Konfigurieren der Ivanti Cloud Services Appliance
Die Ivanti Cloud Services Appliance (CSA) ist eine Internet-Appliance, die für sichere Kommunikation und Funktionalität über das Internet sorgt. Sie erfüllt die Aufgabe eines Treffpunktes, an dem Konsole und verwaltete Geräte über ihre Internet-Verbindungen miteinander verbunden sind – sogar dann, wenn sie sich hinter Firewalls befinden oder über einen Proxy auf das Internet zugreifen.
Dieses Thema befasst sich mit folgenden Punkten:
- Konfigurieren des Coreservers für die Verwendung einer Cloud Services Appliance
- Verwalten von Clientzertifikaten
- Erstellen eines bedarfsgesteuerten Pakets für den Remotesteuerungsagenten
Zusätzliche Informationen zur CSA finden Sie in den CSA-Artikeln der Ivanti Community:
- Bewährtes Verfahren zum Installieren und Konfigurieren der LANDesk Cloud Service Appliance
- Anleitung zum Hinzufügen eines Drittanbieterzertifikats zu einer Cloud Service Appliance
- Informationen zur Ivanti Cloud Services Appliance
Verwenden mehrerer Cloud Services Appliances
Sie können mehrere Cloud Services Appliances (CSAs) installieren. Die Zielsetzung dabei könnte beispielsweise sein, einen Ausgleich der Workloads bei den CSAs zu erreichen. Wenn Sie den Coreserver so konfigurieren, dass er mehrere CSAs verwendet, können verwaltete Geräte jede der konfigurierten CSAs zum Herstellen einer Verbindung zum Core nutzen. Welche CSA ein verwaltetes Gerät nutzt, hängt davon ab, welche CSA in der Agentenkonfiguration des betreffenden Geräts angegeben ist. Es gibt kein automatisches Load Balancing oder Failover. Um einen Ausgleich bei den CSA-Lasten zu erreichen, erstellen Sie eine benutzerdefinierte Agentenkonfiguration für jede CSA und stellen diese Agentenkonfigurationen dann selektiv bereit.
Konfigurieren des Coreservers für die Verwendung einer Cloud Services Appliance
Die Cloud Services Appliance (CSA) kann separat als Abbild einer virtuellen VMware-Maschine erworben werden. Nach der Installation einer CSA müssen Sie den Core so konfigurieren, dass er sie nutzt.
Die Option Konfigurieren > Cloud Services Appliances verwalten ist nur auf der Managementkonsole des Coreservers verfügbar. Auf zusätzlichen Konsolen steht diese Option nicht zur Verfügung. Eine CSA-Konfiguration kann nur von Benutzern mit der Berechtigung eines Ivanti Administrators geändert werden.
So verbinden Sie eine Cloud Services Appliance mit dem Coreserver
- Klicken Sie auf der Managementkonsole des Coreservers auf Konfigurieren > Cloud Services Appliances verwalten.
- Geben Sie auf der Registerkarte Cloud Services Appliances die CSA-Informationen an.
- Wenn die CSA eine interne Adresse verwendet, die sich von ihrer öffentlichen Adresse unterscheidet (wenn sie sich z. B. in einer DMZ-Umgebung befindet), geben Sie den Internen Namen der CSA und die Interne IP-Adresse der CSA an.
- Wenn der Core über einen Proxy mit der CSA verbunden wird, wählen Sie Proxy verwenden aus und geben die Proxyeinstellungen an.
- Klicken Sie auf Übernehmen. Wenn die CSA-Einstellungen stimmen, erscheint die neue CSA in der Liste.
Sie können auch eine beliebige CSA aus der Liste auswählen und die zugehörigen Einstellungen auf der rechten Seite ändern. Wenn Sie Ihre Änderungen abgeschlossen haben, klicken Sie auf Übernehmen. Der Coreserver stellt dann die Verbindung zur CSA her und nimmt seine Registrierung vor, indem er das Core-Sicherheitszertifikat auf der CSA installiert.
Verwalten von Clientzertifikaten
Jedes verwaltete Gerät muss über ein gültiges digitales Zertifikat verfügen, damit es über die CSA eine Verbindung herstellen kann. Wenn für den Core die Einstellung "Clientzertifikatbasierte Sicherheit" aktiviert ist, benötigen Ivanti Agenten auf verwalteten Geräten auch ein gültiges Zertifikat, um sichere Core-Daten zu entschlüsseln. Diese Zertifikate werden bei der Agenteninstallation automatisch generiert und auf den Standardwert "Nicht genehmigt" gesetzt, um eine Kommunikation durch die CSA und die sichere Entschlüsselung von Core-Daten zu verhindern.
Sie können die Geräteliste mit den gewährten Zertifikaten verwalten, indem Sie diese Gerätezertifikate blockieren oder löschen. Verwenden Sie das Feld "Suchen", um die Liste zu filtern.
Genehmigen Sie Gerätezertifikate, um den CSA-Zugriff und die sichere Entschlüsselung von Core-Daten zuzulassen. Sie werden standardmäßig vom Coreserver benachrichtigt, wenn die Anzahl der nicht genehmigten Zertifikate 10 oder mehr beträgt. Sie können diese Benachrichtigung unten im Dialogfeld anpassen oder deaktivieren.
Blockieren Sie ein Gerätezertifikat, damit es die CSA nicht mehr zur Kommunikation mit dem Coreserver oder zur Entschlüsselung von sicheren Core-Daten verwendet. Sie können es später wieder freigeben, wenn Sie den Zugriff wiederherstellen möchten.
Wenn Sie ein Gerätezertifikat löschen, wird es aus der Liste entfernt. Das Zertifikat verbleibt auf dem Gerät. Wenn dieses Gerät später versucht, die Verbindung wiederherzustellen, oder einen Sicherheitsscan ausführt (und somit einen erneuten Verbindungsversuch auslöst), wird es erneut in der Liste angezeigt.
Blockierte oder gelöschte Geräte können immer noch mit dem Coreserver kommunizieren, sofern sie sich im selben Netzwerk wie der Coreserver befinden und im Extra "Agenteneinstellungen" unter Einstellungen für die Clientkonnektivität die Option Verbindungsroute dynamisch bestimmen ausgewählt ist.
Es gibt auch die Option Neue Zertifikate automatisch genehmigen. Diese Option wird nicht empfohlen, weil sie allen neuen Geräten Zugriff auf den Core gewährt. In bestimmten Fällen können Administratoren diese Option jedoch für kurze Zeit verwenden, etwa zur Registrierung einer größeren Anzahl von Geräten.
So genehmigen, blockieren oder löschen Sie Gerätezertifikate
- Klicken Sie auf der Managementkonsole des Coreservers auf Konfigurieren > Cloud Services Appliances verwalten.
- Wählen Sie auf der Registerkarte Clientzertifikate verwalten die Geräte aus, die Sie genehmigen, blockieren oder löschen möchten. Mithilfe von Umschalt + Mausklick oder Strg + Mausklick können Sie mehrere Geräte gleichzeitig auswählen.
- Klicken Sie auf Ausgewählte genehmigen, um die ausgewählten Gerätezertifikate zu genehmigen.
- Klicken Sie auf Ausgewählte blockieren, um die ausgewählten Gerätezertifikate zu blockieren.
- Klicken Sie auf Ausgewählte löschen, um die ausgewählten Geräte-Zertifikate vom Coreserver zu löschen.
- Wenn Sie fertig sind, klicken Sie auf Übernehmen.
Erstellen eines bedarfsgesteuerten Pakets für den Remotesteuerungsagenten
Sie können ein bedarfsorientiertes, von einem Agenten ausführbares Remotesteuerungspaket erstellen, das von Geräten heruntergeladen werden kann, die nicht für die Verbindung über die CSA konfiguriert wurden. Dadurch können diese remote über die CSA gesteuert werden.
Der herunterladbare Remotesteuerungsagent umfasst zwei Komponenten:
- die CSA, die Sie verwenden möchten
- die Datei mit den Remotesteuerungseinstellungen, die angeben, welche Remotesteuerungsfunktionen zulässig sind.
Wenn Sie ein Remotesteuerungspaket erstellen, müssen Sie sicherstellen, dass Sie in den Sicherheitseinstellungen entweder Lokale Vorlage oder Windows NT-Sicherheit auswählen. Die CSA bietet keine Unterstützung für Integrierte Sicherheit.
So erstellen Sie ein bedarfsgesteuertes Paket für den Remotesteuerungsagenten
- Klicken Sie auf Konfigurieren > Cloud Services Appliances verwalten.
- Wählen Sie auf der Registerkarte Remotesteuerungsagent die CSA und das Profil für die Remotesteuerungseinstellungen aus, die Sie verwenden möchten.
- Klicken Sie auf Erstellen.
- Geben Sie den gewünschten Speicherort für den Remotesteuerungsagenten an.
- Klicken Sie auf Speichern.
Nachdem Sie den Remotesteuerungsagenten erstellt haben, können Sie ihn auf einem USB-Laufwerk verteilen oder an einem Speicherort bereitstellen, auf den verwaltete Geräte Zugriff haben und ihn herunterladen können.