使用 Windows 预登录和 SDP 客户端

本文解释了如何配置预登录设置,以提供初步认证以安全访问网络和资源。

登录前概述

预登录是零信任网络架构((ZTNA))的一个重要组件。 它基于设备认证提供设备接入,在用户认证之前。 详细的预登录策略定义了适用于可信设备的允许目的地的有限访问策略。

Cato 的预登录功能解决了设备的初步认证问题,一个常见的例子是新设备被发送给新的远程用户。 设备需要连接到公司的(Active Directory)(AD)以完成用户身份验证。 但是,由于这是一个新设备,上面没有 Windows 用户凭据,未经认证的用户不允许连接到 AD。

Cato 的解决方案基于在设备上预部署可信证书和 Cato 客户端。 这建立了足够的信任,可以让设备连接到您配置的预登录资源。 然后用户可以安全地认证设备。

Cato的登录前解决方案

一旦设备可以连接到公共互联网(例如,用户家中的 WiFi),或者 Windows 用户注销,Cato 预登录功能就可以让设备连接到预登录资源。

在这个预登录阶段,设备从默认的IP地址范围中获取其IP地址。 您应确保您的系统已配置为使用默认范围。

Windows 设备已预配置 Cato 客户端,一个可信证书,并且 Windows 注册表配置账号名称。 客户端然后连接到相关资源,例如,连接到 AD,然后用户认证设备。 一旦 Windows 设备成功认证到 Cato 云,Windows 用户认证信息将保存在设备上,未来可以按需要认证并连接到 AD。

用户被认证后,如果他们符合静态或动态IP地址的规则,他们将从该范围内获取其地址。

Windows设备先决条件

满足所有这些先决条件的 Windows 设备可以使用 Cato 的预登录功能。

  • Cato SDP 客户端要求:

    • 支持从 Windows 客户端版本 v5.4 及更高

    • 客户端已安装在设备上

  • 证书要求:

    • 上传一个私有签名证书(不是 Cato 证书)到 Cato 管理应用程序(访问 > 客户端访问 > 签名证书

      有关上传证书的更多信息,请参见这篇文章

    • 在 Windows 设备上安装签名设备证书

  • 为设备上的客户端配置 Windows 注册表 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

    • 为此设备启用预登录

      PreLogin (DWORD), 值数据 1

    • 配置账号名称,如它在 Cato 管理应用程序中显示的那样

      Subdomain (String), 值数据 <子域名>

      例如,账户名称SampleCo拥有完整域名:sampleco.via.catonetworks.com

      其中sampleco是<账户子域>

      您可以在访问 > 单点登录中显示您的账户的子域

    • 在客户端成功对 Cato 云执行初步认证后,注册表会自动更新

    • (可选)如果您正在配置开箱即用的始终开机功能,请定义以下密钥:

      InitialAlwaysOn (DWORD),值数据1

允许目的地的要求

  • 对于使用私有 DNS 服务器的账户(包括内部 AD 服务器),配置以下设置:

    • 私有 DNS 服务器被定义为允许的目的地

      为账号定义的 DNS 服务器会自动包含为允许的目的地

    • DNS转发已启用,并已为私有DNS服务器配置

    • 默认情况下,Cato 客户端将 DNS 服务器设置为 10.254.254.1

      如果您的账户使用自定义服务范围,DNS 的 IP 地址为 x.y.z.3

  • 配置为始终开启的 SDP 客户端,仅允许连接到:

    • WAN - 允许目的地中定义的资源

    • 互联网 - 使用 IdP 认证用户

  • 没有始终开启设置的 SDP客户端(包括新设备),允许连接到:

    • WAN - 资源已定义在允许的目的地中

    • 互联网 - Windows 设备可以连接到互联网中的任何资源

  • 出于安全原因,我们建议您为允许的目的地定义最小的 IP 范围

预登录和开机时连接

如果登录前和开机时连接都已启用,则设备启动后客户端进入登录前状态。 一旦用户登录设备,客户端将尝试认证用户。 有关更多信息,请参阅了解Cato客户端连接流程

预登录的示例用例

  • 挑战 - 一台全新的 Windows 设备被送到员工家中。 公司 AD 位于 Cato 站点后面,因此新用户无法连接到它。

    • 解决方案 - 设备符合上述预登录的先决条件。 用户打开计算机,允许连接到 AD,用户认证到 AD 并可以连接到网络。

在 Cato 管理应用程序中配置预登录设置

使用预登录屏幕定义预配置 Windows 设备可以连接的允许的目的地中的资源。 当设备上的客户端尝试连接到Cato Cloud时,该设备被识别为预登录设备。

Cato Cloud允许设备连接到配置为允许的目的地的资源,WAN和内部防火墙规则不适用于此连接。 此外,设备姿态要求不适用于预登录流量。 Cato Cloud仅允许与预登录过程相关的流量。

允许的目的地可以是IP地址、IP范围或主机(定义为特定站点)。 预登录支持最多48个允许的目的地。

Prelogin.png

要配置您的账户以支持预登录:

  1. 从导航菜单中,点击访问 > 客户端访问

  2. 展开预登录部分。

  3. 选择启用预登录

  4. 从下拉菜单中,为每个允许的目的地选择主机、IP地址或IP范围。

    注意: 出于安全原因,请勿使用IP范围0.0.0.0 - 255.255.255.255作为允许的目的地

  5. 点击保存

这篇文章有帮助吗?

8 人中有 5 人觉得有帮助

0 条评论