Обзор cервера RuDesktop

RuDesktop – программный комплекс с функционалом UEM, позволяющий получать доступ к удалённым рабочим столам, управлять конфигурациями компьютеров, получать информацию о состоянии операционных систем, управлять настройками установленного ПО.

Функционал программы дорабатывается и расширяется. В текущей версии реализовано:

  • Управление удалёнными рабочими столами с необходимым набором настроек.

  • Использование сервера в закрытых и открытых сетях.

  • Удалённая установка и удаление пакетов.

  • Получение информации о системе, установленном оборудовании и программном обеспечении на рабочих станциях.

  • Загрузка файлов на удалённый компьютер.

  • Удалённое выполнение команд.

  • Управление правами пользователей.

Архитектура сервера и клиента

RuDesktop это клиент-серверное приложение.

Сервер

Сервер предназначен для обеспечения удалённых подключений к рабочим столам, управления политиками, задачами и правами доступа.

Устанавливается на Debian или Ubuntu.

Хранит данные в СУБД PostgreSQL. Веб-сервер Nginx.

Используются технологии Ansible, Rust, Python, YAML, шифрование TLS. По умолчанию, слушает 443 порт.

Для управления сервером используется веб-интерфейс.

Клиент

Клиент — это приложение в пользовательским интерфейсом, устанавливаемая в систему как служба или запускаемая без установки (портабельная версия).

Инициирует и управляет удалёнными подключениями к рабочим столам. Позволяет авторизоваться на сервере, получать доступ к адресной книге.

Клиент подключается к серверу по протоколу HTTPS (WebSocket), порт 443 по умолчанию. Сервер передает и получает данные по этому каналу.

При запуске сеанса управления, делается попытка подключения в LAN, потом NAT hole punching и далее сервер.

В случае прямого подключения, используется TCP порт 21115.

Функция поиска клиентов в локальной сети использует UDP порт 21116.

Для установки требуются права администратора (локального, доменного или root).

Клиент работает на Windows (x32,x64 Win7 SP1 и выше), Linux (Deb,RPM, Astra Linux, RedOs, AltLinux), MacOs (Mojave 10.4 и выше), Android (Lollipop 5.1 и выше).

Системные требования для установки сервера

Минимальные требования:

  • 2 GB ОЗУ

  • 1 ядро процессора, диск 20 Гб

  • Канал связи из расчёта 1 Мбит на одно подключение к удалённому рабочему столу.

Пример конфигурации для управления 10000 компьютерами и 100 одновременных подключений к удалённым столам:

  • 8 Gb ОЗУ

  • 4 ядра процессора

  • 100 Гб диск

  • 100 Мбит/c

Установка сервера

Добавляем репозиторий, публичный ключ, обновляем пакеты. Для этого последовательно вводим в терминале:

wget -qO - http://rudesktop.ru/repos/standalone/rudesktop.gpg | sudo apt-key add -

echo "deb https://rudesktop.ru/repos/standalone standalone non-free" | sudo tee /etc/apt/sources.list.d/rudesktop.list

sudo apt-get update && sudo apt-get upgrade

Далее устанавливаем сервер.

На Ubuntu 20.04 и Debian 11:

sudo apt-get install rudesktop-server

На Astra Linux и старые Ubuntu, Debian:

sudo apt-get install rudesktop-server-astra

В процессе установки будет запрошена лицензия (можно просто нажать enter и ввести лицензию позже в личном кабинете) и адрес сервера (ip или dns-имя сервера).

После установки сервера требуется создать администратора веб-консоли.

Выполните команду:

rude createsuperuser

Сервер установлен. Введите в браузере ip или доменное имя сервера, для авторизации используйте данные администратора веб-консоли.

Примечание

Для установки на Astra Linux требуется наличие пакетов nginx и python3.7. Если их нет в вашем дистрибутиве, перед установкой добавьте репозиторий Astra Linux Orel, выполнив следующие команды:

echo "deb https://dl.astralinux.ru/astra/frozen/2.12_x86-64/2.12.44/repository stable main contrib non-free" | sudo tee /etc/apt/sources.list.d/astra-orel.list
sudo apt udpate && sudo apt upgrade

Лицензирование локального сервера

При использовании локального сервера лицензируются устройства, подключенные к серверу.

В рамках набора управляемых устройств нет ограничений на количество пользователей и одновременных подключений.

Приобретение лицензии

Нажимаем «Купить» на главной странице сайта RuDesktop.ru

../_images/slic4.png

Заполняем необходимые поля и указываем параметры лицензии.

../_images/slic5.png

Нажимаем «Запросить коммерческое предложение». С вами свяжется наш отдел продаж для оформления платёжных документов.

Ввод лицензии

Есть возможность ввести лицензию при установке сервера:

../_images/slic1.png

Это не обязательно, можно просто нажать «Enter». Ввести лицензию возможно после установки в веб-интерфейсе сервера.

Через браузер по ip входим в веб-интерфейсе сервера. Для входа используем данные администратора.

Логин и пароль администратора создаётся командой rude createsuperuser при установке сервера.

Вводим лицензию в разделе «лицензия»:

../_images/slic2.png

Лицензия активирована. В разделе «лицензия» отображаются параметры вашей лицензии.

Офлайн-активация лицензии

Если сервер находится в закрытой сети, вы можете запросить лицензию по электронной почте.

Скопируйте «Запрос активации» и отправьте его вместе с информацией о вашем заказе (ключ лицензии) на sales@rudesktop.ru

В ответном письме вы получите текст лицензии.

Вставьте полученный текст в поле «Текст лицензии» и нажмите «Активировать»

../_images/slic3.png

Лицензия активирована. В разделе «лицензия» отображаются параметры вашей лицензии.

Установка и настройка клиентских приложений для работы с сервером

Выберите способ установки.

Установка скриптом:

Войдите в веб-интерфейс сервера и скачайте установочный файл или скрипт для нужной ОС:

../_images/install_client.png

На Windows ответьте утвердительно при скачивании и запуске .MSI файла. Адрес сервера будет содержаться в имени MSI-файла.

На других системах введите в терминале:

sh [путь до скрипта]

Скрипт содержит команды для скачивания и установки пакета для работы с сервером.

Установка пакета клиента RuDesktop.

Для Linux, после установки пакета требуется задать переменную окружения RUDESKTOP_DOMAIN, т.к. по умолчанию приложение будет настроено на облачный сервер 1.rz.rudesktop.ru

Пример для Linux RPM:

sudo RUDESKTOP_DOMAIN=АДРЕС_СЕРВЕРА:ПОРТ rpm -U --force  /ПУТЬ/rudesktop-amd64.rpm

Пример для Linux DEB:

sudo RUDESKTOP_DOMAIN=АДРЕС_СЕРВЕРА:ПОРТ dpkg -i /ПУТЬ/rudesktop-amd64.deb

Предупреждение

При установке пакета без ключей и последующем указанием адреса сервера в пункте меню «Сервер для подключения» возможно использовать только подключение к удалённым рабочим столам, функционал UEM (управление конфигурацией ПК) доступен не будет.

Web - интерфейс сервера

Главная страница

../_images/server_main.png

Введите в браузере ip или доменное имя сервера, для авторизации используйте данные администратора веб-консоли, созданные командой rude createsuperuser при установке.

  1. Панель «Установка клиентов» Позволяет загружать скрипты и файлы для первоначальной установки агентов. Скрипты включают в себя команды для загрузки пакета и настройки его для работы с вашим сервером. Для установки под Windows необходимо ответить утвердительно на предупреждение системы безопасности. Для установки на Linux-системах выполните команду

sh [путь до скрипта]
  1. Графическая диаграмма, показывающая соотношение установленных систем на компьютерах сети вашего сервера.

  2. Графическая диаграмма, показывающая соотношение компьютеров сети вашего сервера, находящихся в сети.

  3. Графическая диаграмма, показывающая соотношение типов подключения в сети вашего сервера.

  4. Панель быстрого доступа к подменю интерфейса.

  5. «Последние действия» - показывает последние действия администратора на сервере.

  6. Меню управления сервером. Содержит ряд подменю для управления сервером и удалёнными ПК. В каждом подменю есть возможность экспортировать данные в таблицу форматов: csv, xls, xlsx, tsv, ods, json, yaml, html:

../_images/exportTabs.png
  • Устройства - содержит список устройств, подключенных к серверу.

    • Меню «Действие»:

      Запустить политики в терминале

      Запуск политик назначенных для этого ПК с возможностью отслеживания лога исполнения в режиме реального времени.

      Подключиться

      Позволяет начать сеанс подключения без действий на удалённом ПК (подключение происходит через клиент).

      Сессии

      Информация о сеансах подключений к удаленным ПК.

      Логи

      Информация о выполнении политик на ПК.

      Связи

      Информация о взаимодействии с удаленными ПК.

      ../_images/compAction.png
    • Карточка ПК:

      Основная информация

      ../_images/compInfo.png

      Группы

      ../_images/compGroup.png

      Факты

      ../_images/compFacts.png
  • Мосты - содержит список используемых адресов сервера.

  • Сессии - все соединения всех ПК фиксируются в этом разделе.

  • Адреса - создание адресов с возможностью копировать «Адресную книгу» другим пользователям.
    • Скопировать «Адресную книгу»:

      1. Выбрать необходимых пользователей

      2. Выбрать в списке «Копировать другим пользователям»

      ../_images/groupCopy1.png

      3. Нажать «Выполнить»

      4. Выбрать пользователей, кому скопировать «Адресную книгу»

      ../_images/groupCopy2.png

      5. Нажать «Копировать»

  • Теги - просмотр тегов с возможностью создать новые.
    • Выдать тег адресу:

      1. Во подменю «Адреса» выбрать адрес которому хотите присвоить тег

      2. Выбрать тег в поле «Tags»

      3. Нажать «Сохранить»

      ../_images/tagsSet.png
  • Политики содержат в себе инструкции для исполнения на удалённых ПК. Политики исполняются при помощи задач.

Для создания политик можно воспользоваться готовыми шаблонами или создать «пользовательскую».

В текущей версии реализованы следующие шаблоны:

Автоматические обновление RuDesktop

Блокировка пользователей

Разблокировка пользователей

Выполнения команд на удалённом ПК

Загрузка файла

Инвентаризации ПО и оборудования

Редактирование реестра

Редактирование файла

Сборщик логов

Схема управления питанием(Windows)

Удаления и установка пакетов

Удаление и установка пакетов из репозитория

../_images/policyList.png

При созданииредактировании политики, есть возможность поставить галочку на «Показывать в разделе: «Портал самообслуживания»». Тогда пользователь при обращении в тех. поддержку сможет сделать запрос на выполнение этой политики.

../_images/policySelfservice.png

Так же при созданииредактировании политики, есть возможность выполнить «Тестовый запуск». Введите в поле «Устройство или группа» ID или имя ПК, на котором хотите выполнить тестовый запуск, и нажмите «Запустить». Тогда предполагаемые политикой изменения внесены не будут.

../_images/policyTestLaunch.png
  • Задачи – задачи, исполняемые или уже исполненные на устройствах.
    • Создание Задачи:

      1. В поле «Задача» введите имя задачи

      2. В списке «Период» выберите периодичность выполнения задачи

      3. Функция «Активно» задает активность поля «Период»

      4. Функция «Уведомлять о завершении задачи» позволяет присылать уведомления о выполнении

      5. Поле «Следующий запуск» позволяет выполнить задачу в конкретное время

      6. Функция «Запускать при включении устройства» позволяет выполнять задачу при каждом включении устройства (если устройство было недоступно при массовом выполнении задачи, то задача выполнится в порядке очереди при включении устройства)

      7. В списке «Политики» необходимо выбрать политики которые будут выполняться в ходе задачи (что бы изменить порядок, перетяните нужную задачу зажав ЛКМ)

      ../_images/tasksCreate1.png

      8. Во вкладке «Устройства и группы» выберите ПК/Группы/Динамические группы на которых будет выполняться задача

      ../_images/tasksCreate2.png
    • Редактирование задачи:

      При редактировании Задачи появляется возможность запустить ее в терминале (в окне браузера), запустить в фоне, логи и график выполнения.

  • Логи исполнения – история выполнения задач, содержат ошибки при их наличии.

  • Наличие ресурсов содержит список ресурсов ваших пк - оборудование и программное обеспечение. Список изменяется при выполнении политики «Инвентаризация».

Содержит информацию об установленных ПО, их версиях, драйверах, ОС, подключенных физических устройствах, дате и времени их установки.

Имеет 2 статуса, «В наличии» и «Отсутствует», второй статус дается ресурсу который присутствовал, но по каким то причинам был удален или заменен.

../_images/invent.png
  • Образы OS - хранение образов и установка ОС по сети.

  • Пользователи - этот пункт позволяет управлять правами пользователей, присваивая группу. Группа пользователей – набор прав.

../_images/users.png
  • Аудит - Раздел Аудит содержит информацию о всех HTTP запросах, входах администраторов в систему, изменении объектов сервера.

../_images/audit.png
  • Настройки - настройки конфигурации сервера.

../_images/setup.png

Управление правами

При использовании локального сервера, есть возможность управлять правами пользователей. Для этого выберите пользователя и в закладке «Права доступа» укажите нужную группу или права.

../_images/groupAccess1.png
По умолчанию, уже созданы стандартные группы доступа. При необходимости, создайте свою группу в разделе «Группы».
  • Создание группы:

    1. В поле «Имя группы» введите имя группы

    2. При необходимости в поле «Группа «Active Directory»» введите группу AD

    3. В таблице «Права доступа» выберите те права, которые необходимы для группы. Для выбора всего столбца или строки нажмите на название права/раздела. При выборе раздела, права будут даваться и на подразделы. Например: при выдаче всех прав на раздел «Устройства», у группы будет доступ к «Устройства», «Мосты», «Сессии». «Дополнительные права доступа» можно назначить ниже.

    ../_images/groupAccess2.png ../_images/groupAccess3.png

Строка

Описание

Устройства

Доступ к пунктам «Устройства», «Сессии»

Адресная книга

Доступ к пунктам «Адреса», «Теги»

Пользователи

Доступ к пункту «Пользователи»

Группы

Дополнительно к пункту «Пользователи» добавляется «Группы»

Подразделения

Доступ к пункту «Подразделения»

Политики

Доступ к пунктам «Политики», «Задачи», «Логи исполнения»

Портал

Доступ к пункту «Обращения»

Инвентаризация

Доступ к пунктам «Наличие ресурсов», «Ресурсы»

Образы OS

Доступ к пункту «Образы OS»

Отчеты

Доступ к пунктам Отчеты, «Готовые отчеты»

Файлы

Доступ к пунктам «Репозитории», «Файлы»

Аудит

Доступ к пунктам «Все логи», «HTTP запросы», «Входы в систему», «Объекты»

Настройки

Доступ к пунктам «Мосты», «Настройки»

Строка

Описание

Может подключаться в рамках группы

Может подключаться к пользователям, которые состоят в той же группе что и пользователь. Если пользователь один в группе, то может подключаться ко все

Может подключаться к любому устройству

Разрещает пользователю подключаться к любому устройству

Может подключаться к серверу

Разрешает подключение клиента к серверу

Может запускать политики

Разрешает запускать политики на компьютерах с соответствующим правом

Может менять постоянный пароль

Разрешает менять постоянный пароль

Может экспортировать данные

Разрешает экспорт таблиц из web-интерфейса

Может устанавливать клиентов

Разрешает доступ к меню для скачивания клиентов

Доступ к устройствам по мастер паролю

Разрешает доступ без ввода пароля, используя мастер-пароль

Руководитель подразделения

Разрешает приглашать пользователей в свое подразделение, и управлять пользователями в своем подразделении

Может видеть все компьютеры

Разрешает видеть все компьютеры

Может просматривать статистику

Разрешает просмотри статистик на дашборде

Может менять шаблон политики

Разрешает изменять шаблоны политик

4. Во вкладке «Пользователи» выберите пользователей, которые будут относится к группе (если вы указали «Группу Active Directory» то можно указать дополнительных пользователей)

5. Во вкладке «Устройства» выберите компьютеры, которые будут относится к группе (если вы указали «Группу Active Directory» то можно указать дополнительные компьютеры)

6. Нажмите «Сохранить»

Есть возможность указать «Группу Active Directory», пользователи автоматически будут попадать в создаваемую группу (требуется настройка авторизации через Active Directory в разделе «Настройки»).

Права доступа настраиваются как для пользователей, так и для компьютеров (ID), при авторизации в программе эти права суммируются.

Динамические группы.

Динамическая группа - совокупность компьютеров, объединённая по какому-то признаку. Стандартные маски динамических групп можно увидеть в разделе «Динамические группы».

В стандартной поставке содержатся маски для разделения компьютеров по подсетям и семействам ОС, но вы можете добавить свою, нажав на «Добавить Динамическую группу».

../_images/groupDynamic1.png

Динамическая группа - незаменимый механизм при управлении конфигурациями большого парка устройств. Есть возможность указать конкретную динамическую группу при создании задачи.

  • Динамическая группа по объему ОЗУ:

1. {{ ansible_memtotal_mb > NUMBER }}
2. {{ ansible_memtotal_mb }}

После ввода выражения необходимо нажать на кнопку «Проверить и загрузить динамические группы», после этого во вкладке «Загруженные динамические группы» обновится информация.

Если использовать маску №1, то во вкладке «Загруженные динамические группы» появятся 2 группы:

<Имя шаблона>_1 – у устройств с объемом более NUMBER

<Имя шаблона>_0 – у устройств с объемом меньше или равно NUMBER

P.S. Переменная ansible_memtotal_mb берет количество ОЗУ на устройстве, но из-за определенных причин оно не у всех одинаковое (имея 2 устройства с ОЗУ=2Гб, у первого будет отображаться 1975Мб, у второго 1977Мб). Для создания логических операций необходимо брать на 5% меньше. Например, если вам необходимо отфильтровать устройства с ОЗУ 2Гб, то следует указывать 1945Мб. Логические выражения могут иметь форму:

> - больше

< - меньше

>= - больше или равно

<= - меньше или равно

Если использовать маску №2, то во вкладке «Загруженные динамические группы» оборазятся устройства и их количество ОЗУ.

  • Динамическая группа по наличию ПО:

Windows

{{ win_packages | selectattr("DisplayName", "equalto", "SOFT_NAME") | list | length }}

После ввода выражения необходимо нажать на кнопку «Проверить и загрузить динамические группы», после этого во вкладке «Загруженные динамические группы» обновится информация.

Во вкладке «Загруженные динамические группы» появятся 2 группы:

<Имя шаблона>_1 – у устройств присутствует SOFT_NAME

<Имя шаблона>_0 – у устройств отсутствует SOFT_NAME

Полное название ПО для указания SOFT_NAME можно узнать в «Параметры» -> «Приложения»

Linux

{{ packages | select('match', 'SOFT_NAME') | list | length }}

После ввода выражения необходимо нажать на кнопку «Проверить и загрузить динамические группы», после этого во вкладке «Загруженные динамические группы» обновится информация.

Во вкладке «Загруженные динамические группы» появятся 2 группы:

<Имя шаблона>_1 – у устройств присутствует SOFT_NAME

<Имя шаблона>_0 – у устройств отсутствует SOFT_NAME

Полное название ПО для указания SOFT_NAME можно узнать командой:

apt list | grep SOFTNAME

UEM. Управление конфигурациями компьютеров. Задачи и политики

UEM (Unified Endpoint Management) - набор технологий, используемый для защиты и управления широкого спектра устройств и операционных систем из единой консоли.

Многообразие программных и аппаратных платформ порождает ряд проблем управления компьютерами и устройствами в корпоративной среде. RuDesktop UEM позволяет унифицировать управление программным обеспечением и оборудованием рабочих мест конечных пользователей.

Для управления конфигурациями устройств RuDesktop UEM использует технологии Ansible. Ansible – система управления конфигурациями с использованием декларативного языка разметки для описания конфигураций.

RuDesktop UEM управляет работой Ansible на рабочих станциях как в локальных сетях, так и в сети Интернет.

В стандартной поставке сервера содержится набор стандартных политик, которые помогут достигать необходимой конфигурации рабочей станции:

../_images/uem2.png

Для более тонкой настройки, есть возможность составить пользовательскую политику.

Создание политики

В стандартной поставке сервера RuDesktop UEM уже содержится набор политик для управления конфигурациями. Пользователю потребуется выбрать политику и указать параметры. Для создания политики перейдите в раздел «Политики» и нажмите добавить:

../_images/uem1.png

Выберите одну из стандартных политик RuDesktop UEM.

../_images/uem2.png

Заполните параметры политики. Параметром может быть путь, файл, установочный пакет или что-то другое. Например, у политики «Загрузка файла» следующие параметры: Название, Файл, Путь.

../_images/uem3.png

Нажмите «Сохранить». Политика создана. При исполнении описанной политики выбранный файл будет загружен на удалённый компьютер по указанному пути.

Есть возможность запустить политику в терминале и просматривать лог исполнения в реальном времени. Возможно просмотреть историю изменения политики, логи, управлять графиком исполнения.

../_images/uem231.png

Выбор стандартных политик расширяется. Держите версию сервера в актуальном состоянии для доступа к максимальному функционалу RuDesktop UEM.

Пользовательская политика

Пользователь RuDesktop, создавая политику, формирует сценарий (плейбук) в формате YAML с описанием требуемого состояния конфигурации управляемого устройства.

Плейбук содержит наименование модуля Ansible, алгоритм и параметры исполнения.

В закладке «Политика» запрашиваются параметры, в закладке «Данные» показывает текущее состояние переменных, закладка «Шаблон» содержит код плейбука Ansible.

Пример кода плейбука для загрузки файла:

../_images/uem4.png

RuDesktop UEM даёт возможность использовать как стандартные виды политик, так и создавать пользовательские на основе стандартных.

Создадим свою первую пользовательскую политику.

Добавляем стандартную политику.

В закладке «шаблон» выбираем «Создать шаблон на его основе» или «Создать новый пустой шаблон».

Вводим название шаблона и нажимаем «Создать».

../_images/uem5.png

Перед нами окно редактирования шаблона. Приведём текст шаблона к следующему виду:

../_images/uem6.png
- name: hello RuDesktop! # Наименование политики

  hosts:  all # Политика применится на всех устройствах

  vars_prompt:  # Блок описания параметров

    - name: parameters # Имя переменной, содержащей параметр
      prompt: Сообщение # Отображаемое наименование переменной
      help: Сообщение для пользователя удалённого компьютера # подсказка
      required: yes # Параметр обязателен для заполнения

  tasks:

   - ansible.builtin.shell: # Обращение к модулю
     cmd: 'echo {{ parameters }} >> hello.txt' # запуск команды
     when: ansible_os_family != "Windows" # не для Windows

     # для Windows используется другой модуль:
   - ansible.windows.win_shell: 'echo {{ parameters }} >> C:\Windows\Temp\hello.txt'
     when: ansible_os_family == "Windows" #для Windows

При исполнении политики, на удалённом компьютере создастся файл C:WindowsTemphello.txt с содержанием, указанным в параметре «Сообщение».

../_images/uem7.png

В закладке «Политика» заполняем параметры и нажимаем сохранить. Пользовательская политика RuDesktop UEM создана.

Пользовательская политика RuDesktop UEM – мощный инструмент для тонкой настройки конфигураций управляемых устройств.

Для справки по Ansible рекомендуем воспользоваться документацией:

https://docs.ansible.com/ansible/latest/getting_started/get_started_playbook.html

Желаем успехов в создании пользовательских политик RuDesktop UEM.

Задачи. Управление исполнением политик

Задачи RuDesktop UEM используются для управления выполнением политик. Выполнение задач возможно на устройствах с приложением RuDesktop, установленным особым образом.

Установка и настройка клиентских приложений для работы с сервером RuDesktop UEM:

https://rudesktop.ru/static/help/html/docs/server.html#id7

Подключение уже установленного клиента к серверу RuDesktop UEM:

https://rudesktop.ru/static/help/html/docs/server.html#id10

При установке приложения обычным образом с последующим указанием сервера для подключения в интерфейсе программы, доступен только функционал управления удалённым рабочим столом.

Устройство, подключенное к серверу RuDesktop UEM, содержит пароль в соответствующем поле в списке компьютеров:

../_images/uem8.png

Создадим задачу, содержащую политику «Загрузка файла».

Указываем наименование задачи, период запуска, выделяем галочкой нужную задачу.

Задача может содержать несколько политик, в этом случае, политики выполняются последовательно.

Порядок выполнения политик можно поменять при помощи мыши.

../_images/uem9.png

Параметры политики:

../_images/uem10.png

В закладке «Устройства» выбираем целевой компьютер.

В закладке «Группы» есть возможность указать группу компьютеров для массового применения политик.

../_images/uem11.png

Нажимаем «Сохранить». Задача создана и сохранена в списке раздела «Задачи».

Запуск возможен как в окне редактирования, так и из списка по кнопке «запустить».

../_images/uem12.png

Успешное завершение задачи выглядит так:

../_images/uem13.png

При выполнении задачи возникли ошибки:

../_images/uem14.png

Логи выполнения задач

Конфигурация компьютера изменена в соответствии с требованиями политики:

../_images/uem15.png

Конфигурация компьютера уже соответствует требованиям политики (Нужный файл уже загружен, пакет уже установлен и т.п.):

../_images/uem16.png

Лог содержит ошибку:

../_images/uem17.png

Пример содержания лога с ошибкой:

../_images/uem18.png

Примеры использования стандартных политик

Политики содержат в себе инструкции для исполнения на удалённых ПК. Политики исполняются при помощи задач.

Для создания политик можно воспользоваться готовыми шаблонами или создать «пользовательскую».

В текущей версии реализованы шаблоны для автоматического обновления клиентов rudesktop, выполнения команд на удалённом ПК, загрузке файлов, инвентаризации ПО и оборудования, удаления и установке пакетов.

../_images/uem19.png

Рассмотрим практические примеры применения каждой из политик.

Автоматическое обновление

Позволяет обновить программу-клиент на удаленной машине до последней версии.

Создаем политику «Автоматическое обновление».

У политики нет параметров, вводим только наименование:

../_images/uem20.png

Создаём задачу для управления созданной политикой «обновление приложения RuDesktop».

../_images/uem21.png

В открывшемся меню задаем название задачи, можно выбрать периодичность выполнения (Однократно по умолчанию).

../_images/uem22.png

А также можно задать время следующего запуска.

../_images/uem23.png

Выделяем галочкой управляемую политику:

../_images/uem24.png

Во вкладке «Устройства» выбираем устройства, на которых необходимо выполнить задачу.

../_images/uem25.png

После того, как будут заданы необходимые параметры исполняемой задачи нажимаем «Сохранить». Запускаем задачу.

../_images/uem26.png

Задача выполнена! ПО RuDesktop на компьютере обновлена до последней версии.

Выполнить команду

Позволяет удаленно выполнить команду на управляемом компьютере.

Создадим политику «Выполнить команду», укажем необходимую команду в меню управления политикой.

Для примера рассмотрим создание пустого текстового файла.

Вводим название, команду, нажимаем «Сохранить».

../_images/uem27.png

Создаем задачу (Задачи - Добавить задачу), выбираем созданную политику, компьютеры, на которых задача должна исполняться, нажимаем “Сохранить”.

../_images/uem28.png

Задача создана и отображается в списке:

../_images/uem29.png

Запускаем задачу.

../_images/uem30.png

Задача выполнена. Файл создан.

Проверим результат.

../_images/uem31.png

Загрузка файлов

Позволяет скачать файл на управляемые устройства.

Создаём соответствующую политику.

Называем новую политику “Загрузка тестового файла”.

Добавляем искомый файл в пункте «Файл».

Указываем путь до папки на удалённом устройстве, в которую будет загружен файл.

../_images/uem32.png

Сохраняем, добавляем задачу (Задачи - Добавить задачу). Выбираем период выполнения, компьютеры на которые необходимо скачать файл. Нажимаем Сохранить.

../_images/uem33.png

Запускаем задачу. Ждем несколько секунд (время исполнения зависит от размера файла и количества компьютеров, в данном примере 1 компьютер и небольшой документ).

../_images/uem34.png

Задача выполнена, файл загружен.

../_images/uem35.png

Проверим результат.

../_images/uem36.png

Инвентаризация

Проверяет наличие ПО и оборудования на устройствах вашей сети.

Создаём политику «Инвентаризация».

Потребуется ввести только наименование политики.

../_images/uem37.png

Создаём задачу («Задачи» – «Добавить Задачу»).

Задаем название, периодичность выполнения, выбираем ранее созданную политику инвентаризации и компьютеры, на которых задача должна исполняться.

Нажимаем «Сохранить».

../_images/uem38.png

Запускаем задачу.

../_images/uem39.png

Задача выполнена.

../_images/uem40.png

Результат работы политики находится в разделе «Инвентаризация»

../_images/uem41.png

Политика установки пакета

Позволяет устанавливать пакеты MSI, DEB, RPM, EXE с нужными параметрами и ключами.

Создаём политику «Установка 7z.msi».

Указываем ключи для «тихой установки»: /quiet /norestart.

Ключи могут быть различными, уточняйте у производителя ПО.

Поле «Пакет» содержит product_id пакета. В случае с .msi, это поле заполняется автоматически.

../_images/uem42.png

Создаём соответствующую задачу.

../_images/uem43.png

Указываем целевой компьютер. Сохраняем и запускаем задачу. ПО установлено:

../_images/uem44.png

Политика удаления пакета создаётся и применяется аналогично:

../_images/uem45.png

Если у программы есть команда для удаления, указываем её в соответствующем поле.

Пример команды для удаления: «C:Program Files[Название ПО]Uninstall.exe»

Отчеты

Отчет формируется на основе известных фактах об устройствах.

По умолчанию, вам доступно 2 готовых шаблона для формирования отчета:

1. Инвентаризация: Ресурсы в наличии

../_images/report_have.png

2. Инвентаризация: Отсутствующие ресурсы

../_images/report_not_have.png

Для формирования отчета, необходимо сначала выполнить политику «Инвентаризация», после чего нажать «Построить отчет»

../_images/report_build.png

После создания отчета, он в сформированном виде появится во вкладке «Готовые отчеты»

../_images/report_build_complete.png

Конструктор отчетов

Для создания своего шаблона отчета нажмите «Добавить отчет» из вкладки «Отчеты»

../_images/construct_report_add.png ../_images/construct_report.png

Для примера, создадим шаблон создающий отчет по наличию устройств у ПК.

Добавьте таблицу и задайте параметры из скриншота

../_images/construct_report_1.png

После чего впишите в первую строку таблицы выражение:

../_images/construct_report_2.png

Во вторую строку таблицы впишите выражение и поставьте галочку рассчитать:

../_images/construct_report_3.png

В третью строку таблицы впишите выражение:

../_images/construct_report_4.png

Далее перейдите в настройки строки «Устройство…» и установите параметры:

../_images/construct_report_5.png

Далее перейдите в настройки строки «… в наличии» и установите параметры:

../_images/construct_report_6.png

Далее перейдите в настройки следующей строки и установите параметры:

../_images/construct_report_7.png

Шаблон готов.

Что бы увидеть предварительный результат нажмите на стрелочку:

../_images/construct_report_8.png

И сохраните шаблон.

../_images/construct_report_9.png

Документация по работе с сервисом ReportBro: https://www.reportbro.com/guide/index

Интеграция с Jatoba

СУБД Jatoba - ПО общего назначения, предназначенное для создания и управления реляционными базами данных. Ядро СУБД Jatoba построено на основе одной из самых известных в мире СУБД с открытым кодом - Postgresql.

Замена Postgresql на Jatoba

Вам необходимо:

1. Подготовленный дистрибутив нашего сервера. Получить можно связавшись с отделом продаж: sales@rudesktop.ru

2. Дистрибутив Jatoba с лицензионным ключом

Инструкция по интеграции:

1. Установите дистрибутив нашего сервера

sudo apt install ./rudesktop-server-*-jatoba.deb

2. Установите и лицензируйте дистрибутив Jatoba. Согласно «Руководству по установке СУБД Jatoba 4»: https://www.gaz-is.ru/produkty/inform-systemy/subd-jatoba.html#materialy

3. Проверьте работоспособность сервиса Jatoba

sudo systemctl start jatoba-4
sudo systemctl enable jatoba-4

4. Выполните предварительную сборку сервера Могут быть ошибки в выводе

rude install [СЕРВЕР:ПОРТ]

5. Замените в файлах rudesktop-executor.service rudesktop-pxe.service rudesktop-relay.service rudesktop-web.service находящихся по пути

/etc/systemd/system/

cтроки

postrgesql.service

на

jatoba-4.service

6. Отредактируйте файл /var/lib/jatoba/4/data/pg_hba.conf по шаблону:

../_images/jatoba_hba.png

7. Создайте пользователя rudesktop в СУБД с паролем из файла /var/default/rudesktop из поля POSTGRES_PASSWORD

8. Создайте базу данных с именем rudesktop и дайте пользователю rudesktop на нее все права

9. Запустите сервис rudesktop-web:

sudo systemctl start rudesktop-web.service

10. Запустите создание базы данных сервера:

rude migrate

11. Создайте суперпользователя на сервере:

rude createsuperuser

12. Готово.

Часто задаваемые вопросы

Подключение MacOS при использовании на сервере RuDesktop сертификата, выпущенным доменным центром сертификации

1. Открыть программу «KeyChain» (Связка ключей)

2. Перенести сертификат в программу (после добавления сертификата он будет помечен красным кружком как непроверенный)

3. Двойной клик по сертификату и в поле «Параметры использования сертификата» выбрать «Всегда доверять»

../_images/mac_cert.png

4. Теперь сертификат помечен как доверенный.

Установка OS по сети

Установка ОС по сети:

1. Нажать «Добавить Образ OS»

2. В поле «Название» введите название ОС

3. В списке «Тип OS» выберите тип

4. В пункте «ISO образ» загрузите установочный файл ОС ISO расширения

5. В поле «Локальный администратор» введите логин для будущей учетной записи

6. В поле «Пароль локального администратора» введите пароль для будущей учетной записи

../_images/installOS_win.png

7. Нажать «Сохранить»

8. Нажать «Опубликовать»

../_images/installOS_public.png ../_images/installOS_public_complete.png

9. В BIOS на удаленном ПК разрешить загрузку через PXE

10. В BIOS выставить приоритет загрузки на сетевое устройство PXE

11. Сохранить настройки BIOS и перезагрузить ПК

Смена ip сервера

Для смены или добавления альтернативного IP адреса сервера введите в терминале:

rude install АДРЕС_СЕРВЕРА1:ПОРТ АДРЕС_СЕРВЕРА2:ПОРТ

Смена ip адреса с удалением локальных настроек и настроек веб сервера:

rude reinstall АДРЕС_СЕРВЕРА1:ПОРТ АДРЕС_СЕРВЕРА2:ПОРТ

Подключение уже установленного клиента к другому серверу

При изменении ip сервера требуется переподключить клиентское приложение.

Проблема решается переустановкой с правильными параметрами или единоразовым запуском программы с параметром

rudesktop --rz host:port (два минуса перед rz)

Для Windows, запустите командную строку (пуск – выполнить – CMD). Введите в командной строке:

"C:\Program Files\RuDesktop\"rudesktop.exe --rz АДРЕС_СЕРВЕРА:ПОРТ

Использование 2-х IP на сервере

В конфиге /etc/default/rudesktop необходимо указать:

RELAY_ARGS='--usepublicip'

После этого необходимо перенастроить сервер командой:

rude reinstall IP1:PORT1 IP2:PORT2

Запуск, остановка, перезапуск сервера RuDesktop

Выполните в терминале сервера:

sudo rude start
sudo rude stop
sudo rude restart

Работа с антивирусом на удаленном устройстве

Dr.Web:

Для удаленного управления антивирусом, локально должен быть отключен запрет на эмуляцию действий пользователя (самозащиту): Значок антивируса - Центр Безопасности - нажмите внизу значок замочка для разблокировки изменений - Настройки (шестеренка) - Самозащита - Запрещать эмуляцию действий пользователя: Выкл.

Kaspersky:

Значок антивируса - Настройки (шестеренка) - Настройки безопасности - Самозащита - Включить самозащиту: Выкл.

Бэкап базы данных

Для сохранения состояния базы данных воспользуйтесь процедурами backup/restore. Рекомендуем проводить бэкап перед обновлениями сервера или системы.

Убедитесь, что на диске достаточно свободного места и выполните в терминале:

rude backup  /ПУТЬ/ИМЯ_ФАЙЛА

Для восстановления:

rude restore /ПУТЬ/ИМЯ_ФАЙЛА

Смена или добавления альтернативного IP адреса сервера

После смены ip адреса сервера выполните в терминале сервера

rude install АДРЕС_СЕРВЕРА1:ПОРТ АДРЕС_СЕРВЕРА2:ПОРТ

Теперь ваш сервер доступен на других адресах. Требуется переустановка клиентов с правильными параметрами.

Смена ip адреса с удалением локальных настроек и настроек веб сервера

rude reinstall АДРЕС_СЕРВЕРА1:ПОРТ АДРЕС_СЕРВЕРА2:ПОРТ

Теперь ваш сервер доступен на других адресах. Требуется переустановка клиентов с правильными параметрами.

Настройка авторизации через Active Directory. Пример заполнения

При использовании локального сервера, возможно настроить авторизацию через AD. В момент авторизации делается запрос к AD и, исходя из группы пользователя в AD, определяется принадлежность к группе в Rudesktop. Соответствие настраивается в параметрах группы Rudesktop.

Пример настроек авторизации через Active Directory:

В AD создаём группу, например, rude_admin, которая будет соответствовать группе Администраторы в Rudesktop:

../_images/ad1.jpg

Создаём пользователя usеr1 и включаем в rude_admin:

../_images/ad2.png

В группе Rudesktop Администраторы указываем группу Active Directory rude_admin:

../_images/ad3.png

Вносим настройки. Пример:

../_images/ad4.jpg

Авторизуемся в web-интерфейсе сервера:

../_images/ad5.jpg

Авторизуемся в приложении:

../_images/ad6.png

Ошибка «400 bad request» при входе на сервер.

Похоже, что вы, при установке, ввели неправильный адрес сервера (а он запрашивается при установке), либо не ввели его вовсе. Ситуация может возникнуть при несоответствии адреса виртуальной машины и адреса сервера Rudesktop в настройках.

Введите в терминале:

rude reinstall АДРЕС_СЕРВЕРА

АДРЕС_СЕРВЕРА это ip или dns-имя сервера, по которому в последствии вы заходите в веб-интерфейс. Если сервер имеет альтернативные адреса введите их через пробел:

rude reinstall АДРЕС_СЕРВЕРА1:ПОРТ АДРЕС_СЕРВЕРА2:ПОРТ

Логирование действий администратора в Syslog для интеграции со сторонними сервисами

Для интеграции со сторонними сервисами, например, SIEM - системами, требуется логировать события Rudesktop в syslog в формате CEF.

Делаем следующие настройки:

Настраиваем rsyslogd-сервер на прием данных по протоколу TCP

в /etc/rsyslog.conf раскомментируем:

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

в конец файла добавляем:

*.* @127.0.0.1

Перезапускаем сервис rsyslogd

sudo systemctl restart rsyslog

В /usr/share/rudesktop/localsettings.py вносим следующие параметры:

SYSLOG_HOST = 'localhost'
SYSLOG_PORT = 514

Перезагружаем сервер Rudesktop:

rude restart

Действия администратора логируются в syslog в CEF формате:

../_images/syslog.png

Техническая поддержка.

Обратитесь в «техническую поддержку» при возникновении вопросов или ошибок.

../_images/support_server.png

Задайте вопрос, и мы ответим в ближайшее время.

../_images/help.png

Время работы технической поддержки – ежедневно с 8.00 до 20.00 МСК. Обращения рассматриваются в течение суток.