Fudo Getting Started

Fudo PAM имеет пять базовых типов объектов: users, servers, accounts, listeners, safes.

1. Объект "Users" определяет пользователя, который имеет право подключаться к серверам, отслеживающимися решением Fudo. Данный объект имеет обширный набор описаний пользователя, такие как логин и пароль, полное имя, адрес электронной почты, компанию и т.д.. Благодаря этому объекту Fudo обеспечивает точный учет действий пользователя.

Также в данном объекте можно выбирать разные виды аутентификации пользователей, начиная с обычного пароля до SMS на телефон.

2. Объект "Servers" определяет ресурсы вашей сетевой инфраструктуры, доступ к которым можно получить по одному из указанных внутри объекта протоколов. Сервера бывают двух типов: static server и dynamic server. Разница в том, что в статической вариации мы должны указывать адрес целевого хоста, когда в динамической вариации целую подсеть.

Static server:

Также для каждого сервера можно использовать различные протоколы подключения, такие как RDP, SSH, MySQL, о которых мы расскажем в будущих статьях.

3. Объект "Accounts" определяет привилегированную учетную запись, существующую на отслеживаемом сервере. В нем указаны фактические учетные данные для входа, режим аутентификации пользователя: анонимный (без аутентификации пользователя), обычный (с подстановкой учетных данных для входа) или прямой (с пересылкой логина и пароля); политика смены паролей, а также сама программа смены паролей.

Соответственно, для каждого сервера необходимы логин и пароль от сессии.

4. Объект "Safe" напрямую регулирует доступ пользователей к контролируемым серверам. Он определяет доступные функции протоколов, политики и другие детали, касающиеся взаимодействия пользователей и серверов.

• Во вкладке "General" мы можем настроить основные параметры для сессии
  
  
• Blocked необходима, чтобы запретить доступ к объекту после его создания
  
  
• Notifications – это уведомления, которые будут приходить при определенных действиях с сессией, такие как подключение, завершение и т.д.
  
  
• Login reason необходима чтобы при входе отображалась подсказка, предлагающая пользователю ввести причину входа
  
  
• Require approval необходима чтобы администратор утверждал каждое подключение к серверам, доступ к которым осуществляется через сконфигурированный сейф
  
  
• Policies необходима для выбора политик, которые будут закреплены за этой сессией
  
  
• Note access необходима для выбора прав доступа пользователей к заметкам, связанным с учетной записью
  
  
• Session time limit необходима для ограничения сессии по времени
  
  
• Session inactivity limit необходима для ограничения времени неактивности
  
  
• Web Client позволяет открывать сессию в браузере
  

Раздел "Protocol functionality" позволяет выбрать разрешенные функции протокола.

Во вкладке "Users" мы можем назначить пользователей, которым разрешен доступ к учетным записям, назначенным этому сейфу.

Во вкладке "Accounts" мы можем добавить учетные записи, доступные через этот сейф, а также listener, через который мы будем подключаться к целевому хосту.

5. Объект "Listeners" определяет режим подключения к серверу: proxy, gateway, bastion, transparent, о которых мы подробнее расскажем в будущей статье.

В первой статье цикла мы познакомились с ключевыми объектами Fudo, которые используются при создании любого подключения. Для будущих статей мы подготовили тестового пользователя "Testuser", развернули серверы RDP, SSH, MySQL и HTTP(S) и добавили к каждому аккаунт с внутренними учетными данными. Далее мы не будем рассматривать добавление этих объектов, а сконцентрируемся на основах работы режимов и других функций Fudo.