Avanpost FAM/MFA+ : 4.6.1. Настройка gRPC

Общие сведения

Avanpost FAM публикует gRPC-интерфейс (HTTP/2) для осуществления взаимодействия клиентских компонентов в части аутентификации. gRPC-интерфейс используется следующими компонентами Avanpost FAM:

Для корректной работы компонентов gRPC-порт должен быть опубликован и доступен со всех рабочих станций, на которых установлены и используются клиентские компоненты.

Настройка в конфигурационном файле

Для настройки параметров публикации gRPC-интерфейса требуется настроить параметры секции grpcServer в конфигурационном файле config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+).

Параметры секции grpcServer:

ПараметрЗначение
hostIP-адрес сетевого интерфейса, на котором ожидаются входящие подключения
portПорт
networkФиксированное, tcp
ensureTokenФиксированное, false
useTlsИспользовать ли TLS-шифрование (true) или взаимодействовать в открытом виде (false); рекомендуется использовать значение true для параметра useTls 

Пример настроенной секции [grpcServer] для актуального формата конфигурационного файла config.toml (Avanpost FAM 1.8+):

[grpcServer]
host = '127.0.0.1'
port = 9007
network = 'tcp'
ensureToken = false
useTls = false

Пример настроенной секции "grpcServer" для совместимого формата конфигурационного файла config.json (Avanpost FAM 1.7 и ранее):

"grpcServer": {
    "host": "127.0.0.1",
    "port": 9007,
    "network": "tcp",
    "ensureToken": false,
    "useTls": false
},

При использовании сертификата следует указать сертификат, ранее указанный в строке cert конфигурационного файла продукта /opt/idp/config.toml.

Настройка TLS-соединения для gRPC-сервера (на примере FAM Windows Logon)

Для настройки параметров публикации gRPC-интерфейса через TLS-соединение требуется настроить параметры секции grpcServer в конфигурационном файле config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+), а также произвести соответствующие настройки со стороны FAM Windows Logon.

  1. В секции [grpcServer] установить признак useTls в значение true. Пример настроенной секции [grpcServer] для актуального формата конфигурационного файла config.toml (Avanpost FAM 1.8+):
[grpcServer]
host = '127.0.0.1'
port = 9007
network = 'tcp'
ensureToken = false
useTls = true

Пример настроенной секции "grpcServer" для совместимого формата конфигурационного файла config.json (Avanpost FAM 1.7 и ранее):

"grpcServer": {
    "host": "127.0.0.1",
    "port": 9007,
    "network": "tcp",
    "ensureToken": false,
    "useTls": true
},

2. На стороне FAM Windows Logon изменить конфигурацию файла avanpost.ini (C:\Windows\avanpost.ini).

Параметры файла avanpost.ini

ПараметрЗначение
SslTargetNameИмя хоста сервера, совпадающего с именем хоста сервера параметра cert конфигурационного файла config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+)
CAРасположение сертификата, в формате пути к файлу и его имени.

Важно

FAM Windows Logon должен использовать сертификат, указанный в параметре cert конфигурационного файла config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+). Данный сертификат также должен быть установлен, как доверенный в системе.

Проверка доступности gRPC-интерфейса

Проверка доступности может быть выполнена с помощью любой утилиты в соответствии с документацией к ней:

Обсуждение