Локальная платформа двухфакторной аутентификации Protectimus может быть установлена на частном сервере или в частном облаке клиента.
- Требования для установки на частном сервере: Java (JDK версии 8); СУБД PostgreSQL (версия 10 и выше)
- Требования для установки в частном облаке: 2 Core (CPU), 8 GB (MEM); ОС: Linux/Windows; Disk: 20GB; Load Balancer.
Для обеспечения бесперебойной работы сервера двухфакторной аутентификации, разверните кластер из нескольких серверов (рекомендуем использовать минимум 3 ноды). Для распределения нагрузки понадобится Load Balancer.
Вы можете установить Платформу Protectimus с помощью инсталлятора для Windows или из Docker-образа.
Как начать работу с MFA-платформой Protectimus
- Установите платформу Protectimus, создав образ Docker, или воспользуйтесь установщиком для Windows.
- Зарегистрируйтесь и активируйте лицензию.
- Настройте синхронизацию пользователей с каталогом пользователей (или добавьте/импортируйте пользователей вручную).
- Настройте основные параметры, включая ресурсы и токены.
- Выпустите и импортируйте доверенный SSL-сертификат.
- Интегрируйте платформу в свою инфраструктуру.
Для дополнительной информации просмотрите эти важные ресурсы:
1. Установка Платформы Protectimus из Docker-образа
- Для установки On-premise платформы Protectimus необходимо скачать и установить docker, docker-compose:
- Склонировать git репозиторий: https://github.com/protectimus/platform-linux.git
- Перейти в каталог platform-linux/platform и запустить:
docker-compose up -d
- За процессом разворачивания платформы можно наблюдать используя команду:
docker-compose logs -f
- После завершения процесса запуска, платформа будет доступна по адресу: https://localhost:8443
2. Установка платформы на Windows при помощи инсталлятора
- Скачайте установщик Protectimus Platform, нажав на кнопку ниже, и запустите его.
Выберите Platform и нажмите Next.
Если вы планируете использовать интеграцию по RADIUS и отправку одноразовых паролей через чат-ботов в Telegram, Facebook Messenger или Viber, установите соответствующие галочки.
- Перед развертыванием платформы Protectimus, на вашем сервере должна быть установлена Java. Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.
- Также на вашем сервере должна быть установлена система управления базами данных PostgreSQL (версия 9.2 и выше). Нажмите кнопку Install, чтобы проверить наличие PostgreSQL. Если PostgreSQL еще не установлена, последняя версия PostgreSQL будет установлена автоматически.
ВНИМАНИЕ: Во время установки вам нужно будет задать имя суперпользователя (superuser name) и пароль. Этот логин и пароль понадобится вам для входа в PostgreSQL позже.
Пожалуйста, запомните свое имя суперпользователя (в данном случае postgres) и пароль, который вы добавите на этом этапе. Это имя и пароль потребуются для входа в PostgreSQL позже.
- Войдите в базу данных PostgreSQL. Введите имя суперпользователя и пароль, которые вы указали при установке PostgreSQL, и нажмите LogIn. Затем нажмите Next, чтобы продолжить установку.
- Создайте и выберите базу данных, которую вы будете использовать для локальной платформы Protectimus.
- Создайте новую базу данных. Введите желаемое имя базы данных и нажмите Create.
- Проверьте, создалась ли база данных, с помощью кнопки List.
- Нажмите Select, выберите только что созданную базу данных и нажмите Next.
- Запустите базу данных. Нажмите Init, чтобы выполнить сценарии SQL и запустить базу данных. Это может занять некоторое время.
- Выберите папку для установки локальной платформы Protectimus и нажмите Install.

Сервер будет запущен на порту 8080 или 8443, а платформа будет доступна по адресу
http://localhost:8080 или
https://localhost:8443. Ссылка откроется автоматически после установки. После запуска платформы вам необходимо зарегистрироваться в системе.
3. Регистрация в системе Protectimus
Установщик автоматически откроет регистрационную форму по адресу
http://localhost:8080 или
https://localhost:8443.
Пожалуйста, создайте учетную запись и войдите в систему для настройки необходимых параметров.
4. Оплата и активация лицензии
После успешного тестирования платформы Protectimus вам понадобится лицензия. Для этого перейдите по адресу
http://platform_path/licensing, выберите нужный вариант и получите лицензионный ключ.
Используя полученный ключ, вы можете оплатить и загрузить лицензию онлайн. Для этого выполните следующие действия:
- Перейдите по ссылке https://service.protectimus.com/ru/platform и нажмите на кнопку Приобрести лицензию.
- Введите ваш лицензионный ключ в поле Ключ лицензирования и нажмите кнопку Отправить.
- На следующем шаге нажмите на кнопку Оплатить.
- Выберите способ оплаты. Если вам необходим альтернативный способ оплаты, свяжитесь со службой поддержки клиентов Protectimus.
- После успешной оплаты нажмите на кнопку Выдача лицензии для платформы.
Вы также можете сделать это на странице https://service.protectimus.com/ru/platform, нажав кнопку Выдача лицензии.
- Введите ключ в поле Ключ лицензирования и нажмите кнопку Отправить. После этого файл лицензии будет загружен.
- После получения файла лицензии загрузите его на сервер и укажите путь к файлу лицензии в параметре licence.file.path в файле с именем protectimus.platform.properties. Обратите внимание, что путь к файлу лицензии следует указывать с двойными обратными косыми рисками (например: C:\some\path\file) ).
5. Синхронизация пользователей с вашей службой каталогов
- Войдите в свою учетную запись в Protectimus и нажмите: Пользователи — Синхронизация — Добавить поставщика пользователей
- В разделе Соединение заполните данные о службе каталогов.

Основные настройки:
Поле |
Значение |
Примечание |
Connection URLs |
URL адрес подключения к вашему серверу LDAP |
Пример: ldaps://dc1.domain.local:636
Для DSPA необходимо использовать именно LDAP соединение, также нужно импортировать SSL сертификат.
Стандартный способ:
keytool -import -alias ___ -file '___.cer' -keystore 'C:\Program Files\Java\jre___\lib\security\cacerts' -storepass changeit
|
Base DN |
Полный DN каталога, в котором находятся ваши пользователи |
Пример:
DC=domain,DC=local
|
Password |
Пароль указанного пользователя |
|
User DN |
DN или userPrincipalName администратора или пользователя, который имеет доступ к информации пользователей |
Пример:
CN=Administrator, CN=Users, DC=demo, DC=domain, DC=local
administrator@domain.local
Для DSPA пользователь должен иметь права на смену паролей
|
Timeout (ms) |
Таймаут соединения |
|
- После внесения информации о вашем каталоге пользователей, добавьте атрибуты синхронизации.Нажмите кнопку Атрибуты.
Затем добавьте атрибуты, как показано в примере.
Кроме того, вы можете настроить OpenLDAP – для этого выберите его из списка поставщиков в поле Вендор.

- Теперь настройте параметр Password Encoder.Выберите алгоритм, соответствующий вашей конфигурации. Доступные алгоритмы: AD-specific (UTF-16LE), Plain, BCRYPT, SHA256, SSHA256, SHA512, SSHA512, MD4, MD5, SMD5, SHA и SSHA.

- После успешного добавления поставщика пользователей вам необходимо импортировать пользователей в систему Protectimus и синхронизировать их с вашим каталогом пользователей.В поле Режим синхронизации выберите, как вы хотите импортировать своих пользователей.
Есть три варианта настроек импорта пользователей:
- Только импорт — данные пользователей никогда не будут обновляться.
- Импорт и обновление — данные пользователей будут обновляться, когда это возможно.
- Импорт, обновление и удаление — данные пользователей будут обновляться, когда это возможно. Пользователи Protectimus, а также назначенные им программные токены будут удалены при удалении пользователя из внешнего пользовательского хранилища.
- Теперь задайте настройку Использовать пагинацию.Когда включена опция Использовать пагинацию и количество записей превышает 200 или 500, для извлечения данных будет использовано несколько запросов. Это нужно потому, что LDAP по умолчанию ограничивает количество возвращаемых записей.
- Настройте Фильтр который будет применен при синхронизации.Используйте этот фильтр чтобы выбрать только тех пользователей, которых вы хотите синхронизировать.
Например, чтобы импортировать только тех пользователей, у которых указаны атрибуты telephoneNumber и mail, настройте такой фильтр:
(&(telephoneNumber=*)(mail=*))
Для импорта пользователей из определенной группы выберите нужную группу. В нашем примере это группа Users.
- Далее задайте настройку Выпустить SMS токен.Если активирована опция Выпустить SMS токен, во время синхронизации вашим пользователям будут выпущены и назначены SMS-токены.
- В разделе Назначение на ресурс вы можете выбрать ресурс, на который будут назначены пользователи при синхронизации.
- Следующий шаг — активировать синхронизацию пользователей. Это можно сделать тремя способами:
- Нажать кнопку Синхронизировать сейчас, чтобы синхронизировать всех пользователей одновременно.
Вы также можете нажать кнопку Синхронизировать измененных пользователей, чтобы синхронизировать только тех пользователей, которые были изменены с момента последней синхронизации.

- Использовать возможность синхронизации отдельных пользователей из каталога, для этого используйте функцию Синхронизировать отдельных пользователей.
- Активировать автоматическую синхронизацию пользователей, для этого необходимо активировать параметр Активирован вверху страницы.

6. Как настроить основные параметры
Базовые настройки, необходимые для работы платформы двухфакторной аутентификации Protectimus, включают:
- Создание ресурса.
- Добавление пользователей. Вы можете активировать синхронизацию пользователей с каталогом или добавить/импортировать пользователей вручную.
- Создание токенов.
ОБРАТИТЕ ВНИМАНИЕ: Если вы планируете использовать токены Protectimus BOT, Protectimus MAIL или Protectimus SMS для доставки одноразовых паролей своим пользователям, следуйте инструкциям, чтобы настроить эти методы доставки OTP:
Кроме того, вы можете настроить Портал самообслуживания пользователей, который позволит пользователям самостоятельно выпускать, регистрировать и управлять своими токенами.
- Назначение токенов пользователям;
- Назначение пользователей с токенами на ресурс.
Дополнительные возможности Сервиса и Платформы Protectimus позволяют:
7. Как интегрировать и настроить локальную платформу Protectimus
Интегрируйте локальную MFA-платформу Protectimus с системой, которую вы хотите защитить с помощью двухфакторной аутентификации. Для этого найдите соответствующее руководство по интеграции на странице
Интеграции.
Если вы не можете найти нужную инструкцию или у вас есть вопросы, обратитесь в нашу
службу поддержки – мы будем рады помочь вам с интеграцией.