Руководство администратора
1. Вход в систему
Чтобы войти в Termit:
-
В адресной строке браузера введите адрес брокера, например https://broker.example.com.
-
На главной странице:
-
Выберите источник авторизации:
-
Авто. Система автоматически выберет LDAP-каталог из списка доступных каталогов или внутренних пользователей.
-
Внутренние пользователи. Вход будет выполнен под учетной записью локального администратора «tadm».
-
Имя LDAP-каталога, отображаемое полное имя которого было задано при добавлении в систему, например «ldap123».
-
-
Для входа под учетной записью локального администратора системы укажите в поле ввода:
-
Ваш логин — «tadm».
-
Пароль — пароль по умолчанию «admin».
Локальная учетная запись предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.
-
-
-
Нажмите Войти.
После успешного входа в систему откроется интерфейс портала администрирования.
2. Руководство администратора
В руководстве администратора описано, как обеспечить корректную работу системы и эффективно ее администрировать; содержатся подробные инструкции по настройке и управлению системой, а также информация о ее компонентах и функциях.
Это поможет системным администраторам быстро и легко настроить систему, управлять серверами/ВРМ, пользователями и группами, настраивать параметры безопасности, контролировать и обслуживать систему.
Ссылки на разделы:
3. Обзор модулей состояние системы
В разделе Обзор представлены модули, которые отображают состояние системы, терминальных серверов и данные о сессиях.
- Состояние системы
-
В этой таблице описаны параметры состояния системы:
Параметр Описание Активных сессий
Общее количество сессий, подключенных ко всем терминальным серверам
Всего брокеров
Количество установленных брокеров
Всего серверов
Количество всех подключенных серверов
Активных серверов
Количество включенных серверов с активными агентами
- Состояние терминальных серверов
-
У терминального сервера может быть три статуса:
Статус Описание Включено
Сервер доступен для подключения пользователю, и на нем можно запустить приложение
На обслуживании
К серверу нельзя подключиться, но существующие сессии активны
Выключено
Сервер не доступен для использования
У включенных, выключенных и серверов на обслуживании отображаются статусы агента:
Статус
Описание
Активных агентов
Агент, установленный на сервере, периодически сообщает свой статус брокеру
Серверов без агентов
Агент не установлен на сервере
Недоступных агентов
Агент не отвечает на запросы сервера
- Количество активных сессий
-
В этом модуле представлен график, который отображает данные об активных сессиях. В правом верхнем углу можно выбрать один из периодов времени: за последние 15 минут, час, сутки и 7 дней. Чтобы обновить график, нажмите на
. - Топ-5 терминальных серверов с максимальной утилизацией по RAM
-
В этом модуле отображается список топ-5 терминальных серверов под управлением Windows и Linux с максимальной утилизацией по RAM.
- Топ-5 терминальных серверов с максимальной утилизацией по CPU
-
В этом модуле отображается список топ-5 терминальных серверов под управлением Windows и Linux с максимальной утилизацией по CPU.
4. Настройка системы
4.1. Общие настройки
Раздел содержит инструкции по настройке системы Termit.
HTTPS
Чтобы изменить адрес брокера, загрузить ключ, сертификат и цепочку сертификатов:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на HTTPS и нажмите
. -
При необходимости измените адрес брокера.
-
Чтобы загрузить сертификат или цепочку сертификатов, нажмите на поле Сертификат.
-
Чтобы загрузить закрытый ключ, нажмите на поле Закрытый ключ.
-
Нажмите Сохранить.
Настройки сохранены.
|
Подробнее о генерации самоподписанного сертификата. |
Внешний вид десктоп-клиента
Чтобы список опубликованных приложений и рабочих столов в десктоп-клиенте был разделен, настройте внешний вид в десктоп-клиенте:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Внешний вид десктоп-клиента и нажмите
. -
Активируйте опцию Разделение объектов на приложения и рабочие столы.
-
Нажмите Сохранить.
Приложения и рабочие столы разделены по типу в десктоп-клиенте.
Многофакторная аутентификация
Чтобы настроить многофакторную аутентификацию (MFA):
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Многофакторная аутентификация и нажмите
. -
В поле Внутренние пользователи активируйте опции:
-
Многофакторная аутентификация при использовании Kerberos, если для аутентификации внутренних пользователей по Kerberos нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внутренних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
-
В поле Внешние пользователи активируйте опцию Многофакторная аутентификация при использовании имени пользователя и пароля, если для аутентификации внешних пользователей по имени и паролю нужно использовать MFA при запуске десктоп-клиента и портала администрирования.
-
Нажмите Сохранить.
Далее настройте RADIUS-сервер.
Пользовательский портал
Можно включить возможность подключения пользователей через браузер (веб-клиент) без установки десктоп-клиента.
Чтобы включить возможность подключения пользователей через браузер:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Пользовательский портал и нажмите
. -
В поле Пользовательский портал активируйте опцию Доступ к пользовательскому порталу.
-
Нажмите Сохранить.
Доступ к пользовательскому порталу через браузер включен.
Syslog/SIEM
Можно настроить переадресацию журнала в syslog-сервер.
Сведения о каждом событии в Termit отправляются как отдельное syslog-сообщение. Текст syslog-сообщения соответствует информации о событии, отображающейся в веб-интерфейсе системы в разделе Журнал событий.
Чтобы настроить параметры для интеграции Syslog:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Syslog/SIEM и нажмите
. -
Активируйте опцию Использование, чтобы запись событий отправлялась на syslog-сервер.
-
При включенной интеграции в параметрах:
-
Адрес сервера — укажите адрес сервера.
-
Порт — укажите порт. По умолчанию 514 (6514 для TLS).
-
Протокол — выберите UDP или TCP.
-
Формат сообщений — выберите спецификацию RFC3164 или RFC5424.
-
Код подсистемы (facility) — выберите local0-local7.
-
TLS для отправки логов в Syslog — выберите Выключено или Включено. При выборе протокола TLS следует использовать доверенные сертификаты, указанные администратором в соответствующем разделе.
-
-
Нажмите Сохранить.
Доверенные сертификаты
Доверенные сертификаты применяются для проверки соединения с LDAP-каталогами по протоколам LDAP StartTLS и LDAP over SSL. Кроме того, доверенные сертификаты необходимы для Syslog, когда он использует TLS для отправки логов.
Чтобы добавить доверенный сертификат:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Доверенные сертификаты и нажмите
. -
Чтобы добавить сертификат, нажмите
и загрузите его. Поддерживаются форматы PKCS#12/PEM/CER/CRT (в кодировке Base-64).Если цепочка доверенных сертификатов представлена в одном файле формата
PEM, её необходимо разбить на отдельные части и загружать каждый сертификат в виде отдельного файла. При загрузке цепочки одним файлом в интерфейсе будет отображаться только подчинённый сертификат. -
При необходимости активируйте опцию Задать пароль и задайте пароль для сертификата.
-
Нажмите Сохранить.
Добавленный сертификат появится в списке.
Чтобы удалить:
-
Наведите курсор на сертификат и нажмите
. -
Нажмите Удалить сертификат.
-
Нажмите Да.
Сертификат удален.
Администратор системы
«tadm» — локальная учетная запись, которая предназначена только для настроек брокера. Ее нельзя использовать для входа в десктоп-клиент, запуска приложений и рабочих столов.
«admin» — пароль по умолчанию от локальной учетной записи.
|
Обязательно измените пароль для повышения уровня безопасности системы. |
Изменение параметров администратора системы
Чтобы изменить параметры администратора системы:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите
. -
При необходимости измените имя локального администратора системы.
-
Введите старый пароль и задайте новый.
-
Нажмите Сохранить.
Данные об администраторе системы изменены.
Разблокировка учетной записи администратора системы
|
При неудачной авторизации в систему Termit учетная запись блокируется. Подробнее смотрите в разделе Политика блокировки встроенных учетных записей. |
Для разблокировки учетной записи администратора системы на портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Администратор системы и нажмите на
. Учетная запись разблокирована.
Глубина хранения журналов событий
В системе можно очищать старые записи журнала событий.
Чтобы настроить срок хранения записей:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения журнала событий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и задайте:
-
Срок хранения событий (дней) — период хранения событий журнала;
-
Время запуска — время запуска очистки журнала событий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько событий было удалено, дата самой старой и новой сессии.
Чтобы настроить ограничение журнала событий по объёму выделенной памяти, выполните настройки через REST API. Подробнее о настройке.
Глубина хранения сессий
В системе можно очищать историю закрытых сессий пользователей.
Чтобы настроить срок хранения:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на Глубина хранения сессий и нажмите
. -
При включенной опции Никогда не удалять старые записи в журнале событий не будут очищаться.
Чтобы задать свой срок хранения, отключите эту опцию и задайте:
-
Срок хранения сессий (дней) — период хранения истории закрытых сессий;
-
Время запуска — время запуска очистки истории закрытых сессий.
-
-
Нажмите Сохранить.
После очистки в журнале событий появится запись о статусе операции: сколько сессий было удалено, дата самой старой и новой сессии.
RADIUS
RADIUS-сервер (Remote Authentication Dial-In User Service) — сервер для централизованной аутентификации, авторизации и учета (AAA) пользователей.
Чтобы настроить RADIUS-сервер для аутентификации:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки наведите курсор на RADIUS и нажмите
. -
Чтобы использовать RADIUS-сервер, активируйте опцию Использование.
-
При включенной опции в параметрах задайте:
-
Адрес сервера — IP-адрес RADIUS-сервера.
-
Порт — по умолчанию порт 1812. Вы можете указать другой.
-
Секрет для подключения к RADIUS-серверу — общий пароль между RADIUS-клиентом и RADIUS-сервером.
Проверьте, что все брокеры добавлены в конфигурацию RADIUS-сервера в качестве RADIUS-клиентов.
-
Идентификатор NAS для внутренних пользователей — символы NAS ID для внутренних пользователей.
-
Идентификатор NAS для внешних пользователей — символы NAS ID для внешних пользователей.
При подключении десктоп-клиента RADIUS-сервер использует NAS ID (Network Access Server Identifier) для:
-
классификации запросов, которые поступили от RADIUS-клиентов;
-
применения соответствующих настроек или политик для внутренних и внешних пользователей.
-
-
Таймаут подключения (сек.) — время ожидания отклика от RADIUS-сервера при попытке установить с ним соединение.
-
Количество попыток подключения — количество попыток подключения к RADIUS-серверу.
-
-
Активируйте опцию Использование RADIUS только для проверки второго фактора, если требуется использовать RADIUS-сервер только для проверки второго фактора (например, TOTP). В этом случае проверка первого фактора будет выполняться брокером через LDAP-сервер.
-
В параметре Протокол аутентификации RADIUS выберите протокол PAP, CHAP или MSCHAPv2.
-
Нажмите Сохранить.
RADIUS-сервер настроен.
Политика блокировки встроенных учетных записей
Политика блокировки встроенных учетных записей необходима для обеспечения безопасности системы и применяется только для локальной учетной записи «tadm». Учетная запись блокируется, если пользователь совершает несколько неудачных попыток входа в систему Termit. Это помогает предотвратить несанкционированный доступ к данным и ресурсам компании.
По умолчанию политика включена, и после трех неудачных попыток входа в систему учетная запись блокируется на один час.
Чтобы задать собственную политику блокировки встроенных учетных записей:
-
На портале администрирования в разделе Настройки, на вкладке Общие настройки, наведите курсор на Политика блокировки встроенных учетных записей и нажмите
. -
Включите опцию Использование, если хотите, чтобы политика блокировки работала. Или вы можете отключить эту опцию, если не хотите применять политику блокировки.
-
При включенной опции в параметрах задайте:
-
Число неудачных попыток входа — число неудачных попыток, после которых учетная запись пользователя будет заблокирована.
-
Срок блокировки учетных записей (мин) — срок блокировки учетных записей.
За время блокировки злоумышленник не сможет подобрать пароль методом перебора или с помощью вредоносного ПО. А пользователь, который действительно хочет войти в свой аккаунт, за это время может восстановить доступ, если он забыл пароль или столкнулся с временными техническими проблемами.
-
-
Нажмите Сохранить.
Политика блокировки встроенных учетных записей задана.
|
Инструкция по разблокировке учетной записи администратора системы приведена в разделе Разблокировка учетной записи администратора системы. |
4.2. LDAP-каталоги
LDAP (Lightweight Directory Access Protocol) — протокол, который используется для получения информации из служб каталогов (AD, FreeIPA, ALD Pro, SambaDC, Red ADM и так далее) о пользователях, группах и связях между ними. Эта информация в дальнейшем используется для аутентификации и авторизации пользователей на портале администрирования, в десктоп-клиенте и на терминальных серверах/ВРМ.
LDAP представляет информацию об этих сущностях в виде набора объектов (пользователь, группа), каждый из которых имеет определенный набор атрибутов (имя пользователя, имя группы, список членов группы, номер телефона пользователя). Можно добавить несколько групп. Также поддерживаются вложенные группы.
Для работы пользователей с Termit необходимо, чтобы система могла выполнять поиск пользователей в LDAP-каталоге, получать список групп, в которые входит пользователь, и т.д. Для этого администратору нужно указать имена классов и ряд атрибутов для объектов «Пользователь» и «Группа»:
-
Общие атрибуты для классов объектов:
-
Атрибут для идентификации объектов — в значении этого атрибута хранится уникальный ID объекта.
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — в значении этого атрибута описано уникальное имя объекта в списке членов групп. Имя объекта однозначно определяет его положение в иерархической структуре каталога.
-
-
Атрибуты для класса объекта «Пользователь»:
-
Атрибут для получения отображаемого имени пользователя — значение этого атрибута применяется при отображении пользователей в интерфейсе, например, при входе в систему.
-
Атрибут для поиска пользователя — атрибут применяется для поиска пользователя по его имени при аутентификации на портале администрирования или в десктоп-клиенте.
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — в значении этого атрибута описано имя, которое будет передаваться на сервер под управлением Linux.
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — в значении этого атрибута описано имя, которое будет передаваться на сервер под управлением Windows.
-
-
Атрибуты для класса объекта «Группа»:
-
Атрибут для получения отображаемого имени группы — значение этого атрибута применяется при отображении групп в интерфейсе. Например, при добавлении ролей или при настройке прав на запуск приложения.
-
Атрибут со списком членов групп — в значении этого атрибута находится информация о группе, в состав которой входят пользователи и другие группы.
-
В Termit поддерживаются:
-
следующие LDAP-каталоги для аутентификации пользователей по паролю и получения информации о пользователях, группах и связях между ними:
-
AD
-
SambaDC
-
Red ADM
-
FreeIPA
-
ALD Pro
-
OpenLDAP
-
-
защищенные протоколы передачи данных LDAP Over SSL и LDAP StartTLS.
На вкладке LDAP-каталоги при наведении курсора на полное имя каталога можно:
-
проверить соединение, нажав
; -
удалить LDAP-каталог, нажав
; -
синхронизировать данные LDAP-каталога, нажав
. Можно запустить полную или инкрементальную синхронизацию; -
настроить Kerberos, нажав
. -
изменить настройки LDAP-каталога, нажав
.
Добавление LDAP-каталога
Чтобы добавить LDAP-каталог:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку LDAP-каталоги и нажмите Добавить LDAP.
-
Задайте параметры для подключения службы каталогов:
-
Полное имя — отображаемое имя в списке LDAP-каталогов и при входе в систему.
-
Базовое уникальное имя. Например, для домена example.com: «DC=example,DC=com».
-
Имя пользователя. Например, для домена example.com: «CN=termitsvc,CN=users,DC=example,DC=com».
-
Пароль — пароль от сервисной учетной записи.
-
-
Нажмите Далее.
-
Чтобы задать атрибуты используемого LDAP-каталога, укажите:
-
Тип LDAP-каталога — тип: AD, FreeIPA или Другой.
Тип зависит от выбранной схемы LDAP:
-
Для Red ADM требуется выбрать тип каталога AD.
-
Для Samba DC требуется выбрать тип каталога AD и вручную указать для параметра Атрибут для аутентификации на терминальном сервере/ВРМ Windows значение userPrincipalName.
Рекомендация: при подключении Samba DC к брокеру рекомендуется использовать только защищённые протоколы LDAP over SSL или LDAP StartTLS.
-
Для ALD Pro требуется выбрать тип каталога FreeIPA.
-
Для OpenLDAP и других реализаций LDAP-каталогов требуется выбрать тип Другой.
AD
-
Класс объекта «Пользователь» — user
-
Класс объекта «Группа» — group
-
Атрибут для идентификации объектов — objectGUID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — samAccountName
-
Атрибут со списком членов групп — member
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — distinguishedName
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — samAccountName
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — uSNChanged
-
Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.
FreeIPA
-
Класс объекта «Пользователь» — inetuser
-
Класс объекта «Группа» — ipausergroup
-
Атрибут для идентификации объектов — ipaUniqueID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — uid
-
Атрибут со списком членов групп — member
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — dn
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — whenChanged
-
Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.
Другой (для OpenLDAP)
-
Класс объекта «Пользователь» — posixAccount
-
Класс объекта «Группа» — posixGroup
-
Атрибут для идентификации объектов — entryUUID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — uid
-
Атрибут со списком членов групп — memberUid
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — modifyTimestamp
-
Выключите опцию Поддержка range для получения членов группы.
-
-
-
Нажмите Далее.
-
На вкладке Синхронизация, укажите:
-
Период синхронизации (мин.).
-
Включите опцию Инкрементальная синхронизация для включения частичной синхронизации.
-
Опция Инкрементальная синхронизация и поле Период инкрементальной синхронизации (мин.) доступны только для LDAP-каталогов с типом AD.
-
Значение должно быть меньше периода полной синхронизации.
-
-
Период инкрементальной синхронизации (мин.)
-
-
Нажмите Далее.
-
На вкладке Список серверов добавьте LDAP-серверы. Чтобы добавить адрес сервера LDAP, нажмите
.Система всегда работает с первым LDAP-сервером. Если сервер становится недоступен, система переходит к следующему.
-
Укажите:
-
Адрес сервера — IP-адрес или FQDN LDAP-сервера, например «termit-example-01.com».
-
Протокол — выберите из списка:
Перед выбором протоколов LDAP Over SSL и LDAP StartTLS добавьте доверенный сертификат.
-
LDAP — технология шифрования данных при подключении к LDAP-серверу не используется. Данные передаются в открытом виде по порту 389. Не рекомендуется использовать в продуктовых инсталляциях.
-
LDAP Over SSL — защищенная версия протокола LDAP, которая использует технологию шифрования SSL/TLS при подключении к LDAP-серверу по порту 636.
При работе с VDI, а также при создании групп терминальных серверов/ВРМ через Termit с использованием zVirt необходимо использовать протокол LDAP Over SSL (LDAPS). Это связано с тем, что при создании виртуальной машины из шаблона выполняется процедура её регистрации в LDAP-каталоге. Данная процедура поддерживается только в случае использования защищённого соединения, поэтому необходимо применять именно шифрованный метод — LDAPS.
-
LDAP StartTLS — защищенная версия протокола LDAP, при использовании которой сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование.
-
-
Порт — порт выбирается автоматически в зависимости от выбранного протокола. При необходимости параметр можно изменить.
-
-
Нажмите .
-
На вкладке Подтверждение информации проверьте:
-
заданные на предыдущих шагах параметры;
-
соединение. При успешном соединении появится сообщение «Проверка соединения прошла успешна».
При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
-
-
Нажмите Сохранить.
Для синхронизации данных созданного LDAP-каталога нажмите
.
Состояние синхронизации LDAP и системы смотрите в разделе Журнал событий.
|
При использовании более одной службы каталогов каждый из каталогов должен быть добавлен на портале администрирования в раздел . Поддерживаемые типы доверительных отношений смотреть в разделе. |
Изменение настроек LDAP-каталога
Чтобы изменить настройки LDAP-каталога:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку LDAP-каталоги и наведите курсор на полное имя каталога.
-
Нажмите
. -
Активируйте/деактивируйте опцию LDAP используется, если необходимо включить/отключить LDAP-каталог.
-
При включенном LDAP измените параметры:
-
Полное имя — отображаемое имя в списке LDAP-каталогов и при входе в систему.
-
Базовое уникальное имя. Например, для домена example.com: «DC=example,DC=com».
-
Имя пользователя. Например, для домена example.com: «CN=termitsvc,CN=users,DC=example,DC=com».
-
Пароль — пароль от сервисной учетной записи.
-
-
Нажмите Далее.
-
Чтобы задать атрибуты используемого LDAP-каталога, укажите:
-
Тип LDAP-каталога — тип: AD, FreeIPA или Другой.
Тип зависит от выбранной схемы LDAP:
-
Для Red ADM требуется выбрать тип каталога AD.
-
Для Samba DC требуется выбрать тип каталога AD и вручную указать для параметра Атрибут для аутентификации на терминальном сервере/ВРМ Windows значение userPrincipalName.
Рекомендация: при подключении Samba DC к брокеру рекомендуется использовать только защищённые протоколы LDAP over SSL или LDAP StartTLS.
-
Для ALD Pro требуется выбрать тип каталога FreeIPA.
-
Для OpenLDAP и других реализаций LDAP-каталогов требуется выбрать тип Другой.
AD
-
Класс объекта «Пользователь» — user
-
Класс объекта «Группа» — group
-
Атрибут для идентификации объектов — objectGUID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — samAccountName
-
Атрибут со списком членов групп — member
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — distinguishedName
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — samAccountName
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — uSNChanged
-
Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.
FreeIPA
-
Класс объекта «Пользователь» — inetuser
-
Класс объекта «Группа» — ipausergroup
-
Атрибут для идентификации объектов — ipaUniqueID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — uid
-
Атрибут со списком членов групп — member
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — dn
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — whenChanged
-
Для чтения большого количества пользователей в группе включите опцию Поддержка range для получения членов группы.
Другой (для OpenLDAP)
-
Класс объекта «Пользователь» — posixAccount
-
Класс объекта «Группа» — posixGroup
-
Атрибут для идентификации объектов — entryUUID
-
Атрибут для получения отображаемого имени пользователя — cn
-
Атрибут для получения отображаемого имени группы — cn
-
Атрибут для поиска пользователя — uid
-
Атрибут со списком членов групп — memberUid
-
Атрибут, содержащий имя объекта, указанное для списка членов групп — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Linux — uid
-
Атрибут для аутентификации на терминальном сервере/ВРМ Windows — msDS-PrincipalName
-
Атрибут для поиска только измененных объектов — modifyTimestamp
-
Выключите опцию Поддержка range для получения членов группы.
-
-
-
Нажмите Далее.
-
На вкладке Синхронизация, укажите:
-
Период синхронизации (мин.)
-
Включите опцию Инкрементальная синхронизация для включения частичной синхронизации.
-
Опция Инкрементальная синхронизация и поле Период инкрементальной синхронизации (мин.) доступны только для LDAP-каталогов с типом AD.
-
Значение должно быть меньше периода полной синхронизации.
-
-
Период инкрементальной синхронизации (мин.)
-
-
Нажмите Далее.
-
На вкладке Список серверов:
Можно добавить адрес сервера LDAP
-
Нажмите
. -
Укажите:
-
Адрес — IP-адрес или FQDN LDAP-сервера, например «termit-example-01.com».
-
Протокол — выберите из списка:
Перед выбором протоколов LDAP Over SSL и LDAP StartTLS добавьте доверенный сертификат.
-
LDAP — технология шифрования данных при подключении к LDAP-серверу не используется. Данные передаются в открытом виде по порту 389. Не рекомендуется использовать в продуктовых инсталляциях.
-
LDAP Over SSL — защищенная версия протокола LDAP, которая использует технологию шифрования SSL/TLS при подключении к LDAP-серверу по порту 636.
При работе с VDI, а также при создании групп терминальных серверов/ВРМ через Termit с использованием zVirt необходимо использовать протокол LDAP Over SSL (LDAPS). Это связано с тем, что при создании виртуальной машины из шаблона выполняется процедура её регистрации в LDAP-каталоге. Данная процедура поддерживается только в случае использования защищённого соединения, поэтому необходимо применять именно шифрованный метод — LDAPS.
-
LDAP StartTLS — защищенная версия протокола LDAP, при использовании которой сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование.
-
-
Порт — порт выбирается автоматически в зависимости от выбранного протокола. При необходимости параметр можно изменить.
-
-
Нажмите Сохранить.
Можно изменить адрес сервера LDAP
-
Наведите курсор на адрес сервера и нажмите
. -
Измените:
-
Адрес — IP-адрес или FQDN LDAP-сервера, например «termit-example-01.com».
-
Протокол — выберите из списка:
-
LDAP — технология шифрования данных при подключении к LDAP-серверу не используется. Данные передаются в открытом виде по порту 389. Не рекомендуется использовать в продуктовых инсталляциях.
-
LDAP Over SSL — защищенная версия протокола LDAP, которая использует технологию шифрования SSL/TLS при подключении к LDAP-серверу по порту 636.
При работе с VDI необходимо использовать протокол LDAP Over SSL.
-
LDAP StartTLS — защищенная версия протокола LDAP, при использовании которой сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование.
-
-
Порт — порт выбирается автоматически в зависимости от выбранного протокола. При необходимости параметр можно изменить.
-
-
Нажмите Сохранить.
Можно удалить адрес сервера LDAP
-
Наведите курсор на адрес сервера и нажмите
. -
Чтобы подтвердить удаление, нажмите Да.
Удаление LDAP-каталога
Чтобы удалить LDAP-каталог:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку LDAP-каталоги и наведите курсор на полное имя каталога.
-
Нажмите
. -
Нажмите Да.
После удаления LDAP-каталога пользователи не смогут:
-
войти в портал администрирования;
-
подключиться к десктоп-клиенту;
-
запускать приложения в десктоп-клиенте.
Настройка Kerberos
Необходимые настройки описаны в статье Настройка Kerberos.
4.3. Роли
На вкладке Роли можно настроить роли:
-
Администраторы. Администраторы обладают всеми правами в системе.
-
Служба поддержки. Служба поддержки может просматривать настройки, информацию о серверах и сессиях в разделе Обзор, журнал событий, список сессий, завершать сессии и блокировать пользователей. Выполняет функцию L1 технической поддержки.
-
Пользователи. Владельцы учетных записей, дающих доступ к Termit. Только пользователи могут запускать приложения.
-
Аудитор ИБ. Пользователям с ролью «Аудитор ИБ» предоставлены права на доступ в режиме «Только чтение», без возможности внесения изменений, к разделам: Обзор, Группы серверов, Серверы, Приложения, Сессии, Журнал событий и Настройки.
Настройка роли
Чтобы настроить роли:
-
На портале администрирования в разделе Настройки перейдите на вкладку Роли.
-
Выберите нужную роль и нажмите
. -
Нажмите
.При нажатии на
необходимо добавлять группы пользователей из всех LDAP-каталогов, которые будут использоваться. После добавления в списке для каждой группы будет указано, к какому LDAP-каталогу она принадлежит. -
Добавьте группы из каталога пользователей для выбранной роли. Можно добавить несколько групп. Также поддерживаются вложенные группы.
-
Нажмите .
4.4. Категории
Категория приложений — объединение приложений в одну группу для удобства работы с ними.
Администраторы могут управлять категориями приложений и списком всех категорий.
На вкладке Категории можно:
-
Найти нужные категории приложений по имени, нажав
. -
Обновить список категорий, нажав
. -
Настроить видимость столбцов, нажав
.
Создание новой категории
Чтобы создать категорию:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Категории и нажмите Создать категорию
-
Задайте параметры категории:
-
Название категории — отображаемое название категории в списке.
-
(Опционально) Описание — описание категории.
-
-
Нажмите Создать.
Категория создана.
Далее вы можете выбрать созданную категорию при добавлении приложения.
Изменение настроек категории
Чтобы изменить настройки категории:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Категории.
-
Наведите курсор на категорию и нажмите
. -
Измените параметры категории:
-
Название категории — отображаемое название категории в списке.
-
(Опционально) Описание — описание категории.
-
-
Нажмите Сохранить.
Параметры категории изменены.
4.5. Виртуализация
Источник виртуализации — это экземпляр развернутой системы/платформы виртуализации того или иного типа, который обеспечивает управление жизненным циклом виртуальных машин.
Администраторы могут управлять источниками виртуализации.
На вкладке Виртуализация можно:
-
Найти нужные источниками виртуализации по имени, нажав
. -
Обновить список источников, нажав
. -
Настроить видимость столбцов, нажав
.
Добавление источника виртуализации
Чтобы добавить источник виртуализации:
-
Загрузите корневой сертификат zVirt из портала администрирования zVirt. Подробнее в разделе "Установка сертификата СА".
Для работы с источником виртуализации zVirt используется только HTTPS, поэтому без добавления корневого сертификата соединение не установится.
-
На портале администрирования Termit в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Общие и загрузите доверительный сертификат zVirt. Подробнее в разделе в разделе.
-
Перейдите на вкладку Виртуализация и нажмите Добавить источник.
-
Задайте параметры для добавления источника виртуализации:
-
Тип — задается по умолчанию zVirt.
-
Имя — укажите название источника виртуализации.
-
(Опционально) Описание — добавьте описание источника виртуализации.
-
URL — укажите HTTPS-адрес источника виртуализации.
-
Доступно с версии 2.4.23 Менеджер пользователей — выберите систему хранения пользователей KEYCLOAK или AAA_JDBC.
Если в zVirt не используется KeyCloak, то в версии Termit 2.4.10 добавление источника виртуализации возможно только через API. Подробнее в разделе.
-
Пользователь — укажите логин пользователя, у которого есть полномочия совершать операции в системе виртуализации (zVirt). Формат учётной записи: username@zvirt или username@internal.
-
Пароль — введите пароль от учетной записи системы виртуализации (zVirt).
-
-
Нажмите Проверить соединение. После этого отправится тестовый запрос в систему виртуализации (zVirt) для проверки правильности выполненных настроек. При успешном соединении появится сообщение «Проверка соединения прошла успешна».
-
Нажмите Создать.
Перевод источника виртуализации в режим обслуживания
Когда источник виртуализации находится на обслуживании, можно проводить плановые работы на платформе виртуализации. Чтобы перевести источник виртуализации в режим обслуживания:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Виртуализация.
-
Наведите курсор на нужный источник виртуализации и нажмите
. -
Нажмите Да.
При включении статуса «На обслуживании» система Termit временно прекращает обработку запросов к источнику виртуализации. Статус источника виртуализации изменится на «На обслуживании».
Включение источника виртуализации
Чтобы включить источник виртуализации:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Виртуализация.
-
Наведите курсор на нужный источник виртуализации и нажмите
.
При включении источник виртуализации будет доступен, будут возможны подключения виртуальных машин, и его статус изменится на «Включен».
Изменение настроек источника виртуализации
Чтобы изменить настройки источника виртуализации:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Виртуализация и наведите курсор на источник виртуализации.
-
Нажмите
. -
Измените параметры:
-
Имя — название источника виртуализации.
-
(Опционально) Описание — описание источника виртуализации.
-
URL — URL-адрес источника виртуализации.
-
Пользователь — логин пользователя у которого есть полномочия совершать операции в системе виртуализации (zVirt).
-
Пароль — введите пароль от учетной записи системы виртуализации (zVirt).
-
-
Нажмите Проверить соединение. После этого отправится тестовый запрос в систему виртуализации (zVirt) для проверки правильности выполненных настроек. При успешном соединении появится сообщение «Проверка соединения прошла успешна».
-
Нажмите Сохранить.
Удаление источника виртуализации
|
Нельзя удалить источник виртуализации, если он указан в группе ВРМ. Подробнее в разделе Удаление группы ВРМ. |
Чтобы удалить источник виртуализации:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Виртуализация.
-
Наведите курсор на нужную группу ВРМ и нажмите
. -
Нажмите Удалить.
-
Нажмите Да.
После удаления источника виртуализации пользователи не смогут создавать ТС через систему виртуализации (zVirt) и группы виртуальных рабочих мест.
4.6. Внешний доступ
Чтобы пользователи могли подключаться к терминальным серверам вне внутренней сети, необходимо задать отдельный (внешний) адрес брокера и настроить SSH или TLS шлюзы. После настроек внешних подключений:
-
внешние пользователи будут проходить через отдельный балансировщик, расположенный в демилитаризованной зоне (DMZ);
-
внешние пользователи будут использовать шлюз, расположенный в DMZ, для подключения к терминальным серверам;
-
прочие пользователи будут проходить через балансировщик во внутренней сети;
-
прочие пользователи смогут подключаться к терминальным серверам напрямую, без шлюза.
На вкладке Внешний доступ можно:
-
Посмотреть общее количество шлюзов.
-
Посмотреть информацию о настройках внешнего доступа, если он включен:
-
Адрес брокера — адрес внешнего доступа
-
Время жизни сертификата (сек.) — время жизни сертификата, который используется для авторизации на шлюзе.
Рекомендуемое значение для времени жизни сертификата — 300 секунд.
-
Тип шлюза — тип шлюзов, используемый в данный момент.
-
-
Обновить список шлюзов, нажав
. -
Настроить видимость столбцов, нажав
.
Настройка внешнего подключения
Чтобы настроить внешнее подключение:
|
После включения настроек, изменения адреса или сертификатов сервисы брокера будут перезагружены, и он будет недоступен в течение не более 5 минут. |
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ и нажмите Настройки.
-
Чтобы настроить внешнее подключение, активируйте опцию Включить.
-
Заполните блок Настройки внешнего балансировщика:
-
В параметре Общедоступный адрес укажите FQDN брокера. Он должен отличаться от FQDN брокера, который был указан при развертывании брокера или при изменении настроек HTTPS.
-
Загрузите сертификат, выданный для указанного FQDN. Сертификат потребуется только в том случае, если вы включаете эти настройки или меняете внешний адрес брокера. Если меняются только настройки шлюзов, то сертификат не нужен.
-
Загрузите закрытый ключ, выданный для указанного FQDN.
-
-
В блоке Настройки шлюзов удаленного доступа:
-
В параметре Время жизни сертификата (сек.) задайте срок действия временного сертификата.
-
В параметре Тип шлюза выберите шлюз SSH или TLS.
-
-
Нажмите Сохранить.
|
Добавление шлюза
Для добавления нового шлюза удаленного доступа:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ и нажмите Новый шлюз.
-
Задайте параметры:
-
(Опционально) Адрес — укажите FQDN-имя шлюза;
-
FQDN-имя, указанное в шлюзе удаленного доступа, должен транслироваться:
-
во внешний (белый) FQDN-имя — при обращении внешних пользователей (через интернет);
-
во внутренний (серый) FQDN-имя — при обращении брокер-серверов из внутренней сети.
-
-
Поле Порт доступно при выборе значения SSH в поле Тип шлюза.
-
Поле Описание доступно при выборе значения TLS в поле Тип шлюза.
-
-
(Опционально) Порт — по умолчанию TCP-порт 22.
-
(Опционально) Описание — добавьте описание TLS шлюза.
-
Тип шлюза — выберите шлюз SSH или TLS.
-
-
Нажмите Сохранить.
Шлюз удаленного доступа появится в списке.
Скачивание корневого сертификата
|
Доступно только для SSH-шлюзов. |
При запуске терминальной сессии брокер создает временный сертификат и закрытый ключ. Когда десктоп-клиент подключается к шлюзу удаленного доступа, он использует сертификат и закрытый ключ, предоставленные брокером. Срок действия временного сертификата можно задать в настройках внешнего подключения.
Аутентификация на SSH-шлюзе выполняется по сертификату, что повышает безопасность системы и снижает вероятность атак злоумышленников.
Чтобы скачать корневой сертификат и установить его на шлюзе:
-
На портале администрирования в разделе Настройки в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Нажмите
. -
Нажмите Скачать корневой сертификат.
-
Пропишите корневой сертификат на этапе установки шлюза удаленного доступа.
После успешной настройки шлюза на аутентификацию по сертификату десктоп-клиент подключится к серверу через этот шлюз.
Если сертификат устареет или окажется скомпрометированным, создайте новый:
-
На портале администрирования в разделе Настройки в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Нажмите
. -
Нажмите Генерация нового сертификата.
Выключение шлюза
Перед выключением шлюза на нем должны быть завершены все сессии. Выполните следующие действия:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Наведите курсор на нужный шлюз и нажмите
.
-
Нажмите Да.
После выключения шлюза доступ к серверу для всех будет будет неограничен, и его статус изменится на «Выключен».
Перевод шлюза в режим обслуживания
Когда шлюз находится на обслуживании, можно проводить на нем плановые работы. Чтобы перевести шлюз в режим обслуживания:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Наведите курсор на нужный шлюз и нажмите
. -
Нажмите Да.
Статус шлюза изменится на «На обслуживании». При включении статуса «На обслуживании» шлюз со стороны системы Termit будет недоступен.
Включение шлюза
Чтобы включить шлюз:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Наведите курсор на нужный источник виртуализации и нажмите
. -
Нажмите Да.
При включении шлюз будет доступен, доступ внешних пользователей будет ограничен, и его статус изменится на «Включен».
Удаление шлюза
Чтобы удалить шлюз:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку Внешний доступ.
-
Наведите курсор на шлюз и нажмите
. -
Нажмите Удалить.
-
Нажмите Да.
После удаления шлюза внешние пользователи не смогут запустить сессию, но при этом могут подключиться к брокеру и запустить десктоп клиент.
5. Настройка Kerberos
Kerberos необходим для реализации функции единого входа (SSO), чтобы пользователи могли войти в десктоп-клиент или на портал администрирования и запускать приложения без ввода учетных данных.
Kerberos можно настроить отдельно для каждого каталога. Если он не настроен, будет использоваться аутентификация по имени пользователя и паролю.
Настройка Kerberos состоит из нескольких этапов.
|
Создание keytab-файла
AD
Чтобы сгенерировать keytab-файл, на контроллере домена:
-
Создайте сервисную учетную запись в домене, например
krb-trm. -
В свойствах учетной записи включите поддержу шифрования AES128 и AES256.
-
Сгенерируйте
keytab-файлс помощью команды:-
После символа @ доменное имя должно быть указано заглавными буквами.
-
Команда выполняется от имени администратора домена.
ktpass /out krb-trm.keytab /princ HTTP/broker.termit.local@TERMIT.LOCAL /pass * /mapuser krb-trm@TERMIT.LOCAL /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1Где:
-
krb-trm— имя сервисной учетной записи, созданной на шаге 1. -
krb-trm.keytab— целевой keytab-файл, сгенерированный на основе сервисной учетной записи krb-trm -
broker.termit.local— FQDN брокера -
TERMIT.LOCAL— доменное имя
-
Сгенерированный keytab-файл будет сохранен в текущей директории, в которой была выполнена команда, если не указан другой путь для вывода (например /out /path/to/directory/krb-trm.keytab). Далее полученный keytab-файл загрузите в настройках Kerberos.
Samba DC
Чтобы сгенерировать keytab-файл, на контроллере домена:
-
Создайте сервисную учетную запись в домене, например
krb-trm:sudo samba-tool user create krb-trm --description=”Service account”Задайте пароль для сервисной учётной записи (будет запрошен интерактивно).
-
В свойствах учетной записи включите поддержу шифрования AES128 и AES256. Для этого:
-
Отредактируйте атрибуты пользователя:
sudo samba-tool user edit krb-trm -
В открывшемся текстовом редакторе добавьте или измените строку:
msDS-SupportedEncryptionTypes: 24Сохраните изменения и выйдите из редактора.
Значение 24 включает алгоритмы шифрования AES128 и AES256 и отключает устаревшие DES и RC4.
-
-
Добавьте SPN к сервисной учетной записи:
sudo samba-tool spn add HTTP/broker.termit.local krb-trm -
Сгенерируйте
keytab-файлс помощью команды:sudo samba-tool domain exportkeytab krb-trm.keytab --principal=HTTP/broker.termit.local krb-trmГде:
-
krb-trm.keytab— целевой keytab-файл, сгенерированный на основе сервисной учетной записи krb-trm; -
broker.termit.local— FQDN брокера.
-
Сгенерированный keytab-файл будет сохранен в текущей директории, в которой была выполнена команда, если не указан другой путь для вывода (например /out /path/to/directory/krb-trm.keytab). Далее полученный keytab-файл загрузите в настройках Kerberos.
FreeIPA/ALD Pro
Чтобы сгенерировать keytab-файл, на сервере каталогов:
-
Создайте службу FreeIPA с именем брокера с помощью команды:
ipa service-add --force --skip-host-check HTTP/broker.termit.localГде:
-
ipa— утилита командной строки для работы с FreeIPA; -
service-add— команда для добавления нового сервиса в FreeIPA; -
--force— принудительное добавление сервиса в FreeIPA; -
--skip-host-check— пропуск проверки наличия хоста в IPA при добавлении сервиса; -
HTTP/broker.termit.local— имя сервиса в формате тип/хост, где:-
HTTP– тип сервиса (в данном случае - для веб-приложений); -
broker.termit.local— доменное имя.
-
-
-
Сгенерируйте
keytab-файлс помощью команды:ipa-getkeytab -p HTTP/broker.termit.local -k ~/krb_file.keytabГде:
-
ipa-getkeytab— утилита для получения (выгрузки)keytab-файлаиз FreeIPA; -
-p HTTP/broker.termit.local— указывает principal (учетную запись Kerberos) в формате тип/хост, где:-
HTTP– тип сервиса (для веб-приложений); -
broker.termit.local– имя хоста, для которого создаетсяkeytab-файл; -
-k ~/krb_file.keytab— путь к файлу, в который будет сохраненkeytab.
-
-
Далее полученный keytab-файл загрузите в настройках Kerberos.
5.1. Загрузка keytab-файла
Чтобы загрузить keytab-файл:
-
На портале администрирования в левом меню выберите раздел Настройки.
-
Перейдите на вкладку LDAP-каталоги и наведите курсор на полное имя каталога.
-
Нажмите
. -
Чтобы включить использование Kerberos, активируйте опцию Включить.
-
Чтобы загрузить файл, нажмите на поле keytab-файл.
-
Нажмите Сохранить.
Keytab-файл загружен.
5.2. Настройка терминального сервера/ВРМ
|
Для серверов/ВРМ под управлением Windows настройка не требуется, аутентификация по Kerberos осуществляется по умолчанию через протоколы Windows. |
Для работы аутентификации по Kerberos на терминальных серверах/ВРМ под управлением Linux, включая поддерживаемые операционные системы (РЕД ОС, Astra Linux, Debian, ALT Linux, OpenSUSE):
-
В файле конфигурации
sshd (/etc/ssh/sshd_config)в параметреGSSAPIAuthentication, укажите значение «yes».В ALT Linux файл конфигурации sshd находится по пути:
/etc/openssh/sshd_config. -
В файле конфигурации
sshd (/etc/ssh/sshd_config)параметрAuthenticationMethodsдолжен быть задан в соответсвии с рекомендациями. -
Перезагрузите sshd с помощью команды:
sudo systemctl restart sshd -
В LDAP в свойствах объектов Linux терминальных серверов/ВРМ на вкладке Делегирование выберите Доверять компьютеру делегирование любых служб (только Kerberos).
Только для подключения с клиентских устройств под управлением ОС Windows.
5.3. Настройка клиентского устройства
Перед началом настройки убедитесь, что клиентское устройство, на которое установлен десктоп-клиент, и терминальный сервер/ВРМ введены в один домен.
5.3.1. Клиентское устройство Linux
Аутентификация на брокере Termit в десктоп-клиенте
Дополнительных настроек не требуется.
Аутентификация на брокере Termit в браузере
- Chrome
-
-
Создайте в каталоге /etc/chromium/policies/managed/ файл mydomain.json с повышенными правами root, если он не был создан ранее, и добавьте в него параметры:
{ "AuthServerAllowlist": "*.termit.local", "AuthNegotiateDelegateAllowlist": "*.termit.local" } -
Откройте в браузере Google Chrome страницу chrome://policy и проверьте, что настройки применились.
После успешной настройки авторизация в Termit будет выполнена без запроса ввода имени пользователя и пароля.
-
- Firefox
-
-
Откройте браузер Mozilla Firefox и перейдите на страницу конфигурации about:config.
-
Добавьте параметр .termit.local для опций:
-
network.negotiate-auth.trusted-uris;
-
network.automatic-ntlm-auth.trusted-uris;
-
network.negotiate-auth.delegation-uris;
-
-
Примените изменения и перезапустите браузер.
-
После успешной настройки авторизация в Termit будет выполнена без запроса ввода имени пользователя и пароля.
Аутентификация на Linux терминальном сервере/ВРМ Termit
|
Делегирование Kerberos тикета в сессию работает, начиная с версии 2.4.26. |
-
Убедитесь, что аутентификация на брокере Termit в десктоп-клиенте осуществляется без ввода учётных данных.
-
Проверьте, что Linux терминальный сервер/ВРМ Termit настроен по инструкции.
-
Убедитесь, что на клиентском устройстве Linux в /etc/krb5.conf в [libdefaults] секции задан параметр forwardable = true.
Аутентификация на Windows терминальном сервере/ВРМ Termit
|
На данный момент подключение десктоп-клиента на ОС Linux к терминальным серверам\ВРМ на ОС Windows через Kerberos не поддерживается. |
5.3.2. Клиентское устройство Windows
-
Добавьте адрес внутреннего балансировщика (при «High Availability» развертывании) или брокера (при «Standalone» развертывании) в надежные сайты. В качестве примера будем рассматривать адрес broker.termit.local. Это можно сделать через групповые политики или настройки системы.
-
Групповые политики:
-
Перейдите в .
-
Включите политику, нажмите Показать….
-
В поле Имя значения добавьте необходимый адрес, в нашем примере — https://broker.termit.local/.
-
В поле Значение укажите 2 (это «Зона надёжных сайтов»).
-
-
Настройки системы:
-
В выберите Надёжные сайты, нажмите Сайты и добавьте необходимый узел в зону. В нашем примере — запись https://broker.termit.local/.
-
-
-
Включите опцию Автоматический вход с текущим именем пользователя и паролем в параметрах безопасности доверенных сайтов. Это можно сделать через групповые политики или настройки системы.
-
Групповые политики:
-
Перейдите в .
-
Включите политику и выберите в Параметрах входа опцию Автоматический вход в сеть с текущим именем пользователя и паролем.
-
-
Настройки системы:
-
В выберите Надёжные сайты, нажмите Другой и выберите опцию .
-
-
-
Проверьте, что настройки применились и аутентификация без ввода учётных данных работает.
Аутентификация на Linux терминальном сервере/ВРМ Termit
|
Делегирование Kerberos тикета в сессию работает, начиная с версии 2.4.26. |
-
Убедитесь, что аутентификация на брокере Termit в десктоп-клиенте осуществляется без ввода учётных данных.
-
Проверьте, что Linux терминальный сервер/ВРМ Termit настроен по инструкции.
-
Убедитесь, что для доменных-объектах Linux ТС/ВРМ включено делегирование Kerberos.
|
При подключении по Kerberos, независимо от настроек Kerberos на терминальном сервере\ВРМ в krb5.conf (default_ccache_name) и sssd.conf (krb5_ccname_template), в Termit сессии будет использоваться файл кэша Kerberos. |
Аутентификация на Windows терминальном сервере/ВРМ Termit
-
Убедитесь, что аутентификация на брокере Termit в десктоп-клиенте осуществляется без ввода учётных данных.
-
В групповых политиках в разделе настройте параметры Разрешить передачу учетных данных, установленных по умолчанию и Разрешить передачу учетных данных, установленных по умолчанию, с проверкой подлинности сервера «только NTLM».
Укажите в них SPN для терминальных серверов. Например:
-
TERMSRV/terminal1.termit.local— для включения Kerberos при доступе на серверterminal1.termit.local. -
TERMSRV/*.termit.local— для включения Kerberos при доступе ко всем серверам из доменаtermit.local.
-
6. Управление ресурсами
6.1. Группы серверов
Группа серверов объединяет терминальные серверы с одинаковыми настройками. Серверы в группе применяются для балансировки нагрузки и обеспечения отказоустойчивости.
Каждое приложение имеет свой набор требований, поэтому настройки серверов могут различаться. Группировка серверов позволяет балансировать нагрузку и объединять их по настройкам и запускаемым приложениям. Это обеспечивает отказоустойчивость системы.
В разделе Группы серверов можно:
-
Найти нужные группы серверов по FQDN, типу ОС, активным сессиям и статусу, нажав
. -
Обновить список групп серверов, нажав
. -
Настроить видимость столбцов, нажав
. -
Экспортировать данные в CSV, нажав
.
Создание группы серверов
В Termit можно создать группы терминальных серверов следующими способами:
-
Базовый способ позволяет создать группу терминальных серверов без источника виртуализации. Все серверы необходимо создать в разделе Создание серверов и после этого добавить их в процессе создания группы.
-
Способ zVirt позволяет автоматически создать однотипные терминальные серверы и собирать их в группу из источника виртуализации zVirt.
Базовый
Чтобы создать группу серверов базовым способом:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
В правом верхнем углу нажмите Создать группу.
-
На вкладке Способ создания выберите способ создания группы серверов Базовый.
-
На вкладке Общие настройки:
-
Имя — укажите название группы терминальных серверов.
-
Тип ОС — выберите операционную систему Linux или Windows.
-
(Опционально) Описание — добавьте описание группы серверов.
-
-
Нажмите Далее.
-
На вкладке Терминальные серверы выберите из списка уже существующий сервер или создайте новый в разделе Создание сервера.
-
Нажмите Далее.
-
На вкладке Подключение сетевых дисков можно настроить, какие сетевые диски будут доступны пользователям в терминальной сессии. Подробнее о настройке.
-
На вкладке Балансировка оставьте значение весов по умолчанию. Подробнее о балансировке серверов.
-
На вкладке Таймауты сессий выберите действия и время ожидания для активных, отключенных и бездействующих (нет активности пользователя) сессий:
-
Ничего — действия с сессиями выполняться не будут.
-
Отключить — десктоп-клиент будет отключен по истечении указанного времени ожидания. При этом сессии останутся активными, и приложения продолжат работать в фоновом режиме. Пользователь сможет заново к ним подключиться.
-
Завершить — сессия будет закрыта по истечении указанного времени ожидания.
Подробнее о типах сессий.
-
-
Нажмите Далее.
-
На вкладке Подтверждение проверьте информацию о группе серверов и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
Созданная группа появится в списке.
zVirt
Чтобы создать группу серверов при помощи zVirt:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
В правом верхнем углу нажмите Создать группу.
-
На вкладке Способ создания выберите способ создания группы серверов zVirt.
-
На вкладке Общие настройки:
-
в разделе Настройки пула:
-
Источник — выберите ранее зарегистрированный источник виртуализации, в котором необходимо создать группу серверов. Подробнее об источнике виртуализации.
После заполнения поля Источник станут доступны следующие поля для выбора значений: Центр данных, Кластер, Шаблон.
-
Центр данных — выберите один из центров данных, допустимых в выбранном в поле Источник.
-
Кластер — выберите один из заранее созданных кластеров в источнике виртуализации.
-
Шаблон — выберите один из заранее созданных в источнике виртуализации шаблон ВМ.
-
Тип ОС — выберите операционную систему Linux или Windows.
Тип ОС должен совпадать с типом ОС выбранного шаблона в поле Шаблон.
-
Формат копий — значение задается по умолчанию Связанный клон.
-
Шаблон именования ВМ и компьютера в LDAP — укажите имя шаблона ВМ, которое будет использоваться для наименования ВМ в созданной группе серверов и для компьютеров в LDAP.
Допускаются к заполнению: латинские буквы, цифры, символы «?», «.» и «-». Длина шаблона именование - до 15 символов, включая одно место под индекс до трех символов «?». При отсутствии «?» индекс будет добавлен в конце имени.
-
Пример именования — поле заполняется автоматически значением, указанным в поле Шаблон именования ВМ и компьютера в LDAP и индекса.
-
Имя — укажите название группы серверов.
-
(Опционально) Описание — добавьте описание группы серверов.
-
Количество серверов — укажите количество серверов, которые необходимо создать в группе серверов.
Максимальное количество серверов, которые можно создать в одной группе не может быть более 1000.
-
Сохранять состояния — установите флажок для сохранения состояния ВМ между их выключениями. Все серверы, созданные в данной группе, сохраняют свое состояние после выключения.
-
-
в разделе Ввод в домен:
-
LDAP-каталог — выберите LDAP-каталог, в рамках которого будет создан аккаунт компьютера для ввода ВМ в домен. К выбору доступны только каталоги типа AD.
-
Организационная единица — введите полное имя организационной единицы для создания записи о компьютере. Например, "OU=Servers, DC=termit, DC=local".
-
-
-
Нажмите Далее.
-
На вкладке Подключение сетевых дисков можно настроить, какие сетевые диски будут доступны пользователям в терминальной сессии. Подробнее о настройке.
-
На вкладке Балансировка ввод значений возможен после создания группы. Изменить вес сессии для каждого сервера можно с помощью редактирования. По умолчанию значения для открытых, активных и отключенных сессий равны 1000.
-
На вкладке Таймауты сессий выберите действия и время ожидания для активных, отключенных и бездействующих (нет активности пользователя) сессий:
-
Ничего — действия с сессиями выполняться не будут.
-
Отключить — десктоп-клиент будет отключен по истечении указанного времени ожидания. При этом сессии останутся активными, и приложения продолжат работать в фоновом режиме. Пользователь сможет заново к ним подключиться.
-
Завершить — сессия будет закрыта по истечении указанного времени ожидания.
Подробнее о типах сессий.
-
-
Нажмите Далее.
-
На вкладке Подтверждение проверьте информацию о группе серверов и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
Созданная группа появится в списке.
Изменение настроек группы серверов
Чтобы изменить настройки группы серверов:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу серверов и нажмите
. -
На вкладке Общие настройки измените параметры:
Базовый
-
Имя — название группы группы терминальных серверов.
-
(Опционально) Описание — измените описание группы серверов.
zVirt
-
Имя — название группы серверов.
-
(Опционально) Описание — описание группы серверов.
-
Количество виртуальных рабочих мест — количество виртуальных рабочих мест, которые необходимо создать в группе серверов.
-
Нельзя задать значение меньше ранее сохраненного. Например, если в группе серверов было создано 15 виртуальных рабочих мест, то при редактировании необходимо указать значение больше 15.
-
Максимальное количество серверов, которые можно создать в одной группе не может быть более 1000.
-
Затем нажмите Далее.
-
-
На вкладке Подключение сетевых дисков измените параметры сетевых дисков. Для этого наведите курсор на нужный диск и нажмите
.Чтобы добавить новый сетевой диск, нажмите
. Подробнее о настройке.Чтобы удалить сетевой диск, наведите курсор на нужный диск и нажмите
. -
Нажмите Далее.
-
На вкладке Балансировка нажмите на
и измените вес сессий. Значение не может быть отрицательным. -
Нажмите Далее.
-
На вкладке Таймауты сессий измените действия и время ожидания для активных, отключенных и бездействующих (нет активности пользователя) сессий. Для этого наведите курсор на нужный сервер, нажмите
и внесите изменения:-
Ничего — действия с сессиями выполняться не будут.
-
Отключить — десктоп-клиент будет отключен по истечении указанного времени ожидания. При этом сессии останутся активными, и приложения продолжат работать в фоновом режиме. Пользователь сможет заново к ним подключиться.
-
Завершить — сессия будет закрыта по истечении указанного времени ожидания.
-
-
Нажмите .
-
На вкладке Подтверждение проверьте информацию о группе серверов и нажмите Сохранить. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
Настройки группы серверов изменены.
Выключение группы серверов
Чтобы выключить группу серверов:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу серверов и нажмите
. -
Нажмите Да.
После выключения статус группы серверов изменится на «Выключена» и назначенные приложения не будут доступны для запуска.
Включение группы серверов
Чтобы включить группу серверов:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу серверов и нажмите
. -
Нажмите Да.
После включения статус группы серверов изменится на «Включена» и назначенные приложения будут доступны для запуска.
Удаление группы серверов
|
Нельзя удалить группу серверов, созданную базовым способом, если в нее добавлены серверы и на нее назначены приложения. Подробнее в разделах Изменение настроек группы серверов и Изменения параметров приложения. |
Чтобы удалить группу серверов:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу серверов и нажмите
. -
Нажмите Удалить группу.
-
Нажмите Да.
Группа серверов удалена.
Просмотр информации о группе серверов
Чтобы просмотреть информацию о группе серверов:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Нажмите на имя нужной группы серверов.
На вкладке Терминальные серверы отображается список терминальных серверов, их адрес, статус, версия агента, протокол(ы) и количество активных сессий.
На вкладке Приложения отображается список приложений, их названия и версия.
На вкладке Сессии отображается список с подробной информацией о запущенных сессиях.
На вкладке События отображается список уведомлений, связанных с этой группой серверов.
Также на этой странице можно изменить, выключить или удалить группу.
Подключение сетевых дисков
Чтобы настроить, какие сетевые диски будут доступны пользователям в терминальной сессии:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу и нажмите
. -
Перейдите на вкладку Подключение сетевых дисков.
-
Нажмите
. -
Задайте параметры:
-
Локальное имя — имя сетевого диска, которое будет отображаться у пользователя в терминальной сессии. Имя не должно содержать двух точек подряд
... В этом параметре:-
для группы серверов на базе Windows выберите из списка букву.
-
для группы серверов на базе Linux укажите название подкаталога в домашнем каталоге пользователя, например
folder1.
-
-
Сетевой путь — маршрут к сетевому файлу. Можно указать путь:
-
для общих дисков, которые будут доступны всем пользователям. Например:
-
на базе Windows в формате
\\FQDN\common-share -
на базе Linux в формате
\\FQDN\common-share
-
-
для пользовательских дисков, которые будут доступны только конкретному пользователю. Например:
-
на базе Windows в формате
\\FQDN\user-shares\%USERNAME% -
на базе Linux в формате
\\FQDN\user-shares\$USERПример заполнения
- Windows
-
- Linux
-
-
-
-
-
Нажмите .
-
На вкладке Подтверждение проверьте информацию о группе серверов и нажмите Сохранить.
Сетевые диски подключены.
Балансировка нагрузки серверов
Чтобы определить, к какому серверу будет подключен пользователь, используется следующая формула:
Индекс = количество открытых сессий х вес открытой сессии + количество активных сессий х вес активной сессии + кол-во неактивных сессий х вес неактивной сессии.
Выбирается сервер с наименьшим индексом в группе.
Чтобы настроить балансировку:
-
На портале администрирования в левом меню выберите раздел Группы серверов.
-
Наведите курсор на нужную группу и нажмите
. -
Перейдите на вкладку Балансировка.
-
Наведите курсор на сервер и нажмите
. -
Задайте вес сессий. Значение не может быть отрицательным.
-
Нажмите .
-
На вкладке Подтверждение проверьте информацию о группе серверов и нажмите Сохранить.
Балансировка нагрузки сервера настроена.
6.2. Серверы
Терминальный сервер — сервер, который предоставляет доступ к ресурсам компьютера или сервера пользователям через десктоп-клиента. Пользователи могут подключаться к терминальному серверу и работать с приложениями, например 1С, данными и другими ресурсами, как если бы они работали непосредственно на сервере.
В разделе Серверы можно:
-
Найти нужные серверы по FQDN, активным сессиям и статусу, нажав
. -
Обновить список серверов, нажав
. -
Настроить видимость столбцов, нажав
. -
Экспортировать данные в CSV, нажав
.
Создание сервера
-
На портале администрирования в левом меню выберите раздел Серверы.
-
В правом верхнем углу нажмите Добавить сервер.
-
На вкладке Общие настройки:
-
FQDN сервера — укажите FQDN адрес терминального сервера.
-
Тип ОС — выберите операционную систему Linux или Windows.
-
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов выберите из списка группу серверов.
-
Нажмите Далее.
-
На вкладке Подтверждение проверьте информацию о сервере и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
-
Скопируйте указанную команду в надежное место. Она понадобится после установки дополнительного ПО на терминальном сервере.
Вы можете скопировать команду установки агента позже. Подробнее в разделе Установка агента.
Созданный сервер появится в списке со статусом «Включен».
Изменение настроек сервера
Чтобы изменить настройки терминального сервера:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите
. -
На вкладке Терминальный сервер измените FQDN сервера.
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов выберите из списка группу серверов.
-
Нажмите Далее.
-
На вкладке Подтверждение проверьте информацию о сервере и нажмите Сохранить. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
Настройки сервера изменены.
Выключение сервера
Перед выключением терминального сервера на нем должны быть завершены все сессии. Выполните следующие действия:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите
.
-
Нажмите Да.
После выключения сервер будет не доступен, остановит обслуживание пользователей, и его статус изменится на «Выключен».
Включение сервера
Чтобы включить терминальный сервер:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите
.
После включения сервер будет доступен, сможет обслуживать пользователей, и его статус изменится на «Включен».
Перевод сервера в режим обслуживания
Когда терминальный сервер на обслуживании, можно проводить работы, например, по обновлению ПО. Чтобы перевести терминальный сервер в режим обслуживания:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите
. -
Нажмите Да.
После перевода на терминальном сервере существующие сессии будут активны, новые не будут запущены. Серверу присваивается статус «На обслуживании».
Удаление сервера
Чтобы удалить терминальный сервер:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите
. -
Нажмите Удалить сервер.
-
Нажмите Да.
Сервер удален.
Просмотр информации о сервере
Чтобы просмотреть информацию о терминальном сервере:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Нажмите на имя нужного сервера.
На странице отображаются статус, количество активных сессий, список сессий и событий, связанных с этим сервером.
Установка агента
Команду по установке агента можно получить после создания терминального сервера. Для этого:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите на FQDN сервера.
-
В правом верхнем углу нажмите
. -
Выберите Установить агент.
-
Скопируйте команду и выполните ее на терминальном сервере.
Агент будет установлен на терминальный сервер, и его статус изменится на «Онлайн».
|
Установка в ЗПС
|
Ручное обновление агента
Чтобы обновить агент вручную:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите на FQDN сервера.
-
В правом верхнем углу нажмите
. -
Выберите Обновить агент.
-
Скопируйте команду и выполните ее на терминальном сервере.
Агент обновлен на терминальном сервере.
Удаление агента
Чтобы удалить агент:
-
На портале администрирования в левом меню выберите раздел Серверы.
-
Наведите курсор на нужный сервер и нажмите на FQDN сервера.
-
В правом верхнем углу нажмите Дополнительно.
-
Выберите
. -
Скопируйте актуальную команду на портале администрирования или предложенную ниже:
-
Для Linux:
sudo ./agent-installer uninstall -
Для Windows
.\agent-installer.exe uninstall
-
-
Для Linux перейдите в каталог, где был запущен скрипт установки агента.
Для Windows (операция удаления может быть выполнена только с правами администратора) перейдите по пути
C:\Program Files\TermitAgent\. -
Выполните скопированную команду в терминале.
Агент удален на терминальном сервере.
Обновление корневого сертификата для аутентификации на терминальном сервере
При необходимости сгенерируйте новый сертификат, нажав в разделе Серверы
и выбрав Обновить сертификат. После обновления сертификата необходимо будет его распространить на каждый терминальный сервер. Для этого:
-
скачайте сертификат:
-
в разделе Серверы нажмите
. -
выберите Скачать сертификат.
-
-
разместите сертификат по следующему пути:
-
Linux
/etc/termit-agent/termit-ssh-ca.pub -
Windows
"C:\Program Files\TermitAgent\config\termit-ssh-ca.pub"
-
6.3. Приложения
Приложение — программное обеспечение, которое запускается на терминальном сервере, а интерфейс отображается локально на компьютере пользователя. Например, приложением может быть 1С, калькулятор, браузер, офисный пакет приложений или рабочий стол.
В разделе Приложения можно:
-
Найти нужные приложения по имени, наименованию у пользователя, группе серверов и статусу, нажав
. -
Обновить список приложений, нажав
. -
Настроить видимость столбцов, нажав
. -
Экспортировать данные в CSV, нажав
.
Добавление приложения
Чтобы добавить приложение:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Нажмите Добавить приложение.
-
На вкладке Общие настройки задайте параметры:
-
Имя — название приложения.
-
Операционная система — Linux или Windows.
-
Тип — выберите Приложение или Рабочий стол.
-
Чтобы в десктоп-клиенте приложения и рабочие столы отображались в отдельных списках, включите опцию Разделение объектов на приложения и рабочие столы в настройках.
-
Для публикации группы ВРМ необходимо выбрать тип Рабочий стол, затем выбрать группу на вкладке Группа терминальных серверов / ВРМ.
-
-
Команда для запуска — команда для запуска приложения или рабочего стола. Также для запуска приложения можно указать путь к исполняемому файлу и добавить параметры через пробел.
-
Короткую команду (вместо пути до исполняемого файла) можно использовать, если она позволяет запустить приложение напрямую на ТС/ВРМ/АРМ, на который публикуется данное приложение. Например,
chromium(Linux) илиnotepad.exe(Windows). -
Если путь к приложению содержит пробелы (например, в названии папки или файла), его необходимо заключить в кавычки для корректного выполнения команды, например
"C:\Program Files\Google\Chrome\Application\chrome.exe". -
Публикуемые приложения Windows не поддерживают системные переменные окружения в командах.
-
Команды для запуска приложений с графическим интерфейсом (например, Chromium/Chrome):
-
Linux:
-
Chromium —
chromium
-
-
Windows:
-
Chrome —
"C:\Program Files\Google\Chrome\Application\chrome.exe"
-
-
-
Команды для запуска приложений без графического интерфейса (например,
top):-
Linux:
-
XFCE —
xfce4-terminal -e "top" -
MATE —
mate-terminal -e "top" -
FLY —
fly-term -e "top"
-
-
-
-
(Опционально) Версия — версия приложения.
-
(Опционально) Описание — описание приложения.
-
-
Нажмите Далее.
-
На вкладке Пользовательский вид задайте настройки пользовательского отображения. Для этого:
-
(Опционально) Загрузите иконку приложения.
-
Поддерживается только формат JPEG, другие форматы изображений не принимаются.
-
Максимальное допустимое к загрузке разрешение составляет 128х128 пикселей.
-
-
(Опционально) Название у пользователя — название приложения, которое будет отображаться у пользователя в десктоп-клиенте.
-
(Опционально) Добавьте категорию приложения. Для этого:
-
Нажмите
. -
Выберите категорию или создайте новую в разделе Категории и нажмите Сохранить.
-
-
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов / ВРМ выберите группу терминальных серверов/ВРМ для приложения или создайте новую в разделе Группы серверов/ Группы ВРМ.
-
Нажмите Далее.
-
На вкладке Группы доступа приложения добавьте LDAP-группу:
-
Нажмите
и выберите из списка LDAP-группу, пользователи которой будут иметь доступ к этому приложению. Можно добавлять несколько групп доступа к приложению. -
Нажмите Сохранить.
-
-
Нажмите Далее.
-
На вкладке Подтверждение проверьте информацию о приложении и нажмите Создать. При необходимости вы можете вернуться на предыдущие шаги и изменить параметры.
После создания приложение появится в списке со статусом «Включено».
Просмотр информации о приложении
Чтобы просмотреть информацию о приложении:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Нажмите на имя приложения.
На странице отображаются сессии, события, категории и группы, связанные с этим приложением.
Изменение параметров приложения
Чтобы изменить настройки приложения:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
На вкладке Общие настройки измените параметры:
-
Имя — название приложения.
-
Операционная система — Linux или Windows.
-
Команда для запуска — команда для запуска приложения.
-
Короткую команду можно использовать, если:
-
она позволяет запустить приложение напрямую на терминальном сервере;
-
расположение приложения добавлено в переменную среды
PATH, напримерnotepad.exe.
-
-
Не работают переменные для настройки приложений Windows.
-
-
(Опционально) Версия — версия приложения.
-
(Опционально) Описание — описание приложения.
-
-
Нажмите Далее.
-
На вкладке Пользовательский вид измените настройки пользовательского отображения:
-
Удалите иконку приложения, нажав
. -
Загрузите иконку приложения.
-
(Опционально) Название у пользователя — название приложения, которое будет отображаться у пользователя в десктоп-клиенте.
-
(Опционально) Измените категорию приложения или добавьте новую.
-
-
Нажмите Далее.
-
На вкладке Группа терминальных серверов выберите группу серверов для приложения.
-
Нажмите Далее.
-
На вкладке Группы доступа приложения измените LDAP-группу или добавьте новую.
-
Нажмите .
-
На вкладке Подтверждение проверьте информацию о приложении и нажмите Сохранить.
Параметры приложения изменены.
Выключение приложения
Чтобы выключить приложение:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
Нажмите Да.
Приложение выключено, и статус изменится на «Выключено».
Включение приложения
Чтобы включить приложение:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
Нажмите Да.
Приложение включено, и статус изменится на «Включено».
Удаление приложения
Чтобы удалить приложение:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
Нажмите Удалить приложение.
-
Нажмите Да.
Приложение удалено.
Для отмены действия нажмите Нет.
Скачивание файла подключения к серверу
Чтобы скачать файл подключения к серверу:
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
Нажмите Скачать файл.
В файле подключения представлены все необходимые настройки для быстрого подключения к терминальному серверу: адрес сервера и ID приложения. Подробнее о файлах подключения к серверу.
6.4. Пользователи
В разделе Пользователи отображается список пользователей, которые хоть раз выполнили вход в систему (портал администратора или десктоп-клиент)
Пользователи — внутренние и внешние пользователи, которые могут запускать приложения, и администраторы, которые могут настраивать Termit.
На странице можно:
-
Найти нужного пользователя по имени учетной записи, статусу и активным сессиям, нажав
. -
Обновить список пользователей, нажав
. -
Настроить видимость столбцов, нажав
. -
Экспортировать данные в CSV, нажав
.
- Пользователи
-
«tadm» — создается системой по умолчанию, имеет административные права для управления и первоначальной настройки компонентов и не привязан к LDAP. Например, такой пользователь может помочь починить LDAP, указав другой LDAP-сервер или изменив иные параметры, когда LDAP недоступен.
-
«system» — создается системой по умолчанию. От имени этого пользователя в журнале событий отображается запись операций в фоновом режиме.
Действия с пользователями
-
Блокировка пользователя, например, если нужно быстро ограничить ему доступ к системе. При этом он блокируется локально, а не в LDAP. Для этого наведите курсор на пользователя, нажмите
и затем Да. -
Завершение всех сессий пользователя. Для этого наведите курсор на пользователя, нажмите
и затем Да.
6.5. Сессии
В списках сессий представлена информация о каждой созданной сессии в Termit, ее текущем статусе и принадлежности к определенной группе серверов. Также есть возможность очистки истории закрытых сессий пользователей и настройки параметров таймаута.
В разделе Сессии можно:
-
Найти нужную сессию, нажав
. -
Обновить список сессий, нажав
. -
Настроить видимость столбцов, нажав
. -
Посмотреть подробную информацию о сессиях пользователей.
-
Завершить сессии пользователей.
-
Экспортировать данные в CSV, нажав
.
Статусы сессий
| Статус | Описание |
|---|---|
Активная |
Пользователь начал работу в сессии |
Отключенная |
Сессия активная, но пользователь к ней не подключен |
Открывается |
Сессия в процессе открытия |
Закрывается |
Сессия в процессе закрытия |
Переподключается |
Сессия в процессе повторного подключения пользователя |
Закрытая |
Сессия завершена |
Завершение сессии
Если пользователь подключен к серверу, который нужно выключить, например для обслуживания, то сессию можно завершить принудительно. Для этого:
-
На портале администрирования в левом меню выберите раздел Сессии.
-
Наведите курсор на активную или отключенную сессию и нажмите
. -
Нажмите Да.
Сессия завершена.
6.6. Брокеры
В разделе Брокеры можно:
-
Посмотреть информацию о брокере:
-
имя, которое было задано при установке;
-
статусы «Работает» и «Не работает». В случае недоступности брокера более 5 минут его статус изменяется на «Не работает»;
-
время последней доступности «Последний пульс».
-
-
Обновить список брокеров, нажав
. -
Настроить видимость столбцов, нажав
. -
Экспортировать данные в CSV, нажав
.
Удаление брокера
|
Перед удалением брокера в портале администрирования необходимо сначала его деинсталлировать. |
-
На портале администрирования в левом меню выберите раздел Брокеры.
-
Наведите курсор на брокер и нажмите
. -
Нажмите Удалить брокер.
-
Нажмите Да
Брокер удален.
Для отмены действия нажмите Нет.
6.7. Резервное копирование
Резервное копирование и восстановление Termit осуществляется средствами PostgreSQL.
Этапы восстановления Termit из резервной копии:
Восстановление базы данных из резервной копии
|
В инструкции описано восстановление базы данных (БД) на Standalone-сервере. |
Чтобы восстановить БД, выполните действия:
-
Убедитесь, что существует файл с резервной копией БД — %Имя_файла%.sql:
ls -lh %Путь до файла с резервной копией БД%/%Имя_файла%.sql -
Запустите сессию служебного пользователя postgres с помощью команды:
sudo su – postgres -
Запустите процесс восстановления БД:
psql -d postgres -f %Путь до файла с резервной копией БД%/%Имя_файла%.sql -
После завершения восстановления снова запустите командную оболочку PostgreSQL от имени пользователя postgres:
psql -d postgres -
Проверьте наличие восстановленной БД в списке вывода команды:
\list
Восстановление работоспособности брокера Termit
Восстановление брокера выполняется на заново установленной ВМ.
Чтобы восстановить работоспособность брокера, выполните действия:
-
Чтобы установить компоненты Docker и Docker Compose, выполните команду:
sudo dnf install docker-ce docker-ce-cli docker-compose -
Чтобы установленные компоненты добавить в автозагрузку, выполните команду:
sudo systemctl enable docker --now -
При необходимости назначьте права на запуск скрипта с помощью команды:
sudo chmod +x ./install.sh -
Запустите скрипт:
sudo ./install.sh install -
Введите пароль администратора системы.
-
Укажите имя узла брокера. Имя может быть любым.
-
Появится сообщение:
«What do you want to do? (1/2) 1. Install first node of new cluster 2. Add new node to existing cluster Enter 1 or 2»Укажите «2».
-
Укажите данные:
-
Имя хоста БД, например «db.example.com».
-
Порт — «5432».
-
Имя восстановленной БД, например «example».
-
Имя пользователя БД, например «termit».
-
Введите пароль для БД.
Во время запуска отображается ключ шифрования БД, который необходимо сохранить.
-
-
Вставьте ключ шифрования, полученный на предыдущем шаге, и нажмите Enter.
Для подтверждения успешной установки, в браузере, в адресной строке, введите адрес брокера https://broker.example.com. Убедитесь, что корректно отображается интерфейс веб-консоли Termit.
Unresolved include directive in modules/admin-guide/pages/index.adoc - include::vdi-loudplay.adoc[] :leveloffset: +1
Файл подключения к серверу
В файле подключения представлены все необходимые настройки для быстрого подключения к терминальному серверу: адрес сервера, имя пользователя и ID приложения. Вы можете сгенерировать файл следующими способами:
-
вручную;
-
через десктоп-клиент;
-
через портал администрирования.
Ручное создание файла
Файл представлен в YAML-формате. Расширение файла должно быть tcfg.
Список полей:
-
broker — адрес брокера;
-
username — логин пользователя;
-
(Опционально) runApp — раздел с информацией о запускаемом приложении. Если не указать в конфигурационном файле, то будет выполнена попытка авторизации;
-
runApp.id — ID ресурса, который необходимо запустить.
Пример файла:
broker: 'broker-dev.termit.local'
username: 'termitadmin'
runApp:
id: '1684e88e-1687-4bca-9e34-c0b4ffd4c40d'
Создание файла через десктоп-клиент
-
Запустите десктоп-клиент на вашем локальном компьютере.
-
Введите FQDN-адрес сервера без http(s).
-
Нажмите Подключиться.
-
Выберите источник авторизации:
-
Авто. Система автоматически выберет LDAP-каталог из списка доступных каталогов или внутренних пользователей.
-
Внутренние пользователи. Вход будет выполнен под учетной записью локального администратора «tadm».
-
Имя LDAP-каталога, отображаемое полное имя которого было задано при добавлении в систему, например «ldap123».
-
-
Без указания имени домена задайте в параметрах: Ваш логин и Пароль.
-
Нажмите Войти.
Вы вошли в систему.
-
В левом меню выберите раздел Приложения.
-
На вкладке Приложения наведите курсор на приложение и нажмите
. -
Нажмите Скачать файл.
Создание файла через портал администрирования
|
В файле подключения, сгенерированном через портал администрирования, вместо параметра «username» будет параметр «externalBroker» — адрес внешнего брокера. |
-
В браузере, в адресной строке введите адрес брокера, например https://broker.example.com.
-
На главной странице:
-
Выберите источник авторизации:
-
Авто. Система автоматически выберет LDAP-каталог из списка доступных каталогов или внутренних пользователей.
-
Внутренние пользователи. Вход будет выполнен под учетной записью локального администратора «tadm».
-
Имя LDAP-каталога, отображаемое полное имя которого было задано при добавлении в систему, например «ldap123».
-
-
Для входа под учетной записью локального администратора системы укажите в поле ввода:
-
Ваш логин — tadm.
-
Пароль — admin.
-
-
-
Нажмите Войти.
Вы вошли в систему.
-
На портале администрирования в левом меню выберите раздел Приложения.
-
Наведите курсор на приложение и нажмите
. -
Нажмите Скачать файл.
s= Настройка печати :product-name: Termit :product-version: 2.4 :imagesdir: ../images
Терминальный сервер / ВРМ на ОС Linux
Ниже описано, как настроить печать на терминальных серверах/ ВРМ на ОС Linux.
|
На РЕД ОС в конфигурационном файле
|
-
Проверьте, что на терминальном сервере/ВРМ установлены x2goserver-printing, cups-x2go из репозитория.
-
Проверьте, что на терминальном сервере/ВРМ в утилите добавлен принтер, у которого в названии содержится «CUPS-X2GO», без дополнительных настроек.
-
Проверьте версию Ghostscript с помощью команды:
ghostscript -v
Если версия 9.54 и выше, то необходимо настроить печать. Для этого:
-
Откройте в редакторе файл
/etc/cups/cups-x2go.confс помощью команды:nano /etc/cups/cups-x2go.conf -
Добавьте в конец файла строку:
Кроме РЕД ОС 8.
ps2pdf=/usr/bin/gs -q -dCompatibilityLevel=1.4 -dNOPAUSE -dBATCH -dSAFER -sDEVICE=pdfwrite -sOutputFile=- -dAutoRotatePages=/PageByPage -dAutoFilterColorImages=false -dColorImageFilter=/FlateEncode -dPDFSETTINGS=/prepress -dDoNumCopies -c 3000000 setvmthreshold -f %s -
Перезапустите CUPS:
systemctl restart cups
Печать через десктоп-клиент можно настроить через инструмент для просмотра PDF-файлов. Для этого проверьте, что установлен инструмент для просмотра PDF-файлов (работает с Foxit PDF Reader, Adobe Acrobat Reader), который выбран программой по умолчанию для открытия файла в формате *.pdf.
Терминальный сервер / ВРМ на ОС Windows
Предварительных действий по настройке печати для терминальных серверов/ ВРМ под управлением Windows не требуется. Доступ к локальным принтерам будет доступен при включении перенаправления принтеров в десктоп-клиенте.
1. Журнал событий
В журнале событий отображаются все операции, происходящие в системе. Это позволяет отслеживать несанкционированные действия. Кроме того, вы можете очищать старые записи журнала событий. Подробнее об этом в разделе Глубина хранения журналов.
Ниже представлен список событий.
Сообщение |
Важность |
Статус |
Категория |
Ошибка при аутентификации пользователя. Имя пользователя: {0} |
Высокая |
Ошибка |
Аутентификация |
Не удалось заблокировать учетную запись пользователя. Имя пользователя: {0}. Причина: {1} |
Высокая |
Ошибка |
Аутентификация |
Не удалось разблокировать учетную запись пользователя. Имя пользователя: {0}. Причина: {1} |
Высокая |
Ошибка |
Аутентификация |
Не удалось разблокировать встроенную учетную запись пользователя. Имя пользователя: {0}. Причина: {1} |
Высокая |
Ошибка |
Аутентификация |
Встроенная учетная запись пользователя была заблокирована. Имя пользователя: {0} |
Высокая |
Предупреждение |
Аутентификация |
Учетная запись пользователя была заблокирована администратором. Имя пользователя: {0} |
Средняя |
Предупреждение |
Аутентификация |
Пользователь был успешно аутентифицирован. Имя пользователя: {0} |
Средняя |
Информация |
Аутентификация |
Учетная запись пользователя была разблокирована администратором. Имя пользователя: {0} |
Средняя |
Информация |
Аутентификация |
Встроенная учетная запись пользователя была разблокирована. Имя пользователя: {0} |
Средняя |
Информация |
Аутентификация |
Не удалось открыть сессию для опубликованного приложения. ID приложения: {0}. Причина: {1} |
Высокая |
Ошибка |
Сессии |
Не удалось принудительно завершить терминальную сессию. ID сессии: {0}. Причина: {1} |
Высокая |
Ошибка |
Сессии |
Не удалось запустить приложение на сервере. ID сессии: {0}. Причина: {1} |
Высокая |
Ошибка |
Сессии |
Не удалось принудительно остановить процесс экземпляра приложения. PID процесса: {0}. ID процесса экземпляра приложения: {1}. Причина: {2} |
Высокая |
Ошибка |
Сессии |
Администратор принудительно завершил терминальную сессию. Адрес терминального сервера: {0}. ID сессии: {1} |
Высокая |
Предупреждение |
Сессии |
Администратор принудительно остановил процесс экземпляра приложения. Адрес терминального сервера: {0}. PID процесса: {1}. ID процесса экземпляра приложения: {2} |
Высокая |
Предупреждение |
Сессии |
Успешно открыта сессия для опубликованного приложения. Адрес терминального сервера: {0}. Название приложения: {1}. ID сессии: {2} |
Средняя |
Информация |
Сессии |
Терминальная сессия была завершена на сервере. Адрес терминального сервера: {0}. ID сессии: {1} |
Средняя |
Информация |
Сессии |
Пользователь отключился от терминальной сессии. Адрес терминального сервера: {0}. ID сессии: {1} |
Средняя |
Информация |
Сессии |
Успешное переподключение сессии для опубликованного приложения. Адрес терминального сервера: {0}. Название приложения: {1}. ID сессии: {2} |
Средняя |
Информация |
Сессии |
Терминальная сессия была запущена на сервере. ID сессии: {0} |
Средняя |
Информация |
Сессии |
Не удалось подключить сетевой диск. Сетевой адрес: {0}. Локальное имя: {1}. ID сессии {2}. Причина: {3} |
Высокая |
Ошибка |
Системное |
Сервер Termit стартовал. Имя сервера: {0} |
Средняя |
Информация |
Системное |
Агент успешно стартовал на сервере {0} |
Средняя |
Информация |
Системное |
Сессия принудительно закрыта по таймауту. Имя терминального сервера: {0}, ID сессии: {1} |
Средняя |
Информация |
Системное |
Сессия принудительно отключена по таймауту. Имя терминального сервера: {0}, ID сессии: {1} |
Средняя |
Информация |
Системное |
Сетевой диск успешно подключён. Сетевой адрес: {0}. Локальное имя: {1}. ID сессии {2} |
Средняя |
Информация |
Системное |
Старые записи аудита удалены. Количество: {0}, период с {1} по {2} (Время в UTC) |
Средняя |
Информация |
Системное |
Старые закрытые сессии удалены. Количество: {0}, период с {1} по {2} |
Средняя |
Информация |
Системное |
Агент шлюза успешно стартовал {0} |
Средняя |
Информация |
Системное |
Не удалось добавить новую группу серверов. Тип группы: {0}. Имя группы: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось изменить настройки группы серверов. Имя группы: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить статус группы серверов. Имя группы: {0}. Новый статус: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось удалить группу серверов. ID группы: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось добавить новый сервер. Тип сервера: {0}. Адрес сервера: {1}. ID группы: {2}. Причина: {3} |
Высокая |
Ошибка |
Управление |
Не удалось изменить настройки сервера. ID сервера: {0}. ID группы: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось изменить статус сервера. ID сервера: {0}. Новый статус: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось удалить сервер. ID сервера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось сгенерировать команду установки агента на терминальный сервер. ID сервера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось сгенерировать команду обновления агента на терминальном сервере. ID сервера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось сгенерировать команду удаления агента с терминального сервера. ID сервера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось сгенерировать токен установки агента на терминальный сервер. ID сервера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось опубликовать новое приложение. Имя приложения: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить настройки опубликованного приложения. Имя приложения: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить статус опубликованного приложения. ID приложения: {0}. Новый статус: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось удалить опубликованное приложение. ID приложения: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось добавить политику доступа. ID приложения: {0}. Guid LDAP группы: {1}. Эффект: {2}. Причина: {3} |
Высокая |
Ошибка |
Управление |
Не удалось удалить политику доступа. ID политики доступа: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить пароль администратора системы. Причина: {0} |
Высокая |
Ошибка |
Управление |
Не удалось изменить имя администратора системы. Причина: {0} |
Высокая |
Ошибка |
Управление |
Не удалось удалить брокер. ID брокера: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось создать новую категорию приложений. Название категории: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось обновить категорию приложений. Название категории: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось удалить категорию приложений. ID категории: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось создать новый LDAP-каталог. Имя LDAP-каталога: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить LDAP-каталог. Имя LDAP-каталога: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось удалить LDAP-каталог. ID LDAP-каталога: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось обновить настройки Kerberos. Идентификатор LDAP-каталога: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось создать новый источник виртуализации. Имя источника: {0}, Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить источник виртуализации. ID источника: {0}, Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось удалить источник виртуализации. ID источника: {0}, Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось запустить виртуальную машину. Источник: {0}, ВМ: {1}, Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось остановить виртуальную машину. Источник: {0}, ВМ: {1}, Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось перезапустить виртуальную машину. Источник: {0}, ВМ: {1}, Причина: {2} |
Высокая |
Ошибка |
Управление |
Не удалось создать новую политику. Имя политики: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось обновить политику. Имя политики: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось удалить политику. ID политики: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Приоритеты политик не удалось изменить. Причина: {0} |
Высокая |
Ошибка |
Управление |
Не удалось создать новый шлюз. Название категории: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось обновить шлюз. Название шлюз: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось удалить шлюз. ID шлюз: {0}. Причина: {1} |
Высокая |
Ошибка |
Управление |
Не удалось изменить статус источника виртуализации. Имя источника виртуализации: {0}. Новый статус: {1}. Причина: {2} |
Высокая |
Ошибка |
Управление |
Брокер удален. Имя брокера: {0} |
Высокая |
Информация |
Управление |
Добавлена новая группа серверов. Тип группы: {0}. Имя группы: {1} |
Средняя |
Информация |
Управление |
Изменены настройки группы серверов. Тип группы: {0}. Имя группы: {1} |
Средняя |
Информация |
Управление |
Изменён статус группы серверов. Имя группы: {0}. Новый статус: {1} |
Средняя |
Информация |
Управление |
Удалена группа серверов. Тип группы: {0}. Имя группы: {1} |
Средняя |
Информация |
Управление |
Добавлен новый сервер. Тип сервера: {0}. Адрес сервера: {1}. Имя группы: {2} |
Средняя |
Информация |
Управление |
Изменены настройки сервера. Тип сервера: {0}. Адрес сервера: {1} |
Средняя |
Информация |
Управление |
Изменён статус сервера. Тип сервера: {0}. Адрес сервера: {1}. Новый статус: {2} |
Средняя |
Информация |
Управление |
Удален сервер. Тип сервера: {0}. Адрес сервера: {1} |
Средняя |
Информация |
Управление |
Сгенерирована новая команда установки агента на терминальный сервер. Адрес сервера: {0} |
Средняя |
Информация |
Управление |
Сгенерирована команда обновления агента на терминальном сервере. Адрес сервера: {0} |
Средняя |
Информация |
Управление |
Сгенерирована команда удаления агента с терминального сервера. Адрес сервера: {0} |
Средняя |
Информация |
Управление |
Сгенерирован токен установки агента на терминальный сервер: {0} |
Средняя |
Информация |
Управление |
Опубликовано новое приложение. Имя приложения: {0} |
Средняя |
Информация |
Управление |
Изменены настройки опубликованного приложения. Имя приложения: {0} |
Средняя |
Информация |
Управление |
Изменён статус опубликованного приложения. Имя приложения: {0}. Новый статус: {1} |
Средняя |
Информация |
Управление |
Удалено опубликованное приложение. Имя приложения: {0} |
Средняя |
Информация |
Управление |
Настройки были изменены. Название настроек: {0} |
Средняя |
Информация |
Управление |
Добавлена политика доступа. Имя приложения: {0}. Имя LDAP группы: {1}. Имя каталога: {3}. Эффект: {2} |
Средняя |
Информация |
Управление |
Удалена политика доступа. Имя приложения: {0}. Имя LDAP группы: {1}. Имя каталога: {3}. Эффект: {2} |
Средняя |
Информация |
Управление |
Пароль администратора системы изменён |
Средняя |
Информация |
Управление |
Имя администратора системы изменено |
Средняя |
Информация |
Управление |
Добавлена новая категория приложений. Название категории: {0} |
Средняя |
Информация |
Управление |
Категория приложений была обновлена. Название категории: {0} |
Средняя |
Информация |
Управление |
Категория приложений была удалена. Название категории: {0} |
Средняя |
Информация |
Управление |
Создан новый LDAP-каталог. Имя LDAP-каталога: {0} |
Средняя |
Информация |
Управление |
Изменен LDAP-каталог. Имя LDAP-каталога: {0} |
Средняя |
Информация |
Управление |
Удален LDAP-каталог. Имя LDAP-каталога: {0} |
Средняя |
Информация |
Управление |
Настройки Kerberos были обновлены. Имя LDAP-каталога: {0} |
Средняя |
Информация |
Управление |
Создан новый источник виртуализации. Название источника: {0} |
Средняя |
Информация |
Управление |
Источник виртуализации был обновлен. Название источника: {0} |
Средняя |
Информация |
Управление |
Источник виртуализации был удален. Название источника: {0} |
Средняя |
Информация |
Управление |
Запуск виртуальной машины. Источник: {0}, ВМ: {1} |
Средняя |
Информация |
Управление |
Запуск виртуальной машины с инициализирующим скриптом. Источник: {0}, ВМ: {1} |
Средняя |
Информация |
Управление |
Остановка виртуальной машины. Источник: {0}, ВМ: {1} |
Средняя |
Информация |
Управление |
Перезапуск виртуальной машины. Источник: {0}, ВМ: {1} |
Средняя |
Информация |
Управление |
Создана новая политика. Имя политики: {0} |
Средняя |
Информация |
Управление |
Политика обновлена. Имя политики: {0} |
Средняя |
Информация |
Управление |
Политика удалена. ID политики: {0} |
Средняя |
Информация |
Управление |
Приоритеты политик были изменены |
Средняя |
Информация |
Управление |
Добавлена новый шлюз. Название категории: {0} |
Средняя |
Информация |
Управление |
Шлюз был обновлен. Название шлюз: {0} |
Средняя |
Информация |
Управление |
Шлюз был удален. Название шлюз: {0} |
Средняя |
Информация |
Управление |
Изменён статус источника виртуализации. Имя источника виртуализации: {0}. Новый статус: {1} |
Средняя |
Информация |
Управление |
Запуск виртуального сервера. Адрес сервера: {0}. Имя группы: {1} |
Средняя |
Информация |
Управление |
Остановка виртуального сервера. Адрес сервера: {0}. Имя группы: {1} |
Средняя |
Информация |
Управление |
Создан новый компьютерный аккаунт с именем {0} в LDAP-каталоге {1} |
Средняя |
Информация |
Управление |
Не удалось выполнить синхронизацию с LDAP. Имя LDAP-каталога: {2}. Адрес LDAP-сервера: {0}. Причина: {1} |
Критичная |
Ошибка |
Фоновые задачи |
Не удалось выполнить синхронизацию группы {0} со связанным пулом. Тип группы: {1}. Статус группы: {2}. Причина: {3} |
Критичная |
Ошибка |
Фоновые задачи |
Инкрементальная синхронизация LDAP включена, но предыдущая синхронизация не позволяет сделать ее. Имя LDAP-каталога: {0}. Причина: {1} |
Высокая |
Ошибка |
Фоновые задачи |
Инкрементальная синхронизация LDAP включена, но предыдущая синхронизация не позволяет сделать ее. Имя LDAP-каталога: {0}. Причина: {1}, будет использоваться полная синхронизация |
Средняя |
Предупреждение |
Фоновые задачи |
Начата синхронизация с LDAP. Имя LDAP-каталога: {1}. Адрес LDAP-сервера: {0} |
Средняя |
Информация |
Фоновые задачи |
Завершена синхронизация с LDAP. Имя LDAP-каталога: {2}. Адрес LDAP-сервера: {0}. Потрачено времени (сек): {1} |
Средняя |
Информация |
Фоновые задачи |
Начата инкрементальная синхронизация с LDAP. Имя LDAP-каталога: {1}. Адрес LDAP-сервера: {0} |
Средняя |
Информация |
Фоновые задачи |
Завершена инкрементальная синхронизация с LDAP. Имя LDAP-каталога: {2}. Адрес LDAP-сервера: {0}. Потрачено времени (сек): {1}, записей добавлено: {3}, записей обновлено: {4} |
Средняя |
Информация |
Фоновые задачи |
Начата синхронизация группы {0} со связанным пулом ВМ. Тип группы: {1}. Статус группы перед синхронизацией: {2} |
Средняя |
Информация |
Фоновые задачи |
Завершена синхронизация группы {0} со связанным пулом. Тип группы: {1}. Статус группы перед синхронизацией: {2}. Статус группы после синхронизации: {3} |
Средняя |
Информация |
Фоновые задачи |
- Экспорт данных в CSV
-
Чтобы выполнить экспорт данных в CSV:
-
На портале администрирования в левом меню выберите раздел Журнал событий.
-
Нажмите кнопку
. -
Нажмите Экспорт CSV.
-
Выберите данные для экспорта.
-
Нажмите Экспорт.
-
Выбранные данные экспортированы.
2. Профили пользователей
2.1. Настройка профиля пользователя в терминальной среде Windows
Перемещаемые профили позволяют пользователям получить доступ к своему профилю независимо от того, к какому именно терминальному серверу или виртуальному рабочему месту он подключился. Профиль пользователя включает настройки программ, документы, ветви реестра и прочие настройки, файлы и параметры. При выходе из системы все измененные настройки профиля и документы синхронизируются с файловым сервером.
В этом документе описано, как настроить перемещаемые профили (roaming profiles) на компьютерах пользователей в домене Active Directory (AD) с помощью групповых политик (GPO) для группы доступа пользователей домена.
|
-
При использовании перемещаемых профилей на ТС/ВРМ под управлением Windows Server 2012 R2 сделайте следующее:
-
В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters добавьте новый ключ UseProfilePathExtensionVersion со значением 1 с помощью команды:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters" /v UseProfilePathExtensionVersion /d 1 /t REG_DWORD -
Перезагрузите ТС/ВРМ.
-
-
Создайте в домене AD группу безопасности «RoamingProfilesGroup» и добавьте в нее пользователей и ТС/ВРМ, для и на которых будут использоваться Перемещаемые профили, с помощью консоли Active Directory Users and Computers (ADUC).
-
Создайте и опубликуйте на файловом сервере сетевую папку, в которой будут храниться перемещаемые профили с помощью проводника Windows:
-
На файловом сервере создайте новую папку и назовите ее, например «RoamingProfiles».
-
Предоставьте полный доступ (чтение/запись) для Authenticated users .
-
В свойствах папки перейдите на вкладку Безопасность (Security), нажмите Дополнительно (Advanced), затем нажмите Отключение наследования (Disable Inheritance).
-
В открывшемся окне выберите Преобразовать унаследованные разрешения в явные разрешения этого объекта (Convert inherited permissions into explicit permissions on the object).
-
В списке разрешений NTFS оставьте права:
-
СИСТЕМА (Полный доступ, Для этой папки, ее подпапок и файлов) (SYSTEM (Full control, This folder, subfolders and files))
-
Администраторы (Полный доступ, Для этой папки, ее подпапок и файлов) (Administrators (Full control, This folder, subfolders and files))
-
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Полный доступ, Только для подпапок и файлов) (CREATOR OWNER (Full control, Subfolders and files only))
-
RoamingProfilesGroup (Содержание папки/ чтение данных, Создание папок/ дозапись данных, Только для этой папки) (RoamingProfilesGroup (Folder contents/reading data, Creating folders/writing additional data, This folder))
-
-
-
Создайте в домене AD групповую политику, например «RoamingProfilesGPO».
-
Для групповой политики «RoamingProfilesGPO»:
-
Из фильтров безопасности «RoamingProfilesGPO» удалите Authenticated users и добавьте группу безопасности «RoamingProfilesGroup».
-
Перейдите на вкладку Делегирование (Delegation) и добавьте Authenticated users с разрешением на чтение (Read).
-
-
Откройте групповую политику «RoamingProfilesGPO» на редактирование, перейдите в (), включите параметр Установить путь к перемещаемым профилям для всех пользователей, входящих в систему на данном компьютере (Set roaming profile path for all users logging onto this computer) и укажите в качестве его значения UNC-путь до сетевой папки с профилями пользователей, например \\fileserver.termit.local\RoamingProfiles\%username%.
Путь до папки \\fileserver.termit.local\RoamingProfiles\ используется в качестве примера. Необходимо заменить его на актуальный.
-
Привяжите групповую политику «RoamingProfilesGPO» к Organizational Unit, где располагаются ТС/ВРМ.
-
Включите связь (Link enabled).
2.2. Настройка профиля пользователя в терминальной среде Linux
В этом документе описано, как установить NFS-сервер, настроить папку профиля пользователя и ТС/ВРМ.
В настройке используются:
-
NFS-сервер на РЕД ОС 7.3.х;
-
терминальный сервер на РЕД ОС 7.3.4;
-
Active Directory на Windows Server 2019.
2.2.1. Установка NFS-сервера
-
Разверните сервер.
-
Введите сервер в домен с помощью команды:
join-to-domain.sh -d ‘имя домена’ -n ‘имя сервера’ -u ‘УЗ’ -p ‘Пароль’ –ou "CN=Computers" -f -y -
Установите пакеты
nfs-utils nfs4-acl-toolsс помощью команды:dnf install nfs-utils nfs4-acl-tools -
Добавьте автостарт с помощью команды:
systemctl enable --now nfs-server.service -
Проверьте запуск с помощью команды:
systemctl status nfs-server.service
После успешного запуска NFS-сервера его статус изменится на «active».
2.2.2. Настройка папки для профилей
-
Создайте папку с помощью команды:
mkdir -p /srv/nfs/home -
Назначьте права доступа на папку с помощью команд:
chgrp 'Пользователи домена' /srv/nfs/home chmod g+w /srv/nfs/home -
Настройте доступ к папке с помощью команд:
echo "/srv/nfs/home *(rw,sync,no_subtree_check,no_root_squash)" | tee -a /etc/exports exportfs -vra (работает при su -)Вместо * необходимо прописать IP-адрес или подсеть IP-адресов, с которых будет разрешен доступ.
2.2.3. Настройка терминального сервера
-
Установите пакет
autofsс помощью команды:dnf install autofs -
Добавьте автостарт с помощью команд:
sudo systemctl enable autofs sudo systemctl restart autofs -
Разрешите процессу mkdirhome права на запись с помощью команд:
ausearch -c 'mkhomedir' --raw | audit2allow -M my-mkhomedir semodule -X 300 -i my-mkhomedir.pp -
Добавьте разрешение для NFS и SELinux с помощью команды:
setsebool -P use_nfs_home_dirs on -
Перезапустите систему с помощью команды:
sudo reboot
Далее войдите в систему под пользователем, для которого было настроено перенаправление папок и проверьте, что:
-
вход выполнен успешно;
-
нет ошибок;
-
папка создалась на удаленном сервере.
Unresolved include directive in modules/admin-guide/pages/index.adoc - include::gls-balancing.adoc[] :leveloffset: +1
Ручное изменение портов в файле конфигурации шлюза и агента
Для подключения к терминальным серверам по умолчанию используются порты:
-
для Linux — 22
-
для Windows — 3389
X2Go-сессии
-
Чтобы изменить порт на шлюзе удаленного доступа и на агенте:
-
В файле конфигурации шлюза и агента
/etc/ssh/sshd_config(для ALT Linux —/etc/openssh/) измените параметр Port. Например:Port 2222 -
(Только для РЕД ОС) Разрешите работу в SELinux с помощью команды:
semanage port -a -t ssh_port_t -p tcp 2222 -
Перезагрузите sshd с помощью команды:
sudo systemctl restart sshd -
В файле конфигурации агента
/etc/termit-agent/configизмените параметр TERMIT_AGENT_X2GO_PORT. Например:TERMIT_AGENT_X2GO_PORT=2222 -
Перезапустите агент с помощью команды:
systemctl restart termit-agent
-
После изменения порта запустите терминальную сессию.
RDP-сессии
-
Чтобы изменить порт на шлюзе удаленного доступа:
-
В файле конфигурации
/etc/ssh/sshd_configизмените параметр Port. Например:Port 13389 -
(Только для РЕД ОС) Разрешите работу в SELinux с помощью команды:
semanage port -a -t ssh_port_t -p tcp 13389 -
Перезагрузите sshd с помощью команды:
sudo systemctl restart sshd
-
-
Чтобы изменить порт на агенте:
-
В файле конфигурации агента
"C:\Program Files\TermitAgent\config\config"измените параметр TERMIT_AGENT_RDP_PORT. Например:TERMIT_AGENT_RDP_PORT=13389 -
Перезапустите агент с помощью команды:
Restart-Service termit-agent -Force -
В файле конфигурации агента
"C:\ProgramData\ssh\sshd_config"измените параметр Port. Например:Port 13389 -
Перезапустите сервис с помощью команды:
Restart-Service sshd -Force
-
После изменения порта запустите терминальную сессию.
1. Расположение лог-файлов
Брокер
Компонент брокер состоит из нескольких Docker-контейнеров.
-
Чтобы получить логи конкретного контейнера, выполните команду:
sudo docker logs (%Имя_контейнера% или %ID_контейнера%) -
Чтобы узнать имена контейнеров Termit, выполните команду:
sudo docker ps -a --format "{{.Names}}" | grep "^termit" -
Сохраните логи контейнера в файл с помощью команды:
sudo docker logs (%Имя_контейнера% или %ID_контейнера%) > %Имя_файла.txt%Где файл
%Имя_файла.txt%будет сгенерирован в текущей директории, иначе необходимо указать полный путь к файлу.
|
Если необходимо узнать статус Docker-контейнеров:
|
Агент
Настройка логирования на агенте
В файле config, который расположен по пути:
-
Windows:
C:\Program Files\TermitAgent\config\ -
Linux:
/etc/termit-agent/
Можно изменить переменные окружения для настройки логирования на агенте:
-
TERMIT_AGENT_LOGGING_LEVEL— уровень логирования (ERROR, WARN, INFO, DEBUG, TRACE); -
TERMIT_AGENT_LOG_DELETE_DAYS— количество дней для хранения логов; -
TERMIT_AGENT_LOG_ROTATION_SIZE_MB— объем ротации файлаagent.logв МБ. Лог-файлы агента можно посмотреть по следующему пути:
Лаунчер
Лог-файлы лаунчера можно посмотреть по следующему пути:
- Windows
-
%USERPROFILE%/.termit/logs/agent-session-launcher.logПример пути:
C:\Users\termitadmin\.termit\logs\agent-session-launcher.log. - Linux
-
$HOME/?/.termit/logs/agent-session-launcher.logПример пути:
/home/termitadmin@termit/?/.termit/logs/agent-session-launcher.log
Десктоп-клиент
Лог-файлы десктоп-клиента можно посмотреть по следующему пути:
- Windows
-
%USERPROFILE%\AppData\Roaming\termit-desktop\logs\main.log - Linux
-
~/.config/termit-desktop/logs/main.log - MacOS
-
~/Library/Logs/termit-desktop/main.log
|
Для интерактивного просмотра лог-файлов десктоп-клиента:
|
X2Go
Лог-файлы X2Go можно посмотреть по следующему пути:
- Windows
-
%USERPROFILE%\AppData\Roaming\termit-desktop\logs\termit-x2goclient.log - Linux
-
$HOME/.config/termit-desktop/logs/termit-x2goclient.log
RDP
Лог-файлы RDP можно посмотреть по следующему пути:
- Windows
-
%USERPROFILE%\AppData\Roaming\termit-desktop\logs\termit-rdp-win32-client.log
Экспорт логов десктоп-клиента и сведений о системе
Для экспорта логов десктоп-клиента и сведений о системе:
-
В левом меню десктоп-клиента нажмите на иконку профиля пользователя > О программе.
-
Нажмите и удерживайте 2 секунды левую кнопку мыши на строке с версией программы. Откроется окно Информация о системе, где отображаются:
-
версия ОС, имя хоста и FQDN;
-
сетевые интерфейсы;
-
процессор;
-
установленные принтеры;
-
аудиоустройства;
-
графические ускорители и дисплеи.
-
-
Нажмите Сохранить в файл, чтобы получить архив, содержащий:
-
лог десктоп-клиента;
-
логи протокольных клиентов (X2GO/RDP, если они запускались);
-
файл
systeminfo.jsonс указанной информацией о системе.
-
Эти файлы можно приложить к обращению в техподдержку, чтобы ускорить диагностику.
2. Политики
|
Только для x2go клиентов. |
Политика - это правило применения набора типизированных настроек для указанной комбинации пользователя и так называемого инфраструктурного объекта применения, а именно группы серверов.
Пользователь с ролью Администратор управляет политиками системы, адаптируя их под текущие потребности других пользователей.
- Статусы политик
-
У каждой политики может быть три статуса:
| Статус | Описание |
|---|---|
Включена |
Политика активна и применяется при запуске сессии |
Моделирование |
Политика находится на моделировании, но не применяется в сессии |
Выключена |
Политика не участвует ни в моделировании, ни в сессии |
Настройки политик
| Политика носит разрешающий характер. Она снимает ограничение на использование соответствующей функции со стороны серверной части, но не переопределяет настройки клиентского приложения. Для фактической работы функции её необходимо также включить в настройках используемого десктоп-клиента. |
В Termit можно выполнить следующие категории настроек политик:
Перенаправление устройств и ресурсов
Для обеспечения автоматического применения политики перенаправления устройств, заданные пользователем с ролью Администратор, при открытии ТС на Linux серверах, необходимо настроить политику перенаправления устройств и ресурсов.
С помощью политики Перенаправление устройств и ресурсов можно централизованно управлять тем, какие устройства (например, микрофоны или смарт-карты) разрешено использовать в терминальной сессии.
При выборе категории Перенаправление устройств и ресурсов доступны к выбору следующие настройки политики:
-
Перенаправление буфера обмена.
-
Перенаправление звука и микрофона.
-
Перенаправление файловой системы (локальных дисков).
-
Перенаправление смарт-карт.
Управление профилями
Чтобы обеспечить возможность доступа пользователя к собственным данным с любого ТС используется перемещаемый профиль.
При завершении работы пользователя на ТС все файлы из домашнего каталога копируются в сетевой каталог. Все файлы из сетевого каталога копируются автоматически в домашний каталог при возобновлении работы с другого устройства.
При выборе категории Управление профилями доступны к выбору следующие настройки политики:
-
Перемещаемые профили: путь к домашнему каталогу.
-
Перемещаемые профили.
Подробнее о настройке перемещаемых профилей в разделе.
Печать
Политика Печать позволит централизованно управлять принтерами, подключенные к локальным ПК и их использование в терминальной сессии.
При выборе категории Печать доступны к выбору следующие настройки политики:
-
Доступ к принтерам локального компьютера.
Подробнее о создании политики.
Моделирование политики
Для удобства подготовки политики к работе предусмотрен процесс моделирования для каждой политики.
При процессе моделирования выбранная политика не влияет на работу Termit, а предоставляет возможность пользователю просмотреть модель её работы с помощью средств моделирования без необходимости её фактического применения.
Подробнее в разделе.
Unresolved include directive in modules/admin-guide/pages/index.adoc - include::add-gold-image[] :leveloffset: +1
Отправка метрик во внешнюю систему мониторинга
Шаблон предоставляет предварительно настроенные правила обнаружения, элементы данных и панели, которые используются для мониторинга показателей среды Termit.
Шаблон включает правила обнаружения по следующим категориям показателей:
-
Серверы брокеров.
-
Терминальные серверы.
-
Серверы шлюзов.
Ниже описаны принцип работы и процесс настройки Zabbix на Termit.
Общие требование
Поддерживаются следующие версии программ:
-
Zabbix не ниже версии 6.2.
-
Termit не ниже версии 2.4.
-
Zabbix Agent 1 и 2 не ниже версии 6.2.
Принцип работы
Сбор метрик идет через REST API и стандартные проверки через Zabbix Agent. Для сбора метрик используются шаблоны:
-
Template Termit Data - основной шаблон Termit. Создает автоматически узлы терминальных серверов Linux/Windows, шлюзов и брокеров.
-
Template Termit Broker Server - основной шаблон для брокер серверов.
-
Template Termit Gateway Server - основной шаблон для шлюзов удаленного доступа.
-
Template Termit Linux Terminal Server - основной шаблон для терминальных серверов на ОС Linux.
-
Template Termit Windows Terminal Server - основной шаблон для терминальных серверов на ОС Windows.
-
Windows by Zabbix agent - исходный шаблон Zabbix для ОС Windows.
-
Linux by Zabbix agent - исходный шаблон Zabbix для ОС Linux.
-
Website certificate by Zabbix agent 2 - исходный шаблон Zabbix для проверки сертификатов.
Подготовка к настройке
-
Импортируйте файл шаблона для Zabbix в Zabbix Server.
-
В шаблоне
Template Termit Dataзаполните макросы:-
{$BROKER.SITE}- внутреннее имя брокера Termit. -
{$CERT.WEBSITE.HOSTNAME}- внутреннее имя брокера Termit. -
{$TERMIT.ADMIN.PASS}- пароль локального администратора.
-
-
В шаблоне
Template Termit Broker Serverзаполните макросы:-
{$TERMIT.DB}- FQDN сервер базы данных. -
{$CERT.WEBSITE.HOSTNAME}- внутреннее имя брокера Termit.
-
-
Создайте группы узлов для брокера серверов в Zabbix Server с именем
termit_broker. -
Укажите в DNS имена БД, шлюзов удаленного доступа и брокеров,которые указали при установке Termit, для корректного автопоиска.
-
Установите Zabbix Agent:
-
на терминальные серверы и шлюзы - версию 1;
-
на брокеры - версию 2.
-
Процесс настройки
Для настройки отправки метрик во внешнюю систему мониторинга Zabbix:
-
Создайте узел с именем, аналогичным с внутренним именем брокера, например termit.domain.di.
-
Добавьте созданный узел в группу
termit_broker. -
Прикрепите шаблон
Template Termit Dataи Website certificate by Zabbix agent 2 к созданному узлу.
В результате настройки создадутся автоматически узлы терминальных серверов на ОС Linux/Windows, шлюзов удаленного доступа и брокеров, а так же добавятся выбранные группы узлов с нужными шаблонами.
|
Если необходимо ручное создание узлов, то в шаблоне |
1. Настройка аутентификации по смарт-картам
Аутентификация пользователей с использованием смарт-карт возможна с рабочих станций на ОС Windows и ОС Linux. Смарт-карты могут использоваться в качестве метода многофакторной аутентификации на портале администрирования, брокере и в корпоративных приложениях. Одно из требований использования смарт-карт для аутентификации — это наличие балансировщиков нагрузки перед брокерами.
Требования к архитектуре
В инфраструктуре Termit должен использоваться балансировщик нагрузки перед брокерами, настроенный по инструкции из раздела Установка и настройка HAProxy.
Требования к сертификату
-
В «Точках распространения списков отзыва (CRL)» необходимо указать путь до CRL в формате URL=http:// , и соответственно нужно, чтобы CRL-файл был опубликован по этому пути.
-
SAN (дополнительное имя субъекта) — Имя субъекта=%UPN%, где %UPN% — User Principal Name, например user1@termit.local.
-
Опубликованный по http CRL-файл не старше 7 дней.
-
Использования ключа — Цифровая подпись, Шифрование ключей (a0).
-
Улучшенный ключ:
-
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2);
-
Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2).
-
-
При работе с Центром сертификации Active Directory рекомендуется использовать шаблон «Вход по смарт-карте» или его копию.
Требования к смарт-картам
-
К клиентской машине может быть подключена одна смарт-карта.
-
Смарт-карты Рутокен Lite и JaCarta LT не подходят для аутентификации на терминальных серверах (ТС) и виртуальных рабочих местах (ВРМ) под управлением ОС Linux.
Настройка системы
|
Перед настройкой аутентификации по смарт-картам, убедитесь, что можете открыть опубликованные на ТС/ВРМ приложения через Termit с использованием логина/пароля или SSO. |
Настройка балансировщиков нагрузки
Для корректной работы аутентификации пользователей с помощью смарт-карт, балансировщик нагрузки должен передавать клиентский сертификат брокеру. Это необходимо, чтобы брокер мог проверить подлинность пользователя и сопоставить его с учётной записью. В HAProxy это реализуется с помощью настроек в секции frontend, обслуживающей HTTPS-трафик - frontend termit_https. Остальные настройки HAProxy до изменения должны соответствовать рекомендуемым в инструкции.
|
Если используется другой балансировщик нагрузки, необходимо настроить аналогичную передачу клиентского сертификата, чтобы брокер мог выполнять аутентификацию пользователей по смарт-картам. |
Для настройки балансировщика нагрузки HAProxy при использовании смарт-карты выполните следующие шаги:
-
Измените файл конфигурации
/etc/haproxy/haproxy.cfgна внутреннем и (при наличии) внешних балансировщиках:Пример конфигурации для внутреннего балансировщика в режиме SSL Bridging
Измените строку с:
bind :443 ssl crt /etc/haproxy/cert.pemна следующее значение:
bind :443 ssl crt /etc/haproxy/cert.pem force-tlsv12 ca-file /etc/haproxy/ca-clients.pem verify optional http-request set-header X-SSL-Client-Cert "-----BEGIN CERTIFICATE-----%{+Q}[ssl_c_der,base64]-----END CERTIFICATE-----"где
/etc/haproxy/ca-clients.pem- корневой сертификат (CA), которым подписаны клиентские сертификаты десктоп-клиентов.Пример конфигурации для внешнего балансировщика в режиме SSL Bridging
Измените строку с:
bind :443 ssl crt /etc/haproxy/external-lb-cert.pemна следующее значение:
bind :443 ssl crt /etc/haproxy/external-lb-cert.pem force-tlsv12 ca-file /etc/haproxy/ca-clients.pem verify optional http-request set-header X-SSL-Client-Cert "-----BEGIN CERTIFICATE-----%{+Q}[ssl_c_der,base64]-----END CERTIFICATE-----"где
/etc/haproxy/ca-clients.pem- корневой сертификат (CA), которым подписаны клиентские сертификаты десктоп-клиентов. -
Проверьте отредактированный файл конфигурации с помощью команды:
sudo haproxy -f /etc/haproxy/haproxy.cfg -cВывод команды не должен содержать ошибок. Предупреждения (warnings) не являются ошибками.
-
Перезапустите службу с помощью команды:
sudo systemctl restart haproxy -
Проверьте доступность Termit по URL адресу, указанному при установке брокера.
Если используется другой балансировщик нагрузки, необходимо настроить аналогичную передачу клиентского сертификата, чтобы брокер мог выполнять аутентификацию пользователей по смарт-картам.
Аутентификация в десктоп-клиенте и на портале администрирования на ОС Windows
Для аутентификации в десктоп-клиенте и на портале администрирования на ОС Windows с ТС на ОС Windows по смарт-карте необходимо выполнить следующие шаги:
-
Сконфигурируйте балансировщик нагрузки по инструкции.
-
Добавьте сертификат центра сертификации, которым подписан сертификат смарт-карты, в доверенные в UI брокера.
-
Установите на клиентскую машину драйвер смарт-карты.
-
Убедитесь, что сертификат со смарт-карты соответствует требованиям.
-
Убедитесь, что сертификат со смарт-карты импортирован в Личные сертификаты пользователя.
Аутентификация в десктоп-клиенте и на портале администрирования на ОС Linux
|
Не работает аутентификация по смарт-карте с десктоп-клиента на ОС Linux на терминальный сервер/ВРМ на ОС Windows. |
Для аутентификации в десктоп-клиенте и на портале администрирования по смарт-карте необходимо выполнить следующие шаги:
-
Добавьте PKCS#11 библиотеку используемого устройства в базу данных NSS, чтобы браузер и приложения могли получать доступ к сертификатам, хранящимся на смарт-карте. Пример для Рутокен:
modutil -dbdir sql:$HOME/.pki/nssdb/ -add "rutoken test" -libfile /opt/aktivco/rcc/librtpkcs11ecp.so -mechanisms FRIENDLYДля других типов смарт-карт необходимо указать соответствующую PKCS#11 библиотеку, предоставляемую производителем устройства.
-
Проверьте, что токен подключен в один из слотов с помощью команды:
modutil -dbdir sql:$HOME/.pki/nssdb/ -list -
Сконфигурируйте балансировщик нагрузки по инструкции.
-
Добавьте сертификат центра сертификации, которым подписан сертификат смарт-карты, в доверенные в UI брокера.
-
Установите на клиентскую машину драйвер смарт-карты.
-
Убедитесь, что сертификат со смарт-карты соответствует требованиям.
Аутентификация в приложениях на ТС/ВРМ под управлением ОС Windows
|
Аутентификация работает только с десктоп-клиента на ОС Windows. |
Для аутентификации в приложениях на ТС/ВРМ под управлением ОС Windows необходимо выполнить следующие шаги:
-
Установите драйвер смарт-карты на терминальный сервер.
-
Убедитесь, что в политиках Termit разрешён проброс смарт-карт.
-
Убедитесь, что в настройках десктоп-клиента включен проброс смарт-карт.
-
Аутентифицируйтесь в десктоп-клиенте по смарт-карте после соответствующих настроек.
Аутентификация в приложениях на ТС/ВРМ под управлением ОС Linux
Для аутентификации в приложениях на ТС/ВРМ под управлением ОС Linux необходимо выполнить следующие шаги:
-
Установите драйвер смарт-карты на терминальный сервер. Обычно присутствует в ОС Linux.
-
Установите библиотеку PKCS#11 на терминальный сервер. Например, соответствующую библиотеку для rutoken можно скачать по ссылке https://www.rutoken.ru/support/download/pkcs/, выбрав нужный файл.
-
На Astra Linux и Debian терминальных серверах установите пакет krb5-pkinit на терминальный сервер. Данный шаг пропускается для других ОС.
-
Внесите следующие изменения в файл /etc/krb5.conf в секции [libdefaults] на терминальном сервере:
-
Добавьте параметр pkinit_anchors (можно задать несколько пар параметр-значение), и в качестве значения укажите путь до корневого сертификата в формате
PEMцентра сертификации, который сгенерировал сертификат, записанный на смарт-карту, с префиксом «FILE:». Например,pkinit_anchors = FILE:/certs/ca.pem. -
Добавьте параметр pkinit_identities (можно задать несколько пар параметр-значение), и в качестве значения укажите путь до библиотеки PKCS#11, соответствующей используемым смарт-картам, с префиксом «PKCS11:». Например,
pkinit_identities = PKCS11:/opt/aktivco/rutokenecp/x86_64/librtpkcs11ecp.so.
-
-
В файл /etc/krb5.conf в секцию [realms] добавьте нужный realm домена:
pkinit_kdc_hostname=ad.termit.local pkinit_eku_checking=kpServerAuth -
Убедитесь, что настроена аутентификация по сертификатам в ` sshd_config`. Учтите, что параметр
AuthenticationMethodsбудет только со значениемpublickey, например:TrustedUserCAKeys /etc/termit-agent/termit-ssh-ca.pub AuthenticationMethods publickey Match User ИМЯ_АДМИНИСТРАТОРА_СИСТЕМЫ AuthenticationMethods password publickey Match allПодробнее в разделе.
-
Убедитесь, что в политиках Termit разрешён проброс смарт-карт.
-
Убедитесь, что в настройках десктоп-клиента включен проброс смарт-карт.
-
Аутентифицируйтесь в десктоп-клиенте по смарт-карте после соответствующих настроек.