Предоставление доступа к защищенному периметру vGate R2 службам, работающим не под системной учетной записью. 21/09/2012 Поддержите VM Guru! USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1 Пост:

Продолжаем рассказывать о сертифицированном средстве номер 1 - vGate R2, которое предназначено для обеспечения безопасности виртуальной инфраструктуры VMware vSphere средствами политик безопасности и механизма защиты от несанкционированного доступа.

Не так давно мы рассказывали о настройке взаимодействия инфраструктурных серверов с защищенным периметром vGate R2, которая необходима для того, чтобы виртуальные машины и хост-серверы могли работать с сервисами AD и DNS инфраструктуры компании. А сегодня мы покажем, как можно добавить доступ сервиса стороннего приложения, исполняемого на рабочей станции администратора, который работает через vSphere Client.

На компьютере администратора vSphere могут быть службы Windows, работающие не под системной (LocalSystem, LocalService или NetworkService) учетной записью. Чтобы предоставить доступ к защищаемому периметру таким службам, необходимо создать специальную учетную запись vGate-пользователя и связать ее с учетной записью, создаваемой при установке агента аутентификации.

Для предоставления службам доступа к защищаемому периметру:

1. Создайте с помощью утилиты clacl, входящей в комплект поставки vGate R2, специальную учетную запись vGate-пользователя (в примере это "service_xp") на сервере аутентификации. Для этого откройте редактор командной строки и выполните следующую команду:

clacl users add -u service_xp -r -p -n -k admin -s password

где admin и password - имя пользователя и пароль администратора информационной безопасности (администратор vGate R2).

2. Для созданной учетной записи настройте правила доступа к защищаемым серверам (см. тут).

3. Создайте ассоциацию между специальной учетной записью ("service_xp") и записью, созданной агентом аутентификации на компьютере администратора vSphere (с учетной записью "xp") автоматически ("xp$@VGATE", где VGATE — имя сферы сервера авторизации, заданное при установке). Для этого откройте редактор командной строки и выполните следующую команду:

clacl users add-srvc-princ -h xp$@VGATE -p service_xp@VGATE -d S-1-5-21-4110767259-1205561585-4075794586-500 -k admin -s password

где S-1-5-21-4110767259-1205561585-4075794586-500 — SID (Security Identifier) — идентификатор безопасности учетной записи Windows на компьютере администратора vSphere, под которой требуется обеспечить работу службы (в примере это "xp").

В результате выполнения команды будет создана учетная запись "service_xp@VGATE", связанная с идентификатором SID сервиса. Служба аутентификации vGate Client будет автоматически аутентифицировать vGate-пользователя "service_xp@VGATE", поэтому процесс, запущенный под этой учетной записью, сможет проходить в защищаемый периметр в соответствии с настроенными ранее правилами доступа.

Определить SID учетной записи можно при помощи утилиты psgetsid.