Shunze 學園 - 《分享》SSL VPN (五) 行動平台的後繼方案MotionPro

Shunze 學園 >資訊設備專區 >Array > 《分享》SSL VPN (五) 行動平台的後繼方案MotionPro

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》SSL VPN (五) 行動平台的後繼方案MotionPro

Array SSL VPN的行動裝置APP - DesktopDirect 因某些因素於2014/7/1下架；
2014/7/1後，使用者無法於APP市集下載DD，只能透過自行架站的方式來下載安裝DD。

Array提出的後繼行動方案為MotionPro，一個不同於以往DD的行動平台。
MotionPro是一個Vitual Site，跟屬於“資源”的DD大不相同。
MotionPro在遠端桌面的配置上，跟一般Virutal Site一樣，可以堆疊資源，當然也包括了DD。

正因為MotionPro是一個Virtul Site，不是執行遠端桌面的APP，
所以在MotionPro上執行遠端桌面資源時，還要再安裝微軟的RD Client APP才行。
透過VPN tunnel的建立後，行動裝置使用者的RD Client才可以透過此通道連線到遠端主機。

在硬體資源上，MotionPro已經不再支援 Array SPX 了。
而Array AG用戶，必需把韌體版升級到 9.3.0.79 以上才支援MotionPro。

此外行動用戶的OS版本也有對應要求，
Andorid平台要 4.0 以上，iOS平台則是 6.0 以上都可安裝使用MotionPro。

而除了設定的連接埠要開放以外，
對應iOS行動裝置時，還要再加開UDP 500，4500這兩個port才能讓VPN Tunnel順利建起來！
這是順子在慘痛的測試兩天後才找到的問題點...

MotionPro平台的發佈設定
因為MotionPro是一種Virtual Site，所以在建置上一樣是到 Base System / VIRUTAL SITE / Virtual Site / Virtual Site 中建立。
要注意的是 Virtual Site Type 要選 MotionPro 喔！

建立完成，進入MotionPro的Virtual Site首頁，可以看到連到 MotionPro Pilot 的連結。

MotionPro Pilot就跟DD Pilot一樣，有著相似的獨立設定頁面；
但又跟DD在內容上完全不同，是兩種不同的東西。

MotionPro Pilot
進入MotionPro Pilot後，第一個功能頁籤是System Monitor，用來管理行動裝置。

使用者的設定、資源配置等是在第二個頁籤Site Settings中進行。
我們先在 AAA 中進行使用者與群組的設定。

使用者的來源，順子以常用的AD為例，選擇驗證方式為 LDAP，然後按下 + 號，新增一個AD組態。

接著在ADVANCED LDAP CONFIGURATIONS中，設定 LDAP Attribute Group 為 memberOf，
Search Filter 為 sAMAccountName=<USER>。
這部份很重要喔！
因為它決定了AD中群組的判斷依據，所以一定要打正確。

在 DEVICEID 中，可勾選 Auto Approve，讓行動裝置可以自動被approve。
當然若您不希望行動裝置自動被approve，希望透過管理員的查核後再予以放行的話，
就不要勾這個選項。

Authorization與Group Mapping
驗證的來源指定好並設定完成後，接著就要對認證過的帳號進行授權。

這邊看到的User指的是本地User，
而我們的使用者來源是AD，所以就不用設定User了。

但MotionPro資源的配發是依據User或Group，
且外部使用者來源只能以Group Mapping的方式來進行，
所以我們建立一個本機的Group，其用途是給AD上的Group來做Mapping，以配置對應資源。

本機Group建立後，按下Group Mapping來做AD的群組對應。

本機群組無疑的就是我們剛才建立的那一個，
但AD群組又是參考自AD中的什麼呢？

答案就是我們剛才建AD組態時，所填的 memberOf。
我們連進AD中的ADSI編輯器，任選一個使用者帳號，查看其內容。

顯示“反向連結”屬性，

我們可以看到使用者所屬的群組就在這裏。

在做Group Mapping時，只要是出現在 memberOf 中的群組名稱就可以拿來做為Mapping的Group名稱。
例如順子建立的AD群組 VPN。

這邊提醒大家一個順子發現的狀況，
那就是AD預設的群組 Domain Users 不在 memberOf 清單之中，
所以 Domain Users 無法用來做為Group Mapping！

資源配置
MotionPro可配置的資源包括網頁及L7的applications。
這裏僅以簡單的網頁資源做個示範。

設定好的資源記得要配置給Group。

其它
MotionPro設定到這邊基本上就算完成囉。
等等！？
那遠端桌面呢？遠端桌面的資源配置還沒分享啊！

嘿，不要忘了MotionPro是一個Virtual Site，
而Virtual Site的遠端桌面資源是透過DD中的帳號/群組來比對的。
只要您登入MotionPro的帳號在DD的帳號/群組清單中，就會主動配置DD中的遠端面資源。

跟一般Virtual Site的差別在於一般Virtual Site需要在 SITE CONFIGURATION / Portal / DesktopDirect 啟用DD的整合功能；
而MotionPro做為DD的後繼行動方案，DD的整合已內建在其中，使用者並不需要特別去整合它。

↑一般Virtual Site需要手動啟用DD的整合。

此外在預設的情況下，它會自己建立一個0.0.0.0/0的VPN tunnel，供使用者連線使用資源。
這部份是自動建立的，不用特別管它。

另外它跟DD不同，執行遠端桌面時，不是由DD來執行；
而是由RD Client來執行，所以無法跟DD一樣進行SSO。
頂多是在RD Clien被呼叫執行時，使用者可以手動勾選“記錄密碼”來達成下次登入時，免輸入密碼的功能。

最後，若是沒有勾選行動裝置自動Approve的話，
請記得到 System Monitor 頁籤中進行管理。

沒有Approve過的行動裝置可是無法正常使用的喔！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-11-25, 18:18

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》iPhone如何使用MotionPro

MotionPro為一Virtual Site，提供行動裝置透過SSL VPN連結與執行遠端站台上的資源。

以某些角度來看，MotionPro APP本身就是一個SSL VPN的程式，
透過此APP的執行，建立起VPN Tunnel後，讓RD Client可以執行遠端桌面。

以下為iPhone執行MotionPro的操作擷圖。

下載安裝好MotionPro後，點選MotionPro圖示。
第一次使用MotionPro，請按右上角 + 來新增一個設定檔。
設定好組態後，可啟用“Auto Start VPN”，讓MotionPro在成功登入後，自動建立VPN Tunnel。
組態設定好，回到登入畫面，按下 Login 進行登入。
第一次登入MotionPro站台，會安裝站台的描述檔，請同意安裝。
而所有行動裝置在第一次登入MotionPro時，都必需進行註冊。
若在MotionPro的 Authentication Method / DEVICEID 中有勾選“Auto Approve”，行動裝置在註冊後可立即使用；
否則在註冊後，為 Pending 狀態，必需等管理員Approve後，才能正常使用。
因為在連線組態中我們有啟用“Auto Start VPN”，所以在成功登入MotionPro後，會自動建立VPN Tunnel。

成功建立VPN Tunnel後，在上面會多了一個VPN的圖示。
登入MotionPro的第一個頁面會是Webs，下方資源列亮燈在Webs。
(如果有設定Web資源的話)

點進Webs資料庫，測試一下我們在MotionPro站台中配置的資源是否可以正常使用。

測試成功！看到web頁面了～
於下方資源列切換到Desktops資源，主畫面可以看到DD Mapping給這個登入帳號的遠端桌面。
點選此遠端桌面連結，呼叫RD Client來開啟它。

若行動裝置中還沒有安裝RD Client APP的話，會出現無法連線訊息，
並要求您於APP Store中搜尋安裝RD Client。
成功呼叫RD Client後，帶出RD Client的連線資訊，要求您輸入帳號/密碼。

由於MotionPro架構不同於以往的DD，
不像DD單一APP即可連線遠端桌面，
而是透過VPN Tunnel的建立後，再去呼叫RD Client來連線遠端桌面。
所以無法達成Single Sign On (SSO)。

不過，您倒是可以在RD Client上啟用“儲存使用者名稱和密碼”的功能，省去下次輸入帳號/密碼的動作～

帳號/密碼驗證過後，iPhone就可以成功的使用遠端桌面了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-11-25, 22:13

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Android如何使用MotionPro

順子總算也有智慧手機了，而且是Android系統，剛好拿來測一下MotionPro的安裝使用。

以下為Andorid執行MotionPro的操作擷圖。

跟iPhone一樣，MotionPro於Android也是基於RD Client來執行遠端桌面。
所以Android平台也一樣要安裝MotionPro與RD Client這兩個APP。
MotionPro安裝完成後，點選右上角“＋”，新增一個profile。

輸入VPN站台連結資訊後按下“確定”儲存此設定檔。
回到網關頁面，剛才建立的profile已出現了，點選“登入”按鈕進行登入。

如果不是向公信CA申請的憑證，會有如下的訊息提示，請忽略它，繼續登入。

然後輸入密碼進行登入。

安裝好MotionPro第一次登入時，輸入密碼進行登入後，可能會直接中斷，無法正常登入？

若發生這狀況請重開機，再次登入MotionPro，這時應該會出現如下的提示頁面；
勾選“我信任這個應用程式”，之後MotionPro的登入就不會卡在這了～
成功登入後，預設頁籤為Web應用。

切換到桌面頁籤，進行遠端桌面主機的登入。

這時會呼叫RD Client來連結遠端桌面主機，我們必需同意，才能讓RD Client繼續執行。

RD Client接著會出現一個“它很孤單”的畫面，請直接點Android左鍵關掉它。

最後會跟您提示遠端桌面主機的驗證問題，勾選“Don't ask me again for connections to this computer＂，直接忽略它吧。

完成以上步驟後，Android總算成功透過RD Client連結到遠端主機了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-12-03, 11:10

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》開放MotionPro虛擬平台給Windows使用

前面已經說過MotionPro是一種新的虛擬平台，做為行動裝置專用的後繼方案，
所以在Windows上登入MotionPro的Virutal Site時，會出現如下的登入畫面，而登入失敗！

看起來都正常啊！為什麼會登入失敗？？
原因在於這登入畫面有兩個Password欄位，不論打什麼密碼，DD_Auth這個密碼一定錯！
順子猜測，它應該是行動裝置的Device ID。
但畢竟這是猜測，反正打什麼都不對，就不用在這堅持了。

不過要開放MotionPro虛擬平台給Windows使用還是有門路的，關鍵在於AAA的配置。

我們回到Virutal Site的一般組態畫面，於AAA的Method中，我們可以發現MotionPro會自動建立兩筆Method，
其中一個是DD_Auth，這正是給行動裝置所使用的Method，所以在Authenticate中有一個DD_DeviceID的項目。

而另一個DD_Register，則因為沒有Authorize條件(NONE)，所以無法提供登入。
我們只要修改這筆Method，賦予Authorize條件，那麼就可以利用它來提供Windows登入。

修改好後，回到登入畫面，發現它有些不同，多了個Login Method的下拉式選擇bar。
只要選擇剛修改的DD_Register，那麼就可以利用這Method來進行Windows登入了～

只這樣修改後連行動裝置也會受影響，行動裝置的登入方法也變成有選擇性。
兩個名稱容易讓人混淆...
而且行動裝置若透過DD_Register的方式登入，就變成一般Windows的登入方式，不受MotionPro Pilot中Device的管理控制；
因為在AAA中清楚定義了只有DD_Auth這方法，才有使用DD_DeviceID這項認證。

解決的方法，變成要在一般組態的AAA中去啟用Rank，將登入方法做排序，
把DD_Auth排在第一個，DD_Register排在第二個才能解決。

好像把簡單的事情複雜化？
沒錯，確實是如此！
所以可以的話，還是把兩個不同功能的Virtual Site拆開吧...

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-08-10, 18:29