Skip to main content
Version: Privileged Access Manager 2.10

Включение перезапуска контейнеров сервисов прокси

Docker-контейнерам RDP Proxy и SSH Proxy требуется периодический перезапуск (ротация) для устранения эффектов утечки памяти, потоков и дескрипторов. В Indeed PAM это реализовано специальным скриптом, который запускается автоматически по расписанию. Остановка работы PAM при этом не происходит (сессии пользователей не прерываются).

По умолчанию перезапуск выключен. Чтобы его включить, требуется выполнить следующие действия:

  1. Изменить значение параметра в файле конфигурации.
  2. Переустановить компоненты сервера доступа.
  3. Перезапустить сервер доступа.

Включение перезапуска в файле конфигурации

  1. Откройте файл ./scripts/ansible/vars.yml.
  2. В секции proxy_recycling поменяйте значение параметра enabled с false на true.
  3. Переходите к переустановке компонентов сервера доступа.
caution

При использовании на сервере доступа SELinux в режиме Enforcing вам потребуется вручную добавить контекст для скрипта, вы увидите сообщение об этом:

TASK [Warn about SELinux mode] *************************

msg:

'Warning: SELinux is in enforcing mode. Add script context manually:'
semanage fcontext -a -t bin_t /etc/indeed/indeed-pam/scripts/recycle-proxy.sh && restorecon -Fv /etc/indeed/indeed-pam/scripts/recycle-proxy.sh

Поэтому выполните следующую команду:

semanage fcontext -a -t bin_t /etc/indeed/indeed-pam/scripts/recycle-proxy.sh && restorecon -Fv /etc/indeed/indeed-pam/scripts/recycle-proxy.sh

Дополнительные настройки

В файле ./scripts/ansible/vars.yml, в секции proxy_recycling есть еще несколько параметров. Укажите их значения (опционально) или используйте значения по умолчанию.

  • replicas — количество Master-реплик (активных реплик, которые принимают соединения). По умолчанию 1.
  • proxies — типы прокси, для которых будет выполняться перезапуск. Представляет из себя массив. По умолчанию [rdp,ssh].
  • rotation_hours — время ротации реплик в часах. По умолчанию 168.
  • session_hours — максимальная длительность сессии в часах для реплики в состоянии DRAIN (когда сервер не принимает новые соединения, но обрабатывает существующие). По умолчанию 24.

Переустановка компонентов сервера доступа

Предупреждение

Во время переустановки компонентов сервера доступа PAM будет недоступен. Все текущие сессии будут прерваны.

  1. Если выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:

    sudo bash run-deploy.sh

    Если не выполнены настройки безопасности CIS Benchmark Docker, то запустите скрипт установки командой:

    sudo bash run-deploy.sh --bench-skip

  2. На этапе Enter target IP нажмите ENTER.

  3. При запросе введите имя локального пользователя с правами sudo (например, root) и его пароль.

  4. Дождитесь окончания установки.

    Информация

    Если скрипт прервался с ошибкой, то отправьте файл с логами в техническую поддержку.

  5. Переходите к перезапуску сервера доступа.

Перезапуск сервера доступа

caution

Запускайте команды из папки /etc/indeed/indeed-pam.

Для перезапуска компонентов сервера доступа Indeed PAM используйте следующие команды:

sudo docker compose -f docker-compose.access-server.yml down
sudo docker compose -f docker-compose.access-server.yml up -d

или

sudo docker-compose -f docker-compose.access-server.yml down
sudo docker-compose -f docker-compose.access-server.yml up -d

Пример перезапуска компонента RDP Proxy

sudo docker compose -f docker-compose.access-server.yml up -d rdp-proxy --force-recreate

или

sudo docker-compose -f docker-compose.access-server.yml up -d rdp-proxy --force-recreate

Пример перезапуска компонента SSH Proxy

sudo docker compose -f docker-compose.access-server.yml up -d ssh-proxy --force-recreate

или

sudo docker-compose -f docker-compose.access-server.yml up -d ssh-proxy --force-recreate