Конфигурационный файл Avanpost DS располагается на каждом контроллере домена в директории "/opt/avanpost/ads/config/config.yaml".
Навигатор по разделу:
1. Параметры конфигурационного файла Avanpost DS
| Параметр | Описание |
|---|---|
baseDN | Базовый DN текущей инсталяции Avanpost DS |
host_ip_addr | IP-адрес контроллера домена |
host_name_fqdn | FQDN контроллера домена |
default_entries | Загрузка объектов из файла |
search_size_limit | |
http | Секция с параметрами backend сервера |
| Порт backend сервера |
| IP-адрес backend сервера |
ldap | Секция с параметрами ldap сервера |
| Порт ldap сервера |
| IP-адрес ldap сервера |
ldaps | Секция с параметрами ldaps сервера |
| Порт ldaps сервера |
| IP-адрес ldaps сервера |
| Путь до сертификата |
| Путь до закрытого ключа |
kerberos | Секция с параметрами kerberos |
| Kerberos REALM |
| Порт для аутентификации и авторизации пользователей |
| Порт для запросов на изменение паролей |
| Прослушиваемый IP-адрес |
| Допустимое расхождение времени в минутах |
| Срок жизни kerberos тикета |
| Директория для сохранения keytab |
| PKINIT путь до сертификата CA |
| PKINIT путь до открытого ключа клиента |
| PKINIT путь до закрытого ключа клиента |
client | Секция с настройками веб-интерфейса |
| Порт веб-интерфейса |
| IP-адрес веб-интерфейса |
| Директория, содержащая файлы веб-интерфейса |
| |
password_policy | Секция с параметрами парольной политики каталога |
| Атрибут пользователя, отвечающий за пароль |
| Минимальное время жизни пароля |
| Максимальное время жизни пароля |
| Количество запоминаемых паролей |
| Проверка сложности пароля |
| Секция с параметрами сложности пароля |
| Минимальная длина пароля |
| Максимальная длина пароля |
| Флаг. При значении "true" пароль должен содержать цифру |
| Флаг. При значении "true" пароль должен содержать букву в нижнем регистре |
| Флаг. При значении "true" пароль должен содержать букву в верхнем регистре |
| Флаг. При значении "true" пароль должен содержать специальный символ |
| Количество дней до окончания срока жизни пароля, при достижении которого пользователь начнет получать предупреждения об окончании срока жизни пароля |
| Максимальное количество аутентификаций с паролем с истекшим сроком действия |
| Время в секундах, в течение которого действительна grace аутентификация (по паролю с истекшим сроком) |
| Флаг, который определяет, блокируются ли пользователи. При значении "true" пользователи блокируются |
| Время, на которое блокируются пользователи |
| Максимальное количество неудачных попыток ввода пароля |
| Время в секундах, после которого счетчик неудачных попыток ввода пароля сбрасывается |
| Флаг. При значении "true" пользователь должен изменить пароль после установки или сброса пароля администратором |
| Флаг. При значении "true" пользователь может сам менять пароль |
| Флаг. При значении "true" необходимо указывать старый пароль, при изменении пароля |
| Время в секундах до ответа на первую неудачную попытку аутентификации |
| Максимальное время в секундах между попытками аутентификации |
| Время в секундах, в течение которого учетная запись может оставаться неиспользованной, прежде чем она будет заблокирована |
| |
user_config | Секция с параметрами ID пользователей и групп каталога |
| |
| |
ctl | |
| |
| |
repl | Секция с параметрами репликации |
| Флаг, включающий режим отладки. При значении "true" режим отладки включен |
| IP-адрес контроллера домена |
| FQDN контроллера домена |
| |
| |
| |
| Порт первичной репликации |
| Интервал репликации |
| Интервал межсайтовой репликации |
| |
| |
internal_auth | |
| |
| |
| |
| |
| |
| |
| |
| |
syslog | Секция с параметрами syslog сервера |
| Список серверов syslog для отправки событий Пример параметра servers: [ network: udp # протокол ip: 10.10.10.1:514 # ip-адрес и порт сервера для приема события address: /var/syslog # для unix систем значением должен являться файловый путь ] |
| Директория хранения журнала |
| Срок хранения записей. Указывается в часах. Значение по умолчанию: 90 дней |
| Время выполнения очистки в формате "ЧЧ:ММ:СС" |
| Флаг активации задачи очистки. При значении "true" очистка включена |
dscliserver | Секция с параметрами для подключения доменного клиента dscli |
| Порт для подключения доменного клиента |
| IP-адрес для подключения доменного клиента |
| FQDN контроллера для подключения доменного клиента |
| Сертификат |
| Закрытый ключ |
web | Секция с параметрами сессии в веб-интерфейсе |
| Срок жизни сессии в веб-интерфейсе в минутах |
service_control | Управление конфигурационными файлами PowerDNS |
| Флаг. При значении "true" включено автоматическое управление конфигурационными файлами PowerDNS |
2. Пример конфигурационного файла Avanpost DS
baseDN: dc=avanpost,dc=local # Базовый DN текущей инсталяции DS host_ip_addr: 10.5.5.7 # IP Адрес сервера host_name_fqdn: ds01.avanpost.local # FQDN сервера default_entries: "" # Загрузка объектов из файла search_size_limit: 1000 # http: # Параметры backend сервера port: 4008 host: 0.0.0.0 ldap: # Параметры ldap сервера port: 389 host: 0.0.0.0 ldaps: # Параметры ldaps сервера port: 636 host: 0.0.0.0 cert: "" # Путь до сертификата key: "" # Путь до закрытого ключа kerberos: # Параметры kerberos realm: AVANPOST.LOCAL # Kerberos REALM port: 88 # Порт для аутентификации и авторизации пользователей kpasswd_port: 464 # Порт для запросов на изменение паролей host: 0.0.0.0 # Прослушиваемый IP-адрес acceptable_clock_skew: 5 # Допустимое расхождение времени в минутах ticket_lifetime_hours: 24 # Срок жизни тикета mkey_path: /opt/avanpost/ads/config/.mkey.keytab # Директория для сохранения keytab cacert_path: "" # PKINIT путь до сертификата CA kdc_cert_path: "" # PKINIT путь до открытого ключа клиента kdc_privatekey_path: "" # PKINIT путь до закрытого ключа клиента client: # Настройки web интерфейса port: 8080 host: 0.0.0.0 client_path: /opt/avanpost/ads/client # Директория содержащая фронтэнд http_proxy_host: 0.0.0.0 # password_policy: # Параметры парольной политики каталога password_attribute: userPassword # атрибут пользователя отвечающий за пароль min_age: 0 # Минимальное время жизни пароля max_age: 0 # Максимальное время жизни пароля pwd_in_history: 0 # Количество запоминаемых паролей pwd_check_quality: 0 # Проверка сложности пароля pwd_complexity_policy: # min_length: 0 # Минимальная длина пароля max_length: 0 # Максимальная длина пароля has_digit: false # has_lowercase: false # has_uppercase: false # has_special_symbols: false # expire_warning: 0 # Время до истечении пароля, когда пользователь начнет получать предупреждения об окончании пароля grace_auth_n_limit: 0 # количество раз, когда пароль с истекшим сроком действия может быть использован для аутентификации. grace_expire: 0 # указывает время (в секундах), в течение которого действительна grace аутентификация (по старому паролю lockout: false # Определяет, блокируются ли пользователи lockout_duration: 300 # Время на которое блокируются пользователи max_failure: 0 # Максимальное количество ошибочного ввода пароля failure_count_interval: 0 #время (в секундах), по истечении которого ошибочные пароли удаляются из счетчика неудачных попыток must_change: false # флаг, указывающий, должен ли пользователь изменить пароль после установки или сброса пароля администратором. allow_user_change: true #Определяет, может ли пользователь менять пароль. safe_modify: # флаг, определяет необходимость указывать старый пароль, при изменении пароля. min_delay: 0 # время (в секундах) до задержки ответа на первую неудачную попытку аутентификации max_delay: 0 # максимальное время (в секундах), между попытками аутентификации max_idle: 0 # время (в секундах), в течение которого учетная запись может оставаться неиспользованной, прежде чем она будет заблокирована precedence: 9999 # user_config: #Параметры ID пользователей и групп каталога pool_update_threshold: 50 # id_pool_size: 10000 # ctl: # port: 48910 # host: 0.0.0.0 # repl: #Настройки репликации debug: false # host_addr: 10.5.5.7 host_name: ds01.avanpost.local single_host: true internal_host: "" # internal_port: 25489 initial_sync_backup_port: 48900 # Порт первичной репликации grpc_repl_interval_ms: 1000 # Интервал репликации grpc_crosssite_repl_interval_ms: 10000 # Интервал репликации между сайтами replication_grpc_server_port: 41005 # reconnector_interval_sec: 5 # internal_auth: # type: none user: "" password: "" srvcertpath: ./cert/server-cert.pem srvkeypath: ./cert/server-key.pem clcertpath: ./cert/client-cert.pem clkeypath: ./cert/client-key.pem cacertpath: ./cert/ca-cert.pem syslog: #Настройки сервера Syslog servers: [ network: udp # протокол ip: 10.10.10.1:514 # ip-адрес и порт сервера для приема события address: /var/syslog # для unix систем значением должен являться файловый путь ] # Список серверов syslog для отправки событий db: /opt/avanpost/ads/ds-log #Директория хранения журнала record_lifetime: 2160 # Срок хранения записей. Указывается в часах. Значение по умолчанию: 90 дней job_time: "02:00:00" # Время выполнения очистки в формате "ЧЧ:ММ:СС" job_enable: true # Флаг активации задачи очистки. При значении "true" очистка включена dscliserver: #Настройки для подключения доменного клиента dscli port: 7890 host: 0.0.0.0 hostname: ds01.avanpost.local cert: server_localhost.crt key: server_localhost.key web: #Срок жизни сессии WEB session_lifetime: 30 service_control: #Управление конфиг файлами PowerDNS dns_control: true