Общее описание

Система NAICE поставляется в виде образов для запуска контейнеров в системе контейнеризации и управления приложениями Docker. Для управления всеми компонентами системы используется плагин Docker Compose, предназначенный для решения различных задач для мультиконтейнерных приложений.

Для автоматизации установки используются плейбуки Ansible.

Установка

Ниже приведена инструкция по выполнению однохостовой установки.

Инструкция по установке с резервированием системы приведена в статьях v1.1_3.4 Установка с резервированием (c использованием VRRP) и v1.1_3.5 Установка с резервированием (без использования VRRP).

Возможна онлайн и оффлайн установка.

Установка онлайн возможна на все поддерживаемые типы ОС и описана далее.

Оффлайн установка (закрытый контур) описана в разделе v1.1_3.3.1 Установка в закрытом контуре (одиночная "Stand-Alone")

Установка Ansible

Для запуска плейбуков необходимо установить Ansible на хост, с которого есть доступ по SSH до целевого хоста.

Рекомендуемая ОС хоста для запуска плейбука - Ubuntu 24.04.

Минимальная версия Ansible для корректной работы плейбуков установки 2.16.3.

Для корректной установки на ОС Astra Linux 1.7.5 / 1.7.6 требуется версия Ansible не выше 2.17.12.

Официальная документация по установке Ansible.

Установить на хост, с которого будет выполняться запуск плейбуков ansible через утилиту apt: (включая необходимую для корректной работы утилиту sshpass):

sudo apt install ansible sshpass -y

Установить ansible коммьюнити docker версии 4.7.0. Для этого требуется скачать и поместить на целевой хост файл community-docker-4.7.0.tar.gz.

wget https://cloud.eltex-co.ru/index.php/s/9Hv6p4yz611fDXb/download -O community-docker-4.7.0.tar.gz

Установить коммьюнити командой (без использования sudo):

ansible-galaxy collection install community-docker-4.7.0.tar.gz

Проверить версию коммьюнити:

ansible-galaxy collection list | grep community.docker
community.docker                         4.7.0  
community.docker                         X.X.X

Получение файлов для работы плейбука

NAICE является лицензируемым продуктом, для активации функционала необходима лицензия. См. v1.1_2. Лицензирование.

На момент установки наличие лицензии необязательно.

До активации лицензии используется демо режим, в котором ограничено максимально количество сетевых устройств, активных эндпоинтов, активных гостевых эндпоинтов количеством 15 шт.

Для разворачивания системы в онлайн режиме необходимо скачать и поместить на хост, с которого будет выполняться запуск плейбука архив последней версии со страницы v1.1_1.5 Стабильные версии.

wget https://cloud.eltex-co.ru/index.php/s/G0wJE659UK2Rw8N/download -O ansibleNaice-v1.1-06-03-2026.tar.gz

Затем необходимо распаковать архив:

tar xzvf ansibleNaice-v1.1-06-03-2026.tar.gz

Зайти в папку с плейбуками:

cd ansibleNaice-v1.1-06-03-2026

Настройка доступа к хостам для установки

Используется доступ к целевому хосту по логину / паролю

Для настройки хоста, на который будет выполняться развертывание системы, требуется отредактировать файл inventory/hosts.yml. В переменной ansible_host необходимо указать IP-адрес или доменное имя целевого хоста, а так же логин, пароль, пароль sudo для доступа к целевому хосту, на котором будет разворачиваться NAICE:

---
common:
  hosts:
    # Хост для выполнения stand-alone установки NAICE
    common_host:
      ansible_host: <IP-адрес или доменное имя хоста для NAICE> 
      ansible_user: <логин пользователя>
      ansible_ssh_pass: <пароль пользователя>
      ansible_become_pass: <пароль для повышения привилегий (sudo)>

Указанный IP-адрес или доменное имя хоста будет добавлен в параметр в Subject Alternative Name при генерации самоподписанного сертификата во время установки сервисов NAICE.

Используется доступ к целевому хосту по SSH ключу

По умолчанию предполагается, что используется доступ к хосту по логину паролю. Если используется режим доступа по SSH ключу (предварительно необходимо сгенерировать и поместить ключ на целевой хост), необходимо изменить настройки в файле ansible.cfg:

[defaults]
inventory = hosts.yml
host_key_checking = True
private_key_file = <путь к файлу ключа>
deprecation_warnings = False

и указать параметры доступа к целевому хосту в файле hosts.yml:

---
common:
  hosts:
    common_host:
      ansible_host: <IP-адрес или доменное имя хоста для NAICE>
      ansible_user: <логин пользователя>
      ansible_become_pass: <пароль для повышения привилегий (sudo)>

Проверка корректности настроек доступа

Проверить корректность указанных настроек и наличие доступа до удаленного хоста с помощью команд:

ansible all --list-hosts  # проверить список хостов
ansible all -m ping       # проверить доступ до хостов

Пример вывода, если хост доступен:

common_host | SUCCESS => {
    "ansible_facts": {
        "discovered_interpreter_python": "/usr/bin/python3"
    },
    "changed": false,
    "ping": "pong"
}

Настройка переменных в файле group_vars/all.yml

Настройки переменных указаны в файле group_vars/all.yml и используются для конфигурирования сервисов. Полностью назначение переменных описано в конце статьи в разделе "Приложение А". Система будет работоспособна при использовании значений переменных по умолчанию. Далее описаны наиболее востребованные переменные конфигурации сервисов.

Настройка часового пояса (TZ)

Для корректного отображения времени в системе NAICE необходимо задать следующий параметр в файле конфигурации group_vars/all.yml.

Формат переменной:

time_zone: "Регион/Город"

Например:
time_zone: "Europe/Moscow"

или:
time_zone: "Asia/Novosibirsk"

Замена сертификатов по умолчанию для работы протокола EAP-PEAP

Для работы метода аутентификации EAP-PEAP (по логину/паролю пользователя) требуется наличие валидного сертиката на стороне RADIUS-сервера NAICE. По умолчанию публичный сертификат встроен в контейнер naice-radius и готов к работе. При необходимости замены данный сертификат может быть заменен на другой. Для корректной установки потребуется:
1. Сертификат корневого сервера ЦС;
2. Сертификат для сервера NAICE;
3. Приватный ключ сертификата сервера NAICE.
Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/tls.

В секции переменных плейбука group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-PEAP требуется указать переменные, чтобы включить интеграцию:

# параметры сертификатов
# требует настройки ТОЛЬКО ЕСЛИ планируется использовать сторонний сертификат сервера в radius
# перед запуском плейбука требуется создать папку сертификатов на целевой машине и положить в неё все требуемые сертификаты
# для включения установки сертификатов протокола EAP необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/tls
radius_cert_dir_copy: false   # включить копирование сертификатов из директории ansible/roles/docker/files/tls
radius_certs_ca_cert_file: trusted_server.crt   # имя файла корневого (CA) сертификата
radius_certs_private_key_file: trusted_server.k   # имя файла приватного ключа сертификата сервера
radius_certs_private_key_password:   # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не защищен паролем
radius_certs_certificate_file: trusted_server_chain.crt   # имя файла сертификата сервера

Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:

Параметр	Назначение
radius_cert_dir_copy	Переменная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius.
radius_certs_ca_cert_file	Имя файла корневого сертификата ЦС.
radius_certs_private_key_file	Имя файла приватного ключа сервера.
radius_certs_private_key_password	Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.
radius_certs_certificate_file	Имя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-PEAP.

Добавление сертификатов для работы протокола EAP-TLS

Для работы метода аутентификации EAP-TLS, настройка которой подробно рассмотрена в разделе v1.1_4.6 Настройка EAP-TLS аутентификации, требуется выпустить сертификат, предназначенный для использования NAICE, и расположить его на хосте, с которого будет запускаться выполнение плейбука Ansible. Для корректной установки требуются:
1. Сертификат корневого сервера ЦС;
2. Сертификат для сервера NAICE;
3. Приватный ключ сертификата сервера NAICE.
Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/eap-tls.

