Shunze 學園 >資訊設備專區 >Array > 《分享》SSL VPN (一) Virtual Site與Role的建立 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》SSL VPN (一) Virtual Site與Role的建立引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Array的SSL VPN架構如下。



在使用者透過標準的SSL加密協定連入Array AG appliance時,
可依照使用者的不同,給予不同的資源。

這些可分配資源包括,網站連結、VPN Tunnel、遠端桌面存取與遠端桌面應用程式等。
在資源的分配上就像積木一像,可依照群組或個人各自不同的需求來組合建立,
而所謂的Web Portal就是提供這些資源組合的一個入口。

在Array AG上提供了256個各自獨立的虛擬平台來進行佈署Web Portal。


為什麼要選擇Array的AG做為SSl VPN的佈署呢?

  1. 專利Speed Core技術,不需ASIC晶片,速度快。
  2. 支援多層、多種驗證,包含localDB、AD、LDAP、RADIUS、憑證等多種主流的驗證方式;支援了市面上90%以上的驗證方式。
  3. 虛擬化技術(Web Portal),各自獨立的環境,方便管理。
  4. 同一個登入帳號,不同時間,不同的地點與驗證方法可以對應到不同role,而有著不同的使用資源,設定彈性又安全。
  5. 不同role,可設定不同路由導向,透過不同的Gateway頻寬外出。


在瞭解了Array AG的架構與特性後,佈署AG時可由以下幾個重點來進行。
  1. 建立Virtual Site,這是所有資源積本堆疊的起點。
  2. 設定Authentication,Authorization與Accounting,即AAA。
  3. 設定角色role與policy。
  4. 分配資源。



AG在第一次登入使用上,與 APV 相同。
透過console線連入,設定好WebUI IP與port並啟用後,就可以透過Web來登入。
登入AG後的第一畫面 Home 顯示資訊如下。

授權啟用後,我們就可以逐一來建置SSL VPN了∼

之後做任何變更,都跟APV一樣要記得儲存,這樣所有的變更才不會隨著重開機而消失!



建立Virtual Site
建置AG的第一步是建立一個Virtual Site。
有了Virtual Site後,AAA與資源的分配才能一步一步的依需求來堆疊在此虛擬平台之上。

在VIRTUAL SITES / Virtual Sites / Virtusl Sites頁籤中我們透過 ADD 來建立第一個Virtual Site。


於Virtual Site中填好站台資訊及對應的SSL憑證資訊後,按下 SAVE 即可新增此Virtual Site。


Virtual Site建立完成,出現在清單之中。


在建立Virtual Site時,會發現它共有4種類型。

最基本的是exclusive,而shared/alias是成對使用的類型,MotionPro則是建立給Pad/Phone等行動裝置的虛擬平台。

建立好第一個Virtual Site後,我們已經可以用設定的IP,透過https來打開網頁Web Portal。

不過因為我們還未建立此Virtual Site的AAA,所以會出現如上“未指定伺服器方法”的訊息。
這是我們第二步驟即將進行的建置工作。

要切換到Virtual Site來進行AAA及資源配置,我們要透過左上方的下拉式選單來進行。


切換到新建的Virtual Site後,我們可以看到此平台的相關資訊。
之後的AAA及資源配置也都是在此平台下來進行。


在建置Virtual Site時,站台的IP配置會在操作環境中分配並立即生效。

因此在規劃Virtual Site的IP時,請不要跟其它Virtual Site或現實環境中的IP相衝突!
若環境中IP數量不足的話,也可以用IP加上port來變化使用。


AAA
由於AG的每個Virtual Site都是獨立的,因此每個Site的AAA與資源分配等,自然都是在個別的Site中來進行。
切換到Virtual Site管理頁面後,
在SITE CONFIGURATION / AAA / Server頁籤中我們可以建立AAA的伺服器資訊。

我們也可以看到AG共支援了LDAP(AD),RADIUS,Client憑證,LocalDB,SMS與SMX等類型的驗證方式。

我們以AG本身的驗證LocalDB為例,示範如何用LocalDB來做Authentication與Authorization。

勾選 Enable LocalDB Server 後按下儲存,即可啟用本機驗證∼

然後到Method頁籤堙A新增一個AAA方法。


指定這個Virtual Site的驗證與授權方法為LocalDB。

在我們啟用本機的LocalDB驗證後,AG會為此Virtual Site建立一個與Virtual Site名稱相同的資料庫。
以本例為例,此資料庫名稱即為 vSite_1。
在Authentication與Authorization中看到的名稱 vSite_1 即為此LocalDB的名稱。

當然若我們有需要,也可以加入LDAP(AD)、RADIUS等驗證方式來配合。

設定完成後,Method清單中會出現這一筆。



設定Role
Virtual Site中設定好了AAA之後,接著我們來設定Role。
在USER POLICIES / Role / Role頁籤中,輸入Role Name與描述後,按下 Add a Role 來新增一個角色。




然後在Role Qualification頁籤中按下 ADD 來新增一個 Qualification。


於Qualification中選擇Role並設定條件。
在這邊我們設定條件為經過LocalDB的授權(Auth Method IS LocalDB)後的Role為剛才建立的Role_Default。
按下 Select 按鈕來選擇驗證來源Method。


接著會出現所有可用的 Method 以供設定,由我們在 Method 中只設定了一個LocalDB的AAA,所以這邊只有一筆方法可供選擇。

選擇要使用的方法後,按下 OK。

Content出現了我們要的LocalDB後,按下 Add 按鈕,把它加入。


Qualification的欄位皆已填妥,按下 Save 進行儲存。

這一整個的設定意思是“經過LocalDB授權後的使用者,其Role為Role_Default,可使用配置Role_Default的資源”。

儲存後Qualification清單中會出現這一筆。


到這邊再透設定的IP來打開VPN網頁時,我們會發現登入頁面Web Portal已經出現帳號/密碼可供登入了。

但是我們在LocalDB還沒有建立任何帳號,所以目前是無法登入的。

要在本機的LocalDB建帳號,我們要到LOCAL DATABASE中的Local Accounts來進行,
按下 Add 來新建一個LocalDB的帳號。


輸入您欲建立的帳號/密碼後,按下 Save 建立帳號。


儲存後,我們就可以在清單中看到剛才建立的帳號。


回到VPN登入網頁Web Portal,輸入帳號/密碼。


我們會發現帳號現在已經可以提供登入了∼

雖然登入後的角色是Role_Default,但因為還沒有配置Role_Default的任何資源,
所以出現的頁面是空白的,看不到任何資源,
不過之後資源建立後,記得要按上瀏覽器上方的Java執行授權,
授權給Java後,配置的資源才能正常使用喔∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2014-07-27, 19:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
透過LDAP讓Active Directory使用者做為帳密來源引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在AG中若欲透過既有之Active Directory做為帳號/密碼來源,
讓AD上的使用者能夠登入AG,我們可以透過LDAP來達成。

在SITE CONFIGURATION / AAA / Server / LDAP頁籤中,
我們可以建立要使用的LDAP資源。


建立好LDAP Server名稱後,在該筆資料連點兩下,可進入編輯詳細設定。


在LDAP的詳細設定中,Search Filter要打 sAMAccountName=<USER>
Group Attribute要打 memberOf,然後按下APPLY CHANGES。
注意,這些字串有大小寫的差別!

然後再按下Add LDAP Server按鈕,來新增AD主機的相關資訊。


AD主機相關資訊輸入完成後,按下Save儲存。


這樣AD的LDAP組態就設定好了。



然後在SITE CONFIGURATION / AAA / Method中,我們要建立透過LDAP驗證及授權的方法。


將Authentication及Authorization均指向剛才建立的LDAP。





LDAP建立完成後,再來分配可使用此虛擬平台的角色給LDAP。
在USER POLICIES / Role中,新建一個角色。




然後在USER POLICIES / Role Qualification中,建立此角色對應的驗證方法。




驗證方法當然是指向我們剛才建立的LDAP驗證方法囉∼


按下Add按鈕,把LDAP驗證方法加入。


設定完成後,按下Save儲存。




以既有之AD做為帳號/密碼來源,
讓AD上的使用者能夠登入AG的設定到這邊就完成囉∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2014-09-17, 18:26 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR