NCP Secure Enterprise Solution im Test

VPN-Gateway mit automatisierter Benutzerkonto- und Client-Konfiguration

| Autor / Redakteur: Götz Güttich / Stephan Augsten

Die Client-Konfiguration

Nach dem Abschluss der Servereinstellungen wendeten wir uns der Client-Konfiguration zu. Dazu generierten wir unterhalb des Root-Eintrags der VPN-Umgebung eine Gruppe namens "Clients". Innerhalb dieser Gruppe erzeugten wir eine neue Vorlage namens "inituser" für das nun zu erstellende Personalisierungsprofil.

Danach wechselten wir im Menü "Software-Verwaltung" zum Konfigurationsdialog "Software Update Listen" und erzeugten eine Default-Update-Liste. Diese enthielt die Client-Konfiguration und die Zertifikate und stellte so sicher, dass die Clients stets mit der aktuellen Konfiguration und den dazugehörigen Zertifikaten versehen wurden. Über die Software-Update-Liste ist es unter anderem auch möglich, den VPN-Client auf den Enduser-Systemen automatisch auf dem aktuellen Stand zu halten.

Nach der Definition der Update-Liste wechselten wir zum Plugin Firewall-Konfiguration und erstellten eine Firewall-Vorlage. Mit dieser ließ sich die Firewall aktivieren und die Administratoren hatten die Option, bekannte Netzwerke zu definieren und Protokolle wie IPSec und L2Sec zuzulassen.

Client-Vorlagen definieren

Sobald die Default-Firewall-Vorlage existierte, konnte es daran gehen, die Vorlage für die Client-Konfiguration zu bearbeiten. Dazu wechselten wir innerhalb unserer Client-Gruppe nach "Client Konfiguration / Client Vorlagen" und riefen die Vorlage für unser "inituser"-Konto auf, das für die Personalisierung der VPN-Client-Installationen zum Einsatz kam.

Bei den Client-Vorlagen gilt, dass sie im Wesentlichen die Features umfassen, die der VPN-Client bereitstellt. Von besonderem Interesse für die Vorlagenkonfiguration ist der Punkt "Berechtigungen", denn hier haben die Administratoren die Möglichkeit, den User-Zugriff auf die Client-Software zu steuern.

Geben die IT-Verantwortlichen im Berechtigungsdialog Funktionen frei, so können die Anwender die entsprechenden Konfigurationsoptionen in ihrem Client modifizieren. Sind sie nicht freigegeben, so bleiben die zugehörigen Menüpunkte ausgegraut und lassen sich nicht ändern. Für Notfälle sieht die Software auch vor, die Parameter über ein Challenge-Response-Verfahren oder über ein Administrations-Passwort freizugeben. Auf diese Weise ist zum Beispiel der Support dazu in der Lage, im Fehlerfalle den End-Usern das Ändern bestimmter Einstellungen zu erlauben.

Weitreichende Optionen

Client-Vorlagen verlangen zunächst einmal die Zuweisung von Software-Update-Listen und Firewall-Vorlagen, deswegen haben wir diese beiden Einträge bereits im Vorfeld generiert. Abgesehen davon wählen die Administratoren aus, welche Variante der Client-Software zu dem jeweiligen Regelsatz gehört (mit Betriebssystem und Versionsnummer) und ob WLAN-Zugriffe erlaubt sind.

Darüber hinaus lässt sich festlegen, ob die VPN-Lösung die Datenübertragungen über bestimmte Medien überwachen soll. Die letztgenannte Funktion dient hauptsächlich der Kostenkontrolle, sie ermöglicht es nämlich, DSL-, ISDN-, Modem- und PPTP-Verbindungen zu überwachen und Grenzwerte für die Verbindungsdauer oder das Verbindungsvolumen zu setzen.

Bei GPRS/UMTS-Connections besteht die Option, nur Verbindungen zu bestimmten Netzbetreibern (im In- und Ausland) zuzulassen, um Roaming-Gebühren zu sparen oder zu vermeiden. Für WLAN-Connections haben die zuständigen Mitarbeiter darüber hinaus die Möglichkeit, bestimmte Zugriffspunkte zu definieren.

Ebenfalls von Interesse sind die Profil-Filter-Gruppen, denn sie ermöglichen es den Verantwortlichen, verschiedene Nutzerprofile für verschiedene Umgebungen festzulegen. Die Profile steuern den Verbindungsaufbau, die Sicherheit (mit IKE- und IPSec-Richtlinien, PSK und ähnlichem), die Adresszuweisung und so weiter.

Der Zugriff auf die einzelnen Konfigurationsoptionen innerhalb der Profile wird wieder – genau wie bei der Serverkonfiguration – über Benutzer Parameter gesteuert. Für unseren inituser erzeugten wir an dieser Stelle ein Profil namens "Personalisierung", das die VPN-Connection über den bereits erwähnten PSK realisierte. Damit war die Konfiguration der ersten Client-Vorlage abgeschlossen.

Die vorhandenen Vorlagen lassen sich bei Bedarf jederzeit Exportieren, Importieren und an Untergruppen vererben, zum Beispiel, um allen Abteilungen einer Niederlassung die gleiche Vorlage zuzuordnen. Sobald die Vorlage fertig ist, können die Verantwortlichen durch einen Rechtsklick auf den entsprechenden Eintrag die dazugehörige Client-Konfiguration erzeugen.

Im Anschluss an diesen Arbeitsschritt erschien der Clienteintrag in unserem Test unter "Client Configuration / Clients". Dort hatten wir dann die Möglichkeit, die Konfiguration des initusers als File auf unserer Festplatte zu speichern. Die dabei generierte Profildatei benannten wir anschließend in "ncpphone.cnf" um und kopierten sie in das Installationsverzeichnis des NCP-Secure-Clients, das wir zuvor auf einem Netzwerkshare angelegt hatten.

Jetzt brauchten die Clients nur noch auf dieses Share zuzugreifen, die Setup-Routine für den Client aufrufen und die Installation durchlaufen zu lassen. Alle Standardparameter holte sich der Installationsassistent dabei aus dem ncpphone-File, so dass während des Setups keine weiteren Angaben nötig waren. Nach der Installation stand das Personalisierungsprofil innerhalb der Client-Software sofort zur Verfügung und die Anwender des jeweiligen Clients konnten sich mit dem VPN-System verbinden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30738930 / VPN (Virtual Private Network))