RDP w trybie bastionu¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń RDP ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łączy się ze zdalnym serwerem w trybie bastionu, wskazując w nazwie użytkownika konto uprzywilejowane, na które chce się dostać. Fudo PAM uwierzytelnia użytkownika na podstawie danych zapisanych w lokalnej bazie danych i zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na ciągi zdefiniowane w koncie uprzywilejowanym (obiekt konto skonfigurowane w trybie regular).
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone a system został skonfigurowany do pracy w trybie mostu lub odpowiednio został skonfigurowany routing połączeń administracyjnych. Informacje na temat scenariuszy wdrożenia znajdziesz w rozdziale Scenariusze wdrożenia.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij i wybierz opcję Serwer statyczny.
- Uzupełnij parametry konfiguracyjne serwera:
| Parametr | Wartość |
|---|---|
| Nazwa | rdp_server |
| Zablokowane |  |
| Protokół | RDP |
| Bezpieczeństwo | Standard RDP Security |
| Opis | Serwer RDP |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Host docelowy | |
| Adres | 10.0.234.6/32 |
| Port | 3389 |
| Adres źródłowy | Dowolny |
- Kliknij i, aby pobrać certyfikat hosta docelowego.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Login | john_smith |
| Zablokowane | |
| Ważność konta | Bezterminowe |
| Rola | user |
| Preferowany język | polski |
| Pełna nazwa | John Smith |
|
|
| Organizacja | |
| Telefon | |
| Domena AD | |
| Baza LDAP | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Uwierzytelnienie | |
| Niepowodzenia uwierzytelnienia | |
| Zastosuj złożoność hasła statycznego | |
| Typ | Hasło |
| Hasło | john |
| Powtórz hasło | john |
- Kliknij .
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Nazwa | rdp_listener_bastion |
| Zablokowane | |
| Protokół | RDP |
| Bezpieczeństwo | Standard RDP Security |
| Komunikat | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Połączenie | |
| Tryb połączenia | Bastion |
| Adres lokalny | 10.0.150.151 |
| Port | 3389 |
- Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać klucz prywatny i publiczny w formacie PEM.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | admin_rdp_server |
| Zablokowane | |
| Typ | regular |
| Nagrywanie sesji | wszystko |
| OCR sesji |  |
| Usuń dane sesji po upływie | 61 dni |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Serwer | |
| Serwer | rdp_server |
| Dane uwierzytelniające | |
| Domena | |
| Login | admin |
| Zastąp sekret | hasłem |
| Hasło | password |
| Powtórz hasło | password |
| Polityka modyfikatora haseł | Statyczne, bez ograniczeń |
| Modyfikator hasła | |
| Modyfikator hasła | brak |
| Użyj istniejące konto | |
| Użytkownik uprzywilejowany | |
| Hasło użytkownika uprzywilejowanego | |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | rdp_safe |
| Zablokowane | |
| Powód logowania | |
| Powiadomienia | |
| Polityki | |
| Użytkownicy | john_smith |
| Funkcjonalność protokołów | |
| RDP | |
| SSH | |
| VNC | |
| Uprawnienia | |
| Uprawniani użytkownicy | |
| Konta | |
admin_rdp_server |
rdp_listener_bastion |
- Kliknij .
Nawiązanie połączenia¶
- Uruchom klienta połączeń RDP.
- Skonfiguruj połączenie zdalnego pulpitu.
- Wpisz login, uzupełniony o nazwę konta (john_smith#admin_rdp_server) oraz hasło użytkownika.
Informacja
- Jeśli użytkownik nie wyspecyfikuje danych logowania w kliencie RDP, Fudo wyświetli własny ekran logowania, który należy uzupełnić nazwą konta uprzywilejowanego oraz danymi logowania użytkownika.
- W przypadku gdy wskazane konto nie istnieje, Fudo PAM dokona próby dopasowania podanego ciągu znaków do nazwy serwera. Jeśli system nie stwierdzi istnienia obiektu serwera o takiej nazwie, spróbuje dokonać dopasowania na podstawie nazwy DNS hosta.
- Fudo PAM pozwala na zastosowanie własnego logotypu na ekranie logowania. Więcej informacji na temat konfigurowania ekranów dla połączeń graficznych, znajdziesz w sekcji Zasoby.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo PAM.
Informacja
Upewnij się, że wskazany adres IP, w ustawieniach , ma włączoną opcję udostępniania panelu zarządzającego.
- Wprowadź nazwę użytkownika oraz hasło aby zalogować się do interfejsu administracyjnego Fudo PAM.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: