2.8 KiB
Pré-requis
Résolution de noms
Avant l'installation de Publik il faut vérifier que les enregistrements DNS sont fonctionnels; Publik nécessite autant de domaines que de composants.
Typiquement :
- portail usager (composant combo) : moncompte.macollectivite.fr,
- portail agents (composant combo) : agents-moncompte.macollectivite.fr,
- démarches (composant wcs/wcs-au-quotidien) : demarches-moncompte.macollectivite.fr,
- fournisseur d'identités (composant authentic) : connexion-moncompte.macollectivite.fr,
- hub de webservice (composant passerelle) : passerelle-moncompte.macollectivite.fr,
- porte document (composant fargo) : portedoc-moncompte.macollectivite.fr,
Par exemple voici à quoi pourraient ressembler les entrées d'un serveur Bind:
publik A a.b.c.d ; addresse IP de «publik»
portail CNAME publik ; portail usage (brique: combo)
backoffice CNAME publik ; portail agent (brique: combo)
connexion CNAME publik ; fournisseur d'identités (brique: authentic)
demarches CNAME publik ; téléservices (brique: wcs)
passerelle CNAME publik ; hub de webservices (brique: passerelle)
hobo CNAME publik ; système de déploiement (brique: hobo)
Toutes ces entrées DNS doivent pointer vers le proxy de répartition de charge (dans le cas d'une installation avec répartition de charge).
Par ailleurs, les serveurs applicatifs doivent impérativement avoir un fichier /etc/hosts consistant.
Certificat X509
Publik ne fonctionne qu'en mode HTTPS.
Un ou plusieurs certificats x509 valides et reconnus doivent être disponibles qui couvrent tous les noms des briques qui seront installées. Dans la suite de la documentation, un certificat est disponible :
- clé publique certifiée : /etc/ssl/certs/cert-example.pem
- clé privée : /etc/ssl/private/cert-example.key
HAProxy doit disposer du ou des certificats X509 valides pour chacun de ces domaines ; les certificats doivent être reconnus par des autorités publiques. (L’utilisation de certificats Letsencrypt est possible)
Horloges synchronisées
Il est indispensable que les machines soient exactement à la même heure. Les systèmes récent utilisent *systemd-timesyncd *par défaut. Ntp est également possible.
Envois des emails
Les serveurs applicatifs doivent disposer d'un MTA local (par exemple exim4-daemon-light) avec le port SMTP ouvert et capable d'expédier des mails vers tout Internet, en passant éventuellement par un relais. Les mails seront envoyés avec le domaine « @macollectivite.fr ». Nous recommandons vivement de les relayer via un smarthost officiel de votre réseau.
Configuration de la localisation
Sur toutes les machines il est nécessaire de reconfigurer locales pour fr_FR.UTF-8 :
dpkg-reconfigure locales