8 октября 2021

Fudo Getting Started

07. Политики и портал
В этой статье мы подробно поговорим о пользовательском портале, а также коротко расскажем о политиках, которые мы можем создавать для сессий.
Пользовательский портал позволяет инициировать соединения с отслеживаемыми серверами, доступными зарегистрированному пользователю.

Пользовательский портал совместим со следующими веб-браузерами:
Google Chrome, Mozilla Firefox, Internet Explorer для Microsoft Windows.
Google Chrome, Mozilla Firefox для Ubuntu.
Google Chrome, Mozilla Firefox, Safari для операционной системы Mac OS X.

Для начала нам необходимо создать отдельный IP-адрес для портала и выделить «Portal address», как на скриншоте ниже:
Настроить доступ к порталу можно внутри хранилищ. Также при создании нового пользователя, он автоматически его получает.
Например, сейчас наши хранилища выглядят так:
Теперь переходим на адрес портала и аутентифицируемся:
И как можно видеть, на портале есть доступ ко всем серверам, которые прикреплены за данным пользователем, а если зайти на портал под данными Testuser2, то там мы увидим пустую страницу, т.к. за ним не прикреплено ни одного подключения.
Рядом с ssh подключением можно увидеть кнопку «Web», с помощью неё мы можем открыть сессию в браузере, а включить данную функцию мы можем внутри ssh хранилища:
Также внутри портала пользователь может поменять пароль, сделать это возможно во вкладке «Authentication»:
При попытке подключения к сессии Fudo выдаст одноразовый ключ, который при обрыве сессии или соединения будет перегенерирован:
При попытке подключиться по RDP, пользователю необходимо будет загрузить файл, который, в свою очередь, тоже является одноразовым:
Теперь коротко поговорим о политика, которые мы можем создавать для каждой сессии.
Политики - это определения шаблонов, облегчающие упреждающий мониторинг сеанса. В случае обнаружения определенного шаблона Fudo PAM может автоматически приостановить или прервать данное соединение, заблокировать пользователя и отправить уведомление администратору Fudo PAM.

Дляэтого:
1. Выберите «Policies».
2. Выберитевкладку «Regular expressions».
3. Щелкните «Add regular expression».
4. Введите название политики.
5. Определите регулярное выражения, в данном примере мы запретим использовать команду «reboot».
6. Сохраняем.
7. Далее во вкладке «Policies» мы можем выбрать действие, которое будет выполняться при вводе команды, которую мы указали, всего есть 4 действия:
  • отправить системному администратору уведомление по электронной почте.
  • приостановить соединение.
  • разорвать соединение.
  • блокировать пользователя.
Примечание: в протоколах RDP, VNC и MySQL обрабатываются только входные данные.
Параметр «Match input only» создан для того, чтобы обрабатывать только входной поток.
Далее, чтобы политику применить к нужному подключению, необходимо определить её внутри хранилища:
Теперь при вводе команды «reboot» в ssh сессии, администратору будет отправлено оповещение на почту, соединение пользователя будет разорвано, а сам пользователь будет заблокирован.

В этой статье мы рассказали о портале, с помощью которого пользователи могут подключаться к необходимому серверу, а также коротко рассказали и показали, как можно создавать политики.

В следующей статье мы расскажем, как настроить систему оповещений, о которой мы вскользь упомянули в данной статье.