Конфигурация модуля osmax-core
Конфигурация модуля выполняется в файле application.properties, помещенном в каталог
/opt/osmax-core. Файл создается автоматически при
установке
deb-/rpm-пакета osmax-core и содержит значения по умолчанию или примеры значений.
Для корректной работы модуля задайте пользовательские значения параметров. Ниже приведено описание
параметров и пример конфигурации.
| Набор требуемых параметров может отличаться для разных версий продукта. Для удобства в разделе «Сравнение конфигурационных файлов» приведено сравнение файлов для текущей и предыдущей версий. |
Пример конфигурационного файла
## This is an example of `application.properties` file as main configuration file for osmax-core backend
###############################################################################
# HTTP server properties section #
###############################################################################
## Main application port
quarkus.http.port=8081
## HTTP body limit, can be changed to big files uploading
quarkus.http.limits.max-body-size=100M
## SSL configuration section.
## To enable serving requests via HTTPS uncomment the following parameters:
#quarkus.http.insecure-requests=disabled
#quarkus.http.ssl-port=8081
#quarkus.http.ssl.certificate.key-store-file=/opt/osmax-core/keystore.jks
#quarkus.http.ssl.certificate.key-store-password=keystore@12345
###############################################################################
# Authentication & Authorization section #
###############################################################################
## Enable/disable authentication
osmax.application.auth.disabled=false
## Enables kerberos authentication debug mode
#quarkus.kerberos.debug=true
## There are 2 alternative options for the kerberos credentials [principal realm, name and password] defining:
## 1) via direct defining;
## 2) via keytab file path defining
##
## Direct kerberos credentials defining:
quarkus.kerberos.service-principal-name=lcm_backend_svc
quarkus.kerberos.service-principal-realm=my.domain.com
quarkus.kerberos.service-principal-password=Password123
## Path to keytab:
#quarkus.kerberos.keytab-path=/opt/osmax-core/my_file.keytab
## Old deprecated authorization based on LDAP-groups only
## List of LDAP groups whose users are authorized in Admin Console
#osmax.authorization.user-groups-white-list[0]=CN=testGroup,CN=Users,DC=inno,DC=test
# New RBAC
osmax.authorization.rbac.enabled=false
# The following users will be mapped to the superuser role when the application starts
#osmax.authorization.rbac.super-users[0]=alice@INNO.TEST
#osmax.authorization.rbac.super-users[1]=bob@INNO.TEST
###############################################################################
# Database properties section #
###############################################################################
## Main datasource
quarkus.datasource."lcm-db".username=lcm
quarkus.datasource."lcm-db".password=password
quarkus.datasource."lcm-db".reactive.url=postgresql://localhost:5432/lcm
## If you need to specify default DB schema use the syntax below
#quarkus.datasource."lcm-db".reactive.url=postgresql://localhost:5432/lcm?search_path=lcm_schema_name
## If you need to specify few datasource connections for load-balancing or work with clustered db use the syntax below
#quarkus.datasource."lcm-db".reactive.url=postgresql://host1:5432/lcm,postgresql://host2:5432/lcm,postgresql://host3:5432/lcm
## Or this can also be written with indexed property syntax
#quarkus.datasource."lcm-db".reactive.url[0]=postgresql://host1:5432/lcm
#quarkus.datasource."lcm-db".reactive.url[1]=postgresql://host2:5432/lcm
#quarkus.datasource."lcm-db".reactive.url[2]=postgresql://host3:5432/lcm
## Main datasource Liquibase config
quarkus.datasource."lcm-db".jdbc.url=jdbc:postgresql://localhost:5432/lcm
quarkus.liquibase."lcm-db".default-schema-name=lcm
quarkus.liquibase."lcm-db".migrate-at-start=True
## Readonly datasource
quarkus.datasource."lcm-db-readonly".username=readonly
quarkus.datasource."lcm-db-readonly".password=password
quarkus.datasource."lcm-db-readonly".reactive.url=postgresql://localhost:5432/lcm
quarkus.datasource."lcm-db-readonly".jdbc.url=jdbc:postgresql://localhost:5432/lcm
###############################################################################
# Hardware inventory properties section #
###############################################################################
# Remote operation orders
# Every 10 minutes
osmax.inventory.job.remote-operation-expired-orders.cron.expression=0 */10 * ? * *
# Schedule for checking dynamic machine collections refresh executing time (quartz cron format), every 2 min
osmax.inventory.job.dynamic-collections-refresh-executing-time.cron.expr=0 */2 * ? * *
# Splay value in seconds for one-time task of dynamic machine collections refresh
osmax.inventory.job.dynamic-collections-refresh.splay=10
# Schedule for starting entity cleanup tasks (quartz cron format)
# Every 2 minutes
osmax.inventory.job.cleanup-tasks-starter-scheduler.cron.expr=0 */2 * ? * *
# Determines the maximum amount of machine custom attributes in one section
osmax.inventory.machine-attribute.section.size=20
# Determines the maximum amount of user custom attributes in one section
osmax.inventory.user-attribute.section.size=20
# The number of minutes since the last agent activity before the device goes into "Offline" status
osmax.inventory.settings.agent.minutes-to-become-offline=5
# Absolute file path to `wtmp` file which stores historical data of user logins and logouts
osmax.machines.user-sessions.linux.wtmp-absolute-path=/var/log/wtmp
# Absolute file path to `utmp` file which stores user sessions in real time
osmax.machines.user-sessions.linux.utmp-absolute-path=/var/run/utmp
# Option, which determines the considered Salt mode (single- or multimaster), can be true or false
osmax.agent-installation.settings.multi-master-mode=true
# Absolute path, containing all files which are to be included into bootstrap script configuration archive (.tar.gz)
osmax.salt.scripts.bootstrap-script-config-path=/config/script-configs/bootstrap/
# Optional parameters, matching salt-ssh connection settings,
# see https://docs.saltproject.io/en/latest/ref/runners/all/salt.runners.manage.html#salt.runners.manage.bootstrap
#osmax.agent-installation.settings.bootstrap-ssh-user=
#osmax.agent-installation.settings.bootstrap-ssh-password=
#osmax.agent-installation.settings.bootstrap-ssh-private-key-path=
###############################################################################
# LDAP integration properties section #
###############################################################################
#enable JNDI for the LDAP server discovery inside the MS AD domain when you define option 'osmax.inventory.ldap.datasource[i].dns-srv-record'
quarkus.naming.enable-jndi=true
## Determines the page size for any ldap query
osmax.inventory.ldap.search-page-size=200
## The first LDAP datasource configuration
osmax.inventory.ldap.datasource[0].name=my.domain.com
osmax.inventory.ldap.datasource[0].base-dn=DC=my,DC=domain,DC=com
## There are 2 options to set LDAP hostname pools
## 1) direct addresses defining
## 2) using DNS SRV records to discover LDAP servers from MS AS domain
##
## For the direct addresses defining of LDAP datasource please use the following options:
## osmax.inventory.ldap.datasource[i].host=
## osmax.inventory.ldap.datasource[i].port=
##
## extra hosts section is optional
## osmax.inventory.ldap.datasource[i].extra-hosts[j].host=
## osmax.inventory.ldap.datasource[i].extra-hosts[j].port=
## For the using DNS SRV records to discover LDAP servers from MS AS domain use the following options:
### osmax.inventory.ldap.datasource[i].dns-srv-record=
##
## example below:
osmax.inventory.ldap.datasource[0].host=localhost
osmax.inventory.ldap.datasource[0].port=636
osmax.inventory.ldap.datasource[0].username=administrator@my.domain.com
osmax.inventory.ldap.datasource[0].password=Welkom123
## Optional section for the LDAP datasource
# osmax.inventory.ldap.datasource[0].connect-timeout-millis=10000
# osmax.inventory.ldap.datasource[0].response-timeout=10000
# osmax.inventory.ldap.datasource[0].abandon-on-timeout=true
# osmax.inventory.ldap.datasource[0].allow-concurrent-socket-factory-use=true
## The second and subsequent LDAP datasource configurations are optional
#osmax.inventory.ldap.datasource[1].name=my2.domain.com
#osmax.inventory.ldap.datasource[1].base-dn=DC=my2,DC=domain,DC=com
#osmax.inventory.ldap.datasource[1].dns-srv-record=_ldap._tcp.dc._msdcs.mydomain.com
#osmax.inventory.ldap.datasource[1]...
## LDAPS (LDAP over SSL) parameters section.
# To configure LDAPS please use the following option
#osmax.inventory.ldap.datasource[i].ssl=...
# There are 3 options available for this option:
# value `false` - use this mode when you want to use LDAP without SSL (usually 389 port)
# value `true` - use this mode when you want to use LDAPS (usually 636 port), requires path to the certificate file or truststore file
# value `start-tls` - use this mode when you want to establish an insecure connection (usually 389 port),
# but then to immediately use the StartTLS extended operation to convert that insecure connection to a secure one
# If you want to trust all SSL certificates without direct certificate/truststore definition you can use the option
# osmax.inventory.ldap.datasource[i].trust-all-ssl-certificates=true
## The following example shows how to configure LDAPS with certificate file definition for the datasource
#osmax.inventory.ldap.datasource[0].ssl=true
#osmax.inventory.ldap.datasource[0].ssl-certificate=/opt/osmax-core/samba_cert.pem
## The following example shows how to configure LDAPS with truststore file definition for the datasource
#osmax.inventory.ldap.datasource[0].ssl=true
#osmax.inventory.ldap.datasource[0].ssl-trust-store=/opt/osmax-core/keystore.jks
#osmax.inventory.ldap.datasource[0].ssl-trust-store-type=PKCS12
#osmax.inventory.ldap.datasource[0].ssl-trust-store-password=keystore@12345
## The following example shows how to configure LDAPS with truststore file definition for all datasource
#osmax.inventory.ldap.ssl-trust-store=/opt/osmax-core/keystore.jks
#osmax.inventory.ldap.ssl-trust-store-type=JKS
#osmax.inventory.ldap.ssl-trust-store-password=keystore@12345
###############################################################################
# Application Store properties section #
###############################################################################
# Determines the amount of hours after which order is considered failed
osmax.order-management.completion.time.hours=12
# Schedule for tracking long-running orders as failed (quartz cron format)
# [At second :00 of minute :00 of every hour]
osmax.order-management.autocomplete.cron.expr=0 0 * ? * * *
###############################################################################
# Kafka messages section #
###############################################################################
## Kafka bootstrap servers (comma separated)
mp.messaging.connector.smallrye-kafka.bootstrap.servers=localhost:9092
# Kafka topic name
mp.messaging.incoming.salt-events-kafka.topic=salt-topic
mp.messaging.outgoing.core-os-reinstallation-machines.topic=osmax-core.os.reinstallation.machines
mp.messaging.incoming.provisioner-os-reinstallation-machine-registration-statuses.topic=osmax-provisioner.os.reinstallation.machines.registration.statuses
mp.messaging.incoming.provisioner-os-installed-events-kafka.topic=provisioner-topic
mp.messaging.incoming.provisioner-os-installed-events-kafka.dead-letter-queue.topic=provisioner-dlq-topic
## The provisioner-os-installed-events-kafka listener support retry strategy,
## default values are maxRetries=3, delay=100ms and jitter=0, to change retry settings use
#tech.inno.lcm.provisioner.events.ProvisionerEventsListener/consume/Retry/maxRetries=0
## See more info https://quarkus.io/guides/smallrye-fault-tolerance#runtime-configuration
## and available options https://github.com/eclipse/microprofile-fault-tolerance/blob/main/api/src/main/java/org/eclipse/microprofile/faulttolerance/Retry.java
## Kafka SSL connection parameters section.
## To enable SSL connection mode uncomment three following parameters:
#mp.messaging.connector.smallrye-kafka.security.protocol=SSL
#mp.messaging.connector.smallrye-kafka.ssl.truststore.location=/etc/ssl/certs/java/cacerts
#mp.messaging.connector.smallrye-kafka.ssl.truststore.password=changeit
## Optionally if the custom truststore is used:
## To change the format use one of JKS, JCEKS, P12, PKCS12, PFX. Default format is JKS
#mp.messaging.connector.smallrye-kafka.ssl.truststore.type=PKCS12
## To enable mutual TLS connection mode uncomment three following parameters, along with configuration above:
#mp.messaging.connector.smallrye-kafka.ssl.keystore.location=/opt/osmax-core/keystore.jks
#mp.messaging.connector.smallrye-kafka.ssl.keystore.password=keystore@12345
## Optionally if the custom keystore is used:
## To change the format use one of JKS, JCEKS, P12, PKCS12, PFX. Default format is JKS
#mp.messaging.connector.smallrye-kafka.ssl.keystore.type=PKCS12
###############################################################################
# REST clients common configuration #
###############################################################################
## SSL connection parameters sections.
## To enable accessing REST endpoints via HTTPS uncomment two following parameters:
#quarkus.rest-client.trust-store=/etc/ssl/certs/java/cacerts
#quarkus.rest-client.trust-store-password=changeit
## Optionally if the custom truststore is used:
## To change the format use one of JKS, JCEKS, P12, PKCS12, PFX. Default format is JKS
#quarkus.rest-client.trust-store-type=PKCS12
## For disabling SSL connection verification you can use option below
#quarkus.rest-client.remote-access.trust-all=true
###############################################################################
# SaltStack integration section #
###############################################################################
osmax.salt-adapter.command-runner.http-scheme=http
osmax.salt-adapter.command-runner.master-api-port=8000
osmax.salt-adapter.command-runner.global-auth.eauth=pam
osmax.salt-adapter.command-runner.global-auth.login=salt_api
osmax.salt-adapter.command-runner.global-auth.password=123
osmax.salt-adapter.command-runner.retry.number-of-attempts=5
osmax.salt-adapter.command-runner.retry.initial-back-off=1s
osmax.salt-adapter.command-runner.retry.max-back-off=1s
## Salt masters configuration section.
## Optional, this section should be used when backend server can't resolve salt master by DNS name
#osmax.salt-adapter.command-runner.override-masters[0].id=salt-master1
#osmax.salt-adapter.command-runner.override-masters[0].uri=http://192.168.0.1:8000
## The second and other Salt masters can be configured in the same way
#osmax.salt-adapter.command-runner.override-masters[1].id=salt-master2
#osmax.salt-adapter.command-runner.override-masters[1].uri=http://192.168.0.2:8000
###############################################################################
# Remote access service integration section #
###############################################################################
# URL to the guacamole remote access service
quarkus.rest-client.remote-access.url=https://guacamole-host.net:9099/guacamole
# for an advanced configuration of the quarkus REST client to the guacamole service you can set up the following settings group
# Timeout specified in milliseconds to wait to connect to the remote endpoint.
#quarkus.rest-client.remote-access.connect-timeout=<millis>
# Timeout specified in milliseconds to wait for a response from the remote endpoint.
#quarkus.rest-client.remote-access.read-timeout=<millis>
#quarkus.rest-client.remote-access.trust-store
#quarkus.rest-client.remote-access.trust-store-password
#quarkus.rest-client.remote-access.trust-store-type
#quarkus.rest-client.remote-access.key-store
#quarkus.rest-client.remote-access.key-store-password
#quarkus.rest-client.remote-access.key-store-type
#quarkus.rest-client.remote-access.hostname-verifier
#quarkus.rest-client.remote-access.connection-ttl
#and others
#quarkus.rest-client.remote-access.***
# system account login for the guacamole remote access service
osmax.inventory.remote-access.username=admin
# system account login password for the guacamole remote access service
osmax.inventory.remote-access.password=password
###############################################################################
# S3 integration section #
###############################################################################
# contains a list of S3 server URIs
osmax.salt-adapter.s3.server-uri-list=http://localhost:9000,http://localhost:9900
## To enable SSL connection mode replace 'osmax.salt-adapter.s3.server-uri-list' parameter with following value:
#osmax.salt-adapter.s3.server-uri-list=https://localhost:9000,https://localhost:9900
osmax.salt-adapter.s3.access-key-id=s3adminSalt
osmax.salt-adapter.s3.secret-access-key=s3adminSaltPassword
osmax.salt-adapter.s3.region=ru-location-1
osmax.salt-adapter.s3.connection-timeout=1s
osmax.salt-adapter.s3.num-retries=3
osmax.salt-adapter.s3.initial-retry-delay-millis=100
osmax.salt-adapter.s3.max-retry-delay-millis=1000
osmax.salt-adapter.s3.state-bucket-name=salt-bucket
osmax.salt-adapter.s3.script-bucket-name=script-bucket
# Schedule for pillar top.sls update
# Every 30 seconds
osmax.inventory.job.salt-assignment-mapping-update.cron.expr=0/30 * * ? * *
# Schedule for fetching tasks for update salt s3 files (pillars and highstate)
# Every 5 seconds
osmax.inventory.job.salt-assignment-update.cron.expr=0/5 * * ? * *
###############################################################################
# Multimedia service section #
###############################################################################
# contains a list of S3 server URIs
osmax.multimedia.s3.server-uri-list=http://localhost:9000,http://localhost:9900
## To enable SSL connection mode replace 'osmax.multimedia.s3.server-uri-list' parameter with following value:
#osmax.multimedia.s3.server-uri-list=https://localhost:9000,https://localhost:9900
osmax.multimedia.s3.access-key-id=s3adminMultimedia
osmax.multimedia.s3.secret-access-key=s3adminMultimediaPassword
osmax.multimedia.s3.region=ru-location-1
osmax.multimedia.s3.connection-timeout=1s
osmax.multimedia.s3.num-retries=3
osmax.multimedia.s3.initial-retry-delay-millis=100
osmax.multimedia.s3.max-retry-delay-millis=1000
osmax.multimedia.s3.icons-bucket-name=multimedia-bucket
osmax.multimedia.s3.images-bucket-name=multimedia-bucket
osmax.multimedia.s3.others-bucket-name=multimedia-bucket
osmax.multimedia.s3.script-bucket-name=script-bucket
osmax.multimedia.common.max-file-size-kb=1024
osmax.multimedia.common.download-token-ttl-seconds=3600
osmax.multimedia.common.expired-tokens-deletion-cron=0 0 * ? * *
# Contains current nginx frontend uri, used to form bootstrap script installation link
osmax.multimedia.common.frontend-uri=http://localhost:8081
###############################################################################
# Configurations manager section #
###############################################################################
# Determines maximum amount of categories per one configuration
osmax.catalog.category.configuration-limit=5
# Determines total amount of categories
osmax.catalog.category.total-limit=15
# Determines maximum salt-agent installation script file size in megabytes
osmax.catalog.script.max-script-size-mbytes=10
# Determines allowed interval in milliseconds between comparing dates
# Under this interval the two dates will be considered equal
# Deprecated since 1.11.0
# osmax.catalog.common.dates-comparing-accuracy-millis=100
# use osmax.optimistic-locks.dates-comparing-accuracy-millis
###############################################################################
# Software inventory section #
###############################################################################
osmax.inventory.software.sync-cache-data-cron=0 0 0/1 ? * *
osmax.inventory.software.stale-cache-data-age-minutes=120
osmax.inventory.software.executable-files.base-path-scan=/home/
# Comma separated sections list which packages will be ignored
osmax.inventory.software.packages.sections-blacklist=libs,non-free/libs,devel
###############################################################################
# Logging section #
###############################################################################
# Common logging config
quarkus.log.file.enable=true
quarkus.log.json.file.enable=true
quarkus.log.json.console.enable=false
# File logging config
quarkus.log.file.path=/var/log/osmax/core/osmax-core.log
quarkus.log.file.rotation.max-file-size=10M
quarkus.log.file.rotation.max-backup-index=5
quarkus.log.file.rotation.file-suffix=.yyyy-MM-dd.gz
# Json format config
quarkus.log.json.fields.mdc.flat-fields=true
quarkus.log.json.fields.timestamp.date-format=yyyy-MM-dd'T'HH:mm:ss.SSS'Z'
quarkus.log.json.fields.timestamp.zone-id=UTC
# Audit logging config
quarkus.log.handler.file.audit-handler.enable=true
quarkus.log.handler.file.audit-handler.path=/var/log/osmax/core/audit-osmax-core.log
quarkus.log.handler.file.audit-handler.rotation.max-file-size=10M
quarkus.log.handler.file.audit-handler.rotation.max-backup-index=50
quarkus.log.handler.file.audit-handler.rotation.file-suffix=.yyyy-MM-dd
quarkus.log.category."AUDIT".level=INFO
quarkus.log.category."AUDIT".handlers=audit-handler
quarkus.log.category."AUDIT".use-parent-handlers=false
###############################################################################
# Debug section #
# Enable all logging events via environment variable `QUARKUS_PROFILE=debug` #
# or delete `%debug.` prefix #
###############################################################################
# HTTP server access logs (uri + status)
%debug.quarkus.http.access-log.enabled=true
# Internal rest-client
%debug.quarkus.rest-client.logging.scope=request-response
%debug.quarkus.rest-client.logging.body-limit=500
%debug.quarkus.log.category."org.jboss.resteasy.reactive.client.logging".level=DEBUG
%debug.quarkus.log.category."org.jboss.resteasy.reactive.common.core.AbstractResteasyReactiveContext".level=DEBUG
# SaltStack events
%debug.quarkus.log.category."tech.inno.lcm.salt.events".level=DEBUG
# All backend services
%debug.quarkus.log.category."tech.inno.lcm".level=DEBUG
# Kerberos
%debug.quarkus.kerberos.debug=true
%debug.quarkus.log.category."io.quarkiverse.kerberos.runtime.KerberosIdentityProvider".level=TRACE
%debug.quarkus.log.category."io.quarkiverse.kerberos.runtime.KerberosIdentityProvider".min-level=TRACE
# AWS client
%debug.quarkus.log.category."software.amazon.awssdk.request".level=DEBUG
###############################################################################
# Quarkus framework section #
###############################################################################
# application is run under specific user, those settings allow not clashing with other quarkus apps on the same server
quarkus.http.body.uploads-directory=${java.io.tmpdir}/osmax_core_uploads
quarkus.management.body.uploads-directory=${java.io.tmpdir}/osmax_core_uploads
###############################################################################
# Locks section #
###############################################################################
osmax.pessimistic-locks.enabled=true
osmax.pessimistic-locks.auto-unlock.threshold.seconds=3600
osmax.pessimistic-locks.auto-unlock.job.interval.seconds=600
osmax.optimistic-locks.enabled=true
# Determines allowed interval in milliseconds between comparing dates
# Under this interval the two dates will be considered equal hen checking optimistic lock by date
#osmax.optimistic-locks.dates-comparing-accuracy-millis=100
###############################################################################
# Predefined objects properties section #
###############################################################################
osmax.predefined-objects-import.enabled=true
osmax.predefined-objects-import.custom-grains.src=custom-grains
osmax.predefined-objects-import.execution-modules.src=execution-modules
osmax.predefined-objects-import.salt-scripts.src=salt-scripts
osmax.predefined-objects-import.formulas.src=formulas
osmax.predefined-objects-import.formulas.meta.src=formulas-meta
osmax.predefined-objects-import.configurations.meta.src=specifications/meta
osmax.predefined-objects-import.scripts.src=scripts
Перед запуском systemd-службы osmax измените права доступа к конфигурационному файлу, предоставив
доступ только для пользователя, от имени которого она будет запускаться.
|
Для корректной работы продукта задайте пользовательские значения параметров, описанных в таблицах ниже.
Подключение к HTTP-серверу
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Основной порт подключения |
|
|
|
Максимальный размер тела HTTP-сообщения. Влияет на загрузку больших файлов, например, при загрузке формул.
Рекомендуется не устанавливать значение больше |
|
|
Подключение к HTTPS-серверу
| Настройки, описанные в разделе, являются опциональными и используются, только при подключении по протоколу SSL. |
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Возможные значения:
|
|
|
|
Порт для подключения к HTTPS-серверу |
|
|
|
Путь к хранилищу (keystore-файлу), где хранятся закрытые ключи и сертификаты, необходимые для установки защищенного HTTPS-соединения |
|
|
|
Пароль для доступа к keystore-файлу |
|
Аутентификация и авторизация
Параметры quarkus.kerberos.keytab-path и
quarkus.kerberos.service-principal-<name/password/real> являются опциональными и
взаимозаменяемыми. С точки зрения безопасности рекомендуется использовать keytab-файл для
аутентификации в домене и указывать параметр quarkus.kerberos.keytab-path.
|
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
Включение/выключение аутентификации Kerberos. Возможные значения: |
|
|
||
|
(Опциональный параметр) включение/выключение отправки сообщений для отладки Kerberos. Возможные значения: |
|
|||
|
(Опциональный параметр) имя принципала для аутентификации Kerberos |
|
|||
|
(Опциональный параметр) наименование области безопасности (realm) принципала |
|
|||
|
(Опциональный параметр) пароль принципала |
|
|||
|
(Опциональный параметр) путь к keytab-файлу, который содержит зашифрованные ключи и сертификаты, необходимые для аутентификации в домене |
|
|||
|
(Устаревший опциональный параметр) список групп LDAP, пользователи которых авторизованы в графическом интерфейсе администратора |
|
|||
|
Включение/выключение авторизации RBAC |
|
|
||
|
Пользователи, которым будут выданы права суперпользователя
при запуске продукта. Параметр задается, если включена Авторизация RBAC (
|
|
Подключение к БД
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
Имя пользователя для подключения к БД |
|
|
||
|
Пароль пользователя для подключения к БД |
|
|
||
|
Адрес подключения серверной части продукта к БД. Формат: pass:[postgresql://{db_host}:{db_port}/{db_name}]
|
|
|
||
|
Адрес подключения к БД. Параметр используется утилитой Liquibase для актуализации схемы БД. Формат: pass:[jdbc:postgresql://{db_host}:{db_port}/{db_name}]
|
|
|
||
|
Имя схемы данных |
|
|
||
|
Включение/выключение автоматического обновления структуры БД с помощью утилиты Liquibase. Возможные значения: |
|
|
||
|
Имя пользователя с правами только на чтение данных (read-only) для подключения к БД |
|
|
||
|
Пароль пользователя с правами только на чтение данных (read-only) для подключения к БД |
|
|
||
|
Адрес подключения серверной части продукта к БД. Формат: pass:[postgresql://{db_host}:{db_port}/{db_name}]
|
|
|
||
|
Адрес подключения к БД. Формат: pass:[jdbc:postgresql://{db_host}:{db_port}/{db_name}]
|
|
|
Инвентаризация оборудования
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
Cron-выражение в формате Quartz, которое задает расписание выполнения удаленных операций |
|
|
||
|
Cron-выражение в формате Quartz, которое задает расписание обновления данных динамических коллекций устройств |
|
|
||
|
Значение сплэя (splay) в секундах для одноразовой задачи обновления динамических коллекций устройств |
|
|
||
|
Cron-выражение в формате Quartz, которое задает расписание удаления устаревших данных из БД |
|
|
||
|
Максимальное количество атрибутов устройств в одном разделе |
|
|
||
|
Максимальное количество пользовательских атрибутов в одном разделе |
|
|
||
|
Интервал в минутах, в течение которого на агенте (minion) нет активности. По истечению этого интервала сетевой
статус агента (minion) изменяется на неактивный ( |
|
|
||
|
Путь к файлу на сервере с агентом (minion), в котором хранится информация о сессиях пользователей |
|
|
||
|
Путь к файлу на сервере с агентом (minion), в котором хранится информация о текущих сессиях пользователей |
|
|
||
|
Включение/выключение режима мульти-мастер |
|
|
||
|
Абсолютный локальный путь до каталога, который содержит файлы скриптов загрузки агентов (minions).
|
|
|
||
|
(Опциональный параметр) имя пользователя SSH, который используется при загрузке агента (minion) |
||||
|
(Опциональный параметр) пароль пользователя SSH, который используется при загрузке агента (minion) |
||||
|
(Опциональный параметр) путь к приватному ключу SSH, который используется при загрузке агента (minion) |
Интеграция с источниками данных LDAP
|
Нумерация массива Параметры подключения к домену №2 аналогичны параметрам домена №1. Пример:
|
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
Включение JNDI (Java Naming and Directory Interface) для обнаружения в домене MS AD
при определении параметра |
|
|
||
|
Максимальное количество записей, которое возвращается в ответ на один запрос синхронизации с LDAP-сервером. Чем больше значение, тем больше данных LDAP-серверу необходимо обработать в рамках одного запроса. Чем меньше значение, тем дольше выполняется синхронизация |
|
|
||
|
Название источника данных (например, имя домена) |
|
|
||
|
Базовое имя домена в формате LDAP |
|
|
||
|
Имя пользователя для подключения к домену LDAP-сервера. Может быть указано в одном из следующих форматов:
|
|
|
||
|
Пароль пользователя для подключения к домену LDAP-сервера |
|
|
||
Группа опциональных параметров, которые используются для явного указания пулов адресов/имен хостов с источниками данных LDAP:
|
|||||
|
IP-адрес или сетевое имя контроллера домена (LDAP-сервера) |
|
|||
|
Порт для соединения по протоколу LDAP |
|
|||
Группа (массив) опциональных адресов/портов дополнительных LDAP-серверов (контроллеров доменов):
|
|||||
|
Опциональный параметр, в котором задается хост дополнительного LDAP-сервера указанного источника (домена) |
|
|||
|
Опциональный параметр, в котором задается порт дополнительного LDAP-сервера указанного источника (домена) |
|
|||
Опциональный параметр, который используются для настройки пулов имен хостов через использование записей DNS SRV для обнаружения LDAP-серверов из домена MS AD.
|
|||||
|
(Опциональный параметр) Запись SRV (Service) в DNS, которая используется для обнаружения и автоматического определения конфигурации LDAP-сервера.
|
|
|||
Опциональные параметры: |
|||||
|
Максимальная длительность подключения к LDAP-серверу в миллисекундах. Значение |
|
|||
|
Максимальная длительность выполнения запроса к LDAP-серверу в миллисекундах. Значение
|
|
|||
|
Параметр, который отвечает за освобождение соединения в случае превышения максимальной длительности ожидания запроса.
Возможные значения: |
|
|||
|
Параметр, указывающий, разрешать ли использование экземпляра фабрики сокетов (который может совместно использоваться
несколькими соединениями) для одновременного создания нескольких сокетов. Возможные значения: |
|
|||
Интеграция с источниками данных LDAP по протоколу SSL
| Группы параметров, описанные ниже, являются опциональными и настраиваются при подключении к LDAP-серверу по протоколу SSL. |
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Параметр, отвечающий за соединение по протоколу SSL (LDAPS). Возможные значения:
|
|
|
|
Параметр, определяющий, должна ли система доверять всем SSL-сертификатам при подключении к LDAP-серверу |
|
|
|
Относительный или абсолютный путь к файлу с сертификатом для подключения через LDAPS. Опциональный параметр |
|
|
Группа параметров, которая позволяет задать путь к файлу доверенного хранилища сертификатов отдельно для каждого источника данных LDAP (значение задается с 0) |
|||
|
Путь к файлу хранилища доверенных сертификатов (truststore) для указанного источника данных LDAP |
|
|
|
Тип хранилища доверенных сертификатов для указанного источника данных LDAP |
|
|
|
Пароль для доступа к хранилищу доверенных сертификатов указанного источника данных LDAP |
|
|
Группа параметров, которая позволяет задать путь к общему доверенному хранилищу сертификатов для всех источников данных LDAP: |
|||
|
Путь к файлу хранилища доверенных сертификатов (truststore) для источника данных LDAP |
|
|
|
Тип хранилища доверенных сертификатов для источника данных LDAP, например |
|
|
|
Пароль для доступа к хранилищу доверенных сертификатов источника данных LDAP |
|
|
|
Пример значения параметров для использования системных сертификатов: #путь к трастору от cacert по умолчанию osmax.inventory.ldap.datasource[2].ssl-trust-store=/etc/ssl/certs/java/cacerts osmax.inventory.ldap.datasource[2].ssl-trust-store-type=JKS #пароль к трастору от cacert по умолчанию osmax.inventory.ldap.datasource[2].ssl-trust-store-password=changeit |
Работа с веб-интерфейсом «Магазин приложений»
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Период времени (в часах), по истечению которого заявка считается невыполненной |
|
|
|
Cron-выражение в формате Quartz задающее расписание выполнения проверки долго выполняющихся заказов, после которой они будут считаться невыполненными |
|
|
Интеграция с Apache Kafka
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Адрес сервера для подключения к брокеру Apache Kafka, который используется для получения сообщений от серверов управления (masters) |
|
|
|
Топик Apache Kafka, в который поступают сообщения от серверов управления (masters) |
|
|
|
Топик Apache Kafka для исходящих сообщений при взаимодействии с модулем |
|
|
|
Топик Apache Kafka для входящих сообщений при взаимодействии с модулем |
|
|
|
Топик Apache Kafka, в который поступают сообщения от модуля |
|
|
|
Топик Apache Kafka для сообщений об ошибках при передаче информации о новых устройствах в БД |
|
|
