Oracle poprzez RemoteApp¶
W tym rozdziale przedstawiony jest przykład konfiguracji Fudo PAM, której celem jest monitorowanie połączeń z bazą danych Oracle poprzez serwer RemoteApp. Scenariusz zakłada, że użytkownik łączy się z serwerem RemoteApp poprzez protokół RDP. Tożsamość użytkownika weryfikowana jest w Active Directory, a dane logowania przesyłane są do serwera docelowego. Połączenie następuje poprzez Fudo, w trybie pośrednika.
Wymagania¶
- Wdrożona i skonfigurowana usługa RDS na systemie Windows Server 2012/2012 RE/2016.
- Skonfigurowana kolekcja z aplikacją SQL Developer.
- Wdrożona usługa Active Directory do uwierzytelnienia tożsamości użytkowników.
Poniższy opis zakłada, że pierwsze uruchomienie Fudo zostało prawidłowo przeprowadzone, w środowisku informatycznym, funkcjonuje prawidłowo skonfigurowana usługa RemoteApp oraz Active Directory. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp Server |
Zablokowane | |
Protokół | RDP |
Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
Opis | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Host docelowy | |
Adres | 10.0.150.153 |
Port | 3389 |
Adres źródłowy | Dowolny |
- Kliknij i, aby pobrać certyfikat hosta docelowego.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-listener |
Zablokowane | |
Protokół | RDP |
Bezpieczeństwo | Enhanced RDP Security (TLS) + NLA |
Komunikat | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Połączenie | |
Tryb połączenia | Pośrednik |
Adres lokalny | 10.0.150.151 |
Adres zewnętrzny | |
Port | 10025 |
- Kliknij i, aby wygenerować certyfikat TLS lub i, aby wgrać certyfikat serwera.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-account |
Zablokowane | |
Typ | forward |
Nagrywanie sesji | wszystko |
OCR sesji | |
Język OCR | Angielski |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | RemoteApp_server |
Dane uwierzytelniające | |
Zastąp sekret | |
Przekazuj domenę |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | RemoteApp-safe |
Zablokowane | |
Powiadomienia | |
Powód logowania | |
Wymagaj potwierdzenia | |
Polityki | |
Użytkownicy | john_smith |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC | |
Uprawnienia | |
Uprawniani użytkownicy | |
Konta | |
RemoteApp-account |
RemoteApp-listener |
- Kliknij .
Zmiana wpisów w rejestrze systemowym na kontrolerze domeny RDS¶
- Zaloguj się na konto administratora na serwerze, na których uruchomiona jest usługa RDS.
- Uruchom edytor rejestru systemowego.
- Odszukaj klucz HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminalServerCentralPublishedResourcesPublishedFarmscollectiononeApplicationssqldeveloper
- W parametrze RDPFileContent, znajdź atrybut full address:s: i zmień jego wartość na adres IP i numer portu gniazda nasłuchiwania, tj.
full address:s:10.0.150.151:10025
Nawiązanie połączenia¶
- Uruchom przeglądarkę na systemie użytkownika, wprowadź adres kontrolera domeny RDS i zaloguj się do portalu.
- Kliknij aplikację SQL Developer, aby pobrać plik konfiguracyjny RemoteApp.
- Kliknij dwukrotnie pobrany plik konfiguracyjny.
- Kliknij , aby połączyć się z wybranym zasobem zasobem.
- Wprowadź dane logowania użytkownika.
- Zaakceptuj certyfikat i potwierdź nawiązanie połączenia.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wprowadź adres panelu administracjnego Fudo.
- Wprowadź nazwę użytkownika oraz hasło.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: