Pokyny k přechodu na novou verzi (Upgrade notes)

Obsah

Obecné pokyny

Bez ohledu na verzi aplikace z které a na kterou probíhá update nebo upgrade, platí následující pravidla a doporučení.

Základní pravidla

• Je doporučeno provádět update a upgrade pravidelně. Zejména při vydání nové větší verze aplikace.

• Není doporučeno přeskakovat větší verze a následně provádět velký upgrade přes více větších verzí. Pokud však k tomuto přesto dojde, je nutné projít všechny specifické pokyny k těmto verzím a postupně ve vzestupném pořadí verzí provést patřičné kroky, viz níže.

• Před update nebo upgrade je doporučeno provést zálohu, např. ve formě snapshotu VM, nebo jiným odpovídajícím způsobem, kterým je aplikace zálohována. V případě neočekávaného problému by mělo být možné vrátit se ze zálohy zpět.

Upgrade versus update

Do verze 2.0.6 existoval pouze update, který vždy provedl aktualizaci aplikace na poslední vydanou verzi. Od verze 2.0.6 (včetně) byl proces rozdělen na dva odlišné kroky: update a upgrade.

Update

Update aplikace provede aktualizaci na poslední vydanou verzi v aktuální řadě. tj. například z 2.0.6 na 2.0.8, nebo z 2.1.1 na 2.1.5. Nikdy už neprovede přechod mezi řadami, tj. neprovede aktualizaci z 2.0.x na 2.1.x. (To platí zpětně i pro starší verze, tj. update ve verzi 2.0.1 aktualizuje na poslední 2.0.x a neskočí na řadu 2.1.x nebo dál.)

Upgrade

Upgrade aplikace provede aktualizaci na další vyšší řadu, pokud je nějaká k dispozici. Tedy například upgrade provede přechod z aktuální verze 2.0.x na poslední verzi další řady 2.1.x. Pokud nová řada k dispozici není, upgrade nic neprovede. Není tedy možné používat upgrade k aktualizaci v rámci stávající řady.

Jak kombinovat

Aplikaci běžně aktualizujeme pomocí update. Pokud dojde k vydání nové řady (např. 2.1.0), pak je pro aktualizaci na tuto novou řadu třeba provést upgrade. Následně opět používáme update pro aktualizace na další verze v této řadě.

Doporučený postup update nebo upgrade

Nutné kroky

Pro update aplikace SOFiE (na poslední verzi v aktuální řadě) je třeba spustit následující příkaz z příkazové řádky:

Tento příkaz automaticky provede:

• zálohu databáze aplikace

• stáhne rpm balíčky s novou verzí a nainstaluje je

• provede migraci struktur databáze na novou verzi (aktualizace schématu)

• restartuje služby aplikace SOFiE

Pro upgrade aplikace SOFiE (na poslední verzi v další vyšší řadě) je třeba spustit následující příkaz z příkazové řádky:

Tento příkaz provede přechod na novou řadu aplikace, pokud existuje a následně spustí update. Pokud nová řada neexistuje, neprovede se nic, ani update.

Dále je nutné provést specifické kroky pro všechny verze aplikace, kterými update nebo upgrade prošel a na které skončil. Viz podrobnosti k jednotlivým verzím níže.

Volitelné, ale doporučené, kroky

Před i po update nebo upgrade je doporučeno ověřit aktuální verzi a stav následujícími příkazy:

Kromě samotného update nebo upgrade aplikace SOFiE je rovněž doporučeno provést aktualizaci operačního systému, v systémech na bázi RHEL lze provést např. příkazem:

Potom je doporučeno provést restart serveru, aby se ověřilo, že i po všech aktualizacích systém a aplikace v případě restartu znovu korektně nastartuje:

Nakonec ověříme, že aplikace korektně běží. Například aplikačním testem, kdy odešleme uživateli zkušební zásilku a ověříme, že dorazila a uživatel jí může stáhnout. Z pohledu administrátora zkontrolujeme, zda nad zásilkou byly provedeny všechny nastavené kontroly a že audit log neobsahuje žádné chyby.

Specifické pokyny k jednotlivým verzím

Zejména při upgrade na novou větší verzi aplikace (např. 1.3.x na 1.4.x) se může stát, že automatický proces aktualizace nemůže provést všechny potřebné kroky a některé je nutno udělat ručně (typicky úprava konfigurace nginx).

Dále je při zavedení nových funkcí či změn volen obvykle konzervativní postup, kdy pokud je to možné, tak nedochází po upgrade ke změně chování aplikace. To ale znamená, že nové funkce mohou po upgrade být vypnuté a pro jejich využití je třeba upravit konfiguraci aplikace.

Verze 2.5.5

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Doporučená úprava a kontrola konfigurace

Verze 2.5.5 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení update projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

• Nastavení → Konfigurace → Bezpečnost → Pravidla hesel → Pravidla hesel pro zásilky → Povinné heslo přístupového odkazu.

  • Nová položka nastavení explicitně určující, zda je u přístupových odkazů (sdílení zásilky) povinné zadat heslo.

  • Dříve (od 2.5.0 do 2.5.4) se řídilo společně nastavením “Povinné heslo zásilky - přihlášený uživatel“. Po aktualizaci se jako výchozí převezme právě hodnota z tohoto nastavení.

  • Nastavení neplatí pro výzvy, i když od verze 2.5 jsou realizovány jako přístupový odkaz. Mají výjimku, aby se zachovalo chování jako v předchozích verzích.

Verze 2.5.0

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Pro nové instalace se již neinstaluje Certbot pro vystavování a obnovu Let’s Encrypt certifikátů, ale využívá se nová nativní funkcionalita nginx - modul acme. Existující instalace se ale nepřevádí, zůstanou, jak jsou. To ničemu nevadí.

Doporučená úprava a kontrola konfigurace

Verze 2.5.0 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení update projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

• Nastavení → Správa uživatelů:

  • Nová pod-sekce menu, sdružující správu uživatelů, skupin, administrátorů, apod. Přesunuly se sem některé sekce z jiných míst nastavení.

  • Administrátoři: nově lze mít vzdálené administrátory přihlašované před ADFS nebo OIDC.

  • Skupiny uživatelů: nová oprávnění pro uživatele:

    • Obnovovat heslo

    • Sdílet zásilky

      • Sdílet zásilky - veřejně

      • Sdílet zásilky - interně

      • Sdílet zásilky - soukromě

    • Přidávat soubory v odeslaných zásilkách

    • Mazat, přejmenovávat a přesouvat soubory v odeslaných zásilkách

    • Přidávat a spravovat soubory zásilek v karanténě

    • Mazat soubory v zásilkách v karanténě

    • Přístup k auditlogu

      • Přístup k rozšířenému auditlogu

  • API tokeny:

    • Nově lze znovu vydat (reissue) existující token. Tím se původní zneplatní a zobrazí se nový. Dříve bylo nutné smazat existující a založit nový, včetně jeho potřebného nastavení.

    • U nových administračních tokenů lze nastavit, zda mají umožňovat vydávání se za uživatele. Dříve bylo vždy zapnuto (nešlo vypnout).

  • ADFS + OpenID Connect: nově lze zakládat integraci pro přihlášení administrátorů, nejenom uživatelů.

• Nastavení → Konfigurace → Zásilky → Obecné:

  • Povolit přidávat soubory do odeslané zásilky + Povolit mazat, přejmenovávat a přesouvat soubory v odeslané zásilce:

    • Předěláno z přepínače (zapnuto/vypnuto) na volbu Ano/Ne/Jen vybraní, kde volba Jen vybraní umožní flexibilní nastavení pomocí práv.

  • Uživatelé mohou sdílet zásilky: Nové nastavení, určující, zda mohou uživatelé sdílet přístup k zásilkám pomocí nových unikátních přístupových odkazů. I pokud je toto nastavení vypnuté, mohou vytvářet výzvy, jako dřív (i když je nově řešeno pomocí přístupových odkazů).

• Nastavení → Konfigurace → Zásilky → Expirace → Ostatní zásilky: Zrušeno nastavení “Expirace výzev na zaslání zásilky”, protože výzvy byly předělány na přístupové odkazy. Platnost odkazu nahrazujícího výzvu není omezená a je tedy stejná jako platnost dané zásilky.

• Nastavení → Konfigurace → Zásilky → Expirace souborů:

  • Nová sekce umožňující nastavit, zda mají expirovat jednotlivé soubory v zásilkách, nezávisle na expiraci zásilky (tedy dříve než zásilka, vhodné pro trvalé nebo dlouhodobě používané zásilky).

• Nastavení → Konfigurace → Zásilky → Omezení velikosti: Nastavení dříve platilo pouze při zakládání nové zásilky, ne pro dodatečné úpravy. Nyní je platné stále. Může mít tedy dopad na práci uživatelů se zásilkami a může být vhodné zvážit zvýšení limitu, nebo jeho zpřesnění pro různé uživatele či skupiny pomocí nových politik.

• Nastavení → Konfigurace → Zásilky → Řízení přístupu - nová sekce Přístup k datům zásilek v karanténě, včetně nových voleb:

  • Uživatelé mohou přidávat a spravovat soubory zásilek v karanténě

  • Uživatelé mohou mazat soubory v zásilkách v karanténě

• Nastavení → Konfigurace → Uživatelé → Vícefaktorová autentizace → nová volba: Časová prodleva TOTP [s] - tolerance ve vteřinách, v které je právě skončený kód stále považován za platný.

• Nastavení → Konfigurace → Protokol aplikace → nová sekce: Omezení logování nepovolených pokusů o přístup. Umožňuje omezit počet logů tohoto typu, aby se předcházelo zahlcení logů.

• Nastavení → Konfigurace → E-mail - nové volby:

  • Odesílat e-maily - umožňuje kompletně vypnout odesílání veškerých e-mailů z aplikace.

  • Nastavit Reply-To hlavičku podle odesilatele - umožnuje v notifikačních e-mailech odeslaných příjemcům, když uživatel založí zásilku nebo výzvu, nastavit, aby případná odpověď šla na e-mail tohoto uživatele, ne na globální e-mail aplikace.

• Nastavení → Konfigurace → Diagnostika - nové volby:

  • Odesílat informace o prostředí

  • Odesílat hlášení o chybách

    • Anonymizovat data

  • Ve výchozím stavu jsou všechny tyto volby zapnuté, což umožňuje lepší diagnostiku případných chyb v aplikaci. Doporučujeme je tak ponechat, případně zvážit vypnutí anonymizace dat pro ještě přesnější hledání chyb.

• Nastavení → Šablony:

  • Upraveny výchozí texty některých šablon, aby lépe reflektovaly nové možnosti zásilek (trvalé, kooperativní, prázdné, apod.).

  • nová šablona “PACKAGE_SHARED“

• Nastavení → Nastavení detekce:

  • U jednotlivých detekčních nástrojů byly zřízeny tzv. “profily”, v kterých je nyní uloženo jejich nastavení. U každého nástroje je možné mít více detekčních profilů s různým nastavením. Ty lze potom používat v nových politikách detekčních nástrojů.

  • Po upgrade na novou verzi má každý nástroj zřízen jeden profil “Default”, kam se přesunulo celé původní nastavení. Tento je nastaven jako výchozí, takže se používá, pokud není v politice nastaven jiný. Nedochází tak k žádné změně chování, pokud administrátor nezačne politiky a profily využívat.

  • Seznam nástrojů má mírně upravený design, aby byl jasnější a přehlednější.

• Nastavení → Síťové objekty:

  • Nová sekce nastavení, kde je možné připravovat číselník síťový objektů, které lze pak používat v některých částech nastavení (např. politiky a ADFS a OIDC). V budoucnu bude zřejmě ještě rozšířeno.

  • Lze zakládat a pojmenovávat síťové adresy a rozsahy ve formátu CIDR a to jak IPv4, tak IPv6. Tyto adresy lze rovněž sdružovat do skupin.

• Nastavení → Politiky - nová sekce obsahující seznamy politik pro:

  • Omezení velikosti

  • Detekční nástroje

  • Expirace zásilek

  • Každý seznam politik umožňuje administrátorovi flexibilně definovat různá nastavení pro různé uživatele nebo skupiny uživatelů, případně IP adresy a rozsahy. Politiky jsou vyhodnocovány odshora dolů a nastavení z první, která vyhoví, bude použito. Při absenci vytvořených politik je použito nastavení z Výchozí politiky, která je vždy fixně odvozena z globální konfigurace aplikace, a tedy chování je stejné jako dřív, před zavedením politik.

• Nastavení → Audit Log + také Nastavení → Konfigurace → Protokol aplikace → Syslog: obsahuje nově ikonu ?, po klepnutí na kterou se zobrazí seznam všech v aktuální verzi platných typů audit logů, včetně závažnosti, verze aplikace (kdy byl zaveden), a ukázkové zprávy při výskytu. Tato inline dokumentace nahradí ručně udržovanou dokumentaci audit logů zde ve wiki.

Verze 2.4.1

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky, ale pro korektní funkci nového pomocného tlačítka “Načíst veřejný klíč“ v Nastavení → ADFS je vhodné upravit konfigurační soubor nginx, konkrétně “/etc/nginx/sofie.d/http_common-variables.conf“ a vložit konkrétní FQDN doménu ADFS serveru, viz příklad:

Doporučená úprava a kontrola konfigurace

Verze 2.4.1 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení update projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

• Nastavení → Konfigurace → Uživatelé → Vzhled:

  • Zobrazení jména uživatele. Místo uživatelského jména (přihlašovacího) lze nově nastavit, aby se uživatelům po přihlášení v horní liště zobrazoval buď e-mail nebo jméno a příjmení. Každý uživatel si toto také může sám upravit ve svém profilu uživatele.

• Nastavení → ADFS:

  • Název: Volitelný vlastní text pro přihlašovací tlačítko uživatelů přes ADFS.

Verze 2.4.0

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Dojde však k automatické instalaci nové Javy 21 a přepnutí výchozí Javy systému z 1.8 na 21. Aplikace by měla dle doporučení být instalována na samostatný dedikovaný server a tak by toto nemělo nic ovlivnit. Pokud jsou oproti doporučení na serveru instalovány a provozovány další služby či aplikace, je třeba prověřit, zda stále fungují a případně je opravit. Stará Java 1.8 je v systému zachována, jen již není výchozí. Pokud není třeba, je možné ji odstranit.

Volitelně je také nově možné omezit přístup na admin rozhraní (/admin) nikoliv jen aplikačně, ale již na úrovni webového serveru nginx. Provést lze úpravou konfiguračního souboru “/etc/nginx/sofie.d/http_admin-restriction.conf”:

Doporučená úprava a kontrola konfigurace

Verze 2.4 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

• Nastavení → Skupiny uživatelů:

  • Nově zavedená podpora skupin. Uživatele lze sdružovat do skupin jak lokálně přímo v aplikaci, tak převzít členství ve skupinách pomocí mapování ze vzdáleného katalogu (AD/ADFS/OIDC).

  • Pokud chceme využít mapování z ADFS, je třeba doplnit atribut do claimů, viz návod: https://wikisonpo.atlassian.net/wiki/spaces/SP/pages/2191196161.

  • Práva přesunuta od uživatelů do skupin. Všechna práva uživatelů byla při upgrade automaticky migrována do nově založených odpovídajících skupin, kterých jsou uživatelé členy.

  • Výchozí práva nových uživatelů (dříve v Nastavení → Konfigurace → Uživatelé) přesunuta do výchozí skupiny “default”.

• Nastavení → API tokeny:

  • Nově jsou podporovány krom uživatelských tokenů také tokeny administrátorské. API bylo celkově podstatně rozšířeno, viz: https://docs.sofie.cloud/api/v2/cs/ .

• Nastavení → Konfigurace → Uživatelé:

  • Nová volba Přihlášení uživatelů - Povolit přímé přihlášení uživatelů.

• Nastavení → Konfigurace → SFTP server:

  • Nová sekce a funkcionalita. K použití vyžaduje dodatečnou licenci.

• Nastavení → Nastavení detekce:

  • Interní moduly → Detekce MIME typů, nové volby:

    • Maximální úroveň vnořeného obsahu (např. u archivů a dokumentů)

    • Limit maximálního množství vnořených objektů

      • Maximální počet vnořených objektů

  • Sandboxy:

    • U všech sandboxů doplněna volba “Kontrolovat pouze vybrané typy souborů“, která umožní posílat ke kontrole pouze vyjmenované typy souborů (např. které sandbox umí zpracovat).

Verze 2.3.11

Nutné manuální kroky při upgrade

Pokud používáme od verze 2.3.0 nový modul “Content Disarm and Reconstruction (CDR)“, je pro jeho optimální funkci třeba provést úpravy spuštěním následujících příkazů v příkazové řádce:

Verze 2.3.0

Nutné manuální kroky při upgrade

Pokud chceme využívat nový modul “Content Disarm and Reconstruction (CDR)“, je třeba ho nejprve nainstalovat dle návodu zde: https://wikisonpo.atlassian.net/wiki/spaces/SP/pages/887423004/Instala+n+p+ru+ka#Instalace-CDR-modulu-(voliteln%C3%A9)

Doporučená úprava a kontrola konfigurace

Verze 2.3 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce tyto funkce využívat:

• Nastavení → API Tokeny → pro jednotlivé tokeny:

  • IP rozsahy

• Nastavení → Konfigurace → Bezpečnost:

  • nová sekce: Omezení přístupu, včetně:

    • Omezení přístupu - IP filtr

    • Omezení přístupu - reverzní záznam

    • Omezení přístupu - země

    • Omezení přístupu - hlavička User-Agent

• Nastavení → Konfigurace → Šifrování dat:

  • Seznam klíčů šifrujících klíče (KEK)

    • nový doporučený typ klíče HPKE

• Nastavení → Konfigurace → Uživatelé:

  • Výchozí nastavení nových uživatelů, nová práva:

    • Nastavit zásilku jako trvalou

    • Trvalý učet

• Nastavení → Nastavení detekce:

  • CDR (Content Disarm and Recontruction)

    • nový integrovaný nástroj pro konverzi kompatibilního obsahu do bezpečné formy

  • Avast, Trellix

    • nově podporované antiviry

• Nastavení → ADFS:

  • nový atribut: ID adresáře (tenanta)

    • po upgrade není třeba měnit, aby fungovalo jako dříve, pro ADFS má být vyplněno “adfs”

  • nově zobrazeno: Identifikátor URI pro přesměrování

• Nastavení → OpenID Connect:

  • celá nová sekce umožňující integraci na OIDC zdroje uživatelů a přihlášení (včetně Azure AD nebo Google)

Verze 2.2.0

Nutné manuální kroky při upgrade

Nejsou nutné žádné manuální kroky.

Doporučená úprava a kontrola konfigurace

Verze 2.2 obsahuje nové či upravené funkce. Rovněž v této verzi došlo k podstatným úpravám struktury menu Nastavení → Konfigurace. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce uvedené funkce využívat:

• Nastavení → Uživatelé → pro jednotlivé uživatele:

  • Email aliasy uživatele

  • Nastavit schvalovatele

• Nastavení → Konfigurace → Základní:

  • Správa konfigurace - Export konfigurace

• Nastavení → Konfigurace → Zásilky → Obecné:

  • Uživatelé mohou používat aktovku

  • Uživatelé mohou vytvářet kooperativní zásilky

• Nastavení → Konfigurace → Zásilky → Expirace:

  • Skartované zásilky

    • Automaticky mazat metadata skartovaných zásilek

    • Expirace metadat skartovaných zásilek

• Nastavení → Konfigurace → Zásilky → Řízení přístupu:

  • Uzavřené prostředí

    • IP rozsahy uzavřeného prostředí

    • Povolit přenos uzavřené → uzavřené

    • Povolit přenos uzavřené → otevřené

    • Povolit přenos otevřené → uzavřené

    • Povolit přenos otevřené → otevřené

    • Povolit nahrávání zásilek z uzavřeného prostředí

    • Povolit nahrávání zásilek z otevřeného prostředí

• Nastavení → Konfigurace → Zásilky → Schvalování odeslání:

  • Preferovaný schvalovatel

  • Uživatel si může vybrat schvalovatele

  • Schvalovatel má přístup ke všem zásilkám vyžadujícím schválení

• Nastavení → Konfigurace → Uživatelé:

  • Výchozí nastavení nových uživatelů, nová práva:

    • Používat aktovku

    • Přístup ke všem zásilkám vyžadujícím schválení

    • Zvolit schvalovatele odesílaných zásilek

    • Přístup k podrobným výsledkům kontrol

    • Vytvářet kooperativní zásilky

  • Přístup k podrobným výsledkům kontrol souborů

    • Přihlášení uživatelé

    • Anonymní uživatelé

• Nastavení → Konfigurace → Protokol aplikace:

  • Uchovávání auditních záznamů

    • Automaticky mazat staré auditní záznamy

    • Smazat záznamy starší než

• Nastavení → Šablony:

  • Upraveny některé existující výchozí šablony.

