Конфигурационный файл Avanpost DS располагается на каждом контроллере домена в директории "/opt/avanpost/ads/config/config.yaml".
Навигатор по разделу:
1. Параметры конфигурационного файла Avanpost DS
| Параметр | Описание |
|---|---|
baseDN | Базовый DN текущей инсталяции Avanpost DS |
host_ip_addr | IP-адрес контроллера домена |
host_name_fqdn | FQDN контроллера домена |
default_entries | Загрузка объектов из файла |
search_size_limit | |
return_attr_values_limit | |
bcrypt_cost | |
migrate | |
join_to_domain | |
partition | Секция |
| |
| |
| |
| |
http | Секция с параметрами backend сервера |
| Порт backend сервера |
| IP-адрес backend сервера |
ldap | Секция с параметрами ldap сервера |
| Порт ldap сервера |
| IP-адрес ldap сервера |
| |
ldaps | Секция с параметрами ldaps сервера |
| Порт ldaps сервера |
| IP-адрес ldaps сервера |
| Путь до сертификата |
| Путь до закрытого ключа |
kerberos | Секция с параметрами kerberos |
| Kerberos REALM |
| Порт для аутентификации и авторизации пользователей |
| Порт для запросов на изменение паролей |
| Прослушиваемый IP-адрес |
| Допустимое расхождение времени в минутах |
| Срок жизни kerberos тикета |
| Директория для сохранения keytab |
| PKINIT путь до сертификата CA |
| PKINIT путь до открытого ключа клиента |
| PKINIT путь до закрытого ключа клиента |
client | Секция с настройками веб-интерфейса |
| Порт веб-интерфейса |
| IP-адрес веб-интерфейса |
| Директория, содержащая файлы веб-интерфейса |
| |
password_policy | Секция с параметрами парольной политики каталога |
| Атрибут пользователя, отвечающий за пароль |
| Минимальное время жизни пароля |
| Максимальное время жизни пароля |
| Количество запоминаемых паролей |
| Проверка сложности пароля |
| Секция с параметрами сложности пароля |
| Минимальная длина пароля |
| Максимальная длина пароля |
| Флаг. При значении "true" пароль должен содержать цифру |
| Флаг. При значении "true" пароль должен содержать букву в нижнем регистре |
| Флаг. При значении "true" пароль должен содержать букву в верхнем регистре |
| Флаг. При значении "true" пароль должен содержать специальный символ |
| |
| Количество дней до окончания срока жизни пароля, при достижении которого пользователь начнет получать предупреждения об окончании срока жизни пароля |
| Максимальное количество аутентификаций с паролем с истекшим сроком действия |
| Время в секундах, в течение которого действительна grace аутентификация (по паролю с истекшим сроком) |
| Флаг, который определяет, блокируются ли пользователи. При значении "true" пользователи блокируются |
| Время, на которое блокируются пользователи |
| Максимальное количество неудачных попыток ввода пароля |
| Время в секундах, после которого счетчик неудачных попыток ввода пароля сбрасывается |
| Флаг. При значении "true" пользователь должен изменить пароль после установки или сброса пароля администратором |
| Флаг. При значении "true" пользователь может сам менять пароль |
| Флаг. При значении "true" необходимо указывать старый пароль, при изменении пароля |
| Время в секундах до ответа на первую неудачную попытку аутентификации |
| Максимальное время в секундах между попытками аутентификации |
| Время в секундах, в течение которого учетная запись может оставаться неиспользованной, прежде чем она будет заблокирована |
| |
user_config | Секция с параметрами ID пользователей и групп каталога |
| |
| |
ctl | |
| |
| |
repl | Секция с параметрами репликации |
| Флаг, включающий режим отладки. При значении "true" режим отладки включен |
| IP-адрес контроллера домена |
| FQDN контроллера домена |
| |
| |
| |
| Порт первичной репликации |
| |
| Интервал репликации |
| Интервал межсайтовой репликации |
| |
| |
syslog | Секция с параметрами syslog сервера |
| Список серверов syslog для отправки событий Пример параметра servers: [ network: udp # протокол ip: 10.10.10.1:514 # ip-адрес и порт сервера для приема события address: /var/syslog # для unix систем значением должен являться файловый путь ] |
| Директория хранения журнала |
| Срок хранения записей. Указывается в часах. Значение по умолчанию: 90 дней |
| Время выполнения очистки в формате "ЧЧ:ММ:СС" |
| Флаг активации задачи очистки. При значении "true" очистка включена |
dscliserver | Секция с параметрами для подключения доменного клиента dscli |
| Порт для подключения доменного клиента |
| IP-адрес для подключения доменного клиента |
| FQDN контроллера для подключения доменного клиента |
| Сертификат |
| Закрытый ключ |
docs | Секция |
| |
web | Секция с параметрами сессии в веб-интерфейсе |
| Срок жизни сессии в веб-интерфейсе в минутах |
service_control | Управление конфигурационными файлами PowerDNS |
| Флаг. При значении "true" включено автоматическое управление конфигурационными файлами PowerDNS |
debug | Секция |
| |
logging | Секция настройки логирования |
| Флаг. При значении "true" будет использоваться время UTC. Значение по умолчанию "false". |
| Строка. Уровень логирования, начиная с которого будут выводиться сообщения. Значение по умолчанию "INFO". |
| Флаг. При значении "true" логирование включено. Значение по умолчанию "true". |
| Секция настройки логирования подсистем. По умолчанию в Avanpost DS используется общий глобальный логгер. При необходимости в секции "subsystems" доступна настройка подсистемных логгеров для различных подсистем. Список доступных подсистем:
|
2. Пример конфигурационного файла Avanpost DS
baseDN: dc=avanpost,dc=local # Базовый DN текущей инсталяции DS
host_ip_addr: 10.5.5.7 # IP Адрес сервера
host_name_fqdn: ds01.avanpost.local # FQDN сервера
default_entries: "" # Загрузка объектов из файла
search_size_limit: 1000 #
http: # Параметры backend сервера
port: 4008
host: 0.0.0.0
ldap: # Параметры ldap сервера
port: 389
host: 0.0.0.0
ldaps: # Параметры ldaps сервера
port: 636
host: 0.0.0.0
cert: "" # Путь до сертификата
key: "" # Путь до закрытого ключа
kerberos: # Параметры kerberos
realm: AVANPOST.LOCAL # Kerberos REALM
port: 88 # Порт для аутентификации и авторизации пользователей
kpasswd_port: 464 # Порт для запросов на изменение паролей
host: 0.0.0.0 # Прослушиваемый IP-адрес
acceptable_clock_skew: 5 # Допустимое расхождение времени в минутах
ticket_lifetime_hours: 24 # Срок жизни тикета
mkey_path: /opt/avanpost/ads/config/.mkey.keytab # Директория для сохранения keytab
cacert_path: "" # PKINIT путь до сертификата CA
kdc_cert_path: "" # PKINIT путь до открытого ключа клиента
kdc_privatekey_path: "" # PKINIT путь до закрытого ключа клиента
client: # Настройки web интерфейса
port: 8080
host: 0.0.0.0
client_path: /opt/avanpost/ads/client # Директория содержащая фронтэнд
http_proxy_host: 0.0.0.0 #
password_policy: # Параметры парольной политики каталога
password_attribute: userPassword # атрибут пользователя отвечающий за пароль
min_age: 0 # Минимальное время жизни пароля
max_age: 0 # Максимальное время жизни пароля
pwd_in_history: 0 # Количество запоминаемых паролей
pwd_check_quality: 0 # Проверка сложности пароля
pwd_complexity_policy: #
min_length: 0 # Минимальная длина пароля
max_length: 0 # Максимальная длина пароля
has_digit: false #
has_lowercase: false #
has_uppercase: false #
has_special_symbols: false #
expire_warning: 0 # Время до истечении пароля, когда пользователь начнет получать предупреждения об окончании пароля
grace_auth_n_limit: 0 # количество раз, когда пароль с истекшим сроком действия может быть использован для аутентификации.
grace_expire: 0 # указывает время (в секундах), в течение которого действительна grace аутентификация (по старому паролю
lockout: false # Определяет, блокируются ли пользователи
lockout_duration: 300 # Время на которое блокируются пользователи
max_failure: 0 # Максимальное количество ошибочного ввода пароля
failure_count_interval: 0 #время (в секундах), по истечении которого ошибочные пароли удаляются из счетчика неудачных попыток
must_change: false # флаг, указывающий, должен ли пользователь изменить пароль после установки или сброса пароля администратором.
allow_user_change: true #Определяет, может ли пользователь менять пароль.
safe_modify: # флаг, определяет необходимость указывать старый пароль, при изменении пароля.
min_delay: 0 # время (в секундах) до задержки ответа на первую неудачную попытку аутентификации
max_delay: 0 # максимальное время (в секундах), между попытками аутентификации
max_idle: 0 # время (в секундах), в течение которого учетная запись может оставаться неиспользованной, прежде чем она будет заблокирована
precedence: 9999 #
user_config: #Параметры ID пользователей и групп каталога
pool_update_threshold: 50 #
id_pool_size: 10000 #
ctl: #
port: 48910 #
host: 0.0.0.0 #
repl: #Настройки репликации
debug: false #
host_addr: 10.5.5.7
host_name: ds01.avanpost.local
single_host: true
internal_host: "" #
internal_port: 25489
initial_sync_backup_port: 48900 # Порт первичной репликации
grpc_repl_interval_ms: 1000 # Интервал репликации
grpc_crosssite_repl_interval_ms: 10000 # Интервал репликации между сайтами
replication_grpc_server_port: 41005 #
reconnector_interval_sec: 5 #
internal_auth: #
type: none
user: ""
password: ""
srvcertpath: ./cert/server-cert.pem
srvkeypath: ./cert/server-key.pem
clcertpath: ./cert/client-cert.pem
clkeypath: ./cert/client-key.pem
cacertpath: ./cert/ca-cert.pem
syslog: #Настройки сервера Syslog
servers: [ network: udp # протокол
ip: 10.10.10.1:514 # ip-адрес и порт сервера для приема события
address: /var/syslog # для unix систем значением должен являться файловый путь
] # Список серверов syslog для отправки событий
db: /opt/avanpost/ads/ds-log #Директория хранения журнала
record_lifetime: 2160 # Срок хранения записей. Указывается в часах. Значение по умолчанию: 90 дней
job_time: "02:00:00" # Время выполнения очистки в формате "ЧЧ:ММ:СС"
job_enable: true # Флаг активации задачи очистки. При значении "true" очистка включена
dscliserver: #Настройки для подключения доменного клиента dscli
port: 7890
host: 0.0.0.0
hostname: ds01.avanpost.local
cert: server_localhost.crt
key: server_localhost.key
web: #Срок жизни сессии WEB
session_lifetime: 30
service_control: #Управление конфиг файлами PowerDNS
dns_control: true
logging:
# Глобальный логгер
utc: false # по-умолчанию false
level: "INFO" # по-умолчанию INFO
enabled: true # по-умолчанию true
# Подсистемные логгеры
# Перечислять все подсистемы необязательно.
subsystems:
grpc:
utc: false
level: "DEBUG"
enabled: true
hbac:
utc: false
level: "DEBUG"
enabled: true