Rublon

Secure Remote Access

By

Ostatnia aktualizacja dnia December 17 2025

Możesz przechowywać sekrety usługi Rublon Authentication Proxy w Menedżerze poświadczeń Windows (Windows Credential Manager), ustawiając opcję secret_source na winvault w sekcji global pliku konfiguracyjnego.

Gdy opcja secret_source jest ustawiona na winvault, każda wartość sekretu w pliku konfiguracyjnym traktowana jest jako nazwa poświadczenia zapisanego w Menedżerze poświadczeń Windows i usługa Auth Proxy pobiera stamtąd rzeczywistą wartość sekretu.

Sekrety usługi Rublon Authentication Proxy to:

  • Sekcja rublon:
    • system_token
    • secret_key
  • Sekcja proxy_servers:
    • RADIUS:
      • radius_secret
    • LDAP:
      • pkey_password (jeśli używany)
  • Sekcja auth_sources:
    • RADIUS:
      • radius_secret
    • LDAP:
      • access_user_password

Przykład konfiguracji

log:
  debug: false

global:
  secret_source: winvault

rublon:
  api_server: https://core.rublon.net
  system_token: SYSTEM_TOKEN
  secret_key: SECRET_KEY

proxy_servers:
  - name: RADIUS-Proxy
    type: RADIUS
    radius_secret: RADIUS_SECRET
    ip: 0.0.0.0
    port: 1812
    mode: standard
    auth_source: LDAP_SOURCE_1
    auth_method: email

  - name: LDAP-Proxy
    type: LDAP
    ip: 0.0.0.0
    port: 389
    auth_source: LDAP_SOURCE_1
    auth_method: email

auth_sources:
  - name: LDAP_SOURCE_1
    type: LDAP
    ip: 127.0.2.0
    port: 389
    transport_type: plain
    search_dn: OU=Organization,DC=org,DC=com
    access_user_dn: CN=AccessUser,OU=Organization,DC=org,DC=com
    access_user_password: ACCESS_USER_PW

  - name: RADIUS_SOURCE_1
    type: RADIUS
    ip: 127.0.1.0
    port: 1812
    radius_secret: RADIUS_SECRET

W powyższym przykładzie opcja secret_source została ustawiona na winvault. Oznacza to, że usługa Rublon Auth Proxy będzie traktować wartości sekretów w pliku konfiguracyjnym jako nazwy poświadczeń w Menedżerze poświadczeń Windows. W tym przykładzie usługa Auth Proxy spodziewa się, że w Menedżerze poświadczeń zdefiniowane zostaną cztery poświadczenia:

  • SYSTEM_TOKEN
  • SECRET_KEY
  • RADIUS_SECRET (użyty dwukrotnie)
  • ACCESS_USER_PW

Ustawianie poświadczeń (Windows)

Ważne

Usługa Rublon Authentication Proxy musi działać pod kontem, które ma dostęp do poświadczeń zapisanych w Menedżerze poświadczeń Windows. Jeśli uruchomisz ją jako standardowy serwis systemowy (np. „Local System”) lub pod innym kontem, które nie ma dostępu do Twoich wpisów w Credential Manager, usługa nie odczyta sekretów i konfiguracja nie zadziała prawidłowo.

Jak to zapewnić: w zakładce Log On we właściwościach usługi Rublon Authentication Proxy wybierz konto użytkownika, dla którego wcześniej dodano poświadczenia w Menedżerze poświadczeń i nadaj temu kontu prawa administratora. Dzięki temu usługa Rublon Authentication Proxy będzie mogła odczytać sekret z Menedżera poświadczeń.

1. Otwórz Menedżera poświadczeń Windows (Windows Credential Manager).

2. Przejdź do zakładki Poświadczenia systemu Windows.

3. Dodaj poświadczenie rodzajowe dla każdego sekretu, którego używasz: ustaw wartość zarówno Adres internetowy lub sieciowy, jak i Nazwa użytkownika na nazwę sekretu (taką, jak w pliku konfiguracyjnym usługi Auth Proxy). Następnie ustaw Hasło na wartość sekretu, którą chcesz przechowywać.

Uwaga

Pamiętaj, aby dodać sekrety jako poświadczenia rodzajowe. W innym wypadku nie zadziałają.

Uwaga

Pamiętaj, aby w Internet or network address oraz User name ustawić tę samą nazwę sekretu, co w pliku konfiguracyjnym usługi Rublon Auth Proxy.

4. Zrestartuj usługę Rublon Authentication Proxy.

Aktualizacja

Za każdym razem, gdy zmienisz poświadczenia używane przez usługę Rublon Authentication Proxy, musisz zrestartować usługę Rublon Auth Proxy, aby nowe wartości zostały załadowane. Usluga Auth Proxy odczytuje poświadczenia przy uruchomieniu i nie aktualizuje ich automatycznie później.

Zalety przechowywania sekretów w Menedżerze poświadczeń Windows

  • Brak sekretów w postaci jawnego tekstu w pliku konfiguracyjnym. Plik konfiguracyjny Auth Proxy zawiera jedynie nazwy poświadczeń, a nie ich wartości. Nie musisz nic redagować przed udostępnieniem pliku konfiguracyjnego działowi pomocy technicznej Rublon Support.
  • Łatwiejsza aktualizacja. Poświadczenia możesz aktualizować bez modyfikacji pliku konfiguracyjnego usługi Auth Proxy. Po prostu zrestartuj proxy, aby zastosować zmiany.
  • Separation of Duties. Jeden administrator może zarządzać wartościami sekretów w Menedżerze poświadczeń, a inny administrator może utrzymywać plik konfiguracyjny usługi Auth Proxy. Takie rozdzielenie obowiązków poprawia bezpieczeństwo i przejrzystość operacyjną.

Podsumowanie

Przełączenie secret_source na winvault powoduje, że wrażliwe sekrety nie znajdują się w pliku konfiguracyjnym usługi Auth Proxy, tylko są pobierane z Menedżera poświadczeń Windows. Zdefiniuj wymagane poświadczenia, zaktualizuj konfigurację proxy, by odnosiła się do ich nazw i zrestartuj usługę. Takie podejście prowadzi do czystszych konfiguracji i zmniejsza ryzyko przypadkowego ujawnienia sekretów w plikach.

Powiązane posty

Rublon Authentication Proxy – Dokumentacja

Konfiguracja źródła sekretów usługi Rublon Authentication Proxy – Zmienne środowiskowe (env)