Citrix StoreFront¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń ICA ze zdalnym serwerem, w przypadku której inicjowanie połączenia następuje za pośrednictwem Citrix StoreFront.
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera ICA
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij i wybierz opcję Serwer statyczny.
- Uzupełnij parametry konfiguracyjne serwera:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | ica_server |
| Opis |  |
| Zablokowane | |
| Protokół | ICA |
| Adres źródłowy | Dowolny |
| Użyj szyfrowania TLS | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Adresy serwerów | |
| Adres IP | 10.0.0.21 |
| Port | 1494 |
- Kliknij .
Dodanie gniazda nasłuchiwania dla serwera ICA
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | ica_listener |
| Zablokowane | |
| Protokół | ICA |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Połączenie | |
| Tryb połączenia | proxy |
| Adres lokalny | 10.0.150.151 |
| Port | 2494 |
| Użyj szyfrowania TLS | |
- Kliknij .
Dodanie konta dla serwera ICA
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
Informacja
Połączenia z serwerami ICA za pośrednictwem Citrix StoreFront wymagają konta skonfigurowanego w trybie anonymous lub forward.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | ICA_forward |
| Zablokowane | |
| Typ | forward |
| Nagrywanie sesji | wszystko |
| Notatki | |
| Retencja danych | |
| Nadpisz globalne ustawienia retencji | |
| Usuń dane sesji po upływie | 61 dni |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Serwer | |
| Serwer | ica_server |
| Dane uwierzytelniające | |
| Zastąp sekret | |
| Przekazuj domenę |  |
- Kliknij .
Dodanie serwera Citrix StoreFront
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
| Parametr | Wartość |
|---|---|
| Nazwa | citrix_storefront |
| Zablokowane | |
| Protokół | Citrix StoreFront (HTTP) |
| Czas oczekiwania HTTP | 900 |
| Opis | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Host docelowy | |
| Adres IP | 10.0.90.1 |
| Port | 80 |
| Adres źródłowy | Dowolny |
| Użyj szyfrowania TLS | |
| URL | http://10.0.90.1/Citrix/StoreWeb/ |
- Kliknij .
Dodanie gniazda nasłuchiwania dla serwera Citrix StoreFront
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | citrix_storefront_listener |
| Zablokowane | |
| Protokół | Citrix StoreFront (HTTP) |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Połączenie | |
| Tryb połączenia | proxy |
| Adres lokalny | 10.0.8.65 |
| Port | 7003 |
| Adres zewnętrzny | |
| Port zewnętrzny | |
| Użyj szyfrowania TLS | |
- Kliknij .
Dodanie konta dla Citrix StoreFront
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | citrixuser_at_SF |
| Zablokowane | |
| Typ | regular |
| Nagrywanie sesji | wszystko |
| Notatki | |
| Retencja danych | |
| Nadpisz globalne ustawienia retencji | |
| Usuń dane sesji po upływie | 61 dni |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Serwer | |
| Serwer | citrix_storefront |
| Dane uwierzytelniające | |
| Domena | tech.whl |
| Login | citrixuser |
| Zastąp sekret | hasłem |
| Hasło | password |
| Powtórz hasło | password |
| Polityka modyfikatora hasła | Statyczne, bez ograniczeń |
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Login | john_smith |
| Zablokowane | |
| Ważność konta | Bezterminowe |
| Rola | user |
| Preferowany język | polski |
| Pełna nazwa | John Smith |
|
|
| Organizacja | |
| Telefon | |
| Domena AD | |
| Baza LDAP | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Uwierzytelnienie | |
| Niepowodzenia uwierzytelnienia | |
| Zastosuj złożoność hasła statycznego | |
| Typ | Hasło |
| Hasło | john |
| Powtórz hasło | john |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
Informacja
Przy wybieraniu listenera ICA, którego adres ma być zwrócony do klienta przeszukiwane są jedynie sejfy, w których znajduje się listener Citrix StoreFront, z którego użytkownik aktualnie korzysta.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | ica_safe |
| Zablokowane | |
| Powiadomienia | |
| Powód logowania | |
| Wymagaj potwierdzenia | |
| Polityki | |
| Note access | No access |
| Funkcjonalność protokołów | |
| RDP | |
| SSH | |
| VNC | |
- Przejdź na zakładkę Użytkownicy.
- Kliknij .
- Znajdź użytkownika john_smith i kliknij i.
- Kliknij .
- Przejdź na zakładkę Konta.
- Kliknij .
- Znajdź konto
citrixuser_at_SFi kliknij i. - Znajdź konto
ICA_forwardi kliknij i. - Kliknij .
- Kliknij
w kolumnie Gniazda nasłuchiwania w wierszu konta citrixuser_at_SF. - Znajdź obiekt
citrix_storefront_listeneri kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania w wierszu konta ICA_forward.
- Znajdź obiekt
ica_listeneri kliknij i. - Kliknij .
- Kliknij .
Nawiązanie połączenia
- W przeglądarce internetowej wprowadź adres IP
10.0.8.65:7003. - Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu Citrix StoreFront.
- Kliknij wybrany element, aby nawiązać połączenie z zasobem.
Podgląd sesji połączeniowej
- W przeglądarce internetowej wpisz adres IP
10.0.8.65. - Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu panelu zarządzającego Fudo PAM.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: