卡巴斯基安全管理中心網頁主控台安裝參數

延伸所有 | 折疊所有

對於在執行 Linux 的裝置上安裝卡巴斯基安全管理中心 網頁主控台伺服器,您必須建立回應檔案 — 一個包含連線 卡巴斯基安全管理中心 網頁主控台到管理伺服器的參數的 .json 檔案。必須將該檔案命名為 ksc-web-console-setup.json,並將其放置到以下目錄:/etc/ksc-web-console-setup.json。

回應檔案的參數集取決於卡巴斯基安全管理中心網頁主控台所連線的管理伺服器版本。

webConsoleAccountmanagementServiceAccountserviceWebConsoleAccountpluginAccountmessageQueueAccountnatsMessageQueueAccountcertPathkeyPath 參數是可選的。您可以在回應檔案中忽略這些參數。

如果要使用自訂憑證,請同時指定certPathkeyPath參數。如果您不指定參數或僅指定一個參數,Web 瀏覽器會不斷通知您您的連線不是私密的。

出於安全原因,不建議指定 webConsoleAccountmanagementServiceAccountserviceWebConsoleAccountpluginAccountmessageQueueAccountnatsMessageQueueAccount 參數。
如果您決定指定這些參數,請確保自訂使用者帳戶屬於同一個安全群組。如未指定這些參數,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設安全群組,然後在該群組中建立具有預設名稱的使用者帳戶。
webConsoleAccountmanagementServiceAccountserviceWebConsoleAccountpluginAccountmessageQueueAccountnatsMessageQueueAccount 參數不能單獨使用:要麼為全部參數指定值,要麼全部不指定。

您可以將卡巴斯基安全管理中心網頁主控台安裝到管理伺服器所在的同一裝置,也可以安裝到不同裝置。如果將卡巴斯基安全管理中心網頁主控台安裝到不同裝置,則其位址(由 address 指定)將會與管理伺服器位址(由 iamHost 或者 kscHost 指定)不同。如果將卡巴斯基安全管理中心網頁主控台安裝到管理伺服器所在的同一裝置,則這些參數的值將相同。

我們建議您指定 1024 以上的連接埠號。如果您希望卡巴斯基安全管理中心網頁主控台在 1024 以下的連接埠上工作,則安裝程式後您必須執行以下命令:

sudo setcap 'cap_net_bind_service=+ep' /var/opt/kaspersky/ksc-web-console/node

如果沒有 setcap 實用程式,您可以安裝它。點擊此連結檢視命令

在 Linux ALT 作業系統上安裝卡巴斯基安全管理中心網頁主控台時,必須指定 8080 以外的連接埠號,因為作業系統使用的是連接埠 8080。

下表描述了可以在回應檔案中指定的參數。

安裝卡巴斯基安全管理中心網頁主控台到執行 Linux 的裝置的參數

參數

敘述

可用值

address

安裝有卡巴斯基安全管理中心網頁主控台的裝置位址(FQDN 或主機名稱)(必需)。

如果您在卡巴斯基安全管理中心伺服器上安裝卡巴斯基安全管理中心網頁主控台,請使用安裝卡巴斯基安全管理中心 Linux 時指定的位址。

如果將卡巴斯基安全管理中心網頁主控台安裝到不同裝置,請指定網頁瀏覽器用於連線至卡巴斯基安全管理中心網頁主控台伺服器的裝置位址(FQDN 或主機名稱)。

字串值。

示例:"ksc.example.com"

port

卡巴斯基安全管理中心網頁主控台用於接收來自 Web 瀏覽器的連線的連接埠(必要)。

數值。

建議值為 8080(Linux ALT 作業系統例外)。

defaultLangId

使用者介面語言(預設,1033)。

如有必要,您可以變更卡巴斯基安全管理中心網頁主控台介面的語言

語言數位:

  • 德文:1031
  • 英文:1033
  • 西班牙文:1034
  • 西班牙文(墨西哥):2058
  • 法文:1036
  • 義大利語:1040
  • 日文:1041
  • 哈薩克文:1087
  • 波蘭文:1045
  • 葡萄牙文(巴西):1046
  • 俄文:1049
  • 土耳其文:1055
  • 簡體中文:2052
  • 繁體中文:1028

如果沒有指定值,則使用 English(en-US) 語言

enableLog

是否要啟用卡巴斯基安全管理中心 網頁主控台偵錯記錄。

我們建議您僅在卡巴斯基技術支援專家要求時才變更該參數的預設值。

布爾值:

  • true — 記錄已啟用。
  • false— 記錄已停用(預設選中)。

trusted

卡巴斯基安全管理中心網頁主控台可以連線到的受信任管理伺服器位址清單。您可以將多個不同版本的管理伺服器新增到受信任伺服器清單。

版本 16 或更高版本的管理伺服器:

  • 將顯示在登入視窗中的管理伺服器名稱。
  • iamHost 是管理伺服器的位址(FQDN 或主機名稱),其中包含 IAM 元件(自卡巴斯基安全管理中心 Linux 版本 16 起),且卡巴斯基安全管理中心網頁主控台將連線到該管理伺服器。
  • iamOAuthPort是用於透過 OpenID Connect 身分驗證協定交換身分驗證權杖的連接埠(預設值為 4444)。此連接埠同時用於卡巴斯基安全管理中心網頁主控台伺服器與管理伺服器之間的通訊,以及瀏覽器(與卡巴斯基安全管理中心網頁主控台搭配使用)與管理伺服器之間的通訊。
  • iamProxyPort是用於將卡巴斯基安全管理中心網頁主控台連線到管理伺服器的連接埠(預設值為 9050)。
  • iamCertPathIAM 憑證的路徑。IAM 憑證會在首次執行管理伺服器時自動建立。憑證位於安裝管理伺服器的裝置上。憑證的預設路徑:/var/opt/kaspersky/klnagent_srv/iam/main_certificate.pem。自簽發 IAM 憑證會自動輪換。
  • iamPATPath 是用於將卡巴斯基安全管理中心網頁主控台註冊為 IAM 中的 OAuth 用戶端時所用的權杖路徑。此檔案會在首次執行管理伺服器時自動產生。權杖位於安裝管理伺服器的裝置上。權杖的預設路徑:/var/opt/kaspersky/klnagent_srv/iam/initial_token.txt。權杖永久有效,無需輪換。
  • kscPort是用於透過 OpenAPI 將卡巴斯基安全管理中心網頁主控台和 IAM 連線到管理伺服器的連接埠(預設值為 13299)。
  • kscCertPath管理伺服器憑證的路徑。憑證位於安裝管理伺服器的裝置上。憑證的預設路徑:/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer。

版本 15.4 或更早版本的管理伺服器:

  • 將顯示在登入視窗中的管理伺服器名稱。
  • kscHost是卡巴斯基安全管理中心網頁主控台連線到的管理伺服器的位址(FQDN、主機名稱或 IP 位址)。
  • kscPort是用於將卡巴斯基安全管理中心網頁主控台連線到管理伺服器的 OpenAPI 連接埠(預設是 13299)。
  • kscCertPath是管理伺服器憑證的路徑。憑證位於安裝管理伺服器的裝置上。憑證的預設路徑:/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer。

將卡巴斯基安全管理中心網頁主控台安裝到非管理伺服器所在的裝置時,請將管理伺服器憑證檔案(由 kscCertPath 指定)、IAM 憑證檔案(由 iamCertPath 指定)以及權杖檔案(由 iamPATPath 指定)從已安裝管理伺服器的裝置複製到目標裝置。在網頁主控台安裝程式的回應檔案中指定檔案的本機路徑。

JSON 檔案的一部分採用以下格式:

"trusted": {

"Administration Server v16": {

"iamHost": "ksc-iam.example.com",

"iamOAuthPort": 4444,

"iamProxyPort": 9050,

"iamCertPath": "/var/opt/kaspersky/klnagent_srv/iam/main_certificate.pem",

"iamPATPath": "/var/opt/kaspersky/klnagent_srv/iam/initial_token.txt",

"kscPort": 13299,

"kscCertPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer"

},

"Administration Server v15.4": {

"kscHost": "ksc.example.com",

"kscPort": 13299,

"kscCertPath": "/var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer"

}

}

acceptEula

您是否要接受最終使用者產品授權協議(EULA)的條款。包含 EULA 條款的檔案和安裝檔案一起下載。

布爾值:

  • true — 我確認我已完整閱讀、理解並接受此最終使用者產品授權協議的條款和條件。
  • false—我不接受產品授權協議的條款(預設選取)。

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會向您顯示 EULA 並詢問您是否同意接受 EULA 的條款。

certDomain

如果您想要產生新的自簽章憑證,請使用此參數指定用於將 Web 瀏覽器連線至卡巴斯基安全管理中心網頁主控台 的 FQDN。

字串值。

certPath

使用此參數指定在您的基礎架構中受信任且符合自訂憑證要求的卡巴斯基安全管理中心網頁主控台自訂憑證的路徑。

您只能為一個憑證或一個憑證鏈指定一個私鑰(keyPath)。

字串值。

卡巴斯基安全管理中心網頁主控台不支援加密憑證。

在要安裝卡巴斯基安全管理中心網頁主控台的裝置上,指定 PEM 格式的憑證檔案的路徑。

示例:/root/server.crt

keyPath

使用該參數指定與certPath參數中指定的卡巴斯基安全管理中心網頁主控台自訂憑證關聯的私鑰路徑。

字串值。

帶有私鑰的檔案不得被加密。

在要安裝卡巴斯基安全管理中心網頁主控台的裝置上,指定 PEM 格式的金鑰檔案的路徑。

示例: /root/key-without-passphrase.pem

webConsoleAccount

執行卡巴斯基安全管理中心網頁主控台服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如: ""Group1:User1"".

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_management_%uid% 的新帳戶。

managementServiceAccount

執行卡巴斯基安全管理中心網頁主控台管理服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如:""Group1:User2""。

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_nodejs_%uid% 的新帳戶。

serviceWebConsoleAccount

執行卡巴斯基安全管理中心網頁主控台服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如:"Group1:User3"

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_svc_nodejs_%uid% 的新帳戶。

pluginAccount

執行卡巴斯基安全管理中心產品外掛程式服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如:""Group1:User4""。

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_web_plugin_%uid% 的新帳戶。

messageQueueAccount

執行卡巴斯基安全管理中心網頁主控台訊息佇列服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如:"Group1:User5".

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_message_queue_%uid% 的新帳戶。

natsMessageQueueAccount

 

執行卡巴斯基安全管理中心網頁主控台 NATS服務的帳戶名稱。

以下格式的字串值:”"<群組名稱>:<使用者名稱>""。

例如:""Group1:User6""。

如果未指定任何值,卡巴斯基安全管理中心網頁主控台安裝程式會建立一個預設名稱為 user_message_queue_%uid% 的新帳戶。

另請參閱:

卡巴斯基安全管理中心 Linux 使用的連接埠
頁頂