![](https://habrastorage.org/getpro/habr/upload_files/a95/756/8ec/a957568ec25e7ed6ff14286c655488da.jpeg)
Привет, Хабр! Сегодня мы подробнее поговорим про Termit 2.1 — систему терминального доступа. Она предназначена для организации удаленного доступа конечных пользователей к приложениям, опубликованным на терминальных серверах. В этой статье я расскажу о том, как мы делали на базе Termit «безопасный интернет» для одного из заказчиков, а параллельно с этим мы подробно рассмотрим процесс развертывания Termit 2.1 на случай, если вы захотите повторить все это своими руками. Под катом — схема внедрения подобного решения и подробная инструкция по развертыванию.
Меня зовут Дмитрий Голубев, и я архитектор продукта Termit в компании Orion soft. Termit — это одна из наших разработок, которые получили бурное развитие в последние годы. Сегодняшний текст будет первым в целой серии материалов по организации терминального доступа (и в том числе замены недоступным более решениям западных вендоров).
Зачем нужен Termit?
Сценарий, когда вам нужно организовать удаленный доступ конечных пользователей к приложениям, которые опубликованы на терминальных серверах, стар, как мир. Это удобно, безопасно, и легко поддается управлению. Именно поэтому спрос, который раньше приходился на Citrix, никуда не делся.
Когда нам нужно обеспечить работу с любого устройства, но при этом соблюсти требования безопасности, используются системы терминального доступа (СТД).
Преимущество Termit в данном случае заключается в том, что от администраторов требуются минимальные усилия по его развертыванию, настройке и поддержке. Собственно, в этом вы сейчас убедитесь на примере одного из типовых кейсов — создании «Безопасного интернета» для сотрудников.
Строим безопасный интернет
Еще до начала наших работ заказчик выбрал операционную систему РЕД ОС — это был стандарт, принятый в масштабах всей инфраструктуры. Изначально все узлы сети изолированы от Интернет-шлюзов и имеют доступ только к внутренним сервисам. Корпоративные правила диктуют предоставить сотрудникам доступ к определенному перечню сайтов, расположенных за пределами корпоративной сети (например, для подключения к аудиоконференции в веб-браузере).
Чтобы не нарушать безопасность рабочих станций, но при этом предоставить сотрудникам ограниченный доступ в Интернет, достаточно развернуть Termit, в котором будет опубликован веб-браузер. Доступ к внешним ресурсам происходит через расположенный в демилитаризованной зоне прокси-сервер. Он является прозрачным, поэтому дополнительная настройка на терминальных серверах не требуется. Пользователь просто запускает опубликованный в режиме терминала браузер и получает безопасный доступ к разрешенному списку внешних ресурсов.
Требования и сайзинг
Компонент |
Требования |
Брокер |
ОС — РЕД ОС 7.3.2 vCPU — 4 RAM, ГБ — 8 HDD ГБ – 100 |
База данных Postgres |
ОС — РЕД ОС 7.3.2 vCPU — 4 RAM, ГБ — 8 HDD ГБ – 100 |
Терминальный сервер |
ОС — РЕД ОС 7.3.2 vCPU — 4 (на систему), 0,5 (на каждую сессию) RAM, ГБ — 8 (на систему), 2 (на каждую сессию) HDD, ГБ – 100 (на систему), 0,5 (на каждую сессию) |
Сайзинг — важная задача. Его не стоит игнорировать, если мы хотим, чтобы ничего не тормозило. Ресурсы терминальных серверов подбирались из расчета ~20 пользователей на терминальный сервер, с возможностью балансировки и передачи нагрузки в случае недоступности одного из серверов.
Итого с учетом 20% резерва получаем:
vCPU — 0,5 * 20 * 1,2 = 12, итог 16 ГБ
RAM — 2 * 20 * 1,2 = 48, итог 56 ГБ
HDD — 0,5 * 20 * 1,2 = 12, итог 112 ГБ
Также необходимо подготовить для работы с Termit СУБД (проще всего PostgreSQL) и каталог LDAP (в версии 2.1 поддерживается только AD/Samba DC/Ред АДМ)
Схема развертывания
Наша команда подготовила вот такую архитектуру для взаимодействием со смежными системами:
![](https://habrastorage.org/getpro/habr/upload_files/e9e/ea6/706/e9eea67066bc40ef525f3caa1885718e.png)
Обратите внимание, что в данном случае брокер только один. В реальности для обеспечения отказоустойчивости их должно быть несколько. Но работать будет и без резервирования.
Также нужно учитывать, что Termit использует информацию о пользователях, группах и их связи из LDAP-каталогов. Данная информация копируется из LDAP при синхронизации. В нашем примере, чтобы все работало в домене, было заранее создано подразделение termitusers, которое синхронизируется с Termit. Данное подразделение объединяет пользователей, имеющих доступ к системе Termit (то есть фактически может пользоваться «безопасным интернетом»).
Синхронизация подразделения с Termit формирует динамическую и управляемую систему доступа, где изменения в членстве группы могут отражаться на доступе к ресурсам. Такой подход позволяет управлять правами доступа централизованно — этого как раз часто требуют безопасники при развертывании подобных решений.
Установка Termit: 11 шагов
Эта часть статьи будет более технической и представляет собой how-to по практической настройке терминальных серверов. Читайте дальше, если хотите повторить опыт развертывания Termit 2.1.
СПОЙЛЕР 1. Подготовка базы данных
Подключаемся на машину с ролью базы данных (FQDN машины – orion-db.termit.lab). Для начальной конфигурации базы данных выполняем следующие шаги:
1. Устанавливаем PostgreSQL с помощью команды
sudo dnf install postgresql15-server
![](https://habrastorage.org/getpro/habr/upload_files/9eb/1ec/973/9eb1ec973df86f519228b1aa77bbbc31.png)
![](https://habrastorage.org/getpro/habr/upload_files/98f/a7c/21e/98fa7c21ed131a375dee637b95030762.png)
2. Инициализируем базу данных с помощью команды
sudo postgresql-15-setup initdb
![](https://habrastorage.org/getpro/habr/upload_files/eea/f1f/c3d/eeaf1fc3dafc4564cc1beafc4dddde41.png)
3. Запускаем сервис PostgreSQL с помощью команды
sudo systemctl enable postgresql-15.service --now
![](https://habrastorage.org/getpro/habr/upload_files/d15/f6e/dab/d15f6edab29f69a7bf6428c76178d2a8.png)
4. Открываем файл конфигурации /var/lib/pgsql/15/data/postgresql.conf для редактирования командой
sudo nano /var/lib/pgsql/15/data/postgresql.conf
![](https://habrastorage.org/getpro/habr/upload_files/d33/5cb/208/d335cb208b4f3133dd7ce02d5f65bd66.png)
5. Устанавливаем значение '*' для параметра listen_addresses в файле конфигурации /var/lib/pgsql/15/data/postgresql.conf, чтобы разрешить удаленное подключение к СУБД:
![](https://habrastorage.org/getpro/habr/upload_files/42f/e78/584/42fe785848568684b020785b17986a1b.png)
6. Открываем файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf для редактирования командой
sudo nano /var/lib/pgsql/15/data/pg_hba.conf
![](https://habrastorage.org/getpro/habr/upload_files/f78/a42/106/f78a42106aafc7baabc14626949b23d4.png)
7. Добавляем в файл конфигурации /var/lib/pgsql/15/data/pg_hba.conf строки, позволяющие разрешить удаленное подключение к СУБД только для брокера и АРМ администратора системы с использованием пароля:
![](https://habrastorage.org/getpro/habr/upload_files/6f0/44b/ecb/6f044becb88459f044aabcc213256fef.png)
Для всех остальных пользователей возможность подключения к базе данных будет ограничена для усиления безопасности.
8. Запускаем сессию служебного пользователя postgres и командную оболочку postgres, последовательно выполнив команды:
sudo su - postgres
psql
![](https://habrastorage.org/getpro/habr/upload_files/256/c6f/74c/256c6f74c7f69e4f7542b69ef57fa287.png)
9. Cоздаем пустую базу данных командой
CREATE DATABASE TermitDB;
![](https://habrastorage.org/getpro/habr/upload_files/4cd/394/89c/4cd39489cfa9a18cc07237b6c1d00b0a.png)
10. Создаем нового пользователя с паролем командой
CREATE USER orionuser WITH PASSWORD 'teRmit2';
![](https://habrastorage.org/getpro/habr/upload_files/490/5c1/4cc/4905c14cca02d08f146a4a53fcc2c08c.png)
11. Устанавливаем права владельца для пользователя orionuser на базу TermitDB
ALTER DATABASE TermitDB OWNER TO orionuser;
![](https://habrastorage.org/getpro/habr/upload_files/938/aa5/a1d/938aa5a1dceab460e16f9cc05618c4ac.png)
12. Выходим из командной оболочки psql и сессии пользователя postgres, дважды выполнив команду
exit
![](https://habrastorage.org/getpro/habr/upload_files/af8/a8b/936/af8a8b93688d32f482adcde768faea51.png)
13. Перезапускаем сервис PostgreSQL с помощью команды
sudo systemctl restart postgresql-15.service
![](https://habrastorage.org/getpro/habr/upload_files/5fa/ea3/1d5/5faea31d5bf7db8f418cf55ab16ec4db.png)
СПОЙЛЕР 2. Установка брокера
Подключаемся на машину с ролью брокера (FQDN машины – orion-br.termit.lab). Для установки брокера выполняем следующие шаги:
Копируем дистрибутив на сервер, распаковываем и проверяем права на выполнение установочного скрипта с помощью команды ls -la. Должно быть назначено право на исполнение;
![](https://habrastorage.org/getpro/habr/upload_files/65a/711/3e6/65a7113e693f9a34cb78f073505c3e57.png)
При необходимости выдаем права на запуск скрипта с помощью команды
chmod +x ./install.sh
Запускаем установочный скрипт с помощью команды
sudo ./install.sh install
![](https://habrastorage.org/getpro/habr/upload_files/e5b/ae2/eca/e5bae2ecae82157a7b21b405488f617b.png)
![](https://habrastorage.org/getpro/habr/upload_files/a27/219/c91/a27219c916cf162d6becea17f5c59a2a.png)
![](https://habrastorage.org/getpro/habr/upload_files/32a/8ac/3a9/32a8ac3a90c96f2a345bd08c3dd3ec3a.png)
![](https://habrastorage.org/getpro/habr/upload_files/862/f7c/a4f/862f7ca4f0eca6fc1ab6389949d62e71.png)
Указываем имя узла брокера (имя может быть любым)
![](https://habrastorage.org/getpro/habr/upload_files/4fe/053/cca/4fe053ccaad4de790afee73214b169e9.png)
Для первого/единственного брокера указываем «1»;
![](https://habrastorage.org/getpro/habr/upload_files/731/cba/b28/731cbab28a158752972cedff6a01eaae.png)
Вводим адрес FQDN брокера. Портал будет доступен по этому адресу;
![](https://habrastorage.org/getpro/habr/upload_files/7b7/7ab/039/7b77ab039e90cc281178f0915dfee6c2.png)
Появляется вариант подключения существующей или создания новой базы данных. Выбираем интересующий нас вариант в зависимости от предварительной настройки базы данных. Я выберу первый вариант.
![](https://habrastorage.org/getpro/habr/upload_files/2ac/2f8/1bd/2ac2f81bdb797e87a12322db19e5b686.png)
Указываем FQDN адрес базы данных “orion-db.termit.lab”, порт 5432, имя ранее созданной БД, пользователя и пароль от БД.
![](https://habrastorage.org/getpro/habr/upload_files/1b3/8c8/803/1b38c8803cdd8b2de13f589f45773dca.png)
![](https://habrastorage.org/getpro/habr/upload_files/a85/07f/81f/a8507f81f76ec37dc3fa6661a32f3164.png)
![](https://habrastorage.org/getpro/habr/upload_files/638/1f0/471/6381f047117593f1aca81b32356dbc9d.png)
После завершения инсталляции для подтверждения успешной операции в браузере в адресной строке вводим адрес брокера: https://orion-br.termit.lab. В появившемся окне аутентификации указываем логин "admin" и пароль "admin" от учетной записи по умолчанию.
![](https://habrastorage.org/getpro/habr/upload_files/b69/fb6/3f4/b69fb63f4227bbeb35bc3bd49f025a73.png)
Вид портала после аутентификации под admin/admin:
![](https://habrastorage.org/getpro/habr/upload_files/f07/8d0/fd3/f078d0fd36b1296a2bc2bb8de8e9620a.png)
СПОЙЛЕР 3. Установка на терминальные серверы
Выбранная архитектура предполагает использование нескольких терминальных серверов. Я расскажу, какие шаги нужно пройти для настройки одного из них. Далее аналогично этим шагам происходит настройка остальных серверов.
Подключаемся на первую машину с ролью терминального сервера (FQDN машины – orion-nd01.termit.lab).
Для установки на терминальный сервер выполним следующие шаги:
Устанавливаем Java 11 с помощью команды:
sudo dnf install java-11-openjdk
![](https://habrastorage.org/getpro/habr/upload_files/7d0/480/b8b/7d0480b8be231c7eb8916218fbf0f0f7.png)
![](https://habrastorage.org/getpro/habr/upload_files/159/e2e/e37/159e2ee37e259b453172e99f6143dd10.png)
Изменяем версию Java, используемую по умолчанию, с помощью команды
sudo alternatives --config java
Так как нам требуется версия 11, указываем номер 2:
![](https://habrastorage.org/getpro/habr/upload_files/799/41d/def/79941ddefb643125117aa5d891f006d3.png)
Устанавливаем компоненты X2Go server на терминальный сервер с помощью команды:
sudo dnf install x2goserver-xsession x2goserver-fmbindings x2goserver-common x2goserver x2goagent -y
![](https://habrastorage.org/getpro/habr/upload_files/7ee/7b8/76a/7ee7b876a73bf3445157891f5006436e.png)
Вводим терминальный сервер в домен командой:
sudo join-to-domain.sh -d termit.lab -n orion-nd11 -u admin -p Ori0n --ou "OU=TermitComputers,DC=termit,DC=lab" -y
![](https://habrastorage.org/getpro/habr/upload_files/efc/4b8/82e/efc4b882ed10f582a3c3a8e6c610a4fc.png)
СПОЙЛЕР 4. Настройка LDAP
Для настройки LDAP выполним следующие действия:
В браузере, в адресной строке вводим адрес брокера https://orion-br.termit.lab.
Для аутентификации в Termit вводим данные для входа в окне аутентификации:
Учетная запись — admin
Пароль — admin
![](https://habrastorage.org/getpro/habr/upload_files/101/2a6/31e/1012a631e9aaeabd5bc9486ecafdca44.png)
В левом меню выбираем раздел Настройки — Настройки LDAP и нажимаем редактировать.
Выбираем «LDAP используется».
Задаем параметры для подключения:
Базовое уникальное имя. Для домена termit.lab: "OU=termitusers,DC=termit,DC=lab";
Имя пользователя. Для домена termit.lab: "CN=termitsvc,OU=termitusers,DC=termit,DC=lab";
Пароль — пароль от сервисной учетной записи;
Период синхронизации (минуты).
![](https://habrastorage.org/getpro/habr/upload_files/f54/d77/753/f54d7775315b1ccd6a915fdc742ad49a.png)
Нажимаем «Далее».
Чтобы добавить сервер LDAP, нажимаем «+». Указываем адрес(можно FQDN), порт и протокол
![](https://habrastorage.org/getpro/habr/upload_files/00b/24a/e8f/00b24ae8f8c15b39c58bb86fd7ae0802.png)
Выбираем «Сохранить», «Далее».
На вкладке «Подтверждение информации» проверяем информацию о сервере LDAP и соединение.
При успешном соединении появится сообщение «Проверка соединения прошла успешна».
![](https://habrastorage.org/getpro/habr/upload_files/6d5/bfc/04d/6d5bfc04d723f8557d0772f9595de7f6.png)
Нажимаем «Сохранить».
Состояние синхронизации LDAP и Termit можно в любой момент уточнить в разделе «Журнал событий».
СПОЙЛЕР 5. Настройка ролей
В Termit можно настроить следующие роли:
Администраторы могут полностью контролировать систему, например, управлять серверами, пользователями и приложениями.
Служба поддержки может просматривать настройки, информацию о серверах и сессиях в разделе «Обзор», журнал событий и список сессий, а также завершать сессии и блокировать пользователей. Выполняет функцию L1 технической поддержки.
Пользователи обладают учетными записями, с помощью которых они имеют доступ к Termit. Только пользователи могут запускать приложения.
Для настройки ролей выполняем следующие действия:
1. В левом меню выбираем раздел «Настройки».
2. Переходим на вкладку «Роли».
![](https://habrastorage.org/getpro/habr/upload_files/234/600/7f4/2346007f40bf897208872d1e360fe003.png)
3. Наводим курсор на «Администраторы», нажимаем «Редактировать», затем «+».
4. Добавляем группы из каталога пользователей для роли администраторов. Можно добавить несколько групп. Поддерживаются вложенные группы.
![](https://habrastorage.org/getpro/habr/upload_files/1d4/497/fc4/1d4497fc488bb48e80ea6abbbfe560d3.png)
5. Нажимаем «Сохранить» > «Сохранить».
Для ролей «Служба поддержки» и «Пользователи» повторяем действия из шагов 3-5, выбирая группы TechSupport и TermitUsers соответственно.
![](https://habrastorage.org/getpro/habr/upload_files/843/aef/720/843aef7207d4a7f3cfe4ded911e2aa47.png)
СПОЙЛЕР 6. Создание сервера
Для создания сервера выполняем следующие действия:
На «Портале администрирования» в левом меню выбираем раздел «Серверы».
В правом верхнем углу нажимаем «Новый сервер».
![](https://habrastorage.org/getpro/habr/upload_files/274/2a5/4c4/2742a54c4ba33377a5e0bd7be65cceb8.png)
На вкладке «Новый терминальный сервер»:
Адрес — указываем DNS-адрес терминального сервера
Тип — выбираем операционную систему Linux
![](https://habrastorage.org/getpro/habr/upload_files/7af/6f1/539/7af6f1539d8a6b11020d87d406628f7d.png)
Нажимаем «Далее».
На вкладке «Группа терминальных серверов» группу выбирать не нужно, так как она еще не создана. Нажимаем «Далее».
На вкладке «Подтверждение информации» проверяем информацию о сервере и нажимаем «Создать».
Чтобы установить агент на терминальный сервер, выполняем указанный скрипт в консоли терминального сервера. Агент будет установлен и зарегистрирован на терминальном сервере.
В этом скрипте содержится секрет, используемый для аутентификации агента на сервере только во время установки. В случае потери скрипта необходимо удалить сервер и заново развернуть его.
Созданный сервер появился в списке.
![](https://habrastorage.org/getpro/habr/upload_files/21d/067/f64/21d067f64cc9dfadecce9c61f73ac041.png)
Далее создадим группу серверов.
СПОЙЛЕР 7. Создание группы серверов
Для создания группы серверов выполните следующие действия:
В левом меню выбираем раздел «Группы серверов».
В правом верхнем углу нажимаем «Новая группа».
![](https://habrastorage.org/getpro/habr/upload_files/2ba/488/47c/2ba48847cddfdbd93d96b6e4be683a6f.png)
На вкладке «Основные настройки»:
Имя — указываем название группы.
Тип — выбираем операционную систему Linux.
(Опционально) Описание — описание группы серверов.
![](https://habrastorage.org/getpro/habr/upload_files/bbf/619/5ed/bbf6195ed9a45f61f7b8737b95ad1227.png)
Нажимаем «Далее».
На вкладке «Терминальные серверы» выбираем из списка сервер, который создали ранее.
![](https://habrastorage.org/getpro/habr/upload_files/b76/f69/11b/b76f6911b8be9246ff8a343ba283907e.png)
Нажимаем «Далее».
На вкладке «Балансировка» терминальных серверов оставляем значение весов по умолчанию.
![](https://habrastorage.org/getpro/habr/upload_files/a15/ed1/780/a15ed1780b7f24cac4d79f71a7e4bd73.png)
Нажимаем «Далее».
На вкладке “Таймауты сессий” оставим всё по умолчанию.
![](https://habrastorage.org/getpro/habr/upload_files/03a/fdb/8d8/03afdb8d84591c419b2b6781bd16ade9.png)
Нажимаем «Далее».
На вкладке «Подтверждение информации» проверяем информацию о группе серверов и нажимаем «Создать».
![](https://habrastorage.org/getpro/habr/upload_files/12d/ebb/1d3/12debb1d3db2cade9338c93a278467e5.png)
Созданная группа появилась в списке:
![](https://habrastorage.org/getpro/habr/upload_files/e6a/821/af5/e6a821af5b92b8fa141b5a6bf5aeafe8.png)
Повторяем действия по созданию сервера для оставшихся девяти терминальных серверов, в процессе создания добавляя их в группу серверов SafeInternetServers:
![](https://habrastorage.org/getpro/habr/upload_files/ff7/74d/c09/ff774dc09e7d3653720b95e45fa5d1ca.png)
СПОЙЛЕР 8. Публикация приложения
Для публикации приложения выполняем следующие действия:
В левом меню выбираем раздел «Приложения».
Нажимаем «Добавить приложение».
![](https://habrastorage.org/getpro/habr/upload_files/da7/8cc/ebf/da78ccebfdcc243c0c2d27c5a6f327f6.png)
На вкладке «Основные настройки» задаем параметры:
Имя — название приложения.
(Опционально) Наименование у пользователя — название приложения, которое будет отображаться у пользователя.
Операционная система (Linux/Windows)
Тип — выбираем «Приложение».
Команда для запуска — команда для запуска приложения.
(Опционально) Версия — версия приложения.
(Опционально) Описание — описание приложения.
![](https://habrastorage.org/getpro/habr/upload_files/a66/dcc/29b/a66dcc29ba083b88af3e5660e49d06f7.png)
Нажимаем «Далее».
На вкладке «Группа терминальных серверов» выбираем группу серверов SafeInternetServers для приложения:
![](https://habrastorage.org/getpro/habr/upload_files/a0c/6a7/342/a0c6a73423439b6190fac7a9e183008e.png)
Нажимаем «Далее».
На вкладке «Группы доступа приложения» добавляем группу. Нажимаем «+» и выбираем из списка группу, которая будет иметь доступ к этому приложению.
![](https://habrastorage.org/getpro/habr/upload_files/2f9/e0a/66f/2f9e0a66f56f1bb881cfe46ced66a1e8.png)
Нажимаем «Сохранить», «Далее».
На вкладке «Подтверждение информации» проверяем информацию о приложении и нажимаем «Создать».
СПОЙЛЕР 9. Установка SSL-сертификата
Чтобы избавиться от вывода предупреждения о незащищенном подключении к Termit, необходимо импортировать сертификат и закрытый ключ в настройках брокера. Сертификат. разумеется, следует использовать только от доверенного центра сертификации.
![](https://habrastorage.org/getpro/habr/upload_files/d48/181/206/d481812064dcfa9c7157d4713228da25.png)
Заходим в настройки под учетной записью администратора. Заходим в настройки HTTPS:
![](https://habrastorage.org/getpro/habr/upload_files/0a9/7b7/d4f/0a97b7d4f4c950e880e85d10347c2898.png)
Загружаем закрытый ключ и сертификат, нажимаем «Сохранить»:
![](https://habrastorage.org/getpro/habr/upload_files/a88/e42/c3c/a88e42c3cb6d95db3cbe4f0241d0fe75.png)
Перезапускаем браузер, переходим по адресу портала и убеждаемся, что установлено безопасное соединение:
![](https://habrastorage.org/getpro/habr/upload_files/73f/be9/b7a/73fbe9b7ab02f03ba011f210baa1bfe2.png)
СПОЙЛЕР 10. Установка клиента
Для установки клиента выполним следующие действия:
В браузере в адресной строке вводим адрес, по которому доступен Termit — https://orion-br.termit.lab
Вводим имя пользователя и пароль доменной учетной записи:
![](https://habrastorage.org/getpro/habr/upload_files/91c/662/a96/91c662a96e242a9ebfd1f385a704e364.png)
Нажимаем «Войти».
Выбираем операционную систему Linux, скачиваем клиент Termit для Linux rpm и выполняем шаги по установке.
![](https://habrastorage.org/getpro/habr/upload_files/73a/516/e10/73a516e10dab5c260c767e65ed9d312d.png)
СПОЙЛЕР 11. Установка сертификата на клиент
Для успешного подключения к Termit необходимо, чтобы используемый SSL-сертификат был добавлен в список доверенных на клиенте. Для этого выполняем следующие шаги:
Копируем файл корневого сертификата в каталог /etc/pki/ca-trust/source/anchors/ с помощью команды:
sudo cp %Путь_к_сертификату% /etc/pki/ca-trust/source/anchors/
Где: %Путь_к_сертификату% — полный путь к файлу сертификата в формате PEM.
Чтобы применить изменения, выполняем команды:
sudo update-ca-trust force-enable
sudo update-ca-trust extract
![](https://habrastorage.org/getpro/habr/upload_files/a23/d80/1be/a23d801be59aac1a47d63f5c28862b02.png)
СПОЙЛЕР 12. Проверка работоспособности
Чтобы проверить, что у нас все работает, нужно зайти на клиентскую машину и проверить доступ к интернет-ресурсу orionsoft.ru. Используем браузер напрямую:
![](https://habrastorage.org/getpro/habr/upload_files/dbe/fbf/c31/dbefbfc31838e4409391d8c6eafe4414.png)
Как видите, ничего не работает — но так и должно быть!
Теперь проверяем доступ к тому же ресурсу orionsoft.ru через опубликованный в Termit браузер, для этого:
В десктопном приложении Termit вводим адрес брокера без http(s).
![](https://habrastorage.org/getpro/habr/upload_files/ca9/15d/c74/ca915dc743a69c8cff1de80766b24a58.png)
Нажимаем «Подключиться».
На странице аутентификации вводим учетные данные пользователя, входящего в группу доступа для опубликованного ранее приложения (в нашем случае группа TermitUsers):
![](https://habrastorage.org/getpro/habr/upload_files/4b0/47a/a96/4b047aa9667d49f4eb37dcd339883236.png)
Запускаем опубликованное приложение:
![](https://habrastorage.org/getpro/habr/upload_files/2f8/682/36e/2f868236ed1907b3872dd3e02a911f6b.png)
Открывается опубликованный браузер, где мы переходим на ресурс orionsoft.ru:
![](https://habrastorage.org/getpro/habr/upload_files/095/390/039/0953900392fc2ecb7c6dd7699507bd6f.png)
Заключение
Итак, за 11 шагов мы реализовали сценарий «безопасного интернета» на базе Termit с использованием прозрачного прокси-сервера. Такая схема легко реализуется в любой инфраструктуре, предлагая эффективное и безопасное управление доступом к внешним ресурсам в корпоративной среде. По приведенной инструкции вы можете сами реализовать подобный режим работы.
Опубликованный в Termit браузер обеспечивает безопасный доступ к разрешенным сайтам, сохраняя при этом целостность и нужный уровень безопасности внутренней корпоративной сети. Кроме браузера, разумеется, в Termit можно публиковать и другие приложения. Но об этом мы подробнее поговорим уже в следующих материалах.
![](https://habrastorage.org/getpro/habr/upload_files/2ae/5d4/fbe/2ae5d4fbeacd49bf9073dbaa4e4931a7.jpeg)
Кстати, раз вы дочитали до конца, значит вопрос применения СТД для вас актуален! И на случай, если вы хотите узнать больше о новшествах в Termit, 22 апреля мы проводим вебинар по релизу Termit 2.1. Мы будем подробно говорить о поддержке Windows-серверов, переподключении к терминальной сессии и других функциях в новой редакции ПО. Демонстрация работы и Q&A тоже включены в меню. Всех желающих ждем по ссылке, а если у вас есть какие-то мысли о Termit уже сейчас, давайте обсудим их в комментариях!