Решение проблем с публикацией приложений RemoteApp
В этой статье я подробно опишу, как взаимодействуют JumpServer, RDS Server и Tinker, чтобы можно было выяснить, в чем проблема.
Описание процесса интеграции RDS и JumpServer.
1. JumpServer подключается по SSH к серверу RDS:
- устанавливает там сервис Tinker, которому сообщает адрес JS (параметр Core API)
- создает локальные сервисные УЗ вида js_* и jms_* на RDS
- добавляет созданные УЗ в группу "Remote Desktop
Users"
Важно: группа "Remote Desktop Users" может называться по-другому в Windows, название может зависеть от языка ОС, если эти УЗ не присутствуют в группе, нужно будет добавить их вручную.
2. Tinker связывается с JumpServer по заданному адресу
(параметр Core API)
- Tinker сообщает, что он работает, и статус RDS становится "online".
- Загружает дистрибутивы выбранных апплетов, например, Chrome и DBeaver загружаются с сервера JS по тому же адресу, указанному в Core API. Другие апплеты он может пытаться загрузить из интернета.
- Tinker устанавливает загруженные апплеты.
Описание Tinker:
Tinker - вспомогательное приложение для интеграции с JumpServer, участвует в поддержке связи между RDS и JS, устанавливает нужные для публикации приложения(апплеты), а также управляет публикацией приложений RemoteApp при запуске сессий.
По умолчанию устанавливается в папку
C:\Users\[ACCOUNT]\AppData\Local\Programs\Tinker\
([ACCOUNT] - это УЗ, которая использовалась для интеграции JS и
RDS)
Устанавливает сервис JumpServer Tinker Service - он всегда должен
быть запущен
Подробный лог работы и ошибок Tinker доступен в
папке
C:\Users\[ACCOUNT]\AppData\Local\Programs\Tinker\data\logs
Апплеты Tinker
Аплеты - это набор из приложения и скриптов автоматизации для
управления приложением, по умолчанию апплеты устанавливаются в
папку
C:\Program Files\JumpServer
Именно в этой папке находятся запускаемые приложения и python
скрипты с параметрами запуска, вы их можете изменять, если
нужно.
Итоговый чек-лист:
-
На Windows RDS должен быть установлен OpenSSH, 22 порт должен быть открыт на Windows файрволле.
-
УЗ для интеграции с RDS должно иметь права администратора RDS.
-
В IP/Host должен быть указан IP адрес RDS сервера или его DNS имя, которое резолвится с JumpServer.
-
В Core API должен быть указан URL JumpServer, который доступен с RDS Server.
-
На RDS должны быть созданы УЗ вида JS_XX и JMS_XX.
-
УЗ вида JS_XX и JMS_XX на RDS должны находиться в группе пользователей удаленного рабочего стола на RDS сервере.
-
Сервис JumpServer Tinker на RDS сервере должен быть запущен.
-
Статус RDS сервера в интерфейсе JumpServer: Normal.
-
Статус апплетов в свойствах RDS сервера в интерфейсе JumpServer: Success.
Скриншоты стенда JS:
| << Проверка работы контейнеров и журналы ошибок |
Нужна помощь?
Поддержка во время пилота JumpServer PAM Enterprise Edition
Вы начали тестирование JumpServer PAM EE и столкнулись с проблемой? Наш процесс включает в себя организацию групп переписок в электронной почте или групп в Telegram для оперативного решения вопросов. Если вы уверены, что вас не добавили в такую группу, обратитесь к вашему поставщику или к нам по адресу support@afi-d.ru
Обучение ваших специалистов настройке и администрированию JumpServer PAM
В рамках действующей подписки на техническую поддержку мы обучим ваших специалистов установке, настройке, адмнистрированию JumpServer PAM, а также восстановлению после ошибок и аварий.
Обучение проходит онлайн, по заранее согласованному плану, включает в себя обязательную проверку знаний на практике с выдачей именных сертификатов (в случае успешной сдачи экзамена).
Видео-инструкции
Посетите наш канал на RuTube с видео-инструкциями по настройке всех разделов JumpServer PAM. Видео на русском языке и актуализируются с выходом новых версий.
Техподдержка бесплатной редакции JumpServer PAM Community Edition
Мысль о внедрении непростой, но критичной для бизнеса PAM-системы может пугать кажущейся сложностью настройки системы, обучением администраторов и специалистов ИБ, изменениями в процессах работы с учетными записями.
Чтобы внедрение и настройка JumpServer Community Edition были комфортными, а также чтобы вы всегда могли обратиться за помощью к профессионалам, AFI Distribution предлагают годовую подписку на техническую поддержку.
Пакет поддержки в 1.5 млн рублей за экземпляр JumpServer Community Edition (без ограничений на количество пользователей и целевых систем) включает всё необходимое для использования PAM:
- документацию на русском языке;
- сценарии использования и рекомендуемые архитектуры для установки;
- обучение администраторов и специалистов ИБ работе с JumpServer;
- подсказки и решения для популярных вопросов;
- оповещения о выходе новых версий с проверенной инструкцией для апгрейда;
- подключение к Radius и многофактороной аутентификации «Мультифактор» ;
- прямой доступ к инженеру (без первой линии) с понятным SLA.
