RDP w trybie bastionu¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo Enterprise, której celem jest monitorowanie połączeń RDP ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łączy się ze zdalnym serwerem w trybie bastionu, wskazując w loginie nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego. Fudo Enterprise uwierzytelnia użytkownika na podstawie danych zapisanych w lokalnej bazie danych i zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na ciągi zdefiniowane w koncie uprzywilejowanym (obiekt konto skonfigurowane w trybie regular).
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone a system został skonfigurowany do pracy w trybie mostu lub odpowiednio został skonfigurowany routing połączeń administracyjnych. Informacje na temat scenariuszy wdrożenia znajdziesz w rozdziale Scenariusze wdrożenia.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
Parameter | Value |
---|---|
Nazwa | rdp_server |
Opis | |
Zablokowane | |
Protokół | RDP |
TLS włączony | |
NLA włączony | |
Starsze algorytmy kryptograficzne | |
Informuj o istniejącym połączeniu | |
Adres źródłowy | 10.0.150.151 |
Uprawnienia | |
Uprawnieni użytkownicy | |
Miejsce przeznaczenia | |
Adres | 10.0.35.54 |
Maska | 32 |
Port | 3389 |
Werifikacja serwera | None |
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | rdp_listener_bastion |
Zablokowane | |
Protokół | RDP |
Bezpieczeństwo | Standard RDP Security |
Komunikat | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Połączenie | |
Tryb połączenia | bastion |
Adres lokalny | 10.0.150.151 |
Port | 3389 |
Adres zewnętrzny | |
Port zewnętrzny |
- Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać klucz prywatny i publiczny w formacie PEM.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | admin_rdp_server |
Zablokowane | |
Typ | regular |
Nagrywanie sesji | wszystko |
OCR sesji | |
Język OCR | Angielski |
Notatki | |
Retencja danych | |
Nadpisz globalne ustawienia retencji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | rdp_server |
Dane uwierzytelniające | |
Domena | |
Login | admin |
Zastąp sekret | hasłem |
Hasło | password |
Powtórz hasło | password |
Polityka modyfikatora haseł | Statyczne, bez ograniczeń |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa: | rdp_safe |
Zablokowane | |
Powiadomienia | |
Powód logowania | |
Wymagaj potwierdzenia | |
Polityki | |
Note access | No access |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC |
- Przejdź na zakładkę Użytkownicy.
- Kliknij .
- Znajdź użytkownika john_smith i kliknij i.
- Kliknij .
- Przejdź na zakładkę Konta.
- Kliknij .
- Znajdź konto
admin_rdp_server
i kliknij i. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania.
- Znajdź obiekt
rdp_listener_bastion
i kliknij i. - Kliknij .
- Kliknij .
Nawiązanie połączenia¶
- Uruchom klienta połączeń RDP.
- Skonfiguruj połączenie zdalnego pulpitu.
- Wprowadź nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego (
john_smith#admin#10.0.35.54
) oraz hasło użytkownika.
Informacja
- Jeśli użytkownik nie wyspecyfikuje danych logowania w kliencie RDP, Fudo wyświetli własny ekran logowania, który należy uzupełnić nazwą konta uprzywilejowanego oraz danymi logowania użytkownika.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo Enterprise.
Informacja
Upewnij się, że wprowadzony adres IP, w ustawieniach
, ma włączoną opcję udostępniania panelu zarządzającego.- Wprowadź nazwę użytkownika oraz hasło aby zalogować się do interfejsu administracyjnego Fudo Enterprise.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: