Внимание. В данной статье описаны критические параметры системы, работоспособность которых рекомендуется отслеживать через системы мониторинга.

Примечание. Мониторинг состояния серверных компонентов описан в данной статье.

Мониторинг служб

Для корректной работы указанных модулей, на машине должны быть запущены службы:

• Indeed AM Server
  • W3SVC - служба сайтов IIS
  • Indeed-ID Local BSP Broker - служба провайдеров Indeed AM
    
    
• MC, UC, IDP, LS, Indeed Key
  • W3SVC - служба сайтов IIS
    
    
• Indeed AM NPS RADIUS Extension
  • IAS - служба NPS
  • Indeed-ID Authentication Proxy - служба модуля
    
    
• Indeed AM RDP Windows Logon
  • Indeed-ID Authentication Proxy - служба модуля
    
    
• Indeed AM ADFS Extension
  • adfssrv - служба AD FS
  • Indeed-ID Authentication Proxy - служба модуля
    
    
• Indeed AM IIS Extension
  • W3SVC - служба сайтов IIS
  • Indeed-ID Authentication Proxy - служба модуля
    
    
• Windows Logon и/или ESSO
  • Indeed-ID Local BSP Broker - служба провайдеров Indeed AM
  • IndeedID.TS.Sessions.Monitor - служба мониторинга
  • Indeed AM Server Local Service - служба кэш-сервера
    
    
• Провайдера Indeed AM IronLogic Z2USB
  • IndeedID.Z2USB.Device.Watcher - служба провайдера IronLogic Z2USB
    
    
• SQL
  • MSSQLSERVER - служба MSSQL Standard 
  • MSSQL$SQLEXPRESS - служба MSSQL Express 
  • postgresql-x64-*версия* (например postgresql-x64-16) - служба PostgreSQL

Сетевая доступность

По необходимым сетевым доступам информация есть в нашей документации: https://docs.indeed-company.ru/access-manager/8.2/getting-started/network/.

• NPS RADIUS Extension - доступ по портам 1812, 1813, 1645, 1646
  
  
• Telegram Provider и Telegram Service
  • Доступ до api.telegram.org:443
  • Доступ до прокси, если он указан
  • Также можно проверить доступ к боту по данному адресу: https://api.telegram.org/bot123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11/getMe. Вместо 123456:ABC-DEF1234ghIkl-zyx57W2v1u123ew11 требуется указать идентификатор вашего бота.
    
    
• SMS OTP Provider: Требуется доступ к шлюзу от сервера Indeed AM Core. Адрес и порт шлюза указывается в соответствующей политике на сервере. Подробнее про политики в документации.
  
  
• Email OTP Provider: Требуется доступ до почтового сервера. Адрес и порт сервера указывается в соответствующей политике на сервере. Подробнее про политики в документации.
  
  
• Indeed Key Server: Для работы пуш-уведомлений требуются доступы до:
  • Android/iOS: fcm.googleapis.com, oauth2.googleapis.com
  • Huawei/Honor: push-api.cloud.huawei.com, oauth-login.cloud.huawei.com
  • Доступ от сервера до прокси, если он указан в конфиге
  • Доступ от телефона до сервера.
  • При открытии адреса сервера Indeed Key (или внешнего адреса прокси) должна показываться 403 ошибка и сертификат должен быть валиден.
  • Также работоспособность можно проверить, добавив в адрес /api/RegUser.
    

Проверка сертификатов

• Серверные компоненты
  • Сертификат веб-сервера, установленный на Default Web Site, не должен быть просрочен.
  • На Indeed AM Core должен быть установлен сертификат eaclient в доверенное хранилище.
    
    
• IDP
  • Сертификат веб-сервера, установленный на Default Web Site, не должен быть просрочен.
  • Сертификаты idp, ucsp, mcsp и сертификаты веб-сервера не должны быть просрочены.
  • Сертификаты SP должны быть добавлены в доверенные на машине с IDP, и сертификат IDP должен быть добавлен на стороне SP.
    
    
• Indeed Key
  • Сертификат веб-сервера, установленный на Indeed Key Web Site, не должен быть просрочен.
  • На устройстве пользователя должны быть добавлены все корневые и промежуточные сертификаты.
  • Indeed Key сервер должен доверять сертификату с прокси, если он есть.
    
    
• Балансировщик
  • Сертификат, выписанный на общее имя балансировщика и добавленный на него, не должен быть просрочен.

Подробнее про обновление просроченных сертификатов в IIS и HAProxy, можно посмотреть здесь.