Como d Roamin HOW T distribuir o C ng em sua re Interface G O
Transcrição
Como d Roamin HOW T distribuir o C ng em sua re Interface G O
HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C Introduç ção Este artig go mostra como é gerado um pacote de in nstalação do cliente Secure S Roaming e tam mbém como distribuí-lo às estações Windows através do Active Directory, usando Group G Police. Solução Ferramen nta de geração de pac cotes do cliente Secure Roaming pré-configurados: Abrindo a jan nela “Ferramenta de Personalização”, P encon ntramos os seguintes itens: OBS: Esta janela pode ser enc contrada no Aker Conttrol Center do Firewalll Aker 6.0 Patch 2 ou no Aker Control Cente er do Secure Roaming g Server. • Pacote Antigo: utilizamos u o pacote (.m msi) disponibilizado pela Aker em seu site Novo pacote: é o nome do novo paco ote que será gerado ba aseado no anterior, po orém com as configurrações efetuadas abaix xo. Configuração: é onde podemos definir as configurações do Servidor de VPN, usu uários e etc. Nesta tela temos os campos: • Conexão Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 1 de 6 Página: • • 2.0 Aker Securrity Solutions www.aker.com.br HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C Nesta áre ea são editadas as con nfigurações necessária as para realizar a conexão no Secure Roam ming Server. Os seguin ntes campos estão dis sponíveis: • • • • Nome: nome pe elo qual a conexão serrá conhecida, facilitand do a sua identificação. Endereço IP: ne este campo deve ser inserido o endereço IP P do servidor onde se erá realizada a conexã ão. Esse número pode e ser diferente do end dereço real do servidor, se ele e se encontrar atrás s de um gateway que faça f NAT (tradução de e endereços). Portas: aqui dev vem ser selecionadas as portas TCP e UDP que serão utilizadas para tráfego de dados s durante a conexão. Obrigatoriamente, es ssas portas devem ser as mesmas m constantes na a configuração do serv vidor ou os números de porta traduzidos, se s o servidor estiver com suas portas traduzidas por um gateway de NAT. Período keep-aliive: período máximo de tempo em que po ode ocorrer inatividad de das conexões TCP e seqüências de pac cotes UDP. É necessárrio cautela neste recurso, pois p definir pequenos intervalos de tempo para p checar a inatividade da conexão pode e causar um overhead d desnecessário na comunicação entre o cliente e o servidor. Modo de ativaçã ão: define quando a co onexão VPN deve com meçar e terminar. Existem três opções possíveis: o o Manual: para iniciar ou finalizar uma conexão, é necessário que o próprio usuário clique e no botão Conectar/D Desconectar. o Siincronizar com dial-up (somente para Win ndows): o estado da conexão será sincronizado com o adapta ador dial-up. Assim a VPN será es stabelecida quando o usuário conectar-se e a um servidor dia al-up, e derrubada quando ele desconecttar-se. Este método é o mais re ecomendado para aqueles usuários que não o possuem acesso perrmanente à Internet. No o início: esta modalid dade faz com que o cliente tente manterr a conexão sempre ativa. Quando o com mputador for iniciado,, o Cliente ta ambém será e tentará conectar-se. Este mé étodo muito útil para clientes c conectados pe ermanentemente à re ede. Autenticação Área ond de o usuário deve deffinir o método que será utilizado para aute enticação com o Secu ure Roaming Server. E possível escolher en ntre a utilização de Certificados C X.509 ou autenticação via usu uário/senha. Nome de usuário e senha: modo tradicional de aute enticação onde o usuá ário apresenta como c credenciais um nome de usuário válido e uma u senha. Esta autenticação pode ser realizada de forma autom mática, mas é necessá ário preencher os seguintes campos: • • • • • • Nome de usuário o: nome de usuário utilizado na rede; Autenticador: nome dado ao autentiicador Aker no Securre Roaming Server. Se S for deixado em brranco, o servidor ten ntará usar todos aute enticadores conhecidos. Salvar senha: se e a senha de acesso for f salva, não precisará ser inserida quand do a sessão VPN for estabelecida. É importa ante salientar que a senha s será salva criptograffada no arquivo de configuração. c Esta opção permite que o cliente seja executa ado sem a interface gráfica do usuário (apenas o daemon/serviço em background), sen ndo útil para usuários Unix que não utilizem m uma interface gráfic ca. Usar compressão de dados Se a opção estiver marcada, toda in nformação que trafega ar no sentido cliente a servidor ou no sen ntido inverso será com mprimida, a fim de aumentar a velocidade de co omunicação. Finalização da Geração G do pacote pré-configurado Clicar em m “Aplicar” Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 2 de 6 Página: • • 2.0 Aker Securrity Solutions www.aker.com.br HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C Novo pac cote gerado com sucesso, agora basta utiliz zar este novo “MSI” para p instalação de sua as estações de trabalh ho que farão acesso re emoto, que as configu urações do Cliente Secure Roaming já esta arão prontas. Como distribuir o pacote do o Cliente Secure Roa aming através do Ac ctive Directory, utilizando Group Police e? Criar um m GPO para implanta ação de software É possív vel criar um GPO e vinculá-lo a qualqu uer recipiente do Ac ctive Directory que contenha c os computtadores de destino n nos quais deseja im mplantar o AkerSecu ureRoamingCliente.ms si. Por exemplo, um recipiente do Active Directory pode ser um u site, um domínio ou uma unidade org ganizacional (OU). As seguintes instruçõe es o direcionam a usarr um domínio como um m recipiente e usar a filtragem de seguranç ça pra direcionar o GP PO para computadores s específicos. Para seu ambiente, aconselha amos vincular o GPO a um recipiente dife erente, como uma unidade organizacional. É possível vincular a qualquer recipiente do Active Directory y que desejar. Além disso, d é possível edita ar um GPO existente em vez de criar um novo apenas para a implantação do AkerSecureRoamingCliente.msi. No entanto, não recomendamos a edição da diretiva de e domínio padrão nem m da diretiva de contro oladores de domínio padrão. p Crie um GPO para implantação do AkerSecureR RoamingCliente.msii Use um dos d seguintes métodos para criar um GPO para p implantação do AkerSecureRoamingCl A iente.msi. Se você não n possuir o GPMC (C Console de gerenciam mento de diretiva de grupo ) instalado, exec cute estas etapas: • Em um controlador de domínio ou esttação de trabalho adm ministrativa, abra Usuá ários e computadores do Active Directory. Localize a unidade organizacional que e contém os computad dores nos quais deseja a implantar o AkerSec cureRoamingCliente.m msi. Clique com o bo otão direito do mouse nessa unidade organizacional e clique em Propriedades. P Clique na guia Diretiva D de grupo e em m Nova. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 3 de 6 Página: • • • 2.0 Aker Securrity Solutions www.aker.com.br HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C Na caixa Novo GPO, G especifique um nome n para o novo GPO O e clique em OK. Editar um m GPO para implantação de software Após cria ar um ponto de distriibuição e um GPO pa ara implantação do “A AkerSecureRoamingClliente.msi”, é necessá ário modificar o GPO usando o recurso Instalação e manutenção de software da diretiva d de grupo. Parra implantar o “AkerS SecureRoamingCliente e.msi”, é necessário usar u o nó Configuraçã ão do computador no o Editor de objeto de e diretiva de grupo. Para editar um GPO para impla antação de software, execute estas etapas: • • • Clique com o bo otão direito do mouse no novo GPO e clique e em Editar. No Editor de objjeto de diretiva de gru upo, clique em Configu uração do computador, em Configurações do d software e em Insttalação do software. No menu Arquiv vo, aponte para Novo e clique em Pacote. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 4 de 6 Página: • 2.0 Aker Securrity Solutions www.aker.com.br HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C Na caixa de diá álogo Abrir, digite o caminho c UNC (conven nção de nomenclatura a universal) completo o do pacote do instalador compartilhado que q deseja distribuir na caix xa Nome do arquivo. Digite D esse caminho no n seguinte formato: NomedoS ServidorPastaComparttilhadaAkerSecureRoamingCliente.msi ou IP_do_se ervidorPastaCompartilhadaAkerSecureRoam mingCliente.msi • • • • • Verifique se está á usando o caminho UNC U do pacote do insta alador compartilhado.. Selecione o paco ote do Windows Installer e clique em Abrir. Na caixa de diálogo Implantar softwa are, clique em Atribuíído e em OK. O pacotte do instalador comp partilhado selecionado o aparece no painel à direita do Editor de objeto de diretiva de grupo.. Observação Nom medoServidor e IP do d servidor são espaços reservados para o nome do servidor ou endereço IP do o computador no qua al a pasta compartilhada está e localizada. PastaC Compartilhada é um es spaço reservado para a pasta compartilhad da que está no servido or. Desativando a checagem de linguagem do GPO: o Cllique com o botão dire eito do mouse no novo o pacote e clique em Propriedades. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 5 de 6 Página: • 2.0 Aker Securrity Solutions www.aker.com.br HOW TO Como d distribuir o C Cliente Secure Roamin ng em sua rede através d de Interface Gráfica Produto: do produto: Versão d Versão d do documento: Data de revisão: Data da publicação: Secure Roaming Client C • Clique na aba Distribuição (Deployme ent) e clique em Avanç çado. Marque a opção de Ignorar a linguage em quando distribuir este e pacote e OK em todas as janelas. Agora basta rein niciar as estações de trabalho t que pertence em a este domínio que e as mesmas terão o Cliente C do secure Roaming instalados. Implantar software para grrupos de segurança específicos É possíve el usar filtragem de se egurança na diretiva de d grupo para implanttar o AkerSecureRoam mingCliente.msi apenas para computadores que são membros de e um grupo de segurrança específico. Por exemplo, e se um GPO O for criado no nível do d domínio usando o procedimento descrito por esse artigo, vo ocê poderá usar a filtragem de seguranç ça para direcionar o GPO G apenas para comp putadores que deseja. Primeiro, é necessário criar o grupo de segurança e adicionar computadores de des stino como membros s. Para criar um grupo de segura ança, execute estas ettapas: • • • • Clique com o bo otão direito do mouse no domínio ou recipie ente do Active Directory que deseja como destino, clique em Nov vo e em Grupo. Dê um nome para o grupo de seguran nça. Clique na guia Membros M e em Adicion nar. Digite os nomes s dos computadores e clique em OK. Direcione e o AkerSecureRoamin ngCliente.msi usando a filtragem de segura ança • • • • • No GPMC, clique e duas vezes nos Obje etos de diretiva de gru upo. Clique no GPO no n qual deseja aplicar a filtragem de segura ança. No painel de res sultados, clique em Ad dicionar na guia Escop po. Na caixa Digite o nome do objeto pa ara selecionar, digite o nome do grupo, do usuário ou do compu utador que deseja adicionar ao filtro de se egurança e clique em OK. Se Usuários auttenticados aparecer na n seção Filtragem de e segurança da guia Escopo, E selecione ess se grupo e clique em Remover. Isso certifiica de que apenas membro os do(s) grupo(s) adicionado(s) pode(m) receber as configuraçõe es nesse GPO. Observaç ção: As configurações em um GPO aplicam--se apenas aos seguin ntes usuários e compu utadores: • • Usuários e comp putadores contidos no o domínio, a unidade organizacional o ou as unidades u organizacionais com as quais o GP PO está vinculado. Usuários e comp putadores especificado os na filtragem de seg gurança ou que são membros m de um grupo especificado na filtrag gem de segurança. É possíve el especificar diversos grupos, usuários ou computadores c no filtro o de segurança para um u único GPO. Documentação Auxiliar de d Produto – Aviso o Legal: esta docu umentação deve ser utilizada somente e por orário que uma alteração de configuração o não administradores ou usuários experientes, prefferencialmente em ho cte no funcionamento o do ambiente. A Aker não é responsável pe elo mau uso deste doc cumento. impac 1.0 31/0 08/11 12/12/2 2006 6 de 6 Página: • • 2.0 Aker Securrity Solutions www.aker.com.br
Documentos relacionados
Como in HOW T ntegro o Fire syslog Rem O wall Aker co moto m
ervidor remoto, pode ser
s usado o comando: tcpdump -n -i
- Aker Security Solutions
e ser feito dentro do perfil p de usuário, como o mostra a figura.
Leia mais