Tworzenie konta typu regular

Aby utworzyć definicję konta, postępuj zgodnie z poniższymi instrukcjami.

  1. Kliknij ikonę + obok zakładki Konta w podsekcji Zarządzanie, lub
  2. Wybierz Zarządzanie > Konta, a następnie kliknij Dodaj konto.
../../_images/5-5-add-account.png
  1. Zdefiniuj nazwę obiektu.
  1. Wybierz opcję Zablokowane, jeśli chcesz, aby konto było niedostępne po utworzeniu.
../../_images/5-5-add-account-regular.png

  1. Wybierz żądaną opcję nagrywania sesji.

    • wszystko - Fudo Enterprise zapisuje metadane (podstawowe informacje o sesji), rejestruje surowy ruch sieciowy (plik RAW) a także zapisuje przebieg sesji w wewnętrznym formacie danych (plik FBS), umożliwiając późniejsze odtworzenie materiału w formie graficznej, w odtwarzaczu sesji oraz konwersję do wybranego formatu wideo.
    • raw - Fudo Enterprise zapisuje metadane (podstawowe informacje o sesji), rejestruje surowy ruch sieciowy (plik RAW), umożliwiając późniejsze pobranie surowych danych, bez możliwości odtworzenia materiału w formie graficznej (odtwarzanie ogranicza się do wyświetlenia przebiegu wymiany pakietów sieciowych pomiędzy klientem i serwerem) ani konwersji do formatu wideo.
    • noraw - Fudo Enterprise nagrywa sesję w formacie, dostępnym do odtworzenia w playerze.
    • brak - Fudo Enterprise zapisuje tylko metadane (podstawowe informacje o sesji).

  2. Z listy rozwijanej Kategoria wybierz kategorię konta uprzywilejowane lub nieuprzywilejowane.

Informacja

Podczas ręcznego tworzenia konta, przypisanie kategorii uprzywilejowane lub nieuprzywilejowane ma charakter wyłącznie informacyjny, jednak w procesie Wykrywania (Discovery) jest ona automatycznie przypisywana na podstawie parametrów konta w systemie źródłowym.

  1. Wybierz opcję Notatki, aby aktywować pole, w którym można wprowadzić treść komunikatu dla użytkowników Portalu Użytkownika. Jeśli uprawnienia są przyznane, notatki mogą być również edytowane. Uprawnienia są nadawane z poziomu sejfu.

Informacja

Notatki konta mogą być wyświetlane w Portalu Użytkownika.

../../_images/user-portal-note.png
  1. W zakładce Ustawienia, w polu Typ, naciśnij przycisk REGULAR.
  2. W sekcji Cel, wybierz przycisk Serwer lub Pula, aby przypisać konto do konkretnego serwera lub puli serwerów, wybierając go w następnym kroku z listy rozwijanej Serwer lub Pula.
  1. Wybierz opcję SSH Agent forwarding, aby uwierzytelnić użytkownika przed serwerem z użyciem klucza klienta.

Informacja

Opcja SSH Agent forwarding dostępna jest w przypadku wybrania serwera SSH. Zastosuj opcję -A w celu połączenia z serwerem SSH.

  1. Aby automatycznie przetwarzać sesje RDP, VNC lub renderowane HTTP, możesz włączyć opcję Sesja OCR dla tego konta i wybrać język przetwarzanych danych.
../../_images/5-5-accounts-ocr.png

Informacja

Opcja OCR jest dostępna tylko po wybraniu serwera RDP, VNC lub HTTP.

  1. W sekcji Dane uwierzytelniające wprowadź domenę konta uprzywilejowanego.

Informacja

Jeśli domena zostanie wprowadzona w polu Domena, Fudo Enterprise zawsze użyje jej do uwierzytelniania wobec serwera. Domena zostanie automatycznie dodana do logowania użytkownika.

  1. Wprowadź login do konta uprzywilejowanego.

Ostrzeżenie

Dla kont typu regular z pustym loginem domena nie jest obsługiwana. Próba zapisania takiej konfiguracji spowoduje wyświetlenie błędu. Jeśli takie konto już istnieje, wartość pola Domena zostanie automatycznie usunięta podczas aktualizacji do wersji zawierającej ten mechanizm veryfikacji (Fudo Enterprise 5.5.8 i nowsze).

  1. W sekcji Zastąp tajemnicę kliknij przycisk odpowiadający jednej z pożądanych opcji.
../../_images/5-5-add-account-regular-auth.png

Hasło

  • Podaj hasło konta w polu Sekret.

Informacja

Uwierzytelnianie dwuskładnikowe

Przy włączonym uwierzytelnianiu dwuskładnikowym użytkownik jest proszony o podanie danych logowania dwukrotnie. Raz do uwierzytelnienia w Fudo Enterprise, a następnie ponownie do uzyskania dostępu do docelowego systemu.

Aby włączyć uwierzytelnianie dwuskładnikowe, wybierz hasło z listy rozwijanej Zastąp sekret i pozostaw puste pola hasła i logowania.


Klucz SSH

  • Kliknij przycisk Generuj i wybierz algorytm klucza.
  • Lub kliknij przycisk Wczytaj i przeszukaj system plików, aby znaleźć plik definicji klucza. Podaj Hasło do klucza, jeśli jest wymagane dla przesłanego pliku.

Repozytorium

  • Wybierz nazwę zewnętrznego repozytorium.

Informacja

Aby dowiedzieć się więcej o definiowaniu zewnętrznego repozytorium haseł, zapoznaj się z sekcją Zewnętrzne repozytoria haseł.


Inne konto

  • Z listy rozwijanej Konto wybierz obiekt konta, którego dane uwierzytelniające będą używane do uwierzytelniania użytkownika podczas nawiązywania połączenia z monitorowanym serwerem.

Informacja

Lista zawiera tylko obiekty, do których masz uprawnienia dostępu.

  1. Jeśli wybrano opcję Hasło jako metodę uwierzytelniania, skonfiguruj dodatkowo zakładkę Modyfikatory haseł. W przeciwnym razie przejdź do kroku 28 tego podręcznika.

Informacja

Zakładka Modyfikatory haseł jest aktywna tylko podczas tworzenia konta regular z wybraną metodą Hasło i podanym loginem do konta uprzywilejowanego w sekcji Dane uwierzytelniające.

  1. Wybierz Polityki haseł z listy skonfigurowanych polityk zmiany haseł.
  2. W polu Limit czasu wypożyczenia hasła określ czas, po którym hasło zostanie automatycznie zwrócone.

Informacja

Określenie limitu czasu wypożyczenia hasła automatycznie włącza funkcję Secret Checkout dla danego Sejfu.

  1. Wybierz opcję Zmień hasło po ostatnim zdaniu hasła, aby automatycznie zmienić hasło po jego zwróceniu przez ostatniego użytkownika.

Informacja

Ta opcja jest dostępna tylko dla funkcji Secret Checkout i jest włączana po określeniu limitu czasu wypożyczenia hasła.

  1. Wybierz opcję Zmień hasło po zakończeniu sesji, aby hasło zostało automatycznie zmienione po tym jak sesja zostanie zakończona.

Informacja

Ta opcja wymaga wybrania co najmniej jednego Modyfikatora hasłaPolityki zmiany haseł innej niż Static, without restrictions.

Zapoznaj się z tematem Modyfikatory haseł w celu uzyskania szczegółowych informacji na temat ich konfiguracji.

  1. Zaznacz opcję Odzyskiwanie hasła, aby włączyć uruchamianie Modyfikatora Hasła w sytuacji, gdy Weryfikator Hasła wykryje zmianę hasła, które nie zostało zapisane w systemie Fudo Enterprise.

Informacja

Po włączeniu opcji Odzyskiwanie hasła, Weryfikator Haseł uruchamia akcję „Trigger password changer” na koncie. Kiedy opcja ta jest wyłączona, Weryfikator Haseł wysyła komunikat: „Nie udało się zweryfikować hasła dla konta <nazwa_konta>”.

../../_images/5-5-add-account-password-changers.png
  1. W polu Modyfikatory haseł wybierz z listy żądany skrypt zmiany hasła, aby hasło do konta było automatycznie zmieniane zgodnie z polityką zmiany hasła.
  2. W oknie Modyfikatory haseł, w polu Przekroczenie czasu, określ limit czasu wykonania skryptu.
  3. W sekcji Zmienne przypisz atrybuty do zmiennych.

Ostrzeżenie

Do przeprowadzania zmiany haseł należy użyć konta (transport_logintransport_secret), które ma delegowane uprawnienia Reset user passwords and force password change at next logon dla Organizational Unit (OU) zawierającej użytkowników, których hasła będą zmieniane, lub konto musi należeć do grupy Account Operators.

../../_images/5-5-account-changer.png
  1. Kliknij Zapisz, aby zamknąć okno.
  1. W polu Weryfikatory haseł wybierz z listy żądany weryfikator haseł, aby hasło do konta było automatycznie weryfikowane zgodnie z polityką zmiany hasła.
  2. W oknie Weryfikatory haseł, w polu Przekroczenie czasu, określ limit czasu wykonania skryptu.
  3. W sekcji Zmienne przypisz atrybuty do zmiennych.
  1. Kliknij Zapisz, aby zamknąć okno.

Informacja

Fudo Enterprise umożliwia zmianę hasła na innym węźle klastra, niż ten, który jest wskazany jako aktywny węzeł klastra dla Modyfikatorów haseł.

../../_images/5-6-pc-active-node.png

W celu konfiguracji powyższego scenariusza, następujący warunek powinien zostać spełniony:

  • Definiując Modyfikator / Weryfikator hasła dla konta, wartość zmiennej transport_bind_ip powinna wskazywać ten sam węzeł dla wszystkich Modyfikatorów oraz Weryfikatorów hasła.
../../_images/5-5-accounts-pc-config.png
  • Jeśli wartości zmiennej transport_bind_ip będą wskazywać różne węzły klastra, Modyfikator / Weryfikator hasła będą działać na węźle, wskazanym jako aktywny węzeł klastra dla Modyfikatorów haseł.
  1. W sekcji Retencja danych zdefiniuj ustawienia automatycznego usuwania danych sesji.
  • Wybierz opcję Nadpisz globalne ustawienia retencji, aby dla sesji nawiązanych za pośrednictwem tego konta określić ustawienia retencji inne niż globalne.
    • Zaznacz opcję Usuń dane sesji, aby wykluczyć sesje z mechanizmu retencji.
    • Obok pola Usuń dane sesji zdefiniuj liczbę dni, po których dane sesji zostaną przeniesione z lokalnego systemu plików na zewnętrzną macierz. Wartość domyślna dla zaznaczonej opcji to 30 dni.
../../_images/5-5-accounts-retention.png
  1. Przejdź do zakładki Uprawnienia, aby dodać użytkowników uprawnionych do zarządzania tym obiektem.
  2. Przejdź do zakładki Zdalne aplikacje, aby przypisać wybrane konfiguracje aplikacji zdalnych do konta, umożliwiając bezpośrednie połączenia RDP z nimi.
../../_images/5-6-add-account-forward-remoteapp.png

Informacja

Aby dowiedzieć się więcej o definiowaniu aplikacji zdalnych oraz ograniczaniu pełnego dostępu do pulpitu, zapoznaj się z rozdziałem Zdalne aplikacje.

Informacja

Zakładka Aplikacje zdalne jest aktywna tylko podczas tworzenia konta typu forward lub regular z przypisanym serwerem lub pulą RDP.


Tematy pokrewne: