Od wersji 3.8.0 możesz przechowywać sekrety usługi Rublon Authentication Proxy w zmiennych środowiskowych systemu operacyjnego, ustawiając opcję secret_source na env w sekcji global pliku konfiguracyjnego.
Gdy opcja secret_source jest ustawiona na env, każda wartość sekretu w pliku konfiguracyjnym staje się nazwą zmiennej środowiskowej, a usługa Auth Proxy odczytuje rzeczywistą wartość sekretu z tej zmiennej.
Sekrety usługi Rublon Authentication Proxy to:
- Sekcja rublon:
- system_token
- secret_key
- Sekcja proxy_servers:
- RADIUS:
- radius_secret
- LDAP:
- pkey_password (jeśli używany)
- RADIUS:
- Sekcja auth_sources:
- RADIUS:
- radius_secret
- LDAP:
- access_user_password
- RADIUS:
Przykład konfiguracji
log:
debug: false
global:
secret_source: env
rublon:
api_server: https://core.rublon.net
system_token: SYSTEM_TOKEN
secret_key: SECRET_KEY
proxy_servers:
- name: RADIUS-Proxy
type: RADIUS
radius_secret: RADIUS_SECRET
ip: 0.0.0.0
port: 1812
mode: standard
auth_source: LDAP_SOURCE_1
auth_method: email
- name: LDAP-Proxy
type: LDAP
ip: 0.0.0.0
port: 389
auth_source: LDAP_SOURCE_1
auth_method: email
auth_sources:
- name: LDAP_SOURCE_1
type: LDAP
ip: 127.0.2.0
port: 389
transport_type: plain
search_dn: OU=Organization,DC=org,DC=com
access_user_dn: CN=AccessUser,OU=Organization,DC=org,DC=com
access_user_password: ACCESS_USER_PW
- name: RADIUS_SOURCE_1
type: RADIUS
ip: 127.0.1.0
port: 1812
radius_secret: RADIUS_SECRET
W powyższym przykładzie opcja secret_source została ustawiona na env. Oznacza to, że usługa Rublon Auth Proxy będzie teraz traktować wartości sekretów pliku konfiguracyjnego jako nazwy zmiennych środowiskowych w celu pobrania rzeczywistych sekretów z systemu. W tym przykładzie usługa Auth Proxy oczekuje, że w systemie zostaną zdefiniowane cztery zmienne:
- SYSTEM_TOKEN
- SECRET_KEY
- RADIUS_SECRET (użyty dwukrotnie)
- ACCESS_USER_PW
Ustawianie zmiennych środowiskowych (Windows)
Po zainstalowaniu usługi Rublon Authentication Proxy na komputerze z systemem Windows:
1. Otwórz Edytor rejestru.
2. Przejdź do klucza rejestru Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RublonAuthProxy.
3. Dodaj nową wartość wielociągu (REG_MULTI_SZ) o nazwie Environment i dodaj następujące wiersze w danych wartości:
SYSTEM_TOKEN=wartość_tokenu
SECRET_KEY=wartość_klucza_tajnego
RADIUS_SECRET=wartość_klucza_tajnego_radius
ACCESS_USER_PW=hasło_użytkownika_dostępowego

4. Uruchom ponownie usługę Rublon Authentication Proxy.
Ustawianie zmiennych środowiskowych (Linux)
Po zainstalowaniu usługi Rublon Authentication Proxy na komputerze z systemem Linux:
1. Wykonaj:
systemctl edit rublon
2. Zmodyfikuj plik usługi, ustawiając zmienne środowiskowe w następujący sposób:
[Service]
Environment="SYSTEM_TOKEN=token_value_here"
Environment="SECRET_KEY=secret_value_here"
Environment="RADIUS_SECRET=radius_secret_here"
Environment="ACCESS_USER_PW=access_user_password_here"

3. Zapisz plik i uruchom ponownie usługę proxy:
systemctl restart rublon
Aktualizacja zmiennych środowiskowych
Każda zmiana zmiennych środowiskowych używanych przez usługę Rublon Authentication Proxy wymaga ponownego uruchomienia usługi Auth Proxy, aby zastosować nowe wartości. Usługa Auth Proxy odczytuje zmienne środowiskowe w momencie startu i nie wykonuje później automatycznych aktualizacji.
Korzyści z ustawiania sekretów w zmiennych środowiskowych
- Brak jawnych sekretów w pliku konfiguracyjnym. Plik konfiguracyjny usługi Auth Proxy zawiera nazwy zmiennych środowiskowych, a nie wartości sekretów. Nie musisz niczego usuwać przed udostępnieniem pliku konfiguracyjnego działowi pomocy technicznej Rublon Support.
- Prostsza aktualizacja. Aktualizuj zmienne środowiskowe bez ingerencji w plik konfiguracyjny usługi Auth Proxy. Po aktualizacji wystarczy ponownie uruchomić serwer proxy.
- Rozdzielenie obowiązków. Jeden administrator może zarządzać wartościami sekretów w zmiennych środowiskowych, a inny administrator może dbać o plik konfiguracyjny usługi Auth Proxy.
- Współpracuje ze standardowymi narzędziami. Systemd, usługi Windows, kontenery i CI/CD obsługują wstrzykiwanie zmiennych środowiskowych.
Podsumowanie
Przełączenie opcji secret_source na env powoduje, że poufne wartości nie są zapisywane w pliku konfiguracyjnym usługi Auth Proxy, tylko ładowane z systemu operacyjnego. Zdefiniuj wymagane zmienne środowiskowe, zaktualizuj konfigurację proxy, aby odwoływała się do ich nazw, a następnie uruchom ponownie usługę proxy, aby zastosować zmiany. Takie podejście zapewnia bardziej przejrzystą konfigurację i zmniejsza ryzyko przypadkowego ujawnienia poufnych informacji w plikach.