Components

Visão Geral

A seção Components gerencia os microserviços e componentes de infraestrutura do PAM FSafer. É composta por duas abas: Basic (configurações globais de protocolo de terminal, proxy de banco de dados e comportamento de conexão) e Components (listagem e monitoramento dos serviços em execução na plataforma).

Aba Basic

Contém as configurações globais que definem como os componentes de terminal e proxy de banco de dados operam. As configurações estão agrupadas em três subseções: Basic (registro), SSH & Terminal Protocol e DB & Database Proxy.

Subseção Basic

Registration — Checkbox (obrigatório). Padrão: habilitado. Permite que novos componentes se registrem automaticamente na plataforma após serem instalados e configurados. Quando habilitado, qualquer componente que conheça o endereço do servidor PAM pode se registrar. Por razões de segurança, recomenda-se desabilitar esta opção após a implantação inicial de todos os componentes necessários, habilitando-a novamente apenas quando for necessário adicionar novos componentes ao ambiente. Isso evita o registro não autorizado de componentes externos.

Subseção SSH & Terminal Protocol

Configura os métodos de autenticação e comportamento de conexão do componente de protocolo de terminal (KoKo/Lion — responsável por sessões SSH, Telnet e outros protocolos de terminal de texto).

Client connection — Checkbox (obrigatório). Padrão: habilitado. Habilita a conexão ao componente Terminal Protocol via cliente SSH nativo. Quando ativo, a interface do usuário exibe a opção de lançar o cliente SSH local para conectar-se aos ativos. Desabilitar esta opção força todos os acessos a passarem exclusivamente pelo cliente web embutido no PAM, sem opção de abrir clientes SSH externos (como PuTTY ou Terminal nativo).

Password — Checkbox. Padrão: habilitado. Permite que usuários autentiquem no componente Terminal Protocol usando autenticação por senha. Quando habilitado, a senha da conta privilegiada gerenciada pelo PAM é injetada automaticamente na sessão, sem exposição ao usuário final. Se desabilitado, a autenticação por senha é bloqueada no Terminal Protocol.

Public key — Checkbox. Padrão: habilitado. Permite autenticação no Terminal Protocol via chave pública SSH. Quando ativo, usuários podem usar par de chaves SSH para autenticar sessões de terminal. Atenção: se serviços de autenticação de terceiros (como AD/LDAP) estiverem habilitados, recomenda-se desabilitar esta opção para evitar que usuários removidos do AD/LDAP continuem acessando os ativos via chave pública previamente cadastrada.

Asset sorting — Radio button. Padrão: Name. Define a ordenação padrão da lista de ativos exibida ao usuário na interface de conexão. Opções: Name (ordenação alfabética pelo nome do ativo) ou Address (ordenação pelo endereço IP/hostname). Ambientes com nomenclatura padronizada beneficiam-se da ordenação por Name; ambientes organizados por faixas de IP podem preferir Address.

Asset page size — Campo de texto. Padrão: Auto. Define quantos ativos são exibidos por página na listagem de ativos. Com o valor Auto, o sistema determina automaticamente o número ideal de itens por página com base no tamanho da janela/tela do usuário. É possível definir um valor numérico fixo para ambientes com número muito grande de ativos.

Subseção DB & Database Proxy

Database proxy — Checkbox (obrigatório). Padrão: habilitado. Habilita o componente de proxy de banco de dados (Magnus), que atua como intermediário entre o cliente de banco de dados do usuário e o servidor de banco de dados de destino. Quando ativo, o endereço de serviço e a porta do proxy podem ser configurados individualmente no service endpoint de cada componente Magnus registrado. A interface do usuário exibirá o método de lançamento do cliente DB (DBeaver, MySQL Workbench, etc.) ao conectar-se a ativos de banco de dados. Desabilitar esta opção remove o suporte a sessões de banco de dados com proxy nativo em toda a plataforma.

Aba Components

Exibe a listagem de todos os microserviços registrados na plataforma PAM FSafer, com informações em tempo real sobre seu estado operacional. Esta aba é essencial para monitoramento de saúde da infraestrutura e diagnóstico de problemas de conectividade ou sobrecarga de componentes.

Colunas da listagem

Name — Nome do componente registrado, no formato [Tipo]-NomeDoServidor. Exemplos: [Celery]-F-SAFER-TEMPLATE, [KoKo]-F-SAFER-T, [Magnus]-F-SAFER. É possível clicar no nome para ver detalhes completos do componente.

Online sessions — Número de sessões ativas neste momento sendo processadas pelo componente. Valor zero indica que o componente está ocioso. Valores altos podem indicar sobrecarga e a necessidade de escalar horizontalmente adicionando mais instâncias do mesmo tipo de componente.

Stat — Indicador de utilização de recursos do componente no formato CPU/Memória (ex.: 0.1 / 7...). Exibe o percentual de uso de CPU e memória do processo do componente. Valores próximos a 100% indicam saturação de recurso.

Load status — Estado operacional do componente. Valores possíveis: Normal (componente online e funcionando corretamente), Offline (componente não está respondendo — verifique o serviço no servidor onde está instalado), High load (componente online mas com alta utilização de recursos).

ID — Identificador único do componente (UUID truncado). Usado internamente para referência em logs e diagnósticos.

Type — Tipo do componente. Define a função exercida pelo microserviço na arquitetura do PAM FSafer.

Remote address — Endereço IP e porta do servidor onde o componente está instalado e em execução.

Tipos de componentes do PAM FSafer

A plataforma PAM FSafer é composta pelos seguintes microserviços, cada um com responsabilidade específica na arquitetura distribuída:

celery — Serviço de processamento de tarefas assíncronas e agendadas. Responsável por jobs periódicos como limpeza de logs, verificações de conectividade, rotação de senhas e outras automações do sistema. Crítico para o funcionamento de toda a automação da plataforma.

chen — Componente de armazenamento e processamento de gravações de sessão. Responsável por receber os arquivos de replay gerados pelos componentes de protocolo e armazená-los no backend de Object Storage configurado.

core — Serviço principal da API REST do PAM FSafer. Processa todas as requisições da interface web e de integrações externas via API. É o componente central do sistema — sua indisponibilidade torna toda a plataforma inacessível.

facelive — Componente de reconhecimento facial. Utilizado para verificação de identidade por biometria facial durante o login ou durante sessões ativas, quando a funcionalidade de reconhecimento facial está habilitada nas configurações de segurança.

koko — Componente de protocolo de terminal SSH/Telnet. Proxy de sessão para protocolos de terminal de texto. Intercepta e audita todas as sessões SSH e Telnet, registrando comandos digitados, saída do terminal e gerando os arquivos de replay de sessão. É o componente que os usuários finais utilizam ao conectar-se a ativos via terminal.

lion — Componente de protocolo de terminal para conexões via cliente SSH nativo. Enquanto o koko lida com o terminal web, o lion gerencia as conexões de clientes SSH externos (como PuTTY ou Terminal nativo do sistema operacional) que se conectam ao PAM via porta SSH configurada.

magnus — Componente de proxy de banco de dados. Intermedia sessões de banco de dados (MySQL, PostgreSQL, Oracle, SQL Server, etc.), permitindo que clientes de banco de dados externos se conectem aos ativos de DB através do PAM, com auditoria completa das queries executadas.

nec — Componente de notificações e comunicação de eventos. Responsável pelo envio de notificações por e-mail, SMS e outros canais configurados no sistema de alertas e subscriptions.

panda — Componente de protocolo gráfico RDP/VNC. Proxy de sessão para conexões RDP (Windows) e VNC. Intercepta e audita sessões gráficas, gerando gravações de vídeo das sessões de área de trabalho remota.

razor — Componente de protocolo de aplicações virtuais (RemoteApp). Gerencia as sessões de VirtualApp/RemoteApp, permitindo publicação e acesso a aplicações específicas instaladas em servidores remotos sem necessidade de desktop completo.

tinker — Agente instalado em servidores Windows ou endpoints para suporte a funcionalidades avançadas como coleta de informações do asset, execução de tarefas locais e integração com o sistema de gestão de contas Windows. Componentes tinker Offline indicam que o agente no servidor correspondente está inativo.

video_worker — Componente de processamento de vídeo de sessões. Responsável por transcodificar e processar os arquivos de gravação de sessões gráficas (RDP/VNC) para o formato de replay utilizável na interface de auditoria do PAM.

Boas Práticas

Desabilite o Registration após a implantação: Após registrar todos os componentes necessários, desative a opção Registration para impedir o registro de componentes não autorizados. Reabilite apenas temporariamente quando precisar adicionar novos componentes.

Monitore componentes Offline: Componentes com status Offline, especialmente core, koko, panda e magnus, impactam diretamente a disponibilidade do PAM. Configure alertas externos (via integração com sistemas de monitoramento como Zabbix, Prometheus ou Datadog) para detectar componentes offline proativamente. A aba Components deve ser verificada regularmente como parte das rotinas de monitoramento de saúde do ambiente.

Desabilite Public key ao usar AD/LDAP: Se a autenticação de usuários for gerenciada via AD/LDAP, desabilite a opção Public key no SSH & Terminal Protocol. Usuários removidos do AD que ainda possuam chaves públicas cadastradas no PAM poderiam continuar acessando ativos, contornando o ciclo de offboarding.