×

#原创分享#技术配置之OSM深信服安全运维网关系统应用发布服务器搭建以及动作流配置详解
  

山东_朱文鑫 149309人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2021-7-2 23:03 编辑

我是超级大白,分享个人知识,像大牛们学习!跟大牛们一起成长!工作经验分享感谢大哥们参阅!

之前我分享了关于深信服OSM安全运维网关系统的功能原理以及详细的部署方式参数,同时在之前的配置帖子中也多有提及深信服OSM堡垒机应用发布服务器的搭建以及注意事项,而且在应用发布服务器的搭建过程中是很容易出错的,所以一般建议没把握的情况下寻求400的技术支持,对于应用发布服务器的使用,也不得不提及一个问题,就是浏览器的动作流如何去写?今天就针对这两大问题详细说一下。

堡垒主机应用发布服务器用于使用堡垒主机系统实现对 BS、CS 类系统的单点登陆、密码代填等操作,之前的帖子也说过因为实际的OSM堡垒机内部是没有浏览器等其他应用的,所以得借助搭建的应用发布服务器调用应用使用。

首先在部署以前确认OSM堡垒机到将要配置应用发布服务器的网段是可通信的,建议是同网段部署,容易排查问题,并且关于已经用发布服务器的部署终端,其实都可以,只要有符合的环境,例如直接Winows系统PC终端装入VM桥接使用。或者直接用虚拟化平台直接通信部署使用、或者服务器直接装入Winows Sever系统自行搭建使用,或者服务器内部装VM桥接网卡使用等等

还有不建议直接刻录Windows系统进行服务器系统安装,建议使用已经搭建好的虚拟化文件类型进行部署安装省时也不会出现问题,关于已经搭建好的系统镜像可以问小助手姐姐要,之前也说过关于华为云对OSM虚拟化镜像虚拟化文件的兼容性问题,虽然文件格式跟华为云兼容的虚拟化文件格式一样,但是在导入选择的过程中是不让你导入进去的,遇到华为云只能要一个没有搭建的Windows Sever 2012 R2的系统镜像,或者自己去下载,但是首先要知道自己去下载的镜像是没有破解远程授权的

建议是用已经搭建好的虚拟化文件,这些虚拟化文件可以使用VMware、深信服的虚拟化环境等都可以。深信服提供OSM的虚拟化文件类型有ova、ovf、qcow2(关于VM的使用会涉及软件侵权风险跟客户说明客户自行解决或者通过服务器断网解决

首先说一下搭建OSM应用发布服务器的事项:

提供应用发布服务器镜像的时候,首先判断环境适合哪个镜像。
1、模板镜像和纯净版镜像都适合。提供默认已激活的镜像模板,需跟客户说明我们的镜像是没有激活window正式版本且破解了远程桌面的授权,可以直接使用,但会存在一定的侵权风险。若不接受则提供纯净版镜像或客户提供纯净版环境,授权由客户解决。

2、仅适合模板镜像部署。提供默认已激活的镜像模板,需跟客户说明风险我们的镜像是没有激活正式版本,破解了远程桌面的授权,可以直接使用,但会存在一定的侵权风险。

3、仅适合纯净版镜像。提供纯净版镜像,远程桌面授权和window版本授权客户能否提供。若不能提供,我们可协助破解远程桌面授权,而正式授权我们不提供破解,不影响使用但会存在一定的侵权风险,需咨询客户是否接受。

这些信息,根据实际情况与激活使用在告知客户与客户同意下尝试通过拒绝网络通信进行规避风险!!!!

好的废话不多说,今天就的讲解一下OSM深信服安全运维网关系统应用发布服务器的配置:

首先如果是虚拟化文件直接导入使用的就比较简单了。

开机以后,默认部署完成默认用户名/密码为:**istrator/sangfor@123,因为虚拟化的文件功能模块都是部署好
的所以只需要修改一下应用发布服务器系统的IP地址,保证OSM与应用发布服务系统是可通信的,并且应用发布服务器系统IP地址可以访问自己的资源。



然后更改 AppAgent 配置文件指向堡垒 IP,配置文件默认路径在 C:\Program Files\isompAPP下isomp_svr.conf,使用记事本打开够更改为堡垒 IP(如果是双机环境指向虚 IP):



然后登录OSM使用系统管理员,左边菜单栏选择服务器,然后选择应用发布服务器,添加应用发布服务器进行对接,然后测试 BS、CS 单点登陆即可。


如果是使用的纯净全新的Windows Sever 2012的系统则需要一步一步安装插件模块等:

首先安装完系统以后,进入系统修改IP地址保证设备间的通信。

首先需要安装好OSM堡垒机提供的系统控件,如果是访问到OSM的首页,首页就可以选择控件的下载(这也是为什么先保证通信,因为你访问到OSM设备以后才方便安装控件,虽然可以离线安装,但到最后不还是要解决通信问题

1.控件的安装与配置

双击 isompAPP1.0.0.2.exe,默认安装。



然后指向堡垒主机 IP 地址



默认安装目录至安装完成




2.域控服务器的安装


设置 DNS 服务器地址为本机 IP 地址




打开 windows 防火墙启用或关闭 windows 防火墙(不然会出现通信问题




关闭所有防火墙设置



打开服务器管理器配置此本地服务器添加角色和功能




选择基于角色或基于功能的安装




选择从服务器池中选择服务器




选择添加域服务



功能选择远程协助服务



点击安装



安装成功后,点击服务器管理器,将此服务器提升为域控服务器




添加新林,fort.cn



设置还原密码,要复合密码复杂性要求




一直下一步到检测完成后,点击安装




安装完成后,点击关闭会自动重启




3.RemoteAPP 程序发布

安装完域控服务器后,发布 appagent 应用程序,

注:安装 RemoteAPP 程序需要用有权限的域帐号登录选择服务管理器,添加角色和功能



选择远程桌面服务安装选择远程桌面服务安装




选择快速启动




选择基于会话的桌面部署




勾选需要时自动重启目标服务器,点击部署




部署过程中可能重启服务器,重启后打开服务器管理器会自动打开安装界面




安装成功后,配置 remoteapp 程序打开服务器管理器,选择远程桌面服务        




选择集合 QuickSessionCollectionRemoteApp 程序>发布 RemoteApp 程序




选择添加




找到 c 盘 c:\Program Files\isompAPP 目录下的 remoteAppAgent 程序,打开选择下一步        



发布成功后,右键点击 remoteAppAgent 编辑属性



选择参数,允许任何命令行参数,确定



4.添加远程桌面授权服务

打开服务器管理器,添加角色和功能



选择基于角色或基于功能的安装



选择从服务器池中选择服务器



选择远程桌面服务下的远程桌面授权



点击安装



安装完成后点击关闭,安装成功



打开管理工具



选择远程桌面授权管理器



选择此服务器右键选择激活服务器



选择 web 浏览器



复制服务器 ID 号



在 可 以 联 网 的 电 脑 上 打 开 微 软 网 址 https://activate.microsoft.com , 选 择chinese(simplified)中文简体,选择 Next 下一步



输入粘贴复制的服务器 ID,公司输入 info,选择下一步



下一步



选择是




许可证程序 选择企业协议



产品类型选择 windows Server 2012 远程桌面服务每用户客户端访问许可证;数量选择9999,企业协议号填写 6565792,点击下一步。



最终得到两行 ID 号。





在服务器激活向导中粘贴服务器许可证 ID,点击下一步,



打开许可证安装向导中,服务授权 ID,点击下一步



点击完成,安装成功



5.远程桌面配置

打开组策略编辑器,打开运行,输入 gpedit.msc



打开计算机配置windows 组件



依次选择远程桌面服务>授权>使用指定的远程桌面许可证服务器



填写本地服务 IP 地址,启动此选项



远程桌面授权模式启用,选择按用户



会话时间限制设置中断会话的时间限制



启动,选择结束已断开连接的会话为 1 分钟



连接选项>限制连接的数量



选择已启用,选择 RD 最大连接数为 999999



禁用将远程桌面服务用户限制到单独的远程桌面服务会话



打开运行或者 powershell 程序输入 gpupdate /force 更新组策略



6.配置IE代理

打开 IE 浏览器,Internet 选项



选择连接,局域网设置



勾选为 LAN 使用代理服务器,高级



在 HTTP 选项中添加 127.0.0.1 对应端口,写 8888,在例外排除开头一栏里添加*.*.*.*



以上就完成了应用发布服务器的搭建,同样的方式再按照刚开始是用虚拟化已经搭建好的文件配置就可以了,这个是客户那无AD域纳管应用发布服务器要求,或者无AD域的配置,这种情况较多,所以就只发一下这个吧

应用发布服务器说完了,再说说浏览器动作流的写法,IE浏览器是通过之前设置调用的,如果是单独安装谷歌浏览器调用就需要动作流,因为IE浏览器毕竟很古老了而且也没了最新的支持,导致会出现IE浏览器页面不兼容导致B/S的页面显示有问题,所以用谷歌浏览器以C/S的方式进行调用配置。

动作流配置-使用系统管理员登录>系统配置>客户端配置

首先发布几个常用的模板:

一般使用的模板如下:

不自动填写用户名密码:
prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX --start-maximized,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter

如果需要自动填写:
prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX --start-maximized,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter,tmo=3000,dat=fortAccount,tmo=2000,fnc=tab,dat=fortPassword,tmo=1000,fnc=4tab,fnc=enter

如果不需要强制最大显示:

prg=C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --app=https:\\fortIp:XXX,fnc=enter,tmo=3000,fnc=3tab,fnc=enter,tmo=1000,fnc=tab,fnc=enter,tmo=3000,dat=fortAccount,tmo=2000,fnc=tab,dat=fortPassword,tmo=1000,fnc=4tab,fnc=enter

以第二个为例解释一下:
prg选择的是调用谷歌浏览器运行程序在电脑里的路径,后面是调用后输入的地址,例如资源设置IP为10.254.50.249端口号为4430则登录https:\\fortIp:4430\login,fortIp不要换成10.254.50.249,强制最大窗口显示,再往后就是输入地址登录之后等待3000ms,输入3次tab之后按回车跳过https告警,等待1000ms,输入1次tab,输入1次回车,然后填写用户名,等待2000ms,按1次tab,输入密码,等待1000ms,按4次tab(这里根据实际情况用一次也可以),然后按一次回车。

然后以例子说一下可配置参数:

每个动作之间要用逗号“,”隔开!!!

例如PLSQL例子:prg=C:\ProgramFiles\plsql1\plsqldev.exe,fwt=OracleLogon,fwc=[CLASS:TEdit; INSTANCE:2],
dat=fortAccount,fnc=tab,dat=fortPassword,fnc=tab,dat=fortDataBase,fnc=tab,fnc=enter

  
编号
  
标识
说明
实例
1
prg
应用的全路径
prg=C:\ProgramFiles\plsql1\plsqldev.exe
2
fwt
窗口标题
fwt=OracleLogon通过x64Info_x64.exe工具抓取
3
fwc
控件类名
  
(可以是文本框或按钮等)定位作用
fwc=[CLASS:SysTabControl32; INSTANCE:1]
  
通过x64Info_x64.exe工具抓取(工具在AppAgent安装目录下可以找到)
4
fnc
功能键
单个特殊按键:   模拟几次就在前面加数字,不能超过9
  
Tab按键:fnc =tab      点击tab键
  
TAB按键:fnc =3tab    连续点击三次tab键
  
回车按键:fnc =2enter  连续点击两次空格键
  
空格按键:fnc =nspace连续点击n次空格键
  
退格(Backspace)按键:fnc =3bs 连续点击三次退格键
  
删除(DELETE)按键:fnc =del
  
HOME按键:fnc =home
  
END按键:fnc =end
  
ESC按键:fnc =esc
  
Ins(Insert)按键:fnc =ins
  
PGUP(PageUp)按键:fnc =pgup
  
PGDN(PageDown)按键:fnc =pgdn
  
F1-F12按键:fnc =f1
  
上箭头按键:fnc =3up       连续点击三次up键
  
下箭头按键:fnc =down
  
左箭头按键:fnc =left
  
右箭头按键:fnc =right
  
  
组合键
  
Alt+f按键:fnc =alt[f]         
  
Ctrl+a按键:fnc =2ctr[a]     连续两次 Ctrl+a操作
5
dat
要代填的内容
代填名称
  
dat= fortAccount
6
tmo
延时几秒
延时1秒
  
tmo=1000
变量:
  
目标IP:fortIp;用户账号:fortAccount;用户密码:fortPassword;数据库名:fortDataBase;
  
注:变量可将资源对应的信息按照变量名代填。

这个就是相当于不是用鼠标让你用键盘的方式去操作,只不过通过动作流配置的方式帮你完成了这些操作而已,关于一些更加繁琐的配置大佬们可以自行去探索使用了。


如果需要OSM深信服安全运维网关系统的部署过程请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=147113


如果是需要学习OSM深信服安全运维网关的功能知识等请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=147049


励志分享超清壁纸语句~~:



          努力的最大动力,在于你可以选择你想要的生活,而不是被生活选择;每天多一点点的努力,不为别的,只为了日后能够多一些选择,选择云卷云舒的小日子,选择自己说了算的生活,选择自己喜欢的人。



好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!


打赏鼓励作者,期待更多好文!

打赏
11人已打赏

磊大发 发表于 2021-7-3 11:39
  
有助于学习!!!!!!!!!!!!!!!
搬砖农民工QAQ 发表于 2021-7-7 22:32
  
有助于学习
深深信夫 发表于 2021-7-10 15:11
  
相当详细了,学习了!!!
航嘉电脑门诊 发表于 2021-7-15 09:59
  
这个是不是划水贴????????
山东_刘梦竹 发表于 2021-7-20 22:47
  
有助于工作!!!!!!!!!!!!!!!!!!!!!!
山东_李广贝 发表于 2021-7-21 11:19
  

有助于工作!!!!!!!!!!!!!!!!!!!!!
会飞的癞蛤蟆 发表于 2021-7-29 17:21
  
水贴
暗夜星空 发表于 2021-8-29 17:54
  
坚持每日学习打卡
dhf 发表于 2021-9-10 22:38
  
感谢楼主的精彩分享,有助工作!!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人