Toegang tot Linux-server via winSCP
Log in op het PAMaaS-portaal van Digitaal Vlaanderen
Hoe je inlogt op het PAMaaS-portaal kan je hier terugvinden.
Toegang tot Linux-server
Wanneer je ingelogd bent, wordt de ‘Accounts View’-pagina standaard geopend. Dit toont een lijst van de geprivilegieerde accounts waartoe je autorisatie hebt.
In deze lijst kan je het geprivilegieerde account zoeken dat toegang geeft tot Linux. Wanneer je dit account hebt gevonden kan je rechts op de knop ‘Connect’ klikken.
Connectiemogelijkheden
WinSCP via remote access
Je kan eveneens connecteren met het Linux account via WinSCP door via de drop-down de optie ‘WinSCP-InBrowser’ aan te klikken.
Vervolgens krijg je een pop-up te zien die je moet invullen om connectie te kunnen maken (zie ‘Invullen van pop-up voor toegang tot het account’ ). Wanneer je daar op ‘Connect’ klikt, wordt je PAM-sessie gestart in een nieuw venster van je browser.
Bestanden overzetten via WinSCP
Wanneer je verbinding succesvol tot stand is gekomen, zie je onderstaand scherm:
Uitleg bij de verschillende onderdelen:
Naam van de aangemelde gebruiker.
Bestandssysteem van de werkpost van de PAM-omgeving (PAM Cloud Connector).
Linux/Unix-bestandssysteem (doelsysteem).
Bestanden overzetten van het lokale systeem naar het doelsysteem
Indien je bestanden wenst over te zetten van het doelsysteem naar het lokale systeem via deze technologie, kan je onderstaand stappenplan volgen.
Verander de ‘user workspace’ naar ‘Z: File Transfer’.
Sleep het bestand dat je wil kopiëren van je lokale verkenner naar de Z-schijf (links).
Versleep het document dat je wil overzetten van de Z-schijf (links) naar het doelsysteem (rechts).
Bestanden overzetten van het doelsysteem naar het lokale systeem
Verander de ‘user workspace’ naar ‘Z: File Transfer’.
Versleep het document dat je wil overzetten naar de map ‘Z:\Download’.
Het document zal automatisch gedownload worden naar de map ‘Downloads’ op je lokale systeem.
WinSCP via SIA (Secure Infrastructure Access)
1. Maak een connection string
Om op deze manier te connecteren met een Linux server dien je eerst een connection string te maken.
De volgende onderdelen heb je hier voor nodig:
Je persoonlijke PAMaaS account bv. [Gebruikersnaam in PAM]@pamaas.local
Account dat geonboard is in het PAM-portaal
De FQDN van het doelsysteem
Het netwerk van het doelsysteem
De mogelijke netwerkverbindingen zijn:
Netwerk | Locatie |
|---|---|
ATOS | on-prem Datacenter |
AWS | AWS |
Azure | Azure |
Connecties naar doelsystemen die niet Azure of Atos zijn, verlopen steeds via de AWS Cloud Connector.
De connection string zal er dan als volgt uitzien voor een Windows Local Account:
<your PAMAAS UPN>#vo@<vaulted account name>@<target system FQDN>#<Network>@vo.ssh.cyberark.cloud
De connection string zal er dan als volgt uitzien voor een Windows Domain Account:
<your PAMAAS UPN>#vo@<vaulted account name>#domain@<target system FQDN>#<Network>@vo.ssh.cyberark.cloud
De string die je hebt gemaakt kan ook gebruikt worden voor toekomstige verbindingen met de Linux server WinSCP via SIA.
2. Open de WinSCP client
In deze toepassing kan je nu de connection string invoeren in het veld ‘Hostname’ zoals hieronder afgebeeld.
Klik op ‘Login’ om onderstaand venster te zien:
3. Kopieer de link naar een internetbrowser
Vervolgens kopieer je de link die in het geel gemarkeerd staat naar een internetbrowser.
Sluit bovenstaand venster niet, je hebt dit nog nodig in de volgende stappen.
4. Doorloop de authenticatiestappen en kopieer de code
Je kan nu de authenticatiestappen doorlopen via het Vlaams Toegangsbeheer (ACM).
Wanneer je alle authenticatiestappen hebt doorlopen, krijg je onderstaand venster te zien met een persoonlijke code. Je dient deze code nu te kopiëren.
5. Plak de code in de WinSCP client
De code die je hebt gekopieerd in de vorige stap, kan je nu terug in onderstaand venster plakken.
Vervolgens dien je meermaals op ‘OK’ te klikken om de authenticatie, Sessie ID en de sessieopname te bevestigen.
6. Je bent nu verbonden met de Linux server via SIA
Invullen van pop-up voor toegang tot het account
Access Only account
Reason: geef hier een geldige reden in voor de toegang tot het geprivilegieerde account.
Map local drives: dit schakel je in als je bestanden wil overzetten.
Session duration: geef hier aan hoe lang de sessie zal duren in minuten.
Klik vervolgens op ‘Connect’.
Motivated Access account
Reason: geef hier een geldige reden in voor de toegang tot het geprivilegieerde account.
Ticketing Id: geef hier een geldig ticketnummer in.
Klik vervolgens op ‘Connect’.
Voor het Toegangsbeleid Motivated Access wordt er een opname van de sessie gestart wanneer je verbindt met het doelsysteem.
Secure Access account
Reason: geef hier een geldige reden in voor de toegang tot het geprivilegieerde account.
Ticketing Id: geef hier een geldig ticketnummer in.
Timeframe: geef hier het tijdslot (maand/dag/jaar | uur:minuten) in waarin je toegang wil krijgen tot het geprivilegieerde account.
Multiple access is required: geef hier aan of het mogelijk moet zijn om meerdere keren binnen hetzelfde tijdslot connectie te maken tot het geprivilegieerde account.
Klik vervolgens op ‘Send Request’.
Onder ‘Confirmation List’ kan je bekijken wie er aangesteld werd als approver van de safe en wie je toegang kan goed- of afkeuren.
Meer informatie over het goedkeuringsproces bij toegangsbeleid Secure Access kan je hier terugvinden.
Voor het Toegangsbeleid Secure Access wordt er een opname van de sessie gestart wanneer je verbindt met het doelsysteem.
Beëindigen van de sessie
Wanneer je klaar bent met werken op het doelsysteem, is het belangrijk om je ook af te melden.
Om de sessie te beëindigen klik je op de knop ‘Close’ in de rechter bovenhoek van het WinSCP venster. Je krijgt nu een melding te zien met de vraag om het afsluiten te bevestigen.
De volgende acties kunnen ondernomen worden:
Klik op ‘Yes’ om de sessie te beëindigen.
Klik op ‘No’ of ‘Cancel’ om door te gaan met de sessie.