Утилита termidesk-config (Агрегатор)

Для вызова утилиты следует:

• в интерфейсе командной строки перейти в каталог /opt/termidesk/sbin/:

cd /opt/termidesk/sbin/

• выполнить запуск:

sudo ./termidesk-config

• откроется интерфейс утилиты.

Доступны следующие функции утилиты:

• «Выбор способа хранения паролей»: позволяет настроить способ хранения паролей подключения к СУБД и RabbitMQ (параметр SECRETS_STORAGE_METHOD):
  • «config» - пароли будут храниться в преобразованном виде в файле /etc/opt/termidesk-vdi/termidesk.conf;
  • «openbao» - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено).

В случае выбора «openbao» необходимо выполнить настройку подключения к хранилищу через функцию «Настройка хранилища OpenBao»;

• «Настройка хранилища OpenBao»: позволяет настроить параметры подключения к хранилищу и задать параметры, настроенные непосредственно на хранилище:
  • «URL хранилища» - IP-адрес или FQDN узла и порт с установленным хранилищем OpenBao (параметр SECRETS_OPENBAO_URL). Формат: http://<IP-адрес>:8200 или http://<FQDN>:8200. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом;
  • «Версия API OpenBao» - установленная версия API на OpenBao (параметр SECRETS_OPENBAO_KV_VERSION). Может принимать значения: «1» или «2»;
  • «Токен доступа к хранилищу» - токен (Initial Root Token), который был сформирован при инициализации хранилища (параметр SECRETS_OPENBAO_TOKEN);
  • «Путь к паролю СУБД» - путь, настроенный на OpenBao для хранения пароля СУБД (параметр SECRETS_OPENBAO_DB_PATH);
  • «Роль доступа к паролю СУБД» - роль, настроенная на OpenBao, которая имеет доступ к паролю СУБД (параметр SECRETS_OPENBAO_DB_ROLE_NAME);
  • «Путь к паролям RabbitMQ» - путь, настроенный на OpenBao для хранения пароля RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_PATH);
  • «Роль доступа к паролям RabbitMQ» - роль, настроенная на OpenBao, которая имеет доступ к паролю RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_ROLE_NAME);
  • «Путь к паролям Termidesk» - путь, настроенный на OpenBao для хранения пароля Termidesk  (параметр SECRETS_OPENBAO_TERMIDESK_PATH);
  • «Роль доступа к паролям Termidesk» - роль, настроенная на OpenBao, которая имеет доступ к паролю Termidesk (параметр SECRETS_OPENBAO_TERMIDESK_ROLE_NAME);
  • «Время кеширования паролей, сек» - время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти (параметр SECRETS_OPENBAO_CACHE_LIFETIME);
• «Выбор способа подключения к СУБД»: позволяет выбрать протокол при подключении к СУБД (параметр DBSSL);
• «Настройка подключения к СУБД»: позволяет настроить параметры подключения к СУБД:
  • «Адрес СУБД» - IP-адрес или FQDN СУБД PostgreSQL (параметр DBHOST);
  • «Порт СУБД» - порт, который используется для соединения с сервером БД (параметр DBPORT);
  • «Имя базы данных» - имя БД (параметр DBNAME);
  • «Имя пользователя» - имя пользователя для подключения к БД (параметр DBUSER);
  • «Пароль» - пароль пользователя в открытом виде (параметр DBPASS);
• «Выбор способа подключения к RabbitMQ»: позволяет выбрать протокол при подключении к RabbitMQ (параметр RABBITMQ_SSL);
• «Настройка подключения к RabbitMQ»: позволяет настроить параметры подключения к RabbitMQ (параметр RABBITMQ_URL). При запросе пароль задается в открытом виде;
• «Настройка журналирования»: позволяет настроить параметры журналирования, такие как «Адрес логгера» (параметр LOG_ADDRESS), «Поток (facility) журнала» (параметр LOG_FACILITY);
• «Подробность отладочных сообщений в журналах»: позволяет выбрать уровень подробности отладочных сообщений (параметр LOG_LEVEL);
• «Пересоздание ключа DJANGO»: позволяет переопределить значение ключа DJANGO (параметр DJANGO_SECRET_KEY), создаваемого на этапе установки. Переопределение ключа может понадобиться при его компрометации;
• «Пересоздание я токена проверки состояния служб»: позволяет переопределить значение токена проверки состояния служб (параметр HEALTH_CHECK_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
• «Пересоздание токена проверки метрик служб»: позволяет переопределить значение токена проверки метрики служб (параметр METRICS_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
• «Изменение GID встроенных администраторов»: позволяет назначить идентификатор группы, использующегося для встроенного домена. Изменение идентификатора может понадобиться, если встроенная в ОС группа администраторов отличается от astra-admin (1001) или если нужно предоставить права администрирования Termidesk группе непривилегированных пользователей;
• «Настройки Агрегатора»: позволяет переопределить настройки портала «Агрегатор»:
  • «Время жизни токена Агрегатора, секунд» - время жизни JWT-токена (параметр AGGREGATOR_ACCESS_TOKEN_TTL_SECONDS, доступная для изменения только на узле с установленным порталом «Агрегатор»);
  • «Заголовок JWT-токена Агрегатора» - заголовок JWT-токена, предназначенный для настройки взаимодействия между порталом «Агрегатор» и «Универсальным диспетчером». Параметр должен быть одинаковым на всех узлах, работающих совместно: на порталах «Агрегатора», на «Универсальных диспетчерах» (параметр AGGREGATOR_ACCESS_TOKEN_TITLE);
  • «Время кеширования иконок фондов, часов» - время жизни кеша иконок фондов (параметр AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS);
• «Роли сервера»: позволяет изменить роли, которые запускаются на узле. Доступные роли: «Портал администратора», «Портал пользователя», «Менеджер рабочих мест», «Менеджер рабочих мест (очереди)», «Агрегатор администратора», «Агрегатор пользователя»;
• «Перезапуск служб» - позволяет выполнить перезапуск служб Termidesk;
• «Сертификаты» - позволяет выполнить настройку сертификатов и ключей:

Пункт «Серт. для расшифровки JWT-токена» настраивается только на узле с установленным «Универсальным диспетчером» («Портал администратора» и (или) «Портал пользователя») фермы Termidesk.

Пункт «Прив. ключ для подписи JWT-токена» настраивается только на узле портала «Агрегатор» («Агрегатор администратора» и (или) «Агрегатор пользователя»).

Оставшиеся пункты могут быть настроены на обоих узлах индивидуально.

• • «Cертификат Health Check» - путь к сертификату для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_CERT);
  • «Секр. ключ Health Check» - путь к ключу для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_KEY);
  • «Сертификат Postgres mTLS» - путь к сертификату для защищенного подключения к СУБД (параметр DBCERT);
  • «Секр. ключ Postgres mTLS» - путь к ключу для защищенного подключения к СУБД (параметр DBKEY);
  • «Серт. промеж. ЦС Postgres mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к СУБД (параметр DBCHAIN);
  • «Сертификат OpenBao mTLS» - путь к сертификату для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_CERT);
  • «Секр. ключ OpenBao mTLS» - путь к ключу для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_KEY);
  • «Серт. промеж. ЦС OpenBao mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_SERVER_CERT);
  • «Осн. серт. для расшифровки JWT-токена» - путь к сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT);
  • «Рез. серт. для расшифровки JWT-токена» - путь к резервному сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT_SECOND);
  • «Секр. ключ для подписи JWT-токена» - путь к  ключу для подписи JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_KEY).

Установка ролей «Агрегатор администратора» и (или) «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и (или) «Портала пользователя», «Менеджера рабочих мест».

Смена ролей через функцию «Роли сервера» в этом случае не предусмотрена: нельзя ранее установленные «Портал администратора» и (или) «Портал пользователя» перенастроить на использование ролей «Агрегатор администратора» и (или) «Агрегатор пользователя».

Роль «Менеджер рабочих мест» не должна устанавливаться с «Агрегатором администратора» и (или) «Агрегатором пользователя».

Роль «Менеджер рабочих мест» (очереди) устанавливается  с «Агрегатором администратора» и (или) «Агрегатором пользователя».

• «Перезапуск служб»: позволяет выполнить перезапуск служб Termidesk.

После выполнения изменений в любом из разделов рекомендуется воспользоваться пунктом «Перезапуск служб» для применения изменений.