Integrazione del provider di sicurezza
Transcript
Integrazione del provider di sicurezza
Integrazione del provider di sicurezza Virtualize Your People Integrazione del provider di sicurezza Indice Introduzione 2 Panoramica della configurazione 2 Gruppi LDAP 4 RADIUS 5 Kerberos 6 Gruppi 7 Dettagli della configurazione 8 Impostazioni generali 8 Impostazioni LDAP 9 Impostazioni RADIUS 17 Impostazioni Kerberos 18 Impostazioni gruppo 18 Prioritizzazione dei provider di sicurezza 19 Soluzione di problemi 20 BOMGAR | +01.601.519.0123 | www.bomgar.com 1 Integrazione del provider di sicurezza Virtualize Your People Introduzione La presente guida fornirà un valido aiuto nella configurazione di Bomgar Box™ per comunicare con un provider di sicurezza al fine di eseguire l’autenticazione di utenti rispetto ad archivi directory esterni. Per stabilire procedure di gruppo basate su gruppi all’interno di un server remoto, bisogna prima configurare un provider utente e un provider di gruppo distinto e quindi abilitare ricerca gruppi dalla pagina di configurazione del provider utente. Si può utilizzare un unico provider di sicurezza di gruppo per autorizzare utenti provenienti da molteplici server compreso LDAP, RADIUS e Kerberos. Per l’assistenza, rivolgersi al numero +01.601.519.0123 int.2 o all’indirizzo [email protected]. Panoramica della configurazione 1. Dall’interfaccia amministrativa /login, vai alla pagina Fornitori di sicurezza sotto la scheda Sicurezza e Utenti e fai clic su Configura nuovo provider. 2. Inserisci un nome per questa configurazione di provider di sicurezza o di gruppo. Quando vengono configurati molteplici provider di sicurezza, questo nome viene usato per distinguere questo provider dagli altri. Potrebbe anche servire per eseguire l’autenticazione di un agente di collegamento. 3. Seleziona il tipo di server e quindi scegli di eseguire l’autenticazione di utenti o cerca autorizzazione di gruppi da questo server. Selezionando Utenti si indica che singoli utenti nell’archivio directory esterno possono usare le credenziali che già possiedono per eseguire l’autenticazione con Bomgar. Selezionando Gruppi si indica che in questo provider di sicurezza si possono cercare le iscrizioni di gruppi di utenti. Per raggruppare due o più provider di sicurezza per failover o bilanciamento del carico, selezionare Gruppo come tipo di server quindi Utenti o Gruppi per impostare il tipo di provider di sicurezza su raggruppamento. 4. Si può selezionare una configurazione specifica di server per inserire anticipatamente dati standard in alcuni campi sulla pagina seguente; tali informazioni devono essere modificate per corrispondere alla tua specifica configurazione. In alternativa, se stai configurando un gruppo, seleziona la modalità operativa. Per maggiori particolari vedere la sezione gruppi. 5. Fare clic su Aggiungi provider per avanzare alla pagina seguente e configurare la connessione tra Bomgar Box e il proprio provider di sicurezza. BOMGAR | +01.601.519.0123 | www.bomgar.com 2 Integrazione del provider di sicurezza Virtualize Your People Utenti LDAP A C E G I A Nome p8 B Tipo di servizio p8 C Tipo di server p8 D Mantieni il nome del display sincronizzato con il sistema remoto p8 E Indirizzo host server LDAP p9 H F Porta server LDAP p9 J G Modalità di sicurezza p9 H Chiave pubblica CA p9 I Usa legame anonimo p9 J Attacca nome utente p9 K Attacca password p9 L Search Base p10 M Il dispositivo può comunicare direttamente con questo server p10 N Password agente di collegamento p10 O Interrogazione utente p10 P Classi oggetti utente p11 Q ID oggetto utente esclusiva p11 R Nome display oggetto utente p12 S Interrogazione display p12 T Procedura predefinita p8 B D F K L M N O P Q R S T BOMGAR | +01.601.519.0123 | www.bomgar.com 3 Integrazione del provider di sicurezza Virtualize Your People Gruppi LDAP A C E G I K M B D F H J L N O P Q R S T U V W A Nome p8 B Tipo di servizio p8 C Tipo di server p8 D Usa configurazione da E Indirizzo host server LDAP p9 F Porta server LDAP p9 G Modalità di sicurezza p9 H Chiave pubblica CA p9 I Usa legame anonimo p9 J Attacca nome utente p9 K Attacca password p9 L Search Base utente p10 M Il dispositivo può comunicare direttamente con questo server p10 N Password agente di collegamento p10 O Interrogazione utente p10 P Classi oggetti utente p11 Q ID oggetto utente esclusiva p11 R Nome display oggetto utente/gruppo p12 S Interrogazione display p12 T Search Base gruppo p13 U Classi oggetto di gruppo valide p13 V ID oggetto di gruppo esclusivo p13 W Rapporto da utente a gruppo p14 X Esegui una ricerca ricorsiva per Gruppi p15 p9 X BOMGAR | +01.601.519.0123 | www.bomgar.com 4 Integrazione del provider di sicurezza Virtualize Your People RADIUS A C B D E F G H I J A Nome p8 B Tipo di servizio p8 C Tipo di server p8 D Mantieni il nome del display sincronizzato con il sistema remoto p8 E Indirizzo host RADIUS p17 F Porta di autenticazione RADIUS p17 G Informazione segreta condivisa RADIUS p17 H Time-out (secondi) p17 I Consentire soltanto i seguenti utenti p17 J Procedura predefinita p8 BOMGAR | +01.601.519.0123 | www.bomgar.com 5 Integrazione del provider di sicurezza Virtualize Your People Kerberos A C B D E F G A Nome p8 B Tipo di servizio p8 C Tipo di server p8 D Mantieni il nome del display sincronizzato con il sistema remoto p8 E Modalità di gestione utente p18 F Modalità di gestione SPN p18 G Procedura predefinita p8 BOMGAR | +01.601.519.0123 | www.bomgar.com 6 Integrazione del provider di sicurezza Virtualize Your People Gruppi A B C D E F G A Nome p8 B Tipo di servizio p8 C Tipo di server p8 D Mantieni il nome del display sincronizzato con il sistema remoto p8 E Modalità operativa p18 F Membri del gruppo p18 G Procedura predefinita p8 BOMGAR | +01.601.519.0123 | www.bomgar.com 7 Integrazione del provider di sicurezza Virtualize Your People Dettagli della configurazione Impostazioni generali Nome [tutti] Il nome assegnato a questa configurazione. Tipo di servizio [tutti] Il tipo di servizio selezionato nella pagina precedente. Tipo di server [tutti] Il tipo di server per cui si sta configurando il collegamento. Mantieni il nome del display sincronizzato con il sistema remoto [Utenti LDAP, RADIUS, Kerberos, Gruppo utenti] Se selezionato, il nome del display di un utente che esegue l’autenticazione con questo provider corrisponderà sempre al nome del display preso dall’archivio directory. Se la selezione viene annullata, i nomi del display si possono modificare a livello locale su Bomgar Box. Procedura predefinita [Utenti LDAP, RADIUS, Kerberos, Gruppo utenti] Ogni utente che esegue l’autenticazione con un provider di sicurezza deve essere membro di almeno una procedura di gruppo per collegarsi a Bomgar. Si può selezionare una procedura di gruppo predefinita da applicare a tutti gli utenti ammessi su questo server. Notare che se viene stabilita una procedura predefinita, qualsiasi utente che esegua l’autenticazione con questo server avrà potenzialmente accesso al livello della procedura predefinita. Pertanto, imposta la procedura predefinita con privilegi minimi per impedire che gli utenti ottengano dei permessi che non dovrebbero avere. Se un utente si trova in una procedura di gruppo predefinita e viene in seguito esplicitamente aggiunto a un’altra procedura di gruppo, le impostazioni per la procedura esplicitamente aggiunta avranno sempre la precedenza sulle impostazioni predefinite, anche se la procedura esplicita ha una priorità inferiore a quella predefinita, e anche se le impostazioni della procedura predefinita sono impostate in modo da non consentirne la cancellazione. NOTA: Se scegli di accettare tutti gli utenti su un server RADIUS, devi designare una procedura predefinita. Se non viene stabilita una procedura predefinita, devi assegnare individualmente alle procedure di gruppo utenti esplicitamente accettati su RADIUS. BOMGAR | +01.601.519.0123 | www.bomgar.com 8 Integrazione del provider di sicurezza Virtualize Your People Impostazioni LDAP Usa configurazione da [Gruppi LDAP] Configura le impostazioni del provider di gruppo LDAP da zero o copia le impostazioni da un provider utenti LDAP definito in precedenza. Indirizzo host server LDAP [Utenti LDAP, Gruppi LDAP] Nome host o IP del server LDAP. NOTA: Se si utilizza LDAP con TLS o LDAPS, il nome host deve corrispondere a quello usato nel Subject Name (Nome soggetto) della certificazione pubblica SSL del server LDAP o del componente DNS del suo Alternate Subject Name (Nome soggetto alternativo). Porta server LDAP [Utenti LDAP, Gruppi LDAP] Porta del server LDAP. Normalmente la porta 389 per LDAP o 636 per LDAPS. Bomgar supporta anche catalogazione globale tramite la porta 3268 per LDAP o 3269 per LDAPS. Modalità di sicurezza [Utenti LDAP, Gruppi LDAP] Tipo di cifratura da usare quando si comunica con il server LDAP. Se selezioni Usare LDAPS o Usare LDAP con TLS, devi caricare la certificazione SSL pubblica del server LDAP nel campo Chiave pubblica CA. NOTA: Per ragioni di sicurezza, si consiglia LDAP con TLS o LDAPS (Windows 2000 non supporta LDAPS). Chiave pubblica CA [Utenti LDAP, Gruppi LDAP] Carica la Chiave pubblica CA in formato PEM per cifrare questa connessione, garantendo la validità del server e la sicurezza dei dati. NOTA: Se il Subject Name o il componente DNS del suo Alternate Subject Name della certificazione SSL pubblica del server LDAP non corrisponde al valore del campo Indirizzo host server LDAP, il provider sarà considerato non raggiungibile. È possibile, tuttavia, usare una certificazione wildcard per certificare molteplici sottodomini dello stesso sito. Per esempio, una certificazione per *.example.com certificherà sia support. example.com che remote.example.com. Usa legame anonimo [Utenti LDAP, Gruppi LDAP] Se il tuo server supporta binding anonimi, puoi proseguire senza specificare un nome utente o password. NOTA: Legame anonimo viene considerato insicuro e viene disabilitato per default dai provider LDAP. Attacca nome utente [Utenti LDAP, Gruppi LDAP] Il nome utente a cui Bomgar Box può legarsi e cercare l’archivio directory LDAP. Questo account deve essere autorizzato a leggere gli attributi da te specificati in Interrogazione utente per tutti gli utenti che vuoi che siano in grado di eseguire l’autenticazione con il server LDAP. Si sconsiglia di usare un account amministrativo; un account utente standard di solito è sufficiente ed è più sicuro. NOTA: Per default, Directory attiva richiede un nome utente bind e una password con permesso di leggere le iscrizioni di altri gruppi di utenti. Se stai usando Directory attiva e non possiedi ancora un account bind, crea un account utente con diritto di lettura da usare con Bomgar Box. Vedi la sezione Active Directory di seguito per sapere come concedere questo diritto. Attacca password [Utenti LDAP, Gruppi LDAP] Password da usare con il nome utente bind inserito sopra. BOMGAR | +01.601.519.0123 | www.bomgar.com 9 Integrazione del provider di sicurezza Virtualize Your People Search Base utente [Utenti LDAP, Gruppi LDAP] Livello nella gerarchia della directory, specificato da un distinguishedName, da cui iniziare la ricerca utenti. Si possono migliorare le prestazioni designando la specifica unità organizzativa all’interno del proprio archivio directory che richiede accesso. Se non sei sicuro, o se gli utenti sono sparsi per numerose unità organizzative, puoi specificare il distinguishedName di base del tuo archivio directory. Esempio Spiegazione dc=example,dc=local Esegui una ricerca nell’intera struttura della directory. ou=users,dc=example,dc=local Cerca soltanto l’unità organizzativa users all’interno della gerarchia della directory, ignorando le altre unità organizzative. ou=Atlanta,dc=example,dc=local Cerca utenti e gruppi con ubicazione ad Atlanta. Il dispositivo può comunicare direttamente con questo server [Utenti LDAP, Gruppi LDAP] Seleziona questa opzione se il tuo server LDAP e Bomgar Box sono sulla stessa LAN e possono comunicare direttamente. Se il server LDAP e Bomgar Box sono su reti diverse o sono separati da un firewall, lascia questa opzione non selezionata, dato che devi installare un agente di collegamento per abilitare la comunicazione. Password agente di collegamento [Utenti LDAP, Gruppi LDAP] Se Bomgar Box e il server LDAP non possono comunicare direttamente, crea una Password agente di collegamento da usare per l’installazione dell’agente. Interrogazione utente [Utenti LDAP, Gruppi LDAP] L’interrogazione da usare per localizzare un utente LDAP quando l’utente cerca di collegarsi. Accetta una interrogazione LDAP standard (RFC 2254 – Rappresentazione in sequenza di filtri di ricerca LDAP). Per specificare il valore all’interno della sequenza che deve fungere da nome utente, sostituisci il valore con %s. Esempio Spiegazione (&(sAMAccountName=%s)(|( objectClass=user)(objectClass= person))) Quando jsmith si collega, cerca nel server LDAP un oggetto dove sAMAccountName corrisponde a jsmith. (&(|(sAMAccountName=%s)( specialVendorAttribute=%s))(|( objectClass=person)( objectClass=user))) Cerca un oggetto dove sAMAccountName o specialVendorAttribute contiene jsmith e ha una objectClass di person o user. BOMGAR | +01.601.519.0123 | www.bomgar.com 10 Integrazione del provider di sicurezza Virtualize Your People Classi oggetti utente [Utenti LDAP, Gruppi LDAP ] Specifica objectClasses valide per utenti all’interno del tuo archivio directory. Soltanto utenti che dispongono di una o più objectClasses saranno autorizzati a eseguire l’autenticazione. Si possono inserire diverse objectClasses, una per riga. Esempio Spiegazione user Gli utenti devono avere una objectClass di user. user person Gli utenti devono avere una objectClass di user o person. ID oggetto utente esclusiva [Utenti LDAP, Gruppi LDAP] L’identificatore esclusivo per l’oggetto. La maggior parte dei server LDAP includono alcuni campi che sono esclusivi per oggetto e non cambiano durante l’intera durata di vita dell’utente. NOTA: Anche se distinguishedName può fare la funzione di questo ID, se il distinguishedName di un utente cambia, tale utente verrà considerato un nuovo utente e qualsiasi modifica apportata all’account individuale Bomgar non sarà trasferita al nuovo utente. Se il tuo server LDAP non include un identificatore esclusivo, utilizza un campo che non dovrebbe avere una voce identica per un altro utente. La sintassi per questo campo è [object]:[attribute]. [object] La objectClass utente nella forma di un descrittore o di wildcard *, che indica tutte le classi utente valide. [attribute] L’attributo che contiene l’ID utente esclusivo nella forma di un descrittore o del valore speciale ?, che indica il distinguishedName dell’oggetto utente. Esempio Spiegazione *:objectGUID Tutte le classi hanno un attributo objectGUID che funge da identificatore esclusivo. user:userGUID person:personGUID Un oggetto utente ha un attributo userGUID, un oggetto persona ha un attributo personGUID, ed entrambi sono esclusivi. user:userGUID *:objectGUID Un oggetto utente ha un attributo userGUID che deve essere usato, ma tutte le altre classi hanno un attributo objectGUID. user:? person:objectGUID Un utente non possiede un identificatore esclusivo eccetto che il distinguishedName, ma la classe persona ha un attributo objectGUID. Puoi mescolare e abbinare le definizioni, con una definizione per riga. Tuttavia, viene supportata soltanto una definizione . Se vengono inserite definizioni wildcard multiple, verrà utilizzata solo l’ultima. BOMGAR | +01.601.519.0123 | www.bomgar.com 11 Integrazione del provider di sicurezza Virtualize Your People Nome display oggetto utente/gruppo [Utenti LDAP, Gruppi LDAP] Determina quale campo si deve usare per il nome display. La sintassi per questo campo è [object]:[attribute]. [object] La objectClass utente o gruppo nella forma di un descrittore o di wildcard *, che indica tutte le classi utente o gruppo valide. [attribute] L’attributo che contiene il nome display desiderato, nella forma di un descrittore o il valore speciale ? o !. Usare ? per specificare il distinguishedName completamente qualificato o ! per specificare il valore dell’elemento più a sinistra del distinguishedName. Esempio Spiegazione *:displayName Tutte le classi hanno un attributo displayName. user:! Un oggetto utente deve usare l’elemento più a sinistra del distinguishedName. user:displayName person:fullName Un oggetto utente ha un attributo displayName e un oggetto persona ha un attributo fullName. *:! Per tutte le classi, si deve usare l’elemento più a sinistra del distinguishedName. user:displayName *:! Un utente ha un attributo displayName che si deve usare, ma tutte le altre classi devono usare il valore dell’elemento più a sinistra del distinguishedName. user:? *:! Un oggetto utente deve usare il distinguishedName completo, ma tutte le altre classi devono usare il valore dell’elemento più a sinistra del distinguishedName. Interrogazione display [Utenti LDAP, Gruppi LDAP] Condiziona il modo in cui sono mostrati i risultati quando si aggiungono utenti alle procedure di gruppo. Esempio Spiegazione (objectClass=*) Predefinito. Mostra tutti gli oggetti rinviati da una interrogazione. (|(objectClass=user)(objectClass= organizationalUnit)) Mostra tutte le classi oggetto user o organizationUnit, lasciando perdere tutti gli altri oggetti. BOMGAR | +01.601.519.0123 | www.bomgar.com 12 Integrazione del provider di sicurezza Virtualize Your People Search Base gruppo [Gruppi LDAP] Livello nella gerarchia della directory, specificato da un distinguishedName, da cui iniziare la ricerca gruppi. Si possono migliorare le prestazioni designando la specifica unità organizzativa all’interno del proprio archivio directory che richiede accesso. Se non sei sicuro, o se i gruppi sono sparsi per numerose unità organizzative, puoi specificare il distinguishedName di base del tuo archivio directory. Esempio Spiegazione dc=example,dc=local Esegui una ricerca nell’intera struttura della directory. ou=groups,dc=example,dc=local Cerca soltanto l’unità organizzativa groups all’interno della gerarchia della directory, ignorando le altre unità organizzative. ou=Atlanta,dc=example,dc=local Cerca utenti e gruppi con ubicazione ad Atlanta. Classi oggetto di gruppo valide [Gruppi LDAP] Specifica objectClasses valide per gruppi all’interno del tuo archivio directory. Verranno rimandati soltanto gruppi che possiedono una o più objectClasses. Si possono inserire diverse objectClasses di gruppo, una per riga. Esempio Spiegazione group Gruppi deve avere una objectClass di group. group groupOfUniqueNames Gruppi deve avere una objectClass di group o groupOfUniqueNames. ID oggetto di gruppo esclusivo [Gruppi LDAP] L’identificatore esclusivo per l’oggetto. La maggior parte dei server LDAP includono alcuni campi che sono esclusivi per oggetto e non cambiano durante la durata di vita del gruppo. NOTA: Anche se distinguishedName può fungere da ID, se il distinguishedName di un gruppo cambia, tale gruppo verrà considerato come un nuovo gruppo, e qualsiasi procedura di gruppo stabilita per quel gruppo non sarà trasferita al nuovo gruppo. Se il tuo server LDAP non include un identificatore esclusivo, utilizza un campo che non dovrebbe avere una voce identica per un altro gruppo. La sintassi per questo campo è [object]:[attribute]. [object] La objectClass gruppo nella forma di un descrittore o di wildcard *, che indica tutte le classi gruppo valide. [attribute] L’attributo che contiene l’ID gruppo esclusivo nella forma di un descrittore o del valore speciale ?, che indica il distinguishedName dell’oggetto gruppo. BOMGAR | +01.601.519.0123 | www.bomgar.com 13 Integrazione del provider di sicurezza Virtualize Your People Esempio Spiegazione *:objectGUID Tutte le classi hanno un attributo objectGUID che funge da identificatore esclusivo. group:groupGUID *:objectGUID Un oggetto gruppo ha un attributo groupGUID che deve essere usato, ma tutte le altre classi hanno un attributo objectGUID. group:? *:objectGUID Un gruppo non possiede un identificatore esclusivo eccetto che per il distinguishedName, ma tutte le altre classi hanno un attributo objectGUID. Puoi mescolare e abbinare definizioni specifiche, con una definizione per riga. Tuttavia, viene supportata soltanto una definizione. Se vengono inserite definizioni wildcard multiple, verrà utilizzata solo l’ultima. Rapporto da utente a gruppo [Gruppi LDAP] L’interrogazione per stabilire quale utente appartiene a quale gruppo o viceversa quale gruppo contiene quale utente. La sintassi per questo campo ha la seguente forma: [user_object]:[user_attribute]=[group_object]:[group_attribute] [user_object] La objectClass utente nella forma di una objectClass valida o di wildcard *, che indica tutte le classi utente valide. [user_attribute] L’attributo che contiene l’ID utente esclusivo nella forma di una objectClass valida o del valore speciale ?, che indica il distinguishedName dell’oggetto utente. [group_object] La objectClass di gruppo nella forma di una objectClass valida o di wildcard *, che indica tutte le classi del gruppo. [group_attribute] L’attributo che contiene l’ID gruppo esclusivo nella forma di una objectClass valida o del valore speciale ?, che indica il distinguishedName di quell’oggetto gruppo. Esistono diversi modi con cui un rapporto utente/gruppo può essere conservato nell’archivio LDAP. Uno dei modi consiste nel conservare i gruppi a cui il membro appartiene come una proprietà dell’utente, normalmente in un attributo memberOf, che può avere molteplici valori, essendo ogni valore il distinguishedName di un gruppo a cui l’utente appartiene. Esempio Spiegazione *:memberOf=*:? Tutti gli utenti validi hanno un attributo memberOf che conserva il distinguishedName di tutti i gruppi validi a cui quell’utente appartiene. Un altro modo consiste nel conservare quali utenti appartengono a un gruppo come una proprietà del gruppo, normalmente in un attributo member, che può avere molteplici valori, essendo ogni valore il distinguishedName di un utente che appartiene a quel gruppo. BOMGAR | +01.601.519.0123 | www.bomgar.com 14 Integrazione del provider di sicurezza Virtualize Your People Esempio Spiegazione *:?=*:member Tutti i gruppi validi hanno un attributo membro che conserva il distinguishedName di tutti gli utenti validi che appartengono a quel gruppo. Infine, alcuni server hanno ottimizzato il processo includendo un attributo speciale per l’utente, elencando tutti i gruppi a cui quell’utente appartiene, tutti i gruppi a cui tali gruppi appartengono, e via dicendo, tutti in un solo campo. I valori possono essere distinguishedNames o un attributo speciale. Esempio Spiegazione *:tokenGroups=*:objectSID Tutti gli utenti validi hanno un attributo tokenGroups che conserva la proprietà objectSID di tutti i gruppi validi a cui tale utente appartiene e a cui a loro volta tali gruppi appartengono. Esegui una ricerca ricorsiva per Gruppi [Gruppi LDAP] La ricerca ricorsiva per gruppi esegue una interrogazione per un utente, quindi per tutti i gruppi a cui quell’utente appartiene, quindi per tutti i gruppi a cui quei gruppi appartengono, e via dicendo fino a quando tutti i possibili gruppi associati al dato utente sono stati trovati. La ricerca ricorsiva può influenzare notevolmente la performance, in quanto il server continuerà a inoltrare interrogazioni fino a quando ha trovato informazioni su tutti i gruppi. Se ci impiega troppo tempo, l’utente potrebbe non riuscire a collegarsi. Una ricerca non ricorsiva inoltra soltanto una interrogazione per utente. La ricerca ricorsiva non è necessaria se il server LDAP ha un campo speciale che contiene tutti i gruppi a cui appartiene l’utente o se la tua directory non riesce a gestire membri di gruppi. Esempio Spiegazione *:?=*:member (con ricerca ricorsiva abilitato) LDAP cerca tutti i gruppi di cui l’utente fai parte. Quindi cerca tutti i gruppi che contengono membri in base ai distinguishedNames dei gruppi rinviati in precedenza. Ripeterà questo processo fino a quando non viene trovato nessun nuovo risultato. Agente di collegamento Se stai utilizzando un server LDAP nella stessa LAN di Bomgar Box, i due sistemi potrebbero riuscire a comunicare direttamente. Se non riescono a comunicare direttamente, scaricando l’agente di collegamento Win32 si consente al server LDAP e a Bomgar Box di comunicare tramite una connessione in uscita cifrata SSL, senza configurazione di firewall. L’agente di collegamento si può scaricare sia sul server LDAP o su un server separato sulla rete (consigliato). Fare clic su Scarica agente di collegamento dalla pagina di modifica del provider di sicurezza. Esegui la guida di installazione e segui i passi per installare l’agente di collegamento. NOTA: Per default, l’agente di collegamento usa LDAPS. Bomgar raccomanda vivamente di non cambiare questa impostazione. Tuttavia, se la tua impostazione di rete richiede che l’agente usi una connessione LDAP non sicura, puoi andare alla directory sopra specificata e aprire il file bomgar.ini. Alla fine del file, aggiungi ldap_agent_nonsecure=1, quindi salva e chiudi il file. Per rendere attiva la modifica,apri la console di gestione servizi digitando Services.msc nella casella di dialogo Run (Esegui). Seleziona e riavvia l’agente di collegamento Bomgar. BOMGAR | +01.601.519.0123 | www.bomgar.com 15 Integrazione del provider di sicurezza Virtualize Your People Directory attiva – Specifica per Windows 2000/2003 La configurazione ottimale di Directory attiva è la sequenza di ricerca di gruppi *:tokenGroups=*:obectSID, con ricerca ricorsiva disabilitata. Questa esegue una singola interrogazione per trovare l’iscrizione di gruppo per un utente. Sfortunatamente, potrebbe non funzionare con vari domini a causa dei permessi sugli attributi tokenGroups e memberOf. Per leggere tali attributi, l’utente autorizzato deve aver ricevuto un permesso esplicito di leggere tokenGroups o memberOf per altri oggetti nella directory. NOTA: Sebbene un account Domain Admin abbia questo permesso di lettura per default, l’utilizzo di questo tipo di account è vivamente sconsigliato. Anche se Bomgar adotta tutte le precauzioni per proteggere la sicurezza dei dati, potrebbero comunque persistere rischi di sicurezza trasmettendo spesso tali credenziali. La configurazione consigliata è di creare un account specifico per Bomgar Box da usare per il browsing del server Directory attiva. Una volta creato tale account, assegna in modo specifico la serie limitata di permessi necessari per questo account per consentire agli utenti di collegarsi tramite Bomgar Box senza compromettere la sicurezza della tua organizzazione. Se non puoi assegnare tali permessi, puoi comunque consentire agli utenti di collegarsi a Bomgar Box con diritti specifici in base ai loro gruppi. Inserisci un’interrogazione utente-a-gruppo di *:?=group:member, con ricerca ricorsiva abilitata. Per assegnare in modo esplicito il permesso di leggere un attributo particolare a un utente o gruppo specifico, si deve modificare la Active Directory ACL. Il seguente comando deve essere eseguito da un utente con permessi di modifica dello schema: dsacls [distinguishedName of domain] /I:T /G “User or Group”:rp;tokenGroups dsacls Strumento per modificare la Active Directory ACL. [distinguishedName of domain] Il distinguishedName dell’oggetto del dominio per iniziare a modificare il permesso. /I:T Specifica che la ACL riguarda questo oggetto e tutti i sotto-oggetti. /G Indica che si tratta di un permesso assegnato. “User or Group” L’utente o il gruppo nel dominio a cui assegnare il diritto. rp Indica che il permesso è un permesso speciale di leggere una proprietà. tokenGroups La proprietà a cui viene assegnato il diritto di leggere. Esempio: dsacls “DC=example,DC=local” /I:T /G “BomgarBox”:rp;tokenGroups Questo assegna all’account BomgarBox il permesso di leggere la proprietà tokenGroups su qualsiasi oggetto nel dominio DC=example,DC=local. Per maggiori informazioni sullo strumento dsacls, consultare http://support.microsoft.com/kb/281146. BOMGAR | +01.601.519.0123 | www.bomgar.com 16 Integrazione del provider di sicurezza Virtualize Your People Impostazioni RADIUS Indirizzo host RADIUS [RADIUS] Nome host o IP del server RADIUS. Porta di autenticazione RADIUS [RADIUS] Porta del server RADIUS. Normalmente la porta 1812. Informazione segreta RADIUS[RADIUS] Crea una nuova informazione segreta in modo che RADIUS e Bomgar Box possano comunicare. Time-out (Secondi) [RADIUS] Periodo del tempo di attesa per la risposta di un server. Nota che se la risposta è Response-Accept (Accetta risposta) o Response Challenge (Rifiuta risposta), RADIUS attenderà tutto questo tempo prima di eseguire l’autenticazione dell’account. Pertanto, mantieni questo valore il più basso possibile. Un valore ideale è di 3-5 secondi, con il valore massimo di 10 secondi. Consentire soltanto i seguenti utenti [RADIUS] Scegli di consentire l’accesso soltanto a utenti specificati o lascia questo campo bianco per accettare tutti gli utenti che eseguono l’autenticazione con il server RADIUS. Se consenti l’accesso a tutti, devi anche specificare una procedura di gruppo predefinita. Windows 2000/2003 (Specifico IAS) Ciascun utente che esegue un’autenticazione sul server IAS deve avere diritto di accesso remoto, che può essere stabilito tramite lo snap-in della Active Directory a Users and Computer (Utenti e computer). Visualizza le proprietà per l’utente idoneo. Nella scheda Dial-in, assegna Allow Access to Remote Access (Consenti accesso ad accesso remoto). È anche possibile configurare tale permesso mediante la procedura di accesso remoto. Consulta il materiale informativo di Windows per i passi necessari. IMPORTANTE: La procedura deve consentire autenticazione via PAP, in quanto è l’unico metodo RADIUS attualmente supportato. Controlla la procedura IAS per assicurarti che questo metodo sia supportato come mezzo di autenticazione tramite Bomgar Box. BOMGAR | +01.601.519.0123 | www.bomgar.com 17 Integrazione del provider di sicurezza Virtualize Your People Impostazioni Kerberos Modalità di gestione utente [Kerberos] Accetta tutti gli utenti – Accetta chiunque esegua l’autenticazione tramite il tuo KDC per collegarsi a Bomgar. Accetta soltanto dati principali dell’utente specificati nell’elenco – Consente soltanto dati principali dell’utente specificati per collegarsi a Bomgar. Accetta soltanto dati principali dell’utente che corrispondono alla espressione regolare – Consente soltanto dati principali che corrispondono a una espressione regolare compatibile Perl (PCRE) per collegarsi a Bomgar. Modalità di gestione SPN [Kerberos] Accetta tutti i nomi SPN (Service Principal Names) per questo provider di sicurezza o seleziona SPN specifici da un elenco di SPN attualmente configurati. Impostazioni gruppo Modalità operativa [Gruppo utenti, Gruppo gruppi] La modalità di Failover or Selezione casuale. Failover prima prova con il server con la massima priorità nel gruppo e poi, se il server non è disponibile o l’account non viene trovato, scende nell’elenco di server raggruppati fino a che trova l’account o stabilisce che l’account non esiste in nessuno dei server disponibili specificati. Selezione casuale bilancia il carico tra numerosi server, scegliendo a caso su quale server fare il primo tentativo e poi, se il server non è disponibile o l’account non viene trovato, cerca a caso nell’elenco degli altri server del gruppo fino a che trova l’account o stabilisce che l’account non esiste in nessuno dei server disponibili specificati. Membri del gruppo [Gruppo utenti, Gruppo gruppi] Dall’elenco di Provider disponibili, seleziona i server che desideri raggruppare e portali nel campo Provider aggiunti. Sebbene non si possa aggiungere un provider di sicurezza a più di un gruppo, un gruppo può essere aggiunto come membro di un altro gruppo. BOMGAR | +01.601.519.0123 | www.bomgar.com 18 Integrazione del provider di sicurezza Virtualize Your People Prioritizzazione dei provider di sicurezza 1. Per configurare l’ordine con cui Bomgar Box cerca gli utenti, trascina e lascia andare i provider configurati per impostarne la priorità predefinita. I gruppi di server si muovono come una singola unità e si possono ordinare per priorità all’interno del gruppo. 2. Dopo aver modificato l’ordine di priorità predefinito, fai clic su Salva le modifiche. 3. Per default, i provider di sicurezza sono impostati su Prova il server successivo se per un qualsiasi motivo l’autenticazione non riesce. Per opzioni di configurazione più complesse, fai clic su Modifica per un server o un gruppo. 4. Si offrono tre ipotesi di autenticazione non riuscita. Se non si trova l’utente – Si esegue una ricerca per un utente in questo server e l’utente non viene localizzato. Se il provider non è raggiungibile – Bomgar Box non riesce a comunicare con il server. Se l’autenticazione non riesce – Bomgar Box riesce a contattare il server ma le credenziali fornite non sono corrette. 5. Per ciascuna delle ipotesi sopra indicate, imposta il tipo di azione da intraprendere. Prova il server successivo – Vai al server successivo nell’elenco di provider configurati e prova ad eseguire l’autenticazione. Rifiuta login – Impedisci all’utente di collegarsi. Prova un server specifico: {Nome del server} – Vai al server specificato e prova a eseguire l’autenticazione. Questa opzione sarà disponibile per tutti i server e gruppo configurati. 6. Imposta Se l’autenticazione riesce su consenti login oppure su cerca gruppi a cui quell’utente appartiene all’interno di un server di gruppo specificato. IMPORTANTE: Per stabilire procedure di gruppo basate su gruppi all’interno di un server remoto, bisogna prima configurare un provider utente e un provider di gruppo distinto e quindi abilitare ricerca gruppi dalla pagina di Modifica del provider utente. Molteplici provider utenti possono fare una ricerca di gruppi da un solo provider. BOMGAR | +01.601.519.0123 | www.bomgar.com 19 Integrazione del provider di sicurezza Virtualize Your People Soluzione di problemi 1. Il modo migliore per riuscire a superare il problema di un collegamento non riuscito è di verificare le impostazioni di sicurezza del provider. Per verificare una configurazione, fai clic su Modifica per un server o un gruppo. 2. fai clic su Verifica impostazioni in fondo alla pagina e inserisci nome utente e password per un account nel server o gruppo che stai collaudando. 3. Se il provider di sicurezza è configurato correttamente e hai inserito un nome utente e una password validi, riceverai un messaggio di operazione riuscita. Altrimenti, vedrai un messaggio di errore. fai clic su Mostra dettagli per vedere un log che ti aiuterà a risolvere il problema. Per riuscire a capire i messaggi di errore che potresti ricevere, consulta i particolari qui di seguito. NOTA: Un test del server di gruppo stabilisce soltanto che ti puoi collegare al server e legarti al nome utente dato. Non verifica le impostazioni di gruppo. Se autenticazione server di gruppo non è abilitata, il test non si può effettuare, anche se la configurazione è corretta e il collegamento riesce. Essendo l’autenticazione gestita da server utenti, un test di server di gruppo non riuscito in cui si effettua il collegamento non dovrebbe creare nessun problema. Un test di gruppo fai un tentativo sui server membri in base alla modalità operativa, in ordine di priorità oppure a caso. Se il primo server su cui si compie il tentativo è correttamente configurato e sono state inserite le credenziali di test corrette, riceverai un messaggio di operazione riuscita. Altrimenti, il gruppo eseguirà un tentativo sul server successivo. Se il test riesce su uno qualsiasi dei server, riceverai un messaggio di operazione riuscita, anche se gli altri server non sono configurati correttamente. Riceverai un messaggio di errore soltanto se non riesci a legarti a nessuno dei server raggruppati. I provider Kerberos non possono essere collaudati. 4. Se un test non riscontra errori ma l’utente non riesce a collegarsi a Bomgar usando quelle stesse credenziali, controlla che almeno uno dei seguenti criteri sia rispettato. a. L’utente è stato esplicitamente aggiunto a una procedura di gruppo esistente. b. È stata impostata una procedura di gruppo predefinita per la configurazione del provider di sicurezza creando accesso al server con cui l’utente sta eseguendo l’autenticazione. c. L’utente è membro di un gruppo che è stato esplicitamente aggiunto a una procedura di gruppo esistente e sono rispettate entrambe le seguenti condizioni: • Sia il provider utenti che il provider gruppi sono stati configurati individualmente. • Ricerca di gruppo è stata abilitata sul provider utenti. BOMGAR | +01.601.519.0123 | www.bomgar.com 20 Integrazione del provider di sicurezza Virtualize Your People Messaggio 1: Autenticazione non riuscita 1. Il nome utente e la password che si stanno collaudando non corrispondono. 2. Inserire nuovamente le credenziali o provare un altro nome utente e password. Messaggio 9: Non riuscito perché sono necessarie maggiori informazioni (Challenge/Response) 1. La password/PIN utente è scaduta o l’amministratore ha reimpostato la password. Dato che l’utente che esegue il test per mezzo della pagina Fornitori di sicurezza non vede il prompt per reimpostare la password o per prendere atto della modifica dell’amministratore, il test non riesce per mancanza di informazioni da parte dell’utente. 2. Poiché un test non riuscito con questo messaggio non significa necessariamente che il server non sia configurato correttamente, provare con un altro nome utente la cui password non è stata e non ha bisogno di essere reimpostata. Messaggio 10: Server non disponibile 1. I tuoi dati DNS devono essere corretti. Puoi verificare se il server DNS risponde usando gli strumenti alla pagina Utilities sotto la scheda Support (Assistenza) nella interfaccia amministrativa di /appliance. 2. La porta 398 per LDAP o la porta 636 per LDAPS deve essere aperta in qualunque firewall che potrebbe trovarsi tra il tuo server e Bomgar Box o tra il server e un agente di collegamento che potresti avere installato. Bomgar supporta anche catalogazione globale tramite la porta 3268 per LDAP o 3269 per LDAPS. 3. Se si utilizza LDAP con TLS o LDAPS, il nome host inserito deve corrispondere a quello usato nel Subject Name della certificazione pubblica SSL del server LDAP o del componente DNS del suo Alternate Subject Name. 4. a. Per esempio, se la certificazione viene assegnata a support.example.com e il nome host inserito è remote.example.com, il collegamento non riesce perché il server non sa che support.example.com è lo stesso sito di remote.example.com. b. In questo caso, si deve cambiare il nome host inserito nella pagina di configurazione. c. È possibile usare una certificazione wildcard per certificare molteplici sottodomini dello stesso sito. Per esempio, *.example.com certificherà sia support.example.com che remote.example.com. Il tuo server e Bomgar Box devono essere in grado di comunicare. a. Per esempio, se il tuo server si trova dietro il firewall della tua azienda, ma Bomgar Box è nel DMZ, non potranno comunicare direttamente. b. In tal caso, installa un agente di collegamento per abilitare la comunicazione. BOMGAR | +01.601.519.0123 | www.bomgar.com 21 Integrazione del provider di sicurezza Virtualize Your People 5. 6. 7. Il logging può aiutare a verificare se esiste un problema con l’agente di collegamento. Per abilitare logging con agente di collegamento, seguire i passi seguenti. a. Vai alla directory in cui è installato l’agente di collegamento e apri il file bomgar.ini. b. Alla fine della sezione [General], aggiungi agent_log_filename=”{path}\{provider}_Con_Agnt.log” dove {path} è la path del file per l’agente di collegamento e {provider} è il nome configurato del provider di sicurezza. Salva e chiudi il file. c. Per attivare la modifica di agente di collegamento, apri la console di gestione servizi digitando Services. msc nella casella di dialogo Run. Seleziona e riavvia l’agente di collegamento Bomgar. d. Il log verrà creato nella directory in cui si trovano i file dell’agente di collegamento. Assicurati che l’agente di collegamento sia online e in grado di collegarsi in uscita al dispositivo. a. Si consiglia di installare l’agente su un sistema ad elevata disponibilità. b. Il modo migliore per prevenire autenticazioni non riuscite nel caso in cui il sistema host dell’agente di collegamento fosse guasto è di utilizzare la funzione incorporata di raggruppamento di Bomgar per configurare due sistemi in una configurazione di gruppo failover. Questo consente a un solo controller di dominio di avere una certa ridondanza. c. Un modo per verificare se l’agente di collegamento ha perso la connessione al server è di aprire una procedura di gruppo configurata. Se il campo Membri procedura di gruppo mostra @@@ prima di una sequenza casuale di caratteri, l’agente di collegamento è probabilmente offline o ha perso la comunicazione. d. Se un agente di collegamento perde la comunicazione, i log dell’agente dovrebbero indicare che non riesce a stabilire una connessione sicura in uscita con il dispositivo. Il Nome del provider di sicurezza e la Password inseriti durante l’installazione dell’agente devono essere esattamente uguali a quelli inseriti durante l’impostazione del provider di sicurezza. a. È un errore comune utilizzare il nome del controller e la password amministrativa quando si imposta l’agente di collegamento invece del nome e password impostati durante la configurazione del provider di sicurezza. b. Controlla il valore definito come nome del server aprendo il file bomgar.ini nella directory dell’agente di collegamento e verificando il valore ldap_agent_name. Per modificare il nome del server o la password a cui si riferisce l’agente, prima disinstalla l’agente di collegamento esistente e quindi installa una nuova copia di agente. c. d. Quando ti viene chiesto di inserire Nome del provider di sicurezza e Password, assicurati di inserire i valori da te definiti nella configurazione del provider dell’interfaccia Bomgar /login. Completa l’installazione. 8. Devi utilizzare l’informazione segreta corretta tra RADIUS e Bomgar Box. 9. Se un utente che normalmente esegue l’autenticazione non riesce a collegarsi, verifica se le ore di utilizzo dell’utente hanno dei limiti nel server RADIUS. BOMGAR | +01.601.519.0123 | www.bomgar.com 22 Integrazione del provider di sicurezza Virtualize Your People 10. Se stai usando un server IAS, l’utente che esegue l’autenticazione deve avere il diritto di accesso remoto abilitato. 11. Autenticazione tramite PAP deve essere abilitata. Si tratta dell’unico metodo RADIUS attualmente supportato. Modifica la procedura IAS per assicurarti che questo metodo sia supportato come mezzo di autenticazione tramite Bomgar Box. Messaggio 11: Utente non trovato 1. Nome utente bind, Password di bind e Search Base devono essere tutti nel formato corretto nella pagina di configurazione del provider di sicurezza. 2. Se si utilizza Directory attiva, il nome utente bind deve avere permesso di leggere le iscrizioni di altri gruppi di utenti nell’archivio della Directory attiva. 3. La domanda della ricerca deve essere corretta per la configurazione specifica. Fare riferimento al materiale informativo del provider per ulteriore aiuto per questa configurazione. Errore 6ca e Login lenti 1. Un errore 6ca è una risposta predefinta che significa che Bomgar Box non ha ricevuto risposta dal server DNS. Può verificarsi quando si cerca di collegarsi al client rappresentanti. 2. Se gli utenti riscontrano login estremamente lenti o ricevono il messaggio di errore 6ca, verificare che DNS sia configurato nell’interfaccia amministrativa di /appliance. Risoluzione di problemi per singoli provider Quando si configura un metodo di autenticazione LDAP, è importante configurare per prima cosa il provider utenti, poi il provider di gruppo, e infine le iscrizioni alle procedure di gruppo. Quando si cerca di risolvere un problema, bisogna compiere il percorso contrario. 1. Verificare che la procedura di gruppo stia cercando i dati validi per un dato provider e di non avere nessun carattere @@@ nel campo Membri procedura di gruppo. 2. Poi, se è configurato un provider di gruppo, verificare che le impostazioni di collegamento siano valide e che la Search Base gruppo sia nel formato corretto. 3. Se vuoi utilizzare ricerca gruppi, controlla che il provider utente sia impostato per cercare le iscrizioni di gruppo di utenti autenticati. 4. Per collaudare il provider utenti, imposta una procedura predefinita e vedi se i tuoi utenti riescono a collegarsi. 5. Se gli utenti non riescono a collegarsi, controlla che il provider sia primo per priorità o se provider con una priorità maggiore stiano passando richieste di login non riuscito a questo provider utenti. BOMGAR | +01.601.519.0123 | www.bomgar.com 23