
Создание клиента в ViPNet Administrator 4
Пришла пора рассмотреть вопрос создания клиентов в ViPNet Administrator 4. Вопрос создания клиентов с несколькими пользователями на одному компьютере рассмотрим в следующей статье.
Для начала запускаем Ключевой центр и Центр Управления Сетью. Первым начнем работать с ЦУСом и в нем переходим во вкладку Клиенты.
Вообще, если вы строите сеть с нуля, тогда логичнее начинать с создания координатора, а не клиента, но я исхожу из того, что цель статьи скорее позновательная. Иными словами, в данной статье, хочу показать новичкам как создавать именно клиентов, а про более сложные вопросы напишу отдельные статьи.
И так, мы во вкладке Клиенты.
В данном окне можно видеть 5 колонок:
- имя клиента;
- координатор, за которым заведён клиент;
- дата изменения;
- справочники и ключи;
- описание.
Еще может быть поле идентификатор.
Для создания клиента нажимаем кнопку с белый плюсик в зеленом квадрате.
Открылось окно создания нового клиента.
В сравнении с третьей версией vipnet администратора тут всё интуитивно понятно и удобно.
В поле имя пишем имя клиента. Тут главное соблюдать единообразие. В каждой сети свои правила именования, и во всём есть своя логика. Главное не вносить хаос, то есть соблюдать единообразие в именах клиентов.
Некоторые организации в начале имени пишут номер сети, но нужды в этом нет, так как при межсетевом взаимодействии номер сети всё равно будет отображаться после имени (в vipnet client и цусе, а в деловой почте по умолчанию нет).
Стоит писать название организации + город + подразделение и (или) служба + ФИО. Иногда город ставится первым, а название организации вообще не пишется, если в сети только её сотрудники.
В некоторых сетях имеются обезличенные клиенты, но тут вопрос спорный и однозначно ответить можно так делать или нет сложно. В некоторых случаях проверяющие требуются ФИО в имени, в некоторых не проверяют это и ограничиваются актами, по которым данные клиент получен конкретным человеком.
Ограничение длины имени клиента около 55 символов, включая пробелы. Решать что сокращать, если не влезет вам, но тут, опять же, важно единообразие! Некоторые сокращают отчество, некоторые город, некоторые службу. Если у вас такое допущено, то можно писать фамилию и инициалы, но в некоторых случаях это считали нарушением, хотя это вопрос спорный.
Из опыта советую первые слова не сокращать, иначе появляются мелкие трудности при рутинных операциях. И искать всех клиентов конкретного города проще, если у них оно одинаково написано.
При создании обычного клиента всегда ставьте галочку "Создать одноименного пользователя на новом узле автоматически".
Также рекомендую ставить галочку "Настроить после создания", чтобы вам было проще.
Далее нужно выбрать координатор, за которым мы заведём клиента.
Нажимаем кнопку Выбрать.
Откроется окно выбора координатора, и тут нужно набраться терпения, так как оно чаще всего загружает список долго, даже если у вас очень мало узлов сети. И от мощности компьютера это тоже зачастую не зависит. Это нормально, так как задача разработчиков сделать не быстрое средство, а защищенное средство.
Наконец-то список заполнился целым одним координатором.
Выделяем левой кнопкой мыши нужный координатор и нажимаем кнопку выбрать.
Следует понимать, что координатор, за которым вы заводите клиента должен быть доступен для него. Иными словами, координатор должен быть доступен клиенту через корпоративную сеть или даже сеть интернет. В идеале клиенты должны быть в прямой видимости координатора и прям за ним спрятаны. Никаких каналов мимо координатора. Тогда всё надёжно, а в противном случае, множество пакетов могут ходить в открытом виде.
Если между клиентом и координатором, за которым он заведён интернет, тогда нужно очень хорошо понимать какие пакеты шифруются, а какие нет. В таких случаях следует тщательно изучать журналы обоих узлов на предмет шифрования пакетов. Также можно перехватывать пакеты при помощи wireshark и пытаться их посмотреть. ФСТЭК, кстати, в критически важных местах слушает каналы и читает сетевые пакеты, и если в них находит информацию, которая не должна передаваться в открытом виде, тогда организацию очень серьёзно накажут.
После того, как мы выбрали координатор, нас вернут в изначальное окно создания клиента в vipnet administrator 4. Тут уже достаточно нажать кнопку Создать.
После нажатия кнопки Создать нам откроются настройки нашего клиент.
Тут отображается имя и координатор. Это можно поменять. Описание отображается только внутри ЦУСа и вроде полезное поле, но я его ни разу не применил на практике. Однако, хорошей практикой является писать в описание на основании чего создали клиента, какие указания были, какие косяки были с клиентом, кто заводил клиента.
Связи с узлами. Тут необходимо указать узлы, с которыми клиент будет иметь связь.
Следует учитывать, что при необходимости общения с определенным клиентом, помимо связи с ним необходимо иметь связь с координатором, за которым он заведён, иначе он может быть для вас недоступен.
Если нужно ходить на какой-то ресурс за координатором Б, то координатор Б должен быть в связях у этого клиента.
По умолчанию стоит галочка Моей сети для отображения связей с узлами вашей сети, но тут можно выбрать доверенные сети, и если тыкнуть на 1 из 1 в скобках, тогда можно будет выбрать конкретные межсети.
Удобный поиск снизу.
Автоматически добавляется связь с vipnet client администратора создавшего клиент и с координатором, за которым клиент заведён.
Для добавления связи нажимаем кнопку добавить, ну а для удаления кнопку удалить.
Выбираем узел для добавления в связи и нажимаем добавить. Можно поставить галочку, и при помощи поиска искать следующий, а потом добавить сразу оба.
Группы узлов полезны в больших сетях, когда нужно связывать всех новых клиентов с конкретной массой узлов сети. Про группы узлов планирую отдельную статью написать.
Пользователи - какие пользователи могут работать за этим компьютером с этим СКЗИ. И именно пользователю выдаётся пароль, а не клиенту.
Про создание клиентов с несколькими пользователями напишу отдельную статью.
Группа узлов и связи с группами узлов отличается тем, что в первом случае включается в эту группу еще и создаваемый клиент, а втором нет.
Иными словами, если нужно каждому нового пользователю добавлять одни и те же 8 узлов сети и между собой всех создаваемых клиентов не нужно связывать, тогда используем связи с группами узлов.
Раздел группы узлов позволяет включить создаваемого клиент в группу узлов, то есть каждый добавляемый клиент будет членом группы, и соответственно, они будут иметь связь между собой. Скажем, было 5 координатором и 100 новых клиентов, и всех добавили в группу узлов, тогда все эти 105 узлов друг друга видят через связи.
Роли узла - самое интересное. По умолчанию добавляется роль для ViPNet Client для Windows и обмен сообщениями. Если нужно сделать клиента не для Windows, тогда удаляем эти роли и выбираем необходимые при помощи кнопки добавить.
У многих ролей есть настройки. Добавленную роль можно выделить левой кнопкой мыши и нажать кнопку Свойства, но ограничение полномочий очень тонкий путь, по которому следует идти только если вы имеете значительный опыт администрирования ViPNet сетей, иначе ставьте максимальные. В документации на ЦУС есть про разницу полномочий, но там указано не всё, и каждый раз появляются новые косяки, из-за которых приходится проводить целое расследование.
Если после удаления дефолтных ролей нажать добавить, тогда появится окно с полным списком доступных ролей. Как видите, тут и клиент для линукс, и для андроид устройств, и для Windows (vpn-клиент).
Выбираем роль и нажимаем добавить.
Вы можете заметить, что в списке нет роли обмен сообщениями. Сначала нужно добавить роль VPN-клиент, и когда она уже добавлена, еще раз нажать добавить и только тогда можно будет выбрать дополнительные роли.
Теперь можно добавить роль для обменами сообщениями с другими узлами.
Обмен сообщениями производится через сам ViPNet client, а не деловую почту. Это другое. В самом vipnet client нажимаем по узлу правой кнопкой и выбираем пункт Послать сообщение, но нужно знать, что это не является средством гарантированной доставки сообщений, то есть если узла не было в сети долго, тогда сообщение он никогда не получит, даже когда появится в сети. С деловой почтой всё наоборот, отсутствуя неделю он включит клиент и получит все ожидающие на координаторе для него письма.
Business mail это роль деловой почты.
Адреса во внешних сетях - сложный раздел, в котором новичкам не стоит что-то крутить.
Тут можно указать IP, и тогда клиент сможет заходить в защищенную сеть только с этого IP. Однако, если изменится IP, то ты узнаешь это тогда, когда связи с узлом уже нет и менять IP в ЦУСе смысла нет, так как клиент эти изменения всё равно не получит вместе со справочниками - тут нужно будет иным доверенным каналом передавать DST-файл.
В межсетевом экране тоже не стоит ничего крутить без более глубоких знаний.
DNS-серверы. Это целая тема, и про неё напишу отдельную статью. Если они у вас уже есть и нужны этому клиенту, тогда их тут можно выбрать.
WINS-серверы. Кому нужно, тот знает. Если не знаете, значит вам точно не нужно.
По завершению настроек клиента нажимаем кнопку Ок.
При необходимости следует настроить пользователя с таким же именем, как у нашего клиента, и продублировать у него во вкладке "Связи с пользователями" все связи с узлами, с которыми настраивались связи клиента. Если этого не сделать, то выбранные с клиентом связи могут не отображаться в ViPNet Client.
Про создание пользователей напишу отдельную статью.
Когда вы закончили создавать клиентов, необходимо сформировать справочники.
Обратите внимание, что в поле Справочники и ключи написано требуется создать. Это говорит о необходимости создать справочники, иначе внесённые изменения не вступят в силу.
Нажимаем кнопку Справочники и ключи и там пункт Создать справочники.
Нажимаем создать для всего списка.
Справочники необходимо формировать для всех, кого так или иначе задевают ваши изменения.
Справочники можно создавать и отправлять отдельным узлам, но тут нужно иметь глубокие знания администрирования ViPNet сетей. Иначе можно кому-то сломать связь.
Формируются справочники.
И после создания справочников можем видеть, что теперь написано Ожидаются ключи.
Для передачи ключей нужно открыть Удостоверяющий и ключевой центр.
И тут можно заметить, что у вкладки Сетевые узлы отображается цифра - она означает количество узлов, для которых нужно передать ключи из УКЦ в ЦУС.
Переходим в сетевые узлы.
Для новых узлов пишется Требуется создать дистрибутив ключей - нажимаем по нему правой кнопкой и выбираем пункт Выдать новый дистрибутив ключей.
Электронная рулетка для запутывания данных в памяти - просто водите указателем в пределах этого окошка.
Процесс выдачи дистрибутивов - они сохраняются в заранее заданную папку - я это описывал в статье Знакомство с ViPNet Administrator 4.
После выдачи он обычно открывает папку, куда он сохраняет дистрибутив и файл к нему в формате XPS.
Теперь показывается не 3, а 2, но ключи все равно нужно передать для всех трех, иначе в цусе не будет экземпляров ключей, и он на это будет указывать.
Выделяем правой кнопкой сразу все три и нажимаем пункт Создать и передать ключи в ЦУС.
Если не передать ключи из УКЦ в ЦУС для клиента, которому мы создавали дистрибутив, тогда может отображаться примерно следующее.
Как можете видеть, в поле справочники указано, что ожидаются ключи. Проблем из-за этого не будет, по крайней мере я их не встречал, но лучше делать всё правильно, и передавать для таких узлов тоже ключи из УКЦ в ЦУС.
Возьмите за привычку после нажатия кнопки Выдать новый дистрибутив ключей нажимать следом кнопку Создавать и передать ключи в ЦУС для этого же узла.
Теперь можно отправлять справочники.
Нажимаем кнопку Справочники и ключи и потом пункт Отправить справочники и ключи.
Справочники можно отправлять отдельным узлам, но такое делать стоит только если вы уже не новичок.
По правильному следует сначала отправлять справочники клиентам, и только потом координаторам. Почему так? При кардинальных изменениях координатор может получить справочники раньше своих клиентов, и применить их, а после применения пропадёт связь с узлами и он не сможет доставить им справочники. Замкнутый круг. Ситуация конечно очень редкая, но такое бывает, особенно при смене мастер ключей, но об этом отдельно.
В некоторых случаях следует отправлять справочники с отложенным применением - как раз на случаи кардинальных изменений. Тогда абсолютно все узлы успеют получить справочники, и применят их одновременно.
Нажимаем отправить на весь список.
Видим статус отправлены.
Также статус может быть доставлены, приняты и не приняты. Про статусы уже писал в статье Знакомство с ViPNet Administrator 4.
Открывать XPS файлы можно встроенными в Windows средствами, или при помощи программы XPS View, которую можно найти на сайте КонтинентСвободы.рф.