NCP Secure Enterprise Solution im Test

VPN-Gateway mit automatisierter Benutzerkonto- und Client-Konfiguration

| Autor / Redakteur: Götz Güttich / Stephan Augsten

Gruppenbildung

Konkret sah das Szenario folgendermaßen aus: Im Active Directory (AD) wurden die Benutzergruppen "NCPUser" für reine VPN-Nutzer sowie "NCPAdmin" für VPN-Administratoren angelegt. Anschließend las ein Skript die beiden AD-Gruppen aus, um die bestehenden Benutzerkonten auf den RADIUS-Server der NCP-Lösung zu übertragen.

Die für den VPN-Zugriff benötigten Zertifikate forderte das Skript automatisch bei unserer Zertifizierungsstelle an. Um die VPN-Benutzerkonten stets auf dem aktuellen Stand zu halten, lässt sich das Skript regelmäßig automatisch ausführen, so dass Änderungen in der Gruppenmitgliedschaft im Active Directory binnen kürzester Zeit auch im RADIUS-Server erschienen. Unser Skript entfernte übrigens auch Benutzerkonten und Zertifikate aus der VPN-Umgebung, die wir zuvor aus einer der beiden VPN-Gruppen im Active Directory gelöscht hatten.

Da wir das erste, Preshared-Key-basierte Profil zur Personalisierung des VPN-Zugriffs in die Installationsroutine des VPN-Clients integriert hatten, konnten wir nach Abschluss der Vorbereitungen direkt das Client-Setup ausführen. Als Anwender-Systeme kamen im Test Windows-XP-Rechner mit Service Pack 3 sowie Windows-7-Clients mit Service Pack 1 zum Einsatz.

Installation

Die Installation der Linux-Komponenten des Secure Enterprise Gateway lief verhältnismäßig einfach ab. Es genügte, die entsprechenden Installationsdateien auf die jeweiligen Server zu kopieren und anschließend auszuführen.

Zuerst spielten wir auf diese Weise den Secure Enterprise VPN Server (SES) ein, der die Gateway-Funktionalitäten bereitstellt. Gleichzeitig definierten wir ein Netzwerk mit IP-Adressen, die beim Aufbau der VPN-Verbindungen zum Einsatz kommen sollten.

Danach machten wir uns auf der Management-Server-VM daran, die Datenbank vorzubereiten. Dazu legten wir zunächst eine MySQL-Datenbank namens "NCPsem" an und gaben dem Administratorkonto "NCPadm" Rechte darauf. Anschließend stellten wir sicher, dass der ODBC-Zugriff funktionierte und spielten den NCP Secure Management Server (SEM) ein. Damit war das Server-Setup abgeschlossen.

Jetzt konnte es daran gehen, auf dem Windows Server 2008 R2 die Management-Konsole und den Friendly Network Detection Server (FND) zu installieren. Der FND hat nur eine Aufgabe: Nach dem Herstellen der Netzwerkverbindung mit vordefinierten Zugangsdaten fordern die Clients ihn auf, sich bei ihnen einzuloggen.

Gelingt das, so gehen die Client-Rechner davon aus, dass sie sich in ihrem Home Network befinden. Gelingt es nicht, so schließen sie daraus, dass sie sich in einer fremden Netzwerkumgebung aufhalten. Die Installation dieses Servers läuft – wie unter Windows üblich – Wizard-gesteuert ab, glleiches gilt für die Installation der Verwaltungskonsole.

Das Setup der VPN-Umgebung ist allerdings mit dem Einspielen der genannten Komponenten noch nicht abgeschlossen. Die Management-Konsole an sich bringt nur die wesentlichsten Funktionen mit, beispielsweise das Konfigurieren der Ansicht. Möchte ein Administrator darüber sein VPN verwalten, so muss er noch diverse Plugins installieren.

Auf diese Weise lässt sich die Konfigurationsumgebung modular aktualisieren. Für unsere Testumgebung spielten wir die Plugins "Client-Konfiguration", "Endpoint Policy Enforcement", "Firewall-Konfiguration", "License Manager", "PKI Enrollment", "RADIUS-Konfiguration", "Server-Konfiguration" und "Skript-Verwaltung" ein. Damit war der Installationsvorgang beendet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30738930 / VPN (Virtual Private Network))