本主题介绍如何通过HTML5网关配置PSM。

概述

您可以通过HTML5网关配置PSM以提供对目标计算机的安全远程访问。 HTML5网关使用安全的WebSocket协议(端口443)隧道隧道隧道终端用户和PSM代理机之间的会话。这消除了从最终用户的计算机打开RDP连接的要求。相反,最终用户只需要Web浏览器通过PSM建立与远程计算机的连接。

h

通过HTML5安全访问需要在Linux服务器上集成HTML5网关。网关使用一个名为Apache Guacamole的软件。
每个PSM服务器都可以配置为使用HTML5网关。多个PSM服务器可以使用相同的网关或使用不同的网关。当最终用户与帐户连接时,PVWA通过为PSM服务器配置的网关重定向连接。

LLD.

系统要求

  • PSM网关可以支持Java 1.6或更高版本的Web服务,例如Tomcat,可以支持Java 1.6或更高版本支持Tomcat V 7或以上。
  • 硬件规格

    小+中档实现(1-50个并发RDP / SSH会话) 中档+大实施(51-100并发RDP / SSH会话) 非常大的实现(101-200并发RDP / SSH会话)
    2核心处理器(英特尔兼容) 4核心处理器(英特尔兼容) 8个核心处理器(Intelcompatible)
    4 GB RAM. 8 GB RAM. 16 GB RAM.

软件先决条件

  • Red Hat Enterprise Linux 7.x版本

所需的库:

  • libpng
  • libjpeg
  • libcairo
  • openssl v1.0.x.

网关不支持:

  • 本地驱动器映射
  • 智能卡重定向
  • 打印机重定向
  • 文件复制粘贴
  • 与PSM服务器上启用NLA的目标系统的连接

安装HTML5网关

本节介绍如何安装PSM HTML5网关。

  1. 部署HTML WebApp
  2. 此步骤介绍如何在服务器上部署HTML WebApp。我们描述部署Tomcat Web服务。


    1. 下载tomcat。
      //tomcat.apache.org/

    2. 将Catalina_home设置为Tomcat的根文件夹。在下面的示例中,我们使用/ opt / tomcat作为根文件夹(所有脚本假定/ opt / tomcat是根文件夹。如果您使用不同的根文件夹,则必须更改这些脚本。)
      命令 : 出口Catalina_home = / Opt / Tomcat

    3. 运行以下命令以配置Tomcat以作为低特权用户/组运行

      1. 创建一个名为tomcat的新组:
        命令 : Groupadd Tomcat.

      2. 使用/ opt / tomcat和一组Tomcat创建一个新的Tomcat用户 命令 : Useradd -m -s / bin / nologin -g tomcat -d $ catalina_home tomcat

      3. 提取您下载到/ opt和重命名Apache-Tomcat-to tomcat的Tomcat归档的内容。
        命令 : cd /opt
        tar -xvf apache-tomcat-.tar.gz
        mv apache-tomcat- tomcat

      4. 建立所有权
        命令 : chown -r tomcat:tomcat $ catalina_home

      5. 设置Tomcat服务器配置文件的权限
        命令 : Chmod 600 $ catalina_home / conf / server.xml

      6. 在RHEL 7.x中设置Tomcat服务脚本 在/ etc / systemd / system文件夹中,创建tomcat.service脚本。
        [单元] 描述= Apache Tomcat Web应用程序容器 after = syslog.target network.target [Service] Type=forking 环境= java_home = / usr / lib / jvm / jre 环境= Catalina_pid = / opt / Tomcat / Temp / Tomcat.pid 环境= Catalina_home = / Opt / Tomcat 环境= Catalina_Base = / Opt / Tomcat 环境='catalina_opts = -xms128m -xmx765m -server -xx:+ useparillinggc' 环境='java_opts = -djava.awt.headless = true -djava.security.egd = file:/ dev /./ urandom'
        execstart = / opt / tomcat / bin / startup.sh Execstop = / bin / kill -15 $ mainpid
        用户= Tomcat. Group=tomcat

      7. 设置脚本权限
        chmod + x /etc/systemd/system/tomcat.service Chown Root:root /etc/systemd/system/tomcat.service

      8. 启动Tomcat服务并启用它以启动启动
        systemctl守护程序 - 重新加载 systemctl启动tomcat. systemctl启用tomcat.


    4. 确保最终用户和Tomcat之间的连接

      1. 生成一个新的密钥库:密钥库用于SSL配置。您可以将它放在您选择的文件夹中。

        自签名证书

        1. 运行以下命令:
          keytool -genkey -alias -keyalg rsa -keystore -ext san = dns:

        2. 在提示符下,输入密钥库密码和其他请求的信息。

        3. 接受使用相同的密码。

        4. 通过运行以下命令生成自签名证书和PEM文件: openssl req-x509-nodes -days 365-newkey rsa:4096 -keyout -out -out
          例如: openssl req -x509-nodes -days 365-newkey rsa:4096 -keyout /opt/tomcat/key.pem -out /opt/tomcat/cert.crt 出现提示时,提供所请求的信息。


      2. 如果您在客户端和Tomcat之间的通信期间使用其他证书,则每个证书都执行以下操作:

        1. 使用以下命令导入证书:
          keytool -import -alias -keystore -TrustCacerts -file
          例如: keytool -import -alias newkey -keystore / opt / tomcat / keystore -trustcacerts -file /opt/tomcat/cert.crt

        2. 出现提示时,输入上面生成的密钥库的密码。

        3. 接受将证书导入密钥库。


      3. 配置Tomcat与SSL和您在上一步中生成的密钥库一起使用:

        1. $ catalina_home / conf /,打开server.xml。 添加相关连接器:

        2. Tomcat版本9.x.x.
          <连接器端口=“8443”协议=“org.apache.coyote.http11.http11nioproprocol” maxthreads =“150”sslenabled =“true”scheme =“https”secure =“true” ClientAuth =“false”sslprotocol =“tls”keystorefile =“”keystorepass =“” />

        3. 找到连接器端口=“8443”并将密钥库属性更改为生成的密钥库的键库。

          属性 Description
          keystorefile. 密钥库路径
          keystorepass. 密钥库密码
        4. 删除任何其他连接器部分。

      4. 重新启动Tomcat服务器。服务Tomcat重新启动

    5. 根据您的操作系统配置Tomcat的反向代理。

      在RHEL7防火墙(防火墙)中打开Tomcat默认端口: 防火墙-cmd -permanent -add-forward-port = port = 443:proto = tcp:toport = firewall-cmd –reload

    6. Test the basic connection: link to //. The Tomcat default webApp success page should appear.

  3. 部署HTML5服务

    此步骤部署HTML5服务,并在系统上启动一个名为Guacd的新守护程序。无法配置部署HTML5服务的路径。

    1. 复制psmgwparms.sample to / var / tmp / psmgwparms: Cp /psmgwparms.sample / var / tmp / psmgwparms

    2. 编辑psmgwparms文件: vi / var / tmp / psmgwparms

    3. 配置psmgwparms如下:

      范围 Description 价值
      acceptcyberrkeula 接受Cyber​​ Ark Eula 是的
      Webappsdir. Web应用程序目录的名称。 例如:
      / webapps.
      WebApplicationEreuser.
      WebApplicationerGrom
      使用Web服务器部署的组和用户的名称 例如:
      用户:Tomcat.
      组:Tomcat.
      启用jwtvalidation. 启用或禁用JWT验证以对HTML5网关进行验证请求 有关详细信息,请参阅JWT验证 是的
      endpointaddress. 为JWT验证生成令牌的API的地址。例如,http:// _ / passwordvault
      如果启用exjwtvalidation =否,则无需将此选项添加到命令 有关详细信息,请参阅JWT验证
    4. 安装RPM。
      这将安装所需的守护程序文件和WebApp文件。
      用root运行以下命令: RPM -I Carkpsmgw-.rpm

    5. 运行以下命令以验证Guacd守护程序服务是否已启动并运行: /etc/init.d/guacd状态

    6. 运行以下命令以验证Web服务是否启动并运行: 服务Tomcat重新启动

配置PVWA.

以下过程描述了如何配置PVWA以与HTML5网关服务器一起使用。

添加PSM HTML5网关服务器

  1. 使用管理用户登录PVWA。

  2. 去行政管理> Options

  3. 右键单击特权会话管理,然后选择“添加配置的PSM网关服务器”。

  4. 选择新添加的网关服务器,然后输入PSM HTML5网关的唯一ID。

  5. 展开新创建的网关服务器。在“连接详细信息”页面中输入以下内容:

    范围 价值
    地址 安装网关的服务器的完全限定域名(FQDN),或HTML5网关服务器场的虚拟IP(VIP)。
    地址应该是完全限定的域名(FQDN)格式,并应匹配PSM HTML5网关机的SSL证书。
    港口 443

配置PSM服务器以使用HTML5网关

多个PSM服务器可以使用相同的网关或使用不同的网关。为要设置的每个PSM服务器重复步骤3-4以使用PSM网关。

  1. 使用管理用户登录PVWA。

  2. 去选择>特权会话管理>配置的PSM服务器。

  3. 选择要设置为使用PSM网关的PSM服务器条目。

  4. 右键单击“连接详细信息”,然后选择“添加PSM网关”并输入以下内容:

    范围 价值
    ID 您在添加PSM HTML5网关服务器中创建的PSM网关的ID。
    使能够 是的

对RDP文件和基于HTML5的会话使用单个帐户

共享特权账户的使用通常意味着外部第三方供应商和内部特权员工使用相同的帐户。虽然外部供应商的访问经常通过HTML5基于浏览器的会话,但内部员工可能更喜欢连接基于RDP文件的会话。
用户可以在连接到远程服务器时使用HTML5基于或RDP文件连接方法。以下过程介绍了如何配置PVWA,以便用户可以选择任一方法。
为每个连接方法可用的每个连接组件执行此过程。

  1. 使用管理用户登录PVWA。

  2. 去选择>连接组件>{连接组件}> User Parameters.

  3. 添加允许允许漏电HTML5。有关详细信息,请参阅连接组件。

发表评论