Установка и настройка MULTIDIRECTORY

Общая информация

В статье описывается установка и первоначальная настройка WEB-интерфейса службы каталогов MULTIDIRECTORY.

Архитектура работы решения

Требования для установки каталога MULTIDIRECTORY

• Компонент устанавливается на Linux-сервер, протестирован на Ubuntu, Debian, Astra.
• Минимальные параметры сервера, рассчитанного на тысячу пользователей: 5 CPU, 10 GB RAM, 50 GB HDD.
• Необходимо зарегистрировать домен и сопоставить его с IP вашего сервера.
• В случае использования локального домена, необходимы сертификаты для SSL/TLS. Объект сертификата должен совпадать с доменным именем, по которому будет доступен веб-интерфейс.

Важно

Необходим статический IP-адрес. Пример: ваш_домен.ru -> 255.255.255.255.

При использовании локальной доменной записи необходимо добавить запись на ваш DNS-сервер со ссылкой на IP-адрес машины, где устанавливается MULTIDIRECTORY.

Пример: srv01.domain.ru -> 10.0.0.20

важно

Для работы MULTIDIRECTORY необходимо произвести установку Docker и Docker-Compose.

Для работы MULTIDIRECTORY в Windows необходимо установить Docker Desktop.

Рекомендуется использовать более стабильную версию Docker ( 28.5.2 ), так как последняя версия может вызывать некорректную работу Traefik.

Для выбора конкретной версии выберите вкладку «Specific version» (Конкретная версия) на этапе установки:

MULTIDIRECTORY используют следующие репозитории:

• MULTIDIRECTORY — сервер веб-API LDAP и JSON.
• MULTIDIRECTORY Web Admin — веб-интерфейс для API.

Обратите внимание

Все сервисы работают при помощи Traefik, используя Postgres в качестве базы данных. Другие СУБД несовместимы.

Описание контейнеров MULTIDIRECTORY

Описание портов MULTIDIRECTORY

mkdir MultiDirectory; cd MultiDirectory;

bash <(curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.sh);
wget -O docker-compose.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/docker-compose.yml;
wget -O traefik.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/traefik.yml;
wget -O kea-ctrl-agent.conf https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/kea-ctrl-agent.conf;
curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.bat
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/docker-compose.yml
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/traefik.yml
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/kea-ctrl-agent.conf
curl.exe https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.bat && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/docker-compose.yml && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/traefik.yml && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/kea-ctrl-agent.conf && ^
curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

mkdir MultiDirectory; cd MultiDirectory;

bash <(curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.sh);
wget -O docker-compose.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/docker-compose.yml;
wget -O traefik.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/traefik.yml;
wget -O kea-ctrl-agent.conf https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/kea-ctrl-agent.conf;
curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.bat
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/docker-compose.yml
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/traefik.yml
curl.exe -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/kea-ctrl-agent.conf
curl.exe https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.bat && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/docker-compose.yml && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/traefik.yml && ^
curl -O https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/refs/heads/main/.package/kea-ctrl-agent.conf && ^
curl https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/LICENSE

Обратите внимание!

MULTIDIRECTORY использует порт 53 для запуска и работы контейнера с DNS сервером. Для корректного запуска MULTIDIRECTORY освободите данный порт.

Важно!

При использовании локального домена требуется сгенерировать или добавить свой сертификат вручную.
Для генерации или добавления см. секцию Вопросы и ответы.

Запустите сервисы при помощи команды:

 docker compose pull; docker compose up -d

Настройка Web-интерфейса MULTIDIRECTORY

После успешной настройки и запуска сервисов Docker – перейдите в браузер. В поисковую строку внесите домен, который ранее был указан при генерации .env-файла. 

Вы попадете в настройку WEB-интерфейса вашей MULTIDIRECTORY.

Проверьте правильность написания домена, выберите необходимые вам настройки:

• Настроить DNS. Если стоит галочка, то настройка DNS будет произведена сразу же (настройку DNS можно произвести и позже в WEB-интерфейсе администратора).
• Настроить Kerberos. Если стоит галочка, то настройка керберос произойдет сразу же (настройку керберос можно произвести и позже из интерфейса администратор MULTIDIRECTORY).
• Сгенерировать пароли для Kerberos. Если стоит галочка, то произойдет автоматическая генерация паролей для Kerberos. После настройки WEB-интерфейса сгенерированные пароли будут выгруженны в файл.

Нажмите кнопку «Далее». 

Примечание

Домен в данном поле заполняется автоматически из файла .env. Вы можете изменить данное поле. Например: веб-интерфейс доступен по адресу srv01.domain.ru. Этот адрес автоматически подставится, вы можете изменить его на domain.ru

Настройка DNS

Если был выбран пункт «Настроить DNS» откроется мастер настройки DNS, все поля будут заполнены:

Обозначение полей

• Имя зоны — по умолчанию заполняется автоматически именем используемого домена. Можно переименовать. Данное именя нельзя будет сменить в дальнейшем.
• Домен — по умолчанию заполняется автоматически из файла .env.
• TTL по умолчанию — продолжительность кэширования записи серверами и клиентами до её истечения. Значение измеряется в секундах.

Если был выбран пункт «Привязать к внешнему DNS серверу»

• IP — адрес Вашего внешнего DNS сервера, который будет использоваться.
• TSIG Ключ — содержимое файла, которое было сгенерировано на внешнем DNS сервере.

После заполнения всех полей нажмите кнопку «Далее».

Настройка Kerberos

Если НЕ была выбрана автоматическая генерация паролей для Kerberos

Если вы сняли галочку с пункта «Сгенерировать пароли для Kerberos автоматически», появится окно, в которое необходимо будет внести пароли для krbadmin и стэша.

• Krbadmin — это служебная учетная запись сервера Kerberos. Она используется для взаимодействия с сервером LDAP. Данная учетная запись ограничена полномочиями и может управлять только своей выделенной областью в дереве LDAP.
• Пароль stash, используется для защиты мастер ключа шифрования базы данных Kerberos. Вы можете выгрузить внесенные вами пароли в файл.

Требование к паролям:

• Пароли должны быть более 7 символов;
• Пароли не должны быть одинаковыми у krbadmin и стэша (они должны отличаться друг от друга);
• Пароли должны содержать заглавные и строчные буквы (A-Z и a-z) и цифры (0-9).

После внесния паролей нажмите кнопку «Далее».

Внесите данные администратора, под которыми будет осуществлен первоначальный вход.

Требование к паролям:

• Пароли должны быть более 7 символов;
• Пароли должны содержать заглавные и строчные буквы (A-Z и a-z) и цифры (0-9).

Для продолжения нажмите кнопку «Далее». 

В появившемся окне проверьте правильность созданной учетной записи администратора:

• UPN. 
• Отображаемое имя. 
• Email. 

Нажмите кнопку «Далее». 

Создание учетной записи администратора завершено. Вход в WEB-интерфейс MULTIDIRECTORY будет осуществлен автоматичекси.

Обновление MULTIDIRECTORY

Важно!

Для обновления на версию 2.5.2 необходимо обновить и запустить setup.sh

Чтобы обновить вашу MULTIDIRECTORY, ипользуйте следующие шаги:

wget -O setup.sh https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.sh;
wget -O docker-compose.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/docker-compose.yml;
wget -O traefik.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/traefik.yml;
wget -O kea-ctrl-agent.conf https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/kea-ctrl-agent.conf

docker compose down; docker compose pull; docker compose up -d

wget -O setup.bat https://raw.githubusercontent.com/MultiDirectoryLab/MultiDirectory/main/.package/setup.bat;
wget -O docker-compose.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/docker-compose.yml;
wget -O traefik.yml https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/traefik.yml;
wget -O kea-ctrl-agent.conf https://github.com/MultiDirectoryLab/MultiDirectory/releases/download/v2.5.2/kea-ctrl-agent.conf

docker compose down; docker compose pull; docker compose up -d

Проверка логирования сервисов и контейнеров

Расширенное логирование

Если вы хотите, чтобы логи передавались в расширеном формате, то в файле .env укажите формат логирования:

DEBUG=1

После добавления расширенного логирования перезагрузите сервисы командой:

docker compose down; docker compose up -d

Проверка логирования контейнеров

Просматривать логи контейнеров вы можете обращаясь к контейнеру по его имени, или же по ID. Для просмотра имен и ID контейнеров воспользуйтесь командой:

docker ps

Для просмотра логов по имени контейнера в реальном времени используйте команду:

docker logs -f CONTAINER NAME # вместо CONTAINER NAME укажите имя контейнера, указанного в соответсвующим столбце.

Для просмотра логов по ID контейнера в реальном времени используйте команду:

docker logs -f CONTAINER ID # вместо CONTAINER NAME укажите имя контейнера, указанного в соответсвующим столбце.

Просмотр файлов логирования MULTIDIRECTORY

Файлы логирования MULTIDIRECTORY располагаются в каталоге /MultiDirectory/logs. Записываются 4 вида файлов логирования в следующем формате:

• admin_dd-mm-yyyy.log — в данный файл ведется логирование действий в WEB-интерфейсе администратора.
• kadmin_dd-mm-yyyy.log — в данный файл ведется логирование Kerberos (если он ранее был настроен).
• ldap_dd-mm-yyyy.log — в данный файл ведется логирование действий по протоколам ldap и ldaps.
• mfa_dd-mm-yyyy.log — в данный файл ведется логирование двухфакторной аутентификации (если ранее она была настроена).

Для просмотра файла логирования вы можете использовать команду:

tail -f admin_dd-mm-yyyy.log # файл admin используется как пример

Проверка версии MULTIDIRECTORY

Проверка версии в web-интерфейсе

Для проверки версии в web-интерфейсе нажмите на значок шестеренки и выберите пункт «Настройка MULTIDIRECTORY».

В открывшемся окне выберите пункт «О программе».

Проверка версии на сервере

Для проверки версии MULTIDIRECTORY в контейнере Docker используйте команду:

docker image inspect ghcr.io/multidirectorylab/multidirectory | grep VERSION

Проверка версии при помощи API

Для проверки версии MULTIDIRECTORY через API перейдите по ссылке https://your-domain.ru/api/docs.

Примечание

Замените «your-domain.ru» на имя вашего домена.

Вопросы и ответы

Вопрос: Как обновить сертификаты Kerberos?

Ответ:

• Удалите старые сертификаты krbcert.pem и krbkey.pem в папке ../MultiDirectory/certs/.
• Перезагрузите MULTIDIRECTORY командой:

docker compose down; docker compose up -d

Вопрос: Контейнер traefik_certs_dumper выдает ошибку:

ERROR | extra.dump_acme_certs:dump_acme_cert.39 - Error loading TLS certificate, exiting...

Ответ: Неправильное имя сертификатов или их отсутствие. Проверьте папку ./certs.
Файлы сертификатов должны строго называться:

• cert.pem
• privkey.pem

Шаги для генерации или добавления сертификатов описаны ниже.

Вопрос: Контейнеры multidirectory-ldap-server-* не запускаются (статус «Error») В логах:

File "/app/ldap_protocol/server.py", line 176, in _read_acme_cert
     raise acme_exc from err
SystemError: Let's Encrypt certificate not found. The `acme.json` file might not have been generated or lacks certificate details. 
This can also occur if the certificate failed to generate for localhost, as Let's Encrypt only issues certificates for public domains. 
Try deleting and recreating the `acme.json` file, or consider using a self-signed certificate for local environments or closed networks.

Ответ: Проблема с генерацией сертификата. Выполните:

• Перейдите в папку ../MultiDirectory/.
• Выполните команду для генерации сертификата (замените your-domain.ru на имя вашего домена):

openssl req -nodes -new -x509 -keyout ./certs/privkey.pem -out ./certs/cert.pem -subj '/C=RU/ST=Moscow/L=Moscow/O=Global Security/OU=Multifactor/CN=your-domain.ru'

Вопрос: Я хочу чтобы MULTIDIRECTORY работала с моим сертификатом, что мне для этого нужно сделать? 

Ответ: Для добавления самоподписанных сертификатов выполните следующие действия:

• В файле traefik.yml закомментируйте следующие строки:

# certificatesResolvers:
#   md-resolver:
#     acme:
#       tlschallenge: true
#       email: support.md@multifactor.com
#       storage: /letsencrypt/acme.json

P.S.: названия сертификатов обязательно должны быть:

• privkey.pem
• cert.pem

Вопрос: Контейнер при запуске возвращает ошибку «137»

Ответ: Для устранения выполните одно из действий:

• Добавьте Swap-файл в папку MULTIDIRECTORY (пример инструкции);
• Увеличьте объем ОЗУ;
• Очистите память от сторонних процессов.

Вопрос: Я хочу добавить сертификат для ldaputil (только для Let’s Encrypt)

Ответ:

1. Загрузите сертификат и обновите хранилище:

wget -O /usr/local/share/ca-certificates/isrgrootx1.crt https://letsencrypt.org/certs/isrgrootx1.pem
update-ca-certificates

2. В файл ldap.conf добавьте строку:

TLS_CACERT /etc/ssl/certs/isrgrootx1.pem

Вопрос: При работе в веб-интерфейсе меня перенаправляет на страницу входа (установлено на виртуализации: QEMU, Proxmox и т.п.)

Ответ:

1. Посмотрите логи контейнера dragonfly.
2. Если есть ошибка:

An attept to execute an istruction failed. The root cause might be an old hardware. Exiting...

То необходимо установить тип виртуализации CPU: host / host passthrough.