Общее описание
Система NAICE поставляется в виде образов для запуска контейнеров в системе контейнеризации и управления приложениями Docker. Для управления всеми компонентами системы используется плагин Docker Compose, предназначенный для решения различных задач для мультиконтейнерных приложений.
Для автоматизации установки используются плейбуки Ansible.
Установка
Ниже приведена инструкция по выполнению однохостовой установки.
Инструкция по установке с резервированием системы приведена в статьях v1.1_3.4 Установка с резервированием (c использованием VRRP) и v1.1_3.5 Установка с резервированием (без использования VRRP).
Возможна онлайн и оффлайн установка.
Установка онлайн возможна на все поддерживаемые типы ОС и описана далее.
Оффлайн установка (закрытый контур) описана в разделе v1.1_3.3.1 Установка в закрытом контуре (одиночная "Stand-Alone")
Подготовка VM для выполнения плейбуков Ansible
Требования к ОС хоста запуска плейбуков Ansbible
Для запуска плейбуков Ansible допускается использовать VM с ОС Ubuntu 24, REDOS 8.0.2 или Astra Linux 1.8.6!
Установка Ansible
Официальная документация по установке Ansible.
Установить пакеты ansible со всеми зависимостями и прочее необходимое ПО.
Если в качестве целевой ОС для развертывания NAICE используется Astra Linux 1.7.X, убедиться, что установлена версия Ansible не выше 2.17:
$ ansible --version
На более высоких версиях Ansible установка невозможна, т.к. Astra Linux 1.7.X использует Python 3.7, который не поддерживается!
При необходимости переустановить Ansible, принудительно понизив версию.
Установить ansible коммьюнити docker версии 4.7.0. Для этого требуется скачать и поместить на целевой хост файл community-docker-4.7.0.tar.gz.
wget https://cloud.eltex-co.ru/index.php/s/9Hv6p4yz611fDXb/download -O community-docker-4.7.0.tar.gz
Установить коммьюнити командой (без использования sudo):
ansible-galaxy collection install community-docker-4.7.0.tar.gz
Проверить версию коммьюнити:
ansible-galaxy collection list | grep community.docker community.docker 4.7.0 community.docker X.X.X
Получение файлов для работы плейбука
NAICE является лицензируемым продуктом, для активации функционала необходима лицензия. См. v1.1_2. Лицензирование.
На момент установки наличие лицензии необязательно.
До активации лицензии используется демо режим, в котором ограничено максимально количество сетевых устройств, активных эндпоинтов, активных гостевых эндпоинтов количеством 15 шт.
Для разворачивания системы в онлайн режиме необходимо скачать и поместить на хост, с которого будет выполняться запуск плейбука архив последней версии со страницы v1.1_1.5 Стабильные версии.
wget https://cloud.eltex-co.ru/index.php/s/YzNqFaudVREka44/download -O ansibleNaice-v1.1.1-27-03-2026.tar.gz
Затем необходимо распаковать архив:
tar xzvf ansibleNaice-v1.1.1-27-03-2026.tar.gz
Зайти в папку с плейбуками:
cd ansibleNaice-v1.1.1-27-03-2026
Настройка доступа к хостам для установки
Используется доступ к целевому хосту по логину / паролю
Для настройки хоста, на который будет выполняться развертывание системы, требуется отредактировать файл inventory/hosts.yml. В переменной ansible_host необходимо указать IP-адрес или доменное имя целевого хоста, а так же логин, пароль, пароль sudo для доступа к целевому хосту, на котором будет разворачиваться NAICE:
---
common:
hosts:
# Хост для выполнения stand-alone установки NAICE
common_host:
ansible_host: <IP-адрес или доменное имя хоста для NAICE>
ansible_user: <логин пользователя>
ansible_ssh_pass: <пароль пользователя>
ansible_become_pass: <пароль для повышения привилегий (sudo)>
Указанный IP-адрес или доменное имя хоста будет добавлен в параметр в Subject Alternative Name при генерации самоподписанного сертификата во время установки сервисов NAICE.
Используется доступ к целевому хосту по SSH ключу
По умолчанию предполагается, что используется доступ к хосту по логину паролю. Если используется режим доступа по SSH ключу (предварительно необходимо сгенерировать и поместить ключ на целевой хост), необходимо изменить настройки в файле ansible.cfg:
[defaults] inventory = hosts.yml host_key_checking = True private_key_file = <путь к файлу ключа> deprecation_warnings = False
и указать параметры доступа к целевому хосту в файле hosts.yml:
---
common:
hosts:
common_host:
ansible_host: <IP-адрес или доменное имя хоста для NAICE>
ansible_user: <логин пользователя>
ansible_become_pass: <пароль для повышения привилегий (sudo)>
Проверка корректности настроек доступа
Проверить корректность указанных настроек и наличие доступа до удаленного хоста с помощью команд:
ansible all --list-hosts # проверить список хостов ansible all -m ping # проверить доступ до хостов
Пример вывода, если хост доступен:
common_host | SUCCESS => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python3"
},
"changed": false,
"ping": "pong"
}
Настройка переменных в файле group_vars/all.yml
Настройки переменных указаны в файле group_vars/all.yml и используются для конфигурирования сервисов. Полностью назначение переменных описано в конце статьи в разделе "Приложение А". Система будет работоспособна при использовании значений переменных по умолчанию. Далее описаны наиболее востребованные переменные конфигурации сервисов.
Настройка часового пояса (TZ)
Для корректного отображения времени в системе NAICE необходимо задать следующий параметр в файле конфигурации group_vars/all.yml.
Формат переменной:
time_zone: "Регион/Город" Например: time_zone: "Europe/Moscow" или: time_zone: "Asia/Novosibirsk"
Замена сертификатов по умолчанию для работы протокола EAP-PEAP
- Для работы метода аутентификации EAP-PEAP (по логину/паролю пользователя) требуется наличие валидного сертиката на стороне RADIUS-сервера NAICE. По умолчанию публичный сертификат встроен в контейнер naice-radius и готов к работе. При необходимости замены данный сертификат может быть заменен на другой. Для корректной установки потребуется:
Сертификат корневого сервера ЦС;
Сертификат для сервера NAICE;
Приватный ключ сертификата сервера NAICE.
Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/tls.
В секции переменных плейбука
group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-PEAP требуется указать переменные, чтобы включить интеграцию:# параметры сертификатов # требует настройки ТОЛЬКО ЕСЛИ планируется использовать сторонний сертификат сервера в radius # перед запуском плейбука требуется создать папку сертификатов на целевой машине и положить в неё все требуемые сертификаты # для включения установки сертификатов протокола EAP необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/tls radius_cert_dir_copy: false # включить копирование сертификатов из директории ansible/roles/docker/files/tls radius_certs_ca_cert_file: trusted_server.crt # имя файла корневого (CA) сертификата radius_certs_private_key_file: trusted_server.k # имя файла приватного ключа сертификата сервера radius_certs_private_key_password: # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не защищен паролем radius_certs_certificate_file: trusted_server_chain.crt # имя файла сертификата сервера
Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:
Параметр Назначение radius_cert_dir_copy Переменная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius. radius_certs_ca_cert_file Имя файла корневого сертификата ЦС. radius_certs_private_key_file Имя файла приватного ключа сервера. radius_certs_private_key_password Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.
radius_certs_certificate_file Имя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-PEAP.
Добавление сертификатов для работы протокола EAP-TLS
Для работы метода аутентификации EAP-TLS, настройка которой подробно рассмотрена в разделе v1.1_4.6 Настройка EAP-TLS аутентификации, требуется выпустить сертификат, предназначенный для использования NAICE, и расположить его на хосте, с которого будет запускаться выполнение плейбука Ansible. Для корректной установки требуются:
Сертификат корневого сервера ЦС;
Сертификат для сервера NAICE;
Приватный ключ сертификата сервера NAICE.
Сертификаты требуется расположить в папке плейбуков Ansible roles/docker/files/eap-tls.
В секции переменных плейбука
group_vars/all.yml, отвечающих за установку сертификатов для работы EAP-TLS требуется указать переменные, чтобы включить интеграцию:# параметры для авторизации по протоколу EAP-TLS # параметры сертификатов # для включения установки сертификатов протокола EAP-TLS необходимо расположить файлы сертификатов сервера в папке ansible/roles/docker/files/eap-tls radius_eap_tls_cert_dir_copy: false # включить (true) или выключить (false) копирование сертификатов из директории ansible/roles/docker/files/eap-tls radius_eap_tls_certs_ca_cert_file: trusted_server.crt # имя файла корневого (CA) сертификата radius_eap_tls_certs_private_key_file: trusted_server.k # имя файла приватного ключа сертификата сервера radius_eap_tls_certs_private_key_password: # пароль к файлу приватного ключа сертификата сервера, оставьте пустым, если файл приватного ключа не защищен паролем radius_eap_tls_certs_certificate_file: trusted_server_chain.crt # имя файла серверного сертификата # настройки проверки статуса отозванных сертификатов по протоколу OCSP radius_eap_tls_ocsp_enable: 'true' # Включение проверки статуса отзыва сертификата по протоколу OCSP radius_eap_tls_ocsp_override_url: 'true' # Использовать URL сервиса OCSP из сертификата radius_eap_tls_ocsp_url: 'http://100.110.2.12/ocsp' # URL для обращения к сервису OCSP radius_eap_tls_ocsp_softfail: 'true' # Мягкая проверка доступа к серверу проверки OSCP, если сервер недоступен, процесс не завершится, а продолжится radius_eap_tls_ocsp_timeout: 0 # Таймаут обращения к серверу OSCP radius_eap_tls_ocsp_use_nonce: 'true' # Позволяет включить одноразовый код в запрос - nonce, который может быть включен в соответствующий ответ
Описание параметров, которые необходимо настроить для работы протокола EAP-TLS:
Параметр Назначение radius_eap_tls_cert_dir_copy Переменная, отвечающая за копирование сертификатов из папки на целевой хост и использование их в сервисе nacie-radius. radius_eap_tls_certs_ca_cert_file Имя файла корневого сертификата ЦС. radius_eap_tls_certs_private_key_file Имя файла приватного ключа сервера. radius_eap_tls_certs_private_key_password Пароль к файлу приватного ключа сервера. Если значение не указано, считается что пароль не используется. В пароле не допускается использовать символы: $, ', ", `, знаки скобок и пробел.
radius_eap_tls_certs_certificate_file Имя файла сертификата, который будет использоваться naice-radius при подключении пользователя по протоколу EAP-TLS. radius_eap_tls_ocsp_enable Включить проверку статуса отзыва сертификата по протоколу OCSP (false | true). По умолчанию false (проверка отключена). radius_eap_tls_ocsp_override_url Откуда брать URL OCSP-сервера: false - использовать URL из сертификата клиента; true - использовать URL из настройки radius_eap_tls_ocsp_url. По умолчанию false. radius_eap_tls_ocsp_url URL для обращения к OCSP-серверу (разрешен только http-режим). radius_eap_tls_ocsp_softfail Поведение в случае недоступности OCSP-сервера (false | true): false - прекратить аутентификацию, если не удается получить доступ; true - продолжить аутентификацию без проверки отзыва сертификата, если OCSP-сервер не доступен. radius_eap_tls_ocsp_timeout Таймаут обращения к серверу OCSP (секунды). По умолчанию 0. radius_eap_tls_ocsp_use_nonce Включить одноразовый код nonce в запрос на проверку сертификата для предотвращения подмены запроса (false | true): false - не включать, true - включить. По умолчанию true.
Прочие переменные (опционально)
При необходимости измените значения других переменных окружения в group_vars/all.yml. Например, можно изменить директорию установки сервисов NAICE или установить адрес NAICE, отличный от адреса управления.
Установка NAICE
Для установки сервисов NAICE в варианте однохостовой инсталляции используется плейбук install-naice.yml.
Запустите плейбук install-naice.yml для установки сервиса контейнеризации Docker, плагина Docker-compose и запуска через этот плагин сервисов NAICE:
ansible-playbook install-naice.yml
Во время установки сервисов NAICE для пользовательских интерфейсов lemmus, gavia и larus автоматически выполняется генерация самоподписанного сертификата. При наличии собственного заверенного сертификата после установки сервисов предусмотрена возможность заменить самоподписанный сертификат на собственный. Подробную информацию об использовании сертификатов безопасности можно найти в разделе v1.1_3.7 Использование сертификатов безопасности.
Время запуска контейнеров в связи с использованием механизма healthcheck для проверки успешности старта сервисов может занять до нескольких минут. Дождитесь полного выполнения плейбука.
Проверка состояния сервисов после установки
Проверить успешность запуска контейнеров можно, перейдя в директорию для установки NAICE (по умолчанию - /etc/docker-naice/ ) и выполнив команду для просмотра списка и статуса контейнеров docker compose ps -a.
Пример показан для ОС Ubuntu 24.04 LTS и может отличаться для других ОС, в зависимости от версии docker compose:
$ sudo docker compose ps -a NAME IMAGE COMMAND SERVICE CREATED STATUS PORTS epg-service naice-build-hosted.registry.eltex.loc/naice/epg-service:1.1-3 "/bin/sh -e /usr/loc…" epg-service 5 minutes ago Up 5 minutes (healthy) 0.0.0.0:8100->8100/tcp, [::]:8100->8100/tcp naice-aquila naice-release.registry.eltex.loc/naice-aquila:1.1 "java -cp @/app/jib-…" naice-aquila 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8091->8091/tcp, [::]:8091->8091/tcp, 0.0.0.0:49->1049/tcp, [::]:49->1049/tcp naice-bubo naice-release.registry.eltex.loc/naice-bubo:1.1 "java -cp @/app/jib-…" naice-bubo 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8093->8093/tcp, [::]:8093->8093/tcp naice-castor naice-release.registry.eltex.loc/naice-castor:1.1 "java -Djava.awt.hea…" naice-castor 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8095->8095/tcp, [::]:8095->8095/tcp naice-cetus naice-release.registry.eltex.loc/naice-cetus:1.1 "java -cp @/app/jib-…" naice-cetus 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8099->8099/tcp, [::]:8099->8099/tcp naice-gavia naice-release.registry.eltex.loc/naice-gavia:1.1 "java -cp @/app/jib-…" naice-gavia 5 minutes ago Up 3 minutes (healthy) 0.0.0.0:8080->8080/tcp, [::]:8080->8080/tcp naice-gulo naice-release.registry.eltex.loc/naice-gulo:1.1 "java -cp @/app/jib-…" naice-gulo 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8089->8089/tcp, [::]:8089->8089/tcp naice-lemmus naice-release.registry.eltex.loc/naice-lemmus:1.1 "java -cp @/app/jib-…" naice-lemmus 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8083->8083/tcp, [::]:8083->8083/tcp naice-lepus naice-release.registry.eltex.loc/naice-lepus:1.1 "java -cp @/app/jib-…" naice-lepus 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8087->8087/tcp, [::]:8087->8087/tcp, 0.0.0.0:67->1024/udp, [::]:67->1024/udp naice-mustela naice-release.registry.eltex.loc/naice-mustela:1.1 "java -cp @/app/jib-…" naice-mustela 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8070->8070/tcp, [::]:8070->8070/tcp naice-nats naice-build-hosted.registry.eltex.loc/naice/nats:1.1.7 "docker-entrypoint.s…" nats 5 minutes ago Up 5 minutes (healthy) 4222/tcp, 6222/tcp, 7777/tcp, 0.0.0.0:8222->8222/tcp, [::]:8222->8222/tcp naice-ovis naice-release.registry.eltex.loc/naice-ovis:1.1 "java -cp @/app/jib-…" naice-ovis 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8084->8084/tcp, [::]:8084->8084/tcp naice-phoca naice-release.registry.eltex.loc/naice-phoca:1.1 "java -cp @/app/jib-…" naice-phoca 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8097->8097/tcp, [::]:8097->8097/tcp naice-postgres naice-build-hosted.registry.eltex.loc/naice/postgres:1.1.6 "docker-entrypoint.s…" postgres 6 minutes ago Up 5 minutes (healthy) 5432/tcp naice-radius naice-release.registry.eltex.loc/naice-radius:1.1 "/docker-entrypoint.…" naice-radius 5 minutes ago Up 5 minutes (healthy) 0.0.0.0:1812-1813->1812-1813/udp, [::]:1812-1813->1812-1813/udp, 0.0.0.0:9812->9812/tcp, [::]:9812->9812/tcp naice-sterna naice-release.registry.eltex.loc/naice-sterna:1.1 "/docker-entrypoint.…" naice-sterna 5 minutes ago Up 3 minutes (healthy) 80/tcp, 0.0.0.0:8443->444/tcp, [::]:8443->444/tcp naice-ursus naice-release.registry.eltex.loc/naice-ursus:1.1 "java -cp @/app/jib-…" naice-ursus 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8081->8081/tcp, [::]:8081->8081/tcp naice-vulpus naice-release.registry.eltex.loc/naice-vulpus:1.1 "java -cp @/app/jib-…" naice-vulpus 5 minutes ago Up 4 minutes (healthy) 0.0.0.0:8086->8086/tcp, [::]:8086->8086/tcp naice-web naice-release.registry.eltex.loc/naice-web:1.1 "/docker-entrypoint.…" naice-web 5 minutes ago Up 2 minutes (healthy) 80/tcp, 0.0.0.0:443->443/tcp, [::]:443->443/tcp, 0.0.0.0:80->4200/tcp, [::]:80->4200/tcp
Приложения
Приложение A. Значение переменных окружения из .env и переменных для плейбука Ansible
Условные обозначения:
- не рекомендуется к редактированию.
