MS SQL

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń ze zdalnym serwerem baz danych MS SQL. Scenariusz zakłada, że użytkownik łączy się ze zdalnym serwerem za pomocą klienta SQL Server Management Studio, używając indywidualnego loginu i hasła. Fudo PAM uwierzytelnia administratora na podstawie danych zapisanych w lokalnej bazie użytkowników i zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na fudo/password (tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).

../../_images/quickstart_overview_mssql.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.

Informacja

Upewnij się, że serwer SQL ma włączony tryb uwierzytelnienia SQL Server and Windows Authentication.

../../_images/server_auth_mode.png

Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj i wybierz opcję Serwer statyczny.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Nazwa mssql_server
Opis fail
Zablokowane fail
Protokół MS SQL (TDS)
Adres źródłowy Dowolny
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Adresy serwerów  
Adres IP 10.0.150.154
Port 1433
  1. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa MSSQL_proxy
Zablokowane fail
Protokół MS SQL (TDS)
Uprawnienia  
Uprawnieni użytkownicy fail
Połączenie  
Tryb połączenia proxy
Adres lokalny 10.0.150.150
Port 1433
  1. Kliknij Zapisz.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa admin_mssql_server
Zablokowane fail
Typ regular
Nagrywanie sesji wszystko
Notatki fail
Retencja danych  
Nadpisz globalne ustawienia retencji fail
Usuń dane sesji po upływie 61 dni
Uprawnienia  
Uprawnieni użytkownicy fail
Serwer  
Serwer mssql_server
Dane uwierzytelniające  
Domena fail
Login fudo
Zastąp sekret hasłem
Hasło password
Powtórz hasło password
Polityka modyfikatora haseł fail
  1. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa mssql_safe
Zablokowane fail
Powiadomienia fail
Powód logowania fail
Wymagaj potwierdzenia fail
Polityki fail
Note access No access
   
Funkcjonalność protokołów  
RDP fail
SSH fail
VNC fail
  1. Przejdź na zakładkę Użytkownicy.
  2. Kliknij Dodaj użytkownika.
  3. Znajdź użytkownika john_smith i kliknij i.
  4. Kliknij OK.
  5. Przejdź na zakładkę Konta.
  6. Kliknij Dodaj konto.
  7. Znajdź konto admin_mssql_server i kliknij i.
  8. Kliknij OK.
  9. Kliknij w kolumnie Gniazda nasłuchiwania.
  10. Znajdź obiekt MSSQL_proxy i kliknij i.
  11. Kliknij OK.
  12. Kliknij Zapisz.

Nawiązanie połączenia

  1. Uruchom SQL Server Management Studio.
  2. Wprowadź wcześniej skonfigurowany adres proxy, na którym Fudo oczekuje na połączenia z serwerem MS SQL (10.0.150.150).
  3. Z listy rozwijalnej Authentication, wybierz SQL Server Authentication.
  4. Wprowadź nazwę użytkownika oraz hasło.
  5. Kliknij Connect.
../../_images/sql_management_studio.png ../../_images/mssql_connected.png

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo PAM.

Informacja

Upewnij się, że wskazany adres IP ma włączoną opcję udostępniania panelu zarządzającego.

  1. Wprowadź nazwę użytkownika oraz hasło aby zalogować się do interfejsu administracyjnego Fudo PAM.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.

Informacja

Ponieważ MS SQL Studio może nawiązywać wiele niezależnych połączeń dla przesłania zapytań, sesje, nawiązane przez protokół TDS korzystając z MS SQL Studio są agregowane przez Fudo PAM.


Fudo PAM działa według algorytmu, weryfikującego, czy obiekty nowej sesji (gniazdo nasłuchiwania, konto, adres serwera (serwer), użytkownik, oraz sejf) są takie same, jak obiekty którejś z już trwających sesji. Jeśli tak jest, sesje są agregowane w jedną.

Natomiast, jeśli algorytm nie wykrywa żadnej trwającej sesji z obiektami nowej sesji, system tworzy nową.


To powoduje, że w ramach jednej sesji wiele zapytań są zgrupowane. Każde zapytanie jest oznaczone tagiem, co pozwala wyświetlić w playerze tylko te połączenia, które są istotne (na przykład, zawierają zapytania, które faktycznie wykonał użytkownik).


Tematy pokrewne: