Параметры конфигурирования «Агрегатора»Link to Параметры конфигурирования «Агрегатора»

Для настройки «Агрегатора» используется конфигурационный файл /etc/opt/termidesk-vdi/termidesk.conf.

При установке пакета termidesk-vdi возможно активировать режим отладки через переменную окружения  TDSK_PKG_DEBUG=1.

Полный перечень параметров, задающихся через файл, приведен в таблице. 

Указанные параметры можно поменять также через утилиту termidesk-config (см. подраздел Утилита termidesk-config).

Параметры конфигурирования «Агрегатора»

ПараметрЗначение по умолчаниюОписание

Настройки параметров перемещаемых профилей

TDSK_AUTOFS_IMAGES_ID Не задано

Параметр может быть задан на узлах «Универсального диспетчера».

Используется для настройки шаблонов перемещаемых профилей. В качестве значения используются идентификаторы дисков.

Пример: TDSK_AUTOFS_IMAGES_ID=xx[,yy[,zz[,...]]]

Настройки подключения к СУБД

DB_CLUSTER_MODEНе задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет тип установки СУБД, к которой осуществляется подключение.

Возможные значения: 

  • single - подключение производится к отдельному серверу СУБД;
  • cluster - подключение производится к кластеру СУБД, адреса нод которого заданы в DBHOST, DBHOST2, DBHOST3. Termidesk будет последовательно обращаться к заданным адресам нод, пока не подключится к мастер-ноде
DBHOST Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет IP-адрес или FQDN СУБД PostgreSQL.

Начальное значение задается на этапе подготовке среды функционирования и установки Termidesk

DBHOST2Не задано

Параметр необязательный, может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет IP-адрес или FQDN дополнительного узла СУБД PostgreSQL, если используется подключение к кластеру СУБД (см. параметр DB_CLUSTER_MODE).

Начальное значение задается на этапе установки Termidesk

DBHOST3Не задано

Параметр необязательный, может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет IP-адрес или FQDN дополнительного узла СУБД PostgreSQL, если используется подключение к кластеру СУБД (см. параметр DB_CLUSTER_MODE).

Начальное значение задается на этапе установки Termidesk

DBPORT 5432

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест»,  «Агрегатора».

Определяет порт соединения с сервером БД

DBSSL Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет протокол подключения к БД.

Возможные значения: 

  • Disable;
  • TLSv1.2;
  • TLSv1.3.

Начальное значение задается на этапе установки Termidesk

DBNAME Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет имя БД.

Начальное значение задается на этапе подготовки среды функционирования перед установкой Termidesk

DBUSER Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет имя пользователя, имеющего доступ к БД.

Начальное значение задается на этапе подготовки среды функционирования перед установкой Termidesk

DBPASS Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет пароль пользователя, имеющего доступ к БД.

Начальное значение задается на этапе подготовки среды функционирования во время установки Termidesk и хранится в конфигурационном файле /etc/opt/termidesk-vdi/termidesk.conf в преобразованном виде.

В стандартных установках значения менять не следует.

Чтобы получить преобразованное значение пароля, следует воспользоваться утилитой scramble:

  • для получения значения по стандартному алгоритму: /opt/termidesk/bin/scramble --value <пароль> --type AES256;
  • для получения значения с увеличенным числом итераций преобразования: /opt/termidesk/bin/scramble --value <пароль> --type AES256_V2.

Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value:

/opt/termidesk/bin/scramble --value=<-пароль> --type AES256

Утилита scramble использует в качестве вектора преобразования значение из файла /etc/opt/termidesk-vdi/termidesk.cookie. Значение генерируется автоматически на этапе установки Termidesk

DBCERT Не задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к клиентскому сертификату mTLS для защищенного подключения к БД.

mTLS - метод обеспечения защищенного соединения с БД через двустороннюю аутентификацию с использованием сертификатов.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

DBCERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

DBKEY Не задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к ключу mTLS для защищенного подключения к БД. 

Ключ может иметь парольную защиту. Для использования ключа нужно преобразовать его к начальному значению:

openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>

Для использования ключа также нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key

Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища:

DBKEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'

DBCHAIN Не задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к промежуточному сертификату mTLS для защищенного подключения к БД.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

DBCHAIN='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/ca'

Настройка проверки данных при взаимодействии компонентов Termidesk

DJANGO_SECRET_KEY Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Используется для проверки данных, пересылаемых между компонентами Termidesk. Значение генерируется при установке Termidesk и должно быть одинаковым для всех узлов при распределенной установке

Настройка подключения к RabbitMQ

RABBITMQ_URL Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет URL-адрес подключения к серверам RabbitMQ. Можно подключить до трех (включительно) серверов.

Пароль подключения к серверу RabbitMQ, указанный в RABBITMQ_URL, хранится в конфигурационном файле /etc/opt/termidesk-vdi/termidesk.conf в преобразованном виде. 

Чтобы получить преобразованное значение пароля, следует воспользоваться утилитой scramble:

  • для получения значения по стандартному алгоритму:

/opt/termidesk/bin/scramble --value <пароль> --type AES256

  • для получения значения с увеличенным числом итераций преобразования:

/opt/termidesk/bin/scramble --value <пароль> --type AES256_V2

Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value:

/opt/termidesk/bin/scramble --value=<-пароль> --type AES256

Для использования преобразованного значения следует указать его в RABBITMQ_URL и выполнить перезапуск служб.

Начальное значение RABBITMQ_URL задается на этапе установки

RABBITMQ_SSL Не задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест»,  «Агрегатора».

Определяет протокол подключения к RabbitMQ.

Возможные значения: Disable, TLSv1.2.

Начальное значение задается на этапе установки

Настройки защищенного подключения к RabbitMQ

CELERY_BROKER_CERTНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к клиентскому сертификату mTLS для защищенного подключения к RabbitMQ.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

CELERY_BROKER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

CELERY_BROKER_KEYНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к закрытому ключу mTLS  для защищенного подключения к RabbitMQ.

Ключ может иметь парольную защиту. Для использования в Termidesk нужно преобразовать его к начальному значению:

openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>

Для использования ключа также нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key

Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сключа из хранилища: 

CELERY_BROKER_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'

CELERY_BROKER_CAНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к корневому сертификату ЦС mTLS для защищенного подключения к RabbitMQ.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

CELERY_BROKER_CA='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/ca'

Настройки установленных ролей Termidesk

NODE_ROLES Не задано

Параметр обязателен и задается на этапе установки.

Определяет тип роли, с которой будет установлен Termidesk. Возможные значения: 

  • ADMIN - роль «Портал администратора»;
  • USER - роль «Портал пользователя»;
  • CELERYMAN - роль «Менеджер рабочих мест»;
  • AGGR_ADM - роль «Агрегатор администратора»;
  • AGGR_USR - роль «Агрегатор пользователя».

Установка ролей «Агрегатор администратора» и/или «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и/или «Портала пользователя».

Таким образом одновременно на одном узле могут быть заданы роли:

  • либо ADMIN и (или) USER;
  • либо AGGR_ADM и (или) AGGR_USR.

При переустановке значение параметра в конфигурационном файле будет перезаписано

Настройки журналирования

LOG_LEVEL INFO

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет уровень журналирования сообщений.

Возможные значения: DEBUG, INFO, WARNING, ERROR, CRITICAL

LOG_ADDRESS /dev/log

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет адрес отправки записей в системный журнал. Обычно это /dev/log для Linux-систем. Возможно указать IP-адрес и порт

LOG_FACILITY local3

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет категорию сообщений syslog.

Категория должна совпадать с настройками в конфигурационном файле /etc/syslog-ng/conffirst.d/termidesk.conf

Настройки токена доступа к API для проверок состояния служб Termidesk

HEALTH_CHECK_ACCESS_KEY Не задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет токен доступа к API проверки состояния сервера.  Начальное значение генерируется на этапе установки.

При задании значения параметра следует руководствоваться правилом, что:

  • размер должен составлять от 0 до 64 символа;
  • должны использоваться символы в шестнадцатеричной системе (0-9, a-f).

Значение также может быть сгенерировано через openssl

openssl rand -hex 32

Настройки токена доступа к API получения метрик узла 

METRICS_ACCESS_KEYНе задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет токен доступа к API получения метрик узла.  Начальное значение генерируется на этапе установки.

При задании значения параметра следует руководствоваться правилом, что:

  • размер должен составлять от 0 до 64 символа;
  • должны использоваться символы в шестнадцатеричной системе (0-9, a-f).

Значение также может быть сгенерировано через openssl

openssl rand -hex 32

Настройки защищенного подключения для проверок состояния служб «Менеджера рабочих мест»

HEALTH_CHECK_CERTНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора» (в зависимости от варианта установки).

Определяет путь к сертификату SSL/TLS для защищенного подключения к API проверки состояния служб «Менеджера рабочих мест».

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

HEALTH_CHECK_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

HEALTH_CHECK_KEYНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора» (в зависимости от варианта установки).

Определяет путь к ключу SSL/TLS для защищенного подключения к API проверки состояния служб «Менеджера рабочих мест».

Ключ может иметь парольную защиту. Для использования ключа нужно преобразовать его к начальному значению:

openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>

Для использования ключа также нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key

Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища: 

HEALTH_CHECK_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'

Настройки компонента  «Менеджер рабочих мест» (службы termidesk-celery-beat)

CELERY_BEAT_HEALTH_CHECK_PORT 8103

Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест».

Определяет порт, на котором работает веб-сервер для обслуживания API проверки состояния компонента «Менеджер рабочих мест».

Изначально параметр закомментирован (используется значение по умолчанию)

CELERY_BEAT_HEALTH_CHECK_IP0.0.0.0

Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест».

Определяет IP-адрес, с которым служба termidesk-celery-beat регистрируется в подсистеме проверки состояния на странице «Инфраструктура» Termidesk. Опрос состояния службы будет проводиться по этому адресу. Если IP-адрес не задан, то будет использоваться имя (hostname) или FQDN узла.

Изначально параметр закомментирован (используется значение по умолчанию)

Настройки компонента  «Менеджер рабочих мест» (службы termidesk-celery-worker)

CELERY_WORKER_HEALTH_CHECK_PORT 8104

Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест».

Определяет порт, на котором работает веб-сервер для обслуживания API проверки состояния компонента «Менеджер рабочих мест».

Изначально параметр закомментирован (используется значение по умолчанию)

CELERY_WORKER_HEALTH_CHECK_IP0.0.0.0

Параметр обязателен и задается на узлах с установленным «Менеджером рабочих мест».

Определяет  IP-адрес, с которым служба termidesk-celery-worker регистрируется в подсистеме проверки состояния на странице «Инфраструктура». Опрос состояния службы будет проводиться по этому адресу. Если IP-адрес не задан, то будет использоваться имя (hostname) или FQDN узла.

Изначально параметр закомментирован (используется значение по умолчанию)

Настройки подключения к серверу «Удаленного помощника»

REMOTE_ASSISTANT_SERVER_CERT

Не задано

Параметр может быть задан на узлах «Универсального диспетчера», «Агрегатора».

Определяет путь к серверному сертификату SSL/TLS для проверки подключения к «Удаленному помощнику».

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

REMOTE_ASSISTANT_SERVER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

Настройки доверенных корневых сертификатов

REQUESTS_CA_BUNDLEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к файлу с доверенным корневым сертификатом, задается для настройки работы с сертификатами собственных ЦС.

По умолчанию параметр не используется (закомментирован)

Настройки принятия лицензионного соглашения

EULA_ACCEPTEDНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет принятие лицензионного соглашения при установке. В случае автоматизированной установки наличие параметра обязательно

Настройки взаимодействия между узлами «Агрегатора» и «Универсального диспетчера»

AGGREGATOR_JWT_SSL_CERTНе задано

Параметр может быть задан на узлах «Универсального диспетчера», использующихся в фермах, подключаемых к «Агрегатору». Обязателен для заполнения в случае, если в инфраструктуре также используется «Агрегатор».

Определяет путь к сертификату для получения значения JWT-токена «Агрегатора»/

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

AGGREGATOR_JWT_SSL_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

AGGREGATOR_JWT_SSL_CERT_SECONDНе задано

Параметр может быть задан на узлах «Универсального диспетчера», использующихся в фермах, подключаемых к «Агрегатору». Обязателен для заполнения в случае, если в инфраструктуре также используется «Агрегатор».

Определяет путь к резервному сертификату для получения значения JWT-токена «Агрегатора».

Если сертификат, заданный в AGGREGATOR_JWT_SSL_CERT, станет невалидным, то будет использоваться сертификат, указанный в AGGREGATOR_JWT_SSL_CERT_SECOND.

 Для использования сертификата нужно:

 скопировать его в каталог /etc/opt/termidesk-vdi/;

  • назначить владельцем файла пользователя termidesk:

 sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem

 изменить права на файл:

 sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem

 установить корневой сертификат ЦС (см. подраздел Установка корневого сертификата центра сертификации), если ранее он не был установлен.

 Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

 AGGREGATOR_JWT_SSL_CERT_SECOND='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pemsecond'

AGGREGATOR_JWT_SSL_KEYНе задано

Параметр обязателен и задается на узлах с установленным «Агрегатором» (портал «Агрегатор пользователя»).

Определяет путь к ключу для подписи JWT-токена «Агрегатора».

Для использования ключа также нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key

Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания ключа из хранилища: 

AGGREGATOR_JWT_SSL_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'

AGGREGATOR_ACCESS_TOKEN_TITLETermidesk JWT Title

Параметр обязателен и должен быть одинаковым на всех узлах, работающих совместно: на «Агрегаторе»  (портал «Агрегатор пользователя»), на «Универсальных диспетчерах», подключаемых к «Агрегатору».

Задает заголовок JWT-токена, предназначенный для настройки взаимодействия между «Агрегатором» и «Универсальным диспетчером»

AGGREGATOR_ACCESS_TOKEN_TTL_SECONDS600

Параметр обязателен и задается на узлах с установленным «Агрегатором».

Определяет времени жизни (в секундах) JWT-токена, подписанного «Агрегатором»

AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS672

Параметр обязателен и задается на узлах с установленным «Агрегатором».

Определяет время жизни (в часах) кеша иконок фондов РМ. По истечении этого времени иконка обновляется

Настройки подключения к хранилищу паролей OpenBao

SECRETS_STORAGE_METHODНе задано

Параметр обязателен и задается на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет способ хранения паролей подключения к СУБД и RabbitMQ:

  • config - пароли будут храниться в преобразованном виде в файле /etc/opt/termidesk-vdi/termidesk.conf;
  • hvac - для хранения паролей будет использоваться хранилище паролей OpenBao или Hashicorp Vault (хранилище должно быть заранее создано и настроено). Подробная информация по этому способу хранения паролей приведена в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac» документа MultiExcerpt именем Децимальный номер не найден -- Проверьте имя страницы и имя MultiExcerpt используемые в MultiExcerpt-Include 90 02 «Руководство администратора. Настройка программного комплекса»;
  • openbao - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено). При этом пароли располагаются внутри хранилища, имена контейнеров хранения генерируются автоматически.

Хранилище паролей OpenBao должно быть реализовано в отказоустойчивом варианте, иначе Termidesk не будет работать в период простоя узлов OpenBao.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_URLНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет IP-адреса или FQDN узла и порта с установленным хранилищем OpenBao.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Формат: http://<IP-адрес или FQDN>:8200. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_TOKENНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет токен (Initial Root Token), сформированный при инициализации хранилища OpenBao.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки и хранится в конфигурационном файле /etc/opt/termidesk-vdi/termidesk.conf в преобразованном виде.

Для преобразования значения параметра, заданного вручную, следует воспользоваться утилитой scramble:

  • для получения значения по стандартному алгоритму:

/opt/termidesk/bin/scramble --value <пароль> --type AES256

  •  для получения значения с увеличенным числом итераций преобразования:

/opt/termidesk/bin/scramble --value <пароль> --type AES256_V2

Если значение пароля указывается в формате ключа (значение предваряется символом «-»), то следует изменить его передачу в параметр--value:

/opt/termidesk/bin/scramble --value=<-пароль> --type AES256

SECRETS_OPENBAO_DB_PATHНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь, настроенный на OpenBao для хранения пароля СУБД.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_DB_ROLE_NAMEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет роль, настроенную на OpenBao и имеющую доступ к паролю СУБД.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_RABBITMQ_PATHНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора»».

Определяет путь, настроенный на OpenBao для хранения пароля RabbitMQ.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_RABBITMQ_ROLE_NAMEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет роль, настроенную на OpenBao и имеющую доступ к паролю RabbitMQ.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_CLIENT_CERTНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к сертификату mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.crt

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.crt

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

SECRETS_OPENBAO_CLIENT_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

SECRETS_OPENBAO_CLIENT_KEYНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к ключу mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы.

Ключ может иметь парольную защиту. Для использования ключа в Termidesk нужно преобразовать его к начальному значению:

openssl rsa -in <путь_к_файлу_ключа.key> -out <путь_сохранения_преобразованного_ключа.key>

Для использования ключа также нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.key

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.key

Ключ может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

SECRETS_OPENBAO_CLIENT_KEY='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/key'

SECRETS_OPENBAO_SERVER_CERTНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь к промежуточному сертификату ЦС mTLS для защищенного подключения к OpenBao. OpenBao должен быть настроен соответствующим образом. Пример конфигурации OpenBao приведен после таблицы.

Для использования сертификата нужно:

  • скопировать его в каталог /etc/opt/termidesk-vdi/;
  • назначить владельцем файла пользователя termidesk:

sudo chown termidesk:termidesk /etc/opt/termidesk-vdi/<имя>.pem

  • изменить права на файл:

sudo chmod 600 /etc/opt/termidesk-vdi/<имя>.pem

Сертификат может быть расположен в специальном хранилище паролей, в этом случае указывается путь к нему (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»). Пример задания сертификата из хранилища: 

SECRETS_OPENBAO_SERVER_CERT='hvac-kv://secret#termidesk-admin/ssl-cert-snakeoil/pem'

SECRETS_OPENBAO_TERMIDESK_PATHНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет путь, настроенный на OpenBao для хранения паролей Termidesk.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_TERMIDESK_ROLE_NAMEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет роль, настроенную на OpenBao и имеющую доступ к паролям Termidesk.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_KV_VERSION1

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Используется для указания версии API OpenBao.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Возможные значения:

  • 1 (по умолчанию);
  • 2.

Начальное значение задается на этапе установки

SECRETS_OPENBAO_CACHE_LIFETIME5

Параметр может быть задан на узлах «Универсального диспетчера», «Менеджера рабочих мест», «Агрегатора».

Определяет время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти. Позволяет сохранить полученный от OpenBao пароль на некоторое время в кеше для сокращения количества обращений к OpenBao.

Параметр задается, если для SECRETS_STORAGE_METHOD задано значение openbao или hvac.

Начальное значение задается на этапе установки

Настройки взаимодействия с узлом «Ретранслятора»

FLUENTD_CACHE15

Параметр может быть задан на узлах «Универсального диспетчера».

Определяет время (в секундах) кеширования параметров подключения к узлу «Ретранслятора». 

По умолчанию после установки время кеширования составляет 15 секунд.

В случае, если нужно изменить значение, следует раскомментировать параметр и задать ему новое значение

FLUENTD_TABLElogs

Параметр может быть задан на узлах «Универсального диспетчера».

Определяет таблицу хранения событий фермы Termidesk.

По умолчанию после установки «Универсальный диспетчер» обращается к таблице «logs» БД «Ретранслятора».

В случае, если в БД «Ретранслятора» для хранения событий используется другая таблица, следует раскомментировать параметр и указать новое имя таблицы

Настройки «Шлюза»

WSPROXY_PUB_KEY_FILEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Агрегатора».

Задает путь к открытому ключу id_rsa.pub. Используется для подписи токенов при взаимной аутентификации «Шлюза» и «Универсального диспетчера», «Агрегатора».

По умолчанию создается при первой установке и хранится в каталоге /etc/opt/termidesk-vdi/wsproxy. Явно задавать путь следует только при использовани внешнего хранилища (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»).

Пример: 

WSPROXY_PUB_KEY_FILE='hvac-kv://secret#termidesk-admin/wsproxy/pub'

WSPROXY_PRIV_KEY_FILEНе задано

Параметр может быть задан на узлах «Универсального диспетчера», «Агрегатора».

Задает путь к закрытому ключу id_rsa. Используется для подписи токенов при взаимной аутентификации «Шлюза» и «Универсального диспетчера», «Агрегатора».

По умолчанию создается при первой установке и хранится в каталоге /etc/opt/termidesk-vdi/wsproxy. Явно задавать путь следует только при использовани внешнего хранилища (см. подраздел Хранение чувствительной информации с выбранным способом хранения «hvac»).

Пример: 

WSPROXY_PRIV_KEY_FILE='hvac-kv://secret#termidesk-admin/wsproxy/priv'