Konfiguracja Fudo Enterprise - scenariusz proxy

Scenariusz proxy dla RDS wymaga więcej ręcznej konfiguracji w Fudo Enterprise w porównaniu do scenariusza bastion, ale oferuje uproszczoną metodę uwierzytelniania dla użytkownika. Każdy serwer w kolekcji RDS musi mieć w Fudo Enterprise skonfigurowane swoje własne gniazdo nasłuchiwania proxy, z przypisanym dedykowanym adresem IP i portem 3389.


W tym scenariuszu należy:

  • utworzyć użytkowników za pomocą funkcji RDS, aby ich nazwy odpowiadały użytkownikom z Active Directory,
  • dodać wszystkie serwery zawarte w kolekcji RDS,
  • skonfigurować konto dla każdego serwera,
  • utworzyć gniazdo nasłuchiwania w trybie proxy z indywidualnym adresem IP dla każdego serwera.

Informacja

Ten przypadek użycia opisuje, jak skonfigurować Fudo Enterprise przy użyciu metody zewnętrznego uwierzytelnienia Active Directory. Należy pamiętać, że można dostosować uwierzytelnienie użytkowników za pomocą dowolnej innej metody obsługiwanej przez Fudo Enterprise, aby dopasować ją do swoich specyficznych wymagań, metod typowo stosowanych w środowisku i scenariuszy pracy.

Konfiguracja metody zewnętrznego uwierzytelnienia:

  1. Zaloguj się do Panelu Administratora Fudo Enterprise.
  1. Wybierz Ustawienia > Uwierzytelnienie.
  2. W karcie Uwierzytelnienie zewnętrzne kliknij Dodaj zewnętrzne uwierzytelnianie.
  1. Wpisz unikalną nazwę (np. ActiveDirectory01).
  2. Ustaw Adres źródłowy na Dowolny.
  1. W sekcji Ogólne wybierz Active Directory.
  1. W polu Host podaj adres IP kontrolera domeny (np. 10.0.136.1).
  2. Pozostaw domyślny numer portu: 389.
  3. Podaj nazwę domeny, która będzie używana do uwierzytelnienia użytkowników w Active Directory (np. mk.local).
  4. W sekcji Poświadczenia podaj dane logowania uprzywilejowanego konta używanego do dostępu do kontrolera domeny.
  1. Kliknij Zapisz.

Utwórz użytkownika w Fudo:

  1. Wybierz Zarządzanie > Użytkownicy i kliknij Dodaj użytkownika.
  1. Wpisz nazwę użytkownika odpowiadającą wybranemu kontu użytkownika w Active Directory (np. user1).
  2. W karcie USTAWIENIA, w sekcji Sejfy, wybierz portal.
  1. Kliknij Zapisz.
  1. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz Uwierzytelnienie zewnętrzne.
  1. Wybierz metodę Active Directory utworzoną w poprzednich krokach i kliknij Zapisz.
  1. W razie potrzeby uzupełnij pozostałe parametry zgodnie z wymaganiami swojej specyficznej konfiguracji. Po więcej szczegółów przejdź do sekcji Dodawanie użytkownika.
  1. Kliknij Zapisz i zamknij.

Konfiguracja serwera o roli Connection Broker:

  1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.
  1. Wpisz unikalną nazwę serwera (np. Broker).
  2. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
  3. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.
  1. Zaznacz opcje TLS włączonyNLA włączony.
  1. W sekcji Miejsce przeznaczenia wybierz IPv4 i wprowadź adres IP serwera wybranego podczas konfiguracji RDS dla roli RD Broker (w naszym przykładzie serwer RDB z adresem IP 10.0.136.2).
  1. Kliknij Zapisz i zamknij.

Konfiguracja serwerów o roli Session Hosts:

  1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.
  1. Wpisz unikalną nazwę serwera (np. HOST1).
  2. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
  3. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.
  1. Zaznacz opcje TLS włączonyNLA włączony.
  1. W sekcji Miejsce przeznaczenia wybierz IPv4 i wprowadź adres IP serwera (w naszym przykładzie 10.0.136.4).
  1. Kliknij Zapisz i zamknij.
  1. Powtórz wszystkie powyższe kroki, aby utworzyć drugi serwer o nazwie HOST2 i adresie IP 10.0.136.5.

Konfiguracja kont:

  1. Wybierz Zarządzanie > Konta i kliknij Dodaj konto.
  2. Zdefiniuj nazwę obiektu (np. rds-host1-forward).
  3. W sekcji Typ wybierz FORWARD.
  4. W sekcji Cel kliknij Serwer, a następnie z listy rozwijanej wybierz jeden z serwerów utworzonych w poprzednich krokach (np. HOST1), aby przypisać do niego utworzone konto.
  5. Kliknij Zapisz.
  1. Powtórz wszystkie powyższe kroki, aby utworzyć konta, które zostaną przydzielone dla pozostałych serwerów (np. rds-host2-forward, rds-broker-forward).

Konfiguracja gniazda nasłuchiwania:

  1. Wybierz Zarządzanie > Gniazda nasłuchiwania i kliknij Dodaj gniazdo nasłuchiwania.
  1. Wpisz unikalną nazwę gniazda nasłuchiwania (np.``rdp-proxy-01``).
  2. Przejdź do zakładki UPRAWNIENIA i dodaj użytkowników uprawnionych do zarządzania tym gniazdem nasłuchiwania (np. user1).
  1. Przejdź do zakładki USTAWIENIA i w polu Protokół naciśnij przycisk RDP.
  2. Zaznacz opcję TLS włączony aby włączyć szyfrowanie.
  3. Zaznacz opcję NLA włączony dla dodatkowego zabezpieczenia.
  4. W sekcji Tryb połączenia wybierz proxy.
  1. Ustaw lokalny adres na indywidualny adres IP wybrany z listy (np. 10.0.58.238), i port 3389.

Informacja

Aby dowiedzieć się jak dodawać nowe adresy IP, zapoznaj się z rozdziałem Konfiguracja ustawień sieciowych.

  1. W polu Certyfikat CA kliknij Generuj certyfikat aby wygenerować certyfikat TLS, wybierając algorytm klucza i podając Nazwę Wspólną (nazwa serwera, na którym zainstalowany jest certyfikat), lub kliknij Prześlij aby załadować plik certyfikatu serwera z dołączonym na końcu prywatnym kluczem.
  2. Kliknij Zapisz i zamknij.
  1. Powtórz wszystkie powyższe kroki, aby utworzyć gniazda nasłuchiwania dla pozostałych serwerów w kolekcji (HOST2BROKER).

Konfiguracja sejfu:

  1. Wybierz Zarządzanie > Sejfy, a następnie kliknij Dodaj sejf.

  2. Wprowadź nazwę obiektu.

  3. Przejdź do zakładki Użytkownicy, aby przypisać użytkowników, którym będzie wolno uzyskiwać dostęp do kont przypisanych do tego sejfu.

    • Kliknij Zarządzaj użytkownikami.
    • Zaznacz pole wyboru przed nazwami użytkowników, aby umożliwić im dostęp do serwerów poprzez monitorowany sejf (np. user1).
    • Kliknij Zapisz, aby zamknąć okno dialogowe.

    1. Wybierz zakładkę Konta, aby dodać konta dostępne przez ten sejf.

      • Kliknij Zarządzaj kontami.
      • Zaznacz pole wyboru przed nazwami kont, które zostały utworzone wcześniej, aby je dodać (np. rds-host1-forward, rds-host2-forward, rds-broker-forward).
      • Kliknij Zapisz, aby zamknąć okno dialogowe.
      • Wybierz kolejno konto i kliknij Zarządzaj gniazdami nasłuchiwania, aby do każdego konta przypisać indywidualne gniazdo (np.``rdp-proxy-01, rdp-proxy-02, rdp-proxy-03``).
      • Kliknij Zapisz, aby zamknąć okno dialogowe.

    2. Kliknij Zapisz i zamknij, aby zapisać konfigurację sejfu.

Nawiązanie sesji przez Portal Użytkownika Fudo:

Ostrzeżenie

Podczas nawiązywania połączeń za pomocą Remote Desktop Services zalecane jest korzystanie z opcji Native client. Web client nie obsługuje tego typu połączeń.

  1. Zaloguj się do «Portalu Użytkownika» Fudo Enterprise używając user1 jako nazwy użytkownika i hasła skonfigurowanego dla tego użytkownika w Active Directory.
  1. Najedź kursorem na nazwę wybranego konta (np. rds-host1-forward), wybierz Native client i kliknij Połącz w celu pobrania pliku konfiguracyjnego RDP.
  2. Otwórz pobrany plik, aby rozpocząć połączenie w natywnym kliencie RDP.
  3. Podaj hasło użytkownika user1.

Przekierowanie połączenia przez Fudo w natywnym kliencie RDP:

  1. Aby przekierować połączenie przez Fudo Enterprise, w trakcie konfiguracji klienta RDP musimy użyć adresu Portalu Użytkownika.
  2. Wybierz ulubionego klienta protokołu RDP (jak np. Microsoft Remote Desktop) i postępuj zgodnie z jego instrukcją, aby dodać nowy komputer do połączenia.
  3. Na przykładzie Microsoft Remote Desktop, kliknij ikonę plus w górnej części okna i wybierz Dodaj komputer.
../../_images/rds_mrd_add_pc.png
  1. W polu Nazwa komputera wprowadź adres IP Portalu Użytkownika Fudo Enterprise wraz z numerem portu i kliknij Dodaj.
../../_images/rds_mrd_config.png

Informacja

Adres IP Portalu Użytkownika znajdziesz w Ustawienia > Konfiguracja sieci.

../../_images/rds_fudo_ip.png
  1. Połącz się z dodanym komputerem, podając login i hasło użytkownika user1 ustawione w środowisku Active Directory (zgodnie z metodą wybraną podczas tworzenia użytkownika w Fudo Enterprise).
  2. Klient RDP nawiąże połączenie z jednym z serwerów z kolekcji RDS.

Wyświetlanie aktywnej sesji w Panelu Administracyjnym Fudo Enterprise:

  1. Zaloguj się do Panelu Administracyjnego Fudo Enterprise.
  1. Wybierz Zarządzanie > Sesje.
  2. Znajdź żądaną sesję i kliknij i.
../../_images/rds_fudo_sessionview_1.png ../../_images/rds_fudo_sessionview_2.png

Tematy pokrewne: