Download PDF
Download page Подключение пользователя Termidesk и методы аутентификации.
Подключение пользователя Termidesk и методы аутентификации
Описание недоступно для общего использования и скрыто из публичного просмотра.
Процесс подключения пользователя
Для подключения пользователя к ВРМ происходит следующее:
- Пользователь открывает приложение «Termidesk Client» («Клиент»), выбирает сервер Termidesk нажимает кнопку [Подключиться].
- «Клиент» подключается к указанному «Универсальному диспетчеру».
- «Универсальный диспетчер» запрашивает у «Клиента» данные пользователя, с которыми тот хочет подключиться.
- Пользователь вводит авторизационные данные (логин, пароль, выбор домена аутентификации) для подключения к «Универсальному диспетчеру» Termidesk.
- «Клиент» передает данные для подключения «Универсальному диспетчеру».
- «Универсальный диспетчер» передает учетные данные пользователя серверу каталогов.
- Сервер каталогов авторизует пользователя.
- «Универсальный диспетчер» передает «Клиенту» список доступных пользователю фондов ВРМ.
- Пользователь выбирает в «Клиенте» фонд ВРМ, из которого он хочет получить ВРМ, и протокол подключения.
- «Клиент» передает информацию о фонде и протоколе «Универсальному диспетчеру».
- «Универсальный диспетчер» посылает API-команду платформе виртуализации на запуск ВМ для аутентифицированного пользователя.
- В случае, если используется программный комплекс «Средства виртуализации «Брест», платформа виртуализации обращается к серверу каталогов для получения билета kerberos от сервера каталогов. Это гарантирует, что платформа виртуализации получила полномочия на запуск ВМ через единый центр управления пользователями.
- Платформа виртуализации размещает ВМ на гипервизоре и запускает ее.
- Гипервизор контролирует состояние ВМ для отслеживания ее готовности к использованию.
- «Агент ВРМ» проводит необходимые настройки гостевой ОС ВРМ и добавляет ВМ в домен. Если ВМ уже была создана ранее (использовалась), то заново настройки не выполняются.
- «Агент ВРМ» сообщает «Универсальному диспетчеру» о готовности ВМ к работе.
- «Универсальный диспетчер» формирует параметры подключения к ВРМ для «Клиента» и передает их в URL-строке.
- «Клиент» запускает приложение доставки ВРМ
termidesk-viewer
(илиmstsc/xfreerdp
) и передает ему данные для подключения в URL-строке. - Приложение доставки ВРМ подключается к ВМ.
- Приложение доставки ВРМ отображает пользователю экран ВРМ.
Взаимодействие «Клиента» и «Универсального диспетчера»: первичное подключение производит «Клиент», когда пользователь добавляет новый сервер подключения в графическом интерфейсе «Клиента». Взаимодействие «Клиента» и «Универсального диспетчера» производится по API.
Взаимодействие «Агента ВРМ» и «Универсального диспетчера»: первичное подключение производит «Агент ВРМ» на этапе его настройки после установки в гостевую ОС (подготовки базового ВРМ). При настройке указывается адрес узла «Универсального диспетчера», мастер-ключ «Универсального диспетчера», производится тест подключения. Взаимодействие «Агента ВРМ» и «Универсального диспетчера» производится по API (REST API).
Методы аутентификации
На текущий момент для аутентификации используются пары «логин - пароль» по всем направлениям:
в направлении из ОС Windows (mstsc) на ОС Windows по протоколу RDP;
- в направлении из ОС Windows (termidesk-viewer) на ОС Windows по протоколу SPICE;
- в направлении из ОС SberOS (termidesk-viewer) на ОС Windows по протоколу RDP;
- в направлении из ОС Windows (mstsc) на ОС SberOS по протоколу RDP;
в направлении из ОС Windows (termidesk-viewer) на ОС SberOS по протоколу SPICE;
в направлении из ОС SberOS (termidesk-viewer) на ОС SberOS по протоколу RDP;
в направлении из ОС SberOS (termidesk-viewer) на ОС SberOS по протоколу TERA.
Методы аутентификации для технологических учетных записей:
- база данных Postgres:используется пара «логин - пароль», которая задается настройками БД. В конфигурационном файле Termidesk
/etc/opt/termidesk-vdi/termidesk.conf
пароль хранится в преобразованном виде; - брокер сообщений RabbitMQ-server: используется пара «логин - пароль», которая задается настройками RabbitMQ-server. Пароль хранится в преобразованном виде как в настройках RabbitMQ-server (
definitions.json
), так и в конфигурационном файле Termidesk/etc/opt/termidesk-vdi/termidesk.conf
.