Configurazione di Oplon Secure Access
In questa parte di guida, rivolta a tutti gli amministratori della suite di Oplon, vederemo quali sono i concetti fondamentali di Oplon Secure Access e come configurare nuove risorse per farle accedere da terzi.
A termine guida si comprenderanno così i concetti di User Group, e Resource e si riuscirà a creare per la prima volta una risorsa di tipo Host o Web App/Link.
Prerequisiti
- Aver già installato e configurato l'appliance come descritto qui
- Aver configurato MFA come indicato in questa guida
- (Opzionale) Nel caso in cui si voglia fare File Managing su risorse di tipo Windows, aver installato OpenSSH Server su ogni risorsa:
- Guida (opens in a new tab) per Windows >= 10 e Windows Server >= 2019
- Guida (opens in a new tab) tutte le altre versioni precedenti di Windows e Windows Server
Concetti fondamentali
Dentro OSA, esistono 3 concetti fondamentali che è utile spiegare in questa parte della guida, e sono:
User Group
Gli User Group rappresentano una classe di utenti aventi tutti gli stessi privilegi,
sono etichette necessarie per associare delle Resources (Host/Link) agli utenti.
Uno User Group è dotato di una nome univoco e di una descrizione, ogni User Group inserito da dentro l'interfaccia di Oplon Secure Access, farà bind con gli User Group inseriti in MFA come descritto in questa guida. Questo farà si che ad'ogni utente censito dentro Oplon MFA venga concesso esattamente il privilegio descritto.
Resources e Location
In Secure Access una Resource è un entità che può identificare:
- un Host che sia Windows,Linux o macOS
- una Remote App
- una Web App/Link
Ogni risorsa può essere catalogata tramite una Location, ovvero un etichetta che
serve a raggruppare logicamente tutte le risorse della configurazione.
Host
Dentro Oplon Secure Access, l'Host (che è una Risorsa) è la rappresentazione di un Host fisico/virtuale costituito dal suo IP Address/Hostname.
Per comodità, è possibile assegnare a un Host una etichetta Location, questa servirà unicamente come
raggruppamento logico e per rappresentare la risorsa in maniera ordinata e gerarchica dentro l'interfaccia utente di
Oplon Secure Access.
Dentro un Host possono convivere diversi tipi di accesso, i quali possono essere:
- SSH Access
- RDP Access
- Remote App Access
- VNC Access
- SFTP Access (File Managing)
Questi accessi, tutti o alcuni, possono essere assegnati ai vari User Group in base alle politiche desiderate.
È possibile inoltre, assegnare dei login os prefissati, per far si che all'accesso di quel determinato Host, l'utente non debba inserire ne username ne password.
Remote App
Le Remote App (RDP Only) vivono dentro un Host, ma sono considerate comunque delle risorse a parte. Esse permettono di esporre unicamente un applicativo esposto tramite il protocollo RDP di Windows.
Web App/Link
Una Web App/Link è una risorsa rappresentata da un URL. Tramite Oplon Secure Access essa potrà essere acceduta:
- in modalità nativa HTTP/HTTPS
- Mediate dal Reverse Proxy di Oplon (garantendo così una sicurezza data dal Multi Fattore di Autenticazione)
- Pubblicate in internet
- in modalità Browser Isolation.
Entrambe possono essere risorse sia interne all'infrastruttura o esterne. In base al tipo di configurazione è possibile ottenere risultati diversi. In generale è utile tenere in mente che la modalità nativa richiede un quantitativo di risorse nettamente inferiore della modalità Browser Isolation che invece richiede delle Appliance dedicate ma che per pro ha ovviamente un layer di sicurezza e segregazione in più (qui per capire di più)
Interfaccia di configurazione
Per configurare una nuova risorsa, è necessario aprire l'interfaccia di amministrazione di
Oplon Secure Access, a https://<your-ip>:4444 e fare login.
Da qui nel menu di sinistra espandere la voce Secure Access, cliccare su Settings e aprire il modulo.
In questa schermata è possibile:
- Vedere la lista degli User Group presenti, con la possibilità di aggiungerne di nuovi e di eliminarne di vecchi
- Vedere la lista degli Host, con la possibilità di aggiunta, rimozione e modifica
- Vedere la lista delle Web App/Link, con la possibilità di aggiunta, rimozione e modifica
Aggiunta nuovi User Groups
Per aggiungere un nuovo User Group, bisogna cliccare sul pulsante verde (+) di uno User Group già attualmente inserito questo verrà duplicato sotto per poi essere modificato a piacimento
Aggiungere un nuovo Host
Per aggiungere un nuovo Host è necessario cliccare sul pulsante verde (+) di uno Host già presente questo verrà duplicato sotto per poi essere modificato a piacimento.
Per modificare un Host è consigliato entrare nel dettaglio attraverso il pulsante di "See Details"
Qui possiamo inserire:
- Hostname/ip
- Name
- Location
- Description
- I Servizi e le porte annesse: SSH, RDP, VNC, SFTP (File Manager)...
- Eventuali RD Gateway (RDP Only)
- Gli User Group Associati
- Eventuali Remote App (RDP Only)
Aggiungere una nuova Remote App
Per aggiungere una nuova Remote App, bisogna necessariamente partire da un Host con l'accesso RDP già configurato.
Quindi andare in Secure Access > Settings e poi, aprire un Host.
Sotto in Applications possiamo inserire:
- name: ovvero il nome che apparirà nel menù
- description
- app name: ovvero l'alias dell'app pubblicata tramite RDP
- working dir: la directory di lavoro dell'app (opzionale)
- args: gli argomenti di start dell'app (opzionale)
Ricordarsi di effettuare a termine sempre Save e Re-Init.
Aggiungere una nuova Web App
Per aggiungere una nuova Web App, è possibile andare sempre nell'interfaccia di Settings e infondo trovare la schermata Web Apps.
Qui inserire le informazioni minime per poter usufruire della Web App ovvero:
- name
- url
- location
Ricordarsi di effettuare a termine sempre Save e Re-Init.
Browser Isolation
Se per la Web App nativa è necessario seguire le istruzioni indicate sopra, per rendere disponibile la Web App in modalità Browser Isolation è necessario attivare l'opzione enable Browser Isolation.
Da qui, entrando dentro con la freccetta nera a fine rigo, possono seguirsi una serie di configuzioni/personalizzazioni specifiche per la sola modalità di Browser Isolation e sono:
- enable Browser Isolation: serve ad abilitare la browser isolation
- Whitelisted: serve ad andare in white list sull'url inserito sopra. Questo avrà l'effetto di bloccare la navigazione su tutti gli altri url se non l'url stesso ed eventualmente quelli specificati sotto in "White Listed Domain":
- White Listed Domains: Qui è possibile indicare una serie di indirizzi da non bloccare, se si è in "Whitelisted=true", separati da virgola.
La sintassi da seguire è:
<scheme>://<host><path>(qui (opens in a new tab) per una guida più completa sulla sintassi)
Assegnazione User Group
Come precedentemente detto, sarà l'associazione di uno specifico User Group a una specifica risorsa a dare diritto a un utente di accedervi effettivamente. L'assegnazione di uno User Group a una risorsa (Host/RDP APP/Webapp-link) si porta appresso una serie di privilegi/security policy, specifici per il tipo di risorsa assegnata, questo paragrafo le elenca tutte. Per assegnare uno User Group dentrpo a una risorsa, possiamo cliccare sul pulsante verde (+) e selezionare il nuovo User Group da quelli già presenti dal menù a tendina.
Attraverso l'assegnazione di una Resource tramite lo User Group, siamo in gradi di:
- Abilitare/Disabilitare l'accesso SSH
- Abilitare/Disabilitare l'accesso RDP
- Abilitare/Disabilitare l'accesso VNC
- Abilitare/Disabilitare il File Manager, e se abilitato:
- Abilitare/Disabilitare l'Upload
- Abilitare/Disabilitare il Download
- Abilitare/Disabilitare l'Hypercopy
- Abilitare/Disabilitare il copia (utente)
- Abilitare/Disabilitare l'incolla (utente)
- Abilitare/Disabilitare l'Impersonification
- Abilitare/Disabilitare il log dei Remote Desktop
- Abilitare/Disabilitare il log dell'SSH
- Abilitare la stampante virtuale
- Abilitare l'audio in uscita
- Abilitare l'audio in entrata
Occorre ricordare che una volta assegnati gli User Group ad una risorsa (Host/Web App), se non vi si inserisce almeno un OS Login, si darà la possibilità agli utenti appartenenti di quello User Group di accedere con qualsiasi credenziale a prompt.
Assegnazione di uno User Group con Impersonification
Il concetto dell'Impersonification è un'astrazione in più, introdotta per aiutare la configurazione dei permessi
legati alle risorse e agli User Group. Serve a risolvere alcune classi di configurazione come ad esempio quella di
legare a un utente un'utenza di dominio che è tipica di quella specifica organizzazione, senza aver configurato un integrazione con Active Directory.
L'impersonification farà bind con l'ID/Impersonification settato lato MFA oppure l'utenza di dominio che viene da una configurazione tipo AD
Una volta assegnato uno User Group a una risorsa, è possibile abilitare l'impersonification attraverso l'apposito menu a tendina. Una volta impostato a true possiamo trovarci in due casi:
- Impersonification non-strict: è quando non vi è alcun OS login associato
- Impersonification strict: è quando vi è almeno un OS login Name associato
La logica che segue Oplon Secure Access per dare un permesso di tipo impersonification è la seguente:
- L'utente avrà accesso alla risorsa se e solo se ha lo stesso User Group associato e
- l'User Group associato è in modalità non-strict, oppure
- l'User Group associato è in modalità strict e tra la liste degli user OS Login names c'è l'impersonification settato per quell'utente
In entrambi i casi l'utente avrà accesso unicamente con il Impersonification (se settato)
Tabella riassuntiva assegnazione User Group
| User Group | Impersonification | OS Login Names | Risultato atteso | |
|---|---|---|---|---|
| ✅ | ➡️ | Tutti gli utenti appartenenti al gruppo possono entrare con qualsiasi username e password | ||
| ✅ | ✅ | ➡️ | Tutti gli utenti appartenenti al gruppo possono entrare UNICAMENTE con quel set di username (ed eventualmente password se inserite nel Vault) | |
| ✅ | ✅ | ➡️ | Tutti gli utenti appartenenti al gruppo possono entrare UNICAMENTE con il solo username (impersonification/id) settato dall'interfaccia di MFA o dall'utenza di dominio che arriva da AD | |
| ✅ | ✅ | ✅ | ➡️ | Tutti gli utenti appartenenti al gruppo possono entrare con il loro impersonification SE E SOLO SE l'User Group assegnato contiene tra gli OS Login Names l'impersonification settato dall'interfaccia di MFA o dall'utenza di dominio che arriva da AD |
Assegnazione OS Login a uno User Group
Una volta assegnato uno User Group dentro un Host, possiamo assegnarli degli utenti prefissati. Qui possiamo inserire tanti utenti quanti sono quelli con cui vogliamo far accedere quel determinato User Group.
L'inserimento di anche un solo utente, disabilita la possibilità per lo User Group di fare accesso con qualsiasi credenziale forzando gli accessi successivi con le sole credenziali indicate.
Inserendo solo l'Username si costringeranno gli utenti appartenenti a quello User Group di entrare unicamente con quello username e d'inserire ogni volta le password corrispettive.
Nel Caso si voglia inserire anche una password, per far si che l'utente non debba ricordarla, saperla o inserirla ogni volta, rimandiamo al paragrafo successivo.
Inserimento password per un OS Login (Host Vault)
Per assegnare la password a un OS Login (assegnato a uno User Group) di un Host, occorre andare nella sezione Host Vault tramite il menù
PAM Management > Vault Manager > Host Vault
Cercare la risorsa corrispettiva dalla barra di ricerca e cliccare il pulsante con la chiave verde
per andare in modifica sugli OS Login Names.
Da qui selezionare gli utenti di cui si vogliono inserire le password dal menu a tendina e inserire le
corrispettive password
Ricordarsi di effettuare a termine sempre Save e Re-Init.