Приложение Б. Конфигурация агента LDAP-прокси
Конфигурация агента LDAP-прокси задается в файле config.ini, который находится в каталоге /opt/lpa. Этот файл содержит параметры подключения к серверам LDAP, аутентификации, логирования и другие настройки работы агента.
Если какой-либо параметр закомментирован символом # или удален, для него будет использоваться значение по умолчанию, как указано в исходном файле конфигурации.
Параметры LDAP-прокси
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
ldap_proxy_host | Указывает, с какого интерфейса принимать запросы от целевых ресурсов | ldap_proxy_host=<IP-адрес> | Принимать запросы на аутентификацию с адреса <IP-адрес> (если 0.0.0.0, то со всех интерфейсов) | ldap_proxy_host=0.0.0.0ldap_proxy_host=10.0.0.50 |
ldap_proxy_ssl | Указывает, использовать ли LDAP через SSL (LDAPS) для приема запросов | ldap_proxy_ssl=yes/no | Использовать / не использовать протокол LDAPS | ldap_proxy_ssl=no |
max_workers | Задает количество воркеров (процессов-обработчиков) для LDAP-прокси | max_workers=<значение> | Использовать <значение> воркеров | max_workers=5 |
max_listeners | Задает количество прослушивателей для LDAP-прокси | max_listeners=<значение> | Использовать <значение> прослушивателей | max_listeners=20 |
buffer_size | Задает размер буфера (в байтах) для LDAP-прокси | buffer_size=<значение> | Установить размер буфера в <значение> байт | buffer_size=1024 |
debug_mode | Включает режим отладки с выводом сообщений в стандартный поток вывода | debug_mode=yes/no | Включить / выключить режим отладки | debug_mode=yes |
Параметры подключения к LDAP-серверам
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
ldap_server<N> | Задает имя или IP-адрес сервера каталога LDAP | ldap_server<N>=<IP-адрес> | Подключаться к серверу каталога <N> по адресу <IP-адрес> | ldap_server1=10.0.0.11ldap_server2=10.0.0.12 |
ldap_timeout | Задает тайм-аут переключения на второй сервер каталога при недоступности первого | ldap_timeout=<значение> | Переключаться на второй сервер, если первый недоступен более <значение> секунд | ldap_timeout=30 |
timeout_to_restore_to_first_ldap | Задает тайм-аут возврата на первый сервер каталога после его восстановления | timeout_to_restore_to_first_ldap=<значение> | Повторять попытки подключения к первому серверу каждые <значение> секунд | timeout_to_restore_to_first_ldap=180 |
ldap_port | Задает порт протокола LDAP для подключения к серверам каталога | ldap_port=<значение> | Подключаться к порту <значение> серверов каталога | ldap_port=636ldap_port=389 |
ldap_ssl | Указывает, использовать ли для подключения к серверам каталога протокол LDAP через SSL (LDAPS) | ldap_ssl=yes/no | Использовать / не использовать LDAP через SSL (LDAPS) | ldap_ssl=yes |
ldap_verify_ssl | Указывает, нужно ли проверять подлинность серверов каталога по протоколу SSL | ldap_verify_ssl=yes/no | Проверять / не проверять подлинность серверов каталога LDAP | ldap_verify_ssl=no |
login | Задает идентификатор служебной учетной записи для подключения к серверам каталога | login=<значение> | Использовать для подключения к серверам каталога служебную учетную запись <значение> | login=CN=Administrator,CN=Users,DC=indeed,DC=local |
password | Задает пароль служебной учетной записи для подключения к серверам каталога | password=<значение> | Использовать для служебной учетной записи пароль <значение> | password=$Password1 |
search_base | Задает базу поиска пользователей на сервере каталога | search_base=CN=<контейнер>\|OU=<организационная единица>[, CN=<контейнер>\|OU=<организационная единица>,...], DC=<домен>[, DC=<домен>,...] | Искать объекты начиная с ветки <путь> | search_base=CN=Users,DC=indeed,DC=localsearch_base=OU=Admins,DC=indeed,DC=local |
ldap_scheme | Выбирает схему каталога LDAP | ldap_scheme=1/2 | Использовать схему Active Directory / FreeIPA | ldap_scheme=1 |
Параметры подключения к сервису MFA
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
sas_address_<N> | Задает IP-адрес и порт сервера аутентификации SAS | sas_address_<N>=<IP-адрес>:[<порт>] | Отправлять запросы на сервер <N> по адресу <IP-адрес>, порт <порт> (по умолчанию 443) | sas_address_1=mfa.indeed-cloid.ru |
| <!-- | sas_timeout | Задает тайм-аут переключения на второй сервер аутентификации SAS | sas_timeout=<значение> | Переключаться на второй сервер, если первый недоступен более <значение> секунд |
timeout_to_restore_to_first_sas | Задает тайм-аут возврата на первый сервер аутентификации SAS после его восстановления | timeout_to_restore_to_first_sas=<значение> | Повторять попытки подключения к первому серверу каждые <значение> секунд | timeout_to_restore_to_first_sas=180 |
strip_netbios_prefix | Указывает, нужно ли отбрасывать имя домена NetBIOS в down-level имени входа | strip_netbios_prefix=yes/no | Отбрасывать / не отбрасывать имя домена NetBIOS | strip_netbios_prefix=yes |
strip_realm_from_upn | Указывает, нужно ли отбрасывать область (реалм) в имени входа формата UPN | strip_realm_from_upn=yes/no | Отбрасывать / не отбрасывать имя области (реалма) | strip_realm_from_upn=yes |
sas_verify_ssl | Указывает, нужно ли проверять подлинность серверов аутентификации SAS по SSL | sas_verify_ssl=yes/no | Проверять / не проверять подлинность серверов аутентификации SAS | sas_verify_ssl=no |
| <!-- | forward_ip | Указывает, нужно ли пробрасывать IP-адреса целевых ресурсов на сервер SAS | forward_ip=yes/no | Пробрасывать / не пробрасывать IP-адреса целевых ресурсов |
token_type | Указывает тип токенов, используемых для аутентификации через LDAP-прокси | token_type=p/t/otp | Использовать пуш-уведомления / Telegram / одноразовые пароли | token_type=p |
otp_digits | Указывает длину одноразовых паролей для аппаратных и программных токенов | otp_digits=<значение> | Одноразовые пароли содержат <значение> символов | otp_digits=6 |
ldap_prefix | Указывает положение пароля LDAP относительно одноразового пароля | ldap_prefix=yes/no | Пароль LDAP идет до / после одноразового пароля | ldap_prefix=yes |
Параметры логирования
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable_syslog | Указывает, отправлять ли события на сервер syslog | enable_syslog=yes/no | Отправлять / не отправлять события на сервер syslog | enable_syslog=yes |
syslog_address_<N> | Задает IP-адрес сервера syslog | syslog_address_<N>=<IP-адрес> | Отправлять события на сервер syslog <N> по адресу <IP-адрес> | syslog_address_1=10.0.0.11syslog_address_2=10.0.0.12 |
syslog_port_<N> | Задает порт сервера syslog | syslog_port_<N>=<порт> | Отправлять события на порт <порт> сервера syslog <N> | syslog_port_1=514 |
Параметры режима bypass
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
bypass_request | Включает режим bypass (временного отключения второго фактора) | bypass_request=yes/no | Отключать / не отключать проверку второго фактора на серверах SAS после успешной проверки LDAP | bypass_request=no |
bypass_response_success | Задает результат аутентификации в режиме bypass после успешной проверки LDAP | bypass_response_success=yes/no | Возвращать код успешной (0) / неуспешной (49) аутентификации | bypass_response_success=yes |