vmware felhasználói közösség

A VDI egyik óriási előnye, hogy lehetővé teszi a virtuális desktop-ok távoli elérését is, mindenféle bonyolult VPN kialakítás nélkül. Mindössze egy RSA Authentication Manager-re van szükség, valamint néhány SecurID token-re és a VDI-ban tárolt VM-eket bárhonnan a világból egy sima Internet böngésző segítségével el tudjuk érni.

Alapvető követelmények

• RSA Authentication Manager + SecurID token-ek
• VDM Security Server (továbbiakban VDMSS)
• REPLICA VDM

A VDM távoli elérés kialakítása nagyon egyszerű, azonban elsőre elég félrevezető lehet a manual ha csak ebből indulunk ki. Van néhány alapvető dolog, amivel tisztában kell lenni:

• A VDM Security Server-t egy internet DMZ hálózati szegmensben telepítsük
• A VDMSS-nek nincs GUI felületete
• A VDMSS nem jelenik meg a VDM Connection Server web-es felületén sehol
• Az RSA-t a belső hálózatba telepítsük és ne a DMZ-be
• Az RSA-s azonosítást a belső hálózatban lévő VDM szerveren kell definiálni, emiatt
• Ha azonos VDI-t szeretnénk elérhetővé tenni belső hálóról és az internetről is, valamint szeretnénk RSA-t használni a külsős elérés biztonságának növeléséhez, akkor legalább 2 VDM szerverre lesz szükség a belső hálón.

Tűzfal konfig követelmények

• internet-> DMZ VDMSS:80, 443
• DMZ VDMSS -> internal lan REPLICA VDM:4001, 8009
• DMZ VDMSS -> VDI-on futó VM-ek:3389

(igen, a VDMSS be kell, hogy lásson a 3389-en a belső hálón lévő virtuális gépek felé!)

Előkészületek

A telepítés előtt fontos eldönteni, hogy az RSA-s azonosítást megköveteljük-e a belső hálózatból is vagy itt hagyatkozhatunk egy sima AD-s azonosításra.  Az architektúra nem teszi lehetővé, hogy a VDM különbséget tegyen a beérkező kapcsolatok között ezért ha RSA kell és nem akarjuk a csak belső hálózaton dolgozó felhasználókat szivatni az RSA-s azonosítással, akkor telepítsük egy REPLICA VDM-et a belső hálóra. Ezt fogjuk használni majd az RSA-val.

A telepítés menete

1., Replica VDM a belső hálón

2., VDMSS a dmz-ben

3., RSA Authentication Manager

4., REPLICA VDM konfig

1 REPLICA VDM

A VDM replica szerver telepítése rettenetesen egyszerű, a telepítésnél csak meg kell adni a primer VDM címét.

2 VDM Security Server

A VDMSS-t  természeten egy DMZ-ben lévő gépre kell tenni és mehet meglévő szerverre ha a 80-443-as portokan nem használja vmilyen alkalmazás rajta. Fontos, hogy a telepítésnél már működjenek a fenti tűzfal szabályok! A telepítés során válasszuk a Security Server funkciót, majd adjuk meg a belső hálón lévő REPLICA VDM szerver IP-jét. (tapasztalataim alapján DNS feloldás nem kell).

A VDMSS-en ezután már csak egy konfigurációs lépés van

1. hozzuk létre a következő file-t: C:\Program Files\VMware\VMware VDM\Server\sslgateway\conf\locked.properties
2. ezzel a tartalommal

clientHost=x.y.z.a

clientPort=443

clientProtocol=https

A clienthost az az URL legyen, amin keresztül a VDMSS-et az internet felől elérjük.

3 RSA Authentication Manager

Az RSA-t legalább olyan bonyolult feltenni, mint a VDMSS-t. Fontos, hogy ez a komponens a belső hálón kapjon helyet, mivel a REPLICA VDM-mel fog beszélgetni. Telepítés után két feladat van:

• Host Agent létrehozása: itt adjuk meg a REPLICA VDM IP-jét, NET OS host és minden felhasználó számára aktív
• Exportáljuk ki a létrehozott Host Agent-et: sdconf.rec
• Hozzunk létre felhasználókat és társítsuk hozzájuk a token-eket

4 REPLICA VDM konfig

Utolsó feladat a REPLICA VDM beállítása. Ezt a VDM szerver ugye azért hoztuk létre, hogy ide továbbítsa a bejövő kéréseket a VDMSS, valamint, hogy beszélgessen az RSA-val a token-es azonosítás kapcsán. A REPLICA VDM konfigurációját a web-es interfészen keresztül végezzük el:

• a replicaVDM-nél állítsuk be, hogy használjon RSA két faktoros azonosítást
• töltsük fel az előzőekben kiexportált sdconf.rec állományt

Újraindítás nem szükséges…

Ezek ütán már tesztelhetjük is a külső kapcsolatot. A VDMSS szerver publikus címét egy browser-be beírva még warning-ot kapunk a tanúsítvány megbíhatatlansága miatt, de ezzel most nem kell foglalkozni. Browser mellet használhatjuk még a VDM kliens alkalmazást is a távoli elérésre. Ebben az esetben elegenő a megfelelő publikus IP-t megadni a szerverhez.

Comments are closed.