Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Общие настройки

В этом разделе содержатся различные инструкции по настройке системы СТД «Термит».

HTTPS

Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите b  pencil.

  2. При необходимости измените адрес брокера.

  3. Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.

  4. Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.

  5. Нажмите Сохранить.

Настройки сохранены.

Внешний вид десктоп-клиента

Чтобы список опубликованных приложений и рабочих столов был разделен, настройте внешний вид в десктоп-клиенте:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите b  pencil.

  2. Активируйте опцию Разделение объектов на приложения и рабочие столы.

  3. Нажмите Сохранить.

Приложения и рабочие столы разделены по типу в десктоп-клиенте.

Внешние подключения

Настройка

Чтобы пользователи могли подключаться к терминальным серверам вне внутренней сети, необходимо задать отдельный (внешний) адрес брокера и настроить SSH-шлюз. После настроек внешних подключений:

  • внешние пользователи будут проходить через отдельный балансировщик, расположенный в демилитаризованной зоне (DMZ);

  • внешние пользователи будут использовать шлюз, расположенный в DMZ, для подключения к терминальным серверам;

  • прочие пользователи будут проходить через балансировщик во внутренней сети;

  • прочие пользователи смогут подключаться к терминальным серверам напрямую, без шлюза.

Чтобы настроить внешнее подключение:

После включения настроек, изменения адреса или сертификатов сервисы брокера будут перезагружены, и он будет недоступен в течение не более 5 минут.

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешние подключения и нажмите b  pencil.

  2. На вкладке Базовые параметры для HTTPS:

    1. Чтобы настроить внешнее подключение, активируйте опцию Включить.

    2. В параметре Общедоступный адрес укажите FQDN брокера. Он должен отличаться от FQDN брокера, который был указан при развертывании брокера или при изменении настроек HTTPS.

    3. Загрузите сертификат, выданный для указанного FQDN. Сертификат потребуется только в том случае, если вы включаете эти настройки или меняете внешний адрес брокера. Если меняются только настройки шлюзов, то сертификат не нужен.

    4. Загрузите закрытый ключ, выданный для указанного FQDN.

    5. В параметре Время жизни сертификата (сек.) задайте срок действия временного сертификата.

    6. Нажмите Далее.

  3. На вкладке Шлюзы удаленного доступа нажмите b  add.

  4. Задайте параметры:

    • Адрес — IP-адрес;

    • Порт — по умолчанию TCP-порт 22.

  5. Нажмите Сохранить.

    Шлюз удаленного доступа появится в списке.

  6. Нажмите Далее.

  7. На вкладке Подтверждение информации проверьте информацию. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.

  8. Нажмите Сохранить.

Балансировщик нагрузки для внешних подключений следует настроить таким образом, чтобы он перенаправлял запросы с порта 443 на порт 10443, где установлен брокер.

Скачивание корневого сертификата

При запуске терминальной сессии брокер создает временный сертификат и закрытый ключ. Когда десктоп-клиент подключается к шлюзу удаленного доступа, он использует сертификат и закрытый ключ, предоставленные брокером. Срок действия временного сертификата можно задать в настройках внешнего подключения.

Аутентификация на SSH-шлюзе выполняется по сертификату, что повышает безопасность системы и снижает вероятность атак злоумышленников.

Чтобы скачать корневой сертификат и установить его на шлюзе:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Внешние подключения и нажмите b  certificate download.

  2. Пропишите корневой сертификат на этапе установки шлюза удаленного доступа.

    После успешной настройки шлюза на аутентификацию по сертификату десктоп-клиент подключится к серверу через этот шлюз.

    Если сертификат устареет или окажется скомпрометированным, создайте новый, нажав b  certificate update.

Многофакторная аутентификация

Чтобы настроить многофакторную аутентификацию (MFA):

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите b  pencil.

  2. В поле Внутренние пользователи активируйте опции:

    • Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

    • Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  3. В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.

  4. Нажмите Сохранить.

Syslog/SIEM

Можно настроить переадресацию журнала в rsyslog-сервер.

Сведения о каждом событии в СТД «Термит» отправляются как отдельное rsyslog-сообщение. Текст rsyslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.

Чтобы настроить параметры для интеграции Syslog:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите b  pencil.

  2. Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.

  3. При включенной интеграции в параметрах:

    • Адрес сервера — укажите адрес сервера.

    • Порт — укажите порт. По умолчанию 514 (6514 для TLS).

    • Протокол — выберите UDP или TCP.

    • Формат сообщений — выберите спецификацию RFC3164 или RFC5424.

    • Код подсистемы (facility) — выберите local0-local7.

    • TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.

  4. Нажмите Сохранить.

Доверенные сертификаты

Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.

Чтобы добавить доверенный сертификат:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите b  pencil.

  2. Чтобы добавить сертификат, нажмите b  add и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).

    Если цепочка доверенных сертификатов представлена в одном файле формата PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат.

  3. При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.

  4. Нажмите Сохранить.

Добавленный сертификат появится в списке.

Чтобы удалить:

  1. Наведите курсор на сертификат и нажмите b  more vert.

  2. Нажмите Удалить сертификат.

  3. Нажмите Да.

Сертификат удален.

Администратор системы

«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.

«admin» — пароль по умолчанию от локальной учетной записи.

Обязательно измените пароль для повышения уровня безопасности системы.

Изменение параметров администратора системы

Чтобы изменить параметры администратора системы:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите b  pencil.

  2. При необходимости измените имя локального администратора системы.

  3. Введите старый пароль и задайте новый.

  4. Нажмите Сохранить.

Данные об администраторе системы изменены.

Разблокировка учетной записи администратора системы

При неудачной авторизации в систему СТД «Термит» учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей.

Для разблокировки учетной записи администратора системы в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на b  unlock. Учетная запись разблокирована.

Глубина хранения журналов событий

В системе можно очищать старые записи журнала событий.

Чтобы настроить срок хранения записей:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    s  events

    Чтобы задать свой срок хранения, отключите эту опцию и задайте:

    • Срок хранения событий (дней) — период хранения событий журнала;

    • Время запуска — время запуска очистки журнала событий.

      s  events2
  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самого старого и нового события.

Глубина хранения сессий

В системе можно очищать историю закрытых сессий пользователей.

Чтобы настроить срок хранения:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите b  pencil.

  2. При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.

    s  closed session

    Чтобы задать свой срок хранения, отключите эту опцию и задайте:

    • Срок хранения сессий (дней) — период хранения истории закрытых сессий;

    • Время запуска — время запуска очистки истории закрытых сессий.

      s  closed session2
  3. Нажмите Сохранить.

После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.

RADIUS

RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.

Чтобы настроить RADIUS-сервер для аутентификации:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите b  pencil.

  2. Чтобы использовать RADIUS-сервер, активируйте опцию Использование.

  3. При включенной опции в параметрах задайте:

    • Адрес сервера — IP-адрес RADIUS-сервера.

    • Порт — по умолчанию порт 1812. Вы можете указать другой.

    • Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.

      Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.

    • Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.

    • Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.

      При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:

      • классификации запросов, которые поступили от RADIUS-клиентов;

      • применения соответствующих настроек или политик для внутренних и внешних пользователей.

    • Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.

    • Количество попыток подключения — количество попыток подключения к RADIUS-серверу.

  4. Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.

  5. В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.

  6. Нажмите Сохранить.

RADIUS-сервер настроен.

Политика блокировки встроенных учетных записей

Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему СТД «Термит». Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.

По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.

Чтобы задать собственную политику блокировки встроенных учетных записей:

  1. В разделе Настройки, на вкладке Общие настройки наведите курсор на Политика блокировки встроенных учетных записей и нажмите b  pencil.

  2. Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.

  3. При включенной опции в параметрах задайте:

    • Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.

    • Срок блокировки учетных записей (мин) — срок блокировки учетных записей.

      За время блокировки злоумышленник не сможет подобрать пароль методом перебора или с помощью вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.

      s  policy
  4. Нажмите Сохранить.

Политика блокировки встроенных учетных записей задана.

Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы.