|
|
|
Konfigurační návod Aruba VIA (Virtual Intranet Access)
|
|
|
|
Jakub Konečný
jakub.konecny@atlantis.cz
|
|
4. srpna 2020
|
|
Šíření bez souhlasu autora a společnosti atlantis telecom je zakázáno.
|
Obsah
_____
3
Zpět na obsah
1 Představení Aruba VIA (Virtual Intranet Access)
Aruba VIA je softwarové řešení pro zabezpečený přístup koncových uživatelů do vnitropodnikové sítě. Pro přístup je použitý softwarový klient, pro přístup tedy uživatel potřebuje pouze zařízení s podporovaným operačním systémem a funkční připojení k internetu.
Virtual Intranet Access staví na protokolu IPsec s možností SSL fallbacku pro případy, kdy je IPsec VPN omezena firewallem. Díky tomu může VIA nabídnout vysoký stupeň zabezpečení (podporovány jsou různé možnosti šifrování, včetně Suite B kryptografie). S ohledem na typ nasazení lze volit mezi různými způsoby tunelování dat (tunelování veškerého uživatelského provozu versus zabezpečení pouze vybraných citlivých dat). Uživatelé se mohou autentizovat různými způsoby (jméno a heslo, certifikáty, vícefaktorové ověřování) a vůči různým databázím (například interní databáze uživatelů v kontroléru, externí RADIUS, či LDAP server).
Výhodou je také jednoduché nasazení VIA u koncových uživatelů (zařízení). Veškerá konfigurace se provádí na straně serveru, který potřebná nastavení dále distribuuje klientům. Uživateli tedy stačí VIA klienta nainstalovat a následně se přihlásit svými údaji – o zbytek už se postará server. Klientský program je možné také instalovat automatizovaně, což může zjednodušit práci správcům sítě a koncových zařízení.
Více informací lze nalézt například v oficiálním datasheetu na webové stránce výrobce: https://www.arubanetworks.com/assets/ds/DS_VIA.pdf.
1.1 Podporované platformy pro VIA VPN server
Roli serveru pro Aruba VIA VPN řešení může plnit:
- kontrolér řady 7000 a 7200,
- virtualizovaný kontrolér (Mobility Controller Virtual Appliance),
- SD-WAN gateway řady 9000 v režimu Wi-Fi kontroléru.
1.2 Podporované klientské platformy
VIA software lze provozovat na valné většině dnes používaných operačních systémů. Podporovány jsou jak desktopové (Windows, různé distribuce Linuxu, Apple OS X a macOS), tak i mobilní platformy (iOS, Android). Podrobnější informace o podporovaných OS a verzích lze nalézt v dokumentaci, například na https://www.arubanetworks.com/techdocs/VIA/3x/content/overview/compatibility%20matrix.htm.
V dokumentaci lze také najít seznam podporovaných vlastností na jednotlivých platformách, viz https://www.arubanetworks.com/techdocs/VIA/3x/content/overview/feature%20parity.htm.
1.3 Licencování
Možnosti licencování lze rozdělit v závislosti na verzi ArubaOS, která na kontroléru běží. V případě ArubaOS 6 je třeba mít aktivní licenci PEFV. Ta odemyká podporu VIA VPN spojení a umožňuje připojit uživatele do výše kapacity konkrétního modelu kontroléru. Například v případě modelu 7005 je tedy možné po nahrání PEFV licence připojit skrze VIA VPN až 1024 uživatelů. Je však třeba nezapomínat, že se do limitu počtu uživatelů počítají všichni uživatelé/zařízení, která kontrolér obsluhuje – tedy včetně těch na Wi-Fi a podobně. V případě kontroléru, který zároveň obsluhuje WiFi síť, pak bude VPN kapacita snížena o ostatní uživatele.
V případě ArubaOS 8 je možné VIA VPN licencovat buď pomocí PEFV licence (typicky pokud ji zákazník vlastní z doby ArubaOS 6 a posléze upgradoval na novější verzi OS), nebo pomocí nové licence LIC-VIA. Pro PEFV licenci platí stejné zákonitosti jako u ArubaOS 6: licence tedy odemyká VIA VPN do maximální kapacity kontroléru. LIC-VIA naopak představuje per uživatel licenční model. Je k dispozici pouze pro
_____
4
Zpět na obsah
zařízení s ArubaOS 8 a v závislosti na množství VPN uživatelů může často vycházet finančně výhodněji než koupit PEFV licenci. Pro SD-WAN gateway řady 9000 pak PEFV licence neexistuje vůbec.
1.4 Dokumentace
Podrobná dokumentace viz https://www.arubanetworks.com/techdocs/VIA/3x/content/home.htm. Dále pak samozřejmě lze použít i konfigurační dokumentace k jednotlivým softwarovým verzím OS pro kontrolér, viz například Aruba Support Portal na adrese https://asp.arubanetworks.com.
_____
5
Zpět na obsah
2 Topologie pro tento návod a prerekvizity
Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.
Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.
Obrázek 1: Schéma testovací topologie |
V příkladech níže budete konfigurovat především Aruba kontrolér a notebook uživatele. V pokročilých kapitolách se od vás bude vyžadovat i konfigurace vámi zvoleného RADIUS serveru. Firewall plní jen roli výchozí brány pro kontrolér a stará se o komunikaci do internetu – jeho nastavení zde proto není dále nijak diskutováno.
_____
6
Zpět na obsah
3 Nahrání licencí do kontroléru
Před začátkem konfigurace je nutné zalicencovat kontrolér, viz část 1 na straně 4. Pokud jste již licence do kontroléru nahráli, můžete tuto část přeskočit. V opačném případě následujte instrukce níže.
Nejprve si připravte licenční klíče. Získáte je aktivací v licenčním portálu, který používáte. V době vzniku tohoto návodu je to buď My Networking portál, nebo novější ASP (Aruba Support Portal). Nezapomeňte, že už máte pro konkrétní kontrolér aktivované nějaké licence a budete chtít aktivovat další, je třeba to provést pod stejným účtem, pod kterým jsou vedeny ostatní aktivní licence.
Nyní se přihlaste do webového rozhraní kontroléru. Má-li kontrolér IP adresu například 172.16.0.254, pak je management běžně na adrese https://172.16.0.254:4343. Viz Obrázek 2.
Obrázek 2: Přihlášení do webového rozhraní kontroléru |
Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru |
_____
7
Zpět na obsah
Dále v hlavním menu vyberte položku License v části Configuration (viz Obrázek 4).
Obrázek 4: Přístup ke správě licencí skrze hlavní menu |
Na stránce, která se otevře, uvidíte aktuální stav nahraných licencí – protože kontrolér není ještě zalicencovaný, měly by počty být stejné, jako ukazuje Obrázek 5.
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru |
Na téže stránce přejděte do části Inventory a klepnutím na symbol otevřete dialog pro přidání nových licencí. V okně, které se otevře (viz Obrázek 6), zadejte licenční klíč pro VIA (nebo dříve PEFV) funkcionalitu a potvrďte ho klepnutím na tlačítko OK.
Obrázek 6: Dialog pro vložení licenčního klíče |
_____
8
Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz Obrázek 7.
Obrázek 7: Kontrola stavu licencí pro přidání nových |
Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.
_____
9
4 Zapnutí skrytých voleb
Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.
V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz Obrázek 8.
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní |
V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní |
V další části nastavíte nezbytné VLAN a IP parametry.
_____
10
Zpět na obsah
5 Konfigurace IP konektivity
Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.
Konfigurační kontext změníte klepnutím na tlačítko
vlevo nahoře, viz Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 11.
Obrázek 10: Menu pro změnu konfiguračního kontextu |
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního |
Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 12.
Obrázek 12: Změna konfiguračního kontextu |
5.1 Nastavení VLAN
VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 13.
Obrázek 13: Menu pro přístup ke konfiguraci VLAN |
Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 14.
_____
11
Zpět na obsah
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu) |
Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko Deploy Changes se změny aktivují. Viz Obrázek 15.
Obrázek 15: Nasazení konfigurace nové VLAN do provozu |
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 190) a následně ji v části Port Members přiřaďte na konkrétní port. Viz Obrázek 16 a Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.
Obrázek 16: Přístup k nastavení VLAN na portech |
_____
12
Zpět na obsah
Obrázek 17: Přiřazení VLAN na konkrétní port |
Následně opět změny aktivujte klepnutím na tlačítko Pending Changes vpravo nahoře, respektive tlačítko Deploy Changes v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje Obrázek 18.
Obrázek 18: Nasazení konfigurace nové VLAN do provozu |
5.2 Nastavení IP parametrů
Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 19. Nastavení uložte klepnutím na tlačítko Submit.
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu |
_____
13
Zpět na obsah
Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven.
Obrázek 20: Zapnutí NAT provoz do internetu |
I tentokrát nastavení uložte tlačítkem Submit a následně změny aktivujte klepnutím na tlačítko Pending Changes, viz Obrázek 21.
Obrázek 21: Kontrola a aktivace nastavení IP adresy |
_____
14
Zpět na obsah
Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko a zadejte adresu brány, jak ukazuje Obrázek 22.
Obrázek 22: Přidání nové výchozí brány |
Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu, viz Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře – viz Obrázek 24.
Obrázek 23: Seznam existujících výchozích bran |
Obrázek 24: Aktivace změn po nastavení nové výchozí brány |
Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko , zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz Obrázek 25. Tlačítkem Submit nastavení uložte a nezapomeňte změny aktivovat – viz Obrázek 26.
_____
15
Zpět na obsah
Obrázek 25: Přidání nového NTP serveru |
Obrázek 26: Aktivace nastavení nového NTP serveru |
5.3 Otestování konektivity
Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 27.
Obrázek 27: Menu pro přístup k diagnostickým nástrojům |
Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz Obrázek 28 a Obrázek 29.
_____
16
Obrázek 28: Použití nástroje Ping pro otestování konektivity |
Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping |
Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.
_____
17
6 Konfigurace VIA VPN v režimu Full Tunnel
V tomto případě budete nastavovat VPN, která bude tunelovat veškerý provoz. To znamená, že uživatel skrze VPN přistupuje nejen k interním zdrojům, ale také že přistupuje na internet přes firemní konektivitu. To může být žádoucí například tehdy, když uživatelé potřebují dále přistupovat ke službám v internetu, které mají omezený přístup na vybrané (firemní) zdrojové IP adresy. Alternativa v podobě split tunnelingu je popsána dále v části 7 Konfigurace VIA VPN režimu Split Tunnel na straně 33.
Uživatelé se budou v tuto chvíli ověřovat vůči interní databázi kontroléru (ale jak bylo popsáno v úvodu, je samozřejmě možné uživatele ověřovat například vůči externímu RADIUS serveru a dalším).
6.1 Příprava uživatelské role
Nejprve si připravte uživatelskou roli, kterou VIA uživatelé dostanou po úspěšném připojení. Na základě této role pak můžete v rámci kontroléru řídit jejich přístup. Například pomocí ACL omezovat jejich přístup k různým zdrojům. Uživatelské role a ACL se spravují v menu Configuration, Roles & Policies, viz Obrázek 30.
Obrázek 30: Menu pro přístup k nastavení uživatelských rolí |
Na stránce, která se vám otevře, klepněte v tabulce Roles na symbol + a přidejte novou uživatelskou roli, viz Obrázek 31.
Obrázek 31: Vytvoření nové uživatelské role |
Následně ze seznamu rolí tuto novou roli vyberte. Níže se zobrazí tabulka s detaily této konkrétní role. Vpravo v záhlaví této tabulky klepněte na Show Advanced View. Potom klepněte v seznamu politik na symbol , abyste mohli přidat k roli další ACL – viz Obrázek 32.
Obrázek 32: Přístup k přidání bezpečnostní politiky ke konkrétní uživatelské roli |
_____
18
Zpět na obsah
V okně, které se otevře, vyberte existující ACL allowall (povoluje uživateli přístup bez omezení všude) a tlačítkem Submit nastavení uložte. Viz Obrázek 33.
Obrázek 33: Přidání bezpečnostní politiky k uživatelské roli |
Nastavení zkontrolujte, viz Obrázek 34, a pak jako vždy aktivujte konfiguraci skrze tlačítko Pending Changes vpravo nahoře.
Obrázek 34: Seznam bezpečnostních politik aplikovaných na konkrétní uživatelskou roli |
6.2 Nastavení VPN služby
Dále si připravte několik věcí nezbytných pro fungování VPN služby. Přejděte do menu Configuration, Services – viz Obrázek 35.
Obrázek 35: Menu pro přístup k nastavení VPN služeb |
Na stránce s nastavením VPN otevřete část IKEv1 a povolte protokoly tak, jak ukazuje Obrázek 36. Nastavení uložte tlačítkem Submit.
Obrázek 36: Nastavení protokolů použitých při IKEv1 |
_____
19
Zpět na obsah
Přejděte do části General VPN, v seznamu Address Pools klepněte na a založte nový pool, z kterého budou VIA uživatelé dostávat po připojení IP adresy (uvádí se rozsah poolu, tedy první a poslední adresa; maska se neuvádí). Dále povolte NAT-T kvůli průchodu IPsec provozu skrze NAT po cestě a nezapomeňte vyplnit adresy DNS serverů, které mají uživatelé po připojení k VPN používat. Viz Obrázek 37. Provedené změny uložte tlačítkem Submit.
Na DNS servery je třeba pamatovat proto, aby uživatelům po připojení k VPN správně fungovaly překlady typicky interních DNS názvů. Normálně uživatel při svém připojení zvenčí používá veřejné DNS servery, které však nemusí být schopny přeložit interní DNS názvy. Proto po připojení k VPN kontrolér pošle uživateli novou konfiguraci DNS serverů, typicky interních firemních, které tato neveřejná doménová jména je schopen obsloužit. Po odpojení uživatele se VIA klient na jeho počítači postará o obnovení DNS konfigurace do původního stavu.
|
Obrázek 37: Přidání IP poolu pro VPN služby a další doplňující nastavení |
Nakonec se přepněte do části Shared Secrets. V tabulce IKE Shared Secrets klepněte na a vytvořte heslo, které se použije pro IKE mezi klientem a kontrolérem. Subnet a Subnet Mask ponechejte 0.0.0.0, viz vysvětlení přímo u formuláře. Viz Obrázek 38. Změny opět uložte tlačítkem Submit a následně je pomocí Pending Changes vpravo nahoře aktivujte.
Obrázek 38: Vytvoření preshared key pro IKE |
_____
20
Zpět na obsah
Provedená nastavení ještě pro jistotu zkontrolujte, viz Obrázek 39 a Obrázek 40, a pokračujte další částí.
Obrázek 39: Seznam nastavených VPN poolů |
Obrázek 40: Seznam nastavených preshared key pro IKE |
6.3 Konfigurace VIA VPN komponent
Nastavení VIA VPN se provádí v menu Configuration, Authentication, viz Obrázek 41.
Obrázek 41: Menu pro přístup k nastavení VIA profilů |
Samotná VIA VPN se skládá ze tří profilů, viz Obrázek 42.
- VIA Authentication Profile: obsahuje informace o tom, jak a vůči kterému serveru se mají uživatelé ověřovat při připojení.
- VIA Connection Profile: obsahuje kompletní konfiguraci připojení, které následně obdrží klienti.
- VIA Web Authentication Profile: umožňuje uživatelům vybraných VIA Authentication profilů přístup k webovému rozhraní, z něhož lze stáhnout instalační soubory VIA klienta.
Obrázek 42: Seznam profilů potřebných k zprovoznění VIA |
_____
21
Konfigurace pak probíhá tak, že si nejprve jednotlivé profily připravíte, následně je pospojujete dohromady a nakonec vše ještě propojíte s rolí, kterou dostanou uživatelé po připojení.
6.3.1 VIA Authentication
Nejprve nastavte ověřování uživatelů. Přejděte do menu Configuration, Authentication. V seznamu L3 Authentication vyberte VIA Authentication a klepnutím na vytvořte nový profil – viz Obrázek 43.
Obrázek 43: Vytvoření nového VIA Authentication profilu |
Nastavte parametry profilu, jak ukazuje Obrázek 44 a Obrázek 45. Profil pojmenujte; vyberte jako výchozí uživatelskou roli tu, kterou jste vytvořili v části 6.1; zvolte autentizační protokol; nakonec ještě nastavte server, proti kterému se budou uživatelé ověřovat – nyní budete používat interní databázi uživatelů, zvolte proto server internal.
Obrázek 44: Nastavení parametrů nového VIA Authentication profilu |
Obrázek 45: Nastavení serveru pro ověřování uživatelů při VIA VPN |
_____
22
Nakonec provedená nastavení uložte tlačítkem Submit a konfiguraci aktivujte přes tlačítko Pending Changes – viz Obrázek 46.
Obrázek 46: Kontrola a aktivace nastavení VIA Authentication profilu |
6.3.2 VIA Connection
Nyní v seznamu L3 Authentication vyberte VIA Connection a klepnutím na opět vytvořte nový profil – viz Obrázek 47.
Obrázek 47: Vytvoření nového VIA Connection profilu |
Pomocí tlačítka do nového profilu postupně přidejte VPN server (položka Addr znamená veřejnou IP adresu kontroléru, Internal_ip pak jeho LAN adresu) a profil pro autentizaci. Viz Obrázek 48 a Obrázek 49.
Obrázek 48: Přidání VPN serveru (kontroléru) do VIA Connection profilu |
_____
23
Obrázek 49: Přidání VIA Authentication profilu do VIA Connection profilu |
Dále povolte automatické přihlášení po spuštění VIA klienta na uživatelově počítači a nastavení profilu zkontrolujte, viz Obrázek 50. Změny opět uložte tlačítkem Submit a jako vždy je aktivujte.
Obrázek 50: Nastavení parametrů nového VIA Connection profilu |
U VIA Connection profilu lze nastavit také další volby, které se mohou hodit v případě konkrétních instalací. Je jich velké množství, proto v případě potřeby nahlédněte do oficiální dokumentace. Například do tabulky VIA Connection Profile Options v části Creating VIA Connection Profiles na webu https://www.arubanetworks.com/techdocs/VIA/3x/content/via%20config/configuring_via_settings.htm.
6.3.3 VIA Web Authetication
V menu L3 Authentication vyberte nyní VIA Web Authentication. Protože tento typ profilu je v AOS pouze jeden, použijte již existující profil default. Profil vyberte, pak klepnutím na přidejte váš VIA Authentication Profile (ten, který jste vytvořili v části 6.3.1). Viz Obrázek 51 a Obrázek 52.
Obrázek 51: Přidání VIA Authentication profilu do VIA Web Authentication profilu |
_____
24
Obrázek 52: Výběr VIA Authentication profilu pro VIA Web Authentication profil |
Nakonec nastavení zkontrolujte (viz Obrázek 53), uložte tlačítkem Submit vpravo dole a nastavení jako vždycky aktivujte přes tlačítko Pending Changes.
Obrázek 53: Kontrola nastavení VIA Web Authentication profilu |
6.3.4 Dokončení nastavení VIA VPN
Nyní doplňte k uživatelské roli pro VIA uživatele potřebné VPN nastavení. Přejděte do menu Configuration, Roles & Policies (viz Obrázek 30). Ze seznamu rolí vyberte tu, kterou jste vytvořili v části 6.1. Ve vlastnostech role přepněte zobrazení klepnutím na Show Advanced View. Nakonec přejděte na záložku More. Zde nastavte L2TP pool (bude to ten, který jste vytvořili v části 6.2) a VIA Connection Profile (bude to ten z části 6.3.2). Viz Obrázek 54.
Tímto nastavením kontroléru řeknete, jaké IP adresy mají uživatelé připojení přes VIA VPN získat a jaké parametry má mít jejich připojení (například, zdali se má použít split tunneling, a pokud ano, tak pro jaké IP adresy).
Obrázek 54: Doplnění VPN nastavení k uživatelské roli použité pro VIA uživatele |
_____
25
Nakonec klasicky nastavení uložte tlačítkem Submit a aktivujte ho.
6.4 Práce s interní databází uživatelů
Kontroléry umožňují použít pro správu uživatelů interní databázi a interní RADIUS server. V případě jednodušších instalací je to cesta, jak snadno a bez potřeby další infrastruktury nasadit do sítě ověřování vůči RADIUS serveru. Je samozřejmě potřeba počítat s mnohými omezeními, kterými je toto zjednodušení řešení zatíženo.
Práce s uživatelskými účty se provádí přímo nad databází, takže veškeré operace (přidání, smazání, úprava uživatele) se provedou okamžitě. Není tedy třeba je aktivovat, jako tomu je u běžného nastavení. Proto buďte opatrní, tyto změny jsou nevratné.
Správa interní databáze uživatelů se provádí v menu Configuration, Authentication – viz Obrázek 55.
Obrázek 55: Menu pro přístup k interní databázi uživatelů |
6.4.1 Vytvoření nového uživatelského účtu
V seznamu serverů (tabulka All Servers) vyberte položku Internal. Níže se otevřou vlastnosti tohoto konkrétního serveru. Pod záložkou Users klepněte na tlačítko , čímž založíte nového uživatele – viz Obrázek 56.
Obrázek 56: Přístup k vytvoření nového uživatele v databázi interního RADIUS serveru |
_____
26
Nově založený uživatel má automaticky vygenerované jméno a heslo (viz Obrázek 57). Můžete to tak ponechat, nebo tlačítkem Generate vygenerovat údaje nové, nebo jeho údaje zadat ručně (viz Obrázek 58). Ať už použijete jakoukoliv možnost, nezapomeňte uživateli nastavit správnou roli a ujistit se, že je účet aktivní. Vytvoření účtu potvrďte klepnutím na tlačítko Submit.
Obrázek 57: Vytvoření nového uživatelského účtu s náhodně vygenerovaným heslem |
Obrázek 58: Vytvoření nového uživatelského účtu s ručně zadaným heslem |
Nakonec v seznamu All Servers vyberte interní databázi uživatelů a zkontrolujte, že je vše v pořádku. Viz Obrázek 59.
_____
27
Obrázek 59: Přehled uživatelů v databázi interního RADIUS serveru |
6.4.2 Editace uživatelského účtu
V seznamu účtů vyberte konkrétního uživatele. Níže se otevřou jeho detaily, které můžete editovat (viz Obrázek 60). Pozor, uživatelské jméno je neměnné – pokud ho potřebujete změnit, je nutné existujícího uživatele smazat a vytvořit znovu s novým jménem. Změny nakonec uložte tlačítkem Submit vpravo dole.
Obrázek 60: Editace existujícího uživatelského účtu v databázi interního RADIUS serveru |
6.4.3 Smazání uživatelského účtu
V seznamu účtů vyberte konkrétního uživatele. Vpravo klepněte na tlačítko a potvrďte smazání v okně, které se otevře.
6.5 Stažení VIA instalátoru z kontroléru
Instalátor VIA klienta je možné získat na různých místech. Pro některé operační systémy (macOS například) je instalátor dostupný výhradně skrze oficiální obchod s aplikacemi. Instalátory pro další platformy (například Windows, Linux, OS X) lze stáhnout na webu technické podpory Aruba a uživatelům je zpřístupnit prostřednictvím kontroléru.
_____
28
V praxi to vypadá tak, že kontrolér v sobě obsahuje instalátory VIA klienta dostupné v době vydání konkrétního AOS. Případně může administrátor nahrát novější instalační soubory do kontroléru ručně. Uživatel se poté svými VIA údaji přihlásí do kontroléru a stáhne si instalátor podle potřeby. Správce sítě tak má (společně s automatickou aktualizací klienta) pod kontrolou, jaké verze klienta uživatelé používají.
Pro stažení instalátoru navštivte adresu https://<server-IP-address>/via, kde IP adresa odpovídá položce Addr, viz Obrázek 50 na straně 24. Typicky jde o adresu, na které je kontrolér dostupný z internetu. V tomto příkladu jde o adresu https://192.168.190.1/via. Měl by se vám otevřít přihlašovací formulář, viz Obrázek 61.
Obrázek 61: Přihlášení do kontroléru pro stažení VIA instalátoru |
Po úspěšném přihlášení se vám otevře stránka se seznamem dostupných instalátorů, viz Obrázek 62. Podobu stránky lze upravit, viz dokumentace (*1).
Obrázek 62: Webová stránka s odkazy na stažení instalátorů Aruba VIA klienta |
__________________________________________
(*1) Konkrétně je přizpůsobení stahovací stránky popsáno například v kapitole „Rebranding VIA“ na webu https://www.arubanetworks.com/techdocs/VIA/3x/content/via%20config/configuring_via_settings.htm.
_____
29
6.6 Nastavení VIA klienta a připojení k VPN
Po instalaci VIA klienta spusťte. Protože jste se zatím nepřipojili k žádnému serveru, klient vás k tomu vybídne – viz Obrázek 63. Pro úplnost, ukázka zde je z klienta pro operační systém Windows 10.
Obrázek 63: Aruba VIA klient: prostředí po prvním spuštění, před stažením VPN profilu |
Nejprve zadejte veřejnou IP adresu VIA VPN serveru (v tomto příkladu spíše „veřejnou“), viz Obrázek 64. Pokračujte dále klepnutím na tlačítko Download.
Obrázek 64: Aruba VIA klient: zadání VPN serveru pro stažení konfigurace |
Dále zadejte uživatelské jméno a heslo k VPN a pokračujte klepnutím na tlačítko Proceed – viz Obrázek 65.
_____
30
Obrázek 65: Aruba VIA klient: zadání údajů pro přihlášení uživatele |
Program se poté připojí ke kontroléru a po úspěšném ověření uživatele si stáhne konfigurační soubor. Nakonec se připojí k VPN serveru. Po připojení klientský program ukazuje základní atributy spojení (jde o Full Tunnel spojení a IPsec zabezpečení). Viz Obrázek 66. VPN spojení můžete ukončit klepnutím na zelené kolečko v hlavní obrazovce programu.
Obrázek 66: Aruba VIA klient: informace o aktivním připojení |
Nakonec můžete zkontrolovat, že máte přístup do LAN, která je v tomto příkladu simulována sítí 172.16.0.0/24. Například „opingejte“ LAN adresu kontroléru, viz Obrázek 67.
_____
31
Obrázek 67: Otestování VIA z klientského počítače |
Podívejte se také z klientského počítače přímo do webového rozhraní kontroléru, jak vypadá přehled připojených klientů. Připojte se, v tomto příkladu, na adresu https://172.16.0.254:4343 a přihlaste se administrátorským účtem. Přepněte se do správného konfiguračního kontextu (viz začátek části 5). Obrázek 68 zobrazuje, jak se k přehledu VPN klientů dostat z prostředí hlavního dohledového dashboardu. Obrázek 69 pak ukazuje už samotný přehled připojených uživatelů.
Obrázek 68: Hlavní dashboard pro monitoring kontroléru a souvisejících věcí |
Obrázek 69: Přehled uživatelů připojených přes VPN |
_____
32
7 Konfigurace VIA VPN režimu Split Tunnel
Druhým používaným scénářem je VPN v režimu Split Tunnel. V takovém případě se skrze VIA VPN tunelují pouze vybrané sítě a zbytek provozu je obsloužen lokálně klientem. Typicky jde o to zajistit zabezpečený přístup koncového uživatele k vybraným interním firemním zdrojům a zároveň mu ponechat přímý přístup na internet.
Výhody jsou jasné: šetří to pásmo a eliminuje možné negativní vlivy tunelování na některé internetové služby. Například je zbytečné, aby stream internetového rádia, které si uživatel pustil, šel nejprve do firemního kontroléru a teprve odtud putoval k uživateli, když může uživatel poslouchat rádio přímo ze serveru provozovatele.
V konfiguračním příkladu níže budete uživatele ověřovat opět vůči internímu RADIUS serveru. Nezapomeňte, že je třeba konfiguraci provádět ve správném kontextu, jak bylo popsáno v části 5 na straně 11.
7.1 Nastavení serverové části VPN
Nejprve vytvořte novou uživatelskou roli, jak bylo popsáno v části 6.1 na straně 18. Roli nazvěte například via-split-role a nezapomeňte jí přidat ACL allowall – viz Obrázek 70.
Obrázek 70: Uživatelská role pro Split Tunnel VIA VPN a seznam k ní připojených ACL |
Dále přejděte do menu Configuration, Authentication, L3 Authentication. Založte nový VIA Authentication profil – viz část 6.3.1 na straně 22. Pojmenujte ho třeba my-via-split a nastavte ho tak, jak ukazuje Obrázek 71 a Obrázek 72.
Obrázek 71: Nastavení parametrů VIA Authentication profilu pro Split Tunnel VPN |
_____
33
Obrázek 72: Nastavení serveru pro ověřování uživatelů pro Split Tunnel VPN |
Následně si připravte VIA Connection profil. Můžete vycházet z části 6.3.2 na straně 23. Oproti předchozímu příkladu doplňte nastavení split tunnelingu. Tedy povolte split tunneling jako takový a přidejte LAN subnet mezi tunelované sítě. Viz Obrázek 73.
Obrázek 73: Nastavení parametrů nového VIA Connection profilu pro Split Tunnel VPN |
Konfiguraci VIA profilů dokončete úpravou nastavení VIA Web Authentication profilu. Jak ukazuje Obrázek 74, do profilu default doplňte výše nově vytvořený autentizační profil my-via-split. Pokud tam nyní máte přiřazený profil z konfigurace příkladu 6 na straně 18, pro zjednodušení situace ho smažte.
_____
34
Obrázek 74: Přidání autentizačního profilu do VIA Web Auth. profilu pro Split Tunnel VPN |
Nakonec doplňte ještě VPN nastavení k uživatelské roli, která je použita pro vaši split tunnel VPN, viz Obrázek 75. Nezapomeňte provedená nastavení aktivovat přes tlačítko Pending Changes vpravo nahoře.
Obrázek 75: Doplnění VPN nastavení k uživatelské roli pro Split Tunnel VPN |
Před samotným testováním vytvořte v interní databázi nového uživatele s patřičnou rolí (tzn. via-split-role). Část 6.4 na straně 26 popisuje jak na to. Nebo upravte již existující účet, viz Obrázek 76.
Obrázek 76: Úprava uživatelského účtu pro Split Tunnel VPN |
_____
35
7.2 Nastavení klientské části VPN
Pokud máte nyní ve VIA klientovi nastavení pro příklad 6 na straně 18, vyčistěte ho. Nejprve smažte profil: otevřete nastavení programu klepnutím na ikonu v hlavním okně programu, na záložce VPN Profiles klepněte na tlačítko Clear Profiles, viz Obrázek 77. Klepnutím na tlačítko Done pak nastavení zavřete.
Obrázek 77: Smazání aktuálního VPN profilu ve VIA klientovi |
Dále úplně smažte z VIA klienta existující VPN server. V hlavním okně programu klepněte na ikonu .
V seznamu serverů vyberte ten správný a smažte ho, viz Obrázek 78.
Obrázek 78: Smazání VPN serveru ve VIA klientovi |
_____
36
Nyní se můžete k VPN znovu připojit, můžete postupovat třeba podle části 6.6 na straně 30. Jen nezapomeňte použít přihlašovací údaje uživatele pro split tunnel VPN (pokud jste uživatelů vytvořili více). Po úspěšném připojení byste to opět měli poznat v hlavním okně programu, viz Obrázek 79.
Obrázek 79: Kontrola Split Tunnel spojení ve VIA klientovi |
7.3 Otestování a kontrola VPN
Připojenou VPN můžete zkontrolovat na kontroléru, viz Obrázek 68 a Obrázek 80.
Obrázek 80: Informace o uživatelích připojených přes VIA VPN |
Nakonec ještě můžete vyzkoušet funkčnost split tunnelu přímo z klienta. Jak je vidět níže (viz Obrázek 81), přístup mimo tunelované sítě jde přímo do internetu, zatímco firemní síť (zde subnet 172.16.0.0/24) klient posílá skrze VPN.
_____
37
Obrázek 81: Testování split tunnel VPN z klientského počítače |
_____
38
8 Diagnostika
8.1 Troubleshooting na klientovi
Na klientovi se dostanete k diagnostickým informacím přes ikonu ozubeného kolečka na hlavní obrazovce VIA klienta, viz Obrázek 82.
Obrázek 82: Menu pro přístup k servisním možnostem VIA klienta |
Na záložce Log najdete aplikační logy, viz Obrázek 83. Logy můžete smazat klepnutím na tlačítko Clear Logs. Také můžete získat podrobnější informace pro troubleshooting klepnutím na tlačítko Send Logs. Druhé zmíněné vytvoří ZIP archiv s podrobnými diagnostickými informacemi, které se hodí zejména v případě, že řešíte nějaký problém přímo s technickou podporou Aruba –viz Obrázek 84.
Obrázek 83: Servisní log ve VIA klientovi |
Obrázek 84: E-mail s tech support soubory pro troubleshooting problémů s VIA klientem |
_____
39
Záložka VPN Profile, viz Obrázek 85, obsahuje informace o aktuálně používaném VIA nastavení (vidíte zde například, jaké VIA Authentication a VIA Connection profily jsou aktivní). V případě problémů také můžete aktuální nastavení smazat tlačítkem Clear Profiles.
Obrázek 85: Informace o VPN profilu, který VIA klient aktuálně používá |
Poslední užitečná záložka je About, kde naleznete informaci o verzi VIA klienta. Viz Obrázek 86.
Obrázek 86: Informace o verzi nainstalovaného VIA klienta |
_____
40
Když v hlavním okně programu klepnete na ikonu , otevře se seznam známých VPN serverů. Servery, které nejsou nyní aktivní (to znamená, že nemáte stažený žádný VPN profil, který by k nim patřil) můžete smazat, viz Obrázek 87.
Obrázek 87: Smazání VPN serveru ve VIA klientovi |
8.2 Troubleshooting na kontroléru
Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
8.2.1 Práce se systémovým logem
V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
Zobrazení posledních 10 zpráv v systémovém logu kontroléru:
_____
41
Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:
Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:
_____
42
Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:
8.2.2 Získávání informací o aktivních uživatelích
Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):
_____
43
8.2.3 Získávání informací o IPsec spojeních
Obecně jsou všechny podstatné informace o IPsec dostupné pod menu show crypto (*2). K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI (*3) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
Zobrazení informací o IPsec spojeních a jejich parametrech:
Zobrazení podrobných informací o konkrétní IPsec protistraně:
__________________________________________
(*2) Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/aaa-als-grp.htm.
(*3) Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/Chapters/cli-access.htm.
_____
44
Zobrazení informací o ISAKMP spojeních a jejich parametrech:
Detailní informace o konkrétním ISAKMP spojení:
_____
45
_____
46
9 Pokročilá nastavení
V této části naleznete několik vybraných pokročilých tipů a ukázek.
9.1 Aktualizace instalátorů VIA klienta na kontroléru
Správa instalátorů VIA klienta je dostupná pod menu Configuration, Services, na záložce VPN, dole v části VIA.
Nový instalační balíček můžete přidat klepnutím na tlačítko v tabulce VIA Installer Packages – viz Obrázek 88. Pokud chcete aktualizovat balíček pro architekturu, pro kterou už kontrolér instalátor má, pak stačí nahrát novou verzi – existující instalátor bude přepsán. Instalační balíčky můžete též smazat. Stačí některý vybrat a klepnout na tlačítko vpravo.
Obrázek 88: Seznam instalátorů VIA klientů aktuálně nahraných do kontroléru |
Po klepnutí na tlačítko vyberte instalační balíček, který se má do kontroléru nahrát a klepnutím na tlačítko OK instalátor nahrajte – viz Obrázek 89. Nezapomeňte, že je nutné použít instalátory ve formátu ARB, ne obvyklé spustitelné soubory jako je například windowsovské MSI.
Obrázek 89: Upload instalátoru VIA klienta do kontroléru |
Jakmile je nahrávání nového instalátoru dokončeno, uvidíte to v seznamu. Viz Obrázek 90.
Obrázek 90: Seznam instalátorů VIA klientů po aktualizaci jednoho z nich |
_____
47
Pokud je povolena automatická aktualizace (ve výchozím nastavení povolena je), nabídne se uživatelům aktualizace VIA klienta při nejbližší příležitosti. Toto pochopitelně neplatí pro operační systém macOS, kde instalace i aktualizace klienta probíhá z centrálního AppStore.
9.2 Vlastní logo v klientovi
Nastavení vlastního loga je dostupné pod menu Configuration, Services, na záložce VPN, dole v části VIA.
Klepnutím na tlačítko Browse u položky Logo vyberte v počítači obrázek, které splňuje uvedená omezení – viz Obrázek 91. Klepnutím na tlačítko Submit vpravo dole logo do kontroléru nahrajte.
Obrázek 91: Nahrání vlastního loga pro VIA VPN |
Následně je nové logo vidět přímo v administraci kontroléru – viz Obrázek 92. Pokud tomu tak není (což se občas může stát), stačí většinou stránku znovu načíst.
Obrázek 92: Nové logo VIA VPN v administraci kontroléru |
Na uživatelově počítači se nové logo objeví většinou po restartu VIA a opětovném připojení k VPN. Viz Obrázek 93. Pokud by to nepomohlo, vždycky můžete aktuální profil smazat a znovu ho stáhnout (viz Obrázek 85 na straně 40).
Obrázek 93: Aruba VIA klient s vlastním logem |
_____
48
9.3 SSL Fallback
Některé firewally mohou blokovat porty potřebné pro správnou funkčnost IPsec (konkrétně porty 4500/UDP a 500/UDP). Pro tyto situace má VIA takzvaný SSL fallback, kdy je VPN provoz zabalen do SSL hlavičky a navenek se tváří jako běžný HTTPS provoz, který firewall obvykle neblokuje. Více informací je například na webu Airheads: https://community.arubanetworks.com/t5/Controller-Based-WLANs/What-is-the-role-of-SSL-fallback-option-in-VIA-deployments-and/ta-p/180088.
Nastavení se provádí v menu Configuration, System. Dále v horním menu vyberte Profiles a v seznamu All Profiles přejděte do části Other Profiles, VIA Global Configuration. Zde povolte možnost SSL fallbacku, viz Obrázek 94. Nastavení uložte tlačítkem Submit a aktivujte tlačítkem Pending Changes.
Obrázek 94: Povolení SSL fallbacku pro VIA VPN |
9.4 Ověřování uživatelů proti RADIUS serveru
Autentizace VPN uživatelů proti RADIUS serveru může být vyžadována hlavně v případě organizací, které ho již stejně používají pro ověřování uživatelů i pro jiné účely (například přístup do sítě chráněný pomocí 802.1X). Použít lze prakticky jakýkoliv RADIUS server, například robustní ClearPass Policy Manager, NPS od Microsoftu, či třeba bezplatný FreeRADIUS.
Níže tedy uvidíte, jak nastavit ověřování VIA VPN uživatelů vůči RADIUS serveru, a to včetně přidělování uživatelských rolí (použitím k tomu určeného VSA). Příklad vychází z části 7 (Konfigurace VIA VPN režimu Split Tunnel) na straně 33 a upravuje ho. Pro úplnost: v tomto příkladu je použitý ClearPass Policy Manager, jeho konfigurace ale není předmětem tohoto návodu.
9.4.1 Konfigurace RADIUS autentizace
Přejděte do menu Configuration, Authentication, Auth Servers, kde se RADIUS servery nastavují. Zde v části Server Groups kliknutím na nejprve založte novou skupinu, viz obrázek Obrázek 95.
Obrázek 95: Přidání nové server group |
Dále v části All Servers klepněte na a přidejte nový RADIUS server, viz Obrázek 96. Jakmile server vytvoříte, vyberte ho ze seznamu a doplňte další nezbytné nastavení (typicky klíč pro přístup, někdy i NAS IP), viz Obrázek 97.
_____
49
Obrázek 96: Přidání nového RADIUS serveru |
Obrázek 97: Nastavení přístupu k novému RADIUS serveru |
Protože VIA při autentizaci pracuje se server groups, musíte nový server přiřadit do konkrétní skupiny. Přidejte tedy váš server do server group vytvořené výše, viz Obrázek 98.
Obrázek 98: Přidání RADIUS serveru do server group |
_____
50
Nakonec zkontrolujte, že je vše správně nastaveno – tedy že nový server je ve správné server group. Viz Obrázek 99. Nastavení pak aktivujte tlačítkem Pending Changes vpravo nahoře.
Obrázek 99: Přehled RADIUS serverů ve vybrané server group |
Nakonec upravte nastavení VIA profilu, který se stará o autentizaci klientů. V tomto příkladu budete spoléhat na přiřazení uživatelských rolí RADIUS serverem, proto nastavte výchozí uživatelskou roli na denyall (viz Obrázek 100). Takto zajistíte, že komunikovat budou moci pouze uživatelé, kterým jste prostřednictvím RADIUS serveru dali konkrétní roli, provoz ostatních (včetně uživatelů nezařazených do konkrétní role) bude zablokován. Nezapomeňte také přepnout autentizaci z interní databáze na externí RADIUS server (viz Obrázek 101).
Obrázek 100: Úprava nastavení VIA Authentication profilu před ověřováním vůči RADIUS serveru |
Obrázek 101: Výběr serveru pro ověřování VIA uživatelů proti externímu RADIUS serveru |
Nezapomeňte nastavení uložit tlačítkem Submit a aktivovat tlačítkem Pending Changes.
_____
51
Obrázek 102: Aktivace nastavení před ověřováním VIA uživatelů vůči RADIUS serveru |
Před otestováním nezapomeňte správně nastavit RADIUS server. VSA pro předání informace o uživatelské roli se jmenuje Aruba-User-Role. Pamatujte, že tato uživatelská role musí být na kontroléru nakonfigurovaná. Jinak přiřazení neproběhne a uživatel skončí s výchozí rolí (což je v tomto případě denyall, což efektivně zablokuje veškerou jeho komunikaci).
9.4.2 Otestování RADIUS autentizace
Otestování je prosté. Ve VIA klientovi se odhlaste a vyčistěte nastavení uživatele – viz třeba část 7.2 na straně 36. Následně v klientovi přidejte nové spojení jako dříve, jen pro přihlášení použijte jméno a heslo uživatele z RADIUS serveru (místo uživatele z interní databáze kontroléru, jako tomu bylo dříve).
Po připojení uživatele k VPN se můžete podívat do administrace RADIUS serveru a zkontrolovat, že ověření a přiřazení role proběhlo správně. Například v případě CPPM je k tomu určen Access Tracker. Detail konkrétního přihlášení viz Obrázek 103.
Obrázek 103: Detail odpovědi RADIUS serveru na uživatelský požadavek |
_____
52
Také se můžete podívat na seznam připojených uživatelů na kontrolér, viz Obrázek 104.
Obrázek 104: Přehled připojených klientů po přihlášení proti RADIUS serveru |
Na klientovi uvidíte jméno přihlášeného uživatele (viz Obrázek 105). Dále můžete v nastavení klienta ověřit, zdali použitý profil odpovídá roli, kterou uživatel měl dostat a dostal (viz Obrázek 106).
Obrázek 105: VIA klient po přihlášení uživatele proti RADIUS serveru |
Obrázek 106: Kontrola použitého proti ve VIA klientovi po přihlášení vůči RADIUS serveru |
9.5 Ověřování uživatelů proti RADIUS serveru s použitím Server-Derivation Rules
Server-Derivation Rules (SDR) umožňují administrátorovi přiřazovat uživatelské role na základě lokálně definovaných pravidel, místo aby je přiděloval přímo RADIUS server pomocí VSA. Možnosti použití jsou různé.
_____
53
Například pokud by konfigurace policy enforcementu na vámi používaném RADIUS serveru byla příliš komplikovaná, nebo máte serverů více a chcete jednotně přiřazovat role uživatelům bez ohledu na server (SDR se konfigurují nad skupinami serverů, nikoliv nad jedním konkrétním serverem). Více viz dokumentace, například:
Možnosti SDR jsou velké, zde uvidíte jednoduchou ukázku, jak přiřadit roli pro VPN uživateli podle jeho uživatelského jména. Ano, toto by v reálném nasazení nebylo z mnoha důvodů ideální řešení, ale pro ilustraci to postačí.
Nastavení se provádí v menu Configuration, Authentication, Auth Servers. V seznamu Server Groups vyberte konkrétní skupinu serverů, dole pak v detailech této skupiny klepněte na záložku Server Rules. Viz Obrázek 107.
Obrázek 107: Přístup ke konfiguraci Server-Derivation Rules |
Klepnutím na (v části Server Rules) přidejte nové pravidlo a nastavte ho podle požadavků. V tomto případě budeme roli mapovat na základě uživatelského jména, jak bude tedy pravidlo vypadat, to ukazuje Obrázek 108. Nezapomeňte hotové pravidlo uložit klepnutím na tlačítko Submit vpravo dole a konfiguraci aktivovat tlačítkem Pending Changes.
_____
54
Obrázek 108: Nastavení nového SDR pro přiřazení role VIA uživateli |
Seznam pravidel aktuálně nastavených konkrétních skupině serverů pak ukazuje Obrázek 109.
Obrázek 109: Seznam aktuálně vytvořených Server-Derivation Rules |
O zbytek se už postará kontrolér (bude vyhodnocovat pravidla, aplikovat podle nich role a podobně), z pohledu uživatele se nic nemění.
_____
55
_____
56
Seznam obrázků
_____
57
_____
58
_____
59