《分享》SSL VPN (四) DesktopDirect資源發佈

Array SSL VPN的另一個重頭戲就是DesktopDirect(DD)。
雖然DD跟Quick Link、VPN Tunnel一樣，都是Virtul Site中可堆疊的資源之一，
不過DD的資源發佈跟前面兩者不同，它有一個自己獨立的頁面來進行。

DesktopDirect發佈設定
我們先在Virtual Site的SITE CONFIGURATION / Portal / DesktopDirect 啟用DD的整合功能。

其中 Integration Mode 指的是DesktopDirect區塊呈現的方式。
Hyperlink 只會在DesktopDirect區塊中出現一個My Desktops連結。
所有DD的功能會在點選此連結後，於新的頁面中出現。
而 Embed 則會把DD所有的功能直接鑲在Portal頁面中的DesktopDirect區塊中。
就實際操作上，Embed 會比 Hyperlink 來的快速有效率！

啟用了Enable DesktopDirect Integration後，這個Virtual Site就已整合了DD的功能。
接著在回到Global Setting的Home頁面中，按下 Go to DD Pilot，就會連結到DD的專屬頁面。



↑這就是DD與其它資源不同的專屬頁面。


登入DD的專屬頁面後，我們可在Virtual Portals頁籤中，管理Virtual Site平台。

不過以Virtual Site的管理角度來看，順子認為還是在原WebUI中進行比較友善。

真正DD的資源配置，則是在ART Server頁籤中。
於ART Server頁籤中，選擇default的Instance後，再按下 Users Groups and Desktops 進入設定頁面。


進入頁面後，我們可以著手來定義 Users、Groups與Desktops 三者之間的關係。


首先，我們在 Users 頁籤中，加入一個我們在LocalDB中建立過的帳號。






接著切換到 Desktops 頁籤，加入一個Terminal Server的資源。




然後在Assignment頁籤中，指定使用者或群組可使用此Terminal Server資源。


在這個範例，我們是指定使用者Shunze可使用此Terminal Server。


設定到這邊就算是完成囉～
回到Web Portal頁面，我們會發現最下面出現了一個DesktopDirect區塊！
而且正在初始化，按下繼續授權給它吧。


接著允許執行此JAVA程式。


然後開放防火牆，允許此JAVA程式的執行。


完成後，我們就會看到Remote Desktop的圖示連結出現了～


點選此連結後，遠端桌面成功的帶出來了。
輸入此遠端桌面的帳號/密碼進行登入吧～


此範例我們是以Chrome瀏覽器透過JAVA來進行，
若改用IE登入Web Portal時，記得要調降IE的安全等級，以順利執行ActiveX。


發佈Terminal Server上的應用程式資源
除了透過DD來發佈整個Remote Desktop資源外，
AG也提供發佈Terminal Server上的某個應用程式資源。
以下我們以發佈IE瀏覽器來進行示範。

回到DD的首頁，切換到ART Server頁籤，我們點選 Published Applications 來發佈應用程式。


由於我們用的是微軟的Terminal Server，所以選擇 Terminal Server Applications。


然後在新開的 Servers | Server Groups | Applications 頁面中，按下新增 Server。


輸入Terminal Server的名稱、IP及Port等資訊。

↑記得一定要勾 Enable The Server 喔！



接換到Server Groups頁籤，新增一個Group。


輸入Group名稱，然後把剛才建立的Server加到Assigned Servers中。


按下 Apply 儲存。


Server Groups清單中增加了這一筆記錄。


然後到Applications頁籤中，增加一個應用程式。


我們以IE為範例，輸入了Terminal Server上IE的相關資訊，按下 Apply 進行儲存。

↑同樣的，Enable Appliction 一定要勾喔！

按下 Apply 儲存後，會跳到另一個 Settings | Servers | Assignment 頁面。
切換到 Servers 頁籤，把剛才建立的 Server Groups 加入。


切換到 Assignment 頁籤，選擇使用者，把使用者 Shunze 加入。




回到Web Portal頁面，我們會發現DesktopDirect區塊裏，多了一個 IE～


點選它後，它會透過Terminal Server帶出一個只有IE的遠端環境。


由於我們只配置了IE可供使用，所以關閉IE後，會自己登出遠端，結束此連線。

DesktopDirect的應用到這邊告一個段落～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》設定沒變，但DD卻不見了？

今天回顧 DesktopDirect，透過Web Portal登入SSL VPN時，
突然發現Web Portal中的 DesktopDirect 連結消失了！

在設定頁面找了半天，才在 Users 頁籤中發現 DesktopDirect 的資源已過期！



延長有效期限的方法有兩個。
第一，直接在頁面中點選 User，然後按下 Reset Expire Time 來延長期限。


展期後，有效期限又多了預設的30天。


第二，變更 Registration Polices。


在 Registration Polices 中直接設定 Maximum Lifetime。

↑設定0，表示永不過期。

回頭再看使用者的有效期限，已經沒有時間限制了。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》DesktopDirect中的AAA

在 DesktopDirect 的 Virtual Portals 中的 CONFIGURATION TASKS 區塊中，
還有一個AAA的設定。



這個AAA的設定一樣可以透過LocalDB、LDAP與Active Directory做多種使用者來源的認證。



那麼這個 DesktopDirect 中的AAA與 Virtual Portals 中的AAA有什麼不同呢？


答案是...
它與 Virtual Portals 中的AAA，是兩個不同的使用者帳密驗證機制。

若在 DesktopDirect 中啟用了這個AAA，
則在SSL VPN的登入頁面，會看到多了一個Login method的下拉式選項。
其中 DesktopDirect 就是呼應這個AAA所產生。



那這兩個登入方式對使用者而言，有什麼不同呢？

以 Virtual Portals 的AAA登入，可使用此 Virtual Portals 中所配置的資源，
DesktopDirect只是這些配置資源中的一部分。


但若以 DesktopDirect 的AAA登入，則只可以使用DesktopDirect這個資源。
因為它是在 DesktopDirect 獨立建置入口，並未配置其它可用資源。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》DesktopDirect使用者帳號如何對應到認證來源

在 DesktopDirect 中，使用者帳號的部分，
只能在 USERS 頁面中，手動加入使用者帳號。


那這些手動建立的帳號如何去對應AAA中的帳號呢？

其實它純粹是以“使用者名稱”來做對應。

例如Virtual Portals中AAA認證來源是AD(透過LDAP連結)，而AD中有一個帳號叫shunze。
若要開放 DesktopDirect 資源給AD中的shunze使用，
我們只要在 DesktopDirect 的 USERS 頁面中，手動加入一個名為shunze的帳號即可。

使用者shunze登入Virtual Portals時，
若在 DesktopDirect 的帳號清單中比對到相同名稱的shunze帳號，
即會配置 DesktopDirect 資源給登入的使用者。


就 DesktopDirect 而言，它並沒有一套機制可以把AAA的使用者名單匯入，
然後讓管理員名單中挑選要配置資源的使用者帳號。
只能笨笨的，透過手動的方式將帳號逐一輸入...

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》DesktopDirect行動裝置的使用授權

Array的DesktopDirect行動裝置授權已於2014/7/1終止，
並於APP市集下架，要安裝行動裝置的DesktopDirect APP，只能透過自建站台來處理。

而要使用行動裝置的DesktopDirect來連線遠端桌面，
SPX及AG分別需要以下對應授權，才能正常操作。

SPX

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》DesktopDirect的裝置授權管理

DD在使用者的登入裝置上，預設是沒有進行限制的，
但有提供此功能，讓系統管理員能對登入裝置進行控管。

DD的授權裝置管理自然是在DD Pilot中。
登入DD Pilot後，在 ART Server / INSTANCES 中，有提供選項 Device Based Identification 以進行管理。



此功能選項預設是未啟用的，也就是放行所有裝置。
若要對使用DD的裝置進行控管，請勾選Enable、Automatic Registration及Per-User。



啟用登入裝置管理後，使用者在登入時，就會出現“This device is not authorized for access.”裝置未授權的訊息。



這時候，系統管理員必需到 Device Based Identification 的第二個頁籤 Devices 中進行搜尋，
就可以找到剛才未授權，狀態是Pending的裝置。
對它按下Accept就可以進行授權。



在系統管理員授權後，使用者就可以正的使用DD的資源了！



除了比較嚴謹，需經由系統管理員 Approve 的作法外，我們還可以搭配其它作法，例如再加上Accept All選項，對所有裝置放行。
“放行所有裝置”跟“不啟用Device認證”的差別在於，“不啟用認證”在Devices頁籤中不會記錄任何裝置的註冊記錄；
而“Accept All”則是一樣放行所有裝置，但Devices頁籤中會留下記錄，
管理員可以在此頁籤中，對不明裝置做Reject處理，做為事後稽核管理機制。

管理的方式很多，要嚴要鬆，就看各公司的政策了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!