Конфигурационный файл сессионного Агента Termidesk

Конфигурационный файл сессионного Агента

Для настройки сессионного Агента используется конфигурационный файл /etc/opt/termidesk-session-agent/session_agent.ini (для ОС Astra Linux Special Edition (Server)) или C:\ProgramData\UVEON\Termidesk Session Agent\session_agent.ini (для ОС Microsoft Windows Server).

Администратор может изменить каталог хранения на этапе установки или (в ОС Linux) после установки через переменную окружения CONFIG_DIR, указанную в файле /etc/default/termidesk-session-agent (см. подраздел Файл /etc/default/termidesk-session-agent).

Доступные в конфигурационном файле параметры приведены в таблице.

Параметры конфигурирования сессионного Агента

Секция	Параметр	Значение по умолчанию	Описание
`AGENT`	`LISTEN_IP`	`0.0.0.0`	IP-адрес или FQDN сессионного Агента
`AGENT`	`LISTEN_PORT`	`31000`	Порт сессионного Агента
`AGENT`	`HEALTH_CHECK_ACCESS_KEY`	`None`	Ключ доступа для аутентификации запросов к API `/health/check.` Значение по умолчанию: `None` (ключ не задан, проверка запроса на аутентификацию не осуществляется). При задании значения ключа следует руководствоваться правилом, что: размер ключа должен составлять от 0 до 64 символа; должны использоваться символы в шестнадцатеричной системе (0-9, a-f)
`AGENT`	`METRICS_ACCESS_KEY`	`None`	Ключ доступа для аутентификации запросов к API `/health/metrics`. Значение по умолчанию: `None` (ключ не задан, проверка запроса на аутентификацию не осуществляется). При задании значения ключа следует руководствоваться правилом, что: размер ключа должен составлять от 0 до 64 символа; должны использоваться символы в шестнадцатеричной системе (0-9, a-f)
`AGENT`	`INSTALL_RDS_ROLE_ON_NEXT_BOOT`	`False`	Управление ролью сервера терминалов в ОС Microsoft Windows Server. Применяется только при использовании поставщика ресурсов «метапоставщик» в Termidesk. Возможные значения: `True` - активировать роль сервера терминалов. После активации будет добавлено правило для сессионного Агента в межсетевом экране (брандмауэре) Windows; `False` - выключить роль сервера терминалов. После запуска сессионного Агента значение параметра вновь изменится на `False`, поскольку операция активации выполняется единожды
`AGENT`	`OTP_TOKEN_TTL`	`30`	Параметр действует только на компонент «Сервер терминалов Astra Linux». Время жизни (в секундах) одноразового токена, использующегося для аутентификации компонента «Клиент» в рамках инициализации сессии пользователя на компоненте «Сервер терминалов Astra Linux»
`AGENT`	`STAL_TOKEN_TTL`	30	Параметр действует только на компонент «Сервер терминалов Astra Linux». Время жизни (в секундах) одноразового токена, использующегося для аутентификации пользователя при подключении к компоненту «Сервер терминалов Astra Linux» с использованием смарт-карт
`AGENT`	`STAL_CONNECT_RDP_TTL`	`10`	Параметр действует только на компонент «Сервер терминалов Astra Linux». Если версия компонента «Сервер терминалов Astra Linux»: соответствует версии 3.0, то требуется изменить значение на 600; ниже 3.0, то значение по умолчанию (10) можно не менять. Время ожидания (в секундах) подключения к компоненту «Сервер терминалов Astra Linux»
`AGENT`	`USE_USER_PRINCIPAL_NAME`	`Auto`	Параметр действует только на компонент «Сервер терминалов Astra Linux». Если версия компонента «Сервер терминалов Astra Linux» ниже 3.0, то поддерживаются только значения `True` или `False`. Параметр определяет, будет ли подставлен суффикс домена при подключении к компоненту «Сервер терминалов Astra Linux». Возможные значения: `True`. Имя пользователя будет модифицировано: будет добавлен суффикс домена. Для этого рекомендуется настроить SSSD-сервисы ОС, задав параметру `use_fully_qualified_names` значение `True`. Параметр может быть сконфигурирован: в файле `/etc/sssd/sssd.conf`. При этом если параметр переопределен в файлах каталога /`etc/sssd/conf.d/`, то их обработка будет приоритетной; в файлах, размещенных в `/etc/sssd/conf.d/`. При этом любой файл, размещенный в каталоге, заканчивающийся на `.conf` и не начинающийся с точки, будет использоваться вместе с `/etc/sssd/sssd.conf` для настройки SSSD-сервисов. Файлы могут иметь приоритет обработки; `False`. Имя пользователя не будет модифицироваться; `Auto`. Поддерживается только для компонента «Сервер терминалов Astra Linux» версии 3.0 или выше. Используется для автоматического применения действий: для локальных пользователей суффикс домена не будет подставлен; для доменных пользователей будет выполнен запрос к STAL для проверки свойства `use_fully_qualified_names`. Алгоритм обработки ответа на запрос к STAL для проверки свойства `use_fully_qualified_names`: если возвращен ответ `True` (ожидается имя в формате «userPrincipalName»), то: при наличии доменной части в имени пользователя оно остается без изменений; при отсутствии доменной части в имени пользователя оно модифицируется с добавлением суффикса домена; если возвращен ответ `False` (ожидается имя в формате «sAMAccountName») то: при наличии доменной части в имени пользователя вызывается исключение; при отсутствии доменной части в имени пользователя оно остается без изменений. Значение по умолчанию: `Auto`
`AGENT`	`MASTER_KEY`	`None`	Параметр необходимо задать для работы аутентификации по билету Kerberos на терминальных серверах MS RDS. Значение мастер-ключа «Портала администратора», с которым обменивается данными сессионный Агент
`AGENT`	`DBUS_TIMEOUT`	25	Параметр действует только при взаимодействии с компонентом «Сервер терминалов Astra Linux». Время ожидания (в секундах) выполнения запросов создания сессии в шине DBUS
`METRICS`	`MAX_SESSIONS`	`181` или `250`	Параметр действует на терминальный сервер, если он используется в поставщике ресурсов «метапоставщик» (см. подраздел Перечень параметров для добавления терминального сервера метапоставщика документа СЛЕТ.10001-01 90 02 «Руководство администратора. Настройка программного комплекса»). Если в поставщике ресурсов параметр «Применить "Сессий всего"» не используется, то предел количества подключений будет зависеть от значения параметра `MAX_SESSIONS.` При этом количество сессий на узле может быть больше указанного в `MAX_SESSIONS` значения, если в поставщике ресурсов используются параметры «Соиспользование сессий» и «Предпочитать соиспользование сессий вместо балансировки». Максимально допустимое количество сессий на терминальном сервере. Значение параметра отправляется совместно с метриками узла терминального сервера. Возможные значения: 181 - для терминального сервера компонента «Сервер терминалов Astra Linux»; 250 - для терминального сервера MS RDS. Значение по умолчанию определяется автоматически, в зависимости от терминального сервера, на который установлен сессионный Агент
`METRICS`	`URL_BALANCER`	`Не задано`	Параметр необходимо задать для работы аутентификации по билету Kerberos на терминальных серверах MS RDS. URL-адрес «Универсального диспетчера» с любой из ролей: «Портал администратора», «Портал пользователя», «Портал универсальный». Для распределенной установки Termidesk указывается узел балансировщика, который будет перенаправлять подключение на нужный узел «Универсального диспетчера». Если значение в параметре не задано, то для отправки сообщений будет использоваться IP-адрес «Универсального диспетчера» из БД сессионного Агента, который записывается при автоматической регистрации со стороны «Универсального диспетчера». Для распределенной установки Termidesk следует указывать значение этого параметра в конфигурационном файле. Необходимо учесть, что узел «Универсального диспетчера» должен уметь разрешать FQDN узла сессионного Агента в IP-адрес. Для этого необходимо, чтобы на DNS-сервере были добавлены записи типа «A» и «PTR». Примеры: `URL_BALANCER = https://192.168.0.2` `URL_BALANCER = https://disp.termidesk.ru` `URL_BALANCER = http://192.168.0.2`
`SESSION`	`REMOVE_INACTIVE_SESSION_FREQUENCY`	`30`	Параметр действует только на компонент «Сервер терминалов Astra Linux». Периодичность (в секундах) запуска задачи удаления неактивных сессий
`SESSION`	`APPS_SHARING_SESSIONS`	`None`	Параметр действует только на компонент «Сервер терминалов Astra Linux» и используется для запуска приложений, использующих профили пользователя. Список многопрофильных приложений, которые должны быть открыты в том же окне ПО Termidesk Viewer. По умолчанию список не задан и приложения открываются в новых окнах ПО Termidesk Viewer. Если приложение из списка повторно запускается пользователем, то новая сессия будет запущена в рамках уже существующей, а уникальный идентификатор запуска ресурса новой сессии перестанет существовать, будет использоваться ранее назначенный. Для перечисления нескольких приложений следует использовать разделитель - запятую. Пример: `APPS_SHARING_SESSIONS = chromium,yandexbrowser`
`SSL`	`USE_HTTPS`	`False`	Управление запуском сессионного Агента в режиме использования протокола HTTPS. Возможные значения: `True` - используется протокол HTTPS, запросы по протоколу HTTP не обрабатываются; `False` - используется протокол HTTP. Необходимо настроить «Портал администратора» на использование протокола HTTP, скорректировав файл `/etc/apache2/sites-available/termidesk.conf` (см. подраздел Перенаправление на HTTPS документа СЛЕТ.10001-01 90 02 «Руководство администратора. Настройка программного комплекса»)
`SSL`	`MTLS_MODE`	0	Режим mTLS для защищенного подключения и взаимной аутентификации. Возможные значения: `0` - сертификаты игнорируются, их проверка не производится. В этом режиме mTLS не используется; `1` - нестрогий режим проверки сертификата. Проверка выполняется, но если сертификат не предоставлен, или он недействительный, или возникли ошибки при его проверке, то это не приведет к разрыву соединения; `2` - строгий режим проверки сертификата. Предоставление действительных сертификатов обязательно. Соединение сбрасывается, если сертификат не прошел проверку
`SSL`	`CIPHERS`	TLSv1.2	Протокол подключения для mTLS. Возможные значения: `TLSv1.2`; `TLSv1.3`
`SSL`	`CA_CERTIFICATE_PATH`	`Не задано`	Путь к корневому сертификату mTLS
`SSL`	`CLIENT_CERTIFICATE_PATH`	`Не задано`	Путь к клиентскому сертификату mTLS
`SSL`	`CLIENT_PRIVATE_KEY_PATH`	`Не задано`	Путь к клиентскому закрытому ключу mTLS. Ключ может иметь парольную защиту. Для использования ключа нужно преобразовать его к начальному значению: `openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>`
`SSL`	`СERTIFICATE_PATH`	`/etc/opt/termidesk-session-agent/certs/cert.pem` или `C:\ProgramData\UVEON\Termidesk Session Agent\certs\cert.pem`	Путь до SSL-сертификата. Для ОС Astra Linux Special Edition: `/etc/opt/termidesk-session-agent/certs/cert.pem`. Для ОС Microsoft Windows Server: `C:`\`ProgramData\UVEON\Termidesk Session Agent\certs\cert.pem`
`SSL`	`PRIVATE_KEY_PATH`	`/etc/opt/termidesk-session-agent/certs/key.pem` или `C:\ProgramData\UVEON\Termidesk Session Agent\certs/key.pem`	Путь до закрытого ключа. Для ОС Astra Linux Special Edition: `/etc/opt/termidesk-session-agent/certs/key.pem`. Для ОС Microsoft Windows Server: `C:\ProgramData\UVEON\Termidesk Session Agent\certs/key.pem`
`LOGGING`	`LEVEL`	`INFO`	Уровень журналирования. Допустимые значения: `NOTSET`, `DEBUG`, `INFO`, `WARNING`, `ERROR`, `CRITICAL`
`LOGGING`	`ROTATION_LIMIT`	`5`	Максимальное количество файлов журналов. После достижения предела, происходит сжатие журналов в архив
`LOGGING`	`MAX_FILE_SIZE`	`2097152`	Максимальный размер файла журнала (в байтах)
`LOGGING`	`LOG_DIR`	`/var/log/termidesk`	Задает каталог хранения журналов сессионного Агента. Пример: администратор хочет изменить место хранения журналов сессионного Агента. Для этого администратору нужно: создать нужный каталог. Каталог должен обладать свойствами: права доступа: `rwxr-xr-x` (в восьмеричной записи - `755`); владелец и группа: `termidesk:termidesk`; задать параметру новое значение; перезапустить службу `termidesk-session-agent`: `sudo systemctl restart termidesk-session-agent` BASH
`LOGGING`	`SEND_LOGS_TO_REPEATER`	`False`	Управление отправкой журналов событий на компонент «Ретранслятор». Возможные значения: `True` - события отправляются на компонент «Ретранслятор»; `False` - события не отправляются на компонент «Ретранслятор»