SSH w trybie bastionu z opcją Jump Host

Fudo Enterprise umożliwia nawiązanie połączenia z serwerem z wykorzystaniem opcji Jump Host.

Scenariusz zakłada, że użytkownik łącząc się z serwerem pełniącym funkcję Jump Hosta, wykorzystując protokół SSH nawiązuje automatycznie połączenie z serwerem docelowym. Użytkownik musi wskazać w treści loginu:

  • nazwę użytkownika,
  • login konta na serwerze Jump Host,
  • adres serwera Jump Host,
  • login konta na serwerze docelowym,
  • adres serwera docelowego.

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.


Konfiguracja


Dodanie serwera Jump Host

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


W poniższej konfiguracji podaj dane serwera pełniącego rolę Jump Hosta.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj serwer.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Nazwa ssh_server
Opis fail
Zablokowane fail
Protokół SSH
Starszy szyfr fail
Adres źródłowy Dowolny
   
Miejsce przeznaczenia  
IPv4 192.168.10.90
Port 22
  1. W sekcji Weryfikacja serwera wybierz Klucz publiczny serwera i wprowadź klucz w polu tekstowym lub kliknij Pobierz klucz publiczny, aby pobrać klucz.
  2. Kliknij Zapisz i wyjdź.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Rola user
Zablokowane fail
Ważność konta Bezterminowe
   
Zakładka Ustawienia  
Sejfy fail
   
Zakładka Dane Użytkownika  
Domena Fudo fail
Domena AD fail
Baza LDAP fail
Imię i nazwisko John Smith
Email fail
Organizacja fail
Telefon fail
   
Sekcja Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła fail
Dodaj metodę uwierzytelnienia Hasło statyczne
Hasło john
   
Zakładka Uprawnienia  
Uprawnieni użytkownicy fail
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj gniazdo nasłuchiwania.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_listener
Zablokowane fail
Protokół SSH
Starszy szyfr fail
Nierozróżnianie wielkości liter fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Tryb połączenia Bastion
Adres lokalny 10.0.150.151
Port 22
Adres zewnętrzny fail
Port zewnętrzny fail
  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.

Informacja

Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.

  1. Kliknij Zapisz i wyjdź.

Informacja

Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu administracyjnego .

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj konto.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa admin_ssh_server
Zablokowane fail
Typ REGULAR
Nagrywanie sesji noraw
Notatki fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Cel  
Serwer ssh_server
   
Poświadczenia  
Domena fail
Login root
Zastąp sekret hasłem
Hasło password
   
Retencja danych  
Nadpisz globalne ustawienia retencji fail
  1. Kliknij Zapisz i wyjdź.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj sejf.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_safe
Zablokowane fail
   
Ogólne  
Powód logowania fail
Limit czasu sesji fail
Limit braku aktywności sesji fail
   
Funkcjonalność  
RDP fail
SSH ok
VNC fail
  1. Przejdź na zakładkę UŻYTKOWNICY.
  2. Kliknij Zarządzaj użytkownikami.
  3. Znajdź i zaznacz użytkownika john_smith.
  4. Kliknij Zapisz.
  5. Przejdź na zakładkę :tab:KONTA.
  6. Kliknij Dodaj konto.
  7. Znajdź i zaznacz konto admin_ssh_server.
  8. Kliknij Zapisz.
  9. Kliknij w kolumnie Gniazda nasłuchiwania.
  10. Znajdź i zaznacz obiekt ssh_listener.
  11. Kliknij Zapisz.
  12. Kliknij Zapisz i wyjdź.

Nawiązanie połączenia

W celu nawiązania połączenia należy zastosować w terminalu poniższy format komendy logowania. Poniższy przykład obrazuje scenariusz połączenia loginem root z serwerem 192.168.0.110 poprzez serwer Jump Host o adresie 192.168.10.90.

ssh -J '<fudo-user>%%<jump-host-server-user>%%<jump-host-server-address>@<fudo-address>' <target-server-user>@<target-server-address>

Przykład:

ssh -J 'john_smith%%root%%192.168.10.90@10.0.150.151' root@192.168.0.110

Tematy pokrewne: