LogLevel

{уровень подробности}

Уровень подробности ведения журнала компонента.

Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root].

Значение по умолчанию: Notice

Log

{тип журнала}

Метод ведения журнала

ExePath

{путь к файлу}

Путь к исполняемому файлу компонента.

Значение по умолчанию: <opt_dir>/bin/drweb-lookupd

•Для Linux, Solaris: /opt/drweb.com/bin/drweb-lookupd

•Для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-lookupd

RunAsUser

{UID | имя пользователя}

Параметр указывает компоненту, от имени какого пользователя ему следует запускаться при работе. Можно указать как числовой UID пользователя, так и его имя (логин). Если имя пользователя состоит из цифр (т.е. похоже на числовой UID), то оно указывается с префиксом «name:», например: RunAsUser = name:123456.

Если имя пользователя не указано, работа компонента завершается ошибкой сразу после попытки запуска.

Значение по умолчанию: drweb

IdleTimeLimit

{интервал времени}

Максимальное время простоя компонента, по превышению которого он завершает свою работу.

Минимальное значение – 10s.

Значение по умолчанию: 30s

DebugLibldap

{логический}

Включать или нет в журнал на отладочном уровне (при LogLevel = DEBUG) также и отладочные сообщения библиотеки libldap.

Значение по умолчанию: No

LdapCheckCertificate

{No | Allow | Try | Yes}

Режим проверки сертификатов при подключении к LDAP через SSL/TLS.

Возможные значения:

•No – Никогда не запрашивать сертификат сервера.

•Allow – Запрашивать сертификат сервера, и если он не будет предоставлен, сессия будет продолжена нормальным образом; если же серверный сертификат предоставлен, но не может быть проверен (не удалось найти соответствующий корневой сертификат), то сертификат сервера будет проигнорирован и сессия будет продолжена нормальным образом.

•Try – Запрашивать сертификат сервера, и если он не будет предоставлен, сессия будет продолжена нормальным образом; если же серверный сертификат предоставлен, но не может быть проверен (не удалось найти соответствующий корневой сертификат), то сессия будет прервана.

•Yes – Запрашивать сертификат сервера, и если он не будет предоставлен, сессия будет прервана; если серверный сертификат не может быть проверен (не удалось найти соответствующий корневой сертификат), то сессия также будет прервана.

Для источников данных типа LDAP влияет на обработку URL по схеме ldaps:// или с использованием расширения StartTLS; для источников данных типа AD влияет на соединение с сервером, если в соответствующей секции установлено UseSSL=Yes (см. ниже).

Значение по умолчанию: Yes

LdapCertificatePath

{путь к файлу}

Путь к файлу сертификата SSL, используемого для подключения к серверам LDAP (Active Directiory) через безопасное соединение SSL/TLS.

Обратите внимание, что файл сертификата и файл закрытого ключа (определяется следующим параметром) должны соответствовать друг другу.

Значение по умолчанию: (не задано)

LdapKeyPath

{путь к файлу}

Путь к файлу закрытого ключа, используемого для подключения к серверам LDAP (Active Directiory) через безопасное соединение SSL/TLS.

Обратите внимание, что файл сертификата и файл закрытого ключа (определяется предыдущим параметром) должны соответствовать друг другу.

Значение по умолчанию: (не задано)

LdapCaPath

{путь}

Путь к каталогу или файлу, в котором располагается перечень корневых сертификатов, являющихся доверенными при обмене данными по протоколу LDAP через SSL/TLS.

Значение по умолчанию: Путь к системному перечню доверенных сертификатов. Зависит от дистрибутива GNU/Linux:

•Для Astra Linux, Debian, Linux Mint, SUSE Linux и Ubuntu это обычно путь /etc/ssl/certs/;

•Для CentOS и Fedora – путь /etc/pki/tls/certs/ca-bundle.crt.

•Для других дистрибутивов путь может быть определен через результат вызова команды openssl version -d.

•Если команда недоступна или дистрибутив ОС опознать не удалось, используется значение /etc/ssl/certs/.

Url

{строка}

URL, определяющий используемый сервер LDAP и извлекаемые данные. Согласно RFC 4516, URL строится по следующей схеме:

<scheme>://<host>[:<port>]/<dn>[?<attrs>[?<scope>[?<filter>[?<extensions>]]]]

Здесь:

<scheme> – способ подключения к серверу (допускаются схемы ldap, ldaps и ldapi);

<host>[:<port>] – адрес сервера LDAP, к которому направляется запрос;

<dn> – уникальное имя (distinguished name) объекта, информация о котором получается;

<attrs> – имена атрибутов записей, значения которых должны быть получены в запросе;

<scope> – область поиска (base, one, sub);

<filter> – фильтрующее условие на значения извлекаемых атрибутов.

<extensions> – перечень используемых в запросе расширений LDAP.

Особенности:

•В списке атрибутов <attrs> можно использовать спецсимволы выбора '*', '+' и '1.1'.

•В частях URL <dn> и <filter> могут быть использованы следующие автоматически разрешаемые маркеры:

▫$u – заменяется на имя пользователя, переданное клиентским компонентом.

▫$d – заменяется на имя домена, переданное клиентским компонентом.

▫$D – цепочка <subdomain>.<domain>, преобразованная в dc=<subdomain>,dc=<domain>.

▫$$ – символ '$'.

•Если в условии <filter> требуется использовать специальные символы (например: '*', '(', ')', '\', символ с кодом 0) как обычные, то их следует записывать в виде \XX. Кроме того, специальные символы в URL LDAP кодируются с помощью последовательностей %XX. Например, при использовании символа '/' в URL по схеме ldapi в качестве части пути к локальному сокету сервера LDAP, этот символ кодируется как %2f.

•В качестве допустимых расширений в <extensions> поддерживаются только StartTLS и 1.3.6.1.4.1.1466.20037, которые включают использование механизма TLS (т.е. организация защищенного соединения с сервером LDAP, даже если явно не указано использование защищенной схемы ldaps) Если перед именем используемого расширения указан символ '!', то использование TLS обязательно, т.е. в случае невозможности установки безопасного соединения запрос не будет исполнен. В противном случае запрос будет исполнен, даже если безопасное соединение не будет установлено.

Примеры:

"ldaps://ds.example.com:990/$D?givenName,sn,cn?sub?(uid=$u)"
"ldap://ldap.local/o=org,dc=nodomain?ipNetworkNumber?sub?(objectClass=ipNetwork)?!StartTLS"

Значение по умолчанию: (не задано)

BindDn

{строка}

Объект в каталоге LDAP, связываемый с пользователем для авторизации.

Пример: "cn=admin,dc=nodomain"

Значение по умолчанию: (не задано)

BindPassword

{строка}

Пароль для аутентификации доступа к серверу LDAP.

Значение по умолчанию: (не задано)

ChaseReferrals

{логический}

Следовать ли по отсылкам на другие LDAP-серверы, если текущий сервер LDAP присылает их в ответ на запросы.

Значение по умолчанию: No

Host

{строка}

Доменное имя (FQDN) или IP-адрес узла, на котором находится сервер службы Active Directory, к которому необходимо подключиться.

Пример: "win2012.win.local"

Значение по умолчанию: (не задано)

Port

{целое число}

Порт на узле, прослушиваемый сервером службы Active Directory.

Значение по умолчанию: 389

Dn

{строка}

DN объекта в каталоге Active Directory (аналог части dn в URL LDAP).

Пример: "dc=win,dc=local"

Значение по умолчанию: (не задано)

User

{строка}

Полный идентификатор пользователя на сервере для идентификации.

Пример: "Administrator@WIN.LOCAL"

Значение по умолчанию: (не задано)

Password

{строка}

Пароль для аутентификации доступа к серверу Active Directory.

Значение по умолчанию: (не задано)

ChaseReferrals

{логический}

Следовать ли по отсылкам на другие LDAP-серверы, если текущий сервер Active Directory присылает их в ответ на запросы.

Значение по умолчанию: No

UseSSL

{логический}

Использовать SSL/TLS при обращении к серверу Active Directory.

Значение по умолчанию: No