В секции переменных плейбука group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-TLS требуется указать переменные, чтобы включить интеграцию:

# параметры для авторизации по протоколу EAP-TLS
# параметры сертификатов
# для включения установки сертификатов протокола EAP-TLS необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/eap-tls
radius_eap_tls_cert_dir_copy: false # включить (true) или выключить (false) копирование сертификатов из директории ansible/roles/docker/files/eap-tls
radius_eap_tls_certs_ca_cert_file: trusted_server.crt # имя файла корневого (CA) сертификата
radius_eap_tls_certs_private_key_file: trusted_server.k # имя файла приватного ключа сертификата сервера
radius_eap_tls_certs_private_key_password:  # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не защищен паролем
radius_eap_tls_certs_certificate_file: trusted_server_chain.crt # имя файла серверного сертификата
# настройки проверки статуса отозванных сертификатов по протоколу OCSP
radius_eap_tls_ocsp_enable: 'true' # Включение проверки статуса отзыва сертификата по протоколу OCSP
radius_eap_tls_ocsp_override_url: 'true' # Использовать URL сервиса OCSP из сертификата
radius_eap_tls_ocsp_url: 'http://100.110.2.12/ocsp' # URL для обращения к сервису OCSP
radius_eap_tls_ocsp_softfail: 'true' # Мягкая проверка доступа к серверу проверки OSCP, если сервер недоступен, процесс не завершится, а продолжится
radius_eap_tls_ocsp_timeout: 0 # Таймаут обращения к серверу OSCP
radius_eap_tls_ocsp_use_nonce: 'true' # Позволяет включить одноразовый код в запрос - nonce, который может быть включен в соответствующий ответ

Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:

Параметр	Назначение
radius_eap_tls_cert_dir_copy	Переменная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius.
radius_eap_tls_certs_ca_cert_file	Имя файла корневого сертификата ЦС.
radius_eap_tls_certs_private_key_file	Имя файла приватного ключа сервера.
radius_eap_tls_certs_private_key_password	Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.
radius_eap_tls_certs_certificate_file	Имя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-TLS.
radius_eap_tls_ocsp_enable	Включить проверку статуса отзыва сертификата по протоколу OCSP (false \| true). По умолчанию false (проверка отключена).
radius_eap_tls_ocsp_override_url	Откуда брать URL OCSP-сервера: false - использовать URL из сертификата клиента; true - использовать URL из настройки radius_eap_tls_ocsp_url. По умолчанию false.
radius_eap_tls_ocsp_url	URL для обращения к OCSP-серверу (разрешен только http-режим).
radius_eap_tls_ocsp_softfail	Поведение в случае недоступности OCSP-сервера (false \| true): false - прекратить аутентификацию, если не удается получить доступ; true - продолжить аутентификацию без проверки отзыва сертификата, если OCSP-сервер не доступен.
radius_eap_tls_ocsp_timeout	Таймаут обращения к серверу OCSP (секунды). По умолчанию 0.
radius_eap_tls_ocsp_use_nonce	Включить одноразовый код nonce в запрос на проверку сертификата для предотвращения подмены запроса (false \| true): false - не включать, true - включить. По умолчанию true.

Прочие переменные (опционально)

При необходимости измените значения других переменных окружения в group_vars/all.yml. Например, можно изменить директорию установки сервисов NAICE или установить адрес NAICE, отличный от адреса управления.

Установка NAICE

Для установки сервисов NAICE в варианте однохостовой инсталляции используется плейбук install-naice.yml.

Запустите плейбук install-naice.yml для установки сервиса контейнеризации Docker, плагина Docker-compose и запуска через этот плагин сервисов NAICE:

ansible-playbook install-naice.yml

Во время установки сервисов NAICE для пользовательских интерфейсов lemmus, gavia и larus автоматически выполняется генерация самоподписанного сертификата. При наличии собственного заверенного сертификата после установки сервисов предусмотрена возможность заменить самоподписанный сертификат на собственный. Подробную информацию об использовании сертификатов безопасности можно найти в разделе v1.1_3.7 Использование сертификатов безопасности.

Время запуска контейнеров в связи с использованием механизма healthcheck для проверки успешности старта сервисов может занять до нескольких минут. Дождитесь полного выполнения плейбука.

Проверка состояния сервисов после установки

Проверить успешность запуска контейнеров можно, перейдя в директорию для установки NAICE (по умолчанию - /etc/docker-naice/ ) и выполнив команду для просмотра списка и статуса контейнеров docker compose ps -a.

Пример показан для ОС Ubuntu 24.04 LTS и может отличаться для других ОС, в зависимости от версии docker compose:

$ sudo docker compose ps -a
NAME             IMAGE                                                           COMMAND                  SERVICE         CREATED         STATUS                   PORTS
epg-service      naice-build-hosted.registry.eltex.loc/naice/epg-service:1.1-3   "/bin/sh -e /usr/loc…"   epg-service     5 minutes ago   Up 5 minutes (healthy)   0.0.0.0:8100->8100/tcp, [::]:8100->8100/tcp
naice-aquila     naice-release.registry.eltex.loc/naice-aquila:1.1               "java -cp @/app/jib-…"   naice-aquila    5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8091->8091/tcp, [::]:8091->8091/tcp, 0.0.0.0:49->1049/tcp, [::]:49->1049/tcp
naice-bubo       naice-release.registry.eltex.loc/naice-bubo:1.1                 "java -cp @/app/jib-…"   naice-bubo      5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8093->8093/tcp, [::]:8093->8093/tcp
naice-castor     naice-release.registry.eltex.loc/naice-castor:1.1               "java -Djava.awt.hea…"   naice-castor    5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8095->8095/tcp, [::]:8095->8095/tcp
naice-cetus      naice-release.registry.eltex.loc/naice-cetus:1.1                "java -cp @/app/jib-…"   naice-cetus     5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8099->8099/tcp, [::]:8099->8099/tcp
naice-gavia      naice-release.registry.eltex.loc/naice-gavia:1.1                "java -cp @/app/jib-…"   naice-gavia     5 minutes ago   Up 3 minutes (healthy)   0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp
naice-gulo       naice-release.registry.eltex.loc/naice-gulo:1.1                 "java -cp @/app/jib-…"   naice-gulo      5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8089->8089/tcp, [::]:8089->8089/tcp
naice-lemmus     naice-release.registry.eltex.loc/naice-lemmus:1.1               "java -cp @/app/jib-…"   naice-lemmus    5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8083->8083/tcp, [::]:8083->8083/tcp
naice-lepus      naice-release.registry.eltex.loc/naice-lepus:1.1                "java -cp @/app/jib-…"   naice-lepus     5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8087->8087/tcp, [::]:8087->8087/tcp, 0.0.0.0:67->1024/udp, [::]:67->1024/udp
naice-mustela    naice-release.registry.eltex.loc/naice-mustela:1.1              "java -cp @/app/jib-…"   naice-mustela   5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8070->8070/tcp, [::]:8070->8070/tcp
naice-nats       naice-build-hosted.registry.eltex.loc/naice/nats:1.1.7          "docker-entrypoint.s…"   nats            5 minutes ago   Up 5 minutes (healthy)   4222/tcp, 6222/tcp, 7777/tcp, 0.0.0.0:8222->8222/tcp, [::]:8222->8222/tcp
naice-ovis       naice-release.registry.eltex.loc/naice-ovis:1.1                 "java -cp @/app/jib-…"   naice-ovis      5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8084->8084/tcp, [::]:8084->8084/tcp
naice-phoca      naice-release.registry.eltex.loc/naice-phoca:1.1                "java -cp @/app/jib-…"   naice-phoca     5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8097->8097/tcp, [::]:8097->8097/tcp
naice-postgres   naice-build-hosted.registry.eltex.loc/naice/postgres:1.1.6      "docker-entrypoint.s…"   postgres        6 minutes ago   Up 5 minutes (healthy)   5432/tcp
naice-radius     naice-release.registry.eltex.loc/naice-radius:1.1               "/docker-entrypoint.…"   naice-radius    5 minutes ago   Up 5 minutes (healthy)   0.0.0.0:1812-1813->1812-1813/udp, [::]:1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, [::]:9812->9812/tcp
naice-sterna     naice-release.registry.eltex.loc/naice-sterna:1.1               "/docker-entrypoint.…"   naice-sterna    5 minutes ago   Up 3 minutes (healthy)   80/tcp, 0.0.0.0:8443->444/tcp, [::]:8443->444/tcp
naice-ursus      naice-release.registry.eltex.loc/naice-ursus:1.1                "java -cp @/app/jib-…"   naice-ursus     5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8081->8081/tcp, [::]:8081->8081/tcp
naice-vulpus     naice-release.registry.eltex.loc/naice-vulpus:1.1               "java -cp @/app/jib-…"   naice-vulpus    5 minutes ago   Up 4 minutes (healthy)   0.0.0.0:8086->8086/tcp, [::]:8086->8086/tcp
naice-web        naice-release.registry.eltex.loc/naice-web:1.1                  "/docker-entrypoint.…"   naice-web       5 minutes ago   Up 2 minutes (healthy)   80/tcp, 0.0.0.0:443->443/tcp, [::]:443->443/tcp, 0.0.0.0:80->4200/tcp, [::]:80->4200/tcp

Приложения

Приложение A. Значение переменных окружения из .env и переменных для плейбука Ansible

Условные обозначения:

- не рекомендуется к редактированию.
- подсказка.

Переменная окружения (.env)	Переменная Ansible (group_vars/all.yml)	Значение по умолчанию	Описание
Переменные для дистрибуции
нет	`offline_install`	`false`	Признак установки в закрытом. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя!
нет	`naice_address`	`ansible_host`	Целевой IP-адрес или DNS имя хоста. Берется из значения переменной. Требует изменения только в случае, если IP-адрес подключения к WEB-GUI отличается от адреса, по которому выполняется установка!
нет	`naice_docker_path`	`/etc/docker-naice`	Целевая папка установки
нет	`naice_docker_images`	`не задано`	Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя!
нет	`docker_compose_download_url`	`https://cloud.eltex-co.ru/index.php/s/yKlAcy83VVPEfzx/download`	Ссылка для скачивания docker compose плагина при установке на ОС Astra Linux 1.7.X.
нет	`ip_has_been_changed`	`false`	Признак изменения IP-адреса хоста после установки. Используется для обновления IP-адреса при повторном выполнении плейбука установки.
нет	`skip_docker_installation`	`false`	Пропустить установку сервисов Docker. Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя!
`BACKEND_VERSION_TAG`	`version_tag`	`1.1`	Версия сервисов бэкенда (naice-gavia, naice-lemmus, naice-ovis, naice-ursus).
`FRONTEND_VERSION_TAG`	`version_tag`	`1.1`	Версия сервиса фронтенда (naice-web, известный как larus).
`POSTGRES_VERSION_TAG`	`postgres_version_tag`	`1.1.6`	Версия контейнерезированного образа БД postgres.
`RADIUS_VERSION_TAG`	`radius_version_tag`	`1.1`	Версия контейнерезированного образа FreeRadius.
`NATS_VERSION_TAG`	`nats_version_tag`	`1.1.7`	Версия контейнерезированного образа NATS.
`ELTEX_HUB`	`ELTEX_HUB`	`hub.eltex-co.ru/naice`	Внешний репозиторий со стабильными версиями сборок ПО.
`BACKEND_HUB`	`ELTEX_HUB`	`ELTEX_HUB`	Переменная, хранящая текущий выбранный репозиторий для загрузки сервисов бэкенда.
`FRONTEND_HUB`	`ELTEX_HUB`	`ELTEX_HUB`	Переменная, хранящая текущий выбранный репозиторий для загрузки сервиса фронтенда.
`RADIUS_HUB`	`ELTEX_HUB`	`ELTEX_HUB`	Переменная, хранящая текущий выбранный репозиторий для загрузки контейнера с FreeRADIUS.
`CI_HUB`	`CI_HUB`	`hub.eltex-co.ru`	Внешний репозиторий для сборок сопутствующих продуктов (PostgreSQL).
`TZ`	`time_zone`	`Etc/UTC`	Переменная значения таймзоны, в которой разворачивается NAICE. Влияет на время в логах системы.
`SYSTEM_LOCALE`	`system_locale`	ru	Язык, используемая системой по умолчанию. Используется для определения локали системных событий, локали новых системных пользователей по умолчанию и некоторых других случаях. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`HOSTNAME`	`нет`	`Берется значение имени хоста из /etc/hostname при установке плейбуком ansible`	Имя хоста, на котором развернута система NAICE. Необходимо для лицензирования. Менять его после активации лицензии запрещено.
`naice_node_ip`	`naice_node_ip`	`IP-адрес, по умолчанию берется из переменной` `ansible_host`	IP-адрес ноды, который соответствует значению переменной {{ ansible_host }}, если в ней используется IP, или полученный в результате DNS резолва имени {{ ansible_host }}, если используется доменное имя.
Переменные Gavia
`GAVIA_HOST_PORT`	`gavia_host_port`	`8080`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`LEMMUS_GAVIA_POSTGRES_USERNAME`	`lemmus_gavia_postgres_username`	`lemmus`	Логин для доступа к БД lemmus.
`LEMMUS_GAVIA_POSTGRES_PASSWORD`	`lemmus_gavia_postgres_password`	`lemmus`	Пароль для доступа к БД lemmus.
Переменные Ursus
`URSUS_HOST_PORT`	`ursus_host_port`	`8081`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`URSUS_POSTGRES_USERNAME`	`ursus_postgres_username`	`ursus`	Пользователь для доступа сервиса в СУБД PostgreSQL.
`URSUS_POSTGRES_PASSWORD`	`ursus_postgres_password`	`ursus`	Пароль пользователя для доступа сервиса в СУБД PostgreSQL.
`URSUS_POSTGRES_JDBC_URL`	`ursus_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/ursus`	URL для взаимодействия с БД с помощью JDBC.
`URSUS_OUI_UPDATE_TIME_S`	`ursus_update_oui_time`	`86400`	Периодичность обновления списка MAC OUI, с.
`URSUS_OUI_UPDATE`	`ursus_upload_oui_csv`	`True`	Включить/выключить обновление списка MAC OUI.
`URSUS_OUI_UPLOAD_FILE_URL`	`ursus_upload_csv_oui_url`	`https://standards-oui.ieee.org/oui/oui.csv`	Адрес списка MAC OUI, который используется для обновления.
`URSUS_PORTAL_USER_PASSWORD_LENGTH`	`ursus_portal_user_password_length`	`4`	Минимальная длина пароля, которую можно задать портальному пользователю.
URSUS_ADMIN_PASSWORD_LENGTH	ursus_admin_password_length	8	Минимальная длина пароля администратора. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
URSUS_IDENTITY_PASSWORD_LENGTH	ursus_identity_password_length	8	Минимальная длина пароля пользователя сети.
`URSUS_NETLOGON_CHANGE_COMPUTER_PASS_CRON`	ursus_netlogon_change_pass_cron	-	Настройка интервала ротации пароля доменного компьютера (0 10 2 1-31/7 * * - каждый седьмой день с 1 по 31 число месяца в 2:10).
нет	ursus_netlogon_change_pass_cron_node1	-	Настройка интервала ротации пароля доменного компьютера при установке в схеме с резервированием на 1-й ноде.
нет	ursus_netlogon_change_pass_cron_node2	-	Настройка интервала ротации пароля доменного компьютера при установке в схеме с резервированием на 2-й ноде.
`URSUS_NETLOGON_CHANGE_COMPUTER_PASS_LENGTH`	ursus_netlogon_change_pass_length	12	Длина генерируемого пароля доменного компьютера в ходе ротации: от 12 до 200 символов.
Переменные Lemmus
`LEMMUS_HOST_PORT`	`lemmus_host_port`	`8083`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`LEMMUS_POSTGRES_JDBC_URL`	`lemmus_postgres_jdbc_url`	`jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/lemmus`	Адрес подключения к БД lemmus.
`LEMMUS_POSTGRES_USERNAME`	`lemmus_postgres_username`	`lemmus`	Пользователь для доступа сервиса в СУБД PostgreSQL.
`LEMMUS_POSTGRES_PASSWORD`	`lemmus_postgres_password`	`lemmus`	Пароль пользователя для доступа сервиса в СУБД PostgreSQL.
`LEMMUS_REDIRECTS`	`lemmus_redirects`	`https://{{ ansible_host }}:8080/actuator/health, https://{{ ansible_host }}:443/login`	URL для перенаправления клиента после получения токена.
`LEMMUS_ACCESS_TTL_S`	`lemmus_access_ttl_s`	`3600`	Время жизни токена в секундах.
`LEMMUS_REFRESH_TTL_S`	`lemmus_refresh_ttl_s`	`7200`	Время в секундах, в течение которого токен можно продлить.
Переменные PostgreSQL
`нет`	`postgres_host`	`naice-postgres`	Имя контейнера СУБД PostgreSQL.
`нет`	`postgres_port`	`5432`	Порт для обращения к СУБД PostgreSQL.
`POSTGRES_USER`	`postgres_user`	`postgres`	Пользователь, создаваемый при установке и настройке СУБД.
`POSTGRES_PASSWORD`	`postgres_password`	`postgres`	Пароль пользователя, создаваемый при установке и настройке СУБД.
`нет`	`postgres_db`	`postgres`	Наименование БД по умолчанию, используемой для управления СУБД PostgreSQL.
Переменные PostgreSQL для работы в схеме с резервированием
`нет`	`postgres_reserved_host`	`127.0.0.1`	Адрес резервной ноды СУБД PostgreSQL.
`нет`	`postgres_reserved_port`	`5432`	Порт резервной ноды СУБД PostgreSQL.
Переменные Ovis
`OVIS_HOST_PORT`	`ovis_host_port`	`8084`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`OVIS_CACHE_TTL_S`	`ovis_cache_ttl_s`	`86400`	Время жизни кэша naice-ovis в секундах, в течение которого он хранит настройки аутентификации и авторизации. По истечении этого времени настройки перечитываются.
`OVIS_SESSION_IDLE_S`	`ovis_session_idle_s`	`86400`	Время жизни неактивных сессии пользователей, с.
`OVIS_URSUS_POSTGRES_JDBC_URL`	`ovis_ursus_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/ursus`	Адрес подключения к БД ursus.
`OVIS_URSUS_POSTGRES_USERNAME`	`ovis_ursus_postgres_username`	`ovis`	Логин подключения к БД ursus.
`OVIS_URSUS_POSTGRES_PASSWORD`	`ovis_ursus_postgres_password`	`ovis`	Пароль подключения к БД ursus.
`OVIS_OVIS_POSTGRES_JDBC_URL`	`ovis_ovis_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/ovis`	Адрес подключения к БД ovis.
`OVIS_OVIS_POSTGRES_USERNAME`	`ovis_ovis_postgres_username`	`ovis`	Логин подключения к БД ovis.
`OVIS_OVIS_POSTGRES_PASSWORD`	`ovis_ovis_postgres_password`	`ovis`	Пароль подключения к БД ovis.
`OVIS_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием.
`OVIS_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адреса/DNS-имена инстансов участвующих в резервировании.
`OVIS_SESSIONS_CLEAN_CRON`	`ovis_session_clean_cron`	0 0 * * * *	Интервал запуска задачи по очистке radius-сессий из БД, по умолчанию каждый час.
`OVIS_SESSION_FLUSH_SEC`	`ovis_session_flush_sec`	10	Интервал radius-сохранения сессий в БД из кэша, с.
`OVIS_DB_POOL_CONNECTION_LIFETIME`	`ovis_db_pool_connection_lifetime`	1800000	Время жизни соединения к БД ursus, с.
`OVIS_DB_POOL_IDLE_TIMEOUT`	`ovis_db_pool_idle_timeout`	60000	Время ожидания ответа при подключении к БД ursus, мс.
`OVIS_DB_POOL_MIN_IDLE`	`ovis_db_pool_min_idle`	5	Минимальное количество коннектов для подлючения БД ursus в режиме ожидания.
`OVIS_DB_POOL_SIZE`	`ovis_db_pool_size`	10	Количество коннектов для подключения к БД ovis.
`OVIS_SESSIONS_DB_POOL_CONNECTION_LIFETIME`	`ovis_sessions_db_pool_connection_lifetime`	1800000	Время жизни соединения к БД ovis, с.
`OVIS_SESSIONS_DB_POOL_IDLE_TIMEOUT`	`ovis_sessions_db_pool_idle_timeout`	60000	Время ожидания ответа при подключении к БД ovis, мс.
`OVIS_SESSIONS_DB_POOL_MIN_IDLE`	`ovis_sessions_db_pool_min_idle`	2	Минимальное количество коннектов для подлючения БД ovis в режиме ожидания.
`OVIS_SESSIONS_DB_POOL_SIZE`	`ovis_sessions_db_pool_size`	5	Количество коннектов для подключения к БД ovis.
`OVIS_SESSION_BATCH_SIZE`	`ovis_session_batch_size`	100	Количество сессий в одном пакете для сохранения в БД ovis.
Переменные Larus (WEB)
`LARUS_PORT`	`larus_port`	`4200`	Порт, на котором работает сервис внутри контейнера.
`LARUS_HOST_PORT`	`larus_host_port`	`80`	Порт http, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. Используется только для перенаправления подключения пользователя на защищеный порт 443.
`FRONTEND_WEB_URL`	`frontend_web_url`	`https://{{ ansible_host }}:443`	URL на котором работает WEB-интерфейс.
`FRONTEND_STERNA_URL`	`frontend_sterna_url`	`https://{{ naice_address }}:{{ sterna_host_port }}`	URL на котором работает Captive Portal.
Переменные NATS
`NATS_MONITORING_PORT`	`nats_monitoring_port`	`8222`	Порт, через который выполняется мониторинг сервиса.
`NATS_EXPORTER_PORT`	`nats_exporter_port`	`7777`	Порт, через который сервис отдает метрики в формате prometheus.
`NATS_CLUSTER_PORT`	`nats_cluster_port`	`6222`	Порт для взаимодействия nats в кластере (установка с резервированием).
`нет`	`nats_slave_address`	`127.0.0.1`	IP-адрес для взаимодействия nats в кластере.
`NATS_REQUEST_REPLY_TIMEOUT`	`nats_request_reply_timeout`	5	Максимальное время ожидания ответа от клиентского сервиса на отправленное nats событие, с.
`NATS_RECONNECT_WAIT`	`nats_reconnect_wait`	15	Время паузы между попытками переподключения клиентского сервиса к nats, с.
`NATS_MAX_RECONNECT`	`nats_max_reconnect`	30	Максимальное количество попыток переподключения клиентского сервиса к nats
`NATS_RECONNECT_BUFFER_SIZE`	`nats_reconnect_buffer_size`	0	Размер буфера исходящих сообщений при обрыве соединения, отправляемых после восстановления соединения, в байтах. 0 означает выключение такого буффера. При превышении ненулевого значения клиент начнёт терять сообщения.
Переменные Vulpus
`VULPUS_HOST_PORT`	`vulpus_host_port`	`8086`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`VULPUS_POSTGRES_USERNAME`	`vulpus_postgres_username`	`vulpus`	Логин для подключения к БД.
`VULPUS_POSTGRES_PASSWORD`	`vulpus_postgres_password`	`vulpus`	Пароль для подключения к БД.
`VULPUS_POSTGRES_JDBC_URL`	`vulpus_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/lepus`	Адрес БД для подключения.
`VULPUS_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием.
`VULPUS_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием.
Переменные Lepus
`LEPUS_HOST_PORT`	`lepus_host_port`	`8087`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`LEPUS_REPOSITORY_BATCH_SIZE`	`lepus_repository_batch_size`	`500`	Размер пакета сохранения проб в БД (количество).
`LEPUS_POSTGRES_USERNAME`	`lepus_postgres_username`	`lepus`	Логин для подключения к БД.
`LEPUS_POSTGRES_PASSWORD`	`lepus_postgres_password`	`lepus`	Пароль для подключения к БД.
`LEPUS_POSTGRES_JDBC_URL`	`lepus_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/lepus`	Адрес БД для подключения.
`LEPUS_DHCP_PROBE_ENABLED`	`lepus_dhcp_probe_enabled`	`true`	Включение/отключение сбора DHCP-проб.
`LEPUS_DHCP_PROBE_HOST_PORT`	`lepus_dhcp_probe_host_port`	`67`	Внешний порт сервиса для сбора DHCP-проб.
`LEPUS_DHCP_PROBE_SCHEDULE_CLEAR_PROBES_AFTER_DAYS`	`lepus_dhcp_probe_schedule_clear_probes_after_days`	`30`	Время хранения DHCP-проб в БД.
`LEPUS_DHCP_PROBE_SCHEDULE_CLEAN_EXPIRED_CRON`	`lepus_dhcp_probe_schedule_clean_expired_cron`	`0 0 * * * *`	Расписание для запуска задачи по очистке устаревших DHCP-проб в БД.
Переменные Gulo
`GULO_HOST_PORT`	`gulo_host_port`	`8089`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`ELM_SERVER_URL`	`gulo_elm_server_url`	`https://elm.eltex-co.ru:8099`	URL до сервера ELM. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`GULO_USER_LABEL`	нет	`{{ naice_address }}/v{{ version_tag }}`
`ELM_PROXY_HOST`	`gulo_proxy_host`	`не задано`	Адрес HTTP-proxy сервера Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`ELM_PROXY_PORT`	`gulo_proxy_port`	`не задано`	Порт HTTP-proxy сервера Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`ELM_PROXY_LOGIN`	`gulo_proxy_login`	`не задано`	Логин для аутентификации на HTTP-proxy сервере Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`ELM_PROXY_PASSWORD`	`gulo_proxy_password`	`не задано`	Пароль для аутентификации на HTTP-proxy сервере Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
Переменные Aquila
`AQUILA_HOST_PORT`	`aquila_host_port`	`8091`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`AQUILA_CACHE_TTL_S`	`aquila_cache_ttl_s`	`300`	Время жизни кэша naice-aquila в секундах, в течение которого сервис хранит настройки аутентификации и авторизации. По истечении этого времени настройки перечитываются.
`AQUILA_POSTGRES_JDBC_URL`	`aquila_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/aquila`	Адрес БД для подключения.
`AQUILA_POSTGRES_USERNAME`	`aquila_postgres_username`	`aquila`	Логин для подключения к БД.
`AQUILA_POSTGRES_PASSWORD`	`aquila_postgres_password`	`aquila`	Пароль для подключения к БД.
`AQUILA_DB_POOL_SIZE`	`aquila_db_pool_size`	`5`	Количество коннектов для подключения к БД aquila.
`AQUILA_DB_POOL_MIN_IDLE`	`aquila_db_pool_min_idle`	`1`	Минимальное количество коннектов для подлючения БД aquila в режиме ожидания.
`AQUILA_DB_POOL_IDLE_TIMEOUT`	`aquila_db_pool_idle_timeout`	`60000`	Время ожидания ответа при подключении к БД, мс.
`AQUILA_DB_POOL_CONNECTION_LIFETIME`	`aquila_db_pool_connection_lifitime`	`1800000`	Время жизни соединения к БД, с.
`AQUILA_URSUS_DB_POOL_MIN_IDLE`	`aquila_ursus_db_pool_min_idle`	`2`	Минимальное количество коннектов для подлючения БД ursus в режиме ожидания.
`AQUILA_URSUS_DB_POOL_SIZE`	`aquila_ursus_db_pool_size`	`10`	Количество коннектов для подключения к БД ursus.
`AQUILA_FLUSH_SEC`	`aquila_flush_sec`	`60`	Интервал сохранения сессий и аккаунтинга в БД, с.
`AQUILA_SESSIONS_CLEAN_CRON`	`aquila_session_clean_cron`	`0 0 * * * *`	Интервал очистки сессий и аккаунтинга из БД, по умолчанию каждый час.
`AQUILA_SESSION_TO_DELETE_DAYS`	`aquila_session_to_delete_days`	`31`	Срок хранения информации о сессиях в БД. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`AQUILA_ACCOUNTING_TO_DELETE_DAYS`	`aquila_accounting_to_delete_days`	`31`	Срок хранения информации об аккаунтинге в БД. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`AQUILA_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием.
`AQUILA_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием.
`AQUILA_USER_CACHE_ENABLE`	`aquila_user_cache_enable`	`True`	Включить кэширование имени пользователя при выполнении авторизации команд. Возможные значения True / False. При значении False каждое обращение за авторизацией команды приведет к проверке существования имени пользователя в источнике идентифкации.
`AQUILA_USER_CACHE_TTL_S`	`aquila_user_cache_ttl_s`	`300`	Время хранения в кэше имени пользователя при выполнении авторизации команд.
Переменные Bubo
`BUBO_HOST_PORT`	`bubo_host_port`	`8093`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`BUBO_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием.
`BUBO_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адреса/DNS-имена инстансов участвующих в резервировании.
`BUBO_POSTGRES_JDBC_URL`	`bubo_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/bubo`	Адрес БД для подключения.
`BUBO_POSTGRES_USERNAME`	`bubo_postgres_username`	`bubo`	Логин для подключения к БД.
`BUBO_POSTGRES_PASSWORD`	`bubo_postgres_password`	`bubo`	Пароль для подключения к БД.
`BUBO_CACHE_TTL_S`	`bubo_cache_ttl_s`	`300`
`BUBO_SMS_SCHEDULE_CLEAN_EXPIRED_CRON`	`bubo_sms_schedule_clean_expired_cron`	`0 0 * * * *`	Интервал очистки СМС из БД, по умолчанию каждый час.
`BUBO_SMS_TO_DELETE_DAYS`	`bubo_sms_to_delete_days`	`31`	Срок хранения информации об отправленных СМС в БД.
Переменные Castor
`CASTOR_HOST_PORT`	`castor_host_port`	`8095`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`CASTOR_POSTGRES_JDBC_URL`	`castor_postgres_jdbc_url`	`jdbc:postgresql://{{ ansible_host }}:5432/ursus`	Адрес подключения к БД.
`CASTOR_POSTGRES_USERNAME`	`castor_postgres_username`	`castor`	Логин подключения к БД.
`CASTOR_POSTGRES_PASSWORD`	`castor_postgres_password`	`castor`	Пароль подключения к БД.
`CASTOR_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием.
`CASTOR_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адреса/DNS-имена инстансов участвующих в резервировании.
`CASTOR_DB_POOL_SIZE`	`castor_db_pool_size`	`10`	Количество коннектов для подключения к БД.
`CASTOR_DB_POOL_MIN_IDLE`	`castor_db_pool_min_idle`	`2`	Минимальное количество коннектов для подлючения БД в режиме ожидания.
`CASTOR_DB_POOL_IDLE_TIMEOUT`	`castor_db_pool_idle_timeout`	`60000`	Время ожидания ответа при подключении к БД, мс.
`CASTOR_DB_POOL_CONNECTION_LIFETIME`	`castor_db_pool_connection_lifetime`	`1800000`	Время жизни соединения к БД, с.
`CASTOR_CACHE_TTL_S`	`castor_cache_ttl_s`	`300`	Время хранения в кэше информации о пользователе, с.
`CASTOR_REQUESTS_RATE_LIMIT`	`castor_requests_rate_limit`	`1000`	Максимальное количество REST запросов к сервису за указанное в переменной CASTOR_SECONDS_RATE_LIMIT время.
`CASTOR_SECONDS_RATE_LIMIT`	`castor_seconds_rate_limit`	`10`	Интервал, за который исчисляется количество REST запросов к сервису, с.
`CASTOR_MAX_THREAD_COUNT`	`castor_max_thread_count`	`20`	Максимальное количество потоков при обработке REST запросов к сервису.
Переменные Castor (управление сложностью CAPTCHA)
`CASTOR_CAPTCHA_LIB_WIDTH`	`castor_captcha_lib_width`	`250`	Ширина изображения, пиксель.
`CASTOR_CAPTCHA_LIB_HEIGHT`	`castor_captcha_lib_height`	`100`	Высота изображения, пиксель.
`CASTOR_CAPTCHA_LIB_DRAW_LINES`	`castor_captcha_lib_draw_lines`	`True`	Использовать линии для усложнения изображения, может принимать значение True / False.
`CASTOR_CAPTCHA_LIB_LINE_COUNT`	`castor_captcha_lib_line_count`	`1`	Количество линий.
`CASTOR_CAPTCHA_LIB_LINE_WIDTH`	`castor_captcha_lib_line_width`	`14`	Ширина линий, пиксель.
`CASTOR_CAPTCHA_LIB_DRAW_ELLIPSE`	`castor_captcha_lib_draw_ellipse`	`True`	Использовать эллиптическое искажение текста в изображении.
`CASTOR_CAPTCHA_LIB_ELLIPSE_COUNT`	`castor_captcha_lib_ellipse_count`	`3`	Количество эллиптических искажений текста в изображении.
`CASTOR_CAPTCHA_LIB_ELLIPSE_MIN_RADIUS`	`castor_captcha_lib_ellipse_min_radius`	`25`	Минимальный радиус эллиптического искажения изображения.
`CASTOR_CAPTCHA_LIB_ELLIPSE_MAX_RADIUS`	`castor_captcha_lib_ellipse_max_radius`	`45`	Максимальный радиус эллиптического искажения изображения.
`CASTOR_CAPTCHA_LIB_DRAW_NOISE`	`castor_captcha_lib_draw_noise`	`True`	Использовать точки для искажения изображения.
`CASTOR_CAPTCHA_LIB_NOISE_POINT_COUNT`	`castor_captcha_lib_noise_point_count`	`800`	Количество точек.
`CASTOR_CAPTCHA_LIB_NOISE_POINT_SIZE`	`castor_captcha_lib_noise_point_size`	`2`	Размер одной точки, пиксель.
Переменные Sterna
`STERNA_HTTPS_PORT`	`sterna_https_port`	`444`	HTTPS порт, на котором работает сервис внутри контейнера.
`STERNA_HTTP_PORT`	`sterna_http_port`	`81`	HTTP порт, на котором работает сервис внутри контейнера.
`STERNA_HTTPS_HOST_PORT`	`sterna_host_port`	`8443`	Порт HTTPS, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`STERNA_HTTP_HOST_PORT`	`sterna_host_port`	`8443`	Порт HTTP, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. По умолчанию не используется, требует ручного включения.
`FRONTEND_STERNA_URL`	`frontend_sterna_url`	`https://{{ ansible_host }}:8443`	URL редиректа на портал, который будет использоваться для авторизации портальных пользователей.
Переменные Mustela
`MUSTELA_HOST_PORT`	`mustela_host_port`	`8098`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`MUSTELA_POSTGRES_JDBC_URL`	`mustela_postgres_jdbc_url`	`jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/{{ mustela_postgres_db }}`	Адрес подключения к БД.
`MUSTELA_POSTGRES_USERNAME`	`mustela_postgres_username`	`mustela`	Логин подключения к БД.
`MUSTELA_POSTGRES_PASSWORD`	`mustela_postgres_password`	`mustela`	Пароль подключения к БД.
`MUSTELA_DB_POOL_SIZE`	`mustela_db_pool_size`	`25`	Максимальное количество коннектов для подключения к БД.
`MUSTELA_DB_POOL_MIN_IDLE`	`mustela_db_pool_min_idle`	`5`	Минимальное количество коннектов для подлючения БД в режиме ожидания.
`MUSTELA_DB_POOL_IDLE_TIMEOUT`	`mustela_db_pool_idle_timeout`	`60000`	Время ожидания ответа при подключении к БД, мс.
`MUSTELA_DB_POOL_CONNECTION_LIFETIME`	`mustela_db_pool_connection_lifetime`	`1800000`	Время жизни конкта к БД, мс.
`MUSTELA_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием.
`MUSTELA_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адреса/DNS-имена инстансов участвующих в резервировании.
`MUSTELA_CACHE_TTL_S`	`mustela_cache_ttl_s`	`300`	Время хранения в кэше информации о ???, с.
`MUSTELA_EVENTS_CLEAN_CRON`	`mustela_events_clean_cron`	`0 0 3 * * *`	Интервал очистки событий с истекшим сроком хранения из БД, по умолчанию каждые 3 часа.
`MUSTELA_EVENTS_TO_DELETE_DAYS`	`mustela_events_to_delete_days`	14	Срок хранения событий в БД. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
Переменные Phoca
`PHOCA_HOST_PORT`	`phoca_host_port`	`8097`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`PHOCA_POSTGRES_USERNAME`	`phoca_postgres_username`	`phoca`	Логин подключения к БД.
`PHOCA_POSTGRES_PASSWORD`	`phoca_postgres_password`	`phoca`	Пароль подключения к БД.
`PHOCA_POSTGRES_JDBC_URL`	`phoca_postgres_jdbc_url`	`jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/phoca`	Адрес подключения к БД.
`PHOCA_DB_POOL_SIZE`	`phoca_db_pool_size`	5	Максимальное количество коннектов для подключения к БД.
`PHOCA_DB_POOL_MIN_IDLE`	`phoca_db_pool_min_idle`	1	Минимальное количество коннектов для подлючения БД в режиме ожидания.
`PHOCA_DB_POOL_IDLE_TIMEOUT`	`phoca_db_pool_idle_timeout`	60000	Время ожидания ответа при подключении к БД, мс.
`PHOCA_DB_POOL_CONNECTION_LIFETIME`	`phoca_db_pool_connection_lifetime`	1800000	Время жизни конкта к БД, мс.
`PHOCA_HOST_DOCKER_SOCK`	`phoca_host_docker_sock`	`/var/run/docker.sock`	Путь к UNIX-сокету для взаимодействия с демоном Docker. Необходим для управления контейнерами с целью применения конфигураций к сервисам.
Переменные Cetus
`CETUS_HOST_PORT`	`cetus_host_port`	`8099`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
`CETUS_POSTGRES_JDBC_URL`	`cetus_postgres_jdbc_url`	`jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/ursus`	Адрес подключения к БД.
`CETUS_POSTGRES_USERNAME`	`cetus_postgres_username`	`cetus`	Логин подключения к БД.
`CETUS_POSTGRES_PASSWORD`	`cetus_postgres_password`	`cetus`	Пароль подключения к БД.
`CETUS_DB_POOL_SIZE`	`cetus_db_pool_size`	`10`	Максимальное количество коннектов для подключения к БД.
`CETUS_DB_POOL_MIN_IDLE`	`cetus_db_pool_min_idle`	`3`	Минимальное количество коннектов для подлючения БД в режиме ожидания.
`CETUS_DB_POOL_IDLE_TIMEOUT`	`cetus_db_pool_idle_timeout`	`60000`	Время ожидания ответа при подключении к БД, мс.
`CETUS_DB_POOL_CONNECTION_LIFETIME`	`cetus_db_pool_connection_lifetime`	`1800000`	Время ожидания ответа при подключении к БД, мс.
`CETUS_CACHE_TTL_S`	`cetus_cache_ttl_s`	`300`	Время жизни кэша в секундах, в течение которого сервис хранит настройки аутентификации. По истечении этого времени настройки перечитываются.
`CETUS_NODE_INTERFACE`	`hazelcast_node_interface`	`{{ naice_address }}`	IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием.
`CETUS_NODE_MEMBERS`	`hazelcast_node_members`	`127.0.0.1`	IP-адреса/DNS-имена инстансов, участвующих в резервировании.
`CETUS_LDAP_CONNECT_TIMEOUT_MS`	`cetus_ldap_connect_timeout_ms`	`3000`	Таймаут подключения к внешнему источнику по протоколу LDAP, мс.
`CETUS_LDAP_READ_TIMEOUT_MS`	`cetus_ldap_read_timeout_ms`	`7000`	Таймаут на процесс получения данных из внешнего источника по протоколу LDAP, мс.
`CETUS_LDAP_REFERRAL_VALUE`	`cetus_ldap_referral_value`	`ignore`	Поведение при получении в ответ на LDAP запрос ссылки на другой сервер: "`ignore`" (по умолчанию) - игнорировать и не обращаться по внешней ссылке; "`follow`" - автоматически перенаправлять запросы на другой сервер при получении ссылки.
`CETUS_LDAP_POOL_SIZE`	`cetus_ldap_pool_size`	`10`	Количество коннектов для подключения к LDAP серверу при старте сервиса.
`CETUS_LDAP_POOL_MAX_SIZE`	`cetus_ldap_pool_max_size`	`10`	Максимальное количество коннектов для подключения к LDAP серверу.
`CETUS_NETLOGON_LIB_SOCKET_TIMEOUT_MS`	`cetus_netlogon_lib_socket_timeout_ms`	`5000`	Таймаут обмена данными с внешним источником идентификации (типа Active Directory) по протоколу netlogon, мс.
`CETUS_NETLOGON_LIB_CONNECT_TIMEOUT_MS`	`cetus_netlogon_lib_connect_timeout_ms`	`5000`	Таймаут подключения к внешнему источнику идентификации (типа Active Directory) по протоколу netlogon, мс.
`CETUS_NETLOGON_LIB_CLIENT_CACHE_ENABLED`	`cetus_netlogon_lib_client_cache_enabled`	`true`	Включить кэширование сессии компьютера при обращении к внешнему источнику идентификации (типа Active Directory) по протоколу netlogon, мс.
`CETUS_NETLOGON_LIB_CLIENT_CACHE_TTL_S`	`cetus_netlogon_lib_client_cache_ttl_s`	`1800`	Время хранения в кэше сессии компьютера, с.
`CETUS_NETLOGON_LIB_CLIENT_CACHE_PERIOD_S`	`cetus_netlogon_lib_client_cache_period_s`	`180`	Интервал проверки наличия в кэше сессии компьютера, с.
`CETUS_NETLOGON_LIB_DNS_CACHE_TTL_S`	`CETUS_NETLOGON_LIB_DNS_CACHE_TTL_S`	`3600`	Время хранения в кэше информации о контроллерах домена после выполнения DNS-запроса типа SRV, с.
`CETUS_NETLOGON_LIB_DNS_CACHE_PERIOD_S`	`cetus_netlogon_lib_dns_cache_period_s`	`360`	Интервал проверки наличия в кэше информации о контроллерах домена после выполнения DNS-запроса типа SRV, с.
`CETUS_NETLOGON_COMP_NAME`	`cetus_netlogon_comp_name - для однохостовой установки` `cetus_netlogon_pc1_name - для кластерной установки` `cetus_netlogon_pc1_pass - для кластерной установки` `cetus_netlogon_pc2_name - для кластерной установки` `cetus_netlogon_pc2_pass - для кластерной установки`	""	Имя компьютера при авторизации через NETLOGON. Используется только в схеме с резервироваием и авторизацией с использованием Microsoft Active Directory
`CETUS_NETLOGON_COMP_PASSWORD`	`cetus_netlogon_comp_passord - для однохостовой установки`	""	Пароль компьютера при авторизации через NETLOGON. Используется только в схеме с резервироваием и авторизацией с использованием Microsoft Active Directory
Переменные EPG
`EPG_TAG`	`epg_tag`	`1.1-3`	Версия сервиса EPG.
`EPG_LOG_FILE_MAX_SIZE`	`epg_log_file_max_size`	`10`	Максимальный размер одного log файла в МБ.
`EPG_LOG_FILE_MAX_COUNT`	`epg_log_file_max_count`	`4`	Максимальное количество log файлов в ротации.
`EPG_KERNEL_LOG_LEVEL`	`epg_kernel_log_level`	`info`	Уровень логирования для логов типа "kernel" сервиса EPG.
`EPG_DEBUG_LOG_LEVEL`	`epg_debug_log_level`	`off`	Уровень логирования для логов типа "debug" сервиса EPG.
`EPG_NETWORKING_LOG_LEVEL`	`epg_networking_log_level`	`info`	Уровень логирования для логов типа "networking" сервиса EPG.
`EPG_HOST_PORT`	`epg_host_port`	`8100`	Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.
Переменные для настройки сертификата для HTTPS для административных интерфейсов
`SSL_CERT`	`нет`	`/etc/docker-naice/https/server.crt`	Путь до файла сертификата.
`SSL_CERT_KEY`	`нет`	`/etc/docker-naice/https/server.key`	Путь до файла закрытого ключа сертификата.
`SSL_CERT_PASS`	`key_password`	`не задан`	Пароль от закрытого ключа; по умолчанию без пароля.
Переменные для настройки сертификата для HTTPS для интерфейсов портала
`PORTAL_SSL_CERT`	`нет`	`/etc/docker-naice/https/portal.crt`	Путь до файла сертификата.
`PORTAL_SSL_CERT_KEY`	`нет`	`/etc/docker-naice/https/portal.key`	Путь до файла закрытого ключа сертификата.
`PORTAL_SSL_CERT_PASS`	`key_password`	`не задан`	Пароль от закрытого ключа; по умолчанию без пароля.
`SSL_STERNA_CERT_PASS`	`key_password`	`${PORTAL_SSL_CERT_PASS}`	Пароль от закрытого ключа для сервиса Sterna; по умолчанию без пароля.
Переменные Ansible для управления сертификатами HTTPS для административного интерфейса и интерфейса портала
`нет`	`cert_path`	`https`	Путь к папке с сертификатами для интерфейсов WEB и портала
`нет`	`cert_update`	`false`	Выполнить обновление сертификатов безопасности. Используется для пересоздания самоподписных сертификатов безопасности при повторном выполнении плейбука установки.
`нет`	`server_domain`	`naice.eltex.loc`	Доменное имя, которое указано в пользовательском сертификате (в полях CN или AlterName:DNS).
`нет`	`cert_name`	`server`	Замена какого сертификата будет выполняться: административного: `server` портала: `portal` Замена сертификатов безопасности выполняется отдельным плейбуком после установки NAICE!
`нет`	`cert_path_src`	`/etc/ssl/certs/server.crt`	Путь до файла пользовательского сертификата на хосте запуска плейбуков Ansible.
`нет`	`key_path_src`	`etc/ssl/private/server.key`	Путь до файла ключа пользовательского сертификата на хосте запуска плейбуков Ansible.
Переменные RADIUS
Общие переменные
`RADIUS_AUTH_PORT`	`radius_auth_port`	`1812`	Порт аутентификации для обработки RADIUS-запросов аутентификации.
`RADIUS_ACCT_PORT`	`radius_acct_port`	`1813`	Порт для обработки RADIUS-аккаунтинга.
`RADIUS_EXPORTER_PORT`	`radius_exporter_port`	`9812`	Порт, через который сервис отдает метрики в формате prometheus.
`RADIUS_LOG_PATH`	`radius_log_path`	`/var/log/radius`	Файл на хостовой машине для хранения логов работы сервиса.
Переменные RADIUS для подключения модуля SQL
`RADIUS_POSTGRES_DB_HOST`	`radius_postgres_db_host`	`naice-postgres`	IP-адрес подключения к БД.
`RADIUS_POSTGRES_DB_PORT`	`radius_postgres_db_port`	`5432`	Порт подключения к БД.
`RADIUS_POSTGRES_DB_LOGIN`	`radius_postgres_db_login`	`radius`	Логин для подключения к БД.
`RADIUS_POSTGRES_DB_PASSWORD`	`radius_postgres_db_password`	`radius`	Пароль для подключения к БД.
Переменные RADIUS для резервного модуль SQL (используются только в установке с резервированием)
`RADIUS_POSTGRES_RESERVED_DB_HOST`	`radius_postgres_reserved_db_host`	`{{ postgres_reserved_host }}`	Адрес резервной ноды СУБД PostgreSQL.
`RADIUS_POSTGRES_RESERVED_DB_PORT`	`radius_postgres_reserved_db_port`	`{{ postgres_reserved_port }}`	Порт резервной ноды СУБД PostgreSQL.
`RADIUS_POSTGRES_RESERVED_DB_LOGIN`	`radius_postgres_reserved_db_login`	`radius`	Логин для подключения к БД.
`RADIUS_POSTGRES_RESERVED_DB_PASSWORD`	`radius_postgres_reserved_db_password`	`radius`	Пароль для подключения к БД.
`RADIUS_POSTGRES_RESERVED_ENABLED`	`radius_postgres_reserved_enabled`	`0`	Использовать резервирование (0 - нет, 1 - да)
Переменные для настройки авторизации по протоколу EAP-PEAP
`нет`	`radius_cert_dir_copy`	`false`	Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат.
`RADIUS_CERTS_CA_CERT_FILE`	`radius_certs_ca_cert_file`	`trusted_server.crt`	Наименование файла внешнего сертификата CA.
`RADIUS_CERTS_PRIVATE_KEY_FILE`	`radius_certs_private_key_file`	`trusted_server.k`	Наименование внешнего приватного ключа сертификата.
`RADIUS_CERTS_PRIVATE_KEY_PASSWORD`	`radius_certs_private_key_password`	`не задано`	Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен.
`RADIUS_CERTS_CERTIFICATE_FILE`	`radius_certs_certificate_file`	`trusted_server_chain.crt`	Наименование файла внешнего сертификата, который будет использовать FreeRADIUS.
Переменные для настройки авторизации по протоколу EAP-TLS
`нет`	`radius_eap_tls_cert_dir_copy`	`false`	Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат.
`RADIUS_EAP_TLS_CERTS_CA_CERT_FILE`	`radius_eap_tls_certs_ca_cert_file`	`trusted_server.crt`	Наименование файла внешнего сертификата CA.
`RADIUS_EAP_TLS_CERTS_PRIVATE_KEY_FILE`	`radius_eap_tls_certs_private_key_file`	`trusted_server.k`	Имя файла приватного ключа сертификата сервера.
`RADIUS_EAP_TLS_CERTS_PRIVATE_KEY_PASSWORD`	`radius_eap_tls_certs_private_key_password`	`не задано`	Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен.
`RADIUS_EAP_TLS_CERTS_CERTIFICATE_FILE`	`radius_eap_tls_certs_certificate_file`	`trusted_server_chain.crt`	Наименование файла внешнего сертификата, который будет использовать FreeRADIUS.
Переменные для работы с сервисом проверки статуса отозванных сертификатов (OCSP)
`RADIUS_EAP_TLS_OCSP_ENABLE`	`radius_eap_tls_ocsp_enable`	`false`	Включение проверки статуса отзыва сертификата по протоколу OCSP.
`RADIUS_EAP_TLS_OCSP_OVERRIDE_URL`	`radius_eap_tls_ocsp_override_url`	`false`	Использование URL сервиса OCSP из сертификата.
`RADIUS_EAP_TLS_OCSP_URL`	`radius_eap_tls_ocsp_url`	`http://127.0.0.1/ocsp`	URL для обращения к сервису OCSP.
`RADIUS_EAP_TLS_OCSP_SOFTFAIL`	`radius_eap_tls_ocsp_softfail`	`false`	"Мягкая" проверка доступа к серверу проверки OSCP - если сервер недоступен, процесс не завершится, а продолжится.
`RADIUS_EAP_TLS_OCSP_TIMEOUT`	`radius_eap_tls_ocsp_timeout`	`0`	Таймаут обращения к серверу OSCP.
`RADIUS_EAP_TLS_OCSP_USE_NONCE`	`radius_eap_tls_ocsp_use_nonce`	`true`	Включение одноразового кода в запрос - nonce, который может быть включен в соответствующий ответ.
Переменные логирования сервисов
`SERVER_LOGGING_LEVEL`	`server_logging_level`	`DEBUG`	Базовый уровень логирования. Логи сервисов выше данного уровня не отображаются. Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы.
`нет`	`docker_log_max_size`	`"\"10m\""`	Максимальный размер файла логов сервиса.
`нет`	`docker_log_max_file`	`"\"10\""`	Максимальное количество файлов логов для сервиса.
Переменные, отвечающие за развертывание схемы с резервированием (расположены в `group_vars/reservation.yml`)
Переменные, определяющие адреса кластера СУБД PostreSQL при установке в схеме с резервированием
`нет`	`primary_db_host`	`{{ hostvars['node_primary'].ansible_host }}`	Адрес хоста для установки ноды Primary СУБД PostgreSQL.
`нет`	`standby_db_host`	`{{ hostvars['node_standby'].ansible_host }}`	Адрес хоста для установки ноды Backup СУБД PostgreSQL.
`нет`	`primary_db_port`	`{{ hostvars['node_primary'].forwarded_postgresql_port }}`	Порт для обращения к СУБД PostgreSQL на ноде Primary .
`нет`	`standby_db_port`	`{{ hostvars['node_standby'].forwarded_postgresql_port }}`	Порт для обращения к СУБД PostgreSQL на ноде Backup .
Параметры, отвечающие за конфигурацию сервиса `keepalived`
`нет`	`check_vip_interface`	`true`	Проверять, что IP-адрес заданный в переменной файла `hosts-cluster.yml keepalived_vip входит в подсеть` IP-адресов, которые настроены на интерфейсах целевой VM, указанных в переменных файла `hosts-cluster.yml keepalived_interface (true - проверять, false - не проверять)`.
`нет`	`vip_server_name`	`{{ keepalived_vip }}`	VIP-адрес используемый для резервирования или доменное имя, которое резолвиться DNS-запросом в данный адрес.
`нет`	`vip_auth_type`	`PASS`	Тип аутентификации VRRP анонсов.
`нет`	`vip_auth_pass`	`testing123`	Пароль, используемый в VRRP анонсах.
`нет`	`vrrp_garp_master_refresh`	`0`	Период отправки GARP сообщений инстансом VRRP находящимся в состоянии Primary, с. 0 - не отправлять.
`нет`	`vrrp_garp_master_refresh_repeat`	`1`	Количество отправляемых GARP сообщений инстансом VRRP находящимся в состоянии MASTER при выполнении периодической отправки.
`нет`	`vrrp_garp_master_delay`	`5`	Задержка, в течении которой не будет выполняться отправка GARP сообщений после перехода состояния инстанса VRRP в MASTER, с.
`нет`	`vrrp_garp_master_repeat`	`5`	Количество GARP сообщений, которое будет отправлено после перехода состояния инстанса VRRP в MASTER.
`нет`	`virtual_router_id`	`1`	Идентификатор инстансов VRRP, выполняющих резервирвоание одного VIP адреса. Допустимые значения от 1-255.
`нет`	`advert_int`	`1`	Интервал отправки VRRP анонсов инстансом находящимся в состоянии MASTER, с.
`нет`	`check_interval`	`20`	Интервал выполнения скрипта, проверяющего состояние работоспосбности сервисов NAICE, с.
`нет`	`keepailveed_logrotate_save_n_rotated_files`	`5`	Количество файлов логов работы VRRP сохраняемое при выполнении ротирования логов.
`нет`	`keepailveed_logrotate_maxage`	`30`	Максимальное время жизни файла логов VRRP до того как над ним будет выполнена операция ротирования, сутки.
`нет`	`keepailveed_logrotate_size`	`10M`	Максимальный размер файла логов VRRP до того как над ним будет выполнена операция ротирования, Мбайт.
`нет`	`keepailveed_logrotate_delay`	`weekly`	Интервал выполнения ротирования логов, по умолчанию каждую неделю.