本主题描述如何配置PSM以通过HTML5网关工作。

总览

您可以配置PSM以通过HTML5网关提供对目标计算机的安全远程访问。 HTML5网关使用安全的WebSocket协议(端口443)在最终用户和PSM代理计算机之间建立会话隧道。这消除了从最终用户的计算机打开RDP连接的要求。相反,最终用户仅需要Web浏览器即可通过PSM与远程计算机建立连接。

HLD

通过HTML5进行安全访问需要在Linux服务器上集成HTML5网关。该网关使用名为Apache Guacamole的软件。
可以将每个PSM服务器配置为与HTML5网关一起使用。多个PSM服务器可以与同一网关或不同网关一起使用。当最终用户使用帐户连接时,PVWA通过为PSM服务器配置的网关重定向连接。

低密度脂蛋白

系统要求

  • 可以支持Java 1.6或更高版本的Web服务(例如Tomcat)。PSMGateway支持Tomcat v 7或更高版本。
  • 硬件规格

    小型+中型实施(1-50个并发RDP / SSH会话) 中端+大型实施(51-100个并发RDP / SSH会话) 大型实施(101-200个并发RDP / SSH会话)
    2个核心处理器(与Intel兼容) 4个核心处理器(与Intel兼容) 8个核心处理器(与Intel兼容)
    4 GB内存 8 GB内存 16 GB RAM

软件先决条件

  • 红帽企业Linux 7.x版本

所需的库:

  • libpng
  • libjpeg
  • 利伯开罗
  • OpenSSL v1.0.x

网关不支持:

  • 本地驱动器映射
  • 智能卡重定向
  • 打印机重定向
  • 中国体育彩票开奖复制粘贴
  • 与在PSM服务器上启用NLA的目标系统的连接

安装HTML5网关

本节介绍如何安装PSM HTML5网关。

  1. 部署HTML Webapp
  2. 此步骤描述了如何在服务器上部署HTML Webapp。我们描述了部署Tomcat Web服务。


    1. 下载Tomcat。
      //tomcat.apache.org/

    2. 将CATALINA_HOME设置为Tomcat的根中国体育彩票开奖夹。在下面的示例中,我们将/ opt / tomcat用作根中国体育彩票开奖夹(所有脚本均假定/ opt / tomcat是根中国体育彩票开奖夹。如果使用其他根中国体育彩票开奖夹,则必须更改这些脚本。)
      命令: 出口CATALINA_HOME = / opt / tomcat

    3. 运行以下命令将Tomcat配置为以低特权用户/组身份运行

      1. 创建一个名为tomcat的新组:
        命令: groupadd雄猫

      2. 创建一个新的tomcat用户,其主目录为/ opt / tomcat,并包含一组tomcat 命令: useradd -M -s / bin / nologin -g tomcat -d $ CATALINA_HOME tomcat

      3. 提取您下载到/ opt的Tomcat归档中国体育彩票开奖的内容,并将apache-tomcat-重命名为tomcat。
        命令: cd / opt
        tar -xvf apache-tomcat-.tar.gz
        mv apache-tomcat-雄猫

      4. 设置所有权
        命令: chown -R tomcat:tomcat $ CATALINA_HOME

      5. 设置Tomcat服务器配置中国体育彩票开奖的权限
        命令: chmod 600 $ CATALINA_HOME / conf / server.xml

      6. 在RHEL 7.x中设置Tomcat服务脚本 在/ etc / systemd / system中国体育彩票开奖夹中,创建tomcat.service脚本。
        [单元] Description = Apache Tomcat Web应用程序容器 之后= syslog.target network.target [Service] Type=forking 环境= JAVA_HOME = / usr / lib / jvm / jre 环境= CATALINA_PID = / opt / tomcat / temp / tomcat.pid 环境= CATALINA_HOME = / opt / tomcat 环境= CATALINA_BASE = / opt / tomcat 环境='CATALINA_OPTS = -Xms128M -Xmx765M-服务器-XX:+ UseParallelGC' 环境=“ JAVA_OPTS = -Djava.awt.headless = true -Djava.security.egd =中国体育彩票开奖:/ dev /./ urandom”
        ExecStart = / opt / tomcat / bin / startup.sh ExecStop = / bin / kill -15 $ MAINPID
        用户= tomcat Group=tomcat

      7. 设置脚本权限
        chmod + x /etc/systemd/system/tomcat.service chown root:根/etc/systemd/system/tomcat.service

      8. 启动Tomcat服务并启用它以在启动时启动
        systemctl守护程序重新加载 systemctl启动tomcat systemctl启用tomcat


    4. 保护最终用户和Tomcat之间的连接

      1. 生成一个新的密钥库:密钥库用于SSL配置。您可以将其放在您选择的中国体育彩票开奖夹中。

        自签名证书

        1. 运行以下命令:
          keytool -genkey -alias -keyalg RSA -keystore -ext san = dns:

        2. 在提示符下,输入密钥库密码和其他要求的信息。

        3. 接受使用相同的密码。

        4. 通过运行以下命令来生成自签名证书和PEM中国体育彩票开奖: openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout -out
          例如: openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /opt/tomcat/key.pem -out /opt/tomcat/cert.crt 出现提示时,请提供所需的信息。


      2. 如果在客户端和Tomcat之间的通信期间使用了其他证书,请对每个证书执行以下操作:

        1. 使用以下命令导入证书:
          keytool-导入-别名-keystore -trustcacerts-中国体育彩票开奖
          例如: keytool-导入-别名newkey -keystore / opt / tomcat / keystore -trustcacerts -file /opt/tomcat/cert.crt

        2. 出现提示时,输入您在上方生成的密钥库的密码。

        3. 接受将证书导入密钥库。


      3. 将Tomcat配置为使用SSL和在上一步中生成的密钥库:

        1. 在$ CATALINA_HOME / conf /中,打开server.xml。 添加相关的连接器:

        2. Tomcat版本9.x.x
          <连接器端口=“ 8443”协议=“ org.apache.coyote.http11.Http11NioProtocol” maxThreads =“ 150” SSLEnabled =“ true”方案=“ https” secure =“ true” clientAuth =“ false” sslProtocol =“ TLS” 密钥库中国体育彩票开奖 =“”“ 密钥库通行证 =”“” />

        3. 找到连接器端口=“ 8443”,并将密钥库属性更改为所生成的密钥库的属性。

          属性 描述
          密钥库中国体育彩票开奖 密钥库路径
          密钥库通行证 密钥库密码
        4. 删除所有其他“连接器”部分。

      4. 重新启动Tomcat服务器。服务tomcat重启

    5. 根据您的操作系统为Tomcat配置反向代理。

      在RHEL7防火墙(防火墙)中打开Tomcat默认端口: 防火墙cmd –永久–add-forward-port =端口= 443:proto = tcp:toport = firewall-cmd –reload

    6. Test the basic connection: link to //. The Tomcat default webApp success page should appear.

  3. 部署HTML5服务

    此步骤将部署HTML5服务,并在系统上启动一个名为guacd的新守护程序。无法配置部署HTML5服务的路径。

    1. 将psmgwparms.sample复制到/ var / tmp / psmgwparms: cp /psmgwparms.sample / var / tmp / psmgwparms

    2. 编辑psmgwparms中国体育彩票开奖: vi / var / tmp / psmgwparms

    3. 如下配置psmgwparms:

      参数 描述
      AcceptCyber​​ArkEULA 接受Cyber​​Ark EULA
      WebApps目录 Web应用程序目录的名称。 例如:
      / webapps
      WebApplicationServerUser
      WebApplicationServerGroup
      与Web服务器一起部署的组和用户的名称 例如:
      用户:tomcat
      组:雄猫
      启用JWTValidation 启用或禁用JWT验证以验证对HTML5网关的请求 有关详细信息,请参见JWT验证。
      端点地址 生成用于JWT验证的令牌的API的地址。例如,http:// _ / passwordvault
      如果EnableJWTValidation = no,则无需将此选项添加到命令中 有关详细信息,请参见JWT验证。
    4. 安装RPM。
      这将安装所需的守护程序中国体育彩票开奖和webapp中国体育彩票开奖。
      以超级用户身份运行以下命令: rpm -i CARKpsmgw-.rpm

    5. 运行以下命令以验证guacd守护程序服务已启动并正在运行: /etc/init.d/guacd状态

    6. 运行以下命令以验证Web服务是否已启动并正在运行: 服务tomcat重启

配置PVWA

以下过程描述了如何配置PVWA与HTML5网关服务器一起使用。

添加PSM HTML5网关服务器

  1. 使用管理用户登录PVWA。

  2. 去行政> Options

  3. 右键单击“特权会话管理”,然后选择“添加已配置的PSM网关服务器”。

  4. 选择新添加的网关服务器,然后为PSM HTML5网关输入唯一的ID。

  5. 展开新创建的网关服务器。在“连接详细信息”页面中输入以下内容:

    参数
    地址 安装网关的服务器或HTML5网关服务器场的虚拟IP(VIP)的完全限定域名(FQDN)。
    该地址应为完全限定域名(FQDN)格式,并且应与PSM HTML5网关计算机的SSL证书匹配。
    港口 443

配置PSM服务器以使用HTML5网关

多个PSM服务器可以与同一网关或不同网关一起使用。对要设置为使用PSM网关的每个PSM服务器重复步骤3-4。

  1. 使用管理用户登录PVWA。

  2. 转到选项>特权会话管理>配置的PSM服务器。

  3. 选择要设置为使用PSM网关的PSM服务器条目。

  4. 右键单击“连接详细信息”,然后选择“添加PSM网关”并输入以下内容:

    参数
    ID 您在“添加PSM HTML5网关”服务器中创建的PSM网关的ID。
    启用

将单个帐户用于RDP中国体育彩票开奖和基于HTML5的会话

共享特权帐户的使用通常意味着外部第三方供应商和内部特权员工都使用同一帐户。虽然外部供应商通常通过基于HTML5浏览器的会话进行访问,但内部员工可能更喜欢与基于RDP中国体育彩票开奖的会话进行连接。
连接到远程服务器时,用户可以使用基于HTML5的中国体育彩票开奖或RDP中国体育彩票开奖的连接方法。以下过程描述了如何配置PVWA,以便用户可以选择其中一种方法。
对应该使用两种连接方法的每个连接组件执行此过程。

  1. 使用管理用户登录PVWA。

  2. 转到选项>连接组件>{连接组件}> User 参数s.

  3. 添加AllowSelectHTML5。有关详细信息,请参阅连接组件。

发表评论