这篇文章将记录一些在我的实验室环境中安装PSM HTML5网关的过程。我在安装过程中遇到了一些问题。

该帖子仍在撰写中。我希望可以在接下来的几周内完成。

从软件包安装PSM HTML5 GW

您将需要从PSM安装文件中获取安装软件包。它在 将PSM zip文件解压缩到PSMInstallation文件夹后,C:\ PSM Installation \ HTML5 Gateway \ RHELinux7-Intel64。

硬件规格:

小型+中型实施
(1-50个并发RDP / SSH会话)
中端+大型实施
(51-100个并发RDP / SSH会话)
非常大的实现
(101-200个并发RDP / SSH会话)
  • 2个核心处理器(与Intel兼容)
  • 4 GB内存
  • 4个核心处理器(与Intel兼容)
  • 8 GB内存
  • 8个核心处理器(与Intel兼容)
  • 16 GB RAM

复制完整个程序包文件夹RHELinux7-Intel64后,我经过以下安装步骤:

[[email protected] ~]# keytool -delete -alias html5.51sectest.dev  -keystore  /opt/tomcat/keystore

[[email protected] ~]# keytool -genkey -alias html5 -keyalg RSA -keystore  /opt/tomcat/keystore
Enter keystore password:
What is your first and last name?
  [Unknown]:  *.51sectest.dev
What is the name of your organizational unit?
  [Unknown]:  IT
What is the name of your organization?
  [Unknown]:  51sectest
What is the name of your City or Locality?
  [Unknown]:  Toronto
What is the name of your State or Province?
  [Unknown]:  ON
What is the two-letter country code for this unit?
  [Unknown]:  CA
Is CN=*.51sectest.dev, OU=IT, O=51sectest, L=Toronto, ST=ON, C=CA correct?
  [no]:  yes
Enter key password for <html5>
        (RETURN if same as keystore password):
[[email protected] ~]#


[[email protected] ~]# keytool -list  -keystore  /opt/tomcat/keystore
Enter keystore password:
Keystore type: PKCS12
Keystore provider: SUN
Your keystore contains 2 entries
html5, Jul 5, 2020, PrivateKeyEntry,
Certificate fingerprint (SHA1): A5:00:6C:BE:AD:01:E3:92:FB:20:29:91:59:F4:3A:A4:CE:69:4D:30
root, Jul 5, 2020, trustedCertEntry,
Certificate fingerprint (SHA1): 9C:33:F6:48:C5:C7:D2:52:FF:02:62:D4:0F:0C:E6:79:85:99:7B:64
[[email protected] ~]#

[[email protected] ~]# keytool -certreq -keyalg RSA -alias html5 -file certreq.csr -keystore /opt/tomcat/keystore
Enter keystore password:
[[email protected] ~]#

[[email protected] ~]# ll
total 9432
-rw-------. 1 root root     951 Apr  7 21:34 anaconda-ks.cfg
-rw-r--r--. 1 root root 9648795 Jul  4 19:34 apache-tomcat-7.0.104.tar.gz
-rw-r--r--. 1 root root    1093 Jul  5 08:47 certreq.csr
drwxr-xr-x. 2 root root      82 Jul  4 20:15 RHELinux7-Intel64
[[email protected] ~]#


[[email protected] ~]# keytool -import -alias html5 -keystore /opt/tomcat/keystore -file certnew.p7b
Enter keystore password:
Certificate reply was installed in keystore

安装PSM HTML 5 GW 码头工人  

安装Docker

#CentOS 7,Debian,Ubuntu 
curl -sSL //get.docker.com/ | sh 
systemctl start docker 
systemctl enable docker
使用docker run命令运行HTML5网关容器时,请确保指定以下选项:
  • JWT验证–设置EnableJWTValidation = no。有关更多详细信息,请参见 禁用JWT Validation.
  • PSM  证书设置–设置PSMCAFile或IgnorePSMCertificateErrors。有关更多详细信息,请参见 Validate the PSM remote 证书.  
    • -e IgnorePSMCertificateErrors =是
    • 此选项将忽略PSM证书错误。指定-e IgnorePSMCertificateErrors = yes。指定此选项或-e PSM CAFile。
  1. 复制 HTML5 CD映像中位于Linux主机的Gateway \ PSM GWDocker目录。
  2. 转到该目录。
  3. 通过运行以下命令来授予脚本执行权限:
    chmod +x html5_installation.sh
  4. 通过运行以下命令来执行脚本:
    sudo ./html5_installation.sh localimage
  5. 使用自动创建的SSL运行容器 certificate

Or 使用导入的SSL运行容器 certificate

安装后

您可能要在您的docker命令中添加“ -e IgnorePSMCertificateErrors = yes”:

sudo docker run --restart unless-stopped -ti -p 443:8443 -v /opt/cert/:/opt/import:ro -d --cap-drop=all --cap-add={CHOWN,DAC_OVERRIDE,FOWNER,SETGID,SETUID} -e AcceptCyberArkEULA=yes -e  PSM Cert=psmca.pem --hostname html5.51sectest.dev --name html5.51sectest.dev cahtml5gw:11_3_0_236 -e IgnorePSMCertificateErrors =是

sudo docker run –重新启动,除非停止-ti -p 443:8443 -v / opt / cert /:/ opt / import:ro -d –cap-drop = all –cap-add = {CHOWN,DAC_OVERRIDE,FOWNER,SETGID ,SETUID} -e AcceptCyber​​ArkEULA =是-e PSM Cert = psmca.pem –主机名html5.51sectest.dev –名称html5.51sectest.dev cahtml5gw:11_3_0_236 -e IgnorePSMCertificateErrors = yes


配置PVWA

将PSM HTML5网关服务器添加到PVWA中

  1. 使用管理用户登录PVWA。
  2. 去  行政> Options
  3. 右键点击 特权会话管理 然后选择 添加已配置的PSM网关服务器。右键单击已配置的PSM网关服务器,添加PSM网关服务器。

  4. 选择新添加的网关服务器,然后输入一个唯一的  ID (例如HTML5) for the PSM HTML5 网关。
  5. 展开新创建的网关服务器。在以下输入 连接细节 page:
    参数
    地址
    安装网关的服务器或服务器的标准域名(FQDN) HTML5网关服务器场的虚拟IP(VIP).
    该地址应为完全限定域名(FQDN)格式,并且应与PSM HTML5网关计算机的SSL证书匹配。例如:html5.51sectest.dev
    港口
    443

配置PSM

多个PSM服务器可以与同一网关或不同网关一起使用。对要设置为使用PSM的每个PSM服务器重复步骤3-4 Gateway.
  1. 使用管理用户登录PVWA。
  2. 去  选件>特权会话管理>配置的PSM服务器
  3. 选择  PSM  您要设置为使用的服务器条目  PSM  Gateway.
  4. 右键点击 连接细节 and select 添加PSM网关 并输入以下内容:

    参数
    ID
    的ID  PSM  您创建的网关。 (例如HTML5)
    启用

将单个帐户用于RDP文件和基于HTML5的会话

连接到远程服务器时,用户可以使用基于HTML5的文件或RDP文件的连接方法。以下过程描述了如何配置PVWA,以便用户可以选择任何一种方法。 对应该使用两种连接方法的每个连接组件执行此过程。

  1. 使用管理用户登录PVWA。
  2. 去  选件>连接组件>{连接组件}> User 参数s
  3. 加  AllowSelectHTML5.

有一种方法可以配置用户以选择使用RDP文件或HTML5网关,也可以配置用户选择以连接到远程。您只需要复制/复制PSM服务器,并为此服务器指定另一个唯一名称。

参考文献

来自Blogger //blog.fabiandinkins.com/2020/07/cyberark-psm-html5-gateway-installation.html

通过 约翰扬

发表评论