HOB Remote Desktop VPN

Transcription

Administratorhandbuch
HOB Remote Desktop VPN
Dokument-Version: 0.1
Software-Version: 1.3
Ausgabe:
Mai 2009
HOB GmbH & Co. KG
Schwadermühlstr. 3
90556 Cadolzburg
Germany
Telefon 09103 715-0
Fax 09103 715-271
E-mail: [email protected]
Internet: http://www.hob.de
Sicherheitslösungen von HOB
1
Einführung______________________________________________ HOB RemoteDesktop VPN
HOB RemoteDesktop VPN Software und Dokumentation
Telefon: +49-9103/715-161 Fax: +49-9103/715-271
Alle Informationen in diesem Dokument gehören HOB und dürfen ohne unsere Einwilligung nicht verändert
werden. Sie stellen keine Verpflichtungen von Seiten der Firma HOB dar.
Alle Rechte sind vorbehalten. Die Wiedergabe des redaktionellen Inhalts oder von Grafiken und Bildern ist
ohne ausdrückliche Erlaubnis von Seiten der Firma HOB verboten.
Die Software HOB RD VPN und die Dokumentation wurden getestet und geprüft. HOB ist allerdings nicht
für Verluste oder Beschädigungen verantwortlich, die aus dem Gebrauch irgendeiner Information,
Einzelheiten, Fehlern oder Auslassung dieser Dokumentation entstehen.
Sun Microsystems, HotJava und Java sind Warenzeichen oder eingetragene Warenzeichen von Sun
Microsystems, Inc.
Microsoft- und Microsoft Internet Explorer sind eingetragene Warenzeichen von Microsoft Corporation.
Alle weiteren Produktnamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen
Gesellschaften.
Versionsstand: 15.05.2009
2
Einführung _____________________________________________ HOB RemoteDesktop VPN
Symbole und Konventionen
In diesem Handbuch werden eigene Konventionen zur Typisierung
bestimmter, wiederkehrender Sachverhalte verwendet. Ihre jeweilige
Bedeutung wird wie folgt festgelegt.
So sind nützliche Tipps gekennzeichnet, die Ihre Arbeit erleichtern.
So sind zusätzliche Informationen gekennzeichnet.
Dieses Symbol kennzeichnet wichtige Informationen, die Sie
unbedingt beachten sollten.
Dieses Symbol weist auf weitere themenbezogene Informationen hin,
die in der Online-Hilfe enthalten sind.
Dieses Symbol kennzeichnet Vorgangsbeschreibungen, deren Einzelschritte fortlaufend nummeriert sind, z.B.:
1. Schritt
2. Schritt...
Dieses Symbol kennzeichnet Querverweise auf interne oder externe
Inhalte.
• Tasten, oder Tastenkombinationen werden in eckigen Klammern dargestellt, z.B. [Leer].
• Referenzen auf Programmbefehle und Dialogfelder sind fett gedruckt z.B.
Wählen Sie den Befehl Öffnen….
• einstellbare Optionen und Schaltflächen, die in Dialogfeldern wählbar sind,
sind fett gedruckt, z.B. benutzerdefiniert.
• Von Ihnen einzugebender Text, Bildschirmanzeigen und Dateinamen sind
in der Schriftart Courier New dargestellt. Beachten Sie dabei die Großund Kleinschreibung!
3
Verwendete Abkürzungen
Folgende Abkürzungen werden in diesem Handbuch verwendet:
Produktname
Kurzform
HOB WebSecureProxy
WSP
HOB WebSecureProxy Universal Client
WSP UC
Ziel dieses Handbuchs
Dieses Handbuch stellt Administratoren ausführliche Informationen über HOB
RD VPN für die Entscheidungsfindung zur Verfügung, wo und wie Sie dieses
Produkt in Ihrem Unternehmen effizient einsetzen können.
Diese Dokumentation enthält zahlreiche Einsatzszenarien, die beispielhafte
Lösungen aufzeigen, und beschreibt die dafür erforderlichen Bedingungen.
Die Vorgehensweise zur Konfiguration der jeweiligen Software-Komponenten
ist mit detaillierten Schritt-für-Schritt-Anweisungen dokumentiert.
4
Inhalt
Symbole und Konventionen _______________________________________________________________ 3
Verwendete Abkürzungen_________________________________________________________________ 4
Ziel dieses Handbuchs ___________________________________________________________________ 4
1.
2.
3.
4.
Einführung
9
1.1.
1.1.1.
Vorteile von HOB RD VPN _______________________________________________________ 9
HOB RD VPN - die Komplettlösung mit vielen Möglichkeiten_________________________ 9
1.2.
1.2.1.
1.2.2.
1.2.3.
Komponenten von HOB RD VPN _________________________________________________ 9
HOB WebSecureProxy__________________________________________________________ 9
HOBLink J-Term / JWT ________________________________________________________ 10
HOB Enterprise Access ________________________________________________________ 10
Installation
11
2.1.
2.1.1.
2.1.2.
Systemvoraussetzungen _______________________________________________________ 11
Server-System ________________________________________________________________ 11
Client-System_________________________________________________________________ 11
2.2.
So installieren Sie HOB RD VPN_________________________________________________ 12
2.3.
Umstellen von Lokaler Konfiguration auf Remote-Konfiguration _____________________ 13
2.4.
2.4.1.
2.4.2.
2.4.3.
2.4.4.
IP-Adresse / Port ändern _______________________________________________________ 18
Eingehenden Port ändern ______________________________________________________ 18
Adresse des Integrierten Webservers ändern _____________________________________ 18
HTTP Redirector konfigurieren __________________________________________________ 19
Startoptionen ändern __________________________________________________________ 19
2.5.
Anpassen von HOB RD VPN ____________________________________________________ 20
2.6.
Deinstallation _________________________________________________________________ 22
2.7.
Sichern von Installation und Konfigurationsdaten __________________________________ 22
Benutzerverwaltung mit HOB Enterprise Access
25
3.1.
Konzept______________________________________________________________________ 25
3.2.
3.2.1.
3.2.2.
3.2.3.
Konfigurationsprogramm HOB EA Administration _________________________________ 26
HOB EA Administration – lokal __________________________________________________ 26
HOB EA Administration – remote ________________________________________________ 26
Arbeiten mit HOB EA Administration _____________________________________________ 27
3.3.
HOB RD VPN Einstellungen ____________________________________________________ 28
3.4.
3.4.1.
EA-Server ____________________________________________________________________ 29
EA-Server starten / beenden ____________________________________________________ 30
3.5.
Hinweise zu LDAP _____________________________________________________________ 30
3.6.
Startoptionen-Manager ________________________________________________________ 31
3.7.
3.7.1.
3.7.2.
3.7.3.
Authentifizierung ______________________________________________________________ 31
RADIUS Server-Authentifizierung ________________________________________________ 32
LDAP-Authentifizierung ________________________________________________________ 32
EA-Server-Authentifizierung ____________________________________________________ 32
3.8.
Single SignOn ________________________________________________________________ 32
Konfiguration von HOB WebSecureProxy
33
4.1.
Lokale Konfiguration von HOB WSP _____________________________________________ 33
4.2.
4.2.1.
Remote-Konfiguration von HOB WSP____________________________________________ 34
Funktionsweise der WSP Remote Konfiguration ___________________________________ 35
4.3.
WSP Konfiguration – Benutzeroberfläche_________________________________________ 36
5
4.4.
5.
6.
7.
8.
9.
WSP Konfiguration in LDAP speichern___________________________________________ 38
HOB PPP-Tunnel
5.1.
Installation und Konfiguration___________________________________________________ 49
5.2.
Konfiguration eines Servers im HOB WebSecureProxy ____________________________ 49
5.3.
Verwendung von NAT und DNS_________________________________________________ 50
5.4.
Konfiguration des Integrated Web Server im HOB WebSecureProxy_________________ 52
5.5.
Installation des HOB PPPT-Gateways ___________________________________________ 53
5.6.
Konfiguration des L2TP Servers (Beispiel Microsoft RAS Server) ____________________ 54
5.7.
Konfiguration der Benutzer-Startseite ___________________________________________ 56
Dateizugriff mit HOB Web File Access
57
6.1.
6.1.1.
6.1.2.
Web File Access - Konfiguration ________________________________________________ 57
Aktivieren des Web File Access Plugins__________________________________________ 57
RD VPN Benutzereinstellungen konfigurieren _____________________________________ 57
6.2.
Web File Access - Benutzung __________________________________________________ 58
Zugriff auf firmeninterne Web Server
61
7.1.
HOB RD VPN Web Server Gate_________________________________________________ 61
7.2.
Web Server Gate verwenden ___________________________________________________ 62
7.3.
Links auf HTML-Seiten interner Web Server ______________________________________ 63
Zugriff auf Citrix Neighborhood
65
8.1.
Überblick ____________________________________________________________________ 65
8.2.
8.2.1.
8.2.2.
Konfiguration auf dem Client ___________________________________________________ 66
Citrix Neigborhood konfigurieren________________________________________________ 66
HOB WebSecureProxy UC konfigurieren_________________________________________ 67
8.3.
HOB WSP UC in HOB RD VPN konfigurieren _____________________________________ 68
8.4.
HOB WebSecureProxy konfigurieren ____________________________________________ 68
8.5.
8.5.1.
8.5.2.
Verbindung aufbauen__________________________________________________________ 71
HOB WSP UC als Java-Applet starten ___________________________________________ 71
HOB WSP UC bei lokaler Installation starten _____________________________________ 71
Einsatzszenarien
73
9.1.
9.1.1.
9.1.2.
Szenario der Standardkonfiguration _____________________________________________ 73
Anmeldeverfahren für WSP_____________________________________________________ 76
Standardkonfiguration von Startoptionen-Manager / HOBLink JWT _________________ 77
9.2.
9.2.1.
9.2.2.
9.2.3.
9.2.4.
9.2.5.
9.2.6.
Konfigurationsalternativen für abweichende Szenarien_____________________________
Szenario 1: ohne Web Download über WSP & mit zentraler Benutzerverwaltung ______
Szenario 2: ohne Web Download über WSP & ohne zentrale Benutzerverwaltung _____
Szenario 3: Verwendung von WebProfilen________________________________________
Szenario 4: RADIUS-Authentifizierung mittels Token_______________________________
Szenario 5: RADIUS-Authentifizierung / LDAP-Benutzerverwaltung__________________
Szenario 6: Authentifizierung gegenüber IAS von MS Active Directory ohne LDAPSchema-Erweiterung __________________________________________________________
10. HOB Desktop-on-Demand
6
49
78
78
80
82
83
85
86
89
10.1.
Remote-Zugriff auf Windows-Arbeitsplätze_______________________________________ 89
10.2.
Voraussetzungen _____________________________________________________________ 90
10.3.
10.3.1.
10.3.2.
Konfiguration der Desktop-on-Demand-Daten ____________________________________ 90
So konfigurieren Sie WSP ______________________________________________________ 90
Desktop-on-Demand-Daten erfassen____________________________________________ 91
10.3.3.
So konfigurieren Sie HOBLink JWT ______________________________________________ 92
10.4.
Wake-on-LAN Relay ___________________________________________________________ 92
11. HOB VDI
95
11.1.
Remote-Zugriff auf Blade-Center ________________________________________________ 95
11.2.
Voraussetzungen______________________________________________________________ 95
11.3.
11.3.1.
HOB Blade Balancer___________________________________________________________ 96
So konfigurieren Sie WSP ______________________________________________________ 96
12. Server Data Hook
97
13. HOB RD VPN Linux/Unix Tools
99
13.1.
13.1.1.
13.1.2.
Ändern der Konfiguration im laufenden Betrieb____________________________________ 99
Das Programm NBIPGW13 _____________________________________________________ 99
Parameter von NBIPGW13 _____________________________________________________ 99
13.2.
13.2.1.
13.2.2.
Port-Listener für Unix _________________________________________________________ 102
Das Programm NBIPGW12 ____________________________________________________ 102
Parameter von NBIPGW12 ____________________________________________________ 102
14. Sicherheit mit SSL und TLS
103
14.1.
Verschlüsselung mit SSL / TLS_________________________________________________ 103
14.2.
SSL-Sicherheit in HOB RD VPN ________________________________________________ 103
14.3.
Server-Dateien erstellen und kopieren __________________________________________ 104
14.4.
14.4.1.
14.4.2.
Client-Zertifikate bei Applet-Installation _________________________________________ 105
Vorgehensweise bei Einstellung "Lokale Festplatte" ______________________________ 105
Vorgehensweise bei Einstellung "Web Server" ___________________________________ 106
14.5.
14.5.1.
14.5.2.
Client-Zertifikatdateien bei Installation als Applikation _____________________________ 107
Einstellung "Lokale Festplatte" _________________________________________________ 108
Einstellung "Web Server"______________________________________________________ 108
14.6.
Verwendung externer Zertifikatspeicher _________________________________________ 111
15. Sicherheits-Check für HOB RD VPN
113
15.1.
Server ______________________________________________________________________ 113
15.2.
Firewall _____________________________________________________________________ 114
15.3.
15.3.1.
Ports _______________________________________________________________________ 114
Internet-seitige Ports auf TCP 80 und 443 einschränken___________________________ 114
15.4.
Logging _____________________________________________________________________ 116
16. Problembehandlung
117
16.1.
16.1.1.
Ereignisanzeige ______________________________________________________________ 117
Voraussetzungen_____________________________________________________________ 117
16.2.
16.2.1.
Windows Dump ______________________________________________________________ 117
Voraussetzungen_____________________________________________________________ 117
16.3.
16.3.1.
Konsolenmeldungen __________________________________________________________ 118
Anzeige von Konsolmeldungen_________________________________________________ 118
17. Informationen und Unterstützung
119
18. Anhang - HOB WSP XML Konfiguration
121
18.1.
<sslgate-configuration> Tag ___________________________________________________ 121
7
18.2.
18.2.1.
General _____________________________________________________________________ 121
Windows Core Dump_________________________________________________________ 125
18.3.
18.3.1.
18.3.2.
18.3.3.
Connection _________________________________________________________________
Client Half-Session Parameters ________________________________________________
Server Half-Session Parameters _______________________________________________
Server-List __________________________________________________________________
18.4.
Blade Control _______________________________________________________________ 136
18.5.
User-Group _________________________________________________________________ 137
18.6.
RADIUS ____________________________________________________________________ 138
18.7.
OCSP-URL _________________________________________________________________ 139
18.8.
Client-Side SSL______________________________________________________________ 139
18.9.
Target-Filter _________________________________________________________________ 140
19. Index
8
125
126
128
130
143
1.
Einführung
1.1. Vorteile von HOB RD VPN
Mit HOB RD VPN (Remote Desktop Virtual Private Network) erhalten Sie eine
Lösung für den performanten und sicheren Remote-Zugriff auf Anwendungen
und Daten im Firmennetz. Benutzer ziehen daraus den Vorteil, keinerlei
Software installieren zu müssen. Der Zugriff ist über jeden beliebigen InternetZugang möglich. Am Client selbst erscheint der Windows-Desktop des
Remote Systems und der Benutzer kann damit arbeiten, wie er es von einem
lokalen PC gewohnt ist.
1.1.1.
HOB RD VPN - die Komplettlösung mit vielen
Möglichkeiten
HOB RD VPN bietet verschiedene Lösungen für Einsatzszenarien, wie sie in
vielen Unternehmen benötigt werden:
•
HOB WTS Computing mit HOBLink JWT für Zugriff auf Windows Terminal
Server von Microsoft
•
HOB Desktop-on-Demand für Zugriff auf Arbeitsplatzrechner mit
Betriebssystem Windows XP Professional (siehe 10 HOB Desktop-onDemand, Seite 89)
•
HOB VDI für Zugriff auf Blade Center mit Windows XP/Vista
Betriebssystem (siehe 11 HOB VDI, Seite 95)
•
HOB Terminal-Emulationen mit HOBLink J-Term für Zugriff auf HostSysteme
1.2. Komponenten von HOB RD VPN
Im Lieferumfang von HOB RD VPN sind mehrere Komponenten enthalten, die
im folgenden Teil beschrieben werden
1.2.1.
HOB WebSecureProxy
HOB WebSecureProxy ist eine Server-Komponente und stellt sich als zentrale
Anlaufsstelle für Anfragen von Clients wie HOBLink J-Term / JWT aus dem
Internet dar. Vorzugsweise in der DMZ (DeMilitarized Zone) platziert, schottet
WSP firmeninterne Server wirkungsvoll vor dem direkten Zugriff aus dem
Internet ab und leitet die Anfragen an den Ziel-Server weiter.
Die Kommunikation zwischen WSP und Client ist dabei SSL-gesichert,
während zwischen WSP und Server-Seite ohne SSL kommuniziert wird. Der
Datenverkehr erfolgt über den konfigurierbaren Port 443, der in Firewalls
standardmäßig frei geschaltet ist.
WSP stellt nach der Installation einen integrierten HOB WSP Web Server zur
Verfügung. Zunächst muss sich der Benutzer mittels sicherer HTTPSVerbindung über diesen Web Server bei WSP anmelden (siehe 9.1 Szenario
9
der Standardkonfiguration, Seite 73). Beim ersten Aufruf der Startseite des
WSP Web Servers muss sich der Benutzer authentifizieren.
Weitere Informationen siehe 3.7 Authentifizierung, Seite 31
HOB RD VPN Einstellungen siehe Kapitel 3.3, Seite 28
1.2.1.1. HOB WSP HTTP Redirector
Der HTTP Redirector bewirkt, dass alle HTTP-Anfragen des Browsers (über
Port 80) automatisch auf den HTTPS-Port 443 umgeleitet werden, auf den der
HOB WSP Web Server hört.
Diese Komponente wird als EA Server Plugin gestartet (in HOB EA
Administration: Menü EA Server > Konfigurieren, Registerkarte Server
Plugins).
Weitere Informationen zur Verwendung und Konfiguration des HOB WSP
HTTP Redirector finden Sie in der Online-Hilfe.
1.2.1.2. HOB RD VPN Web Server Gate
Diese Komponente ermöglicht den SSL-gesicherten Zugriff auf firmeninterne
Web Server über das Internet.
Weitere Informationen siehe 6, Seite 57
1.2.2.
HOBLink J-Term / JWT
HOBLink J-Term ist die multi-protokollfähige Client-Anwendung für Zugriff
auf Host-Systeme über VT, 3270, 5250, HP700, Siemens 9750 und 97801.
HOBLink JWT ist die RDP-Client-Anwendung für Zugriff auf Windows
Terminal Server von Microsoft.
1.2.3.
HOB Enterprise Access
Diese Komponente übernimmt die zentrale Benutzerverwaltung und leistet die
problemlose Integration in die bestehende Infrastruktur Ihres Unternehmens.
10
Installation _____________________________________________ HOB RemoteDesktop VPN
2.
Installation
2.1. Systemvoraussetzungen
2.1.1.
Server-System
HOB RD VPN unterstützt folgende Betriebssysteme auf dem Server:
•
Windows
- Windows 2000 oder neuer
•
Linux
- Linux 32 Bit für x86-Prozessoren
- Linux 64 Bit für AMD64/Itanium-Prozessoren
- Solaris 64 Bit für AMD64/SPARC-Prozessoren
- Linux on zSeries
Auf LINUX gewährleistet die Kernel-Version 2.6.5-7 (oder höher) einen
stabilen Betrieb des HOB WebSecureProxy. Vom Einsatz älterer
Kernel-Versionen wird dringend abgeraten, da hiermit funktionelle
Beeinträchtigungen festgestellt wurden.
•
bei Installation ohne Java Virtual Machine muss mindestens eine JVM
Version 1.5 oder höher installiert sein
•
mindestens 512 MB RAM
•
mindestens 500 MHz CPU
•
ca. 350 MB Festplattenspeicher
Dieser Wert gilt für eine typische Installation und hängt davon ab, welches
Betriebssystem eingesetzt wird.
2.1.2.
Client-System
Auf der Client-Seite kann jeder beliebige Browser mit Unterstützung von Java
(Version 1.4.2 oder neuer) verwendet werden.
Unterstützte Java 2-kompatible Browser / Java 2-Browser-PlugIns
Die folgende Liste erhebt nicht den Anspruch auf Vollständigkeit und nennt
nur einige der unterstützten Browser:
•
•
•
•
Firefox
Microsoft Internet Explorer mit installiertem Java 2-PlugIn
Safari
Mozilla
Erforderliche Browser-Einstellungen
Führen Sie folgende Einstellungen im Browser durch, um einen problemlosen
Betrieb zu gewährleisten:
11
Installation______________________________________________ HOB RemoteDesktop VPN
•
•
Cookies akzeptieren, um die Authentifizierung durchführen zu können
JavaScript aktivieren, um HTML-Seiten korrekt darstellen zu können
Hinweis bei Verwendung von Windows Vista und Internet Explorer 7 im
geschützten Modus (Protected Mode)
Wenn HOBLink J-Term bzw. HOBLink JWT auf einem PC unter Windows
Vista ausgeführt werden, beachten Sie folgendes:
Dateien, die von HOBLink J-Term/JWT auf dem lokalen PC erstellt bzw.
verändert werden, sind mit anderen Programmen (z.B. Windows Explorer)
nicht sichtbar. Diese Dateien werden in eine temporäre Datei geschrieben, die
von Windows Vista verwaltet wird.
Lösung: Um dieses Problem zu umgehen, gibt es zwei Möglichkeiten:
1. Hinzufügen der URL von HOBLink J-Term/JWT zu "Vertrauenswürdige
Sites"
Wählen Sie dazu im Internet Explorer im Menü Extras den Punkt
Internetoptionen und dann den Reiter Sicherheit. Wählen Sie nun das Icon
"Vertrauenswürdige Sites" und fügen Sie die gewünschte URL hinzu.
2. Ausschalten des "Geschützten Modus"
Wählen Sie dazu im Internet Explorer im Menü Extras den Punkt
Internetoptionen und dann den Reiter Sicherheit. Wählen Sie nun das Icon
"Internet" und deaktivieren Sie die Option "Geschützten Modus aktivieren".
2.2. So installieren Sie HOB RD VPN
1. HOB RD VPN-CD in CD-ROM/DVD-ROM Laufwerk des Rechners einlegen. Falls das CD-Startbild nicht automatisch erscheint, Datei
start.htm im Hauptverzeichnis der CD öffnen.
2. Auf der Startseite, die im Browser geöffnet wird, auf Software installieren
klicken (der Link Produkt-Informationen führt Sie zu weiteren Produktinformationen).
3. Auf der angezeigten Seite auf den Link Installation für HOB RD VPN
klicken, um den Installationsvorgang zu starten.
4. Bestätigen Sie im Dialog Warnung – Sicherheit das Sicherheitszertifikat
mit der Schaltfläche Ja oder Immer, um die Installation zuzulassen.
5. Schaltfläche Start Installer for Windows… drücken.
6. Vorbereitende Maßnahmen für die Installation werden durchgeführt.
7. Gewünschte Installationssprache wählen und OK drücken.
8. Angezeigte Informationen im Installationsdialog lesen und Weiter drücken.
9. Im folgenden Dialog die entsprechende Option wählen, mit der Sie die
Bedingungen des Lizenzvertrags akzeptieren, und Weiter drücken.
10. Folgen Sie den weiteren Anweisungen des Installationsprogramms bis Sie
zur Eingabe des Produktschlüssels aufgefordert werden.
Sie können zwischen zwei Verfahren wählen, die unter Punkt a. und b.
des folgenden Abschnitts beschrieben sind.
11. a. Im Dialog HOB Software - Produktschlüssel einen gültigen Schlüssel
eintragen. Sie können diesen dem Dokument HOB Software Lizenz entnehmen, das Ihnen zusammen mit der Software-CD ausgeliefert wurde.
Im Dialog Produktschlüssel Schaltfläche OK drücken, um das Tool zu
12
beenden..
b. Im Dialog HOB Software – Produktschlüssel Schaltfläche Testversion
drücken, falls Sie keinen Produktschlüssel besitzen und die Software 30
Tage kostenlos testen möchten:
Die Gültigkeitsdauer der Testversion wird angezeigt.
Im Dialog Produktschlüssel Schaltfläche OK drücken, um das Tool zu
beenden.
12. Im folgenden Dialog Fertig drücken, um den Installationsvorgang abzuschließen.
13. Browser-Fenster schließen.
Der Installationsvorgang ist damit abgeschlossen.
Lesen Sie anschließend das HTML-Dokument Erste Schritte, das unmittelbar
im Anschluss im Browser-Fenster geöffnet wird.
2.3. Umstellen von Lokaler Konfiguration auf RemoteKonfiguration
Während der Installation von HOB RD VPN können Sie entscheiden, ob Sie
HOB WSP lokal oder remote konfigurieren möchten.
Die folgende Beschreibung geht davon aus, das Sie HOB RD VPN 1.3 mit der
Installationsvariante lokale Konfiguration installiert haben und auf RemoteKonfiguration umstellen möchten.
Wenn Sie ein Update von einer älteren Version auf HOB RD VPN 1.3
durchgeführt haben, wird die Variante lokale Konfiguration installiert.
Auch in diesem Fall gehen Sie nach dieser Anleitung vor, wenn Sie
umstellen möchten.
1. Öffnen Sie das Konfigurationsprogramm EA Admin (siehe Abschnitt
Konfigurationsprogramm HOB EA Administration auf Seite 26).
2. Erstellen Sie – falls noch nicht vorhanden – unterhalb des
Hauptelements firm einen Container rdvpn
(rechte Maustaste > Element hinzufügen).
3. Erstellen Sie im neu erstellten Container rdvpn,firm ein Objekt
namens websecureproxy. Die Namen der Objekte bzw. Container
sind jeweils frei wählbar.
Wenn Sie ein Objekt erstellen, werden Sie aufgefordert,
einen Benutzer als Objekt-Manager zu bestimmen. Wählen
Sie z.B. den Benutzer Administrator
(administrator,users,firm).
4. Starten Sie den Startoptionen-Manager und öffnen Sie die Datei
<INSTALL_DIR>\easerver\WspAssistStartup.xml
Falls die Datei nicht existiert, erstellen Sie diese Datei neu.
13
Falls Sie die Konfiguration remote vornehmen (z.B. weil
HOB RD VPN auf einem System ohne graphische
Benutzeroberfläche installiert ist), gehen Sie
folgendermaßen vor:
•
Starten Sie HOB EA Administration (siehe Abschnitt
Konfigurationsprogramm HOB EA Administration auf
Seite 26) auf dem RD VPN Server
• Öffnen Sie den Startoptionen Manager (> Extras >
Startoptionen
• Wählen Sie die Option vom HOB EA-Server und klicken
Sie auf die Schaltfläche
zur Dateiauswahl.
• Wählen Sie aus der Liste die Datei
WspAssistStartup.xml
5. WähIen Sie im Startoptionen-Manager die Registerkarte
Verbindungsmodell.
Wählen Sie im Feld Verbinden mit Datenbank die Option über EAServer.
6. Wählen Sie die Registerkarte Anmelden.
Geben Sie Benutzername, Passwort und Benutzerkontext des
Objekt-Managers von WebSecureProxy (siehe oben) an.
Aktivieren Sie die Option Objekt-Management verwenden und
tragen Sie den Namen des WebSecurProxy Objekts ein.
14
7. Wählen Sie die Registerkarte Optionen.
Aktivieren Sie die Option Automatische Anmeldung.
8. Wählen Sie die Registerkarte Verbindung.
Geben Sie im Feld EA-Server-Adresse den Wert localhost und im Feld
EA-Server-Port den Wert 13270 ein.
9. Speichern Sie die Datei (Datei > Speichern) und beenden Sie den
Startoptionen-Manager.
10. Öffnen Sie das WSP Konfigurationsprogramm, indem Sie mit der
rechten Maustaste auf das Objekt websecureproxy klicken und
anschließend
15
> Konfigurieren > HOB RD VPN > WebSecureProxy
wählen.
11. Importieren Sie die Konfigurationsdatei von HOB WSP, indem Sie
wählen
> Datei > Import
und anschließend folgende Datei auswählen:
<INSTALL_DIR>\wsp\wsp.xml
Falls Sie die Konfiguration remote vornehmen (z.B. weil
HOB RD VPN auf einem System ohne graphische
Benutzeroberfläche installiert ist), kopieren Sie die Datei
wsp.xml zunächst per Filetransfer auf den lokalen PC und
importieren Sie die Datei anschließend von dieser Stelle.
12. Speichern Sie die Datei, indem Sie wählen > Datei > Speichern
Falls eine Dialogbox mit der Frage “Sollen die neuen Einstellungen
sofort wirksam werden?” erscheint, klicken Sie auf Nein.
13. Beenden Sie das WSP Konfigurationsprogramm.
14. In Programm EA Administration wählen Sie
> EA Server > Konfigurieren
und anschließend die Registerkarte Server Plugins.
15. Falls das Server Plugin “HOB WebSecureProxy Agent” existiert,
fahren Sie bei Schritt 24 fort.
Falls das Server Plugin “HOB WebSecureProxy Agent” nicht existiert,
führen Sie die Schritte 16-23 aus.
16
16. Schließen Sie den Dialog und schließen Sie EA Administration.
17. Unter Windows: Öffnen Sie das Windows Programm Dienste.
(Start > Systemsteuerung > Verwaltung > Dienste)
18. Unter Windows: Beenden Sie den Dienst HOB WebSecureProxy.
Unter Linux/Unix: Beenden Sie das Programm websecureproxy.
(siehe Abchnitt 4 Konfiguration von HOB WebSecureProxy auf Seite
33)
19. Unter Windows: Deaktivieren Sie den Dienst HOB WebSecureProxy.
Unter Linux/Unix: Entfernen Sie das Startup-Skript, das HOB
WebSecureProxy startet.
20. Unter Windows: Öffnen Sie das Windows-Programm Dienste.
(Start > Systemsteuerung > Verwaltung > Dienste) und beenden Sie
den Dienst EA Server.
Unter Linux/Unix: Beenden Sie das Programm easerver (siehe
Abschnitt Konfigurationsprogramm HOB EA Administration auf Seite
26).
21. Öffnen Sie die Datei <INSTALL_DIR>\wsp\hlserver.xml mit
einem Texteditor.
22. Fügen Sie den folgenden Code zwischen den Tags <server_plugins>
und </server_plugins> ein, am besten unmittelbar vor dem Tag
</server_plugins>:
<wsp_assistant>
<name>HOB WebSecureProxy Agent</name>
<run>Y</run>
<classname>hob.wsp.assist.wsp_assistant</classname>
</wsp_assistant>
23. Speichern Sie die Datei hlserver.xml, starten Sie EA Server und öffnen
Sie erneut den Dialog Server Plugins in EA Administration (vgl. Schritt
14).
24. Aktivieren Sie die Checkbox in der Zeile HOB WebSecureProxy Agent.
25. Schließen Sie den Dialog. Es erscheint eine Meldung mit der Frage,
wann die neuen Einstellungen wirksam werden sollen.
17
Wählen Sie Jetzt , falls Sie den EA Server sofort mit den neuen
Einstellungen starten möchten oder Nach Neustart, falls Sie EA
Server später manuell starten möchten.
26. Bennenen Sie die folgende Datei um:
<INSTALL_DIR>\portal.db\local.xml
Neuer Name:
<INSTALL_DIR>\portal.db\remote.xml
2.4. IP-Adresse / Port ändern
Wenn Sie die IP-Adresse oder den Port einer bestehenden HOB RD VPN
Installation ändern möchten, führen Sie folgende Schritte aus (2.4.1. bis
2.4.4.):
2.4.1.
Eingehenden Port ändern
1. Konfigurationsprogramm von HOB WebSecureProxy starten
(Vgl. Kapitel 4 Konfiguration von HOB WebSecureProxy auf Seite 33).
2. Wählen Sie die Verbindungs-Vorlage, die Sie verwenden, z.B.
> Verbindung > SELECT
3. Ändern Sie den Wert Eingehender Port in der Registerkarte Eingehende
Verbindung.
2.4.2.
Adresse des Integrierten Webservers ändern
1. Wählen Sie die Vorlage des Integrierten Webservers, z.B.
> Server-Listen > SERVERLIST1 > Integrated Web Server
2. Wählen Sie die Registerkarte Webserver.
3. Ändern Sie den Wert der Web Server-Adresse.
18
2.4.3.
HTTP Redirector konfigurieren
Falls Sie den HTTP Redirector einsetzen, führen Sie folgende Schritte aus:
1. Starten Sie HOB EA Administration
2. Starten Sie das HOB EA Server Konfigurationsprogramm.
(> EA-Server > Konfigurieren... )
3. Wählen Sie die Registerkarte Server Plugins.
4. Ändern Sie die Werte hostport und address beim HOB HTTP Redirector.
2.4.4.
Startoptionen ändern
1. Öffnen Sie den Startoptionen-Manager (> Extras > Startoptionen).
2. Öffnen Sie die Startoptions-Datei. Bearbeiten Sie nacheinander die
Startoptions-Dateien (falls verwendet) von HOBLink J-Term, HOBLink
JWT, HOB EA Admin und HOB EA Admin extern.
3. Wählen Sie die Registerkarte WSP/HTTP Proxies.
4. Ändern Sie Adresse und Port des WebSecureProxies, den Sie verwenden.
19
2.5. Anpassen von HOB RD VPN
Die Benutzerseiten von HOB RD VPN (z.B. die Login-Seite) können Sie
individuell anpassen. Beispielsweise können Sie ein eigenes Logo einbinden
oder die Farben der Webseiten anpassen.
Ersetzen des Banners
Das Banner banner_RDVPN.jpg befindet sich im Verzeichnis
<install_dir>/www/login/i.
Ersetzen Sie diese Datei mit einer jpg-Datei, Größe 600 x 84 Pixel.
Ersetzen der hellblauen Farbe im oberen Bereich
20
Die Farbe im oberen Bereich können Sie mit einer beliebigen Farbe ersetzen.
Öffnen Sie dazu die Datei <install_dir>/www/login/i/hobstyle.css mit einem
Texteditor.
Ersetzen Sie in der Zeile
div.head{text-align:center;background-color:#C3D3FD;verticalalign:middle;}
den Wert von C3D3FD mit einem beliebigen RGB-Farbwert.
Ersetzen der Textzeile „HOB RD VPN Anmeldung“ in der Anmeldeseite
Öffnen Sie die Datei <install_dir>/www/login/login.html.
msgL="HOB RD VPN Anmeldung";
den Text zwischen den Anführungszeichen mit einem beliebigen Text.
Ersetzen der Textzeile „HOB RD VPN“ in der Abmeldeseite
Öffnen Sie die Datei <install_dir>/www/login/logout.html.
msgL="HOB RD VPN";
den Text zwischen den Anführungszeichen mit einem beliebigen Text.
21
2.6. Deinstallation
Die Installation von HOB RD VPN lässt sich über die Deinstallations-Funktion
des Betriebssystems Windows wieder entfernen.
1. - unter Windows XP:
Drücken Sie in der Systemsteuerung > Software > HOB RD VPN die
Schaltfläche Ändern/Entfernen und im dann erscheinenden Fenster die
Schaltfläche Deinstallieren.
- unter Windows Vista:
Wählen Sie in der Systemsteuerung den Link Software deinstallieren
und anschließend HOB RD VPN.
Einzelne Unterverzeichnisse des Ordners C:\Programme\HOB\rdvpn,
die die HOB Enterprise Access-Datenbank und die Konfigurationsdaten enthalten, werden nicht entfernt. Dies ist insbesondere
praktisch, wenn Sie eine ältere HOB RD VPN-Version deinstallieren
und durch eine neuere ersetzen möchten, aber individuell angepasste
Einstellungen behalten möchten (siehe 2.7 Sichern von Installation und
Konfigurationsdaten, Seite 22).
2. Nach dem Ausführen von Schritt 1, müssen Sie das System eventuell neu
starten, um die Deinstallation abzuschließen. Nach dem Neustart können
Sie den Ordner einschließlich evtl. vorhandener Unterverzeichnisse
entfernen, wenn eine vollständige Deinstallation gewünscht wird.
2.7. Sichern von Installation und Konfigurationsdaten
Aus Sicherheitsgründen empfehlen wir vor dem Einspielen eines SoftwareUpdates oder einer neuen Release-Version, eine Sicherung der bestehenden
HOB RD VPN-Installation durchzuführen. Im Bedarfsfall können Sie so mit
minimalem Aufwand den vorhergehenden Zustand wiederherstellen.
Normalerweise erstellen Sie hierfür eine Sicherungskopie des gesamten
Installationsverzeichnisses von HOB RD VPN, z.B. C:\Programme\HOB\rdvpn
(Standardinstallationspfad) und legen diese auf einem geeigneten Datenträger
ab.
Alternativ können Sie eine selektive Sicherung durchführen, bei der nur
relevante Verzeichnisse und Dateien gesichert werden. Folgende Tabelle führt
im Einzelnen auf, welche Teile der Installation betroffen sind:
Verzeichnis / Datei
Inhalt
.\easerver *
Konfigurationsdaten des EA-Servers
* ab Version 1.1 0109
.\portal.db
22
Konfigurationsdaten der Benutzer (Enterprise
Access-Datenbank)
Verzeichnis / Datei
Inhalt
.\sslsettings
SSL-Server-Zertifikate
.\wsp\wsp.xml
HOB WebSecureProxy-Konfigurationsdaten
.\www\lib\sslpublic
SSL-Client-Zertifikate
.\www\lib\hob\props
Startoptionsdateien der Clients (z.B. HOBLink
JWT)
.\www\
Sichern Sie in diesem Verzeichnis evtl.
veränderte bzw. selbst erstellte HTML-Seiten
(und JavaWebStart-Dateien)
23
24
Benutzerverwaltung mit HOB Enterprise Access _______________ HOB RemoteDesktop VPN
3.
Benutzerverwaltung mit HOB Enterprise
Access
Mit HOB Enterprise Access können Administratoren Benutzereinstellungen
und Konfigurationsdaten zentral verwalten. Benutzer werden in einer
hierarchischen Gruppen- und Baumstruktur dargestellt, die die Verwaltung
erheblich vereinfacht, besonders, wenn es darum geht, eine große Anzahl
Benutzer zu verwalten.
Durch Unterstützung von LDAP-Servern, ein Leistungsmerkmal von HOB
Enterprise Access, gehört das mehrfache, zeitintensive Erstellen und die
Pflege von Benutzerdaten der Vergangenheit an. So profitieren HOB RD VPNBenutzer auch von den Vorzügen des HOB Enterprise Access-Konzepts, z.B.:
•
•
•
•
•
zentrale Konfiguration
zentrale Administration
zentrales Management
Vererbung von Vorlagen und Benutzereinstellungen
Speichern der Konfigurationsdaten in HOB Enterprise Access
Die Konfigurationsdaten von HOB RD VPN–Benutzern werden entweder lokal
in der Datenbank von HOB Enterprise Access oder in der LDAP-Datenbank
gespeichert. Der Zugriff auf die Daten erfolgt ebenfalls über den EA-Server
oder LDAP-Server. HOB Enterprise Access verwendet eine Baumstruktur und
darin enthaltene Elemente können ihre Eigenschaften anderen Elementen
vererben, die ihnen untergeordnet sind.
3.1. Konzept
HOB Enterprise Access (HOB EA) ist ein Produkt, das Ihnen jede erdenkliche
Flexibilität in der zentralen Verwaltung (Single Point of Administration) von
HOB Connectivity Clients (HOBLink J-Term / JWT) gibt. Dieses
Konfigurationsprogramm wird automatisch auf dem HOB RD VPN-Server
installiert, der als Server-PC fungiert.
Auf diesem Server-PC (EA-Server) werden die Benutzereinstellungen der
HOB Clients in einer Datenbank angelegt, an dem sich Anwender anmelden
müssen. Nach der Anmeldung werden die Benutzereinstellungen über TCP/IP
von dort heruntergeladen. Dieser Vorgang erst ermöglicht Benutzern das
Starten von Anwendungen, für die Sie eine Zugriffsberechtigung besitzen.
Die beiden folgenden Konfigurationsszenarien sind für HOB EA im
Zusammenhang mit HOB Connectivity Clients realisierbar:
•
Verbindung über den EA-Server (Standardkonfiguration)
(siehe 9.1 Szenario der Standardkonfiguration, Seite 73)
Alle Benutzereinstellungen werden in einer Datenbank auf dem EA-Server
abgelegt. Sobald Sie HOB RD VPN oder HOB EA Administration starten,
werden Sie mit dem EA-Server verbunden.
Der EA-Server wird als Windows-Dienst installiert, der automatisch gestartet wird (Systemsteuerung > Verwaltung > Dienste).
25
Benutzerverwaltung mit HOB Enterprise Access________________ HOB RemoteDesktop VPN
•
Verbindung zum LDAP-Server über den EA-Server
In diesem Szenario greift HOB RD VPN über den EA-Server auf die
Benutzerverwaltung des LDAP-Servers zu. Der EA-Server kommuniziert
standardmäßig über Port 389 mit dem LDAP Server.
Weitere lnformationen über das Konfigurieren von Verbindungsmodellen erhalten Sie in der Online-Hilfe des Startoptionen-Managers
von HOB EA Administration (Menü Extras > Startoptionen...).
3.2. Konfigurationsprogramm HOB EA Administration
HOB EA Administration ist eine Java-basierte Anwendung, die mit HOB RD
VPN automatisch installiert wird.
Es gibt zwei verschiedene Möglichkeiten, wie Sie als Administrator mit HOB
RD VPN (und damit auch mit HOB EA Administration) arbeiten können, um
Konfigurationen vorzunehmen:
•
Lokal
d.h. der Administrator arbeitet lokal am System, auf dem HOB RD VPN
installiert ist.
Remote
d.h. der Administrator arbeitet remote über das Netzwerk.
•
3.2.1.
HOB EA Administration – lokal
So gehen Sie vor, um HOB EA Administration zu starten, falls Sie die lokal
arbeiten möchten:
Führen Sie das Programm HOB EA Administration aus, indem Sie auf einen
seiner Shortcusts klicken. Shortcuts zu diesem Programm finden Sie in
folgendem Verzeichnis:
- unter Windows: Start>Programme>HOB RD VPN>Administration
- unter Linux/Unix: /home/your_username/HOB RD VPN>Administration
3.2.2.
HOB EA Administration – remote
Um remote zu arbeiten, benötigen Sie als Client ein System mit InternetBrowser und installierter JVM 1.5 (oder neuer). Das Starten von HOB EA
Administration erfolgt über Java Web Start. Dabei werden Verknüpfungen
zum Konfigurationsprogramm auf dem Desktop und im Startmenü angelegt.
Voraussetung für die Remote-Administration ist, dass im HOB
WebSecureProxy eine Verbindung eingerichtet ist, die über SOCKS
5 läuft. Fügen Sie dazu im HOB WebSecureProxy eine Serverliste
hinzu, die den Modus 1:1 Gateway und das vordefinierte Protokoll
SOCKS verwendet. Weitere Hinweise zur Einrichtung einer
Verbindung über SOCKS 5 finden Sie in der Onlinehilfe von HOB
WebSecureProxy.
26
So gehen Sie vor, um HOB EA Administration zu starten, falls Sie remote
arbeiten möchten:
•
•
•
3.2.3.
Öffnen Sie mit einem Browser die HOB RD VPN Startseite und melden
Sie sich als Administrator an.
Klicken Sie auf den Link Administration.
Klicken Sie auf den Link Starte HOB EA Administration. Nach dem
Bestätigen der Sicherheitsabfragen öffnet sich HOB EA
Administration.
Arbeiten mit HOB EA Administration
Mit HOB EA Administration führen Sie folgende Aufgaben durch:
•
•
•
•
•
Konfiguration des HOB EA-Servers, der die Benutzereinstellungen der
Datenbank verwaltet.
Erstellen und Verwalten der Datenbankelemente und deren Eigenschaften, z.B. Benutzer, Gruppen und Container.
Konfiguration der HOB EA-Anwendungen.
Bestimmen der Startoptionen, die wiederum die Basiseinstellungen für die
Anmeldung an der Datenbank und für die Verbindung zum EA-Server enthalten.
Konfiguration von Benutzerrechten und Vererbungsmethoden
Kurzbeschreibung der Datenbankelemente
Folgender Abschnitt beschreibt die wesentlichen Organisationselemente, die
von HOB EA Administration verwendet werden, wenn Sie eine Verbindung
über den EA-Server aufbauen (Verbindungsmodell "über EA-Server"). Wenn
Sie einen LDAP-Server verwenden, werden diese Elemente durch entsprechende Organisationselemente des LDAP-Servers ersetzt.
Firm
Dies stellt das Stammelement der Datenbank dar und steht stellvertretend für
Ihr Unternehmen. Wenn Sie HOB EA Administration zum ersten Mal ausführen ist dieses Element bereits Bestandteil der Datenbank und kann nicht von
einem Benutzer / Administrator erstellt werden. Es bildet die Basis der Datenbank, steht in der Baumstruktur an erster Stelle und ist allen anderen Elementen übergeordnet.
Container
Container sind abstrakte Elemente. Sie sind als "Organisationselement" zu
verstehen und dienen dazu, eine Datenbank übersichtlich zu strukturieren.
Verwenden Sie Container daher nicht für reale Personen. Container sind erweiterbar. In der Baumstruktur können Sie Containern auf untergeordneter
Ebene weitere Elemente hinzufügen, die Gruppen oder Container sein
können.
Objekt
Objekte sind abstrakte Elemente. Verwenden Sie dieses Element nicht für
reale Personen. Praxisbeispiele für den sinnvollen Einsatz von Objekten sind
27
Gateways oder Proxies.
Objekte stehen auf unterster Ebene der Baumstruktur, sind nicht erweiterbar
und können daher im Gegensatz zu Containern, keine weiteren Elemente auf
untergeordneter Ebene enthalten.
Gruppe
Verwenden Sie dieses Element, um Abteilungen Ihres Unternehmens abzubilden. Gruppen sind nicht erweiterbar und können daher im Gegensatz zu
Containern keine weiteren Elemente auf untergeordneter Ebene enthalten.
Sie können aber in der Baumstruktur vorhandene Benutzer als Mitglieder von
Gruppen einbinden und organisatorisch bündeln. Dieser Vorgang wird nicht
durch das Hinzufügen von Elementen erreicht, sondern durch das Konfigurieren von Gruppen- oder Benutzereigenschaften.
Benutzer
Verwenden Sie dieses Element, um real existierende Einzelpersonen abzubilden. Benutzer stehen auf unterster Ebene der Baumstruktur. Sie sind nicht
erweiterbar und können daher im Gegensatz zu Containern keine weiteren
Elemente auf untergeordneter Ebene enthalten.
Sie können Benutzer jedoch als Mitglieder von Gruppen organisieren. Dieser
Vorgang wird nicht durch Hinzufügen von Elementen erreicht, sondern durch
das Konfigurieren von Benutzer- oder Gruppeneigenschaften.
3.3. HOB RD VPN Einstellungen
Mit dem Konfigurationsprogramm HOB EA Administration konfigurieren Sie
grundlegende Einstellungen für den Zugang zu HOB RD VPN, die einem
Datenbankelement (User, Gruppe oder Firma) zugeordnet sind. Diese sind
beispielsweise :
•
•
•
•
HOB RD VPN Startseite
Aktivierung von HOB RD VPN
Aktivierung von HOB RD VPN Web Server Gate
Aktivierung des Integrity Check (Zugang wird verweigert, wenn kein
aktueller Virenscanner am Client installiert ist.)
D So legen Sie HOB RD VPN Einstellungen fest
1. Konfigurationsprogramm HOB EA Administration starten
2. Anmeldung an HOB Enterprise Access durchführen.
3. Datenbankelement (Benutzer, Gruppe oder Firma) wählen, für das Sie die
Einstellungen erstellen/ändern möchten.
Um allen Datenbankelementen in einem Arbeitsgang dieselben
Einstellungen zuzuordnen, wählen Sie das Stammelement
Datenbank.
in der
4. Klicken Sie mit der rechten Maustaste auf das gewünschte Element und
wählen Sie Konfigurieren > HOB RD VPN > Benutzereinstellungen
5. Gewünschte Einstellungen vornehmen.
28
6. OK drücken, um Einstellungen zu übernehmen und Dialog zu schließen.
7. HOB EA Administration beenden.
Jedes Datenbankelement, dem nach diesem Verfahren keine Startseite
zugeordnet ist, erhält die Standard-Startseite. Diese können Sie bei
Bedarf in der Konfiguration des WebSecureProxy verändern (ServerListe Integrated Web Server, Registerkarte Webserver).
Weitere Informationen zu diesem Thema erhalten Sie in der OnlineHilfe.
3.4. EA-Server
Der EA-Server ist eine der Hauptkomponenten von HOB Enterprise Access
und wird gewöhnlich auf dem Server-Rechner installiert. Der EA-Server ist
eine Anwendung ohne graphische Benutzeroberfläche und läuft unsichtbar im
Hintergrund (auf Windows-Betriebssystemen als Dienst). Der EA-Server läuft
auf allen Betriebssystemen, auf denen eine Java Virtual Machine 1.5 oder
höher installiert ist.
Der EA-Server übernimmt folgende Aufgaben:
•
Verwalten der EA-Datenbank einschließlich aller Benutzereinstellungen
•
Verifizieren der Benutzerrechte
•
Bereitstellen der Benutzereinstellungen für jeden HOB Connectivity Client
Der EA-Server wartet auf TCP/IP-Verbindungen, die von den HOB
Connectivity Clients aufgebaut werden. TCP/IP-Verbindungen sind je nach
Verbindungsart über zwei Ports möglich:
•
•
Port 13270 (Standard) für konventionelle Verbindungen
Port 13271 (Standard) für sichere SSL-Verbindungen
29
Die Verbindungen zwischen HOB Connectivity Clients und EA-Server
bestehen nicht permanent, da sich bei einer großen Anzahl von Clients der
Bedarf an Systemressourcen drastisch erhöhen würde. Vielmehr wird beim
Starten der Anwendungen für eine bestimmte Zeit eine Verbindung zum EAServer aufgebaut (Zeitüberschreitung). Nachdem diese Zeit abgelaufen ist,
wird die Verbindung automatisch beendet. Erfolgt später ein Zugriff auf den
EA-Server (z.B. zum Speichern von Benutzereinstellungen) wird die
Verbindung für den Benutzer unbemerkt automatisch wiederhergestellt.
Wenn Sie eine LDAP-Datenbank anstelle des EA-Servers einsetzen, agiert der
EA-Server als Proxy Server für die LDAP-Datenbank. Weitere Informationen
zu diesem Thema erhalten Sie in folgendem Abschnitt.
3.4.1.
EA-Server starten / beenden
Der EA-Server wird als Dienst (Windows) bzw. Startup Script (Linux/Unix)
installiert beim Systemstart automatisch ausgeführt.
Falls erforderlich (z.B. nach Änderung seiner Konfiguration) können Sie den
EA-Server von Hand starten oder beenden.
Unter Windows:
Prüfen Sie ggf. deren aktuellen Status (Sollwert: gestartet) und Autostarttyp
(Sollwert: automatisch) unter Systemsteuerung > Verwaltung > Dienste und
stellen Sie die vorgegebenen Werte ein, falls erforderlich.
Unter Linux
Wenn keine Startup Scripts installiert wurden, können Sie diese Programme
jederzeit manuell starten, indem Sie folgende Dateien ausführen:
<installdir>/EAServer
3.5. Hinweise zu LDAP
Wenn Sie in Ihrem Unternehmen zur Benutzerverwaltung einen LDAP-Server
einsetzen, können Sie HOB Enterprise Access in LDAP einbinden. Die benutzerspezifischen Einstellungen des HOB Connectivity Clients werden dann
ebenfalls auf dem LDAP-Server gespeichert.
Wenn Sie Ihren Benutzern das individuelle Anpassen von anwendungsbezogenen Einstellungen ermöglichen möchten, müssen auf dem LDAP-Server die
dafür erforderlichen Rechte bestehen. Alle HOB Connectivity Clients
verwenden ein oder mehrere HOB-spezifischen Attribute, für die Sie den
Benutzern auf dem LDAP-Server Lese- und Schreibrechte einrichten müssen.
Fehlen diese Rechte, erscheint folglich spätestens beim Beenden der
Anwendung die Fehlermeldung, dass keine Berechtigung zu
Einstellungsänderungen besteht und diese nicht gespeichert werden können!
Um eine Benutzerverwaltung über LDAP einzusetzen, müssen Sie auf dem
LDAP-Server eine Schema-Erweiterung durchführen, die die HOBObjektklassen hoboc und hobgateway beinhaltet. Diese werden verwendet,
um die Benutzereinstellungen der HOB Connectivity Clients zu speichern.
30
Weitere Informationen siehe HOB LDAP Schema-Erweiterung im Index
der Online-Hilfe von HOB EA Administration.
3.6. Startoptionen-Manager
Der Startoptionen-Manager übernimmt verschiedene Aufgaben. Seine Benutzeroberfläche variiert abhängig von seinen aktuellen Einstellungen. Dieses
Kapitel behandelt nur Aufgaben, die für VPN relevant sind, z.B. Erstellen oder
Bearbeiten der Startoptionen für den HOB Connectivity Client.
Weitere Informationen zu diesem Thema siehe Online-Hilfe des
Startoptionen-Managers.
Die Startoptionen bestimmen die Einstellungen, die beim Ausführen des HOB
Connectivity Clients verwendet werden sowie das Verbindungsmodell, das
hierbei verwendet wird.
Die Startoptionen öffnen ein breites Spektrum an Steuerungsmöglichkeiten
für die Benutzeranmeldung auf einer Skala von restriktiv bis weitgehend
uneingeschränkt. Die Benutzeranmeldung kann beispielsweise ohne
Benutzereingriff erfolgen, indem der HOB Connectivity Client automatisch
gestartet wird. Andererseits können Sie erfahrenen Benutzern
Entscheidungsfreiraum lassen, sich mit unterschiedlichen Benutzernamen
und alternativen Anmeldeoptionen zu verbinden.
D So starten Sie den Startoptionen-Manager
Start > Programme > HOB RD VPN > Administration > StartoptionenManager
3.7. Authentifizierung
Als Authentifizierung bezeichnet man den Vorgang, die Identität einer Person
anhand bestimmter Merkmale zu überprüfen. Dies kann zum Beispiel über
Benutzernamen und Passwort, Tokens und SmartCards oder andere
Nachweise geschehen.
Nah verwandt mit der Authentifizierung ist die Authentisierung. Die Authentisierung ist das Nachweisen einer Identität, die Authentifizierung deren Überprüfung. Im Englischen wird zwischen den beiden Begriffen nicht unterschieden, der Begriff "authentication" beinhaltet beide Bedeutungen.
Bei einer Identitätsüberprüfung gibt es daher immer einen Teilnehmer, der
sich authentisiert und einen, der diesen authentifiziert.
Die Authentifizierung kann auf unterschiedlichen Wegen erfolgen:
•
•
•
über RADIUS Server
über LDAP
über einen EA-Server (lokale Datenbank)
Diese drei Alternativen werden in den folgenden Abschnitten beschrieben.
31
3.7.1.
RADIUS Server-Authentifizierung
Wenn Ihr Unternehmen über einen RADIUS Server verfügt, können Sie ihn als
Authentifizierungs-Server einsetzen und HOB RD VPN entsprechend konfigurieren, um die Authentifizierung über Benutzernamen und Passwort, oder so
genannte Key Tokens (optional) für die Authentifizierung durchzuführen.
Abbildung dieses Einsatzszenarios und Details zur Konfiguration siehe
9.2.4 Szenario 4: RADIUS-Authentifizierung mittels Token, Seite 83
3.7.2.
LDAP-Authentifizierung
Wenn Ihr Unternehmen ein LDAP-System für die Benutzerverwaltung einsetzt,
können Sie HOB RD VPN ebenfalls in diese Umgebung integrieren.
9.2.5 Szenario 5: RADIUS-Authentifizierung / LDAP-Benutzerverwaltung,
Seite 85
9.2.6 Szenario 6: Authentifizierung gegenüber IAS von MS Active Directory
ohne LDAP-Schema-Erweiterung, Seite 86
3.7.3.
EA-Server-Authentifizierung
Wenn Ihr Unternehmen weder über einen RADIUS Server noch über ein
LDAP-System verfügt, können Sie dennoch eine Benutzerauthentifizierung
mittels Benutzername und Passwort durchführen. Die Authentifizierung wird
bei der Kommunikation mit HOB WSP im automatisch im Hintergrund durchgeführt. Diese Funktion ist nach Installation von HOB RD VPN standardmäßig
aktiv.
9.1.2 Standardkonfiguration von Startoptionen-Manager / HOBLink JWT,
Seite 77
3.8. Single SignOn
Sowohl für die Anmeldung an HOB Enterprise Access als auch für die
Anmeldung bei HOBLink J-Term / JWT existiert für WindowsBetriebssystemen die Möglichkeit eines Single SignOn.
Bei der Benutzeranmeldung erscheinen Windows-Benutzername und
Passwort (bei HOBLink JWT zusätzlich die Domäne) automatisch in den
entsprechenden Eingabefeldern des Anmeldedialogs.
Um diese Funktionalität verwenden zu können, müssen Sie die HOB Single
SignOn-Erweiterung auf jedem Client-PC installieren.
Single SignOn wird zurzeit unter Windows Vista noch nicht
unterstützt.
32
Konfiguration von HOB WebSecureProxy _____________________ HOB RemoteDesktop VPN
4.
Konfiguration von HOB WebSecureProxy
Während der Installation von HOB RD VPN können Sie entscheiden, wie Sie
HOB WSP konfigurieren. Es stehen zwei Methoden zur Wahl:
•
•
Lokale Konfiguration
Remote-Konfiguration
4.1. Lokale Konfiguration von HOB WSP
Nach der Installation von HOB RD VPN steht für die Konfiguration von WSP
eine eigenständige Anwendung mit graphischer Benutzeroberfläche zur
Verfügung.
D So starten Sie das Konfigurationsprogramm für HOB WebSecureProxy
Start > Programme > HOB RD VPN > Administration > HOB
WebSecureProxy konfigurieren
Hinweis zur Benutzung des HOB WSP Konfigurationsprogramm erhalten Sie
im Abschnitt WSP Konfiguration – Benutzeroberfläche auf Seite 36.
WSP starten / beenden
Der EA-Server wird als Dienst (Windows) bzw. Startup Script (Linux/Unix)
installiert beim Systemstart automatisch ausgeführt.
Falls erforderlich (z.B. nach Änderung seiner Konfiguration) können Sie den
EA-Server von Hand starten oder beenden.
Unter Windows:
Prüfen Sie ggf. deren aktuellen Status (Sollwert: gestartet) und Autostarttyp
(Sollwert: automatisch) unter Systemsteuerung > Verwaltung > Dienste und
stellen Sie die vorgegebenen Werte ein, falls erforderlich.
Unter Linux
Wenn keine Startup Scripts installiert wurden, können Sie diese Programme
jederzeit manuell starten, indem Sie folgende Dateien ausführen:
<installdir>/scripts/hobeaserver.sh start
33
4.2. Remote-Konfiguration von HOB WSP
Neben der lokalen Konfiguration kann HOB WSP auch remote mit Hilfe von
HOB EA Admin konfiguriert werden. Dies ist immer dann möglich, wenn bei
der Installation die Option remote gewählt wurde.
D So starten Sie die Remote-Konfiguration von HOB WSP
1. Starten Sie HOB EA Administration
2. Wählen Sie das Objekt aus, das den HOB WebSecureProxy darstellt.
In der Standard-Installation ist dies das Objekt
websecureproxy,rdvpn,firm
3. Klicken Sie mit der rechten Maustaste auf das Element und wählen
Sie Konfigurieren > HOB RD VPN > WebSecureProxy.
Es öffnet sich das Konfigurationsprogramm für den HOB WSP
4. Hinweis zur Benutzung des HOB WSP Konfigurationsprogramm
erhalten Sie im Abschnitt WSP Konfiguration – Benutzeroberfläche auf
Seite 36.
WSP starten / beenden
Bei der Remote-Konfiguration wird der WSP als sog. Server Plugin über den
EA Server gestartet. Dadurch wird der WSP automatisch zusammen mit dem
Dienst/Startup-Script HOB EA Server gestartet oder beendet. Der Dienst
bzw. das Startup-Script WebSecureProxy der lokalen Installation existiert
bei der Remote-Installation nicht.
34
Bei der Remote-Konfiguration wird WSP über das Menü des WSP
Konfigurationsprogramms gestartet und beendet.
Wählen Sie dazu den Menüpunkt
> Management > Server starten
bzw.
> Management > Server neu starten
Sie sollten vermeiden, den Server anzuhalten (Management > Server
anhalten) da dann der Server nicht mehr remote erreichbar ist und
lokal gestartet werden muss.
4.2.1.
Funktionsweise der WSP Remote Konfiguration
HOB WebSecureProxy kann mit Hilfe von HOB EA Administration remote
konfiguriert werden. Die Konfiguration kann auch während des laufenden
Betriebs geändert werden. Dazu dient das mitgelieferte HOB EA Plugin WSP
Agent.
Die Konfiguration des WebSecureProxy kann dabei entweder in der HOB EADatenbank oder in einem LDAP-Verzeichnis gespeichert sein.
Wenn sich die Konfiguration von HOB WebSecureProxy geändert hat, wird
dieser mit den geänderten Parametern gestartet. Sämtliche bestehenden
Verbindungen bleiben dabei – allerdings mit den alten Parametern - erhalten.
Erst beim Neuaufbau einer Verbindung werden die neuen Parameter
verwendet.
Das folgende Schema zeigt die Arbeitsweise des WSP Agent:
1. Mit Hilfe von HOB EA Admin werden über HOB EA-Server neue
Einstellungen für WebSecureProxy vorgenommen und in die EADatenbank bzw. in ein LDAP-Verzeichnis geschrieben.
2. EA-Admin benachrichtigt den WSP Agent, dass sich die Konfiguration
geändert hat.
3. Der WSP Agent liest die geänderte Konfiguration aus.
4. Eine neue Instanz von WebSecureProxy mit den neuen Parametern wird
gestartet.
35
Fazit: Mit Hilfe des WSP Agent erhalten Sie eine Möglichkeit, HOB
WebSecureProxy remote zu konfigurieren. Beachten Sie, dass zwischen HOB
EA Admin und HOB WSP Agent eine Netzwerk-Verbindung bestehen muss,
damit die Remote-Konfiguration erfolgen kann.
4.3. WSP Konfiguration – Benutzeroberfläche
Die Benutzeroberfläche gliedert sich in zwei Bereiche, die vertikal
voneinander getrennt sind (siehe folgende Abbildung)
1. In der linken Fensterhälfte ist eine Baumstruktur enthalten, in der die
Konfiguration in so genannten Vorlagen gegliedert ist.
2. In der rechten Fensterhälfte erscheinen – je nach angewählter Vorlage dynamisch wechselnde Registerkarten. Diese enthalten die
Steuerelemente (Kontrollkästchen, Eingabefelder etc.), anhand derer die
Einstellungen durchgeführt werden können.
Über diese Anwendung können Sie alle Einstellungen des WSP vornehmen.
Dies beinhaltet auch unterschiedliche Modi, die in der Vorlage Verbindungen
auf der Registerkarte Ausgehende Verbindung konfiguriert werden.
36
•
1:1 Gateway
In diesem Modus sind unterschiedliche Protokolle verfügbar (z.B. Telnet
und RDP) für Verbindungen zu 3270-Hosts bzw. Windows Terminal
Server.
•
WSP auf WTS
Dieser Modus ist Voraussetzung für Verbindungen, bei denen HOB
WebSecureProxy auf einem Windows Terminal Server installiert ist.
•
WTS Load Balancing
Dieser Modus ist geeignet für Unternehmen, die Windows Terminal
Server-Farmen unterhalten (Zusammenfassung mehrerer WTS-Farmen).
Die Komponente Load Balancing verteilt innerhalb einer Server-Farm die
Sessions auf verschiedene Windows Terminal Server, wodurch die
Auslastung optimiert wird.
•
VDI
(nur verfügbar, wenn Vorlage Einstellungen > Registerkarte VDI > VDI-Modus unterstützen aktiviert
ist)
Dieser Modus ist bestimmt für Verbindungen zu Blades mit Windows
XP/Vista-Betriebssystem und Remote-Desktop-Unterstützung.
Weitere Informationen siehe 11 HOB VDI, Seite 95
•
Desktop-on-Demand
Dieser Modus ist bestimmt für Verbindungen zu entfernten Rechnern mit
Windows XP-Betriebssystem und Remote-Desktop-Unterstützung.
Weitere Informationen siehe 10 HOB Desktop-on-Demand, Seite 89
•
Server Data Hook
Mit diesem Modus können Sie HOB WSP Server Data Hooks zur
Verfügung stellen.
Weitere Informationen siehe 12 Server Data Hook, Seite 97
•
Server-Listen
Dieser Modus ist ausschließlich Verbindungen mit den HOB Connectivity
Clients HOBLink J-Term und HOBLink JWT vorbehalten. Durch das
Erstellen von so genannten Server-Listen, die das Protokoll sowie das Ziel
einer Verbindung bestimmen, wird Benutzern automatisch die für Ihre
Zwecke geeignete Session zugeordnet und aufgebaut.
Server-Listen werden auf der Registerkarte Server-Konfiguration
konfiguriert (sie erscheint, indem Sie auf einen vorhandenen ServerEintrag in der Vorlage Server-Listen klicken). Dort können Sie eine der
o.g. Verbindungsarten als Modus wählen (außer WSP auf WTS) und
zusätzlich folgenden Modus:
•
Integrated Web Server
Dieser Modus ist die Standardkonfiguration für HOB RD VPN und ist
bestimmt für Verbindungen zum integrierten Web Server von HOB
WebSecureProxy. Dort sind die Applets der HOB Connectivity Clients
HOBLink J-Term / JWT für den Download durch die Benutzer installiert.
Ausführliche lnformationen zu dieser Anwendung erhalten Sie in der
Online-Hilfe.
37
4.4. WSP Konfiguration in LDAP speichern
Dieser Abschnitt enthält eine Anleitung, wie Sie die Konfiguration von HOB
WSP in einem LDAP-Verzeichnis speichern können. Die Beschreibung erfolgt
beispielhaft mit Microsoft Active Directory als LDAP-Server und gilt analog für
andere LDAP-Server. Die Beschreibung geht davon aus, dass HOB RD VPN
bereits komplett installiert ist und die Konfiguration von HOB EA in Active
Directory gespeichert ist.
Um die Schemaerweiterung (Schritt 1-5) durchzuführen, müssen Sie
lokal auf dem Server arbeiten, auf dem Active Directory installiert ist.
Die Anleitung geht davon aus, dass HOB RD VPN und MS Active
Directory auf demselben Server installiert sind. In diesem Fall führen
Sie die Schema-Erweiterung aus (Schritt 1-5) indem Sie lokal auf
diesem Server arbeiten.
Falls HOB RD VPN und MS Active Directory auf verschiedenen
Servern installiert sind, führen Sie die Schemaerweiterung auf
folgende Weise durch:
- Kopieren Sie Dateien HOB_AD_Util.exe, MSAD.2.hoboc.xml,
MSAD.2.hobgw.xml, MSAD.2.hobcom.xml von der HOB RD VPN
Installations-CD (\Software\ldap.scheme\MSActiveDir) in ein
beliebiges Verzeichnis auf den Server, auf dem Active Directory
installiert ist.
- Starten Sie dort die Datei HOB_AD_Util.exe
- Fahren Sie fort ab Schritt 3 der Anleitung.
1. Öffnen Sie das Konfigurationsprogramm EA Administration (siehe
Abschnitt Konfigurationsprogramm HOB EA Administration auf Seite
26).
2. Führen Sie eine Schema-Erweiterung durch. Dazu wählen Sie den
Menüpunkt > Extras > LDAP-Schema-Erweiterung > Microsoft Active
Directory
3. In der erscheinenden Dialogbox wählen Sie Schema-Erweiterung für
HOB EA ausführen.
4. Es erscheint eine weitere Dialogbox zur Auswahl der EA-Objektklasse.
Wählen Sie den Eintrag HOB Gateway-Schema-Erweiterung und
klicken Sie auf OK.
38
5. Wenn die Schema-Erweiterung erfolgreich war, erscheint eine
entsprechende Meldung.
6. Erstellen Sie in LDAP ein Gateway für den WSP. Dazu starten Sie das
Programm Active Directory-Benutzer und –Computer und legen
eine geeignete Struktur an
7. In diesem Beispiel wird eine Beispielstruktur verwendet, in der
innerhalb der Organisationiseinheit HOB die Organisationseinheit
Gateways, darunter das Objekt wspserver1 angelegt wird.
-HOB
-Gateways
-wspserver1
Das Objekt wspserver1 stellt den HOB WebSecureProxy dar. Sollen
mehrere WebSecureProxys eingesetzt werden, empfiehlt es sich für das
Gateway einen sprechenden Namen zu wählen, z.B. den Namen des
Servers auf dem der WSP läuft. Angelegt wird das Gateway über rechte
Maustaste, Neu, hobgateway. Gibt es kein hobgateway, wurde die HOB
Gateway-Schema-Erweiterung nicht korrekt durchgeführt.
8. Jetzt ist es möglich, mit EA Administration auf LDAP zuzugreifen. Alle
folgenden Schritte können per Remote-Anmeldung an HOB EA
Administration erfolgen.
Starten Sie in HOB EA Administration den Startoptionen-Manager
(Menü > Extras > Startoptionen).
9. Wählen Sie den dritten Punkt – Startoptionsdatei von EA
Administration und klicken Sie auf die Schaltfläche Öffnen. Es öffnet
sich der Startoptionen-Manager. Wählen Sie in der Registerkarte
Verbindungsmodell die Option Verbinden mit Datenbank über
LDAP.
10. Wählen Sie die Registerkarte Verbindung und tragen Sie die Werte für
die Verbindung zum LDAP-Server ein.
39
11. Verbinden Sie sich in HOB EA Administration mit dem LDAP-Server.
In HOB EA Administration erscheint die Struktur des LDAP-Servers.
12. Importieren Sie die bestehende Konfiguration in LDAP. Dazu klicken
Sie mit der rechten Maustaste auf des Objekt, das den
WebSecureProxy darstellt und wählen > Konfigurieren > HOB RD VPN
> WebSecureProxy.
Falls eine Meldung erscheint, klicken Sie auf die Schaltfläche OK.
Es öffnet sich das WSP Konfigurationsprogram.
13. Wählen Sie > Datei > Import und öffnen Sie die aktuell verwendete
Konfigurationsdatei wsp.xml
40
Klicken Sie auf die Schaltfläche Öffnen.
14. Speichern Sie mit > Datei > Speichern. Es erscheint eine Meldung,
dass die WSP Konfigurationen gespeichert wurden. Klicken Sie auf
die Schaltfläche OK.
15. Es erscheint eine Dialogbox mit der Frage, ob SIe die Einstellungen
sofort aktualisieren möchten. Klicken Sie auf die Schaltfläche Nein.
16. Beenden Sie das WSP Konfigurationsprogramm.
17. Stellen Sie den EA-Administrator vorübergehend auf EA Server um.
Dazu öffnen Sie den Startoptionen-Manager (siehe Punkt 9) und
wählen in der Registerkarte Verbindungsmodell den Punkt über EAServer.
18. Wählen Sie in EA Administration im Menü > EA-Server >
Konfigurieren.
19. Melden Sie sich an. Als Voreinstellung ist der Benutzername
administrator und das Passwort adminpw.
20. Wählen Sie in der Registerkarte Eigenschaften > Verwendete
Datenbank die Option LDAP-Datenbank.
41
21. Tragen Sie in der Registerkarte LDAP-Verbindung die Werte für den
verwendeten LDAP-Server ein.
42
22. Definieren Sie einen Suchbenutzer.
23. Klicken Sie auf die Schaltfläche OK und anschließen nochmals mit OK
bestätigen.
24. Es kommt eine Meldung, dass das Standardpasswort noch aktiv ist.
Ändern Sie das Passwort für den Administrator des EA-Servers.
25. Die Frage, wann die neuen Einstellungen wirksam werden sollen,
bestätigen Sie mit der Schaltfläche Jetzt.
26. Verbinden Sie sich nun in HOB EA Administration mit dem EA-Server.
Dazu ist jetzt die Anmeldung mit den Daten des LDAP-Administrators
notwendig.
27. Bei erfolgreicher Anmeldung erscheint in EA Administration die
Struktur des LDAP-Servers.
28. Als nächstes konfigurieren Sie den WSP Agent so, dass er auf LDAP
zugreift. Dazu gibt es zwei Möglichkeiten:
a. Der WSP Agent greift direkt auf LDAP zu. Dies ist die empfohlene
Methode.
43
=> Folgen Sie den Schritten 29 bis 35.
b. Der WSP Agent greift über den EA Server auf LDAP zu. Diese
Methode können Sie verwenden, wenn der direkte Zugriff auf LDAP
nicht möglich ist).
=> Folgen Sie den Schritten 36 bis 41.
29. Öffnen Sie in HOB EA Administration den Startoptionen Manager (>
Extras > Startoptionen).
30. Wählen Sie die Option von HOB EA-Server und öffnen Sie im
Verzeichniss easerver die Datei WspAssistStartup.xml.
31. Im Startoptionen-Manager wählen Sie in der Registerkarte
Verbindungsmodell die Option Verbinden mit Datenbank > über
LDAP.
32. In der Registerkarte Anmelden geben Sie die zur Anmeldung
notwendigen Daten ein. Der im Feld Benutzername angegebene
Benutzer muss Rechte zum Ändern der Attribute hobgwwsp und
hobmonitor im WSP Objekt besitzen (Empfehlung: Im WSP Objekt
sollten ausschließlich dazu berechtigte Administratoren Lese- und
Schreibrechte besitzen).
Im Feld Objektname/Kontext sollt der Kontext mit Base (z.B.
DC=firma,DC=local) angegeben werden.
33. In der Registerkarte Optionen aktivieren Sie Automatische
Anmeldung (falls noch nicht erfolgt ist).
44
34. In der Registerkarte Verbindung geben Sie die Verbindungsdaten
zum LDAP-Server ein.
35. Speichern Sie die Datei (> Datei > Speichern) und schließen Sie den
Startoptionen-Manager. Anschließend fahren Sie bei Schritt 42 fort.
36. Falls WSP Agent über den EA Server auf LDAP zugreifen soll, öffnen
Sie in HOB EA Administration den Startoptionen Manager (> Extras >
Startoptionen).
37. Wählen Sie die Option von HOB EA-Server und öffnen Sie im
Verzeichnis easerver die Datei WspAssistStartup.xml.
38. Im Startoptionen-Manager wählen Sie in der Registerkarte
Verbindungsmodell die Option Verbinden mit Datenbank > über EAServer.
45
39. In der Registerkarte Anmelden geben Sie die zur Anmeldung
notwendigen Daten ein.
40. In der Registerkarte Verbindung geben Sie die Daten für die
Verbindung zum EA-Server ein.
41. Speichern Sie die Datei (> Datei > Speichern) und schließen Sie den
Startoptionen-Manager.
42. Führen Sie im Programm Dienste einen Restart des Dienstes HOB EA
Server aus.
46
43. Nun sollte die Konfiguration funktionieren. Um zu testen, melden Sie
sich erneut am HOB Enterprise Access an.
44. Öffnen Sie das WSP Konfigurationsprogramm. Dazu klicken Sie mit
der rechten Maustaste auf des Objekt, das den WebSecureProxy
darstellt und wählen > Konfigurieren > HOB RD VPN >
WebSecureProxy.
45. Wenn der WSP läuft, wird dies durch einen grünen Punkt in der linken
Spalte, links neben dem WSP angezeigt.
47
48
HOB PPP-Tunnel ________________________________________ HOB RemoteDesktop VPN
5.
HOB PPP-Tunnel
Durch den Einsatz von HOB PPP-Tunnel ist es möglich, dass sich ein
Remote-User (z.B. ein Dienstreisender, ein Mitarbeiter am Tele-Arbeitsplatz
oder im Home Office) unter Nutzung des Internets in sein Firmennetzwerk
einwählt. Er erhält vollen Zugriff auf alle Netzwerk-Ressourcen, ebenso, als
ob er sich innerhalb des Firmennetzwerks befände. HOB PPP-Tunnel ist die
Alternative zu klassischen IPSec VPNs und bietet den Vorteil, dass keine
Installation von Software auf dem Client-Rechner notwendig ist.
Für die Verwendung des HOB PPP-Tunnels ist auf dem Client als
Betriebssystem Windows Vista Voraussetzung.
Das folgende Schema zeigt das Funktionsprinzip des HOB PPP-Tunnels:
Client mit
Java-fähigem
Browser
HOB
Web SecureProxy
HOB
PPPT-Gateway
L2TP Server
Auf der Client-Seite wird lediglich ein Java-fähiger Browser benötigt. Auf der
Server-Seite sind 3 Komponenten erforderlich: HOB WebSecureProxy, HOB
PPPT-Gateway und ein funktionsfähiger L2TP Server (z.B. Microsoft RAS
Server, Linux L2TPF, Linux XL2TPD oder Cisco).
5.1. Installation und Konfiguration
Folgende Schritte sind notwendig zur Einrichtung des HOB PPP-Tunnels.
•
•
•
•
•
Konfiguration eines Servers im WebsecureProxy (Abschnitt 5.2)
Konfiguration des Integrated Web Server im WebSecureProxy
(Abschnitt 5.4)
Installation des HOB PPPT-Gateways (xbipgw16.exe) (Abschnitt 5.5)
Konfiguration des Microsoft RAS Servers (Abschnitt 5.6)
Konfiguration der Benutzer-Startseite (Abschnitt 5.7)
5.2. Konfiguration eines Servers im HOB
WebSecureProxy
Als erstes erstellen Sie einen neuen Server im Konfigurationsprogramm von
HOB WebSecureProxy.
1. Starten Sie das Konfigurationsprogramm von HOB WebSecureProxy.
(Vgl. Kapitel 4 Konfiguration von HOB WebSecureProxy auf Seite 33.)
2. Vorlage Server Listen links in der Baumstruktur öffnen.
3. Mit der Schaltfläche Hinzufügen... eine neue Vorlage erstellen.
49
4. Im Feld Name tragen Sie einen Namen (z.B. TUNNEL) für diesen Server
ein. Dieser Name muss eindeutig sein, d.h. noch nicht vorhanden,
ansonsten ist er frei wählbar. Mit Hilfe dieses Namens referenzieren Sie
diesen Server in der Registerkarte PPP des Integrated Web Server (siehe
folgender Abschnitt).
5. Wählen Sie als Modus PPP-Tunnel.
6. Tragen Sie im Bereich PPP-Tunnel die IP-Adresse und den Port des
Servers ein, auf dem Sie das PPPT-Gateway installieren.
5.3. Verwendung von NAT und DNS
Bei der Verwendung des PPP-Tunnels sind unter Umständen weitere Einträge
– NAT und DNS – nötig. Dies ist immer dann der Fall, wenn Sie Systeme über
den PPP-Tunnel erreichen möchten, die sich in einem anderen Subnetz
befinden als der angesprochene L2TP-Server.
L2TP
Server
Server 1
Subnetz 1
Remote
User
Internet
172.22.x.x
HOB
WebSecureProxy
Server 2
Subnetz 2
172.25.20.x
Abb.: Beispielszenario für HOB PPP-Tunnel
50
Im dargestellten Beispielszenario sind die Server im Subnetz 1 für den
Remote User erreichbar, nicht jedoch die Server im Subnetz 2.
Zur Eingabe dieser Einstellungen verwenden Sie die Registerkarten NAT,
DNS, und DNS ausschließen in der bereits erstellten Serer-Liste TUNNEL.
Verwendung von NAT
Mit Hilfe der Registerkarte NAT können Sie bestimmte IP-Adressen aus
anderen Subnetzen (im Beispiel Subnetz 2) in das Subnetz des L2TP-Servers
(im Beispiel Subnetz 1) mappen. Im Subnetz des L2TP-Servers müssen Sie
die dazu verwendeten IP-Adressen ausschließlich für diesen Zweck
reservieren.
1. Klicken Sie auf die Registerkarte NAT und anschließend auf
Hinzufügen. Es öffnet sich der Dialog NAT-Eintrag hinzufügen.
2. Tragen Sie im Feld Tatsächliche Adresse die numerische IP-Adresse
des Zielsystems ein, unter der dieses System innerhalb des Netzwerks
erreichbar ist (z.B. 172.25.20.1).
3. Tragen Sie im Feld Übersetzte Adresse die numerische IP-Adresse
ein, unter welcher der Zielrechner nach Aufbau des PPP-Tunnels
erreichbar sein wird (z.B. 172.22.20.1).
4. Tragen Sie einen Wert im Feld Präfix ein. Der (Netzwerk-) Präfix
kennzeichnet die verwendete Subnet Mask, d.h. den Adress-Bereich,
für den eine Adress-Übersetzung stattfindet.
Beispiel:
Tatsächlische Adresse 172.25.22.0
Übersetzte Adresse: 172.22.70.0,
Präfix 24
Dies bewirkt, dass alle Adressen von 172.25.22.0 bis 172.25.22.255
auf die Adressen von 172.22.70.0 bis 172.22.70.255 gemapt werden.
Diese Systeme sind dadurch vom Client aus erreichbar.
Verwendung von DNS
Für den PPP-Tunnel kann ein eigenes DNS verwendet werden. Bei
aufgebautem Tunnel werden dann die angegebenen Hostnamen bestimmten
(numerischen) IP-Adressen zugeordnet.
1. Klicken Sie auf die Registerkarte DNS und anschließend auf
Hinzufügen. Es öffnet sich der Dialog DNS-Eintrag hinzufügen.
2. Geben Sie im Feld DNS-Name einen Hostnamen ein, der aufgelöst
werden soll und klicken Sie anschließend auf Hinzufügen.
51
3. Es erscheint der Dialog IP-Adresse hinzufügen. Geben Sie eine
(numerische) IP-Adresse ein und klicken Sie anschließend auf
Hinzufügen und Schließen.
4. Sie können noch weitere IP-Adressen eintragen. Bei NichtEreichbarkeit wird dann die jeweils nächste verwendet.
DNS ausschließen
Wenn bestimmte Host-Namen nach Aufbau des PPP-Tunnels nicht vom HOB
WebSecureProxy aufgelöst werden sollen, tragen Sie diese in der
Registerkarte DNS ausschließen ein. Die Adresse wird dann vom DNSServer im Netz des L2TP-Servers aufgelöst.
Tragen Sie auf jeden Fall den Hostnamen des Systems ein, auf dem
HOB WebSecureProxy installiert ist. Damit stellen Sie sicher, dass
Verbindungen nicht doppelt verschlüsselt werden (double SSL).
1. Klicken Sie auf die Registerkarte DNS ausschließen und
anschließend auf Hinzufügen. Es öffnet sich der Dialog
Ausgeschlossenen DNS-Namen hinzufügen.
2. Tragen Sie einen Host-Namen ein und klicken Sie auf Hinzufügen
und Schließen.
5.4. Konfiguration des Integrated Web Server im HOB
WebSecureProxy
Als zweiten Schritt bearbeiten Sie die Einstellungen des Integrated
WebServers. Nach der Installation von HOB RD VPN ist bereits ein Server als
Webserver vorkonfiguriert. Der Server trägt normalerweise den Namen
Integrated Web Server.
1. Falls nicht mehr geöffnet, Konfigurationsprogramm von HOB
WebSecureProxy starten.
2. Klicken Sie auf die Vorlage Server-Listen und dann auf den Eintrag
Integrated Web Server.
3. Wählen Sie die Registerkarte PPP.
4. Aktivieren Sie die Option PPP-Tunnel.
5. Wählen Sie aus der Liste Server Name einen Server aus – dieser trägt im
Normalfall den Namen TUNNEL (vgl. Eintrag im vorherigen Abschnitt).
Falls auf der Client-Seite ein HTTP-Proxy im Einsatz ist, müssen Sie
noch einen Eintrag im Feld IP Nummer:Port vornehmen.
Geben Sie im Feld IP Nummer:Port die numerische IP-Adresse und
den Port ein, unter dem der HOB WebSecureProxy aus dem Internet
erreichbar ist. Als Trennzeichen zwischen IP-Adresse und Port ist ein
Doppelpunkt anzugeben. Beispiel: 123.456.789.123:443
52
5.5. Installation des HOB PPPT-Gateways
Zur Installation des HOB PPPT-Gateways ist ein Installationsprogramm auf
der HOB RD VPN CD vorhanden (HOB PPP Tunnel Gateway.msi).
Folgende Einträge sind notwendig:
Local Port
Der IP-Port, auf dem das HOB PPPT-Gateway auf Daten wartet, die vom
WebSecureProxy kommen. Die Standard-Einstellung ist 5556. Falls Sie einen
anderen Port verwenden möchten, so muss derselbe Wert auch im
WebSecureProxy eingegeben werden (siehe Abschnitt Konfiguration eines
Servers im HOB WebSecureProxy auf Seite 49).
IP of RAS server
Die IP-Adresse des RAS-Servers, an den das HOB PPPT-Gateway die Daten
weiterleitet.
Falls mehrere Netzwerk-Adapter auf dem System installiert sind, sind
auch die Angaben der IP-Adressen in den beiden unteren Feldern
notwendig.
Falls Sie nach erfolgter Installation einen der Parameter ändern
möchten, führen Sie dazu Änderungen in der Windows Registry aus.
Öffnen Sie dazu den Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\HOBPPPGW\Parameters
und geben Sie folgende Werte ein:
Name: parameters
Typ: REG_SZ
Wert: param1 param2 param3 param4
Das Feld Wert enthält vier Parameter, die durch Leerzeichen getrennt
53
sind. Die einzelnen Werte haben folgende Bedeutung:
param1
param2
param3
param4
IP-Adresse des Adapters mit dem angegebenen lokalen
Port (nur notwendig, wenn mehrere Netzwerk-Adapter
installiert sind. Bei einem System mit nur einem
Netzwerk-Adapter verwenden Sie zwei
Anführungszeichen.)
Der Port, auf dem das System Daten empfängt
IP-Adresse des Adapters, der die Daten zum RAS-Server
sendet (nur notwendig, wenn mehrere Netzwerk-Adapter
installiert sind. Bei einem System mit nur einem
Netzwerk-Adapter verwenden Sie zwei
Anführungszeichen.)
IP-Adresse des RAS Servers
Beispiel 1 (1 Netzwerk-Adapter)
"" 5556 "" myRasServer.myCompany.com
Beispiel 2 (mehrere Netzwerk-Adapter)
123.456.789.1 5556 123.456.789.2 myRasServer.myCompany.com
5.6. Konfiguration des L2TP Servers (Beispiel Microsoft
RAS Server)
Der HOB PPP-Tunnel verwendet SSL zur Verschlüsselung. Deshalb ist es
nicht mehr nötig, die Security Policy des Microsoft RAS Servers zu
verwenden. Auf der Microsoft Support-Seite finden Sie einen Artikel mit einer
Anleitung zum Deaktivieren der L2TP/IPsec Policy. Beachten Sie, dass sich
dieser Artikel auf Windows 2000 Server bezieht, jedoch auch analog für
neuere Versionen des Microsoft Windows Servers verwendbar ist. Unter
folgenden Link finden Sie diese Informationen:
http://support.microsoft.com/kb/310109/en-us
Sie sollten mit dem betreffenden RAS-Server nach Deaktivierung der
L2TP/IPsec Policy ausschließlich Verbindungen über HOB PPP-Tunnel
mit diesem Server verwenden, da andernfalls keine Verschlüsselung
der Verbindungen erfolgt.
54
L2TP Server Authentifizierung
Die Authentifizierung von Verbindungen über den HOB PPP-Tunnel findet im
WebSecureProxy statt. Optional, je nach Einstellung des L2TP-Servers, kann
am L2TP-Server eine weitere Authentifizierung stattfinden.
Dadurch kann der Personenkreis eingeschränkt werden, der HOB PPPTunnel verwenden darf.
Bei Authentifizierung über User/Passwort können auf dem L2TP-Server dazu
dieselben User/Passwort-Daten wie im WebSecureProxy eingerichtet
werden.
Wenn die Authentifizierung am WebSecureProxy mit Token oder Client-Side
SSL erfolgt, ist die Authentifizierung am L2TP-Server so nicht möglich. In
diesem Fall sollte der L2TP-Server so eingestellt werden, dass GuestAuthentifizierung möglich ist.
Eine weitere Möglichkeit ist die Authentifizierung über Shared Secret. Dazu ist
der L2TP-Server so zu konfigurieren, dass das Shared Secret mit dem des
HOB EA Server übereinstimmt. IP-Adresse und Port (default 13273) des EA
Servers sind dabei anzugeben.
Um das Shared Secret im EA Server zu konfigurieren, starten Sie EA
Administration und wählen EA Server > Konfigurieren > Registerkarte HOB
WebSecureProxy.
Vorteil: Bei Verwendung eines Shared Secrets ist auch der Einsatz von
Tokens oder Client-Side Zertifikaten möglich.
55
5.7. Konfiguration der Benutzer-Startseite
Damit ein Link zum Starten von HOB PPP Tunnel auf der HOB RD VPN
Startseite angezeigt wird, gehen Sie folgendermaßen vor:
1. Starten Sie HOB EA Administration und melden Sie sich an.
2. Klicken Sie mit rechts auf das Datenbankelement (Benutzer oder
Benutzergruppe), dessen Konfiguration Sie bearbeiten möchten und
wählen Sie Konfigurieren > HOB RD VPN > Benutzereinstellungen.
Es öffnet sich das Konfigurationsprogramm zu HOB RD VPN.
3. In der Baumstruktur im linken Bereich wählen Sie den Eintrag
Eigenschaften. und wählen das Datenbankelement, das Sie konfigurieren
möchten, z.B. guest,users,firm.
4. Ändern Sie den Eintrag im Feld Startseite in
/home/welcomeGate1.html
56
Dateizugriff mit HOB Web File Access _______________________ HOB RemoteDesktop VPN
6.
Dateizugriff mit HOB Web File Access
HOB Web File Access ist eine Komponente von HOB RD VPN, die den
Benutzern über das Internet den Zugriff auf Dateien ermöglicht, die sich auf
Servern im Firmennetzwerk befinden. Die Bedienung erfolgt über den
Browser, wobei das Dateisystem ähnlich wie im Windows Explorer mit Hilfe
einer Baumstruktur dargestellt wird.
HOB Web File Access ist ein Plugin des HOB EA Servers und kann deaktiviert
werden, falls Sie es nicht benötigen. Es handelt sich dabei um einen auf
Tomcat basierenden Webserver, der per SMB-Protokoll auf die dazu
vorgesehenen Dateiserver zugreift.
6.1. Web File Access - Konfiguration
Folgende Einstellungen sind nötig, um Web File Access zu ermöglichen:
6.1.1.
Aktivieren des Web File Access Plugins
Nach der Installation von HOB RD VPN ist das HOB Web File Access Plugin
bereits aktiviert. Falls es deaktiviert wurde, können Sie es folgendermaßen
wieder aktiveren:
1.
2.
3.
4.
Starten Sie HOB EA Administration und melden Sie sich an.
Wählen Sie den Menüpunkt EA Server > Konfigurieren
Wählen Sie die Registerkarte Server Plugins
Aktivieren Sie die Option in der Spalte Server Plugin starten.
In der Spalte Parameter können Sie Startparameter angeben. Weitere
Informationen hierzu finden Sie in der Online-Hilfe.
Parameter des Web File Access Plugins:
port=
Der IP-Port, auf dem Webserver von Web File Access auf eingehende
Verbindungen wartet. Dieser Parameter ist optional. Standardwert ist 8080.
bind=all
Dieser Parameter bewirkt, dass Verbindungen vom Browser direkt zum
Webserver des Web File Access möglich sind. Ist der Parameter nicht
gesetzt, sind Verbindugen nur über den HOB WebSecureProxy möglich.
6.1.2.
RD VPN Benutzereinstellungen konfigurieren
Als nächsten Schritt erstellen Sie eine Konfiguration für Web File Access, die
einem Datenbankelement (Benutzer, Gruppe oder Firma) zugeordnet ist. Dazu
gehen Sie folgendermaßen vor:
1.
2.
Starten Sie HOB EA Administration und melden Sie sich an.
Klicken Sie mit rechts auf das Datenbankelement, für das Sie eine
Konfiguration erstellen möchten und wählen Sie Konfigurieren > HOB
RD VPN > Benutzereinstellungen.
Es öffnet sich das Konfigurationsprogramm zu HOB RD VPN.
57
Dateizugriff mit HOB Web File Access ________________________ HOB RemoteDesktop VPN
In der Baumstruktur im linken Bereich wählen Sie den Eintrag Web File
Access.
4. Klicken Sie auf die Schaltfläche Hinzufügen.
3.
5.
6.
Geben Sie die Daten für Domäne, Login, etc. ein.
Mit Hilfe der Schaltfläche Server hinzufügen erstellen Sie eine Liste von
Servern, auf die der Benutzer mit Web File Access zugreifen kann.
Die Einstellungen, die Sie hier vornehmen, werden vom übergeordneten EADatenbankelement vererbt, falls keine eigenen Einträge vorhanden sind.
Beispielsweise erbt das Element user1,users,firm die Einstellungen von
users,firm.
Beachten Sie:
Die Zugriffsrechte auf die Server werden vom Betriebssystem des jeweiligen
Servers geregelt, d.h. Sie benötigen sowohl einen Servereintrag in HOB RD
VPN als auch Zugriffsrechte auf den jeweiligen Server.
Um die Performance von Web File Access zu steigern, sollten Sie für den
Web File Access Server das Bypass Feature von Web-Server-Gate
verwenden. Dies ist die Standard-Einstellung und sollte so beibehalten
werden.
6.2. Web File Access - Benutzung
Der Benutzer startet Web File Access, indem er auf der HOB RD VPN
Startseite auf den Link Web File Access klickt. Je nach Einstellungen
erscheint ein Login-Fenster zur Benutzerauthentifizierung.
Anschließend öffnet sich das Web File Access Fenster. Im linken Teil befindet
sich eine Explorer-ähnliche Baumstruktur der Server und Verzeichnisse. Im
rechten Teil befinden sich die Verzeichnisse und Dateien.
Für den Zugriff auf Dateien wählen Sie zunächst in der Baumstruktur im linken
Teil des Fensters den gewünschten Server und das gewünschte Verzeichnis.
58
Dateizugriff mit HOB Web File Access _______________________ HOB RemoteDesktop VPN
Im rechten Teil des Fensters erscheint dann eine Liste mit den Verzeichnissen
und Dateien. Zum Bearbeiten können Sie mit der rechten Maustaste klicken
oder eines der Symbole oberhalb der Liste anklicken.
Mit Hilfe der Symbole oberhalb der Liste können Sie neue Verzeichnisse
anlegen und Dateien auf den Remote-Server hochladen.
Mit Hilfe der rechten Maustaste können Sie:
• Dateien umbenennen
• Dateien herunterladen
• Mehrere Dateien/Verzeichnisse als Zip-Archiv herunterladen
• Dateien/Verzeichnisse löschen
59
Dateizugriff mit HOB Web File Access ________________________ HOB RemoteDesktop VPN
60
Zugriff auf firmeninterne Web Server _________________________ HOB RemoteDesktop VPN
7.
Zugriff auf firmeninterne Web Server
Üblicherweise ist über das Internet kein Zugriff auf firmeninterne Web Server
möglich, weil diese entsprechend geschützt sind, z.B. mit Hilfe einer Firewall.
Mit HOB RD VPN wird der Zugriff auf firmeninterne Web Server dennoch
möglich – durch Einsatz von Web Server Gate (siehe Abb. 1). Der Zugriff
erfolgt dabei unter Berücksichtigung folgender Kriterien:
•
•
•
Vertraulichkeit - Daten sind für unberechtigte Personen nicht lesbar.
Integrität - Daten sind vor Veränderungen durch unberechtigte Personen
geschützt.
Authentifizierung - Vor dem Datenaustausch muss sich jeder Benutzer
zweifelsfrei identifizieren. Unberechtigten wird der Zugriff verweigert.
7.1. HOB RD VPN Web Server Gate
Das folgende Szenario zeigt die Verbindung zu einem internen Web Server
bei Einsatz von HOB RD VPN Web Server Gate. Alle Verbindungen des
Browsers führen zunächst zum Web Server Gate und werden von diesem
zum Web Server weitergeleitet.
Abb. 1: SSL-gesicherter Zugriff auf firmeninterne Web Server über WSP
61
7.2. Web Server Gate verwenden
Um das Web Server Gate zu verwenden, wählt der Benutzer mit seinem
Browser die Adresse, auf der HOB RD VPN Installiert ist. Nach der
Authentifizierung öffnet sich die Startseite von HOB RD VPN (siehe Abb.2) .
Abb. 2: Startseite mit Adressleiste für Web Server Gate
Im Eingabefeld des Web Server Gate (siehe in Abb. 2) gibt der Benutzer die
URL des Zielservers ein. Dabei kann der Benutzer auch Adressen aus dem
privaten IP-Adressbereich eingeben, die Systemen im Firmennetz
entsprechen. Verbindungen des Browsers werden dann über den HOB WSP
umgeleitet. Die Verbindung zwischen Client und WebSecureProxy erfolgt
dabei über das HTTPS-Protokoll (SSL-verschlüsselt).
62
7.3. Links auf HTML-Seiten interner Web Server
Vor eine besondere Aufgabe wird das Web Server Gate gestellt, wenn es um
Hyperlinks innerhalb des Intranets geht, die auf andere, interne Web Server
zeigen. (Abb. 3).
Abb. 3: Intranet-Hyperlinks auf andere Web Server
Um diese Hyperlinks auch bei externem Zugriff über das Internet öffnen zu
können, untersucht das Web Server Gate die jeweils geöffnete HTML-Seite
methodisch nach entsprechenden Hyperlinks. Die Syntax wird dabei so
übersetzt, dass die verlinkten Intranet-Seiten bei Zugriff über das Internet
geöffnet werden können.
Die in Intranets eingesetzten Arten von Hyperlinks sind sehr
unterschiedlich, die Anzahl vorhandener Formate ist inzwischen
unüberschaubar und nimmt ständig zu. Infolgedessen ist das
Erkennen aller Intranet-Hyperlinks unwahrscheinlich, d.h. es lässt sich
nicht ausschließen, dass Intranet-Hyperlinks nicht immer erwartungsgemäß übersetzt und folglich nicht aufgelöst werden können.
63
64
Zugriff auf Citrix Neighborhood _____________________________ HOB RemoteDesktop VPN
8.
Zugriff auf Citrix Neighborhood
8.1. Überblick
Citrix Program Neighborhood ist eine Clientsoftware von Citrix, mit der Sie
auf Anwendungen zugreifen können, die von einem Administrator auf einen
Server freigegeben - im Citrix-Jargon "veröffentlicht" - werden. Programme,
auf die sie mit Citrix Programm Program Neighborhood zugreifen, sind auf
Servern gespeichert, auf denen Citrix Presentation Server ausgeführt wird.
Citrix Program Neigborhood kann zusammen mit HOB WSP UC und HOB
WebSecureProxy eingesetzt werden, um eine Verbindung zum Citrix
Presentations Server herzustellen. Die Verbindung erfolgt dabei über einen
sicheren, SSL-verschlüsselten Datenaustausch über das SOCKS 5 Protokoll.
Dies ist auch dann möglich, wenn mehrere Citrix Presentation Server und
das Citrix Load Balancing eingesetzt werden.
HOB WSP UC
HOB
WebSecureProxy
Citrix Program
Neighborhood
HOB
Enterprise Access
Client PC
Citrix
Presentation
Server #1
Citrix
Presentation
Server #2
Citrix
Presentation
Server #3
Citrix Server Farm
mit Load Balancing
Abb. 4: Verbindung mit HOB WebSecureProxy Universal Client und HOB WebSecureProxy
HOB WebSecureProxy Universal Client (HOB WSP UC) und HOB
WebSecureProxy (HOB WSP) arbeiten jeweils als Gateway. Sie ermöglichen
lokal installierten „Third Party“ Applikationen über einen sicheren Kanal durch
das Internet zu kommunizieren.
Die folgenden Abschnitte beschreiben, welche Einstellungen notwendig sind,
um diesen Zugriff zu ermöglichen.
65
8.2. Konfiguration auf dem Client
Auf dem Client-Rechner muss Citrix Program Neighborhood installiert sein.
HOB WebSecureProxy UC kann wahlweise lokal installiert werden oder von
einem Webserver als Java-Applet gestartet werden.
8.2.1.
Citrix Neigborhood konfigurieren
Um die nötigen Einstellungen vorzunehmen, öffnen Sie das Programm Citrix
Neigborhood und wählen im Menü Datei den Punkt AnwendungsgruppenEinstellungen.
Abb. 5: Citrix Neighborhood Verbingung
Dort klicken Sie auf den Button "Firewalls...".
66
Abb. 6: Citrix Neighborhood Firewalleinstellungen
In diesem Dialog wählen Sie die Option "SOCKS", als Proxyadresse
"localhost" und einen Port Ihrer Wahl, in diesem Beispiel "1081".
8.2.2.
HOB WebSecureProxy UC konfigurieren
8.2.2.1. HOB WebSecureProxy UC als Java Applet
Wenn HOB WebSecureProxy UC als Java-Applet gestartet wird, ist auf dem
Client keine Konfiguration nötig. Zum Starten des HOB WSP UC vgl.
Abschnitt 8.5. Verbindung aufbauen.
8.2.2.2. HOB WebSecureProxy UC konfigurieren - lokale Installation
Um HOB WebSecureProxy UC auf dem Client zu konfigurieren, starten Sie
den Startoptionen Manager, der sich im Windows Startmenü befindet unter:
Start > Programme > HOB WebSecureProxy UC >
Administration
Abb. 7: Startoptionen
67
Im Startoptionen Manager geben Sie die IP-Adresse den Port an, unter dem
der HOB WebSecureProxy erreichbar ist. Auf dem WebSecureProxy muss
eine Verbindung konfiguriert sein, die auf diesem Port auf Daten wartet (siehe
8.4. HOB WebSecureProxy konfigurieren).
Im Feld "Optionen für die Anmeldung" können Sie den Benutzernamen und
Passwort angeben. Diese Daten werden zur Authentifizierung beim HOB WSP
benötigt. Die Verifizierung der Anmeldedaten erfolgt über HOB Enterprise
Access (vgl. Abb. 1). Weitere Informationen hierzu finden Sie in der OnlineHilfe zu HOB Enterprise Access.
Wenn die Option "Automatische Anmeldung" gewählt ist, werden die
Anmeldedaten lokal auf dem Client-PC gespeichert, andernfalls müssen die
Daten bei jeder Anmeldung neu eingegeben werden.
8.3. HOB WSP UC in HOB RD VPN konfigurieren
Für den betreffenden User muss vom Administrator eine Konfiguration für
HOB WSP Universal Client erstellt werden. Dazu starten Sie das Programm
HOB EA Administration und erstellen für den betreffenden Benutzer oder eine
Benutzergruppe eine Konfiguration für HOB WSP UC.
Abb. 8: Gateway-Konfiguration bearbeiten
Als Gateway-Name kann ein beliebiger Name eingegeben werden. Als
vordefinierter Port ist der Port einzugeben, der am Client in Citrix
Neighborhood als Proxy-Port eingegeben wurde (siehe 8.2.1 Citrix
Neigborhood konfigurieren). Im Feld ausgehende Verbindung muss die
Option "SOCKS-Protokoll der Anwendung verwenden" aktiviert sein.
8.4. HOB WebSecureProxy konfigurieren
Im HOB WebSecureProxy muss eine SOCKS Verbindung konfiguriert sein,
über die der HOB WSP UC kommunizieren kann.
68
Abb. 9: WebSecureProxy Konfiguration – Eingehende Verbindung
In der Verbindung muss als eingehender Port derjenige eingetragen sein, der
in der WSP UC Einstellung im Startoptionen Manager eingestellt wurde, in
diesem Beispiel "443" (Siehe 8.2.2 HOB WebSecureProxy UC konfigurieren).
Im Tab "Ausgehende Verbindung" muss als Modus "Server Listen"
ausgewählt sein. In dem Feld "Konfigurierte Sock Server-Listen" muss eine
Serverliste ausgewählt sein, in der eine SOCKS-Verbindung definiert ist (siehe
unten).
Abb. 10: WebSecureProxy Konfiguration – Server-Listen
In der oben ausgewählten Server Liste muss ein Eintrag mit dem Wert
"SOCKS" als vordefiniertes Protokoll vorhanden sein.
69
Die Einrichtung einer Socks Konfiguration ermöglicht für den
betreffenden Benutzer den Zugang zu beliebigen (falls nich
anderweitig eingeschränkt) Verbindungszielen innerhalb des
Unternehmens.
Richten Sie im HOB WebSecureProxy Target Filters ein, um den
Zugang auf bestimmte Verbindungsziele (IP-Adressen oder DNSNamen) zu beschränken.
Abb. 11: WebSecureProxy Konfiguration
In der gewünschten Verbindung muss außerdem angegeben werden, wie die
Authentifizierung erfolgen soll.
Abb. 12: WebSecureProxy Konfiguration
Im Drop-Down Menü "Authentifizierung verwenden" muss der Wert "RADIUS
Server" eingestellt werden. Im Feld "RADIUS Server" muss ein Radius Server
ausgewählt werden, der die Verifizierung der Anmeldedaten für diese
Verbindung vornimmt.
70
Weitere Informationen zur Konfiguration finden Sie in der Online-Hilfe des
HOB WebSecureProxy.
8.5. Verbindung aufbauen
Wenn alle Einstellungen vorgenommen wurden, und auf der Serverseite alle
Komponenten ohne Fehler gestartet wurden, kann die Verbindung hergestellt
werden.
8.5.1.
HOB WSP UC als Java-Applet starten
Um HOB WSP UC vom Webserver aus als Java-Applet zu laden, öffen Sie ein
Browserfenster und geben die URL für die Anmeldung an HOB RD VPN ein.
Klicken Sie auf der Startseite auf den Link "Start HOB WebSecureProxy
Universal Client", damit der HOB WSP UC gestartet wird.
8.5.2.
HOB WSP UC bei lokaler Installation starten
Starten Sie dazu zunächst HOB WSP UC, indem Sie im Windows-Startmenü
wählen.
Start > Programme > HOB WebSecureProxy UC > HOB
WebSecureProxy UC
Nachdem Sie sich am HOB EA-Server authentifiziert haben, erscheint das
Anwendungsfenster des HOB WSP UC, in dem Meldungen angezeigt
werden.
Abb. 13: Status-Informationsfenster
Starten Sie anschließend Citrix Program Neighborhood und wählen Sie eine
der veröffentlichten Applikationen aus der Liste.
71
72
Einsatzszenarien ________________________________________ HOB RemoteDesktop VPN
9.
Einsatzszenarien
9.1. Szenario der Standardkonfiguration
Nach der Installation von HOB RD VPN besteht eine Standardkonfiguration
mit den Zugriffsmöglichkeiten, die in folgendem Szenario dargestellt sind:
Abb. 14: Standardkonfiguration von HOB RD VPN nach dem Beenden der Installation
•
4-stufiges Kommunikationsmodell
In der Standardkonfiguration erfolgt die Kommunikation in vier Stufen:
1. Authentifizierung am WSP
2. Download des Applets vom Web Server über WSP
3. Lesen der Benutzereinstellungen auf dem EA-Server
4. Verbindungsaufbau über WSP
In diesem Szenario stellt WSP die zentrale Instanz für die Kommunikation von
außen dar. Jegliche Kommunikation erfolgt über den (konfigurierbaren)
Port 443.
WSP stellt nach der Installation einen integrierten Web Server zur Verfügung.
Zunächst muss sich der Benutzer mittels sicherer HTTPS-Verbindung über
diesen Web Server bei WSP anmelden.
Die dafür erforderliche URL ist in einem HTML-Dokument enthalten, das Sie
über die Verknüpfung im Start HOB RD VPN > Info-Center > Erste Schritte
nach der Installation öffnen können. Durch die URL sind Port und IP-Adresse
des Web Servers eindeutig bestimmt. Beim ersten Aufruf der Startseite des
WSP Web Servers muss sich der Benutzer authentifizieren (siehe oben 4stufiges Kommunikationsmodell Punkt 1).
Standardmäßig sind dafür folgende Benutzernamen / Passwörter konfiguriert:
Benutzername: administrator
Passwort: adminpw
alternativ:
Benutzername: guest
Passwort: guest
73
Einsatzszenarien _________________________________________ HOB RemoteDesktop VPN
Ändern Sie zunächst aus Sicherheitsgründen zumindest das
Passwort für den bereits vorhandenen Benutzer
mit dem Sie sich angemeldet haben.
administrator,
1. HOB EA Administration öffnen.
2. In der Organisationsstruktur Container users wählen.
Rechts im Fenster erscheinen die bereits angelegten Benutzer.
3. Benutzer administrator mit der rechten Maustaste klicken und
Eigenschaften... im Kontextmenü wählen.
4. Passwort wie gewünscht ändern.
5. OK drücken, um Änderungen zu übernehmen und Dialog zu
schließen.
Abb. 15: Standard-Startseite zur Anmeldung bei WSP mittels Web Browser
Nach erfolgreicher Anmeldung werden Benutzer auf eine Web-Seite weitergeleitet, von der HOBLink J-Term bzw. HOBLink JWT mittels entsprechenden
Links gestartet werden kann (siehe 4-stufiges Kommunikationsmodell
Punkt 2, Seite 73).
74
Abb. 16: Standard-Startseite zur Anmeldung bei HOBLink J-Term / JWT
Die gewünschten HOBLink J-Term/JWT-Sessions können ausgeführt werden,
um mit dem Host bzw. Windows Terminal Server zu kommunizieren (siehe 4stufiges Kommunikationsmodell Punkt 4, Seite 73). Das dafür erforderliche
Lesen der Benutzereinstellungen vom EA-Server erfolgt für den Benutzer unbemerkt (siehe 4-stufiges Kommunikationsmodell Punkt 3, Seite 73).
75
Abb. 17: Session Manager von HOB RD VPN
Beim Ausführen von HOBLink J-Term als Applet (nicht HOBLink JWT)
(Abb. 17) werden Sessions grundsätzlich SSL-verschlüsselt und auf
WSP umgeleitet, auch wenn dies in der Session-Konfiguration nicht
explizit konfiguriert ist (Session Editor > Vorlage Verbindung >
Sicherheit > keine). Für die Verbindung werden die Einstellungen
herangezogen, die im Startoptionen-Manager (Seite 31) von HOB EA
Administration konfiguriert sind (z.B. Verbindungsmodell, Optionen für
HOBLink J-Term etc,).
Vorteil: Interne und externe Verbindungen können dieselbe SessionKonfiguration verwenden. Bei interner Kommunikation bleiben die
Daten immer unverschlüsselt, die Verbindung erfolgt direkt ohne
Umleitung auf WSP, bei externer Kommunikation erfolgt automatisch
SSL-Verschlüsselung und Umleitung auf WSP.
9.1.1.
Anmeldeverfahren für WSP
Die Hinweise in diesem Abschnitt dienen dazu, Ihnen den technischen Hintergrund der Standardkonfiguration verständlich zu machen.
Im Konzept von HOB RD VPN bildet WSP das Kernstück und wird generell für
den Zugriff auf das Unternehmensnetz eingesetzt. Für den Zugriff müssen die
drei folgenden Verbindungen erfolgreich aufgebaut werden.
1. Verbindung zum Web Server von WSP
Der Benutzeranmeldung am Web Server erfolgt durch die Authentifizierung des Benutzers mittels Benutzernamen und Passwort. Diese Authentifizierung wird als Cookie im Browser gespeichert.
2. Verbindung zum EA-Server
Beim Starten von HOBLink J-Term / JWT erfolgt unter Verwendung des
76
o.g. Benutzernamens / Passworts – und vom Benutzer unbemerkt – die
Anmeldung am EA-Server von HOB Enterprise Access, von dem die
Benutzereinstellungen für die Session geladen werden.
3. Session-Verbindung zu Host / Windows Terminal Server
Für die Kommunikation mit Host / Windows Terminal Server ist eine erneute Verbindung mittels Benutzername und Passwort erforderlich.
Für jede dieser drei Verbindungen setzt WSP die Authentifizierung des
Benutzers voraus. Wird eine dieser Verbindungen authentifiziert, kann für die
verbleibenden Verbindungen die Single SignOn-Funktionalität (siehe
Kapitel 3.8, Seite 32) realisiert werden.
Single SignOn macht erneute Authentifizierungsverfahren weiterer Verbindungen überflüssig. Benutzer profitieren davon durch eine vereinfachte Anmeldung.
Szenarien, bei denen eine der drei o.g. Verbindungen nicht über WSP
zustande kommen, sind unter 9.2 Konfigurationsalternativen für abweichende
Szenarien (Seite 78) ausführlich beschrieben.
Im folgenden Abschnitt ist zunächst die Standardkonfiguration des Startoptionen-Managers von HOB EA Administration / HOBLink JWT beschrieben.
9.1.2.
Standardkonfiguration von Startoptionen-Manager
/ HOBLink JWT
1. Öffnen Sie die Registerkarte WebSecureProxy im Startoptionen-Manager
von HOB EA Administration über das Menü Extras... > Startoptionen....
Folgende Abbildung zeigt die Standardeinstellung:
Abb. 18: HOB EA Administration: Startoptionen-Manager – Registerkarte WSP/HTTP
Proxies
Weitere lnformationen zu diesem Dialog erhalten Sie in der OnlineHilfe.
2. Im HOBLink JWT Session Editor ist in der Verbindungsvorlage
automatisch die Option "SSL/TLS" für Sicherheit aktiviert.
3. Folgende Abbildung zeigt die Standardeinstellung der Registerkarte HOB
WSP. Abhängig vom eingesetzten HOB Connectivity Client variiert diese
Registerkarte geringfügig im Aussehen.
77
Abb. 19: HOBLink JWT: Registerkarte HOB WSP mit Übernahme der Einstellungen
9.2. Konfigurationsalternativen für abweichende
Szenarien
In diesem Abschnitt werden andere beispielhafte Konfigurationen beschrieben, die alternativ zur Standardkonfiguration eingerichtet werden können.
9.2.1.
Szenario 1: ohne Web Download über WSP & mit
zentraler Benutzerverwaltung
Diese Lösung eignet sich für Umgebungen mit folgenden Voraussetzungen:
•
•
Download des Applets von einem anderen Web Server
Starten einer lokal installierten Applikation (HOBLink J-Term / JWT), kein
Applet-Download über den Browser
Die charakteristischen Merkmale dieses Szenarios sind wie folgt:
1. Kein Download des Applets (HOBLink J-Term / JWT) vom Web Server
über WSP
2. EA-Authentifizierung über WSP
Benutzereinstellungen werden vom EA-Server (Komponente von HOB
Enterprise Access) geladen.
3. Session-Verbindungsaufbau über WSP
Folgende Abbildung veranschaulicht dieses Szenario, bei dem das Applet von
einem WSP-unabhängigen Web Server (blauer Pfeil) über den Browser heruntergeladen und die Benutzereinstellungen vom EA-Server (grüner Pfeil) gelesen werden.
78
Abb. 20: Applet.-Download von Web Server / Lesen der Benutzereinstellungen vom EAServer
9.2.1.1. So konfigurieren Sie Startoptionen-Manager von HOB
Enterprise Access / HOBLink JWT
1. Öffnen Sie die Registerkarte WebSecureProxy im Startoptionen-Manager
von HOB EA Administration über das Menü Extras... > Startoptionen....
Wählen Sie die in der Abbildung gezeigte Einstellung:
Abb. 21: HOB EA Administration: Startoptionen-Manager – Registerkarte WSP/HTTP
Proxies
2. Schaltfläche Hinzufügen.... drücken
3. Geben Sie den gültigen Namen eines Servers und seines Ports an, der
WSP zur Verfügung stellt.
Wir empfehlen HTTPS-Port 443, der auf Web Servern in der Regel
frei geschaltet ist.
79
Abb. 22: Dialog Server hinzufügen
4. Hinzufügen & Schließen drücken, um die Einstellungen zu übernehmen.
5. Folgende Abbildung zeigt die erforderliche Einstellung der Registerkarte
HOB WSP von HOBLink JWT. Abhängig vom eingesetzten HOB
Connectivity Client variiert diese Registerkarte geringfügig im Aussehen.
Abb. 23: HOBLink JWT: Registerkarte HOB WSP mit Übernahme der Einstellungen
9.2.2.
Szenario 2: ohne Web Download über WSP & ohne
zentrale Benutzerverwaltung
•
•
•
Download des Applets von einem anderen Web Server
Starten einer lokal installierten Applikation (HOBLink J-Term / JWT), kein
Applet-Download über den Browser
Laden der Benutzereinstellungen beispielsweise von einer lokalen EADatenbank, nicht vom EA-Server, der hinter WSP angeordnet ist (siehe
Abb. 14, Seite 73)
1. Kein Download des Applets vom Web Server über WSP
2. Benutzeranmeldung & Authentifizierung bei HOB Enterprise Access, ohne
jedoch Benutzereinstellungen von dort zu laden
80
Folgende Abbildung veranschaulicht dieses Szenario, bei dem das Applet von
einem WSP-unabhängigen Web Server (blauer Pfeil) über den Browser heruntergeladen und die Benutzereinstellungen ebenfalls von diesem Web Server
(grüner Pfeil) gelesen werden.
Abb. 24: Applet-Download und Lesen der Benutzereinstellungen von Web Server
9.2.2.1. So konfigurieren Sie HOBLink JWT
1. Abb. 25 (Seite 81) zeigt die erforderliche Einstellung der Registerkarte
HOB WSP. Abhängig vom eingesetzten HOB Connectivity Client variiert
diese Registerkarte geringfügig im Aussehen.
2. Hinzufügen drücken, um einen WSP zu konfigurieren, über den die
Verbindung aufgebaut wird.
3. Geben Sie im Dialog Hinzufügen den gültigen Namen eines Servers und
seines Ports an, der WSP zur Verfügung stellt.
Abb. 25: HOBLink JWT: Registerkarte HOB WSP - - Individuelle WSP-Konfiguration
81
9.2.3.
Szenario 3: Verwendung von WebProfilen
Diese Lösung eignet sich für Umgebungen mit folgenden Voraussetzungen
und entspricht dem unter Abb. 24 (Seite 81) abgebildeten Szenario:
•
•
•
Download des Applets (HOBLink J-Term / JWT) von einem anderen Web
Server (* dies entspricht der erstgenannten Option unter Punkt 1 in der
nachfolgenden nummerierten Liste)
Laden der Benutzereinstellungen von lokaler Datenbank
das Verbindungsmodell "über WebProfil" wird verwendet. Um dieses
Verbindungsmodell zu konfigurieren, öffnen Sie HOB EA Administration
und wählen Sie Menü Extras > Startoptionen... > Registerkarte
Verbindungsmodell. Der Dialog Datei öffnen wird geöffnet. Wählen Sie
die gewünschte startup.hxml, in der die relevanten Einstellungen
gespeichert sind und anschließend das Verbindungsmodelle "über
WebProfil" auf der Registerkarte Verbindungsmodell.
1. Kein Download * / optionaler Download des Applets vom Web Server über
WSP
9.2.3.1. So konfigurieren Sie HOBLink JWT
1. Abb. 26 (Seite 82) zeigt die erforderliche Einstellung der Registerkarte
HOB WSP von HOBLink JWT. Abhängig vom HOB Connectivity Client
variiert diese Registerkarte geringfügig im Aussehen.
2. Hinzufügen drücken, um einen WSP zu konfigurieren, über den die
Verbindung aufgebaut wird.
3. Geben Sie im Dialog Hinzufügen den gültigen Namen eines Servers und
seines Ports an, der WSP zur Verfügung stellt.
Abb. 26: HOBLink JWT: Registerkarte HOB WSP - - Individuelle WSP-Konfiguration
82
9.2.4.
Szenario 4: RADIUS-Authentifizierung mittels
Token
•
•
•
Download des Applets (HOBLink J-Term / JWT) vom WSP Web Server
Laden der Benutzereinstellungen vom EA-Server
das Verbindungsmodell "über EA-Server" wird verwendet. Um dieses
Verbindungsmodell zu konfigurieren, öffnen Sie HOB EA Administration
und wählen Sie Menü Extras > Startoptionen... > Registerkarte
Verbindungsmodell. Der Dialog Datei öffnen wird geöffnet. Wählen Sie
die gewünschte startup.hxml, in der die relevanten Einstellungen
gespeichert sind und anschließend das Verbindungsmodelle "über EAServer" auf der Registerkarte Verbindungsmodell.
Charakteristisches Merkmal dieses Szenarios:
1. Authentifizierung des Clients gegenüber dem RADIUS Server mittels
Token
Folgende Abbildung veranschaulicht dieses Szenario, bei dem das Applet
vom WSP Web Server über den Browser heruntergeladen und die Benutzereinstellungen auf dem EA-Server von HOB Enterprise Access gelesen
werden. Die Authentifizierung des Clients gegenüber dem RADIUS Server
erfolgt mittels Token.
Abb. 27: Authentifizierung des Clients gegenüber dem RADIUS Server mittels Token
Bei der Authentifizierung wird die so genannte Passticket-Technologie eingesetzt, die in folgendem Abschnitt erläutert wird.
9.2.4.1. Passticket-Technologie
Wenn Benutzer die tägliche Anmeldung erstmals durchführen, wird die
Authentifizierung gegenüber dem RADIUS Server ordnungsgemäß durchgeführt. Der EA-Server bemerkt die erfolgreiche Authentifizierung und erzeugt
ein so genanntes Passticket. Bei jeder weiteren Verbindung desselben Benutzers bestätigt dieses Ticket die bei der ersten Anmeldung erfolgte
83
Authentifizierung und erspart Benutzern die wiederholte Authentifizierung
gegenüber dem RADIUS Server. So ist ein schnellerer und komfortablerer
Verbindungsaufbau gewährleistet.
Die Gültigkeit eines Passtickets ist aus Sicherheitsgründen zeitlich begrenzt
und kann den Anforderungen entsprechend konfiguriert werden.
9.2.4.2. So konfigurieren Sie den Startoptionen-Manager
Öffnen Sie die Registerkarte WebSecureProxy im Startoptionen-Manager von
HOB EA Administration über das Menü Extras... > Startoptionen... und
markieren Sie das Kontrollkästchen WSP-Konfiguration von Browser-URL
übernehmen (Abb. 18, Seite 77).
9.2.4.3. So konfigurieren Sie den EA-Server von HOB Enterprise
Access
1. Öffnen Sie die Registerkarte RADIUS / RACF im Menü EA-Server >
Konfigurieren... und wählen Sie folgende Einstellungen:
Abb. 28: EA-Server-Konfiguration - Registerkarte RADIUS / RACF
84
9.2.5.
Szenario 5: RADIUS-Authentifizierung / LDAPBenutzerverwaltung
•
•
•
Benutzerverwaltung mittels LDAP
Verbindungsmodell "über EA-Server" mittels HOB EA Administration
(Menü Extras > Startoptionen... > Registerkarte Verbindungsmodell)
Charakteristische Merkmale dieses Szenarios:
1. Authentifizierung des Clients gegenüber dem RADIUS Server mittels
Token
2. Laden der Benutzereinstellungen von LDAP
vom WSP Web Server über den Browser heruntergeladen und die Benutzereinstellungen vom LDAP-System geladen werden.
Die Authentifizierung des Clients gegenüber dem RADIUS Server erfolgt
mittels Token.
Abb. 29: Authentifizierung des Clients gegenüber dem RADIUS Server mit
Benutzerverwaltung über LDAP
85
Access
Konfigurieren... und wählen Sie die Option RADIUS Server (Abb. 28,
Seite 84).
2. Öffnen Sie die Registerkarte Eigenschaften und wählen Sie die Option
LDAP-Datenbank.
Abb. 30: EA-Server-Konfiguration - Registerkarte Eigenschaften
3. Öffnen Sie die Registerkarte LDAP-Verbindung und konfigurieren Sie
gültige Einstellungen für LDAP.
Weitere lnformationen zu den Dialogen erhalten Sie in der Online-Hilfe.
9.2.6.
Szenario 6: Authentifizierung gegenüber IAS von
MS Active Directory ohne LDAP-SchemaErweiterung
•
•
•
Authentifizierung gegenüber dem Internet Authentication Server (IAS),
dem integrierten RADIUS Server von MS Active Directory
Benutzerverwaltung mittels MS Active Directory über den EA-Server von
HOB Enterprise Access
Charakteristische Merkmale dieses Szenarios:
1. Authentifizierung des Clients gegenüber IAS mittels Benutzername /
Passwort (Tokens werden nicht unterstützt).
2. Laden der Benutzereinstellungen von MS Active Directory über den EAServer. Ist ein in MS Active Directory angelegter Benutzer in der
Datenbank des EA-Servers noch nicht vorhanden, wird er automatisch
erstellt.
Diese Zugriffsmethode setzt die Konfiguration des Verbindungsmodells
"über EA-Server" mittels HOB EA Administration voraus (Menü Extras >
Startoptionen... > Registerkarte Verbindungsmodell).
Mit diesem Verfahren kann auf die aufwändige Schema-Erweiterung
von MS Active Directory verzichtet werden.
86
vom WSP Web Server über den Browser heruntergeladen und die Benutzereinstellungen über den EA-Server von MS Active Directory gelesen werden.
Die Authentifizierung des Clients erfolgt gegenüber IAS mittels Benutzername
und Passwort.
Abb. 31: Authentifizierung des Clients gegenüber IAS von MS Active Directory
87
Access
Konfigurieren... und wählen Sie folgende Einstellungen:
Abb. 32: EA-Server-Konfiguration - Registerkarte RADIUS / RACF
88
HOB Desktop-on-Demand ________________________________ HOB RemoteDesktop VPN
10. HOB Desktop-on-Demand
10.1. Remote-Zugriff auf Windows-Arbeitsplätze
Mit HOB Desktop-on-Demand erhalten Sie die Möglichkeit zum sicheren
Remote-Zugriff auf Windows Arbeitsplätze (Windows XP Professional oder
Windows Vista) über ein Netzwerk, beispielsweise über das Internet. Der
Zugriff ist auch dann möglich, wenn sich der Remote-Rechner im
ausgeschalteten Zustand befindet.
Der Zugriff auf die Windows-Arbeitsstation wird nach folgendem Schema
durchgeführt:
Der Benutzer öffnet mit einem Browser die entsprechende Web-Seite und
lädt die Client-Software HOBLink JWT (im Lieferumfang von HOB RD VPN
enthalten) herunter. Nach dem Download des HOBLink JWT-Applets startet
der Verbindungsaufbau mit HOB WebSecureProxy (im Lieferumfang von HOB
RD VPN enthalten), der üblicherweise in der DMZ (DeMilitarized Zone) oder
hinter einer Firewall im Firmennetzwerk installiert ist.
Bei der Anmeldung wird der Benutzer zur Eingabe von Benutzername und
Passwort aufgefordert. HOB WebSecureProxy kann dann die entsprechende
Windows-Arbeitsstation wählen. Die Zuordnung zwischen WindowsArbeitsstation und Benutzer kann wahlweise in der Konfiguration von HOB
WebSecureProxy, dem HOB Enterprise Access Server oder jedem
Authentifizierungs-Server mit RADIUS-Unterstützung hinterlegt werden.
Gemäß dieser Zuordnung wird die Verbindung zum Remote-WindowsArbeitsplatz aufgebaut. Ermöglicht wird dies durch die Wake-on-LANFunktionalität (WOL) moderner Arbeitsplatzrechner.
Abb. 33: Szenario für HOB Desktop-on-Demand über HOB WebSecureProxy
Die Kommunikation aus dem Internet mit dem HOB WebSecureProxy ist
SSL-verschlüsselt.
Zur Initialisierung der WOL-Funktion eines Rechners im ausgeschalteten Zustand muss dem HOB WebSecureProxy dessen IP-Adresse im Netzwerk und
die MAC-Adresse seiner Netzwerkkarte zur Verfügung gestellt werden (nachfolgend werden als Desktop-on-Demand-Daten bezeichnet). Dieser Vorgang
ist im Abschnitt 10.3.2 Desktop-on-Demand-Daten erfassen (Seite 91) weiter
unten auf dieser Seite detailliert beschrieben.
89
HOB Desktop-on-Demand _________________________________ HOB RemoteDesktop VPN
10.2. Voraussetzungen
Folgende Voraussetzungen müssen für Remote-Zugriff auf einen PC erfüllt
sein:
•
Remote Windows Arbeitsstation
1. Windows XP Professional oder Windows Vista als Betriebssystem
2. Aktivieren der Wake-on-LAN-Funktion im BIOS
3. Aktivieren der Remotedesktop-Funktion (Systemsteuerung > System >
Registerkarte Remote > Kontrollkästchen Benutzern erlauben, eine
Remotedesktopverbindung herzustellen aktivieren)
•
Erfassen der Desktop-on-Demand-Daten
Die erforderlichen Schritte zum Erfassen der Daten, die für eine Verbindung
über HOB Desktop-on-Demand relevant sind, wird im Abschnitt
10.3.2 Desktop-on-Demand-Daten erfassen (Seite 91) beschrieben.
•
Durchlässigkeit der Firewall 2 für Broadcasts
Die Firewall 2 (siehe Abb. 33, Seite 89) muss durchlässig sein für Broadcasts,
um die Wake-on-LAN-Funktion im Intranet ausführen zu können. Ist diese
Voraussetzung nicht erfüllt, gelten die Informationen unter 10.4 Wake-on-LAN
Relay (Seite 92).
10.3. Konfiguration der Desktop-on-Demand-Daten
Um Clients per Remote-Desktop-Funktion erfolgreich "wecken" zu können,
sind Änderungen an der Konfiguration folgender Produkte erforderlich:
•
HOB WebSecureProxy
•
HOB Desktop-on-Demand
•
HOBLink JWT
Die jeweiligen Konfigurationsschritte sind in den nachfolgenden Abschnitten
beschrieben.
10.3.1. So konfigurieren Sie WSP
1. Konfigurationsprogramm von HOB WebSecureProxy starten
2. Vorlage Server Liste links in der Baumstruktur öffnen.
3. Gewünschte Vorlage links im Baum öffnen oder Hinzufügen... drücken,
um eine neue Vorlage zu erstellen.
Im Falle einer neuen Vorlage vorgegebenen Namen verwenden oder
wunschgemäß anpassen.
4. Hinzufügen... drücken, um einen Server hinzuzufügen.
5. Auf der Registerkarte Server-Konfiguration rechts im Fenster den Namen
der Session unter Name angeben z.B. Desktop-on-Demand-Session.
90
6. Desktop-on-Demand als Modus wählen.
7. RDP Windows Terminal Server – HOB EXT-1 als Vordefiniertes Protokoll
wählen.
8. Konfigurationsprogramm beenden und Änderungen übernehmen.
10.3.2. Desktop-on-Demand-Daten erfassen
Hierfür stehen zwei alternative Methoden zur Wahl:
D So erfassen Sie die Daten mit HOB EA Administration
1. Konfigurationsprogramm HOB EA Administration starten.
3. Gewünschten
Benutzer in Datenbank wählen.
4. Mit der rechten Maustaste auf den Benutzer klicken und Konfigurieren >
HOB RD VPN > Benutzereinstellungen wählen.
5. In der Auswahlliste links den Punkt Desktop On Demand wählen.
6. Mit der Schaltfläche Hinzufügen eine neue Konfiguration für Desktop On
Demand erzeugen.
7. Im Konfigurationsdialog Werte für Name und Host IP-Adresse angeben.
8. Schaltfläche Abrufen & übernehmen drücken, wodurch die MAC-Adresse
eingesetzt wird (diese Funktion setzt voraus, dass der Remote Desktop in
Betrieb ist).
9. Ist der Remote Desktop nicht in Betrieb können Sie die MAC-Adresse
auch händisch eintragen.
Beispiel: D0-DC-F1-B5-BD-0D
10. OK drücken, um Daten zu übernehmen und Dialog zu schließen.
Werte werden in der Datenbank hinterlegt.
11. HOB EA Administration beenden.
D So erfassen Sie die Daten am Client mittels Download des
Dienstprogramms HOB Desktop-on-Demand-Konfiguration
1. Browser öffnen und Startseite von HOBLink JWT öffnen.
2. Links im Frame auf den Link Dienstprogramme klicken.
3. Rechts im Frame auf den Link HOB Desktop-on-Demand-Konfiguration
klicken.
5. Im Konfigurationsdialog Schaltfläche Lokale Adapterwerte anzeigen
drücken.
6. OK drücken, um Daten zu übernehmen und Dienstprogramm zu beenden.
91
10.3.3. So konfigurieren Sie HOBLink JWT
1. HOBLink JWT starten durch Klick auf Start > Programme > HOBLink JWT.
2. Vorhandene Session-Konfiguration im Session Manager ändern (Schaltfläche
Bearbeiten...) oder neue Session-Konfiguration erstellen (Schaltfläche Neu...).
3. Im Session Editor gewünschte Verbindungsvorlage links im Baum öffnen oder
neue Vorlage erstellen (Schaltfläche Neu).
Verbindungen über HOB WebSecureProxy erfordern als Verbindungsart die Option HOB WebSecureProxy (WSP).
4. Auf Registerkarte HOB WSP rechts im Fenster WSP Socks Modus unter Verbindungsart wählen.
5. Unter Name des Socks Servers den Namen der DOD-Session angeben, den
Sie unter Punkt 5 der Beschreibung 10.3.1 So konfigurieren Sie WSP (Seite 90)
angegeben haben.
6. Schließen drücken, um Änderungen zu übernehmen und die Konfiguration zu
schließen.
10.4. Wake-on-LAN Relay
Das Wake-on-LAN Relay ist notwendig, wenn die Firewall 2 (siehe Abb. 33,
Seite 89) keine Broadcasts zulässt, wovon im Allgemeinen auszugehen ist.
HOB WebSecureProxy verbindet sich in diesem Fall direkt mit dem Wake-onLAN Relay. d.h. nicht über Broadcast. Das Relay sendet den Broadcast in
sein Segment des Netzwerks.
Gemäß folgendem Szenario muss das Wake-on-LAN Relay auf einem beliebigen Rechner im Firmennetzwerk, im Segment hinter der Firewall 2 installiert
werden. Das dafür erforderliche Installationsprogramm ist auf der HOB RD
VPN-CD verfügbar.
Abb. 34: Szenario für HOB Desktop-on-Demand über HOB WebSecureProxy mittels Wakeon-LAN Relay
92
HOB bietet als Ergänzung zu HOB Desktop-on-Demand eine
Hardware-Lösung an, die das Wake-on-LAN Relay ersetzen kann.
Der Vorteil: Sie benötigen keinen Sever zur Installation des Wake-onLAN Relays.
10.4.1.1.
So konfigurieren Sie WSP
1. Konfigurationsprogramm von HOB WebSecureProxy starten.
2. Vorlage WSP Cluster links in der Baumstruktur öffnen.
3. Gewünschte Vorlage links im Baum öffnen oder Hinzufügen... drücken,
um eine neue Vorlage zu erstellen.
4. Auf Registerkarte Wake-on-LAN rechts im Fenster Kontrollkästchen
Wake-on-LAN Relay verwenden markieren.
5. Gültige Werte für IP-Adresse und Port eintragen.
93
94
HOB VDI _______________________________________________ HOB RemoteDesktop VPN
11. HOB VDI
11.1. Remote-Zugriff auf Blade-Center
Diese Lösung ist interessant für Unternehmen, in denen z.B. 300 Außendienstmitarbeiter immer wieder auf Anwendungen im Firmennetz zugreifen.
Von dieser Anzahl sind rund 100 (30 %) Mitarbeiter gleichzeitig angemeldet.
Für das VDI Szenario investieren Sie anstatt in die komplette Hard- und
Software-Ausstatttung von 300 Mitarbeitern lediglich in 100 Blades, die in
einem Blade-Center installiert werden, und in die entsprechende Anzahl
tatsächlich benötigter Software-Lizenzen.
Das Prinzip von VDI: Jedem Anwender wird beim Aufbau der Verbindung
über HOBLink JWT (mittels RDP) zum Blade-Center, z.B. von einem
Notebook, ein "eigener" Blade-PC zugewiesen. Aus dem Pool von Blades
wählt HOB WSP ein freies Blade aus. HOB Blade Balancer, der auf jedem
Blade installiert sein muss, stellt sicher, dass nur ein Anwender an einem
Blade angemeldet ist (siehe Abb. 35 unten). Sind mehrere HOB WSPs im
Einsatz, wird der Verbindungsstatus allen WSPs mitgeteilt. Über die Load
Balancing-Funktion werden die Verbindungen auf die verfügbaren WSPs
verteilt.
HOB VDI ist vorteilhaft beim Ausführen von Anwendungen, die die
Prozessorleistung intensiv beanspruchen, beispielsweise CAD Anwendungen.
Anders als beim Zugriff auf Windows Terminal Server steht dem Benutzer
immer 100% der Leistung des Blades zur Verfügung.
Abb. 35: Szenario für HOB VDI über HOB WebSecureProxies
11.2. Voraussetzungen
Folgende Voraussetzung müssen für Remote-Zugriff auf einen Blade-PC des
Blade Centers erfüllt sein:
•
•
Installation des HOB Blade Balancer auf allen Blades
Installation des Betriebssystems MS Windows XP Professsional oder
Windows Vista auf den Blades
95
HOB VDI _______________________________________________ HOB RemoteDesktop VPN
11.3. HOB Blade Balancer
An einem Blade-PC kann immer nur ein Anwender arbeiten. Die Anmeldung
eines zweiten Anwenders zur gleichen Zeit muss ausgeschlossen sein. Diese
Monitorfunktion erfüllt der HOB Blade Balancer. Ein Blade-PC wird nur dann
freigegeben, wenn folgende Voraussetzungen erfüllt sind:
•
•
•
keine bestehende Anwenderanmeldung am Blade-PC
keine laufende Anmeldung eines Anwenders am Blade-PC
bereits abgeschlossene Abmeldung des Anwenders
Die Dauer des An- oder Abmeldevorgangs ist konfigurierbar (siehe "Zeitlimit
für Anmeldung", Kapitel 11.3.1). Erst nach Ablauf dieser Zeit wird der BladePC freigegeben.
11.3.1. So konfigurieren Sie WSP
1. Konfigurationsprogramm von HOB WebSecureProxy starten.
2. Vorlage Einstellungen links in der Baumstruktur öffnen.
3. Auf Registerkarte VDI rechts im Fenster Kontrollkästchen VDI-Modus
unterstützen markieren.
4. Übernehmen Sie das Zeitlimit für Anmeldung oder passen Sie den Wert
wunschgemäß an.
Nur bei Einsatz mehrerer WSPs:
a. Der Eintrag Port wird für die Kommunikation von WSPs untereinander verwendet, wenn WSP Clusters konfiguriert sind.
b. Wählen Sie unter Netzwerkadapter mit folgender IP verwenden
den Adapter, von denen Verbindungen angenommen werden.
5. Gewünschte Vorlage Verbindungen links im Baum öffnen oder
Hinzufügen... drücken, um eine neue Vorlage zu erstellen.
6. Auf Registerkarte Ausgehende Verbindung rechts unter Modus die
Einstellung VDI wählen.
7. Als Verbindungsart die Einstellung Broadcast wählen. Über den
angegebenen Port wird der Broadcast ausgeführt. Derselbe Port muss für
die Blades konfiguriert sein, von dem Verbindungen angenommen
werden.
96
Server Data Hook ________________________________________ HOB RemoteDesktop VPN
12. Server Data Hook
Ein Server Data Hook ist eine optionale technische Ergänzung, anhand der
sich der Leistungsumfang von HOB WSP erweitern lässt, z.B. mit einer
Datenkomprimierungsfunktion. Server Data Hooks werden HOB WSP über
eine eigens von HOB entwickelte Schnittstelle (API) zur Verfügung gestellt.
Sie werden in den Datenweg zwischen HOB WSP und Ziel-Server eingefügt
(siehe Abb. 36 unten) und verändern die auf dieser Strecke ausgetauschten
Daten.
Server Data Hooks müssen gemäß der o.g. Schnittstellenspezifikation
arbeiten und werden HOB WSP in Form einer Bibliothek (DLL) zur Verfügung
gestellt. Von unseren HOB-Geschäftsstellen erfahren Sie auf Anfrage, welche
Server Data Hooks z. Zt. erhältlich bzw. in Entwicklung sind.
Abb. 36: Szenario unter Verwendung eines Server Data Hooks
97
Server Data Hook ________________________________________ HOB RemoteDesktop VPN
98
HOB RD VPN Linux/Unix Tools _____________________________ HOB RemoteDesktop VPN
13. HOB RD VPN Linux/Unix Tools
13.1. Ändern der Konfiguration im laufenden Betrieb
13.1.1. Das Programm NBIPGW13
Beim Starten von HOB WSP unter Linux oder Unix werden die Einstellungen
aus einer Konfigurationsdatei (XML-Format) gelesen. Wenn die Konfiguration
im laufenden Betrieb geändert werden soll, d.h. während HOB WSP aktiv ist,
ist dazu das Tool NBIPGW13 nötig.
Unter Windows gibt es kein derartiges Tool. Der HOB WSP für
Windows kann selbst geänderte Konfigurationsdateien im laufenden
Betrieb nachladen.
Wenn sich die Konfigurationsdatei ändert, sendet NBIPGW13 ein Signal an
HOB WSP und eine weitere Instanz des HOB WSP mit den neuen
Einstellungen wird gestartet. Die bisher vorhandene Instanz wird erst
beendet, wenn keine Verbindungen mehr offen sind. Bestehende
Verbindungen bleiben also erhalten.
Ein weiterer Vorteil von NBIPGW13 ist, dass der HOB WSP im Daemon
Modus gestartet werden kann, also ohne ein kontrollierendes Terminal.
Eine Option in NBIPGW13 ist der Auto-Restart Mode. Wenn die aktuelle
Instanz des WSP plötzlich beendet wird (Absturz oder Kill vom System)
startet NBIPGW13 automatisch eine neue Instanz.
13.1.2. Parameter von NBIPGW13
Syntax des Programms NBIPGW13:
nbipgw13 -e Executablename
[-f Monitorfilename]
[-s Signal]
[-r Rtime]
[-p Ptime]
[-h] [-d] [-t] [-b]
[-- executable params....]
Parameter
Beschreibung
-e Executablename
Name der Datei, die gestartet werden soll, inkl.
absoluter oder relativer Pfadangabe. Relative
Pfadangaben beziehen sich auf das aktuelle
Arbeitsverzeichnis.
Der Paramter ist zwingend erforderlich.
Es gibt keinen Default-Wert.
-f Monitorfilename
Name der Konfigurationsdatei, die auf Änderungen
überwacht werden soll, inkl. absoluter oder relativer
Pfadangabe. Relative Pfadangaben beziehen sich auf
99
Parameter
Beschreibung
das aktuelle Arbeitsverzeichnis.
Der Parameter ist optional.
Default: Keine Überwachung
100
-s Signal
Name des Signals, das an HOB WSP gesendet wird,
wenn eine Änderung der überwachten Datei entdeckt
wird.
Mögliche Werte:
SIGHUP, SIGINT, SIGKILL, SIGQUIT, SIGTERM,
SIGUSR1, SIGUSR2
Default: SIGTERM
-r Rtime
Poll-Intervall (in Sekunden) für die Überwachung, ob
die Executable Datei noch läuft.
Default: kein Polling
-p Ptime
Poll-Interval (in Sekunden) für die Überwachung von
Veränderungen des Monitorfiles.
Achtung: Nicht möglich unter Linux.
Default: 30
-h
Zeigt einen Hilfetext. Danach wird das Programm
beendet.
-d
Startet das Executable im Daemon Modus.
- Das aktuelle Arbeitsbverzeichnis wird auf "/" gesetzt.
- stdin, stdout and stderr werden weitergeleitet
an /dev/nul
- Der Prozess wird getrennt vom kontrollierenden
Terminal.
Achtung: Dieser Parameter ist für Testzwecke
vorgesehen.
-t
stdout/stderr des Executable wird nicht an /dev/nul
weitergeleitet.
Beachten Sie: Dieser Parameter ist für Testzwecke
vorgesehen, um fehlerhaften Output anzuzeigen.
-b
Startet sowohl die Executable als auch nbipgw13 im
Daemon Modus.
- Das aktuelle Arbeitsverzeichnis wird auf den Wert "/"
gesetzt.
- stdin, stdout und stderr werden weitergeleitet an
/dev/nul
- Der Prozess wird getrennt vom kontrollierenden
Terminal.
-- executable params
Alle Parameter, die nach dem String "--" eingegeben
sind, werden als argv Liste zum Executable
übergeben. argv[0] des Executable wird immer
gebildet aus dem vollen Pfadnamen des Executables.
Der Rückgabewert von NBIPGW13 ist 0 (Erfolg) oder einen Fehlermeldung
wird ausgegeben (im Terminal oder im syslog, falls Daemon Modus).
Beispiel 1
Der HOB WSP (NBIPGW08) wird mit der Parameterdatei wsp.xml im Daemon
Modus gestartet. Executable Überwachung ist angeschaltet mit PollingIntervall 60 Sekunden. NBIPGW13 läuft als normaler Prozess.
nbipgw13 -e NBIPGW08 -f wsp.xml -r 60 -d -- wsp.xml
Beispiel 2
Wie im Beispiel 1, jedoch stdout/stderr Weiterleitung ist ausgeschaltet.
nbipgw13 -e NBIPGW08 -f wsp.xml -r 60 -d -t -- wsp.xml
Beispiel 3
Wie in Beispiel 1, jedoch im Daemon Modus
nbipgw13 -e NBIPGW08 -f wsp.xml -r 60 -b -- wsp.xml
101
13.2. Port-Listener für Unix
Auf UNIX-Systeme gibt es aus Sicherheitsgründen einige Restriktionen für
Netzwerk-Programme. So ist es Programmen nicht erlaubt, einen Listen auf
Port unterhalb 1024 (well-known ports) durchzuführen, es sei denn, das
Programm wird unter einem Super-User (Administrator) Account ausgeführt.
Viele HOB Programme laufen aus Sicherheitsgründen jedoch nicht unter
einem Super-User und können daher diese Ports nicht verwenden.
13.2.1. Das Programm NBIPGW12
Dieses Problem kann durch Einsatz des Programms NBIPGW12 gelöst
werden.
Dazu wird das nicht-privilegierte Programm NBIPGW12 unter einem
privilegierten Account ausgeführt. NBIPGW12 führt dann den Listen aus und
gibt den resultierenden "connection descriptor" zurück an das Programm,
das dann die Kommunikation durchführen kann.
13.2.2. Parameter von NBIPGW12
Syntax des Programms NBIPGW12:
nbipgw12 [–nXXXX]
[-sXXXX]
[-l] [-v]
102
Parameter
Beschreibung
-nXXXX
Name des Unix Domain Socket, der verwendet wird,
um mit den Clients zu kommunizieren.
Default-Wert: /tmp/nbipgw12.uds
-sXXXX
Shared Secret, das für die Verschlüsselung der
Requests verwendet wird.
-l
Nachrichten werden in das System-Log geschrieben.
-v
Modus mit ausführlichen Meldungen.
Sicherheit mit SSL und TLS ________________________________ HOB RemoteDesktop VPN
14. Sicherheit mit SSL und TLS
Verbindungen über das Internet erfordern eine sorgfältige Prüfung der
Sicherheitsmaßnahmen, durch die der Datenverkehr vor dem unerlaubten
Zugriff Dritter geschützt wird. Insbesondere den hierbei eingesetzten
Verschlüsselungsverfahren wie z.B. SSL/TLS sollten Sie Ihre Aufmerksamkeit
widmen. Folgender Abschnitt enthält dazu weitere Informationen.
14.1. Verschlüsselung mit SSL / TLS
SSL steht für Secure Socket Layer, TLS für Transport Layer Security. SSL ist
ein Sicherheitsprotokoll im Internet und wendet ein Verschlüsselungs- und
Authentifizierungsverfahren an, das für die Kommunikationsdaten zwischen
HOB Connectivity Clients einerseits und WSP andererseits eingesetzt werden
kann.
SSL ist ein Mix aus symmetrischer und asymmetrischer Verschlüsselung. Die
symmetrische Verschlüsselung erfordert auf der Sender- wie Empfängerseite
die Kenntnis des Schlüssels. Dieser ist auf sicherem Weg vor der verschlüsselten Kommunikation auszutauschen. Zu diesem Zweck wird beim SSL-Verbindungsaufbau zunächst asymmetrisch verschlüsselt. Hierbei verschlüsselt
der Sender seine Nachricht mit dem öffentlichen Schlüssel des Empfängers.
Nur der rechtmäßige Empfänger ist dadurch in der Lage, die gesendeten
Daten mit seinem geheimen privaten Schlüssel zu entschlüsseln. Der Vorteil
der asymmetrische Verschlüsselung liegt in der einfachen Schlüsselverteilung. Ihr Nachteil ist der relativ hohe Rechenaufwand. Genau aus diesem
Grund verwendet die SSL-Verschlüsselung eine Kombination beider
Varianten.
HOB WSP setzt das o.g. Verfahren für die Verschlüsselung ein und erreicht
damit eine hohe Sicherheitsstufe bei der Datenübertragung.
Zum Aufbau einer eigenen Zertifikatverwaltung und dem damit verbundenen
Erstellen von SSL-Zertifikaten ist im Lieferumfang von HOB RD VPN die HOB
Software SSL Security Manager enthalten, mit der Sie diese Aufgabe
erfolgreich bewältigen können.
D So starten Sie SSL Security Manager
Start > Programme > HOB RD VPN > Administration > HOB EA
Administration > Menü Extras > SSL Security Manager
14.2. SSL-Sicherheit in HOB RD VPN
Verbindungen zwischen dem Client und WSP werden nach der SoftwareInstallation standardmäßig mit Hilfe von SSL gesichert. SSL-Sicherheit setzt
die Verwendung von Zertifikaten voraus. Bei der Installation von HOB WSP
bzw. HOB RD VPN werden die mitgelieferten Zertifikate installiert, welche
eine SSL-gesicherte Verbindungen zu Testzwecken ermöglichen. Diese
Zertifikate sind jedoch bei jeder Installation identisch und bieten demzufolge
geringere Sicherheit, beispielsweise gegen "Man-in-the-Middle" Angriffe.
103
Erstellen Sie daher eigene Zertifikate und ersetzen Sie die vorhandenen an
den nachfolgend beschriebenen Stellen. Verwenden Sie den SSL Security
Manager von HOB EA Administration, um sog. HL Security Units ( SSLClient- und Server-Zertifikate) zu erstellen und grundlegende SSLEinstellungen zu konfigurieren.
HL Security Units
Eine HLSecurity Unit ist ein Verzeichnis, das die Client- bzw. ServerZertifikate enthält, die für die SSL-Security von HOB RD VPN
notwendig sind.
Folgende Komponenten sind Bestandteil einer HLSecurity Unit:
•
hserver.cfg bzw. hclient.cfg
Diese Datei enthält die Konfigurationsdaten.
•
hserver.cdb bzw. hclient.cdb
steht für "Certificate Data Base". Diese Datei enthält alle
Eigenschaften des Zertifikats.
•
hserver.pwd bzw. hclient.pwd (optional)
steht für "Password". Diese Datei enthält das Passwort, mit dem
die Dateien *.cfg und *.cdb geschützt werden. Wenn keine
Passwortdatei vorhanden ist, öffnet sich beim Aufbau einer SSLVerbindung eine Dialogbox zur Abfrage des Passworts.
14.3. Server-Dateien erstellen und kopieren
Zum Öffnen des SSL Security Managers öffnen Sie im Startmenü
Programme > HOB RD VPN > Administration, klicken auf HOB EA
Administration und wählen Sie im Menü Extras > SSL Security Manager.
Weitere Informationen zum Erstellen unterschiedlicher Zertifikattypen
siehe Vorgangsbeschreibungen im Abschnitt "Wie Sie..." im
Inhaltsverzeichnis der Online-Hilfe von HOBLink Secure.
Mit dem SSL Security Manager erstellen Sie die HLSecurity Units. Kopieren
Sie diese anschließend in eines der folgenden Verzeichnisse:
1. C:\Programme\HOB\rdvpn\sslsettings
2. C:\Programme\HOB\rdvpn\www\lib\sslpublic
zu Punkt 1:
dieses Verzeichnis enthält die HLSecurity Units des Servers hserver.* und
wird von EA-Server und HOB WSP standardmäßig verwendet.
Für HOB WSP ist dieses Verzeichnis individuell konfigurierbar. Um das
Verzeichnis für die Server-Dateien wunschgemäß anzupassen, wählen Sie
Startmenü > Programme > HOB RD VPN > Administration > HOB
WebSecureProxy konfigurieren und dann Vorlage Einstellungen >
Registerkarte Sicherheit, für die Client-Dateien in der Vorlage Verbindung >
Registerkarte SSL.
104
Für den EA-Server ist das Verzeichnis der HLSecurity Units nicht konfigurierbar. Der EA-Server sucht HLSecurity Units immer im standardmäßig
gesetzten Verzeichnis.
Weitere wichtige Hinweise siehe Kapitel 14.4 Client-Zertifikate bei AppletInstallation, Seite 105 ff.
zu Punkt 2:
dieses Verzeichnis enthält die HLSecurity Units von HOBLink J-Term / JWT.
Weitere wichtige Hinweise siehe 14.4 Client-Zertifikate bei AppletInstallation, Seite 105 ff.
Weitere Informationen zu diesem Thema siehe Online-Hilfe von
HOBLink Secure.
14.4. Client-Zertifikate bei Applet-Installation
Dieser Abschnitt enthält Informationen über die Verwendung von ClientZertifikaten für SSL-Verbindungen, wenn die HOB EA Applikationen
(HOBLink JWT bzw. HOBLink J-Term) als Applet ausgeführt werden.
In EA Administration können Sie die primäre Quelle für SSL-Zertifikate
angeben. Diese Einstellung befindet sich im Menü "Extras > Startoptionen...
> Registerkarte Optionen > Primär laden von".
Sie können wählen zwischen den Einstellungen "lokale Festplatte" oder
"Web Server".
Wenn Sie eine User-Authentifizierung durch Zertifikate wünschen, benötigt
jeder Benutzer eine eigene HLSecurity Unit. Diese muss für jeden Benutzer
erstellt werden und lokal auf dem Client-Rechner abgelegt werden. Wählen
Sie in diesem Fall "lokale Festplatte". Führen Sie das unter
14.4.1 Vorgehensweise bei Einstellung "Lokale Festplatte beschriebene
Verfahren durch.
Wenn keine User-Authentifizierung via Zertifikat nötig ist, und alle Benuter
dasselbe Zertifikat verwenden sollen, wählen Sie die Einstellung "Web
Server". Führen Sie in diesem Fall das unter 14.4.2 Vorgehensweise bei
Einstellung "Web Server" beschriebene Verfahren durch.
14.4.1. Vorgehensweise bei Einstellung "Lokale Festplatte"
Wenn jeder Client eigene HLSecurity Units erhalten soll, müssen diese lokal
auf dem Client-Rechner abgelegt werden. Dazu gibt es zwei Möglichkeiten,
die sie wahlweise verwenden können.
1. Verwenden Sie das Dienstprogramm "HOBLink Secure Benutzerzertifikate
verteilen", das sich im Verzeichnis
<install_dir>\tools\CertInst\InstallCertificates.html
befindet.
105
2. Kopieren Sie auf jedem Client die Dateien der HLSecurity Unit in das
Unterverzeichnis /hob_jportal des User Home-Verzeichnisses.
Wenn Sie die Passwortdatei hclient.pwd nicht mitkopieren, wird
der Benutzer beim Verbindungsaufbau zur Eingabe des Passworts
für das Zertifikat aufgefordert.
Suchreihenfolge für HL Security Units
In folgender Reihenfolge wird nach den HLSecurity Units gesucht. Falls die
Dateien nicht gefunden werden, wird jeweils im nächstgenannten Verzeichnis
gesucht.
1. Auf dem lokalen Rechner im <Java User Home> Verzeichnis.
Unter Windows ist <Java User Home> standardmäßig
"C:\Dokumente und Einstellungen\your_user_name",
unter Linux das Verzeichnis /home/your_user_name
2. Auf dem lokalen Rechner im Unterverzeichnis "hob_jportal" des
<Java User Home> Verzeichnisses.
3. Wird die HLSecurity Unit in keinem der oben genannten
Verzeichnisse gefunden, öffnet sich eine Dialogbox, in dem der
Benutzer ein Verzeichnis angeben kann. In diesem Verzeichnis
wird zukünftig immer zuerst gesucht, wenn sich keine HLSecurity
Units auf dem Web Server befinden.
Der Name dieses Verzeichnisses wird gespeichert in
der Datei
<Java User Home>/hob_jportal/userset.html und kann
dort editiert bzw. gelöscht werden.
14.4.2. Vorgehensweise bei Einstellung "Web Server"
Wenn alle Clients dieselbe HLSecurity Unit verwenden sollen, kopieren Sie
diese in folgendes Verzeichnis auf dem Web Server:
<installdir>\www\lib\sslpublic
Dieses Verzeichnis ist öffentlich und sollte daher nur öffentliche,
aber keine privaten Schlüssel enthalten.
SSL-Zertifikate werden über das Web heruntergeladen. Aufgrund
dieses Sicherheitsrisikos, empfehlen wir, den Download grundsätzlich nur über HTTPS auszuführen.
Wird die Passwortdatei hclient.pwd nicht kopiert, wird der Benutzer
beim Verbindungsaufbau automatisch zur Eingabe des Passworts für
das Zertifikat aufgefordert.
106
In folgender Reihenfolge wird nach den HLSecurity Units gesucht. Falls die
Dateien nicht gefunden werden, wird im nächstgenannten Verzeichnis
gesucht.
1. Auf dem Webserver in der URL:
<JTerm-URL>/www/lib/sslpublic
wobei <JTerm-URL> die URL ist, unter der der HOBLink JTerm/JWT erreichbar ist.
Beispiel:
Unter Windows XP ist <Java User Home>
standardmäßig "C:\Dokumente und
Einstellungen\your_user_name", unter Linux das
Verzeichnis /home/your_user_name
Unit auf dem Web Server befindet
der Datei
14.5. Client-Zertifikatdateien bei Installation als
Applikation
Dieser Abschnitt enthält Informationen über die Verwendung von ClientZertifikaten für SSL-Verbindungen, wenn die HOB EA Applikationen
(HOBLink JWT bzw. HOBLink J-Term) als Applikation ausgeführt wird.
Welches der nachfolgend beschriebenen Verfahren angewendet wird, hängt
davon ab, wie HOB EA Administration konfiguriert wurde. In EA
Administration können Sie die primäre Quelle für SSL-Zertifikate angeben
("lokale Festplatte" oder "Web Server"). Diese Einstellung befindet sich im
Menü "Extras > Startoptionen... > Registerkarte Optionen > Primär laden
von".
107
14.5.1. Einstellung "Lokale Festplatte"
Kopieren Sie auf dem Client-Rechner die HLSecurity Unit in das Java User
Home Verzeichnis.
Beispiel:
Unter Windows XP ist <Java User Home> standardmäßig
"C:\Dokumente und Einstellungen\your_user_name"
unter Linux das Verzeichnis
/home/your_user_name
In folgender Reihenfolge wird nach der HLSecurity Unit gesucht. Falls die
gesucht.
Beispiel:
standardmäßig
"C:\Dokumente und Einstellungen\your_user_name",
Unit auf dem Web Server befindet.
der Datei
14.5.2. Einstellung "Web Server"
Kopieren Sie auf dem Client-Rechner die Dateien der HL Security Unit in
folgendes Verzeichnis:
<install_dir>\www\lib\sslpublic
Suchreihenfolge für HL Security Units;
In folgender Reihenfolge wird nach der HL Security Unit gesucht. Falls die
gesucht.
108
1. Im www Verzeichnis der lokalen Installation:
<install_dir>/www/lib/sslpublic
wobei <install_dir> das Installationsverzeichnis von HOBLink JTerm/JWT ist.
Beispiel:
standardmäßig
"C:\Dokumente und Einstellungen\your_user_name"
4. Wird die HL Security Unit in keinem der oben genannten
wird zukünftig immer zuerst gesucht, wenn sich keine HL
Security Unit im sslpublic Verzeichnis befindet.
der Datei
109
Das folgende Flussdiagramm veranschaulicht die Reihenfolge, in der nach
einer HLSecurity Units gesucht wird:
Einstellung
„Primär laden von Web Server“
Nein
Ja
Zertifikatdateien werden gesucht in
<Jterm-URL>/www/lib/sslpublic
Zertifikatdateien
vorhanden?
Ja
Nein
<Java User Home>
Zertifikatdateien
vorhanden?
Ja
Nein
<Java User Home>/hob_jportal
Zertifikatdateien
vorhanden?
Ja
Nein
Dialogbox zum Suchen der Zertifikatdateien öffnet sich.
Zertifikatdateien werden geladen
Abb. 37: Flussdiagramm zur Suchreihenfolge der Zertifikatdateien
110
14.6. Verwendung externer Zertifikatspeicher
Wenn hclient.cfg für externe Zertifikatspeicher konfiguriert wurde, kann
HOBLink J-Term / JWT (Applet / Applikation) alternativ die Zertifikate verwenden, die von MS Internet Explorer zur Verfügung gestellt werden. Das
Kopieren der Datei hclient.cdb ist damit hinfällig.
Wenn die Client-Dateien der HLSecurity Unit auf dem Web
Server verfügbar sind, werden sie grundsätzlich von dort
heruntergeladen. Um lokale Client-Dateien zu verwenden,
müssen die Client-Dateien auf dem Web Server gelöscht
werden!
111
112
Sicherheits-Check für HOB RD VPN _________________________ HOB RemoteDesktop VPN
15. Sicherheits-Check für HOB RD VPN
Dieses Kapitel enthält Hinweise, wie Sie die Sicherheit Ihrer HOB RD VPN
Installation noch weiter verbessern können, um einen maximalen Schutz
gegen Angriffe zu gewährleisten.
Arbeiten Sie den Inhalt dieses Kapitels Punkt für Punkt ab, um alle sicherheitsrelevanten Anforderungen zu überprüfen und ggf. umzusetzen.
15.1. Server
Sichere Web Server sind die beste Voraussetzung für den Einsatz webbasierter Anwendungen wie HOB RD VPN. Eine geschützte Web Server-Konfiguration spielt eine entscheidende Rolle für die Sicherheit Ihres Netzwerks.
Schlecht konfigurierte virtuelle Verzeichnisse oder Flüchtigkeitsfehler leisten
unberechtigten Zugriffen ungehindert Vorschub. Eine vergessene Freigabe
kann eine willkommene Hintertür für Angreifer sein, wohingegen ein übersehener Port unmittelbaren Zugang ermöglicht. Vernachlässigte Benutzerkonten
ermöglichen Angreifern, ihre Sicherheitsvorkehrungen unbemerkt zu
umgehen.
Ein Teil der Herausforderung, Ihre Server sicher zu machen, ist zunächst das
Erkennen des eigentlichen Ziels. Sobald Sie wissen, was ein sicherer Server
ist, können Sie lernen, die Konfigurationseinstellungen entsprechend durchzuführen, um dies zu erreichen. Dieser Abschnitt hilft Ihnen, dieses Thema
systematisch und wiederholbar anzugehen, um eine sichere Konfiguration
erfolgreich zu realisieren. Setzen Sie dazu folgende Anforderungen Punkt für
Punkt um:
•
Benutzerrechte einschränken
Der Zugriff auf die Einstellungen des Rechners und dessen Verzeichnisse
muss Administratoren vorbehalten sein.
•
Bei Einsatz des HOB WSP Web Servers
Deaktivieren oder Beenden aller anderen, evtl. installierten Web Server.
•
Andere Remote-Zugriffe beenden oder deaktivieren, z.B. FTP
•
RD VPN-Verzeichnisse schützen
Folgende Unterverzeichnisse, die Konfigurationsdaten enthalten, müssen
vor unbefugtem Zugriff geschützt werden:
/portal.db
Konfigurationsdaten Enterprise Access-Datenbank
/sslsettings
SSL-Zertifikate (HLSecurity Units)
/sslpublic
SSL-Zertifikate (HLSecurity Units)
(bei optionaler Client-Authentifizierung)
/wsp
Konfigurationsdaten HOB WSP
/easerver
Konfigurationsdaten des EA-Servers
•
TCP/IP-Verbindungen sichern
- Firewall
- Ports
- SSL
113
Weitere Informationen finden Sie in den folgenden Abschnitten.
15.2. Firewall
Aufgabe einer Firewall ist u.a., nicht benötigte Ports zu blockieren und Datenverkehr nur über bekannte Ports zuzulassen. Hierzu muss sie in der Lage
sein, ankommende Anfragen zu überwachen, um den Web Server vor
bekannten Angriffsarten zu schützen. In Kombination mit der Fähigkeit,
Angreifer zu entdecken, ist die Firewall ein nützliches Tool, Angriffsversuche
zu erkennen und abzuwehren, und schlimmstenfalls zumindest die Quelle des
Angriffs auszumachen.
15.3. Ports
Dienste, die auf dem Server ausgeführt werden, verwenden spezielle Ports,
um ankommende Anfragen bedienen zu können. Schließen Sie alle nicht
benötigten Ports und überprüfen Sie regelmäßig, ob neue Ports im ListeningStatus entdeckt werden. Diese könnten auf einen unzulässigen Zugriff hindeuten und ein Sicherheitsrisiko darstellen.
Um festzustellen, welche Ports "hören", d.h. geöffnet werden, führen Sie an
der Eingabeaufforderung folgenden Befehl aus:
netstat –n –a
Als Folge dieses Befehls werden alle Ports mit zugehörigen Adressen und
aktuellen Status aufgeführt. Vergewissern Sie sich, dass Sie jeden Dienst
kennen, der an einem Port hört, und klären Sie, ob jeder dieser Dienste erforderlich ist.
Beschränken Sie bei diesem Vorgang die Anzahl Internet-seitiger Ports
(weitere Informationen siehe folgendes Kapitel) und verschlüsseln Sie Ihren
Datenverkehr oder schränken Sie ihn ein.
15.3.1. Internet-seitige Ports auf TCP 80 und 443
einschränken
Beschränken Sie den eingehenden Datenverkehr für HTTP auf Port 80, evtl.
auch für HOB WSP HTTP Redirector (siehe Kapitel 1.2.1.1, Seite 10), für
HTTPS (SSL) auf 443 (siehe 14.1 Verschlüsselung mit SSL / TLS, Seite 103).
Setzen Sie für ausgehende (Internet-seitige) NICs (Network Interface Cards)
TCP-Filter ein.
Übersicht Port-Zuordnungen für Intranet / Intranet
Internet
114
443
80
HTTPS
HTTP / HOB WSP HTTP Redirector
Intranet
3389
23
1812
389
636
13270
13282
Windows Terminal Server
Host (3270, 5250, VT etc.)
RADIUS Server
LDAP Server
LDAP Server (SSL)
HOB EA Server
HOB WSP Agent
115
15.4.
Logging
HOB RD VPN beinhaltet eine Überwachungsfunktion in Form eines
"Logbuchs", das z.B. fehlerhafte Anmeldungen aufzeichnet und bei
entsprechender Konfiguration den verantwortlichen Administrator
automatisch per E-Mail informiert.
Zum Öffnen und/oder Konfigurieren des Logbuchs öffnen Sie zunächst HOB
EA Administration (Vgl. Kapitel 4 Konfiguration von HOB WebSecureProxy auf
Seite 33.). Wählen Sie im Menü EA-Server > Logbuch betrachten....
116
Problembehandlung ______________________________________ HOB RemoteDesktop VPN
16. Problembehandlung
Dieser Abschnitt enthält wichtige Informationen für den Fehlerfall von WSP.
Die folgenden Hinweise helfen Ihnen, Probleme im Zusammenhang mit WSP
selbst zu lösen ohne den HOB Support in Anspruch nehmen zu müssen.
Um Ihnen Fehleranalyse und Problembehebung zu erleichtern, stehen
verschiedene Möglichkeiten zur Verfügung, die in folgenden Teilabschnitten
erläutert werden.
16.1. Ereignisanzeige
Die Ereignisanzeige ist ein Tool, das mit dem Windows Betriebssystem
mitgeliefert wird. Es zeigt Meldungen an, mit deren Hilfe Programme
überwacht und Probleme beseitigt werden können. Es lässt sich in der
Systemsteuerung des Windows-Betriebssystems unter Verwaltung öffnen.
Sie können Meldungen anzeigen, die WSP und (andere Programme)
betreffen, wenn Sie links im Fenster den Eintrag Anwendung wählen. Die
verfügbaren Meldungen werden rechts im Fenster angezeigt. Meldungen, die
von WSP erzeugt wurden, sind mit dem Eintrag "HOBWSP" in der Spalte
"Quelle" gekennzeichnet und daher leicht zu identifizieren.
16.1.1. Voraussetzungen
Die WSP-Logbuchfunktion muss aktiviert sein. Nach der Installation ist diese
Funktion standardmäßig aktiv.
D So aktivieren Sie das Logbuch
1. WSP-Konfigurationsprogramm öffnen.
2. Links im Fenster Vorlage Einstellungen wählen.
3. Rechts in der Registerkarte Weitere das Kontrollkästchen Protokollierung
aktivieren markieren.
16.2. Windows Dump
Mit einem Windows Dump können Sie das Speicherabbild einer entstandenen
Problemsituation erstellen und dieses ggf. automatisch als E-Mail an eine
dafür zuständige Person senden.
16.2.1. Voraussetzungen
Die Funktion Windows Dump muss aktiviert sein. Nach der Installation ist
diese Funktion standardmäßig aktiv.
D So aktivieren Sie den Windows Dump
117
Problembehandlung ______________________________________ HOB RemoteDesktop VPN
1. WSP-Konfigurationsprogramm öffnen.
2. Links im Fenster Vorlage Einstellungen wählen.
3. Rechts auf der Registerkarte Windows Dump Kontrollkästchen Windows
Dump aktiveren markieren.
4. Optional können Sie mit weiteren Optionen auf dieser Registerkarte eine
automatische E-Mail-Benachrichtigung auslösen.
16.3. Konsolenmeldungen
Für die Problemanalyse können Sie zusätzlich Meldungen der WSP-Konsole
heranziehen.
16.3.1. Anzeige von Konsolmeldungen
Falls Sie HOB WSP lokal konfigurieren, können Sie mit folgender
Vorgehensweise die Konsolmeldungen anzeigen:
1. Beenden Sie unter Systemsteuerung > Verwaltung > Dienste den Dienst
"HOB WebSecureProxy".
2. Führen Sie im Anwendungsverzeichnis .\rdvpn\wsp die Batch-Datei
runwsp.bat aus, um die Konsolenmeldungen anzuzeigen.
118
Informationen und Unterstützung ___________________________ HOB RemoteDesktop VPN
17. Informationen und Unterstützung
Wenn Sie weitere Informationen wünschen oder Unterstützung benötigen,
können Sie uns wie folgt erreichen:
Deutschland
Support
http://www.hob.de/support/hotline.jsp
E-Mail: [email protected]
Telefon: +49 9103 715-161
Fax: +49 9103 715-299
Home Page:
http://www.hob.de
119
Informationen und Unterstützung____________________________ HOB RemoteDesktop VPN
120
Anhang - HOB WSP XML Konfiguration ______________________ HOB RemoteDesktop VPN
18. Anhang - HOB WSP XML Konfiguration
The HOB WebSecureProxy can be configured not only via user unterface but
via an .xml file, as well. The xml configuration file can be edited with any text
editor or XML editor. Do not use a word processor; make sure to save the file
as “plain text”. It is assumed that persons configuring the HOB
WebSecureProxy in .xml have a basic knowledge of working with this
language.
This file has a hierarchical (tree) structure. Further details are provided by
publicly available .xml-literature.
Please note, the configuration of the HOB WebSecureProxy contains
sensitive security-relevant data, e.g., passwords, shared secrets for Radius,
etc.
18.1. <sslgate-configuration> Tag
This is the generic tag in the WSP’s configuration file and represents the root
of the configuration tree. This tag appears only once at the very beginning of
the configuration and is closed at the very end of the configuration with the
</sslgate-configuration> tag. All other parameters (sub-nodes) are
found in between these two tags.
•
Basic, sample WSP configuration file (parts in italic are optional):
<sslgate-configuration>
<general>…
…
</general>
<connection>
…
</connection>
<blade-control>
…
</blade-control>
</sslgate-configuration>
In the following you will find a description of the parameters and their
possible settings.
18.2. General
The general behavior of the gateway is defined in this tag, for example the
logging interval.
The <general> tag is allowed to appear only once. The <general> section
may contain the following parameters:
Parameter
Description
<prot-event-log>
This parameter states whether events and errors are to
be logged in the Windows Event Log.
This is an optional parameter.
121
Parameter
Description
Possible values: YES/NO
<prot-syslog-log>
This parameter states whether events and errors are to
be logged in the Linux Syslog.
<reloadconfiguration>
When set to YES (default = NO), this parameter allows
changes to be made to the configuration while the WSP
is running. The configuration is then reloaded without
having to stop and restart the WSP.
<max-poss-workthread>
Maximum possible number of work threads
Default value: 64
Range: 4 – 1024
<max-active-workthread>
Maximum number of active work threads
Default value: 8
Range: 4 – what was set in <max-poss-workthread>
<prio-work-thread>
Priority of the work threads.
Possible values: 1-5
Default value: 3.
<prio-process>
Priority of the process within Windows.
Possible values: 1-5
Default value: 3.
<report-intv>
Enables the output of statistical data on the use of
threads, memory, etc. The interval in seconds after
which the data is to be reissued must be entered here.
The data is output to the console and the event log.
Default value: No report
<wake-on-lan-relayineta>
Optional parameter for use with Wake-on-LAN function.
Set the IP address of the WOL relay here.
This parameter may be used multiple times.
<wake-on-lan-port>
Enter here either the port used for the Wake-on-LAN
function or for the WOL relay.
This parameter may be used multiple times in
conjunction with multiple entries for the parameter
<wake-on-lan-relay-ineta>.
Default: 65535
<time-cache-diskfile>
Enter here the period of time in seconds that a file is to
remain in the cache.
If a query regarding a previously cached webpage or
other file is received, and the time set here has not
elapsed yet, it will always be loaded from the disk
cache.
122
Parameter
Description
Default: 14400
<time-reload-diskfile>
If a query regarding a new webpage or other file is
received and the time set here (in seconds) has
elapsed, the system will check whether this file in the
cache has been changed after it has been loaded or last
checked. If it has, the system will then check whether
there is a new file to load. This parameter helps to spare
resources.
Default: 600
<disk-file-size-max>
Specifies the maximum size for any single file. This can
be either in KB’s, MB’s or GB’s.
Default: Off
<disk-file-storage>
Specifies the maximum size of the cache. This can be
either in KB’s, MB’s or GB’s.
Default: NO
<network-statisticlevel>
Report statistics about network usage. Possible values:
1-9. The higher the value, the more information will be
reported.
<clear-used-memory>
This parameter clears decrypted data from the memory
before releasing it to the operating system.
This parameter ensures that the memory contents are
protected from being viewed by unauthorized persons.
Default: NO
<event-server-name>
This parameter only applies to Windows operating
systems.
By default all messages generated by HOB
WebSecureProxy are stored in the Windows Event Log
of the machine, on which it is run. This optional
parameter allows you to specify the name of any
computer, on which the messages should be stored.
Accepted values are either the IP address or the DN.
If this parameter is not specified messages are written
to the event log of the local machine running HOB WSP.
<event-source-name>
This optional parameter allows you to define an event of
its own for HOB WSP in the Windows Event Log, which
stores the messages generated by HOB WSP. The
same name must also be defined in the Window
Registry, otherwise the messages cannot be written to
the defined event. To do this you must run
bcrtlog.exe, which is in the scope of delivery.
If this parameter is not specified the log is written to the
application protocol of the Windows Event Log as
usual.
<pid-file>
This parameter only applies to LINUX operating
systems.
This parameter specifies the name of the file, to which
the PID is written. PID stands for Process Identifier,
which can be used to terminate HOB WebSecureProxy
on Linux systems.
123
124
Parameter
Description
<listen-error>
This parameter only applies to LINUX operating
systems.
Once HOB WebSecureProxy is launched, it keeps
waiting for connections on the listening port. While in
listening state, you can determine what kind of action
will be performed, in case an error occurs.
Possible values:
WAIT / IGNORE / ABEND
WAIT:
HOB WebSecureProxy keeps attempting to open the
listening port over and over again.
IGNORE:
HOB WebSecureProxy ignores the error but will no
longer be in operation.
ABEND:
HOB WebSecureProxy will be aborted.
<listen-gateway>
This optional parameter only applies to UNIX operating
systems and currently does not support LINUX
operating systems.
Once HOB WebSecureProxy (NBIPGW08.EXE) is
launched, it keeps waiting for connections on the
listening port. To open a listening port, e.g. 443,
applications need to have root rights on UNIX operating
systems. Root rights are not generally desirable for all
applications, as they are a potential security risk. For
this reason HOBWebSecureProxy provides the Listen
Gateway (LGW) (NBIPGW12.EXE), an executable
instance of its own that communicates with HOB WSP
through a pipe. In contrary to HOB WSP equipped with
user rights only, this LGW is equipped with root rights.
Now, if HOB WSP wants to open a listening port it
sends its request to the LGW, which opens the
lisetening port and forwards the sockets of the incoming
connections to HOB WSP.
Possible values:
YES:
Enables the LGW.
NO (default):
Disables the LGW.
<usage-dn>
This optional parameter only applies for connections to
HTTPS servers. Every HTTPS server should have a
matching certificate.
Use this parameter to determine, if the HTTPS URL,
you want to connect to, will be compared with the DN of
the web server's certificate.
The following options can be specified:
NOTHING / CHECK-URL:
NOTHING:
Using this option HOB WSP will not check the HTTPS
URL.
CHECK-URL:
This option verifies, if the HTTPS URL matches the DN
of the web server's certificate. If it does not match, an
error message will occur and the connection fails.
18.2.1. Windows Core Dump
This is a sub-node of the <general> section, and can only be defined there.
This optional section is used to configure a windows core dump, which is an
invaluable tool for determining the cause of many software problems.
Parameter
Description
<windows-core-dump>
The parameters for the Windows core dump are
entered here.
<diskdirfd>
This is a sub-entry of the windows-core-dump
parameter. The disk directory for dumps is specified
here.
<ineta-mgw>
parameter. The IP address of the mail gateway is
specified here.
<email-rcpt>
parameter. The e-mail address of the recipient is
specified here.
<email-sender>
parameter. The e-mail address of the sender is
specified here.
<password>
parameter. If this sub-entry is set, the windows core
dump will be encrypted before being sent. You can
specify any password here that you want.
18.3. Connection
This tag defines the properties of one connection (where a “connection” is
defined by the listening TCP/IP port number) and the behavior of the WSP.
There may be one or several <connection> sections. The WebSecureProxy
has a one-to-one relationship between a connection with a client (halfsession), and a connection with a corresponding server (other half-session).
The design of the WebSecureProxy does not allow one half-session with a
client and multiple half-sessions with one or many servers
The section <connection> may contain all the necessary configuration data
for both half-sessions. But it is also possible that a half-session with a client
is described (and started), and the client wants to select one of many servers;
these servers would then be defined in a <server-list>. A <serverlist> contains one or many <server-entry>’s, each <server-entry>
describing a possible server to which the client can connect.
Thus, all parameters for a client half-session are described in
<connection>, parameters for the server half-session may either be
described in <connection> directly, or in <server-entry> in a <serverlist>, if there is to be more than one server to which the client should be
able to connect.
125
18.3.1. Client Half-Session Parameters
The following parameters are for the client half-session; with the exception of
<function>, which has to be specified for both the client and server halfsessions, these parameters can only be specified in <connection>.
126
Parameter
Description
<name>
This is a mandatory parameter. Enter here the name of
the connection.
<function>
The following functions/connection types can be
selected: DIRECT / RDP / ICA / WTSGATE /
BLADEGATE / PASS-THRU-TO-DESKTOP / SELECTSOCKS5-HTTP.
If nothing is specified, DIRECT is the default setting.
If you are making these settings in <server-list>
instead of <connection>, you cannot specify
SELECT-SOCKS5-HTTP; this <function> has to be
set when the client wants to select one of many servers
from <server-list>, and it can only be set in
<connection>.
<gateport>
Port of the gateway for incoming connections.
This is a mandatory parameter.
<backlog>
This is the backlog for the listen, i.e., the maximum
number of connection requests that can be placed in a
queue, when at the current time no connections can be
accepted.
Default value: 10
<gate-in-ineta>
IP address for input to gateway (only for use on multihomed systems, i.e., on systems having more than one
network adapter). This parameter is an option. If you
are using dynamic DNS, do not enter this parameter,
as then the TCP/IP stack will only receive incoming
connections at this <connection>, if they come over
the INETA which was active at the start of the
WebSecureProxy. If this parameter is set, when the
INETA changes, connection requests will be rejected,
as the definition requires.
<serverineta>
IP address of the server to which the connection is
being made.
This parameter may only be used if the <function>
DIRECT </function> is being used.
<serverport>
IP port of the server to which the connection is being
made.
This parameter may only be used if the function
DIRECT is being used.
<authenticationradius>
This optional parameter is used for RADIUS server
authentication. This parameter can have several subentries.
Parameter
Description
<radius-name>
This is a sub-entry of the <authenticationradius> parameter. This specifies the name of the
RADIUS server definition
<configurationdesktop>
This is a sub-entry of the <authenticationradius> parameter. This specifies the location of the
desktop definition.
Possible values:
attribute-vendor-specific-1
attribute-116
This parameter can only be used for the functions
PASS-THRU-TO-DESKTOP or SELECT-SOCKS5HTTP.
<send-certificate>
This is a sub-entry of the <authenticationradius> parameter. It specifies whether and how to
send the client certificate.
If this parameter is set, it must have the value:
attribute-vendor-specific-hob-1
<select-server>
This parameter is only necessary if you have a
configured a section <server-list>. It contains only
the sub-entry <server-list-name> (see below).
<server-list-name>
This is the sub-entry of the parameter <selectserver>.The name of the server list to be used for the
<connection> in which <select-server> is a subentry is specified here. Please see <server-list>,
below, for more information.
<user-list>
Specify here the list of user groups for authentication.
See the <user group> tag, how to configure user
groups.
<language>
Specify here the language of the authentication dialog.
Currently supported languages:
de, en, es, fr, it, nl
<max-session>
Maximum number of connections that the WSP may
concurrently open for this connection configuration.
Default value: 256
<SSL-config-file>
Path and name of the SSL configuration file.
<SSL-certdb-file>
Path and name of the SSL certificate file.
<SSL-password-file>
Path and name of the SSL password file.
127
18.3.2. Server Half-Session Parameters
The following parameters are for the server half-session; these parameters
can be specified in either the section <connection> or <server-list>.
128
Parameter
Description
<function>
The following functions/connection types can be
selected: DIRECT / RDP / ICA / WTSGATE /
BLADEGATE / PASS-THRU-TO-DESKTOP / SELECTSOCKS5-HTTP.
If nothing is specified, DIRECT is the default setting.
If you are making these settings in <server-list>
instead of <connection>, you cannot specify
SELECT-SOCKS5-HTTP. If the client is using
<server-list>, i.e., wants to be able to select a
server to connect to instead of always connecting to
one and the same server, the function SELECTSOCKS5-HTTP is the only <function> that can be
set in <connection>
<protocol>
This parameter is only needed here when the “Select
Gate” function (SELECT-SOCKS5-HTTP) has been
set.
<serverineta>
IP address of the host to which the connection is to be
made. This parameter may only be used if the function
<serverport>
made.
<gate-out-ineta>
IP address of the network board for outgoing
connections (only for use on multi-homed systems, i.e.,
on systems having more than one network board).
This parameter is optional.
<wts-server-list>
This parameter can contain several sub-entries, which
in turn contain the URL (IP address and port of the
HOB basic module for HOB Enhanced Terminal
Services).
WTSGATE is being used.
<wts-server-url>
This parameter is a sub-entry of <wts-serverlist>.
Example:
<wts-server-url> 123.123.123.123:4095 </wtsserver-url> (4095 is the default port of the ETS
basic module, you should set the actual port here, if it is
different.)
<wts-br-port>
Port for the broadcast of the Load Balancing function
(HOB basic module for HOB Enhanced Terminal
Parameter
Description
Services)
Default: 4095
<wts-check-name>
Checks whether the user names from JWT and SSL
match.
This parameter may only be used if WTSGATE is being
used as <function> and authentication is being
used, i.e., <authentication-library>,
<authentication-radius> or <user-list>.
This is an optional parameter
<blade-server-list>
This parameter may only be used if BLADEGATE is
being used as <function>.
This parameter can contain several sub-entries, which
in turn contain the URL (IP address and port of the
Blade Balancer of the individual blades for the Load
Balancing function).
<blade-server-url>
This parameter is a sub-entry of <blade-serverlist>. Enter here the URL of the blade server
Example:
<blade-server-url> 123.123.123.123:4095
</blade-server-url>
<blade-br-port>
Port for the broadcast of the Load Balancing function
(HOB Blade Balancer)
This parameter may only be used, if BLADEGATE is
being used as <function>.
Default value: 4095 (4095 is the default port of the
Blade Balancer, you should set the actual port here, if it
is different.)
<blade-check-name>
Checks whether the user names from JWT and SSL
match.
This is an optional parameter and may only be used if
BLADEGATE is being used as <function> and
authentication is being used, i.e., <authenticationlibrary>, <authentication-radius> or <userlist>.
<hcproxauth>
Optional parameter, when communication is taking
place over HOBCOM (HOB dialog and communication
system for mainframes). The client is then
authenticated on the HOBCOM system by sending the
IP address and the Distinguished Name from the
certificate for the SSL connection to HOBCOM.
This is an optional parameter
129
Parameter
Description
Default-Wet: NO
<server-data-hook>
This is a sub-entry of either <connection> or
<server-list>, depending on where you are making
the server half-session settings. It is used to load a
server-data-hook.
<library-file-name>
This is a sub-section of <server-data-hook>. Enter
here the name of the DLL to be loaded.
<configurationsection>
This is a sub-section of <server-data-hook>. This
parameter contains configuration information for the
server-data-hook of which it is a sub-section.
<timeout>
The <timeout> parameter specifies the time period
(in seconds) after which an established connection will
be closed automatically, if no data is received from the
communication partner. Thus you can prevent that
unused connections occupy system resources.
This parameter can be specified in both the sections
<connection> and <server-list> for both halfsessions.
Please note: We recommend a value between one
hour (3600) and one day (86400). If the value 0 is set
(not recommended!), no monitoring will take place. If
this parameter is entered once for each half-session,
and different values are specified in the two entries, the
lower of the two will be used.
Default value: 600
18.3.3. Server-List
As stated above, the section <connection> may contain all the necessary
configuration data for both half-sessions. If, however, the client wants to
select one of many servers to connect to, these servers would then be
defined in a section named <server-list>. A <server-list> section
contains one or many <server-entry>’s; each <server-entry> contains
the parameters describing a server to which the client can connect. Below
you will find a sample configuration of a section <server-list>, following
that is a table explaining the parameters made for this section.
<server-list>
<name>SERVERLIST1</name>
<server-entry>
<name>WTS</name>
<function>DIRECT</function>
<protocol>RDP</protocol>
<serverineta>wts.mycompany.com</serverineta>
<serverport>3389</serverport>
<timeout>900</timeout>
</server-entry>
130
</server-list>
Parameter
Description
<server-list>
This section is used only if the client wants to be able to
select one of several servers for the connection. The
following parameters are defined in it.
<name>
This parameter contains the name of the server list to
be used for this section. There can be one or several
server lists in a WSP configuration.
<server-entry>
This parameter, a sub-parameter of <server-list>,
contains the parameters describing a server to which
the client can connect. This parameter also contains a
sub-parameter <name>, which describes the name of
the server to be used for this entry.
<protocol>
This parameter defines the protocol to be used when
communicating with this server. Possible protocols are:
RDP, 3270, 5250, HP700, SM9750, SM97801, VT,
HOBEA, HOBY
<serverineta>
IP address of the server to which the connection is
being made.
This parameter may only be used if the <function>
DIRECT </function> is being used.
<serverport>
made.
<timeout>
The <timeout> parameter specifies the time period
(in seconds) after which an established connection will
be closed automatically, if no data is received from the
communication partner. Thus you can prevent that
unused connections occupy system resources.
This parameter can be specified in both the sections
<connection> and <server-list> for both halfsessions.
Please note: We recommend a value between one
hour (3600) and one day (86400). If the value 0 is set
(not recommended!), no monitoring will take place. If
this parameter is entered once for each half-session,
and different values are specified in the two entries, the
lower of the two will be used.
Default value: 600
131
18.3.3.1.
Web Server Plugin
The following section describes the parameters of the WSP Web Server
configuration:
<server-list>
<server-entry>
<name>Integrated Web Server</name>
<protocol>HTTP</protocol>
<server-data-hook>
<library-file-name>
C:\EA\wsp\plugins\web_server\wsp_webserv.dll
</library-file-name>
<configuration-section>
<root-dir>C:\EA\www</root-dir>
<http.hostname>wts.mycompany.com</http.hostname>
<site-after-auth>
</hob_login/welcome.html
</site-after-auth>
<dll-path>C:\EA\wsp\plugins\web-server</dll-path>
<settings>0</settings>
<virtual-dir>
<alias>/inetpub1</alias>
<path>
C:\Documents and Settings\username\My Documents
</path>
</virtual-dir>
</configuration-section>
</server-data-hook>
</server-entry>
132
Parameter
Description
<server-entry>
<protocol>
communicating with this Web Server, which is HTTP
<server-data-hook>
This is a sub-entry of <server-list>. It is used to
load a server-data-hook.
<library-file-name>
here the full path and name of the DLL to be loaded.
The library file for the WSP Web Server must be placed
in the following directory:
<installdir>\wsp\plugins\web_server\wsp_w
ebserv.dll
<root-dir>
This parameter specifies the root directory of the WSP
Web Server. After a default installation it specifies the
Parameter
Description
installation directory, extended by the sub-directory
\WWW. But the path can be modified as desired. All
sub-directories of this path will be accessible through
the Internet.
<http-hostname>
This parameter specifies the DNS name of the WSP
Web Server.
<site-after-auth>
This parameter specifies the name of the HTML page
users will be redirected to after successful logon to the
WSP Web Server.
<dll-path>
The full path of the DLL.
<settings>
This parameter enables/disables the Web Server Gate.
0
Web Server Gate enabled
1
Web-Server Gate disabled
<virtual-dir>
This optional parameter allows defining additional
directories that will be accessible through the Internet
apart from the one specified by the parameter <rootdir>. You can use one or several entries of this
section for as many directories as you like.
<alias>
This optional parameter, a sub-parameter of
<virtual-dir>, contains the alias name for a
directory that can be specified by the parameter
<path>.
<path>
This optional parameter, a sub-parameter of
<virtual-dir>, contains the path of a directory.
133
18.3.3.2.
Socks Server Plugin
The following section describes the parameters of the WSP Socks Server
configuration:
<server-list>
<server-entry>
<name>Socks Server</name>
<protocol>SOCKS</protocol>
<server-data-hook>
<library-file-name>
C:\EA\wsp\plugins\socks5\sdh_socks5.dll
</server-data-hook>
</server-entry>
134
Parameter
Description
<server-entry>
<protocol>
communicating with this Socks Server, which is
SOCKS
<server-data-hook>
This is a sub-entry of <server-list>. It is used to
load a server-data-hook.
<library-file-name>
here the full path and name of the DLL to be loaded.
The library file for the WSP Socks Server must be
placed in the following directory:
<installdir>\wsp\plugins\socks5\sdh_socks
5.dll
<dll-path>
The full path of the DLL.
<settings>
Reserved for internal use.
18.3.3.3.
WebSecureProxy Authentication Library
The following section describes the parameters of the WSP authentication
library
<authentication-library>
<library-file-name>
C:\EA\wsp\plugins\wspauth\sdh-auth.dll
</authentication-library>
Parameter
Description
<library-file-name>
The full path and name of the authentication library.
<settings>
Reserved for internal use.
135
18.4. Blade Control
Below is a sample configuration of the section <blade-control>. This
section is only necessary if a function BLADEGATE has been set. Following
this sample configuration is a table with an explanation of all the possible
parameters for this section.
<blade-control>
<sign-on-time>120</sign-on-time>
<trimming-in-ineta>123.123.123.123</trimming-in-ineta>
<trimming-in-port>4200</trimming-in-port>
<trimming-twin-list>
<trimming-twin-url>
123.123.123.123:4201
</trimming-twin-url>
<trimming-twin-url>
123.123.123.123:4202
</trimming-twin-url>
</trimming-twin-list>
</blade-control>
136
Parameter
Description
<sign-on-time>
Time limit in seconds that is available for the user for
logging on to a blade server. During this time period,
the IP address of the addressed blade is reserved for
this user. This reservation prevents any other user from
logging on to this blade during this time. After the time
limit has expired the reservation is cancelled and the IP
address is available for all users.
Default value: 120
<trimming-in-ineta>
The IP address of a specific network adapter, from
which connections from other WSP's are accepted.
This parameter is especially useful for multi-homed
systems, i.e., systems with several network adapters.
<trimming-in-port>
Port over which this WSP receives messages about
reserved blades.
<trimming-twin-list>
List of the other WSP('s) (one or more), that are
participating in Twin-Trimming.
<trimming-twin-url>
IP address and port of the WSP.
Example:
<trimming-twinurl>xp55.firma.com:2222</trimming-twinurl>
18.5. User-Group
For authentication, there can also be user groups. Each user group is
contained in a section <user-group>. Below is a sample configuration of
the section <user-group>. Following this sample configuration is a table
with an explanation of all the possible parameters for this section.
<user-group>
<name>group1</name>
<select-server>
<server-list-name>SERVERLIST1</server-list-name>
</select-server>
<user>
<name>user1</name>
<password>password</password>
<desktop-ineta>user.mycompany.com</desktop-ineta>
<desktop-port>3389</desktop-port>
<gate-out-ineta>adapter2.mycompany.com</gate-out-ineta>
<wait-connect>50</wait-connect>
</user>
A user group can contain the following parameters:
Parameter
Description
<user>
This parameter contains the sub-entries that define the
particular user.
<name>
Distinguished name of the user. This name must match
the one the user enters as User-ID, otherwise no
connection will be established.
<password>
The password that the user enters during logon.
For authentication via the parameters
<authentication-library> or
<authentication-radius>, this parameter is not
required.
<privileges-mask>
This parameter allows you to reserve rights to selected
users or user groups.
Possible values:
hex values (maximum length 32 bit)
Currently this parameter has been defined, but is not in
use yet.
<desktop-ineta>
The IP address of the Windows computer that is
assigned to the user.
<desktop-port>
The port of the Windows computer that is assigned to
the user. The default setting is 3389.
<gate-out-ineta>
IP address of the network board for outgoing
connections (only for use on multi-homed systems, i.e.,
on systems that have several network boards). This
parameter is optional.
<mac-address>
MAC address of the Windows computer.
137
Parameter
Description
This is an optional parameter, but it has to be stated if
the Wake-On-LAN function is to be used.
<wait-connect>
The maximum time that the WSP will wait for a
response from the desktop computer. When this time
limit is exceeded, a message will be issued to the user.
<name>
Distinguished name of the user group.
<select-server>
This parameter is only necessary if you have a
configured a section <server-list>. It contains only
the sub-entry <server-list-name> (See below).
<server-list-name>
This is the sub-entry of the parameter <selectserver>.The name of the server list to be used for the
<connection> in which <select-server> is a subentry is specified here. Please see <server-list>,
below, for more information.
18.6. RADIUS
For RADIUS authentication, the radius server definitions are in the sections
<radius-server>. Below is a sample configuration of the section
<radius-server>. Following this sample configuration is a table with an
explanation of all the possible parameters for this section.
<radius-server>
<name>RADIUS1</name>
<gate-ineta>adapter2.mycompany.com</gate-ineta>
<radius-ineta>RADIUS.mycompany.com</radius-ineta>
<radius-port>1812</radius-port>
<shared-secret>shared_secret</shared-secret>
</radius-server>
These sections contain the following parameters:
138
Parameter
Description
<name>
Distinguished name of the configuration for the Radius
server.
<gate-ineta>
This is an optional parameter for use with multi-homed
systems
<radius-ineta>
IP address of the Radius server.
<radius-port>
IP port of the Radius server.
<timeout>
The maximum time that a WSP will wait for a response
from a Radius server. When this time limit is exceeded, a
message will be issued to the user.
<shared-secret>
Shared secret, which is used to encrypt the packets being
sent to this Radius server. This has to agree with the
shared secret on the Radius server.
18.7. OCSP-URL
The WebSecureProxy supports OCSP (Online Certificate Status Protocol) as
an option. If OCSP is used, the parameters are defined in <OCSPsection>.Below is a sample configuration of the section <OCSP-section>.
Following this sample configuration is a table with an explanation of all the
possible parameters for this section.
<OCSP-section>
<OCSP-responder>
<OCSP-URL>http://ocsp.mycompany.com:81/ocsp</OCSP-URL>
<gate-ineta>adapter2.mycompany.com</gate-ineta>
<OCSP-ineta>ocsp.mycompany.com</OCSP-ineta>
<OCSP-port>23</OCSP-port>
<wait-retry>300</wait-retry>
</OCSP-responder>
</OCSP-section>
Parameter
Description
<ocsp-responder>
The parameter containing the URL of the machine
functioning as OCSP responder is a sub-entry of this
parameter.
<OCSP-URL>
URL of OCSP-responder
<gate-ineta>
optional, for multi-homed
<OCSP-ineta>
overwrite INETA of OCSP-responder
<OCSP-port>
overwrite port of OCSP-responder
<timeout>
timeout for TCP receive operations
<wait-retry>
time in seconds when a male-functioning OCSPresponder is used again
18.8. Client-Side SSL
When the WSP is used as a gateway to a web server, HTTPS may be used,
and client side SSL is needed. This is configured in the section <clientside-SSL> with the parameters described in the table below. These
parameters can only be set when the function SELECT-SOCKS5-HTTP is
being used. Below is a sample configuration of the section <client-sideSSL>.
139
<client-side-SSL>
<SSL-config-file>
C:\installdir\sslsettings\hclient.cfg
</SSL-config-file>
<SSL-certdb-file>
C:\installdir\sslsettings\hclient.cdb
</SSL-certdb-file>
<SSL-password-file>
C:\installdir\sslsettings\hclient.pwd
</SSL-password-file>
</client-side-SSL>
Parameter
Description
<SSL-config-file>
This parameter, a sub-entry of the section <clientside-SSL>, contains the name of the SSL
configuration file.
<SSL-certdb-file>
Enter here the name of SSL certificate database file.
<SSL-password-file>
Enter here the name of SSL password file (password
encryption)
<usage-DN>
This is an optional parameter. You can enter CHECKURL, if you want to check a certificate’s distinguished
name.
18.9. Target-Filter
To restrict the number of target servers available to users you can define
target filters in the section <target-filter>. The defined target filters can
be used both for User Groups and Socks Servers. Below is a sample
configuration of this section. Following this sample configuration is a table
with an explanation of all the possible parameters for this section.
<target-filter>
<name>TARGETFILTER</name>
<allow>
<DNS-name></DNS-name>
<ineta>172.2.0.0/16</ineta>
<port>80</port>
<port>443</port>
</allow>
</target-filter>
140
Parameter
Description
<name>
This parameter, a sub-entry of the section <targetfilter>, contains the name of the target filter.
<allow>
This parameter, a sub-entry of the parameter
<target-filter> specifies a target that will be
accessible to users.
Parameter
Description
<deny>
This parameter, a sub-entry of the parameter
<target-filter> specifies a target that will not be
accessible to users.
<DNS-name>
This parameter, a sub-entry either of the parameter
<allow> or <deny>, specifies the DN of the target
server.
If this parameter is specified, the parameter <ineta>
should not be used.
<ineta>
This parameter, a sub-entry either of the parameter
<allow> or <deny>, specifies the IP address range of
the target server(s) and a CIDR (Classless Inter
Domain Routing) net mask appended by a slash. This
mask serves as a filter and allows you to ignore certain
address ranges in the notation for the target server
selection.
If this parameter is specified, the parameter <DNSname> should not be used.
The given sample will ignore the last 16 bytes of the IP
address. i.e. all IP addresses starting with
172.22.*.* will be allowed to connect.
<port>
Enter here the port(s) used to connect to the target
server(s).
This parameter may be used multiple times.
The given sample ports include insecure HTTP ports,
such as 80 and secure SSL ports, such as 443.
141
142
Index__________________________________________________ HOB RemoteDesktop VPN
19. Index
A
Authentifizierung
Definition · 29
EA-Server · 30
LDAP · 30
MS Active Directory · 84
RADIUS Server · 30
Token · 29, 30, 81
B
Benutzer · siehe HOB EA Administration
F
Firewall · siehe HOB RD VPN
Firewall · siehe HOB Desktop-on-Demand
Firm · siehe HOB EA Administration
G
Gruppe · siehe HOB EA Administration
H
Benutzereinstellungen
Vererbung · 23
hclient.* · siehe SSL/Zertifikate
Benutzerverwaltung
HOB Enterprise Access · 23
LDAP · 28
hclient.cfg · siehe SSL/Zertifikate
hclient.cdb · siehe SSL/Zertifikate
Blade Balancer · siehe HOB Blade Balancer
hclient.pwd · siehe SSL/Zertifikate, siehe
SSL/Zertifikate
Blade-PC · 94
HLSecurity Unit · 102
HOB Blade Balancer · 94
C
Citrix · 63
Client-Systemvoraussetzungen · siehe
Installation
Container · siehe HOB EA Administration
D
HOB Desktop-on-Demand · 9, 35
Firewall · 88
IP-Adresse · 91
MAC-Adresse · 89
Port · 91
Remote Desktop · 88
Wake-on-LAN · 88
Wake-on-LAN Relay · 90
HOB Desktop-on-Demand · 87
Desktop-on-Demand · siehe HOB Desktop-onDemand
HOB EA Administration
Datenbankelemente
Benutzer · 26
Container · 25
Firm · 25
Gruppe · 26
Objekt · 25
Konfigurationsprogramm · 24
starten · 101
Dienst
EA-Server · 28, 31
HOB Enterprise Access · siehe
Benutzerverwaltung
DMZ · 9, 87
HOB RD VPN
deinstallieren · siehe deinstallieren
installieren · siehe installieren
Sicherheits-Check · 111
Firewall · 112
Logging · 114
Ports · 112
Server · 111
SSL-Sicherheit · 101
Datenbankelemente · siehe HOB EA
Administration
Deinstallation · 20
deinstallieren
HOB RD VPN · 20
E
EA Administration · 24
EA-Server · 27
beenden · 28
Dienst · 28, 31
starten · 28
EA-Server (Verbindungsmodell) · siehe
Verbindungsmodelle
HOB RD VPN-Startseite wählen · 26
HOB VDI · 9, 35
HOB WebSecureProxy · siehe WSP
HOB WSP Web-Server-Gate
143
Index __________________________________________________ HOB RemoteDesktop VPN
Intranet-Hyperlinks · 61
hserver.* · siehe SSL/Zertifikate
I
Installation · 11
Sicherung · 20
Systemvoraussetzungen
Client-System · 11
installieren
HOB RD VPN · 12
Intranet-Hyperlinks · 61
IP-Adresse für Wake-on-LAN · siehe HOB
Desktop-on-Demand
K
Konfigurationsprogramm
HOB EA Administration · siehe HOB EA
Administration
WSP · siehe WSP
Konsolenmeldungen · siehe
Problembehandlung
L
LDAP · 28
Benutzerverwaltung · siehe
Benutzerverwaltung
Lese- und Schreibrechte · 28
mit MS Active Directory · siehe
Authentifzierung
Lese- und Schreibrechte · siehe LDAP
Logging · siehe HOB RD VPN
M
MAC-Adresse · siehe HOB Desktop-on-Demand
R
RADIUS Server · siehe Authentifizierung
RDP · siehe Remote Desktop Protocol
Remote Desktop · siehe HOB Desktop-onDemand
Remote Desktop Protocol · 10, 93
S
Server · siehe HOB RD VPN
Server Data Hook · 35, 95
Sicherheits-Check · siehe HOB RD VPN
Sicherung
Installation · siehe Installation
Konfigurationsdaten · siehe Installation
Single SignOn · 30, 75
SSL
Zertifikate · 101, 102
Client
hclient.* · 104, 106
hclient.cdb · 109
hclient.cfg · 109
hclient.pwd · 104
Server
hserver.* · 102
SSL-Sicherheit · siehe HOB RD VPN
starten
Startoptionen-Manager · siehe StartoptionenManager
Startoptionen-Manager · 29
starten · 29
Systemvoraussetzungen · 11
T
Token · siehe Authentifizierung
MS Active Directory · siehe Authentifzierung
O
Objekt · siehe HOB EA Administration
P
Passwort ändern · 72, 74
Port für Wake-on-LAN · siehe HOB Desktop-onDemand
Ports · siehe HOB RD VPN
V
VDI · siehe HOB VDI
Verbindungsmodelle
EA-Server (Standard) · 23
WebProfil · 80
Vererbung
Benutzereinstellungen · 23
Vorlagen · 23
Vorlage
Vererbung · 23
PPP · 47
PPP-Tunnel · 47
Problembehandlung · 115
Konsolenmeldungen · 116
Windows Dump · 115
144
W
Wake-on-LAN · siehe HOB Desktop-onDemand
Wake-on-LAN Relay · siehe HOB Desktop-onDemand
Index__________________________________________________ HOB RemoteDesktop VPN
Web File Access · 55
Web Server Gate · 59
WebProfil · siehe Verbindungsarten
WebSecureProxy · 33
Windows Dump · siehe Problembehandlung
Windows-Dienst
EA-Server · 28, 31
WSP
beenden · 31, 32
Konfigurationsprogramm · 31
starten · 31, 32
Z
Zertifikate · siehe SSL/Zertifikate
145
Index __________________________________________________ HOB RemoteDesktop VPN
146

HOB Remote Desktop VPN

Transcription

Similar documents

HOB RD VPN 2.1 Administration Guide

TCP, Ports und Anwendungsprotokolle

HOBLink JWT-Benutzerhandbuch

pending list - Rajiv Gandhi University of Health Sciences

Broschüre HOBLink VPN Anywhere Client PDF

GV-Video Server