Przejdź do treści
Polski
Zaloguj się
Kontakt z nami
  • Brak sugerowanych wyników, ponieważ pole wyszukiwania jest puste.

Rozpoczęcie pracy z funkcją Password Management

Zarządzanie poświadczeniami w Syteca On-Premises

Zarządzanie poświadczeniami w Syteca PAM

Funkcja Password Management (wraz z funkcją Account Discovery) stanowi integralny element funkcjonalności Privileged Access Management (PAM) w systemie Syteca. Umożliwia bezpieczne przechowywanie danych dostępowych do współdzielonych kont uprzywilejowanych w postaci poświadczeń (secrets), które są zapisywane w bazie danych w formie zaszyfrowanej, oraz pozwala wdrożyć kontrolę dostępu opartą na rolach. System obsługuje podejście JIT (Just-in-Time) w zarządzaniu dostępem uprzywilejowanym.

Uwaga: Funkcja dostępna wyłącznie po aktywacji numeru seryjnego licencji produktu, który zawiera aplikację Password Management oraz odpowiednią liczbę licencji stanowiskowych PAM.

Uwaga: Licencje PAM muszą zostać przypisane do użytkowników (na stronie Users), aby mogli oni korzystać z funkcji PAM — tj. uzyskać dostęp do zakładek Password Management i Account Discovery w Konsoli Zarządzania, a także do aplikacji Syteca Connection Manager na komputerze z systemem Windows, pełniącym funkcję serwera pośredniczącego (jump server) do łączenia się z kontami uprzywilejowanymi za pomocą odpowiednich poświadczeń (secrets).

Uwaga: Syteca Connection Manager wymaga zainstalowanego środowiska .NET Framework 4.8 na komputerze, na którym będzie używana ta aplikacja.

image2024-10-31_12-8-4

Spis treści

  1. Konfigurowanie komputera Klienta

  2. Dodawanie i konfigurowanie poświadczeń (secrets)

  3. Korzystanie z poświadczeń

  4. Podsumowanie wymaganych aplikacji zewnętrznych

1. Konfigurowanie komputera Klienta

Aby skonfigurować komputer z systemem Windows jako klienta z aktywowanym Syteca Connection Manager, wykonaj następujące kroki:

  • Zaloguj się do Konsoli Zarządzania.

  • Kliknij zakładkę Zarządzanie agentami monitorowania w menu nawigacyjnym po lewej stronie.

  • W zakładce Zarządzanie agentami monitorowania znajdź komputer z systemem Windows, który będzie pełnił funkcję serwera pośredniczącego (jump server), i kliknij jego nazwę w kolumnie Nazwa agenta monitorowania.

Uwaga: Serwer pośredniczący wymagany jest tylko w przypadku, gdy na komputerze z Connection Managerem mają być uruchamiane dwie lub więcej sesji jednocześnie. Zaleca się, aby był to system Windows Server w celu zapewnienia poprawnego działania Connection Managera.

  • W zakładce Właściwości przewiń do sekcji Tryb agenta monitorowania i zaznacz następujące opcje:

    • Włącz tryb Jump Server – włącza Syteca Connection Manager na komputerze.

    • Zamień Windows Shell na Syteca Connection Manager – opcjonalnie uruchamia tylko okno Connection Managera zamiast pełnego pulpitu systemu Windows.

image2024-10-31_16-16-33

image2024-10-18_14-54-51

Uwaga: Jeśli korzystasz z niestandardowej powłoki systemu Windows, skrót do Connection Managera może nie być widoczny na pulpicie, ale znajduje się w folderze:

C:\Users\Public\Desktop

  • W zakładce Opcje uwierzytelniania przewiń do sekcji Two-Factor Authentication (2FA) i dodatkowe uwierzytelnianie i zaznacz opcję:

    • Włącz dodatkowe uwierzytelnianie użytkownika podczas logowania – umożliwia użytkownikom komputera Klienta uzyskanie dostępu do poświadczeń.

image2024-10-17_15-30-8

Uwaga: W przypadku użytkowników domeny Active Directory nie trzeba włączać uwierzytelnienia dodatkowego.

  • Kliknij przycisk Zakończ, aby zapisać konfigurację.

2. Dodawanie i konfigurowanie poświadczeń (secrets)

Poświadczenia kont uprzywilejowanych są przechowywane w tzw. tajnych danych (secrets).

Aby utworzyć i skonfigurować dowolny typ poświadczenia, które będzie służyć do zarządzania kontem uprzywilejowanym i uzyskiwania do niego dostępu, wykonaj poniższe kroki:

  • Zaloguj się do Konsoli Zarządzania i kliknij „Zarządzanie poświadczeniami” w menu po lewej stronie.

  • Na stronie „Zarządzanie poświadczeniami”, w zakładce „Poświadczenia”, kliknij przycisk Dodaj (w prawym górnym rogu strony).

Uwaga: Tylko użytkownicy dodani bezpośrednio jako indywidualni użytkownicy (a nie jedynie poprzez grupy Active Directory) mogą dodawać poświadczenia lub foldery. Szczegóły znajdziesz w sekcji dotyczącej problemów i komunikatów o błędach Konsoli Zarządzania.

  • W oknie „Dodaj poświadczenie”, na karcie Właściwości, wprowadź następujące informacje:

    1. Nazwa poświadczenia: Unikalna nazwa.

    2. Typ poświadczenia: Wybierz typ (konto Active Directory / konto Windows / konto Unix (SSH) / konto Unix (Telnet) / konto Web / konto MS SQL).

    3. Opis: (opcjonalnie)

    4. Aktualny folder: Możesz zmienić folder, w którym poświadczenie zostanie zapisane (widok drzewa folderów).

  • W sekcji Konto podaj szczegóły zdalnego konta, z którym użytkownicy będą się łączyć poprzez Syteca Connection Manager:

    1. W zależności od typu poświadczenia:

      1. Domena – nazwa domeny Active Directory

      2. Nazwa komputera – nazwa hosta lub adres IP

      3. URL – dla kont Web

      4. Serwer – adres hosta z bazą danych MS SQL (można dodać port, oddzielając przecinkiem)

    2. Login – nazwa użytkownika konta, do którego będzie dostęp

    3. Hasło – aktualne hasło do tego konta

    4. (Tylko dla typu konta Active Directory): Zaznacz pole Zezwól na połączenia tylko z wybranych komputerów, a następnie wskaż konkretne komputery.

UWAGA: Dla kont Unix (SSH) można zamiast hasła użyć klucza SSH – należy wtedy przesłać plik PPK z kluczem prywatnym i podać hasło do klucza.

UWAGA: W przypadku kont Windows i Unix (SSH) dostępna jest funkcja przesyłania plików – zobacz stronę: Transfer plików przy użyciu aplikacji WinSCP.

image2024-10-17_16-30-58

Zakładka: Automatyzacja

(Dla poświadczeń typu: konto Active Directory, Windows, Unix (SSH) oraz MS SQL)

Jeśli chcesz korzystać z funkcji zdalnej rotacji haseł, wykonaj następujące kroki:

  • Zaznacz pole Włącz zdalną rotację hasła, aby umożliwić automatyczną (lub ręczną) zmianę hasła konta oraz zapisanego poświadczenia.

Uwaga: Po utworzeniu poświadczenia, przy jego edycji pojawi się przycisk Obróć teraz, który umożliwia ręczną zmianę hasła w dowolnym momencie.

  • Wybierz częstotliwość rotacji hasła, zaznaczając opcję Rotuj hasło co i określając interwał czasowy.

Uwaga: Aby rotacja haseł działała, w przypadku kont Windows i Unix (SSH) konieczne jest wcześniejsze spełnienie warunków na zdalnym hoście (czyli na komputerze, z którym łączy się poświadczenie).

Uwaga: Jeśli rotacja zakończy się niepowodzeniem, poświadczenie zostanie oznaczone czerwonym okręgiem w liście poświadczeń, a szczegóły błędu pojawią się na stronie Stan systemu. Od tego momentu dalsza rotacja nie będzie się odbywać.

image2024-10-17_16-30-44

Zakładka: Bezpieczeństwo

Na tej zakładce można aktywować nagrywanie aktywności użytkownika oraz skonfigurować funkcję wypożyczenia poświadczenia:

  • Nagrywaj aktywność użytkownika podczas korzystania z poświadczenia – zaznacz, aby rejestrować działania użytkownika tylko wtedy, gdy jest połączony z kontem za pomocą Connection Managera.

  • Wymaga wypożyczenia – zaznacz, aby tylko jeden użytkownik mógł w danym momencie korzystać z poświadczenia.

  • Zmieniaj hasło po zwrocie – automatyczna zmiana hasła przy każdorazowym zwrocie (dotyczy AD, Windows, Unix SSH, MS SQL).

  • Automatycznie zwróć poświadczenie po upływie: – umożliwia określenie limitu czasu, po którym następuje automatyczne wylogowanie użytkownika i zwrot poświadczenia.

  • Wymuś zwrot (przycisk) – umożliwia ręczne, natychmiastowe odłączenie użytkownika.

image2024-10-17_16-30-6

Zakładka: Uprawnienia

Tutaj możesz przypisać użytkowników lub grupy użytkowników, którzy będą mieli dostęp do danego poświadczenia:

  • Określ typ roli: Właściciel, Edytor, Użytkownik PAM.

  • Możesz też nadać uprawnienia zaawansowane:

    • Przesyłanie plików – umożliwia korzystanie z WinSCP do transferu plików między komputerem lokalnym a hostem.

    • Wyświetl hasło – użytkownik może zobaczyć hasło w Connection Managerze.

    • Kopiuj hasło – użytkownik może skopiować hasło z poziomu Connection Managera.

image2024-10-17_16-29-48

Uwaga: Uprawnienia i role mogą być odziedziczone z folderu nadrzędnego – wystarczy zaznaczyć odpowiednie pola dziedziczenia.

Uwaga: Domyślny użytkownik admin (root) ma dostęp do wszystkich poświadczeń.

Zakładka: Ograniczenia

Służy do ustalenia reguł kontroli dostępu:

  • Dostęp bez ograniczeń – brak restrykcji.

  • Zawsze wymagaj zatwierdzenia dostępu – każdorazowa próba użycia wymaga zgody.

  • Zezwalaj na dostęp w godzinach pracy bez zatwierdzenia – określ dni, godziny i przedział dat, w których dostęp jest swobodny.

Dodatkowo:

  • Użytkownicy mogący zatwierdzać dostęp: wskaż osoby uprawnione do akceptowania próśb.

  • Właściciele i zatwierdzający również wymagają zgody – dodatkowa kontrola nad najważniejszymi użytkownikami.

Uwaga: Zatwierdzenia są przesyłane e-mailem. Zgody można udzielać przez link w wiadomości lub w Konsoli Zarządzania (sekcja Wnioski o dostęp).

image2024-10-17_16-29-3

Na końcu kliknij Zapisz, aby utworzyć poświadczenie.

Korzystanie z poświadczeń

Różne typy poświadczeń służą do uzyskiwania dostępu do różnych typów kont. Poniżej przedstawiono szczegóły dotyczące poszczególnych rodzajów poświadczeń:

Konta Active Directory

Poświadczenia typu konto Active Directory umożliwiają wybór komputera w domenie, do którego użytkownik chce się połączyć.

Wymagane: Zainstalowany program Microsoft Remote Desktop Connection (mstsc.exe) na komputerze z Syteca Connection Managerem.

Instrukcja:

  • Po wybraniu poświadczenia kliknij Połącz.

  • W oknie, które się pojawi, wpisz nazwę komputera lub jego adres IP, a następnie kliknij ponownie Połącz.

image2024-10-18_14-58-19

System automatycznie loguje użytkownika do konta Active Directory.

Uwaga: Jeśli dostęp jest ograniczony tylko do wybranych komputerów w domenie, należy rozwinąć poświadczenie nadrzędne (klikając ikonę strzałki w dół), a następnie wybrać odpowiednie poświadczenie podrzędne odpowiadające konkretnemu komputerowi.

image2024-10-18_14-57-32

Konta Windows

Poświadczenia typu konto Windows pozwalają na połączenie z kontami lokalnymi i domenowymi na wybranym komputerze.

Wymagane: Zainstalowany Microsoft Remote Desktop Connection (mstsc.exe).

Po kliknięciu Połącz użytkownik zostaje automatycznie zalogowany na wskazane konto Windows.

unnamed (5)

Konta Unix (SSH)

Poświadczenia typu konto Unix (SSH) umożliwiają połączenie użytkownika z kontem na systemie Unix/Linux przez SSH.

Wymagane: Zainstalowany PuTTY na komputerze z Connection Managerem.

Opcjonalnie: Zamiast hasła można użyć klucza SSH (plik PPK z kluczem prywatnym i frazą zabezpieczającą).

Po kliknięciu Połącz, system loguje użytkownika na konto Unix (SSH).

unnamed (4)

Konta Unix (Telnet)

Poświadczenia typu konto Unix (Telnet) umożliwiają połączenie z kontem na systemie Unix przy użyciu protokołu Telnet.

Wymagane: Zainstalowany PuTTY.

Działanie przebiega analogicznie jak w przypadku SSH — po kliknięciu Połącz, użytkownik zostaje zalogowany na konto.

unnamed (3)

Konta Web

Poświadczenia typu konto Web umożliwiają automatyczne logowanie do aplikacji internetowych.

Wymagane: Zainstalowana przeglądarka Google Chrome. Połączenia otwierają się w trybie incognito (dane nie są zapisywane).

Po kliknięciu Połącz, system automatycznie loguje użytkownika.

Uwaga: Jeśli automatyczne logowanie nie działa, dostępne jest rozszerzenie Syteca dla Chrome, które umożliwia wprowadzanie loginu i hasła do strony internetowej.

unnamed (1)-1

Konta MS SQL

Poświadczenia typu konto MS SQL umożliwiają bezpieczne logowanie do baz danych SQL Server.

Wymagane: Zainstalowany Microsoft SQL Server Management Studio (SSMS) w wersji 18.0 lub wyższej.

Po kliknięciu Połącz, użytkownik zostaje automatycznie zalogowany do wskazanej bazy danych za pomocą SSMS.

unnamed-2

4. Wymagane aplikacje zewnętrzne

Aby połączenia przy użyciu różnych typów poświadczeń działały poprawnie, na komputerze z Syteca Connection Managerem muszą być zainstalowane następujące aplikacje:

Typ poświadczenia Wymagana aplikacja
Konto Active Directory Microsoft Remote Desktop Connection (mstsc.exe)
Konto Windows Microsoft Remote Desktop Connection (mstsc.exe)
Konto Unix (SSH) PuTTY
Konto Unix (Telnet) PuTTY
Konto Web Google Chrome
Konto MS SQL Microsoft SQL Server Management Studio
 

Uwaga: Aby korzystać z funkcji przesyłania plików (dostępnej tylko dla poświadczeń typu AD, Windows i Unix SSH), należy zapoznać się z instrukcją dotyczącą korzystania z aplikacji WinSCP.