Использование Windows Предварительный вход и Клиент SDP

Эта статья объясняет, как настроить настройки Предварительного входа, чтобы обеспечить начальную аутентификацию для безопасного доступа к сетям и ресурсам.

Обзор предварительной авторизации

Предварительный вход является важным компонентом архитектуры сетей с нулевым доверием (ZTNA). Он предоставляет доступ к устройствам на основе их аутентификации устройства и до аутентификации пользователя. Гранулярная политика Предварительного входа определяет ограниченную политику доступа для Разрешенных направлений, которая применяется к доверенным устройствам.

Функция Предварительного входа Cato решает проблему начальной аутентификации устройства, часто встречающийся пример – новое устройство отправляется новому удаленному пользователю. Устройство должно подключиться к Active Directory компании (AD) для завершения аутентификации пользователя. Однако, поскольку это новое устройство, на нем нет учетных данных пользователей Windows, и неподтвержденным пользователям не разрешено подключаться к AD.

Решение Cato основано на предварительном развертывании доверенного сертификата и Клиента Cato на устройстве. Это создает достаточно доверия, чтобы устройство могло подключиться к ресурсам Предварительного входа, которые вы настраиваете. Затем пользователь может безопасно аутентифицироваться на устройстве.

Решение Cato для предварительной авторизации

Как только устройство может подключиться к общедоступному Интернету (например, WiFi в доме пользователя) или если пользователь Windows выйдет из системы, функция Предварительного входа Cato позволяет устройству подключиться к ресурсам Предварительного входа.

Во время этой стадии Предварительного входа устройство получает свой IP-адрес из диапазона IP-адресов по умолчанию. Вы должны убедиться, что ваша система настроена на работу с диапазоном по умолчанию.

Устройство Windows предварительно настроено с Клиентом Cato, доверенным сертификатом, и в Реестр Windows настроено Имя учетной записи. Клиент затем подключается к соответствующим ресурсам, например, к AD, и пользователь затем аутентифицирует устройство. Как только устройство Windows успешно аутентифицируется в Cato Cloud, учетные данные пользователя Windows сохраняются на устройстве, и в будущем оно может аутентифицироваться и подключаться к AD по мере необходимости.

После аутентификации пользователя, если он соответствует правилу для статического или динамического IP-адреса, он будет получать адрес из этого диапазона.

Требования для Windows устройств

Устройства Windows, которые соответствуют всем этим предварительным условиям, могут использовать функцию Предварительного входа Cato.

  • Требования Клиента SDP Cato:

    • Поддерживается начиная с версии Windows Клиент v5.4 и выше

    • Клиент установлен на устройстве

  • Требования к сертификатам:

    • Загрузите личный сертификат подписи (не сертификат Cato) в приложение Cato Management (Access > Client Access > Signing certificates)

      Для получения дополнительной информации о загрузке сертификатов см. эту статью.

    • Установите подписанный сертификат устройства на устройство Windows

  • Настройте Реестр Windows для Клиента на устройстве Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN:

    • Включите Предварительный вход для этого устройства

      PreLogin (DWORD), значение данных 1

    • Настройте Имя учетной записи, как оно отображается в Приложении Управления Cato

      Поддомен (Строка), значение данных <поддомен аккаунта>

      Например, название учетной записи SampleCo имеет полный домен: sampleco.via.catonetworks.com

      где sampleco - это <account subdomain>

      Вы можете отобразить субдомен вашего аккаунта в Доступ > Единая Авторизация

    • После того, как Клиент успешно выполняет начальную аутентификацию в Cato Cloud, реестр автоматически обновляется

    • (Опционально) Если вы настраиваете Always-On из коробки, определите следующий ключ:

      InitialAlwaysOn (DWORD), значение данных 1

Требования к Разрешенным направлениям

  • Для учетных записей, использующих частный сервер DNS (включая внутренние серверы AD), настройте эти параметры:

    • Частный сервер DNS определяется как Разрешенное направление

      Серверы DNS, определенные для учетной записи, автоматически включаются как Разрешенное направление

    • Перенаправление DNS включено и настроено для частного DNS сервера

    • По умолчанию Клиент Cato устанавливает сервер DNS как 10.254.254.1

      Если ваша учетная запись использует пользовательский диапазон сервисов, IP-адрес для DNS - это x.y.z.3

  • SDP Клиенты, настроенные на всегда включено, могут подключаться только к:

    • WAN - Ресурсы, определенные в Разрешенные направления

    • Интернет - Аутентификация пользователя с ИдП

  • SDP Клиенты без настроек всегда включено (включая новые устройства), могут подключаться к:

    • WAN - Ресурсы, определенные в Разрешенные направления

    • Интернет - Устройство Windows может подключаться к любому ресурсу в Интернет

  • По соображениям безопасности, мы рекомендуем определить наименьший диапазон IP-адресов для Разрешенные направления

Предварительный вход с Подключаться при загрузке

Если включены и предварительная авторизация, и подключение при запуске, после загрузки устройства Клиент переходит в состояние предварительной авторизации. После того как пользователь входит в устройство, Клиент пытается аутентифицировать пользователя. Для получения дополнительной информации см. Понимание потока подключения клиента Cato.

Примеры использования Предварительного входа

  • Задача - Новое устройство Windows отправлено сотруднику на дом. Корпоративный AD находится за сайтом Cato, поэтому новый пользователь не может к нему подключиться.

    • Решение - Устройство удовлетворяет вышеуказанным предустановкам Предварительного входа. Пользователь включает компьютер, ему разрешено подключиться к AD, и пользователь выполняет аутентификацию AD и может подключиться к сети.

Настройка параметров Предварительного входа в Приложении Управления Cato

Используйте экран Предварительного входа, чтобы определить ресурсы в Разрешенные направления, к которым могут подключаться преднастроенные устройства Windows. Когда Клиент на устройстве пытается подключиться к Cato Cloud, устройство распознается как устройство Предварительного входа.

Cato Cloud позволяет устройству подключиться к ресурсам, которые настроены как Разрешенные направления, и правила внутреннего и WAN брандмауэра не применяются к этому соединению. Кроме того, требования к Состоянию устройства не применяются к трафику Предварительного входа. Cato Cloud только позволяет трафик, связанный с процессом Предварительного входа.

Разрешенные направления могут быть IP-адрес, Диапазон IP-адресов или хост (который определен для конкретного сайта). Предварительный вход поддерживает до 48 Разрешенных направлений.

Prelogin.png

Чтобы настроить вашу учетную запись для поддержки Предварительного входа:

  1. Из меню навигации нажмите Доступ > Доступ клиента VPN.

  2. Раскройте Предварительный вход раздел.

  3. Выберите Включить предварительный вход.

  4. В раскрывающемся меню выберите хост, IP-адрес или Диапазон IP-адресов для каждого Разрешенного направления.

    Примечание: По соображениям безопасности, не используйте диапазон IP 0.0.0.0 - 255.255.255.255 как Разрешенное направление.

  5. Нажмите Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 8

0 комментариев