• Nastavení → Nastavení detekce:

  • MIME

    • Maximální počet uložených záznamů o nalezených objektech

Verze 2.1.0

Nutné manuální kroky při upgrade

Od této verze došlo k podstatné úpravě struktury konfigurace nginx a zároveň ke zlepšení automatizace celého procesu aktualizace tak, aby ve většině případů již nebyly potřeba ruční zásahy. Aby tento automatický proces korektně fungoval, je třeba, aby instalace odpovídala instrukcím z instalačního manuálu, včetně:

• Instalace by měla být na vyhrazeném serveru pro tento účel. Neměla by zejména obsahovat žádné ruční úpravy nginx konfigurace. Pokud takové ruční úpravy obsahuje, budou při upgrade na verzi 2.1 přepsány a administrátor je bude muset znovu ručně opravit / provést.

• Pokud je instalován vlastní SSL/TLS certifikát pro HTTPS, předpokládá se výchozí cesta uvedená v instalačním manuálu. Pokud by byla použitá jiná cesta, platí totéž co v předchozím bodě o ruční úpravě nginx.

Upgrade konkrétně přepíše soubory /etc/nginx/conf.d/default.conf a /etc/nginx/nginx.conf. Vytvoří však zálohy původních před jejich přepsáním, které vypadají např. takto:

Doporučená úprava a kontrola konfigurace

Verze 2.1 obsahuje nové či upravené funkce. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce nové funkce aktivovat a využívat:

• Nastavení → Konfigurace → Základní nastavení:

  • Povolené jazyky pro administrátory

  • Povolené jazyky pro uživatele

• Nastavení → Konfigurace → Bezpečnost:

  • nová sekce: Pravidla hesel pro zásilky, včetně:

    • Povinné heslo zásilky - nepřihlášený uživatel

    • Povinné heslo zásilky - přihlášený uživatel

  • Doba platnosti přihlášení a autorizace:

    • Doba platnosti jednoho přístupu k zásilce s omezeným počtem přístupů

• nová sekce: Nastavení → Konfigurace → Bezpečnostní limity, včetně:

  • sekce Omezení pokusů o autentizaci

  • sekce Omezení žádostí o obnovu hesla

  • sekce Omezení pokusů o přístup k zásilce s heslem

  • sekce Omezení pokusů o přístup k výzvě s heslem

  • sekce Omezení pokusů o přístup k neexistující zásilce

  • sekce Zásilky s omezeným počtem přístupů

• Nastavení → Konfigurace → Upozornění:

  • nová sekce: Schválení odeslání zásilky

  • Systémová upozornění

    • Upozornit při překročení kvóty detekčního nástroje

• Nastavení → Konfigurace → Vzhled:

  • nová sekce: Zobrazit podmínky užití

• Nastavení → Konfigurace → Nastavení uživatelů:

  • Výchozí nastavení nových uživatelů, nová práva:

    • Nevynucovat vícefaktorovou autentizaci

    • Schvalovat odeslání zásilek

    • Odesílat zásilky bez dodatečného schválení

    • Odesílat zásilky sám sobě

    • Stahovat soubory ze svých odeslaných zásilek

  • nová sekce: Vícefaktorová autentizace:

    • Vyžadovat vícefaktorovou autentizaci pro lokální uživatele

    • Vyžadovat vícefaktorovou autentizaci pro AD uživatele

    • Vyžadovat vícefaktorovou autentizaci pro ADFS uživatele

  • nová sekce: Omezení uživatelů podle IP rozsahů

  • nová sekce: Nastavení odeslaných zásilek, včetně:

    • Uživatelé mohou odesílat zásilky sami sobě

    • Uživatelé mohou stahovat soubory ze svých odeslaných zásilek

    • Uživatelé mohou odesílat zásilky bez schválení

    • Povolit přístup ke schvalovaným zásilkám bez zadání jejich hesla

• Nastavení → E-mailové šablony přejmenovány na Šablony:

  • Upraveny některé existující výchozí šablony.

  • Zavedeny nové šablony: DETECTION_ENGINE_QUOTA_EXCEEDED, EMAIL_TEMPLATE_CSS, EMAIL_TEMPLATE_PREFIX, EMAIL_TEMPLATE_SUFFIX, PACKAGE_APPROVE_REQUEST, SEND_PACKAGE_APPROVED, SEND_PACKAGE_DISAPPROVED, TERMS_OF_USE.

Verze 2.0.3

Nutné manuální kroky při upgrade

• Upravit soubor /etc/nginx/proxy.conf a nakonec přidat řádek:

  proxy_buffering off;

Po této úpravě je třeba provést restart nebo reload nginx:

Verze 2.0.0

Nutné manuální kroky při upgrade

Zejména z důvodu změny chování aplikace, kdy stahované soubory již nevydává přímo nginx server, ale až aplikace SOFiE, je nutné upravit konfiguraci nginx jak je uvedeno níže.

• Smazat soubory:

  • /etc/nginx/download-auth.conf

  • /etc/nginx/download.conf

• Upravit soubor: /etc/nginx/conf.d/default.conf

  • Smazat zde bloky:

    location /api/ { client_max_body_size 0; proxy_pass http://127.0.0.1:9090/api/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_request_buffering off; } location ~/admin/download-file/(.+) { include download.conf; auth_request /download-file-auth-admin; } location ~/admin/download-archive/(.+) { include download.conf; auth_request /download-file-auth-admin; } location ~/download-file/(.+) { include download.conf; auth_request /download-file-auth-user; } location ~/download-archive/(.+) { include download.conf; auth_request /download-file-auth-user; } location /download-file-auth-user { include download-auth.conf; proxy_pass http://127.0.0.1:9090/api/user$request_uri; } location /download-file-auth-admin { include download-auth.conf; proxy_pass http://127.0.0.1:9090/api$request_uri; }

  • Na jejich místo přidat nově bloky:

    add_header X-Content-Type-Options "nosniff"; add_header Referrer-Policy "same-origin"; location /api/ { set $x_uri_suffix ""; include proxy.conf; } location /admin/download-file/ { set $x_uri_suffix "/api"; include proxy.conf; } location /admin/download-archive/ { set $x_uri_suffix "/api"; include proxy.conf; } location /download-file/ { set $x_uri_suffix "/api/user"; include proxy.conf; } location /download-archive/ { set $x_uri_suffix "/api/user"; include proxy.conf; }

• Vytvořit nový soubor /etc/nginx/proxy.conf s obsahem:

  client_max_body_size 0; proxy_pass http://127.0.0.1:9090$x_uri_suffix$request_uri; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_request_buffering off;

Po těchto úpravách je třeba provést restart nebo reload nginx:

Doporučená úprava a kontrola konfigurace

Verze 2.0 obsahuje velké množství nových či upravených funkcí. Administrátor aplikace by měl po provedení upgrade projít zejména následující části nastavení a zvážit, zda a jak chce nové funkce aktivovat a využívat:

• Nastavení → Konfigurace → Základní nastavení:

  • Povolit přidávat soubory do odeslané zásilky

  • Povolit mazat soubory v odeslané zásilce

• Nastavení → Konfigurace → Bezpečnost:

  • Zvlášť pravidla hesel pro administrátory a uživatele, včetně nově:

    • Zakázat použití uniklých hesel

  • Doba platnosti přihlášení a autorizace

• Nastavení → Konfigurace → Šifrování dat:

  • celá nová sekce s konfigurací pro novou funkcionalitu

• Nastavení → Konfigurace → Integrita dat:

  • celá nová sekce s konfigurací pro novou funkcionalitu

• Nastavení → Konfigurace → Protokol aplikace:

  • Jazyk syslog záznamů (dříve dle výchozího jazyku aplikace)

• Nastavení → Konfigurace → E-mail:

  • Primární a volitelně sekundární jazyk (dříve dle výchozího jazyku aplikace)

• Nastavení → Konfigurace → Upozornění:

  • nová sekce Systémová upozornění

• Nastavení → Konfigurace → Nastavení uživatelů:

  • nové právo uživatele “Šifrovat odesílané zásilky heslem“

  • nová funkce “Zamknout neaktivní uživatele“

  • nové funkce “Smazat neaktivní uživatele“

• Nastavení → Administrátoři → založení/editace administrátora:

  • nová práva administrátora pro novou funkci šifrování zásilek

• Nastavení → Uživatelé → práva uživatele: