Jump

Jump-Clients: Verwalten von Einstellungen und Installieren von Jump Clients für den Endpunktzugriff

Jump

Jump-Clients

Stapelbereitstellungsassistent für Jump-Clients

Mit dem Stapelbereitstellungsassistenten können Administratoren und berechtigte Benutzer Jump-Clients für einen oder mehrere Remote-Computer für den späteren unüberwachten Zugriff bereitstellen.

Weitere Informationen finden Sie im Privileged Remote Access-Handbuch für Jump-Clients: Unüberwachter Zugriff auf Systeme in einem beliebigen Netzwerk unter https://www.beyondtrust.com/docs/privileged-remote-access/how-to/jump-clients/index.htm.

Jump-Gruppe

Wählen Sie aus der Dropdown-Liste Jump-Gruppe, ob Sie den Jump-Client in Ihrer persönlichen Liste von Jump-Elementen oder in einer von anderen Benutzern freigegebenen Jump-Gruppe fixieren möchten. Durch Fixieren in Ihrer persönlichen Liste von Jump-Elementen können nur Sie über diesen Jump-Client auf diesen Remote-Computer zugreifen. Wird der Jump-Client in einer freigegebenen Jump-Gruppe fixiert, wird er für alle Mitglieder dieser Jump-Gruppe verfügbar.

Name

Geben Sie einen Namen für den Jump Client ein.

Einige Einstellungen des Stapelbereitstellungsassistenten ermöglichen die Überschreibung, wodurch Sie die Befehlszeile verwenden können, um bereitstellungsspezifische Parameter vor der Installation festzulegen.

Jump-Richtlinie

Wählen Sie eine Jump-Richtlinie, die diesem Jump Client zugewiesen werden soll. Jump-Richtlinien werden auf der Seite Jump > Jump-Richtlinien konfiguriert und bestimmen die Zeiten, während denen ein Benutzer Zugriff auf diesen Jump-Client hat. Eine Jump-Richtlinie kann auch eine Benachrichtigung senden, wenn darauf zugegriffen wird, oder kann zum Zugriff eine Genehmigung erfordern. Wird keine Jump-Richtlinie angewendet, kann ohne Einschränkung auf diesen Jump Client zugegriffen werden.

Verbindungstyp

Diese Funktion ist nur für Kunden verfügbar, die ein B Series Appliance an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Stellen Sie den Verbindungstyp für die bereitgestellten Jump-Clients auf Aktiv oder Passiv. Ein aktiver Jump-Client hält eine dauerhafte Verbindung zum B Series Appliance aufrecht, während ein passiver Jump-Client lediglich auf Verbindungsanforderungen wartet.

Eine heraufgesetzte Installation versuchen, wenn der Client dies unterstützt

Ist die Option Eine heraufgesetzte Installation versuchen, wenn der Client dies unterstützt aktiviert, versucht das Installationsprogramm eine Ausführung mit Administratorrechten und installiert den Jump-Client als Systemdienst. Wenn der Versuch der heraufgesetzten Installation nicht erfolgreich ist oder wenn diese Option deaktiviert wird, wird das Installationsprogramm mit Benutzerrechten ausgeführt und installiert den Jump Client als Anwendung. Diese Option gilt nur für Windows- und Mac-Betriebssysteme.

Ein im Benutzermodus fixierter Jump-Client ist nur verfügbar, wenn dieser Benutzer angemeldet ist. Im Gegensatz dazu gestattet ein im Dienstmodus fixierter Jump-Client mit heraufgesetzten Rechten es dem System, stets verfügbar zu sein, unabhängig davon, welcher Benutzer angemeldet ist.

Dieses Installationsprogramm gilt für

Das Installationsprogramm ist nur so lange verwendbar, wie in der Dropdown-Option Dieses Installationsprogramm ist gültig für angegeben. Lassen Sie ausreichend Zeit zur Installation. Sollte jemand versuchen, das Jump-Client-Installationsprogramm nach Ablauf dieser Zeit auszuführen, schlägt die Installation fehl, und ein neues Jump-Client-Installationsprogramm muss erstellt werden. Darüber hinaus gilt: Wenn das Installationsprogramm innerhalb des gewährten Zeitraums ausgeführt wird, der Jump-Client aber keine Verbindung zum B Series Appliance aufbauen kann, wird der Jump-Client deinstalliert und ein neues Installationsprogramm muss bereitgestellt werden. Der Gültigkeitszeitraum kann auf einen beliebigen Wert von 10 Minuten bis 1 Jahr festgelegt werden. Diese Zeitangabe hat KEINE Auswirkungen darauf, wie lange der Jump-Client aktiv ist.

Jump-Client-Massenbereitstellungspakete laufen nicht nur nach dem Zeitraum unter Dieses Installationsprogramm gilt für ab, sondern werden auch nach einem Upgrade des B Series Appliance ungültig. Ausnahmen dieser Regel bilden allein Live-Aktualisierungen, welche die Lizenzanzahl oder das Lizenzablaufdatum ändern. Sämtliche anderen Aktualisierungen, selbst wenn sie nicht die Versionsnummer des B Series Appliances ändern, machen Jump-Client-Installationsprogramme, die vor dem Upgrade erstellt wurden, ungültig. Handelt es sich bei diesen Installationsprogrammen um MSI-Pakete, können sie falls nötig noch immer zur Deinstallation von Jump-Clients verwendet werden.

Nach der Installation eines Jump-Client verbleibt er online und aktiv, bis er entweder von einem angemeldeten Administrator, einem BeyondTrust-Nutzer über die Jump-Schnittstelle der access console oder durch ein Deinstallationsskript deinstalliert wird. Ein BeyondTrust-Benutzer kann einen Jump Client erst entfernen, wenn er die geeigneten Berechtigungen über die /login-Schnittstelle durch den Administrator zugeteilt bekommen hat.

Kommentare

Fügen Sie Kommentare hinzu, die bei der Suche nach und Identifizierung von Remote-Computern nützlich sein können. Beachten Sie, dass alle über dieses Installationsprogramm bereitgestellte Jump-Clients anfänglich über die gleichen Kommentare verfügen werden, es sei denn, Sie aktivieren Überschreibung während der Installation zulassen und verwenden die verfügbaren Parameter, um das Installationsprogramm für individuelle Installationen anzupassen.

Sitzungsrichtlinie

Wählen Sie eine Sitzungsrichtlinie, die diesem Jump Client zugewiesen werden soll. Sitzungsrichtlinien werden auf der Seite Benutzer und Sicherheit > Sitzungsrichtlinien konfiguriert. Die diesem Jump Client zugewiesene Sitzungsrichtlinie hat die höchste Priorität bei der Festlegung von Sitzungsberechtigungen.

Jumpoint-Proxy

Falls Sie einen oder mehrere Jumpoints als Proxys eingerichtet haben, können Sie einen Jumpoint auswählen, um diese Jump-Client-Verbindungen per Proxy aufzurufen. Wenn diese Jump-Clients auf Computern ohne eigene Internetverbindungen installiert werden, können sie so den Jumpoint benutzen, um wieder eine Verbindung mit dem B Series Appliance herzustellen. Die Jump-Clients müssen im gleichen Netzwerk installiert sein wie der für den Proxy-Aufruf der Verbindungen ausgewählte Jumpoint.

Bei Bedarf zur Eingabe von Heraufsetzungs-Anmeldedaten auffordern

Ist Bei Bedarf zur Eingabe von Heraufsetzungs-Anmeldedaten auffordern aktiviert, fordert das Installationsprogramm den Benutzer zur Eingabe von Administrator-Anmeldedaten auf, wenn das System verlangt, dass diese Anmeldedaten unabhängig bereitgestellt werden. Ansonsten wird der Jump-Client mit Benutzerrechten installiert. Dies gilt nur, wenn versucht wird, eine heraufgesetzte Installation auszuführen.

Tag

Das Hinzufügen eines Tags hilft bei der Anordnung von Jump-Clients in Kategorien innerhalb der access console.

Überschreiben während der Installation gestatten

Einige Einstellungen des Stapelbereitstellungsassistenten ermöglichen die Überschreibung, wodurch Sie die Befehlszeile verwenden können, um bereitstellungsspezifische Parameter vor der Installation festzulegen.

Hilfe zur Stapelbereitstellung

Die ausführbare Datei für Windows, Mac oder Linux oder die Windows MSI-Datei eignet sich für Systemadministratoren, die das Jump Client-Installationsprogramm auf einer großen Anzahl an Systemen bereitstellen müssen und kann mit dem Systemverwaltungstool Ihrer Wahl verwendet werden. Sie können einen gültigen benutzerdefinierten Installationspfad angeben, in dem der Jump-Client installiert werden soll.

Es kommt häufig vor, dass Sie während der Installation eine Fehlermeldung erhalten, die ein Problem mit dem Layout oder der Darstellung betrifft. Diese kann vernachlässigt werden.

Sie können außerdem bestimmte Installationsparameter entsprechend Ihrer eigenen Anforderungen überschreiben. Wenn Sie bestimmte Installationsoptionen während der Installation zur Überschreibung markieren, können Sie die folgenden optionalen Parameter zur Modifizierung des Jump-Client-Installationsprogramms in individuellen Fällen nutzen. Beachten Sie: Wenn ein Parameter auf der Befehlszeile weitergegeben wird, aber nicht in der /login-Verwaltungsschnittstelle zur Überschreibung markiert wurde, schlägt die Installation fehl. Wenn die Installation fehlschlägt, überprüfen Sie das Ereignisprotokoll des Betriebssystems auf Installationsfehler.

Befehlszeilenparameter Wert Beschreibung
--install-dir <directory_path>

Gibt ein neues beschreibbares Verzeichnis an, in dem der Jump-Client installiert werden soll. Dies wird nur unter Windows und Linux unterstützt. Stellen Sie bei der Definition eines eigenen Installationsordners sicher, dass der Ordner, den Sie erstellen, nicht bereits existiert und beschreibbar ist.

--jc-name <name...> Wenn die Überschreibung gestattet ist, legt dieser Befehlszeilenparameter den Namen des Jump-Clients fest.
--jc-jump-group

user:<username>jumpgroup:<jumpgroup-code-name>

Wenn die Überschreibung gestattet ist, überschreibt dieser Befehlszeilenparameter die im Stapelbereitstellungsassistent angegebene Jump-Gruppe.

--jc-session-policy <session-policy-code-name>

Wenn die Überschreibung gestattet ist, legt dieser Befehlszeilenparameter die Sitzungsrichtlinie des Jump Client fest, der die Berechtigungsrichtlinie während einer access session steuert.

--jc-jump-policy <jump-policy-code-name>

Wenn die Überschreibung gestattet ist, legt dieser Befehlszeilenparameter die Jump-Richtlinie fest, die steuert, wie Benutzer einen Jump zum Jump-Client durchführen dürfen.

--jc-tag <tag-name>

Wenn die Überschreibung gestattet ist, legt dieser Befehlszeilenparameter den Tag des Jump Client fest.

--jc-comments <comments ... >

Wenn die Überschreibung gestattet ist, legt dieser Befehlszeilenparameter die Kommentare des Jump-Client fest.

--silent  

Falls angegeben, zeigt das Installationsprogramm keine Fenster, Spinner, Fehler oder andere sichtbaren Benachrichtigungen an.

Bei Bereitstellung eines MSI-Installationsprogramms auf Windows über den msiexec-Befehl können die obigen Parameter wie folgt angegeben werden:
  1. Entfernen der vorangehenden Bindestriche (--)
  2. Umwandlung der verbleibenden Bindestriche in Unterstriche (_)
  3. Zuweisung eines Wertes über ein Gleichheitszeichen (=)

MSI-Beispiel:

msiexec /i bomgar-scc-win32.msi KEY_INFO=w0dc3056g7ff8d1j68ee6wi6dhwzfefggyezh7c40jc90 jc_jump_group=jumpgroup:server_support jc_tag=servers

Bei Bereitstellung eines EXE-Installationsprogramms können die obigen Parameter wie folgt angegeben werden:

  • Hinzufügen von Bindestrichen
  • Hinzufügen eines Leerzeichens zwischen dem Parameter und dem Wert

EXE-Beispiel:

bomgar-scc-[unique id].exe --jc-jump-group jumpgroup:servers --jc-tag servers

Andere zu berücksichtigende Regeln:

  • installdir verfügt über einen Bindestrich in der EXE-Version, nicht aber in der MSI-Version.
  • /quiet wird in der MSI-Version anstelle von --silent der EXE-Version verwendet.

Jump-Client-Statistiken

Ein Administrator kann auf Website-Basis wählen, welche Statistiken für alle Jump-Clients angezeigt werden. Diese Statistiken werden in der access console angezeigt und umfassen Angaben zu CPU, Konsolenbenutzer, Festplattennutzung, Betriebssystem, eine Miniaturansicht des Remote-Systems und die Betriebszeit.

Upgrade

Maximale Bandbreite für gleichzeitige Upgrades für Jump-Clients

Sie können die Bandbreitennutzung steuern, indem Sie die Option Maximale Bandbreite für gleichzeitige Jump-Client-Aktualisierungen festlegen.

Maximale Anzahl an gleichzeitigen Upgrades für Jump-Clients

Legen Sie auch die maximale Anzahl der Jump Clients fest, die gleichzeitig aktualisiert werden. Bitte beachten: Wenn Sie viele Jump Clients bereitgestellt haben, müssen Sie diese Zahl unter Umständen begrenzen, um die verbrauchte Bandbreite zu steuern.

Diese Einstellung hat keine Auswirkung auf access console-Upgrades.

Globale Verbindungsrate für Jump-Clients

Die Einstellung zur globalen Verbindungsrate wird von getrennten Jump Clients verwendet, um zu bestimmen, wie aggressiv beim Versuch eines erneuten Verbindungsaufbaus vorgegangen werden muss.

Wartung

Anzahl der Tage, bevor Jump-Clients, die sich nicht verbunden haben, automatisch gelöscht werden

Geht ein Jump-Client offline und verbindet sich für die unter Anzahl der Tage, bevor Jump-Clients, die sich nicht verbunden haben, automatisch gelöscht werden angegebene Anzahl von Tagen nicht mit dem B Series Appliance, wird er automatisch vom Zielcomputer deinstalliert und von der Jump-Schnittstelle der access console entfernt.

Diese Einstellung wird im normalen Betrieb an den Jump-Client selbst weitergegeben, sodass dieser sich selbst bei keiner Kommunikation mit der Seite nach der konfigurierten Zeit deinstalliert. Wird diese Einstellung geändert, nachdem der Jump-Client die Verbindung zum B Series Appliance trennt, deinstalliert er sich zum vorher konfigurierten Zeitpunkt.

Anzahl der Tage, bevor Jump-Clients, die sich nicht verbunden haben, als verloren gelten

Geht ein Jump Client offline und verbindet er sich für die unter Anzahl der Tage, bevor Jump Clients, die sich nicht verbunden haben, als verloren gelten angegebene Anzahl von Tagen nicht mit dem B Series Appliance, wird er in der access console als verloren markiert. Es wird keine weitere Maßnahme bezüglich des Jump-Clients ergriffen. Er wird nur zu Identifikationszwecken als verloren gekennzeichnet, sodass ein Administrator den Grund für die verlorene Verbindung bestimmen und Maßnahmen ergreifen kann, um das Problem zu lösen.

Damit Sie verlorene Jump-Clients identifizieren können, bevor sie automatisch gelöscht werden, sollte dieses Feld auf eine kleinere Zahl gestellt werden als das obige Löschfeld.

Verhalten des deinstallierten Jump-Client

Verhalten des deinstallierten Jump-Client legt fest, wie ein von einem Endbenutzer gelöschter Jump-Client von der access console behandelt wird. Abhängig von der gewählten Dropdown-Option, kann das gelöschte Element entweder als deinstalliert markiert und in der Liste beibehalten oder vollständig von der Liste der Jump-Elemente in der access console gelöscht werden. Wenn der Jump-Client das B Series Appliance zum Deinstallationszeitpunkt nicht kontaktieren kann, verbleibt das betroffene Element im Offline-Zustand.

Sonstiges

Standardverbindungstyp für Jump-Client

Legen Sie hier fest, ob der Standard-Verbindungstyp für Jump Clients aktiv oder passiv sein soll.

Port für passive Jump-Clients

Der Port für passive Jump-Clients gibt an, welcher Port von einem Jump Client verwendet wird, um einen „Aufweck“-Befehl vom B Series Appliance zu erhalten. Der Standard-Port ist 5832. Stellen Sie sicher, dass die Firewall-Einstellungen für Ihre Hosts eingehenden Verkehr für passive Jump-Clients auf diesem Port gestatten. Sobald Sie aufgeweckt wurden, verbinden sich Jump-Clients stets mit dem B Series Appliance auf Port 80 oder 443 (ausgehend).

Benutzern gestatten, das Aufwecken von Jump Clients zu versuchen

Benutzern gestatten, das Aufwecken von Jump-Clients zu versuchen ermöglicht es, einen ausgewählten Jump-Client durch die Übertragung von Wake-on-LAN-Paketen (WOL) über einen anderen Jump-Client desselben Netzwerks aufzuwecken. Wenn ein WOL versucht wird, bleibt die Option 30 Sekunden lang nicht verfügbar, bis ein weiterer Versuch durchgeführt werden kann. WOL muss auf dem Zielcomputer und seinem Netzwerk aktiviert sein, damit dies funktioniert. Die Standard-Gateway-Informationen des Jump-Client werden verwendet, um zu bestimmen, ob sich andere Jump-Clients im gleichen Netzwerk befinden. Beim Senden eines WOL-Pakets verfügt der Benutzer über eine weitere Option zur Angabe eines Kennworts für WOL-Umgebungen, welche ein sicheres WOL-Kennwort erfordern.

Sie können Jump-Clients über den Bereich Jump > Jump-Elemente > Jump-Einstellungen darauf konfigurieren, gleichzeitige Jumps zuzulassen oder abzulehnen. Die Zulassung bietet eine Möglichkeit, mit der mehrere Benutzer gleichzeitig auf den gleichen Jump-Client zugreifen können, ohne von einem anderen Benutzer zur Teilnahme an einer aktiven Sitzung eingeladen werden zu müssen. Wird dies nicht zugelassen, kann nur ein Benutzer gleichzeitig einen Jump zu einem Jump-Client durchführen. Nur eine Einladung durch den Benutzer, der die Sitzung erstellt hat, ermöglicht es einem weiteren Benutzer, auf die Sitzung zuzugreifen.

Weitere Informationen finden Sie unter Jump Client-Einstellungen verwalten unter https://www.beyondtrust.com/docs/privileged-remote-access/how-to/jump-clients/settings.htm.