Administratorhandbuch HOB Remote Desktop VPN Dokument-Version: 0.1 Software-Version: 1.3 Ausgabe: Mai 2009 HOB GmbH & Co. KG Schwadermühlstr. 3 90556 Cadolzburg Germany Telefon 09103 715-0 Fax 09103 715-271 E-mail: support@hob.de Internet: http://www.hob.de Sicherheitslösungen von HOB 1
Einführung HOB RemoteDesktop VPN HOB RemoteDesktop VPN Software und Dokumentation Telefon: +49-9103/715-161 Fax: +49-9103/715-271 Alle Informationen in diesem Dokument gehören HOB und dürfen ohne unsere Einwilligung nicht verändert werden. Sie stellen keine Verpflichtungen von Seiten der Firma HOB dar. Alle Rechte sind vorbehalten. Die Wiedergabe des redaktionellen Inhalts oder von Grafiken und Bildern ist ohne ausdrückliche Erlaubnis von Seiten der Firma HOB verboten. Die Software HOB RD VPN und die Dokumentation wurden getestet und geprüft. HOB ist allerdings nicht für Verluste oder Beschädigungen verantwortlich, die aus dem Gebrauch irgendeiner Information, Einzelheiten, Fehlern oder Auslassung dieser Dokumentation entstehen. Sun Microsystems, HotJava und Java sind Warenzeichen oder eingetragene Warenzeichen von Sun Microsystems, Inc. Microsoft- und Microsoft Internet Explorer sind eingetragene Warenzeichen von Microsoft Corporation. Alle weiteren Produktnamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Gesellschaften. Versionsstand: 15.05.2009 2 Sicherheitslösungen von HOB
Einführung HOB RemoteDesktop VPN Symbole und Konventionen In diesem Handbuch werden eigene Konventionen zur Typisierung bestimmter, wiederkehrender Sachverhalte verwendet. Ihre jeweilige Bedeutung wird wie folgt festgelegt. So sind nützliche Tipps gekennzeichnet, die Ihre Arbeit erleichtern. So sind zusätzliche Informationen gekennzeichnet. Dieses Symbol kennzeichnet wichtige Informationen, die Sie unbedingt beachten sollten. Dieses Symbol weist auf weitere themenbezogene Informationen hin, die in der Online-Hilfe enthalten sind. Dieses Symbol kennzeichnet Vorgangsbeschreibungen, deren Einzelschritte fortlaufend nummeriert sind, z.b.: 1. Schritt 2. Schritt... Dieses Symbol kennzeichnet Querverweise auf interne oder externe Inhalte. Tasten, oder Tastenkombinationen werden in eckigen Klammern dargestellt, z.b. [Leer]. Referenzen auf Programmbefehle und Dialogfelder sind fett gedruckt z.b. Wählen Sie den Befehl Öffnen. einstellbare Optionen und Schaltflächen, die in Dialogfeldern wählbar sind, sind fett gedruckt, z.b. benutzerdefiniert. Von Ihnen einzugebender Text, Bildschirmanzeigen und Dateinamen sind in der Schriftart Courier New dargestellt. Beachten Sie dabei die Großund Kleinschreibung! Sicherheitslösungen von HOB 3
Einführung HOB RemoteDesktop VPN Verwendete Abkürzungen Folgende Abkürzungen werden in diesem Handbuch verwendet: Produktname HOB WebSecureProxy HOB WebSecureProxy Universal Client Kurzform WSP WSP UC Ziel dieses Handbuchs Dieses Handbuch stellt Administratoren ausführliche Informationen über HOB RD VPN für die Entscheidungsfindung zur Verfügung, wo und wie Sie dieses Produkt in Ihrem Unternehmen effizient einsetzen können. Diese Dokumentation enthält zahlreiche Einsatzszenarien, die beispielhafte Lösungen aufzeigen, und beschreibt die dafür erforderlichen Bedingungen. Die Vorgehensweise zur Konfiguration der jeweiligen Software-Komponenten ist mit detaillierten Schritt-für-Schritt-Anweisungen dokumentiert. 4 Sicherheitslösungen von HOB
Einführung HOB RemoteDesktop VPN Inhalt Symbole und Konventionen 3 Verwendete Abkürzungen 4 Ziel dieses Handbuchs 4 1. Einführung 9 1.1. Vorteile von HOB RD VPN 9 1.1.1. HOB RD VPN - die Komplettlösung mit vielen Möglichkeiten 9 1.2. Komponenten von HOB RD VPN 9 1.2.1. HOB WebSecureProxy 9 1.2.2. HOBLink J-Term / JWT 10 1.2.3. HOB Enterprise Access 10 2. Installation 11 2.1. Systemvoraussetzungen 11 2.1.1. Server-System 11 2.1.2. Client-System 11 2.2. So installieren Sie HOB RD VPN 12 2.3. Umstellen von Lokaler Konfiguration auf Remote-Konfiguration 13 2.4. IP-Adresse / Port ändern 18 2.4.1. Eingehenden Port ändern 18 2.4.2. Adresse des Integrierten Webservers ändern 18 2.4.3. HTTP Redirector konfigurieren 19 2.4.4. Startoptionen ändern 19 2.5. Anpassen von HOB RD VPN 20 2.6. Deinstallation 22 2.7. Sichern von Installation und Konfigurationsdaten 22 3. Benutzerverwaltung mit HOB Enterprise Access 25 3.1. Konzept 25 3.2. Konfigurationsprogramm HOB EA Administration 26 3.2.1. HOB EA Administration lokal 26 3.2.2. HOB EA Administration remote 26 3.2.3. Arbeiten mit HOB EA Administration 27 3.3. HOB RD VPN Einstellungen 28 3.4. EA-Server 29 3.4.1. EA-Server starten / beenden 30 3.5. Hinweise zu LDAP 30 3.6. Startoptionen-Manager 31 3.7. Authentifizierung 31 3.7.1. RADIUS Server-Authentifizierung 32 3.7.2. LDAP-Authentifizierung 32 3.7.3. EA-Server-Authentifizierung 32 3.8. Single SignOn 32 4. Konfiguration von HOB WebSecureProxy 33 4.1. Lokale Konfiguration von HOB WSP 33 4.2. Remote-Konfiguration von HOB WSP 34 4.2.1. Funktionsweise der WSP Remote Konfiguration 35 4.3. WSP Konfiguration Benutzeroberfläche 36 Sicherheitslösungen von HOB 5
Einführung HOB RemoteDesktop VPN 4.4. WSP Konfiguration in LDAP speichern 38 5. HOB PPP-Tunnel 49 5.1. Installation und Konfiguration 49 5.2. Konfiguration eines Servers im HOB WebSecureProxy 49 5.3. Verwendung von NAT und DNS 50 5.4. Konfiguration des Integrated Web Server im HOB WebSecureProxy 52 5.5. Installation des HOB PPPT-Gateways 53 5.6. Konfiguration des L2TP Servers (Beispiel Microsoft RAS Server) 54 5.7. Konfiguration der Benutzer-Startseite 56 6. Dateizugriff mit HOB Web File Access 57 6.1. Web File Access - Konfiguration 57 6.1.1. Aktivieren des Web File Access Plugins 57 6.1.2. RD VPN Benutzereinstellungen konfigurieren 57 6.2. Web File Access - Benutzung 58 7. Zugriff auf firmeninterne Web Server 61 7.1. HOB RD VPN Web Server Gate 61 7.2. Web Server Gate verwenden 62 7.3. Links auf HTML-Seiten interner Web Server 63 8. Zugriff auf Citrix Neighborhood 65 8.1. Überblick 65 8.2. Konfiguration auf dem Client 66 8.2.1. Citrix Neigborhood konfigurieren 66 8.2.2. HOB WebSecureProxy UC konfigurieren 67 8.3. HOB WSP UC in HOB RD VPN konfigurieren 68 8.4. HOB WebSecureProxy konfigurieren 68 8.5. Verbindung aufbauen 71 8.5.1. HOB WSP UC als Java-Applet starten 71 8.5.2. HOB WSP UC bei lokaler Installation starten 71 9. Einsatzszenarien 73 9.1. Szenario der Standardkonfiguration 73 9.1.1. Anmeldeverfahren für WSP 76 9.1.2. Standardkonfiguration von Startoptionen-Manager / HOBLink JWT 77 9.2. Konfigurationsalternativen für abweichende Szenarien 78 9.2.1. Szenario 1: ohne Web Download über WSP & mit zentraler Benutzerverwaltung 78 9.2.2. Szenario 2: ohne Web Download über WSP & ohne zentrale Benutzerverwaltung 80 9.2.3. Szenario 3: Verwendung von WebProfilen 82 9.2.4. Szenario 4: RADIUS-Authentifizierung mittels Token 83 9.2.5. Szenario 5: RADIUS-Authentifizierung / LDAP-Benutzerverwaltung 85 9.2.6. Szenario 6: Authentifizierung gegenüber IAS von MS Active Directory ohne LDAP- Schema-Erweiterung 86 10. HOB Desktop-on-Demand 89 10.1. Remote-Zugriff auf Windows-Arbeitsplätze 89 10.2. Voraussetzungen 90 10.3. Konfiguration der Desktop-on-Demand-Daten 90 10.3.1. So konfigurieren Sie WSP 90 10.3.2. Desktop-on-Demand-Daten erfassen 91 6 Sicherheitslösungen von HOB
Einführung HOB RemoteDesktop VPN 10.3.3. So konfigurieren Sie HOBLink JWT 92 10.4. Wake-on-LAN Relay 92 11. HOB VDI 95 11.1. Remote-Zugriff auf Blade-Center 95 11.2. Voraussetzungen 95 11.3. 11.3.1. HOB Blade Balancer 96 So konfigurieren Sie WSP 96 12. Server Data Hook 97 13. HOB RD VPN Linux/Unix Tools 99 13.1. Ändern der Konfiguration im laufenden Betrieb 99 13.1.1. Das Programm NBIPGW13 99 13.1.2. Parameter von NBIPGW13 99 13.2. Port-Listener für Unix 102 13.2.1. Das Programm NBIPGW12 102 13.2.2. Parameter von NBIPGW12 102 14. Sicherheit mit SSL und TLS 103 14.1. Verschlüsselung mit SSL / TLS 103 14.2. SSL-Sicherheit in HOB RD VPN 103 14.3. Server-Dateien erstellen und kopieren 104 14.4. Client-Zertifikate bei Applet-Installation 105 14.4.1. Vorgehensweise bei Einstellung "Lokale Festplatte" 105 14.4.2. Vorgehensweise bei Einstellung "Web Server" 106 14.5. Client-Zertifikatdateien bei Installation als Applikation 107 14.5.1. Einstellung "Lokale Festplatte" 108 14.5.2. Einstellung "Web Server" 108 14.6. Verwendung externer Zertifikatspeicher 111 15. Sicherheits-Check für HOB RD VPN 113 15.1. Server 113 15.2. Firewall 114 15.3. Ports 114 15.3.1. Internet-seitige Ports auf TCP 80 und 443 einschränken 114 15.4. Logging 116 16. Problembehandlung 117 16.1. Ereignisanzeige 117 16.1.1. Voraussetzungen 117 16.2. Windows Dump 117 16.2.1. Voraussetzungen 117 16.3. Konsolenmeldungen 118 16.3.1. Anzeige von Konsolmeldungen 118 17. Informationen und Unterstützung 119 18. Anhang - HOB WSP XML Konfiguration 121 18.1. <sslgate-configuration> Tag 121 Sicherheitslösungen von HOB 7
Einführung HOB RemoteDesktop VPN 18.2. General 121 18.2.1. Windows Core Dump 125 18.3. Connection 125 18.3.1. Client Half-Session Parameters 126 18.3.2. Server Half-Session Parameters 128 18.3.3. Server-List 130 18.4. Blade Control 136 18.5. User-Group 137 18.6. RADIUS 138 18.7. OCSP-URL 139 18.8. Client-Side SSL 139 18.9. Target-Filter 140 19. Index 143 8 Sicherheitslösungen von HOB
Einführung HOB RemoteDesktop VPN 1. Einführung 1.1. Vorteile von HOB RD VPN Mit HOB RD VPN (Remote Desktop Virtual Private Network) erhalten Sie eine Lösung für den performanten und sicheren Remote-Zugriff auf Anwendungen und Daten im Firmennetz. Benutzer ziehen daraus den Vorteil, keinerlei Software installieren zu müssen. Der Zugriff ist über jeden beliebigen Internet- Zugang möglich. Am Client selbst erscheint der Windows-Desktop des Remote Systems und der Benutzer kann damit arbeiten, wie er es von einem lokalen PC gewohnt ist. 1.1.1. HOB RD VPN - die Komplettlösung mit vielen Möglichkeiten HOB RD VPN bietet verschiedene Lösungen für Einsatzszenarien, wie sie in vielen Unternehmen benötigt werden: HOB WTS Computing mit HOBLink JWT für Zugriff auf Windows Terminal Server von Microsoft HOB Desktop-on-Demand für Zugriff auf Arbeitsplatzrechner mit Betriebssystem Windows XP Professional (siehe 10 HOB Desktop-on- Demand, Seite 89) HOB VDI für Zugriff auf Blade Center mit Windows XP/Vista Betriebssystem (siehe 11 HOB VDI, Seite 95) HOB Terminal-Emulationen mit HOBLink J-Term für Zugriff auf Host- Systeme 1.2. Komponenten von HOB RD VPN Im Lieferumfang von HOB RD VPN sind mehrere Komponenten enthalten, die im folgenden Teil beschrieben werden 1.2.1. HOB WebSecureProxy HOB WebSecureProxy ist eine Server-Komponente und stellt sich als zentrale Anlaufsstelle für Anfragen von Clients wie HOBLink J-Term / JWT aus dem Internet dar. Vorzugsweise in der DMZ (DeMilitarized Zone) platziert, schottet WSP firmeninterne Server wirkungsvoll vor dem direkten Zugriff aus dem Internet ab und leitet die Anfragen an den Ziel-Server weiter. Die Kommunikation zwischen WSP und Client ist dabei SSL-gesichert, während zwischen WSP und Server-Seite ohne SSL kommuniziert wird. Der Datenverkehr erfolgt über den konfigurierbaren Port 443, der in Firewalls standardmäßig frei geschaltet ist. WSP stellt nach der Installation einen integrierten HOB WSP Web Server zur Verfügung. Zunächst muss sich der Benutzer mittels sicherer HTTPS- Verbindung über diesen Web Server bei WSP anmelden (siehe 9.1 Szenario Sicherheitslösungen von HOB 9
Einführung HOB RemoteDesktop VPN der Standardkonfiguration, Seite 73). Beim ersten Aufruf der Startseite des WSP Web Servers muss sich der Benutzer authentifizieren. Weitere Informationen siehe 3.7 Authentifizierung, Seite 31 HOB RD VPN Einstellungen siehe Kapitel 3.3, Seite 28 1.2.1.1. HOB WSP HTTP Redirector Der HTTP Redirector bewirkt, dass alle HTTP-Anfragen des Browsers (über Port 80) automatisch auf den HTTPS-Port 443 umgeleitet werden, auf den der HOB WSP Web Server hört. Diese Komponente wird als EA Server Plugin gestartet (in HOB EA Administration: Menü EA Server > Konfigurieren, Registerkarte Server Plugins). Weitere Informationen zur Verwendung und Konfiguration des HOB WSP HTTP Redirector finden Sie in der Online-Hilfe. 1.2.1.2. HOB RD VPN Web Server Gate Diese Komponente ermöglicht den SSL-gesicherten Zugriff auf firmeninterne Web Server über das Internet. Weitere Informationen siehe 6, Seite 57 1.2.2. HOBLink J-Term / JWT HOBLink J-Term ist die multi-protokollfähige Client-Anwendung für Zugriff auf Host-Systeme über VT, 3270, 5250, HP700, Siemens 9750 und 97801. HOBLink JWT ist die RDP-Client-Anwendung für Zugriff auf Windows Terminal Server von Microsoft. 1.2.3. HOB Enterprise Access Diese Komponente übernimmt die zentrale Benutzerverwaltung und leistet die problemlose Integration in die bestehende Infrastruktur Ihres Unternehmens. 10 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN 2. Installation 2.1. Systemvoraussetzungen 2.1.1. Server-System HOB RD VPN unterstützt folgende Betriebssysteme auf dem Server: Windows - Windows 2000 oder neuer Linux - Linux 32 Bit für x86-prozessoren - Linux 64 Bit für AMD64/Itanium-Prozessoren - Solaris 64 Bit für AMD64/SPARC-Prozessoren - Linux on zseries Auf LINUX gewährleistet die Kernel-Version 2.6.5-7 (oder höher) einen stabilen Betrieb des HOB WebSecureProxy. Vom Einsatz älterer Kernel-Versionen wird dringend abgeraten, da hiermit funktionelle Beeinträchtigungen festgestellt wurden. bei Installation ohne Java Virtual Machine muss mindestens eine JVM Version 1.5 oder höher installiert sein mindestens 512 MB RAM mindestens 500 MHz CPU ca. 350 MB Festplattenspeicher Dieser Wert gilt für eine typische Installation und hängt davon ab, welches Betriebssystem eingesetzt wird. 2.1.2. Client-System Auf der Client-Seite kann jeder beliebige Browser mit Unterstützung von Java (Version 1.4.2 oder neuer) verwendet werden. Unterstützte Java 2-kompatible Browser / Java 2-Browser-PlugIns Die folgende Liste erhebt nicht den Anspruch auf Vollständigkeit und nennt nur einige der unterstützten Browser: Firefox Microsoft Internet Explorer mit installiertem Java 2-PlugIn Safari Mozilla Erforderliche Browser-Einstellungen Führen Sie folgende Einstellungen im Browser durch, um einen problemlosen Betrieb zu gewährleisten: Sicherheitslösungen von HOB 11
Installation HOB RemoteDesktop VPN Cookies akzeptieren, um die Authentifizierung durchführen zu können JavaScript aktivieren, um HTML-Seiten korrekt darstellen zu können Hinweis bei Verwendung von Windows Vista und Internet Explorer 7 im geschützten Modus (Protected Mode) Wenn HOBLink J-Term bzw. HOBLink JWT auf einem PC unter Windows Vista ausgeführt werden, beachten Sie folgendes: Dateien, die von HOBLink J-Term/JWT auf dem lokalen PC erstellt bzw. verändert werden, sind mit anderen Programmen (z.b. Windows Explorer) nicht sichtbar. Diese Dateien werden in eine temporäre Datei geschrieben, die von Windows Vista verwaltet wird. Lösung: Um dieses Problem zu umgehen, gibt es zwei Möglichkeiten: 1. Hinzufügen der URL von HOBLink J-Term/JWT zu "Vertrauenswürdige Sites" Wählen Sie dazu im Internet Explorer im Menü Extras den Punkt Internetoptionen und dann den Reiter Sicherheit. Wählen Sie nun das Icon "Vertrauenswürdige Sites" und fügen Sie die gewünschte URL hinzu. 2. Ausschalten des "Geschützten Modus" Wählen Sie dazu im Internet Explorer im Menü Extras den Punkt Internetoptionen und dann den Reiter Sicherheit. Wählen Sie nun das Icon "Internet" und deaktivieren Sie die Option "Geschützten Modus aktivieren". 2.2. So installieren Sie HOB RD VPN 1. HOB RD VPN-CD in CD-ROM/DVD-ROM Laufwerk des Rechners einlegen. Falls das CD-Startbild nicht automatisch erscheint, Datei start.htm im Hauptverzeichnis der CD öffnen. 2. Auf der Startseite, die im Browser geöffnet wird, auf Software installieren klicken (der Link Produkt-Informationen führt Sie zu weiteren Produktinformationen). 3. Auf der angezeigten Seite auf den Link Installation für HOB RD VPN klicken, um den Installationsvorgang zu starten. 4. Bestätigen Sie im Dialog Warnung Sicherheit das Sicherheitszertifikat mit der Schaltfläche Ja oder Immer, um die Installation zuzulassen. 5. Schaltfläche Start Installer for Windows drücken. 6. Vorbereitende Maßnahmen für die Installation werden durchgeführt. 7. Gewünschte Installationssprache wählen und OK drücken. 8. Angezeigte Informationen im Installationsdialog lesen und Weiter drücken. 9. Im folgenden Dialog die entsprechende Option wählen, mit der Sie die Bedingungen des Lizenzvertrags akzeptieren, und Weiter drücken. 10. Folgen Sie den weiteren Anweisungen des Installationsprogramms bis Sie zur Eingabe des Produktschlüssels aufgefordert werden. Sie können zwischen zwei Verfahren wählen, die unter Punkt a. und b. des folgenden Abschnitts beschrieben sind. 11. a. Im Dialog HOB Software - Produktschlüssel einen gültigen Schlüssel eintragen. Sie können diesen dem Dokument HOB Software Lizenz entnehmen, das Ihnen zusammen mit der Software-CD ausgeliefert wurde. Im Dialog Produktschlüssel Schaltfläche OK drücken, um das Tool zu 12 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN beenden.. b. Im Dialog HOB Software Produktschlüssel Schaltfläche Testversion drücken, falls Sie keinen Produktschlüssel besitzen und die Software 30 Tage kostenlos testen möchten: Die Gültigkeitsdauer der Testversion wird angezeigt. Im Dialog Produktschlüssel Schaltfläche OK drücken, um das Tool zu beenden. 12. Im folgenden Dialog Fertig drücken, um den Installationsvorgang abzuschließen. 13. Browser-Fenster schließen. Der Installationsvorgang ist damit abgeschlossen. Lesen Sie anschließend das HTML-Dokument Erste Schritte, das unmittelbar im Anschluss im Browser-Fenster geöffnet wird. 2.3. Umstellen von Lokaler Konfiguration auf Remote- Konfiguration Während der Installation von HOB RD VPN können Sie entscheiden, ob Sie HOB WSP lokal oder remote konfigurieren möchten. Die folgende Beschreibung geht davon aus, das Sie HOB RD VPN 1.3 mit der Installationsvariante lokale Konfiguration installiert haben und auf Remote- Konfiguration umstellen möchten. Wenn Sie ein Update von einer älteren Version auf HOB RD VPN 1.3 durchgeführt haben, wird die Variante lokale Konfiguration installiert. Auch in diesem Fall gehen Sie nach dieser Anleitung vor, wenn Sie umstellen möchten. 1. Öffnen Sie das Konfigurationsprogramm EA Admin (siehe Abschnitt Konfigurationsprogramm HOB EA Administration auf Seite 26). 2. Erstellen Sie falls noch nicht vorhanden unterhalb des Hauptelements firm einen Container rdvpn (rechte Maustaste > Element hinzufügen). 3. Erstellen Sie im neu erstellten Container rdvpn,firm ein Objekt namens websecureproxy. Die Namen der Objekte bzw. Container sind jeweils frei wählbar. Wenn Sie ein Objekt erstellen, werden Sie aufgefordert, einen Benutzer als Objekt-Manager zu bestimmen. Wählen Sie z.b. den Benutzer Administrator (administrator,users,firm). 4. Starten Sie den Startoptionen-Manager und öffnen Sie die Datei <INSTALL_DIR>\easerver\WspAssistStartup.xml Falls die Datei nicht existiert, erstellen Sie diese Datei neu. Sicherheitslösungen von HOB 13
Installation HOB RemoteDesktop VPN Falls Sie die Konfiguration remote vornehmen (z.b. weil HOB RD VPN auf einem System ohne graphische Benutzeroberfläche installiert ist), gehen Sie folgendermaßen vor: Starten Sie HOB EA Administration (siehe Abschnitt Konfigurationsprogramm HOB EA Administration auf Seite 26) auf dem RD VPN Server Öffnen Sie den Startoptionen Manager (> Extras > Startoptionen Wählen Sie die Option vom HOB EA-Server und klicken Sie auf die Schaltfläche zur Dateiauswahl. Wählen Sie aus der Liste die Datei WspAssistStartup.xml 5. WähIen Sie im Startoptionen-Manager die Registerkarte Verbindungsmodell. Wählen Sie im Feld Verbinden mit Datenbank die Option über EA- Server. 6. Wählen Sie die Registerkarte Anmelden. Geben Sie Benutzername, Passwort und Benutzerkontext des Objekt-Managers von WebSecureProxy (siehe oben) an. Aktivieren Sie die Option Objekt-Management verwenden und tragen Sie den Namen des WebSecurProxy Objekts ein. 14 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN 7. Wählen Sie die Registerkarte Optionen. Aktivieren Sie die Option Automatische Anmeldung. 8. Wählen Sie die Registerkarte Verbindung. Geben Sie im Feld EA-Server-Adresse den Wert localhost und im Feld EA-Server-Port den Wert 13270 ein. 9. Speichern Sie die Datei (Datei > Speichern) und beenden Sie den Startoptionen-Manager. 10. Öffnen Sie das WSP Konfigurationsprogramm, indem Sie mit der rechten Maustaste auf das Objekt websecureproxy klicken und anschließend Sicherheitslösungen von HOB 15
Installation HOB RemoteDesktop VPN > Konfigurieren > HOB RD VPN > WebSecureProxy wählen. 11. Importieren Sie die Konfigurationsdatei von HOB WSP, indem Sie wählen > Datei > Import und anschließend folgende Datei auswählen: <INSTALL_DIR>\wsp\wsp.xml Falls Sie die Konfiguration remote vornehmen (z.b. weil HOB RD VPN auf einem System ohne graphische Benutzeroberfläche installiert ist), kopieren Sie die Datei wsp.xml zunächst per Filetransfer auf den lokalen PC und importieren Sie die Datei anschließend von dieser Stelle. 12. Speichern Sie die Datei, indem Sie wählen > Datei > Speichern Falls eine Dialogbox mit der Frage Sollen die neuen Einstellungen sofort wirksam werden? erscheint, klicken Sie auf Nein. 13. Beenden Sie das WSP Konfigurationsprogramm. 14. In Programm EA Administration wählen Sie > EA Server > Konfigurieren und anschließend die Registerkarte Server Plugins. 15. Falls das Server Plugin HOB WebSecureProxy Agent existiert, fahren Sie bei Schritt 24 fort. Falls das Server Plugin HOB WebSecureProxy Agent nicht existiert, führen Sie die Schritte 16-23 aus. 16 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN 16. Schließen Sie den Dialog und schließen Sie EA Administration. 17. Unter Windows: Öffnen Sie das Windows Programm Dienste. (Start > Systemsteuerung > Verwaltung > Dienste) 18. Unter Windows: Beenden Sie den Dienst HOB WebSecureProxy. Unter Linux/Unix: Beenden Sie das Programm websecureproxy. (siehe Abchnitt 4 Konfiguration von HOB WebSecureProxy auf Seite 33) 19. Unter Windows: Deaktivieren Sie den Dienst HOB WebSecureProxy. Unter Linux/Unix: Entfernen Sie das Startup-Skript, das HOB WebSecureProxy startet. 20. Unter Windows: Öffnen Sie das Windows-Programm Dienste. (Start > Systemsteuerung > Verwaltung > Dienste) und beenden Sie den Dienst EA Server. Unter Linux/Unix: Beenden Sie das Programm easerver (siehe Abschnitt Konfigurationsprogramm HOB EA Administration auf Seite 26). 21. Öffnen Sie die Datei <INSTALL_DIR>\wsp\hlserver.xml mit einem Texteditor. 22. Fügen Sie den folgenden Code zwischen den Tags <server_plugins> und </server_plugins> ein, am besten unmittelbar vor dem Tag </server_plugins>: <wsp_assistant> <name>hob WebSecureProxy Agent</name> <run>y</run> <classname>hob.wsp.assist.wsp_assistant</classname> </wsp_assistant> 23. Speichern Sie die Datei hlserver.xml, starten Sie EA Server und öffnen Sie erneut den Dialog Server Plugins in EA Administration (vgl. Schritt 14). 24. Aktivieren Sie die Checkbox in der Zeile HOB WebSecureProxy Agent. 25. Schließen Sie den Dialog. Es erscheint eine Meldung mit der Frage, wann die neuen Einstellungen wirksam werden sollen. Sicherheitslösungen von HOB 17
Installation HOB RemoteDesktop VPN Wählen Sie Jetzt, falls Sie den EA Server sofort mit den neuen Einstellungen starten möchten oder Nach Neustart, falls Sie EA Server später manuell starten möchten. 26. Bennenen Sie die folgende Datei um: <INSTALL_DIR>\portal.db\local.xml Neuer Name: <INSTALL_DIR>\portal.db\remote.xml 2.4. IP-Adresse / Port ändern Wenn Sie die IP-Adresse oder den Port einer bestehenden HOB RD VPN Installation ändern möchten, führen Sie folgende Schritte aus (2.4.1. bis 2.4.4.): 2.4.1. Eingehenden Port ändern 1. Konfigurationsprogramm von HOB WebSecureProxy starten (Vgl. Kapitel 4 Konfiguration von HOB WebSecureProxy auf Seite 33). 2. Wählen Sie die Verbindungs-Vorlage, die Sie verwenden, z.b. > Verbindung > SELECT 3. Ändern Sie den Wert Eingehender Port in der Registerkarte Eingehende Verbindung. 2.4.2. Adresse des Integrierten Webservers ändern 1. Wählen Sie die Vorlage des Integrierten Webservers, z.b. > Server-Listen > SERVERLIST1 > Integrated Web Server 2. Wählen Sie die Registerkarte Webserver. 3. Ändern Sie den Wert der Web Server-Adresse. 18 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN 2.4.3. HTTP Redirector konfigurieren Falls Sie den HTTP Redirector einsetzen, führen Sie folgende Schritte aus: 1. Starten Sie HOB EA Administration 2. Starten Sie das HOB EA Server Konfigurationsprogramm. (> EA-Server > Konfigurieren... ) 3. Wählen Sie die Registerkarte Server Plugins. 4. Ändern Sie die Werte hostport und address beim HOB HTTP Redirector. 2.4.4. Startoptionen ändern 1. Öffnen Sie den Startoptionen-Manager (> Extras > Startoptionen). 2. Öffnen Sie die Startoptions-Datei. Bearbeiten Sie nacheinander die Startoptions-Dateien (falls verwendet) von HOBLink J-Term, HOBLink JWT, HOB EA Admin und HOB EA Admin extern. 3. Wählen Sie die Registerkarte WSP/HTTP Proxies. 4. Ändern Sie Adresse und Port des WebSecureProxies, den Sie verwenden. Sicherheitslösungen von HOB 19
Installation HOB RemoteDesktop VPN 2.5. Anpassen von HOB RD VPN Die Benutzerseiten von HOB RD VPN (z.b. die Login-Seite) können Sie individuell anpassen. Beispielsweise können Sie ein eigenes Logo einbinden oder die Farben der Webseiten anpassen. Ersetzen des Banners Das Banner banner_rdvpn.jpg befindet sich im Verzeichnis <install_dir>/www/login/i. Ersetzen Sie diese Datei mit einer jpg-datei, Größe 600 x 84 Pixel. Ersetzen der hellblauen Farbe im oberen Bereich 20 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN Die Farbe im oberen Bereich können Sie mit einer beliebigen Farbe ersetzen. Öffnen Sie dazu die Datei <install_dir>/www/login/i/hobstyle.css mit einem Texteditor. Ersetzen Sie in der Zeile div.head{text-align:center;background-color:#c3d3fd;verticalalign:middle;} den Wert von C3D3FD mit einem beliebigen RGB-Farbwert. Ersetzen der Textzeile HOB RD VPN Anmeldung in der Anmeldeseite Öffnen Sie die Datei <install_dir>/www/login/login.html. Ersetzen Sie in der Zeile msgl="hob RD VPN Anmeldung"; den Text zwischen den Anführungszeichen mit einem beliebigen Text. Ersetzen der Textzeile HOB RD VPN in der Abmeldeseite Öffnen Sie die Datei <install_dir>/www/login/logout.html. Ersetzen Sie in der Zeile msgl="hob RD VPN"; den Text zwischen den Anführungszeichen mit einem beliebigen Text. Sicherheitslösungen von HOB 21
Installation HOB RemoteDesktop VPN 2.6. Deinstallation Die Installation von HOB RD VPN lässt sich über die Deinstallations-Funktion des Betriebssystems Windows wieder entfernen. 1. - unter Windows XP: Drücken Sie in der Systemsteuerung > Software > HOB RD VPN die Schaltfläche Ändern/Entfernen und im dann erscheinenden Fenster die Schaltfläche Deinstallieren. - unter Windows Vista: Wählen Sie in der Systemsteuerung den Link Software deinstallieren und anschließend HOB RD VPN. Einzelne Unterverzeichnisse des Ordners C:\Programme\HOB\rdvpn, die die HOB Enterprise Access-Datenbank und die Konfigurationsdaten enthalten, werden nicht entfernt. Dies ist insbesondere praktisch, wenn Sie eine ältere HOB RD VPN-Version deinstallieren und durch eine neuere ersetzen möchten, aber individuell angepasste Einstellungen behalten möchten (siehe 2.7 Sichern von Installation und Konfigurationsdaten, Seite 22). 2. Nach dem Ausführen von Schritt 1, müssen Sie das System eventuell neu starten, um die Deinstallation abzuschließen. Nach dem Neustart können Sie den Ordner einschließlich evtl. vorhandener Unterverzeichnisse entfernen, wenn eine vollständige Deinstallation gewünscht wird. 2.7. Sichern von Installation und Konfigurationsdaten Aus Sicherheitsgründen empfehlen wir vor dem Einspielen eines Software- Updates oder einer neuen Release-Version, eine Sicherung der bestehenden HOB RD VPN-Installation durchzuführen. Im Bedarfsfall können Sie so mit minimalem Aufwand den vorhergehenden Zustand wiederherstellen. Normalerweise erstellen Sie hierfür eine Sicherungskopie des gesamten Installationsverzeichnisses von HOB RD VPN, z.b. C:\Programme\HOB\rdvpn (Standardinstallationspfad) und legen diese auf einem geeigneten Datenträger ab. Alternativ können Sie eine selektive Sicherung durchführen, bei der nur relevante Verzeichnisse und Dateien gesichert werden. Folgende Tabelle führt im Einzelnen auf, welche Teile der Installation betroffen sind: Verzeichnis / Datei.\easerver * Inhalt Konfigurationsdaten des EA-Servers * ab Version 1.1 0109.\portal.db Konfigurationsdaten der Benutzer (Enterprise Access-Datenbank) 22 Sicherheitslösungen von HOB
Installation HOB RemoteDesktop VPN Verzeichnis / Datei.\sslsettings.\wsp\wsp.xml.\www\lib\sslpublic.\www\lib\hob\props.\www\ Inhalt SSL-Server-Zertifikate HOB WebSecureProxy-Konfigurationsdaten SSL-Client-Zertifikate Startoptionsdateien der Clients (z.b. HOBLink JWT) Sichern Sie in diesem Verzeichnis evtl. veränderte bzw. selbst erstellte HTML-Seiten (und JavaWebStart-Dateien) Sicherheitslösungen von HOB 23
Installation HOB RemoteDesktop VPN 24 Sicherheitslösungen von HOB
Benutzerverwaltung mit HOB Enterprise Access HOB RemoteDesktop VPN 3. Benutzerverwaltung mit HOB Enterprise Access Mit HOB Enterprise Access können Administratoren Benutzereinstellungen und Konfigurationsdaten zentral verwalten. Benutzer werden in einer hierarchischen Gruppen- und Baumstruktur dargestellt, die die Verwaltung erheblich vereinfacht, besonders, wenn es darum geht, eine große Anzahl Benutzer zu verwalten. Durch Unterstützung von LDAP-Servern, ein Leistungsmerkmal von HOB Enterprise Access, gehört das mehrfache, zeitintensive Erstellen und die Pflege von Benutzerdaten der Vergangenheit an. So profitieren HOB RD VPN- Benutzer auch von den Vorzügen des HOB Enterprise Access-Konzepts, z.b.: zentrale Konfiguration zentrale Administration zentrales Management Vererbung von Vorlagen und Benutzereinstellungen Speichern der Konfigurationsdaten in HOB Enterprise Access Die Konfigurationsdaten von HOB RD VPN Benutzern werden entweder lokal in der Datenbank von HOB Enterprise Access oder in der LDAP-Datenbank gespeichert. Der Zugriff auf die Daten erfolgt ebenfalls über den EA-Server oder LDAP-Server. HOB Enterprise Access verwendet eine Baumstruktur und darin enthaltene Elemente können ihre Eigenschaften anderen Elementen vererben, die ihnen untergeordnet sind. 3.1. Konzept HOB Enterprise Access (HOB EA) ist ein Produkt, das Ihnen jede erdenkliche Flexibilität in der zentralen Verwaltung (Single Point of Administration) von HOB Connectivity Clients (HOBLink J-Term / JWT) gibt. Dieses Konfigurationsprogramm wird automatisch auf dem HOB RD VPN-Server installiert, der als Server-PC fungiert. Auf diesem Server-PC (EA-Server) werden die Benutzereinstellungen der HOB Clients in einer Datenbank angelegt, an dem sich Anwender anmelden müssen. Nach der Anmeldung werden die Benutzereinstellungen über TCP/IP von dort heruntergeladen. Dieser Vorgang erst ermöglicht Benutzern das Starten von Anwendungen, für die Sie eine Zugriffsberechtigung besitzen. Die beiden folgenden Konfigurationsszenarien sind für HOB EA im Zusammenhang mit HOB Connectivity Clients realisierbar: Verbindung über den EA-Server (Standardkonfiguration) (siehe 9.1 Szenario der Standardkonfiguration, Seite 73) Alle Benutzereinstellungen werden in einer Datenbank auf dem EA-Server abgelegt. Sobald Sie HOB RD VPN oder HOB EA Administration starten, werden Sie mit dem EA-Server verbunden. Der EA-Server wird als Windows-Dienst installiert, der automatisch gestartet wird (Systemsteuerung > Verwaltung > Dienste). Sicherheitslösungen von HOB 25