Tài liệu hướng dẫn người dùng BeyondTrust Password Safe MỤC LỤC GIỚI THIỆU GIẢI PHÁP 1.1 Giới thiệu giải pháp BeyondTrust PAM 1.2 Sơ đồ luồng liệu HƯỚNG DẪN SỬ DỤNG 2.1 Hướng dẫn truy cập PAM 2.2 Hướng dẫn truy cập hệ thống đích máy trạm Windows Truy cập máy chủ Windows sử dụng tài khoản domain Truy cập máy chủ Linux Truy cập dịch vụ SFTP máy chủ Linux WinSCP 10 Truy cập ứng dụng thông qua máy chủ Terminal 13 2.3 Hướng dẫn truy cập máy trạm sử dụng hệ điều hành MacOS 15 Truy cập máy chủ Windows sử dụng tài khoản Domain 15 Truy cập máy chủ Linux 18 2.4 Hướng dẫn truy cập máy trạm sử dụng hệ điều hành Ubuntu 19 Truy cập máy chủ Windows sử dụng tài khoản Domain 20 Truy cập máy chủ Linux 22 2.5 Hướng dẫn xử lý lỗi thường gặp trình sử dụng 24 GIỚI THIỆU GIẢI PHÁP 1.1 Giới thiệu giải pháp BeyondTrust PAM BeyondTrust (BT) PAM giải pháp giúp tự động khám phá / discovery tự động quản lý tài khoản đặc quyền tồn hệ thống, phân quyền, quản lý truy cập người dùng đặc quyền đến thiết bị/máy chủ quan trọng hệ thống BeyondTrust PAM cung cấp giao diện truy cập tập trung, hỗ trợ giám sát, ghi lại toàn phiên truy nhập người dùng dạng video, keystrokes Người dùng đặc quyền bao gồm: cán bộ/ nhân viên tổ chức, đối tác/khách hàng đến làm việc, quản trị viên máy chủ ứng dụng, database, Việc phân quyền truy cập tới máy chủ/thiết bị thực sau: - Tạo BT PAM Account: cho người dùng đặc quyền, Người dùng đặc quyền dùng tài khoản để đăng nhập vào giao diện Web portal thiết bị BT PAM Có thể sử dụng phương thức sau để tạo tài khoản cho người dùng đặc quyền: • Local Account • Domain Account - Định nghĩa thông tin Máy chủ/Thiết bị Phương thức/giao thức truy cập - Thiết lập sách bảo mật, gán quyền truy nhập đến Máy chủ/Thiết bị cho BT PAM account 1.2 Sơ đồ luồng liệu Hình mơ tả luồng liệu (workflow) người dùng khởi tạo yêu cầu truy cập đặc quyền đến hệ thống đích/ máy chủ đích quan trọng VinGroup STT Mô tả Người dùng đặc quyền truy cập vào giao diện web portal BT: https://pam.vingroup.net/WebConsole/index.html Sau hoàn thành xác thực, người dùng gửi yêu cầu truy cập hệ thống đích mà phân quyền Người quản trị cho phép từ chối yêu cầu phiên truy cập BT PAM ghi lại toàn phiên truy cập đặc quyền HƯỚNG DẪN SỬ DỤNG 2.1 Hướng dẫn truy cập PAM Mục đích: Hướng dẫn người dùng bước thao tác để truy cập vào hệ thống PAM, request/approve phiên truy cập đặc quyền Các bước thực Bước 1: Truy cập vào giao diện web portal: https://pam.vingroup.net /WebConsole/index.html Nhập thơng tin user/password Hình ảnh minh họa Các bước thực Hình ảnh minh họa Bước 2: Sau nhập user & password, bước xác thực nhân tố thứ 2, nhập RSA Passcode để hoàn tất việc xác thực 2.2 Hướng dẫn truy cập hệ thống đích máy trạm Windows Mục đích: BT-PAM hỗ trợ giao thức truy nhập quản trị, bao gồm RDP, SSH BT-PAM cho phép người dùng truy nhập thao tác hệ thống đích giao diện Web Portal BT-PAM Truy cập máy chủ Windows sử dụng tài khoản domain Các bước thực Bước 1: Sau hoàn thành bước xác thực với máy chủ BT-PAM, xuất giao diện Request - Truy cập tab Domain Linked Accounts, sau click vào dịng “Click here to return all account” Người dùng truy cập trực tiếp hệ thống đích cách download file rdp từ trình duyệt chạy file - Click vào biểu tượng tia sét “OneClick launch” Bước 2: Nhập thông tin Reason thời gian sử dụng phiên truy cập Sau đó, click Open RDP Session Hình ảnh minh họa Các bước thực Hình ảnh minh họa Truy cập máy chủ Linux Các bước thực Bước 1: Kiểm tra đường dẫn C:\Program Files\PuTTY tồn máy trạm chưa Nếu chưa có, thực bước sau: Copy cài PuTTY script PuTTY.bat thư mục \\10.111.177.41\McafeeSetu p\PAM Cài đặt PuTTY với đường dẫn mặc định C:\Program Files\PuTTY Chạy script PuTTY.bat để trình duyệt gọi ứng dụng Hình ảnh minh họa Các bước thực Bước 2: Để khởi tạo phiên SSH đến máy chủ đích Linux, click vào tab Systems, click vào “Click here to return all account” Tại giao diện này, người dùng nhìn thấy tất tài khoản máy chủ đích phép truy cập Bước 3: Click vào biểu tượng tia sét “OneClick launch” Bước 4: Tương tự phiên truy cập rdp, nhập thông tin Reason thời gian sử dụng phiên truy cập Sau click Open SSH Session Hình ảnh minh họa Các bước thực Hình ảnh minh họa Bước 5: Sau chọn Open SSH Session, tùy thuộc vào trình duyệt Chrome, khác Firefox xuất pop-up khác để lựa chọn Putty thực khởi tạo SSH Session Truy cập dịch vụ SFTP máy chủ Linux WinSCP Các bước thực Hình ảnh minh họa Bước 4: Bấm Request Menu sau chọn request vừa khởi tạo Bước 5: Open SSH Session Bước 6: Bấm more… sau Copy token Username Truy cập ứng dụng thơng qua máy chủ Terminal Mục đích: trường hợp người dùng không truy nhập trực tiếp đến hệ thống đích qua giao thức hệ thống đích hỗ trợ quản trị thơng qua Client Tools (ví dụ Oracle – SQL developer, MSSQL-SQL Studio Management, SmartDashboard, …), người dùng đặc quyền truy nhập gián tiếp đến máy chủ Terminal Các bước thực Bước 1: Truy cập tab Database, click vào “Click here to return all account” Tại giao diện này, người dùng nhìn thấy máy chủ Database mà có quyền truy cập, tương ứng với công cụ quản trị DBMS Hình ảnh minh họa Các bước thực Bước 2: Click vào biểu tượng tia sét “OneClick launch” để thực phiên truy cập đến ứng dụng quản trị Database tương ứng Bước 3: Tương tự phiên truy cập rdp hay ssh thông thường, nhập thông tin Reason thời gian sử dụng phiên truy cập Sau click Application Session Bước 4: Sau thực mở phiên truy cập, máy chủ Terminal tự động gọi đến chương trình ứng dụng yêu cầu tự động đăng nhập Note: Máy chủ Terminal gọi đến chương trình ứng dụng (VD: MSSQL Studio) Hình ảnh minh họa Các bước thực Hình ảnh minh họa 2.3 Hướng dẫn truy cập máy trạm sử dụng hệ điều hành MacOS Truy cập máy chủ Windows sử dụng tài khoản Domain Các bước thực Bước 1: Trên máy trạm, truy cập AppStore, thực cài đặt ứng dụng Microsoft Remote Desktop Hình ảnh minh họa Các bước thực Bước 2: Truy cập tab Domain Linked Account, Click vào biểu tượng tia sét “OneClick launch” để thực yêu cầu phiên truy cập Bước 3: Nhập thông tin Reason thời gian sử dụng phiên truy cập Sau đó, click Open RDP Session Hình ảnh minh họa Các bước thực Bước 4: Click vào file rdp vừa download để thực phiên truy cập Hình ảnh minh họa Truy cập máy chủ Linux Các bước thực Bước 1: Để khởi tạo phiên SSH đến máy chủ đích Linux, click vào tab Systems, người dùng click vào “Click here to return all account” Tại giao diện này, người dùng nhìn thấy tất tài khoản máy chủ đích phép truy cập Bước 2: Click vào biểu tượng tia sét “OneClick launch” Bước 3: Tương tự phiên truy cập rdp, nhập thông tin Reason thời gian sử dụng phiên truy cập Sau click Open SSH Session Hình ảnh minh họa Các bước thực Hình ảnh minh họa Bước 4: Chọn Allow phép trình duyệt mở chương trình Terminal máy trạm Bước 5: Chọn Allow 2.4 Hướng dẫn truy cập máy trạm sử dụng hệ điều hành Ubuntu Truy cập máy chủ Windows sử dụng tài khoản Domain Các bước thực Bước 1: Trên máy trạm, truy cập Ubuntu Software, thực cài đặt ứng dụng Remmina Bước 2: Truy cập tab Domain Linked Account, Click vào biểu tượng tia sét “OneClick launch” để thực yêu cầu phiên truy cập Hình ảnh minh họa Các bước thực Bước 3: Nhập thông tin Reason thời gian sử dụng phiên truy cập Sau đó, click Open RDP Session Bước 4: Click Save file Bước 5: Click phải chuột, Open With → Remmina Hình ảnh minh họa Các bước thực Hình ảnh minh họa Truy cập máy chủ Linux Các bước thực Bước 1: Để khởi tạo phiên SSH đến máy chủ đích Linux, click vào tab Systems, người dùng click vào “Click here to return all account” Tại giao diện này, người dùng nhìn thấy tất tài khoản máy chủ đích phép truy cập Bước 2: Click vào biểu tượng tia sét “OneClick launch” Hình ảnh minh họa Các bước thực Bước 3: Nhập thông tin Reason thời gian sử dụng phiên truy cập Sau click Open SSH Session Bước 4: Trình duyệt tự động gọi chương trình Terminal máy trạm đăng nhập vào máy chủ đích Hình ảnh minh họa Các bước thực Hình ảnh minh họa Note: Trong trường hợp trình duyệt khơng gọi chương trình Terminal, người dùng copy Command, sau paste vào terminal để thực kết nối 2.5 Hướng dẫn xử lý lỗi thường gặp q trình sử dụng STT Mơ tả lỗi - Khi mở file rdp, BT cảnh báo lỗi “Invalid session token” - Cách khắc phục Nguyên nhân: Token bị hết hạn sau 30s download mà không thực open file rdp Khi khởi tạo phiên RDP mới, BT báo lỗi “This account is already available during the requested time for RDP access” - Cách khắc phục: Khởi tạo phiên remote khác thực mở file rdp - Nguyên nhân: Người dùng có phiên RDP tồn hệ thống Cách khắc phục: Trên giao diện BT, người dùng vào Menu -> Request -> Active -> Chọn Open RDP tương ứng với Server muốn truy cập - Báo lỗi người dùng truy cập server Linux - Khắc phục: Người dùng đăng nhập hệ thống BT trình duyệt khác: Chrome, Firefox