Конфигурация сервера аутентификации
Для редактирования конфигурационного файла выполните команду:
sudo nano /etc/echelon/komrad/pauth-server.yamlID: d1cf1e94-2e56-4223-a683-caa8b2e17d88
apidocs: http://localhost:2020/swagger/apidocs.swagger.json (1)
database: postgres://postgres:pass@pg-preferences:5432/pauth-preferences?sslmode=verify-full&sslcert=/var/lib/echelon/komrad/certs/client.pem&sslkey=/var/lib/echelon/komrad/certs/client-key.pem&sslrootcert=/var/lib/echelon/komrad/certs/ca.pem (2)
grpcserver: :2021
grpcservercrypt: tls (3)
grpcserverca: /var/lib/echelon/komrad/certs/ca.pem (4)
grpcservercert: /var/lib/echelon/komrad/certs/server.pem (5)
grpcserverkey: /var/lib/echelon/komrad/certs/server-key.pem (6)
httpserver: :2020
swaggerurl: :2023
SessionTTL: 24h (7)
Roles:
- user
- admin
DefaultRole: user (8)
RootPassword: non-secure
MinPasswordEntropyBits: 70
Rules:
user:
- /app/.*
- /api/.*
- /pauth_server.user.v1.UserService/.*
- /api/connection/websocket
admin:
- /.*
- /api/connection/websocket
- /api/user/service
AuthProviders:
- kind: internal
priority: 10
enabled: true
- kind: ldap
priority: 20
enabled: true
ldap: (9)
url: ldap://echelon.lan:389 (10)
search-dn: search-dn (11)
search-password: search-password (12)
base-dn: dc=echelon,dc=lan (13)
uid: sAMAccountName (14)
scope: 2 (15)
connection-timeout: 30 (16)
tls: (17)
enabled: false
group-conf:
filter: objectclass=Group
membership-attribute: memberof
group-roles:
- group-to-org-role:
group-dn: cn=dep_development,cn=Groups,dc=echelon,dc=lan
org-role: admin| 1 | подключение API документации; |
| 2 | подключение к БД PostreSQL в формате URL; |
| 3 | режим работы защищённого соединения с источниками с использованием сертификатов TLS для передачи шифрования данных gRPC сервера; |
| 4 | корневые сертификаты выпущенные внутренним либо внешним доверенным Центром Сертификации; |
| 5 | сертификат используемый для аутентификации TLS; |
| 6 | приватный ключ сертификта TLS; |
| 7 | продолжительность времени перед тем как будет сброшен сеанс; |
| 8 | роль по умолчанию пользователя; |
| 9 | настройка LDAP протокола; |
| 10 | адрес провайдера аутентификации; |
| 11 | отличительное имя пользователя, доступное только для чтения, которое будет использовано для аутентификации с LDAP-сервером, чтобы извлечь информацию пользователя; |
| 12 | пароль пользователя, доступный только для чтения, который будет аутентифицирован с LDAP-сервером для того, чтобы извлечь информацию пользователя; |
| 13 | базовое отличительное имя для каталога; |
| 14 | ключ входа для использования в качестве идентификатора пользователя. Если передать null как значение данной опции, тогда по умолчанию будет использоваться sAMAccountName; |
| 15 | глубина поиска; |
| 16 | таймут LDAP соединения, в секундах, по умолчанию 30; |
| 17 | включение шифрования передачи данных LDAP протокола; |