Oracle poprzez RemoteApp¶
W tym rozdziale przedstawiony jest przykład konfiguracji Fudo PAM, której celem jest monitorowanie połączeń z bazą danych Oracle poprzez serwer RemoteApp. Scenariusz zakłada, że użytkownik łączy się z serwerem RemoteApp poprzez protokół RDP. Tożsamość użytkownika weryfikowana jest w Active Directory, a dane logowania przesyłane są do serwera docelowego. Połączenie następuje poprzez Fudo, w trybie pośrednika.
Ostrzeżenie
Wsparcie protokołu Oracle
zostanie wycofane w następnej wersji Fudo PAM 5.3. Aby proces aktualizacji systemu przebiegł pomyślnie, jest wymagane usunięcie powiązanych sesji ze wspomnianym protokołem (poza tymi, które już zostały wyeksportowane). Reszta powiązanych obiektów (konta, serwery, gniazda nasłuchiwania) zostaną usunięte przez skrypt aktualizacyjny automatycznie.
Wymagania¶
- Wdrożona i skonfigurowana usługa RDS na systemie Windows Server 2012/2012 RE/2016.
- Skonfigurowana kolekcja z aplikacją SQL Developer.
- Wdrożona usługa Active Directory do uwierzytelnienia tożsamości użytkowników.
Poniższy opis zakłada, że pierwsze uruchomienie Fudo zostało prawidłowo przeprowadzone, w środowisku informatycznym, funkcjonuje prawidłowo skonfigurowana usługa RemoteApp oraz Active Directory. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij i wybierz opcję Serwer statyczny.
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp Server |
Opis | |
Zablokowane | |
Protokół | RDP |
Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
Starsze algorytmy kryptograficzne | |
Adres źródłowy | Dowolny |
Uprawnienia | |
Uprawnieni użytkownicy | |
Adresy serwerów | |
Adres IP | 10.0.150.153 |
Port | 3389 |
- Kliknij i, aby pobrać certyfikat hosta docelowego.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-listener |
Zablokowane | |
Protokół | RDP |
Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
Komunikat | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Połączenie | |
Tryb połączenia | proxy |
Adres lokalny | 10.0.150.151 |
Port | 10025 |
Adres zewnętrzny | |
Port zewnętrzny |
- Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać certyfikat serwera.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-account |
Zablokowane | |
Typ | forward |
Nagrywanie sesji | wszystko |
OCR sesji | |
Język OCR | Angielski |
Notatki | |
Retencja danych | |
Nadpisz globalne ustawienia retencji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | RemoteApp_server |
Dane uwierzytelniające | |
Zastąp sekret | |
Przekazuj domenę |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-safe |
Zablokowane | |
Powiadomienia | |
Powód logowania | |
Wymagaj potwierdzenia | |
Polityki | |
Note access | No access |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC |
- Przejdź na zakładkę Użytkownicy.
- Kliknij .
- Znajdź użytkownika john_smith i kliknij i.
- Kliknij .
- Przejdź na zakładkę Konta.
- Kliknij .
- Znajdź konto
RemoteApp-account
i kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania.
- Znajdź obiekt
RemoteApp-listener
i kliknij i. - Kliknij .
- Kliknij .
Zmiana wpisów w rejestrze systemowym na kontrolerze domeny RDS¶
- Zaloguj się na konto administratora na serwerze, na których uruchomiona jest usługa RDS.
- Uruchom edytor rejestru systemowego.
- Odszukaj klucz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\
CentralPublishedResources\PublishedFarms\collectionone\Applications\sqldeveloper
- W parametrze RDPFileContent, znajdź atrybut full address:s: i zmień jego wartość na adres IP i numer portu gniazda nasłuchiwania, tj.
full address:s:10.0.150.151:10025
Nawiązanie połączenia¶
- Uruchom przeglądarkę na systemie użytkownika, wprowadź adres kontrolera domeny RDS i zaloguj się do portalu.
- Kliknij aplikację SQL Developer, aby pobrać plik konfiguracyjny RemoteApp.
- Kliknij dwukrotnie pobrany plik konfiguracyjny.
- Kliknij , aby połączyć się z wybranym zasobem zasobem.
- Wprowadź dane logowania użytkownika.
- Zaakceptuj certyfikat i potwierdź nawiązanie połączenia.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wprowadź adres panelu administracjnego Fudo.
- Wprowadź nazwę użytkownika oraz hasło.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: