استخدام Windows Pre Login وSDP Client

تشرح هذه المقالة كيفية تكوين إعدادات Pre Login لتوفير المصادقة الأولية للوصول الآمن إلى الشبكات والموارد.

نظرة عامة على Pre Login

Pre Login هو جزء أساسي من بنية الشبكة ذات الثقة الصفرية (ZTNA). يوفر الوصول إلى الأجهزة بناءً على مصادقة الجهاز وقبل أن يتحقق المستخدم. تعرف سياسة Pre Login التفصيلية سياسة الوصول المحدود للأهداف المسموح بها والتي تُطبق على الأجهزة الموثوقة.

تتطرق ميزة Pre Login الخاصة بCato إلى مشكلة المصادقة الأولية للجهاز، والمثال الشائع هو إرسال جهاز جديد إلى مستخدم جديد عن بُعد. يحتاج الجهاز إلى الاتصال بدليل Active Directory (AD) للشركة لإكمال مصادقة المستخدم. ومع ذلك، لأن هذا جهاز جديد، لا توجد بيانات اعتماد مستخدمين Windows عليه، ولا يُسمح للمستخدمين غير المصادقين بالاتصال بـ AD.

الحل الخاص بـ Cato يعتمد على نشر شهادة موثوقة وCato Client على الجهاز مسبقًا. هذا يعزز الثقة الكافية للسماح للجهاز بالاتصال بالموارد Pre Login التي تقوم بتكوينها. ثم يمكن للمستخدم المصادقة للجهاز بأمان.

حل Pre Login من Cato

بمجرد أن يتمكن الجهاز من الاتصال بالإنترنت العام (مثل، WiFi في منزل المستخدم)، أو إذا قام مستخدم Windows بتسجيل الخروج، تتيح ميزة Pre Login الخاصة بـ Cato للجهاز الاتصال بموارد Pre Login.

خلال هذه المرحلة من Pre Login، يسحب الجهاز عنوان IP الخاص به من النطاق الافتراضي لعناوين IP. يجب عليك التأكد من أن نظامك مهيأ للعمل مع النطاق الافتراضي.

الجهاز Windows يتم تكوينه مسبقًا بـ Cato Client، وشهادة موثوقة، ويتم تكوين سجل Windows باسم الحساب. ثم يتصل Client بالموارد ذات الصلة، على سبيل المثال، الاتصال بـ AD ثم يصادق المستخدم الجهاز. بمجرد أن يصادق جهاز Windows بنجاح إلى سحابة Cato، يتم حفظ بيانات اعتماد المستخدم Windows على الجهاز، وفي المستقبل يمكنه المصادقة والاتصال بـ AD حسب الحاجة.

بمجرد أن يتم مصادقة المستخدم، إذا كانت تتطابق مع قاعدة لعنوان IP ثابت أو ديناميكي، ستستخدم عنوانها من ذلك النطاق.

متطلبات أجهزة Windows

الأجهزة Windows التي تحقق جميع هذه المتطلبات يمكنها استخدام ميزة Pre Login الخاصة بـ Cato.

  • متطلبات Cato SDP Client:

    • مدعومة من Windows Client v5.4 وما فوق

    • Client مثبت على الجهاز

  • متطلبات الشهادة:

    • تحميل شهادة التوقيع إلى تطبيق إدارة Cato (Access > Client Access > Signing certificates)

      لمزيد من المعلومات حول تحميل الشهادات، انظر هذه المقالات.

    • تثبيت شهادة جهاز موقعة على جهاز Windows

  • تكوين سجل Windows للعميل على الجهاز Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN:

    • تمكين Pre Login لهذا الجهاز

      PreLogin (DWORD), قيمة البيانات 1

    • قم بتكوين اسم الحساب كما يظهر في تطبيق إدارة Cato

      النطاق الفرعي (String)، قيمة البيانات <النطاق الفرعي للحساب>

      على سبيل المثال، اسم الحساب SampleCo لديه النطاق الفرعي: sampleco.via.catonetworks.com

      يمكنك إظهار النطاق الفرعي لحسابك في Access > Single Sign-On

    • بعد أن ينفذ Client بنجاح المصادقة الأولية إلى سحابة Cato، يتم تحديث السجل تلقائيًا

متطلبات الوجهات المسموح بها

  • لحسابات التي تستخدم خادم DNS الخاص (بما في ذلك خوادم AD الداخلية)، قم بتكوين هذه الإعدادات:

    • يُعرّف DNS الخاص كـ وجهة مسموح بها

      تُدرج تلقائيًا خوادم DNS المعرفة لحساب كـ وجهة مسموح بها

    • يتم تمكين تحويلات DNS، وتكوينها لخادم DNS الخاص

    • افتراضيًا، يضبط Cato Client خادم DNS كـ 10.254.254.1

      إذا كان حسابك يستخدم نطاق خدمة مخصص، فإن عنوان IP الخاص بـ DNS هو x.y.z.3

  • SDP Clients التي تم تكوينها مع Always-On، يُسمح لها فقط بالاتصال بـ:

    • WAN - الموارد المعرفة في الوجهات المسموح بها

    • الإنترنت - تحقق المستخدم مع IdP

  • العملاء SDP الذين ليس لديهم إعدادات Always-On (بما في ذلك الأجهزة الجديدة)، يُسمح لهم بالاتصال بـ:

    • WAN - الموارد المعرفة في الوجهات المسموح بها

    • الإنترنت - يمكن لجهاز Windows الاتصال بأي مورد على الإنترنت

  • لأسباب أمنية، نوصي بأن تحدد أصغر نطاق IP لوجهة مسموح بها

Pre Login مع Connect on Boot

إذا تم تمكين Pre Login وConnect on Boot, بعد إقلاع الجهاز، يدخل العميل في حالة Pre Login. بمجرد أن يسجل المستخدم الدخول للجهاز، يحاول العميل مصادقة المستخدم. لمزيد من المعلومات، انظر فهم تدفق اتصال Cato Client.

حالات استخدام Pre Login النموذجية

  • التحدي - يتم إرسال جهاز Windows جديد تمامًا إلى موظف في منزله. يقع AD للشركة خلف موقع Cato، لذا لا يمكن للمستخدم الجديد الاتصال به.

    • الحل - يلتزم الجهاز بمتطلبات Pre Login المذكورة أعلاه. يشغّل المستخدم الحاسوب، يُسمح له بالاتصال بـ AD، ويصادق المستخدم على AD ويسمح له بالاتصال بالشبكة.

تكوين إعدادات Pre Login في تطبيق إدارة Cato

استخدم شاشة Pre Login لتعريف الموارد في الوجهات المسموح بها التي يمكن للأجهزة Windows المُعدة مسبقًا الاتصال بها. عندما يحاول العميل على الجهاز الاتصال بسحابة Cato، يتعرف على الجهاز كجهاز Pre Login.

تتيح سحابة Cato للجهاز الاتصال بالموارد التي تم تكوينها كـ وجهة مسموح بها، ولا تُطبق قواعد الجدار الناري الداخلي و WAN على هذا الاتصال. بالإضافة إلى ذلك، لا تُطبق متطلبات وضعية الجهاز على المرور Pre Login. تسمح سحابة Cato فقط بالمرور المرتبط بعملية Pre Login.

يمكن أن تكون الوجهة المسموح بها عنوان IP، نطاق IP، أو مضيف (والذي يتم تعريفه لموقع معين). يدعم تسجيل الدخول المسبق ما يصل إلى ٤٨ وجهة مسموح بها.

Prelogin.png

لتكوين حسابك لدعم Pre Login:

  1. من قائمة التنقل، انقر Access > Client Access.

  2. قم بتوسيع قسم Pre Login.

  3. حدد Enable Pre Login.

  4. من القائمة المنسدلة، حدد المضيف، عنوان IP، أو نطاق IP لكل وجهة مسموح بها.

    ملحوظة: لأسباب أمنية، لا تستخدم نطاق IP 0.0.0.0 - 255.255.255.255 كـ وجهة مسموح بها.

  5. انقر حفظ.

هل كان هذا المقال مفيداً؟

3 من 4 وجدوا هذا مفيداً

لا توجد تعليقات