SSH w trybie bastionu z opcją Jump Host¶
Fudo Enterprise umożliwia nawiązanie połączenia z serwerem z wykorzystaniem opcji Jump Host.
Scenariusz zakłada, że użytkownik łącząc się z serwerem pełniącym funkcję Jump Hosta, wykorzystując protokół SSH nawiązuje automatycznie połączenie z serwerem docelowym. Użytkownik musi wskazać w treści loginu:
- nazwę użytkownika,
- login konta na serwerze Jump Host,
- adres serwera Jump Host,
- login konta na serwerze docelowym,
- adres serwera docelowego.
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera Jump Host
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
W poniższej konfiguracji podaj dane serwera pełniącego rolę Jump Hosta.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Nazwa | ssh_server |
Opis | ![]() |
Zablokowane | ![]() |
Protokół | SSH |
Starszy szyfr | ![]() |
Adres źródłowy | Dowolny |
Miejsce przeznaczenia | |
IPv4 | 192.168.10.90 |
Port | 22 |
- W sekcji Weryfikacja serwera wybierz Klucz publiczny serwera i wprowadź klucz w polu tekstowym lub kliknij , aby pobrać klucz.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Rola | user |
Zablokowane | ![]() |
Ważność konta | Bezterminowe |
Zakładka Ustawienia | |
Sejfy | ![]() |
Zakładka Dane Użytkownika | |
Domena Fudo | ![]() |
Domena AD | ![]() |
Baza LDAP | ![]() |
Imię i nazwisko | John Smith |
![]() |
|
Organizacja | ![]() |
Telefon | ![]() |
Sekcja Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | ![]() |
Zastosuj złożoność hasła | ![]() |
Dodaj metodę uwierzytelnienia | Hasło statyczne |
Hasło | john |
Zakładka Uprawnienia | |
Uprawnieni użytkownicy | ![]() |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | ssh_listener |
Zablokowane | ![]() |
Protokół | SSH |
Starszy szyfr | ![]() |
Nierozróżnianie wielkości liter | ![]() |
Uprawnienia | |
Uprawnieni użytkownicy | ![]() |
Tryb połączenia | Bastion |
Adres lokalny | 10.0.150.151 |
Port | 22 |
Adres zewnętrzny | ![]() |
Port zewnętrzny | ![]() |
- Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
Informacja
Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.
- Kliknij .
Informacja
Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu administracyjnego .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | admin_ssh_server |
Zablokowane | ![]() |
Typ | REGULAR |
Nagrywanie sesji | noraw |
Notatki | ![]() |
Uprawnienia | |
Uprawnieni użytkownicy | ![]() |
Cel | |
Serwer | ssh_server |
Poświadczenia | |
Domena | ![]() |
Login | root |
Zastąp sekret | hasłem |
Hasło | password |
Retencja danych | |
Nadpisz globalne ustawienia retencji | ![]() |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | ssh_safe |
Zablokowane | ![]() |
Ogólne | |
Powód logowania | ![]() |
Limit czasu sesji | ![]() |
Limit braku aktywności sesji | ![]() |
Funkcjonalność | |
RDP | ![]() |
SSH | ![]() |
VNC | ![]() |
- Przejdź na zakładkę UŻYTKOWNICY.
- Kliknij .
- Znajdź i zaznacz użytkownika john_smith.
- Kliknij .
- Przejdź na zakładkę :tab:
KONTA
. - Kliknij .
- Znajdź i zaznacz konto
admin_ssh_server
. - Kliknij .
- Kliknij w kolumnie Gniazda nasłuchiwania.
- Znajdź i zaznacz obiekt
ssh_listener
. - Kliknij .
- Kliknij .
Nawiązanie połączenia¶
W celu nawiązania połączenia należy zastosować w terminalu poniższy format komendy logowania. Poniższy przykład obrazuje scenariusz połączenia loginem root
z serwerem 192.168.0.110 poprzez serwer Jump Host o adresie 192.168.10.90.
ssh -J '<fudo-user>%%<jump-host-server-user>%%<jump-host-server-address>@<fudo-address>' <target-server-user>@<target-server-address>
Przykład:
ssh -J 'john_smith%%root%%192.168.10.90@10.0.150.151' root@192.168.0.110
Tematy pokrewne: