Integrazione del provider di sicurezza

Transcript

Virtualize Your People
Indice
Introduzione
2
Panoramica della configurazione
2
Gruppi LDAP
4
RADIUS
5
Kerberos
6
Gruppi
7
Dettagli della configurazione
8
Impostazioni generali
8
Impostazioni LDAP
9
Impostazioni RADIUS
17
Impostazioni Kerberos
18
Impostazioni gruppo
18
Prioritizzazione dei provider di sicurezza
19
Soluzione di problemi
20
BOMGAR | +01.601.519.0123 | www.bomgar.com
1
Introduzione
La presente guida fornirà un valido aiuto nella configurazione di Bomgar Box™ per comunicare con un
provider di sicurezza al fine di eseguire l’autenticazione di utenti rispetto ad archivi directory esterni.
Per stabilire procedure di gruppo basate su gruppi all’interno di un server remoto, bisogna prima
configurare un provider utente e un provider di gruppo distinto e quindi abilitare ricerca gruppi
dalla pagina di configurazione del provider utente. Si può utilizzare un unico provider di sicurezza
di gruppo per autorizzare utenti provenienti da molteplici server compreso LDAP, RADIUS e Kerberos.
Per l’assistenza, rivolgersi al numero +01.601.519.0123 int.2 o all’indirizzo [email protected].
Panoramica della configurazione
1.
Dall’interfaccia amministrativa /login, vai alla pagina
Fornitori di sicurezza sotto la scheda Sicurezza e Utenti
e fai clic su Configura nuovo provider.
2.
Inserisci un nome per questa configurazione di provider
di sicurezza o di gruppo. Quando vengono configurati
molteplici provider di sicurezza, questo nome viene usato
per distinguere questo provider dagli altri. Potrebbe anche
servire per eseguire l’autenticazione di un agente di
collegamento.
3.
Seleziona il tipo di server e quindi scegli di eseguire
l’autenticazione di utenti o cerca autorizzazione di gruppi
da questo server.
Selezionando Utenti si indica che singoli utenti nell’archivio
directory esterno possono usare le credenziali che già
possiedono per eseguire l’autenticazione con Bomgar.
Selezionando Gruppi si indica che in questo provider di
sicurezza si possono cercare le iscrizioni di gruppi di utenti.
Per raggruppare due o più provider di sicurezza per failover
o bilanciamento del carico, selezionare Gruppo come tipo
di server quindi Utenti o Gruppi per impostare il tipo di
provider di sicurezza su raggruppamento.
4.
Si può selezionare una configurazione specifica di server per inserire anticipatamente dati
standard in alcuni campi sulla pagina seguente; tali informazioni devono essere modificate per
corrispondere alla tua specifica configurazione.
In alternativa, se stai configurando un gruppo, seleziona la modalità operativa. Per maggiori
particolari vedere la sezione gruppi.
5.
Fare clic su Aggiungi provider per avanzare alla pagina seguente e configurare la
connessione tra Bomgar Box e il proprio provider di sicurezza.
2
Utenti LDAP
A
C
E
G
I
A
Nome
p8
B
Tipo di servizio
p8
C
Tipo di server
p8
D
Mantieni il nome del display
sincronizzato con il sistema
remoto
p8
E
Indirizzo host server LDAP
p9
H
F
Porta server LDAP
p9
J
G
Modalità di sicurezza
p9
H
Chiave pubblica CA
p9
I
Usa legame anonimo
p9
J
Attacca nome utente
p9
K
Attacca password
p9
L
Search Base
p10
M
Il dispositivo può comunicare
direttamente con questo server
p10
N
Password agente di
collegamento
p10
O
Interrogazione utente
p10
P
Classi oggetti utente
p11
Q
ID oggetto utente esclusiva
p11
R
Nome display oggetto utente
p12
S
Interrogazione display
p12
T
Procedura predefinita
p8
B
D
F
K
L
M
N
O
P
Q
R
S
T
3
Gruppi LDAP
A
C
E
G
I
K
M
B
D
F
H
J
L
N
O
P
Q
R
S
T
U
V
W
A
Nome
p8
B
Tipo di servizio
p8
C
Tipo di server
p8
D
Usa configurazione da
E
Indirizzo host server LDAP
p9
F
Porta server LDAP
p9
G
Modalità di sicurezza
p9
H
Chiave pubblica CA
p9
I
Usa legame anonimo
p9
J
Attacca nome utente
p9
K
Attacca password
p9
L
Search Base utente
p10
M
Il dispositivo può comunicare
direttamente con questo server
p10
N
Password agente di collegamento
p10
O
Interrogazione utente
p10
P
Classi oggetti utente
p11
Q
ID oggetto utente esclusiva
p11
R
Nome display oggetto utente/gruppo
p12
S
Interrogazione display
p12
T
Search Base gruppo
p13
U
Classi oggetto di gruppo valide
p13
V
ID oggetto di gruppo esclusivo
p13
W
Rapporto da utente a gruppo
p14
X
Esegui una ricerca ricorsiva per Gruppi
p15
p9
X
4
RADIUS
A
C
B
D
E
F
G
H
I
J
A
Nome
p8
B
Tipo di servizio
p8
C
Tipo di server
p8
D
Mantieni il nome del display sincronizzato con il sistema remoto
p8
E
Indirizzo host RADIUS
p17
F
Porta di autenticazione RADIUS
p17
G
Informazione segreta condivisa RADIUS
p17
H
Time-out (secondi)
p17
I
Consentire soltanto i seguenti utenti
p17
J
p8
5
Kerberos
A
C
B
D
E
F
G
A
Nome
p8
B
Tipo di servizio
p8
C
Tipo di server
p8
D
p8
E
Modalità di gestione utente
p18
F
Modalità di gestione SPN
p18
G
p8
6
Gruppi
A
B
C
D
E
F
G
A
Nome
p8
B
Tipo di servizio
p8
C
Tipo di server
p8
D
p8
E
Modalità operativa
p18
F
Membri del gruppo
p18
G
p8
7
Dettagli della configurazione
Impostazioni generali
Nome [tutti]
Il nome assegnato a questa configurazione.
Tipo di servizio [tutti]
Il tipo di servizio selezionato nella pagina precedente.
Tipo di server [tutti]
Il tipo di server per cui si sta configurando il collegamento.
[Utenti LDAP, RADIUS, Kerberos, Gruppo utenti]
Se selezionato, il nome del display di un utente che esegue l’autenticazione con questo provider
corrisponderà sempre al nome del display preso dall’archivio directory. Se la selezione viene
annullata, i nomi del display si possono modificare a livello locale su Bomgar Box.
Procedura predefinita [Utenti LDAP, RADIUS, Kerberos, Gruppo utenti]
Ogni utente che esegue l’autenticazione con un provider di sicurezza deve essere membro di
almeno una procedura di gruppo per collegarsi a Bomgar. Si può selezionare una procedura di
gruppo predefinita da applicare a tutti gli utenti ammessi su questo server.
Notare che se viene stabilita una procedura predefinita, qualsiasi utente che esegua l’autenticazione
con questo server avrà potenzialmente accesso al livello della procedura predefinita. Pertanto,
imposta la procedura predefinita con privilegi minimi per impedire che gli utenti ottengano dei
permessi che non dovrebbero avere.
Se un utente si trova in una procedura di gruppo predefinita e viene in seguito esplicitamente
aggiunto a un’altra procedura di gruppo, le impostazioni per la procedura esplicitamente aggiunta
avranno sempre la precedenza sulle impostazioni predefinite, anche se la procedura esplicita ha
una priorità inferiore a quella predefinita, e anche se le impostazioni della procedura predefinita sono
impostate in modo da non consentirne la cancellazione.
NOTA: Se scegli di accettare tutti gli utenti su un server RADIUS, devi designare una procedura
predefinita. Se non viene stabilita una procedura predefinita, devi assegnare individualmente alle
procedure di gruppo utenti esplicitamente accettati su RADIUS.
8
Impostazioni LDAP
Usa configurazione da [Gruppi LDAP]
Configura le impostazioni del provider di gruppo LDAP da zero o copia le impostazioni da un provider utenti
LDAP definito in precedenza.
Indirizzo host server LDAP [Utenti LDAP, Gruppi LDAP]
Nome host o IP del server LDAP.
NOTA: Se si utilizza LDAP con TLS o LDAPS, il nome host deve corrispondere a quello usato nel Subject
Name (Nome soggetto) della certificazione pubblica SSL del server LDAP o del componente DNS del suo
Alternate Subject Name (Nome soggetto alternativo).
Porta server LDAP [Utenti LDAP, Gruppi LDAP]
Porta del server LDAP. Normalmente la porta 389 per LDAP o 636 per LDAPS. Bomgar supporta anche
catalogazione globale tramite la porta 3268 per LDAP o 3269 per LDAPS.
Modalità di sicurezza [Utenti LDAP, Gruppi LDAP]
Tipo di cifratura da usare quando si comunica con il server LDAP. Se selezioni Usare LDAPS o Usare LDAP
con TLS, devi caricare la certificazione SSL pubblica del server LDAP nel campo Chiave pubblica CA.
NOTA: Per ragioni di sicurezza, si consiglia LDAP con TLS o LDAPS (Windows 2000 non supporta
LDAPS).
Chiave pubblica CA [Utenti LDAP, Gruppi LDAP]
Carica la Chiave pubblica CA in formato PEM per cifrare questa connessione, garantendo la validità del
server e la sicurezza dei dati.
NOTA: Se il Subject Name o il componente DNS del suo Alternate Subject Name della certificazione SSL
pubblica del server LDAP non corrisponde al valore del campo Indirizzo host server LDAP, il provider sarà
considerato non raggiungibile. È possibile, tuttavia, usare una certificazione wildcard per certificare molteplici
sottodomini dello stesso sito. Per esempio, una certificazione per *.example.com certificherà sia support.
example.com che remote.example.com.
Usa legame anonimo [Utenti LDAP, Gruppi LDAP]
Se il tuo server supporta binding anonimi, puoi proseguire senza specificare un nome utente o password.
NOTA: Legame anonimo viene considerato insicuro e viene disabilitato per default dai provider LDAP.
Attacca nome utente [Utenti LDAP, Gruppi LDAP]
Il nome utente a cui Bomgar Box può legarsi e cercare l’archivio directory LDAP. Questo account deve
essere autorizzato a leggere gli attributi da te specificati in Interrogazione utente per tutti gli utenti che
vuoi che siano in grado di eseguire l’autenticazione con il server LDAP. Si sconsiglia di usare un account
amministrativo; un account utente standard di solito è sufficiente ed è più sicuro.
NOTA: Per default, Directory attiva richiede un nome utente bind e una password con permesso di leggere
le iscrizioni di altri gruppi di utenti. Se stai usando Directory attiva e non possiedi ancora un account bind,
crea un account utente con diritto di lettura da usare con Bomgar Box. Vedi la sezione Active Directory di
seguito per sapere come concedere questo diritto.
Attacca password [Utenti LDAP, Gruppi LDAP]
Password da usare con il nome utente bind inserito sopra.
9
Search Base utente [Utenti LDAP, Gruppi LDAP]
Livello nella gerarchia della directory, specificato da un distinguishedName, da cui iniziare la ricerca
utenti. Si possono migliorare le prestazioni designando la specifica unità organizzativa all’interno
del proprio archivio directory che richiede accesso. Se non sei sicuro, o se gli utenti sono sparsi per
numerose unità organizzative, puoi specificare il distinguishedName di base del tuo archivio directory.
Esempio
Spiegazione
dc=example,dc=local
Esegui una ricerca nell’intera struttura della directory.
ou=users,dc=example,dc=local
Cerca soltanto l’unità organizzativa users all’interno della gerarchia della directory,
ignorando le altre unità organizzative.
ou=Atlanta,dc=example,dc=local
Cerca utenti e gruppi con ubicazione ad Atlanta.
Il dispositivo può comunicare direttamente con questo server
[Utenti LDAP, Gruppi LDAP]
Seleziona questa opzione se il tuo server LDAP e Bomgar Box sono sulla stessa LAN e possono
comunicare direttamente. Se il server LDAP e Bomgar Box sono su reti diverse o sono separati da un
firewall, lascia questa opzione non selezionata, dato che devi installare un agente di collegamento per
abilitare la comunicazione.
Password agente di collegamento
[Utenti LDAP, Gruppi LDAP]
Se Bomgar Box e il server LDAP non possono comunicare direttamente, crea una Password agente
di collegamento da usare per l’installazione dell’agente.
Interrogazione utente [Utenti LDAP, Gruppi LDAP]
L’interrogazione da usare per localizzare un utente LDAP quando l’utente cerca di collegarsi. Accetta
una interrogazione LDAP standard (RFC 2254 – Rappresentazione in sequenza di filtri di ricerca
LDAP). Per specificare il valore all’interno della sequenza che deve fungere da nome utente, sostituisci
il valore con %s.
Esempio
Spiegazione
(&(sAMAccountName=%s)(|(
objectClass=user)(objectClass=
person)))
Quando jsmith si collega, cerca nel server LDAP un oggetto dove
sAMAccountName corrisponde a jsmith.
(&(|(sAMAccountName=%s)(
specialVendorAttribute=%s))(|(
objectClass=person)(
objectClass=user)))
Cerca un oggetto dove sAMAccountName o specialVendorAttribute contiene
jsmith e ha una objectClass di person o user.
10
Classi oggetti utente [Utenti LDAP, Gruppi LDAP ]
Specifica objectClasses valide per utenti all’interno del tuo archivio directory. Soltanto utenti che
dispongono di una o più objectClasses saranno autorizzati a eseguire l’autenticazione. Si possono
inserire diverse objectClasses, una per riga.
Esempio
Spiegazione
user
Gli utenti devono avere una objectClass di user.
user
person
Gli utenti devono avere una objectClass di user o person.
ID oggetto utente esclusiva [Utenti LDAP, Gruppi LDAP]
L’identificatore esclusivo per l’oggetto. La maggior parte dei server LDAP includono alcuni campi che
sono esclusivi per oggetto e non cambiano durante l’intera durata di vita dell’utente.
NOTA: Anche se distinguishedName può fare la funzione di questo ID, se il distinguishedName
di un utente cambia, tale utente verrà considerato un nuovo utente e qualsiasi modifica apportata
all’account individuale Bomgar non sarà trasferita al nuovo utente. Se il tuo server LDAP non include un
identificatore esclusivo, utilizza un campo che non dovrebbe avere una voce identica per un altro utente.
La sintassi per questo campo è [object]:[attribute].
[object]
La objectClass utente nella forma di un descrittore o di wildcard *, che indica tutte le classi utente
valide.
[attribute]
L’attributo che contiene l’ID utente esclusivo nella forma di un descrittore o del valore speciale ?, che
indica il distinguishedName dell’oggetto utente.
Esempio
Spiegazione
*:objectGUID
Tutte le classi hanno un attributo objectGUID che funge da identificatore esclusivo.
user:userGUID
person:personGUID
Un oggetto utente ha un attributo userGUID, un oggetto persona ha un attributo personGUID, ed
entrambi sono esclusivi.
user:userGUID
*:objectGUID
Un oggetto utente ha un attributo userGUID che deve essere usato, ma tutte le altre classi hanno un
attributo objectGUID.
user:?
person:objectGUID
Un utente non possiede un identificatore esclusivo eccetto che il distinguishedName, ma la classe
persona ha un attributo objectGUID.
Puoi mescolare e abbinare le definizioni, con una definizione per riga. Tuttavia, viene supportata soltanto una
definizione . Se vengono inserite definizioni wildcard multiple, verrà utilizzata solo l’ultima.
11
Nome display oggetto utente/gruppo [Utenti LDAP, Gruppi LDAP]
Determina quale campo si deve usare per il nome display. La sintassi per questo campo è
[object]:[attribute].
[object]
La objectClass utente o gruppo nella forma di un descrittore o di wildcard *, che indica tutte le classi
utente o gruppo valide.
[attribute]
L’attributo che contiene il nome display desiderato, nella forma di un descrittore o il valore speciale
? o !. Usare ? per specificare il distinguishedName completamente qualificato o ! per specificare il
valore dell’elemento più a sinistra del distinguishedName.
Esempio
Spiegazione
*:displayName
Tutte le classi hanno un attributo displayName.
user:!
Un oggetto utente deve usare l’elemento più a sinistra del distinguishedName.
user:displayName
person:fullName
Un oggetto utente ha un attributo displayName e un oggetto persona ha un attributo fullName.
*:!
Per tutte le classi, si deve usare l’elemento più a sinistra del distinguishedName.
user:displayName
*:!
Un utente ha un attributo displayName che si deve usare, ma tutte le altre classi devono usare il
user:?
*:!
Un oggetto utente deve usare il distinguishedName completo, ma tutte le altre classi devono usare il
Interrogazione display [Utenti LDAP, Gruppi LDAP]
Condiziona il modo in cui sono mostrati i risultati quando si aggiungono utenti alle procedure di gruppo.
Esempio
Spiegazione
(objectClass=*)
Predefinito. Mostra tutti gli oggetti rinviati da una interrogazione.
(|(objectClass=user)(objectClass=
organizationalUnit))
Mostra tutte le classi oggetto user o organizationUnit, lasciando perdere
tutti gli altri oggetti.
12
Search Base gruppo [Gruppi LDAP]
Livello nella gerarchia della directory, specificato da un distinguishedName, da cui iniziare la ricerca
gruppi. Si possono migliorare le prestazioni designando la specifica unità organizzativa all’interno
del proprio archivio directory che richiede accesso. Se non sei sicuro, o se i gruppi sono sparsi per
numerose unità organizzative, puoi specificare il distinguishedName di base del tuo archivio directory.
Esempio
Spiegazione
dc=example,dc=local
Esegui una ricerca nell’intera struttura della directory.
ou=groups,dc=example,dc=local
Cerca soltanto l’unità organizzativa groups all’interno della gerarchia della
directory, ignorando le altre unità organizzative.
ou=Atlanta,dc=example,dc=local
Cerca utenti e gruppi con ubicazione ad Atlanta.
Classi oggetto di gruppo valide [Gruppi LDAP]
Specifica objectClasses valide per gruppi all’interno del tuo archivio directory. Verranno rimandati
soltanto gruppi che possiedono una o più objectClasses. Si possono inserire diverse objectClasses di
gruppo, una per riga.
Esempio
Spiegazione
group
Gruppi deve avere una objectClass di group.
group
groupOfUniqueNames
Gruppi deve avere una objectClass di group o groupOfUniqueNames.
ID oggetto di gruppo esclusivo [Gruppi LDAP]
L’identificatore esclusivo per l’oggetto. La maggior parte dei server LDAP includono alcuni campi che
sono esclusivi per oggetto e non cambiano durante la durata di vita del gruppo.
NOTA: Anche se distinguishedName può fungere da ID, se il distinguishedName di un gruppo
cambia, tale gruppo verrà considerato come un nuovo gruppo, e qualsiasi procedura di gruppo stabilita
per quel gruppo non sarà trasferita al nuovo gruppo. Se il tuo server LDAP non include un identificatore
esclusivo, utilizza un campo che non dovrebbe avere una voce identica per un altro gruppo.
La sintassi per questo campo è [object]:[attribute].
[object]
La objectClass gruppo nella forma di un descrittore o di wildcard *, che indica tutte le classi gruppo
valide.
[attribute]
L’attributo che contiene l’ID gruppo esclusivo nella forma di un descrittore o del valore speciale ?, che
indica il distinguishedName dell’oggetto gruppo.
13
Esempio
Spiegazione
*:objectGUID
Tutte le classi hanno un attributo objectGUID che funge da identificatore esclusivo.
group:groupGUID
*:objectGUID
Un oggetto gruppo ha un attributo groupGUID che deve essere usato, ma tutte le altre classi hanno un
attributo objectGUID.
group:?
*:objectGUID
Un gruppo non possiede un identificatore esclusivo eccetto che per il distinguishedName, ma tutte le
altre classi hanno un attributo objectGUID.
Puoi mescolare e abbinare definizioni specifiche, con una definizione per riga. Tuttavia, viene
supportata soltanto una definizione. Se vengono inserite definizioni wildcard multiple, verrà utilizzata
solo l’ultima.
Rapporto da utente a gruppo [Gruppi LDAP]
L’interrogazione per stabilire quale utente appartiene a quale gruppo o viceversa quale gruppo
contiene quale utente. La sintassi per questo campo ha la seguente forma:
[user_object]:[user_attribute]=[group_object]:[group_attribute]
[user_object]
La objectClass utente nella forma di una objectClass valida o di wildcard *, che indica tutte le classi
utente valide.
[user_attribute]
L’attributo che contiene l’ID utente esclusivo nella forma di una objectClass valida o del valore
speciale ?, che indica il distinguishedName dell’oggetto utente.
[group_object]
La objectClass di gruppo nella forma di una objectClass valida o di wildcard *, che indica tutte le
classi del gruppo.
[group_attribute]
L’attributo che contiene l’ID gruppo esclusivo nella forma di una objectClass valida o del valore
speciale ?, che indica il distinguishedName di quell’oggetto gruppo.
Esistono diversi modi con cui un rapporto utente/gruppo può essere conservato nell’archivio LDAP.
Uno dei modi consiste nel conservare i gruppi a cui il membro appartiene come una proprietà
dell’utente, normalmente in un attributo memberOf, che può avere molteplici valori, essendo ogni
valore il distinguishedName di un gruppo a cui l’utente appartiene.
Esempio
Spiegazione
*:memberOf=*:?
Tutti gli utenti validi hanno un attributo memberOf che conserva il distinguishedName di tutti i
gruppi validi a cui quell’utente appartiene.
Un altro modo consiste nel conservare quali utenti appartengono a un gruppo come una proprietà
del gruppo, normalmente in un attributo member, che può avere molteplici valori, essendo ogni
valore il distinguishedName di un utente che appartiene a quel gruppo.
14
Esempio
Spiegazione
*:?=*:member
Tutti i gruppi validi hanno un attributo membro che conserva il distinguishedName di tutti gli utenti
validi che appartengono a quel gruppo.
Infine, alcuni server hanno ottimizzato il processo includendo un attributo speciale per l’utente,
elencando tutti i gruppi a cui quell’utente appartiene, tutti i gruppi a cui tali gruppi appartengono, e via
dicendo, tutti in un solo campo. I valori possono essere distinguishedNames o un attributo speciale.
Esempio
Spiegazione
*:tokenGroups=*:objectSID
Tutti gli utenti validi hanno un attributo tokenGroups che conserva la proprietà objectSID di tutti
i gruppi validi a cui tale utente appartiene e a cui a loro volta tali gruppi appartengono.
Esegui una ricerca ricorsiva per Gruppi [Gruppi LDAP]
La ricerca ricorsiva per gruppi esegue una interrogazione per un utente, quindi per tutti i gruppi a cui
quell’utente appartiene, quindi per tutti i gruppi a cui quei gruppi appartengono, e via dicendo fino a
quando tutti i possibili gruppi associati al dato utente sono stati trovati.
La ricerca ricorsiva può influenzare notevolmente la performance, in quanto il server continuerà a
inoltrare interrogazioni fino a quando ha trovato informazioni su tutti i gruppi. Se ci impiega troppo
tempo, l’utente potrebbe non riuscire a collegarsi.
Una ricerca non ricorsiva inoltra soltanto una interrogazione per utente. La ricerca ricorsiva non
è necessaria se il server LDAP ha un campo speciale che contiene tutti i gruppi a cui appartiene
l’utente o se la tua directory non riesce a gestire membri di gruppi.
Esempio
Spiegazione
*:?=*:member
(con ricerca ricorsiva
abilitato)
LDAP cerca tutti i gruppi di cui l’utente fai parte. Quindi cerca tutti i gruppi che contengono membri in
base ai distinguishedNames dei gruppi rinviati in precedenza. Ripeterà questo processo fino a quando
non viene trovato nessun nuovo risultato.
Agente di collegamento
Se stai utilizzando un server LDAP nella stessa LAN di Bomgar Box, i due sistemi potrebbero
riuscire a comunicare direttamente. Se non riescono a comunicare direttamente, scaricando l’agente
di collegamento Win32 si consente al server LDAP e a Bomgar Box di comunicare tramite una
connessione in uscita cifrata SSL, senza configurazione di firewall. L’agente di collegamento si può
scaricare sia sul server LDAP o su un server separato sulla rete (consigliato).
Fare clic su Scarica agente di collegamento dalla pagina di modifica del provider di sicurezza.
Esegui la guida di installazione e segui i passi per installare l’agente di collegamento.
NOTA: Per default, l’agente di collegamento usa LDAPS. Bomgar raccomanda vivamente di non
cambiare questa impostazione. Tuttavia, se la tua impostazione di rete richiede che l’agente usi una
connessione LDAP non sicura, puoi andare alla directory sopra specificata e aprire il file bomgar.ini.
Alla fine del file, aggiungi ldap_agent_nonsecure=1, quindi salva e chiudi il file. Per rendere attiva
la modifica,apri la console di gestione servizi digitando Services.msc nella casella di dialogo Run
(Esegui). Seleziona e riavvia l’agente di collegamento Bomgar.
15
Directory attiva – Specifica per Windows 2000/2003
La configurazione ottimale di Directory attiva è la sequenza di ricerca di gruppi
*:tokenGroups=*:obectSID, con ricerca ricorsiva disabilitata. Questa esegue una singola
interrogazione per trovare l’iscrizione di gruppo per un utente. Sfortunatamente, potrebbe non
funzionare con vari domini a causa dei permessi sugli attributi tokenGroups e memberOf. Per leggere
tali attributi, l’utente autorizzato deve aver ricevuto un permesso esplicito di leggere tokenGroups o
memberOf per altri oggetti nella directory.
NOTA: Sebbene un account Domain Admin abbia questo permesso di lettura per default, l’utilizzo
di questo tipo di account è vivamente sconsigliato. Anche se Bomgar adotta tutte le precauzioni per
proteggere la sicurezza dei dati, potrebbero comunque persistere rischi di sicurezza trasmettendo
spesso tali credenziali.
La configurazione consigliata è di creare un account specifico per Bomgar Box da usare per il browsing
del server Directory attiva. Una volta creato tale account, assegna in modo specifico la serie limitata
di permessi necessari per questo account per consentire agli utenti di collegarsi tramite Bomgar Box
senza compromettere la sicurezza della tua organizzazione.
Se non puoi assegnare tali permessi, puoi comunque consentire agli utenti di collegarsi a Bomgar
Box con diritti specifici in base ai loro gruppi. Inserisci un’interrogazione utente-a-gruppo di
*:?=group:member, con ricerca ricorsiva abilitata.
Per assegnare in modo esplicito il permesso di leggere un attributo particolare a un utente o gruppo
specifico, si deve modificare la Active Directory ACL. Il seguente comando deve essere eseguito da un
utente con permessi di modifica dello schema:
dsacls [distinguishedName of domain] /I:T /G “User or Group”:rp;tokenGroups
dsacls
Strumento per modificare la Active Directory ACL.
[distinguishedName of domain]
Il distinguishedName dell’oggetto del dominio per iniziare a modificare il permesso.
/I:T
Specifica che la ACL riguarda questo oggetto e tutti i sotto-oggetti.
/G
Indica che si tratta di un permesso assegnato.
“User or Group”
L’utente o il gruppo nel dominio a cui assegnare il diritto.
rp
Indica che il permesso è un permesso speciale di leggere una proprietà.
tokenGroups
La proprietà a cui viene assegnato il diritto di leggere.
Esempio: dsacls “DC=example,DC=local” /I:T /G “BomgarBox”:rp;tokenGroups
Questo assegna all’account BomgarBox il permesso di leggere la proprietà tokenGroups su qualsiasi
oggetto nel dominio DC=example,DC=local.
Per maggiori informazioni sullo strumento dsacls, consultare http://support.microsoft.com/kb/281146.
16
Impostazioni RADIUS
Indirizzo host RADIUS [RADIUS]
Nome host o IP del server RADIUS.
Porta di autenticazione RADIUS [RADIUS]
Porta del server RADIUS. Normalmente la porta 1812.
Informazione segreta RADIUS[RADIUS]
Crea una nuova informazione segreta in modo che RADIUS e Bomgar Box possano comunicare.
Time-out (Secondi) [RADIUS]
Periodo del tempo di attesa per la risposta di un server. Nota che se la risposta è Response-Accept
(Accetta risposta) o Response Challenge (Rifiuta risposta), RADIUS attenderà tutto questo
tempo prima di eseguire l’autenticazione dell’account. Pertanto, mantieni questo valore il più basso
possibile. Un valore ideale è di 3-5 secondi, con il valore massimo di 10 secondi.
Consentire soltanto i seguenti utenti [RADIUS]
Scegli di consentire l’accesso soltanto a utenti specificati o lascia questo campo bianco per accettare
tutti gli utenti che eseguono l’autenticazione con il server RADIUS. Se consenti l’accesso a tutti, devi
anche specificare una procedura di gruppo predefinita.
Windows 2000/2003 (Specifico IAS)
Ciascun utente che esegue un’autenticazione sul server IAS deve avere diritto di accesso remoto,
che può essere stabilito tramite lo snap-in della Active Directory a Users and Computer (Utenti e
computer). Visualizza le proprietà per l’utente idoneo. Nella scheda Dial-in, assegna Allow Access
to Remote Access (Consenti accesso ad accesso remoto).
È anche possibile configurare tale permesso mediante la procedura di accesso remoto. Consulta il
materiale informativo di Windows per i passi necessari.
IMPORTANTE: La procedura deve consentire autenticazione via PAP, in quanto è l’unico metodo
RADIUS attualmente supportato. Controlla la procedura IAS per assicurarti che questo metodo sia
supportato come mezzo di autenticazione tramite Bomgar Box.
17
Impostazioni Kerberos
Modalità di gestione utente [Kerberos]
Accetta tutti gli utenti – Accetta chiunque esegua l’autenticazione tramite il tuo KDC per collegarsi
a Bomgar.
Accetta soltanto dati principali dell’utente specificati nell’elenco – Consente soltanto dati
principali dell’utente specificati per collegarsi a Bomgar.
Accetta soltanto dati principali dell’utente che corrispondono alla espressione regolare –
Consente soltanto dati principali che corrispondono a una espressione regolare compatibile Perl
(PCRE) per collegarsi a Bomgar.
Modalità di gestione SPN [Kerberos]
Accetta tutti i nomi SPN (Service Principal Names) per questo provider di sicurezza o seleziona SPN
specifici da un elenco di SPN attualmente configurati.
Impostazioni gruppo
Modalità operativa [Gruppo utenti, Gruppo gruppi]
La modalità di Failover or Selezione casuale. Failover prima prova con il server con la massima
priorità nel gruppo e poi, se il server non è disponibile o l’account non viene trovato, scende
nell’elenco di server raggruppati fino a che trova l’account o stabilisce che l’account non esiste in
nessuno dei server disponibili specificati.
Selezione casuale bilancia il carico tra numerosi server, scegliendo a caso su quale server fare
il primo tentativo e poi, se il server non è disponibile o l’account non viene trovato, cerca a caso
nell’elenco degli altri server del gruppo fino a che trova l’account o stabilisce che l’account non esiste
in nessuno dei server disponibili specificati.
Membri del gruppo [Gruppo utenti, Gruppo gruppi]
Dall’elenco di Provider disponibili, seleziona i server che desideri raggruppare e portali nel campo
Provider aggiunti. Sebbene non si possa aggiungere un provider di sicurezza a più di un gruppo,
un gruppo può essere aggiunto come membro di un altro gruppo.
18
Prioritizzazione dei provider di sicurezza
1.
Per configurare l’ordine con cui Bomgar Box cerca gli utenti, trascina e lascia andare i provider
configurati per impostarne la priorità predefinita. I gruppi di server si muovono come una
singola unità e si possono ordinare per priorità all’interno del gruppo.
2.
Dopo aver modificato l’ordine di priorità predefinito, fai clic su Salva le modifiche.
3.
Per default, i provider di sicurezza sono impostati su Prova il server successivo se per un
qualsiasi motivo l’autenticazione non riesce. Per opzioni di configurazione più complesse, fai
clic su Modifica per un server o un gruppo.
4.
Si offrono tre ipotesi di autenticazione non riuscita.
Se non si trova l’utente – Si esegue una ricerca per un
utente in questo server e l’utente non viene localizzato.
Se il provider non è raggiungibile – Bomgar Box non
riesce a comunicare con il server.
Se l’autenticazione non riesce – Bomgar Box riesce a
contattare il server ma le credenziali fornite non sono corrette.
5.
Per ciascuna delle ipotesi sopra indicate, imposta il tipo di azione da intraprendere.
Prova il server successivo – Vai al server successivo nell’elenco di provider configurati e
prova ad eseguire l’autenticazione.
Rifiuta login – Impedisci all’utente di collegarsi.
Prova un server specifico: {Nome del server} – Vai al server specificato e prova a eseguire
l’autenticazione. Questa opzione sarà disponibile per tutti i server e gruppo configurati.
6.
Imposta Se l’autenticazione riesce su consenti login oppure su cerca gruppi a cui quell’utente
appartiene all’interno di un server di gruppo specificato.
IMPORTANTE: Per stabilire procedure di gruppo basate su gruppi all’interno di un server
remoto, bisogna prima configurare un provider utente e un provider di gruppo distinto e quindi
abilitare ricerca gruppi dalla pagina di Modifica del provider utente. Molteplici provider utenti
possono fare una ricerca di gruppi da un solo provider.
19
Soluzione di problemi
1.
Il modo migliore per riuscire a superare il problema di un
collegamento non riuscito è di verificare le impostazioni di
sicurezza del provider. Per verificare una configurazione,
fai clic su Modifica per un server o un gruppo.
2.
fai clic su Verifica impostazioni in fondo alla pagina e
inserisci nome utente e password per un account nel
server o gruppo che stai collaudando.
3.
Se il provider di sicurezza è configurato correttamente e hai inserito un nome utente e una
password validi, riceverai un messaggio di operazione riuscita. Altrimenti, vedrai un messaggio
di errore. fai clic su Mostra dettagli per vedere un log che ti aiuterà a risolvere il problema. Per
riuscire a capire i messaggi di errore che potresti ricevere, consulta i particolari qui di seguito.
NOTA: Un test del server di gruppo stabilisce soltanto che ti puoi collegare al server e legarti al
nome utente dato. Non verifica le impostazioni di gruppo. Se autenticazione server di gruppo non è
abilitata, il test non si può effettuare, anche se la configurazione è corretta e il collegamento riesce.
Essendo l’autenticazione gestita da server utenti, un test di server di gruppo non riuscito in cui si
effettua il collegamento non dovrebbe creare nessun problema.
Un test di gruppo fai un tentativo sui server membri in base alla modalità operativa, in ordine di
priorità oppure a caso. Se il primo server su cui si compie il tentativo è correttamente configurato
e sono state inserite le credenziali di test corrette, riceverai un messaggio di operazione riuscita.
Altrimenti, il gruppo eseguirà un tentativo sul server successivo. Se il test riesce su uno qualsiasi
dei server, riceverai un messaggio di operazione riuscita, anche se gli altri server non sono
configurati correttamente. Riceverai un messaggio di errore soltanto se non riesci a legarti a
nessuno dei server raggruppati.
I provider Kerberos non possono essere collaudati.
4.
Se un test non riscontra errori ma l’utente non riesce a collegarsi a Bomgar usando quelle stesse
credenziali, controlla che almeno uno dei seguenti criteri sia rispettato.
a.
L’utente è stato esplicitamente aggiunto a una procedura di gruppo esistente.
b.
È stata impostata una procedura di gruppo predefinita per la configurazione del provider di
sicurezza creando accesso al server con cui l’utente sta eseguendo l’autenticazione.
c.
L’utente è membro di un gruppo che è stato esplicitamente aggiunto a una procedura di
gruppo esistente e sono rispettate entrambe le seguenti condizioni:
•
Sia il provider utenti che il provider gruppi sono stati configurati individualmente.
•
Ricerca di gruppo è stata abilitata sul provider utenti.
20
Messaggio 1: Autenticazione non riuscita
1.
Il nome utente e la password che si stanno collaudando non corrispondono.
2.
Inserire nuovamente le credenziali o provare un altro nome utente e password.
Messaggio 9: Non riuscito perché sono necessarie maggiori informazioni
(Challenge/Response)
1.
La password/PIN utente è scaduta o l’amministratore ha reimpostato la password. Dato che
l’utente che esegue il test per mezzo della pagina Fornitori di sicurezza non vede il prompt
per reimpostare la password o per prendere atto della modifica dell’amministratore, il test non
riesce per mancanza di informazioni da parte dell’utente.
2.
Poiché un test non riuscito con questo messaggio non significa necessariamente che il server
non sia configurato correttamente, provare con un altro nome utente la cui password non è
stata e non ha bisogno di essere reimpostata.
Messaggio 10: Server non disponibile
1.
I tuoi dati DNS devono essere corretti. Puoi verificare se il server DNS risponde usando
gli strumenti alla pagina Utilities sotto la scheda Support (Assistenza) nella interfaccia
amministrativa di /appliance.
2.
La porta 398 per LDAP o la porta 636 per LDAPS deve essere aperta in qualunque firewall che
potrebbe trovarsi tra il tuo server e Bomgar Box o tra il server e un agente di collegamento che
potresti avere installato. Bomgar supporta anche catalogazione globale tramite la porta 3268
per LDAP o 3269 per LDAPS.
3.
Se si utilizza LDAP con TLS o LDAPS, il nome host inserito deve corrispondere a quello
usato nel Subject Name della certificazione pubblica SSL del server LDAP o del componente
DNS del suo Alternate Subject Name.
4.
a.
Per esempio, se la certificazione viene assegnata a support.example.com e il nome host
inserito è remote.example.com, il collegamento non riesce perché il server non sa che
support.example.com è lo stesso sito di remote.example.com.
b.
In questo caso, si deve cambiare il nome host inserito nella pagina di configurazione.
c.
È possibile usare una certificazione wildcard per certificare molteplici sottodomini dello
stesso sito. Per esempio, *.example.com certificherà sia support.example.com che
remote.example.com.
Il tuo server e Bomgar Box devono essere in grado di comunicare.
a.
Per esempio, se il tuo server si trova dietro il firewall della tua azienda, ma Bomgar Box
è nel DMZ, non potranno comunicare direttamente.
b.
In tal caso, installa un agente di collegamento per abilitare la comunicazione.
21
5.
6.
7.
Il logging può aiutare a verificare se esiste un problema con l’agente di collegamento. Per abilitare logging con
agente di collegamento, seguire i passi seguenti.
a.
Vai alla directory in cui è installato l’agente di collegamento e apri il file bomgar.ini.
b.
Alla fine della sezione [General], aggiungi agent_log_filename=”{path}\{provider}_Con_Agnt.log” dove
{path} è la path del file per l’agente di collegamento e {provider} è il nome configurato del provider di
sicurezza. Salva e chiudi il file.
c.
Per attivare la modifica di agente di collegamento, apri la console di gestione servizi digitando Services.
msc nella casella di dialogo Run. Seleziona e riavvia l’agente di collegamento Bomgar.
d.
Il log verrà creato nella directory in cui si trovano i file dell’agente di collegamento.
Assicurati che l’agente di collegamento sia online e in grado di collegarsi in uscita al dispositivo.
a.
Si consiglia di installare l’agente su un sistema ad elevata disponibilità.
b.
Il modo migliore per prevenire autenticazioni non riuscite nel caso in cui il sistema host dell’agente di
collegamento fosse guasto è di utilizzare la funzione incorporata di raggruppamento di Bomgar per
configurare due sistemi in una configurazione di gruppo failover. Questo consente a un solo controller di
dominio di avere una certa ridondanza.
c.
Un modo per verificare se l’agente di collegamento ha perso la connessione al server è di aprire una
procedura di gruppo configurata. Se il campo Membri procedura di gruppo mostra @@@ prima di una
sequenza casuale di caratteri, l’agente di collegamento è probabilmente offline o ha perso la comunicazione.
d.
Se un agente di collegamento perde la comunicazione, i log dell’agente dovrebbero indicare che non riesce
a stabilire una connessione sicura in uscita con il dispositivo.
Il Nome del provider di sicurezza e la Password inseriti durante l’installazione dell’agente devono essere
esattamente uguali a quelli inseriti durante l’impostazione del provider di sicurezza.
a.
È un errore comune utilizzare il nome del controller e la password amministrativa quando si imposta l’agente
di collegamento invece del nome e password impostati durante la configurazione del provider di sicurezza.
b.
Controlla il valore definito come nome del server aprendo il file bomgar.ini nella directory dell’agente di
collegamento e verificando il valore ldap_agent_name.
Per modificare il nome del server o la password a cui si riferisce l’agente, prima disinstalla l’agente di
collegamento esistente e quindi installa una nuova copia di agente.
c.
d.
Quando ti viene chiesto di inserire Nome del provider di sicurezza e Password, assicurati di inserire i
valori da te definiti nella configurazione del provider dell’interfaccia Bomgar /login. Completa l’installazione.
8.
Devi utilizzare l’informazione segreta corretta tra RADIUS e Bomgar Box.
9.
Se un utente che normalmente esegue l’autenticazione non riesce a collegarsi, verifica se le ore di utilizzo
dell’utente hanno dei limiti nel server RADIUS.
22
10. Se stai usando un server IAS, l’utente che esegue l’autenticazione deve avere il diritto di
accesso remoto abilitato.
11.
Autenticazione tramite PAP deve essere abilitata. Si tratta dell’unico metodo RADIUS
attualmente supportato. Modifica la procedura IAS per assicurarti che questo metodo sia
supportato come mezzo di autenticazione tramite Bomgar Box.
Messaggio 11: Utente non trovato
1.
Nome utente bind, Password di bind e Search Base devono essere tutti nel formato
corretto nella pagina di configurazione del provider di sicurezza.
2.
Se si utilizza Directory attiva, il nome utente bind deve avere permesso di leggere le iscrizioni
di altri gruppi di utenti nell’archivio della Directory attiva.
3.
La domanda della ricerca deve essere corretta per la configurazione specifica. Fare riferimento
al materiale informativo del provider per ulteriore aiuto per questa configurazione.
Errore 6ca e Login lenti
1.
Un errore 6ca è una risposta predefinta che significa che Bomgar Box non ha ricevuto risposta
dal server DNS. Può verificarsi quando si cerca di collegarsi al client rappresentanti.
2.
Se gli utenti riscontrano login estremamente lenti o ricevono il messaggio di errore 6ca,
verificare che DNS sia configurato nell’interfaccia amministrativa di /appliance.
Risoluzione di problemi per singoli provider
Quando si configura un metodo di autenticazione LDAP, è importante configurare per prima cosa
il provider utenti, poi il provider di gruppo, e infine le iscrizioni alle procedure di gruppo. Quando si
cerca di risolvere un problema, bisogna compiere il percorso contrario.
1.
Verificare che la procedura di gruppo stia cercando i dati validi per un dato provider e di non
avere nessun carattere @@@ nel campo Membri procedura di gruppo.
2.
Poi, se è configurato un provider di gruppo, verificare che le impostazioni di collegamento
siano valide e che la Search Base gruppo sia nel formato corretto.
3.
Se vuoi utilizzare ricerca gruppi, controlla che il provider utente sia impostato per cercare le
iscrizioni di gruppo di utenti autenticati.
4.
Per collaudare il provider utenti, imposta una procedura predefinita e vedi se i tuoi utenti
riescono a collegarsi.
5.
Se gli utenti non riescono a collegarsi, controlla che il provider sia primo per priorità o se
provider con una priorità maggiore stiano passando richieste di login non riuscito a questo
provider utenti.
23

Integrazione del provider di sicurezza

Transcript

Documenti analoghi

Scarica PDF

21 MARZO 2015 Hotel Concorde, Arona (NO)

Cosa ne pensano gli Stakeholder: Highlights dalla Ricerca Assirm

Implementare iPhone e iPad Servizi basati su standard

HOTEL VILLA FAVORITA Contrada Falconara

NetRisk

Configurazione account di posta elettronica per Outlook Express

Perché serve FreePOPs?

PBX | Datasheet

Curriculum vitae SICA