Konfiguracja Fudo Enterprise - scenariusz bastion (zalecany)

Scenariusz Bastion jest zalecaną konfiguracją dla funkcji RDS. W tym scenariuszu należy:

• utworzyć użytkowników za pomocą funkcji RDS, aby odpowiadali użytkownikom z Active Directory,
• dodać wszystkie serwery zawarte w kolekcji RDS,
• skonfigurować konto do uwierzytelniania na serwerze,
• ustawić pojedynczy listener w trybie bastion, sparowany z tym kontem.

Informacja

Ten przypadek użycia opisuje, jak skonfigurować Fudo Enterprise przy użyciu metody zewnętrznego uwierzytelnienia Active Directory. Należy pamiętać, że można dostosować uwierzytelnienie użytkowników za pomocą dowolnej innej metody obsługiwanej przez Fudo Enterprise, aby dopasować ją do swoich specyficznych wymagań, metod typowo stosowanych w środowisku i scenariuszy pracy.

Konfiguracja metody zewnętrznego uwierzytelnienia:

1. Zaloguj się do Panelu Administratora Fudo Enterprise.

2. Wybierz Ustawienia > Uwierzytelnienie.
3. W karcie Uwierzytelnienie zewnętrzne kliknij Dodaj źródło zewnętrznego uwierzytelnienia.

4. Z listy rozwijanej Typ wybierz Active Directory.
5. W polu Adres hosta podaj adres IP kontrolera domeny (np. 10.0.136.1).
6. Pozostaw domyślny numer portu: 389.
7. Ustaw Adres źródłowy na Dowolny.
8. Podaj nazwę domeny, która będzie używana do uwierzytelnienia użytkowników w Active Directory (np. mk.local).
9. W polach Login, Sekret i Powtórz sekret podaj dane logowania uprzywilejowanego konta używanego do dostępu do kontrolera domeny.

10. Kliknij Zapisz.

Utwórz użytkownika w Fudo:

1. Wybierz Zarządzanie > Użytkownicy i kliknij Dodaj użytkownika.

2. Wpisz nazwę użytkownika odpowiadającą wybranemu kontu użytkownika w Active Directory (np. user1).
3. W karcie Ustawienia, w sekcji Sejfy, wybierz portal.

4. Kliknij Zapisz.

5. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz Uwierzytelnienie zewnętrzne.

6. Wybierz metodę Active Directory utworzoną w poprzednich krokach i kliknij Zapisz.

7. W razie potrzeby uzupełnij pozostałe parametry zgodnie z wymaganiami swojej specyficznej konfiguracji. Po więcej szczegółów przejdź do sekcji Dodawanie użytkownika.

8. Kliknij Zapisz i zamknij.

Konfiguracja serwera o roli Connection Broker:

1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.

2. Wpisz unikalną nazwę serwera (np. Broker).
3. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
4. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.

5. Zaznacz opcje TLS włączony i NLA włączony.

6. W sekcji Miejsce przeznaczenia wybierz IPv4 i wprowadź adres IP serwera wybranego podczas konfiguracji RDS dla roli RD Broker (w naszym przykładzie serwer RDB z adresem IP 10.0.136.2).

7. Kliknij Zapisz i zamknij.

Konfiguracja serwerów o roli Session Hosts:

1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.

2. Wpisz unikalną nazwę serwera (np. HOST1).
3. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
4. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.

5. Zaznacz opcje TLS włączony i NLA włączony.

6. W sekcji Miejsce przeznaczenia wybierz IPv4 i wprowadź adres IP serwera (w naszym przykładzie 10.0.136.4).

7. Kliknij Zapisz i zamknij.

8. Powtórz wszystkie powyższe kroki, aby utworzyć drugi serwer o nazwie HOST2 i adresie IP 10.0.136.5.

Konfiguracja puli serwerów:

1. Wybierz Zarządzanie > Pule i kliknij + Dodaj pulę

2. Wpisz unikalną nazwę puli (np. RDS-pula).
3. W zakładce Ustawienia wybierz serwery, które mają zostać dodane do puli włączając serwer o funkcji brokera (np. HOST1, HOST2, BROKER).
4. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem (np. user1).

6. Kliknij Zapisz i zamknij

Konfiguracja konta:

1. Wybierz Zarządzanie > Konta i kliknij Dodaj.

2. Zdefiniuj nazwę obiektu (np. user1).
3. Z listy rozwijanej Typ wybierz forward.
4. Przejdź do sekcji Serwer / Pula i z listy rozwijanej wybierz pulę utworzoną w poprzednim kroku (np. RDS-pula), aby przypisać utworzone konto do tej puli serwerów.

5. W sekcji Dane uwierzytelniające wybierz opcję Przekieruj domenę aby dołączyć nazwę domeny w ciągu identyfikującym użytkownika.
6. Kliknij Zapisz.

Konfiguracja gniazda nasłuchiwania:

1. Wybierz Zarządzanie > Gniazda nasłuchiwania i kliknij Dodaj gniazdo nasłuchiwania.

2. Wpisz unikalną nazwę gniazda nasłuchiwania (np.``rdp-broker-bastion``).
3. Przejdź do zakładki Uprawnienia i dodaj użytkowników uprawnionych do zarządzania tym gniazdem nasłuchiwania (np. user1).

4. Przejdź do zakładki Ustawienia i w polu Protokół naciśnij przycisk RDP.
5. Zaznacz opcję TLS włączony aby włączyć szyfrowanie.
6. Zaznacz opcję NLA włączony dla dodatkowego zabezpieczenia.
7. W sekcji Tryb połączenia wybierz bastion.

8. Ustaw lokalny adres na Any, i port 3389.

9. W polu Certyfikat CA kliknij Generuj certyfikat aby wygenerować certyfikat TLS, wybierając algorytm klucza i podając Nazwę Wspólną (nazwa serwera, na którym zainstalowany jest certyfikat), lub kliknij Prześlij aby załadować plik certyfikatu serwera z dołączonym na końcu prywatnym kluczem.
10. Kliknij Zapisz i zamknij.

Konfiguracja sejfu:

1. Wybierz Zarządzanie > Sejfy, a następnie kliknij Dodaj.

2. Wprowadź nazwę obiektu.

3. Przejdź do zakładki Użytkownicy, aby przypisać użytkowników, którym będzie wolno uzyskiwać dostęp do kont przypisanych do tego sejfu.

   • Kliknij Dodaj użytkownika.
   • Kliknij i przy użytkowniku, któremu chcesz przyznać dostęp do serwerów poprzez monitorowany sejf (np. user1).
   • Kliknij ok, aby zamknąć okno dialogowe.

4. Wybierz zakładkę Konta, aby dodać konta dostępne przez ten sejf.

   • Kliknij Dodaj konto.
   • Kliknij i przy kontach, które chcesz dodać do sejfu (np. user1).
   • Kliknij ok, aby zamknąć okno dialogowe.
   • Kliknij . w kolumnie Gniazda nasłuchiwania, aby dodać gniazdo nasłuchiwania pośredniczące w nawiązywaniu połączenia.
   • Kliknij i przy wybranym gnieździe nasłuchiwania (np.``rdp-broker-bastion``).
   • Kliknij ok, aby zamknąć okno dialogowe.

5. Kliknij Zapisz, aby zapisać konfigurację sejfu.

Nawiązanie sesji przez Portal Użytkownika Fudo:

Ostrzeżenie

Podczas nawiązywania połączeń za pomocą Remote Desktop Services zalecane jest korzystanie z opcji Native client. Web client nie obsługuje tego typu połączeń.

1. Zaloguj się do «Portalu Użytkownika» Fudo Enterprise używając user1 jako nazwy użytkownika i hasła skonfigurowanego dla tego użytkownika w Active Directory.

2. Najedź kursorem na nazwę konta user1, wybierz Native client i kliknij Połącz w celu pobrania pliku konfiguracyjnego RDP.
3. Otwórz pobrany plik, aby rozpocząć połączenie w natywnym kliencie RDP.
4. Podaj hasło użytkownika user1.

Przekierowanie połączenia przez Fudo w natywnym kliencie RDP:

1. Aby przekierować połączenie przez Fudo Enterprise, w trakcie konfiguracji klienta RDP musimy użyć adresu Portalu Użytkownika.
2. Wybierz ulubionego klienta protokołu RDP (jak np. Microsoft Remote Desktop) i postępuj zgodnie z jego instrukcją, aby dodać nowy komputer do połączenia.
3. Na przykładzie Microsoft Remote Desktop, kliknij ikonę plus w górnej części okna i wybierz Dodaj komputer.

4. W polu Nazwa komputera wprowadź adres IP Portalu Użytkownika Fudo Enterprise wraz z numerem portu i kliknij Dodaj.

Informacja

Adres IP Portalu Użytkownika znajdziesz w Ustawienia > Konfiguracja sieci.

5. Połącz się z dodanym komputerem, podając w polu Nazwa użytkownika ciąg logowania dla połączeń bastion oraz hasło w polu Hasło.

Informacja

• Użyj następującego wzoru dla ciągu logowania bastion: nazwa użytkownika # login konta na docelowym serwerze # adres serwera docelowego (np. user1#user1#10.0.136.4).
• Możesz podać adres IP dowolnego serwera z kolekcji RDS jako adres serwera docelowego w ciągu logowania, a broker przekieruje połączenie zgodnie z zasadami RDS.
• Można pominąć login konta, jeśli jest taki sam jak nazwa użytkownika, np. user1##10.0.136.4

6. Klient RDP nawiąże połączenie z jednym z serwerów z kolekcji RDS.

Wyświetlanie aktywnej sesji w Panelu Administracyjnym Fudo Enterprise:

1. Zaloguj się do Panelu Administracyjnego Fudo Enterprise.

2. Wybierz Zarządzanie > Sesje.
3. Znajdź żądaną sesję i kliknij i.

Tematy pokrewne:

• Konfiguracja Fudo Enterprise - scenariusz bastion (zalecany)
• RDP w trybie bastionu
• Uwierzytelnienie
• Konfiguracja ustawień sieciowych