ברוכים הבאים לאתר שלנו!

אין פריטים בסל

הוספת גישה מרחוק ו VPN

הפתרונות שלנו מציעים מספר יתרונות בהוספה של
אימות בשני גורמים והופכים אותו לחלק ופשוט .

רקע כללי

YubiRADIUS משתלב בפשטות עם תיקיות פעילות קיימות או פתרונות אימות של LDAP. כאשר משלבים YubiRADIUS אין השפעה על שיטות אימות קיימות, כך שמשתמשים יוכלו להמשיך ולהתחבר ליישומים השונים באמצעות שם המשתמש והסיסמה שלהם לאורך כל התהליך. YubiRADIUS מייבא משתמשים וקבוצות של משתמשים ממסדי נתונים AD או LDAP, ובכך מאפשר לפתרונות YubiRADIUS להשתלב במהירות ובסינכרון עם מסדי הנתונים העדכניים של המשתמשים. נוסף על כך, ניתן להוסיף בקלות מפתחות אימות של YubiKey לשירות YubiRADIUS, ולאמת אל מול שרת YubiCloud או אל מול שרת אימות פנימי. ניתן לייבא מפתח אימות YubiKey אל תוך שירות YubiRADIUS לפני שמקצים את המפתח למשתמש, ובכך מאפשרים למנהל המערכת לשמור מספק מפתחות אימות מוכנים לשימוש כגיבוי. לבסוף, ניתן להגדיר את שירות YubiRADIUS כך שיגדיר באופן אוטומטי ויקצה את מפתח ה YubiKey למשתמש הראשון שיבצע בו שימוש, ובכך משחרר את המנהל מהאחריות של הקצאת מפתחות למשתמשים והצורך המיותר במעקב אחר חלוקת החומרה, במיוחד בזמנים של פריסות עם משתמשים רבים.

דרישות מערכת

  • שער גישה מרוחק (Network Remote Access Gateway) אשר תומך בפרוטוקול RADIUS PAP
  • תיקייה פעילה / שרת LDAP
  • שרת עם מעבד אחד לפחות, 256 MB זיכרון, ו 8 GB זיכרון פנוי
  • פלטפורמט וירטואליזציה, בעלת יכולת הרצה של יישומים וירטואליים בפורמט VMWare או OVF
  • מפתחות YubiKey למנהלים ומשתמשים

איך לבצע פריסה של YubiRADIUS

YubiRADIUS שתומך באימות בשני גורמים במפתח YubiKey תוכנן להיות קל ומהיר להטמעה. בעזרת מספר שלבים, מנהל יכול לגבל גישה מרחוק או רשת VPN מאובטחת על ידי YubiRADIUS ובמפתחות YubiKey תוך מספר שעות.

הורדה של YubiRADIUS
כיצד לבצע פריסה של אימות בשני גורמים של YubiRADIUS (pdf)

אימות: YubiCloud vs אימות מקומי

לפני שמתקינים את האפליקציה YubiRADIUS, יש צורך לבחור את סוג האימות בו YubiRADIUS ישתמש במהלך אימות מפתחות YubiKey. יש שתי אפשרויות, שירות האימות על גבי שרת של Yubico שנקרא YubiCloud, או שרת אימות מקומי.

שירות האימות של YubiCloud:

  • מושלם לפריסה ושילוב מהיר ומתאים במיוחד לרשתות עם חיבור לאינטרנט
  • אין צורך להגדיר שרת אימות מקומי
  • מפתחות האימות של YubiKey עובדים בדיוק כפי שהם הגיעו, אין צורך בהגדרות נוספות
  • מפתחות האימות של YubiKey יעבדו עם כל השירותים הנתמכים ב YubiCloud
  • שירות אבטחה מאובטח באמת, בעל יתירות , אשר לא הפסיק לתת שירות או נפרץ מאז שהושק.
  • יש צורך בגישה לרשת לשרת של YubiRADIUS, יהיה צורך להגדיר חומת אש על מנת לאפשר תקשורת

שרת אימות מקומי:

  • מאפשר למנהל לקבל שליטה מלאה בכל התהליכים המתרחשים ב YubiRADIUS שלהם
  • מושלם עבור רשתות בו החיבור לאינטרנט לא קיים או שאינו מורשה
  • כל המפענחים שמזהים כל מפתח YubiKey נשארים בשליטה הבלעדית של מנהל הרשת
  • מתאים לסביבות בהן האבטחה נשמרת כל הזמן
  • תומך בהתקן YubiHSM כדי להוסיף אבטחה להצפנה של מפתחות ה YubiKey
  • מנהל המערכת יצטרך להגדיר וליבא הגדרות של כל מפתח YubiKey שיהיה בשימוש ב YubiRADIUS.

הקצאת משאבים ויתירות של מפתח YubiKey

YubiRADIUS יפרס כדי לאבטח בהתאמה לרמת הסיבוכיות של הרשת, וניתן להתאים את ה YubiRADIUS כל שיתאים למדיניות אבטחה ויתירות שהוגדרו מראש. כאשר הוגדר, YubiRADIUS יוכל ליבא משתמשים , קבוצות של משתמשים וארגונים מתיקייה פעילה או שרת LDAP. ניתן לקשר מפתח YubiKey מסויים למשתמש מסויים, ובכך ליצור את שיטת האימות השניה, שמבוססת על חומרה.

YubiRADIUS מאפשר למנהל לקשר באופן ידני מפתח YubiKey מסויים לחשבון נבחר,אם יש צורך בבקרה ושליטה על רכיבי החומרה (tokens). במידת הצורך, ניתן להגדיר כך שתתבצע הקצאה אוטומטית של מפתחות YubiKey, כך שכל מפתח יקושר לחשבון של המשתמש הראשון שביצע בעזרתו אימות. מנהל המערכת יכול להגדיר זאת בהתאמה למידת השליטה והבקרה עליה הוא רוצה לשמור.

במקרה ויש צורך של YubiRADIUS יהיה זמן מינימלי של downtime, משתמשים יכולים להגדיר מצב יתירות של YubiRADIUS. במקרה ובוצעו הגדרות אלה, כל מופע של שרת שומר על עדכון אוטומטי של כל שאר המופעים, וכך, במקרה ויש מופע שרת שאינו מתפקד השרתים האחרים יוכלו להמשיך ולספק שירות מלא.

התקנה של YubiRADIUS

לאחר שהגדרנו כיצד YubiRADIUS יותאם לרשת, ההתקנה עצמה מאוד ישירה. משתמשים יכולים להוריד את פורמט התאימות המתאים להם של השרת הוירטולי של YubiRADIUS. לאחר ההורדה, המשתמש צריך להגדיר את השרת הוירטולי של YubiRADIUS עם כתובת IP סטטית, ולאחר מכן לגשת להגדרות YubiRADIUS בעזרת ממשק מבוסס דפדפן. משם, המשתמש יוכל להגדיר כי הוא יתקשר עם התיקייה הפתוחה או שרת ה LDAP, ממנו יבצע ה YubiRADIUS ייבוא, להגדיר אותו לאמת מפתחות YubiKey באמצעות ה YubiCloud או שרת אימות מקומי, שרת שכבר הוגדר מראש, ולייבא מפתחות YubiKeys.

לאחר שהותקן, YubiRADIUS מציע את כלי הבדיקה RADTest - מאפשר למנהל לוודא שה YubiRADIUS מאמת את הסיסמאות החד פעמיות של מפתחות ה YubiKey, מקשר באופן תקין בין מפתחות אימות לחשבונות וכי מציג את המצב העדכני של כל מפתח YubiKey ומצב חשבון המשתמש, כאשר מפתחות אימות לא פעילים או חשבונות לא פעילים לא יאומתו. YubiRADIUS יעדכן באופן אוטומטי את נתוני המשתמש מהתיקייה הרלוונטית או שרת LDAP, ויוודא סנכרון עם שאר הרשת.

לאחר שה YubiRADIUS הוגדר בצורה נכונה, כל שנשאר לעשות הוא להגדיר את הגישה מרחוק עבור הרשת של RADIUS. וזה תלוי בשער בו משתמשים עבור הגישה מרחוק, ולשם כך יש הסבר או דוקומינטציה שמקושרת למכשיר או לשירות.