IGEL Cloud Gateway 1.01.100
IGEL Technology GmbH
IGEL Cloud Gateway
09.03.2017
Inhaltsverzeichnis Überblick......................................................................................................................................................................4 1.1. 1.2. 1.3.
ICG-Standort im Netzwerk ............................................................................................................. 4 TLS-/SSL-Zertifikate ........................................................................................................................ 5 Unterstützte Funktionen................................................................................................................ 6
Installation ...................................................................................................................................................................7 1.4. 1.5. 1.6. 1.7. 1.8.
Installationsvoraussetzungen ........................................................................................................ 7 Virtuelle Appliance in Betrieb nehmen .......................................................................................... 8 SSH-Zugang .................................................................................................................................... 9 ICG installieren ............................................................................................................................... 9 ICG lizenzieren..............................................................................................................................10
Administration ............................................................................................................................................................11 1.9. Verwendete Netzwerk-Ports .......................................................................................................11 1.10. ICG-Daemon steuern....................................................................................................................11 2.
Index ...............................................................................................................................................................12
Formatierungen und Bedeutung Folgende Formatierungen werden im Dokument verwendet: Hyperlink
interne oder externe Verlinkungen
Eigennamen
Eigennamen von Produkten, Firmen usw.
GUI-Text Menü > Pfad
Textelemente aus der Benutzeroberfläche
Eingabe
Programm-Code oder Systemeingaben
Tastatur
Kommandos, die man über die Tastatur eingibt
Menü-Pfade in Systemen und Programmen
Aktiviertes Kontrollkästchen
Deaktiviertes Kontrollkästchen
Version 5.03.100
Firmwareversion
Verweis auf andere Textstellen im Handbuch oder auf weitere eDocs-Artikel. Hinweis zur Bedienung
Warnung: Wichtiger Hinweis zur dringenden Beachtung
3 IGEL Technology GmbH
IGEL Cloud Gateway
Überblick IGEL Cloud Gateway (ICG) erweitert die Universal Management Suite (UMS) um die Möglichkeit, Geräte außerhalb des Firmennetzwerks sicher zu verwalten.
ICG-Standort im Netzwerk TLS-/SSL-Zertifikate
4
5
Unterstützte Funktionen
5
1.1. ICG-Standort im Netzwerk IGEL Cloud Gateway (ICG) stellt die Verbindung zwischen Thin Client und UMS her, die sich beide in privaten Netzwerken befinden. Es gibt zwei vorgesehene Standorte für ICG: ICG in der Demilitarized Zone (DMZ) des Unternehmensnetzwerks
Abbildung 1: ICG in the DMZ
4 IGEL Technology GmbH
IGEL Cloud Gateway
ICG im Internet (z.B.: bei einem Cloud-Dienstleister)
Abbildung 2: IGEL Cloud Gateway Topology
1.2. TLS-/SSL-Zertifikate IGEL Cloud Gateway verwendet TLS/SSL-Zertifikate, um verschlüsselte Verbindungen von UMS und IGEL Linux anzunehmen sowie um diese Gegenstellen zu authentifizieren. Aus diesem Grund benötigt ICG bei der Installation einen privaten Schlüssel für den Server sowie ein X.509v3-Server-Zertifikat. Beide müssen im Format PEM (ASCII-kodiert) vorliegen. Weitere Informationen zu Zertifikaten sowie eine Anleitung, um bei Bedarf selbst welche zu generieren, finden Sie in der Best Practice Installing and Configuring IGEL Cloud Gateway
5 IGEL Technology GmbH
IGEL Cloud Gateway
1.3. Unterstützte Funktionen ICG unterstützt die folgenden Funktionen der Universal Management Suite (UMS): • • • • • • • • • • • • • • • • •
Endgeräte via ICG an UMS registrieren Firmware der Endgeräte registrieren Einstellungen beim Booten des Endgeräts in beide Richtungen übertragen Löschen Standbymodus Herunterfahren Neustart Update & Snapshot Kommanndos > Update Update & Snapshot Komandos > Update beim Herunterfahren Weitere Thin Client Befehle > Nachricht senden Weitere Thin Client Befehle > Einstellungen UMS -> TC Weitere Thin Client Befehle > Einstellungen TC -> UMS Weitere Thin Client Befehle > Lizenzinformationen aktualisieren Weitere Thin Client Befehle > Systeminformation aktualisieren Dateiübertragung UMS -> Endgerät (außer Firmwareanpassung > Hintergrundbild, Firmwareanpassung > Bootsplash) UDC3-Lizenz an ein Endgerät übertragen mit System > Lizenzen verwalten > Hinzufügen (+) (Anmerkung: *.lic-Datei muss von einem lokalen Laufwerk des UMS-Systems hinzugefügt werden.) Shared Workplace (SWP)
6 IGEL Technology GmbH
IGEL Cloud Gateway
Installation Installationsvoraussetzungen
7
Virtuelle Appliance in Betrieb nehmen 7 SSH-Zugang
8
ICG installieren 9 ICG lizenzieren 10
1.4. Installationsvoraussetzungen IGEL Cloud Gateway können Sie auf zwei unterschiedliche Weisen installieren: •
•
auf der von IGEL bereitgestellten ICG Virtual Appliance version 1.01.110, die Sie auf einer Virtualisierungslösung betreiben (VMware Workstation, VMware vCenter, VMware ESXi oder Oracle Virtual Box) auf einem anderen, virtualisierten oder physischen Linux-System, sofern es folgende Anforderungen erfüllt: -
Architektur x86_64 Debian 8.6 oder Ubuntu 16.04 mindestens 2 GB RAM folgende Pakete sind installiert: openssl dialog super uuid-runtime
7 IGEL Technology GmbH
IGEL Cloud Gateway
1.5. Virtuelle Appliance in Betrieb nehmen Die Virtuelle Appliance im OVA-Format können Sie in folgende Virtualiserungslösungen importieren: • • • •
VMware Workstation VMware vCenter VMware ESXi Oracle VirtualBox
So nehmen Sie die Virtuelle Appliance in Betrieb: 1. Importieren Sie die Virtuelle Appliance. 2. Stellen Sie sicher, dass sie als 64-Bit Linux-VM erkannt wurde. 3. Starten Sie die VM. 4. Öffnen Sie eine Konsole auf der VM. 5. Melden Sie sich als root mit dem voreingestellten Passwort usgIGEL1123 an. Die Virtuelle Appliance verwendet standardmäßig die US-amerikanische Tastaturbelegung. Sie finden eine Abbildung dieser Belegung auf Wikipedia (https://en.wikipedia.org/wiki/British_and_American_keyboards#/media/File:KB_United_States -NoAltGr.svg). Mit dem Kommando loadkeys laden Sie temporär eine andere Tastaturbelegung: loadkeys de # Deutsch loadkeys fr # Französisch loadkeys es # Spanisch loadkeys sg # Deutsch (Schweiz) Mit dem Kommando dpkg-reconfigure keyboard-configuration kommen Sie zu einem Dialog, in dem Sie die Tastaturbelegung permanent ändern können. 6. Ändern Sie das Root-Passwort mit dem Kommando passwd und bewahren Sie das selbst gesetzte Passwort sicher auf. 7. Ändern Sie das Passwort des Benutzers für den SSH-Zugang (Seite 8) mit dem Kommando passwd sshuser und bewahren Sie das selbst gesetzte Passwort sicher auf. Sie befinden sich nun in /root/, dem Home-Verzeichnis des Benutzers Root. Dort finden Sie: -
installer-[version].bin: Die Installationsdatei für ICG certificate/: Ein Verzeichnis zum Generieren und Aufbewahren von Zertifikaten und Schlüsseln.
8 IGEL Technology GmbH
IGEL Cloud Gateway
1.6. SSH-Zugang Die virtuelle Appliance besitzt einen nicht-privilgierten Benutzer, der für den Zugang per SSH vorgesehen ist. Root darf sich nicht per SSH anmelden. Um Root-Zugriff zu erhalten, melden Sie sich als sshuser an und werden Sie mit dem Kommando su zu Root. So verwenden Sie den SSH-Zugang: Von einem Linux/Unix-Rechner aus
1. Öffnen Sie einen Terminalemulator 2. Führen Sie das Kommando ssh sshuser@[IP-Adresse] aus 3. Geben Sie das Passwort für sshuser ein.
Von Windows aus: Verwenden Sie einen SSH-fähigen Terminalemulator wie z.B. PuTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/). Das voreingestellte Passwort für sshuser lautet he12dgeh0g Ändern Sie es jedoch sofort, wenn Sie die Virtuelle Appliance in Betrieb nehmen (Seite 7)!
1.7. ICG installieren So installieren Sie IGEL Cloud Gateway: 1. Melden Sie sich auf der Konsole der Virtual Appliance oder Ihres Linux-Systems als root an. Wenn Sie die aktuelle Virtual Appliance verwenden, finden Sie im Home-Verzeichnis von Root den aktuellen ICG-Installer installer-[version].bin.
2. Falls Sie auf einem anderen Linux-System installieren oder einen neueren ICG-Installer wünschen, laden Sie den Installer vom IGEL-Download-Server herunter und platzieren Sie die Datei im Home-Verzeichnis von Root. 3. Machen Sie den Installer mit folgendem Kommando ausführbar: chmod u+x installer-[version].bin 4. Starten Sie den Installer mit folgendem Kommando: ./installer-[version].bin [Dateipfad zum Server-Zertifikat] [Dateipfad zum privaten Schlüssel des Servers] Eine Konsolenanwendung führt Sie durch die Installation. 5. Geben Sie den Installationspfad ein. (Standard: /opt/IGEL/icg) 6. Geben Sie die Passphrase für den privaten Schlüssel des Servers ein, falls dieser mit einer Passphrase geschützt ist.
9 IGEL Technology GmbH
IGEL Cloud Gateway
Der Installer konfiguriert und startet den Tomcat-Server des ICG. Dabei zeigt er Umgebungsvariablen sowie das Einmalpasswort für die UMS-Verbindung an. Diese Ausgaben finden Sie auch später noch in der Datei /var/log/icg_install.log. 7. Notieren Sie das Einmalpasswort, da Sie es für die Verbindung von UMS zu ICG benötigen. Sie finden es auch später noch in der Datei [Installationspfad]/apache-tomcat-[version]/logs/ums_one_time_password .log.
1.8. ICG lizenzieren Lesen Sie die Best Practice Licensing ICG (http://edocs.igel.com/index.htm#12694.htm).
10 IGEL Technology GmbH
IGEL Cloud Gateway
Administration Verwendete Netzwerk-Ports ICG-Daemon steuern
11
11
1.9. Verwendete Netzwerk-Ports ICG nimmt eingehende Verbindungen auf dem TCP-Port 8443 an, sowohl von UMS als auch von Endgeräten.
1.10. ICG-Daemon steuern ICG wird automatisch bei Booten des Systems gestartet sowie unmittelbar nach seiner Installation. Im Betrieb können Sie ICG mit den folgenden Kommandos steuern. Verwenden Sie exklusiv Systemd- oder SysVInit-Kommandos. Beispielsweise können Sie einen mit Systemd gestarteten ICG-Prozess nicht mit einem SysVInit-Kommando neu starten. Auch wenn die Kommandos rasch ablaufen, benötigt ICG im Hintergrund etwa 10 bis 15 Sekunden, um beispielsweise zu starten oder anzuhalten.
Auf der Virtual Appliance und andere Installationen mit Systemd (empfohlen) Führen Sie diese Kommandos als Root aus: • • • •
ICG-Status anzeigen: systemctl status tomcat ICG starten: systemctl start tomcat ICG neu starten (nach Konfigurationsänderungen): systemctl restart tomcat ICG anhalten: systemctl stop tomcat
Auf Systemen mit SysVInit Führen Sie diese Kommandos als Root aus: • • •
ICG starten: /etc/init.d/tomcat start ICG neu starten (nach Konfigurationsänderungen): /etc/init.d/tomcat restart ICG anhalten: /etc/init.d/tomcat stop
11 IGEL Technology GmbH
IGEL Cloud Gateway
2.
Index
A Administration ....................................................11 F Formatierungen und Bedeutung .......................... 3 I ICG installieren ..................................................... 9 ICG lizenzieren ....................................................10 ICG-Daemon steuern ..........................................11 ICG-Standort im Netzwerk.................................... 4 Installation ............................................................ 7 Installationsvoraussetzungen ............................... 7 S SSH-Zugang ........................................................... 9 T TLS-/SSL-Zertifikate............................................... 5 U Überblick............................................................... 4 Unterstützte Funktionen ...................................... 6 V Verwendete Netzwerk-Ports ..............................11 Virtuelle Appliance in Betrieb nehmen ................ 8
12 IGEL Technology GmbH
IGEL Cloud Gateway
