Версия: Indeed Access Manager 9.3

Переменные окружения FreeRADIUS

Переменные окружения находятся в файле freeradius/.env и доступны пользователю с заданными по умолчанию значениями.

Пример файла freeradius/.env

RADIUS_TAG=9.3.0-unstable.1728-dad05d0e

#User id and group id
RAD_UID=200000
RAD_GID=200000

#Installation variables
INDEED_AM_URI=https://amdeb3.company.local/am/core
INDEED_AM_VALIDATE_CERT=false
INDEED_AM_CA_CERT_PATH=/tmp/certs
# INDEED_AM_CLIENT_CERT=client.crt
# INDEED_AM_CLIENT_KEY_CERT=client.key

#LDAP variables
#LDAP_SERVER=ldaps://dc.company.local
#LDAP_PORT=636
#LDAP_IDENTITY=cn=amadm,cn=users,dc=company,dc=local
#LDAP_PASSWORD=password
#LDAP_BASE_DN=cn=users,dc=company,dc=local
#LDAP_CERT=ca.crt
#LDAP_NETBIOS_NAME=COMPANY
#LDAP_DOMAIN_NAME=company.local
#LDAP_START_SERVERS=5
#LDAP_NET_TIMEOUT=1
#MAX_LDAP_SERVER=20

#Other Radius variables
AM_PUSH_TIMEOUT_SEC=30
AM_CACHE_LIFETIME_SEC=600
# LDAP_START_SERVERS=0
# AM_ALLOW_PASSWORDLESS_AUTH=false
# DISABLE_RLM_PREPROCESS=false
# DEFAULT_DOMAIN_NAME=company.local
# DEFAULT_NETBIOS_NAME=EXAMPLE
# default_prompt_2fa=Введите второй фактор:

#Logging
# AM_DEBUG=true
# AM_MT_DEBUG=false

В следующей таблице описаны все переменные окружения, находящиеся в файле freeradius/.env.

Переменная	Описание
`RADIUS_TAG`	Тег docker-образа. Необходимо указать тег образа, который вы импортировали из архива через команду `sudo docker load -i <имя архива>.tar`. Также тег можно посмотреть после импорта образа через команду `sudo docker images`.
`RAD_UID`	ID пользователя, под которым будет работать сервис (рекомендуется, чтобы ID не пересекалось с ID локальных пользователей хоста). Пример: 200000.
`RAD_GID`	ID группы пользователя, под которым будет работать сервис (рекомендуется, чтобы ID не пересекалось с ID локальных пользователей хоста). Пример: 200000.
`INDEED_AM_URI`	URL-адрес сервера Core Server. Пример: `https://127.0.0.1/am/core/`.
`INDEED_AM_VALIDATE_CERT`	Валидация серверного сертификата. Значения: `true`, `false`.
`INDEED_AM_CA_CERT_PATH`	Путь внутри контейнера к каталогу с сертификатами сервера. Обычно монтируется к каталогу хоста common_certs. Если в `INDEED_AM_VALIDATE_CERT` задано значение `true`, то для каталога должен быть разрешен доступ на запись. Пример: `./common_certs:${INDEED_AM_CA_CERT_PATH}:rw,Z`.
`AM_PUSH_TIMEOUT_SEC`	Настройка таймаута времени ожидания получения push-сообщения для провайдеров Indeed Key Push.
`AM_DEBUG`	Запуск в режиме отладки, выводятся отладочные сообщения, модуль запускается в однопоточном режиме. Переменная закомментирована (`false` — не работает). Для включения необходимо раскомментировать. Значения: `true`, `false`.
`AM_MT_DEBUG`	Запуск в режиме отладки, выводятся отладочные сообщения, модуль запускается в многопоточном режиме, флаг имеет приоритет над `AM_DEBUG`.
`LDAP_SERVER`	IP-адрес LDAP-сервера. Если указан, то первый фактор аутентификации будет проверятся непосредственно на LDAP-сервере.
`LDAP_PORT`	Порт AD-сервера. Для LDAPS-соединения обычно используется 636. Значение по умолчанию: `389`.
`LDAP_IDENTITY`	Учетная запись AD в формате значения атрибута `distinguishedName`, с правами на чтение AD. Пример: `cn=someuser,cn=users,dc=mycompany,dc=com`.
`LDAP_PASSWORD`	Пароль к учетной записи из переменной `LDAP_IDENTITY`.
`LDAP_BASE_DN`	Каталог пользователей AD в формате значения атрибута `distinguishedName`, с которыми будет взаимодействие. Пример: `cn=users,dc=bond,dc=test`.
`LDAP_CERT`	Имя доменного сертификата, который находится в директории common_certs. Используется для установки ldaps-соединения с AD-сервером. Если используется LDAP, то переменную необходимо закомментировать. Пример: `ad.crt`.
`LDAP_NETBIOS_NAME`	Задает имя NETBIOS LDAP-сервера. Позволяет осуществлять вход пользователям в виде EXAMPLE\user.
`LDAP_DOMAIN_NAME`	Задает доменное имя сервера. Используется для определения LDAP-сервера, если задано несколько LDAP-серверов. Для режима нескольких LDAP-серверов для каждого сервера необходимо указать либо `LDAP_DOMAIN_NAME`, либо `LDAP_NETBIOS_NAME`.
`DEFAULT_DOMAIN_NAME`	Содержит имя домена, которое добавляется к имени пользователя в виде суффикса, и таким образом создается имя пользователя в формате User Principal Name. Имя в формате UPN используется для запросов к LDAP и AM-серверам. Исходное имя пользователя во FreeRADIUS Extension атрибуте `User-Name` не изменяется. Переменная имеет приоритет над `DEFAULT_NETBIOS_NAME`.
`DEFAULT_NETBIOS_NAME`	Содержит имя NetBIOS AD-сервера, которое добавляется к имени пользователя в виде префикса, и таким образом создается имя пользователя в формате Down-Level Logon Name. Имя в формате Down-Level Logon Name используется для запросов к АМ-серверу. Для запроса к LDAP-серверу используется исходное имя в формате SAM Account Name. Исходное имя пользователя во FreeRADIUS Extension атрибуте `User-Name` не изменяется.
`LDAP_DEFAULT_DOMAIN_NAME`	Задается только при использовании нескольких LDAP-серверов. Можно задать переменную для каждого LDAP-сервера. Используется для конфигурации входа пользователя по SAM Account Name (имя без доменной части). Чтобы задать переменную для конкретного сервера, добавьте соответствующий индекс к наименованию LDAP, например: для `LDAP2_SERVER` настройте переменную `LDAP2_DEFAULT_DOMAIN_NAME`. Переменная имеет приоритет над `LDAP_DEFAULT_NETBIOS_NAME`.
`LDAP_DEFAULT_NETBIOS_NAME`	Задается только при использовании нескольких LDAP-серверов. Можно задать переменную для каждого LDAP-сервера. Используется для конфигурации входа пользователя по SAM Account Name (имя без доменной части). Чтобы задать переменную для конкретного сервера, добавьте соответствующий индекс к наименованию LDAP, например: для `LDAP2_SERVER` настройте переменную `LDAP2_DEFAULT_NETBIOS_NAME`.
`LDAP_START_SERVERS`	Задает количество потоков в пуле соединений c LDAP-серверами при запуске контейнера. Стартовые потоки позволяют увеличить скорость обработки запросов. Значение по умолчанию: 5 потоков. Диапазон значений: от 0 до 64.
`LDAP_NET_TIMEOUT`	Задает таймаут подключения к LDAP/LDAPS при установленном соединении. По истечении заданного времени происходит разрыв соединения. Значение по умолчанию 1 (секунда). Диапазон значений: от 0 до 2147483647.
`MAX_LDAP_SERVER`	Задает максимальное количество обрабатываемых LDAP-серверов. Значение по умолчанию: 20.
`default_prompt_2fa`	Задает запрос второго фактора, используемый по умолчанию. По умолчанию задано сообщение: `Enter the second factor`.
`prompt_2fa_<индентификатор провайдера с нижними подчеркиваниями, вместо тире>`	Задает запрос второго фактора для конкретного метода. Идентификатор провайдера можно задавать либо в нижнем, либо в верхнем регистре. Пример: `prompt_2fa_f696f05d_5466_42b4_bf52_21bee1cb9529`.
`INDEED_AM_CLIENT_CERT`	Имя файла с клиентским сертификатом. Расположен в каталоге, который монтируется к `INDEED_AM_CA_CERT_PATH`. По умолчанию в файле docker-compose.yml указано соответствие значению `common_certs`.
`INDEED_AM_CLIENT_KEY_CERT`	Имя файла с приватным ключом сертификата. Расположен в каталоге, который монтируется к `INDEED_AM_CA_CERT_PATH`. По умолчанию в файле docker-compose.yml указано соответствие значению `common_certs`.
`AM_CACHE_LIFETIME_SEC`	Определяет время кеширования. Если задать значение 0 секунд, то кеширование не производится. Значение по умолчанию: 600 секунд.
`DISABLE_RLM_PREPROCESS`	Параметр отвечает за предварительную обработку RADIUS-атрибутов. Параметр используется, если в запросе от клиентского приложения к FreeRADIUS отсутствует атрибут `NAS-IP-Address`. При отключении предварительной обработки (значение `true`) данный модуль не будет преобразовывать другие атрибуты (например Src-IP-Address) в NAS-IP-Address, если NAS-IP-Address не был получен. При отсутствии NAS-IP-Address в запросе модуль добавляет такой атрибут и устанавливает его значение из атрибута Src-IP-Address request-пакета. В этом случае в настройках в Management Console необходимо указать Src-IP-Address. Значение по умолчанию: `false`.
`AM_ALLOW_PASSWORDLESS_AUTH`	Параметр отключает проверку первого фактора аутентификации. Важно: Используйте параметр только при работе со службой Remote Desktop Gateway (RD Gateway). При использовании метода аутентификации Windows Password + Indeed Key (в режиме отправки push-уведомления) проверка первого фактора Windows Password происходит на стороне самой службы RD Gateway. Для корректной работы в таком сценарии необходимо для переменной `AM_ALLOW_PASSWORDLESS_AUTH` установить значение `true` и закомментировать или удалить переменные LDAP. Примечание: Для работы со службой RD Gateway рекомендуется подготовить отдельный образ Docker с FreeRadius.