در این قسمت سعی میکنیم جنبه های مختلف امنیتی را مورد بررسی قرار دهیم. امن سازی ارتباط بین یوزرکلاینت ها با سرورها و ایجاد امنیت لازم درارتباط بین کامپوننت های زیرساختی بین سرورهای View در دیتاسنترهایی که در اختیار داریم. برای شروع یک نگاه کلی داریم به Secure Socket Layer یا SSL قبل از اینکه چکونگی ساخت و صادر کردن certificate را توضیح دهیم. در قسمت بعدی در مورد True SSO صحبت می کنیم. True SSO برای کاربرها شرایطی را فراهم میکند که تمام حقوق و دسترسی های آنها در دامین را به دسکتاپ مجازی آنها منتقل می نماید بدون اینکه نیاز به احراز هویت با اکتیو دایرکتوری وجود داشته باشد.
Horizon View and SSL certificates
با مشخص کردن SSL موضوع را شروع میکنیم. SSL یک تکنولوژی رمزگذاری می باشد که توسط Netscape توسعه پیدا کرد و در مواردی مورد استفاده قرار می گیرد که رمزگذاری ارتباط بین یک وب سرور و یک مرورگر وب را برعهده دارد. با استفاده از SSL، اطلاعاتی که برای مرورگر وب شما ارسال می شود با امنیت کامل مشاهده کرده بدون اینکه کسی به آن دسترسی داشته باشد.
SSL توسط یک SSL Certificate که بر روی یک سرور نصب شده است کار کرده و برای شناسایی شما استفاده می شود. سوال اینجاست، ” چطور متوجه شویم که از یک اتصال امن برای کانکت شدن به یک وب سرور استفاده می نماییم؟” اگر اتصال شما امنیت لازم را داشته باشد یک آیکون padlock بر روی مرورگر خود مشاهده میکنید یا آدرس بار شما به رنگ سبز در می آید. SSL Certificate توسط یک CA تهیه می شود. ( CA= Certificate Authorities )
Certificate Authority چیست؟
یک سرویسی است که certificate های دیجیتالی را بعد از اعتبارسنجی برای سازمان ها یا افراد صادر میکند. Certification authorities جزئیات مربوط به certificate ها را که تا الان صادر شده نگهداری میکند. این موارد به صورت کامل و منظم نگهداری می شوند. امکان فراهم کردن یک Certificate Authority از سازمان های دیگر وجود دارد و یا ساخت Root CA ی که برای خودمان باشد.
چرا ما برای Horizon View نیاز به SSL داریم ؟
اگر شما به انتقال اطلاعات از یک وب سایت به یک کاربرنهایی endpoint حساس هستید، نیاز دارید که امنیت اطلاعات را با رمزگذاری تامین نمایید. بعبارت دیگر دیتا میتواند در معرض خطر باشد. Horizon View اساسا شبیه به یک وب سرویس بوده تا کاربر نهایی به آن متصل شود و از دستگاه خودش به View Connection Server، قاعدتا باید مطمئن باشید که این اتصال امنیت لازم را دارد. در این مورد، SSL مورد استفاده قرار می گیرد تا امنیت لینک بین دیوایس کلاینت و دسکتاپ مجازی کاربر را برقرار نماید، اگرچه با View، هیچ دیتای واقعی جابجا نمی شود و فقط پیکسل ها و تصاویر مربوط به دسکتاپ مجازی شما جابجا می شود و اگر یک برنامه جانبی این انتقال را قطع کند به صورت بالقوه شما صفحه ای را مشاهده میکنید و بوسیله این پیسکل ها دوباره طراحی میشود. همچنین SSL برای ارتباط بین کامپوننت های Horizon View استفاده می شود. مثلا برای ارتباط بین Connection Server ها و Replica Server ها.
SSL certificates برای Horizon View:
به صورت پیش فرض، Horizon View از certificateی استفاده میکند که به صورت self-sign بوده و برای مراحل POC و یا فاز آزمایشی مناسب است. اما در محیط های عملیاتی و بزرگ شما باید از certificate معتبر و مناسب استفاده نمایید.
از نسخه View 5.1 استفاده از certificateها تبدیل به یک نیاز شد. جایی که آنها برای کامپوننت های Horizon View مورد استفاده قرار میگرفتند تا ارتباط لازم را برقرار نمایند. مثل Connection Server، Replica Serve و View Composer و همچنین زیرساخت های مربوط به هاست های ESXi و سرورهای vCenter. هر کدام از این کامپوننت ها نیاز به یک certificate دارند که این certificate بر روی دستگاه کلاینت ها نصب شده است.
Installing a Root CA
یک سرور با نام HZN7-CERTS در نظر میگیریم و تصمیم داریم بر روی این سرور Root CA خود را راه اندازی نماییم.
1. از سرور HZN7-CERTS کنسول گرفته و Server Manager را اجرا کنید.
2. مطابق با عکس گزینه Add roles and features را بزنید(1).
4. صفحه Installation Type را مشاهده میکنید. قسمت Role-based or feature-based installation را انتخاب کنید(2)
6. گزینه Select a server from the server pool را انتخاب کرده(3) و سپس از لیست سرور hzn7-certs.pvolab.com را انتخاب نمایید.
9. به صفحه Server Roles بازگردید، مشاهده خواهید کرد که تیک گزینه Active Directory Certificate Services خورده است. بر روی دکمه Next> کلیک کنید.
10. صفحه Features configuration را مشاهده میکنید. بر روی Next> کلیک کنید.
11. صفحه Active Directory Certificate Services برای شما به نمایش در می آید.
14. در صفحه Confirmation، تیک قسمت Restart the destination server automatically را زده (8) و سپس بر روی دکمه Install کلیک کنید.
16. از طریق منو موجود در بالای صفحه Server Manager Dashboard، بر روی مثلت اخطار نمایان شده کلیک کنید و از پاپ آپ ظاهر شده بر روی Configure Active Directory Certificate Services کلیک نمایید(9).
20. وارد صفحه Setup Type می شوید.
23. صفحه تنظیمات Private Key نمایش داده می شود.
26. صفحه تنظیمات CA Name برای شما ظاهر می شود.
28. وارد قسمت تنظیمات مربوط به Validity Period می شوید.
30. وارد بخش Certificate Database می شوید.
Certificate Server ما نصب شده و در حال اجرا می باشد. تنظیمات مربوط به Horizon View جهت استفاده از این سرویس را باید شروع کنیم.
- Design