Конфигурация сервера аутентификации

Для редактирования конфигурационного файла выполните команду:

sudo nano /etc/echelon/komrad/pauth-server.yaml
ID: d1cf1e94-2e56-4223-a683-caa8b2e17d88
apidocs: http://localhost:2020/swagger/apidocs.swagger.json (1)
database: postgres://postgres:pass@pg-preferences:5432/pauth-preferences?sslmode=verify-full&sslcert=/var/lib/echelon/komrad/certs/client.pem&sslkey=/var/lib/echelon/komrad/certs/client-key.pem&sslrootcert=/var/lib/echelon/komrad/certs/ca.pem (2)
grpcserver: :2021
grpcservercrypt: tls (3)
grpcserverca: /var/lib/echelon/komrad/certs/ca.pem (4)
grpcservercert: /var/lib/echelon/komrad/certs/server.pem (5)
grpcserverkey: /var/lib/echelon/komrad/certs/server-key.pem (6)
httpserver: :2020
swaggerurl: :2023
SessionTTL: 24h (7)
Roles:
  - user
  - admin
DefaultRole: user (8)
RootPassword: non-secure
MinPasswordEntropyBits: 70
Rules:
  user:
    - /app/.*
    - /api/.*
    - /pauth_server.user.v1.UserService/.*
    - /api/connection/websocket
  admin:
    - /.*
    - /api/connection/websocket
    - /api/user/service
AuthProviders:
  - kind: internal
    priority: 10
    enabled: true
  - kind: ldap
    priority: 20
    enabled: true
    ldap: (9)
      url: ldap://echelon.lan:389 (10)
      search-dn: search-dn (11)
      search-password: search-password (12)
      base-dn: dc=echelon,dc=lan (13)
      uid: sAMAccountName (14)
      scope: 2 (15)
      connection-timeout: 30 (16)
      tls: (17)
        enabled: false
      group-conf:
        filter: objectclass=Group
        membership-attribute: memberof
      group-roles:
        - group-to-org-role:
            group-dn: cn=dep_development,cn=Groups,dc=echelon,dc=lan
            org-role: admin
1 подключение API документации;
2 подключение к БД PostreSQL в формате URL;
3 режим работы защищённого соединения с источниками с использованием сертификатов TLS для передачи шифрования данных gRPC сервера;
4 корневые сертификаты выпущенные внутренним либо внешним доверенным Центром Сертификации;
5 сертификат используемый для аутентификации TLS;
6 приватный ключ сертификта TLS;
7 продолжительность времени перед тем как будет сброшен сеанс;
8 роль по умолчанию пользователя;
9 настройка LDAP протокола;
10 адрес провайдера аутентификации;
11 отличительное имя пользователя, доступное только для чтения, которое будет использовано для аутентификации с LDAP-сервером, чтобы извлечь информацию пользователя;
12 пароль пользователя, доступный только для чтения, который будет аутентифицирован с LDAP-сервером для того, чтобы извлечь информацию пользователя;
13 базовое отличительное имя для каталога;
14 ключ входа для использования в качестве идентификатора пользователя. Если передать null как значение данной опции, тогда по умолчанию будет использоваться sAMAccountName;
15 глубина поиска;
16 таймут LDAP соединения, в секундах, по умолчанию 30;
17 включение шифрования передачи данных LDAP протокола;

Настройка выводов логов приложения

Сервис может отправлять логи сразу в несколько целей: файл, системный журнал ОС, консоль, syslog.

log:
- filename: stdout
  format: color
  filter: ""
  levels:
  - all