- подсказка.
| Переменная окружения (.env) | Переменная Ansible (group_vars/all.yml) | Значение по умолчанию | Описание |
|---|---|---|---|
Переменные для дистрибуции | |||
нет |
| false | Признак установки в закрытом. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! |
нет |
|
| Целевой IP-адрес или DNS имя хоста. Берется из значения переменной. Требует изменения только в случае, если IP-адрес подключения к WEB-GUI отличается от адреса, по которому выполняется установка! |
нет |
|
| Целевая папка установки |
нет |
|
| Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! |
нет |
|
| Ссылка для скачивания docker compose плагина при установке на ОС Astra Linux 1.7.X. |
нет |
|
| Признак изменения IP-адреса хоста после установки. Используется для обновления IP-адреса при повторном выполнении плейбука установки. |
нет |
|
| Пропустить установку сервисов Docker. Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! |
|
| 1.1 | Версия сервисов бэкенда (naice-gavia, naice-lemmus, naice-ovis, naice-ursus). |
|
| 1.1 | Версия сервиса фронтенда (naice-web, известный как larus). |
POSTGRES_VERSION_TAG |
| 1.1.6 | Версия контейнерезированного образа БД postgres. |
RADIUS_VERSION_TAG |
| 1.1 | Версия контейнерезированного образа FreeRadius. |
NATS_VERSION_TAG |
| 1.1.7 | Версия контейнерезированного образа NATS. |
ELTEX_HUB |
| hub.eltex-co.ru/naice | Внешний репозиторий со стабильными версиями сборок ПО. |
|
| ELTEX_HUB | Переменная, хранящая текущий выбранный репозиторий для загрузки сервисов бэкенда. |
|
| ELTEX_HUB | Переменная, хранящая текущий выбранный репозиторий для загрузки сервиса фронтенда. |
RADIUS_HUB |
| ELTEX_HUB | Переменная, хранящая текущий выбранный репозиторий для загрузки контейнера с FreeRADIUS. |
CI_HUB |
| hub.eltex-co.ru | Внешний репозиторий для сборок сопутствующих продуктов (PostgreSQL). |
TZ |
| Etc/UTC | Переменная значения таймзоны, в которой разворачивается NAICE. Влияет на время в логах системы. |
SYSTEM_LOCALE |
| ru | Язык, используемая системой по умолчанию. Используется для определения локали системных событий, локали новых системных пользователей по умолчанию и некоторых других случаях.
|
HOSTNAME | нет | Берется значение имени хоста из /etc/hostname при установке плейбуком ansible | Имя хоста, на котором развернута система NAICE. Необходимо для лицензирования. Менять его после активации лицензии запрещено. |
naice_node_ip |
| IP-адрес, по умолчанию берется из переменной
| IP-адрес ноды, который соответствует значению переменной {{ ansible_host }}, если в ней используется IP, или полученный в результате DNS резолва имени {{ ansible_host }}, если используется доменное имя. |
Переменные Gavia | |||
GAVIA_HOST_PORT |
| 8080 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
LEMMUS_GAVIA_POSTGRES_USERNAME |
| lemmus | Логин для доступа к БД lemmus. |
LEMMUS_GAVIA_POSTGRES_PASSWORD |
| lemmus | Пароль для доступа к БД lemmus. |
Переменные Ursus | |||
|
| 8081 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
|
| ursus | Пользователь для доступа сервиса в СУБД PostgreSQL. |
|
| ursus | Пароль пользователя для доступа сервиса в СУБД PostgreSQL. |
|
| jdbc:postgresql://{{ ansible_host }}:5432/ursus | URL для взаимодействия с БД с помощью JDBC. |
URSUS_OUI_UPDATE_TIME_S |
| 86400 | Периодичность обновления списка MAC OUI, с. |
URSUS_OUI_UPDATE |
| True | Включить/выключить обновление списка MAC OUI. |
URSUS_OUI_UPLOAD_FILE_URL |
| https://standards-oui.ieee.org/oui/oui.csv | Адрес списка MAC OUI, который используется для обновления. |
URSUS_PORTAL_USER_PASSWORD_LENGTH |
| 4 | Минимальная длина пароля, которую можно задать портальному пользователю. |
URSUS_ADMIN_PASSWORD_LENGTH | ursus_admin_password_length | 8 | Минимальная длина пароля администратора.
|
URSUS_IDENTITY_PASSWORD_LENGTH | ursus_identity_password_length | 8 | Минимальная длина пароля пользователя сети. |
URSUS_NETLOGON_CHANGE_COMPUTER_PASS_CRON | ursus_netlogon_change_pass_cron | - | Настройка интервала ротации пароля доменного компьютера (0 10 2 1-31/7 * * - каждый седьмой день с 1 по 31 число месяца в 2:10). |
| нет | ursus_netlogon_change_pass_cron_node1 | - | Настройка интервала ротации пароля доменного компьютера при установке в схеме с резервированием на 1-й ноде. |
| нет | ursus_netlogon_change_pass_cron_node2 | - | Настройка интервала ротации пароля доменного компьютера при установке в схеме с резервированием на 2-й ноде. |
URSUS_NETLOGON_CHANGE_COMPUTER_PASS_LENGTH | ursus_netlogon_change_pass_length | 12 | Длина генерируемого пароля доменного компьютера в ходе ротации: от 12 до 200 символов. |
Переменные Lemmus | |||
LEMMUS_HOST_PORT |
| 8083 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
LEMMUS_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/lemmus | Адрес подключения к БД lemmus. |
LEMMUS_POSTGRES_USERNAME |
|
| Пользователь для доступа сервиса в СУБД PostgreSQL. |
LEMMUS_POSTGRES_PASSWORD |
|
| Пароль пользователя для доступа сервиса в СУБД PostgreSQL. |
LEMMUS_REDIRECTS |
| https://{{ ansible_host }}:8080/actuator/health, https://{{ ansible_host }}:443/login | URL для перенаправления клиента после получения токена. |
LEMMUS_ACCESS_TTL_S |
| 3600 | Время жизни токена в секундах. |
LEMMUS_REFRESH_TTL_S |
| 7200 | Время в секундах, в течение которого токен можно продлить. |
Переменные PostgreSQL | |||
нет |
|
| Имя контейнера СУБД PostgreSQL. |
нет |
|
| Порт для обращения к СУБД PostgreSQL. |
POSTGRES_USER |
| postgres | Пользователь, создаваемый при установке и настройке СУБД. |
POSTGRES_PASSWORD |
| postgres | Пароль пользователя, создаваемый при установке и настройке СУБД. |
нет |
| postgres | Наименование БД по умолчанию, используемой для управления СУБД PostgreSQL. |
Переменные PostgreSQL для работы в схеме с резервированием | |||
нет |
|
| Адрес резервной ноды СУБД PostgreSQL. |
нет |
|
| Порт резервной ноды СУБД PostgreSQL. |
Переменные Ovis | |||
OVIS_HOST_PORT |
| 8084 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
OVIS_CACHE_TTL_S |
| 86400 | Время жизни кэша naice-ovis в секундах, в течение которого он хранит настройки аутентификации и авторизации. По истечении этого времени настройки перечитываются. |
OVIS_SESSION_IDLE_S |
| 86400 | Время жизни неактивных сессии пользователей, с. |
|
| jdbc:postgresql://{{ ansible_host }}:5432/ursus | Адрес подключения к БД ursus. |
|
| ovis | Логин подключения к БД ursus. |
|
| ovis | Пароль подключения к БД ursus. |
|
| jdbc:postgresql://{{ ansible_host }}:5432/ovis | Адрес подключения к БД ovis. |
|
| ovis | Логин подключения к БД ovis. |
|
| ovis | Пароль подключения к БД ovis. |
OVIS_NODE_INTERFACE |
|
| IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. |
OVIS_NODE_MEMBERS |
| 127.0.0.1 | IP-адреса/DNS-имена инстансов участвующих в резервировании. |
OVIS_SESSIONS_CLEAN_CRON |
| 0 0 * * * * | Интервал запуска задачи по очистке radius-сессий из БД, по умолчанию каждый час. |
OVIS_SESSION_FLUSH_SEC |
| 10 | Интервал radius-сохранения сессий в БД из кэша, с. |
OVIS_DB_POOL_CONNECTION_LIFETIME |
| 1800000 | Время жизни соединения к БД ursus, с. |
OVIS_DB_POOL_IDLE_TIMEOUT |
| 60000 | Время ожидания ответа при подключении к БД ursus, мс. |
OVIS_DB_POOL_MIN_IDLE |
| 5 | Минимальное количество коннектов для подлючения БД ursus в режиме ожидания. |
OVIS_DB_POOL_SIZE |
| 10 | Количество коннектов для подключения к БД ovis. |
OVIS_SESSIONS_DB_POOL_CONNECTION_LIFETIME |
| 1800000 | Время жизни соединения к БД ovis, с. |
OVIS_SESSIONS_DB_POOL_IDLE_TIMEOUT |
| 60000 | Время ожидания ответа при подключении к БД ovis, мс. |
OVIS_SESSIONS_DB_POOL_MIN_IDLE |
| 2 | Минимальное количество коннектов для подлючения БД ovis в режиме ожидания. |
OVIS_SESSIONS_DB_POOL_SIZE |
| 5 | Количество коннектов для подключения к БД ovis. |
OVIS_SESSION_BATCH_SIZE |
| 100 | Количество сессий в одном пакете для сохранения в БД ovis. |
Переменные Larus (WEB) | |||
LARUS_PORT |
| 4200 | Порт, на котором работает сервис внутри контейнера. |
LARUS_HOST_PORT |
| 80 | Порт http, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. Используется только для перенаправления подключения пользователя на защищеный порт 443. |
FRONTEND_WEB_URL |
| https://{{ ansible_host }}:443 | URL на котором работает WEB-интерфейс. |
FRONTEND_STERNA_URL |
| https://{{ naice_address }}:{{ sterna_host_port }} | URL на котором работает Captive Portal. |
Переменные NATS | |||
NATS_MONITORING_PORT |
| 8222 | Порт, через который выполняется мониторинг сервиса. |
NATS_EXPORTER_PORT |
| 7777 | Порт, через который сервис отдает метрики в формате prometheus. |
|
| 6222 | Порт для взаимодействия nats в кластере (установка с резервированием). |
|
|
| IP-адрес для взаимодействия nats в кластере. |
|
| 5 | Максимальное время ожидания ответа от клиентского сервиса на отправленное nats событие, с. |
|
| 15 | Время паузы между попытками переподключения клиентского сервиса к nats, с. |
|
| 30 | Максимальное количество попыток переподключения клиентского сервиса к nats |
|
| 0 | Размер буфера исходящих сообщений при обрыве соединения, отправляемых после восстановления соединения, в байтах. 0 означает выключение такого буффера. При превышении ненулевого значения клиент начнёт терять сообщения. |
Переменные Vulpus | |||
VULPUS_HOST_PORT |
| 8086 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
VULPUS_POSTGRES_USERNAME |
| vulpus | Логин для подключения к БД. |
VULPUS_POSTGRES_PASSWORD |
| vulpus | Пароль для подключения к БД. |
VULPUS_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ ansible_host }}:5432/lepus | Адрес БД для подключения. |
VULPUS_NODE_INTERFACE |
|
| IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием. |
VULPUS_NODE_MEMBERS |
| 127.0.0.1 | IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием. |
Переменные Lepus | |||
LEPUS_HOST_PORT |
| 8087 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
LEPUS_REPOSITORY_BATCH_SIZE |
| 500 | Размер пакета сохранения проб в БД (количество). |
LEPUS_POSTGRES_USERNAME |
| lepus | Логин для подключения к БД. |
LEPUS_POSTGRES_PASSWORD |
| lepus | Пароль для подключения к БД. |
LEPUS_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ ansible_host }}:5432/lepus | Адрес БД для подключения. |
LEPUS_DHCP_PROBE_ENABLED |
| true | Включение/отключение сбора DHCP-проб. |
LEPUS_DHCP_PROBE_HOST_PORT |
| 67 | Внешний порт сервиса для сбора DHCP-проб. |
LEPUS_DHCP_PROBE_SCHEDULE_CLEAR_PROBES_AFTER_DAYS |
| 30 | Время хранения DHCP-проб в БД. |
LEPUS_DHCP_PROBE_SCHEDULE_CLEAN_EXPIRED_CRON |
| 0 0 * * * * | Расписание для запуска задачи по очистке устаревших DHCP-проб в БД. |
Переменные Gulo | |||
GULO_HOST_PORT |
| 8089 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
ELM_SERVER_URL |
| https://elm.eltex-co.ru:8099 | URL до сервера ELM.
|
GULO_USER_LABEL | нет | {{ naice_address }}/v{{ version_tag }} | |
ELM_PROXY_HOST |
| не задано | Адрес HTTP-proxy сервера
|
ELM_PROXY_PORT |
| не задано | Порт HTTP-proxy сервера
|
ELM_PROXY_LOGIN |
| не задано | Логин для аутентификации на HTTP-proxy сервере
|
ELM_PROXY_PASSWORD |
| не задано | Пароль для аутентификации на HTTP-proxy сервере
|
Переменные Aquila | |||
AQUILA_HOST_PORT |
| 8091 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
AQUILA_CACHE_TTL_S |
| 300 | Время жизни кэша naice-aquila в секундах, в течение которого сервис хранит настройки аутентификации и авторизации. По истечении этого времени настройки перечитываются. |
AQUILA_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ ansible_host }}:5432/aquila | Адрес БД для подключения. |
AQUILA_POSTGRES_USERNAME |
| aquila | Логин для подключения к БД. |
AQUILA_POSTGRES_PASSWORD |
| aquila | Пароль для подключения к БД. |
AQUILA_DB_POOL_SIZE |
| 5 | Количество коннектов для подключения к БД aquila. |
AQUILA_DB_POOL_MIN_IDLE |
| 1 | Минимальное количество коннектов для подлючения БД aquila в режиме ожидания. |
AQUILA_DB_POOL_IDLE_TIMEOUT |
| 60000 | Время ожидания ответа при подключении к БД, мс. |
AQUILA_DB_POOL_CONNECTION_LIFETIME |
| 1800000 | Время жизни соединения к БД, с. |
AQUILA_URSUS_DB_POOL_MIN_IDLE |
| 2 | Минимальное количество коннектов для подлючения БД ursus в режиме ожидания. |
AQUILA_URSUS_DB_POOL_SIZE |
| 10 | Количество коннектов для подключения к БД ursus. |
AQUILA_FLUSH_SEC |
| 60 | Интервал сохранения сессий и аккаунтинга в БД, с. |
AQUILA_SESSIONS_CLEAN_CRON |
| 0 0 * * * * | Интервал очистки сессий и аккаунтинга из БД, по умолчанию каждый час. |
AQUILA_SESSION_TO_DELETE_DAYS |
| 31 | Срок хранения информации о сессиях в БД.
|
AQUILA_ACCOUNTING_TO_DELETE_DAYS |
| 31 | Срок хранения информации об аккаунтинге в БД.
|
AQUILA_NODE_INTERFACE |
|
| IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием. |
AQUILA_NODE_MEMBERS |
| 127.0.0.1 | IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием. |
AQUILA_USER_CACHE_ENABLE |
| True | Включить кэширование имени пользователя при выполнении авторизации команд. Возможные значения True / False. При значении False каждое обращение за авторизацией команды приведет к проверке существования имени пользователя в источнике идентифкации. |
AQUILA_USER_CACHE_TTL_S |
| 300 | Время хранения в кэше имени пользователя при выполнении авторизации команд. |
Переменные Bubo | |||
BUBO_HOST_PORT |
| 8093 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
BUBO_NODE_INTERFACE | hazelcast_node_interface |
| IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. |
BUBO_NODE_MEMBERS | hazelcast_node_members | 127.0.0.1 | IP-адреса/DNS-имена инстансов участвующих в резервировании. |
BUBO_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ ansible_host }}:5432/bubo | Адрес БД для подключения. |
BUBO_POSTGRES_USERNAME |
| bubo | Логин для подключения к БД. |
BUBO_POSTGRES_PASSWORD |
| bubo | Пароль для подключения к БД. |
BUBO_CACHE_TTL_S |
| 300 | |
BUBO_SMS_SCHEDULE_CLEAN_EXPIRED_CRON |
| 0 0 * * * * | Интервал очистки СМС из БД, по умолчанию каждый час. |
BUBO_SMS_TO_DELETE_DAYS |
| 31 | Срок хранения информации об отправленных СМС в БД. |
Переменные Castor | |||
CASTOR_HOST_PORT |
| 8095 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
CASTOR_POSTGRES_JDBC_URL |
| jdbc:postgresql://{{ ansible_host }}:5432/ursus | Адрес подключения к БД. |
CASTOR_POSTGRES_USERNAME |
| castor | Логин подключения к БД. |
CASTOR_POSTGRES_PASSWORD |
| castor | Пароль подключения к БД. |
CASTOR_NODE_INTERFACE | hazelcast_node_interface |
| IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. |
CASTOR_NODE_MEMBERS | hazelcast_node_members | 127.0.0.1 | IP-адреса/DNS-имена инстансов участвующих в резервировании. |
CASTOR_DB_POOL_SIZE |
| 10 | Количество коннектов для подключения к БД. |
CASTOR_DB_POOL_MIN_IDLE |
| 2 | Минимальное количество коннектов для подлючения БД в режиме ожидания. |
CASTOR_DB_POOL_IDLE_TIMEOUT |
| 60000 | Время ожидания ответа при подключении к БД, мс. |
CASTOR_DB_POOL_CONNECTION_LIFETIME |
| 1800000 | Время жизни соединения к БД, с. |
CASTOR_CACHE_TTL_S |
| 300 | Время хранения в кэше информации о пользователе, с. |
CASTOR_REQUESTS_RATE_LIMIT |
| 1000 | Максимальное количество REST запросов к сервису за указанное в переменной CASTOR_SECONDS_RATE_LIMIT время. |
CASTOR_SECONDS_RATE_LIMIT |
| 10 | Интервал, за который исчисляется количество REST запросов к сервису, с. |
CASTOR_MAX_THREAD_COUNT |
| 20 | Максимальное количество потоков при обработке REST запросов к сервису. |
Переменные Castor (управление сложностью CAPTCHA) | |||
CASTOR_CAPTCHA_LIB_WIDTH |
| 250 | Ширина изображения, пиксель. |
CASTOR_CAPTCHA_LIB_HEIGHT |
| 100 | Высота изображения, пиксель. |
CASTOR_CAPTCHA_LIB_DRAW_LINES |
| True | Использовать линии для усложнения изображения, может принимать значение True / False. |
CASTOR_CAPTCHA_LIB_LINE_COUNT |
| 1 | Количество линий. |
CASTOR_CAPTCHA_LIB_LINE_WIDTH |
| 14 | Ширина линий, пиксель. |
CASTOR_CAPTCHA_LIB_DRAW_ELLIPSE |
| True | Использовать эллиптическое искажение текста в изображении. |
CASTOR_CAPTCHA_LIB_ELLIPSE_COUNT |
| 3 | Количество эллиптических искажений текста в изображении. |
CASTOR_CAPTCHA_LIB_ELLIPSE_MIN_RADIUS |
| 25 | Минимальный радиус эллиптического искажения изображения. |
CASTOR_CAPTCHA_LIB_ELLIPSE_MAX_RADIUS |
| 45 | Максимальный радиус эллиптического искажения изображения. |
CASTOR_CAPTCHA_LIB_DRAW_NOISE |
| True | Использовать точки для искажения изображения. |
CASTOR_CAPTCHA_LIB_NOISE_POINT_COUNT |
| 800 | Количество точек. |
CASTOR_CAPTCHA_LIB_NOISE_POINT_SIZE |
| 2 | Размер одной точки, пиксель. |
Переменные Sterna | |||
STERNA_HTTPS_PORT |
| 444 | HTTPS порт, на котором работает сервис внутри контейнера. |
STERNA_HTTP_PORT |
| 81 | HTTP порт, на котором работает сервис внутри контейнера. |
STERNA_HTTPS_HOST_PORT | sterna_host_port | 8443 | Порт HTTPS, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
STERNA_HTTP_HOST_PORT | sterna_host_port | 8443 | Порт HTTP, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. По умолчанию не используется, требует ручного включения. |
FRONTEND_STERNA_URLУсловные обозначения:  - не рекомендуется к редактированию. нет offline_install false Признак установки в закрытом. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! naice_address ansible_host Целевой IP-адрес или DNS имя хоста. Берется из значения переменной. Требует изменения только в случае, если IP-адрес подключения к WEB-GUI отличается от адреса, по которому выполняется установка! naice_docker_path /etc/docker-naice Целевая папка установки naice_docker_images не задано Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! docker_compose_download_url https://cloud.eltex-co.ru/index.php/s/yKlAcy83VVPEfzx/download Ссылка для скачивания docker compose плагина при установке на ОС Astra Linux 1.7.X.  ip_has_been_changed false Признак изменения IP-адреса хоста после установки. Используется для обновления IP-адреса при повторном выполнении плейбука установки. skip_docker_installation false Пропустить установку сервисов Docker. Используется при установке в закрытом контуре. При выполнении установки в закрытом контуре требуется скачать отдельный архив. Изменять значение для плейбуков онлайн установки нельзя! version_tag 1.1 Версия сервисов бэкенда (naice-gavia, naice-lemmus, naice-ovis, naice-ursus).  version_tag 1.1 Версия сервиса фронтенда (naice-web, известный как larus).  1.1.6 Версия контейнерезированного образа БД postgres.  1.1 Версия контейнерезированного образа FreeRadius.  1.1.7 Версия контейнерезированного образа NATS. hub.eltex-co.ru/naice Внешний репозиторий со стабильными версиями сборок ПО.  ELTEX_HUB ELTEX_HUB Переменная, хранящая текущий выбранный репозиторий для загрузки сервисов бэкенда.  ELTEX_HUB ELTEX_HUB Переменная, хранящая текущий выбранный репозиторий для загрузки сервиса фронтенда.  ELTEX_HUB Переменная, хранящая текущий выбранный репозиторий для загрузки контейнера с FreeRADIUS.  hub.eltex-co.ru Внешний репозиторий для сборок сопутствующих продуктов (PostgreSQL).  