Просмотреть исходный

Утилита termidesk-config

Утилита termidesk-config используется для переопределения настроек, заданных на этапе установки, и вносит изменения в конфигурационный файл /etc/opt/termidesk-vdi/termidesk.conf (см. подраздел Параметры конфигурирования компонентов «Универсальный диспетчер», «Менеджер рабочих мест»).

Для вызова утилиты следует:

в интерфейсе командной строки перейти в каталог /opt/termidesk/sbin/:

cd /opt/termidesk/sbin/

выполнить запуск:

sudo ./termidesk-config

откроется интерфейс утилиты.

Help Center Termidesk > .Утилита termidesk-config v6.0 > termidesk-config.png

Доступны следующие функции утилиты:

«Выбор способа хранения паролей»: позволяет настроить способ хранения паролей подключения к СУБД и RabbitMQ (параметр SECRETS_STORAGE_METHOD):
- «config» - пароли будут храниться в преобразованном виде в файле /etc/opt/termidesk-vdi/termidesk.conf;
- «hvac» (рекомендуемый способ для безопасного хранения) - для хранения паролей будет использоваться хранилище паролей OpenBao или Hashicorp Vault (хранилище должно быть заранее создано и настроено);
- «openbao» - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено).

В случае выбора «openbao» необходимо выполнить настройку подключения к хранилищу через функцию «Настройка хранилища OpenBao»;

«Настройка хранилища OpenBao»: позволяет настроить параметры подключения к хранилищу и задать параметры, настроенные непосредственно на хранилище:
- «URL хранилища» - IP-адрес или FQDN узла и порт с установленным хранилищем OpenBao (параметр SECRETS_OPENBAO_URL). Формат: http://<IP-адрес>:8200 или http://<FQDN>:8200. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом;
- «Версия API OpenBao» - установленная версия API на OpenBao (параметр SECRETS_OPENBAO_KV_VERSION). Может принимать значения: «1» или «2»;
- «Токен доступа к хранилищу» - токен (Initial Root Token), который был сформирован при инициализации хранилища (параметр SECRETS_OPENBAO_TOKEN);
- «Путь к паролю СУБД» - путь, настроенный на OpenBao для хранения пароля СУБД (параметр SECRETS_OPENBAO_DB_PATH);
- «Роль доступа к паролю СУБД» - роль, настроенная на OpenBao, которая имеет доступ к паролю СУБД (параметр SECRETS_OPENBAO_DB_ROLE_NAME);
- «Путь к паролям RabbitMQ» - путь, настроенный на OpenBao для хранения пароля RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_PATH);
- «Роль доступа к паролям RabbitMQ» - роль, настроенная на OpenBao, которая имеет доступ к паролю RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_ROLE_NAME);
- «Путь к паролям Termidesk» - путь, настроенный на OpenBao для хранения пароля Termidesk (параметр SECRETS_OPENBAO_TERMIDESK_PATH);
- «Роль доступа к паролям Termidesk» - роль, настроенная на OpenBao, которая имеет доступ к паролю Termidesk (параметр SECRETS_OPENBAO_TERMIDESK_ROLE_NAME);
- «Время кеширования паролей, сек» - время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти (параметр SECRETS_OPENBAO_CACHE_LIFETIME);
«Выбор протокола подключения к СУБД»: позволяет выбрать протокол при подключении к СУБД (параметр DBSSL);
«Выбор типа установки СУБД»: позволяет выбрать тип СУБД, к которой будет подключаться Termidesk (параметр DB_CLUSTER_MODE);
«Настройка подключения к СУБД»: позволяет настроить параметры подключения к СУБД:
- «Адрес СУБД» - IP-адрес или FQDN СУБД PostgreSQL (параметр DBHOST);
- «Адрес СУБД (узел 2)»: IP-адрес или FQDN дополнительного узла СУБД (параметр DBHOST2);
- «Адрес СУБД (узел 3)»: IP-адрес или FQDN дополнительного узла СУБД (параметр DBHOST3);
- «Порт СУБД» - порт, который используется для соединения с сервером БД (параметр DBPORT);
- «Имя базы данных» - имя БД (параметр DBNAME);
- «Имя пользователя» - имя пользователя для подключения к БД (параметр DBUSER);
- «Пароль» - пароль пользователя в открытом виде (параметр DBPASS);

«Выбор способа подключения к RabbitMQ»: позволяет выбрать протокол при подключении к RabbitMQ (параметр RABBITMQ_SSL);
«Настройка подключения к RabbitMQ»: позволяет настроить параметры подключения к RabbitMQ (параметр RABBITMQ_URL). При запросе пароль задается в открытом виде;
«Настройка журналирования»: позволяет настроить параметры журналирования, такие как «Адрес логгера» (параметр LOG_ADDRESS), «Поток (facility) журнала» (параметр LOG_FACILITY);
«Подробность отладочных сообщений в журналах»: позволяет выбрать уровень подробности отладочных сообщений (параметр LOG_LEVEL);
«Пересоздание ключа DJANGO»: позволяет переопределить значение ключа DJANGO (параметр DJANGO_SECRET_KEY), создаваемого на этапе установки. Переопределение ключа может понадобиться при его компрометации;
«Пересоздание я токена проверки состояния служб»: позволяет переопределить значение токена проверки состояния служб (параметр HEALTH_CHECK_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
«Пересоздание токена проверки метрик служб»: позволяет переопределить значение токена проверки метрики служб (параметр METRICS_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
«Изменение GID встроенных администраторов»: позволяет назначить идентификатор группы, использующегося для встроенного домена. Изменение идентификатора может понадобиться, если встроенная в ОС группа администраторов отличается от astra-admin (1001) или если нужно предоставить права администрирования Termidesk группе непривилегированных пользователей;
«Настройки Агрегатора»: позволяет переопределить настройки портала «Агрегатор»:
- «Время жизни токена Агрегатора, секунд» - время жизни JWT-токена (параметр AGGREGATOR_ACCESS_TOKEN_TTL_SECONDS, доступная для изменения только на узле с установленным порталом «Агрегатор»);
- «Заголовок JWT-токена Агрегатора» - заголовок JWT-токена, предназначенный для настройки взаимодействия между порталом «Агрегатор» и «Универсальным диспетчером». Параметр должен быть одинаковым на всех узлах, работающих совместно: на порталах «Агрегатора», на «Универсальных диспетчерах» (параметр AGGREGATOR_ACCESS_TOKEN_TITLE);
- «Время кеширования иконок фондов, часов» - время жизни кеша иконок фондов (параметр AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS);
«Роли сервера»: позволяет изменить роли, которые запускаются на узле. Доступные роли: «Портал администратора», «Портал пользователя», «Менеджер рабочих мест», «Агрегатор администратора», «Агрегатор пользователя»;

Установка ролей «Агрегатор администратора» и (или) «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и (или) «Портала пользователя», «Менеджера рабочих мест».

Смена ролей через функцию «Роли сервера» в этом случае не предусмотрена: нельзя ранее установленные «Портал администратора» и (или) «Портал пользователя» перенастроить на использование ролей «Агрегатор администратора» и (или) «Агрегатор пользователя».

«Перезапуск служб» - позволяет выполнить перезапуск служб Termidesk;
«Сертификаты» - позволяет выполнить настройку сертификатов и ключей:

Пункт «Серт. для расшифровки JWT-токена» настраивается только на узле с установленным «Универсальным диспетчером» («Портал администратора» и (или) «Портал пользователя») фермы Termidesk.

Пункт «Прив. ключ для подписи JWT-токена» настраивается только на узле портала «Агрегатор» («Агрегатор администратора» и (или) «Агрегатор пользователя»).

Оставшиеся пункты могут быть настроены на обоих узлах индивидуально.

- «Cертификат Health Check» - путь к сертификату для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_CERT);
- «Секр. ключ Health Check» - путь к ключу для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_KEY);
- «Сертификат Postgres mTLS» - путь к сертификату для защищенного подключения к СУБД (параметр DBCERT);
- «Секр. ключ Postgres mTLS» - путь к ключу для защищенного подключения к СУБД (параметр DBKEY);
- «Серт. промеж. ЦС Postgres mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к СУБД (параметр DBCHAIN);
- «Сертификат OpenBao mTLS» - путь к сертификату для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_CERT);
- «Секр. ключ OpenBao mTLS» - путь к ключу для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_KEY);
- «Серт. промеж. ЦС OpenBao mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_SERVER_CERT);
- «Осн. серт. для расшифровки JWT-токена» - путь к сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT);
- «Рез. серт. для расшифровки JWT-токена» - путь к резервному сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT_SECOND);
- «Секр. ключ для подписи JWT-токена» - путь к ключу для подписи JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_KEY);
- «Сертификат для подключения к серверу RA» - путь к серверному сертификату SSL/TLS для проверки подключения к «Удаленному помощнику» (REMOTE_ASSISTANT_SERVER_CERT);
- «Сертификат RabbitMQ mTLS» - путь к клиентскому сертификату SSL/TLS для защищенного подключения к RabbitMQ (CELERY_BROKER_CERT);
- «Секр.ключ RabbitMQ mTLS» - путь к клиентскому ключу SSL/TLS для защищенного подключения к RabbitMQ (CELERY_BROKER_KEY);
- «Серт. ЦС RabbitMQ mTLS» - путь к корневому сертификату ЦС SSL/TLS для защищенного подключения к RabbitMQ (CELERY_BROKER_CA);
- «Публичный ключ ws-proxy»: путь к открытому ключу id_rsa.pub. Явно задавать путь следует только при использовани внешнего хранилища (WSPROXY_PUB_KEY_FILE);
- «Секретный ключ ws-proxy»: путь к озакрытому ключу id_rsa. Явно задавать путь следует только при использовани внешнего хранилища (WSPROXY_PRIV_KEY_FILE);

«Перезапуск служб»: позволяет выполнить перезапуск служб Termidesk.

После выполнения изменений в любом из разделов рекомендуется воспользоваться пунктом «Перезапуск служб» для применения изменений.