Приложение В. Конфигурация агента TVP
Конфигурация агента LDAP-прокси задается в файле config.py, который находится в каталоге /opt/lpa. Этот файл содержит настройки для подключения агента TVP к серверам аутентификации, серверам syslog, а также параметры запуска самого агента и логика работы режима bypass (пропуска аутентификации).
Если какой-либо параметр закомментирован символом # или удален, для него будет использоваться значение по умолчанию, как указано в исходном файле конфигурации.
Параметры подключения к сервису MFA
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
sas_address_<N> | Задаёт IP-адрес и порт сервера аутентификации | sas_address_<N>=<IP-адрес>[:<порт>] | Отправлять запросы на сервер <N> по адресу <IP-адрес> на порт <порт> (по умолчанию 443) | sas_address_1=mfa.indeed-cloid.ru |
| <!-- | timeout | Тайм-аут переключения на второй сервер, если первый недоступен | timeout=<значение> | Переключаться на второй сервер, если первый недоступен более <значение> секунд |
timeout_to_restore_to_first_sas | Тайм-аут возврата на первый сервер после восстановления | timeout_to_restore_to_first_sas=<значение> | Повторять попытки подключения к первому серверу через каждые <значение> секунд | timeout_to_restore_to_first_sas=180 |
verify_ssl | Проверять подлинность серверов аутентификации MFA по SSL | `verify_ssl=True | False` | True — проверять, False — не проверять |
forward_ip | Пробрасывать IP-адреса целевых ресурсов на MFA | `forward_ip=True | False` | True — пробрасывать, False — не пробрасывать |
forward_agent_type | Пробрасывать тип агента целевого ресурса на MFA | `forward_agent_type=True | False` | True — пробрасывать, False — не пробрасывать |
Параметры логирования
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable_syslog | Отправлять события TVP на сервер syslog | `enable_syslog=True | False` | True — отправлять, False — не отправлять |
syslog_address_<N> | Имя или IP-адрес сервера syslog | syslog_address_<N>=<IP-адрес> | Отправлять события на сервер syslog <N> по адресу <IP-адрес> | syslog_address_1=10.0.0.11; syslog_address_2=10.0.0.12 |
syslog_port_<N> | Порт сервера syslog | syslog_port_<N>=<порт> | Отправлять события на порт <порт> сервера syslog <N> | syslog_port_1=514 |
Параметры режима bypass
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
bypass_mode | Включить режим bypass (временное отключение второго фактора) | `bypass_mode=True | False` | True — отключать проверку второго фактора, False — не отключать |
bypass_result | Результат аутентификации в режиме bypass | `bypass_result=True | False` | True — успех, False — отклонение |