Etc/UTC Влияет на время в логах системы. SYSTEM_LOCALE ru  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. HOSTNAME нет Берется значение имени хоста из /etc/hostname при установке плейбуком ansible Имя хоста, на котором развернута система NAICE. Необходимо для лицензирования. Менять его после активации лицензии запрещено. IP-адрес, по умолчанию берется из переменной IP-адрес ноды, который соответствует значению переменной {{ ansible_host }}, если в ней используется IP, или полученный в результате DNS резолва имени {{ ansible_host }}, если используется доменное имя. GAVIA_HOST_PORT 8080 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.  lemmus Логин для доступа к БД lemmus.  lemmus Пароль для доступа к БД lemmus.  URSUS_HOST_PORT ursus_host_port 8081 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.  ursus_postgres_username ursus Пользователь для доступа сервиса в СУБД PostgreSQL.  ursus_postgres_password ursus Пароль пользователя для доступа сервиса в СУБД PostgreSQL.  ursus_postgres_jdbc_url jdbc:postgresql://{{ ansible_host }}:5432/ursus URL для взаимодействия с БД с помощью JDBC.  86400 Периодичность обновления списка MAC OUI, с. True Включить/выключить обновление списка MAC OUI. https://standards-oui.ieee.org/oui/oui.csv Адрес списка MAC OUI, который используется для обновления. 4 Минимальная длина пароля, которую можно задать портальному пользователю. 8  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. URSUS_IDENTITY_PASSWORD_LENGTH 8 Минимальная длина пароля пользователя сети. - нет - нет - URSUS_NETLOGON_CHANGE_COMPUTER_PASS_LENGTH 12 Длина генерируемого пароля доменного компьютера в ходе ротации: от 12 до 200 символов. LEMMUS_HOST_PORT 8083 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом.  jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/lemmus Адрес подключения к БД lemmus. lemmus Пользователь для доступа сервиса в СУБД PostgreSQL.  lemmus Пароль пользователя для доступа сервиса в СУБД PostgreSQL.  https://{{ ansible_host }}:8080/actuator/health, https://{{ ansible_host }}:443/login URL для перенаправления клиента после получения токена.  3600 Время жизни токена в секундах. 7200 Время в секундах, в течение которого токен можно продлить. нет naice-postgres Имя контейнера СУБД PostgreSQL.  5432 Порт для обращения к СУБД PostgreSQL.  postgres Пользователь, создаваемый при установке и настройке СУБД.  postgres Пароль пользователя, создаваемый при установке и настройке СУБД.  postgres Наименование БД по умолчанию, используемой для управления СУБД PostgreSQL.  нет 127.0.0.1 Адрес резервной ноды СУБД PostgreSQL. 5432 Порт резервной ноды СУБД PostgreSQL. OVIS_HOST_PORT 8084 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. 86400 OVIS_SESSION_IDLE_S 86400 Время жизни неактивных сессии пользователей, с. ovis_ursus_postgres_jdbc_url jdbc:postgresql://{{ ansible_host }}:5432/ursus Адрес подключения к БД ursus. ovis_ursus_postgres_username ovis Логин подключения к БД ursus. ovis_ursus_postgres_password ovis Пароль подключения к БД ursus. ovis_ovis_postgres_jdbc_url jdbc:postgresql://{{ ansible_host }}:5432/ovis Адрес подключения к БД ovis. ovis_ovis_postgres_username ovis Логин подключения к БД ovis. ovis_ovis_postgres_password ovis Пароль подключения к БД ovis. {{ naice_address }} IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. 127.0.0.1 IP-адреса/DNS-имена инстансов участвующих в резервировании. 0 0 * * * * Интервал запуска задачи по очистке radius-сессий из БД, по умолчанию каждый час. 10 Интервал radius-сохранения сессий в БД из кэша, с. 1800000 Время жизни соединения к БД ursus, с. 60000 Время ожидания ответа при подключении к БД ursus, мс. 5 Минимальное количество коннектов для подлючения БД ursus в режиме ожидания. 10 Количество коннектов для подключения к БД ovis. 1800000 Время жизни соединения к БД ovis, с. 60000 Время ожидания ответа при подключении к БД ovis, мс. 2 Минимальное количество коннектов для подлючения БД ovis в режиме ожидания. 5 Количество коннектов для подключения к БД ovis. 100 Количество сессий в одном пакете для сохранения в БД ovis. LARUS_PORT 4200 Порт, на котором работает сервис внутри контейнера.  80 Порт http, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. Используется только для перенаправления подключения пользователя на защищеный порт 443. https://{{ ansible_host }}:443 URL на котором работает WEB-интерфейс. https://{{ naice_address }}:{{ sterna_host_port }} URL на котором работает Captive Portal. NATS_MONITORING_PORT 8222 Порт, через который выполняется мониторинг сервиса. 7777 Порт, через который сервис отдает метрики в формате prometheus. nats_cluster_port 6222 Порт для взаимодействия nats в кластере (установка с резервированием). nats_slave_address 127.0.0.1 IP-адрес для взаимодействия nats в кластере. nats_request_reply_timeout 5 Максимальное время ожидания ответа от клиентского сервиса на отправленное nats событие, с. nats_reconnect_wait 15 Время паузы между попытками переподключения клиентского сервиса к nats, с. nats_max_reconnect 30 Максимальное количество попыток переподключения клиентского сервиса к nats nats_reconnect_buffer_size 0 Размер буфера исходящих сообщений при обрыве соединения, отправляемых после восстановления соединения, в байтах. 0 означает выключение такого буффера. При превышении ненулевого значения клиент начнёт терять сообщения. Переменные Vulpus VULPUS_HOST_PORT 8086 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. vulpus Логин для подключения к БД. vulpus Пароль для подключения к БД. jdbc:postgresql://{{ ansible_host }}:5432/lepus Адрес БД для подключения. {{ naice_address }} IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием. 127.0.0.1 IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием. LEPUS_HOST_PORT 8087 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. 500 Размер пакета сохранения проб в БД (количество). lepus Логин для подключения к БД. lepus Пароль для подключения к БД. jdbc:postgresql://{{ ansible_host }}:5432/lepus Адрес БД для подключения. true Включение/отключение сбора DHCP-проб. 67 Внешний порт сервиса для сбора DHCP-проб. 30 Время хранения DHCP-проб в БД. 0 0 * * * * Расписание для запуска задачи по очистке устаревших DHCP-проб в БД. GULO_HOST_PORT 8089 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. https://elm.eltex-co.ru:8099  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. GULO_USER_LABEL {{ naice_address }}/v{{ version_tag }} не задано  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. ELM_PROXY_PORT не задано  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. ELM_PROXY_LOGIN не задано  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. ELM_PROXY_PASSWORD не задано  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. Переменные Aquila AQUILA_HOST_PORT 8091 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. 300 Время жизни кэша naice-aquila в секундах, в течение которого сервис хранит настройки аутентификации и авторизации. По истечении этого времени настройки перечитываются. jdbc:postgresql://{{ ansible_host }}:5432/aquila Адрес БД для подключения. aquila Логин для подключения к БД. aquila Пароль для подключения к БД. 5 Количество коннектов для подключения к БД aquila. 1 Минимальное количество коннектов для подлючения БД aquila в режиме ожидания. 60000 Время ожидания ответа при подключении к БД, мс. 1800000 Время жизни соединения к БД, с. 2 Минимальное количество коннектов для подлючения БД ursus в режиме ожидания. 10 Количество коннектов для подключения к БД ursus. 60 AQUILA_SESSIONS_CLEAN_CRON 0 0 * * * * Интервал очистки сессий и аккаунтинга из БД, по умолчанию каждый час. 31  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. AQUILA_ACCOUNTING_TO_DELETE_DAYS 31  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. AQUILA_NODE_INTERFACE {{ naice_address }} IP-адрес интерфейса для взаимодействия с соседним инстансом при работе в схеме с резервированием. 127.0.0.1 IP-адрес интерфейса соседней ноды для взаимодействия с при работе в схеме с резервированием. True Включить кэширование имени пользователя при выполнении авторизации команд. Возможные значения True / False. При значении False каждое обращение за авторизацией команды приведет к проверке существования имени пользователя в источнике идентифкации. 300 Время хранения в кэше имени пользователя при выполнении авторизации команд. BUBO_HOST_PORT 8093 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. jdbc:postgresql://{{ ansible_host }}:5432/bubo Адрес БД для подключения. bubo Логин для подключения к БД. bubo Пароль для подключения к БД. 300 0 0 * * * * Интервал очистки СМС из БД, по умолчанию каждый час. 31 Срок хранения информации об отправленных СМС в БД. CASTOR_HOST_PORT 8095 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. jdbc:postgresql://{{ ansible_host }}:5432/ursus Адрес подключения к БД. castor Логин подключения к БД. castor Пароль подключения к БД. IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. 10 Количество коннектов для подключения к БД. 2 Минимальное количество коннектов для подлючения БД в режиме ожидания. 60000 Время ожидания ответа при подключении к БД, мс. 1800000 Время жизни соединения к БД, с. 300 Время хранения в кэше информации о пользователе, с. 1000 Максимальное количество REST запросов к сервису за указанное в переменной CASTOR_SECONDS_RATE_LIMIT время. 10 Интервал, за который исчисляется количество REST запросов к сервису, с. 20 Максимальное количество потоков при обработке REST запросов к сервису. CASTOR_CAPTCHA_LIB_WIDTH 250 Ширина изображения, пиксель. 100 Высота изображения, пиксель. True Использовать линии для усложнения изображения, может принимать значение True / False. 1 Количество линий. 14 Ширина линий, пиксель. True Использовать эллиптическое искажение текста в изображении. 3 Количество эллиптических искажений текста в изображении. 25 Минимальный радиус эллиптического искажения изображения. 45 Максимальный радиус эллиптического искажения изображения. True Использовать точки для искажения изображения. 800 Количество точек. 2 Размер одной точки, пиксель. STERNA_HTTPS_PORT 444 HTTPS порт, на котором работает сервис внутри контейнера. 81 HTTP порт, на котором работает сервис внутри контейнера. FRONTEND_STERNA_URL frontend_sterna_url https://{{ ansible_host }}:8443 URL редиректа на портал, который будет использоваться для авторизации портальных пользователей. mustela_host_port 8098 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. mustela_postgres_jdbc_url jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/{{ mustela_postgres_db }} Адрес подключения к БД. mustela_postgres_username mustela Логин подключения к БД. mustela_postgres_password mustela Пароль подключения к БД. mustela_db_pool_size 25 Максимальное количество коннектов для подключения к БД. mustela_db_pool_min_idle 5 Минимальное количество коннектов для подлючения БД в режиме ожидания. mustela_db_pool_idle_timeout 60000 Время ожидания ответа при подключении к БД, мс. mustela_db_pool_connection_lifetime 1800000 Время жизни конкта к БД, мс. hazelcast_node_interface {{ naice_address }} IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. hazelcast_node_members 127.0.0.1 IP-адреса/DNS-имена инстансов участвующих в резервировании. mustela_cache_ttl_s 300 Время хранения в кэше информации о ???, с. mustela_events_clean_cron 0 0 3 * * * MUSTELA_EVENTS_TO_DELETE_DAYS mustela_events_to_delete_days 14  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. Переменные Phoca phoca_host_port 8097 PHOCA_POSTGRES_USERNAME phoca_postgres_username phoca PHOCA_POSTGRES_PASSWORD phoca_postgres_password phoca PHOCA_POSTGRES_JDBC_URL phoca_postgres_jdbc_url jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/phoca PHOCA_DB_POOL_SIZE phoca_db_pool_size 5 PHOCA_DB_POOL_MIN_IDLE phoca_db_pool_min_idle 1 PHOCA_DB_POOL_IDLE_TIMEOUT phoca_db_pool_idle_timeout 60000 PHOCA_DB_POOL_CONNECTION_LIFETIME phoca_db_pool_connection_lifetime 1800000 PHOCA_HOST_DOCKER_SOCK phoca_host_docker_sock /var/run/docker.sock Переменные Cetus cetus_host_port 8099 CETUS_POSTGRES_JDBC_URL cetus_postgres_jdbc_url jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/ursus CETUS_POSTGRES_USERNAME cetus_postgres_username cetus CETUS_POSTGRES_PASSWORD cetus_postgres_password cetus CETUS_DB_POOL_SIZE cetus_db_pool_size 10 CETUS_DB_POOL_MIN_IDLE cetus_db_pool_min_idle 3 CETUS_DB_POOL_IDLE_TIMEOUT cetus_db_pool_idle_timeout 60000 CETUS_DB_POOL_CONNECTION_LIFETIME cetus_db_pool_connection_lifetime 1800000 CETUS_CACHE_TTL_S cetus_cache_ttl_s 300 CETUS_NODE_INTERFACE hazelcast_node_interface {{ naice_address }} CETUS_NODE_MEMBERS hazelcast_node_members 127.0.0.1 CETUS_LDAP_CONNECT_TIMEOUT_MS cetus_ldap_connect_timeout_ms 3000 CETUS_LDAP_READ_TIMEOUT_MS cetus_ldap_read_timeout_ms 7000 CETUS_LDAP_REFERRAL_VALUE cetus_ldap_referral_value ignore "ignore" (по умолчанию) - игнорировать и не обращаться по внешней ссылке; cetus_ldap_pool_size 10 CETUS_LDAP_POOL_MAX_SIZE cetus_ldap_pool_max_size 10 CETUS_NETLOGON_LIB_SOCKET_TIMEOUT_MS cetus_netlogon_lib_socket_timeout_ms 5000 CETUS_NETLOGON_LIB_CONNECT_TIMEOUT_MS cetus_netlogon_lib_connect_timeout_ms 5000 CETUS_NETLOGON_LIB_CLIENT_CACHE_ENABLED cetus_netlogon_lib_client_cache_enabled true CETUS_NETLOGON_LIB_CLIENT_CACHE_TTL_S cetus_netlogon_lib_client_cache_ttl_s 1800 CETUS_NETLOGON_LIB_CLIENT_CACHE_PERIOD_S cetus_netlogon_lib_client_cache_period_s 180 CETUS_NETLOGON_LIB_DNS_CACHE_TTL_S CETUS_NETLOGON_LIB_DNS_CACHE_TTL_S 3600 CETUS_NETLOGON_LIB_DNS_CACHE_PERIOD_S cetus_netlogon_lib_dns_cache_period_s 360 CETUS_NETLOGON_COMP_NAME cetus_netlogon_comp_name - для однохостовой установки cetus_netlogon_pc1_name - для кластерной установки CETUS_NETLOGON_COMP_PASSWORD cetus_netlogon_comp_passord - для однохостовой установки "" Переменные EPG EPG_TAG 1.1-3 Версия сервиса EPG. 10 Максимальный размер одного log файла в МБ. 4 Максимальное количество log файлов в ротации. info Уровень логирования для логов типа "kernel" сервиса EPG. off Уровень логирования для логов типа "debug" сервиса EPG. info Уровень логирования для логов типа "networking" сервиса EPG. 8100 Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. SSL_CERT нет /etc/docker-naice/https/server.crt Путь до файла сертификата. не задан Пароль от закрытого ключа; по умолчанию без пароля. PORTAL_SSL_CERT нет /etc/docker-naice/https/portal.crt Путь до файла сертификата. ${PORTAL_SSL_CERT_PASS} Пароль от закрытого ключа для сервиса Sterna; по умолчанию без пароля. https Путь к папке с сертификатами для интерфейсов WEB и портала false Выполнить обновление сертификатов безопасности. Используется для пересоздания самоподписных сертификатов безопасности при повторном выполнении плейбука установки. naice.eltex.loc Доменное имя, которое указано в пользовательском сертификате (в полях CN или AlterName:DNS). server Замена какого сертификата будет выполняться: административного: server нет /etc/ssl/certs/server.crt Путь до файла пользовательского сертификата на хосте запуска плейбуков Ansible. etc/ssl/private/server.key Путь до файла ключа пользовательского сертификата на хосте запуска плейбуков Ansible. Общие переменные 1812 Порт аутентификации для обработки RADIUS-запросов аутентификации.  1813 Порт для обработки RADIUS-аккаунтинга.  9812 Порт, через который сервис отдает метрики в формате prometheus. /var/log/radius Файл на хостовой машине для хранения логов работы сервиса. RADIUS_POSTGRES_DB_HOST naice-postgres IP-адрес подключения к БД. 5432 Порт подключения к БД. radius Логин для подключения к БД. radius Пароль для подключения к БД. RADIUS_POSTGRES_RESERVED_DB_HOST radius_postgres_reserved_db_host {{ postgres_reserved_host }} Адрес резервной ноды СУБД PostgreSQL. radius_postgres_reserved_db_port {{ postgres_reserved_port }} Порт резервной ноды СУБД PostgreSQL. radius_postgres_reserved_db_login radius Логин для подключения к БД. radius_postgres_reserved_db_password radius Пароль для подключения к БД. radius_postgres_reserved_enabled 0 Использовать резервирование (0 - нет, 1 - да) false Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат. trusted_server.crt Наименование файла внешнего сертификата CA. trusted_server.k Наименование внешнего приватного ключа сертификата. не задано Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен. trusted_server_chain.crt Наименование файла внешнего сертификата, который будет использовать FreeRADIUS. false Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат. trusted_server.crt Наименование файла внешнего сертификата CA. trusted_server.k Имя файла приватного ключа сертификата сервера. не задано Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен. trusted_server_chain.crt Наименование файла внешнего сертификата, который будет использовать FreeRADIUS. false Включение проверки статуса отзыва сертификата по протоколу OCSP. false Использование URL сервиса OCSP из сертификата. http://127.0.0.1/ocsp URL для обращения к сервису OCSP. false "Мягкая" проверка доступа к серверу проверки OSCP - если сервер недоступен, процесс не завершится, а продолжится. 0 Таймаут обращения к серверу OSCP. true Включение одноразового кода в запрос - nonce, который может быть включен в соответствующий ответ. SERVER_LOGGING_LEVEL DEBUG  Будет удалено в следующей версии. Настройка параметра производится через v1.1_6.2. Настройки системы. нет "\"10m\"" Максимальный размер файла логов сервиса. "\"10\"" Максимальное количество файлов логов для сервиса. Переменные, определяющие адреса кластера СУБД PostreSQL при установке в схеме с резервированием нет {{ hostvars['node_primary'].ansible_host }} Адрес хоста для установки ноды Primary СУБД PostgreSQL. {{ hostvars['node_standby'].ansible_host }} Адрес хоста для установки ноды Backup СУБД PostgreSQL. {{ hostvars['node_primary'].forwarded_postgresql_port }} Порт для обращения к СУБД PostgreSQL на ноде Primary . {{ hostvars['node_standby'].forwarded_postgresql_port }} Порт для обращения к СУБД PostgreSQL на ноде Backup . нет true Проверять, что IP-адрес заданный в переменной файла hosts-cluster.yml keepalived_vip входит в подсеть IP-адресов, которые настроены на интерфейсах целевой VM, указанных в переменных файла hosts-cluster.yml keepalived_interface (true - проверять, false - не проверять). {{ keepalived_vip }} VIP-адрес используемый для резервирования или доменное имя, которое резолвиться DNS-запросом в данный адрес. PASS Тип аутентификации VRRP анонсов. testing123 Пароль, используемый в VRRP анонсах. 0 Период отправки GARP сообщений инстансом VRRP находящимся в состоянии Primary, с. 0 - не отправлять. 1 Количество отправляемых GARP сообщений инстансом VRRP находящимся в состоянии MASTER при выполнении периодической отправки. 5 Задержка, в течении которой не будет выполняться отправка GARP сообщений после перехода состояния инстанса VRRP в MASTER, с. 5 Количество GARP сообщений, которое будет отправлено после перехода состояния инстанса VRRP в MASTER. 1 Идентификатор инстансов VRRP, выполняющих резервирвоание одного VIP адреса. Допустимые значения от 1-255. 1 Интервал отправки VRRP анонсов инстансом находящимся в состоянии MASTER, с. 20 Интервал выполнения скрипта, проверяющего состояние работоспосбности сервисов NAICE, с. 5 Количество файлов логов работы VRRP сохраняемое при выполнении ротирования логов. 30 Максимальное время жизни файла логов VRRP до того как над ним будет выполнена операция ротирования, сутки. 10M Максимальный размер файла логов VRRP до того как над ним будет выполнена операция ротирования, Мбайт. weekly Интервал выполнения ротирования логов, по умолчанию каждую неделю. | frontend_sterna_url | https://{{ ansible_host }}:8443 | URL редиректа на портал, который будет использоваться для авторизации портальных пользователей. |
| Переменные Mustela | |||
|
| 8098 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
|
|
| Адрес подключения к БД. |
|
|
| Логин подключения к БД. |
|
|
| Пароль подключения к БД. |
|
| 25 | Максимальное количество коннектов для подключения к БД. |
|
| 5 | Минимальное количество коннектов для подлючения БД в режиме ожидания. |
|
|
| Время ожидания ответа при подключении к БД, мс. |
|
|
| Время жизни конкта к БД, мс. |
|
|
| IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. |
|
|
| IP-адреса/DNS-имена инстансов участвующих в резервировании. |
|
| 300 | Время хранения в кэше информации о ???, с. |
|
| 0 0 3 * * * | Интервал очистки событий с истекшим сроком хранения из БД, по умолчанию каждые 3 часа. |
|
| 14 | Срок хранения событий в БД.
|
| Переменные Phoca | |||
|
| 8097 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
|
| phoca | Логин подключения к БД. |
|
| phoca | Пароль подключения к БД. |
|
| jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/phoca | Адрес подключения к БД. |
|
| 5 | Максимальное количество коннектов для подключения к БД. |
|
| 1 | Минимальное количество коннектов для подлючения БД в режиме ожидания. |
|
| 60000 | Время ожидания ответа при подключении к БД, мс. |
|
| 1800000 | Время жизни конкта к БД, мс. |
|
| /var/run/docker.sock | Путь к UNIX-сокету для взаимодействия с демоном Docker. Необходим для управления контейнерами с целью применения конфигураций к сервисам. |
| Переменные Cetus | |||
|
| 8099 | Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
|
| jdbc:postgresql://{{ postgres_host }}:{{ postgres_port }}/ursus | Адрес подключения к БД. |
|
| cetus | Логин подключения к БД. |
|
| cetus | Пароль подключения к БД. |
|
| 10 | Максимальное количество коннектов для подключения к БД. |
|
| 3 | Минимальное количество коннектов для подлючения БД в режиме ожидания. |
|
| 60000 | Время ожидания ответа при подключении к БД, мс. |
|
| 1800000 | Время ожидания ответа при подключении к БД, мс. |
|
| 300 | Время жизни кэша в секундах, в течение которого сервис хранит настройки аутентификации. По истечении этого времени настройки перечитываются. |
CETUS_USERS_CACHE_TTL_S | cetus_users_cache_ttl_s | 10 | Время жизни пользователей в кэше в секундах. |
CETUS_USERS_CACHE_ENABLED | cetus_users_cache_enabled | true | Включить кэширование пользователей при аутентификации. Возможные значения true / false. |
|
| {{ naice_address }} | IP-адрес/DNS-имя интерфейса для взаимодействие с соседним инстансом при работе в схеме с резервированием. |
|
| 127.0.0.1 | IP-адреса/DNS-имена инстансов, участвующих в резервировании. |
|
| 3000 | Таймаут подключения к внешнему источнику по протоколу LDAP, мс. |
|
| 7000 | Таймаут на процесс получения данных из внешнего источника по протоколу LDAP, мс. |
|
| ignore | Поведение при получении в ответ на LDAP запрос ссылки на другой сервер:
|
|
| 10 | Количество коннектов для подключения к LDAP серверу при старте сервиса. |
|
| 10 | Максимальное количество коннектов для подключения к LDAP серверу. |
|
| 5000 | Таймаут обмена данными с внешним источником идентификации (типа Active Directory) по протоколу netlogon, мс. |
|
| 5000 | Таймаут подключения к внешнему источнику идентификации (типа Active Directory) по протоколу netlogon, мс. |
|
| true | Включить кэширование сессии компьютера при обращении к внешнему источнику идентификации (типа Active Directory) по протоколу netlogon, мс. |
|
| 1800 | Время хранения в кэше сессии компьютера, с. |
|
| 180 | Интервал проверки наличия в кэше сессии компьютера, с. |
|
| 3600 | Время хранения в кэше информации о контроллерах домена после выполнения DNS-запроса типа SRV, с. |
|
| 360 | Интервал проверки наличия в кэше информации о контроллерах домена после выполнения DNS-запроса типа SRV, с. |
|
cetus_netlogon_pc1_name - для кластерной установкиcetus_netlogon_pc1_pass - для кластерной установкиcetus_netlogon_pc2_name - для кластерной установкиcetus_netlogon_pc2_pass - для кластерной установки | "" | Имя компьютера при авторизации через NETLOGON. Используется только в схеме с резервироваием и авторизацией с использованием Microsoft Active Directory |
|
| "" | Пароль компьютера при авторизации через NETLOGON. Используется только в схеме с резервироваием и авторизацией с использованием Microsoft Active Directory |
Переменные EPG | |||
EPG_TAG |
|
| Версия сервиса EPG. |
EPG_LOG_FILE_MAX_SIZE |
|
| Максимальный размер одного log файла в МБ. |
EPG_LOG_FILE_MAX_COUNT |
|
| Максимальное количество log файлов в ротации. |
EPG_KERNEL_LOG_LEVEL |
|
| Уровень логирования для логов типа "kernel" сервиса EPG. |
EPG_DEBUG_LOG_LEVEL |
|
| Уровень логирования для логов типа "debug" сервиса EPG. |
EPG_NETWORKING_LOG_LEVEL |
|
| Уровень логирования для логов типа "networking" сервиса EPG. |
EPG_HOST_PORT |
|
| Порт, в который пробрасывается порт сервиса из контейнера на хостовую машину. Используется для взаимодействия с сервисом. |
Переменные для настройки сертификата для HTTPS для административных интерфейсов | |||
SSL_CERT | нет | /etc/docker-naice/https/server.crt | Путь до файла сертификата. |
SSL_CERT_KEY | нет | /etc/docker-naice/https/server.key | Путь до файла закрытого ключа сертификата. |
SSL_CERT_PASS |
| не задан | Пароль от закрытого ключа; по умолчанию без пароля. |
Переменные для настройки сертификата для HTTPS для интерфейсов портала | |||
PORTAL_SSL_CERT | нет | /etc/docker-naice/https/portal.crt | Путь до файла сертификата. |
PORTAL_SSL_CERT_KEY | нет | /etc/docker-naice/https/portal.key | Путь до файла закрытого ключа сертификата. |
PORTAL_SSL_CERT_PASS | key_password | не задан | Пароль от закрытого ключа; по умолчанию без пароля. |
SSL_STERNA_CERT_PASS |
| ${PORTAL_SSL_CERT_PASS} | Пароль от закрытого ключа для сервиса Sterna; по умолчанию без пароля. |
| Переменные Ansible для управления сертификатами HTTPS для административного интерфейса и интерфейса портала | |||
нет |
|
| Путь к папке с сертификатами для интерфейсов WEB и портала |
нет |
|
| Выполнить обновление сертификатов безопасности. Используется для пересоздания самоподписных сертификатов безопасности при повторном выполнении плейбука установки. |
нет |
|
| Доменное имя, которое указано в пользовательском сертификате (в полях CN или AlterName:DNS). |
нет |
|
| Замена какого сертификата будет выполняться:
Замена сертификатов безопасности выполняется отдельным плейбуком после установки NAICE! |
нет |
|
| Путь до файла пользовательского сертификата на хосте запуска плейбуков Ansible. |
нет |
|
| Путь до файла ключа пользовательского сертификата на хосте запуска плейбуков Ansible. |
Переменные RADIUS | |||
| Общие переменные | |||
RADIUS_AUTH_PORT |
| 1812 | Порт аутентификации для обработки RADIUS-запросов аутентификации. |
RADIUS_ACCT_PORT |
| 1813 | Порт для обработки RADIUS-аккаунтинга. |
RADIUS_EXPORTER_PORT |
| 9812 | Порт, через который сервис отдает метрики в формате prometheus. |
RADIUS_LOG_PATH |
| /var/log/radius | Файл на хостовой машине для хранения логов работы сервиса. |
Переменные RADIUS для подключения модуля SQL | |||
RADIUS_POSTGRES_DB_HOST |
|
| IP-адрес подключения к БД. |
RADIUS_POSTGRES_DB_PORT |
|
| Порт подключения к БД. |
RADIUS_POSTGRES_DB_LOGIN |
| radius | Логин для подключения к БД. |
RADIUS_POSTGRES_DB_PASSWORD |
| radius | Пароль для подключения к БД. |
Переменные RADIUS для резервного модуль SQL (используются только в установке с резервированием) | |||
|
|
| Адрес резервной ноды СУБД PostgreSQL. |
|
|
| Порт резервной ноды СУБД PostgreSQL. |
|
|
| Логин для подключения к БД. |
|
|
| Пароль для подключения к БД. |
|
| 0 | Использовать резервирование (0 - нет, 1 - да) |
| Переменные для настройки авторизации по протоколу EAP-PEAP | |||
нет |
| false | Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат. |
RADIUS_CERTS_CA_CERT_FILE |
| trusted_server.crt | Наименование файла внешнего сертификата CA. |
RADIUS_CERTS_PRIVATE_KEY_FILE |
| trusted_server.k | Наименование внешнего приватного ключа сертификата. |
RADIUS_CERTS_PRIVATE_KEY_PASSWORD |
| не задано | Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен. |
RADIUS_CERTS_CERTIFICATE_FILE |
| trusted_server_chain.crt | Наименование файла внешнего сертификата, который будет использовать FreeRADIUS. |
| Переменные для настройки авторизации по протоколу EAP-TLS | |||
нет |
|
| Использовать сторонний сертификат (false - не использовать, true - использовать). По умолчанию используется встроенный сертификат. |
RADIUS_EAP_TLS_CERTS_CA_CERT_FILE |
| trusted_server.crt | Наименование файла внешнего сертификата CA. |
RADIUS_EAP_TLS_CERTS_PRIVATE_KEY_FILE |
| trusted_server.k | Имя файла приватного ключа сертификата сервера. |
RADIUS_EAP_TLS_CERTS_PRIVATE_KEY_PASSWORD |
| не задано | Пароль к файлу приватного ключа сертификата сервера; оставьте пустым, если файл приватного ключа не запаролен. |
RADIUS_EAP_TLS_CERTS_CERTIFICATE_FILE |
| trusted_server_chain.crt | Наименование файла внешнего сертификата, который будет использовать FreeRADIUS. |
| Переменные для работы с сервисом проверки статуса отозванных сертификатов (OCSP) | |||
RADIUS_EAP_TLS_OCSP_ENABLE |
| false | Включение проверки статуса отзыва сертификата по протоколу OCSP. |
RADIUS_EAP_TLS_OCSP_OVERRIDE_URL |
| false | Использование URL сервиса OCSP из сертификата. |
RADIUS_EAP_TLS_OCSP_URL |
| http://127.0.0.1/ocsp | URL для обращения к сервису OCSP. |
RADIUS_EAP_TLS_OCSP_SOFTFAIL |
| false | "Мягкая" проверка доступа к серверу проверки OSCP - если сервер недоступен, процесс не завершится, а продолжится. |
RADIUS_EAP_TLS_OCSP_TIMEOUT |
| 0 | Таймаут обращения к серверу OSCP. |
RADIUS_EAP_TLS_OCSP_USE_NONCE |
| true | Включение одноразового кода в запрос - nonce, который может быть включен в соответствующий ответ. |
Переменные логирования сервисов | |||
SERVER_LOGGING_LEVEL |
| DEBUG | Базовый уровень логирования. Логи сервисов выше данного уровня не отображаются.
|
нет |
|
| Максимальный размер файла логов сервиса. |
нет |
|
| Максимальное количество файлов логов для сервиса. |
Переменные отвечающие за развертывание схемы с резервированием (расположены в | |||
Переменные, определяющие адреса кластера СУБД PostreSQL при установке в схеме с резервированием | |||
нет |
|
| Адрес хоста для установки ноды Primary СУБД PostgreSQL. |
нет |
|
| Адрес хоста для установки ноды Backup СУБД PostgreSQL. |
нет |
|
| Порт для обращения к СУБД PostgreSQL на ноде Primary . |
нет |
|
| Порт для обращения к СУБД PostgreSQL на ноде Backup . |
Параметры, отвечающие за конфигурацию сервиса | |||
нет |
|
| Проверять, что IP-адрес заданный в переменной файла hosts-cluster.yml keepalived_vip входит в подсеть IP-адресов, которые настроены на интерфейсах целевой VM, указанных в переменных файла hosts-cluster.yml keepalived_interface (true - проверять, false - не проверять). |
нет |
|
| VIP-адрес используемый для резервирования или доменное имя, которое резолвиться DNS-запросом в данный адрес. |
нет |
|
| Тип аутентификации VRRP анонсов. |
нет |
|
| Пароль, используемый в VRRP анонсах. |
нет |
|
| Период отправки GARP сообщений инстансом VRRP находящимся в состоянии Primary, с. 0 - не отправлять. |
нет |
|
| Количество отправляемых GARP сообщений инстансом VRRP находящимся в состоянии MASTER при выполнении периодической отправки. |
нет |
|
| Задержка, в течении которой не будет выполняться отправка GARP сообщений после перехода состояния инстанса VRRP в MASTER, с. |
нет |
|
| Количество GARP сообщений, которое будет отправлено после перехода состояния инстанса VRRP в MASTER. |
нет |
|
| Идентификатор инстансов VRRP, выполняющих резервирвоание одного VIP адреса. Допустимые значения от 1-255. |
нет |
|
| Интервал отправки VRRP анонсов инстансом находящимся в состоянии MASTER, с. |
нет |
|
| Интервал выполнения скрипта, проверяющего состояние работоспосбности сервисов NAICE, с. |
нет |
|
| Количество файлов логов работы VRRP сохраняемое при выполнении ротирования логов. |
нет |
|
| Максимальное время жизни файла логов VRRP до того как над ним будет выполнена операция ротирования, сутки. |
нет |
|
| Максимальный размер файла логов VRRP до того как над ним будет выполнена операция ротирования, Мбайт. |
нет |
|
| Интервал выполнения ротирования логов, по умолчанию каждую неделю. |
Переменные отвечающие за взаимодействие в кластере СУБД PostgreSQL в схеме с резервированием (расположены в Данные переменные после установки кластера СУБД PostgreSQL располагаются в файле repmgr.env | |||
REPMGR_CONNECT_TIMEOUT |
|
| Время ожидания при подключения ноды, с. |
REPMGR_RECONNECT_ATTEMPTS |
|
| Количество попыток подключения ноды к кластеру перед тем как кластер будет признан недоступным. |
REPMGR_RECONNECT_INTERVAL |
|
| Интервал между попытками подключения ноды к кластеру, с. |
REPMGR_MASTER_RESPONSE_TIMEOUT |
|
| Время ожидания ответа от ноды находящейся в состоянии "Primary", с. |
REPMGR_UPGRADE_EXTENSION |
|
| Включить обновление расширений менеджера репликаций после установки новой версии. |
BITNAMI_DEBUG |
|
| Выключить/Включить (false/true) дополнительные логи менеджера репликаций. |
REPMGR_LOG_LEVEL |
|
| Уровень логирования событий менеджера репликаций. Возможные значения info, debug. |