SZENARIO BEISPIEL. Implementation von Swiss SafeLab M.ID mit Citrix. Redundanz und Skalierbarkeit



Ähnliche Dokumente
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

1. Zugriff auf das Lonza Netzwerk von ihrem privaten PC oder von einem Internet Café

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Anleitung Grundsetup C3 Mail & SMS Gateway V

Clientkonfiguration für Hosted Exchange 2010

Technical Note ewon über DSL & VPN mit einander verbinden

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

NTR-Support Die neue Fernwartung

estos UCServer Multiline TAPI Driver

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Step by Step VPN unter Windows Server von Christian Bartl

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

VPN/WLAN an der Universität Freiburg

Infinigate (Schweiz) AG. Secure Guest Access. - Handout -

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

:: Anleitung Hosting Server 1cloud.ch ::

Anleitung zur Nutzung des SharePort Utility

Konfigurationsanleitung Tobit David Fax Server mit Remote CAPI Graphical User Interface (GUI) Seite - 1 -

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Lokale Installation von DotNetNuke 4 ohne IIS

Daten Sichern mit dem QNAP NetBak Replicator 4.0

Anforderungen zur Nutzung von Secure

Machen Sie Ihr Zuhause fit für die

Forefront Threat Management Gateway (TMG) und Forefront Unified Access Gateway (UAG) Die perfekte Lösung

Anleitung auf SEITE 2

Version 1.0. Benutzerhandbuch Software Windows CE 6.0

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Anleitung mtan (SMS-Authentisierung) mit Cisco IPSec VPN

Schumacher, Chris Druckdatum :11:00

Anleitung zur Anmeldung mittels VPN

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

ADNP/9200 mit E2U/ESL1: Web Interface Beispiele

Adressen der BA Leipzig

Kleines Handbuch zur Fotogalerie der Pixel AG

WLAN an der TUC. eduroam mit Windows 7. Empfohlen - gesichertes Funknetz mit WPA/WPA2

Projekt SBI Benutzeranleitung Remotezugriff. Teilprojekt Standard-Arbeitsplatz Arbeitspaket Basis Applikationen. Kantonsspital St.

SharePoint Demonstration

GIFONET-VPN unter Windows XP, Windows Vista, Windows 7 und Windows 8

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

FastViewer Remote Edition 2.X

Arbeiten mit dem neuen WU Fileshare unter Windows 7

COMPUTER MULTIMEDIA SERVICE

ISA Server 2004 Einzelner Netzwerkadapater

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

Anleitung zur Anmeldung mittels VPN

ANLEITUNG NETZEWERK INSTALATION

Anleitung auf SEITE 2

Fernzugang Uniklinikum über VMware View

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

NetVoip Installationsanleitung für Grandstream GXP2000

DynDNS Router Betrieb

kreativgeschoss.de Webhosting Accounts verwalten

Folgen Sie bitte genau den hier gezeigten Schritten und achten Sie auf die korrekte Eingabe der Daten.

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Inhaltverzeichnis 1 Einführung Zugang zu den Unifr Servern Zugang zu den Druckern Nützliche Links... 6

Kommunikations-Parameter

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Anleitung Hosted Exchange

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Kommunikationsübersicht XIMA FORMCYCLE Inhaltsverzeichnis

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Lizenz-Server überwachen

Download unter:

Exchange-Server - Outlook 2003 einrichten. 1. Konfiguration Outlook 2003 mit MAPI. Anleitung: Stand:

Sie müssen sich für diesen Fall mit IHREM Rechner (also zeitgut jk o.ä.) verbinden, nicht mit dem Terminalserver.

Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2

Shellfire PPTP Setup Windows 7

Herzlich Willkommen bei der nfon GmbH

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

HOB WebSecureProxy Universal Client

End User Manual für SPAM Firewall

SharePoint Workspace 2010 Installieren & Konfigurieren

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Partnerportal Installateure Registrierung

Grundvoraussetzung: Windows XP mit Servicepack 3 (SP3) Arbeitsplatz rechter Mouseklick Eigenschaften

Netzwerk einrichten unter Windows

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Reporting Services und SharePoint 2010 Teil 1

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools

Anleitung für das Einrichten eines SIP-Accounts (Registrierung einer VoiP- Nummer) im Softphone SJPhone für Windows Mobile

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Verwendung des IDS Backup Systems unter Windows 2000

Einrichten eines E- Mail Kontos mit Mail (Mac OSX)

Transkript:

SZENARIO BEISPIEL Implementation von Swiss SafeLab M.ID mit Citrix Redundanz und Skalierbarkeit

Rahmeninformationen zum Fallbeispiel Das Nachfolgende Beispiel zeigt einen Aufbau von Swiss SafeLab M.ID unter Verwendung von Citrix Komponenten. Swiss SafeLab M.ID lässt sich auch mit einer vielzahl anderer Produkte anderer Hersteller redundant aufbauen. Citrix Komponenten wurden in diesem Fall lediglich als Fallbeispiel verwendet! Citrix ist keine Grundvoraussetzung für die Verwendung von Swiss SafeLab M.ID! Sämtliche nachfolgend aufgeführten und erwähnten Ports können beliebig geändert werden. In diesem Szenario wurden die standard Ports verwendet. Sämtliche Kommunikationswege können nach Bedarf mit SSL verschlüsselt werden. Nachfolgend wurde das am häufigsten verwendete Szenario gewählt Nachfolgendes Beispiel zeigt eine Installation mit redundant ausgelegten Komponenten. Swiss SafeLab M.ID Komponenten lassen sich sehr einfach, schnell, zu jedem beliebigen Zeitpunkt und ohne Betriebsunterbruch skalieren und erweitern. Zu jedem beliebigen Zeitpunkt können beliebig viele M.ID Agents und M.ID Services mit einem minimalen Aufwand hinzugefügt werden. Im kommenden Beispiel sind folgende Swiss SafeLab M.ID Komponenten doppelt ausgelegt: - Swiss SafeLab M.ID Agent auf Citrix Web Interface Servern - Swiss SafeLab M.ID Server Weitere redundant ausgelegte Komponenten des nachfolgenden Beispiels: - Citrix Access Gateway - Citrix Web Interface - Citrix Terminal Server (Citrix Farm) - Domain Controller

Empfohlene Platzierung der Komponenten WAN DMZ LAN CITRIX Webinterface M.ID Server 1 Domain Controller 1 Gateway 1 Load Balancer Citrix Farm Gateway 2 Domain Controller 2 CITRIX Webinterface 2 M.ID Server 2

Komponenten DMZ: Legende (Beschreibung Komponenten) Load Balancer in diesem Szenario gewährleistet der Load Balancer das Load Balancing und Failover für mehrere Citrix Access Gateway Appliances und mehrere Citrix Webinterface Server. Citrix Webinterface 1+2 inkl. M.ID Agent Das Webinterface von Citrix stellt den Benutzern die Applikationen aus der Citrix Farm webbasiert zur Verfügung. Das Webinterface wird aus Redundanz und Load Balancing Gründen auf 2 Servern installiert und 1:1 genau gleich konfiguriert. Das Load Balancing für das Citrix Web Interface bietet in diesem Szenario auch der Load Balancer. Auf dem Webinterface wird auch der M.ID Agent für 2 Faktor Authentisierung über SMS installiert. Alternativ kann hier auch anstelle des M.ID Agents fürs Webinterface eine Radius Kommunikation konfiguriert werden, in diesem Fall wird KEIN M.ID Agent benötigt (Unterstützt ab Webinterface 5.0 oder Anmeldung wird direkt am Citrix Access Gateway mit Radius konfiguriert - nicht behandelt in diesem Dokument!). Citrix Access Gateway 1+2 Das CAG ist eine Hardware Appliance, welche einerseits SSL Proxy Funktionalität für HTTP/HTTPS und ICA/SSL bietet, andererseits ist das CAG aber auch eine SSL VPN Appliance mit Endpoint Security. Das Access Gateway wird verwendet um die Kommunikation vom Client zum Webinterface mit SSL zu verschlüsseln, aber auch um Citrix ICA Sessions zu den Citrix Servern abzusichern. Das CAG wird für Lastverteilung und Ausfallsicherheit in diesem Beispiel doppelt aufgebaut. Komponenten LAN: M.ID Server 1+2 Der M.ID Server befindet sich im LAN und kann auf einem beliebigen Server/PC installiert werden. Er bietet 2 Faktor Authentifizierung über SMS. Der Service dient zum Authentisieren der Benutzer und zum verschicken von Passcodes per SMS. Aus Redundanzgründen wird der M.ID Service auf 2 unterschiedlichen Servern installiert. Der M.ID Service kann aus Redundanzgründen beliebig oft installiert und verwendet werden. Domain Controller 1+2 Die DC s werden vom M.ID Service verwendet um Benutzernamen und Passwörter der User zu überprüfen. Zur Ausfallsicherheit werden auch hier mindestens 2 Domain Controller angegeben, es können aber auch noch weitere angegeben werden. Citrix Farm Die Citrix Presentation Server Farm stellt den Benutzern zentralisiert veröffentlichte Applikationen und Desktops über Terminal Server Remoteverbindungen zur Verfügung. Applikationen stehen in der Citrix Farm zur Verfügung, unabhängig davon von wo sich ein User verbindet wie zb. Home Office, Aussenstandort, internet Café etc...aus Failover und Load Balancing Gründen sollte eine Citrix Server Farm immer aus mindestens 2 oder mehr Servern bestehen.

Kommunikationswege der Komponenten in einer redundanten Installation (Fallbeispiel eines Verbindungsaufbaus von A - Z) WAN DMZ LAN Gateway 1 7 CITRIX Webinterface STA :80 - ICA :1494 M.ID Server 1 Domain Controller 1 1 SSL :443 7 SSL: 443 SSL :443 HTTP :80 2 7 Citrix Farm Load Balancer HTTP :80 2 5 6 XML:80 - STA :80 3 M.ID :81 4 LDAP :389 Domain Controller 2 Gateway 2 CITRIX Webinterface 2 M.ID Server 2

Legende Aufbau einer Citrix ICA Session von A Z mit redundanten Komponenten auf einen Blick Nachfolgend wird der Ablauf der Kommunikation vom Aufruf der Webinterface Seite bis zur erfolgreich erstellten Citrix Session beschrieben. Schritt 1 Der Benutzer gibt die URL des Citrix Access Gateways in seinem Browser ein um über den Load Balancer auf das Web Interface zu gelangen. Die HTTPS Verbindung wird über das Citrix Access Gateway zum Webinterface aufgebaut. Beim Aufbau der Session entscheidet der Hardware Load Balancer welcher Access Gateway die Verbindung erhalten soll. Es werden in diesem Fall mindestens 2 Access Gateways verwendet. Schritt 2 Der Access Gateway stellt die gewünschte Webverbindung zum Webinterface her. Dabei kommuniziert der Access Gateway wieder über den Load Balancer, welcher dann entscheidet zu welchem Webinterface Server die Verbindung aufgebaut werden soll. Es werden in diesem Fall mindestens 2 genau gleich konfigurierte Webinterface Server verwendet. Schritt 3 Der Benutzer meldet sich am Webinterface mit Benutzernamen, Password und M.ID Pin an. Dabei Kommuniziert das Webinterface über Port 81 mit dem M.ID Service im LAN um den Benutzernamen und den M.ID Pin im LDAP abzufragen und eine SMS mit einem Passcode an den anzumeldenden Benutzer zu schicken. Es können mehrere SMS Provider konfiguriert werden um die Zustellung der SMS zu gewährleisten. Auch der M.ID Service wird aus Redundanzgründen mehrfach im LAN installiert. Ist ein M.ID Service nicht verfügbar, verwendet das Citrix Webinterface automatisch den nächsten konfigurierten M.ID Server. Schritt 4 Der Benutzer trägt den per SMS erhaltenen Passcode im Webinterface ein. Dabei wird der Passcode vom M.ID Service überprüft.

Schritt 5 War beim vorangehenden Punkt der SMS Passcode richtig, dann wird die Anmeldung an der Citrix Farm über XML Port 80 durchgeführt. Konnte die Citrix Farm den User erfolgreich authentifizieren, dann werden über den XML Dienst die Applikationen ermittelt die für diesen User zur verfügung stehen. Diese Applikationsgruppe wird an das Webinterface übermittelt, das Webinterface erstellt die Seite für den Benutzer mit den Applikationen. Schritt 6 Der Benutzer klickt nun auf die gewünschte Applikation um sie zu starten. Dabei ermittelt das Webinterface wieder über XML Port 80 welcher Server, mit der gewünschten Applikation, gerade die tiefste Last hat und welcher Port für die Verbindung verwendet werden soll. Diese Informationen werden vom Webinterface in die STA (Secure Ticketing Authority) über Port 80 abgelegt und im Gegenzug dafür wird ein Ticket bezogen. Vom Webinterface wird ein ICA File erstellt, welches die Verbindungsinformationen zum Access Gateway und das von der STA bezogene Ticket enthält. Dieses ICA File wird zum Herstellen der Citrix Session verwendet und wird über die Webverbindung an den Client geschickt. Die STA ist in jedem Presentation Server ab Version 4.0 direkt im XML Dienst integriert und braucht nicht separat installiert werden. Schritt 7 (rosa Pfeil) Der Citrix Client auf dem liest das erhaltene ICA File aus und stellt über SSL 443 eine Verbindung zum Access Gateway her. Auch hier entscheidet wieder der Load Balancer auf welches Citrix Access Gateway die Verbindung hergestellt wird. Dabei wird das STA Ticket dem Access Gateway übergeben, welches das Ticket über Port 80 auf der STA einreicht. Im Gegenzug erhält das Access Gateway die ICA Verbindungsinformationen wie Server IP Adresse, Applikation, Portnummer etc. Das Access Gateway verwendet die ICA Verbindungsinformationen um eine ICA Session auf die Citrix Farm herzustellen. Nun kommuniziert der Client ausschliesslich mit dem Access Gateway über SSL 443. Das Access Gateway spielt den SSL Proxy Server und kommuniziert auf einer Seite über SSL mit dem Client und auf anderer Seite stellt nun das Access Gateway die ICA Verbindung zum entsprechenden Citrix Server her. Es gibt nun keine direkten Verbindungen vom Client, weder zum Webinterface noch zu den Citrix Servern.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback