Skip to main content

BookStack - Instalace a Konfigurace

Návod pro instalaci a konfiguraci BookStack wiki pro Debian GNU/Linux s využitím Apache web serveru. Instalace je založená dle návodu k manuální instalaci na bookstackapp.com/docs/admin/installation/#manual. Veškeré proměnné, hesla apod jsou zde uvedeny jako příklad.. rozhodně si nastavte vlastní, jiné hesla.

Příprava

Systém

  • Prvně je potřeba opatřit si balíčky bez kterých se neobejdeme.
    apt -yq update
    apt install \
     sudo \
     curl \
     git \
     openssl \
     composer \
     mariadb-server \
     apache2 libapache2-mod-php \
     php php-common \
     php-ldap php-apcu php-fpm php-curl php-gd php-dompdf php-iconv php-mbstring php-mysql php-pdo-mysql php-tokenizer php-xml php-tidy php-zip
    

PHP

  • Nastavíme si v /etc/php/< verze php >/apache2/php.ini pro Apache větší paměťový limit a časové pásmo.
    date.timezone = Europe/Amsterdam
    memory_limit = 512M
    
  • V souboru /etc/php/< verze php >/fpm/php.ini si zvětšíme limit pro možnost uploadování větších souborů než 2MB. V mém případě beze strachu na 5GB
    upload_max_filesize = 5000M
    post_max_size = 5000M
    memory_limit = 2048M
    

Apache

  • Aktivujeme Apache moduly:
    a2enmod proxy_fcgi setenvif rewrite
    
  • Aktivujeme Apache konfigurační soubor pro naši verzi php, třeba 8.2:
    a2enconf php8.2-fpm
    

Instalace

MariaDB

  • Za předpokladu že máme balíček mariadb-server, můžeme spustit příkaz mariadb-secure-installation který nás interaktivně provede instalací. V mém případě jsem odpovídal takto:
    • Switch to unix_socket authentication [Y/n] n
    • Change the root password? [Y/n] n
    • Remove anonymous users? [Y/n] Y
    • Disallow root login remotely? [Y/n] Y
    • Remove test database and access to it? [Y/n] Y
    • Reload privilege tables now? [Y/n] Y

Databázový server máme připravený, jdeme si jej nakonfigurovat.

  • Spustit příkaz: mariadb
    • Vytvoříme si databázi pro naši wiki, v mém případě baliwki:
      CREATE DATABASE baliwiki;
      
    • Teď budeme potřebovat uživatele, který se k databázi bude připojovat. Vytvoříme si uživatele baliwiki s heslem abrakadabra a udělíme mu plné oprávnění na databázi baliwki:
      CREATE USER baliwiki@localhost IDENTIFIED BY 'abrakadabra';
      GRANT ALL ON baliwiki.* TO baliwiki@localhost WITH GRANT OPTION;
      

      🗒️ Nemělo by být potřeba, ale pokud se oprávnění neaplikují, odeslat příkaz: FLUSH PRIVILEGES;

    • Zobrazíme si oprávnění uživatele (pro kontrolu):
      SHOW GRANTS FOR baliwiki@localhost;
      
    • Tady jsme hotovi, ukončíme pomocí: quit

BookStack

V mém případě jej umisťuji do /srv/http/bookstack, kde bude vystaven na portu 80 (http). Do internetu je aplikace přístupná přes webovou proxy (ukážeme si později).

  • Vytvořit adresáře a přejít do "webrootu":
    mkdir -p /srv/http/{.config,.cache}
    cd /srv/http
    

    🗒️ Adresáře .config a .cache slouží pro composer, lze je umístit jinde..

  • Stáhnout BookStack z GitHubu, z větve release.
    git clone https://github.com/BookStackApp/BookStack.git --branch release --single-branch bookstack
    
  • Předat rekurzivně vlastnictví uživateli www-data, skupině www-data:
    chown -R www-data:www-data {bookstack,config,cache}
    
  • Přejít do složky bookstack a zkopírovat si příklad(/základ) souboru .env:
    cd bookstack
    cp .env.example .env
    
  • Oeditovat si soubor .env svým oblíbeným texťákem, kde
    • APP_URL odkazuje na koncový bod. V mém případě schovávám server za reverzní proxy a musím uvést adresu té proxy, NE serveru.
      APP_URL=https://baliwiki.balonkluk.cz
      

      ⚠️ Po každé změně této proměnné je nutné spustit příkaz k migraci URI v databázi.
      Například když migruji z interní adresy na http na reverzní proxy s https:
      php artisan bookstack:update-url http://baliwiki.in.balonkluk.cz https://baliwiki.balonkluk.cz.

      Nakonec ještě vyčistím cache: php artisan cache:clear

    • DB_HOST => localhost (pokud mám MariaDB na stejném serveru).
    • DB_DATABASE => baliwiki.
    • DB_USERNAME => baliwiki. Tohoto uživatele jsem si vytvářel při instalaci MariaDB.
    • DB_PASSWORD => abrakadabra. Toto heslo jsem nastavoval při instalaci MariaDB.
    • MAIL_DRIVER => smtp
    • MAIL_FROM_NAME => "BaliWiKi"
    • MAIL_FROM => baliwiki@balonkluk.cz (Z této emailové adresy budou chodit notifikace).
    • MAIL_HOST => mail.balonkluk.cz (Tento server bude použit jako SMTP relay pro odesílání e-mailů).
    • MAIL_PORT => 25. Server definovaný v MAIL_HOST bude kontaktován přes port 25.
    • FILE_UPLOAD_SIZE_LIMIT => 5000. Chtěl bych uploadovat až 5GB/5000MB velké soubory.
  • Nastavit jako uživatel www-data proměnnou COMPOSER_HOME do /srv/http a spustit update.

    ⚠️ Pokud jste adresáře .config a .cache vytvářeli jinde, změňte si adekvátně hodnotu proměnné.

    sudo -u www-data COMPOSER_HOME=/srv/http composer update
    
  • Spustit instalaci composera:
    sudo -u www-data composer install --no-dev --no-plugins
    
  • Vygenerovat klíč aplikace. Tento klíč bude uložen v souboru .env v proměnné APP_KEY:
    php artisan key:generate --no-interaction --force
    
  • Zmigrovat databázi do MariaDB (prvotně vytvořit):
    php artisan migrate --no-interaction --force
    
  • Nastavit oprávnění tak, aby bylo vše jak má být:
    chown www-data:www-data -R bootstrap/cache public/uploads storage 
    chmod u+rw bootstrap/cache public/uploads storage
    chmod -R 640 .env
    

Apache

  • Přepsat výchozí konfigurační soubor Apache:
    cat > /etc/apache2/sites-available/000-default.conf << EOL
    ServerName baliwiki.balonluk.cz
    ServerAdmin balonluk@balonluk.cz
    
    <VirtualHost *:80>
      DocumentRoot /srv/http/bookstack/public/
      <Directory /srv/http/bookstack/public/>
          Options Indexes FollowSymLinks
          AllowOverride None
          Require all granted
          <IfModule mod_rewrite.c>
              <IfModule mod_negotiation.c>
                  Options -MultiViews -Indexes
              </IfModule>
              RewriteEngine On
              # Handle Authorization Header
              RewriteCond %{HTTP:Authorization} .
              RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
              # Redirect Trailing Slashes If Not A Folder...
              RewriteCond %{REQUEST_FILENAME} !-d
              RewriteCond %{REQUEST_URI} (.+)/$
              RewriteRule ^ %1 [L,R=301]
              # Handle Front Controller...
              RewriteCond %{REQUEST_FILENAME} !-d
              RewriteCond %{REQUEST_FILENAME} !-f
              RewriteRule ^ index.php [L]
          </IfModule>
      </Directory>
    
      ErrorLog ${APACHE_LOG_DIR}/baliwiki-error.log
      CustomLog ${APACHE_LOG_DIR}/baliwiki-access.log combined
    </VirtualHost>
    EOL
    
  • Otestovat, že je konfigurace v pořádku:
    apachectl configtest
    
  • Restartovat webserver:
    systemctl restart apache2
    

Konfigurace

Poskytovatel identit

LDAP

LDAP nám umožňuje ověření a synchronizaci uživatelských skupin v něm a rolí v BookStacku.

🗒️ Konfigurace je popsána na oficiálních stránkách projektu.

💡 Pro řešení problémů s LDAP skupinami lze nastavit LDAP_DUMP_USER_GROUPS na true. Uživatel při přihlášení uvidí .json ve kterém budou informace o uživateli.

V základu je potřeba nastavit v souboru .env:

    AUTH_METHOD=ldap místo AUTH_METHOD=standart (lokální přihlášení přes e-mail a heslo). LDAP_SERVER => ldap://ldap.balonkluk.cz (389) nebo ldaps://ldap.balonkluk.cz (636) LDAP_BASE_DN => ou=Users,dc=balonkluk,dc=cz LDAP_DN => cn=baliwiki,ou=Users,dc=balonkluk,dc=cz LDAP_PASS => myultimateldaplmaopassword LDAP_ID_ATTRIBUTE =>
      Výchozí je uid. Při použití Active Directory je lepší zvolit sAMAccountName. LDAP_EMAIL_ATTRIBUTE => mail LDAP_DISPLAY_NAME_ATTRIBUTE => cn (volitelné) LDAP_THUMBNAIL_ATTRIBUTE => thumbnailPhoto

      ⚠️ Atribut musí obsahovat binární JPEG data !

      LDAP_USER_TO_GROUPS => true (Zapne synchronizaci LDAP skupin x BookStack rolí => člen LDAP skupiny Admini bude člen BookStack role pojmenované Admini). LDAP_GROUP_ATTRIBUTE => "memberOf" (Atribut ve kterém má uživatel uložené členství ve skupinách. Ve výchozím stavu je nastaveno na memberOf a není potřeba explicitně definovat, pro jistotu je to určitě lepší. (volitelné) LDAP_REMOVE_FROM_GROUPS => false (Pokud např.: chceme aby nám LDAP neodebral uživateli roli Admin pokud není v LDAP skupině se stejným jménem. Zkrátka pokud bude mít uživatel role které nemá v LDAPu, budou mu odebrány).

      Azure AD

      🗒️ Konfigurace je popsána na oficiálních stránkách projektu.

      S tímto druhem přihlášení se nedají synchronizovat role/skupiny a je lepší použít OIDC nebo SAML SSO.
      Co je ale dobré, je možnost alternativního přihlášení kromě standart/ldap protože Azure účet musí být s uživatelským účtem v BookStacku prolinkován a máme na výběr dvě možnosti přihlášení do jednoho stejného účtu (např.: ldap+azure nebo standart+azure).

      Je potřeba pouze nastavit tři proměnné:

        AZURE_APP_ID: Často reprezentováno jako client_id. Entra tento atribut nabízí jako Application ID. AZURE_APP_SECRET: V Certificates & secrets vytvořit nový Client secret. HODNOTU (Value), nikoliv Secret ID a zkopírujeme zde. AZURE_TENANT: ID tenantu. V základní/domovské obrazovce (Overview) aplikace lze najít názvem Directory (tenant) ID.

        OpenID Connect

        OpenID Connect nám v BookStacku umožňuje synchronizovat i skupiny uživatele a je tak lepší alternativou Azure AD navíc s podporou SSO což znamená, že máme jednotné přihlášení napříč weby kde požíváme stejného poskytovatele identit. Nevýhodou může být, že si v nastavení musíme vybrat v AUTH_METHOD oidc a na přihlašovací obrazovce budeme mít jako možnost přihlášení POUZE tuto metodu.

        🗒️ Konfigurace je popsána na oficiálních stránkách projektu.

        💡Pro debugování tokenu lze nastavit OIDC_DUMP_USER_DETAILS=true v souboru .env a po přihlášení na nás vyskočí .json plný informací.

        Entra ID

        Jak nastavíme OIDC pomocí vlastní Entra ID ?

          EntraID
            Vytvořit App registration. Authentication => [ + Add a platform ] => Web => Nastavit Redirect URI na < obsah proměnné APP_URL v konfiguračním souboru .env + /oidc/callback' >. Například: https://baliwiki.balonluk.cz/oidc/callback> Certificates & secrets => [ + New client secret ] => < Pojmenovat si klíč a nastavit platnost (volil bych nejdelší - 24 měsíců) > => [Add]. Zkopírovat HODNOTU (Value), nikoliv Secret ID a uložit si jej někam (později jej budeme potřebovat) NEBO rovnou vyplnit v .env do proměnné OIDC_CLIENT_SECRET. Token configuration => [ + Add groups claim ] => Customize token properties by type =>
              [X] Security groups [X] Directory roles [X] All groups (includes 3 group types: security groups, directory roles, and distribution lists) [X] Groups assigned to the application (recommended for large enterprise companies to avoid exceeding the limit on the number of groups a token can emit) Customize token properties by type:
                ID:
                  sAMAccountName API permissions
                    [ + Add a permission ] => Microsoft Graph => Delegated permissions => Nyní máme dvě možnosti jak nastavit oprávnění ke čtení uživatelského profilu. Buď pomocí vybrání jednotlivých oprávnění nebo obecného User.Read (Sign in and read user profile).
                      OpenId permissions

                      🗒️ User.Read => Allows users to sign-in to the app, and allows the app to read the profile of signed-in users. It also allows the app to read basic company information of signed-in users.
                      GroupMember.Read.All => Allows the app to list groups, read basic group properties and read membership of all groups the signed-in user has access to.

                        email (Může být použito User.Read) openid (Může být použito User.Read) profile (Může být použito User.Read) GroupMember.Read.All => [ Add permissions ] Kliknout na [ Grand admin consent for <jméno tvého tenantu> ]. Toto je nutné pro scope GroupMember.Read.All, u ostatních jde vybrat Revoke admin consent.

                        🗒️ Tato akce udělí všem uživatelům oprávnění používat tento scope v této aplikaci.

                        BookStack
                          AUTH_METHOD => oidc (Volitelné) AUTH_AUTO_INITIATE => false (Pokud je nastaveno na true, uživatel je automaticky přesměrován na přihlašovací bránu SSO). OIDC_NAME => BalonKluk MS (Label který bude vidět na tlačítku k přihlášení). OIDC_DISPLAY_NAME_CLAIMS => name (Jméno claimu který obsahuje <Zobrazované jméno>) OIDC_CLIENT_ID => <Application (client) ID> OIDC_CLIENT_SECRET => Token který jsme si dříve vygenerovali v Certificates & secrets. OIDC_ISSUER => https://login.microsoftonline.com/< Directory (tenant) ID >/v2.0 OIDC_ISSUER_DISCOVER => true (Zapíná auto-discovery tokenů a klíčů. Standartně se předpokládá endpoint <issuer>/.well-known/openid-configuration) OIDC_USER_TO_GROUPS => true (Zapíná synchronizaci skupin. POZOR! Pro toto je nutné nezapomenout na GroupMember.Read.All a Admin consent !) OIDC_GROUPS_CLAIM => groups (Atribut v tokenu, ve kterém jsou skupiny získárny.) (Volitelné) OIDC_ADDITIONAL_SCOPES => Zde lze nastavit scope který bychom chtěli při přihlášení získat "navíc". OIDC_REMOVE_FROM_GROUPS => false (Stejně jako v LDAPu toto znamená, odebrat z rolí které nadále uživatel nemá.)