Citrix StoreFront¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń ICA ze zdalnym serwerem, w przypadku której inicjowanie połączenia następuje za pośrednictwem Citrix StoreFront.
Ostrzeżenie
Wsparcie protokołu Citrix
zostanie wycofane w następnej wersji Fudo PAM 5.3. Aby proces aktualizacji systemu przebiegł pomyślnie, jest wymagane usunięcie powiązanych sesji ze wspomnianym protokołem (poza tymi, które już zostały wyeksportowane). Reszta powiązanych obiektów (konta, serwery, gniazda nasłuchiwania) zostaną usunięte przez skrypt aktualizacyjny automatycznie.
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera ICA
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij i wybierz opcję Serwer statyczny.
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ica_server |
Opis | |
Zablokowane | |
Protokół | ICA |
Adres źródłowy | Dowolny |
Użyj szyfrowania TLS | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Adresy serwerów | |
Adres IP | 10.0.0.21 |
Port | 1494 |
- Kliknij .
Dodanie gniazda nasłuchiwania dla serwera ICA
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ica_listener |
Zablokowane | |
Protokół | ICA |
Uprawnienia | |
Uprawnieni użytkownicy | |
Połączenie | |
Tryb połączenia | proxy |
Adres lokalny | 10.0.150.151 |
Port | 2494 |
Użyj szyfrowania TLS |
- Kliknij .
Dodanie konta dla serwera ICA
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
Informacja
Połączenia z serwerami ICA za pośrednictwem Citrix StoreFront wymagają konta skonfigurowanego w trybie anonymous lub forward.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ICA_forward |
Zablokowane | |
Typ | forward |
Nagrywanie sesji | wszystko |
Notatki | |
Retencja danych | |
Nadpisz globalne ustawienia retencji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | ica_server |
Dane uwierzytelniające | |
Zastąp sekret | |
Przekazuj domenę |
- Kliknij .
Dodanie serwera Citrix StoreFront
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Nazwa | citrix_storefront |
Zablokowane | |
Protokół | Citrix StoreFront (HTTP) |
Czas oczekiwania HTTP | 900 |
Opis | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Host docelowy | |
Adres IP | 10.0.90.1 |
Port | 80 |
Adres źródłowy | Dowolny |
Użyj szyfrowania TLS | |
URL | http://10.0.90.1/Citrix/StoreWeb/ |
- Kliknij .
Dodanie gniazda nasłuchiwania dla serwera Citrix StoreFront
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | citrix_storefront_listener |
Zablokowane | |
Protokół | Citrix StoreFront (HTTP) |
Uprawnienia | |
Uprawnieni użytkownicy | |
Połączenie | |
Tryb połączenia | proxy |
Adres lokalny | 10.0.8.65 |
Port | 7003 |
Adres zewnętrzny | |
Port zewnętrzny | |
Użyj szyfrowania TLS |
- Kliknij .
Dodanie konta dla Citrix StoreFront
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | citrixuser_at_SF |
Zablokowane | |
Typ | regular |
Nagrywanie sesji | wszystko |
Notatki | |
Retencja danych | |
Nadpisz globalne ustawienia retencji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | citrix_storefront |
Dane uwierzytelniające | |
Domena | tech.whl |
Login | citrixuser |
Zastąp sekret | hasłem |
Hasło | password |
Powtórz hasło | password |
Polityka modyfikatora hasła | Statyczne, bez ograniczeń |
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
Informacja
Przy wybieraniu listenera ICA, którego adres ma być zwrócony do klienta przeszukiwane są jedynie sejfy, w których znajduje się listener Citrix StoreFront, z którego użytkownik aktualnie korzysta.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | ica_safe |
Zablokowane | |
Powiadomienia | |
Powód logowania | |
Wymagaj potwierdzenia | |
Polityki | |
Note access | No access |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC |
- Przejdź na zakładkę Użytkownicy.
- Kliknij .
- Znajdź użytkownika john_smith i kliknij i.
- Kliknij .
- Przejdź na zakładkę Konta.
- Kliknij .
- Znajdź konto
citrixuser_at_SF
i kliknij i. - Znajdź konto
ICA_forward
i kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania w wierszu konta citrixuser_at_SF.
- Znajdź obiekt
citrix_storefront_listener
i kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania w wierszu konta ICA_forward.
- Znajdź obiekt
ica_listener
i kliknij i. - Kliknij .
- Kliknij .
Nawiązanie połączenia
- W przeglądarce internetowej wprowadź adres IP
10.0.8.65:7003
. - Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu Citrix StoreFront.
- Kliknij wybrany element, aby nawiązać połączenie z zasobem.
Podgląd sesji połączeniowej
- W przeglądarce internetowej wpisz adres IP
10.0.8.65
. - Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu panelu zarządzającego Fudo PAM.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: