Настройка сервера приложений

Настройка сервера приложений выполняется в файле data/webengine.cfg. Особенности настройки параметров приведены в следующей таблице:

Параметр

Назначение

Значение по умолчанию

Примечание

http_port

Порт для клиентских HTTP подключений

0

Не требует сертификат

https_port

Порт для клиентских HTTPS подключений

0

allow_anonymous_login

Разрешает анонимный логин с пустыми именем пользователя и паролем

false

Исключительно для целей отладки

session_timeout_minutes

Количество минут, в течение которых будут удерживаться сессии неактивных пользователей

5

Минимальное значение - 1, максимальное значение - 1440 (т.е. не более 1 дня)

generate_kerberos_config

Включить генерацию простого файла krb5.conf.generated для GSSAPI аутентификации. Условия для генерации: пустой путь к krb5.conf и не пустые ldap_host и ldap_domain. Файл будет сгенерирован согласно данным, предоставленным в данном конфигурационном файле

false

ldap_host

Полное доменное имя машины с LDAP сервером. Обязательно следует указывать ldap:// или ldaps:// протоколы, например, ldap://dc1.domain.local. Дополнительно, может понадобиться добавить строку вида 192.168.1.16 dc1.domain.local dc1.domain dc1 в файл /etc/hosts. Важно, чтобы первый хост был в форме FQDN, в противном случае может возникать ошибка вида the digest-uri does not match any LDAP SPN’s registered for this server…​

Обязательный параметр

ldap_domain

Имя используемого домена. Данный домен также используется как реалм по умолчанию для Kerberos аутентификации

ldap_page_size

Количество записей на страницу в постраничном поиске LDAP (0 означает неограниченное)

300

ldap_do_not_use_sasl

Пропустить шаг SASL аутентификации и попытаться использовать сразу "simple bind"

false

ldap_naming_context

Список DN-ов, с которых следует начинать поиск пользователей и групп. Данный список будет автоматически добавлен в списки ldap_user_naming_context и ldap_group_naming_context

Многострочный параметр

ldap_user_naming_context

Список DN-ов, с которых следует начинать поиск пользователей

Многострочный параметр

ldap_group_naming_context

Список DN-ов, с которых следует начинать поиск групп

Многострочный параметр

ldap_allowed_entry

Список DN-ов групп (или пользователей), чьи члены будут иметь доступ к PolyAnalyst Grid

Многострочный параметр

ldap_additional_entry

Список DN-ов групп, которые будут дополнительно зарегистрированы (с их подгруппами) в PolyAnalyst Grid

Многострочный параметр

ldap_admin_entry

Список DN-ов групп (или пользователей), чьи члены будут иметь административный доступ к PolyAnalyst Grid

Многострочный параметр

ldap_user_dn_variant

Список вариантов пользовательских DN-ов в форме, например, uid=%{UserName}%,ou=people,dc=ru, где %{UserName}% - это подставляемое значение введенного имени пользователя. Все остальные части строки остаются как есть при попытке "simple" аутентификации. Можно указывать несколько вариантов строки.

Многострочный параметр

ldap_service_login, ldap_service_password

Учетные данные сервисного аккаунта для обхода LDAP директории. Если они указны, то все операции поиска в LDAP будут происходить только от имени этого пользователя. В случае использования "simple bind" механизма аутентификации, параметр ldap_service_login должен иметь форму полного DN, иначе он может быть обычным именем пользователя. При использовании сервисного LDAP аккаунта параметр ldap_user_dn_variant более не используется, т.к. атрибуты пользователя будут получены с помощью сервисного аккаунта.

ldap_preset_name

Имя предопределенной конфигурации LDAP. Возможные значения см. ниже.

Можно не указывать, если все ldap параметры заданы вручную.

ldap_users_filter

Строка фильтра поиска для пользователей

ldap_groups_filter

Строка фильтра поиска для групп

ldap_user_name_attrs

Атрибуты имени пользователя

Список с точкой с запятой в качестве разделителя

ldap_user_mail_attr

Атрибут адреса электронной почты пользователя

ldap_user_login_attr

Атрибут логина пользователя

ldap_user_upn_attr

Атрибут userPrincipalName

ldap_user_saman_attr

Атрибут sAMAccountName

Только для AD

ldap_object_guid_attr

Атрибут objectGUID

Только для AD

ldap_group_name_attrs

Атрибуты имени группы

Список с точкой с запятой в качестве разделителя

ldap_group_login_attr

Атрибут логина группы

ldap_uid_number_attr

Атрибут uidNumber

Только для POSIX

ldap_gid_number_attr

Атрибут gidNumber

Только для POSIX

ldap_member_of_attr

Атрибут членства в группе memberOf

ldap_member_attr

Атрибут членов группы member

ldap_user_id_attr

Атрибут пользователя, указываемый атрибутом member

ldap_group_id_attr

Атрибут группы, указываемый атрибутами member или memberOf
Предопределенные конфигурации LDAP

ldap_preset_name = AD

  • ldap_users_filter = (objectClass=user)

  • ldap_groups_filter = (objectClass=group)

  • ldap_user_name_attrs = displayName;cn;name

  • ldap_user_mail_attr = mail

  • ldap_user_upn_attr = userPrincipalName

  • ldap_user_saman_attr = sAMAccountName

  • ldap_object_guid_attr = objectGUID

  • ldap_group_name_attrs = cn;name

  • ldap_group_login_attr = sAMAccountName

  • ldap_member_of_attr = memberOf

  • ldap_member_attr = member

  • ldap_user_id_attr = distinguishedName

  • ldap_group_id_attr = distinguishedName

ldap_preset_name = UNIQUE

  • ldap_users_filter = (objectClass=inetOrgPerson)

  • ldap_groups_filter = (objectClass=groupOfUniqueNames)

  • ldap_user_name_attrs = cn

  • ldap_user_mail_attr = mail

  • ldap_user_login_attr = uid

  • ldap_group_name_attrs = cn

  • ldap_group_login_attr = cn

  • ldap_member_attr = uniqueMember

  • ldap_user_id_attr = dn

  • ldap_group_id_attr = dn

ldap_preset_name = POSIX

  • ldap_users_filter = (objectClass=inetOrgPerson)

  • ldap_groups_filter = (objectClass=posixGroup)

  • ldap_user_name_attrs = cn

  • ldap_user_mail_attr = mail

  • ldap_user_login_attr = uid

  • ldap_group_name_attrs = cn

  • ldap_group_login_attr = cn

  • ldap_uid_number_attr = uidNumber

  • ldap_gid_number_attr = gidNumber

  • ldap_member_attr = memberUid

  • ldap_user_id_attr = uid