Oracle poprzez RemoteApp

W tym rozdziale przedstawiony jest przykład konfiguracji Fudo PAM, której celem jest monitorowanie połączeń z bazą danych Oracle poprzez serwer RemoteApp. Scenariusz zakłada, że użytkownik łączy się z serwerem RemoteApp poprzez protokół RDP. Tożsamość użytkownika weryfikowana jest w Active Directory, a dane logowania przesyłane są do serwera docelowego. Połączenie następuje poprzez Fudo, w trybie pośrednika.

../../_images/overview.png

Wymagania

  • Wdrożona i skonfigurowana usługa RDS na systemie Windows Server 2012/2012 RE/2016.
  • Skonfigurowana kolekcja z aplikacją SQL Developer.
../../_images/remoteapp_rds_collection.png
  • Wdrożona usługa Active Directory do uwierzytelnienia tożsamości użytkowników.

Poniższy opis zakłada, że pierwsze uruchomienie Fudo zostało prawidłowo przeprowadzone, w środowisku informatycznym, funkcjonuje prawidłowo skonfigurowana usługa RemoteApp oraz Active Directory. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.


Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Ogólne  
Nazwa RemoteApp Server
Zablokowane fail
Protokół RDP
Bezpieczeństwo Enhanced RDP Security (TLS) + NLA
Opis fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Host docelowy  
Adres 10.0.150.153
Port 3389
Adres źródłowy Dowolny
  1. Kliknij i, aby pobrać certyfikat hosta docelowego.
  2. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa RemoteApp-listener
Zablokowane fail
Protokół RDP
Bezpieczeństwo Enhanced RDP Security (TLS) + NLA
Komunikat fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Połączenie  
Tryb połączenia Pośrednik
Adres lokalny 10.0.150.151
Adres zewnętrzny fail
Port 10025
  1. Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać certyfikat serwera.
  2. Kliknij Zapisz.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa RemoteApp-account
Zablokowane fail
Typ forward
Nagrywanie sesji wszystko
OCR sesji ok
Język OCR Angielski
Usuń dane sesji po upływie 61 dni
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Serwer  
Serwer RemoteApp_server
   
Dane uwierzytelniające  
Zastąp sekret fail
Przekazuj domenę ok
  1. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa RemoteApp-safe
Zablokowane fail
Powiadomienia fail
Powód logowania fail
Wymagaj potwierdzenia fail
Polityki fail
Użytkownicy john_smith
   
Funkcjonalność protokołów  
RDP ok
SSH fail
VNC fail
   
Uprawnienia  
Uprawniani użytkownicy fail
   
Konta  
RemoteApp-account RemoteApp-listener
  1. Kliknij Zapisz.

Zmiana wpisów w rejestrze systemowym na kontrolerze domeny RDS

  1. Zaloguj się na konto administratora na serwerze, na których uruchomiona jest usługa RDS.
  2. Uruchom edytor rejestru systemowego.
  3. Odszukaj klucz HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminalServerCentralPublishedResourcesPublishedFarmscollectiononeApplicationssqldeveloper
  4. W parametrze RDPFileContent, znajdź atrybut full address:s: i zmień jego wartość na adres IP i numer portu gniazda nasłuchiwania, tj. full address:s:10.0.150.151:10025

Nawiązanie połączenia

  1. Uruchom przeglądarkę na systemie użytkownika, wprowadź adres kontrolera domeny RDS i zaloguj się do portalu.
../../_images/remoteapp_portal_login.png
  1. Kliknij aplikację SQL Developer, aby pobrać plik konfiguracyjny RemoteApp.
../../_images/remoteapp_portal.png
  1. Kliknij dwukrotnie pobrany plik konfiguracyjny.
../../_images/remoteapp_click_config_file.png
  1. Kliknij Connect, aby połączyć się z wybranym zasobem zasobem.
../../_images/remoteapp_connect.png
  1. Wprowadź dane logowania użytkownika.
  2. Zaakceptuj certyfikat i potwierdź nawiązanie połączenia.
../../_images/remoteapp_confirm_connect.png ../../_images/remoteapp_started.png

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wprowadź adres panelu administracjnego Fudo.
  2. Wprowadź nazwę użytkownika oraz hasło.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.
../../_images/remoteapp_ongoing.png ../../_images/remoteapp_player.png

Tematy pokrewne: