Połączenia

Połączenie jest obiektem, który kojarzy użytkowników z serwerami, definiując zasady dostępu do zasobów infrastruktury informatycznej. Więcej informacji na temat połączeń znajdziesz w rozdziale Model danych.

Widok listy połączeń

Widok zarządzania połączeniami pozwala na dodanie nowych oraz edycję istniejących połączeń.

Aby przejść do widoku zarządzania połączeniami, wybierz z lewego menu Zarządzanie > Połączenia.

../../_images/connections_view.png

Uwaga

anonymous jest specjalnym typem połączenia, pozwalającym na rejestrowanie sesji dostępowych do serwerów skonfigurowanych jako anonimowe. Zestawiając połączenie z serwerem anonimowym, FUDO nie sprawdza istnienia definicji użytkownika w lokalnej bazie danych, tylko przekazuje dane logowania do serwera docelowego i po uwierzytelnieniu użytkownika, rejestruje przebieg sesji.

Dodawanie połączenia

Aby dodać definicję połączenia, postępuj zgodnie z poniższą instrukcją.

Ostrzeżenie

Obiekty modelu danych: użytkownicy, serwery, bastiony oraz połączenia są replikowane w ramach klastra i nie należy dodawać ich ręcznie na każdym z węzłów. W przypadku problemów z relpikacją danych, skontaktuj się z działem wsparcia technicznego.

Uwaga

Połączenie musi zachować unikalność par użytkownik - serwer. FUDO nie pozwala na dodanie połączenia, w którym para serwer - użytkownik jest już skonfigurowana w ramach innego połączenia.

  1. Wybierz z lewego menu Zarządzanie > Połączenia.
  2. Kliknij Dodaj.
  1. Wpisz nazwę dla połączenia oraz opcjonalnie dodatkowy opis dotyczący jego przeznaczenia.
  2. Zdefiniuj ustawienia powiadomień.

Uwaga

Ustawienia powiadomień dotyczą aktualnie zalogowanego użytkownika. Aby inny administrator był informowany o zdarzeniach zachodzących w ramach tego połączenia, musi indywidualnie skonfigurować właściwości powiadomień dla danego połączenia.

Wysyłanie powiadomień email wymaga skonfigurowania serwera poczty SMTP. Procedura konfiguracji serwera SMTP opisana jest w rozdziale Administracja: Powiadomienia.

  1. Zaznacz opcję OCR sessions, aby materiał sesji RDP i VNC był w pełni indeksowany.

Uwaga

Przetwarzanie sesji przez moduł OCR wymaga znacznego zaangażowania zasobów sprzętowych, jednakże nie wpływa na obsługę bieżących połączeń użytkowników, z uwagi na priorytetyzację procesów systemowych.

  1. Zaznacz język przetwarzanego materiału.
  2. Wybierz z listy użytkowników, którzy mają mieć dostęp do zasobów w ramach definiowanego połączenia.

Uwaga

Lista nie zawiera użytkowników synchronizowanych z usługą katalogową. Aby dodać takiego użytkownika do połączenia, zdefiniuj mapowanie grup we właściwościach synchronizacji LDAP lub wyłącz synchronizację LDAP dla wybranego użytkownika.

../../_images/user_sync_param.png
  1. Wybierz opcję nagrywania połączeń użytkowników.
Opcja Opis
Pełne FUDO rejestruje ruch sieciowy, umożliwiając późniejsze odtworzenie materiału w odtwarzaczu sesji oraz konwersję do wybranego formatu wideo.
Surowy ruch FUDO rejestruje ruch sieciowy, umożliwiając późniejsze pobranie surowych danych, bez możliwości odtworzenia materiału w odtwarzaczu sesji.
Wyłączony FUDO jedynie odnotowuje fakt, że połączenie miało miejsce, jednak nie rejestruje wymiany danych pomiędzy użytkownikiem i serwerem.
  1. W polu Usuń dane po upływie określ po ilu dniach materiał sesji zostanie automatycznie usunięty przez mechanizm retencji.

Uwaga

Wartość parametru retencji danych skonfigurowana w połączeniu, ma wyższy priorytet niż globalny parametr, zdefiniowany w ustawieniach konfiguracji kopii bezpieczeństwa.

  1. Opcjonalnie, zdefiniuj czas dostępności połączenia w sekcji Polityki czasowe.
  2. Zaznacz funkcjonalności protokołów RDP, SSH i VNC, które mają być dostępne dla użytkowników łączących się z serwerami w ramach danego połączenia.
Opcja Opis
Funkcjonalność RDP  
Przekierowanie schowka Funkcjonalność przenoszenia tekstu pomiędzy komputerem lokalnym a zdalnym systemem za pomocą schowka.
Przekierowanie dźwięku Pozwala na odtwarzanie dźwięków zdalnego systemu na maszynie lokalnej, z której łączy się użytkownik.
Przekierowanie urządzeń Pozwala na użycie urządzeń podłączonych do lokalnej maszyny (tj. drukarka, napęd CD, urządzenia Plug and Play, itp.) a także dostęp do mapowanych dysków sieciowych w zdalnej sesji RDP.
Dynamiczne wirtualne kanały Rozszerzenia pozwalające na implementację dodatkowych funkcjonalności w połączeniach RDP.
Przekierowanie wejścia audio Przekierowanie wejścia audio lokalnej maszyny na zdalny system.
Przekierowanie multimediów Pozwala na przetwarzanie strumienia multimediów po stronie maszyny lokalnej, ograniczając obciążenie zdalnego serwera oraz ilość przesyłanych danych sesji.
Maksymalna rozdzielczość sesji RDP Umożliwia ograniczenie rozdzielczości połączeń RDP.
Funkcjonalność SSH  
Sesje Nawiązywanie połączeń SSH.
Przekierowanie portu Lokalne i zdalne tunelowanie połączeń SSH.
Terminal Nawiązywanie połączeń SSH za pośrednictwem terminala.
Środowisko Dostęp do środowiska zdalnego systemu.
X11 Uruchamianie programów graficznych na zdalnym systemie.
SSH Agent forwarding Przekazywanie klucza przez agenta SSH w łańcuchu kolejnych połączeń SSH.
Powłoka Możliwość wykonywania komend powłoki.
SCP Bezpieczne kopiowanie zasobów dyskowych z wykorzystaniem protokołu SSH.
Funkcjonalność VNC  
Schowek klienta Obsługa schowka po stronie klienta.
Schowek serwera Obsługa schowka po stronie serwera.
  1. Wybierz użytkowników uprawnionych do zarządzania obiektem.

Uwaga

Lista zawiera użytkowników o zdefiniowanej roli admin lub operator. Więcej informacji na temat uprawnień użytkowników znajdziesz w rozdziale Bezpieczeństwo.

  1. Wybierz z listy rozwijalnej Serwer, zasób z którymi użytkownicy będą mogli nawiązywać połączenia w ramach definiowanego obiektu połączenia.

Uwaga

Lista nie zawiera serwerów anonimowych. Serwery anonimowe są automatycznie dodawane do połączenia anonymous.

  1. W polu Polityka zdefiniuj przypisanie zdefiniowanych polityk.

Uwaga

Polityki to definicje ciągów znaków, w następstwie wykrycia których FUDO może zerwać połączenie, zablokować użytkownika lub powiadomić administratora o zajściu. Szczegółowe informacje na temat definiowania polityk znajdziesz w rozdziale Polityki.

  1. Określ sposób postępowania z danymi logowania wprowadzonymi przez użytkownika. Więcej informacji na ten temat znajdziesz w sekcji Tryby uwierzytelniania użytkowników.

Uwaga

Zewnętrzne repozytoria haseł i MySQL

W przypadku zastępowania haseł ciągami pobranymi z zewnętrznego repozytorium dla serwera MySQL, FUDO wysyła żądania stanowiące kombinację nazwy użytkownika i adresu IP.

  • nazwa_użytkownika@ip_użytkownika, dla serwera anonimowego.
  • nazwa_użytkownika@ip_fudo_dla_serwera_mysql, dla połączeń pośredniczonych.
  • nazwa_użytkownika@'%', jeśli w repozytorium nie zostanie odnaleziona żadna z dwóch poprzednich definicji.

Jeśli zewnętrzne repozytorium nie odpowie hasłem na żadne z wysyłanych żądań, FUDO zwróci błąd uwierzytelnienia użytkownika.

Uwaga

Nazwy obiektów w repozytorium Thycotic

W przypadku zastępowania hasła ciągiem znaków pochodzącym z serwera Thycotic, nazwy obiektów zdefiniowanych w repozytorium haseł muszą stanowić kombinację nazwy serwera docelowego zdefiniowanej na FUDO i nazwy użytkownika, przedzielone znakiem \, tj. nazwa_serwera_fudo\nazwa_użytkownika.

Uwaga

Podwójne uwierzytelnienie

Funkcjonalność podwójnego uwierzytelnienia polega na dwukrotnym żądaniu wprowadzenia danych logowania podczas nawiązywania połączenia. Pierwsze zapytanie dotyczy uwierzytelnienia użytkownika przed FUDO, drugie służy uwierzytelnieniu przed systemem docelowym.

Aby aktywować funkcję podwójnego uwierzytelnienia, postępuj zgodnie z poniższą instrukcją.

  • Zaznacz ocję Zastąp login i pole z zastępczym loginem pozostaw puste.
  • Zaznacz ocję Zastąp sekret i wybierz z listy rozwijalnej opcję hasłem.
  • Pola Hasło i Powtórz hasło pozostaw puste.
../../_images/two_fold_authentication.png
  1. Wprowadź nazwę domeny (dotyczy serwerów MS SQL), jeśli użytkownik ma zostać uwierzytelniony za pomocą mechanizmu NTLM. Jeśli parametr pozostanie niewypełniony, tożsamość użytkowników będzie weryfikowana za pomocą natywnego mechanizmu uwierzytelnienia.
  1. Kliknij Dodaj serwer, aby dodać kolejne serwery, z którymi użytkownicy mogą się łączyć w ramach definiowanego połączenia.
  2. Kliknij Zapisz.

Modyfikowanie połączenia

Aby zmodyfikować definicję połączenia, postępuj zgodnie z poniższą instrukcją.

  1. Wybierz z lewego menu Zarządzanie > Połączenia.
  1. Odszukaj na liście definicję połączenia, którą chcesz zmodyfikować.
  2. Kliknij nazwę połączenia, aby przejść do formularza edycji obiektu.
  3. Zmień parametry połączenia zgodnie z potrzebami.

Uwaga

Zmiany w konfiguracji, które nie zostały zapisane, oznaczone są ikoną.

../../_images/unsaved_changes.png

Blokowanie i odblokowanie połączenia

Aby zablokować/odblokować użytkownikom możliwość nawiązywania połączeń ze zdefiniowanymi zasobami w ramach połączenia, postępuj zgodnie z instrukcją.

Ostrzeżenie

Zablokowanie połączenia spowoduje przerwanie aktualnie trwających sesji nawiązanych za pośrednictwem tego połączenia.

  1. Wybierz z lewego menu Zarządzanie > Połączenia.
  1. Odszukaj na liście i zaznacz połączenie, które chcesz zablokować/odblokować.
  2. Kliknij przycisk Blokuj, aby zablokować możliwość nawiązywania połączeń w ramach obiektu połączenia.

Usuwanie połączenia

Aby usunąć definicję połączenia, postępuj zgodnie z poniższą instrukcją.

Ostrzeżenie

Usunięcie połączenia spowoduje przerwanie aktualnie trwających sesji nawiązanych w ramach tego połączenia.

  1. Wybierz z lewego menu Zarządzanie > Połączenia.
  2. Odszukaj na liście i zaznacz połączenie, które chcesz usunąć.
  3. Kliknij Usuń.
  4. Potwierdź operację usunięcia zaznaczonych połączeń.

Tematy pokrewne: