IMPLEMENTIERUNGSLEITFADEN SICHERUNG DES EMC VSPEX-ANWENDER- COMPUTINGS MIT RSA SECURID VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 2.000 virtuelle Desktops EMC VSPEX Zusammenfassung In diesem Leitfaden werden die erforderlichen Komponenten und Konfigurationsschritte für die Bereitstellung der RSA SecurID Zwei-Faktor- Authentifizierung in EMC VSPEX-Anwender-Computing für VMware Horizon View- Umgebungen beschrieben. Dieser Leitfaden und der zugehörige Designleitfaden beschreiben eine SecurID-Ergänzungslösung für spezifische VSPEX Proven Infrastructures für Horizon View. Juli 2013
Copyright 2013 EMC Deutschland GmbH. Alle Rechte vorbehalten. Veröffentlicht im Juli 2013 EMC geht davon aus, dass die Informationen in dieser Publikation zum Zeitpunkt der Veröffentlichung korrekt sind. Die Informationen können jederzeit ohne vorherige Ankündigung geändert werden. Die Informationen in dieser Veröffentlichung werden ohne Gewähr zur Verfügung gestellt. Die EMC Corporation macht keine Zusicherungen und übernimmt keine Haftung jedweder Art im Hinblick auf die in diesem Dokument enthaltenen Informationen und schließt insbesondere jedwede implizite Haftung für die Handelsüblichkeit und die Eignung für einen bestimmten Zweck aus. Für die Nutzung, das Kopieren und die Verteilung der in dieser Veröffentlichung beschriebenen EMC Software ist eine entsprechende Softwarelizenz erforderlich. EMC 2, EMC und das EMC Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und in anderen Ländern. Alle anderen in diesem Dokument erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber. Eine aktuelle Liste der EMC Produktnamen finden Sie im Abschnitt zu Marken der EMC Corporation auf http://germany.emc.com. Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: Art.-Nr.: H11841 2 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Inhalt Inhalt Kapitel 1 Einführung 7 Zweck dieses Leitfadens... 8 Geschäftlicher Nutzen... 8 Umfang... 8 Zielgruppe... 9 Terminologie... 9 Kapitel 2 Bevor Sie beginnen 11 Voraussetzungen... 12 Grundlegende Dokumente... 13 VSPEX-Designleitfaden... 13 VSPEX-Lösungsüberblick... 13 VSPEX Proven Infrastructures... 13 Kapitel 3 Lösungsüberblick 15 Übersicht... 16 Vorhandene Infrastruktur... 16 Lösungsarchitektur... 16 Übersicht über die Architektur... 16 Wichtige Komponenten... 17 RSA SecurID mit RSA Authentication Manager... 17 EMC VSPEX... 18 Anforderungen und Profil der virtuellen Maschine... 18 Kapitel 4 Lösungsimplementierung 21 Implementieren von Server, Virtualisierung und Netzwerk... 22 Designüberle-gungen... 22 Anwendungsimplementierung... 22 Importieren und Konfigurieren der RSA Authentication Appliance... 22 Konfigurieren von VMware Horizon View für SecurID-Funktionen... 25 Backup und Recovery... 26 Kapitel 5 Überprüfung der Lösung 27 Basishardware-Überprüfung... 28 RSA SecurID-Überprüfung... 28 Überprüfung von RSA Authentication Manager... 29 Kapitel 6 Referenzdokumentation 31 EMC Dokumentation... 32 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 3
Inhalt Andere Dokumentation... 32 Links... 32 Anhang A Konfigurationsarbeitsblatt 33 Konfigurationsarbeitsblatt... 34 4 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Abbildungen Inhalt Abbildung 1. Logische Architektur: Allgemeine VSPEX for Horizon View 5.2- Architektur, ergänzt durch RSA Authentication Manager in einer redundanten Konfiguration... 16 Abbildung 2. Horizon View-Client... 28 Abbildung 3. Dialogfeld des Horizon View-Clients für die SecurID- Authentifizierung... 28 Abbildung 4. Dialogfeld des Horizon View-Clients für die AD-Authentifizierung... 29 Tabelle Tabelle 1. Terminologie... 9 Tabelle 2. Baseline-Anforderungen für Computer, Arbeitsspeicher und Speicher für die SecurID-Ergänzung... 19 Tabelle 3. Erforderliche Konfigurationsinformationen für Authentication Manager... 34 Tabelle 4. Erforderliche Konfigurationsinformationen für Horizon View... 34 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 5
Inhalt 6 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 1: Einführung Kapitel 1 Einführung In diesem Kapitel werden die folgenden Themen behandelt: Zweck dieses Leitfadens... 8 Geschäftlicher Nutzen... 8 Umfang... 8 Zielgruppe... 9 Terminologie... 9 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 7
Kapitel 1: Einführung Zweck dieses Leitfadens In diesem Dokument wird der vollständige Konfigurationspfad für die Bereitstellung der RSA SecurID -Zwei-Faktor-Authentifizierung in VSPEX - Anwender-Computing für VMware Horizon-Umgebungen beschrieben. EMC VSPEX-Anwender-Computing für VMware Horizon View 5.2 und VMware vsphere 5.1 bieten bewährte Lösungen für das Anwender-Computing. Kunden, die einen zusätzlichen Zugriffsschutz für remote verfügbare oder sensible Horizon View-Umgebungen benötigen, können die SecurID-Zwei-Faktor-Authentifizierung als effektive zusätzliche Zugriffsschutzebene für virtuelle Desktops aktivieren. Zusätzlich zu Active Directory-Anmeldedaten ist für den Zugriff auf eine mit SecurID geschützte Ressource eine PIN (Personal Identification Number) und ein ständig wechselnder Code von einem hardware- oder softwarebasierten Token erforderlich. Anmeldedaten basieren auf etwas, das der Benutzer weiß (einer PIN), und etwas, das der Benutzer besitzt (einem Tokencode). Beide bilden die Basis für die Zwei-Faktor-Authentifizierung und sind ein Standard im Bereich der Zugriffssicherheit. Für die Implementierung von SecurID in VSPEX für Horizon View-Infrastrukturen ist RSA Authentication Manager als Teil der unterstützenden Infrastruktur erforderlich. SecurID ist eng in Horizon View 5.2 integriert. Sobald Authentication Manager online ist, kann die Aktivierung von SecurID über die Horizon View Administrator Console und die Authentication Manager Security Console in wenigen Minuten erfolgen. Geschäftlicher Nutzen Umfang Wie in der Dokumentation zur Infrastruktur beschrieben, bietet VSPEX für VMware Horizon View definierte Infrastrukturen mit bewährter, getesteter Performance, Skalierbarkeit und Funktionalität für bis zu 2.000 Desktops. Diese Ergänzung verbessert das Wertversprechen durch eine Verstärkung der Zugriffssicherheit, insbesondere für Remote-Verbindungen. Die in diesem Leitfaden dargestellten Zugriffs- und Sicherheitsverbesserungen stellen eine Ergänzung der VSPEX-Lösungen für VMware Horizon View dar. In diesem Dokument werden SecurID und Authentication Manager kurz beschrieben, ihre Integration in die VSPEX-Lösung erklärt und eine End-to-End-Konfiguration erläutert, die auf der RSA- und VMware-Installationsdokumentation basiert. Die Ergänzung ist nicht als eigenständige Lösung gedacht. In die VSPEX-Lösungen integrierte Infrastrukturservices, insbesondere AD und DNS (Domain Name System) dienen zur Unterstützung der in diesem Leitfaden beschriebenen Funktionen. Dieser Leitfaden ist zur Verwendung mit den VSPEX Proven Infrastructure- Dokumenten für VMware Horizon View vorgesehen. Als Mindestvoraussetzung für die Verwendung dieses Leitfadens sollten Sie mit den relevanten Lösungsdokumenten vertraut sein. 8 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 1: Einführung Zielgruppe Dieser Leitfaden ist für EMC Personal und qualifizierte EMC VSPEX-Partner gedacht. Er ist nicht zur externen Verteilung oder für VSPEX-Anwender vorgesehen. Terminologie Tabelle 1 führt die in diesem Leitfaden verwendete Terminologie auf. Tabelle 1. Terminologie Begriff AD DHCP DNS FQDN Ergänzung PCoIP Virtuelle Referenzmaschine Definition Active Directory Dynamic Host Configuration Protocol Domain Name System Fully Qualified Domain Name (Vollständig qualifizierter Domain- Name) Ein Zusatz zu einem anderen Grundlagenreferenzdokument, durch den eine Proven Infrastructure um optionale Funktionalität erweitert wird Personal Computer over IP Eine Maßeinheit für eine einzelne virtuelle Maschine zur Ermittlung der Rechenressourcen in einer VSPEX Proven Infrastructure Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 9
Kapitel 1: Einführung 10 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 2: Bevor Sie beginnen Kapitel 2 Bevor Sie beginnen In diesem Kapitel werden die folgenden Themen behandelt: Voraussetzungen... 12 Grundlegende Dokumente... 13 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 11
Kapitel 2: Bevor Sie beginnen Voraussetzungen Führen Sie folgende Schritte vor der Installation der RSA Authentication Appliance aus. Hinweis: Weitere Details finden Sie in den folgenden Abschnitten des Dokuments Erste Schritte für RSA Authentication Manager 8.0: Schritt 1: Vorbereitung der Bereitstellung Schritt 2: Erfüllung der Voraussetzungen 1. Stellen Sie sicher, dass Computer-, Arbeitsspeicher- und Speicherressourcen verfügbar sind. Anweisungen zum Ressourcen-Provisioning finden Sie in Tabelle 2. 2. Erwerben Sie Software und Lizenzen. Die folgende Software und die folgenden Lizenzen sind erforderlich: RSA Authentication Appliance OVA-Installationssoftware, ausreichende Hardware- oder Softwaretoken, Lizenzen, Tokendatensätze und Importpasswörter von RSA Ausreichend Lizenzen für neue VMware ESXi-Hosts 3. Weisen Sie die erforderlichen IP-Adressen zu, und erstellen Sie DNS- Einträge. Verwenden Sie die Tabellen in Anhang A zum Planen und Aufzeichnen der Benennungs- und Netzwerkinformationen für Authentication Manager- Hosts. 4. Erwerben Sie SSL-Zertifikate für Authentication Manager. Authentication Manager erstellt selbstsignierte Zertifikate, aber aufgrund der Sicherheitspolicies am Kundenstandort könnten externe Zertifikate erforderlich sein. Das Kapitel Certificate Management for SSL im RSA Authentication Manager 8.0 Administratorhandbuch erhält weitere Informationen. Da SSL-Zertifikate einem bestimmten vollständig qualifizierten Domain- Namen (FQDN) zugewiesen werden, ist es wichtig, die Benennungskonventionen für physische und virtuelle Server sorgfältig zu planen. 5. Erwerben Sie die SSL-Zertifikate für VMware View. Wenn auf den Horizon View-Servern noch keine SSL-Zertifikate vorhanden sind, finden Sie entsprechende Anweisungen im Horizon View- Installationsdokument, das im Bereich Horizon View-Support auf der VMware-Website unter http://www.vmware.com/de zur Verfügung steht. 12 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 2: Bevor Sie beginnen Grundlegende Dokumente EMC empfiehlt, die folgenden Dokumente zu lesen, die Sie im Bereich VSPEX im EMC Community Network oder unter http://germany.emc.com oder im VSPEX Proven Infrastructure-Partnerportal finden. VSPEX- Designleitfaden VSPEX- Lösungsüberblick VSPEX Proven Infrastructures Lesen Sie den folgenden VSPEX-Designleitfaden: Sichern von EMC VSPEX Anwender-Computing mit RSA SecurID: VMware View 5.2 mit VMware vsphere 5.1 für bis zu 2000 virtuelle Desktops Designleitfaden Lesen Sie das folgende Dokument zur VSPEX-Lösungsübersicht: EMC VSPEX-Lösungen für End User Computing für kleine und mittelgroße Unternehmen Lösungsübersicht Lesen Sie die folgenden Dokumente zur VSPEX Proven Infrastructure: EMC VSPEX-Anwender-Computing: VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 250 virtuelle Desktops unterstützt von EMC VNXe und EMC Backup der nächsten Generation VSPEX Proven Infrastructure EMC VSPEX Anwender-Computing: VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 2.000 virtuelle Desktops unterstützt von EMC VNX und EMC Backup der nächsten Generation VSPEX Proven Infrastructure Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 13
Kapitel 2: Bevor Sie beginnen 14 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 3: Lösungsüberblick Kapitel 3 Lösungsüberblick In diesem Kapitel werden die folgenden Themen behandelt: Übersicht... 16 Lösungsarchitektur... 16 Wichtige Komponenten... 17 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 15
Kapitel 3: Lösungsüberblick Übersicht Vorhandene Infrastruktur Die Horizon View-Umgebung und unterstützende Infrastrukturservices wie AD und DNS sollten gemäß dem entsprechenden Dokument für das VSPEX-Anwender- Computing konfiguriert sein. Computer- und Speicherressourcen für die in diesem Abschnitt beschriebenen Komponenten können zu dem Zweck hinzugefügt oder aus dem Lösungspool genutzt werden, wie später beschrieben wird. Lösungsarchitektur Abbildung 1 zeigt die allgemeine logische Architektur der VSPEX für VMware Horizon View-Infrastruktur mit den hinzugefügten Authentication Manager- Instanzen. Dargestellt ist die Variante von VNX mit Fibre Channel. Die NFS- und VNXe-Varianten werden in den VSPEX für VMware Horizon View-Dokumenten beschrieben. Abbildung 1. Logische Architektur: Allgemeine VSPEX for Horizon View 5.2-Architektur, ergänzt durch RSA Authentication Manager in einer redundanten Konfiguration Übersicht über die Architektur Die SecurID-Ergänzungsarchitektur besteht aus den folgenden Komponenten: EMC VSPEX-Anwender-Computing: VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 250 oder 2.000 virtuelle Desktops Die Grundlageninfrastruktur unterstützt Horizon View und stellt AD-, DNS-, DHCP- sowie SQL Server-Services bereit. Die Ergänzung verwendet außerdem AD und DNS. 16 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 3: Lösungsüberblick RSA Authentication Manager 8.0 Authentication Manager steuert alle betrieblichen Aspekte der SecurID-Funktion. Die Authentifizierungs-Agent- Funktion ist in Horizon View integriert, sodass keine Agent-Software manuell installiert werden muss. Sobald Authentication Manager online ist, führen Sie für die Aktivierung von SecurID in der Horizon View- Umgebung die folgenden Schritte aus: 1. Erstellen Sie einen Agent-Datensatz in der Authentication Manager Security Console, um den Horizon View-Server als Authentifizierungs-Agent zu registrieren. 2. Erzeugen Sie eine Konfigurationsdatei, und laden Sie sie von Authentication Manager herunter, um dem Horizon View-Server den gemeinsamen geheimen Schlüssel und andere Informationen bereitzustellen. 3. Aktivieren Sie SecurID in der Horizon View Administrator Console, und laden Sie die Konfigurationsdatei hoch, die Sie im vorherigen Schritt erstellt haben. Die Schritte zum Importieren und Zuweisen von SecurID-Token zu Benutzern finden Sie im RSA Authentication Manager 8.0 Administratorhandbuch. Redundante Nodes bieten hohe Verfügbarkeit (HA). Der Installationsassistent von Authentication Manager ermöglicht eine einfache Einrichtung von primären und sekundären Nodes. Nach der Einrichtung werden Änderungen am primären Node vorgenommen und anschließend über einen Synchronisierungsprozess an den sekundären Node übertragen. Ist ein Node nicht verfügbar, übernimmt der verbleibende Node den Datenverkehr. Hinweis: Achten Sie bei der Installation der RSA Authentication Appliance unter VMware darauf, dass Nodes auf verschiedenen physischen Hosts installiert sind, um eine durch einen Hardwareausfall verursachte Serviceunterbrechung auszuschließen. Hinweis: Während Authentication Manager 8.0 eine Lastausgleichsfunktion zur Weiterleitung des Datenverkehrs über mehrere Nodes bietet, stellt diese Ergänzung eine einfache hohe Verfügbarkeit über mehrere Nodes bereit. Der Service wird in der Regel über den primären Node bereitgestellt. Wenn der primäre Node ausfällt, führt der Service ein Failover auf den Replikat-Node durch. Partner sollten sich mit Kunden beraten, um zu entscheiden, ob eine Installation mit vollständigem Lastausgleich für sie von Vorteil wäre. Wichtige Komponenten RSA SecurID mit RSA Authentication Manager RSA SecurID bietet erweiterte Zugriffssicherheit durch eine Zwei-Faktor- Authentifizierung, bei der der Benutzer zwei Authentifizierungsaufforderungen erhält und die entsprechenden Informationen angeben muss: Persönliche Identifikationsnummer (PIN) etwas, das der Benutzer kennt, analog zu einem Passwort. Einmal-Tokencode oder -Passwort von einem hardware- oder softwarebasierten Token etwas, das der Benutzer besitzt. Dieser Tokencode ändert sich alle 60 Sekunden. Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 17
Kapitel 3: Lösungsüberblick Die SecurID-Funktion wird von RSA Authentication Manager verwaltet, für den diese Ergänzung als virtuelle Appliance (RSA Authentication Appliance) auf einem VMware ESXi-Host implementiert ist. Die integrierten Funktionen von Authentication Manager bieten Backup- und Synchronisierungsservices. Authentication Manager wird verwendet, um einen Authentifizierungsdatensatz zu erstellen, der dem Authentifizierungs-Agent entspricht, der in den Horizon View- Verbindungsserver integriert ist. Mit der Erstellung des Datensatzes wird der Horizon View-Verbindungsserver als Authentifizierungs-Agent bei Authentication Manager registriert. Anschließend wird eine Konfigurationsdatei mit diesen Informationen erzeugt. Wenn SecurID auf dem Horizon View-Verbindungsserver aktiviert ist, wird die Konfigurationsdatei hochgeladen, um die Verbindung zwischen Horizon View und Authentication Manager zu vervollständigen. Hinweis: Authentication Manager 8.0 ist nur als virtuelle Appliance unter VMware ESXi verfügbar. Im Gegensatz zu vorherigen Versionen wird keine installierbare Software bereitgestellt. Hinweis: Dieses Design ist mit Authentication Manager 7.1 SP4 kompatibel, wobei der Konfigurationsvorgang minimal abweicht. Hinweis: Authentication Manger 8.0 bietet im Vergleich zu früheren Versionen deutlich erweiterte Optionen für die Zugriffssicherheit, vor allem im Hinblick auf die risikobasierte Authentifizierung. Der Umfang dieser Ergänzung beschränkt sich jedoch auf die Implementierung der SecurID-Authentifizierung. Kunden sollten über die zusätzlichen Funktionen informiert werden, die ihnen zur Verfügung stehen. EMC VSPEX Anforderungen und Profil der virtuellen Maschine Die validierten und modularen VSPEX-Architekturen werden mit bewährten Technologien entwickelt und bieten vollständige Virtualisierungslösungen, die Ihnen fundierte Entscheidungen auf Hypervisor-, Computer- und Netzwerkebene ermöglichen. VSPEX verringert den Aufwand bei der Planung und Konfiguration der Desktopvirtualisierung. VSPEX beschleunigt die IT-Transformation durch schnellere Bereitstellungen, größere Auswahl, höhere Effizienz und ein geringeres Risiko. Informationen zu den Hardwareanforderungen, die eine virtuelle Standardreferenzmaschine definieren, finden Sie im Dokument zur VSPEX Proven Infrastructure für VMware Horizon View. Tabelle 2 zeigt die Computer-, Arbeitsspeicher- und Speicheranforderungen für eine hochverfügbare SecurID-Implementierung. Ressourcen können mit einer entsprechenden Reduzierung der Desktop-Kapazität aus dem VSPEX-Pool entnommen werden, oder Sie können zusätzliche Serverhardware hinzufügen. Achten Sie darauf, dass die redundanten Authentication Manager-Nodes auf den verschiedenen Servern platziert werden, damit der Service nicht durch einen Hardwareausfall unterbrochen wird. 18 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 3: Lösungsüberblick Die Active Directory- und DNS-Services, die bereits für die VSPEX VMware View- Umgebung vorhanden sind, werden zur Unterstützung der SecurID-Komponenten verwendet. Der zusätzlich erzeugte Overhead ist minimal und sollte keine zusätzliche Hardware erfordern. Tabelle 2. Baseline-Anforderungen für Computer, Arbeitsspeicher und Speicher für die SecurID-Ergänzung Komponente CPU (Kerne) Speicher (GB) Festplatte (GB) Referenz RSA Authentication Manager 2 4 100 RSA Authentication Manager 8.0 Handbuch für Performance und Skalierbarkeit Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 19
Kapitel 3: Lösungsüberblick 20 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 4: Lösungsimplementierung Kapitel 4 Lösungsimplementierung In diesem Kapitel werden die folgenden Themen behandelt: Implementieren von Server, Virtualisierung und Netzwerk... 22 Anwendungsimplementierung... 22 Backup und Recovery... 26 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 21
Kapitel 4: Lösungsimplementierung Implementieren von Server, Virtualisierung und Netzwerk Designüberlegungen Die Leser dieses Dokuments sollten mit Voraussetzungen für die Einrichtung einer VSPEX für Horizon View-Infrastruktur vertraut sein. Darüber hinaus ist die wichtigste zusätzliche Anforderung für die Aktivierung von SecurID in der VSPEX für Horizon View-Infrastruktur die Installation einer hochverfügbaren Authentication Manager-Umgebung. Active Directory-, DNS- und andere Infrastrukturservices, die die Horizon View-Umgebung unterstützen, unterstützen auch Authentication Manager. Diese Ergänzung stellt einen einfachen HA Authentication Manager-Service in der VSPEX für Horizon View-Umgebung bereit. Optimierung und betriebliche Planung (für Backup, Node-Synchronisierung usw.) sowie erweiterte Funktionen, z. B. die risikobasierte Authentifizierung, gehen über den Umfang des Leitfadens hinaus. Die Infrastruktur für die SecurID-Ergänzung entspricht dem Design im zugehörigen VSPEX für VMware Horizon View-Dokument. Die Speicheranforderungen sind minimal und sollten im VSPEX-Pool ohne zusätzliche Laufwerke verfügbar sein. Anwendungsimplementierung Die folgenden Konfigurationsschritte sind für die Implementierung von RSA SecurID in einer VSPEX für Horizon View-Bereitstellung erforderlich: Importieren und Konfigurieren der RSA Authentication Konfigurieren von VMware Horizon View für SecurID-Funktionen Importieren und Konfigurieren der RSA Authentication Appliance Dieser Abschnitt enthält die erforderlichen Konfigurationsschritte zum Einrichten zweier virtueller RSA Authentication Appliances in einer einfachen HA- Konfiguration. Achten Sie darauf, alle verwendeten Informationen wie IP- Zuweisungen, IDs und Passwörter, DNS-Aliase usw. aufzuzeichnen. Referenzen RSA Authentication Manager 8.0 Erste Schritte RSA Authentication Manager 8.0 Einrichtungs- und Konfigurationsleitfaden RSA Authentication Manager 8.0 Administratorhandbuch Schritte 1. Stellen Sie die primäre Authentication Appliance-Instanz auf einem VMware ESXi-Host bereit. Verwenden Sie dazu die in Appendix A aufgezeichneten Netzwerkinformationen (IP, DNS etc.). Eine Anleitung finden Sie in RSA Authentication Manager 8.0 Erste Schritte bzw. im RSA Authentication Manager 8.0 Einrichtungs- und Konfigurationsleitfaden. 22 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 4: Lösungsimplementierung 2. Richten Sie die primäre Authentication Appliance-Instanz auf dem Host ein. Eine Anleitung finden Sie in RSA Authentication Manager 8.0 Erste Schritte. Hinweis: Die während der Konfiguration erstellten Anmeldedaten für RSA Console sind lokale Anmeldedaten. Achten Sie darauf, sie an einem sicheren Speicherort aufzuzeichnen und zu speichern. 3. Legen Sie Active Directory als Identitätsquelle fest: a. Wählen Sie in der Security Operations Console Deployment Configuration Identity Sources Add New aus. b. Melden Sie sich als Super-Administrator an, wenn Sie dazu aufgefordert werden. c. Führen Sie folgende Schritte im Bereich Identity Source Basics aus: Geben Sie einen Anzeigenamen für die neue Quelle ein, und wählen Sie Microsoft Active Directory in der Liste Type aus. Optional: Geben Sie eine kurze Beschreibung in das dafür vorgesehene Feld ein. d. Führen Sie folgende Schritte im Bereich Directory Connection für die primäre Instanz aus: Wählen Sie im Feld Directory URL als Protokoll ldaps anstelle von http oder https aus: ldaps://mydomaincontroller.mydomain.com. Geben Sie im Feld Directory User ID eine berechtigte ID im vollständig qualifizierten Format <Domain>\<Benutzer-ID> ein. e. Führen Sie im Abschnitt Directory Settings folgende Schritte aus: Verwenden Sie für User Base DN und User Group Base DSN den Active Directory-Distinguished Name. Um den Distinguished Name, zu ermitteln, navigieren Sie zu Active Directory Users and Computers auf dem Domain Controller, wählen Sie Properties für den Ordner aus, der die Benutzer enthält, und suchen Sie das Feld auf der Registerkarte Attribute Editor. Verwenden oder ändern Sie die Standardwerte für die übrigen Felder. f. Verbinden Sie die neue AD-Identitätsquelle mit der Standard-System- Domain, damit AD-Benutzer für die Tokenzuweisung verfügbar sind. Gehen Sie dabei folgendermaßen vor: Hinweis: In Kapitel 5 von RSA Authentication Manager 8.0 Administratorhandbuch finden Sie weitere Informationen. i. Navigieren Sie zu Security Console Setup Identity Sources Link Identity Source to System. ii. Wählen Sie die neue Identitätsquelle im Navigationsbereich Available aus, und klicken Sie auf den Pfeil nach rechts, um sie zum Navigationsbereich Linked hinzuzufügen. iii. Klicken Sie auf Save. Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 23
Kapitel 4: Lösungsimplementierung g. Überprüfen Sie, ob die neue Identitätsquelle hinzugefügt und mit der Systemdomäne verknüpft wurde: i. Wählen Sie Operations Console Deployment Configuration Identity Sources Manage Existing aus, und überprüfen Sie, ob die neue Quelle in der Liste enthalten ist. ii. Navigieren Sie zu Security Console Identity Users Manage Existing, wählen Sie die entsprechende Identitätsquelle über die Suchfelder aus, und klicken Sie auf Search, um die Benutzer anzuzeigen. 4. Konfigurieren Sie eine Replikatinstanz für hohe Verfügbarkeit. Eine Anleitung finden Sie in RSA Authentication Manager 8.0 Erste Schritte. 5. Bestätigen Sie die Replikationsverbindung zwischen dem primären und dem sekundären Node. Gehen Sie dazu folgendermaßen vor: a. Navigieren Sie in der Security Operations Console zu Deployment Configuration Instances Status Report. b. Die Replikatinstanz sollte den Status Normal haben, der durch ein grünes Häkchen signalisiert wird. Informationen dazu, wie Sie mit abweichenden Statusanzeigen umgehen, finden Sie in RSA Authentication Manager 8.0 Administratorhandbuch in Kapitel 15 unter Prüfen des Replikationsstatus. 6. Weisen Sie den Benutzern SecurID-Tokens zu. Gehen Sie dazu folgendermaßen vor: Hinweis: Weitere Details finden Sie in RSA Authentication Manager 8.0 Administratorhandbuch in Kapitel 9, Bereitstellung und Verwaltung von RSA SecurID-Tokens. Hinweis: Dieser Schritt kann entweder jetzt durchgeführt oder bis zur restlichen Konfiguration der SecurID-Infrastruktur verschoben werden. a. Importieren Sie Tokendatensätze, die zusammen mit Lizenzdateien auf CDs von RSA bereitgestellt werden, und die Token selbst in den primären Authentication Manager-Server. Gehen Sie dazu folgendermaßen vor: i. Navigieren Sie in der Security Console zu Authentication SecurID Tokens Import Tokens Job Add New. ii. Folgen Sie der Anleitung im Leitfaden für die ersten Schritte mit RSA SecurID-Tokendatensätzen auf der CD mit den Tokendatensätzen. b. Weisen Sie den Benutzern Tokens zu. Gehen Sie dazu folgendermaßen vor: Hinweis: Die folgende Anleitung stellt die einfachste Methode dar, einem Benutzer ein Token zuzuweisen. Weitere Optionen finden Sie in Kapitel 9 von RSA Authentication Manager 8.0 Administratorhandbuch. 24 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 4: Lösungsimplementierung i. Wählen Sie in der Security Console Authentication SecurID Tokens Manage Existing aus. ii. Befolgen Sie die Anleitung unter Zuweisen und Aufheben der Zuweisung von Hardware- und Softwaretoken in Kapitel 3 von RSA Authentication Manager 8.0 Administratorhandbuch. iii. Klicken Sie auf die Registerkarte Unassigned. iv. Wählen Sie ein zuzuweisendes Token aus. v. Vergewissern Sie sich, dass die Funktion Assign to Users in der Tokenliste ausgewählt ist. vi. Klicken Sie auf Go. 7. Registrieren Sie die Horizon View-Server als Authentifizierungsagenten: a. Navigieren Sie in der RSA Security Console zu Access Authentication Agents Add New. b. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus: Hostname: Geben Sie den FQDN des Horizon View-Servers ein. IP Address: Wählen Sie Resolve IP neben dem Feld Hostname aus, um dieses Feld auszufüllen. Vergewissern Sie sich, dass die Adresse der Managementadresse des Horizon View-Hosts entspricht. Weitere Felder: Verwenden Sie für die übrigen Felder Standardwerte, es sei denn, für die neue Bereitstellung ist ausdrücklich ein anderer Eintrag erforderlich. c. Wenn dies der letzte hinzugefügte View-Server ist, klicken Sie auf Save. Klicken Sie andernfalls auf Save & Add Another, und wiederholen Sie die Schritte a bis c. 8. Erstellen Sie die Konfigurationsdatei: a. Navigieren Sie in der RSA Security Console zu Access Authentication Agents Generate Configuration file. Die einzigen konfigurierbaren Werte auf der Seite betreffen die Anzahl der Wiederholungsversuche vor dem Timeout. Standardwerte sind akzeptabel. b. Klicken Sie auf Konfigurationsdatei speichern und erzeugen. c. Klicken Sie auf Download Now, um die Datei an einem Speicherort zu speichern, auf den der Horizon View-Server zugreifen kann, auf den die Datei hochgeladen wird. d. Extrahieren Sie die Datei sdconf.rec aus der heruntergeladenen ZIP- Datei. Hinweis: Die Datei failover.dat, die ebenfalls in der ZIP-Datei enthalten ist, wird bei diesem Schritt nicht verwendet. Konfigurieren von VMware Horizon View für SecurID- Funktionen In den folgenden Schritten finden Sie Anweisungen für die Aktivierung der SecurID-Authentifizierung auf einem einzelnen Horizon View-Managementserver in der VSPEX-Infrastruktur. Wiederholen Sie diese Schritte, bis SecurID auf allen Horizon View-Servern installiert ist. Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 25
Kapitel 4: Lösungsimplementierung Backup und Recovery Wenn noch nicht vorhanden, installieren Sie SSL-Zertifikate gemäß den Anweisungen im Dokument VMware Horizon View- Installationsdokument, das Sie im Abschnitt zum View-Support auf der VMware-Website unter http://www.vmware.com/de finden. 1. Melden Sie sich mit Administratorrechten bei der Horizon View Administration Console an. 2. Navigieren Sie zu View Configuration Servers. 3. Klicken Sie auf die Registerkarte Connection Servers. 4. Wählen Sie den Verbindungsserver aus, für den Sie SecurID aktivieren möchten, und klicken Sie auf Edit. a. Klicken Sie im Dialogfeld Edit View Connection Server Settings auf die Registerkarte Authentication. b. Wählen Sie im Abschnitt Advanced Authentication im Listenfeld 2-Factor Authentication die Option RSA SecurID aus. c. Wählen Sie Enforce SecurID and Windows user name matching aus, um sicherzustellen, dass eine SecurID und die damit verbundene Active Directory-ID übereinstimmen. d. Klicken Sie auf Upload File, um die zuvor heruntergeladene Datei sdconf.rec auszuwählen und hochzuladen. e. Nach dem Hochladen der Datei ist die SecurID-Funktion ohne Neustart oder Serviceneustart aktiviert. Backup und Recovery sind in der Infrastrukturdokumentation für die VSPEX- Lösung beschrieben, der SecurID hinzugefügt wird. RSA empfiehlt die Verwendung seines nativen Toolsets für Backup und Wiederherstellung der internen Authentication Manager-Datenbank. 26 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 5: Überprüfung der Lösung Kapitel 5 Überprüfung der Lösung In diesem Kapitel werden die folgenden Themen behandelt: Basishardware-Überprüfung... 28 RSA SecurID-Überprüfung... 28 Überprüfung von RSA Authentication Manager... 29 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 27
Kapitel 5: Überprüfung der Lösung Basishardware-Überprüfung Die Überprüfung der Hardware geht über den Umfang dieses Dokuments hinaus. In den Dokumenten zu VSPEX für VMware Horizon View finden Sie Informationen zur Überprüfung der Hardware. RSA SecurID-Überprüfung Führen Sie die folgenden Schritte aus, um die SecurID-Funktion zu überprüfen: 1. Starten Sie den Horizon View-Client, und klicken Sie auf Connect, siehe Abbildung 2. Abbildung 2. Horizon View-Client 2. Geben Sie in den Feldern User name und Passcode (siehe Abbildung 3) die SecurID-Authentifizierungsinformationen ein, die Sie bei der Konfiguration von Authentication Manager festgelegt haben. Abbildung 3. Dialogfeld des Horizon View-Clients für die SecurID-Authentifizierung 28 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 5: Überprüfung der Lösung Geben Sie nach erfolgreicher SecurID-Authentifizierung Ihren AD-Benutzernamen und Ihr Kennwort wie in Abbildung 4 gezeigt ein. Abbildung 4. Dialogfeld des Horizon View-Clients für die AD-Authentifizierung Nach erfolgreicher AD-Authentifizierung wird der Benutzerdesktop angezeigt. Überprüfung von RSA Authentication Manager Der Erfolg des SecurID-Authentifizierungsvorgangs dient als praktische Validierung von RSA Authentication Manager. Gehen Sie folgendermaßen vor, wenn Sie eine zusätzliche Überprüfung ausführen möchten: 1. Klicken Sie in der Security Console von Authentication Manger auf Reporting Realtime Activity Monitors Authentication Activity Monitor. 2. Geben Sie den zu überprüfenden Benutzernamen in das Feld Search ein, falls erforderlich. 3. Klicken Sie auf Start Monitor. 4. Melden Sie sich über den Horizon View-Client mit dem aus zwei Schritten bestehenden Authentifizierungsprozess bei einem Desktop an. 5. Vergewissern Sie sich im Überwachungsfenster, dass die SecurID- Anmeldedaten validiert sind. 6. Schließen Sie das Überwachungsfenster. Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 29
Kapitel 5: Überprüfung der Lösung Die grundlegende HA-Funktionalität lässt sich folgendermaßen überprüfen: 1. Bearbeiten Sie über VMware vsphere die Einstellungen für den primären Authentication Manager-Node, um die Verbindung zur virtuellen Guest-NIC aufzuheben oder den Guest herunterzufahren. 2. Überprüfen Sie die erfolgreiche SecurID-Authentifizierung. 3. Stellen Sie die Verbindung zur virtuellen NIC auf dem primären Node wieder her. 4. Wiederholen Sie die obigen Schritte mit dem sekundären Node. 30 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Kapitel 6: Referenzdokumentation Kapitel 6 Referenzdokumentation In diesem Kapitel werden die folgenden Themen behandelt: EMC Dokumentation... 32 Andere Dokumentation... 32 Links... 32 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 31
Kapitel 6: Referenzdokumentation EMC Dokumentation Andere Dokumentation Links Die folgenden Dokumente auf EMC Online Support oder auf http://germany.emc.com bieten weitere und relevante Informationen. Falls Sie auf ein Dokument nicht zugreifen können, wenden Sie sich an Ihren EMC Vertriebsmitarbeiter. Sicherung von EMC VSPEX-Anwender-Computing-Lösungen mit RSA SecurID: VMware View 5.2 mit VMware vsphere 5.1 für bis zu 2.000 virtuelle Desktops Designleitfaden EMC VSPEX-Anwender-Computing: VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 250 virtuelle Desktops unterstützt von EMC VNXe und EMC Backup der nächsten Generation VSPEX Proven Infrastructure EMC VSPEX-Anwender-Computing: VMware Horizon View 5.2 und VMware vsphere 5.1 für bis zu 2.000 virtuelle Desktops unterstützt von EMC VNX und EMC Backup der nächsten Generation VSPEX Proven Infrastructure Weitere Informationen finden Sie in folgenden Dokumenten auf der RSA-Website unter https://knowledge.rsasecurity.com (Konto erforderlich): RSA Authentication Manager 8.0 Versionshinweise RSA Authentication Manager 8.0 Erste Schritte RSA Authentication Manager 8.0 Einrichtungs- und Konfigurationsleitfaden RSA Authentication Manager 8.0 Administratorhandbuch RSA Authentication Manager 8.0 Handbuch für Performance und Skalierbarkeit Dokumentation zu VMware Horizon View und VMware vsphere finden Sie unter den folgenden Links: http://pubs.vmware.com/view-52/index.jsp http://pubs.vmware.com/vsphere-51/index.jsp Hinweis: Die angegebenen Links haben zum Zeitpunkt der Veröffentlichung funktioniert. 32 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID:
Anhang A: Konfigurationsarbeitsblatt Anhang A Konfigurationsarbeitsblatt In diesem Anhang wird das folgende Thema behandelt: Konfigurationsarbeitsblatt... 34 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: 33
Anhang A: Konfigurationsarbeitsblatt Konfigurationsarbeitsblatt Tabelle 3. Erforderliche Konfigurationsinformationen für Authentication Manager Primär Sekundär Hostname (vollständig qualifizierter Domain-Name) Management-IP Certificate vcenter-(esxi-)host Speicherort der Installationsmedien Speicherort der Lizenz und des Tokendatensatzes ID/Passwort des lokalen Administrators Tabelle 4. Erforderliche Konfigurationsinformationen für Horizon View Primär Sekundär Hostname (vollständig qualifizierter Domain-Name) Management-IP Certificate vcenter-(esxi-)host ID/Passwort des lokalen Administrators 34 Sicherung des EMC VSPEX-Anwender-Computings mit RSA SecurID: