Установка и настройка Консоли управления Docsvision

В данной версии установка Консоль управления Docsvision предусмотрена только в ОС Linux.

Без установки и первоначальной настройки Консоли управления Docsvision не будет функционировать базовый модуль "Служба фоновых операций", необходимый для создания групп заданий и отправки почтовых уведомлений.

Требуется установить Консоль управления Docsvision и сервис настроек. Установка должна выполняться на одной машине, установка на разные серверы не поддерживается.

Установка Консоли управления Docsvision

Консоль управления Docsvision можно установить на отдельный от Docsvision сервер. В таком случае, пользователь, от имени которого запускается Консоль управления Docsvision, должен быть добавлен в конфигурационном файле в параметр Docsvision Management Console Administrators на сервере с Консолью управления. Также должны быть выполнены соответствующие настройки в конфигурационном файле модуля, подробнее см. ниже.

Чтобы установить Консоль управления Docsvision:

Установите серверные компоненты Консоли управления Docsvision следующей командой, предварительно обновив индекс пакетов:
- Astra Linux / ALT Linux
- РЕД ОС / SberLinux
sudo apt-get update sudo apt-get install docsvision-managementconsole
sudo dnf install docsvision-managementconsole

Все настройки Консоли управления Docsvision хранятся в конфигурационном файле appsettings.json. Конфигурационный файл может быть изменён в любом текстовом редакторе, например nano.

sudo nano /usr/lib/docsvision/managementconsole/appsettings.json

{
  "SettingsService": {
    "ConnectionString": "ConnectAddress=http://settings.domain.com:5200/api", (1)
    "ApiKey": "SettingsServiceApiKey" (2)
  },
  "ExternalApiService": {
    "ConnectionString": "Address=http://externalapi.domain.com:5300/api", (3)
    "ApiKey": "ExternalApiServiceApiKey" (4)
  },
  "System": {
    "ManagementConsoleAddress": "http://console.domain.com:5100" (5)
  },
  "Catalogs": [], (6)
  "Groups": {
    "Docsvision Management Console Administrators": [
      "account@domain.com" (7)
    ]
  }
}

1	`ConnectionString` — Адрес Сервиса настроек.
2	`ApiKey` — Ключ доступа к Сервису настроек — "пароль", который также должен быть указан в конфигурационном файле сервиса и конфигурационном файле Сервиса настроек.
3	`ConnectionString` — Адрес Сервиса внешнего API.
4	`ApiKey` — Ключ доступа к Сервису внешнего API — "пароль", который также должен быть указан в конфигурационном файле сервиса.
5	`ManagementConsoleAddress` — Адрес Консоли управления Docsvision.
6	`Catalogs` — см. подробнее Настройка работы в домене.
7	`Docsvision Management Console Administrators` — Пользователи, которым разрешен вход в Консоль управления.

Запустите службу Консоли:
```
sudo systemctl start dvconsole
```
Если данный модуль устанавливается последним, запустите Консоль настройки Docsvision и выполните обновление базы данных, следуя инструкции в документации по администрированию модуля "Платформа":
- "Подключить существующую базу данных"
- "Создать новую базу данных"
На сервере Linux, укажите псевдоним и строку подключения к существующей или новой БД в конфигурационном файле модуля Платформа и перезапустите службу dvappserver командой:
```
sudo systemctl restart dvappserver
```

Установка сервиса настроек

Установка Сервиса настроек

Чтобы установить Сервис настроек:

Установите серверные компоненты Сервиса настроек следующей командой, предварительно обновив индекс пакетов:
- Astra Linux / ALT Linux
- РЕД ОС / SberLinux
sudo apt-get update sudo apt-get install docsvision-settingsservice
sudo dnf install docsvision-settingsservice

Все настройки Сервиса настроек хранятся в конфигурационном файле appsettings.json. Конфигурационный файл может быть изменён в любом текстовом редакторе, например nano.

sudo nano /usr/lib/docsvision/settingsservice/appsettings.json

Основные настройки, которые нужно сделать:

{
  "ApiKey": "SettingsServiceApiKey", (1)
  "StorageOptions": {
    "Providers": [
      {
        "Alias": "SqlStorage",
        "Default": true,
        "StorageType": "DB-type", (2)
        "StorageOptions": "CONNECTION-STRING", (3)
        "ProviderType": "Hierarchy"
      }
    ]
  }
}

1	Ключ доступа к Сервису настроек — "пароль", который также необходимо указать в конфигурационном файле Сервиса внешнего API и конфигурационном файле Консоли управления Docsvision.
2	Тип БД: `MsSql` или `PgSql`.
3	Строка подключения к БД. См. подробнее "Строка подключения к базе данных для хранения настроек" в документации Консоли управления Docsvision.

Запустите службу сервиса:
```
sudo systemctl start dvsettings
```

Установка сервиса внешнего API

Чтобы установить Сервис внешнего API:

Установите серверные компоненты Сервиса внешнего API следующей командой, предварительно обновив индекс пакетов:
- Astra Linux / ALT Linux
- РЕД ОС / SberLinux
sudo apt-get update sudo apt-get install docsvision-externalapi
sudo dnf install docsvision-externalapi

Все настройки Сервиса внешнего API хранятся в конфигурационном файле appsettings.json. Конфигурационный файл может быть изменён в любом текстовом редакторе, например nano.

sudo nano /usr/lib/docsvision/externalapi/appsettings.json

{
  "ApiKey": "ExternalApiServiceApiKey", (1)
  "SettingsService": {
    "ConnectionString": "address", (2)
    "ApiKey": "SettingsServiceApiKey" (3)
  }
}

1	Ключ доступа к Сервису внешнего API — "пароль", который также должен быть указан в конфигурационном файле Консоли управления Docsvision.
2	Адрес сервиса настроек. Например, `ConnectAddress=http://settings.domain.com:5200/api`.
3	Ключ доступа к Сервису настроек — "пароль", который также нужно указать в конфигурационном файле Сервиса настроек и конфигурационном файле Консоли управления Docsvision.

Запустите службу сервиса:
```
sudo systemctl start dvexternalapi
```
Если данный модуль устанавливается последним, запустите Консоль настройки Docsvision и выполните обновление базы данных, следуя инструкции в документации по администрированию модуля "Платформа":
- "Подключить существующую базу данных"
- "Создать новую базу данных"
На сервере Linux, укажите псевдоним и строку подключения к существующей или новой БД в конфигурационном файле модуля Платформа и перезапустите службу dvappserver командой:
```
sudo systemctl restart dvappserver
```

Строка подключения к базе данных для хранения настроек

Строка подключения содержит адрес подключения к базе данных для хранения настроек. Вид строки подключения зависит от выбранной базы данных.

Для Сервиса настроек рекомендуется использовать отдельную базу данных.

Для Microsoft SQL Server: Data Source=Адрес-сервера-баз-данных;Initial Catalog=Название-БД-Сервиса настроек;Integrated Security=False;User ID=Имя-пользователя-БД;Password=Пароль-пользователя-БД;TrustServerCertificate=True.

Data Source — адрес сервера SQL для подключения к БД. В качестве Data Source может быть указан экземпляр SQL-сервера, например так: Data Source=DVDatabse\\Server1.
Название-БД-Сервиса настроек — псевдоним базы данных.
Integrated Security — задает логическое значение, определяющее способ проверки подлинности:
- False — при подключении в строке должны быть указаны идентификатор пользователя и пароль.
- True — при подключении будут использованы учетные данные текущей учетной записи Windows.
Имя-пользователя-БД — учётная запись пользователя для подключения к БД.
Пароль-пользователя-БД — пароль учётной записи для подключения к БД.
TrustServerCertificate=True — подробнее про настройку см. особенности настройки сертификата.

При использовании строки подключения к хранилищу с Windows-аутентификацией для Microsoft SQL Server учетной записи службы Сервиса настроек необходимо предоставить права на создание новых БД, а также полные права на БД, которая будет создана при запуске Сервиса настроек.

Если в строке подключения введены корректные данные, при запуске Сервиса настроек будет создана новая или обновлена существующая БД.

Для PostgreSQL/Pangolin: host=Адрес-сервера-баз данных;Port=SQL-порт;database=Название-БД-Сервиса настроек;Username=Имя-пользователя-БД;Password=Пароль-пользователя-БД.

Адрес-сервера-баз данных — адрес сервера SQL для подключения к БД.
SQL-порт — порт SQL-сервера.
Название-БД-Сервиса настроек — псевдоним базы данных.
Имя-пользователя-БД — учётная запись пользователя для подключения к БД.
Пароль-пользователя-БД — пароль учётной записи для подключения к БД.

Настройка Консоли управления Docsvision

Установка приносит настройки, которые не зависят от машины где развертывается Консоль управления Docsvision. После установки создаётся файл настроек Консоли управления Docsvision appsettings.json По умолчанию в файле указываются настройки для BackOffice. В .json файле настроек содержатся: имена типов реализаций подключаемых к Службе фоновых операций, настройки их сопоставления, роли обработки задач BackOffice, а также настройки самой Службы фоновых операций (включая очереди, фабрики и прочие).

После установки Консоль управления Docsvision требуется выполнить первичную настройку Консоли и Службы фоновых операций.

Если проигнорировать первичную настройку:

Не будут создаваться и отправляться группы заданий.
Не будут отправляться почтовые уведомления исполнителям.

См. подробнее в руководстве пользователя Консоли управления "Первичная настройка Консоли управления".

Особенности настройки сертификата

Настройка актуальная только для Microsoft SQL, для PostgreSQL дополнительных настроек не требуется. По умолчанию провайдер считает соединение с БД защищённым.

Если соединение не защищено (т.е. не настроен сертификат на уровне БД, используется самозаверенный или недействительный сертификат), необходимо в строке соединения указывать TrustServerCertificate = true, это сообщит провайдеру, что серверу можно доверять.

Если есть потребность защитить соединение, настройте Microsoft SQL сервер в соответствии с инструкцией.

Настройка работы в домене

Консоль управления Docsvision поддерживает работу в одном или нескольких доменах. Для этого в конфигурационном файле модуля необходимо выполнить настройку доменных каталогов — параметр "Catalogs".

В конфигурационном файле настройка представлена следующим массивом: "Catalogs": []. Настройки вступают в работу, если в массиве присутствует хотя бы одно описание каталога.

Без выполнения данных настроек аутентификация в модуле будет недоступна!

{
 "Catalogs": [
  {
   "FullDomainName": "example1.com", (1)
    "NetBiosDomainName": "example1", (2)
    "LdapOptions": { (3)
      "LdapServerAddresses": [ "example1.com" ], (4)
      "AuthType": "Basic", (5)
      "Credential": { (6)
        "UserName": "user@example1.com",
        "Password": "Password"
      }
    }
 },
  {
    "FullDomainName": "example2.com", (7)
    "ChallengeTo": "example1.com" (8)
  }
]
}

1	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
2	`NetBiosDomainName` — `NetBios`-имя домена указывается в формате `domain\\user` перед `\\`.
3	`LdapOptions` — настройки подключения к LDAP каталогу домена.
4	`LdapServerAddresses` — адреса серверов LDAP данного домена. Если адрес соответствует полному имени домену, параметр можно удалить.
5	`AuthType` — тип аутентификации в LDAP.
6	`Credential` — логин и пароль пользователя для подключения к LDAP-каталогам текущего домена. Пароль для подключения можно зашифровать, см. подробнее в документации по установке системы, раздел "Защита системной учётной записи".
7	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
8	`ChallengeTo` — настройка позволяет переадресовывать запросы от выбранного домена к каталогам указанного домена, см. далее.

Раздел Catalogs может содержать массив настроек вида:

{
    "FullDomainName": "example.com", (1)
    "NetBiosDomainName": "EXAMPLE", (2)
    "LdapOptions": { (3)
      "LdapServerAddresses": [ "example.com" ], (4)
      "AuthType": "Basic", (5)
      "Port": 389, (6)
      "Credential": { (7)
        "UserName": "user@example.com",
        "Password": "Password"
      }
    }
}

1	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
2	`NetBiosDomainName` — `NetBios`-имя домена указывается в формате `domain\\user` перед `\\`.
3	`LdapOptions` — настройки подключения к LDAP каталогу домена.
4	`LdapServerAddresses` — адреса серверов LDAP данного домена. Если адрес соответствует полному имени домену, параметр можно удалить.
5	`AuthType` — тип аутентификации в LDAP.
6	`Port` — порт подключения к LDAP каталогам, перечисленным в `LdapServerAddresses`.
7	`Credential` — логин и пароль пользователя для подключения к LDAP-каталогам текущего домена. Пароль для подключения можно зашифровать, см. подробнее в документации по установке системы, раздел "Защита системной учётной записи".

Настройка "ChallengeTo"

Для большей гибкости предусмотрена настройка ChallengeTo, позволяющая переадресовывать запросы от выбранного домена к каталогам указанного домена. Например, если пользователи в домене example.com, имеют учётную запись user@example1.com, конфигурационный файл можно изменить следующим образом:

{
    "FullDomainName": "example1.com",
    "NetBiosDomainName": "example1",
    "ChallengeTo": "example2.com"
}

Осуществляется проверка значения, указанного после @ (для UPN-формата) или до \ (для NT-формата), проводится поиск соответствия в Catalogs. Если у такого соответствия есть ChallengeTo, далее аутентификация пользователя будет проверяться по LDAP серверу того каталога, который указан у домена в ChallengeTo.

После выполнения вышеуказанной настройки аутентификация и получение информации о пользователе user@example1.com будут осуществляться в каталогах домена example2.com.

Настройка ChallengeTo применима именно при наличии UPN-суффиксов внутри одного домена, если доменов несколько, рекомендуется добавить столько же записей с указанием отдельных LDAP-серверов для этих доменов.

При такой настройке существует ограничение. Встроенная (сквозная) аутентификация будет работать только для тех пользователей домена, в который введен сервер на Linux.

Удаление Консоли управления Docsvision

Чтобы удалить Консоль управления Docsvision, выполните команду:

Astra Linux / ALT Linux
РЕД ОС / SberLinux

$ sudo apt-get purge docsvision-managementconsole

$ sudo dnf remove package docsvision-managementconsole

Созданные группы и службы будут удалены, Сервис настроек станет недоступен.