Группа опциональных параметров (подробнее о настройке параметров см. в официальной документации Quarkus) |
|||
|
Максимальное количество попыток повторной обработки сообщения в случае возникновения ошибки |
|
|
|
Задержка между попытками повторной обработки (в миллисекундах) |
|
|
|
Параметр, который добавляет случайное значение к задержке, чтобы избежать ситуации, когда множество сообщений обрабатываются одновременно (например, при массовом сбое) |
|
|
Настройка SSL-соединения с Apache Kafka
| Параметры из данного блока являются опциональными и задаются, только если требуется SSL для Apache Kafka. |
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
SSL-протокол для защищенного соединения |
|
|
|
Путь к файлу с сертификатами в хранилище доверенных сертификатов (truststore) |
|
|
|
Пароль для доступа к хранилищу доверенных сертификатов |
|
|
|
Тип хранилища, например |
|
|
|
Путь к файлу с закрытыми ключами и сертификатами клиента в хранилище ключей (keystore) |
|
|
|
Пароль для доступа к хранилищу ключей |
|
|
|
Тип хранилища, например |
|
Настройки REST-клиентов
| Настройки, описанные в разделе, являются опциональными и используются, только при подключении по протоколу SSL. |
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Путь к файлу хранилища доверенных сертификатов (truststore), который содержит сертификаты доверенных центров сертификации |
|
|
|
Пароль для доступа к хранилищу доверенных сертификатов |
|
|
|
Тип хранилища, например |
|
|
|
Отключение проверки SSL-соединения |
|
Интеграция с API SaltStack
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
Протокол, который используется для отправки HTTP-запросов между компонентами
Salt Adapter и Command Runner модуля координации. Возможные значения: |
|
|
||
|
Порт, на котором запускается API-модуль сервера управления (master). Значение параметра задается для всех используемых серверов управления (masters) |
|
|
||
|
Тип аутентификации для запросов. Значение параметра задается для всех используемых
серверов управления (masters). Возможные значения:
|
|
|
||
|
Логин для подключения к серверу управления (master). Значение параметра задается для всех используемых серверов управления (masters) |
|
|
||
|
Пароль для подключения к серверу управления (master). Значение параметра задается для всех используемых серверов управления (masters) |
|
|
||
|
Количество попыток выполнения команды, после неудачной попытки |
|
|
||
|
Начальное время задержки перед повторной попыткой выполнения команды после неудачной попытки |
|
|
||
|
Максимальное время задержки перед повторной попыткой выполнения команды. Если команда не выполняется успешно даже после максимальной задержки, она завершится ошибкой |
|
|
||
Опциональные параметры: |
|||||
|
Имя машины, на которой установлен сервер управления (master)
|
|
|||
|
Полный адрес API-модуль сервера управления (master), указанного в параметре
|
|
|||
Интеграция с модулем «Удаленный доступ»
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
URL-адрес для подключения к модулю «Удаленный доступ» |
|
|
|
Аккаунт для входа в модуль «Удаленный доступ» |
|
|
|
Пароль от аккаунта для входа в модуль «Удаленный доступ» |
|
|
Опциональные параметры, которые используются для расширенной настройки REST-клиента Quarkus модуля «Удаленный доступ»: |
|||
|
Таймаут соединения при обращении к удаленному серверу |
||
|
Время ожидания ответа у удаленной конечной точки (endpoint) в миллисекундах |
||
|
Путь к файлу доверенных сертификатов для проверки подлинности удаленного сервера |
||
|
Пароль для доступа к файлу доверенных сертификатов |
||
|
Тип хранилища доверенных сертификатов (например, JKS) |
||
|
Путь к файлу с ключами (keystore) для аутентификации при обращении к удаленному серверу |
||
|
Пароль для доступа к файлу с ключами (keystore) |
||
|
Тип хранилища ключей (например, JKS) |
||
|
Параметр, определяющий, должно ли проверяться доменное имя удаленного сервера при установке соединения |
||
|
Длительность соединения с удаленным сервером |
||
Интеграция с S3-совместимым хранилищем
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
URI для подключения к S3-совместимому хранилищу, в котором хранятся файлы SaltStack.
|
|
|
||
|
Идентификатор ключа (access Key) S3-совместимого хранилища |
|
|
||
|
Секретный ключ (Secret Key) S3-совместимого хранилища |
|
|
||
|
Название региона S3.
|
|
|
||
|
Таймаут соединения с S3-совместимым хранилищем |
|
|
||
|
Максимальное количество попыток повторного подключения к S3-совместимому хранилищу после неудачного подключения |
|
|
||
|
Начальная задержка перед повторной попыткой подключения в миллисекундах |
|
|
||
|
Максимальная задержка перед повторной попыткой подключения в миллисекундах |
|
|
||
|
Название бакета S3 для хранения общих файлов конфигураций и файлов состояний |
|
|
||
|
Название бакета S3 для хранения исполняемых файлов (скриптов), предназначенных для установки агентов (minions) на устройства |
|
|
||
|
Cron-выражение в формате Quartz задающее расписание,
согласно которому выполняется задание на синхронизацию pillar-файлов |
|
|
||
|
Cron-выражение в формате Quartz задающее расписание, согласно которому выполняется задание на синхронизацию прочих Salt-файлов в S3-совместимом хранилище |
|
|
Хранение мультимедиа-файлов в S3-совместимом хранилище
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения | ||
|---|---|---|---|---|---|
|
URI для подключения к S3-совместимому хранилищу, в котором хранятся мультимедиа-файлы продукта (иконки, скриншоты).
|
|
|
||
|
Идентификатор ключа (access Key) S3-совместимого хранилища мультимедиа-контента |
|
|
||
|
Секретный ключ (Secret Key) S3-совместимого хранилища мультимедиа-контента для доступа к сервису S3 (пароль) |
|
|
||
|
Название региона S3 для хранилища мультимедиа-контента
|
|
|
||
|
Таймаут соединения с S3-совместимым хранилищем |
|
|
||
|
Максимальное количество попыток повторного подключения к S3-совместимому хранилищу, после неудачного подключения |
|
|
||
|
Начальная задержка перед повторной попыткой подключения в миллисекундах |
|
|
||
|
Максимальная задержка перед повторной попыткой подключения в миллисекундах |
|
|
||
|
Название бакета S3 для хранения иконок |
|
|
||
|
Название бакета S3 для хранения изображений и скриншотов |
|
|
||
|
Название бакета S3 для хранения прочего контента |
|
|
||
|
Название бакета S3 для хранения исполняемых файлов (скриптов), предназначенных для установки агентов (minions) на устройства |
|
|
||
|
Максимальный размер загружаемого в S3-совместимое хранилище файла (например, формулы SaltStack) в килобайтах |
|
|
||
|
Время жизни токена для загрузки в секундах (TTL — Time To Live) |
|
|
||
|
Cron-выражение в формате Quartz задающее расписание, согласно которому удаляются устаревшие токены |
|
|
||
|
Текущий Nginx URI фронтенда (модуля |
http://${osmax-nginx-ui-uri}/api
|
http://${osmax-nginx-ui-uri}/api
|
Управление конфигурациями
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Максимальное количество категорий для одной конфигурации |
|
|
|
Общее число категорий |
|
|
|
Максимальный размер файла скрипта установки агентов (minions) в мегабайтах |
|
|
Инвентаризация ПО
|
Основные настройки сбора данных о ПО на устройстве выполняются в пользовательском интерфейсе «Кабинет администратора»:
|
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Cron-выражение в формате Quartz,
которое задает расписание выполнения задания на синхронизацию кэша |
|
|
|
Время в минутах, через которое некомплектные данные в кэше начинают считаться невалидными и подлежат удалению |
|
|
|
Базовый каталог для сканирования исполняемых файлов |
|
|
|
Список секций, пакеты которых должны быть исключены из сканирования. Значения указываются через запятую |
|
|
Логирование
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Активация логирования в файл. Возможные значения: |
|
|
|
Включение/выключение форматирования логов в JSON при записи в файл |
|
|
|
Включение/выключение форматирования логов в JSON при выводе в консоль |
|
|
|
Путь к основному файлу журнала, куда записываются логи продукта |
|
|
|
Максимальный размер одного файла с логами, при достижении которого производится ротация (создается следующий файл и продолжается запись) |
|
|
|
Предельное количество сохраняемых файлов с логами при ротации |
|
|
|
Суффикс для имен файлов логов после их ротации |
|
|
|
Параметр, который указывает, что контекст MDC (Mapped Diagnostic Context) должен быть записан в плоском формате |
|
|
|
Формат даты и времени для поля timestamp в JSON |
|
|
|
Часовой пояс для поля timestamp в JSON |
|
|
|
Включение/выключение обработчика для логов аудита |
|
|
|
Путь к файлу, в который записываются логи аудита |
|
|
|
Максимальный размер файла логов аудита до переноса в исторический файл |
|
|
|
Максимальное количество резервных копий файлов логов аудита |
|
|
|
Суффикс для имен файлов логов аудит после их ротации |
|
|
|
Настройка уровня логирования. Возможные значения:
При необходимости вы можете указать уровни логирования для конкретных компонентов системы, используя маску: quarkus.log.category.<"system module"> Пример: quarkus.log.category."AUDIT".level=DEBUG |
|
|
|
Обработчик, который используется для категории "AUDIT" |
|
|
|
Включение/выключение использования родительских обработчиков для категории "AUDIT" |
|
|
Отладка
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Включение/выключение логирования доступа к HTTP-серверу (uri и статус). Возможные значения: |
|
|
|
Уровень логирования для внутреннего REST-клиента, который записывает информацию о запросах и ответах |
|
|
|
Размер тела запроса/ответа |
|
|
|
Уровень логирования для пакета |
|
|
|
Уровень логирования для класса |
|
|
|
Уровень логирования для событий SaltStack |
|
|
|
Уровень логирования для всех сервисов бэкенда, начинающихся с |
|
|
|
Включение/выключение дополнительного логирования для аутентификации Kerberos. Возможные значения: |
|
|
|
Уровень логирования для класса |
|
|
|
Минимальный уровень логирования для класса |
|
|
|
Уровень логирования для категории запросов к сервисам Amazon AWS SDK |
|
|
|
Для того чтобы в лог файле на стандартном уровне логирования подробно отображались все события Kerberos:
|
Фреймворк Quarkus
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Каталог для временного хранения файлов, загружаемых посредством API |
|
|
|
Каталог для временного хранения файлов, загружаемых посредством служебных API |
|
|
Блокировка объектов при одновременной работе нескольких администраторов
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Включение/выключение пессимистичной блокировки для коллекции |
|
|
|
Период времени, через который захваченная блокировка автоматически снимется |
|
|
|
Интервал запуска задания, которое снимает «зависшие» блокировки |
|
|
|
Включение/выключение оптимистической блокировки для коллекции |
|
|
|
|
Допустимый интервал в миллисекундах для сравнения дат. Если две даты находятся в пределах этого интервала, они будут считаться равными |
|
Импорт предустановленных объектов
| Наименование | Описание | Значение по умолчанию/Шаблон значения | Пример значения |
|---|---|---|---|
|
Включение/выключение автоматического импорта при старте продукта |
|
|
|
Директория для хранения пользовательских grain-файлов |
|
|
|
Директория для хранения файлов исполняемых модулей |
|
|
|
Директория для хранения файлов Salt-скриптов, исполняемых на агентах (minions) |
|
|
|
Директория для хранения файлов формул |
|
|
|
Директория для хранения файлов с метаданными формул |
|
|
|
Директория для хранения файлов с метаданными конфигураций |
|
|
|
Директория для хранения файлов скриптов установки агента (minion) |
|
|