Aller au contenu principal

Configuration Serveur

Toutes les options de configuration du serveur Sync-in sont définies dans le fichier environment.yaml.

Ce fichier vous permet de personnaliser le fonctionnement de votre instance Sync-in : réseau, authentification, base de données, cache, messagerie, etc.

🧱 Sections

🖥️ server

  • host : Adresse IP d'écoute du serveur (par défaut : 0.0.0.0)
  • port : Port utilisé pour l’interface web (par défaut : 8080)
  • workers : Nombre de processus.
    • auto pour utiliser tous les cœurs CPU.
    • Quelle que soit la valeur indiquée, au moins 2 workers sont toujours lancés, 1 worker est nécessaire aux tâches planifiées.
  • trustProxy : Active la gestion des proxies (ex. : number, true, false, ou IP(s)) — Voir les options disponibles.
  • restartOnFailure : Redémarre automatiquement les workers en cas d’échec (true ou false, par défaut : true)

📋 logger

  • level : Niveau de journalisation du serveur (trace, debug, info, warn, error, fatal)
  • stdout : Affiche les logs dans la console (true, par défaut) ou les écrit dans un fichier (false)
  • colorize: Active la coloration des logs (par défaut : true)
  • filePath: Chemin du fichier de log utilisé lorsque stdout est à false.

🐬 mysql

  • url : URL de connexion MySQL (ex. : mysql://user:password@localhost:3306/database)
  • logQueries : Permet de journaliser toutes les requêtes SQL envoyées à la base de données (true ou false)

⚡ cache

  • adapter : Système de cache (mysql par défaut ou redis)
  • ttl : Durée de vie des données en cache, en secondes
  • redis : URL de connexion Redis (si adapter: redis est utilisé)

🔄 websocket

  • adapter : Définit le mode de gestion des connexions WebSocket. (cluster ou redis)
    • cluster : utilise les workers Node.js pour la communication entre processus (valeur par défaut).
    • redis : permet une communication distribuée entre plusieurs instances, recommandé pour les environnements multi-serveurs.
  • corsOrigin : Origine(s) autorisée(s) pour les connexions WebSocket (par défaut : *)
  • redis : URL de connexion Redis (si adapter: redis)

📧 mail

  • host : Hôte du serveur SMTP
  • port : Port SMTP (ex. : 587)
  • sender : Adresse d’envoi (ex. : Sync-in<notification@sync-in.com>)
  • auth:
    • user : Nom d’utilisateur SMTP
    • pass : Mot de passe SMTP
  • secure : Connexion SSL (true ou false)
  • ignoreTLS: Désactive l’utilisation de STARTTLS même si le serveur l’annonce (true ou false, par défaut : false)
  • rejectUnauthorized: Rejette la connexion si le certificat TLS du serveur est invalide (true ou false, par défaut : false)
  • logger : Active les logs SMTP (true ou false)
  • debug : Active le mode débogage (true ou false)

🔐 auth

  • method : Méthode d’authentification (mysql ou ldap, par défaut : mysql)
  • cookieSameSite : Politique SameSite pour les cookies (lax, strict, par défaut : strict)
  • encryptionKey : Clé de chiffrement des secrets utilisateurs dans la base de données, optionnelle mais recommandée.
    ⚠️ Une fois la MFA activée, toute modification ou suppression de la clé de chiffrement rendra les secrets invalides, empêchant toute authentification ultérieure.

  • mfa:

    • totp:
      • enabled : Activer l’authentification TOTP pour tous les utilisateurs (true ou false, par défaut : true)
      • issuer : Nom affiché dans l’application d’authentification (par ex. FreeOTP, Proton Authenticator, Aegis Authenticator), valeur par défaut : Sync-in

  • token:

    • access:
      • secret : Secret JWT pour les tokens d’accès
      • expiration : Durée de validité du token d’accès (ex. : 30m)
    • refresh:
      • secret : Secret JWT pour les tokens de rafraîchissement
      • expiration : Durée de validité du token de rafraîchissement (ex. : 4h)

  • ldap (si method: ldap):

    • servers : Liste des serveurs LDAP
    • baseDN : DN de base (ex. : ou=people,dc=example,dc=com)
    • filter : Filtre LDAP (optionnel)
    • attributes:
      • login : Attribut LDAP utilisé pour l’identification de l’utilisateur (uid ou sAMAccountName ou userPrincipalName), valeur par défaut : uid
      • email : Attribut LDAP contenant l’adresse e-mail de l’utilisateur (par ex. mail, email), valeur par défaut : mail.
    • adminGroup: CN du groupe contenant les administrateurs Sync-in (ex. : administrators)
    • upnSuffix: Suffixe de domaine AD utilisé avec userPrincipalName pour construire des identifiants au format UPN (ex. : user@sync-in.com)
    • netbiosName: Nom de domaine NetBIOS utilisé avec sAMAccountName pour construire les anciens formats d'identifiants (ex. : SYNC_IN\user)

🧩 applications

📁 files

  • dataPath : Chemin où sont stockées les données utilisateurs
  • maxUploadSize : Taille maximale d’un fichier à téléverser (par défaut : 5 Go)
  • showHiddenFiles: Masquer ou afficher les fichiers commençant par un point dans l’explorateur de fichiers (par défaut : false)

  • onlyoffice:

    • enabled : Active l’intégration OnlyOffice (true ou false, par défaut : false)
    • externalServer : URL de votre serveur OnlyOffice (ex. : https://onlyoffice.my-domain.com)
    • secret : Secret JWT partagé avec OnlyOffice
    • verifySSL : Vérifie le certificat SSL (true ou false, par défaut : false)

🛍️ appStore

  • repository : Choix du dépôt pour les releases des clients applicatifs : public (par défaut) ou local

🌱 Variables d’environnement

Tous les paramètres de configuration du serveur Sync-in peuvent être définis via des variables d’environnement préfixées par SYNCIN_.

Par exemple, la configuration suivante :

auth:
  encryptionKey: "changeEncryptionKeyWithStrongKey"
  token:
    access:
      secret: "changeAccessWithStrongSecret"
    refresh:
      secret: "changeRefreshWithStrongSecret"
mysql:
  url: mysql://root:MySQLRootPassword@mariadb:3306/sync_in

Peut être reproduite à l’aide des variables d’environnement suivantes :

SYNCIN_AUTH_ENCRYPTIONKEY="changeEncryptionKeyWithStrongKey"
SYNCIN_AUTH_TOKEN_ACCESS_SECRET="changeAccessWithStrongSecret"
SYNCIN_AUTH_TOKEN_REFRESH_SECRET="changeAccessWithStrongSecret"
SYNCIN_MYSQL_URL="mysql://root:MySQLRootPassword@mariadb:3306/sync_in"
info

Pour les valeurs booléennes, utilisez true ou false.
Les valeurs numériques sont automatiquement interprétées.

📌 Exemple de configuration complète

server:
  # default host : `0.0.0.0`
  host: 0.0.0.0
  # default port : `8080`
  port: 8080
  # workers: `auto` (use all cpus) | number
  # regardless of the value, starts with at least 2 workers, 1 worker is dedicated to scheduled tasks
  workers: 2
  # trust proxy: number (trust the nth hop from the front-facing proxy server as the client) | `true` | `false` | `127.0.0.1,192.168.1.1/24`
  # default: 1
  trustProxy: 1
  # restartOnFailure: automatically restart workers if they are killed or die
  # default: `true`
  restartOnFailure: true
logger:
  # level: `trace` | `debug` | `info` | `warn` | `error` | `fatal`
  # default: `info`
  level: info
  # stdout: if false logs are written to the run directory
  # default: `true`
  stdout: true
  # colorize output
  # default: `true`
  colorize: true
  # path to the log file used when stdout is set to false
  filePath:
mysql:
  # required
  url: mysql://user:MySQLRootPassword@localhost:3306/database
  # default: `false`
  logQueries: false
cache:
  # adapter: `mysql` | `redis`
  # default: `mysql`
  adapter: mysql
  # ttl in seconds
  # default: `60`
  ttl: 60
  # redis adapter url
  # default: `redis://127.0.0.1:6379`
  redis: redis://127.0.0.1:6379
websocket:
  # adapter: `cluster` (Node.js Workers: default) | `redis`
  # default: `cluster`
  adapter: cluster
  # cors origin allowed
  # default: `*`
  corsOrigin: '*'
  # redis adapter url
  # default: `redis://127.0.0.1:6379`
  redis: redis://127.0.0.1:6379
mail:
  host: smtp.server.com
  # default: `25`
  port: 25
  # default: `Sync-in<notification@sync-in.com>`
  sender: 'Sync-in<notification@sync-in.com>'
  # optional
  auth:
    user: user
    pass: password
  # secure: defines if the connection should use SSL (if true) or not (if false)
  # note: setting `secure: false` does not necessarily mean messages are sent in plaintext
  # if the server supports STARTTLS, the connection is usually upgraded to TLS automatically
  # default: `false`
  secure: false
  # ignoreTLS: if true, disables the use of STARTTLS even if the server advertises it
  # default: false
  ignoreTLS: false
  # rejectUnauthorized: reject the connection if the server's TLS certificate is invalid
  # default: false
  rejectUnauthorized: false
  # enable logger
  # default: `false`
  logger: false
  # set log level to debug
  # default: `false`
  debug: false
auth:
  # adapter : `mysql` | `ldap`
  # default: `mysql`
  method: mysql
  # key used to encrypt user secret keys in the database
  # optional, but strongly recommended
  # warning: do not change or remove the encryption key after MFA activation, or the codes will become invalid
  encryptionKey: changeEncryptionKeyWithStrongKey
  # multifactor authentication
  mfa:
    # totp configuration
    totp:
      # enable TOTP authentication
      # default: true
      enabled: true
      # name displayed in the authentication app (FreeOTP, Proton Authenticator, Aegis Authenticator etc.)
      # default: Sync-in
      issuer: Sync-in
  # cookie sameSite setting: `lax` | `strict`
  # default: `strict`
  cookieSameSite: strict
  token:
    access:
      # used for token and cookie signatures
      # required
      secret: changeAccessWithStrongSecret
      # token expiration = cookie maxAge
      # default: `30m`
      expiration: 30m
    refresh:
      # used for token and cookie signatures
      # required
      secret: changeRefreshWithStrongSecret
      # token expiration = cookie maxAge
      # default: `4h`
      expiration: 4h
  ldap:
    # e.g: [ldap://localhost:389, ldaps://localhost:636] (array required)
    servers: []
    # baseDN: distinguished name ( e.g.ou=people,dc=ldap,dc=sync-in,dc=com)
    baseDN:
    # filter, e.g: (acl=admin)
    filter:
    attributes:
      # login attribute: `uid` | `sAMAccountName` | `userPrincipalName`
      # default: `uid`
      login: uid
      # email attribute: `mail` or `email`
      # default: `mail`
      email: mail
    # adminGroup: The CN of a group containing Sync-in administrators (e.g., administrators)
    adminGroup:
    # upnSuffix: AD domain suffix used with `userPrincipalName` to build UPN-style logins (e.g., user@`sync-in.com`)
    upnSuffix:
    # netbiosName: NetBIOS domain name used with `sAMAccountName` to build legacy logins (e.g., `SYNC_IN`\user)
    netbiosName:
applications:
  files:
    # required
    dataPath: /home/sync-in
    # default: 5368709120 (5 GB)
    maxUploadSize: 5368709120
    # Show files starting with a dot in the file explorer
    # default: false
    showHiddenFiles: false
    onlyoffice:
      # enable onlyoffice integration
      # default: false
      enabled: false
      # for an external server (e.g., https://onlyoffice.domain.com), remember the url must be accessible from browser !
      # if externalServer is empty (case of official docker compose), we use the local instance
      # default: null
      externalServer:
      # secret used for jwt tokens, it must be the same on the onlyoffice server
      # required
      secret: onlyOfficeSecret
      # if you use https, set to `true`
      # default: `false`
      verifySSL: false
  appStore:
    # repository: `public` | `local`
    # default: `public`
    repository: public