Утилита termidesk-config

Утилита termidesk-config

Утилита termidesk-config используется для переопределения настроек, заданных на этапе установки и вносит изменения в конфигурационный файл /etc/opt/termidesk-vdi/termidesk.conf (см. подраздел Параметры конфигурирования компонентов «Универсальный диспетчер», «Менеджер рабочих мест»).

Для вызова утилиты следует:

  • в интерфейсе командной строки перейти в каталог /opt/termidesk/sbin/:
cd /opt/termidesk/sbin/
  • выполнить запуск:
sudo ./termidesk-config

Интерфейс утилиты termidesk-config

Доступны следующие функции утилиты:

  • «Выбор способа хранения паролей»: позволяет настроить способ хранения паролей подключения к СУБД и RabbitMQ (параметр SECRETS_STORAGE_METHOD):
    • «config» - пароли будут храниться в преобразованном виде в файле /etc/opt/termidesk-vdi/termidesk.conf;
    • «openbao» - для хранения паролей будет использоваться хранилище паролей OpenBao (хранилище должно быть заранее создано и настроено).

В случае выбора «openbao» необходимо выполнить настройку подключения к хранилищу через функцию «Настройка хранилища OpenBao»;

  • «Настройка хранилища OpenBao»: позволяет настроить параметры подключения к хранилищу и задать параметры, настроенные непосредственно на хранилище:
    • «URL хранилища» - IP-адрес или FQDN узла и порт с установленным хранилищем OpenBao (параметр SECRETS_OPENBAO_URL). Формат: http://<IP-адрес>:8200 или http://<FQDN>:8200. Подключение может выполняться по протоколу HTTPS, если OpenBao настроен соответствующим образом;
    • «Версия API OpenBao» - установленная версия API на OpenBao (параметр SECRETS_OPENBAO_KV_VERSION). Может принимать значения: «1» или «2»;
    • «Токен доступа к хранилищу» - токен (Initial Root Token), который был сформирован при инициализации хранилища (параметр SECRETS_OPENBAO_TOKEN);
    • «Путь к паролю СУБД» - путь, настроенный на OpenBao для хранения пароля СУБД (параметр SECRETS_OPENBAO_DB_PATH);
    • «Роль доступа к паролю СУБД» - роль, настроенная на OpenBao, которая имеет доступ к паролю СУБД (параметр SECRETS_OPENBAO_DB_ROLE_NAME);
    • «Путь к паролям RabbitMQ» - путь, настроенный на OpenBao для хранения пароля RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_PATH);
    • «Роль доступа к паролям RabbitMQ» - роль, настроенная на OpenBao, которая имеет доступ к паролю RabbitMQ (параметр SECRETS_OPENBAO_RABBITMQ_ROLE_NAME);
    • «Путь к паролям Termidesk» - путь, настроенный на OpenBao для хранения пароля Termidesk  (параметр SECRETS_OPENBAO_TERMIDESK_PATH);
    • «Роль доступа к паролям Termidesk» - роль, настроенная на OpenBao, которая имеет доступ к паролю Termidesk (параметр SECRETS_OPENBAO_TERMIDESK_ROLE_NAME);
    • «Время кеширования паролей, сек» - время (в секундах) хранения пароля, полученного от OpenBao, во внутренней памяти (параметр SECRETS_OPENBAO_CACHE_LIFETIME);
  • «Выбор способа подключения к СУБД»: позволяет выбрать протокол при подключении к СУБД (параметр DBSSL);
  • «Настройка подключения к СУБД»: позволяет настроить параметры подключения к СУБД:
    • «Адрес СУБД» - IP-адрес или FQDN СУБД PostgreSQL (параметр DBHOST);
    • «Порт СУБД» - порт, который используется для соединения с сервером БД (параметр DBPORT);
    • «Имя базы данных» - имя БД (параметр DBNAME);
    • «Имя пользователя» - имя пользователя для подключения к БД (параметр DBUSER);
    • «Пароль» - пароль пользователя в открытом виде (параметр DBPASS);
  • «Выбор способа подключения к RabbitMQ»: позволяет выбрать протокол при подключении к RabbitMQ (параметр RABBITMQ_SSL);
  • «Настройка подключения к RabbitMQ»: позволяет настроить параметры подключения к RabbitMQ (параметр RABBITMQ_URL). При запросе пароль задается в открытом виде;
  • «Настройка журналирования»: позволяет настроить параметры журналирования, такие как «Адрес логгера» (параметр LOG_ADDRESS), «Поток (facility) журнала» (параметр LOG_FACILITY);
  • «Подробность отладочных сообщений в журналах»: позволяет выбрать уровень подробности отладочных сообщений (параметр LOG_LEVEL);
  • «Пересоздание ключа DJANGO»: позволяет переопределить значение ключа DJANGO (параметр DJANGO_SECRET_KEY), создаваемого на этапе установки. Переопределение ключа может понадобиться при его компрометации;
  • «Пересоздание я токена проверки состояния служб»: позволяет переопределить значение токена проверки состояния служб (параметр HEALTH_CHECK_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
  • «Пересоздание токена проверки метрик служб»: позволяет переопределить значение токена проверки метрики служб (параметр METRICS_ACCESS_KEY). Переопределение токена может понадобиться при его компрометации;
  • «Изменение GID встроенных администраторов»: позволяет назначить идентификатор группы, использующегося для встроенного домена. Изменение идентификатора может понадобиться, если встроенная в ОС группа администраторов отличается от astra-admin (1001) или если нужно предоставить права администрирования Termidesk группе непривилегированных пользователей;
  • «Настройки Агрегатора»: позволяет переопределить настройки портала «Агрегатор»:
    • «Время жизни токена Агрегатора, секунд» - время жизни JWT-токена (параметр AGGREGATOR_ACCESS_TOKEN_TTL_SECONDS, доступная для изменения только на узле с установленным порталом «Агрегатор»);
    • «Заголовок JWT-токена Агрегатора» - заголовок JWT-токена, предназначенный для настройки взаимодействия между порталом «Агрегатор» и «Универсальным диспетчером». Параметр должен быть одинаковым на всех узлах, работающих совместно: на порталах «Агрегатора», на «Универсальных диспетчерах» (параметр AGGREGATOR_ACCESS_TOKEN_TITLE);
    • «Время кеширования иконок фондов, часов» - время жизни кеша иконок фондов (параметр AGGREGATOR_IMAGE_CACHE_LIFETIME_HOURS);
  • «Роли сервера»: позволяет изменить роли, которые запускаются на узле. Доступные роли: «Портал администратора», «Портал пользователя», «Менеджер рабочих мест», «Менеджер рабочих мест (очереди)», «Агрегатор администратора», «Агрегатор пользователя»;
  • «Перезапуск служб» - позволяет выполнить перезапуск служб Termidesk;
  • «Сертификаты» - позволяет выполнить настройку сертификатов и ключей:

Пункт «Серт. для расшифровки JWT-токена» настраивается только на узле с установленным «Универсальным диспетчером» («Портал администратора» и (или) «Портал пользователя») фермы Termidesk.

Пункт «Прив. ключ для подписи JWT-токена» настраивается только на узле портала «Агрегатор» («Агрегатор администратора» и (или) «Агрегатор пользователя»).

Оставшиеся пункты могут быть настроены на обоих узлах индивидуально.

    • «Cертификат Health Check» - путь к сертификату для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_CERT);
    • «Секр. ключ Health Check» - путь к ключу для защищенного подключения к API проверки состояния (параметр HEALTH_CHECK_KEY);
    • «Сертификат Postgres mTLS» - путь к сертификату для защищенного подключения к СУБД (параметр DBCERT);
    • «Секр. ключ Postgres mTLS» - путь к ключу для защищенного подключения к СУБД (параметр DBKEY);
    • «Серт. промеж. ЦС Postgres mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к СУБД (параметр DBCHAIN);
    • «Сертификат OpenBao mTLS» - путь к сертификату для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_CERT);
    • «Секр. ключ OpenBao mTLS» - путь к ключу для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_CLIENT_KEY);
    • «Серт. промеж. ЦС OpenBao mTLS» - путь к корневому и промежуточным сертификатам mTLS для защищенного подключения к OpenBao (параметр SECRETS_OPENBAO_SERVER_CERT);
    • «Осн. серт. для расшифровки JWT-токена» - путь к сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT);
    • «Рез. серт. для расшифровки JWT-токена» - путь к резервному сертификату для получения значения JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_CERT_SECOND);
    • «Секр. ключ для подписи JWT-токена» - путь к  ключу для подписи JWT-токена портала «Агрегатор» (параметр AGGREGATOR_JWT_SSL_KEY).

Установка ролей «Агрегатор администратора» и (или) «Агрегатор пользователя» должна производиться на узле, отличном от «Портала администратора» и (или) «Портала пользователя», «Менеджера рабочих мест».

Смена ролей через функцию «Роли сервера» в этом случае не предусмотрена: нельзя ранее установленные «Портал администратора» и (или) «Портал пользователя» перенастроить на использование ролей «Агрегатор администратора» и (или) «Агрегатор пользователя».

Роль «Менеджер рабочих мест» не должна устанавливаться с «Агрегатором администратора» и (или) «Агрегатором пользователя».

Роль «Менеджер рабочих мест» (очереди) устанавливается  с «Агрегатором администратора» и (или) «Агрегатором пользователя».

  • «Перезапуск служб»: позволяет выполнить перезапуск служб Termidesk.

После выполнения изменений в любом из разделов рекомендуется воспользоваться пунктом «Перезапуск служб» для применения изменений.