Статья 4
Схемы внедрения
Курс "PAM Getting Started"
Приветствуем вас в новой статье курса «РАМ Getting Started»! В этом материале вас ждёт знакомство с вариантами схем внедрения Indeed PAM.
Типовые схемы внедрения
Схемы развертывания компонентов в инфраструктуры имеет 3 варианта инсталляции:
- базовый;
- упрощенный;
- отказоустойчивый
Основная схема
Основная схема представляет собой разделение сервера доступа и сервера управления.
Через сервер управления можно получить доступ к консоли администрации (в веб и в десктоп приложении) и настройкам политик. Там же производится управление пользователя. А подключение к самим ресурсам осуществляется через веб-консоль, лежащую на этом сервере.
Сами подключения производятся через сервер управления. В этом случае он выступает прокси для подключения, и сервер может быть не один в своей схеме.
На изображении описана схема работы пользователя в этой системе:
Через сервер управления можно получить доступ к консоли администрации (в веб и в десктоп приложении) и настройкам политик. Там же производится управление пользователя. А подключение к самим ресурсам осуществляется через веб-консоль, лежащую на этом сервере.
Сами подключения производятся через сервер управления. В этом случае он выступает прокси для подключения, и сервер может быть не один в своей схеме.
На изображении описана схема работы пользователя в этой системе:
Первым делом сотрудник находит пользовательскую консоль /pam/uc в своем браузере и выбирает ресурс, к которому хочет получить доступ.
Чтобы зайти в свою консоль, надо пройти двухфакторную аутентификацию.
Затем пользователь начинает подключение, и система сама выбирает, через какой сервер управления это подключение будет производиться. Пользователь на этом этапе также проходит двухфакторную аутентификацию, и сервер доступа открывает сессию до конечных ресурсов.
Чтобы зайти в свою консоль, надо пройти двухфакторную аутентификацию.
Затем пользователь начинает подключение, и система сама выбирает, через какой сервер управления это подключение будет производиться. Пользователь на этом этапе также проходит двухфакторную аутентификацию, и сервер доступа открывает сессию до конечных ресурсов.
Для администрирования Indeed РАМ администратор авторизуется в панели /pam/mc и панели управления ресурсами и системой. В случае, когда администратор хочет подключится к ресурсу, он подключается по схеме пользователя.
Из плюсов такой схемы можно выделить более сбалансированную нагрузку на каждый сервер и то, что это основная схема.
Из минусов: большее количество выделяемых ресурсов и их администрирование.
Сама схема подходит для среднего бизнеса.
Из плюсов такой схемы можно выделить более сбалансированную нагрузку на каждый сервер и то, что это основная схема.
Из минусов: большее количество выделяемых ресурсов и их администрирование.
Сама схема подходит для среднего бизнеса.
Упрощенная схема
Следующая схема упрощённая.
Основное отличие заключается в том, что все компоненты для двух серверов устанавливаются на одном сервере.
Соответственно: этот сервер выступает в роли управления и администрирования.
Ниже приведена схема подключения для пользователя:
Основное отличие заключается в том, что все компоненты для двух серверов устанавливаются на одном сервере.
Соответственно: этот сервер выступает в роли управления и администрирования.
Ниже приведена схема подключения для пользователя:
Пользователь не сможет отличить упрощенную схему от базовой, так как для него подключение будет выглядеть точно таким же образом, как и для основной схемы развертывания.
Схема подключения администратором к ПАМу будет точно такой же:
Схема подключения администратором к ПАМу будет точно такой же:
Основные плюсы этой схемы: для развертывания нужно меньше серверных компонентов, что облегчает администрирование и выделение ресурсов.
Из минусов: данная схема подходит для небольшого количества привилегированных пользователей.
Из минусов: данная схема подходит для небольшого количества привилегированных пользователей.
Отказоустойчивая схема
Последняя схема развертывания: отказоустойчивая.
Основная идея концепции заключается в том, чтобы поставить серверы балансировки нагрузки, что в свою очередь будет обеспечивать отказоустойчивость работы Indeed РАМ.
Пользовательское подключение будет происходит также, как и основное, Только в качестве балансировки нагрузки будет использоваться прокси-сервер.
Основная идея концепции заключается в том, чтобы поставить серверы балансировки нагрузки, что в свою очередь будет обеспечивать отказоустойчивость работы Indeed РАМ.
Пользовательское подключение будет происходит также, как и основное, Только в качестве балансировки нагрузки будет использоваться прокси-сервер.
В схеме подключения администратора, как и в пользовательском режиме, будет стоять балансировщик нагрузки между сервером управления и администратором.
Основные достоинства этой схемы: возможность контроля трафика от перегрузок серверов и то, что такая схема подойдет для большого количества подключений.
Демонстрационная схема
В качестве демонстрации развертывания стенда мы будем использовать следующую схему:
В ней наш пользователь будет обращаться в DMZ-зону, где на 443 порту будет поднят веб-сервис на сервере управления.
При подключении к ней клиент или подрядчик установит RDP-файл или скопирует ssh-ключ. Затем подключение будет производиться к серверу доступа с функцией jump server до конечного ресурса.
На этом обзор схем внедрений заканчивается. В следующей статье нас ждёт разбор вопросов администрирования Indeed PAM и экскурс по конфигурации и политикам решения.
До встречи на TS University!
При подключении к ней клиент или подрядчик установит RDP-файл или скопирует ssh-ключ. Затем подключение будет производиться к серверу доступа с функцией jump server до конечного ресурса.
На этом обзор схем внедрений заканчивается. В следующей статье нас ждёт разбор вопросов администрирования Indeed PAM и экскурс по конфигурации и политикам решения.
До встречи на TS University!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
