SSH w trybie bastionu z opcją Jump Host

Fudo Enterprise umożliwia nawiązanie połączenia z serwerem z wykorzystaniem opcji Jump Host.

Scenariusz zakłada, że użytkownik łącząc się z serwerem pełniącym funkcję Jump Hosta, wykorzystując protokół SSH nawiązuje automatycznie połączenie z serwerem docelowym. Użytkownik musi wskazać w treści loginu:

  • nazwę użytkownika,

  • login konta na serwerze Jump Host,

  • adres serwera Jump Host,

  • login konta na serwerze docelowym,

  • adres serwera docelowego.

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.


Konfiguracja


Dodanie serwera Jump Host

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


W poniższej konfiguracji podaj dane serwera pełniącego rolę Jump Hosta.


  1. Wybierz z lewego menu Zarządzanie > Serwery.

  2. Kliknij Dodaj serwer.

  1. Uzupełnij parametry konfiguracyjne serwera:

Parametr

Wartość

Nazwa

ssh_server

Opis

fail

Zablokowane

fail

Protokół

SSH

Starszy szyfr

fail

Adres źródłowy

Dowolny

Miejsce przeznaczenia

IPv4

192.168.10.90

Port

22

  1. W sekcji Weryfikacja serwera wybierz Klucz publiczny serwera i wprowadź klucz w polu tekstowym lub kliknij Pobierz klucz publiczny, aby pobrać klucz.

  2. Kliknij Zapisz i wyjdź.


Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.

  2. Kliknij przycisk Dodaj.

Parametr

Wartość

Ogólne

Login

john_smith

Rola

user

Zablokowane

fail

Ważność konta

Bezterminowe

Zakładka Ustawienia

Sejfy

fail

Zakładka Dane Użytkownika

Domena Fudo

fail

Domena AD

fail

Baza LDAP

fail

Imię i nazwisko

John Smith

Email

fail

Organizacja

fail

Telefon

fail

Sekcja Uwierzytelnienie

Niepowodzenia uwierzytelnienia

fail

Zastosuj złożoność hasła

fail

Dodaj metodę uwierzytelnienia

Hasło statyczne

Hasło

john

Zakładka Uprawnienia

Uprawnieni użytkownicy

fail

  1. Kliknij Zapisz.


Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.

  2. Kliknij Dodaj gniazdo nasłuchiwania.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Nazwa

ssh_listener

Zablokowane

fail

Protokół

SSH

Starszy szyfr

fail

Nierozróżnianie wielkości liter

fail

Uprawnienia

Uprawnieni użytkownicy

fail

Tryb połączenia

Bastion

Adres lokalny

10.0.150.151

Port

22

Adres zewnętrzny

fail

Port zewnętrzny

fail

  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.

Uwaga

Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.

  1. Kliknij Zapisz i wyjdź.


Uwaga

Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu do Panelu Administracyjnego.


Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.

  2. Kliknij Dodaj konto.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Nazwa

admin_ssh_server

Zablokowane

fail

Typ

REGULAR

Nagrywanie sesji

noraw

Notatki

fail

Uprawnienia

Uprawnieni użytkownicy

fail

Cel

Serwer

ssh_server

Poświadczenia

Domena

fail

Login

root

Zastąp sekret

hasłem

Hasło

password

Retencja danych

Nadpisz globalne ustawienia retencji

fail

  1. Kliknij Zapisz i wyjdź.


Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.

  2. Kliknij Dodaj sejf.

  1. Uzupełnij parametry konfiguracyjne:

Parametr

Wartość

Nazwa

ssh_safe

Zablokowane

fail

Ogólne

Powód logowania

fail

Limit czasu sesji

fail

Limit braku aktywności sesji

fail

Funkcjonalność

RDP

fail

SSH

ok

VNC

fail

  1. Przejdź na zakładkę UŻYTKOWNICY.

  2. Kliknij Zarządzaj użytkownikami.

  3. Znajdź i zaznacz użytkownika john_smith.

  4. Kliknij Zapisz.

  5. Przejdź na zakładkę :tab:KONTA.

  6. Kliknij Dodaj konto.

  7. Znajdź i zaznacz konto admin_ssh_server.

  8. Kliknij Zapisz.

  9. Kliknij w kolumnie Gniazda nasłuchiwania.

  10. Znajdź i zaznacz obiekt ssh_listener.

  11. Kliknij Zapisz.

  12. Kliknij Zapisz i wyjdź.


Nawiązanie połączenia

W celu nawiązania połączenia należy zastosować w terminalu poniższy format komendy logowania. Poniższy przykład obrazuje scenariusz połączenia loginem root z serwerem 192.168.0.110 poprzez serwer Jump Host o adresie 192.168.10.90.

ssh -J '<fudo-user>%%<jump-host-server-user>%%<jump-host-server-address>@<fudo-address>' <target-server-user>@<target-server-address>

Przykład:

ssh -J 'john_smith%%root%%192.168.10.90@10.0.150.151' root@192.168.0.110

Tematy pokrewne: