RDP w trybie bastionu

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo Enterprise, której celem jest monitorowanie połączeń RDP ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łączy się ze zdalnym serwerem w trybie bastionu, wskazując w loginie nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego. Fudo Enterprise uwierzytelnia użytkownika na podstawie danych zapisanych w lokalnej bazie danych i zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na ciągi zdefiniowane w koncie uprzywilejowanym (obiekt konto skonfigurowane w trybie regular).

../../_images/quickstart_overview_rdp_bastion.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone a system został skonfigurowany do pracy w trybie mostu lub odpowiednio został skonfigurowany routing połączeń administracyjnych. Informacje na temat scenariuszy wdrożenia znajdziesz w rozdziale Scenariusze wdrożenia.


Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij + Dodaj serwer.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parameter Value
Nazwa rdp_server
Opis fail
Zablokowane fail
Protokół RDP
TLS włączony ok
NLA włączony fail
Starsze algorytmy kryptograficzne fail
Informuj o istniejącym połączeniu fail
Adres źródłowy 10.0.150.151
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Miejsce przeznaczenia  
Adres 10.0.35.54
Maska 32
Port 3389
Werifikacja serwera None
  1. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.


Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa rdp_listener_bastion
Zablokowane fail
Protokół RDP
Bezpieczeństwo Standard RDP Security
Komunikat fail
Uprawnienia  
Uprawnieni użytkownicy fail
Połączenie  
Tryb połączenia bastion
Adres lokalny 10.0.150.151
Port 3389
Adres zewnętrzny fail
Port zewnętrzny fail
  1. Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać klucz prywatny i publiczny w formacie PEM.
  2. Kliknij Zapisz.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa admin_rdp_server
Zablokowane fail
Typ regular
Nagrywanie sesji wszystko
OCR sesji ok
Język OCR Angielski
Notatki fail
Retencja danych  
Nadpisz globalne ustawienia retencji fail
Usuń dane sesji po upływie 61 dni
Uprawnienia  
Uprawnieni użytkownicy fail
Serwer  
Serwer rdp_server
Dane uwierzytelniające  
Domena fail
Login admin
Zastąp sekret hasłem
Hasło password
Powtórz hasło password
Polityka modyfikatora haseł Statyczne, bez ograniczeń
  1. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.

  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa: rdp_safe
Zablokowane fail
Powiadomienia fail
Powód logowania fail
Wymagaj potwierdzenia fail
Polityki fail
Note access No access
   
Funkcjonalność protokołów  
RDP ok
SSH fail
VNC fail
  1. Przejdź na zakładkę Użytkownicy.
  2. Kliknij Dodaj użytkownika.
  3. Znajdź użytkownika john_smith i kliknij i.
  4. Kliknij OK.
  5. Przejdź na zakładkę Konta.
  6. Kliknij Dodaj konto.
  7. Znajdź konto admin_rdp_server i kliknij i.
  8. Kliknij OK.
  9. Kliknij w kolumnie Gniazda nasłuchiwania.
  10. Znajdź obiekt rdp_listener_bastion i kliknij i.
  11. Kliknij OK.
  12. Kliknij Zapisz.

Nawiązanie połączenia

  1. Uruchom klienta połączeń RDP.
  2. Skonfiguruj połączenie zdalnego pulpitu.
  3. Wprowadź nazwę użytkownika, login konta na serwerze docelowym (login serwera) oraz adres serwera docelowego (np: john_smith#admin#10.0.35.54) oraz hasło użytkownika.

Informacja

Podczas łączenia się przy użyciu konta typu forward, gdzie nazwa użytkownika i login serwera są identyczne, wartość Login serwera może zostać pominięte (np: john_smith##10.0.35.54).

../../_images/rdp_client_user_credentials.png

Informacja

  • Jeśli użytkownik nie wyspecyfikuje danych logowania w kliencie RDP, Fudo wyświetli własny ekran logowania, który należy uzupełnić danymi logowania użytkownika, nazwą konta uprzywilejowanego oraz adresem serwera.
  • Podczas łączenia się przy użyciu konta typu forward, gdzie Nazwa użytkownika i Login serwera są identyczne, pole Login serwera na ekranie logowania może zostać pominięte.
  • W przypadku gdy wskazane konto nie istnieje, Fudo Enterprise dokona próby dopasowania podanego ciągu znaków do nazwy serwera. Jeśli system nie stwierdzi istnienia obiektu serwera o takiej nazwie, spróbuje dokonać dopasowania na podstawie nazwy DNS hosta.
  • Fudo Enterprise pozwala na zastosowanie własnego logotypu na ekranie logowania. Więcej informacji na temat konfigurowania ekranów dla połączeń graficznych, znajdziesz w sekcji Zasoby.
../../_images/5-3-login-screen-rdp-bastion.png ../../_images/rdp_logged.png

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo Enterprise.

Informacja

Upewnij się, że wprowadzony adres IP, w ustawieniach Konfiguracji sieciowej, ma włączoną opcję udostępniania panelu zarządzającego.

../../_images/5-1-network-interfejs-admin.png
  1. Wprowadź nazwę użytkownika oraz hasło aby zalogować się do interfejsu administracyjnego Fudo Enterprise.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.
../../_images/player_rdp_session.png

Tematy pokrewne: