Параметры конфигурирования

Параметры конфигурирования STAL

Для настройки STAL используются конфигурационные файлы /etc/stal/stal_service.json, /etc/stal/stal_proxy.json и /etc/stal/stal_kiosk.json.

В большинстве случаев STAL не требует изменения конфигурационных файлов после установки. Описание файлов приведено для расширенной настройки.

Параметры внутри конфигурационных файлов имеют следующую структуру:

{
	"параметр": "значение",
	"параметр": [ "значение 1", ..., "значение N" ],
	"параметр": [ "значение 1", "%{значение 2}", ..., "значение N" ],
	"параметр": [ "аргумент:%{значение}" ]
}

BASH

Поля %{значение} используются для подстановки служебных значений.

Целочисленные значения не заключаются в кавычки.

Файл /etc/stal/stal_proxy.json определяет параметры работы сервиса stal-proxy, обеспечивающего передачу трафика от клиенских соединений на локальный сокет. Пример файла /etc/stal/stal_proxy.json:

{
    "debug:level": "debug",
	"transport:debug": false,

    "listen:port": 3389,
 	"listen:addr": "0.0.0.0",
    "listen:timeout": 10,

    "#kerberos:realm": "UVEON",
	"#kerberos:keytab": "/etc/stal/termsrv.keytab",

    "#x11rdp:path": "/usr/libexec/stal/freerdp-shadow-cli",
    "#x11rdp:args": [ "/ipc-socket:%{socket}" ],

	"tcp:keepalive:enable": true,
    "tcp:keepalive:delay": 5,
    "tcp:keepalive:retries": 3,
    "tcp:keepalive:interval": 2
}

BASH

Список доступных параметров конфигурационного файла /etc/stal/stal_proxy.json приведен в таблице.

Описание параметров файла конфигурации сервиса proxy

Параметр	Назначение	Значение по умолчанию
`debug:level`	Уровень отладочных сообщений. Возможные значения: `debug`, `info`, `none`	`debug`
`transport:debug`	Управление режимом отладочного журналирования для `RDP`-протокола (`freerdp-shadow`) По умолчанию режим отладочного журналирования выключен. Для включения необходимо присвоить параметру значение `true`	`false`
`listen:port`	Сервисный порт доступа	`3389`
`listen:addr`	Сетевой интерфейс для соединения	`0.0.0.0`
`listen:timeout`	Время ожидания клиентского подключения, в секундах	`10`
`kerberos:realm`	Домен `Kerberos`	`UVEON`
`kerberos:keytab`	Указание `keytab`-файла для аутентификации `Kerberos` для учетной записи сервера STAL. Файл `termsrv.keytab` после установки не существует, его необходимо создать на контроллере домена и скопировать в `/etc/stal/`	`/etc/stal/termsrv.keytab`
`x11rdp:path`	Системная программа запуска `RDP`-протокола (поставляется с пакетом `freerdp`)	`/usr/libexec/stal/freerdp-shadow-cli`
`x11rdp:args`	Список аргументов для команды `RDP`-протокола	`/ipc-socket:%{socket}`
`tcp:keepalive:enable`	Управление переподключением к сессии. При значении `false` подключение к сессии после разрыва соединения и его восстановления возможно только по прошествии некоторого времени. При значении `true` подключение к сессии после разрыва соединения возможно сразу после его восстановления	`true`
`tcp:keepalive:delay`	Время (в секундах) простоя соединения, по прошествии которого TCP начнёт отправлять проверочные пакеты	`5`
`tcp:keepalive:retries`	Максимальное число проверок TCP, отправляемых перед сбросом соединения	`3`
`tcp:keepalive:interval`	Время в секундах между отправками отдельных проверочных пакетов	`2`

Некоторые параметры в json-файлах закомментированы - перед ними есть символ «#». Это значит, что такой параметр используется со значением по умолчанию. Чтобы его изменить, нужно удалить символ «#» и присвоить нужное значение параметру.

Пример:

по умолчанию в качестве домена Kerberos в параметре kerberos:realm файла /etc/stal/stal_proxy.json указан UVEON. Чтобы указать другой домен, например, example.local, нужно преобразовать параметр "#kerberos:realm": "UVEON" к "kerberos:realm": "example.local".

Файл /etc/stal/stal_service.json определяет параметры работы основного сервиса stal, обеспечивающего запуск и останов графических сессий пользователя и реализующего основной функционал STAL. Пример файла /etc/stal/stal_service.json:

{     
	"debug:level": "debug",

    "display:min": 101,
    "display:max": 901,

    "#runtime:dir": "/run/stal",
    "#runtime:xdg": "/run/user/%{uid}",

    "#xvfb:path": "/usr/bin/Xorg",
    "#xvfb:args": [ ":%{display}", "-nolisten", "tcp", "-logfile", "/dev/null", "-auth", "%{authfile}", "-config", "stal.conf", "-depth", "%{depth}", "+extension", "DAMAGE", "+extension", "MIT-SHM", "+extension", "RANDR", "+extension", "XFIXES", "+extension", "XTEST" ],
    "#xvfb:sock": "/tmp/.X11-unix/X%{display}",

    "#pam:service": "stal",

    "session:path": "/usr/bin/fly-wm",
    "session:args": [ ],
    "session:programs": "/etc/stal/programs.json",

    "#seamless:timeout": 60,
    "#inactivity:timeout": 0,
    "#duration:timeout": 0,
    "#disconnect:timeout": 0,
    "#clipboard:limit": 0,

    "#redirect:drive": true,
    "#redirect:print": true,
    "#redirect:smartcard": true,
    "#clipboard:file": true,
    "#clipboard:server": true,
    "#clipboard:client": true,

    "#connect:policy": "NextDeny",

    "applications:skip": [ "1cestart.desktop" ],

    "#helper:notification": "/usr/libexec/stal/stal_notify",
    "#hash:path": "/usr/bin/winpr-hash",
    "#xrandr:path": "/usr/bin/xrandr",

    "#tdsk:enable": false,
    "#tdsk:fstype": "ext4",
    "#tdsk:option": ""
}

BASH

Список доступных параметров конфигурационного файла /etc/stal/stal_service.json приведен в таблице.

Описание параметров файла конфигурации сервиса stal

Параметр	Назначение	Значение по умолчанию
`debug:level`	Уровень отладочных сообщений. Возможные значения: `debug`, `info`, `none`	`debug`
`display:min`	Нижняя граница нумерации сессий	`101`
`display:max`	Верхняя граница нумерации сессий (влияет только на допустимое максимальное количество сессий на сервере, `limits = display:max - display:min`)	`901`
`runtime:dir`	Рабочий каталог сервиса STAL	`/run/stal`
`runtime:xdg`	`XDG`-каталог сессии	`/run/user/%{uid}`
`xvfb:path`	Путь запуска `X11`-сервера	`/usr/lib/xorg/Xorg`
`xvfb:args`	Список аргументов `X11`-сервера. Возможны подстановки служебных значений: `%{display}`, `%{authfile}`, `%{depth}, %{width}, %{height}`	`Не задано`
`xvfb:sock`	Формат сокета для `X11`-сервера Возможна подстановка служебного значения: `%{display}`	`/tmp/.X11-unix/X%{display}`
`pam:service`	Наименование сервиса доступа `PAM`	`stal`
`session:path`	Клиентская программа, запускаемая в сессии	`/usr/bin/fly-wm`
`session:args`	Список аргументов для запуска клиентской программы	`Не задано`
`session:programs`	Файл списка разрешенных программ для режима `seamless`, формат `json`	`/etc/stal/programs.json`
`seamless:timeout`	Таймаут жизни программной сессии (`seamless`) после отключения, в секундах	`60`
`inactivity:timeout`	Лимит бездействия пользовательской сессии по умолчанию, в секундах	`0`
`duration:timeout`	Лимит продолжительности работы пользовательской сессии по умолчанию, в секундах	`0`
`disconnect:timeout`	Таймаут жизни пользовательской сессии после отключения, в секундах	`0`
`clipboard:limit`	Максимальный лимит буфера обмена в байтах (0: не ограничено). Для блокировки буфера обмена нужно использовать параметры `clipboard:server` и `clipboard:client`	`0`
`redirect:drive`	Политика для перенаправления дисков/каталогов в RDP. По умолчанию включена	`true`
`redirect:print`	Политика для перенаправления принтеров в RDP. По умолчанию включена	`true`
`redirect:smartcard`	Служебный параметр. Менять не следует	`true`
`clipboard:file`	Политика для перенаправления файлов через буфер обмена на сервер. По умолчанию включена	`true`
`clipboard:server`	Политика для перенаправления буфера обмена на сервер. По умолчанию включена	`true`
`clipboard:client`	Политика для перенаправления буфера обмена на клиент. По умолчанию включена	`true`
`connect:policy`	Политика для множественного соединения в сессию. Возможные значения: `NextDeny` (если сессия занята, следующее соединение в нее отменяется), `PrevReplace` (если сессия занята, предыдущее соединение в нее отменяется), `MultiAllow` (разрешено множественное соединение)	`NextDeny`
`applications:skip`	Список запрещенных программ, которые не будут опубликованы. В значении параметра должен указываться ярлык программы: `<имя программы>.desktop`	`1cestart.desktop`
`helper:notification`	Служебная программа для информирования в сессии через механизм нотификаций (всплывающих сообщений)	`/usr/libexec/stal/stal_notify`
`hash:path`	Системная программа для генерации хеш-значения `NTLM` (поставляется с пакетом `freerdp`)	`/usr/bin/winpr-hash`
`xrandr:path`	Системная программа для изменения геометрии экрана в сессии	`/usr/bin/xrandr`
`tdsk:enable`	Служебный параметр. Менять не следует	`false`
`tdsk:fstype`	Служебный параметр. Менять не следует	`ext4`
`tdsk:option`	Служебный параметр. Менять не следует	`Не задано`

Файл /etc/stal/stal_kiosk.json определяет свойства окон приложений, запускаемых в режиме доставки приложений (киоск).

Функциональность режима приложений stal_kiosk поддерживается в ОС Astra Linux Special Edition только для уровня защищенности «Орел».

Влияние stal_kiosk на поведение окна

Пример файла /etc/stal/stal_kiosk.json:

[
    {
        "wm:window:type": "dialog",
        "wm:class": "1cv8*",
        "wm:window:role": "GtkFileChooserDialog",
        "frame": false,
        "fullscreen": true
    },
    {
        "wm:window:type": "dialog",
        "wm:class": "1cv8*",
        "frame": false,
        "fullscreen": false
    },
    {
        "wm:class": "xterm",
        "frame": false,
        "fullscreen": true
    },
    {
        "wm:window:type": "normal",
        "wm:class": "*",
        "frame": false,
        "fullscreen": true
    },
    {
        "wm:window:type": "dialog",
        "wm:class": "*",
        "frame": true,
        "fullscreen": false
    }
]

BASH

Поведение окон, описанное в файле конфигурации /etc/stal/stal_kiosk.json, реализуется по тегам системной утилиты xprop. Список доступных параметров приведен в таблице.

Для получения значения тега для определенного окна нужно:

запустить окно нужного приложения;
запустить утилиту xprop из интерфейса командной строки:

:~$ xprop

BASH

выбрать левой кнопкой мыши открытое окно, теги которого необходимо получить;
информация по тегам утилиты xprop, назначенных для этого окна, отобразится в интерфейсе командной строки, пример:

WM_NAME(COMPOUND_TEXT) = "Домашняя - Менеджер файлов"
_NET_WM_NAME(UTF8_STRING) = "Домашняя - Менеджер файлов"
_MOTIF_WM_HINTS(_MOTIF_WM_HINTS) = 0x3, 0x3e, 0x7e, 0x0, 0x0
_NET_WM_WINDOW_TYPE(ATOM) = _NET_WM_WINDOW_TYPE_NORMAL
_XEMBED_INFO(_XEMBED_INFO) = 0x0, 0x1
WM_CLIENT_LEADER(WINDOW): window id # 0x3200008
WM_HINTS(WM_HINTS):
                Client accepts input or input focus: True
                window id # of group leader: 0x3200008
WM_CLIENT_MACHINE(STRING) = "cl-00000"
_NET_WM_PID(CARDINAL) = 1721
_NET_WM_SYNC_REQUEST_COUNTER(CARDINAL) = 52429217
WM_CLASS(STRING) = "fly-fm-service", "fly-fm-service"
WM_PROTOCOLS(ATOM): protocols  WM_DELETE_WINDOW, WM_TAKE_FOCUS, _NET_WM_PING, _NET_WM_SYNC_REQUEST
WM_NORMAL_HINTS(WM_SIZE_HINTS):
                user specified size: 1333 by 913
                program specified minimum size: 182 by 219
                window gravity: Static

BASH

Описание параметров файла конфигурации stal_kiosk

Параметр	Назначение
`wm:window:type`	Соответствует тегу `_NET_WM_WINDOW_TYPE` утилиты `xprop`. Допустимые значения: «dialog», «utility», «splash», «menu», «popup_menu», «tooltip», «notification», «normal»
`wm:class`	Соответствует тегу `WM_CLASS` утилиты `xprop`
`wm:window:role`	Соответствует тегу `WM_WINDOW_ROLE` утилиты `xprop`
`frame`	Определяет реализуемое действие: использовать (`true`) или запретить (`false`) дополнительное оформление окна
`fullscreen`	Определяет реализуемое действие: использовать (`true`) или запретить (`false`) полноэкранный режим для окна

Главное окно приложения всегда запускается в полноэкранном режиме!