Configurazione di Oplon Secure Access
In questa parte di guida, rivolta a tutti gli amministratori della suite di Oplon, vederemo quali sono i concetti fondamentali di Oplon Secure Access e come configurare nuove risorse per farle accedere da terzi.
A termine guida si comprenderanno così i concetti di User Group, e Resource e si riuscirà a creare per la prima volta una risorsa di tipo Host o Link.
Prerequisiti
- Aver già installato e configurato l'appliance come descritto qui
- Aver configurato MFA come indicato in questa guida
- (Opzionale) Nel caso in cui si voglia fare File Managing su risorse di tipo Windows, aver installato OpenSSH Server su ogni risorsa:
- Guida (opens in a new tab) per Windows >= 10 e Windows Server >= 2019
- Guida (opens in a new tab) tutte le altre versioni precedenti di Windows e Windows Server
Concetti fondamentali
Dentro OSA, esistono 3 concetti fondamentali che è utile spiegare in questa parte della guida, e sono:
User Group
Gli User Group
rappresentano una classe di utenti aventi tutti gli stessi privilegi,
sono etichette necessarie per associare delle Resources (Host/Link) agli utenti.
Uno User Group è dotato di una nome univoco e di una descrizione, ogni User Group inserito da dentro l'interfaccia di Oplon Secure Access, farà bind con gli User Group inseriti in MFA come descritto in questa guida. Questo farà si che ad'ogni utente censito dentro Oplon MFA venga concesso esattamente il privilegio descritto.
Resources e Location
In Secure Access una Resource
è un entità che può identificare:
- un Host che sia Windows,Linux o macOS
- una Remote App
- una Web App/Link
Ogni risorsa può essere catalogata tramite una Location
, ovvero un etichetta che
serve a raggruppare logicamente tutte le risorse della configurazione.
Host
Dentro Oplon Secure Access, l'Host
(che è una Risorsa) è la rappresentazione di un Host fisico/virtuale costituito dal suo IP Address/Hostname.
Per comodità, è possibile assegnare a un Host una etichetta Location, questa servirà unicamente come
raggruppamento logico e per rappresentare la risorsa in maniera ordinata e gerarchica dentro l'interfaccia utente di
Oplon Secure Access.
Dentro un Host possono convivere diversi tipi di accesso, i quali possono essere:
- SSH Access
- RDP Access
- Remote App Access
- VNC Access
- SFTP Access (File Managing)
Questi accessi, tutti o alcuni, possono essere assegnati ai vari User Group
in base alle politiche desiderate.
È possibile inoltre, assegnare dei login os prefissati, per far si che all'accesso di quel determinato Host, l'utente non debba inserire ne username ne password.
Remote App
Le Remote App (RDP Only) vivono dentro un Host, ma sono considerate comunque delle risorse a parte. Esse permettono di esporre unicamente un applicativo esposto tramite il protocollo RDP di Windows.
Web App/Link
Una Web App/Link è una risorsa rappresentata da un URL. Possono essere sia risorse interne o r
Interfaccia di configurazione
Per configurare una nuova risorsa, è necessario aprire l'interfaccia di amministrazione di
Oplon Secure Access, a https://<your-ip>:4444
e fare login.
Da qui nel menu di sinistra espandere la voce Secure Access, cliccare su Settings e aprire il modulo.
In questa schermata è possibile:
- Vedere la lista degli User Group presenti, con la possibilità di aggiungerne di nuovi e di eliminarne di vecchi
- Vedere la lista degli Host, con la possibilità di aggiunta, rimozione e modifica
- Vedere la lista delle Web App/Link, con la possibilità di aggiunta, rimozione e modifica
Aggiunta nuovi User Groups
Per aggiungere un nuovo User Group, bisogna cliccare sul pulsante verde (+) di uno User Group già attualmente inserito questo verrà duplicato sotto per poi essere modificato a piacimento
Aggiungere un nuovo Host
Per aggiungere un nuovo Host è necessario cliccare sul pulsante verde (+) di uno Host già presente questo verrà duplicato sotto per poi essere modificato a piacimento.
Per modificare un Host è consigliato entrare nel dettaglio attraverso il pulsante di "See Details"
Qui possiamo inserire:
- Hostname/ip
- Name
- Location
- Description
- I Servizi e le porte annesse: SSH, RDP, VNC, SFTP (File Manager)...
- Eventuali RD Gateway (RDP Only)
- Gli User Group Associati
- Eventuali Remote App (RDP Only)
Aggiungere una nuova Remote App
Per aggiungere una nuova Remote App, bisogna necessariamente partire da un Host con l'accesso RDP già configurato.
Quindi andare in Secure Access > Settings e poi, aprire un Host.
Sotto in Applications possiamo inserire:
- name: ovvero il nome che apparirà nel menù
- description
- app name: ovvero l'alias dell'app pubblicata tramite RDP
- working dir: la directory di lavoro dell'app (opzionale)
- args: gli argomenti di start dell'app (opzionale)
Ricordarsi di effettuare a termine sempre Save e Re-Init.
Aggiungere una nuova Web App
Per aggiungere una nuova Web App, è possibile andare sempre nell'interfaccia di Settings e infondo trovare la schermata Web Apps.
Qui inserire le informazioni minime per poter usufruire della Web App ovvero:
- name
- url
Ricordarsi di effettuare a termine sempre Save e Re-Init.
Assegnazione User Group
Per assegnare uno User Group dentro un Host, possiamo cliccare sul pulsante verde (+) e selezionare il nuovo User Group da quelli già presenti dal menù a tendina.
Attraverso l'assegnazione di una Resource tramite lo User Group, siamo in gradi di:
- Abilitare/Disabilitare l'accesso SSH
- Abilitare/Disabilitare l'accesso RDP
- Abilitare/Disabilitare l'accesso VNC
- File Manager (se abilitato):
- Abilitare/Disabilitare l'Upload
- Abilitare/Disabilitare il Download
- Abilitare/Disabilitare l'Hypercopy
- Abilitare/Disabilitare il copia (utente)
- Abilitare/Disabilitare l'incolla (utente)
- Abilitare/Disabilitare l'Impersonification
- Abilitare/Disabilitare il log dei Remote Desktop
- Abilitare/Disabilitare il log dell'SSH
Occorre ricordare che una volta assegnati gli User Group ad una risorsa (Host/Web App), se non vi si inserisce almeno un OS Login, si darà la possibilità agli utenti appartenenti di quello User Group di accedere con qualsiasi credenziale a prompt.
Assegnazione di uno User Group con Impersonification
Il concetto dell'Impersonification
è un'astrazione in più, introdotta per aiutare la configurazione dei permessi
legati alle risorse e agli User Group. Serve a risolvere alcune classi di configurazione come ad esempio quella di
legare a un utente un'utenza di dominio che è tipica di quella specifica organizzazione.
L'impersonification farà bind con l'ID/Impersonification settato lato MFA
Una volta assegnato uno User Group a una risorsa, è possibile abilitare l'impersonification attraverso l'apposito menu a tendina. Una volta impostato a true possiamo trovarci in due casi:
- Impersonification non-strict: è quando non vi è alcun OS login associato
- Impersonification strict: è quando vi è almeno un OS login Name associato
La logica che segue Oplon Secure Access per dare un permesso di tipo impersonification è la seguente:
- L'utente avrà accesso alla risorsa se e solo se ha lo stesso User Group associato e
- l'User Group associato è in modalità non-strict, oppure
- l'User Group associato è in modalità strict e tra la liste degli user OS Login names c'è l'impersonification settato per quell'utente
In entrambi i casi l'utente avrà accesso unicamente con il Impersonification (se settato)
Tabella riassuntiva assegnazione User Group
User Group | Impersonification | OS Login Names | Risultato atteso | |
---|---|---|---|---|
✅ | ➡️ | Tutti quelli del gruppo possono entrare con qualsiasi username e password | ||
✅ | ✅ | ➡️ | Tutti quelli del gruppo possono entrare UNICAMENTE con quel set di username ed eventualmente password (se inserite nel Vault) | |
✅ | ✅ | ➡️ | Tutti quelli del gruppo possono entrare UNICAMENTE con il solo username (impersonification/id) settato dall'interfaccia di MFA | |
✅ | ✅ | ✅ | ➡️ | Tutti quelli del gruppo possono entrare con il loro impersonification SE E SOLO SE l'User Group assegnato contiene tra gli OS Login Names quell'impersonification |
Assegnazione OS Login a uno User Group
Una volta assegnato uno User Group dentro un Host, possiamo assegnarli degli utenti prefissati. Qui possiamo inserire tanti utenti quanti sono quelli con cui vogliamo far accedere quel determinato User Group.
L'inserimento di anche un solo utente, disabilita la possibilità per lo User Group di fare accesso con qualsiasi credenziale forzando gli accessi successivi con le sole credenziali indicate.
Inserendo solo l'Username si costringeranno gli utenti appartenenti a quello User Group di entrare unicamente con quello username e d'inserire ogni volta le password corrispettive.
Nel Caso si voglia inserire anche una password, per far si che l'utente non debba ricordarla, saperla o inserirla ogni volta, rimandiamo al paragrafo successivo.
Inserimento password per un OS Login (Host Vault)
Per assegnare la password a un OS Login (assegnato a uno User Group) di un Host, occorre andare nella sezione Host Vault tramite il menù
PAM Management > Vault Manager > Host Vault
Cercare la risorsa corrispettiva dalla barra di ricerca e cliccare il pulsante con la chiave verde per andare in modifica sugli OS Login Names.
Da qui selezionare gli utenti di cui si vogliono inserire le password dal menu a tendina e inserire le corrispettive password
Ricordarsi di effettuare a termine sempre Save e Re-Init.