本帖最后由 山东_朱文鑫 于 2021-7-2 23:03 编辑
我是超级大白,分享个人知识,像大牛们学习!跟大牛们一起成长!工作经验分享感谢大哥们参阅!
之前我分享了关于深信服OSM安全运维网关系统的功能原理以及详细的部署方式参数,同时在之前的配置帖子中也多有提及深信服OSM堡垒机应用发布服务器的搭建以及注意事项,而且在应用发布服务器的搭建过程中是很容易出错的,所以一般建议没把握的情况下寻求400的技术支持,对于应用发布服务器的使用,也不得不提及一个问题,就是浏览器的动作流如何去写?今天就针对这两大问题详细说一下。
堡垒主机应用发布服务器用于使用堡垒主机系统实现对 BS、CS 类系统的单点登陆、密码代填等操作,之前的帖子也说过因为实际的OSM堡垒机内部是没有浏览器等其他应用的,所以得借助搭建的应用发布服务器调用应用使用。
首先在部署以前确认OSM堡垒机到将要配置应用发布服务器的网段是可通信的,建议是同网段部署,容易排查问题,并且关于已经用发布服务器的部署终端,其实都可以,只要有符合的环境,例如直接Winows系统PC终端装入VM桥接使用。或者直接用虚拟化平台直接通信部署使用、或者服务器直接装入Winows Sever系统自行搭建使用,或者服务器内部装VM桥接网卡使用等等。
还有不建议直接刻录Windows系统进行服务器系统安装,建议使用已经搭建好的虚拟化文件类型进行部署安装省时也不会出现问题,关于已经搭建好的系统镜像可以问小助手姐姐要,之前也说过关于华为云对OSM虚拟化镜像虚拟化文件的兼容性问题,虽然文件格式跟华为云兼容的虚拟化文件格式一样,但是在导入选择的过程中是不让你导入进去的,遇到华为云只能要一个没有搭建的Windows Sever 2012 R2的系统镜像,或者自己去下载,但是首先要知道自己去下载的镜像是没有破解远程授权的。
建议是用已经搭建好的虚拟化文件,这些虚拟化文件可以使用VMware、深信服的虚拟化环境等都可以。深信服提供OSM的虚拟化文件类型有ova、ovf、qcow2(关于VM的使用会涉及软件侵权风险跟客户说明客户自行解决或者通过服务器断网解决)
首先说一下搭建OSM应用发布服务器的事项:
提供应用发布服务器镜像的时候,首先判断环境适合哪个镜像。 1、模板镜像和纯净版镜像都适合。提供默认已激活的镜像模板,需跟客户说明我们的镜像是没有激活window正式版本且破解了远程桌面的授权,可以直接使用,但会存在一定的侵权风险。若不接受则提供纯净版镜像或客户提供纯净版环境,授权由客户解决。
2、仅适合模板镜像部署。提供默认已激活的镜像模板,需跟客户说明风险我们的镜像是没有激活正式版本,破解了远程桌面的授权,可以直接使用,但会存在一定的侵权风险。
3、仅适合纯净版镜像。提供纯净版镜像,远程桌面授权和window版本授权客户能否提供。若不能提供,我们可协助破解远程桌面授权,而正式授权我们不提供破解,不影响使用但会存在一定的侵权风险,需咨询客户是否接受。
这些信息,根据实际情况与激活使用在告知客户与客户同意下尝试通过拒绝网络通信进行规避风险!!!!
好的废话不多说,今天就的讲解一下OSM深信服安全运维网关系统应用发布服务器的配置:
首先如果是虚拟化文件直接导入使用的就比较简单了。
开机以后,默认部署完成默认用户名/密码为:**istrator/sangfor@123,因为虚拟化的文件功能模块都是部署好 的所以只需要修改一下应用发布服务器系统的IP地址,保证OSM与应用发布服务系统是可通信的,并且应用发布服务器系统IP地址可以访问自己的资源。
然后更改 AppAgent 配置文件指向堡垒 IP,配置文件默认路径在 C:\Program Files\isompAPP下isomp_svr.conf,使用记事本打开够更改为堡垒 IP(如果是双机环境指向虚 IP):
然后登录OSM使用系统管理员,左边菜单栏选择服务器,然后选择应用发布服务器,添加应用发布服务器进行对接,然后测试 BS、CS 单点登陆即可。
如果是使用的纯净全新的Windows Sever 2012的系统则需要一步一步安装插件模块等:
首先安装完系统以后,进入系统修改IP地址保证设备间的通信。
首先需要安装好OSM堡垒机提供的系统控件,如果是访问到OSM的首页,首页就可以选择控件的下载(这也是为什么先保证通信,因为你访问到OSM设备以后才方便安装控件,虽然可以离线安装,但到最后不还是要解决通信问题)
1.控件的安装与配置
双击 isompAPP1.0.0.2.exe,默认安装。
然后指向堡垒主机 IP 地址
默认安装目录至安装完成
2.域控服务器的安装
设置 DNS 服务器地址为本机 IP 地址
打开 windows 防火墙启用或关闭 windows 防火墙(不然会出现通信问题)
关闭所有防火墙设置
打开服务器管理器配置此本地服务器添加角色和功能
选择基于角色或基于功能的安装
选择从服务器池中选择服务器
选择添加域服务
功能选择远程协助服务
点击安装
安装成功后,点击服务器管理器,将此服务器提升为域控服务器
添加新林,fort.cn
设置还原密码,要复合密码复杂性要求
一直下一步到检测完成后,点击安装
安装完成后,点击关闭会自动重启
3.RemoteAPP 程序发布
安装完域控服务器后,发布 appagent 应用程序,
注:安装 RemoteAPP 程序需要用有权限的域帐号登录选择服务管理器,添加角色和功能
选择远程桌面服务安装选择远程桌面服务安装
选择快速启动
选择基于会话的桌面部署
勾选需要时自动重启目标服务器,点击部署
部署过程中可能重启服务器,重启后打开服务器管理器会自动打开安装界面
安装成功后,配置 remoteapp 程序打开服务器管理器,选择远程桌面服务
选择集合 QuickSessionCollectionRemoteApp 程序>发布 RemoteApp 程序
选择添加
找到 c 盘 c:\Program Files\isompAPP 目录下的 remoteAppAgent 程序,打开选择下一步
发布成功后,右键点击 remoteAppAgent 编辑属性
选择参数,允许任何命令行参数,确定
4.添加远程桌面授权服务
打开服务器管理器,添加角色和功能
选择基于角色或基于功能的安装
选择从服务器池中选择服务器
选择远程桌面服务下的远程桌面授权
点击安装
安装完成后点击关闭,安装成功
打开管理工具
选择远程桌面授权管理器
选择此服务器右键选择激活服务器
选择 web 浏览器
复制服务器 ID 号
输入粘贴复制的服务器 ID,公司输入 info,选择下一步
下一步
选择是
许可证程序 选择企业协议
产品类型选择 windows Server 2012 远程桌面服务每用户客户端访问许可证;数量选择9999,企业协议号填写 6565792,点击下一步。 最终得到两行 ID 号。
在服务器激活向导中粘贴服务器许可证 ID,点击下一步,
打开许可证安装向导中,服务授权 ID,点击下一步
点击完成,安装成功
5.远程桌面配置
打开组策略编辑器,打开运行,输入 gpedit.msc
打开计算机配置windows 组件
依次选择远程桌面服务>授权>使用指定的远程桌面许可证服务器
填写本地服务 IP 地址,启动此选项
远程桌面授权模式启用,选择按用户
会话时间限制设置中断会话的时间限制
启动,选择结束已断开连接的会话为 1 分钟
连接选项>限制连接的数量
选择已启用,选择 RD 最大连接数为 999999
禁用将远程桌面服务用户限制到单独的远程桌面服务会话
打开运行或者 powershell 程序输入 gpupdate /force 更新组策略
6.配置IE代理
打开 IE 浏览器,Internet 选项
选择连接,局域网设置
勾选为 LAN 使用代理服务器,高级
在 HTTP 选项中添加 127.0.0.1 对应端口,写 8888,在例外排除开头一栏里添加*.*.*.*
以上就完成了应用发布服务器的搭建,同样的方式再按照刚开始是用虚拟化已经搭建好的文件配置就可以了,这个是客户那无AD域纳管应用发布服务器要求,或者无AD域的配置,这种情况较多,所以就只发一下这个吧
应用发布服务器说完了,再说说浏览器动作流的写法,IE浏览器是通过之前设置调用的,如果是单独安装谷歌浏览器调用就需要动作流,因为IE浏览器毕竟很古老了而且也没了最新的支持,导致会出现IE浏览器页面不兼容导致B/S的页面显示有问题,所以用谷歌浏览器以C/S的方式进行调用配置。
动作流配置-使用系统管理员登录>系统配置>客户端配置
首先发布几个常用的模板:
一般使用的模板如下:
不自动填写用户名密码: prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX --start-maximized,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter
如果需要自动填写: prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX --start-maximized,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter,tmo=3000,dat=fortAccount,tmo=2000,fnc=tab,dat=fortPassword,tmo=1000,fnc=4tab,fnc=enter
如果不需要强制最大显示:
prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter,tmo=3000,dat=fortAccount,tmo=2000,fnc=tab,dat=fortPassword,tmo=1000,fnc=4tab,fnc=enter
以第二个为例解释一下: prg选择的是调用谷歌浏览器运行程序在电脑里的路径,后面是调用后输入的地址,例如资源设置IP为10.254.50.249端口号为4430则登录https:\\fortIp:4430\login,fortIp不要换成10.254.50.249,强制最大窗口显示,再往后就是输入地址登录之后等待3000ms,输入3次tab之后按回车跳过https告警,等待1000ms,输入1次tab,输入1次回车,然后填写用户名,等待2000ms,按1次tab,输入密码,等待1000ms,按4次tab(这里根据实际情况用一次也可以),然后按一次回车。
然后以例子说一下可配置参数:
每个动作之间要用逗号“,”隔开!!!
例如PLSQL例子:prg=C:\ProgramFiles\plsql1\plsqldev.exe,fwt=OracleLogon,fwc=[CLASS:TEdit; INSTANCE:2], dat=fortAccount,fnc=tab,dat=fortPassword,fnc=tab,dat=fortDataBase,fnc=tab,fnc=enter
| 编号 | | | | | | | prg=C:\ProgramFiles\plsql1\plsqldev.exe | | | | fwt=OracleLogon通过x64Info_x64.exe工具抓取 | | | | fwc=[CLASS:SysTabControl32; INSTANCE:1] 通过x64Info_x64.exe工具抓取(工具在AppAgent安装目录下可以找到) | | | | 单个特殊按键: 模拟几次就在前面加数字,不能超过9 Tab按键:fnc =tab 点击tab键 TAB键按键:fnc =3tab 连续点击三次tab键 回车按键:fnc =2enter 连续点击两次空格键 空格按键:fnc =nspace连续点击n次空格键 退格(Backspace)按键:fnc =3bs 连续点击三次退格键 删除(DELETE)按键:fnc =del HOME按键:fnc =home END按键:fnc =end ESC按键:fnc =esc Ins(Insert)按键:fnc =ins PGUP(PageUp)按键:fnc =pgup PGDN(PageDown)按键:fnc =pgdn F1-F12按键:fnc =f1 上箭头按键:fnc =3up 连续点击三次up键 下箭头按键:fnc =down 左箭头按键:fnc =left 右箭头按键:fnc =right 组合键 Alt+f键按键:fnc =alt[f] Ctrl+a键按键:fnc =2ctr[a] 连续两次 Ctrl+a操作 | | | | | | | | | 变量: 目标IP:fortIp;用户账号:fortAccount;用户密码:fortPassword;数据库名:fortDataBase; 注:变量可将资源对应的信息按照变量名代填。 |
这个就是相当于不是用鼠标让你用键盘的方式去操作,只不过通过动作流配置的方式帮你完成了这些操作而已,关于一些更加繁琐的配置大佬们可以自行去探索使用了。
励志分享超清壁纸语句~~:
努力的最大动力,在于你可以选择你想要的生活,而不是被生活选择;每天多一点点的努力,不为别的,只为了日后能够多一些选择,选择云卷云舒的小日子,选择自己说了算的生活,选择自己喜欢的人。
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-7-3 11:39
坚持每日学习打卡
技术研究员3级 
