Общие настройки
В этом разделе содержатся различные инструкции по настройке системы СТД «Термит».
HTTPS
Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите
. -
При необходимости измените адрес брокера.
-
Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.
-
Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.
-
Нажмите Сохранить.
Настройки сохранены.
|
Подробнее о генерации самоподписанного сертфииката. |
Внешний вид десктоп-клиента
Чтобы список опубликованных приложений и рабочих столов был разделен, настройте внешний вид в десктоп-клиенте:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите
. -
Активируйте опцию Разделение объектов на приложения и рабочие столы.
-
Нажмите Сохранить.
Приложения и рабочие столы разделены по типу в десктоп-клиенте.
Внешние подключения
Настройка
Чтобы пользователи могли подключаться к терминальным серверам вне внутренней сети, необходимо задать отдельный (внешний) адрес брокера и настроить SSH-шлюз. После настроек внешних подключений:
-
внешние пользователи будут проходить через отдельный балансировщик, расположенный в демилитаризованной зоне (DMZ);
-
внешние пользователи будут использовать шлюз, расположенный в DMZ, для подключения к терминальным серверам;
-
прочие пользователи будут проходить через балансировщик во внутренней сети;
-
прочие пользователи смогут подключаться к терминальным серверам напрямую, без шлюза.
Чтобы настроить внешнее подключение:
|
После включения настроек, изменения адреса или сертификатов сервисы брокера будут перезагружены, и он будет недоступен в течение не более 5 минут. |
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешние подключения и нажмите
. -
На вкладке Базовые параметры для HTTPS:
-
Чтобы настроить внешнее подключение, активируйте опцию Включить.
-
В параметре Общедоступный адрес укажите FQDN брокера. Он должен отличаться от FQDN брокера, который был указан при развертывании брокера или при изменении настроек HTTPS.
-
Загрузите сертификат, выданный для указанного FQDN. Сертификат потребуется только в том случае, если вы включаете эти настройки или меняете внешний адрес брокера. Если меняются только настройки шлюзов, то сертификат не нужен.
-
Загрузите закрытый ключ, выданный для указанного FQDN.
-
В параметре Время жизни сертификата (сек.) задайте срок действия временного сертификата.
-
Нажмите Далее.
-
-
На вкладке Шлюзы удаленного доступа нажмите
. -
Задайте параметры:
-
Адрес — IP-адрес;
-
Порт — по умолчанию TCP-порт 22.
-
-
Нажмите Сохранить.
Шлюз удаленного доступа появится в списке.
-
Нажмите Далее.
-
На вкладке Подтверждение информации проверьте информацию. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
-
Нажмите Сохранить.
|
Балансировщик нагрузки для внешних подключений следует настроить таким образом, чтобы он перенаправлял запросы с порта 443 на порт 10443, где установлен брокер. |
Скачивание корневого сертификата
При запуске терминальной сессии брокер создает временный сертификат и закрытый ключ. Когда десктоп-клиент подключается к шлюзу удаленного доступа, он использует сертификат и закрытый ключ, предоставленные брокером. Срок действия временного сертификата можно задать в настройках внешнего подключения.
Аутентификация на SSH-шлюзе выполняется по сертификату, что повышает безопасность системы и снижает вероятность атак злоумышленников.
Чтобы скачать корневой сертификат и установить его на шлюзе:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешние подключения и нажмите
. -
Пропишите корневой сертификат на этапе установки шлюза удаленного доступа.
После успешной настройки шлюза на аутентификацию по сертификату десктоп-клиент подключится к серверу через этот шлюз.
Если сертификат устареет или окажется скомпрометированным, создайте новый, нажав
.
Многофакторная аутентификация
Чтобы настроить многофакторную аутентификацию (MFA):
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите
. -
В поле Внутренние пользователи активируйте опции:
-
Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
-
В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Нажмите Сохранить.
Далее настройте RADIUS-сервер.
Syslog/SIEM
Можно настроить переадресацию журнала в rsyslog-сервер.
Сведения о каждом событии в СТД «Термит» отправляются как отдельное rsyslog-сообщение. Текст rsyslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.
Чтобы настроить параметры для интеграции Syslog:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите
. -
Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.
-
При включенной интеграции в параметрах:
-
Адрес сервера — укажите адрес сервера.
-
Порт — укажите порт. По умолчанию 514 (6514 для TLS).
-
Протокол — выберите UDP или TCP.
-
Формат сообщений — выберите спецификацию RFC3164 или RFC5424.
-
Код подсистемы (facility) — выберите local0-local7.
-
TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.
-
-
Нажмите Сохранить.
Доверенные сертификаты
Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.
Чтобы добавить доверенный сертификат:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите
. -
Чтобы добавить сертификат, нажмите
и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).Если цепочка доверенных сертификатов представлена в одном файле формата
PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат. -
При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.
-
Нажмите Сохранить.
Добавленный сертификат появится в списке.
Чтобы удалить:
-
Наведите курсор на сертификат и нажмите
. -
Нажмите Удалить сертификат.
-
Нажмите Да.
Сертификат удален.
Администратор системы
«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.
«admin» — пароль по умолчанию от локальной учетной записи.
|
Обязательно измените пароль для повышения уровня безопасности системы. |
Изменение параметров администратора системы
Чтобы изменить параметры администратора системы:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите
. -
При необходимости измените имя локального администратора системы.
-
Введите старый пароль и задайте новый.
-
Нажмите Сохранить.
Данные об администраторе системы изменены.
Разблокировка учетной записи администратора системы
|
При неудачной авторизации в систему СТД «Термит» учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей. |
Для разблокировки учетной записи администратора системы в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на
. Учетная запись разблокирована.
Глубина хранения журналов событий
В системе можно очищать старые записи журнала событий.
Чтобы настроить срок хранения записей:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и задайте:
-
Срок хранения событий (дней) — период хранения событий журнала;
-
Время запуска — время запуска очистки журнала событий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самого старого и нового события.
Глубина хранения сессий
В системе можно очищать историю закрытых сессий пользователей.
Чтобы настроить срок хранения:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и задайте:
-
Срок хранения сессий (дней) — период хранения истории закрытых сессий;
-
Время запуска — время запуска очистки истории закрытых сессий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.
RADIUS
RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.
Чтобы настроить RADIUS-сервер для аутентификации:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите
. -
Чтобы использовать RADIUS-сервер, активируйте опцию Использование.
-
При включенной опции в параметрах задайте:
-
Адрес сервера — IP-адрес RADIUS-сервера.
-
Порт — по умолчанию порт 1812. Вы можете указать другой.
-
Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.
Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.
-
Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.
-
Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.
При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:
-
классификации запросов, которые поступили от RADIUS-клиентов;
-
применения соответствующих настроек или политик для внутренних и внешних пользователей.
-
-
Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.
-
Количество попыток подключения — количество попыток подключения к RADIUS-серверу.
-
-
Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.
-
В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.
-
Нажмите Сохранить.
RADIUS-сервер настроен.
Политика блокировки встроенных учетных записей
Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему СТД «Термит». Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.
По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.
Чтобы задать собственную политику блокировки встроенных учетных записей:
-
В разделе Настройки, на вкладке Общие настройки наведите курсор на Политика блокировки встроенных учетных записей и нажмите
. -
Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.
-
При включенной опции в параметрах задайте:
-
Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.
-
Срок блокировки учетных записей (мин) — срок блокировки учетных записей.
За время блокировки злоумышленник не сможет подобрать пароль методом перебора или с помощью вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.
-
-
Нажмите Сохранить.
Политика блокировки встроенных учетных записей задана.
|
Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы. |