यह लेख समझाता है कि प्रारंभिक लॉगिन सेटिंग्स को कॉन्फ़िगर कैसे किया जाए ताकि नेटवर्क और संसाधनों की सुरक्षित पहुंच के लिए प्रारंभिक प्रमाणीकरण प्रदान किया जा सके।
लॉगिन से पहले नेटवर्क आर्किटेक्चर (ZTNA) का एक अनिवार्य घटक है। यह डिवाइस प्रमाणीकरण के आधार पर उपकरणों को एक्सेस प्रदान करता है और उपयोगकर्ता के प्रमाणीकरण से पहले। विस्तृत लॉगिन नीति अनुमत गंतव्य की सीमित एक्सेस नीति को परिभाषित करता है जो विश्वसनीय उपकरणों पर लागू होती है।
Cato की प्री लॉगिन सुविधा डिवाइस के प्रारंभिक प्रमाणीकरण की समस्या को हल करती है, एक सामान्य उदाहरण यह है कि एक नया उपकरण एक नए रिमोट उपयोगकर्ता को भेजा गया है। उपकरण को उपयोगकर्ता प्रमाणीकरण को पूरा करने के लिए कंपनी के सक्रिय डायरेक्टरी (AD) से जुड़ने की आवश्यकता होती है। हालांकि, चूंकि यह एक नया उपकरण है, इस पर कोई विंडोज उपयोगकर्ता क्रेडेंशियल्स नहीं हैं, और बिना प्रमाणीकरण के उपयोगकर्ताओं को AD से जुड़ने की अनुमत नहीं है।
Cato का समाधान डिवाइस पर एक विश्वसनीय प्रमाणपत्र और Cato क्लाइंट को पूर्व-विन्यास करने पर आधारित है। यह पर्याप्त विश्वास स्थापित करता है जिससे उपकरण आपके द्वारा कॉन्फ़िगर की गई प्री लॉगिन संसाधनों से जुड़ सके। फिर उपयोगकर्ता डिवाइस पर सुरक्षित रूप से प्रमाणीकरण कर सकता है।
जैसे ही उपकरण सार्वजनिक इंटरनेट (जैसे, उपयोगकर्ता के घर में वाईफाई) से जुड़ पाता है, या यदि एक विंडोज उपयोगकर्ता साइन आउट करता है, Cato प्री लॉगिन सुविधा उपकरण को प्री लॉगिन संसाधनों से जोड़ देती है।
इस लॉगिन से पहले चरण के दौरान, उपकरण अपने आईपी पते को डिफ़ॉल्ट रेंज से खींचता है। आपको यह सुनिश्चित करना चाहिए कि आपका सिस्टम डिफ़ॉल्ट रेंज के साथ काम करने के लिए सक्रिय है।
विंडोज उपकरण को Cato क्लाइंट, एक विश्वसनीय प्रमाणपत्र के साथ पूर्वनिर्धारित किया जाता है, और विंडोज रजिस्ट्री खाता नाम के साथ कॉन्फ़िगर की जाती है। उसके बाद क्लाइंट प्रासंगिक संसाधनों से जुड़ता है, उदाहरण के लिए, AD से कनेक्ट करें और फिर उपयोगकर्ता उपकरण का प्रमाणीकरण करता है। एक बार विंडोज डिवाइस सफलतापूर्वक Cato क्लाउड के साथ प्रमाणीकरण कर लेता है, विंडोज उपयोगकर्ता क्रेडेंशियल्स डिवाइस पर सहेजे जाते हैं, और भविष्य में यह आवश्यकता अनुसार AD से प्रमाणीकरण और कनेक्ट कर सकता है।
एक बार जब उपयोगकर्ता प्रमाणीकृत हो जाता है, यदि वे स्थिर या डायनामिक आईपी पते के लिए एक नियम से मेल खाते हैं, तो वे उस रेंज से अपना पता खींचेंगे।
विंडोज उपकरण जो सभी इन आवश्यकताओं को पूरा करते हैं, वे Cato के प्री लॉगिन सुविधा का उपयोग कर सकते हैं।
-
Cato SDP क्लाइंट आवश्यकताएँ:
-
विंडोज क्लाइंट v5.4 और उच्चतर से समर्थित
-
क्लाइंट डिवाइस पर स्थापित है
-
-
प्रमाणपत्र आवश्यकताएँ:
-
Cato प्रबंधन एप्लिकेशन (Access > Client Access > Signing certificates) में एक निजी हस्ताक्षर प्रमाणपत्र (Cato प्रमाणपत्र नहीं) अपलोड करें।
प्रमाणपत्र अपलोड करने के बारे में अधिक जानकारी के लिए, इस आलेख को देखें।
-
विंडोज उपकरण पर एक हस्ताक्षरित उपकरण प्रमाणपत्र स्थापित करें
-
-
डिवाइस पर क्लाइंट के लिए विंडोज रजिस्ट्री को कॉन्फ़िगर करें Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN:
-
इस उपकरण के लिए प्री लॉगिन सक्षम करें
PreLogin (DWORD), मूल्य डेटा 1
-
खाता नाम कॉन्फ़िगर करें जैसा कि यह Cato प्रबंधन अनुप्रयोग में दिखाई देता है
सबडोमेन (स्ट्रिंग), मूल्य डेटा <खाता सबडोमेन>
उदाहरण के लिए, खाता नाम SampleCo का पूर्ण डोमेन है: sampleco.via.catonetworks.com
जहां sampleco <खाता उपडोमेन> हैआप अपने खाते के लिए उपडोमेन को एक्सेस > सिंगल साइन-ऑन में दिखा सकते हैं
-
क्लाइंट द्वारा Cato क्लाउड के लिए प्रारंभिक प्रमाणीकरण सफलतापूर्वक किए जाने के बाद, रजिस्ट्री स्वचालित रूप से अपडेट किया जाता है
-
(वैकल्पिक) यदि आप ऑलवेज-ऑन आउट-ऑफ-द-बॉक्स कॉन्फ़िगर कर रहे हैं, तो निम्नलिखित कुंजी परिभाषित करें:
InitialAlwaysOn (DWORD), मूल्य डेटा 1
-
-
उन खातों के लिए जो निजी DNS सर्वर (आंतरिक AD सर्वर सहित) का उपयोग करते हैं, इन सेटिंग्स को कॉन्फ़िगर करें:
-
निजी DNS सर्वर को अनुमत गंतव्य के रूप में परिभाषित किया गया है
खाते के लिए परिभाषित DNS सर्वर को स्वचालित रूप से अनुमत गंतव्य के रूप में शामिल किया जाता है
-
DNS अग्रेषण सक्षम है, और निजी DNS सर्वर के लिए कॉन्फ़िगर किया गया है
-
डिफ़ॉल्ट रूप से, Cato क्लाइंट DNS सर्वर को 10.254.254.1 पर सेट करता है
यदि आपका खाता कस्टम सेवा रेंज का उपयोग करता है, तो DNS का IP पता x.y.z.3 है
-
-
SDP क्लाइंट्स जो हमेशा चालू के साथ कॉन्फ़िगर किए गए हैं, केवल इनसे कनेक्ट करने की अनुमति है:
-
WAN - अनुमत गंतव्यों में परिभाषित संसाधन
-
इंटरनेट - उपयोगकर्ता का IdP के साथ प्रमाणीकरण करें
-
-
SDP क्लाइंट्स जिनके पास हमेशा चालू सेटिंग्स नहीं हैं (नए उपकरणों सहित), उन्हें इनसे कनेक्ट करने की अनुमति है:
-
WAN - अनुमत गंतव्य में परिभाषित संसाधन
-
इंटरनेट - विंडोज उपकरण इंटरनेट में किसी भी संसाधन से कनेक्ट कर सकता है
-
-
सुरक्षा कारणों से, हम अनुशंसा करते हैं कि आप अनुमत गंतव्य के लिए सबसे छोटी IP रेंज को परिभाषित करें
यदि प्री लॉगिन और बूट पर कनेक्ट करें दोनों सक्रिय हैं, तो उपकरण के बूट होने के बाद क्लाइंट प्री लॉगिन स्थिति में प्रवेश करता है। एक बार जब उपयोगकर्ता डिवाइस में साइन इन करता है, तो क्लाइंट सॉफ्टवेयर उपयोगकर्ता का प्रमाणीकरण करने का प्रयास करता है। अधिक जानकारी के लिए, Cato क्लाइंट कनेक्शन प्रवाह को समझना देखें।
-
चुनौती - एक नया विंडोज़ उपकरण एक कर्मचारी के घर भेजा जाता है। कॉर्पोरेट AD एक Cato साइट के पीछे है, इसलिए नया उपयोगकर्ता इससे कनेक्ट नहीं कर सकता।
-
समाधान - उपकरण ऊपर दिए गए प्री लॉगिन के पूर्वापेक्षाओं को पूरा करता है। उपयोगकर्ता कंप्यूटर चालू करता है, इसे AD से कनेक्ट करने दिया जाता है, और उपयोगकर्ता AD में प्रमाणीकरण करता है और नेटवर्क से कनेक्ट करने की अनुमति दी जाती है।
-
लॉगिन से पहले स्क्रीन का उपयोग करें ताकि अनुमत गंतव्य में संसाधनों को परिभाषित किया जा सके जिन्हें पूर्व-कॉन्फ़िगर किए गए विंडोज उपकरण कनेक्ट कर सकते हैं। जब उपकरण पर क्लाइंट सॉफ्टवेयर Cato क्लाउड से कनेक्ट करने का प्रयास करता है, तो उपकरण को एक प्री लॉगिन उपकरण के रूप में मान्यता दी जाती है।
Cato क्लाउड डिवाइस को उन संसाधनों से कनेक्ट करने की अनुमति देती है जो अनुमत गंतव्य के रूप में कॉन्फ़िगर होते हैं, और WAN और आंतरिक फ़ायरवॉल नियम इस कनेक्शन पर लागू नहीं होते हैं। इसके अलावा, डिवाइस पोजीशन आवश्यकताएं प्री लॉगिन ट्रैफिक पर लागू नहीं होती हैं। Cato क्लाउड केवल उस ट्रैफिक की अनुमति देती है जो प्री लॉगिन प्रक्रिया से संबंधित होता है।
एक अनुमत गंतव्य एक IP पता, IP रेंज, या एक होस्ट हो सकता है (जो एक विशिष्ट साइट के लिए परिभाषित होता है)। लॉगिन से पहले 48 तक अनुमत गंतव्यों का समर्थन करता है।
अपने खाता को प्री लॉगिन समर्थन के लिए कॉन्फ़िगर करने के लिए:
-
नेविगेशन मेनू से, पहुँच > क्लाइंट एक्सेस पर क्लिक करें।
-
लॉगिन से पहले अनुभाग का विस्तार करें।
-
प्री लॉगिन सक्षम करें चुनें।
-
ड्राप डाउन मेन्यू से, प्रत्येक अनुमत गंतव्य के लिए होस्ट, IP पता, या IP रेंज चुनें।
नोट: सुरक्षा कारणों से, IP रेंज 0.0.0.0 - 255.255.255.255 को एक अनुमत गंतव्य के रूप में उपयोग न करें।
-
सहेजें पर क्लिक करें।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.