# 6. Встановлення компонентів за допомогою скрипта автоматизації встановлення Скрипт автоматизації встановлення призначений для інсталяції необхідного програмного забезпечення на всі локальні компоненти системи «Трембіта», які попередньо сконфігуровані відповідно до розділу 5 даної інструкції. # 6.1. Початкове налаштування робочої станції адміністратора #### 6.1.1. Завантаження на робочу станцію адміністратора скрипта автоматизації встановлення Скрипт автоматизованого встановлення можна завантажити за посиланням [https://portal.trembita.gov.ua/media/website-media/trembita\_installation1\_12\_6.zip](https://portal.trembita.gov.ua/media/website-media/trembita_installation1_12_6.zip). Після завантаження необхідно розархівувати завантажений архів до домашньої директорії (/home/**<****username****>**). --- #### 6.1.2. Завантаження файлу ліцензії та якоря конфігурації для роботи шлюзу безпечного обміну Для роботи шлюзу безпечного обміну в промисловому середовищі необхідні діюча ліцензія та якір конфігурації для промислового середовища. ШБО не працюватиме без даних файлів. Файли ліцензії (файл *member.live.license.lic*) та якоря конфігурації (файл *configuration anchor*) для промислового середовища можна знайти в Особистому кабінеті Каталогу системи «Трембіта» розділ «Адміністрування», вкладка «Матеріали». З даними файлами необхідно виконати наступні дії: 1. Завантажити файл ліцензії промислового середовища *member.live.license.lic* на робочу станцію адміністратора та перейменувати його на *license.lic*; 2. Завантажити файл якоря конфігурації промислового середовища на робочу станцію адміністратора та перейменувати його на *configuration-anchor.xml*; 3. Перемістити файли *license.lic* та c*onfiguration-anchor.xml* до директорії ~*/trembita\_installation/sec\_serv\_config/* робочої станції адміністратора.

# 6.2 Початкове налаштування шлюзу безпечного обміну, серверу аналізу журналів подій, серверу баз даних та архівування Віртуальні машини (або фізичні комп’ютери), на які будуть встановлені ШБО, сервер аналізу журналу подій та сервері бази даних повинні бути попередньо сконфігуровані відповідно до [розділу ](https://docs.trembita.gov.ua/books/instrukciia-zi-vstanovlennia-lokalnix-komponentiv-sistemi-trembita-v-promislovomu-seredovishhi-za-dopomogoiu-skripta-avtomatizaciyi/page/5-peredumovi-do-vikonannia-vstanovlennia)[](https://docs.trembita.gov.ua/books/instrukciia-zi-vstanovlennia-lokalnix-komponentiv-sistemi-trembita-v-promislovomu-seredovishhi-za-dopomogoiu-skripta-avtomatizaciyi/page/5-peredumovi-do-vikonannia-vstanovlennia)[5](https://docs.trembita.gov.ua/books/instrukciia-zi-vstanovlennia-lokalnix-komponentiv-sistemi-trembita-v-promislovomu-seredovishhi-za-dopomogoiu-skripta-avtomatizaciyi/page/5-peredumovi-do-vikonannia-vstanovlennia) даної інструкції. # 6.3 Запуск скрипта Важливо! Результат роботи скрипта відмінити неможливо, тому перед його виконанням необхідно зробити резервну копію (снапшот) віртуальних машин, на яких буде запущено скрипт та на які будуть встановлюватися локальні компоненти. Для запуску скрипта автоматизації встановлення Адміністратору локальних компонентів (системному адміністратору) необхідно: 1. Відкрити консоль (термінал) робочої станції адміністратора. Це можна зробити за допомогою натиснення комбінації клавіш «Ctrl+Alt+T». ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/NqguiCfl3HBAQKqt-embedded-image-54hv6r52.png) 2. Перейти в директорію /home/<username> за допомогою виконання наступної команди: ``` cd /home/ ``` де **<****username>** – ім’я користувача з роллю Адміністратор локальних компонентів (системний адміністратор). 3. Послідовно виконати наступні команди: ``` cd trembita_installation1_12_6/trembita_installation/ sudo python3 run.py ``` # 6.4. Робота скрипта Скрипт під час своєї роботи автоматично здійснює конфігурування та налаштування необхідного програмного забезпечення для всіх компонентів промислового середовища системи «Трембіта». Скрипт не перевіряє налаштування мережевої інфраструктури і результати його роботи неможливо відмінити. Після запуску скрипта на виконання користувачеві буде відображено наступне повідомлення: ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/7JrFbufMo1654rFc-embedded-image-bew1c0ox.png) Після натискання клавіші «Enter», користувачеві буде запропоновано ввести вихідні параметри, необхідні для конфігурації компонентів учасника системи (один параметр на рядок): 1. Для конфігурації робочої станції адміністратора: - IP-адресу робочої станції; - пароль користувача uxpadmin (цей користувач створюється в процесі роботи скрипта і виконує в подальшому роль Адміністратора вебсервісів). 2. Для конфігурації серверу аналізу журналів подій: - локальну IP-адресу сервера аналізу журналів подій; - логін адміністратора ОС серверу аналізу журналів подій, для доступу за допомогою SSH; - пароль адміністратора ОС серверу аналізу журналів подій, для доступу за допомогою SSH; - пароль для web-користувача «admin» на graylog (цей користувач створюється в процесі роботи скрипту). Нижче наведено приклад заповнення деяких вихідних даних: ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/LGOmcSKU95gdqGag-embedded-image-vycs0utp.png) 3. Для конфігурації серверу баз даних та архівування: - локальну IP-адресу сервера баз даних та архівування; - логін адміністратора ОС сервера баз даних та архівування, для доступу за допомогою SSH; - пароль адміністратора ОС сервера баз даних та архівування, для доступу за допомогою SSH; - пароль користувача uxpadmin (цей користувач засобу перевірки повідомлень створюється в процесі роботи скрипту і виконує в подальшому роль Відповідального за аналіз транзакцій). 4. Для конфігурації шлюзу безпечного обміну: - локальну IP-адресу ШБО; - логін адміністратора ОС ШБО, для доступу за допомогою SSH; - пароль адміністратора ОС ШБО, для доступу за допомогою SSH; - пароль для користувача uxpadmin (цей користувач створюється в процесі роботи скрипту і використовується для входу користувача з роллю Адміністратор вебсервісів); - URL-адресу CMP сервера КНЕДП, який видав електронну печатку організації для роботи шлюзу. 5. Для встановлення системи моніторингу Zabbix необхідно ввести «Так» (або «yes»): ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/ZuEt18lETFukzl6h-embedded-image-i4shz8l1.png) 6. Для конфігурації серверу моніторингу Zabbix необхідно вести: - IP-адресу віртуальної машини для серверу Zabbix; - логін адміністратора ОС для доступу за допомогою SSH; - пароль адміністратора ОС серверу Zabbix для доступу за допомогою SSH. Нижче наведено приклад заповнення деяких вихідних даних: ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/ugnH6GKX9q5Mpst5-embedded-image-19witiwm.png) Після заповнення всіх даних необхідно ввести «yes»: ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/vivvLqGtzC9TbNeJ-embedded-image-gciy75az.png) та очікувати завершення роботи скрипта. Після того, як скрипт завершить роботу, у директорії /trembita\_installation буде створено файл results.txt, в якому містяться усі логіни для всіх компонентів промислового середовища системи «Трембіта»: ![](https://docs.trembita.gov.ua/uploads/images/gallery/2024-09/I8es5AWpKW5Nwbda-embedded-image-oxkyzbf2.png) Після закінчення встановлення локальних компонентів, необхідно виконати початкову конфігурацію та налаштування локальних компонентів згідно розділів 7-10 даної інструкції, а також налаштувати локальний моніторинг ШБО згідно розділу 11 даної інструкції. # 6.5 Можливі помилки під час виконання скрипта Під час роботи скрипта можуть статися помилки. Нижче наведено приклади виводу помилок та шляхи їх виправлення:

Текст помилки	Шляхи виправлення
Не вистачає привілеїв.	Команда python3 run.py повинна запускатися з привілеями sudo чи від імені користувача root
УВАГА! Не можу підключитися до сервера!	Логін, пароль чи IP-адреса помилкові, скрипт не може встановити SSH-сесію з сервером. Перевірити та вказати правильний логін, пароль та IP-адресу відповідного компоненту
Server OS version FAIL!!!!	Версія операційної системи відрізняється від Ubuntu 18.04, встановлення не може бути продовжене. Необхідно встановити операційну систему Ubuntu Server 18.04.4 LTS 64bit
Playbook for server fail!	Сталася непередбачувана помилка під час встановлення, збережіть дані з терміналу для подальшого аналізу.

# 6.6. Додавання додаткових облікових записів користувачів #### 6.6.1. Додавання облікового запису користувача на Робочій станції адміністратора

**Важливо!** В промисловому середовищі системи «Трембіта» доступ до її локальних компонентів має здійснюватися з використанням веббраузеру Mozilla Firefox або SSH виключно через Робочу станцію адміністратора відповідно до рольової моделі, [наведеної на рисунку 3.1](https://docs.trembita.gov.ua/link/177#bkmrk-%D0%A0%D0%B8%D1%81%D1%83%D0%BD%D0%BE%D0%BA-3.1-%E2%80%93-%D0%A0%D0%BE%D0%BB%D1%8C%D0%BE%D0%B2) даної інструкції.

Для того, щоб створити новий обліковий запис користувача, що зможе авторизуватися на Робочій станції адміністратора, необхідно в командній консолі даної робочої станції: 1. Виконати команду: ``` sudo uxp-ua-add-admin-user.sh ``` де **<username>** – логін створюваного користувача латиницею. 2. Ввести пароль нового користувача двічі. --- #### 6.6.2. Додавання додаткового облікового запису Адміністратора вебсервісів

**Важливо!** В разі, якщо виникає необхідність роботи з вебінтерфейсом ШБО у декількох співробітників Учасника системи "Трембіта", кожен з них обов'язково повинен мати власний обліковий запис!

Шлюз безпечного обміну використовує локальних користувачів і групи операційної системи для контролю доступу до вебінтерфейсу адміністрування шлюзу безпечного обміну. Обліковий запис, що використовується для входу в вебінтерфейс адміністрування шлюзу безпечного обміну – це обліковий запис Адміністратора вебсервісів (за замовчуванням з логіном uxpadmin). Для створення додаткового Адміністратора вебсервісів, Адміністратору локальних компонентів (системному адміністраторові) необхідно: 1. Послідовно виконати наступні команди: ``` sudo useradd -M -N sudo chsh -s /bin/false sudo passwd ``` де **<username>** - логін створюваного користувача латиницею. 2\. Ввести пароль нового користувача двічі. --- #### 6.6.3. Додавання додаткового облікового запису Відповідального за управління ключами У випадку, коли локальні компоненти системи «Трембіта» адмініструє Оператор, уповноваженому співробітнику Суб’єкта електронної взаємодії, що відповідає за встановлення інформаційної взаємодії та управління особистими ключами електронної печатки (Відповідальному за управління ключами), потрібно надати доступ до функціоналу ШБО. Для цього потрібно створити обліковий запис Відповідального за управління ключами, який буде використовуватись для входу в вебінтерфейс адміністрування ШБО, шляхом послідовного виконання наступних команд: ``` sudo useradd -M -N sudo adduser uxp-security-officer sudo chsh -s /bin/false sudo passwd ``` де **<security-officer>** - логін створюваного користувача латиницею. Після виконання цих команд необхідно ввести пароль нового користувача двічі.