| Параметр | Значение по умолчанию | Описание |
|---|
Настройки параметров перемещаемых профилей |
TDSK_AUTOFS_IMAGES_ID | Не задано | Параметр может быть задан на узлах «Универсального диспетчера». Используется для настройки шаблонов перемещаемых профилей. В качестве значения используются идентификаторы дисков. Пример: TDSK_AUTOFS_IMAGES_ID=xx[,yy[,zz[,...]]] |
Настройки подключения к СУБД |
DB_CLUSTER_MODE | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет тип установки СУБД, к которой осуществляется подключение. Возможные значения: single - подключение производится к отдельному серверу СУБД;cluster - подключение производится к кластеру СУБД, адреса нод которого заданы в DBHOST, DBHOST2, DBHOST3. Termidesk будет последовательно обращаться к заданным адресам нод, пока не подключится к мастер-ноде
|
DBHOST | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет IP-адрес или FQDN СУБД PostgreSQL. Начальное значение задается на этапе подготовке среды функционирования и установки Termidesk |
DBHOST2 | Не задано | Параметр необязательный, может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет IP-адрес или FQDN дополнительного узла СУБД PostgreSQL, если используется подключение к кластеру СУБД (см. параметр DB_CLUSTER_MODE). Начальное значение задается на этапе установки Termidesk |
DBHOST3 | Не задано | Параметр необязательный, может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет IP-адрес или FQDN дополнительного узла СУБД PostgreSQL, если используется подключение к кластеру СУБД (см. параметр DB_CLUSTER_MODE). Начальное значение задается на этапе установки Termidesk |
DBPORT | 5432
| Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет порт соединения с сервером БД |
DBSSL | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет протокол подключения к БД. Возможные значения: Disable; TLSv1.2; TLSv1.3.
Начальное значение задается на этапе установки Termidesk |
DBNAME | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет имя БД. Начальное значение задается на этапе подготовки среды функционирования перед установкой Termidesk |
DBUSER | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет имя пользователя, имеющего доступ к БД. Начальное значение задается на этапе подготовки среды функционирования перед установкой Termidesk |
DBPASS | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет пароль пользователя, имеющего доступ к БД. Начальное значение задается на этапе подготовки среды функционирования во время установки Termidesk и хранится в конфигурационном файле termidesk.conf в преобразованном виде. В стандартных установках значения менять не следует. |
Чтобы получить преобразованное значение пароля, следует воспользоваться утилитой scramble: - для получения значения по стандартному алгоритму:
/opt/termidesk/bin/scramble --value <пароль> --type AES256; - для получения значения с увеличенным числом итераций преобразования:
/opt/termidesk/bin/scramble --value <пароль> --type AES256_V2
Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value: /opt/termidesk/bin/scramble --value=<-пароль> --type AES256
Если конфигурационный файл termidesk.conf хранится в каталоге, отличном от /etc/opt/termidesk-vdi/, может потребоваться указание дополнительного параметра --config (см. подраздел Утилита scramble). |
|
DBCERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к клиентскому сертификату mTLS для защищенного подключения к БД. mTLS - метод обеспечения защищенного соединения с БД через двустороннюю аутентификацию с использованием сертификатов. |
Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: DBCERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
DBKEY | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к ключу mTLS для защищенного подключения к БД. Ключ может иметь парольную защиту. Для использования ключа нужно преобразовать его к начальному значению: openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>
Для использования ключа также нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key
Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища: DBKEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'
|
DBCHAIN | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к промежуточному сертификату mTLS для защищенного подключения к БД. Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя t
ermidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: DBCHAIN='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/ca'
|
DB_CONN_MAX_AGE | 0 | Максимально допустимое время (в секундах) существования одного подключения к БД. Параметр управляет жизненным циклом подключения к БД для Django. Для корректной работы это значение должно быть меньше аналогичной настройки на БД, которая может закрывать простаивающие подключения по истечении времени. Значение 0: - обеспечивает совместимость с предыдущими версиями Termidesk;
- определяет, что подключения к БД будут закрыты после обработки HTTP-запроса
|
CELERY_DB_REUSE_MAX | 1000 | Количество фоновых задач, которое может быть выполнено в рамках одного подключения к БД. По достижении этого количества подключение к БД пересоздастся. Параметр управляет жизненным циклом подключения к БД для служб celery «Менеджера рабочих мест» |
Настройка проверки данных при взаимодействии компонентов Termidesk |
DJANGO_SECRET_KEY | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Используется для проверки данных, пересылаемых между компонентами Termidesk. Значение генерируется при установке Termidesk и должно быть одинаковым для всех узлов при распределенной установке |
Настройка подключения к RabbitMQ |
RABBITMQ_URL | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет URL-адрес подключения к серверам RabbitMQ. Можно подключить до трех (включительно) серверов. Пароль подключения к серверу RabbitMQ, указанный в RABBITMQ_URL, хранится в конфигурационном файле termidesk.conf в преобразованном виде. Чтобы получить преобразованное значение пароля, следует воспользоваться утилитой scramble: - для получения значения по стандартному алгоритму:
/opt/termidesk/bin/scramble --value <пароль> --type AES256
- для получения значения с увеличенным числом итераций преобразования:
/opt/termidesk/bin/scramble --value <пароль> --type AES256_V2
Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value: /opt/termidesk/bin/scramble --value=<-пароль> --type AES256 Если конфигурационный файл termidesk.conf хранится в каталоге, отличном от /etc/opt/termidesk-vdi/, может потребоваться указание дополнительного параметра --config (см. подраздел Утилита scramble). |
Для использования преобразованного значения следует указать его в RABBITMQ_URL и выполнить перезапуск служб. Начальное значение RABBITMQ_URL задается на этапе установки |
RABBITMQ_SSL | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет протокол подключения к RabbitMQ. Возможные значения: Disable, TLSv1.2. Начальное значение задается на этапе установки |
Настройки защищенного подключения к RabbitMQ |
CELERY_BROKER_CERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к клиентскому сертификату mTLS для защищенного подключения к RabbitMQ. Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: CELERY_BROKER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
CELERY_BROKER_KEY | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к закрытому ключу mTLS для защищенного подключения к RabbitMQ. Ключ может иметь парольную защиту. Для использования в Termidesk нужно преобразовать его к начальному значению: openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>
Для использования ключа также нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key
Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сключа из хранилища: CELERY_BROKER_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'
|
CELERY_BROKER_CA | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к корневому сертификату ЦС mTLS для защищенного подключения к RabbitMQ. Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: CELERY_BROKER_CA='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/ca'
|
Настройки установленных ролей Termidesk |
NODE_ROLES | Не задано | Параметр обязателен и задается на этапе установки. Определяет тип роли, с которой будет установлен Termidesk. Возможные значения: ADMIN - роль «Портал администратора»;USER - роль «Портал пользователя»;CELERYMAN - роль «Менеджер рабочих мест»;AGGR_ADM - роль «Агрегатор администратора»;AGGR_USR - роль «Агрегатор пользователя».
Установка ролей «Агрегатор администратора» и/или «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и/или «Портала пользователя». Таким образом одновременно на одном узле могут быть заданы роли: - либо
ADMIN и (или) USER; - либо
AGGR_ADM и (или) AGGR_USR.
|
При переустановке значение параметра в конфигурационном файле будет перезаписано |
|
LOG_LEVEL | INFO | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет уровень журналирования сообщений. Возможные значения: DEBUG, INFO, WARNING, ERROR, CRITICAL Включение уровня DEBUG может привести к повышенной нагрузке системы, поэтому после сбора подробных журналов следует вернуть значение к уровню INFO. |
|
LOG_ADDRESS | /dev/log | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет адрес отправки записей в системный журнал. Обычно это /dev/log для Linux-систем. Возможно указать IP-адрес и порт |
LOG_FACILITY | local3 | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет категорию сообщений syslog. Категория должна совпадать с настройками в конфигурационном файле /etc/syslog-ng/conffirst.d/termidesk.conf |
Настройки шаблонов для регистрации событий и журналирования (syslog-ng и logrotate) |
LOG_DIR
| /var/log/termidesk | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к каталогу с журналами, используется в настройках шаблонов logrotate и syslog-ng. Путь к шаблонам определен в файле /etc/default/termidesk-vdi.local (см. подраздел Файл /etc/default/termidesk-vdi.local). Каталог должен обладать следующими свойствами: - права доступа:
rwxr-x--- (в восьмеричной записи - 750); - владелец и группа:
root:termidesk.
Рекомендуется выполнять изменение параметра через утилиту termidesk-config (см. подраздел Утилита termidesk-config). Если изменение параметра выполнено вручную, то требуется выполнить команду: sudo /opt/termidesk/sbin/termidesk-config update_logger_config
|
LOG_OWNER
| termidesk | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет владельца файлов журналов, используется в настройках шаблонов logrotate и syslog-ng. Путь к шаблонам определен в файле /etc/default/termidesk-vdi.local (см. подраздел Файл /etc/default/termidesk-vdi.local). Рекомендуется выполнять изменение параметра через утилиту termidesk-config (см. подраздел Утилита termidesk-config). Если изменение параметра выполнено вручную, то требуется выполнить команду: sudo /opt/termidesk/sbin/termidesk-config update_logger_config
|
LOG_GROUP
| adm | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определеяет группу-владельца файлов журналов, используется в настройках шаблонов logrotate и syslog-ng. Путь к шаблонам определен в файле /etc/default/termidesk-vdi.local (см. подраздел Файл /etc/default/termidesk-vdi.local). Рекомендуется выполнять изменение параметра через утилиту termidesk-config (см. подраздел Утилита termidesk-config). Если изменение параметра выполнено вручную, то требуется выполнить команду: sudo /opt/termidesk/sbin/termidesk-config update_logger_config
|
LOG_PERM
| 0440
| Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет права доступа к файлам журналов, используется в настройках шаблонов logrotate и syslog-ng. Путь к шаблонам определен в файле /etc/default/termidesk-vdi.local (см. подраздел Файл /etc/default/termidesk-vdi.local). Рекомендуется выполнять изменение параметра через утилиту termidesk-config (см. подраздел Утилита termidesk-config). Если изменение параметра выполнено вручную, то требуется выполнить команду: sudo /opt/termidesk/sbin/termidesk-config update_logger_config
|
LOG_DEEP
| 14 | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет количество устарвеших файлов журналов, которое нужно хранить. Используется в настройках шаблонов logrotate и syslog-ng. Путь к шаблонам определен в файле /etc/default/termidesk-vdi.local (см. подраздел Файл /etc/default/termidesk-vdi.local). Рекомендуется выполнять изменение параметра через утилиту termidesk-config (см. подраздел Утилита termidesk-config). Если изменение параметра выполнено вручную, то требуется выполнить команду: sudo /opt/termidesk/sbin/termidesk-config update_logger_config
|
Настройки токена доступа к API для проверок состояния служб Termidesk |
HEALTH_CHECK_ACCESS_KEY | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет токен доступа к API проверки состояния сервера. Начальное значение генерируется на этапе установки. При задании значения параметра следует руководствоваться правилом, что: - размер должен составлять от 0 до 64 символа;
- должны использоваться символы в шестнадцатеричной системе (0-9, a-f).
Значение также может быть сгенерировано через openssl: openssl rand -hex 32
|
Настройки токена доступа к API получения метрик узла |
METRICS_ACCESS_KEY | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет токен доступа к API получения метрик узла. Начальное значение генерируется на этапе установки. При задании значения параметра следует руководствоваться правилом, что: - размер должен составлять от 0 до 64 символа;
- должны использоваться символы в шестнадцатеричной системе (0-9, a-f).
Значение также может быть сгенерировано через openssl: openssl rand -hex 32
|
Настройки защищенного подключения для проверок состояния служб «Менеджера рабочих мест» |
HEALTH_CHECK_CERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора» (в зависимости от варианта установки). Определяет путь к сертификату SSL/TLS для защищенного подключения к API проверки состояния служб «Менеджера рабочих мест». Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: HEALTH_CHECK_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
HEALTH_CHECK_KEY | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора» (в зависимости от варианта установки). Определяет путь к ключу SSL/TLS для защищенного подключения к API проверки состояния служб «Менеджера рабочих мест». Ключ может иметь парольную защиту. Для использования ключа нужно преобразовать его к начальному значению: openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>
Для использования ключа также нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key
Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища: HEALTH_CHECK_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'
|
Настройки компонента «Менеджер рабочих мест» (службы termidesk-celery-beat) |
CELERY_BEAT_HEALTH_CHECK_PORT | 8103 | Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест». Определяет порт, на котором работает веб-сервер для обслуживания API проверки состояния компонента «Менеджер рабочих мест». Изначально параметр закомментирован (используется значение по умолчанию) |
CELERY_BEAT_HEALTH_CHECK_IP | 0.0.0.0 | Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест». Определяет IP-адрес, с которым служба termidesk-celery-beat регистрируется в подсистеме проверки состояния на странице «Инфраструктура» Termidesk. Опрос состояния службы будет проводиться по этому адресу. Если IP-адрес не задан, то будет использоваться имя (hostname) или FQDN узла. Изначально параметр закомментирован (используется значение по умолчанию) |
Настройки компонента «Менеджер рабочих мест» (службы termidesk-celery-worker) |
CELERY_WORKER_HEALTH_CHECK_PORT | 8104 | Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест». Определяет порт, на котором работает веб-сервер для обслуживания API проверки состояния компонента «Менеджер рабочих мест». Изначально параметр закомментирован (используется значение по умолчанию) |
CELERY_WORKER_HEALTH_CHECK_IP | 0.0.0.0 | Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест». Определяет IP-адрес, с которым служба termidesk-celery-worker регистрируется в подсистеме проверки состояния на странице «Инфраструктура». Опрос состояния службы будет проводиться по этому адресу. Если IP-адрес не задан, то будет использоваться имя (hostname) или FQDN узла. Изначально параметр закомментирован (используется значение по умолчанию) |
Настройки подключения к серверу «Удаленного помощника» |
REMOTE_ASSISTANT_SERVER_CERT
| Не задано | Параметр может быть задан на узлах «Универсального диспетчера» («Портал администратора», «Портал пользователя»). Определяет путь к серверному сертификату SSL/TLS и используется для проверки подключения к «Удаленному помощнику» (проверка того, что подключение происходит к нужному серверу «Удаленного помощника»). Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: REMOTE_ASSISTANT_SERVER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
Настройки доверенных корневых сертификатов |
REQUESTS_CA_BUNDLE | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к файлу с доверенным корневым сертификатом, задается для настройки работы с сертификатами собственных ЦС. По умолчанию параметр не используется (закомментирован) Параметр является переменной окружения. Рекомендуется задать его в файле termidesk.conf и в /etc/default/termidesk-vdi.local, иначе его обработка не гарантируется. |
|
Настройки принятия лицензионного соглашения |
EULA_ACCEPTED | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет принятие лицензионного соглашения при установке. В случае автоматизированной установки наличие параметра обязательно |
Настройки доверенных корневых сертификатов |
REQESTS_CA_BUNDLE | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к файлу с доверенным корневым сертификатом, задается для настройки работы с сертификатами собственных ЦС. По умолчанию параметр не используется (закомментирован) Параметр является переменной окружения. |
|
|
Настройки взаимодействия между узлами «Агрегатора» и «Универсального диспетчера» |
AGGREGATOR_JWT_SSL_CERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», использующихся в фермах, подключаемых к «Агрегатору». Обязателен для заполнения в случае, если в инфраструктуре также используется «Агрегатор». Определяет путь к сертификату для получения значения JWT-токена «Агрегатора»/ Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: AGGREGATOR_JWT_SSL_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
AGGREGATOR_JWT_SSL_CERT_SECOND | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», использующихся в фермах, подключаемых к «Агрегатору». Обязателен для заполнения в случае, если в инфраструктуре также используется «Агрегатор». Определяет путь к резервному сертификату для получения значения JWT-токена «Агрегатора». Если сертификат, заданный в AGGREGATOR_JWT_SSL_CERT, станет невалидным, то будет использоваться сертификат, указанный в AGGREGATOR_JWT_SSL_CERT_SECOND. Для использования сертификата нужно: скопировать его в каталог /etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem изменить права на файл: sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem установить корневой сертификат ЦС (см. подраздел Установка корневого сертификата центра сертификации), если ранее он не был установлен. Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: AGGREGATOR_JWT_SSL_CERT_SECOND='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pemsecond' |
AGGREGATOR_JWT_SSL_KEY | Не задано | Параметр обязателен и задается на узлах с установленным «Агрегатором» (портал «Агрегатор пользователя»). Определяет путь к ключу для подписи JWT-токена «Агрегатора». Для использования ключа также нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя
termidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key
Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища: AGGREGATOR_JWT_SSL_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'
|
AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS | 672 | Параметр обязателен и задается на узлах с установленным «Агрегатором». Определяет время жизни (в часах) кеша иконок фондов РМ. По истечении этого времени иконка обновляется |
AGGREGATOR_HTTP_TIMEOUT | 10 | Параметр определяет максимальное время ожидания (в секундах) HTTP-запросов «Агрегатора» и позволяет предотвратить бесконечное ожидание со стороны «Агрегатора», если «Универсальный диспетчер» фермы Termidesk не вернул ответ на запрос. Рекомендации по изменению значения: - значение следует увеличить, если при получении списка РМ наблюдаются ошибки, связанные с тем, что «Агрегатор» завершает запрос раньше, чем «Универсальный диспетчер» фермы Termidesk успевает вернуть ответ;
- значение следует уменьшить, если требуется быстрее завершать неудачные подключения или сократить общее время ожидания при недоступности «Универсального диспетчера» фермы Termidesk
|
Настройки подключения к хранилищу паролей OpenBao |
SECRETS_STORAGE_METHOD | Не задано | Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет способ хранения паролей подключения к СУБД и RabbitMQ: config - пароли будут храниться в преобразованном виде в файле termidesk.conf;hvac - для хранения паролей будет использоваться хранилище паролей OpenBao или Hashicorp Vault (хранилище должно быть заранее создано и настроено). Подробная информация по этому способу хранения паролей приведена в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac» документа  90 02 «Руководство администратора. Настройка программного комплекса»;openbao - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено). При этом пароли располагаются внутри хранилища, имена контейнеров хранения генерируются автоматически.
Хранилище паролей OpenBao должно быть реализовано в отказоустойчивом варианте, иначе Termidesk не будет работать в период простоя узлов OpenBao. |
Начальное значение задается на этапе установки |
SECRETS_OPENBAO_URL | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет IP-адреса или FQDN узла и порта с установленным хранилищем OpenBao. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Формат: http://<IP-адрес или FQDN>:8200. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_TOKEN | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет токен (Initial Root Token), сформированный при инициализации хранилища OpenBao. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки и хранится в конфигурационном файле termidesk.conf в преобразованном виде. Для преобразования значения параметра, заданного вручную, следует воспользоваться утилитой scramble: - для получения значения по стандартному алгоритму:
/opt/termidesk/bin/scramble --value <пароль> --type AES256
- для получения значения с увеличенным числом итераций преобразования:
/opt/termidesk/bin/scramble --value <пароль> --type AES256_V2
Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value: /opt/termidesk/bin/scramble --value=<-пароль> --type AES256 Если конфигурационный файл termidesk.conf хранится в каталоге, отличном от /etc/opt/termidesk-vdi/, может потребоваться указание дополнительного параметра --config (см. подраздел Утилита scramble). |
|
SECRETS_OPENBAO_DB_PATH | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь, настроенный на OpenBao для хранения пароля СУБД. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_DB_ROLE_NAME | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет роль, настроенную на OpenBao и имеющую доступ к паролю СУБД. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_RABBITMQ_PATH | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора»». Определяет путь, настроенный на OpenBao для хранения пароля RabbitMQ. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_RABBITMQ_ROLE_NAME | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет роль, настроенную на OpenBao и имеющую доступ к паролю RabbitMQ. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_CLIENT_CERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к сертификату mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы. Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя t
ermidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: SECRETS_OPENBAO_CLIENT_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
SECRETS_OPENBAO_CLIENT_KEY | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к ключу mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы. Ключ может иметь парольную защиту. Для использования ключа в Termidesk нужно преобразовать его к начальному значению: openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>
Для использования ключа также нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя t
ermidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key
Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: SECRETS_OPENBAO_CLIENT_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'
|
SECRETS_OPENBAO_SERVER_CERT | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь к промежуточному сертификату ЦС mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы. Для использования сертификата нужно: - скопировать его в каталог
/etc/opt/termidesk-vdi/; - назначить владельцем файла пользователя t
ermidesk:
sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem
sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem
Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: SECRETS_OPENBAO_SERVER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'
|
SECRETS_OPENBAO_TERMIDESK_PATH | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет путь, настроенный на OpenBao для хранения паролей Termidesk. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_TERMIDESK_ROLE_NAME | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет роль, настроенную на OpenBao и имеющую доступ к паролям Termidesk. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
SECRETS_OPENBAO_KV_VERSION | 1 | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Используется для указания версии API OpenBao. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Возможные значения: Начальное значение задается на этапе установки |
SECRETS_OPENBAO_CACHE_LIFETIME | 5 | Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора». Определяет время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти. Позволяет сохранить полученный от OpenBao пароль на некоторое время в кеше для сокращения количества обращений к OpenBao. Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac. Начальное значение задается на этапе установки |
Настройки взаимодействия с узлом «Ретранслятора» |
FLUENTD_CACHE | 15 | Параметр может быть задан на узлах «Универсального диспетчера». Определяет время (в секундах) кеширования параметров подключения к узлу «Ретранслятора». По умолчанию после установки время кеширования составляет 15 секунд. В случае, если нужно изменить значение, следует раскомментировать параметр и задать ему новое значение |
FLUENTD_TABLE | logs | Параметр может быть задан на узлах «Универсального диспетчера». Определяет таблицу хранения событий фермы Termidesk. По умолчанию после установки «Универсальный диспетчер» обращается к таблице «logs» БД «Ретранслятора». В случае, если в БД «Ретранслятора» для хранения событий используется другая таблица, следует раскомментировать параметр и указать новое имя таблицы |
Настройки «Шлюза» |
WSPROXY_PUB_KEY_FILE | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Агрегатора». Задает путь к открытому ключу id_rsa.pub. Используется для подписи токенов при взаимной аутентификации «Шлюза» и «Универсального диспетчера», «Агрегатора». По умолчанию создается при первой установке и хранится в каталоге /etc/opt/termidesk-vdi/wsproxy. Явно задавать путь следует только при использовани внешнего хранилища (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример: WSPROXY_PUB_KEY_FILE='hvac-kv://secret#termidesk-admin/wsproxy/pub' |
WSPROXY_PRIV_KEY_FILE | Не задано | Параметр может быть задан на узлах «Универсального диспетчера», «Агрегатора». Задает путь к закрытому ключу id_rsa. Используется для подписи токенов при взаимной аутентификации «Шлюза» и «Универсального диспетчера», «Агрегатора». По умолчанию создается при первой установке и хранится в каталоге /etc/opt/termidesk-vdi/wsproxy. Явно задавать путь следует только при использовани внешнего хранилища (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример: WSPROXY_PRIV_KEY_FILE='hvac-kv://secret#termidesk-admin/wsproxy/priv' |