Docs
Oplon Secure Access
Configurazione

Configurazione di Oplon Secure Access

In questa parte di guida, rivolta a tutti gli amministratori della suite di Oplon, vederemo quali sono i concetti fondamentali di Oplon Secure Access e come configurare nuove risorse per farle accedere da terzi.

A termine guida si comprenderanno così i concetti di User Group, e Resource e si riuscirà a creare per la prima volta una risorsa di tipo Host o Link.

Prerequisiti

  1. Aver già installato e configurato l'appliance come descritto qui
  2. Aver configurato MFA come indicato in questa guida
  3. (Opzionale) Nel caso in cui si voglia fare File Managing su risorse di tipo Windows, aver installato OpenSSH Server su ogni risorsa:

Concetti fondamentali

Dentro OSA, esistono 3 concetti fondamentali che è utile spiegare in questa parte della guida, e sono:

User Group

Gli User Group rappresentano una classe di utenti aventi tutti gli stessi privilegi, sono etichette necessarie per associare delle Resources (Host/Link) agli utenti.

Uno User Group è dotato di una nome univoco e di una descrizione, ogni User Group inserito da dentro l'interfaccia di Oplon Secure Access, farà bind con gli User Group inseriti in MFA come descritto in questa guida. Questo farà si che ad'ogni utente censito dentro Oplon MFA venga concesso esattamente il privilegio descritto.

Resources e Location

In Secure Access una Resource è un entità che può identificare:

  • un Host che sia Windows,Linux o macOS
  • una Remote App
  • una Web App/Link

Ogni risorsa può essere catalogata tramite una Location, ovvero un etichetta che serve a raggruppare logicamente tutte le risorse della configurazione.

Host

Dentro Oplon Secure Access, l'Host (che è una Risorsa) è la rappresentazione di un Host fisico/virtuale costituito dal suo IP Address/Hostname. Per comodità, è possibile assegnare a un Host una etichetta Location, questa servirà unicamente come raggruppamento logico e per rappresentare la risorsa in maniera ordinata e gerarchica dentro l'interfaccia utente di Oplon Secure Access.

Dentro un Host possono convivere diversi tipi di accesso, i quali possono essere:

  • SSH Access
  • RDP Access
  • Remote App Access
  • VNC Access
  • SFTP Access (File Managing)

Questi accessi, tutti o alcuni, possono essere assegnati ai vari User Group in base alle politiche desiderate.

È possibile inoltre, assegnare dei login os prefissati, per far si che all'accesso di quel determinato Host, l'utente non debba inserire ne username ne password.

Remote App

Le Remote App (RDP Only) vivono dentro un Host, ma sono considerate comunque delle risorse a parte. Esse permettono di esporre unicamente un applicativo esposto tramite il protocollo RDP di Windows.

Web App/Link

Una Web App/Link è una risorsa rappresentata da un URL. Possono essere sia risorse interne o r

Interfaccia di configurazione

Per configurare una nuova risorsa, è necessario aprire l'interfaccia di amministrazione di Oplon Secure Access, a https://<your-ip>:4444 e fare login.

Da qui nel menu di sinistra espandere la voce Secure Access, cliccare su Settings e aprire il modulo.

In questa schermata è possibile:

  • Vedere la lista degli User Group presenti, con la possibilità di aggiungerne di nuovi e di eliminarne di vecchi
  • Vedere la lista degli Host, con la possibilità di aggiunta, rimozione e modifica
  • Vedere la lista delle Web App/Link, con la possibilità di aggiunta, rimozione e modifica

Aggiunta nuovi User Groups

Per aggiungere un nuovo User Group, bisogna cliccare sul pulsante verde (+) di uno User Group già attualmente inserito questo verrà duplicato sotto per poi essere modificato a piacimento

Aggiungere un nuovo Host

Per aggiungere un nuovo Host è necessario cliccare sul pulsante verde (+) di uno Host già presente questo verrà duplicato sotto per poi essere modificato a piacimento.

Per modificare un Host è consigliato entrare nel dettaglio attraverso il pulsante di "See Details"

Qui possiamo inserire:

  • Hostname/ip
  • Name
  • Location
  • Description
  • I Servizi e le porte annesse: SSH, RDP, VNC, SFTP (File Manager)...
  • Eventuali RD Gateway (RDP Only)
  • Gli User Group Associati
  • Eventuali Remote App (RDP Only)

Qui abbiamo configurato una Host 127.0.0.1 e associato allo User Group Local

Aggiungere una nuova Remote App

Per aggiungere una nuova Remote App, bisogna necessariamente partire da un Host con l'accesso RDP già configurato.

Quindi andare in Secure Access > Settings e poi, aprire un Host.

Sotto in Applications possiamo inserire:

  • name: ovvero il nome che apparirà nel menù
  • description
  • app name: ovvero l'alias dell'app pubblicata tramite RDP
  • working dir: la directory di lavoro dell'app (opzionale)
  • args: gli argomenti di start dell'app (opzionale)

Ricordarsi di effettuare a termine sempre Save e Re-Init.

Aggiungere una nuova Web App

Per aggiungere una nuova Web App, è possibile andare sempre nell'interfaccia di Settings e infondo trovare la schermata Web Apps.

Qui inserire le informazioni minime per poter usufruire della Web App ovvero:

  • name
  • url

Ricordarsi di effettuare a termine sempre Save e Re-Init.

Assegnazione User Group

Per assegnare uno User Group dentro un Host, possiamo cliccare sul pulsante verde (+) e selezionare il nuovo User Group da quelli già presenti dal menù a tendina.

Attraverso l'assegnazione di una Resource tramite lo User Group, siamo in gradi di:

  • Abilitare/Disabilitare l'accesso SSH
  • Abilitare/Disabilitare l'accesso RDP
  • Abilitare/Disabilitare l'accesso VNC
  • File Manager (se abilitato):
    • Abilitare/Disabilitare l'Upload
    • Abilitare/Disabilitare il Download
    • Abilitare/Disabilitare l'Hypercopy
  • Abilitare/Disabilitare il copia (utente)
  • Abilitare/Disabilitare l'incolla (utente)
  • Abilitare/Disabilitare l'Impersonification
  • Abilitare/Disabilitare il log dei Remote Desktop
  • Abilitare/Disabilitare il log dell'SSH

💡

Occorre ricordare che una volta assegnati gli User Group ad una risorsa (Host/Web App), se non vi si inserisce almeno un OS Login, si darà la possibilità agli utenti appartenenti di quello User Group di accedere con qualsiasi credenziale a prompt.

Assegnazione di uno User Group con Impersonification

Il concetto dell'Impersonification è un'astrazione in più, introdotta per aiutare la configurazione dei permessi legati alle risorse e agli User Group. Serve a risolvere alcune classi di configurazione come ad esempio quella di legare a un utente un'utenza di dominio che è tipica di quella specifica organizzazione. L'impersonification farà bind con l'ID/Impersonification settato lato MFA

Una volta assegnato uno User Group a una risorsa, è possibile abilitare l'impersonification attraverso l'apposito menu a tendina. Una volta impostato a true possiamo trovarci in due casi:

  • Impersonification non-strict: è quando non vi è alcun OS login associato
  • Impersonification strict: è quando vi è almeno un OS login Name associato

La logica che segue Oplon Secure Access per dare un permesso di tipo impersonification è la seguente:

  • L'utente avrà accesso alla risorsa se e solo se ha lo stesso User Group associato e
    • l'User Group associato è in modalità non-strict, oppure
    • l'User Group associato è in modalità strict e tra la liste degli user OS Login names c'è l'impersonification settato per quell'utente

In entrambi i casi l'utente avrà accesso unicamente con il Impersonification (se settato)

Tabella riassuntiva assegnazione User Group

User GroupImpersonificationOS Login NamesRisultato atteso
➡️Tutti quelli del gruppo possono entrare con qualsiasi username e password
➡️Tutti quelli del gruppo possono entrare UNICAMENTE con quel set di username ed eventualmente password (se inserite nel Vault)
➡️Tutti quelli del gruppo possono entrare UNICAMENTE con il solo username (impersonification/id) settato dall'interfaccia di MFA
➡️Tutti quelli del gruppo possono entrare con il loro impersonification SE E SOLO SE l'User Group assegnato contiene tra gli OS Login Names quell'impersonification

Assegnazione OS Login a uno User Group

Una volta assegnato uno User Group dentro un Host, possiamo assegnarli degli utenti prefissati. Qui possiamo inserire tanti utenti quanti sono quelli con cui vogliamo far accedere quel determinato User Group.

L'inserimento di anche un solo utente, disabilita la possibilità per lo User Group di fare accesso con qualsiasi credenziale forzando gli accessi successivi con le sole credenziali indicate.

Inserendo solo l'Username si costringeranno gli utenti appartenenti a quello User Group di entrare unicamente con quello username e d'inserire ogni volta le password corrispettive.

Nel Caso si voglia inserire anche una password, per far si che l'utente non debba ricordarla, saperla o inserirla ogni volta, rimandiamo al paragrafo successivo.

Assegnazione utenti "administrator" e "root"

Inserimento password per un OS Login (Host Vault)

Per assegnare la password a un OS Login (assegnato a uno User Group) di un Host, occorre andare nella sezione Host Vault tramite il menù

PAM Management > Vault Manager > Host Vault

Cercare la risorsa corrispettiva dalla barra di ricerca e cliccare il pulsante con la chiave verde per andare in modifica sugli OS Login Names.

Da qui selezionare gli utenti di cui si vogliono inserire le password dal menu a tendina e inserire le corrispettive password

Ricordarsi di effettuare a termine sempre Save e Re-Init.

MFA SetupActive Directory