Versionen im Vergleich

Alte Version 7

changes.mady.by.user Andreas Hartz

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Andreas Hartz

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Info

In diesem Kapitel erfahren Sie am Beispiel der Referenzumgebung "Debian Linux 12 (bookworm)", wie Sie die Drittanbieter-Software, welche als Infrastruktur für den Betrieb der PPP-Webanwendung benötigt wird, installieren können.

Sollten Sie die PPP-Webanwendung auf einer anderen Betriebssystem-Plattform installieren wollen, können Sie sich an den Ausführungen in diesem Kapitel orientieren und die für Ihre Plattform notwendigen Schritte analog vornehmen. Plattformspezifische Einstellungen und Pfade der Referenzumgebung (z.B. Standard-Ports, Pfade zu Konfigurations- und Datenverzeichnissen von Diensten etc.) werden teilweise in den folgenden Kapiteln dieses Dokuments benötigt. Damit Sie später ggf. die notwendigen Anpassungen für Ihre jeweilige Plattform bzw. Betriebssystem-Version selbst vornehmen können, sind am Ende der einzelnen Installationsschritte jeweils die relevanten "Annahmen" der Debian-Referenzumgebung dokumentiert.

Inhalt
minLevel1
maxLevel4
outlinefalse
typelist
printablefalse

Voraussetzungen

In dieser Anleitung zur Installation und Konfiguration der PPP und der vor ihr vorausgesetzten Drittanbieter-Software gehen wir davon aus, dass die folgenden Voraussetzungen auf dem Zielsystem der PPP-Installation bereits erfüllt sind. Die nötigen Schritte hierzu werden nicht im Rahmen dieses Dokuments beschrieben. Sollten Sie Hilfe bei der Durchführung dieser Schritte benötigen, finden Sie jedoch Hinweise auf weiterführende Informationsquellen:

  • Es ist eine Minimal-Installation von Debian Linux 12 für die Hardware-Plattform des Zielsystems (hier: 64 Bit/AMD64) installiert (vgl. https://www.debian.org/releases/stable/installmanual, https://www.debian.org/releases/stable/amd64/apa.de.html)

  • Es sind die Pakete der Programmgruppe „Standard (Standard-System)“ installiert (vgl. https://www.debian.org/releases/stable/amd64/apbs04.de.html#preseed-pkgsel)

  • Die Netzwerkverbindung des Systems (inkl. Zugang zum Internet) ist vollständig eingerichtet und funktionsfähig.

  • Das Debian-Paketverwaltungssystem „apt“ ist so konfiguriert, dass die Pakete aus den offiziellen Paketquellen problemlos nachinstalliert werden können (vgl. https://www.debian.org/doc/manuals/debian-reference/ch02.en.html#_debian_package_management_prerequisites).

  • Sie können sich mit einem Administrator-Benutzerkonto (d.h. Benutzerkonto „root“ oder ein Benutzerkonto mit vergleichbaren Rechten) in das Zielsystem einloggen (Konsolen-Login). Dies kann entweder durch einen lokalen Login erfolgen oder über einen entfernten Login, z. B. per SSH. In letzterem Fall muss zusätzlich vorab ein SSH-Server auf dem Zielsystem konfiguriert worden sein (vgl. https://wiki.debian.org/SSH).

  • Ist dem Zielsystem eine Firewall vorgeschaltet, so ist sichergestellt, dass der externe Zugriff auf die Ports 80 (HTTP) sowie – falls SSLHTTPS-verschlüsselte Verbindungen zur PPP möglich sein sollen – zusätzlich auf Port 443 (HTTPS) möglich ist. Erfolgt die Wartung des Systems per SSH-Verbindung, ist zusätzlich der entsprechende Port des SSH-Servers (i.d.R. 22) in der Firewall freigeschaltet.

...

Codeblock
languagebash
apt install ttf-mscorefonts-installer fontconfig
sudo dpkg-reconfigure fontconfig

...

Codeblock
apt install mariadb-server mariadb-client
Hinweis

Zugangsdaten MariaDB-Administrator-Zugang

Ab MariaDB 10.4 wird die Unix-Socket-Authentifizierung standardmäßig angewendet und es ist normalerweise nicht erforderlich, ein root-Passwort zu erstellen.

...

Wir empfehlen den Tomcat-Server aus den offiziellen Debian-Paketquellen zu installieren, da die hierüber verfügbare Version 10. Die darüber verfügbare Version 10.1.x erfüllt alle Anforderungen für den Betrieb der PICTURE-Prozessplattform erfüllt und . Sicherheitsupdates werden vom Debian-Security-Team bereitgestellt und können über die Standard-Mechanismen des Betriebssystems installiert werden können.

Codeblock
apt install tomcat10 tomcat10-admin

Fügen Sie die JAVA_HOME-Umgebungsvariable für die Ausführung des Tomcat 10 hinzuFür den Start des Tomcat . Dazu muss eine Override-Konfiguration für systemd angelegt werden, in der welcher die o.g. JRE-Installation anzugegeben anzugeben ist:

Codeblock
systemctl edit tomcat10

Dadurch wird unter /etc/systemd/system/tomcat10.service.d eine Datei override.conf angelegt, die Sie wie folgt editieren und speichern:

Codeblock
[Service]
Environment=JAVA_HOME=/usr/lib/jvm/temurin-11-jre-amd64

Starten Sie den Tomcat 10 neu:

Codeblock
systemctl restart tomcat10

...

Hinweis

Um den Zugang zu der Tomcat-Manager-Webanwendung so sicher wie möglich zu gestalten, empfiehlt es sich, eine Digest-Authentifizierung zu konfigurieren. Somit werden in Ihrer Konfigurationsdatei keine Klartext-Passwörter gespeichert sondern stattdessen Passwort-Hashes. In den folgenden Schritten wird beschrieben, wie Sie Ihre Tomcat-Installation so konfigurieren können, dass Ihr Passwort sicher gespeichert wird. entsprechend einrichten können.

Mehr über diese Methode erfahren Sie auf den folgenden Seiten: https://tomcat.apache.org/tomcat-10.1-doc/realm-howto.html

Konfigurieren Sie den Tomcat10-Server so, dass das verschlüsselte Password genutzt wird Öffnen Sie die Konfigurationsdatei “server.xml” in einem Text-Editor:

Codeblock
nano /var/lib/tomcat10/conf/server.xml

Ändern Sie die Server-Konfiguration im Abschnitt <Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase">:

Codeblock
languagexml
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
       resourceName="UserDatabase">
	<CredentialHandler className="org.apache.catalina.realm.SecretKeyCredentialHandler"
	                   algorithm="PBKDF2WithHmacSHA512"
	                   keyLength="256"
	                   saltLength="128"
	                   iterations="210000"/>
</Realm>

Erstellen Sie ein verschlüsseltes Passwordeinen Passwort-Hash:

Codeblock
/usr/share/tomcat10/bin/digest.sh -a PBKDF2WithHmacSHA512 -i 210000 -s 128 -k 256 -h org.apache.catalina.realm.SecretKeyCredentialHandler 'StrengGeheimesPasswort!2342'

Das verschlüsselte Password Den Passwort-Hash entnehmen Sie dann der Ausgabe des o.g. Befehls (die Ausgabe des Befehls erfolgt im Format Klartext-Passwort : Verschlüsseltes PasswordPasswort):

Codeblock
StrengGeheimesPasswort!2342:020f44bf8c87e929c914629b15b353325dfcdfd26a868901e8ea6f287bde63b323e58a1dce49592ae5aa7b5026f1a88a7c286c0dc7ec3be6d1836577f7d2b484eb2b651383d04c8853eef78d5e603619e57a85d6ff5646970c14a0fa46eddacb848e9ccfdbeacd

Editieren Sie nun die Benutzer-Konfiguration:

Codeblock
nano /etc/tomcat10/tomcat-users.xml

...

Codeblock
<tomcat-users>
    <role rolename="manager-gui"/>
    <!-- Der Passwort-Hash ist nur ein Beispiel. Bitte nutzen Sie hier Ihre selbst erstellten Hashes! -->
    <user username="admin" password="020f44bf8c87e929c914629b15b353325dfcdfd26a868901e8ea6f287bde63b323e58a1dce49592ae5aa7b5026f1a88a7c286c0dc7ec3be6d1836577f7d2b484eb2b651383d04c8853eef78d5e603619e57a85d6ff5646970c14a0fa46eddacb848e9ccfdbeacd591be5ec8ae87bab5dc390424f4be1e202962c477c2eb71a5c$210000$fe07a19dd783bf284995bb2524b363450f913f8e5147f1afef4ea4a5dfdec60a" roles="manager-gui"/>
</tomcat-users>

...