Oracle poprzez RemoteApp

W tym rozdziale przedstawiony jest przykład konfiguracji Fudo PAM, której celem jest monitorowanie połączeń z bazą danych Oracle poprzez serwer RemoteApp. Scenariusz zakłada, że użytkownik łączy się z serwerem RemoteApp poprzez protokół RDP. Tożsamość użytkownika weryfikowana jest w Active Directory, a dane logowania przesyłane są do serwera docelowego. Połączenie następuje poprzez Fudo, w trybie pośrednika.

Wymagania

• Wdrożona i skonfigurowana usługa RDS na systemie Windows Server 2012/2012 RE/2016.
• Skonfigurowana kolekcja z aplikacją SQL Developer.

• Wdrożona usługa Active Directory do uwierzytelnienia tożsamości użytkowników.

Poniższy opis zakłada, że pierwsze uruchomienie Fudo zostało prawidłowo przeprowadzone, w środowisku informatycznym, funkcjonuje prawidłowo skonfigurowana usługa RemoteApp oraz Active Directory. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.

Konfiguracja

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.

1. Wybierz z lewego menu Zarządzanie > Serwery.
2. Kliknij Dodaj i wybierz opcję Serwer statyczny.

3. Uzupełnij parametry konfiguracyjne serwera:

Parametr	Wartość
Ogólne
Nazwa	RemoteApp Server
Opis
Zablokowane
Protokół	RDP
Bezpieczeństwo	Enhanced RDP Security (TLS) + NLA
Starsze algorytmy kryptograficzne
Adres źródłowy	Dowolny
Uprawnienia
Uprawnieni użytkownicy
Adresy serwerów
Adres IP	10.0.150.153
Port	3389

4. Kliknij i, aby pobrać certyfikat hosta docelowego.
5. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.

1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
2. Kliknij przycisk Dodaj.

Parametr	Wartość
Ogólne
Login	john_smith
Zablokowane
Ważność konta	Bezterminowe
Rola	user
Preferowany język	polski
Pełna nazwa	John Smith
Email
Organizacja
Telefon
Domena AD
Baza LDAP
Uprawnienia
Uprawnieni użytkownicy
Uwierzytelnienie
Niepowodzenia uwierzytelnienia
Zastosuj złożoność hasła statycznego
Typ	Hasło
Hasło	john
Powtórz hasło	john

4. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.

1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
2. Kliknij Dodaj.

3. Uzupełnij parametry konfiguracyjne:

Parametr	Wartość
Ogólne
Nazwa	RemoteApp-listener
Zablokowane
Protokół	RDP
Bezpieczeństwo	Enhanced RDP Security (TLS) + NLA
Komunikat
Uprawnienia
Uprawnieni użytkownicy
Połączenie
Tryb połączenia	proxy
Adres lokalny	10.0.150.151
Port	10025
Adres zewnętrzny
Port zewnętrzny

4. Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać certyfikat serwera.
5. Kliknij Zapisz.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.

1. Wybierz z lewego menu Zarządzanie > Konta.
2. Kliknij Dodaj.

3. Uzupełnij parametry konfiguracyjne:

Parametr	Wartość
Ogólne
Nazwa	RemoteApp-account
Zablokowane
Typ	forward
Nagrywanie sesji	wszystko
OCR sesji
Język OCR	Angielski
Notatki
Retencja danych
Nadpisz globalne ustawienia retencji
Usuń dane sesji po upływie	61 dni
Uprawnienia
Uprawnieni użytkownicy
Serwer
Serwer	RemoteApp_server
Dane uwierzytelniające
Zastąp sekret
Przekazuj domenę

4. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.

1. Wybierz z lewego menu Zarządzanie > Sejfy.
2. Kliknij Dodaj.

3. Uzupełnij parametry konfiguracyjne:

Parametr	Wartość
Ogólne
Nazwa	RemoteApp-safe
Zablokowane
Powiadomienia
Powód logowania
Wymagaj potwierdzenia
Polityki
Note access	No access
Funkcjonalność protokołów
RDP
SSH
VNC

4. Przejdź na zakładkę Użytkownicy.
5. Kliknij Dodaj użytkownika.
6. Znajdź użytkownika john_smith i kliknij i.
7. Kliknij OK.
8. Przejdź na zakładkę Konta.
9. Kliknij Dodaj konto.
10. Znajdź konto RemoteApp-account i kliknij i.
11. Kliknij OK.
12. Kliknij w kolumnie Gniazda nasłuchiwania.
13. Znajdź obiekt RemoteApp-listener i kliknij i.
14. Kliknij OK.
15. Kliknij Zapisz.

Zmiana wpisów w rejestrze systemowym na kontrolerze domeny RDS

1. Zaloguj się na konto administratora na serwerze, na których uruchomiona jest usługa RDS.
2. Uruchom edytor rejestru systemowego.
3. Odszukaj klucz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\ CentralPublishedResources\PublishedFarms\collectionone\Applications\sqldeveloper

4. W parametrze RDPFileContent, znajdź atrybut full address:s: i zmień jego wartość na adres IP i numer portu gniazda nasłuchiwania, tj. full address:s:10.0.150.151:10025

Nawiązanie połączenia

1. Uruchom przeglądarkę na systemie użytkownika, wprowadź adres kontrolera domeny RDS i zaloguj się do portalu.

2. Kliknij aplikację SQL Developer, aby pobrać plik konfiguracyjny RemoteApp.

3. Kliknij dwukrotnie pobrany plik konfiguracyjny.

4. Kliknij Connect, aby połączyć się z wybranym zasobem zasobem.

5. Wprowadź dane logowania użytkownika.
6. Zaakceptuj certyfikat i potwierdź nawiązanie połączenia.

Podgląd sesji połączeniowej

1. W przeglądarce internetowej wprowadź adres panelu administracjnego Fudo.
2. Wprowadź nazwę użytkownika oraz hasło.

3. Wybierz z lewego menu Zarządzanie > Sesje.
4. Znajdź na liście sesję użytkownika John Smith i kliknij i.

Tematy pokrewne:

• RDP
• Szybki start - konfigurowanie połączenia RDP
• Wymagania
• Model danych