DIREZIONE INFORMATICA AREA RETI SSL VPN Accesso Remoto Sicuro Accesso con Network Connect per Linux Pagina 1 06/03/2014 DIREZIONE INFORMATICA AREA RETI I l Servizio SSL VPN permette agli utenti istituzionali di realizzare una connessione da qualsiasi parte del mondo (Internet) verso la nostra Rete di Ateneo (Intranet) attraverso un accesso HTTPS (ovvero mediante una connessione cifrata e sicura). Grazie a questo servizio é possibile accedere alle risorse informatiche e telematiche sfruttando qualsiasi connessione ad Internet e fruirne come se ci si trovasse all'interno della rete di Ateneo. Potete trovare tutte le informazioni relative al servizio SSL VPN e le istruzioni per la configurazione dei dispositivi supportati al seguente link: http://www.univr.it/main?ent=servizioaol&idDest=1&sServ=264&serv=39 Illustrazione 1 Pagina 2 06/03/2014 DIREZIONE INFORMATICA AREA RETI A partire dal Febbraio 2014 la Direzione Informatica ha deciso di mettere a disposizione degli utenti del servizio SSL VPN un nuovo software: Junos Pulse. Junos Pulse è disponibile per Windows, Mac, Android e IOS e consente di avviare e interrompere una sessione SSL VPN senza dover necessariamente transitare per il portale web del servizio (https://sslvpn.univr.it/). Con Junos Pulse, in buona sostanza, la presenza di un ambiente di esecuzione Java (JRE) e di un browser web sono requisiti del tutto opzionali. I vantaggi, rispetto alla soluzione adottata in precedenza (Network Connect), sono molteplici: la semplificazione dei requisiti software, la riduzione delle possibili cause di malfunzionamento, il supporto delle piattaforme mobile. Gli svantaggi, sono essenzialmente legati al mancato supporto di alcune piattaforme che in precedenza potevano accedere al servizio. La più rilevante tra queste è la piattaforma Linux. In realtà, è ancora possibile utilizzare Network Connect ma non è più possibile installare il client a partire dalla pagina web del servizio SSL VPN. Questo limite rappresenta un problema soprattutto per gli utenti Linux perché il pulsante “Start” presente nella home page prima del passaggio a Junos Pulse consentiva agli utenti di effettuare - in modo totalmente automatico e trasparente – la verifica, l'installazione e l'aggiornamento del client Network Connect su tutti i sistemi operativi supportati. Inoltre, l'ambiente di esecuzione Java avviato dal pulsante “Start” forniva a Network Connect le risorse necessarie alla visualizzazione dell'interfaccia utente: senza il pulsante “Start”, quindi, l'avvio di Network Connect nei sistemi Linux è possibile unicamente da terminale. In mancanza di questo meccanismo di distribuzione automatica, gli utenti che intendono continuare ad utilizzare Network Connect devono scaricare ed installare manualmente il client. In generale, per quanto ci è stato possibile verificare in prima persona, dovrebbe essere possibile installare Network Connect a partire dall'installer .rpm di Juniper Networks ed avviare una sessione da terminale su tutte le principali distribuzioni Linux. Questo documento illustra come effettuare queste operazioni su Ubuntu 12.04 LTS (i686 a 32 bit) e su Fedora: Desktop 20 (i686 a 32 bit) ed è basato sulle istruzioni pubblicate sul Knowledge Center di Juniper Networks. Pagina 3 06/03/2014 DIREZIONE INFORMATICA AREA RETI Installare ed avviare Network Connect su Ubuntu 12.04 LTS (32 bit) Per i sistemi Linux, purtroppo, Juniper Networks mette a disposizione un solo installer basato su RPM (Red Hat Package Manager), un sistema di gestione dei pacchetti normalmente adottato in Red Hat Enterprise Linux e in alcune distribuzioni derivate (Fedora, Mageia e CentOS, per esempio). Le distribuzioni basate su Debian (come Ubuntu e Linux Mint, per citare le più diffuse) adottano APT (Advanced Packaging Tool) e per avviare l'installazione di Network Connect a partire dal file .rpm messo a disposizione dall'Area Reti serve un passaggio ulteriore. Innanzitutto, dovete scaricare l'installer di Network Connect per Linux. Potete raggiungere il link per lo scaricamento del file dalla sezione Segnalibri Web del portale del servizio SSL VPN: https://sslvpn.univr.it Per installare il client è necessario utilizzare alien, un tool che consente l'installazione di pacchetti .rpm nelle distribuzioni Linux derivate da Debian. È presente nei repository ufficiali di Ubuntu e per installarlo è sufficiente aprire un terminale e digitare: sudo apt-get install alien A questo punto, è possibile installare direttamente il package .rpm: sudo alien -i [percorso/nome_file.rpm] oppure convertire il file .rpm in .deb ed eseguire quest'ultimo da terminale, Gestore Archivi o Software Center sudo alien [percorso/nome_file.rpm] sudo dpkg -i [percorso/nome_file.deb] Pagina 4 06/03/2014 DIREZIONE INFORMATICA AREA RETI Al termine dell'installazione, in /usr/local/nc dovreste trovare i seguenti file: ncsvc - il client vero e proprio ncdiag - il tool di diagnostica (invocato da ncsvc ad ogni sessione) libncui.so - una libreria di codice C che fa funzionare la GUI di Network Connect NC.jar - la GUI di Network Connect (la cui gestione è affidata al runtime Java di Oracle) Da questo momento vi sarà possibile avviare una sessione SSL VPN invocando ncsvc da un terminale ma prima è necessario assicurarsi che nel sistema siano presenti il certificato host del servizio SSL VPN in formato DER e l'autorità di certificazione UTN-USERFirst-Hardware. A questo scopo, raggiungete la cartella /etc/ssl/certs e verificate la presenza di UTN_USERFirst_Hardware_Root_CA.pem: Pagina 5 06/03/2014 DIREZIONE INFORMATICA AREA RETI quindi lanciate Firefox, raggiungete il portale del servizio SSL VPN ed esportate il certificato host nella cartella /usr/local/nc (si vedano, a questo scopo, le illustrazioni da 4 a 7): Pagina 6 06/03/2014 DIREZIONE INFORMATICA AREA RETI Pagina 7 06/03/2014 DIREZIONE INFORMATICA AREA RETI Pagina 8 06/03/2014 DIREZIONE INFORMATICA AREA RETI Pagina 9 06/03/2014 DIREZIONE INFORMATICA AREA RETI Ora è possibile avviare una sessione SSL VPN da terminale. Posizionatevi in /usr/local/nc e digitate sudo ./ncsvc -h sslvpn.univr.it -u [user-ID GIA] -p [password GIA] -r Users -f sslvpn.univr.it.der -L 0 Pagina 10 06/03/2014 DIREZIONE INFORMATICA AREA RETI Installare ed avviare Network Connect su Fedora 20 (32 bit) Juniper Networks ha sviluppato la versione Linux di Network Connect adottando Red Hat Enterprise Linux (RHEL) come piattaforma di riferimento. Non essendo RHEL particolarmente diffusa tra gli utenti finali, abbiamo deciso di riprodurre le indicazioni fornite dalla Knowledge Base di Juniper Networks su Fedora Desktop 20, una distribuzione sponsorizzata da Red Hat interamente open-source e community-supported. Il procedimento di installazione è il medesimo illustrato per Ubuntu ma non è necessario ricorrere ad alien. Basta infatti un doppio click sul file .rpm per avviare Installatore Software: Naturalmente, è anche possibile utilizzare il terminale: sudo rpm -ivh [percorso/nome_file.rpm] Pagina 11 06/03/2014 DIREZIONE INFORMATICA AREA RETI Analogamente a quanto visto nel caso di Ubuntu, è possibile avviare una sessione SSL VPN da terminale solo dopo aver posizionato il certificato host del servizio SSL VPN in formato DER nella cartella /usr/local/nc e verificato l'esistenza dell'autorità di certificazione in /etc/ssl/certs. I passaggi sono gli stessi illustrati nel paragrafo precedente. Quando tutto è pronto, posizionatevi in /usr/local/nc e digitate sudo ./ncsvc -h sslvpn.univr.it -u [user-ID GIA] -p [password GIA] -r Users -f sslvpn.univr.it.der -L 0 Pagina 12 06/03/2014 DIREZIONE INFORMATICA AREA RETI Installare ed avviare Network Connect con script di terze parti In generale, per gestire compiutamente una sessione SSL VPN con Network Connect è necessario l'intervento di uno script che operi come session manager. Tale script dovrà cioè invocare ncsvc in presenza di un ambiente di esecuzione Java facendolo puntare ad un file di configurazione dove siano memorizzate le informazioni relative all’host che eroga il servizio SSL VPN, all’utente, al Realm e alla certificate chain. In mancanza di uno script, come si è visto, è ancora possibile avviare una sessione SSL VPN ma non è possibile utilizzare l'interfaccia grafica basata su Java di Network Connect. Non essendo più possibile affidare questo compito allo script associato al pulsante Start presente fino a qualche tempo fa nella home del servizio SSL VPN, è necessario ricorrere ad uno script di terze parti. Gli script più utilizzati e collaudati sono scritti in PERL e sono msjnc di Mad Scientist e jnc del Karlsruhe Institute of Technology. Potete trovare tutte le informazioni necessarie alla loro corretta implementazione ai seguenti URL: http://mad-scientist.net/juniper.html http://www.scc.kit.edu/scc/net/juniper-vpn/linux/ Questo approccio richiede una fase di preparazione più elaborata ma offre almeno due opportunità apprezzabili: - la possibilità di avviare Network Connect in modalità grafica nelle distribuzioni a 32 bit - la presenza di un'interfaccia utente funzionale utilizzabile anche nelle distribuzioni a 64 bit Il funzionamento di questi script potrebbe richiedere l'installazione di software aggiuntivo (Java JRE 1.6 o 1.7, OpenSSL, moduli PERL, librerie standard GNU C a 32 bit, etc …). Su queste soluzioni, come sulle precedenti, il supporto fornito dalla Direzione Informatica è, necessariamente, di tipo “best-effort”. Pagina 13 06/03/2014
© Copyright 2024 ExpyDoc
