Introdução 1 de 6 Solução Este artigo mostra como é gerado um pacote de instalação do cliente Secure Roaming e também como distribuí-lo às estações Windows através do Active Directory, usando Group Police. Ferramenta de geração de pacotes do cliente Secure Roaming pré-configurados: Abrindo a janela Ferramenta de Personalização, encontramos os seguintes itens: OBS: Esta janela pode ser encontrada no Aker Control Center do Firewalll Aker 6.0 Patch 2 ou no Aker Control Center do Secure Roaming Server. Pacote Antigo: utilizamos o pacote (.msi) disponibilizado pela Aker em seu site Novo pacote: é o nome do novo pacote que será gerado baseado no anterior, porém com as configurações efetuadas abaixo. Configuração: é onde podemos definir as configurações do Servidor de VPN, usuários e etc. Nesta tela temos os campos: Conexão
Nesta área são editadas as configurações necessárias para realizar a conexão no Secure Roaming Server. Os seguintes campos estão disponíveis: 2 de 6 Nome: nome pe Endereço IP: ne do servidor, se e Portas: aqui dev devem ser as m um gateway de Período keep-ali neste recurso, p entre o cliente e Modo de ativaçã o M o No o Autenticação elo qual a conexão será conhecida, facilitando a sua identificação. este campo deve ser inserido o endereço IP do servidor onde será realizada a conexão. Esse número pode ser diferente do endereço real ele se encontrar atrás de um gateway que faça NAT (tradução de endereços). vem ser selecionadas as portas TCP e UDP que serão utilizadas para tráfego de dados durante a conexão. Obrigatoriamente, essas portas mesmas constantes na configuração do servidor ou os números de porta traduzidos, se o servidor estiver com suas portas traduzidas por NAT. ive: período máximo de tempo em que pode ocorrer inatividade das conexões TCP e seqüências de pacotes UDP. É necessário cautela pois definir pequenos intervalos de tempo para checar a inatividade da conexão pode causar um overhead desnecessário na comunicação e o servidor. ão: define quando a conexão VPN deve começar e terminar. Existem três opções possíveis: anual: para iniciar ou finalizar uma conexão, é necessário que o próprio usuário clique no botão Conectar/Desconectar. o início: esta modalidade faz com que o cliente tente manter a conexão sempre ativa. Quando o computador for iniciado, o Cliente também será e tentará conectar-se. Este método muito útil para clientes conectados permanentemente à rede. Sincronizar com dial-up (somente para Windows): o estado da conexão será sincronizado com o adaptador dial-up. Assim a VPN será estabelecida quando o usuário conectar-see a um servidor dial-up, e derrubada quando ele desconectar-se. Este método é o mais recomendado para aqueles usuários que não possuem acesso permanente à Internet. Área onde o usuário deve definir o método que será utilizado para autenticação com o Secure Roaming Server. E possível escolher entre a utilização de Certificados X.509 ou autenticação via usuário/senha. Nome de usuário e senha: modo tradicional de autenticação onde o usuário apresenta como credenciais um nome de usuário válido e uma senha. Esta autenticação pode ser realizada de forma automática, mas é necessário preencher os seguintes campos: Nome de usuário: nome de usuário utilizado na rede; Autenticador: nome dado ao autenticador Aker no Secure Roaming Server. Se for deixado em branco, o servidor tentará usar todos autenticadores conhecidos. Salvar senha: se a senha de acesso for salva, não precisará ser inserida quando a sessão VPN for estabelecida. É importante salientar que a senha será salva criptografada no arquivo de configuração. Esta opção permite que o cliente seja executado sem a interface gráfica do usuário (apenas o daemon/serviço em background), sendo útil para usuários Unix que não utilizem uma interface gráfica. Usar compressão de dados Se a opção estiver marcada, toda informação que trafegar no sentido cliente a servidor ou no sentido inverso será comprimida, a fim de aumentar a velocidade de comunicação. Finalização da Geração do pacote pré-configurado Clicar em Aplicar
3 de 6 Novo pacote gerado com sucesso, agora basta utilizar este novo MSI para instalação de suas estações de trabalho que farão acesso remoto, que as configurações do Cliente Secure Roaming já estarão prontas. Como distribuir o pacote do Cliente Secure Roaming através do Active Directory, utilizando Group Police? Criar um GPO para implantação de software É possível criar um GPO e vinculá-lo a qualquer recipiente do Active Directory que contenha os computadores de destino nos quais deseja implantar o AkerSecureRoamingCliente.msi. Por exemplo, um recipiente do Active Directory pode ser um site, um domínio ou uma unidade organizacional (OU). As seguintes instruções o direcionam a usar um domínio como um recipiente e usar a filtragem de segurança pra direcionar o GPO para computadores específicos. Para seu ambiente, aconselhamos vincular o GPO a um recipiente diferente, como uma unidade organizacional. É possível vincular a qualquer recipiente do Active Directory que desejar. Além disso, é possível editar um GPO existente em vez de criar um novo apenas para a implantação do AkerSecureRoamingCliente.msi. No entanto, não recomendamos a edição da diretiva de domínio padrão nem da diretiva de controladores de domínio padrão. Crie um GPO para implantação do AkerSecureRoamingCliente.msii Use um dos seguintes métodos para criar um GPO para implantação do AkerSecureRoamingCliente.msi. Se você não possuir o GPMC (Console de gerenciamento de diretiva de grupo ) instalado, execute estas etapas: Em um controlador de domínio ou estação de trabalho administrativa, abra Usuários e computadores do Active Directory. Localize a unidade organizacional que contém os computadores nos quais deseja implantar o AkerSecureRoamingCliente.msi. Clique com o botão direito do mouse nessa unidade organizacional e clique em Propriedades. Clique na guia D Diretiva de grupo e em Nova.
4 de 6 Na caixa Novo G GPO, especifique um nome para o novo GPO e clique em OK. Editar um GPO para implantação de software Após criar um ponto de distribuição e um GPO para implantação do AkerSecureRoamingCliente.msi, é necessário modificar o GPO usando o recurso Instalação e manutenção de software da diretiva de grupo. Para implantar o AkerSecureRoamingCliente.msi, é necessário usar o nó Configuração do computador no Editor de objeto de diretiva de grupo. Para editar um GPO para implantação de software, execute estas etapas: Clique com o bo otão direito do mouse no novo GPO e clique em Editar. No Editor de objeto de diretiva de grupo, clique em Configuração do computador, em Configurações do software e em Instalação do software. No menu Arquivo, aponte para Novo e clique em Pacote.
5 de 6 Na caixa de diá álogo Abrir, digite o caminho UNC (convenção de nomenclaturaa universal) completoo do pacote do instalador compartilhado que deseja distribuir na caixa Nome do arquivo. Digite esse caminho no seguinte formato: NomedoServidorPastaCompartilhadaAkerSecureRoamingCliente.msi ou IP_do_servidorPastaCompartilhadaAkerSecureRoamingCliente.msi Verifique se está usando o caminho UNC do pacote do instalador compartilhado. Selecione o pacote do Windows Installer e clique em Abrir. Na caixa de diálogo Implantar software, clique em Atribuído e em OK. O pacote do instalador compartilhado selecionadoo aparece no painel à direita do Editor de objeto de diretiva de grupo. Observação NomedoServidor e IP do servidor são espaços reservados para o nome do servidor ou endereço IP do computador no qual a pasta compartilhada está localizada. PastaCompartilhada é um espaço reservado para a pasta compartilhada que está no servidor. Desativando a checagem de linguagem do GPO: o Clique com o botão direito do mouse no novoo pacote e clique em Propriedades.
Clique na aba Distribuição (Deployment) e clique em Avançado. Marque a opção de Ignorar a linguagem quando distribuir este pacote e OK em todas as janelas. 6 de 6 Agora basta rein niciar as estações de trabalho que pertencem a este domínio que as mesmas terão o Cliente do secure Roaming instalados. Implantar software para grupos de segurança específicos É possível usar filtragem de segurança na diretiva de grupo para implantar o AkerSecureRoamingCliente.msi apenas para computadores que são membros de um grupo de segurança específico. Por exemplo, se um GPO for criado no nível do domínio usando o procedimento descrito por esse artigo, você poderá usar a filtragem de segurança para direcionar o GPO apenas para computadores que deseja. Primeiro, é necessário criar o grupo de segurança e adicionar computadores de destino como membros. Para criar um grupo de segurança, execute estas etapas: Clique com o botão direito do mouse no domínio ou recipiente do Active Directory que deseja como destino, clique em Novo e em Grupo. Dê um nome para o grupo de segurança. Clique na guia Membros e em Adicionar. Digite os nomes dos computadores e clique em OK. Direcionee o AkerSecureRoamingCliente.msi usando a filtragem de segurança No GPMC, clique duas vezes nos Objetos de diretiva de grupo. Clique no GPO no qual deseja aplicar a filtragem de segurança. No painel de resultados, clique em Adicionar na guia Escopo. Na caixa Digite clique em OK. Se Usuários aut o nome do objeto para selecionar, digite o nome do grupo, do usuário ou do computador que deseja adicionar ao filtro de segurança e tenticados aparecer na seção Filtragem de segurança da guia Escopo, selecione esse grupo e clique em Remover. Isso certifica de que apenas membros do(s) grupo(s) adicionado(s) pode(m) receber as configurações nesse GPO. Observação: As configurações em um GPO aplicam-se apenas aos seguintes usuários e computadores: Usuários e computadores contidos no domínio, a unidade organizacional ou as unidades organizacionais com as quais o GPO está vinculado. Usuários e computadores especificados na filtragem de segurança ou que são membros de um grupo especificado na filtragem de segurança. É possível especificar diversos grupos, usuários ou computadores no filtro de segurança para um único GPO.