Статья 6
Работа от пользователя
Курс "PAM Getting Started"
Приветствуем вас в новой статье курса «РАМ Getting Started». Без лишних слов приступаем к обзору вариантов подключения к ресурсам.
Подключение по RDP к Windows
Любое подключение к ресурсам производится через каталог /pam/uc.
Для того, чтобы подключиться по RDP к нужному ресурсу, нам необходимо скачать файл .RDP через кнопку Подключиться.
Для того, чтобы подключиться по RDP к нужному ресурсу, нам необходимо скачать файл .RDP через кнопку Подключиться.
Дальше нам надо авторизоваться в качестве пользователя домена, который подключается к серверу доступа.
После этого открывается окно для второго фактора, который можно отключить, но для лучшей защиты стоит оставить.
И затем для нас открывается сессия до конечного ресурса с той учетной записью, которую выделил администратор Indeed в разрешение.
В случае, если мы дали пользователю разрешение на просмотр УЗ, мы можем просто перейти в учетные данные и посмотреть пароль и логин УЗ.
Подключение по RDP\SSH к Linux
Подключение к ресурсам Linux производится 2 способами.
Первый вариант— по RDP, и подключение ничем не отличается от windows-rdp.
Также имеется функция подключения с подтверждением администратора. Её мы и будем использовать в этом сценарии.
Первый вариант— по RDP, и подключение ничем не отличается от windows-rdp.
Также имеется функция подключения с подтверждением администратора. Её мы и будем использовать в этом сценарии.
Открываем RDP-файл и авторизуемся.
Далее происходит авторизация по 2 фактору.
На этот раз мы добавили функцию подключения с подтверждением администратора. И пока администратор в течение определенного времени не подтвердит подключение, наш пользователь не сможет никуда подключится.
На этот раз RDP открывается до putty-терминала, в котором мы можем работать от пользователя User.
Второй вариант упрощает способ подключения.
Для этого варианта нам нужна оболочка поддерживаемая ssh.
Подойдет классический Power Shell. В него требуется вставить ssh-ключ подключения (он находится под кнопкой Скопировать).
Для этого варианта нам нужна оболочка поддерживаемая ssh.
Подойдет классический Power Shell. В него требуется вставить ssh-ключ подключения (он находится под кнопкой Скопировать).
Вставляем этот ключ в оболочку и запускаем.
Проходим тот же этап авторизации по паролю пользователя (второй фактор) и также ждём подтверждение администратора.
Разница этих подключений заключается в ведении логов. Той же записи экрана уже не будет по ssh через оболочку, но этот метод облегчает жизнь подрядчика при подключении.
Также для любого подключения к Linux, в отличие от Windows, нам не требуется агент на конечном ресурсе.
Также для любого подключения к Linux, в отличие от Windows, нам не требуется агент на конечном ресурсе.
Подключение Desktop-App
Процесс добавления ресурса достаточно прост: первым делом нам нужно зайти в Пользовательские подключения и нажать на кнопку Добавить.
Мы будем подключаться к базам данных через приложение DBeaver, которое заранее было установлено на сервере доступа.
Для проведения подключения: даём ему название, также заполняем формат логина как %username% и в качестве типа подключения выбираем Windows-приложение.
Для проведения подключения: даём ему название, также заполняем формат логина как %username% и в качестве типа подключения выбираем Windows-приложение.
Далее мы вписываем скрипт, который выполняется на сервере доступа.
Сам же скрипт открывает DBeaver и в нём сессию до нашей базы данных. Если необходима конкретная БД, то можно добавить |database=имя базы.
Сам же скрипт открывает DBeaver и в нём сессию до нашей базы данных. Если необходима конкретная БД, то можно добавить |database=имя базы.
Далее переходим на следующую страницу, отключаем возможность автоматически заполнять формы входа учетными данными (SSO) и сохраняем.
Переходим на ресурс и добавляем туда новое подключение.
Для этого необходимо заполнить адрес СУБД и порт для подключения.
Последний этап — это выдача разрешения для нашего пользователя.
Для этого переходим во вкладку Разрешения и создаем новое.
Выбираем пользователя, для которого будет выдано разрешение.
Для этого переходим во вкладку Разрешения и создаем новое.
Выбираем пользователя, для которого будет выдано разрешение.
Затем выбираем ресурс, но уже с типом подключения к dbeaver для базы данных.
Далее выбираем пользователя.
На этом настройка подключения для desktop приложения закончена.
Далее давайте рассмотрим само подключение.
Оно визуально ничем не отличается от RDP. Кроме одного момента: при RDP мы можем ходить по любым приложениям, а в desktop мы получаем доступ только к одному приложению.
Это применяется в тех случаях, если, например, нам надо дать доступ администратору СУБД для работы с БД, но мы не хотим, чтобы администратор СУБД имел возможность смотреть рабочий стол и заходил куда-либо помимо баз данных.
Подключение также происходит через консоль пользователя.
Для осуществления этого подключения выбираем Подключиться.
Далее давайте рассмотрим само подключение.
Оно визуально ничем не отличается от RDP. Кроме одного момента: при RDP мы можем ходить по любым приложениям, а в desktop мы получаем доступ только к одному приложению.
Это применяется в тех случаях, если, например, нам надо дать доступ администратору СУБД для работы с БД, но мы не хотим, чтобы администратор СУБД имел возможность смотреть рабочий стол и заходил куда-либо помимо баз данных.
Подключение также происходит через консоль пользователя.
Для осуществления этого подключения выбираем Подключиться.
Открываем RDP файл и авторизуемся.
Далее происходит авторизация по 2 фактору.
Открывается DBeaver.
Подключение WEB-App
Находим раздел конфигурации там же, где раздел пользовательского подключения.
Давайте создадим новый тип пользовательского подключения.
Нашим новым ресурсом будет межсетевой экран pfsense, который открывается через браузер и уже представляет собой web-приложение.
Давайте создадим новый тип пользовательского подключения.
Нашим новым ресурсом будет межсетевой экран pfsense, который открывается через браузер и уже представляет собой web-приложение.
Далее мы выбираем сам браузер.
Наилучшим выбором для обеспечения стабильности и качества будет chrome, в котором уже настроено расширение sso.
Наилучшим выбором для обеспечения стабильности и качества будет chrome, в котором уже настроено расширение sso.
Перейдем на следующую страницу, включим автоматическое заполнение форм входа учетными данными (SSO) и выберем шаблон для сайта (шаблон индивидуален под каждый web-ресурс).
Перейдем на ресурс и добавим новое пользовательское подключение:
- URL (страница, которая откроется в браузере);
- и URL страницы входа (страница авторизации, для которой будет использоваться шаблон)
Вот мы и настроили подключение на web-ресурс. Далее выдадим разрешения.
Для этого заходим в разрешения и выбираем ресурс с типом подключения pfSense.
Для этого заходим в разрешения и выбираем ресурс с типом подключения pfSense.
Затем выбираем учетную запись для подключения к этому ресурсу.
Теперь наш пользователь может подключаться.
Перейдем к самому пользователю и выберем подключение pfSense.
Перейдем к самому пользователю и выберем подключение pfSense.
Открываем RDP-файл и авторизуемся.
Далее происходит авторизация по 2 фактору.
Открывается окно и срабатывает sso (то есть автоматическая авторизация).
Следом открывается окно самого сервиса.
Подключение WEB-App успешно осуществлено.
В следующей статье мы с вами изучим возможности мониторинга в Indeed PAM.
До встречи на TS University!
В следующей статье мы с вами изучим возможности мониторинга в Indeed PAM.
До встречи на TS University!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
