WWW.PDF.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Разные материалы
 

«Naumen Serviсe Desk 4.3 Руководство системного администратора (для Microsoft SQL Server) АННОТАЦИЯ Настоящий документ представляет ...»

Naumen Serviсe Desk 4.3

Руководство системного администратора

(для Microsoft SQL Server)

АННОТАЦИЯ

Настоящий документ представляет собой руководство системного администратора программного

продукта Naumen Service Desk Документ рассчитан на пользователя, имеющего опыт

администрирования серверов Linux, установки и администрирования СУБД Microsoft SQL Server.

Руководство содержит описание особенностей установки и конфигурации Naumen Service Desk на

операционной системе  Linux с использованием СУБД Microsoft SQL Server.

Комментарии к документу:

Версия Naumen Service Desk 4.3.3 Если вы хотите отправить замечание или предложение по содержанию документов, напишите нам письмо по адресу: docs@naumen.ru Copyright© 2003-2014, NAUMEN. Все права защищены.

Никакая часть этого документа не может быть воспроизведена или обработана в системах обработки данных, скопирована или использована в других документах без письменного уведомления компании NAUMEN.

Информация, содержащаяся в этом документе, может быть изменена компанией NAUMEN без предварительного уведомления. Компания NAUMEN не гарантирует отсутствия ошибок или опечаток в этом документе.

Naumen Service Desk является зарегистрированной торговой маркой компании NAUMEN.

Остальные торговые марки являются зарегистрированными торговыми марками их владельцев.

-2СОДЕРЖАНИЕ Глава 1 - Особенности настройки СУБД и создания базы данных 6



1.1 Особенности установки Microsoft SQL Server 2008 R2

1.2 Настройка параметра "Max degree of parallelism"

1.3 Создание базы данных с помощью SQL Server Management Studio

1.4 Создание пользователя с помощью SQL Server Management Studio

1.5 Настройка версионирования Microsoft SQL Server 2008 R2 Глава 2 - Установка системы 14

2.1 Настройка пользовательского аккаунта и подготовка системы 2.1.1 Создание пользовательского аккаунта 2.1.2 Создание структуры каталогов

2.2 Установка Oracle JDK

2.3 Настройка сервера приложений Apache Tomcat 2.3.1 Установка Apache Tomcat 2.3.2 Создание Init-скриптов Apache Tomcat

2.4 Включение возможности мониторинга приложения с использованием технологии JMX

2.5 Установка Naumen SD

2.6 Установка шрифтов Microsoft для выгрузки отчетов в pdf

2.7 Настройка конфигурационных файлов 2.7.1 dbaccess.properties 2.7.2 log4j.properties 2.7.3 realm-rules-config.xml 2.7.4 file-storage.xml 2.7.5 features.properties.xml Глава 3 - Запуск и остановка приложения 23 Глава 4 - Загрузка лицензий 24 Глава 5 - Резервное копирование 26

5.1 Резервное копирование приложения

5.2 Резервное копирование СУБД Microsoft SQL Server Глава 6 -

–  –  –

-4УСЛОВНЫЕ ОБОЗНАЧЕНИЯ, ПРИНЯТЫЕ В ДОКУМЕНТЕ

В настоящем руководстве используются условные обозначения:

— особенности выполнения действия/настройки, влекущие значимые последствия для работы системы.

— особенности выполнения действия/настройки, упрощающие работу в системе, но не влекущие значимых последствий.

— влияние прав доступа на возможности пользователя при выполнении действий.

— пример.

В настоящем документе приняты следующие соглашения:

"жирным шрифтом" выделяются названия кнопок, вкладок, полей и других элементов l пользовательского интерфейса системы.





жирным шрифтом с подчеркиванием выделяются названия ссылок.

l жирным курсивом выделяются термины.

l курсивом выделяется пример текста при заполнении полей ввода на формах добавления и l редактирования; также пример текста экранных сообщений.

выполняемые команды и фрагменты конфигурационных файлов выделены цветом и фоном.

l "Сотрудник (employee)" — рядом с названием системного класса/атрибута в скобках l указывается код, который является уникальным идентификатором, т.к. название системного класса и атрибута может быть изменено.

Security - Logins — таким образом отображается порядок выполнения команд меню l операционной системы при настройке и установке приложений.

–  –  –

Глава 1 - Особенности настройки СУБД и создания базы данных В данном разделе приведены особенности настройки СУБД, необходимые для корректной работы приложения.

Официальная документация по установке Microsoft SQL Server доступна по адресу http://msdn.microsoft.com

1.1 Особенности установки Microsoft SQL Server 2008 R2 SQL Server 2008 R2 устанавливается с помощью мастера установки.

В процессе установки в окне мастера "Server Configuration" перейдите на вкладку "Collation", нажмите кнопку "Customize...".

–  –  –

и режим проверки подлинности SQL Server) – "Mixed Mode (SQL Server authentication and Windows authentication)";

задайте пароль для учетной записи "SQL Server system administrator (sa) account";

l можно также добавить пользователя Windows в группу "SQL Server administrators".

l

–  –  –

1.2 Настройка параметра "Max degree of parallelism" Параметр "Мax degree of parallelism" опеределяет максимальное количество потоков, на которые SQL Server может распараллелить запрос. Необходимо присвоить данному параметру значение "1".

Для этого в SQL Server Management Studio выберете SQL Server Properties

–  –  –

Рис. 1.7 Выполните настройки остальных параметров базы данных, учитывая, что в списках «Collation» и «Recovery model» выбираются значения «Cyrillic_General_CI_AS» и «Simple» соответственно.

–  –  –

установите переключатель "SQL Server authentication" (SQL аутентификация);

l укажите пароль пользователя (Password);

l отключите флажок "Enforce password policy" (Проверка политики сложности пароля) l

–  –  –

1.5 Настройка версионирования Microsoft SQL Server 2008 R2

Включите версионирование, выполнив следующий запрос:

ALTER DATABASE dbName (имя базы приложения) SET READ_COMMITTED_SNAPSHOT ON;

Параметр READ_COMMITTED_SNAPSHOT должен быть выключен в базах данных tempdb, msdb и

master. Проверка текущего состояния выполняется следующим запросом:

select name, is_read_committed_snapshot_on from sys.databases где 0 – выключено, 1 - включено

При настройке версионирования необходимо учитывать следующие особенности:

версии строк MS SQL хранит в tempdb, по этому при значительной нагрузке необходимо l иметь достаточно большой объем места для tempdb;

место для tempdb рекомендуется выделять на отдельном диске.

l

–  –  –

Глава 2 - Установка системы

2.1 Настройка пользовательского аккаунта и подготовка системы 2.1.1 Создание пользовательского аккаунта Для конфигурации и безопасной работы приложения рекомендуется создать и использовать отдельный пользовательский аккаунт.

В случае необходимости создать нового пользователя можно командой:

# useradd -m -d /home/nausd40 -s /bin/bash nausd40 # passwd nausd40 Первая команда создаст пользователя nausd40 с домашней директорией /home/nausd40, вторая запросит пароль нового пользователя.

2.1.2 Создание структуры каталогов Рекомендуется использовать приведенное в данном документе расположение директорий для облегчения администрирования.

# mkdir /opt/nausd40 # mkdir /opt/nausd40/conf # mkdir /opt/nausd40/deploy # mkdir /opt/nausd40/logs # mkdir /opt/nausd40/data # chown -R nausd40 /opt/nausd40

2.2 Установка Oracle JDK

Для установки Oracle JDK выполните следующие действия:

1. Загрузите дистрибутив Oracle JDK с соответствующей вашей системе разрядностью http://www.oracle.com/ Необходимо использовать версию JDK, указанную в документе "Технические условия эксплуатации программного продукта".

2. Скопируйте его в подготовленную директорию приложения.

3. Разархивируйте дистрибутив.

4. Переименуйте полученный каталог в "java".

cp файл дистрибутива JDK /opt/nausd40 cd /opt/nausd40 tar -xaf файл дистрибутива JDK mv папка JDK java

2.3 Настройка сервера приложений Apache Tomcat 2.3.1 Установка Apache Tomcat Загрузите дистрибутив Apache Tomcat с сайта: http://tomcat.apache.org. Необходимо использовать версию Apache Tomcat, указанную в документе "Технические условия эксплуатации программного продукта".

1. Загрузите версию в виде архива tar.gz (раздел Core). Распакуйте архив и переименуйте полученную директорию в "tomcat":

cd /opt/nausd40 wget ссылка на дистрибутив tomcat

- 14 Глава 2 - Установка системы tar -xaf файл дистрибутива tomcat mv папка tomcat tomcat

2. Отредактируйте параметры виртуальной машины Java. Для удобства администрирования рекомендуется задавать их в файле /opt/nausd40/tomcat/bin/setenv.sh.

Данный файл отсутствует в дистрибутиве tomcat, поэтому создайте его со следующим содержимым:

JAVA_HOME=/opt/nausd40/java JRE_HOME=/opt/nausd40/java/jre CLASSPATH="$JAVA_HOME"/lib/tools.jar HTTP_PORT="8080" CATALINA_OPTS=" -server

-Dfile.encoding=UTF-8

-Xms1024m

-Xmx1024m

-Dext.prop.dir=/opt/nausd40/conf

-Djava.net.preferIPv4Stack=true

-Dhttp.port=$HTTP_PORT

-XX:MaxPermSize=192m

-Duser.language=ru

-Duser.region=RU

-Xloggc:/opt/nausd40/tomcat/logs/gc.log

-XX:+UseParallelOldGC

-XX:+PrintGCDetails

-XX:+PrintGCTimeStamps

-XX:+PrintGCDateStamps" JAVA_HOME, JRE_HOME — пути расположения, соответственно, java и jre;

l

HTTP_PORT="8080" — данный порт необходимо указывать при подключении к l

приложению. Ссылка для подключения будет выглядеть следующим образом:

http://nsd_server_name:8080/sd/ или http://nsd_server_ip_addr:8080/sd/ В UNIX-подобных ОС необходимы привилегии root для того, чтобы запускать службы на портах с номером менее 1024.

-Xms1024m -Xmx1024m — начальное и максимальное значения выделения памяти (Java l

–  –  –

-Dext.prop.dir=/opt/nausd40/conf — pасположение папки с конфигурационными файлами.

l

-Xloggc:/opt/nausd40/tomcat/logs/gc.log — расположение лога Garbage Collector.

l

3. Задайте порт, на котором будет работать Tomcat, для этого измените следующие строки файла /opt/nausd40/tomcat/conf/server.xml:

Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" / Укажите значение параметра port="${http.port}".

4. Для корректной работы REST API установите кодировку "UTF-8" в параметре URIEncoding.

По умолчанию Apache Tomcat использует кодировку ISO-8859-1.

Добавьте параметр в определение http-коннектора tomcat в файле /opt/nausd40/tomcat/conf/server.xml следующим образом:

Connector port="${http.port}" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8" /

5. Измените таймаут сессии Tomcat, для этого в tomcat/conf/web.xml найдите блок session

–  –  –

timeout30/session-timeout и укажите необходимую продолжительность таймаута в минутах.

По умолчанию таймаут 30 минут.

session-config session-timeout30/session-timeout /session-config 2.3.2 Создание Init-скриптов Apache Tomcat Init-скрипты используются для управления запуском приложений при старте, остановке или перезагрузке системы. Каждое из событий определяется уровнем запуска системы (runlevel).

На данный момент в Linux используются уровни 0 - 6 и S (s):

0 - остановка системы (shut down);

l 1 - переход в однопользовательский режим (single mode);

l 2-5 - различные варианты многопользовательской загрузки;

l

–  –  –

В большинстве систем init-скрипты находятся в каталоге /etc/init.d и в качестве аргумента могут принимать параметры start, stop, restart, а также некоторые другие.

Чтобы получить список доступных параметров для скрипта, запустите его без аргументов:

# /etc/init.d/crond Usage: /etc/init.d/cron start|stop|restart|reload|force-reload При запуске init-скрипта с параметром start соответствующее приложение будет запущено, а с параметром stop - остановлено. Использование этих параметров для запуска и остановки приложения является обязательным для всех скриптов, находящихся в каталоге /etc/init.d.

В каталоге /etc также находятся каталоги с именами rc0.d, rc1.d, rc2.d, rc3.d, rc4.d, rc5.d, rc6.d, rcS.d.

Цифра или символ в названии, следующие после rc, указывают на соответствующий уровень запуска. В каждом из rc-каталогов находятся символические ссылки на скрипты из каталога /etc/init.d, которые должны быть выполнены при работе системы на соответствующем уровне.

Например, содержимое каталога /etc/rc2.d может быть следующим (приведен неполный листинг):

# ls -lgG /etc/rc2.d/ total 0 lrwxrwxrwx 1 18 2005-09-13 17:33 S10sysklogd -../init.d/sysklogd lrwxrwxrwx 1 15 2005-09-13 17:33 S11klogd -../init.d/klogd lrwxrwxrwx 1 13 2005-09-13 17:33 S14ppp -../init.d/ppp lrwxrwxrwx 1 15 2005-09-13 17:33 S20inetd -../init.d/inetd...

Обратите внимание на имена символических ссылок в rc-каталогах.

Общий формат символических ссылок представлен в следующем виде:

/etc/init.d/rcL.d/[S|K][NN]name где в имени rc-каталогов:

L - это уровень работы системы, который принимает значение 0 - 6 или S;

l префиксы S и K в начале имени ссылки указывают на необходимость запуска (Start) или l остановки (Kill) приложения на соответствующем уровне работы системы;

[NN] - это число, указывающее на последовательность выполнения скриптов (в случае, если l последовательность запуска имеет значение), находящихся в rc-каталоге. По умолчанию в качестве значения NN используется 20;

имя name - имя скрипта в каталоге /etc/init.d, на который указывает ссылка.

l

–  –  –

Во многих Linux-системах ссылки на init-скрипты в rc-каталоги добавляются и удаляются, используя утилиту chkconfig, также можно создавать соответствующие ссылки вручную.

Пример init-скрипта для автоматического запуска сервера приложений Apache Tomcat:

#!/bin/bash # # Startup script for the Jakarta Tomcat Java Servlets and JSP server # # chkconfig:

- 85 15 # description: Tomcat # processname: tomcat # config:

PREFIX="/opt/nausd40/tomcat/bin" NAUUSER="nausd40" STRTCMD="startup.sh" STPCMD="shutdown.sh" case "$1" in start) echo "Starting up NAUMEN SD 4.0" su - ${NAUUSER} -c ${PREFIX}/${STRTCMD} ;;

stop) echo "Shutting down NAUMEN" su - ${NAUUSER} -c ${PREFIX}/${STPCMD} ;;

*) echo "Usage: naumen start|stop" ;;

esac exit 0 Чтобы использовать скрипт автоматического запуска сервера приложений Apache Tomcat, выполните следующие действия:

1. Скопируйте содержание скрипта в файл nausd40;

2. Поместите файл naumen в системный каталог /etc/init.d;

3. Произведите активацию скрипта с помощью утилиты chkconfig:

# chmod +x nausd40 # chkconfig --add nausd40 # chkconfig nausd40 on После этого сервер приложений Apache Tomcat будет автоматически запускаться при старте системы и останавливаться при выключении или перезагрузке. Для запуска приложения можно также использовать init-скрипт:

#/etc/init.d/naumen start

Для остановки приложения можно использовать init-скрипт:

#/etc/init.d/naumen stop

- 17 Глава 2 - Установка системы

2.4 Включение возможности мониторинга приложения с использованием технологии JMX Мониторинг работы приложения осуществляется с использованием технологии JMX, например, при помощи утилит Jconsole или Jvisualvm. Мониторинг помогает диагностировать проблемы с ростом использования памяти, а также вносить изменения в настройку исполняемой среды с помощью технологии mbeans.

Подключение к JMX порту может осуществляться с аутентификацией по логину/паролю и без аутентификации.

Мониторинг JMX без аутентификации:

Отредактируйте параметры виртуальной машины Java в файле /opt/nausd40/tomcat/bin/setenv.sh следующим образом:

JAVA_HOME=/opt/nausd40/java JRE_HOME=/opt/nausd40/java/jre CLASSPATH="$JAVA_HOME"/lib/tools.jar HTTP_PORT="8080" JMX_PORT="10108" IP_ADDR="ip_addr" CATALINA_OPTS=" -server

-Dfile.encoding=UTF-8

-Xms1024m

-Xmx1024m

-Dext.prop.dir=/opt/nausd40/conf

-Djava.net.preferIPv4Stack=true

-Dhttp.port=$HTTP_PORT

-XX:MaxPermSize=192m

-Duser.language=ru

-Duser.region=RU

-Xloggc:/opt/nausd40/tomcat/logs/gc.log

-XX:+UseParallelOldGC

-XX:+PrintGCDetails

-XX:+PrintGCTimeStamps

-XX:+PrintGCDateStamps

-Djava.rmi.server.hostname=$IP_ADDR

-Dcom.sun.management.jmxremote.port=$JMX_PORT

-Dcom.sun.management.jmxremote.ssl=false

-Dcom.sun.management.jmxremote.authenticate=false" где:

JMX_PORT="10108" — порт для мониторинга и управления виртуальной машиной Java с l помощью специальных утилит, например, jconsole;

IP_ADDR="ip_addr" — IP адрес сервера приложения.

l

Мониторинг JMX с аутентификацией по логину и паролю:

Для включения возможности мониторинга с аутентификацией, выполните следующие действия:

1. Создайте в каталоге /opt/nausd40/tomcat/conf файлы jmxremote.access и jmxremote.password, указав в них пользователей, права доступа и пароли для подключения к виртуальной машине

Java по JMX:

l jmxremote.access — пользователи и права:

monitorRole readonly controlRole readwrite

jmxremote.password — пользователи и пароли:

l monitorRole tomcat

–  –  –

controlRole tomcat К файлу jmxremote.password необходимо предоставить доступ только пользователю, от имени которого запускается приложение. Доступ предоставляется командой: chmod 600 jmxremote.password

2. Настройте параметры виртуальной машины Java в файле /opt/nausd40/tomcat/bin/setenv.sh следующим образом:

JAVA_HOME=/opt/nausd40/java JRE_HOME=/opt/nausd40/java/jre CLASSPATH="$JAVA_HOME"/lib/tools.jar HTTP_PORT="8080" JMX_PORT="10108" IP_ADDR="ip_addr" CATALINA_OPTS=" -server

-Dfile.encoding=UTF-8

-Xms1024m

-Xmx1024m

-Dext.prop.dir=/opt/nausd40/conf

-Djava.net.preferIPv4Stack=true

-Dhttp.port=$HTTP_PORT

-XX:MaxPermSize=192m

-Duser.language=ru

-Duser.region=RU

-Xloggc:/opt/nausd40/tomcat/logs/gc.log

-XX:+UseParallelOldGC

-XX:+PrintGCDetails

-XX:+PrintGCTimeStamps

-XX:+PrintGCDateStamps

-Djava.rmi.server.hostname=$IP_ADDR

-Dcom.sun.management.jmxremote.port=$JMX_PORT

-Dcom.sun.management.jmxremote.ssl=false

-Dcom.sun.management.jmxremote.authenticate=true Dcom.sun.management.jmxremote.password.file=/opt/nausd40/tomcat/conf/jmxremote.password Dcom.sun.management.jmxremote.access.file=/opt/nausd40/tomcat/conf/jmxremote.access" где:

JMX_PORT="10108" — порт для мониторинга и управления виртуальной машиной Java с l

–  –  –

-Dcom.sun.management.jmxremote.password.file=../conf/jmxremote.password — файл, l содержащий пароли пользователей;

-Dcom.sun.management.jmxremote.access.file=../conf/jmxremote.access — файл, содержащий l

–  –  –

2.5 Установка Naumen SD Создайте в папке /opt/nausd40/deploy/ каталог, соответствующий текущей дате, и скопируйте в него предоставленный файл дистрибутива sd.war.

mkdir /opt/nausd40/deploy/2012_04_24 mv./sd.war /opt/nausd40/deploy/2012_04_24

- 19 Глава 2 - Установка системы Скопируйте файл дистрибутива sd.war в папку webapps сервера приложений tomcat и распакуйте его. Файл sd.war по сути является zip-архивом, поэтому может быть разархивирован соответствующим образом.

cp /opt/nausd40/deploy/2012_04_24/sd.war /opt/nausd40/tomcat/webapps unzip /opt/nausd40/tomcat/webapps/sd.war -d sd rm /opt/nausd40/tomcat/webapps/sd.war После того, как файл sd.war разархивирован, его можно удалить.

2.6 Установка шрифтов Microsoft для выгрузки отчетов в pdf Отчеты в Naumen Service Desk строятся с привлечением внешнего конструктора отчетов Pentaho Report Designer.

Для корректной выгрузки отчетов в формат PDF на сервере приложения должен быть установлен пакет шрифтов Microsoft:

дистрибутивы, основанные на Debian, использующие формат пакетов Deb l # apt-get install ttf-mscorefonts-installer дистрибутивы на базе RedHat, использующие формат пакетов RPM l # wget /fedora12/msttcore-fonts-2.0-3.noarch.rpm # rpm -Uvh msttcore-fonts-2.0-3.noarch.rpm

2.7 Настройка конфигурационных файлов Конфигурационные файлы приложения должны находиться в каталоге, путь к которому указан в параметре "-Dext.prop.dir" виртуальной машины Java (nausd40/conf), см. "Установка Apache Tomcat " (стр.14).

2.7.1 dbaccess.properties dbaccess.properties — основной конфигурационный файл приложения.

Создайте файл dbaccess.properties в каталоге nausd40/conf/ и отредактируйте данный файл в соответствии с приведенными ниже рекомендациями.

Настройки конфигурации системы в файле dbaccess.properties:

В файле dbaccess.properties определяются основные настройки приложения в формате "параметр=значение". После указания значения в конце строки не должно быть пробелов!

Корневой URL сервера. Задайте параметр, определяющий корневой URL сервера. Данный l URL будет использоваться при формировании ссылок на объекты.

baseurl=http://nausd40:8080/sd data.dir.

Задайте путь к каталогу, в котором будут сохраняться файлы очереди событий l системы, поисковые индексы, почтовые сообщения — добавьте параметр data.dir:

data.dir=/opt/nausd40/data Настройки подключения к СУБД. Пропишите настройки подключения к СУБД. База данных l должна быть предварительно создана в соответствии с рекомендациями, приведенными в разделе "Особенности настройки СУБД и создания базы данных" (стр.6).

db.driver=com.microsoft.sqlserver.jdbc.SQLServerDriver db.url=jdbc:sqlserver://127.0.0.1:1433;instancename=MSSQLSERVER;databasename=nausd

–  –  –

db.password=nausd40 db.max_active_connections=6 hibernate.dialect=ru.naumen.core.server.hibernate.NauSQLServer2008Dialect hibernate.default_schema=dbo

В строке:

db.url=jdbc:sqlserver://127.0.0.1:1433;instancename=MSSQLSERVER;databasename=nausdIP-адрес сервера СУБД; nausd40 —название базы данных, MSSQLSERVER — название экземпляра MS SQL.

Если на сервере СУБД только один экземпляр MS SQL, то параметр "instancename=MSSQLSERVER" указывать не надо

В строках:

db.user=nausd40 db.password=nausd40 Указывается имя пользователя и пароль для базы данных.

В строке:

hibernate.default_schema=dbo Указывается схема, используемая по умолчанию, для СУБД MS SQL схемой по умолчанию является dbo.

Параметры работы с почтой, см. "Параметры работы с почтой в конфигурационном файле" l (стр.36) 2.7.2 log4j.properties В файле log4j.properties настраивается расположение файлов журналов приложения.

Скопируйте шаблон конфигурационного файла nausd40/tomcat/webapps/sd/WEBINF/log4j.properties.template в nausd40/conf/log4j.properties

В файле nausd40/conf/log4j.properties найдите строку:

log4j.appender.FILE.file=${user.home}/.naumen/sd/log/sdng${naumen.cluster.node}.log

Отредактируйте ее, указав папку расположения файла лога приложения:

log4j.appender.FILE.file=/opt/nausd40/logs/sdng.log 2.7.3 realm-rules-config.xml В файле realm-rules-config.xml настраиваются соответствия доменов внутри приложения с реальными доменами LDAP. Наличие файла является не обязательным, файл используется при настройке kerberos-аутентификация, см. "Настройка соответствия имён доменов и Realm" (стр.52) 2.7.4 file-storage.xml В файле file-storage.xml настраиваются файловые хранилища, см. "Файловые хранилища" (стр.43).

Наличие файла является не обязательным.

2.7.5 features.properties.xml Список доступных тем интерфейса пользователя можно ограничить в конфигурационном файле features.properties, указав в параметре themes темы, которые будут видны для выбора.

Список кодов тем: blue (основная), site (фирменная), scheme1 (сине-фиолетовая), scheme2 (синеоранжевая), scheme3 (сиреневая), scheme4 (оранжевая).

- 21 Глава 2 - Установка системы Наличие файла является не обязательным. Если файл features.properties отсутствует в директории conf, его нужно создать.

Чтобы определить параметр themes, выполните следующие действия:

1. В ${ext.prop.dir} указано расположение папки с конфигурационными файлами приложения:

для Linux: в файле /opt/nausd40/tomcat/bin/setenv.sh

-Dext.prop.dir=/opt/nausd40/conf

2. В папке с конфигурационными файлами создайте новый файл features.properties.

содержимого файла features.properties:

themes=blue,site,scheme1,scheme2

3. Убедитесь, что в ${user.home}/.naumen/sd/conf файл features.properties отсутствует.

4. Перезапустите приложение. Список тем интерфейса отображения на вкладке "Интерфейс" будет соответствовать указанному в файле features.properties.

У пользователей, которые уже выбрали не доступные для выбора темы в своих персональных профилях, оформление не изменится.

- 22 Глава 3 - Запуск и остановка приложения Глава 3 - Запуск и остановка приложения

Запуск и остановка Tomcat:

# su - nausd40 /opt/nausd40/tomcat/bin/startup.sh /opt/nausd40/tomcat/bin/shutdown.sh

Проверить, что Tomcat остановлен, можно командой, которая должна вывести пустой результат:

ps aux | grep nausd40 Если для Tomcat были созданы init-скрипты "Создание Init-скриптов Apache Tomcat" (стр.16), можно использовать их для запуска и остановки:

#/etc/init.d/nausd40 stop #/etc/init.d/nausd40 start

–  –  –

Глава 4 - Загрузка лицензий В системе реализован механизм лицензионных ограничений.

Для доступа пользователей к приложению существуют следующие типы лицензий:

Именная лицензия — лицензия, дающая право пользователю-исполнителю входить в систему l не зависимо от количества остальных пользователей с активными сессиями.

Конкурентная лицензия — лицензия, которая дает право пользователю-исполнителю входить l в систему на конкурентной основе, т.е. если количество активных сессий конкурентных пользователей превышает количество конкурентных лицензий, то пользователь не сможет войти в систему.

Нелицензированный пользователь — лицензия выдающаяся всем сотрудникам по умолчанию, l пользователь с такой лицензией может входить в систему, но имеет ограниченный набор прав.

Эта возможность необходима для ведения штата сотрудников, не работающих с системой, без покупки дополнительных лицензий.

Суперпользователь — лицензия, при которой доступны все функции системы l (суперпользователь). Лицензию суперпользователя можно дать только специально созданному суперпользователю.

Для того, чтобы пользователи могли входить в систему необходимо загрузить в нее лицензионный файл, предоставленный компанией NAUMEN. Лицензионный файл представляет собой xml-файл, содержащий в себе описание типов лицензий и их количества и перечень ролей, допустимых для нелицензированных пользователей. Данный файл также содержит в себе цифровую подпись для предотвращения его несанкционированного изменения.

Чтобы загрузить лицензионный файл, выполните следующие действия:

1. Войдите в систему под суперпользователем.

2. Для перехода в интерфейс настройки нажмите кнопку.

3. В меню навигации разверните раздел "Настройка системы" и выберите настройку "Администрирование". На экране отобразится страница "Администрирование".

4. В блоке "Выгрузка/загрузка", в строке "Лицензии" нажмите на кнопку "Обзор" и выберите предоставленный Вам файл лицензий.

–  –  –

Глава 5 - Резервное копирование Процедура резервного копирования включает: резервное копирование приложения и резервное копирование СУБД.

5.1 Резервное копирование приложения

Резервное копирование приложения производится на уровне файловой системы и включает в себя:

резервное копирование файлов приложения:

l

o содержимое папки sd из директории webapps веб-сервера Tomcat:

/opt/nausd40/tomcat/webapps/sd.

o конфигурационные файлы приложения из директории conf: /opt/nausd40/conf.

резервное копирование служебной директории данных приложения (поисковые индексы, l состояние очереди сообщений в Naumen Service Desk и прочее)

o путь до директории указывается в параметре "data.dir" в файле dbaccess.properties:

/opt/nausd40/data.

резервное копирование файловых хранилищ, если они настроены, l o путь до директории хранилищ указываются в конфигурационном файле "file-storage.xml" в тегах path см. "Файловые хранилища" (стр.43) Помимо хранения резервных копий в файловой системе сервера обязательно хранение наиболее актуальной копии на сервере, отличном от того, на котором работает приложение.

Для сохранения резервной копии файлов приложения необходимо скопировать их в любое место вне папки webapps.

Для упрощения администрирования и поддержки рекомендуется хранить резервные копии файлов приложения в папке deploy: /opt/nausd40/deploy/date, где date — дата создания резервной копии.

Восстановление резервной копии приложения сводится к обратному копированию файлов.

При восстановлении старой версии приложения, в случае, если оно уже запускалось на более новой версии, может потребоваться восстановление резервной копии базы данных, соотвествущей старой версии приложения, т.к. от версии к версии возможны изменения в базе данных, приводящие к обратной несовместимости более старых версий приложения.

5.2 Резервное копирование СУБД Microsoft SQL Server

Создание резервной копии:

Для выполнения резервного копирования базы данных Microsoft SQL Server выполните следующие действия:

1. Запустите MS SQL Management Studio.

2. В списке объектов выберите необходимую базу данных, правой кнопкой мыши откройте контекстное меню и выберите Tasks - Back Up...

–  –  –

4. Чтобы сократить время создания резервной копии и уменьшить ее размер, перейдите в том же окне на вкладку "Options" и выберите опцию сжатия "Compress backup" в разделе Compression:

Опцию сжатия резервных копий можно установить по умолчанию в общих настройках Microsoft SQL Server. Для этого выберите название сервера, откройте контекстное меню и выберите Properties

–  –  –

В открывшемся окне перейдите на вкладку "Database Settings" и установите флажок "Compress backup", затем нажмите кнопку "OK". После этого резервные копии будут сжиматься по умолчанию.

Рис. 5.4

Удаление существующей базы данных:

Для удаления существующей базы данных выполните следующие действия:

1. Запустите MS SQL Management Studio.

2. В списке объектов выберите необходимую базу данных, откройте контекстное меню и выберите Delete.

–  –  –

3. В окне удаления нажмите "Оk".

Рис. 5.6

Восстановление резервной копии:

Перед восстановлением базы данных из резервной копии требуется остановить приложение!

Для восстановления базы данных из резервной копии выполните следующие действия:

1. Запустите MS SQL Management Studio.

2. В списке объектов выберите объект Databases, откройте контекстное меню и выберите Restore Database...

–  –  –

3. В появившемся окне:

l введите новое имя базы данных для восстановления в поле To databse: nausd40;

l укажите источник — файл резервной копии в области Source for restore: выберите пункт From device: С:\bak\Nausd40.bak и установите галочку в столбце Restore в появившейся строке источника резервной копии;

нажмите "OK" для запуска процесса восстановления.

l

–  –  –

5. В появившемся окне выберите владельца в поле Owner. Нажмите кнопку со знаком многоточия, в новом окне введите имя владельца: nausd40, нажмите кнопку "Check Names", затем нажмите кнопку "OK" в текущем и в родительском окнах.

–  –  –

Глава 6 - Обновление приложения Процедура обновления приложения Naumen Service Desk заключается в переходе с текущей версии на более новую.

Процедура обновления включает несколько этапов:

Остановка приложения:

Перед обновлением приложения Naumen Service Desk оповестите всех пользователей системы о предстоящих работах, так как данные, добавленные или измененные с момента начала обновления, могут быть утеряны.

После оповещения пользователей остановите приложение. Процедура остановки приложения подробно описана в разделе.

Резервное копирование при обновлении:

Резервное копирование является важным этапом процедуры обновления. При выполнении процедуры обновления происходит перенос данных, в ходе которого могут возникать ошибки и сбои, способные повлечь за собой порчу или утрату данных. В случае отсутствия резервной копии восстановление испорченных и потерянных данных будет невозможно.

Выполните резервное копирование исполняемых файлов Naumen Service Desk и базы данных, с которой работает приложение, как это описано в п. "Резервное копирование" (стр.26).

Установка новой версии приложения:

Убедитесь, что версии Apache Tomcat и jdk, используемые приложением, соответствуют указанным в документе "Технические условия эксплуатации программного продукта".

1. Создайте в каталоге app_dir/deploy/ каталог dd_mm_yyyy, соответствующий текущей дате.

/opt/nausd40/deploy/2012-04-24.

2. Сохраните в созданный каталог предоставленный вам файл новой версии приложения sd.war.

3. Разархивируйте данный файл как zip-архив в каталог app_dir/deploy/dd_mm_yyyy/sd.

4. Удалите каталог app_dir/tomcat/webapps/sd/.

5. Скопируйте на место удаленного каталога sd каталог sd из app_dir/deploy/dd_mm_yyyy.

Запуск приложения:

Выполните запуск приложения, согласно рекомендациям, приведенным в п. "Запуск и остановка приложения" (стр.23).

В процессе запуска рекомендуется контролировать сообщения, выводимые в журналах работы приложения, см. п. "Мониторинг работы системы" (стр.34).

Проверка работоспособности приложения:

После завершения процесса обновления и запуска приложения выполните проверку работоспособности приложения.

Если в ходе проверки работоспособности обнаруживаются ошибки, то проведите процедуру восстановления резервных копий исполняемых файлов приложения и базы данных и вернитесь к эксплуатации старой версии приложения до выяснения причин неисправности. Процедура восстановления резервных копий описана в п. "Резервное копирование" (стр.26).

О проблемах после обновления необходимо сообщать на support@naumen.ru.

Если при проверке работоспособности приложения ошибок не выявлено, то процедура обновления приложения Naumen Service Desk при переходе с одной версии на другую проведена успешно, и пользователи могут приступить к работе с новой версией приложения.

- 33 Глава 7 - Мониторинг работы системы Глава 7 - Мониторинг работы системы Мониторинг работы системы включает в себя проведение формальной проверки работоспособности приложения. Формальная проверка работоспособности приложения состоит в проверке наличия соответствующего процесса в системе, соединения с сервером баз данных, а также возможности приема сетевых соединений, т.е. прослушивания соответствующих портов.

Проверка наличия соответствующего процесса в системе осуществляется с помощью команды ps.

Работающий сервер приложений Apache Tomcat представляет собой Java-процесс, выполняющий класс org.apache.catalina.startup.Bootstrap с параметром start.

Процедура запуска команды ps позволяет убедиться в том, что процесс Apache Tomcat выполняется в данный момент:

$ ps aux | grep org.apache.catalina.startup.Bootstrap nausd40 16734 60.6 9.3 1210628 372888 pts/3 Sl 10:08 0:16 /opt/nausd40/java/bin/java

-Djava.util.logging.config.file=/opt/nausd40/tomcat/conf/logging.properties

-server -da -Xms768m -Xmx768m -Dfile.encoding=UTF-8

-XX:MaxPermSize=192m -Dfile.encoding=UTF-8 -Djava.net.preferIPv4Stack=true

-Dext.prop.dir=/opt/nausd40/conf -Dcom.sun.management.jmxremote.port=9999

-Dcom.sun.management.jmxremote.authenticate=false

-Dcom.sun.management.jmxremote.ssl=false -Djava.rmi.server.hostname=192.168.224.141 Djava.util.logging.manager=org.apache.juli. ClassLoaderLogManager

-Djava.endorsed.dirs=/opt/nausd40/tomcat/endorsed

-classpath /opt/nausd40/java/lib/tools.jar:/opt/nausd40/tomcat/bin/bootstrap.jar:/opt/nausd40/tomcat/bin/ tomcat-juli.jar -Dcatalina.base=/opt/nausd40/tomcat

-Dcatalina.home=/opt/nausd40/tomcat

-Djava.io.tmpdir=/opt/nausd40/tomcat/temp org.apache.catalina.startup.Bootstrap start

Проверка сетевых портов:

После проверки наличия процесса выполняется проверка сетевых портов.

Проверить, что Apache Tomcat "слушает" (LISTEN) сетевые порты (по умолчанию порты 8005, 8009, 8080) можно несколькими способами:

используя команду netstat можно увидеть, что порт открыт и "прослушивается" сервером:

l $ netstat -an | grep LISTEN | grep 8080 tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN используя команду fuser можно увидеть PID "слушающего" процесса:

l $ fuser -v 8080/tcp

USER PID ACCESS COMMAND

8080/tcp: nausd40 16734 F.... java с помощью браузера: чтобы проверить сетевые порты для Apache Tomcat зайдите на корневую l страницу сервера приложений, используя базовый URL, в случае нормальной работы сервера открывается стартовая страница "Apache Tomcat/7.0.22"

–  –  –

Рис. 7.1

Проверка соединения с базой данных:

Проверка соединения с базой данных заключается в обнаружении наличия установленного (ESTABLISHED) соединения с хостом базы данных на соответствующий порт (по умолчанию для MS SQL Server — 1433, ).

$ netstat -an | grep ESTABLISHED | grep 1433 tcp 0 0 192.168.224.141:55467 192.168.240.54:1433 ESTABLISHED tcp 0 0 192.168.224.141:55471 192.168.240.54:1433 ESTABLISHED

Журналы работы системы:

В процессе работы системы информация о происходящих событиях и об ошибках выводится в файлы, которые находятся в следующих местах (при условии, что установка приложения выполнена в соответствии с рекомендациями, приведенными в "Установка системы" (стр.14) app_dir/tomcat/logs — журналы tomcat-a l

–  –  –

Расположение файлов журналов приложения определяется параметром log4j.appender.FILE.file в файле log4j.properties, см. "Настройка конфигурационных файлов" (стр.20)

–  –  –

Глава 8 - Настройка почты Настройка подключения к серверам входящей и исходящей почты, параметры отправки писем и правила их обработки настраиваются в интерфейсе настройки.

Установка режима SilentMode, в котором приложение перестает отправлять и получать почтовые сообщения, выполняется в конфигурационном файле dbaccess.properties, см. "Параметры работы с почтой в конфигурационном файле" (стр.36)

8.1 Параметры работы с почтой в конфигурационном файле

Параметры работы с почтой задаются в конфигурационном файле "dbaccess.properties" (стр.20):

silent.mode — включает/выключает режим SilentMode, в котором приложение перестает l отправлять и получать почтовые сообщения, блокируются все сервера исходящей и входящей почты.

silent.mode=false //режим выключен, ограничений получения и отправки почты нет silent.mode=true //режим включен suitable.ips — задает список ip-адресов, с которых разрешено отправлять и получать почтовые l сообщения, при включенном режиме SilentMode. ip-адреса указываются через разделитель ',' (запятая).

silent.mode=true suitable.ips= Текущее состояние режима SilentMode можно узнать с помощью скрипта, см. "Руководство по настройке скриптовых сценариев" .

8.2 Добавление подключения к серверу входящей почты

Чтобы добавить подключение к серверу входящей почты, выполните следующие операции:

1. Откройте вкладку "Входящая почта": в интерфейсе настройки в меню навигации разверните раздел "Настройка системы" — "Почта".

Выберите настройку "Параметры подключения". На экране отобразится вкладка "Входящая почта".

–  –  –

l Протокол — выберите используемый протокол: POP3 или IMAP4.

l SSL соединение — при необходимости подключения к почтовому серверу с использованием защищенного соединения SSL установите флажок (данное требование определяется настройками почтового сервера), по умолчанию SSL-соединение не используется.

l Папки для сканирования (только для протокола IMAP4) — укажите путь до папок, из которых будут забираться письма для обработки в формате: "INBOX/наименование папки".

Если указана папка "INBOX", то обработке подлежат входящие письма из данной папки.

Пути к папкам перечисляются через запятую ",", точку с запятой ";". В качестве разделителя пути используется слеш "\", "/".

4. Нажмите кнопку "Сохранить".

Форма добавления закроется, новое подключение отобразится на вкладке "Входящая почта". Новое подключение создается в состоянии "Включено".

На вкладке "Входящая почта" название сервера является ссылкой на карточку подключения, название задачи планировщика является ссылкой на карточку задачи планировщика.

- 37 Глава 8 - Настройка почты Рис. 8.3 Настройка исходящей почты включает в себя настройку параметров подключения к SMTP серверу и параметров отправки писем.

Чтобы настроить подключение к серверу исходящей почты, выполните следующие операции:

1. Откройте вкладку "Исходящая почта": в интерфейсе настройки в меню навигации разверните раздел "Настройка системы" — "Почта".

Выберите настройку "Параметры подключения" и перейдите на вкладку "Исходящая почта".

–  –  –

3. Заполните параметры SMTP сервера:

l Сервер — IP адрес или DNS имя сервера исходящей почты.

l Порт, соответствующий типу соединения (цифрами).

l Протокол шифрования — выберите : "SSL", "TLS" или "Без шифрования".

l Аутентификация SMTP — при необходимости аутентификации на SMTP сервере установите флажок (данное требование определяется настройками SMTP сервера).

По умолчанию аутентификация SMTP не включена.

l Логин — имя пользователя для отправки сообщений через SMTP-сервер.

–  –  –

Параметры "Логин" и "Пароль" имеют значение лишь при включенном параметре "Аутентификация SMTP".

4. Нажмите кнопку "Сохранить".

Форма редактирования закроется, изменения отобразятся на вкладке "Исходящая почта".

Текущее состояние подключения к SMTP серверу отображается в строке параметра "Включено" на вкладке "Исходящая почта" (блок "SMTP сервер"): отметка говорит от наличии подключения.

Рис. 8.6 Чтобы отключить подключение к SMTP серверу, на вкладке "Исходящая почта" в блоке "SMTP сервер" нажмите кнопку "Выключить".

Чтобы включить подключение к SMTP серверу, на вкладке "Исходящая почта" нажмите кнопку "Включить".

SilentMode — режим, в котором система перестает отправлять и получать почтовые сообщения. Установка режима SilentMode выполняется в конфигурационном файле dbaccess.properties, см. "Руководство системного администратора".

8.3 Параметры отправки писем

Чтобы настроить параметры отправки писем, выполните следующие операции:

1. Откройте вкладку "Исходящая почта": в интерфейсе настройки в меню навигации разверните раздел "Настройка системы" — "Почта".

Выберите настройку "Параметры подключения" и перейдите на вкладку "Исходящая почта".

–  –  –

Рис. 8.7

2. Откройте форму редактирования параметров отправки писем: в блоке "Отправка писем" нажмите кнопку "Редактировать". На экране откроется форма "Редактирование параметров отправки".

–  –  –

отображаться в поле "Обратный адрес (Reply-to)" письма, отправляемого системой.

l E-mail адрес системы — адрес электронной почты, который будет отображаться в поле "От кого (From)" письма, отправляемого системой.

–  –  –

Транслитерация заголовков писем — если необходима транслитерация заголовков, то l установите флажок. По умолчанию транслитерация отключена.

Максимальное количество неудачных попыток отправки письма — параметр определяет l количество попыток отправки письма, которые будут предприняты в случае возникновения проблем с доставкой сообщения. При достижении указанного количества попыток письмо будет отвергнуто.

Пауза между попытками отправки письма, сек — параметр определяет интервал времени, l по истечении которого, в случае неудачной отправки письма, будет произведена очередная попытка отправки.

По рекомендациям стандарта SMTP интервалы между повторными попытками послать письмо должны быть были не меньше 30 минут, см. "Технология автоматической защиты от спама:" (стр.41).

Максимальное количество писем, отправляемых в одном пакете — параметр определяет l количество писем, которые могут быть отправлены за одну итерацию отправки почты..

Минимальный интервал между пакетами отсылаемых писем, сек — параметр определяет l

–  –  –

установите флажок. По умолчанию данная настройка отключена и пакет писем отправляется полностью.

Включение данной настройки может оказаться полезным в следующей ситуации:

оповещение должно быть отправлено нескольким получателям, при этом по тем или иным причинам возникли проблемы с доставкой электронной почты некоторым из них, см. "Отправка пакета писем по частям:" (стр.42).

4. Нажмите кнопку "Сохранить".

Форма редактирования закроется, изменения отобразятся на вкладке "Исходящая почта".

Возобновление системной настройки отправки писем:

Чтобы возобновить системные настройки отправки писем, на вкладке "Исходящая почта" в блоке "Отправка писем" нажмите кнопку "Восстановить системные параметры".

Рис. 8.9 После этого внесенные пользователем изменения будут утеряны. Восстановятся системные настройки отправки писем.

Технология автоматической защиты от спама:

По рекомендациям стандарта SMTP интервалы между повторными попытками послать письмо должны быть были не меньше 30 минут.

На этом требовании основана работа «Серых списков» - технологии автоматической защиты от спама. Сервер, который использует технологию серых списков, первоначально отклоняет любое письмо от неизвестного отправителя, сообщая о временной ошибке. В базу данных записывается

–  –  –

информация об этой попытке, которая, обычно, включает в себя следующие данные (или некоторые из них):

IP-адрес сервера, который пытается послать письмо;

l

–  –  –

Если это была попытка послать спам, то этим, скорее всего, всё и закончится. Если же в дальнейшем будет сделана ещё одна попытка послать то же самое письмо (как и должно быть по протоколу SMTP), сервер, использующий серые списки, обнаружит в своей базе данных соответствующую запись и примет письмо. Для увеличения надёжности метода накладывается дополнительное ограничение: после первой попытки должно пройти не менее определённого промежутка времени.

Все последующие письма от того же отправителя тому же получателю, посланные через тот же сервер, будут приняты без задержки, потому что в базе данных уже есть нужная запись.

Отправка пакета писем по частям:

Включение настройки "Отсылать по частям" при настройке параметров отправки почты может оказаться полезным в следующей ситуации: оповещение должно быть отправлено нескольким получателям, при этом по тем или иным причинам возникли проблемы с доставкой электронной почты некоторым из них.

При выключенном параметре «Отсылать по частям» оповещение будет отправлено одним письмом, и не будет доставлено никому из получателей.

При включенном параметре «Отсылать по частям» оповещение сначала будет направлено всем получателям одним письмом, и, при возникновении проблем с доставкой письма некоторым из получателей, будет направлено отдельными письмами тем получателям, для которых не возникло проблем с доставкой электронной почты.

- 42 Глава 9 - Файловые хранилища Глава 9 - Файловые хранилища Файловые хранилища — это ресурс, позволяющий хранить файлы, прикрепляемые к объектам в процессе работы в интерфейсе пользователя Naumen Service Desk, в файловой системе отдельно от базы данных.

По умолчанию файлы, прикрепленные к объектам через интерфейс пользователя, хранятся в базе данных. Если настроено файловое хранилище, то пользовательские файлы загружаются в файловое хранилище.

К пользовательским файлам относятся:

файлы, добавленные в контенте "Список файлов";

l файлы, добавленные как значение атрибута "Файл";

l экземпляры отчетов в контенте "Список отчетов";

l изображения, добавляемые в атрибутах типа "Текст в формате RTF".

l Файлы, загружаемые через интерфейс настройки, всегда хранятся в базе данных.

К таким файлам относятся:

шаблоны отчетов;

l изображения элементов справочников;

l

–  –  –

изображения в значениях по умолчанию атрибутов типа "Текст в формате RTF".

l

9.1 Настройка файлового хранилища

Чтобы настроить хранение файлов в файловой системе, выполните следующие действия:

1. Создайте конфигурационный файл file-storage.xml в директории, указанной в параметре "Dext.prop.dir" в файле tomcat/bin/setenv.sh (обычно используется директрия /opt/nausd40/conf), см. "Настройка конфигурационных файлов" (стр.20)

2. В файле укажите следующие характеристики файловых хранилищ:

число файловых хранилищ — можно указать одно или нескольких файловых хранилищ, l

–  –  –

compress).

При изменении данного параметра у уже существующего хранилища, автоматического сжатия ранее загруженных файлов не производится. Сжатие ранее добавленных файлов в хранилище выполняется скриптом (см. ниже).

В базе данных все файлы хранятся в сжатом виде.

3. Примените изменения после создания или редактирования файла file-storage.xml, для этого:

перезапустите tomcat

–  –  –

ИЛИ выполните скрипт в консоли администратора Naumen Service Desk:

api.fileStorage.reload()

Пример файла file-storage.xml (настроено два файловых хранилища):

s:configuration xmlns:s="http://www.naumen.ru/fileStorageSettings" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.naumen.ru/fileStorageSettings fileStorageSettings.xsd " settings

activestorage1/active/settings

storages storage codestorage1/code descriptionАктивное хранилище файлов, расположенное в /path/to/storage1. Новые файлы будут помещаться в данное хранилище. Содержимое файлов хранится в несжатом виде./description path/path/to/storage1/path compressfalse/compress /storage storage codestorage2/code descriptionНе активное в данный момент хранилище файлов, расположенное в /path/to/storage2. Содержимое файлов будет храниться в сжатом виде./description path/path/to/storage2/path compresstrue/compress /storage /storages /s:configuration

9.2 Операции с файловым хранилищем Операции с файловыми хранилищами производятся скриптом. Скрипт выполняется в консоли администратора Naumen Service Desk.

Сжатие всех файлов, ранее добавленных в хранилище:

// storageCode - код файлового хранилища либо null, если необходимо сжать файлы в хранилище, расположенном в базе. null указывается без кавычек api.fileStorage.compressAll('storageCode')

Перемещение всех ранее добавленных файлов из одного хранилища в другое:

// oldStorageCode - код файлового хранилища либо null. Если необходимо сжать файлы в хранилище расположенном в базе, вместо кода нужно указать null (null указывается без кавычек) // newStorageCode - код файлового хранилища. Если необходимо сжать файлы в хранилище, расположенном в базе, вместо кода нужно указать null (null указывается без кавычек) api.fileStorage.moveAll('oldStorageCode', 'newStorageCode') При переносе файлов из несжатого хранилище в сжатое, все переносимые файлы сжимаются. При переносе файлов из сжатого хранилище в несжатое, все переносимые файлы распаковываются.

–  –  –

Глава 10 - Интеграция с LDAP сервером

10.1 Общие сведения о протоколе LDAP Протокол LDAP (Lightweight Directory Access Protocol) — облегчённый протокол доступа к каталогам.

LDAP представляет собой сетевой протокол для доступа к службе каталогов X.500, созданный IETF, как облегчённый вариант разработанного ITU-T протокола DAP. LDAP использует TCP/IP. Как правило, LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP, для LDAP-сеансов, инкапсулированных в SSL, используется порт 636.

LDAP позволяет производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.

Любая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем - DN (Distinguished Name). Уникальное имя может выглядеть следующим образом: «cn=Иван Петров, ou=Сотрудники, dc=example, dc=com». Уникальное имя состоит из одного или нескольких относительных уникальных имен - RDN (Relative Distinguished Name), разделённых запятой.

Относительное уникальное имя имеет вид: «имяАтрибута=значение». На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами.

Данная структура уникального имени позволяет представить записи в каталоге LDAP в виде дерева.

Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class). Классы записи в свою очередь объединены в схемы (schema), в которых определяются обязательные атрибуты для данного класса и дополнительные атрибуты, а также тип и правила сравнения атрибутов.

LDAP является широко используемым стандартом. Одной из наиболее популярных его реализаций является служба каталогов Active Directory (Microsoft Windows), предназначенная для централизации управления сетями Windows. Свои реализации служб каталогов на основе LDAP предлагают и другие крупные компании, например, Novell и Sun. Существуют также свободно распространяемые открытые реализации LDAP, например, Open LDAP.

Интеграция Naumen Service Desk с LDAP-сервером реализуется для решения следующих задач:

импорт информации из хранилища LDAP-сервера в Naumen Service Desk;

l использование информации из хранилища LDAP-сервера для аутентификации пользователей l при входе в Naumen Service Desk.

В Naumen Service Desk возможна аутентификация с использованием следующих реализаций LDAP:

"Аутентификация LDAP в ActiveDirectory" (стр.47);

l "Аутентификация LDAP в OpenLDAP" (стр.46).

l

10.2 Аутентификация пользователей с помощью LDAP Аутентификация с помощью LDAP позволяет пользователям входить в систему, используя учетные данные службы каталогов. Для этого логины пользователей в системе должны соответствовать логинам в LDAP, как правило, для этого используется механизм импорта пользователей из хранилища LDAP-сервера. Также пользователи могут быть заведены в систему Naumen Service Desk вручную (для Active Directory имя пользователя должно быть следующего вида:

user@mydomain.local).

Аутентификация выполняется через обычную форму входа в систему, при этом выполняются следующие действия:

- 45 Глава 10 - Интеграция с LDAP сервером

1. пользователь вводит имя пользователя (в том виде, как он заведен в системе) и пароль;

2. производится попытка подключиться к LDAP-серверу с указанными реквизитами.

В случае удачного подключения пользователю разрешается доступ в систему.

Если подключиться к серверу не удалось, то возможны два варианта:

отказ пользователю в доступе в систему Naumen Service Desk l применение иного способа проверки подлинности пользователя (например, через поиск l пользователя в базе данных Naumen Service Desk).

Настройка LDAP-аутентификации осуществляется в файле "dbaccess.properties" (стр.20)

Параметры файла dbaccess.properties, относящиеся к LDAP-аутентификации:

Рис. 10.1

Логирование ошибок аутентификации:

Настоятельно рекомендуется настроить логирование ошибок аутентификации.

Чтобы настроить отображение ошибок аутентификации в логе приложения, выполните следующие действия:

1. Добавьте в конец конфигурационного файла "log4j.properties" (стр.21) следующие строки:

# Поиск авторизованного через службу пользователя в базе данных Naumen Service Desk log4j.category.ru.naumen.sec.server.employee=DEBUG # Общие части аутентификаторов log4j.category.org.springframework.security.authentication=DEBUG # Логеры Kerberos/SPNEGO аутентификатора log4j.category.ru.naumen.sec.server.spnego=DEBUG # Логеры LDAP & AD аутентификаторов log4j.category.org.springframework.security.ldap=DEBUG log4j.category.org.springframework.security.ldap.authentication=DEBUG

2. Перезапустите приложение.

10.2.1 Аутентификация LDAP в OpenLDAP Настройка LDAP-аутентификации осуществляется в файле dbaccess.properties, см."Настройка конфигурационных файлов" (стр.20)

Пример настроек файла dbaccess.properties, относящихся к LDAP-аутентификации в OpenLDAP:

####################################################################### #Список через запятую используемых типов авторизаторов. Допустимы лишь INTERNAL,LDAP, AD. Недопустимые значения игнорируются #Authenticators (comma separated list). Available: INTERNAL,LDAP,AD. Unaccepted values are ignored.

ru.naumen.core.authentication.authenticators=LDAP,INTERNAL

- 46 Глава 10 - Интеграция с LDAP сервером ####################################################################### #LDAP authenticator settings ####################################################################### #URL подключения к LDAP #LDAP URL of the form codeldap://ldap-server:389/base_dncode ru.naumen.core.authentication.ldap-authenticator.connection-url=ldap://ldapserver:389/ou=users,dc=organization,dc=ru #userDN - DN имени пользователя, ou=users,dc=organization,dc=ru ru.naumen.core.authentication.ldap-authenticator.user-dn=ou=users,dc=organization,dc=ru #Шаблон поиска пользователя, в качестве {0} будет подставлен login #user search template. Login will be used instead of {0} ru.naumen.core.authentication.ldap-authenticator.user-search-filter=uid={0} ####################################################################### 10.2.2 Аутентификация LDAP в ActiveDirectory Настройка LDAP-аутентификации осуществляется в файле dbaccess.properties, см."Настройка конфигурационных файлов" (стр.20) Пример настроек файла dbaccess.properties, относящихся к LDAP-аутентификации в

ActiveDirectory:

###################################################### #Список через запятую используемых типов авторизаторов. Допустимы лишь INTERNAL,LDAP, AD. Недопустимые значени игнорируются #Authenticators (comma separated list). Available: INTERNAL,LDAP,AD. Unaccepted values are ignored.

ru.naumen.core.authentication.authenticators=AD,INTERNAL ###################################################### # AD authenticator settings ###################################################### #URL подключения к AD ru.naumen.core.authentication.ad-authenticator.connection-url=ldap://ldap-server/ #userUPN - User principal name для подключения к серверу, вида username@mydomain.local ru.naumen.core.authentication.ad-authenticator.user-upn=username@mydomain.local #Пароль пользователя для подключения к серверу ru.naumen.core.authentication.ad-authenticator.user-password=**** #DN для указания конкретного места поиска пользователей для авторизации, #пустое значение не работает для поиска по всему дереву, нужно указывать например ".users-dn=dc=mydomain,dc=local" ru.naumen.core.authentication.ad-authenticator.users-dn=cn=Users,dc=mydomain,dc=local #Шаблон поиска пользователя, в качестве {0} будет подставлен upn ru.naumen.core.authentication.ad-authenticator.user-search-filter=userPrincipalName={0}

10.3 Импорт оргструктуры из LDAP Импорт из LDAP предназначен в основном для синхронизации информации об оргструктуре и сотрудниках с данными в хранилище LDAP.

В процессе импорта и синхронизации информации из LDAP-сервера в системе Naumen Service Desk выполняется создание, изменение, перемещение объектов системы на основе информации получаемой от LDAP-сервера в соответствии с заданными правилами синхронизации.

–  –  –

Приложение A - Настройка Kerberos-аутентификации A.1 Общие сведения Kerberos — cетевой протокол аутентификации, позволяющий безопасно передавать данные l через незащищённые сети для безопасной идентификации.

Также Kerberos — набор бесплатного программного обеспечения от Массачусетского технологического института MIT (Massachusetts Institute of Technology), разработавшего этот протокол.

Организация протокола направлена в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга. Сообщения, отправляемые через протокол Kerberos, защищены от прослушивания и атак повторного воспроизведения.

SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) — механизм (протокол) l взаимодействия, использующий GSSAPI, инкапсулирующий другие security механизмы (в т.ч.

Kerberos) Realm — область (домен) аутентификации в инфраструктуре Kerberos. Значение чувствительно l к регистру символов SPN (Service Principal Name) — имя участника службы — уникальное имя, по которому l идентифицируется экземпляр сервиса. Это способ сопоставить учетную запись Windows, ответственную за запуск экземпляра службы, с сервером и службой UPN (User Principal Name) — логин пользователя. Имя, сокращенное относительно полного l имени пользователя. Пример: user@domain.ru KDC (Key Distribution Center) — сервер аутентификации в инфраструктуре Kerberos.

l

–  –  –

Рис.

A.1 Дополнительные требования к программному и аппаратному обеспечению для использования Kerberos-аутентификации:

l Key Distribution Center (KDC) — сервер аутентификации в инфраструктуре Kerberos, контроллер домена Active Directory под управлением операционной системы Microsoft Windows Server 2003 или 2008.

l Рабочие станции пользователей, включенные в домен, под управлением операционной системы Microsoft Windows XP, Vista, 7, 8.

l Наличие доступа с сервера, на котором установлен Naumen Service Desk, на 88-й и 389-й порт каждого контроллера домена l Браузер: Internet Explorer 8, 9, 10. Mozilla Firefox 24 и выше, Google Chrome 30.

–  –  –

Использование доменных учетных записей при работе пользователей на персональном l компьютере.

Логины пользователей в системе должны соответствовать логинам в Active Directory (как l правило, для этого используется механизм импорта оргструктуры из Active Directory).

Если используется разветвленная доменная инфраструктура, и домен пользователя отличается l от домена KDC, то между доменами должно быть установлено двустороннее доверительное отношение на уровне лесов (Forest Trust).

A.2 Настройка KDC Чтобы настроить сервер аутентификации в инфраструктуре Kerberos (Key Distribution Center), выполните следующие действия:

1. Создайте учетную запись пользователя (User Logon Name = myservice) в AD с помощью Active

Directory Users and Computers:

l при создании снимите флажок «User must change password at next logon»;

l введите и запомните пароль (mypassword).

Необходимо убедиться, что в Active Directory нет учетной записи компьютера с таким же именем.

2. Чтобы установить UPN, создать SPN, связать SPN с пользовательским аккаунтом и создать keytab-файл, который будет использоваться для аутентификации сервером приложения, выполните команду:

ktpass -princ HTTP/myhost.otherdomain.local@MYDOMAIN.LOCAL -pass mypassword -mapuser mydomain\myservice -out c:\TEMP\myservice.HTTP.keytab

-SetPass В результате будет создан файл myservice.HTTP.keytab.

Имя хоста в SPN должно соответствовать полному доменному имени сервера приложения.

в случае необходимости использовать для доступа к приложению несколько DNS-имен l (записи типа 'A'), нужно создать дополнительные SPN, соответствующие DNS-именам при помощи команды:

setspn -A HTTP/myhost1.otherdomain.local mydomain.local\myservice где myhost1.otherdomain.local - дополнительное DNS-имя.

в случае наличия дополнительных записей DNS типа 'CNAME', необходимо l регистрировать SPN на основное DNS-имя, при этом для доступа к серверу приложения можно пользоваться и дополнительными именами.

Пример:

Допустим, для сервера имеются следующие записи DNS:

myhost2.otherdomain.

local CNAME myhost.otherdomain.local myhost.otherdomain.local A 192.168.0.10 myhost1.otherdomain.local A 192.168.0.10

Выполните команду nslookup для получения этой информации:

nslookup myhost Server: 192.168.0.1 Address: 192.168.0.1#53 Name: myhost.otherdomain.local Address: 192.168.0.10 nslookup myhost1 Server: 192.168.0.1 Address: 192.168.0.1#53 Name: myhost1.otherdomain.local

- 50 Приложение A - Настройка Kerberos-аутентификации Address: 192.168.0.10 nslookup myhost2 Server: 192.168.0.1 Address: 192.168.0.1#53 myhost2.otherdomain.

local canonical name = myhost.otherdomain.local Name: myhost.otherdomain.local Address: 192.168.0.10

3. На вкладке «Account» свойств пользователя в Active Directory убедитесь, что UPN принял вид (поле «User Logon Name»): «HTTP/myhost.otherdomain.local@MYDOMAIN.LOCAL»;

4. Выведите список SPN и убедитесь в их корректности с помощью команды:

setspn -L myservice

5. Проверьте функционирование аутентификации:

l для проверки аутентификации посредством keytab-файла выполните команду:

kinit -t c:\TEMP\myservice.HTTP.keytab HTTP/myhost.otherdomain.local Сообщение «New ticket is stored in cache file путь к файлу» свидетельствует об успешном получении билета Kerberos;

для проверки UPN и аутентификации по паролю выполните команду, которая потребует l ввести пароль (mypassword):

kinit HTTP/myhost.otherdomain.local Утилита kinit входит в состав JRE (Java Runtime Environment).

6. keytab-файл необходимо безопасно скопировать на сервер приложения (например, программой WinSCP) в любой каталог (например, /etc/myservice.HTTP.keytab).

Сдвиг по времени системных часов компьютеров, входящих в инфраструктуру Kerberos, является достаточно распространённой проблемой в настройке. Необходимо, чтобы разница системного времени не превышала 5 мин.

A.3 Настройка сервера приложений A.3.1 Настройка соответствия Realm и KDC Соответствие Realm и KDC задается в файле: krb5.conf.

Расположение файла:.

/etc/krb5.conf l

Для получения адреса KDC выполните команду:

nslookup -type=SRV _ldap._tcp.mydomain.local:

server: dc10.mydomain.local #Это адрес DNS-сервера address 192.168.0.10

ldap._tcp.mydomain.local SRV service location:

priority = 0 weight = 100 port = 389 srv hostname = dc.mydomain.local #Адрес KDC

ldap._tcp.mydomain.local SRV service location:

priority = 0 weight = 100 port = 389 srv hostname = dc1.mydomain.local #Адрес KDC Необходимо прописать имена серверов-KDC в файле krb5.*.

Пример файла krb5.*:

[libdefaults] default_realm = MYDOMAIN.LOCAL

–  –  –

default_keytab_name = /etc/myservice.HTTP.keytab [realms] MYDOMAIN.LOCAL = { kdc = dc.mydomain.local kdc = dc1.mydomain.local } A.4 Настройка соответствия имён доменов и Realm Настройки соответствия имен доменов и Realm хранятся в config-директории приложения в файле "realm-rules-config.xml" (стр.21). В файле представлен набор правил, каждое из которых указывает соответствие между определенным внутренним наименованием домена и Realm.

Внутреннее наименование домена — это часть логина пользователя в системе Naumen Service Desk, представляющая домен. В зависимости от настроек синхронизации пользователей Naumen Service Desk и Active Directory, его значение может являться сокращенным наименованием домена (mydomain), либо полным наименованием домена (mydomain.local). Строка внутреннего наименования домена может быть пустой, в случае сопоставления Realm с логинам без домена.

В общем случае прописывать соответствия в этом файле не требуется, т.к. при аутентификации приложение автоматически проверяет наличие логина в системе с коротким именем домена и отсутствием домена в логине.

Пример файла realm-rules-config.xml:

realm-rules xmlns="http://naumen.ru/xmlschema/core/realm-rules-config/" /realm-rules A.4.1 Настройка параметров аутентификатора

В конфигурационном файле dbaccess.properties необходимо:

1. Добавить аутентификатор "SPNEGO" в список используемых типов аутентификаторов, например:

ru.naumen.core.authentication.authenticators=SPNEGO,INTERNAL

2. Указать необходимые параметры аутентификатора.

Пример настроек для kerberos-аутентификации с помощью keytab:

#Принципал сервиса для подключения сервера к AD ru.naumen.core.authentication.spnego-authenticator.serviceprincipal=HTTP/myhost.otherdomain.local #Составные части хост и реалм, из них конструируется принципал если напрямую он не задан ru.naumen.core.authentication.spnego-authenticator.service-host= ru.naumen.core.authentication.spnego-authenticator.service-realm= # Пароль польователя при подключении без использования keytab-файла ru.naumen.core.authentication.spnego-authenticator.service-password= # флаг указывающий используется ли keytab файл ru.naumen.core.authentication.spnego-authenticator.use-keytab=true # место расположения keytab файла ru.naumen.core.authentication.spnego-authenticator.keytab=file:${ext.prop.dir} /myservice.HTTP.keytab # место расположения файла соответствия реалмов

–  –  –

ru.naumen.core.authentication.spnego-authenticator.realm-configfile=file:${ext.prop.dir}/realm-rules-config.xml # Использовать кэш тикетов ru.naumen.core.authentication.spnego-authenticator.use-ticket-cache=true # какой кэш использовать ru.naumen.core.authentication.spnego-authenticator.ticket-cache= # выводить ли отладочную информацию из модуля (это не логирование процесса) ru.naumen.core.authentication.spnego-authenticator.debug=false ${ext.prop.dir} означает путь до файлов конфигурации приложения. Для того, чтобы пример работал, необходимо поместить ключ myservice.HTTP.keytab в config-директорию приложения.

A.4.2 Изменение ссылки на приложение У приложения могут измениться IP-адрес, DNS-имя, имя виртуального хоста, на которые выписан spn. Соответственно изменяется ссылка, используемая для аутентификации, в этом случае для сохранения работы прозрачной аутентификации необходимо выполнить ряд действий.

В примере рассматривается смены адреса приложения с «myhost.otherdomain.local» на «myhostNEW.otherdomainNEW.local».

Для сохранения работы прозрачной аутентификации при изменении ссылки на приложение, выполните следующие действия:

1. Выполните команду:

setspn -l myservice Будет показан список всех spn;

2. Удалите все существующие spn командой (в примере spn один):

setspn -D HTTP/myhost.otherdomain.local myservice

3. Создайте новый keytab-файл:

ktpass -princ HTTP/myhostNEW.otherdomainNEW.local@MYDOMAIN.LOCAL -pass mypassword -mapuser mydomain\myservice -out c:\TEMP\myservice.HTTP.keytab

-SetPass

4. Безопасно скопируйте его на сервер поверх старого.

A.5 Настройка клиента Настройка рабочего места пользователя сводится к конфигурации браузера.

A.5.1 Internet Explorer Подробные шаги по настройке браузера Internet Explorer приведены на сайте MSDN: HTTPBased Cross-Platform Authentication via the Negotiate Protocol.

Настройка браузера Internet Explorer выполняется в окне "Свойства обозревателя (Internet Options)" (меню "Сервис (Tools)" - "Свойства обозревателя (Internet Options)") и включает в себя следующие действия:

1. Добавьте сайт (узел) в зону Intranet:

l перейдите на вкладку «Безопасность (Security)»;

l выберете зону «Местная интрасеть (Local Intranet)» и нажмите кнопку «Узлы (Sites)»;

l в открывшемся диалоговом окне убедитесь что флажок, соответствующий «Автоматически определять принадлежность к интрасети (Include all sites that bypass the proxy server)" установлен, затем нажмите кнопку "Дополнительно (Advanced)";

–  –  –

доменные имена, которые будут использоваться в Интранет сети (в нашем случае — *.otherdomain.local);

l нажмите "OK" и закройте диалоговое окно.

2. Установите автоматическую аутентификацию для зоны Intranet:

l перейдите на вкладку "Безопасность (Security)", выберете зону "Местная интрасеть (Local Intranet)" и нажмите кнопку "Другой...(Custom Level)";

l в диалоговом окне "Параметры безопасности (Security Settings)" прокрутите вниз список к секции "Проверка подлинности пользователя (User Authentication)" и выберете "Автоматический вход в сеть только в зоне интрасети (Automatic logon only in Intranet zone)". Эта настройка позволит пользователям избавиться от повторного ввода логина и пароля;

l нажмите "OK", чтобы закрыть диалоговое окно.

3. Проверьте настройки Proxy:

l перейдите на вкладку "Подключения (Connections)";

l нажмите кнопку "Настройка сети (LAN Settings)";

l проверьте правильность ввода адреса proxy сервера и номера порта, затем нажмите кнопку «Дополнительно (Advanced)»;

l в диалоговом окне "Парметры прокси-сервера (Proxy Settings)" убедитесь, что все требуемые доменные имена указаны в поле "Исключения" (в нашем случае — *.otherdomain.local);

l нажмите "OK", чтобы закрыть диалоговое окно "Парметры прокси-сервера (Proxy Settings)".

4. Разрешите встроенную аутентификацию:

l перейдите на вкладку «Дополнительно (Advanced)»;

l в разделе "Безопасность (Security)"установите флажок, соответствующий "Разрешить встроенную проверку подлинности Windows (Enable Integrated Windows Authentication)" и нажмите кнопку "OK".

5. Укажите необходимость проверки наличия обновления сохраненных страниц при каждом посещении веб-узла (для Internet Explorer 8.0):

l перейдите на вкладку "Общие";

l в разделе "История просмотра" нажмите кнопку "Параметры".

l установите значение параметра "Проверять наличие обновления сохраненных страниц" — "При каждом посещении веб-узла".

A.5.2 Mozilla Firefox

Настройка браузера включает в себя следующие действия:

1. Запустите Mozilla Firefox;

2. В строке адреса наберите «about:config» и нажмите "Enter";

3. В поле «Filter» наберите «rk.ne», чтобы ограничить список опций;

4. Двойным кликом мыши щелкните на строке с параметром «network.negotiate-auth.trusted-uris»;

5. В открывшемся диалоговом окне введите имя домена с точкой в начале, для которого необходимо разрешить SPNEGO аутентификацию (в нашем случае — otherdomain.local);

6. Повторите данную процедуру для параметра «network.negotiate-auth.delegation-uris», с тем же значением имени домена.

A.5.3 Google Chrome

Настройка браузера заключается в добавлении параметра запуска --auth-serverwhitelist="*otherdomain.local". Чтобы добавить параметр запуска, выполните сследующие действия:

- 54 Приложение A - Настройка Kerberos-аутентификации

1. Кликните правой кнопкой мыши на ярлыке "Google Crome";

2. Выберите "Свойства";

3. В поле "Объект" к стоке запуска браузера допишите "--args --auth-serverwhitelist="*otherdomain.local"".

Пример:

"C:\Program Files\Googe\Chrome\Application\chrome.exe" --args --auth-serverwhitelist="*otherdomain.local" A.6 Проверка работы Kerberos-аутентификации

Логирование ошибок аутентификации:

Чтобы настроить отображение ошибок аутентификации в логе приложения, выполните следующие действия:

1. Добавьте в конец конфигурационного файла "log4j.properties" (стр.21) следующие строки:

# Поиск авторизованного через службу пользователя в БД SD log4j.category.ru.naumen.sec.server.employee=DEBUG # Общие части аутентификаторов log4j.category.org.springframework.security.authentication=DEBUG # Логеры Kerberos/SPNEGO аутентификатора log4j.category.ru.naumen.sec.server=DEBUG log4j.category.ru.naumen.sec.server.spnego=DEBUG # Логеры LDAP & AD аутентификаторов log4j.category.org.springframework.security.ldap=DEBUG log4j.category.org.springframework.security.ldap.authentication=DEBUG

2. Перезапустите приложение.

Проведение проверки работы Kerberos-аутентификации:

Для проверки работы Kerberos-аутентификации выполните следующие действия:

1. Заведите в приложении пользователя с логином test@mydomain.local вручную или с помощью импорта.

2. Водите в ОС Microsoft Windows под данным пользователем.

3. Настройте браузер по инструкции, см. гл. "Настройка клиента" (стр.53).

4. Перейдите в браузере по ссылкам: http://myhost.otherdomain.local:[port]/sd/operator.

Вход должен осуществиться автоматически без запроса логина или пароля.

- 55 Приложение B - Конфигурация производительности Java-машины Приложение B - Конфигурация производительности Java-машины

Выбор java-машины:

Для корректной работы приложения необходимо использовать версию Oracle (Sun) Java Development's Kit, указанную в документе "Технические условия эксплуатации программного продукта Naumen Service Desk". Выбор любой другой реализации java или версии Oracle JDK, отличной от указанной в условиях, не гарантирует стабильной работы приложения.

Скачать версию можно с официального сайта: http://www.oracle.com/technetwork/java/javase.

Разрядность устанавливаемой java рекомендуется выбирать исходя из следующих условий:

для установки приложения в ознакомительных или тестовых целях, если предполагается l небольшая нагрузка на приложение, следует устанавливать 32х-битную версию для экономии расхода оперативной памяти сервера.

для установки приложения, использующегося в режиме production, если при этом нагрузка l будет достаточная для потребления объема памяти более, чем в 2 Гб, следует устанавливать 64х-битную версию для возможности выделения приложению достаточного количества ресурсов.

При изменении требований к разрядности рекомендуется переустановить java-машину.

Основные концепции конфигурирования производительности:

Конфигурирование производительности java-машины сводится к управлению ее памятью и garbage collector ("сборщиком мусора").

Объект содержится в памяти java-машины до тех пор, пока на него есть ссылки. Если на объект нет ссылок, он удаляется из памяти специальным процессом, запускаемым по определенному алгоритму, garbage collector ("сборщиком мусора"). Запуск и работа этого процесса называется сборкой мусора.

Модель памяти java представлена несколькими разделами. В heap ("куче") хранятся объекты, создаваемые приложением. Heap делится на две части: young generation ("молодое") и old generation ("старое") поколения. При создании объекты попадают в "молодое поколение". Если они пережили несколько "сборок мусора", объекты перемещаются в "старое поколение". Кроме "кучи" в памяти java есть специальный раздел, в котором хранятся java-классы, методы и прочие объекты. Этот раздел называется permanent generation ("постоянное поколение").

В heap периодически работает garbage collector, а значит, периодически освобождается память под новые объекты. Однако, может так случиться, что объектов, на которые есть ссылки, стало слишком много, и garbage collector уже не может освободить достаточно памяти для новых объектов, в таком случае, приложение завершает работу с ошибкой OutOfMemoryError. Получить аналогичную ошибку можно, если в permanent generation не хватит места для расположения новых объектов. Следует заметить, что объем занимаемой памяти в permanent generation не растет с увеличением нагрузки на приложение, поэтому достаточно один раз установить этому разделу памяти разумный предел.

В том случае, когда garbage collector еще может освобождать память, но освобождает ее в объеме, который быстро занимается новыми объектами, наблюдается падение производительности приложения: частые, продолжительные зависания, связанные с тем, что при "сборке мусора" все рабочие потоки приложения останавливаются, высокая нагрузка на процессор сервера во время garbage collector.

Исходя из вышеописанного, следует выделять достаточно памяти для раздела heap java.

Общая модель памяти java-машины представлена на рисунке.

- 56 Приложение B - Конфигурация производительности Java-машины Рис. B.1

Java-опции для конфигурирования производительности java-машины:

Конфигурирование производительности java-машины проводится с помощью java-опций запуска приложения.

После редактирования опций необходимо перезапустить приложение, чтобы изменения вступили в силу.

Опции перечисляются через пробелы в файле catalina.sh в значении переменной JAVA_OPTS:

JAVA_OPTS="-server -Xms1024m -Xmx1024m -Dfile.encoding=UTF-8 -XX:MaxPermSize=192m"

Группа java-опции для работы и мониторинга приложения:

l -Xms — объем памяти изначально выделенный ОС под heap ("кучу") java-машины. На production-серверах рекомендуется устанавливать значение параметра, равное значению -Xmx, чтобы избежать возможности в swap.

-Xmx — максимальный объем памяти, которая может быть выделена ОС под heap ("кучу") javal машины.

-XX:PermSize - объем памяти изначально выделенный ОС под Permanent Generation (PermGen).

l

-XX:MaxPermSize — максимальный объем памяти, которая может быть выделена ОС под l Permanent Generation (PermGen).

-server — явное указывает использование серверной версии виртуальной машины java (Java l HotSpot Server VM), данная версия специально оптимизирована для выполнения приложения на сервере.

-d64 — явно указыввает использование 64х-битной версии виртуальной машины java. По l умолчанию включается при использовании опции -server.

-d32 — явно указывает использование 32х-битной версии вирутальной машины java. Полезно, l когда установлена 64х-битная java, но приложение требует для работы менее 2 Гб оперативной памяти. Если указать эту опцию, расход памяти значительно уменьшится.

-XX:+UseCompressedOops — указывает java-машине перекодировать 64х-битные указатели в l 32х-битные, что позволяет заметно уменьшить расход памяти.

-XX:+UseParallelOldGC — указывает использовать Parallel Garbage Collector. Данный "сборщик l мусора" выбран специалистами Naumen, как оптимальный для использования при работе с приложением Service Desk. Указывать обязательно!

-XX:+PrintGCDetails -XX:+PrintGCTimeStamps -XX:+PrintGCDateStamps — включение l логирования, рекомендуется включать логирование, чтобы иметь возможность установить связь падения производительности приложения с нехваткой памяти.

–  –  –

-Xloggc: /opt/nausd40/tomcat/logs/gc.log`date +%Y%m%d_%H%M`— в качестве значения l указывается путь до лога. На linux-сервере для того, чтобы лог не переписывался при перезапуске, можно указать путь с датой и временем в названии лога.

Группа опций, обеспечивающих мониторинг работы приложения в реальном времени с помощью технологии Java Management Extensions (JMX) с использованием утилит jconsole, jvisualvm.

Необходимость такого подключения иногда возникает при локализации проблем в работе приложения:

l -Dcom.sun.management.jmxremote.port=8999 — порт, по которому можно будет подключиться.

l -Dcom.sun.management.jmxremote.authenticate=false — возможность подключения к

приложению без авторизации. Если для безопасности планируется назначить логин и пароль на подключение по jmx, следует воспользоваться инструкцией на сайте tomcat. Ссылка для tomcat 7: http://tomcat.apache.org/tomcat-7.0-doc/monitoring.html#Enabling_JMX_Remote

-Dcom.sun.management.jmxremote.ssl=false l Группа опций для включения автоматического снимка памяти приложения при ошибке "OutOfMemoryError":

-XX:+HeapDumpOnOutOfMemoryError — включает автоматический снимок памяти l приложения при ошибке "OutOfMemoryError".

-XX:HeapDumpPath=/opt/nausd40/ — указывает путь, по которому будет создан файл со l снимком heapDump.

Данная группа опций полезна для анализа причин нехватки памяти. Следует учитывать, что если объем heap ("кучи") достаточно большой, снимок памяти займет продолжительное время. Например, снимок heap ("кучи") в 20 Гб делается около 30 минут.

Опции для снимка памяти приложения рекомендуется включать только по просьбе специалистов компании NAUMEN.

- 58 Приложение C - Установка и настройка nginx Приложение C - Установка и настройка nginx Скачать nginx можно по ссылке http://nginx.org/ Конфигурация сборки осуществляется командой configure. Команда определяет особенности системы и методы, которые nginx может использовать для обработки соединений. В итоге она создаёт Makefile.

Команда configure поддерживает следующие параметры:

--prefix=путь — каталог, в котором будут находиться файлы сервера. Этот же каталог будет l использоваться для всех относительных путей, задаваемых configure (кроме путей к исходным текстам библиотек) и в конфигурационном файле nginx.conf. По умолчанию — каталог /usr/local/nginx.

--sbin-path=путь — имя исполняемого файла nginx. Это имя используется только на стадии l установки. По умолчанию файл называется префикс/sbin/nginx.

--conf-path=путь — имя конфигурационного файла nginx.conf. При желании nginx можно l всегда запустить с другим конфигурационным файлом, указав его в параметре командной строки -c файл. По умолчанию файл называется префикс/conf/nginx.conf.

--pid-path=путь — имя файла nginx.pid, в котором будет храниться номер главного процесса.

l После установки имя файла можно всегда поменять в конфигурационном файле nginx.conf с помощью директивы pid. По умолчанию имя файла — префикс/logs/nginx.pid.

--error-log-path=путь — имя основного файла ошибок, предупреждений и диагностики. После l установки имя файла можно всегда поменять в конфигурационном файле nginx.conf с помощью директивы error_log. По умолчанию имя файла — префикс/logs/error.log.

--http-log-path=путь — имя основного файла регистрации запросов HTTP-сервера. После l установки имя файла можно всегда поменять в конфигурационном файле nginx.conf с помощью директивы access_log. По умолчанию имя файла — префикс/logs/access.log.

--user=имя — имя непривилегированного пользователя, с правами которого будут l выполняться рабочие процессы. После установки это имя можно всегда поменять в конфигурационном файле nginx.conf с помощью директивы user. По умолчанию имя пользователя nobody.

--group=имя — имя группы, с правами которой будут выполняться рабочие процессы. После l установки это имя можно всегда поменять в конфигурационном файле nginx.conf с помощью директивы user. По умолчанию группа совпадает с именем непривилегированного пользователя.

--with-select_module --without-select_module — разрешает или запрещает сборку модуля для l работы сервера с помощью метода select(). Этот модуль собирается автоматически, если на платформе не обнаружено более подходящего метода — kqueue, epoll, rtsig или /dev/poll.

--with-poll_module --without-poll_module — разрешает или запрещает сборку модуля для работы l сервера с помощью метода poll(). Этот модуль собирается автоматически, если на платформе не обнаружено более подходящего метода — kqueue, epoll, rtsig или /dev/poll.

--without-http_gzip_module — запрещает сборку модуля сжатия ответов HTTP-сервера. Для l сборки и работы этого модуля нужна библиотека zlib.

--without-http_rewrite_module — запрещает сборку модуля HTTP-сервера, позволяющего делать l перенаправления и менять URI запросов. Для сборки и работы этого модуля нужна библиотека PCRE. Модуль экспериментальный — директивы модуля впоследствии могут измениться.

--without-http_proxy_module — запрещает сборку проксирующего модуля HTTP-сервера.

l

--with-http_ssl_module — разрешает сборку модуля для работы HTTP-сервера по протоколу l HTTPS. По умолчанию модуль не собирается. Для сборки и работы этого модуля нужна библиотека OpenSSL.

–  –  –

--with-pcre=путь — путь к исходным текстам библиотеки PCRE. Дистрибутив библиотеки l (версию 4.4 - 8.30) следует взять на сайте PCRE и распаковать, все остальное сделают./configure nginx'а и make. Библиотека нужна для использования регулярных выражений в директиве location и для модуля ngx_http_rewrite_module.

--with-pcre-jit — собирает библиотеку PCRE с поддержкой JIT-компиляции (1.1.12, см. pcre_jit).

l

--with-zlib=путь — путь к исходным текстам библиотеки zlib. Дистрибутив библиотеки (версию l 1.1.3 - 1.2.5) следует взять на сайте zlib и распаковать. Всё остальное сделают./configure nginx'а и make. Библиотека нужна для модуля ngx_http_gzip_module.

--with-cc-opt=параметры — дополнительные параметры, которые будут добавлены к l переменной CFLAGS. При использовании системной библиотеки PCRE во FreeBSD, нужно указать --with-cc-opt="-I /usr/local/include". Если нужно увеличить число файлов, с которыми может работать select(), то это тоже можно задать здесь же:

--with-cc-opt="-D FD_ SETSIZE=2048".

--with-ld-opt=параметры — задает дополнительные параметры, которые будут использованы l при линковке. При использовании системной библиотеки PCRE во FreeBSD, нужно указать -with-ld-opt="-L /usr/local/lib".

Пример использования параметров (все параметры набираются в одной строке):

./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf

--pid-path=/usr/local/nginx/nginx.pid --with-http_ssl_module --with-pcre=../pcre-4.4 -with-zlib=../zlib-1.1.3

Трансляция удалённых адресов клиентов:

При работе сервера приложения за proxy-сервером для корректного получения действительных удаленных адресов клиентских подключений необходимо добавить следующие строки в файл

server.xml настроек tomcat'а, внутрь тега Host:

Valve className="org.apache.catalina.valves.RemoteIpValve" internalProxies="127\.0\.0\.1" / Параметр internalProxies содержит регулярное выражение которому должны соответствовать IPадреса одного или нескольких внутренних proxy-серверов.

Пример конфигурационного файла nginx:

Условия:

приложение должно быть доступно по ссылке вида "http://tomcat_server";

l ограничение размера загружаемого файла — 20 мегабайт;

l таймаут при чтении ответа проксированного сервера — 300s.

l Для этого необходимо настроить конфигурационный файл nginx/sites-enabled/default следующим образом:

server { listen 80; # слушать 80 порт server_name tomcat_server;

rewrite ^/$ /sd/ permanent; # автоматически дописывать /sd/ location /sd/ { proxy_pass http://tomcat_server:8080/sd/; # proxy на порт 8080 tomcat_server proxy_set_header X-Real-IP $remote_addr; # Header с адресом клиента proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # Header с адресами proxy и клиента proxy_read_timeout 300s; # Таймаут при чтении ответа проксированного сервера.

client_max_body_size 20m; # Ограничение размера загружаемого файла } }

- 60 Приложение D - Установка и настройка apache Приложение D - Установка и настройка apache Fedora Core/Cent OS Linux.

l #yum install httpd Запуск Apache.

#chkconfig httpd on #/etc/init.d/httpd start Red Hat Enterprise Linux l #up2date httpd Запуск Apache.

#chkconfig httpd on #/etc/init.d/httpd start Debian Linux l #apt-get install apache2 Запуск Apache.

#/etc/init.d/apache2 start

Включаем модуль mod_proxy, для этого дописываем в файл /etc/apache2/httpd.conf следующее:

LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so

Трансляция удалённых адресов клиентов:

При работе сервера приложения за proxy-сервером для корректного получения действительных удаленных адресов клиентских подключений необходимо добавить следующие строки в файл

server.xml настроек tomcat'а, внутрь тега Host:

Valve className="org.apache.catalina.valves.RemoteIpValve" internalProxies="127\.0\.0\.1" / Параметр internalProxies содержит регулярное выражение которому должны соответствовать IPадреса одного или нескольких внутренних proxy-серверов.

Пример конфигурационного файла apache:

Условие: приложение должно быть доступно по ссылке вида "http://tomcat_server/sd/".

Для этого необходимо настроить конфигурационный файл /etc/apache2/sites-enabled/default следующим образом:

VirtualHost *:80 IfModule mod_proxy.c ProxyRequests On AllowConnect 80 Directory proxy:http://tomcat_server:8080/ Allow from all /Directory Directory *:80 Allow from all /Directory ProxyVia full ProxyPass / http://tomcat_server:8080/ ProxyPassReverse / http://tomcat_server:8080/ /IfModule /VirtualHost

- 61 Приложение E - Вставка изображения из буфера обмена в Internet Explorer 9.0+ Приложение E - Вставка изображения из буфера обмена в Internet Explorer 9.0+ Вставка изображений из буфера обмена в браузерах Mozilla Firefox и Google Crome работает без дополнительных настроек.

Для возможности вставки изображений из буфера обмена в браузере Internet Explorer 9.0+ требуется выполнить следующие настройки. Установка и настройка выполняются в режиме online.

Установка компонента ActiveX доступна только для пользователей ОС Microsoft Windows, обладающих правами локального администратора в системе.

1. Запустите Internet Explorer 9.0+.

Для успешной установки ActiveX необходимо проверить настройки безопасности браузера.

Если для зоны "Интернет" установлен самый высокий уровень безопасности или включен запрет на загрузку элементов ActiveX, то ActiveX компонент для вставки скриншотов не установится. Рекомендуется использовать настройки безопасности браузера по умолчанию ("Свойства обозревателя/Безопасность" и "Дополнительно").

2. Войдите в систему Naumen Service Desk с указанием логина и пароля.

3. После успешной аутентификации, на странице оператора или технолога в адресную строку браузера добавьте параметр "paste-support", который означает необходимость установки

ActiveX:

http://sd.company.com/operator/?paste-support Обновите страницу.

Если ActiveX ранее не установлен, появится сообщение о согласии на установку. Подтвердите установку и обновить страницу (F5 или Ctrl+F5 или Ctrl+R).

Если ActiveX установлен, то при открытии страницы с параметром "paste-support" никаких сообщений не появляется.

Вставка изображений из буфера обмена:

Изображение из буфера обмена вставляется в поле типа "Текст в формате RTF" с помощью сочетания клавиш "Ctrl+V" или "Shift+Insert".

Вставка картинки из буфера обмена доступна только с клавиатуры ('''Ctrl+V''' или '''Shift+Insert'''). Вставка картинки из контекстного меню недоступна.

–  –  –

Приложение F - Название вкладок приложения в браузере Для названия вкладки приложения в браузере по умолчанию используется значение, определенное в конфигурационном файле company.properties (параметр company.productname). Если значение параметра не определено, то в качестве значения по умолчанию используется "Naumen Service Desk".

Чтобы определить параметр company.productname, выполните следующие действия:

1. В ${ext.prop.dir} указано расположение папки с конфигурационными файлами приложения:

для Linux: в файле /opt/nausd40/tomcat/bin/setenv.sh

-Dext.prop.dir=/opt/nausd40/conf

2. В папке с конфигурационными файлами создайте новый файл company.properties следующего содержания:

company.copyright=ваш копирайт company.productname=ваше название продукта

3. Убедитесь, что в ${user.home}/.naumen/sd/conf файл company.properties отсутствует.

4. Перезапустите приложение. Названия вкладок браузера будут изменены на указанные в файле company.properties.

Похожие работы:

«УДК 323(092)Трамп Д. ББК 66.3(7Сое)Трамп Д. Т65 Donald J. Trump with Meredith McIver TRUMP NEVER GIVE UP: HOW I TURNED MY BIGGEST CHALLENGES INTO SUCCESS Copyright © 2008 by Trump University. All rights reserved. This edition published...»

«ЛЕКАРСТВА УБИЙЦЫ Оглавление ГЛОБАЛЬНЫЕ ПРОЦЕССЫ НА ЗАПАДЕ И НАЗНАЧЕНИЕ РОССИЙСКОГО РЫНКА ЧТО ДАЛА ФАРМАЦИЯ НАРОДАМ, В ЕЕ РАЗВИТИИ ПРЕУСПЕВШИМ? 1. ПРОЗАК (ФЛУОКСЕТИН) 2. Фенолфталеин ФЕНОЛФТАЛЕИН 3. Тамоксифен ТАМОКСИФЕН 4. Исрадипин. Нифедипин. Бромокриптин * ЛОМИР * Н...»

«РОССИЙСКАЯ ФЕДЕРАЦИЯ РЕСПУБЛИКА БУРЯТИЯ КНИГА ПАМЯТИ Том V Улан-Удэ Бурятское книжное издательство ББК63.3 (2) 222 К 532 Р Е Д КО Л Л Е ГИ Я КН И ГИ П А М Я Т И ” РЕСПУБЛИКИ БУРЯТИЯ СОСТАВИТЕЛИ: В. В. ЗАИКИНА, В^В. БУГРЕЕВ РОССИЙСКАЯ ГОС У ДАР С Т В Е НН АЯ БИБЛИОТЕКА _ 2000 КНИГА ПАМЯТИ Республики Бурятия в 5 томах. Том 5. К...»

«Глава 3. ТРАНСАКЦИОННЫЕ ИЗДЕРЖКИ 3.1. Концепция трансакции. Сущность и происхождение трансакционных издержек Понятие «трансакция» Если обратиться к английскому слову «трансакция» ( transaction ), то в нем можно выделить две составные части. «Транс» ( trans ) в данном контексте означает «между», «акция» ( action ) – «действие». Это озна...»

«Центр изучения древней философии и классической традиции www.nsu.ru/classics/ Мякин Т. Г. Lex de judiciis repetundarum и политическая программа Гая Гракха В настоящее время доказано, что судебный закон, сохранившийся н...»

«Т.А. Дмитриев УИЛЛАРД КУАЙН Уиллард Ван Орман Куайн (1908-2000) по праву считается крупнейшим американским философом второй половины XX века. Вместе с тем его, несомненно, можно отнести к числу ведущих мыслителей влиятельнейшего философского движения минувшего столетия аналитической философии, получившей широкое расп...»

«Россия и мир: изменения в политике международного налогообложения Владимир Гидирим Партнер, Группа международного налогообложения Вопросы для обсуждения Глобальные мировые тренды и тенденции в международной нал...»

«УДК 373.5.016:502/504 О.В. Малярчук Методика поликонтекстуального анализа содержания интегрированного курса «Естествознание» старшей школы В статье конкретизируется поликонтекстуальный подход в естественнонаучном образовании и обосновываются возможности его...»

«УТВЕРЖДЕНО Постановлением Администрации Щёлковского муниципального района Московской области от «_»_201 г. № АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ ПРЕДОСТАВЛЕНИЯ ГОСУДАРСТВЕННОЙ УСЛУГИ В МОСКОВСКО...»

«НАУЧНАЯ ГРАФОЛОГИЯ Международный графологический журнал на русском языке ОТ РЕДАКТОРА Январь Февраль 2014 г. Дорогие друзья, приветствуем вас на страницах нашего нового выпуска! Напоминаем: все выпуски архива журнала, включая этот, доступны к скачиванию на его странице. С...»

«European Journal of Psychological Studies, 2014, Vol.(4), № 4 Copyright © 2014 by Academic Publishing House Researcher Published in the Russian Federation European Journal of Psychological Studies Has been issued since 2014. ISSN: 2312-0363 E-IS...»

«ЭЛТЕКС Цифровая АТС МС240 Блок коммутатора потоков ТУ6651-004-33433783-2005 Руководство по эксплуатации Часть 1 Описание и работа изделия РЭ1 6651-004-33433783-2005 г. Новосибирск, 2010 2 Цифровая АТС МС240. БКП. Руководство по эксплуатации. Описание и работа изделия. СОДЕРЖАНИЕ ЧАСТЬ 1. ОПИСАНИЕ И РАБОТА ИЗДЕЛИ...»

«Министерство образованшI и науки Российской Федерации Федеральное государOтвенное бюджетное образовательЕое улреждение высшего образования кСаратовский ЕационаJIьный исследовательский государственный университет имени Н.Г. Чернышевского ) Балашовский институт (филиал) ЕРЖЩАЮ: Би сгу Тттатилова. Рабочая программа дисциплины основы ботаники Направле...»

«Типовое положение о дошкольном образовательном учреждении I. Общие положения 1. Настоящее Типовое положение регулирует деятельность государственных и муниципальных дошкольных образовательных учреждений всех видов.2. Для негосударстве...»

«НСПК Национальная система платежных карт Руководство по подключению и взаимодействию с ОПКЦ НСПК Часть 2.1 Руководство по операционному взаимодействию с ОПКЦ НСПК по операциям платежной системы Mas...»

«Годовой отчет открытого акционерного общества «ЕвроАзиатский ТорговоПромышленный Банк» о деятельности в 2009 году. Содержание Страница I. Общая информация 3-4 II. Приоритетные направления деятельности ОАО ЕАТПБанк 4-7 III. Отчет совета директоров о результатах развития по приоритетным 7-11 напра...»

«ППП «СТРАДИС» www.страдис.рф АЛЬФРЕД АДЛЕР ВОСПИТАНИЕ ДЕТЕЙ Перевод с английского А.А. Валеева и Р.А. Валеевой Впервые издано в 1930 году. Перевод выполнен по изданию: Alfred Adler The Education of Children. Gateway Editions, Ltd South Bend Indiana, 1978). К Содержанию -1ППП «СТРАДИС» www.страдис.рф СО...»

«М. Е. ДОБРУСКИН ГУМАНИЗАЦИЯ КАК СТРАТЕГИЯ ВЫСШЕГО ОБРАЗОВАНИЯ1 Постановка проблемы Среди всех актуальных проблем современного высшего образования гуманизация занимает особое приоритетное место по своему значению и роли как основное стратегическое напра...»

«СОВЕТ ДЕПУТАТОВ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ СТЕПНОЙ СЕЛЬСОВЕТ СВЕТЛИНСКОГО РАЙОНА ОРЕНБУРГСКОЙ ОБЛАСТИ РЕШЕНИЕ 20.06.2013 № 119 п.Степной Об утверждении Правил содержания домашних животных в личных подсобных хозяйствах граждан в муниципальном образовании Степной сельсовет Светлинского района Оренбургской области В соответствии с Закон...»

«Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «РОССИЙСКАЯ АКАДЕМИЯ НАРОДНОГО ХОЗЯЙСТВА И ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»...»

«МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ (МГС) INTERSTATE COUNCIL FOR STANDARDIZATION, METROLOGY AND CERTIFICATION (ISC) ГОСТ МЕЖГОСУДАРСТВЕННЫЙ 31988СТАНДАРТ Услуги общественного питания МЕТОД РАСЧ...»

«САЕНТОЛОГИЯ улучшает мир, в котором мы живём Основанная и разработанная Л. Роном Хаббардом Саентология – это при кладная религиозная философия, предлагающая точный путь, следуя которым каждый может обрести истину и простоту своего духовного «Я». Саентология состоит из особых аксиом, которые устанавливают самые основные...»

«Порядок определения базовых ставок и коэффициентов, используемых в методике определения ставки капитализации объектов нежилого фонда, методом массовой оценки Определение базовой ставки А0 Ба...»

«ИНТЕРПРЕТАЦИЯ И ВОСПРИЯТИЕ НАСЛЕДИЯ СВЯТИТЕЛЯ ФИЛАРЕТА. 111 О. Л. Фетисенко (ИРЛИ, Санкт-Петербург) ПРОТОИЕРЕЙ ИОСИФ ФУДЕЛЬ О МИТРОПОЛИТЕ ФИЛАРЕТЕ Протоиерей Иосиф Иванович Фудель (1864/1865–1918), известный церковн...»

«Государственное управление. Электронный вестник Выпуск № 48. Февраль 2015 г. Нарожная Д.А. Социальная детерминация деструктивного трудового поведения работников в современной России Нарожная Диана Анатольевна — аспирант, ассистент, факультет государственного управления,...»

«621.4 Б759 В. Д. Боев КОМПЬЮТЕРНОЕ МОДЕЛИРОВАНИЕ Пособие для практических занятий, курсового и дипломного проектирования в AnyLogic 7 Санкт-Петербург УДК 681.142.1.001.57 681.142.33 Боев В. Д. Компьютерное моделирование: Пособие для практических занятий, курсового и дипломного проектирования в AnyLogic7:. — СПб.: ВАС...»

«Агаева Тунзаля Миргейдар кызы РОЛЬ КЛАССИФИКАЦИИ РЕЛИГИЙ В СТАНОВЛЕНИИ СОДЕРЖАНИЯ РЕЛИГИОЗНОГО СОЗНАНИЯ Отсутствие однозначного подхода к генезису религии отражается на развитии многих сфер науки, в том числе философии религии, теологии, религиоведения и проч. К примеру, до сих пор не решена пр...»

«УСПЕНСЬКІ ЧИТАННЯ, Київ, вересень 2014 р. Архимандрит Кирилл (Говорун) (Йельский университет, США) ЭККЛЕЗИОЛОГИЯ ОБЩЕНИЯ КАК ОБЩИЙ ЯЗЫК ЦЕРКОВНЫХ ТРАДИЦИЙ В 1927 году немецкий протестантский богослов Отто Дибелиус предположил, что Ц...»








 
2017 www.pdf.knigi-x.ru - «Бесплатная электронная библиотека - разные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.