/
config.yaml
74 lines (67 loc) · 1.95 KB
/
config.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
# 审计相关配置,主要是用户连接后的标准输入输出,定时任务方式实现对审计日志的归档
withVideo:
enable: true # 是否启用
cron: "0 0 3 * * *"
dir: "/opt/jms/audit"
keepDays: 60
# profiles 是配置云厂商 AKSK的地方。cloud 必须指定用来区分,目前支持 aws 和 tencent
profiles:
- name: "tencent-account"
ak: "xx"
sk: "xx"
regions:
- "ap-shanghai"
cloud: tencent
enabled: true
# keys 是用来ssh连接的私钥,需要放在/opt/jms/.ssh/目录下
keys:
- identity_file: tencent.pem
# pem_base64: xxxpem_base64
key_id: skey-xxxx
profile: tencent-account
# proxies 是用来ssh连接的代理。云上环境基本上和 jms服务不会在一起,
# 所以需要各个云上启用代理机器,这样每个环境都可以通过代理访问,
# 这里通过机器 IP前缀来匹配适配的机器,每个公司内网规划应该不会出现相同子网复用情况。
proxies:
- name: "proxy-1"
host: "1.1.1.1"
port: 22
ip_prefix: "10.159." # IP前缀匹配都用这个代理
login_user: root
# login_passwd: ""
identity_file: tencent.pem
# ssh登录是否通过ldap认证的。不启用的时候默认是通过密码认证,jms/jms
withLdap:
enable: false
host: "xxx"
port: 389
baseDN: "dc=corp,dc=xxx,dc=com"
bindUser: "xx"
bindPassword: "xxx"
userSearchFilter: "(sAMAccountName=%s)"
attributes:
- dn
- sAMAccountName
- email
# 支持对管理的机器进行 ssh登录检查,通过钉钉告警到群
withSSHCheck:
enable: false
alert:
robotToken: "xxx" # 钉钉机器人 token
ips:
- "1.1.1.1"
# 是否启用数据库来启用授权策略
withDB:
enable: false
pg:
host: "x.x.x.x"
port: 5432
username: "jms"
password: "xx"
database: "jms"
# 是否启用钉钉审批
withDingTalk:
enable: false # 自动接入钉钉审批实现联动
processCode: "xxx"
appKey: "xx"
appSecret: "xxx"