tom's networking guide
 
Anzeige

Test NCP Secure Enterprise Solution V2

Vollautomatischer VPN-Betrieb

Die Client-Konfiguration

Nach dem Abschluss der Server-Einstellungen wendeten wir uns der Client-Konfiguration zu. Dazu generierten wir zunächst unterhalb des Root-Eintrags der VPN-Umgebung eine Gruppe namens "Clients" und erzeugten innerhalb dieser eine neue Vorlage namens "inituser" für das nun zu erstellende Personalisierungs-Profil. Danach wechselten wir im Menü "Software-Verwaltung" zum Konfigurations-Dialog "Software Update Listen" und erzeugten eine Default-Update-Liste. Diese enthielt die Client-Konfiguration und die Zertifikate und stellte so sicher, dass die Clients stets mit der aktuellen Konfiguration und den dazugehörigen Zertifikaten versehen wurden. Über die Software-Update-Liste ist es zudem unter anderem möglich, den VPN-Client auf den Enduser-Systemen automatisch auf dem aktuellen Stand zu halten. Letzteres funktionierte im Test problemlos.

Nach der Definition der Update-Liste wechselten wir zum Plugin Firewall-Konfiguration und erstellten eine Firewall-Vorlage. Mit dieser konnten wir die Firewall aktivieren und die Administratoren hatten die Option, bekannte Netzwerke zu definieren und Protokolle wie IPSec und L2Sec zuzulassen.

Sobald die Default-Firewall-Vorlage existierte, galt es, die Vorlage für die Client-Konfiguration zu bearbeiten. Dazu wechselten wir innerhalb unserer Client-Gruppe nach "Client Konfiguration / Client Vorlagen" und riefen die Vorlage für unser Konto "inituser" auf, das für die Personalisierung der VPN-Client-Installationen zum Einsatz kam.

Bei den Client-Vorlagen gilt, dass sie im Wesentlichen die Features umfassen, die der VPN-Client bereitstellt. Von besonderem Interesse für die Vorlagen-Konfiguration ist der Punkt "Berechtigungen", denn hier haben die Administratoren die Möglichkeit, den User-Zugriff auf die Client-Software zu steuern. Geben die IT-Verantwortlichen im Berechtigungsdialog Funktionen frei, so können die Anwender die entsprechenden Konfigurations-Optionen in ihrem Client modifizieren, geben sie sie nicht frei, so bleiben die dazugehörigen Punkte ausgegraut und lassen sich nicht ändern. Für Notfälle sieht die Software vor, die Parameter über ein Challenge-Response-Verfahren oder über ein Administrations-Passwort freizugeben, so dass der Support im Fehlerfall den End-Usern das Ändern bestimmter Einstellungen gezielt erlauben kann.

Client-Vorlagen verlangen zunächst einmal die Zuweisung von Software-Update-Listen und Firewall-Vorlagen, deswegen haben wir diese beiden Einträge bereits im Vorfeld generiert. Abgesehen davon wählen die Administratoren aus, welche Variante der Client-Software zu dem jeweiligen Regelsatz gehört (unter Angabe von Betriebssystem und Versionsnummer), ob WLAN-Zugriffe erlaubt sind und ob die VPN-Lösung die Datenübertragungen über bestimmte Medien überwachen soll. Die letztgenannte Funktion dient hauptsächlich der Kostenkontrolle, sie ermöglicht es nämlich, DSL-, ISDN-, Modem- und PPTP-Verbindungen zu überwachen und Grenzwerte für die Verbindungsdauer oder das Verbindungs-Volumen zu setzen. Bei GPRS-/UMTS-Connections besteht die Option, nur Verbindungen zu bestimmten Netzbetreibern (im In- und Ausland) zuzulassen, um Roaming-Gebühren zu sparen oder gleich ganz zu vermeiden. Für WLAN-Verbindungen haben die zuständigen Mitarbeiter darüber hinaus die Möglichkeit, bestimmte Zugriffspunkte zu definieren.

Wenn ein Anwender sich über das Personalisierungs-Profil mit dem VPN-Gateway verbindet und seine Konfiguration mit Zertifikat erhält, lasst sich bei Bedarf auch gleich seine Client-Software auf den aktuellen Stand bringen. (©Smartmedia PresSservice)

Ebenfalls von Interesse sind die Profil-Filter-Gruppen, denn sie erlauben es den Verantwortlichen, verschiedene Nutzerprofile für verschiedene Umgebungen festzulegen. Die Profile steuern den Verbindungsaufbau, die Sicherheit (mit IKE- und IPSec-Richtlinien, PSK und ähnlichem), die Adress-Zuweisung und so weiter. Der Zugriff auf die einzelnen Konfigurations-Optionen innerhalb der Profile wird wieder - genau wie bei der Serverkonfiguration - über Benutzer Parameter gesteuert. Für unseren inituser erzeugten wir an dieser Stelle ein Profil namens "Personalisierung", das die VPN-Connection über den bereits erwähnten PSK realisierte. Damit war die Konfiguration der ersten Client-Vorlage abgeschlossen.

Die vorhandenen Vorlagen lassen sich bei Bedarf jederzeit exportieren, importieren und an Untergruppen vererben, zum Beispiel, um allen Abteilungen einer Niederlassung die gleiche Vorlage zuzuordnen. Sobald die Vorlage fertig ist, können die Verantwortlichen durch einen Rechtsklick auf den entsprechenden Eintrag die dazugehörige Client-Konfiguration erzeugen. Im Anschluss an diesen Arbeitsschritt erschien der Client-Eintrag in unserem Test unter "Client Configuration / Clients". Dort hatten wir dann die Möglichkeit, die Konfiguration des "inituser" als File auf unserer Festplatte zu speichern.

Die dabei generierte Profildatei benannten wir anschließend in "ncpphone.cnf" um und kopierten sie in das Installations-Verzeichnis des NCP-Secure-Clients, das wir zuvor auf einem Netzwerk-Share angelegt hatten. Jetzt brauchten die Clients nur noch auf dieses Share zuzugreifen, die Setup-Routine für den Client aufrufen und die Installation durchlaufen zu lassen. Alle Standard-Parameter holte sich der Installations-Wizard dabei aus dem ncpphone-File, so dass während des Setups keine weiteren Angaben nötig waren. Nach der Installation stand das Personalisierungs-Profil innerhalb der Client-Software sofort zur Verfügung und die Anwender des jeweiligen Clients konnten sich mit dem VPN-System verbinden.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige