Перейти до змісту

ПОКРОКОВИЙ ПОСІБНИК З НАЛАШТУВАННЯ BASTION. ЧАСТИНА 2

1. ІНТЕГРАЦІЯ З ACTIVE DIRECTORY

1.1 Мета

Мета цього прикладу конфігурації — описати, як легко інтегрувати Bastion з Active Directory (AD) і зіставити групи цього AD з групами вашого Bastion, щоб налаштувати відповідні авторизації для цих користувачів.

1.2 Оголошення Active Directory

У цьому прикладі конфігурації вибрано метод "Bind", щоб підключити Bastion до Active Directory. Цей метод передбачає створення користувача Bind, у нашому випадку WallixBind, щоб Bastion міг використовувати цього користувача для перевірки автентифікації первинних користувачів через AD.

Створення користувача WallixBind в AD:

  1. Створіть користувача "WallixBind"
  2. Натисніть "Далі"
  3. Вкажіть пароль
  4. Зніміть позначку "Користувач повинен змінити пароль при вході"
  5. Виберіть "Пароль ніколи не закінчується"
  6. Натисніть "Далі" → "Готово"
  7. Відкрийте властивості користувача та додайте його до груп: "Administrators" та "Domain Users"

Налаштування в Bastion:

  1. Підключіться до інтерфейсу Bastion з обліковим записом адміністратора
  2. Перейдіть до "Конфігурація" → вкладка "Зовнішні автентифікації"
  3. Натисніть "Додати автентифікацію"
  4. Заповніть:
  5. Тип автентифікації: "LDAP"
  6. Ім'я автентифікації
  7. IP-адреса сервера AD
  8. Позначте "Active Directory" (автоматично заповнить атрибути)
  9. Ім'я домену
  10. Common Name для WallixBind з ім'ям домену
  11. Пароль WallixBind
  12. Перевірте налаштування
  13. "Застосувати"

1.3 Зіставлення AD з Bastion

В AD створіть:

  • Групу "AdminLinux" для доступу до Linux
  • Групу "AdminWindows" для доступу до Windows
  • Користувача (наприклад, "privilegeduser") в обох групах (пароль без зміни та без закінчення терміну дії)

В Bastion:

  1. "Користувачі" → вкладка "Групи" → "Додати групу"
  2. Створіть групи: "Linux_Team" та "Windows_Team"

Зіставлення груп AD з групами Bastion:

  1. "Конфігурація" → вкладка "Домени LDAP/AD" → "Додати домен"
  2. Заповніть:
  3. Ім'я домену
  4. Позначте "Ім'я домену за замовчуванням"
  5. Назва для домену LDAP/AD
  6. Виберіть "Active Directory"
  7. Виберіть "wallix.local" як зовнішню автентифікацію
  8. Використовуйте '>' для вибору автентифікації
  9. Вкажіть домен електронної пошти за замовчуванням
  10. Зіставте:
  11. "Linux_Team" з "CN=AdminLinux,CN=Users,DC=wallix,DC=local" (натисніть '+')
  12. "Windows_Team" з "CN=AdminWindows,CN=Users,DC=wallix,DC=local" (натисніть '+')
  13. "Застосувати"

1.4 Створення відповідних груп цільових систем та авторизацій

Створення груп цільових систем:

  1. "Цільові системи" → "Групи" → "Додати"
  2. Назва: "Linux_Access" → "Застосувати"
  3. Вкладка "Цільові системи керування сеансами" → "Обліковий запис" → "Додати"
  4. Виберіть "Пристрій та пов'язаний локальний обліковий запис" → пристрій "DEBIAN" → обліковий запис "Debian" → "Додати та закрити"
  5. Для Windows: аналогічно, але "Пристрій та глобальні облікові записи" → "Windows2019" → "administrator"

Створення авторизацій:

Для Linux:

  1. "Авторизації" → "Додати авторизацію"
  2. Група користувачів: "Linux_Team"
  3. Група цільових систем: "Linux_Access"
  4. Назва: "Linux_Access"
  5. Увімкніть "Дозволити протоколи/субпротоколи сеансів"
  6. Виберіть відповідні протоколи → '>'
  7. Позначте "Увімкнути запис сеансу" та "Увімкнути отримання пароля"
  8. "Застосувати"

Для Windows:

  1. Аналогічно, але група користувачів "Windows_Team", група цільових систем "Windows_Access", назва "Windows_Access"

Перевірка:

  1. Увійдіть до Bastion як "privilegeduser"
  2. Ви побачите авторизовані цільові системи Windows та Linux