RDP w trybie bastionu

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo Enterprise, której celem jest monitorowanie połączeń RDP ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łączy się ze zdalnym serwerem w trybie bastionu, wskazując w loginie nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego. Fudo Enterprise uwierzytelnia użytkownika na podstawie danych zapisanych w lokalnej bazie danych i zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na ciągi zdefiniowane w koncie uprzywilejowanym (obiekt konto skonfigurowane w trybie regular).

../../_images/quickstart_overview_rdp_bastion.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone a system został skonfigurowany do pracy w trybie mostu lub odpowiednio został skonfigurowany routing połączeń administracyjnych. Informacje na temat scenariuszy wdrożenia znajdziesz w rozdziale Scenariusze wdrożenia.


Konfiguracja

../../_images/data_modeling.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.

  2. Kliknij + Dodaj serwer.

  1. Uzupełnij parametry konfiguracyjne serwera:

Parameter

Value

Nazwa

rdp_server

Opis

fail

Zablokowane

fail

Protokół

RDP

TLS włączony

ok

NLA włączony

fail

Starszy szyfr

fail

Informuj o istniejącym połączeniu

fail

Adres źródłowy

10.0.150.151

Uprawnienia

Uprawnieni użytkownicy

fail

Miejsce przeznaczenia

Adres

10.0.35.54

Maska

32

Port

3389

Weryfikacja serwera

None

  1. Kliknij Zapisz.


Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.

  2. Kliknij przycisk Dodaj.

Parametr

Wartość

Ogólne

Login

john_smith

Rola

user

Zablokowane

fail

Ważność konta

Bezterminowe

Zakładka Ustawienia

Sejfy

fail

Zakładka Dane Użytkownika

Domena Fudo

fail

Domena AD

fail

Baza LDAP

fail

Imię i nazwisko

John Smith

Email

fail

Organizacja

fail

Telefon

fail

Sekcja Uwierzytelnienie

Niepowodzenia uwierzytelnienia

fail

Zastosuj złożoność hasła

fail

Dodaj metodę uwierzytelnienia

Hasło statyczne

Hasło

john

Zakładka Uprawnienia

Uprawnieni użytkownicy

fail

  1. Kliknij Zapisz.



Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.

  2. Kliknij Dodaj.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Ogólne

Nazwa

rdp_listener_bastion

Zablokowane

fail

Protokół

RDP

Bezpieczeństwo

Standard RDP Security

Komunikat

fail

Uprawnienia

Uprawnieni użytkownicy

fail

Połączenie

Tryb połączenia

bastion

Adres lokalny

10.0.150.151

Port

3389

Adres zewnętrzny

fail

Port zewnętrzny

fail

  1. Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać klucz prywatny i publiczny w formacie PEM.

  2. Kliknij Zapisz.


Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.

  2. Kliknij Dodaj.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Ogólne

Nazwa

admin_rdp_server

Zablokowane

fail

Typ

regular

Nagrywanie sesji

wszystko

OCR sesji

ok

Język OCR

Angielski

Notatki

fail

Retencja danych

Nadpisz globalne ustawienia retencji

fail

Usuń dane sesji po upływie

61 dni

Uprawnienia

Uprawnieni użytkownicy

fail

Serwer

Serwer

rdp_server

Dane uwierzytelniające

Domena

fail

Login

admin

Zastąp sekret

hasłem

Hasło

password

Powtórz hasło

password

Polityka modyfikatora haseł

Statyczne, bez ograniczeń

  1. Kliknij Zapisz.


Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.

  1. Wybierz z lewego menu Zarządzanie > Sejfy.

  2. Kliknij Dodaj.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Ogólne

Nazwa:

rdp_safe

Zablokowane

fail

Powiadomienia

fail

Powód logowania

fail

Wymagaj potwierdzenia

fail

Polityki

fail

Note access

No access

Funkcjonalność protokołów

RDP

ok

SSH

fail

VNC

fail

  1. Przejdź na zakładkę Użytkownicy.

  2. Kliknij Dodaj użytkownika.

  3. Znajdź użytkownika john_smith i kliknij i.

  4. Kliknij OK.

  5. Przejdź na zakładkę Konta.

  6. Kliknij Dodaj konto.

  7. Znajdź konto admin_rdp_server i kliknij i.

  8. Kliknij OK.

  9. Kliknij w kolumnie Gniazda nasłuchiwania.

  10. Znajdź obiekt rdp_listener_bastion i kliknij i.

  11. Kliknij OK.

  12. Kliknij Zapisz.


Nawiązanie połączenia

  1. Uruchom klienta połączeń RDP.

  2. Skonfiguruj połączenie zdalnego pulpitu.

  3. Wprowadź nazwę użytkownika, login konta na serwerze docelowym (login serwera) oraz adres serwera docelowego (np: john_smith#admin#10.0.35.54) oraz hasło użytkownika.

Uwaga

Podczas łączenia się przy użyciu konta typu forward, gdzie nazwa użytkownika i login serwera są identyczne, wartość Login serwera może zostać pominięte (np: john_smith##10.0.35.54).

../../_images/rdp_client_user_credentials.png

Uwaga

  • Jeśli użytkownik nie wyspecyfikuje danych logowania w kliencie RDP, Fudo Enterprise wyświetli własny ekran logowania, który należy uzupełnić danymi logowania użytkownika, nazwą konta uprzywilejowanego oraz adresem serwera.

  • Podczas łączenia się przy użyciu konta typu forward, gdzie Nazwa użytkownikaLogin serwera są identyczne, pole Login serwera na ekranie logowania może zostać pominięte.

  • W przypadku gdy wskazane konto nie istnieje, Fudo Enterprise dokona próby dopasowania podanego ciągu znaków do nazwy serwera. Jeśli system nie stwierdzi istnienia obiektu serwera o takiej nazwie, spróbuje dokonać dopasowania na podstawie nazwy DNS hosta.

  • Fudo Enterprise pozwala na zastosowanie własnego logotypu na ekranie logowania. Więcej informacji na temat konfigurowania ekranów dla połączeń graficznych, znajdziesz w sekcji Zasoby.

../../_images/5-3-login-screen-rdp-bastion.png ../../_images/rdp_logged.png

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo Enterprise.

Uwaga

Upewnij się, że wprowadzony adres IP, w ustawieniach Konfiguracji sieciowej, ma włączoną opcję udostępniania panelu zarządzającego.

../../_images/5-1-network-interfejs-admin.png

  1. Wprowadź nazwę użytkownika oraz hasło aby zalogować się do interfejsu administracyjnego Fudo Enterprise.

  1. Wybierz z lewego menu Zarządzanie > Sesje.

  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.

../../_images/player_rdp_session.png

Tematy pokrewne: