Scenariusze wdrożenia

Informacja

Zaleca się umiejscowienie Wheel Fudo PAM w infrastrukturze IT tak, aby pośredniczyło jedynie w połączeniach administracyjnych. Pozwoli to na ograniczenie obciążenia systemu, optymalizację ruchu w sieci a także zachowanie ciągłości dostępu do usług w okoliczności awarii sprzętowej.

Most

W trybie mostu Wheel Fudo PAM pośredniczy w komunikacji pomiędzy użytkownikami i monitorowanymi serwerami bez względu na to czy ruch podlega monitorowaniu (tj. komunikacja przebiega z użyciem wspieranych protokołów) czy nie.

../../_images/deployment_bridge.png

Wheel Fudo PAM pośrednicząc w przekazywaniu ruchu, zachowuje źródłowy adres IP klienta wysyłającego zapytania do serwerów.

Takie rozwiązanie pozwala na zachowanie dotychczasowych reguł na zaporach ogniowych regulujących dostęp do zasobów wewnętrznych.

Szczegóły na temat konfigurowania mostu znajdziesz w rozdziale Konfiguracja sieci.

Wymuszony routing

Tryb wymuszonego routingu wymaga użycia i odpowiedniego skonfigurowania routera. Taka topologia wdrożenia pozwala na sterowanie ruchem w sieci na poziomie trzeciej warstwy (sieci) modelu ISO/OSI, tak aby poprzez Wheel Fudo PAM kierowany był ruch administracyjny natomiast pozostałe zapytania były kierowane bezpośrednio do serwera docelowego.

../../_images/deployment_router.png

Tryb ten nie wymaga zmian w topologii sieci i pozwala na optymalizację ruchu i obciążenia sprzętu poprzez rozdzielenie zapytań administracyjnych i produkcyjnych.

Tryby połączenia

Niezależnie od zastosowanego scenariusza wdrożenia, Wheel Fudo PAM może pracować w trybie transparentnym, trybie bramy lub jako pośrednik (proxy).

Tryb transparentny

W trybie transparentnym, klient łączy się z serwerem docelowym wskazując bezpośrednio jego adres IP. Wheel Fudo PAM zestawiając połączenie z monitorowanym zasobem używa adresu IP klienta.

../../_images/deployment_transparent.png

Tryb bramy

W trybie bramy, klient łączy się z serwerem docelowym wskazując bezpośrednio jego adres IP. Wheel Fudo PAM zestawiając połączenie z monitorowanym zasobem używa własnego adresu IP. Tryb pracy bramy pozwala na sterowanie ruchem sieciowym, by ten stale przechodził przez Wheel Fudo PAM, w przypadku gdy zastosowanie mają polityki kierowania ruchem.

../../_images/deployment_gateway.png

Ustawienie adresu IP Wheel Fudo PAM jako adresu źródłowego pakietu sprawi, że odpowiedź z serwera trafi do Wheel Fudo PAM i dalej do klienta, a nie bezpośrednio do klienta.

Pośrednik

W trybie pośrednika, użytkownik nawiązuje połączenie z serwerem docelowym wskazując adres IP Wheel Fudo PAM i numer portu przypisany do danego serwera. Unikalność numeru portu pozwala na zestawienie połączenia z właściwym zasobem.

../../_images/deployment_proxy.png

Takie rozwiązanie ukrywa faktyczną adresację serwerów, a odpowiednie ich skonfigurowanie pozwala na odrzucanie zapytań ze źródłowym adresem IP innym niż adres IP Wheel Fudo PAM.

Bastion

W trybie bastionu, konto na serwerze docelowym zdefiniowane jest w ciągu identyfikującym użytkownika, np. ssh jan_kowalski#admin_mail_server@10.0.0.8. Bastion pozwala na realizowanie dostępu do szeregu serwerów poprzez tę samą kombinację adresu IP i numeru portu, umożliwiając zachowanie domyślnych numerów portów dla poszczególnych protokołów.

../../_images/deployment_bastion.png

Informacja

  • Tryb bastion wspierany jest w połączeniach realizowanych za pośrednictwem protokołów: SSH, RDP, VNC, Telnet, Telnet 3270.
  • W przypadku gdy wskazane konto nie istnieje, Wheel Fudo PAM dokona próby dopasowania podanego ciągu znaków do nazwy serwera.

Tematy pokrewne: