SSH

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo PAM, której celem jest monitorowanie połączeń SSH ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łącząc się ze zdalnym serwerem, wykorzystując protokół SSH uwierzytelnia się na Fudo PAM używając własnego loginu i hasła (john_smith/john). Fudo PAM zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na root/password (tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).

../../_images/quickstart_overview.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.

Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Nazwa ssh_server
Zablokowane fail
Protokół SSH
Opis fail
Uprawnienia  
Uprawnieni użytkownicy fail
Host docelowy  
Adres 10.0.150.150
Port 22
Adres źródłowy Dowolny
  1. Kliknij i, aby pobrać klucz publiczny SSH hosta docelowego lub wprowadź klucz w polu tekstowym.
../../_images/quickstart_host.png
  1. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_listener
Zablokowane fail
Protokół SSH
Uprawnienia  
Uprawnieni użytkownicy fail
Tryb połączenia Pośrednik
Adres lokalny 10.0.150.151
Port 1022
  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
../../_images/quickstart_proxy.png

Informacja

Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.

  1. Kliknij Zapisz.

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa admin_ssh_server
Zablokowane fail
Typ regular
Nagrywanie sesji wszystko
OCR sesji fail
Usuń dane sesji po upływie 61 dni
Uprawnienia  
Uprawnieni użytkownicy fail
Serwer  
Serwer ssh_server
Dane uwierzytelniające  
Domena fail
Login admin
Zastąp sekret hasłem
Hasło password
Powtórz hasło password
Polityka modyfikatora haseł fail
Modyfkator hasła  
Modyfikator hasła brak
Użytkownik uprzywilejowany fail
Hasło użytkownika uprzywilejowanego fail
  1. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_safe
Zablokowane fail
Powód logowania fail
Powiadomienia fail
Polityki fail
Użytkownicy john_smith
Funkcjonalność protokołów  
RDP fail
SSH ok
VNC fail
Uprawnienia  
Uprawniani użytkownicy fail
Powiązania obiektu  
admin_ssh_server ssh_listener
  1. Kliknij Zapisz.

Nawiązanie połączenia

W tym momencie użytkownik jan_kowalski może już podjąć próbę logowania.

Przykład:

example_ssh_terminal

Informacja

Zwróć uwagę na Odcisk Palca (fingerprint), który wyświetla się przy pierwszym połączeniu. Jest to ten sam odcisk, który został wygenerowany w czasie dodawania serwera.

Po potwierdzeniu połączenia, użytkownik zostanie zapytany o hasło. Po uwierzytelnieniu sesja będzie podlegała monitorowaniu i rejestracji.


Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres 10.0.150.151.
  2. Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu administracyjnego Fudo PAM.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.

example_sessions_list


Tematy pokrewne: