SSH¶
W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń SSH ze zdalnym serwerem.
Scenariusz zakłada, że użytkownik łącząc się ze zdalnym serwerem, wykorzystując protokół SSH uwierzytelnia się na Fudo PAM używając własnego loginu i hasła (john_smith
/john
). Fudo PAM zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na root
/password
(tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).
Założenia¶
Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.
Konfiguracja¶
Dodanie serwera
jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne serwera:
Parametr | Wartość |
---|---|
Nazwa | ssh_server |
Zablokowane | |
Protokół | SSH |
Opis | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Host docelowy | |
Adres | 10.0.150.150 |
Port | 22 |
Adres źródłowy | Dowolny |
- Kliknij i, aby pobrać klucz publiczny SSH hosta docelowego lub wprowadź klucz w polu tekstowym.
- Kliknij .
Dodanie użytkownika
Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij przycisk .
Parametr | Wartość |
---|---|
Ogólne | |
Login | john_smith |
Zablokowane | |
Ważność konta | Bezterminowe |
Rola | user |
Preferowany język | polski |
Pełna nazwa | John Smith |
Organizacja | |
Telefon | |
Domena AD | |
Baza LDAP | |
Uprawnienia | |
Uprawnieni użytkownicy | |
Uwierzytelnienie | |
Niepowodzenia uwierzytelnienia | |
Zastosuj złożoność hasła statycznego | |
Typ | Hasło |
Hasło | john |
Powtórz hasło | john |
- Kliknij .
Dodanie gniazda nasłuchiwania
determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | ssh_listener |
Zablokowane | |
Protokół | SSH |
Uprawnienia | |
Uprawnieni użytkownicy | |
Tryb połączenia | Pośrednik |
Adres lokalny | 10.0.150.151 |
Port | 1022 |
- Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
Informacja
Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.
- Kliknij .
Dodanie konta
stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Ogólne | |
Nazwa | admin_ssh_server |
Zablokowane | |
Typ | regular |
Nagrywanie sesji | wszystko |
OCR sesji | |
Usuń dane sesji po upływie | 61 dni |
Uprawnienia | |
Uprawnieni użytkownicy | |
Serwer | |
Serwer | ssh_server |
Dane uwierzytelniające | |
Domena | |
Login | admin |
Zastąp sekret | hasłem |
Hasło | password |
Powtórz hasło | password |
Polityka modyfikatora haseł | |
Modyfkator hasła | |
Modyfikator hasła | brak |
Użytkownik uprzywilejowany | |
Hasło użytkownika uprzywilejowanego |
- Kliknij .
Dodanie sejfu
bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.
- Wybierz z lewego menu > .
- Kliknij .
- Uzupełnij parametry konfiguracyjne:
Parametr | Wartość |
---|---|
Nazwa | ssh_safe |
Zablokowane | |
Powód logowania | |
Powiadomienia | |
Polityki | |
Użytkownicy | john_smith |
Funkcjonalność protokołów | |
RDP | |
SSH | |
VNC | |
Uprawnienia | |
Uprawniani użytkownicy | |
Powiązania obiektu | |
admin_ssh_server |
ssh_listener |
- Kliknij .
Nawiązanie połączenia¶
W tym momencie użytkownik jan_kowalski
może już podjąć próbę logowania.
Przykład:
Informacja
Zwróć uwagę na Odcisk Palca (fingerprint), który wyświetla się przy pierwszym połączeniu. Jest to ten sam odcisk, który został wygenerowany w czasie dodawania serwera.
Po potwierdzeniu połączenia, użytkownik zostanie zapytany o hasło. Po uwierzytelnieniu sesja będzie podlegała monitorowaniu i rejestracji.
Podgląd sesji połączeniowej¶
- W przeglądarce internetowej wpisz adres
10.0.150.151
. - Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu administracyjnego Fudo PAM.
- Wybierz z lewego menu > .
- Znajdź na liście sesję użytkownika John Smith i kliknij i.
Tematy pokrewne: