Oracle poprzez RemoteApp¶
W tym rozdziale przedstawiony jest przykład konfiguracji Fudo PAM, której celem jest monitorowanie połączeń z bazą danych Oracle poprzez serwer RemoteApp. Scenariusz zakłada, że użytkownik łączy się z serwerem RemoteApp poprzez protokół RDP. Tożsamość użytkownika weryfikowana jest w Active Directory, a dane logowania przesyłane są do serwera docelowego. Połączenie następuje poprzez Fudo, w trybie pośrednika.
Wymagania¶
- Wdrożona i skonfigurowana usługa RDS na systemie Windows Server 2012/2012 RE/2016.
- Skonfigurowana kolekcja z aplikacją SQL Developer.
- Wdrożona usługa Active Directory do uwierzytelnienia tożsamości użytkowników.
Poniższy opis zakłada, że pierwsze uruchomienie Fudo zostało prawidłowo przeprowadzone, w środowisku informatycznym, funkcjonuje prawidłowo skonfigurowana usługa RemoteApp oraz Active Directory. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | RemoteApp Server |
| Zablokowane |  |
| Protokół | RDP |
| Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
| Opis | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Host docelowy | |
| Adres | 10.0.150.153 |
| Port | 3389 |
| Adres źródłowy | Dowolny |
- Kliknij i, aby pobrać certyfikat hosta docelowego.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Login | john_smith |
| Zablokowane | |
| Ważność konta | Bezterminowe |
| Rola | user |
| Preferowany język | polski |
| Pełna nazwa | John Smith |
|
|
| Organizacja | |
| Telefon | |
| Domena AD | |
| Baza LDAP | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Uwierzytelnienie | |
| Niepowodzenia uwierzytelnienia | |
| Zastosuj złożoność hasła statycznego | |
| Typ | Hasło |
| Hasło | john |
| Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | RemoteApp-listener |
| Zablokowane | |
| Protokół | RDP |
| Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
| Komunikat | |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Połączenie | |
| Tryb połączenia | Pośrednik |
| Adres lokalny | 10.0.150.151 |
| Adres zewnętrzny | |
| Port | 10025 |
- Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać certyfikat serwera.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | RemoteApp-account |
| Zablokowane | |
| Typ | forward |
| Nagrywanie sesji | wszystko |
| OCR sesji |  |
| Język OCR | Angielski |
| Usuń dane sesji po upływie | 61 dni |
| Uprawnienia | |
| Uprawnieni użytkownicy | |
| Serwer | |
| Serwer | RemoteApp_server |
| Dane uwierzytelniające | |
| Zastąp sekret | |
| Przekazuj domenę | |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
| Parametr | Wartość |
|---|---|
| Ogólne | |
| Nazwa | RemoteApp-safe |
| Zablokowane | |
| Powiadomienia | |
| Powód logowania | |
| Wymagaj potwierdzenia | |
| Polityki | |
| Użytkownicy | john_smith |
| Funkcjonalność protokołów | |
| RDP | |
| SSH | |
| VNC | |
| Uprawnienia | |
| Uprawniani użytkownicy | |
| Konta | |
RemoteApp-account |
RemoteApp-listener |
- Kliknij .
Zmiana wpisów w rejestrze systemowym na kontrolerze domeny RDS¶
- Zaloguj się na konto administratora na serwerze, na których uruchomiona jest usługa RDS.
- Uruchom edytor rejestru systemowego.
- Odszukaj klucz HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminalServerCentralPublishedResourcesPublishedFarmscollectiononeApplicationssqldeveloper
- W parametrze RDPFileContent, znajdź atrybut full address:s: i zmień jego wartość na adres IP i numer portu gniazda nasłuchiwania, tj.
full address:s:10.0.150.151:10025
Nawiązanie połączenia¶
- Uruchom przeglądarkę na systemie użytkownika, wprowadź adres kontrolera domeny RDS i zaloguj się do portalu.
- Kliknij aplikację SQL Developer, aby pobrać plik konfiguracyjny RemoteApp.
- Kliknij dwukrotnie pobrany plik konfiguracyjny.
- Kliknij , aby połączyć się z wybranym zasobem zasobem.
- Wprowadź dane logowania użytkownika.
- Zaakceptuj certyfikat i potwierdź nawiązanie połączenia.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wprowadź adres panelu administracjnego Fudo.
- Wprowadź nazwę użytkownika oraz hasło.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: