Конфигурационные параметры OpenBao

Сергей Тихомиров
Cluster settings
Parameter Description Default value

Web UI enabled

Указывает, доступен ли web-интерфейс

true

Cluster port

Указывает порт для коммуникации между серверами OpenBao внутри кластера

8201

API port

Указывает порт для коммуникации с клиентами

8200

Cluster name

Идентификатор кластера OpenBao. Если поле не заполнено, OpenBao сгенерирует значение автоматически

 — 
Listener settings
Parameter Description Default value

Listener port

Указывает порт, который прослушивает OpenBao

8200

tls_disable

Указывает, следует ли отключить TLS

true

tls_cert_file

Путь к сертификату для работы TLS. Файл должен в формате PEM. Для использования CA-сертификата соедините основной сертификат и CA-сертификат таким образом, чтобы в объединенном файле основной сертификат был указан первым

/etc/openbao/conf/openbao.crt

tls_key_file name

Путь к закрытому ключу сертификата. Файл должен в формате PEM. Если файл с ключом зашифрован, потребуется ввести пароль при запуске сервера

/etc/openbao/conf/openbao.key

http_idle_timeout

Максимальное время ожидания следующего запроса при включенных функциях keep-alive. Если http_idle_timeout имеет значение 0, то используется значение http_read_timeout. Если оба параметра имеют значение 0, то используется значение http_read_header_timeout. Значение указывается с меткой-суффиксом, например: 30s или 1h

5m

http_read_header_timeout

Время, отведенное на чтение заголовков запроса. Значение указывается с меткой-суффиксом, например: 30s или 1h

30s

http_read_timeout

Максимальная продолжительность чтения всего запроса, включая тело. Значение указывается с меткой-суффиксом, например: 30s или 1h

60s

http_write_timeout

Максимальная продолжительность времени до истечения тайм-аута записи ответа. Сбрасывается каждый раз при чтении заголовка нового запроса. Значение по умолчанию, 0, означает бесконечное ожидание. Значение указывается с меткой-суффиксом, например: 30s или 1h

0
Storage settings
Parameter Description Default value

Storage type

Используемый тип хранилища

postgresql

Database host and port

Список хостов с портами, на которых доступны БД, в формате <db_host>:<db_port>,<db_host>:<db_port>

{{ groups['adpg.adpg'][0] | d(groups['adpg.adpg.maintenance_mode'][0]) | d(omit) }}:5432

Database username

Имя пользователя в БД

openbao

Database password

Пароль пользователя БД

 — 

ha_enabled

Указывает, включена ли поддержка режима высокой доступности (High Availability, HA). Для корректной работы минимально необходимая версия PostgreSQL — 9.5

true

ha_table

Имя таблицы, используемой для хранения состояния высокой доступности. OpenBao попытается создать таблицу самостоятельно, если она не создана заранее

openbao_ha_locks

table

Имя таблицы, используемой для хранения данных OpenBao. OpenBao попытается создать таблицу самостоятельно, если она не создана заранее

openbao_kv_store

max_idle_connections

Устанавливает максимальное количество неиспользуемых соединений в пуле

2

max_parallel

Указывает максимальное количество параллельных запросов к PostgreSQL

128

upsert_function

Имя пользовательской функции, используемой для поддержки upsert в версиях PostgreSQL ниже 9.5. Функция должна уже существовать в базе данных

openbao_kv_put

skip_create_table

Определяет, следует ли OpenBao пытаться автоматически создавать таблицы (false означает, что OpenBao попытается создать таблицы). Этот параметр полезен, когда у пользователя БД может быть недостаточно прав. Минимально необходимая версия PostgreSQL — 9.5

false

max_connect_retries

Максимальное количество повторных попыток подключения к базе данных. Использует экспоненциальную задержку от 15 мс до 5 секунд. При значении 0 количество повторных попыток неограниченно

3
Seal settings
Parameter Description Default value

Seal type

 — 

pkcs11

lib

Полный путь к библиотеке PKCS#11 (файл с расширением .so) для использования в коммуникации с HSM. Должен указывать на валидный и доступный провайдер PKCS#11 (например, SoftHSM2 или драйвер HSM)

/usr/lib/arenadata_softhsm2/lib/softhsm/libsofthsm2.so

slot

Номер слота для токена

0

token_label

Метка токена HSM, созданного во время инициализации. OpenBao будет использовать этот токен для поиска ключа запечатывания

OpenBao

pin

PIN-код, используемый для входа в токен HSM

 — 

key_label

Метка AES-ключа, который будет использоваться для шифрования корневого ключа (ключа запечатывания). Этот ключ должен уже существовать на токене

bao-root-key-aes

mechanism

Механизм PKCS#11, который будет использоваться для шифрования. Для шифрования AES-256 с заполнением, используйте 0x1087 (CKM_AES_KEY_WRAP_PAD). Убедитесь, что ваш HSM поддерживает выбранный механизм

0x1087
Logging settings
Parameter Description Default value

log_level

Уровень логирования

info

log_format

Формат логирования. Доступные значения: standard и json

standard

log_file

Полный путь, по которому OpenBao должен сохранять логи

/var/log/openbao/

log_rotate_duration

Максимальная продолжительность логирования перед ротацией

24h

log_rotate_max_files

Максимальное количество файлов логов, которые следует хранить. Чтобы файлы не удалялись, установите значение 0. Чтобы старый файл удалялся при создании нового, установите значение -1

30t

log_requests_level

Определяет, следует ли логировать выполненные запросы

false
General lockout settings
Parameter Description Default value

disable_lockout

Определяет, следует ли отключить блокировку

false

lockout_threshold

Количество неудачных попыток входа в систему, после которых пользователь будет временно заблокирован

10

lockout_duration

Время, на которое пользователь будет заблокирован

10m

lockout_counter_reset

Период времени, по истечении которого счетчик блокировок сбрасывается при отсутствии неудачных попыток входа в систему

10m
Userpass lockout settings
Parameter Description Default value

disable_lockout

Определяет, следует ли отключить блокировку

false

lockout_threshold

Количество неудачных попыток входа в систему, после которых пользователь будет временно заблокирован

10

lockout_duration

Время, на которое пользователь будет заблокирован

10m

lockout_counter_reset

Период времени, по истечении которого счетчик блокировок сбрасывается при отсутствии неудачных попыток входа в систему

10m
LDAP lockout settings
Parameter Description Default value

disable_lockout

Определяет, следует ли отключить блокировку

false

lockout_threshold

Количество неудачных попыток входа в систему, после которых пользователь будет временно заблокирован

10

lockout_duration

Время, на которое пользователь будет заблокирован

10m

lockout_counter_reset

Период времени, по истечении которого счетчик блокировок сбрасывается при отсутствии неудачных попыток входа в систему

10m
Approle lockout settings
Parameter Description Default value

disable_lockout

Определяет, следует ли отключить блокировку

false

lockout_threshold

Количество неудачных попыток входа в систему, после которых пользователь будет временно заблокирован

10

lockout_duration

Время, на которое пользователь будет заблокирован

10m

lockout_counter_reset

Период времени, по истечении которого счетчик блокировок сбрасывается при отсутствии неудачных попыток входа в систему

10m
Security settings
Parameter Description Default value

Recovery keys

Список ключей восстановления в формате [<recovery_key>, <recovery_key>, …​, <recovery_key>]. Это значение будет обновлено во время первоначальной настройки сервера

 — 

Root token

Токен, к которому привязана корневая политика. Это значение будет обновлено во время первоначальной настройки сервера

 — 
Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней