=== 2 Настройка strongswan ===

Расположение настроек strongswan в каждом дистрибутиве может отличаться. В CentOS 7, OL7 или RHEL 7 настройки располжены в каталоге “/etc/strongswan”:

# tree -d /etc/strongswan /etc/strongswan _ ipsec.d __ aacerts __ acerts __ cacerts __ certs __ crls __ ocspcerts __ private __ reqs _ strongswan.d __ charon _ swanctl __ bliss __ conf.d __ ecdsa __ pkcs12 __ pkcs8 __ private __ pubkey __ rsa __ x509 __ x509aa __ x509ac __ x509ca __ x509crl __ x509ocsp

Файлы “internal_ca.pem”, “checkpoint-cert.pem” и “cpuser.pem”, “ICA_CRL1.crl”, “cpuser-key.pem” надо разместить в каталогах “/etc/strongswan/ipsec.d/cacerts”, “/etc/strongswan/ipsec.d/certs”, “/etc/strongswan/ipsec.d/crls” и в “/etc/strongswan/ipsec.d/private” соответственно.

Файл “cpuser-key.pem” должен имет права “0600” и владельцем всех вышеуказанных файлов должен быть “root:root”.

==== 2.1 Файл конфигурации “ipsec.conf” ====

Файл конфигурации “ipsec.conf” расположен в каталоге “/etc/strongswan”:

# ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # charondebug=1 # charondebug="cfg 2, dmn 2, ike 2, net 2, lib 3, knl 4" # Add connections here. conn %default # Left side is strongSwan - RoadWarrior left=%defaultroute leftcert=cpuser.pem # Cert of user - from /etc/strongswan/certs leftid="/O=smartcenter..i6sh4u/OU=users/CN=cpuser" leftrsasigkey=%cert auto=route conn remote # Right side is CheckPoint right=<checkpoint gw ip-address> rightcert=checkpoint-cert.pem # Cert of FW - from /etc/strongswan/certs rightid=<checkpoint gw ip-address> # config ike=aes256-sha1-modp1024 # check if IKE P1 are allowed under Global Prop. esp=aes256-sha1 # check if IKE P2 are allowed type=tunnel keyexchange=ikev1 # use IKE v1 keyingtries=3 authby=rsasig ikelifetime=8h # Lifetime for IKE Phase 1 lifetime=1h # Lifetime for IKE Phase 2 conn net-192.168.xx.0 also=remote rightsubnet=192.168.xx.0/24 auto=start conn net-192.168.yy.0 also=remote rightsubnet=192.168.yy.0/24 auto=start

==== 2.2 Файл “ipsec.secrets” ====

Файл расположен в каталоге “/etc/strongswan”:

# ipsec.secrets - strongSwan IPsec secrets file : RSA cpuser-key.pem "key file password"

==== 2.3 Запуск “strongswan” ====

Создание “IPsec VPN” между клиентом и CheckPoint выполняется несколькими командами:

# strongswan start Starting strongSwan 5.7.2 IPsec [starter]... # strongswan up remote generating QUICK_MODE request 2566461280 [ HASH SA No ID ID ] sending packet: from local.ip.address[4500] to checkpoint.gw.ip[4500] (204 bytes) received packet: from checkpoint.gw.ip[4500] to local.ip.address[4500] (156 bytes) parsed QUICK_MODE response 2566461280 [ HASH SA No ID ID ] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ detected rekeying of CHILD_SA bank{3} CHILD_SA bank{4} established with SPIs c3789495_i 55115f06_o and TS local.ip.address/32 === checkpoint.gw.ip/32 generating QUICK_MODE request 2566461280 [ HASH ] sending packet: from local.ip.address[4500] to checkpoint.gw.ip[4500] (60 bytes) connection ’remote’ established successfully

=== 3 Настройка libreswan ===

В RHEL 7, OEL 7 или CentOS 7 файлы настроек находятся к каталогах “/etc” и “/etc/ipsec.d”.

/etc/ipsec.conf /etc/ipsec.secrets /etc/ipsec.d/ipsec.conf /etc/ipsec.d/ipsec.secrets /etc/ipsec.d/cert9.db /etc/ipsec.d/key4.db /etc/ipsec.d/nsspassword

==== 3.1 База данных “nssdb” ====

Сертификаты клиента и сервера для “libreswan” хранятся в базе данных “nss”. Исходно база данных находится в “/etc/ipsec.d”. Для использования базы данных её надо инициализировать:

# ipsec initnss

Пароль для базы данных надо будет сохранить в файле “nsspassword”:

# cat /etc/ipsec.d/nsspassword NSS Certificate DB:<Here is my strong NSS password>

Вместо команды “ipsec initnss” можно воспользоваться командой “certutil”:

# certutil -N -d sql:/etc/ipsec.d

В базу данных надо занести сертификаты сервера и клиента (файл .p12):

# ipsec import cpuser.p12

Содержимое базы данных можно увидеть, используя “certutil”:

# certutil -L -d sql:/etc/ipsec.d Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI checkpoint-cert.pem P,, internal_ca.pem CT,, cpuser u,u,u

==== 3.2 Конфигурационные файлы ====

Исходный файл конфигурации “libreswan” - это “/etc/ipsec.conf”. В нём можно определить местонахождение логфайла, отладку:

# /etc/ipsec.conf - Libreswan IPsec configuration file # # see ’man ipsec.conf’ and ’man pluto’ for more information # # For example configurations and documentation, see https://libreswan.org/wiki/ config setup # Normally, pluto logs via syslog. logfile=/var/log/pluto.log # # Do not enable debug options to debug configuration issues! # # plutodebug="control parsing" # plutodebug="all crypt" plutodebug=none # # NAT-TRAVERSAL support # exclude networks used on server side by adding %v4:!a.b.c.0/24 # It seems that T-Mobile in the US and Rogers/Fido in Canada are # using 25/8 as "private" address space on their wireless networks. # This range has never been announced via BGP (at least up to 2015) virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10 # if it exists, include system wide crypto-policy defaults # include /etc/crypto-policies/back-ends/libreswan.config # It is best to add your IPsec connections as separate files in /etc/ipsec.d/ include /etc/ipsec.d/*.conf

В каталоге “/etc/ipsec.d/” размещаются файлы соединений, например “/etc/ipsec.d/ipsec.conf”:

# cat /etc/ipsec.d/ipsec.conf conn home # Right side is libreswan right=%defaultroute rightcert=cpuser # rightid="/O=smartcenter..i6sh4u/OU=users/CN=cpuser" rightid=%fromcert rightrsasigkey=%cert # Left side is CheckPoint left=<checkpoint gw ip-address> # leftsubnet=192.168.xx.0/24 leftcert=checkpoint-cert.pem # leftid=<checkpoint gw ip-address> leftid=%fromcert # Config vti-interface=ip_vti0 type=tunnel keyingtries=3 disablearrivalcheck=no authby=rsasig ike=aes256-sha1;modp1024 phase2=esp phase2alg=aes256-sha1 pfs=no ikelifetime=8h salifetime=1h ikev2=no keyexchange=ike auto=route conn net-192.168.xx.0 also=home leftsubnet=192.168.xx.0/24 #auto=start

==== 3.3 Запуск “libreswan” ====

Запуск сервиса возможен как напрямую, так и через “systemctl”:

# ipsec start Redirecting to: systemctl start ipsec.service # ipsec auto --up home au002 "home" #1: initiating Main Mode 104 "home" #1: STATE_MAIN_I1: initiate 106 "home" #1: STATE_MAIN_I2: sent MI2, expecting MR2 002 "home" #1: I am sending my cert 002 "home" #1: I am sending a certificate request 108 "home" #1: STATE_MAIN_I3: sent MI3, expecting MR3 002 "home" #1: Peer ID is ID_IPV4_ADDR: ’<checkpoint gw ip-address>’ 002 "home" #1: certificate verified OK: CN=smart VPN Certificate,O=smartcenter..i6sh4u 003 "home" #1: Authenticated using RSA 004 "home" #1: STATE_MAIN_I4: ISAKMP SA established {auth=RSA_SIG cipher=aes_256 integ=sha group=MODP1024} 002 "home" #2: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+UP+IKEV1_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW+ESN_NO {using isakmp#1 msgid:c80d7f54 proposal=AES_CBC_256-HMAC_SHA1_96 pfsgroup=no-pfs} 117 "home" #2: STATE_QUICK_I1: initiate 004 "home" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP/NAT=>0xcfeff49e <0xb0d447b9 xfrm=AES_CBC_256-HMAC_SHA1_96 NATOA=none NATD=<checkpoint gw ip-address>:4500 DPD=passive}

==== 3.4 Проверка “libreswan” ====

Проверить настройки “libreswan” можно с помощью команды “ipsec verify”:

# ipsec verify Verifying installed system and configuration files Version check and ipsec on-path [OK] Libreswan 3.25 (netkey) on 5.4.17-2036.102.0.2.el7uek.x86_64 Checking for IPsec support in kernel [OK] NETKEY: Testing XFRM related proc values ICMP default/send_redirects [OK] ICMP default/accept_redirects [OK] XFRM larval drop [OK] Pluto ipsec.conf syntax [OK] Two or more interfaces found, checking IP forwarding [OK] Checking rp_filter [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for IKE/NAT-T on udp 4500 [OK] Pluto ipsec.secret syntax [OK] Checking ’ip’ command [OK] Checking ’iptables’ command [OK] Checking ’prelink’ command does not interfere with FIPS [OK] Checking for obsolete ipsec.conf options [OK]

=== 4 Фаервол ===

В настройках фаервола надо добавить “NAT masquerading”, протоколы аутентификации IPsec (AH) и энкапсуляции (ESP):

# firewall-cmd --zone=public --permanent --add-rich-rule=’rule protocol value="esp" accept’ # firewall-cmd --zone=public --permanent --add-rich-rule=’rule protocol value="ah" accept’ # firewall-cmd --zone=public --permanent --add-masquerade

А также добавить “UDP” порты и сервис “ipsec”:

# firewall-cmd --zone=public --permanent --add-port=500/udp # firewall-cmd --zone=public --permanent --add-port=4500/udp # firewall-cmd --zone=public --permanent --add-service="ipsec" # firewall-cmd --reload

Посмотреть, что всё вышеуказанное включено в фаервол, можно с помощью команды “firewall-cmd --list-all”:

# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: wlo1 sources: services: ipsec rpc-bind ssh ports: 500/udp 4500/udp protocols: masquerade: yes forward-ports: source-ports: icmp-blocks: rich rules: rule protocol value="esp"accept rule protocol value="ah"accept

=== 5 Sysctl ===

В дополнение к исходным настройкам strongswan, надо дополнительно внести изменения в сетевые настройки ядра. Для этого надо добавить следующие строки в файл “/etc/sysctl.conf”:

# sysctl settings are defined through files in # /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/. # # Vendors settings live in /usr/lib/sysctl.d/. # To override a whole file, create a new file with the same in # /etc/sysctl.d/ and put new settings there. To override # only specific settings, add a file with a lexically later # name in /etc/sysctl.d/ and put new settings there. # # For more information, see sysctl.conf(5) and sysctl.d(5). net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.eno1.rp_filter = 0 net.ipv4.conf.wlo1.rp_filter = 0 net.ipv4.conf.ip_vti0.rp_filter = 0

Наименования интерфейсов “eno1”, “wlo1”, “ip_vti0” могут отличаться, а также могут присутствовать и другие интерфейсы, например “virbr0”, “virbr0-nic”. Посмотреть все имеющиеся интерфейсы можно с помощью команды “ip a”.

Main Page

2021-01-28T18:04:45Z

Eugene: /* Сеть */

== Slackware ==
* [[Wi-Fi]]
* [[X11]]

== Программное обеспечение ==
* [[Sendmail+SASL+TLS/SSL]]
* [[DKIM+Sendmail]]
* [[KMail]]
* [[DDNS+DHCP]]
* [[SUN VirtualBox]]
* [[Xfce]]
* [[Squid+ClamAV]]
* [[Squid SSL Bump]]
* [[Puppet]]
* [[Postfix Dovecot MySql]]
* [[Katello Foreman на OEL7]]
* [[fail2ban]]
* [[NextCloud, KDE Groupware и Oracle Linux 7 (CentOS 7)]]

== Сеть ==
* [[Bridge]]
* [[Удалённый доступ через VNC]]
* [[OpenSWAN + Checkpoint]]
* [[Подключение к CheckPoint с помощью strongswan и libreswan]]

== Ноутбук BENQ Joybook P52 ==
[[Image:Benq52.jpg]]
* [[Системные ресурсы]]
* [[Звук]]
* [[Сеть]]

== Видео на смартфоне ==
Для просмотра видео на смартфонах файлы должны быть в формате "[http://ru.wikipedia.org/wiki/3GP 3gp]". Для преобразования видео в этот формат хорошо подходит программа "[http://ru.wikipedia.org/wiki/FFmpeg ffmpeg]".

Команда для "старых телефонов" может выглядеть так:
ffmpeg -i input.avi -s 176x144 -r 15 -vb 120k -acodec libamr_nb -ar 8000 -ac 1 -ab 12.2k output.3gp
а для "новых":
ffmpeg -i input.avi -s 176x128 -vcodec mpeg4 -r 15 -acodec libfaac -ac 1 -ar 22000 -ab 56k output.3gp

NextCloud, KDE Groupware и Oracle Linux 7 (CentOS 7)

2020-06-10T20:13:03Z

Eugene: /* Сборка "KdePim" */

Те люди, кто используя ранее Oracle Linux 6 (CentOS 6) и смогли привыкнуть к пакету программ "KdePim", были неприятно удивлены тем, что в 7-й версии Oracle Linux (CentOS) этот пакет программ стал урезанным. В частности из него были удалены "Kontact" и почтовый клиент "KMail". Причиной послужил отказ от использования "QtWebKit". Входящие в пакет "KdePim" программы "Kaddressbook" и "KOrganizer" очень хорошо стыкуются с встроенными в "NextCloud" аппликациями "Contacts" и "Calendar".

== Сборка "KdePim" ==
Так как полный пакет "KdePim", вкючающий в себя недостающие программы, в оригинальных сборках отсутствет, то для сборки понадобится пакет "kdelibs-webkit-devel", который имеется в "epel-репозитории". Кроме этого, надо закомментировать установку дополнительного патча в сборке "kdepim", ограничивающего сборку "KMail".

Сборка пакета "kdepim" той же версии, которая предоставляется в дистрибутиве линукса.
[[File:Picture3.png]]

Пересобранный пакет "kdepim" можно взять [http://ftp.habital.lv/OEL-7/kdepim/ отсюда].

== NextCloud, KOrganizer и KAddressBook ==

Так как в "KOrganizer" и "KAddressBook" имеется поддержка CalDAV и CardDAV, то при настройке никаких проблем не возникает.

[[File:Picture1.png]]

[[File:Picture2.png]]

Для этого надо в поле "Remote URL" программ "KOrganizer" и "KAddressBook" указывать "https://<your.cloud.server>/remote.php/dav/".

NextCloud, KDE Groupware и Oracle Linux 7 (CentOS 7)

2020-06-10T19:46:16Z

Eugene: /* NextCloud, KOrganizer и KAddressBook */

Те люди, кто используя ранее Oracle Linux 6 (CentOS 6) и смогли привыкнуть к пакету программ "KdePim", были неприятно удивлены тем, что в 7-й версии Oracle Linux (CentOS) этот пакет программ стал урезанным. В частности из него были удалены "Kontact" и почтовый клиент "KMail". Причиной послужил отказ от использования "QtWebKit". Входящие в пакет "KdePim" программы "Kaddressbook" и "KOrganizer" очень хорошо стыкуются с встроенными в "NextCloud" аппликациями "Contacts" и "Calendar".

== Сборка "KdePim" ==

Так как полный пакет "KdePim", вкючающий в себя недостающие программы, в оригинальных сборках отсутствет, то для сборки понадобится пакет "kdelibs-webkit-devel", который имеется в "epel-репозитории". Кроме этого, надо закомментировать установку дополнительного патча в сборке "kdepim", ограничивающего сборку "KMail".

Сборка пакета "kdepim" той же версии, которая предоставляется в дистрибутиве линукса.
[[File:Picture3.png]]

Пересобранный пакет "kdepim" можно взять отсюда.

== NextCloud, KOrganizer и KAddressBook ==

Так как в "KOrganizer" и "KAddressBook" имеется поддержка CalDAV и CardDAV, то при настройке никаких проблем не возникает.

[[File:Picture1.png]]

[[File:Picture2.png]]

Для этого надо в поле "Remote URL" программ "KOrganizer" и "KAddressBook" указывать "https://<your.cloud.server>/remote.php/dav/".

File:Picture2.png

2020-06-10T19:45:24Z

Eugene:

File:Picture1.png

2020-06-10T19:42:23Z

Eugene: Eugene uploaded a new version of File:Picture1.png

File:Picture3.png

2020-06-10T19:40:25Z

Eugene: Eugene uploaded a new version of File:Picture3.png

NextCloud, KDE Groupware и Oracle Linux 7 (CentOS 7)

2020-06-10T19:24:12Z

Eugene: /* NextCloud, KOrganizer и KAddressBook */

Те люди, кто используя ранее Oracle Linux 6 (CentOS 6) и смогли привыкнуть к пакету программ "KdePim", были неприятно удивлены тем, что в 7-й версии Oracle Linux (CentOS) этот пакет программ стал урезанным. В частности из него были удалены "Kontact" и почтовый клиент "KMail". Причиной послужил отказ от использования "QtWebKit". Входящие в пакет "KdePim" программы "Kaddressbook" и "KOrganizer" очень хорошо стыкуются с встроенными в "NextCloud" аппликациями "Contacts" и "Calendar".

== Сборка "KdePim" ==

Так как полный пакет "KdePim", вкючающий в себя недостающие программы, в оригинальных сборках отсутствет, то для сборки понадобится пакет "kdelibs-webkit-devel", который имеется в "epel-репозитории". Кроме этого, надо закомментировать установку дополнительного патча в сборке "kdepim", ограничивающего сборку "KMail".

Сборка пакета "kdepim" той же версии, которая предоставляется в дистрибутиве линукса.
[[File:Picture3.png]]

Пересобранный пакет "kdepim" можно взять отсюда.

== NextCloud, KOrganizer и KAddressBook ==

Так как в "KOrganizer" и "KAddressBook" имеется поддержка CalDAV и CardDAV, то при настройке никаких проблем не возникает.

[[File:Picture1.png]]

Для этого надо в поле "Remote URL" программ "KOrganizer" и "KAddressBook" указывать "https://<your.cloud.server>/remote.php/dav/".

File:Picture1.png

2020-06-10T19:21:43Z

Eugene:

NextCloud, KDE Groupware и Oracle Linux 7 (CentOS 7)

2020-06-10T19:20:23Z

Eugene: /* Сборка "KdePim" */

Те люди, кто используя ранее Oracle Linux 6 (CentOS 6) и смогли привыкнуть к пакету программ "KdePim", были неприятно удивлены тем, что в 7-й версии Oracle Linux (CentOS) этот пакет программ стал урезанным. В частности из него были удалены "Kontact" и почтовый клиент "KMail". Причиной послужил отказ от использования "QtWebKit". Входящие в пакет "KdePim" программы "Kaddressbook" и "KOrganizer" очень хорошо стыкуются с встроенными в "NextCloud" аппликациями "Contacts" и "Calendar".

== Сборка "KdePim" ==

Так как полный пакет "KdePim", вкючающий в себя недостающие программы, в оригинальных сборках отсутствет, то для сборки понадобится пакет "kdelibs-webkit-devel", который имеется в "epel-репозитории". Кроме этого, надо закомментировать установку дополнительного патча в сборке "kdepim", ограничивающего сборку "KMail".

Сборка пакета "kdepim" той же версии, которая предоставляется в дистрибутиве линукса.
[[File:Picture3.png]]

Пересобранный пакет "kdepim" можно взять отсюда.

== NextCloud, KOrganizer и KAddressBook ==

Так как в "KOrganizer" и "KAddressBook" имеется поддержка CalDAV и CardDAV, то при настройке никаких проблем не возникает. Для этого надо в поле "Remote URL" программ "KOrganizer" и "KAddressBook" указывать "https://<your.cloud.server>/remote.php/dav/".

2019-09-10T21:06:15Z

Eugene: /* Установка плагина “Remote Execution” */

В данной статье описывается установка и начальные настройки сервера управления пакетами Katello на базе OEL7. Сервис "Katello" включает в себя управление конфигурациями "puppet", обнаружение и развертывание узлов "foreman", управление репозиториями "pulp", управление жизненным циклом "katello" и управление подписками "candlepin". Полную статью можно прочитать по следующей ссылке "http://wiki.habital.lv/images/Katello_foreman_oel7.pdf".

== Инсталляция “Katello Foreman” на сервер OEL 7 ==
3 сентября 2019 г.

'''Создание сервера'''
* Операционная система - OEL 7[[#fn1x0|1]].
* Необходимое требование к монтированию каталога “/tmp” - не должно быть опции “noexec”.

=== Firewall ===

Необходимо, чтобы были открыты следующие порты:

{| style="border-spacing:0;width:4.7396in;"
|-
||
||
||
|-
| align=center| Порт
| align=center| Протокол
| align=center| Назначение
|-
||
||
||
|-
||
||
||
|-
| align=center| 80
| align=center| TCP
| align=center| HTTP, used for provisioning purposes
|-
||
||
||
|-
| align=center| 443
| align=center| TCP
| align=center| HTTPS, used for web access and api communication
|-
||
||
||
|-
| align=center| 5647
| align=center| TCP
| align=center| qdrouterd - used for client and Smart Proxy actions
|-
||
||
||
|-
| align=center| 8140
| align=center| TCP
| align=center| Puppet agent to Puppet master connections
|-
||
||
||
|-
| align=center| 9090
| align=center| TCP
| align=center| HTTPS - used for communication
|-
||
||
| align=center| with the Smart Proxy
|-
||
||
||
|-
||
| colspan="2" |
|-
|}

Таблица 1: Открытые порты для “Katello”

Открытие портов:
<nowiki>#</nowiki> firewall-cmd --get-active-zones public 
<nowiki>#</nowiki> firewall-cmd \
 --zone=public \
 --add-port="53/udp" --add-port="53/tcp" \
 --add-port="67/udp" --add-port="69/udp" \
 --add-port="80/tcp" --add-port="443/tcp" \
 --add-port="5000/tcp" --add-port="5647/tcp" \
 --add-port="8000/tcp" --add-port="8140/tcp" \
 --add-port="8443/tcp" --add-port="9090/tcp" \
 --permanent 
<nowiki>#</nowiki> firewall-cmd --reload

=== Инсталляция пакетов ===

В состав дистрибутива “OEL 7” не входит пакет “subscribe-manager”, который надо устанавливать отдельно:
<nowiki>#</nowiki> wget https://copr.fedoraproject.org/coprs/dgoodwin/subscription-manager/repo/epel-7/dgoodwin-subscription-manager-epel-7.repo -O /etc/yum.repos.d/dgoodwin-subscription-manager-epel-7.repo

Кроме того, если установлены следующие пакеты:
* rhn-check
* rhn-client-tools
* rhn-setup
* rhn-setup-gnome
* rhnlib
* rhnsd
* yum-rhn-plugin

то их надо удалить.

==== Установка необходимых репозиториев. ====

<nowiki>#</nowiki> yum -y localinstall https://fedorapeople.org/groups/katello/releases/yum/3.12/katello/el7/x86_64/katello-repos-latest.rpm 
<nowiki>#</nowiki> yum -y localinstall https://yum.theforeman.org/releases/1.22/el7/x86_64/foreman-release.rpm 
<nowiki>#</nowiki> yum -y localinstall https://yum.puppet.com/puppet6-release-el-7.noarch.rpm 
<nowiki>#</nowiki> yum -y localinstall https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

=== Инсталляция “Katello” ===

Внимание: перед установкой необходимо обратить внимание на воможность установки с дополнительными флагами.
<nowiki>#</nowiki> yum -y install foreman-release-scl 
<nowiki>#</nowiki> yum -y install katello 
<nowiki>#</nowiki> foreman-installer --scenario katello \
   --foreman-initial-organization="Example" \
   --foreman-initial-location="Latvia" \
   --foreman-initial-admin-username=admin \
   --foreman-initial-admin-password="Passw0rd" 
Installing             Done                                               [100%]   Success!   
<nowiki>*</nowiki> Katello is running at https://foreman.bank.baltikums.com   
<nowiki>*</nowiki> To install an additional Foreman proxy on separate machine continue by running:
       foreman-proxy-certs-generate --foreman-proxy-fqdn "$FOREMAN_PROXY" --certs-tar "/root/$FOREMAN_PROXY-certs.tar"  
 The full log is at /var/log/foreman-installer/katello.log yum install -y -q rh-mongodb34-syspaths finished successfully!

==== Смена пароля ====

При необходимости можно сменить административный пароль:
<nowiki>#</nowiki> foreman-rake permissions:reset 
/usr/share/foreman/lib/foreman.rb:8: warning: already initialized constant Foreman::UUID_REGEXP 
/usr/share/foreman/lib/foreman.rb:8: warning: previous definition of UUID_REGEXP was here 
Reset to user: admin, password: HfWLyceWA5bdRon3

Если была произведена смена пароля, то в файле “/root/.hammer/cli.modules.d/foreman.yml” также необходимо изменить пароль.

==== Добавление доменов ====

<nowiki>#</nowiki> hammer domain create --name habital.lv

==== Добавление подсетей ====

<nowiki>#</nowiki> hammer domain list 
---|------------------- 
ID | NAME 
---|------------------- 
1  | habital.lv 
---|------------------- 
<nowiki>#</nowiki> hammer subnet create \
   --organizations "Example" \
   --locations "Latvia" \
   --name "VirtualBox Net" \
   --network "10.0.3.0" \
   --mask "255.255.255.0" \
   --network-type "IPv4" \
   --domain-ids "1"

==== Добавление продуктов ====

===== Создание нового продукта =====

<nowiki>#</nowiki> hammer organization list 
<nowiki>#</nowiki> hammer product create \
   --name=’Extra Packages for Enterprise Linux’ \
   --organization-id 1 \
   --description ’Extra Packages for Enterprise Linux’

===== Добавление GPG-ключей =====

<nowiki>#</nowiki> hammer organization list 
<nowiki>#</nowiki> wget -q https://dl.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-7 -O ~/RPM-GPG-KEY-EPEL-7 
<nowiki>#</nowiki> hammer gpg create \
   --key ~/RPM-GPG-KEY-EPEL-7 \
   --name ’GPG EPEL 7’ \
   --organization-id 1

[[Image:0_home_eugene_Documents_Foreman_katello_foreman_content_cred.pngImage1.png|top|alt="PIC"]]

Рис. 1: Content Credentials

===== Добавление EPEL 7-репозитория =====

<nowiki>#</nowiki> hammer organization list 
<nowiki>#</nowiki> hammer gpg list --organization-id 1 
<nowiki>#</nowiki> hammer repository create  \
   --name=’EPEL 7 - x86_64’ \
   --organization-id 1 \
   --product=’Extra Packages for Enterprise Linux’ \
   --content-type=’yum’ \
   --download-policy "on_demand" \
   --publish-via-http=true \
   --url=https://dl.fedoraproject.org/pub/epel/7/x86_64/ \
   --gpg-key="GPG EPEL 7"

Кроме этого надо добавить ключи, репозитории для продуктов “Oracle Enterprise Linux 7”, “Puppet Client for RHEL/CentOS 7”.

[[Image:1_home_eugene_Documents_Foreman_katello_foreman_products.pngImage2.png|top|alt="PIC"]]

Рис. 2: Продукты Katello

===== Синхронизация репозиториев =====

После создания нескольких репозиториев их необходимо синхронизировать:
<nowiki>#</nowiki> hammer repository list 
... 
1 | EPEL 7 - x86_64     | EPEL 7 - x86_64 
6 | OL7_Addons          | Oracle Enterprise Linux 7 
3 | OL7_Latest          | Oracle Enterprise Linux 7 
5 | OL7_Optional_Latest | Oracle Enterprise Linux 7 
4 | OL7_UEKR5           | Oracle Enterprise Linux 7 
2 | puppet_pc1_x86_64   | Puppet Client for RHEL/CentOS 7 ...  
<nowiki>#</nowiki> hammer product list --organization-id 1 
... 
1 | EPEL 7 - x86_64 | Extra Packages for Enterprise Linux 
4 | Oracle Enterprise Linux 7 | Oracle Enterprise Linux 7 
2 | Puppet Client for RHEL/CentOS 7 | Puppet client repository to use with RHEL ?CentOS 7 
...  
<nowiki>#</nowiki> for i in $(seq 3 6); do \
 hammer repository synchronize \
 --product "Oracle Enterprise Linux 7" \
 --id "$i"; \
 done

Синхронизацию можно осуществить также и через WEB-UI.

==== Livecycle ====

Создание:
<nowiki>#</nowiki> hammer lifecycle-environment create \
 --name "Production" \
 --description "Production" \
 --prior "Library" --organization-id 1

==== Content View ====

<nowiki>#</nowiki> hammer content-view create \
   --name "OEL7_content" \
   --description "Content view for OEL7" \
   --organization-id 1

===== Публикование “Content View” =====

<nowiki>#</nowiki> hammer content-view publish \
   --name "OEL7_content" \
   --description "Publishing repositories"

[[Image:2_home_eugene_Documents_Foreman_katello_foreman_content_view.pngImage3.png|top|alt="PIC"]]

Рис. 3: Content View

==== Создание ключей активации ====

<nowiki>#</nowiki> hammer activation-key list --organization-id 1 
---|------|------------|-----------------------| 
ID | NAME | HOST LIMIT | LIFECYCLE ENVIRONMENT | CONTENT VIEW 
---|------|------------|-----------------------| 
<nowiki>#</nowiki> hammer lifecycle-environment list 
---|-------------|------------ 
ID | NAME        | PRIOR 
---|-------------|------------ 
1  | Library     | 
2  | Production  | Library 
---|-------------|------------ 
<nowiki>#</nowiki> hammer content-view version list 
... 
2  | OEL7_content 1.0              | 1.0     | Library,Production 
1  | Default Organization View 1.0 | 1.0     | Library 
...

Создадим ключ активации для “Content View - OEL7_content”:
<nowiki>#</nowiki> hammer activation-key create \
   --name "OEL7-key" \
   --description "Key to use with OEL7" \
   --lifecycle-environment "Library" \
   --content-view "OEL7_content" \
   --unlimited-hosts \
   --organization-id 1 
Activation key created.

Все подписки можно увидеть через WEB-UI:

[[Image:3_home_eugene_Documents_Foreman_katello_foreman_subscripion.pngImage4.png|top|alt="PIC"]]

Рис. 4: Subscriptions

=== Регистрация клиента на “Katello”-сервере ===

На стороне клиента надо проверить, что установлен “subscription-manager”:
<nowiki>#</nowiki> yum install subscription-manager

А также:
<nowiki>#</nowiki> yum install -y https://yum.theforeman.org/client/1.22/el7/x86_64/foreman-client-release.rpm 
<nowiki>#</nowiki> curl --insecure --output katello-ca-consumer-latest.noarch.rpm https://foreman.habital.lv/pub/katello-ca-consumer-latest.noarch.rpm 
<nowiki>#</nowiki> yum localinstall katello-ca-consumer-latest.noarch.rpm 
<nowiki>#</nowiki> yum install katello-agent

[[Image:4_home_eugene_Documents_Foreman_katello_foreman_host_registration.pngImage5.png|top|alt="PIC"]]

Рис. 5: Katello Content Host Registration

Если используется виртуализация на основе “VmWare”, “Hyper-V”, “Xen”, “VDSM” или “RHEVM”, то надо установить на гостевые узлы пакет “virt-who” и его настроить (см. [https://access.redhat.com/labsinfo/virtwhoconfig https://access.redhat.com/labsinfo/virtwhoconfig]). В связи с тем, что система “Katello” устанавливалась на VirtualBox, настройка пакета “virt-who” не проводилась.

После успешной регистрации “Katello”-сервера и гостевых узлов эти узлы можно сразу увидеть в “Content Hosts”:

[[Image:5_home_eugene_Documents_Foreman_katello_foreman_content_hosts.pngImage6.png|top|alt="PIC"]]

Рис. 6: Content Hosts

=== Модули для “Puppetserver” ===

На сайте [https://forge.puppet.com/ https://forge.puppet.com/] можно найти готовые модули для puppetserver.

==== Модуль “ntp” ====

Для проверки работы модулей можно с вышеуказанного сайта выбрать модуль ‘ntp” и инсталлировать его:
<nowiki>#</nowiki> puppet module install puppetlabs-ntp --version 8.0.0 
Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules 
... 
Notice: Downloading from https://forgeapi.puppet.com 
... 
Notice: Installing -- do not interrupt 
... 
/etc/puppetlabs/code/environments/production/modules 
|-- puppetlabs-ntp (v8.0.0)    
|-- puppetlabs-stdlib (v6.0.0)

Изменим содержимое файла “site.pp” на следующее:
class { ’ntp’:
   
servers   <nowiki>=></nowiki> [ ’0.pool.ntp,org’, ’1.pool.ntp.org’ ],   
restrict  <nowiki>=></nowiki> [     ’default ignore’,
     ’-6 default ignore’,
     ’127.0.0.1’,
     ’-6 ::1’,
    ], 
}
  
include ntp

и на хосте с “puppet-агентом” принудительно перечитаем “pp-файл”:
<nowiki>#</nowiki> puppet agent -t После добавления модуля следует перечитать содержимое (рис.7, 8):

[[Image:6_home_eugene_Documents_Foreman_katello_foreman_puppet_envs.pngImage7.png|top|alt="PIC"]]

Рис. 7: Puppet environments

[[Image:7_home_eugene_Documents_Foreman_katello_foreman_puppet_envs_update.pngImage8.png|top|alt="PIC"]]

Рис. 8: Puppet change

==== Удаление модуля ====

Для начала надо проверить список установленных модулей:
<nowiki>#</nowiki> puppet module list /etc/puppetlabs/code/environments/production/modules |--- puppetlabs-apache (v5.0.0) |--- puppetlabs-concat (v6.1.0) 
|--- puppetlabs-ntp (v8.0.0) 
|--- puppetlabs-stdlib (v6.0.0) 
|--- puppetlabs-translate (v2.0.0) 
/etc/puppetlabs/code/environments/common (no modules installed) 
/etc/puppetlabs/code/modules (no modules installed) 
/opt/puppetlabs/puppet/modules (no modules installed) 
/usr/share/puppet/modules (no modules installed) 
<nowiki>#</nowiki> puppet module uninstall puppetlabs-ntp Notice: Preparing to uninstall ’puppetlabs-ntp’ ... Removed ’puppetlabs-ntp’ (v8.0.0) from /etc/puppetlabs/code/environments/production/modules

=== Установка плагина “Remote Execution” ===

Для возможности удалённого выполнения команд надо добавить плагин “Remote Execution”. Он может устанавливаться как при исходной инсталляции, так и после.
<nowiki>#</nowiki> foreman-installer \
 --enable-foreman-plugin-remote-execution \
 --enable-foreman-proxy-plugin-remote-execution-ssh
 Preparing installation Done
                                             
 Success!   
<nowiki>*</nowiki> Katello is running at https://foreman.habital.lv   
<nowiki>*</nowiki> To install an additional Foreman proxy on separate machine
 continue by running:       foreman-proxy-certs-generate --foreman-proxy-fqdn "$FOREMAN_PROXY" --certs-tar "/root/$FOREMAN_PROXY-certs.tar"  
 The full log is at /var/log/foreman-installer/katello.log

==== Настройка ключей SSH ====

На сервере надо создать пару ключей “SSH”:
<nowiki>#</nowiki> cd /usr/share/foreman-proxy/.ssh 
<nowiki>#</nowiki> sudo -u foreman-proxy ssh-keygen \
 -f ~foreman-proxy/.ssh/id_rsa_foreman_proxy -N ’’

При наличии уже имеющихся ключей их надо будт обновить. В случае, если включен “SELinux”, надо выполнить команду:
<nowiki>#</nowiki> restorecon -RvF ~foreman-proxy/.ssh

После чего выполнить рестарт “httpd”, “foreman-tasks” и “foreman-proxy”, а также скопировать публичный ключ на удалённые хосты:
<nowiki>#</nowiki> ssh-copy-id -i ~foreman-proxy/.ssh/id_rsa_foreman_proxy.pub \ root@remotehost.habital.lv

Затем следует проверить на “Katello”-сервере в WEB-UI, что добавлены “Dynflow” и “SSH”:

[[Image:8_home_eugene_Documents_Foreman_katello_foreman_smartproxies.pngImage9.png|top|alt="PIC"]]

Рис. 9: SmartProxies

[[#fn1x0-bk|1 ]]Для пробы системы “Katello” использовалась виртуализация VirtualBox. Под систему было выделено 12ГБ ОЗУ и 2 виртуальных процессора.