Shunze 學園 - 《分享》SSL VPN (一) Virtual Site與Role的建立

Shunze 學園 >資訊設備專區 >Array > 《分享》SSL VPN (一) Virtual Site與Role的建立

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》SSL VPN (一) Virtual Site與Role的建立

Array的SSL VPN架構如下。

在使用者透過標準的SSL加密協定連入Array AG appliance時，
可依照使用者的不同，給予不同的資源。

這些可分配資源包括，網站連結、VPN Tunnel、遠端桌面存取與遠端桌面應用程式等。
在資源的分配上就像積木一像，可依照群組或個人各自不同的需求來組合建立，
而所謂的Web Portal就是提供這些資源組合的一個入口。

在Array AG上提供了256個各自獨立的虛擬平台來進行佈署Web Portal。

為什麼要選擇Array的AG做為SSl VPN的佈署呢？

專利Speed Core技術，不需ASIC晶片，速度快。
支援多層、多種驗證，包含localDB、AD、LDAP、RADIUS、憑證等多種主流的驗證方式；支援了市面上90%以上的驗證方式。
虛擬化技術(Web Portal)，各自獨立的環境，方便管理。
同一個登入帳號，不同時間，不同的地點與驗證方法可以對應到不同role，而有著不同的使用資源，設定彈性又安全。
不同role，可設定不同路由導向，透過不同的Gateway頻寬外出。

在瞭解了Array AG的架構與特性後，佈署AG時可由以下幾個重點來進行。

建立Virtual Site，這是所有資源積本堆疊的起點。
設定Authentication，Authorization與Accounting，即AAA。
設定角色role與policy。
分配資源。

AG在第一次登入使用上，與 APV 相同。
透過console線連入，設定好WebUI IP與port並啟用後，就可以透過Web來登入。
登入AG後的第一畫面 Home 顯示資訊如下。

授權啟用後，我們就可以逐一來建置SSL VPN了～

之後做任何變更，都跟APV一樣要記得儲存，這樣所有的變更才不會隨著重開機而消失！

建立Virtual Site
建置AG的第一步是建立一個Virtual Site。
有了Virtual Site後，AAA與資源的分配才能一步一步的依需求來堆疊在此虛擬平台之上。

在VIRTUAL SITES / Virtual Sites / Virtusl Sites頁籤中我們透過 ADD 來建立第一個Virtual Site。

於Virtual Site中填好站台資訊及對應的SSL憑證資訊後，按下 SAVE 即可新增此Virtual Site。

Virtual Site建立完成，出現在清單之中。

在建立Virtual Site時，會發現它共有4種類型。

最基本的是exclusive，而shared/alias是成對使用的類型，MotionPro則是建立給Pad/Phone等行動裝置的虛擬平台。

建立好第一個Virtual Site後，我們已經可以用設定的IP，透過https來打開網頁Web Portal。

不過因為我們還未建立此Virtual Site的AAA，所以會出現如上“未指定伺服器方法”的訊息。
這是我們第二步驟即將進行的建置工作。

要切換到Virtual Site來進行AAA及資源配置，我們要透過左上方的下拉式選單來進行。

切換到新建的Virtual Site後，我們可以看到此平台的相關資訊。
之後的AAA及資源配置也都是在此平台下來進行。

在建置Virtual Site時，站台的IP配置會在操作環境中分配並立即生效。

因此在規劃Virtual Site的IP時，請不要跟其它Virtual Site或現實環境中的IP相衝突！
若環境中IP數量不足的話，也可以用IP加上port來變化使用。

AAA
由於AG的每個Virtual Site都是獨立的，因此每個Site的AAA與資源分配等，自然都是在個別的Site中來進行。
切換到Virtual Site管理頁面後，
在SITE CONFIGURATION / AAA / Server頁籤中我們可以建立AAA的伺服器資訊。

我們也可以看到AG共支援了LDAP(AD)，RADIUS，Client憑證，LocalDB，SMS與SMX等類型的驗證方式。

我們以AG本身的驗證LocalDB為例，示範如何用LocalDB來做Authentication與Authorization。

勾選 Enable LocalDB Server 後按下儲存，即可啟用本機驗證～

然後到Method頁籤裏，新增一個AAA方法。

指定這個Virtual Site的驗證與授權方法為LocalDB。

在我們啟用本機的LocalDB驗證後，AG會為此Virtual Site建立一個與Virtual Site名稱相同的資料庫。
以本例為例，此資料庫名稱即為 vSite_1。
在Authentication與Authorization中看到的名稱 vSite_1 即為此LocalDB的名稱。

當然若我們有需要，也可以加入LDAP(AD)、RADIUS等驗證方式來配合。

設定完成後，Method清單中會出現這一筆。

設定Role
Virtual Site中設定好了AAA之後，接著我們來設定Role。
在USER POLICIES / Role / Role頁籤中，輸入Role Name與描述後，按下 Add a Role 來新增一個角色。

然後在Role Qualification頁籤中按下 ADD 來新增一個 Qualification。

於Qualification中選擇Role並設定條件。
在這邊我們設定條件為經過LocalDB的授權(Auth Method IS LocalDB)後的Role為剛才建立的Role_Default。
按下 Select 按鈕來選擇驗證來源Method。

接著會出現所有可用的 Method 以供設定，由我們在 Method 中只設定了一個LocalDB的AAA，所以這邊只有一筆方法可供選擇。

選擇要使用的方法後，按下 OK。

Content出現了我們要的LocalDB後，按下 Add 按鈕，把它加入。

Qualification的欄位皆已填妥，按下 Save 進行儲存。

這一整個的設定意思是“經過LocalDB授權後的使用者，其Role為Role_Default，可使用配置Role_Default的資源”。

儲存後Qualification清單中會出現這一筆。

到這邊再透設定的IP來打開VPN網頁時，我們會發現登入頁面Web Portal已經出現帳號/密碼可供登入了。

但是我們在LocalDB還沒有建立任何帳號，所以目前是無法登入的。

要在本機的LocalDB建帳號，我們要到LOCAL DATABASE中的Local Accounts來進行，
按下 Add 來新建一個LocalDB的帳號。

輸入您欲建立的帳號/密碼後，按下 Save 建立帳號。

儲存後，我們就可以在清單中看到剛才建立的帳號。

回到VPN登入網頁Web Portal，輸入帳號/密碼。

我們會發現帳號現在已經可以提供登入了～

雖然登入後的角色是Role_Default，但因為還沒有配置Role_Default的任何資源，
所以出現的頁面是空白的，看不到任何資源，
不過之後資源建立後，記得要按上瀏覽器上方的Java執行授權，
授權給Java後，配置的資源才能正常使用喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-07-27, 19:33

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

透過LDAP讓Active Directory使用者做為帳密來源

在AG中若欲透過既有之Active Directory做為帳號/密碼來源，
讓AD上的使用者能夠登入AG，我們可以透過LDAP來達成。

在SITE CONFIGURATION / AAA / Server / LDAP頁籤中，
我們可以建立要使用的LDAP資源。

建立好LDAP Server名稱後，在該筆資料連點兩下，可進入編輯詳細設定。

在LDAP的詳細設定中，Search Filter要打 sAMAccountName=<USER>，
Group Attribute要打 memberOf，然後按下APPLY CHANGES。
注意，這些字串有大小寫的差別！

然後再按下Add LDAP Server按鈕，來新增AD主機的相關資訊。

AD主機相關資訊輸入完成後，按下Save儲存。

這樣AD的LDAP組態就設定好了。

然後在SITE CONFIGURATION / AAA / Method中，我們要建立透過LDAP驗證及授權的方法。

將Authentication及Authorization均指向剛才建立的LDAP。

LDAP建立完成後，再來分配可使用此虛擬平台的角色給LDAP。
在USER POLICIES / Role中，新建一個角色。

然後在USER POLICIES / Role Qualification中，建立此角色對應的驗證方法。

驗證方法當然是指向我們剛才建立的LDAP驗證方法囉～

按下Add按鈕，把LDAP驗證方法加入。

設定完成後，按下Save儲存。

以既有之AD做為帳號/密碼來源，
讓AD上的使用者能夠登入AG的設定到這邊就完成囉～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-09-17, 18:26