Tryby połączenia

Niezależnie od zastosowanego scenariusza wdrożenia, Fudo PAM może pracować w trybie transparentnym, trybie bramy lub jako pośrednik (proxy).


Przezroczysty

W trybie transparentnym, klient łączy się z serwerem docelowym wskazując bezpośrednio jego adres IP. Fudo PAM zestawiając połączenie z monitorowanym zasobem używa adresu IP klienta.

../../_images/deployment_transparent.png

Brama

W trybie bramy, klient łączy się z serwerem docelowym wskazując bezpośrednio jego adres IP. Fudo PAM zestawiając połączenie z monitorowanym zasobem używa własnego adresu IP. Tryb pracy bramy pozwala na sterowanie ruchem sieciowym, by ten stale przechodził przez Fudo PAM, w przypadku gdy zastosowanie mają polityki kierowania ruchem.

../../_images/deployment_gateway.png

Ustawienie adresu IP Fudo PAM jako adresu źródłowego pakietu sprawi, że odpowiedź z serwera trafi do Fudo PAM i dalej do klienta, a nie bezpośrednio do klienta.


Pośrednik

W trybie pośrednika, użytkownik nawiązuje połączenie z serwerem docelowym wskazując adres IP Fudo PAM i numer portu przypisany do danego serwera. Unikalność numeru portu pozwala na zestawienie połączenia z właściwym zasobem.

../../_images/deployment_proxy.png

Takie rozwiązanie ukrywa faktyczną adresację serwerów, a odpowiednie ich skonfigurowanie pozwala na odrzucanie zapytań ze źródłowym adresem IP innym niż adres IP Fudo PAM.


Bastion

Informacja

Tryb bastion wspierany jest w połączeniach realizowanych za pośrednictwem protokołów: SSH, RDP, VNC, Telnet, Telnet 3270, Telnet 5250, MS SQL, ICA.

W trybie bastionu, konto na serwerze docelowym (lub sam serwer) zdefiniowane jest w ciągu identyfikującym użytkownika, np. ssh user#mail@10.0.2.22. Bastion pozwala na realizowanie dostępu do szeregu serwerów poprzez tę samą kombinację adresu IP i numeru portu, umożliwiając zachowanie domyślnych numerów portów dla poszczególnych protokołów.

../../_images/deployment_bastion.png

Informacja

Ciąg wskazujący obiekt docelowy, musi jednoznacznie identyfikować konto lub serwer.

Sekwencja dopasowania obiektu docelowego:

  1. Dokładne dopasowanie nazwy konta - Fudo PAM dokonuje próby dopasowania ciągu znaków do nazwy obiektu typu konto.
  2. Dokładne dopasowanie nazwy serwera - Fudo PAM dokonuje próby dopasowania ciągu znaków do nazwy obiektu typu serwer.
  3. Dokładne dopasowanie adresu serwera - Fudo PAM dokonuje próby dopasowania ciągu znaków do adresu IP lokalnie zdefiniowanego serwera.
  4. Adres IP zwrócony przez usługę DNS - Fudo PAM odpytuje usługę DNS o nazwę hosta i dokonuje próby dopasowania zwróconego adresu IP z adresem IP lokalnie zdefiniowanego serwera.
  5. Nazwa hosta zwrócona przez usługę DNS - Fudo PAM odpytuje usługę odwróconego DNS i dokonuje próby dopasowania zwrócenej nazwy hosta z lokalnie zdefiniowanym obiektem.

Informacja

Ze względu na szczególną interpretację znaku \ przez niektóre powłoki systemowe (np. bash), w celu prawidłowego zinterpretowania nazwy użytkownika i domeny podczas nawiązywania połączenia, należy odpowiednio sformatować ciąg znaków:

Tematy pokrewne: