Утилита termidesk-config
Утилита termidesk-config
Утилита termidesk-config
используется для переопределения настроек, заданных на этапе установки и вносит изменения в конфигурационный файл /etc/opt/termidesk-vdi/termidesk.conf
(см. подраздел Параметры конфигурирования компонентов «Универсальный диспетчер», «Менеджер рабочих мест»).
Для вызова утилиты следует:
- в интерфейсе командной строки перейти в каталог
/opt/termidesk/sbin/
:
cd /opt/termidesk/sbin/
- выполнить запуск:
sudo ./termidesk-config
- откроется интерфейс утилиты.
Доступны следующие функции утилиты:
- «Выбор способа хранения паролей»: позволяет настроить способ хранения паролей подключения к СУБД и RabbitMQ (параметр
SECRETS_STORAGE_METHOD
):- «config» - пароли будут храниться в преобразованном виде в файле
/etc/opt/termidesk-vdi/termidesk.conf
; - «openbao» - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено).
- «config» - пароли будут храниться в преобразованном виде в файле
В случае выбора «openbao» необходимо выполнить настройку подключения к хранилищу через функцию «Настройка хранилища OpenBao»;
- «Настройка хранилища OpenBao»: позволяет настроить параметры подключения к хранилищу и задать параметры, настроенные непосредственно на хранилище:
- «URL хранилища» - IP-адрес или FQDN узла и порт с установленным хранилищем OpenBao (параметр
SECRETS_OPENBAO_URL
). Формат:http://<IP-адрес>:8200 или http://<FQDN>:8200
. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом; - «Версия API OpenBao» - установленная версия API на OpenBao (параметр
SECRETS_OPENBAO_KV_VERSION
). Может принимать значения: «1» или «2»; - «Токен доступа к хранилищу» - токен (Initial Root Token), который был сформирован при инициализации хранилища (параметр
SECRETS_OPENBAO_TOKEN
); - «Путь к паролю СУБД» - путь, настроенный на OpenBao для хранения пароля СУБД (параметр
SECRETS_OPENBAO_DB_PATH
); - «Роль доступа к паролю СУБД» - роль, настроенная на OpenBao, которая имеет доступ к паролю СУБД (параметр
SECRETS_OPENBAO_DB_ROLE_NAME
); - «Путь к паролям RabbitMQ» - путь, настроенный на OpenBao для хранения пароля RabbitMQ (параметр
SECRETS_OPENBAO_RABBITMQ_PATH
); - «Роль доступа к паролям RabbitMQ» - роль, настроенная на OpenBao, которая имеет доступ к паролю RabbitMQ (параметр
SECRETS_OPENBAO_RABBITMQ_ROLE_NAME
); - «Путь к паролям Termidesk» - путь, настроенный на OpenBao для хранения пароля Termidesk (параметр
SECRETS_OPENBAO_TERMIDESK_PATH
); - «Роль доступа к паролям Termidesk» - роль, настроенная на OpenBao, которая имеет доступ к паролю Termidesk (параметр
SECRETS_OPENBAO_TERMIDESK_ROLE_NAME
); - «Время кеширования паролей, сек» - время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти (параметр
SECRETS_OPENBAO_CACHE_LIFETIME
);
- «URL хранилища» - IP-адрес или FQDN узла и порт с установленным хранилищем OpenBao (параметр
- «Выбор способа подключения к СУБД»: позволяет выбрать протокол при подключении к СУБД (параметр
DBSSL
); - «Настройка подключения к СУБД»: позволяет настроить параметры подключения к СУБД:
- «Адрес СУБД» - IP-адрес или FQDN СУБД PostgreSQL (параметр
DBHOST
); - «Порт СУБД» - порт, который используется для соединения с сервером БД (параметр
DBPORT
); - «Имя базы данных» - имя БД (параметр
DBNAME
); - «Имя пользователя» - имя пользователя для подключения к БД (параметр
DBUSER
); - «Пароль» - пароль пользователя в открытом виде (параметр
DBPASS
);
- «Адрес СУБД» - IP-адрес или FQDN СУБД PostgreSQL (параметр
- «Выбор способа подключения к RabbitMQ»: позволяет выбрать протокол при подключении к RabbitMQ (параметр
RABBITMQ_SSL
); - «Настройка подключения к RabbitMQ»: позволяет настроить параметры подключения к RabbitMQ (параметр
RABBITMQ_URL
). При запросе пароль задается в открытом виде; - «Настройка журналирования»: позволяет настроить параметры журналирования, такие как «Адрес логгера» (параметр
LOG_ADDRESS
), «Поток (facility) журнала» (параметрLOG_FACILITY
); - «Подробность отладочных сообщений в журналах»: позволяет выбрать уровень подробности отладочных сообщений (параметр
LOG_LEVEL
); - «Пересоздание ключа DJANGO»: позволяет переопределить значение ключа DJANGO (параметр
DJANGO_SECRET_KEY
), создаваемого на этапе установки. Переопределение ключа может понадобиться при его компрометации; - «Пересоздание я токена проверки состояния служб»: позволяет переопределить значение токена проверки состояния служб (параметр
HEALTH_CHECK_ACCESS_KEY
). Переопределение токена может понадобиться при его компрометации; - «Пересоздание токена проверки метрик служб»: позволяет переопределить значение токена проверки метрики служб (параметр
METRICS_ACCESS_KEY
). Переопределение токена может понадобиться при его компрометации; - «Изменение GID встроенных администраторов»: позволяет назначить идентификатор группы, использующегося для встроенного домена. Изменение идентификатора может понадобиться, если встроенная в ОС группа администраторов отличается от
astra-admin (1001)
или если нужно предоставить права администрирования Termidesk группе непривилегированных пользователей; - «Настройки Агрегатора»: позволяет переопределить настройки портала «Агрегатор»:
- «Время жизни токена Агрегатора, секунд» - время жизни JWT-токена (параметр
AGGREGATOR_ACCESS_TOKEN_TTL_SECONDS
, доступная для изменения только на узле с установленным порталом «Агрегатор»); - «Заголовок JWT-токена Агрегатора» - заголовок JWT-токена, предназначенный для настройки взаимодействия между порталом «Агрегатор» и «Универсальным диспетчером». Параметр должен быть одинаковым на всех узлах, работающих совместно: на порталах «Агрегатора», на «Универсальных диспетчерах» (параметр
AGGREGATOR_ACCESS_TOKEN_TITLE
); - «Время кеширования иконок фондов, часов» - время жизни кеша иконок фондов (параметр
AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS
);
- «Время жизни токена Агрегатора, секунд» - время жизни JWT-токена (параметр
- «Роли сервера»: позволяет изменить роли, которые запускаются на узле. Доступные роли: «Портал администратора», «Портал пользователя», «Менеджер рабочих мест», «Менеджер рабочих мест (очереди)», «Агрегатор администратора», «Агрегатор пользователя»;
- «Перезапуск служб» - позволяет выполнить перезапуск служб Termidesk;
- «Сертификаты» - позволяет выполнить настройку сертификатов и ключей:
Пункт «Серт. для расшифровки JWT-токена» настраивается только на узле с установленным «Универсальным диспетчером» («Портал администратора» и (или) «Портал пользователя») фермы Termidesk.
Пункт «Прив. ключ для подписи JWT-токена» настраивается только на узле портала «Агрегатор» («Агрегатор администратора» и (или) «Агрегатор пользователя»).
Оставшиеся пункты могут быть настроены на обоих узлах индивидуально.
- «Cертификат Health Check» - путь к сертификату для защищенного подключения к API проверки состояния (параметр
HEALTH_CHECK_CERT
); - «Секр. ключ Health Check» - путь к ключу для защищенного подключения к API проверки состояния (параметр
HEALTH_CHECK_KEY
); - «Сертификат Postgres mTLS» - путь к сертификату для защищенного подключения к СУБД (параметр
DBCERT
); - «Секр. ключ Postgres mTLS» - путь к ключу для защищенного подключения к СУБД (параметр
DBKEY
); - «Серт. промеж. ЦС Postgres mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к СУБД (параметр
DBCHAIN
); - «Сертификат OpenBao mTLS» - путь к сертификату для защищенного подключения к OpenBao (параметр
SECRETS_OPENBAO_CLIENT_CERT
); - «Секр. ключ OpenBao mTLS» - путь к ключу для защищенного подключения к OpenBao (параметр
SECRETS_OPENBAO_CLIENT_KEY
); - «Серт. промеж. ЦС OpenBao mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к OpenBao (параметр
SECRETS_OPENBAO_SERVER_CERT
); - «Осн. серт. для расшифровки JWT-токена» - путь к сертификату для получения значения JWT-токена портала «Агрегатор» (параметр
AGGREGATOR_JWT_SSL_CERT
); - «Рез. серт. для расшифровки JWT-токена» - путь к резервному сертификату для получения значения JWT-токена портала «Агрегатор» (параметр
AGGREGATOR_JWT_SSL_CERT_SECOND
); - «Секр. ключ для подписи JWT-токена» - путь к ключу для подписи JWT-токена портала «Агрегатор» (параметр
AGGREGATOR_JWT_SSL_KEY
).
- «Cертификат Health Check» - путь к сертификату для защищенного подключения к API проверки состояния (параметр
Установка ролей «Агрегатор администратора» и (или) «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и (или) «Портала пользователя», «Менеджера рабочих мест».
Смена ролей через функцию «Роли сервера» в этом случае не предусмотрена: нельзя ранее установленные «Портал администратора» и (или) «Портал пользователя» перенастроить на использование ролей «Агрегатор администратора» и (или) «Агрегатор пользователя».
Роль «Менеджер рабочих мест» не должна устанавливаться с «Агрегатором администратора» и (или) «Агрегатором пользователя».
Роль «Менеджер рабочих мест» (очереди) устанавливается с «Агрегатором администратора» и (или) «Агрегатором пользователя».
- «Перезапуск служб»: позволяет выполнить перезапуск служб Termidesk.
После выполнения изменений в любом из разделов рекомендуется воспользоваться пунктом «Перезапуск служб» для применения изменений.