Общие сведения
Avanpost FAM публикует gRPC-интерфейс (HTTP/2) для осуществления взаимодействия клиентских компонентов в части аутентификации. gRPC-интерфейс используется следующими компонентами Avanpost FAM:
Для корректной работы компонентов gRPC-порт должен быть опубликован и доступен со всех рабочих станций, на которых установлены и используются клиентские компоненты.
Настройка в конфигурационном файле
Для настройки параметров публикации gRPC-интерфейса требуется настроить параметры секции grpcServer в конфигурационном файле config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+).
Параметры секции grpcServer:
| Параметр | Значение |
|---|---|
host | IP-адрес сетевого интерфейса, на котором ожидаются входящие подключения |
port | Порт |
network | Фиксированное, tcp |
ensureToken | Фиксированное, false |
useTls | Использовать ли TLS-шифрование (true) или взаимодействовать в открытом виде (false); рекомендуется использовать значение true для параметра useTls |
Пример настроенной секции [grpcServer] для актуального формата конфигурационного файла config.toml (Avanpost FAM 1.8+):
[grpcServer] host = '127.0.0.1' port = 9007 network = 'tcp' ensureToken = false useTls = false
Пример настроенной секции "grpcServer" для совместимого формата конфигурационного файла config.json (Avanpost FAM 1.7 и ранее):
"grpcServer": {
"host": "127.0.0.1",
"port": 9007,
"network": "tcp",
"ensureToken": false,
"useTls": false
},
При использовании сертификата следует указать сертификат, ранее указанный в строке cert конфигурационного файла продукта /opt/idp/config.toml.
Настройка TLS-соединения для gRPC-сервера (на примере FAM Windows Logon)
Для настройки параметров публикации gRPC-интерфейса через TLS-соединение требуется настроить параметры секции grpcServer в конфигурационном файле config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+), а также произвести соответствующие настройки со стороны FAM Windows Logon.
- В секции [grpcServer] установить признак useTls в значение true. Пример настроенной секции
[grpcServer]для актуального формата конфигурационного файлаconfig.toml(Avanpost FAM 1.8+):
[grpcServer] host = '127.0.0.1' port = 9007 network = 'tcp' ensureToken = false useTls = true
Пример настроенной секции "grpcServer" для совместимого формата конфигурационного файла config.json (Avanpost FAM 1.7 и ранее):
"grpcServer": {
"host": "127.0.0.1",
"port": 9007,
"network": "tcp",
"ensureToken": false,
"useTls": true
},
2. На стороне FAM Windows Logon изменить конфигурацию файла avanpost.ini (C:\Windows\avanpost.ini).
Параметры файла avanpost.ini
| Параметр | Значение |
|---|---|
| SslTargetName | Имя хоста сервера, совпадающего с именем хоста сервера параметра cert конфигурационного файла config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+) |
| CA | Расположение сертификата, в формате пути к файлу и его имени. |
Важно
FAM Windows Logon должен использовать сертификат, указанный в параметре cert конфигурационного файла config.json (для Avanpost FAM 1.7 и ранее) или config.toml (для Avanpost FAM 1.8+). Данный сертификат также должен быть установлен, как доверенный в системе.
Проверка доступности gRPC-интерфейса
Проверка доступности может быть выполнена с помощью любой утилиты в соответствии с документацией к ней: