Como d Roamin HOW T distribuir o C ng em sua re Interface G O

 HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
Introduç
ção
Este artig
go mostra como é gerado um pacote de in
nstalação do cliente Secure
S
Roaming e tam
mbém como distribuí-lo às estações Windows através do Active Directory,
usando Group
G
Police.
Solução
Ferramen
nta de geração de pac
cotes do cliente Secure Roaming pré-configurados: Abrindo a jan
nela “Ferramenta de Personalização”,
P
encon
ntramos os seguintes itens:
OBS: Esta janela pode ser enc
contrada no Aker Conttrol Center do Firewalll Aker 6.0 Patch 2 ou no Aker Control Cente
er do Secure Roaming
g Server.
•
Pacote Antigo: utilizamos
u
o pacote (.m
msi) disponibilizado pela Aker em seu site
Novo pacote: é o nome do novo paco
ote que será gerado ba
aseado no anterior, po
orém com as configurrações efetuadas abaix
xo.
Configuração: é onde podemos definir as configurações do Servidor de VPN, usu
uários e etc.
Nesta tela temos os campos:
•
Conexão
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
1 de 6
Página:
•
•
2.0
Aker Securrity Solutions
www.aker.com.br
HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
Nesta áre
ea são editadas as con
nfigurações necessária
as para realizar a conexão no Secure Roam
ming Server. Os seguin
ntes campos estão dis
sponíveis:
•
•
•
•
Nome: nome pe
elo qual a conexão serrá conhecida, facilitand
do a sua identificação.
Endereço IP: ne
este campo deve ser inserido o endereço IP
P do servidor onde se
erá realizada a conexã
ão. Esse número pode
e ser diferente do end
dereço real
do servidor, se ele
e se encontrar atrás
s de um gateway que faça
f
NAT (tradução de
e endereços).
Portas: aqui dev
vem ser selecionadas as portas TCP e UDP que serão utilizadas para tráfego de dados
s durante a conexão. Obrigatoriamente, es
ssas portas
devem ser as mesmas
m
constantes na
a configuração do serv
vidor ou os números de porta traduzidos, se
s o servidor estiver com suas portas traduzidas por
um gateway de NAT.
Período keep-aliive: período máximo de tempo em que po
ode ocorrer inatividad
de das conexões TCP e seqüências de pac
cotes UDP. É necessárrio cautela
neste recurso, pois
p
definir pequenos intervalos de tempo para
p
checar a inatividade da conexão pode
e causar um overhead
d desnecessário na comunicação
entre o cliente e o servidor.
Modo de ativaçã
ão: define quando a co
onexão VPN deve com
meçar e terminar. Existem três opções possíveis:
o
o
Manual: para iniciar ou finalizar uma conexão, é necessário que o próprio usuário clique
e no botão Conectar/D
Desconectar.
o
Siincronizar com dial-up (somente para Win
ndows): o estado da conexão será sincronizado com o adapta
ador dial-up. Assim a VPN será
es
stabelecida quando o usuário conectar-se
e a um servidor dia
al-up, e derrubada quando ele desconecttar-se. Este método é o mais
re
ecomendado para aqueles usuários que não
o possuem acesso perrmanente à Internet.
No
o início: esta modalid
dade faz com que o cliente tente manterr a conexão sempre ativa. Quando o com
mputador for iniciado,, o Cliente
ta
ambém será e tentará conectar-se. Este mé
étodo muito útil para clientes
c
conectados pe
ermanentemente à re
ede.
Autenticação
Área ond
de o usuário deve deffinir o método que será utilizado para aute
enticação com o Secu
ure Roaming Server. E possível escolher en
ntre a utilização de Certificados
C
X.509 ou autenticação via usu
uário/senha. Nome de usuário e senha: modo tradicional de aute
enticação onde o usuá
ário apresenta como c
credenciais um nome de usuário
válido e uma
u
senha. Esta autenticação pode ser realizada de forma autom
mática, mas é necessá
ário preencher os seguintes campos:
•
•
•
•
•
•
Nome de usuário
o: nome de usuário utilizado na rede;
Autenticador: nome dado ao autentiicador Aker no Securre Roaming Server. Se
S for deixado em brranco, o servidor ten
ntará usar todos aute
enticadores
conhecidos.
Salvar senha: se
e a senha de acesso for
f salva, não precisará ser inserida quand
do a sessão VPN for estabelecida. É importa
ante salientar que a senha
s
será
salva criptograffada no arquivo de configuração.
c
Esta opção permite que o cliente seja executa
ado sem a interface gráfica do usuário (apenas o
daemon/serviço em background), sen
ndo útil para usuários Unix que não utilizem
m uma interface gráfic
ca.
Usar compressão de dados
Se a opção estiver marcada, toda in
nformação que trafega
ar no sentido cliente a servidor ou no sen
ntido inverso será com
mprimida, a fim de aumentar a
velocidade de co
omunicação.
Finalização da Geração
G
do pacote pré-configurado
Clicar em
m “Aplicar”
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
2 de 6
Página:
•
•
2.0
Aker Securrity Solutions
www.aker.com.br
HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
Novo pac
cote gerado com sucesso, agora basta utiliz
zar este novo “MSI” para
p
instalação de sua
as estações de trabalh
ho que farão acesso re
emoto, que as configu
urações do
Cliente Secure Roaming já esta
arão prontas.
Como distribuir o pacote do
o Cliente Secure Roa
aming através do Ac
ctive Directory, utilizando Group Police
e?
Criar um
m GPO para implanta
ação de software
É possív
vel criar um GPO e vinculá-lo a qualqu
uer recipiente do Ac
ctive Directory que contenha
c
os computtadores de destino n
nos quais deseja im
mplantar o
AkerSecu
ureRoamingCliente.ms
si. Por exemplo, um recipiente do Active Directory pode ser um
u
site, um domínio ou uma unidade org
ganizacional (OU). As seguintes
instruçõe
es o direcionam a usarr um domínio como um
m recipiente e usar a filtragem de seguranç
ça pra direcionar o GP
PO para computadores
s específicos.
Para seu ambiente, aconselha
amos vincular o GPO a um recipiente dife
erente, como uma unidade organizacional. É possível vincular a qualquer recipiente do Active
Directory
y que desejar. Além disso,
d
é possível edita
ar um GPO existente em vez de criar um novo apenas para a implantação do AkerSecureRoamingCliente.msi. No
entanto, não recomendamos a edição da diretiva de
e domínio padrão nem
m da diretiva de contro
oladores de domínio padrão.
p
Crie um GPO para implantação do AkerSecureR
RoamingCliente.msii
Use um dos
d seguintes métodos para criar um GPO para
p
implantação do AkerSecureRoamingCl
A
iente.msi.
Se você não
n
possuir o GPMC (C
Console de gerenciam
mento de diretiva de grupo ) instalado, exec
cute estas etapas:
•
Em um controlador de domínio ou esttação de trabalho adm
ministrativa, abra Usuá
ários e computadores do Active Directory.
Localize a unidade organizacional que
e contém os computad
dores nos quais deseja
a implantar o AkerSec
cureRoamingCliente.m
msi.
Clique com o bo
otão direito do mouse nessa unidade organizacional e clique em Propriedades.
P
Clique na guia Diretiva
D
de grupo e em
m Nova.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
3 de 6
Página:
•
•
•
2.0
Aker Securrity Solutions
www.aker.com.br
HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
Na caixa Novo GPO,
G
especifique um nome
n
para o novo GPO
O e clique em OK.
Editar um
m GPO para implantação de software
Após cria
ar um ponto de distriibuição e um GPO pa
ara implantação do “A
AkerSecureRoamingClliente.msi”, é necessá
ário modificar o GPO usando o recurso Instalação e
manutenção de software da diretiva
d
de grupo. Parra implantar o “AkerS
SecureRoamingCliente
e.msi”, é necessário usar
u
o nó Configuraçã
ão do computador no
o Editor de
objeto de
e diretiva de grupo.
Para editar um GPO para impla
antação de software, execute estas etapas:
•
•
•
Clique com o bo
otão direito do mouse no novo GPO e clique
e em Editar.
No Editor de objjeto de diretiva de gru
upo, clique em Configu
uração do computador, em Configurações do
d software e em Insttalação do software.
No menu Arquiv
vo, aponte para Novo e clique em Pacote.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
4 de 6
Página:
•
2.0
Aker Securrity Solutions
www.aker.com.br
HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
Na caixa de diá
álogo Abrir, digite o caminho
c
UNC (conven
nção de nomenclatura
a universal) completo
o do pacote do instalador compartilhado que
q
deseja
distribuir na caix
xa Nome do arquivo. Digite
D
esse caminho no
n seguinte formato:
NomedoS
ServidorPastaComparttilhadaAkerSecureRoamingCliente.msi
ou
IP_do_se
ervidorPastaCompartilhadaAkerSecureRoam
mingCliente.msi
•
•
•
•
•
Verifique se está
á usando o caminho UNC
U
do pacote do insta
alador compartilhado..
Selecione o paco
ote do Windows Installer e clique em Abrir.
Na caixa de diálogo Implantar softwa
are, clique em Atribuíído e em OK. O pacotte do instalador comp
partilhado selecionado
o aparece no painel à direita do
Editor de objeto de diretiva de grupo..
Observação Nom
medoServidor e IP do
d servidor são espaços reservados para o nome do servidor ou endereço IP do
o computador no qua
al a pasta
compartilhada está
e
localizada. PastaC
Compartilhada é um es
spaço reservado para a pasta compartilhad
da que está no servido
or.
Desativando a checagem de linguagem do GPO:
o
Cllique com o botão dire
eito do mouse no novo
o pacote e clique em Propriedades.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
5 de 6
Página:
•
2.0
Aker Securrity Solutions
www.aker.com.br
HOW TO Como d
distribuir o C
Cliente Secure Roamin
ng em sua rede através d
de Interface Gráfica Produto: do produto: Versão d
Versão d
do documento: Data de revisão: Data da publicação: Secure Roaming Client
C
•
Clique na aba Distribuição (Deployme
ent) e clique em Avanç
çado.
Marque a opção de Ignorar a linguage
em quando distribuir este
e
pacote e OK em todas as janelas.
Agora basta rein
niciar as estações de trabalho
t
que pertence
em a este domínio que
e as mesmas terão o Cliente
C
do secure Roaming instalados.
Implantar software para grrupos de segurança específicos
É possíve
el usar filtragem de se
egurança na diretiva de
d grupo para implanttar o AkerSecureRoam
mingCliente.msi apenas para computadores que são membros de
e um grupo
de segurrança específico. Por exemplo,
e
se um GPO
O for criado no nível do
d domínio usando o procedimento descrito por esse artigo, vo
ocê poderá usar a filtragem de
seguranç
ça para direcionar o GPO
G
apenas para comp
putadores que deseja. Primeiro, é necessário criar o grupo de segurança e adicionar computadores de des
stino como
membros
s.
Para criar um grupo de segura
ança, execute estas ettapas:
•
•
•
•
Clique com o bo
otão direito do mouse no domínio ou recipie
ente do Active Directory que deseja como destino, clique em Nov
vo e em Grupo.
Dê um nome para o grupo de seguran
nça.
Clique na guia Membros
M
e em Adicion
nar.
Digite os nomes
s dos computadores e clique em OK.
Direcione
e o AkerSecureRoamin
ngCliente.msi usando a filtragem de segura
ança
•
•
•
•
•
No GPMC, clique
e duas vezes nos Obje
etos de diretiva de gru
upo.
Clique no GPO no
n qual deseja aplicar a filtragem de segura
ança.
No painel de res
sultados, clique em Ad
dicionar na guia Escop
po.
Na caixa Digite o nome do objeto pa
ara selecionar, digite o nome do grupo, do usuário ou do compu
utador que deseja adicionar ao filtro de se
egurança e
clique em OK.
Se Usuários auttenticados aparecer na
n seção Filtragem de
e segurança da guia Escopo,
E
selecione ess
se grupo e clique em Remover. Isso certifiica de que
apenas membro
os do(s) grupo(s) adicionado(s) pode(m) receber as configuraçõe
es nesse GPO.
Observaç
ção: As configurações em um GPO aplicam--se apenas aos seguin
ntes usuários e compu
utadores:
•
•
Usuários e comp
putadores contidos no
o domínio, a unidade organizacional
o
ou as unidades
u
organizacionais com as quais o GP
PO está vinculado.
Usuários e comp
putadores especificado
os na filtragem de seg
gurança ou que são membros
m
de um grupo especificado na filtrag
gem de segurança.
É possíve
el especificar diversos grupos, usuários ou computadores
c
no filtro
o de segurança para um
u único GPO.
Documentação Auxiliar de
d
Produto – Aviso
o Legal: esta docu
umentação deve ser utilizada somente
e por
orário que uma alteração de configuração
o não
administradores ou usuários experientes, prefferencialmente em ho
cte no funcionamento
o do ambiente. A Aker não é responsável pe
elo mau uso deste doc
cumento.
impac
1.0
31/0
08/11
12/12/2
2006
6 de 6
Página:
•
•
2.0
Aker Securrity Solutions
www.aker.com.br