Конфигурация Ivanti CSA

Устройство Ivanti CSA (Cloud Services Appliance) - это Интернет-устройство, которое обеспечивает безопасное взаимодействие и функции через Интернет. Оно действует как "место встречи", где консоль и управляемые устройства соединяются через свои Интернет-подключения, даже если они находятся за брандмауэром или используют прокси-сервер для доступа в Интернет.

В этом разделе вы изучите следующее:

• Конфигурация главного сервера для использования устройства облачных услуг
• Управление сертификатами клиентов
• Создание пакета агента удаленного управления "по требованию"

Посетите в Сообществе пользователей Ivanti раздел статей о CSA для получения дополнительной информации об устройствах CSA:

• Популярный метод установки и конфигурации устройства LANDesk CSA (Cloud Service Appliance)
• Добавление сертификата сторонней компании в CSA
• Информация об Ivanti CSA

Использование нескольких устройств облачных услуг

Можно установить несколько устройств CSA. Например, вы можете сделать это, чтобы помочь сбалансировать загрузку CSA. После конфигурации главного сервера с несколькими устройствами CSA управляемые устройства могут использовать любое сконфигурированное устройство CSA для подключения к главному серверу. Использование управляемого с помощью CSA устройства зависит от указанного в конфигурации его агента устройства CSA. В этом случае нет средства для регулировки баланса загрузки или защиты от сбоев. Если вы хотите сбалансировать загрузку CSA, создайте пользовательские конфигурации агентов для каждого устройства CSA и выборочно разверните их.

Конфигурация главного сервера для использования устройства облачных услуг

Устройство CSA (Cloud Services Appliance ) доступно для покупки отдельно в виде образа виртуальной машины VMWare. После установки устройства CSA вы должны сконфигурировать для его использования главного сервера.

Параметр Конфигурация > Управлять устройствами облачных услуг (Configure > Manage Cloud Services Appliances) доступен только на консоли управления главного сервера. Дополнительные консоли не имеют этой возможности. Только пользователи с правами администратора Ivanti могут изменять конфигурацию устройств CSA.

Для подключения устройства облачных услуг к главному серверу:

1. На консоли управления главного сервера щелкните Конфигурация > Управлять устройствами облачных услуг (Configure > Manage Cloud Services Appliances).
2. На вкладке Устройства облачных услуг (Cloud Services Appliances) укажите информацию CSA.
3. Если устройство CSA использует внутренний адрес, отличающийся от публичного адреса (например, если шлюз расположен в среде, подобной DMZ-сети), выберите Внутреннее имя CSA (CSA internal name) и Внутренний IP-адрес CSA (CSA internal IP address).
4. Если главный сервер будет связываться с CSA через прокси, выберите Использовать прокси (Use proxy) и укажите параметры прокси.
5. Нажмите Применить (Apply). Если настройки CSA действительны, новое устройство CSA появится в списке.

Вы также можете выбрать любое устройство CSA в списке и справа изменить его настройки. Щелкните Применить (Apply) после завершения изменений. После этого главный сервер подключится к устройству CSA и зарегистрируется в нем с установкой сертификата безопасности главного сервера.

Управление сертификатами клиентов

Для связи через шлюз CSA каждое управляемое устройство должно иметь действующий цифровой сертификат. Если на вашем главном сервере включена система безопасности клиентов на основе сертификатов, агенты Ivanti на управляемых устройствах должны также иметь действительные сертификаты для расшифровки данных, получаемых из главных серверов. Эти сертификаты создаются автоматически во время установки агента, но они по умолчанию имеют неутвержденное состояние, которое не дает возможности взаимодействия, используя CSA и безопасное шифрование данных главного сервера.

Вы можете управлять списком устройств, которым были назначены сертификаты, с помощью блокировки или удаления этих сертификатов устройств. Используйте поле поиска для упрощения фильтрации списка.

Утвердите сертификаты устройства, чтобы открыть доступ к CSA и безопасному шифрованию данных главного сервера. Главный сервер по умолчанию имеет установки для отправки оповещения в случае появления 10 или более неутвержденных сертификатов. Вы можете настроить или отключить это оповещение в нижней части диалога.

Заблокируйте устройство для его временной остановки и прекращения использования им устройства CSA и взаимодействия с главным сервером или расшифровки данных главного сервера. Вы можете позже разблокировать его, если вам нужно восстановить доступ.

Если вы удалите сертификат устройства, он будет удален из списка. Сам сертификат остается на устройстве. Если в дальнейшем устройство попытается выполнить подключение или будет выполнено сканирование безопасности (которое активируется при попытке восстановления подключения), он вновь будет отображен в списке.

Блокированные или удаленные устройства могут продолжать взаимодействовать с главным сервером, если они находятся с ним в одной сети, и параметр Динамическое определение маршрута подключения (Dynamically determine connection route) установлен в средстве настроек агентов в области Настройки подключения клиента (Client connectivity settings).

Также существует параметр для автоматического утверждения сертификатов (Automatically approve new certificates). Использование этого параметра не рекомендуется, так как он отрывает всем новым устройствам доступ к главному серверу. Однако в некоторых случаях администраторы могут активировать его на короткое время, например, во время выполнения подписки большого числа устройств.

Для утверждения, блокировки или удаления сертификатов устройств:

1. На консоли управления главного сервера щелкните Конфигурация > Управлять устройствами облачных услуг (Configure > Manage Cloud Services Appliances).
2. На вкладке Управление сертификатами клиентов (Manage client certificates) выберите устройства, которые нужно блокировать или удалить. Для выбора нескольких устройств щелкните их мышью, одновременно удерживая нажатой клавишу SHIFT или CTRL.
3. Нажмите Утвердить выбранные (Approve selected) для утверждения выбранных сертификатов устройств.
4. Нажмите Блокировать выбранные (Block selected) для блокирования выбранных сертификатов устройств.
5. Нажмите Удалить выбранные (Delete selected) для удаления выбранных сертификатов из главного сервера.
6. После завершения нажмите Применить (Apply).

Создание пакета агента удаленного управления "по требованию"

Вы можете создать модуль исполняемого пакета агента удаленного управления "по требованию". Он может быть загружен устройствами, для которых не настроены параметры подключения через устройство CSA. Это позволяет осуществлять удаленное управление этими устройствами через CSA.

Существует две части загружаемого файла агента удаленного управления:

• CSA, которое нужно использовать.
• Файл настроек удаленного управления с включенными функциями удаленного управления.

Во время создания пакета удаленного управления убедитесь, что в диалоге Настройки безопасности (Security settings) установлено Локальный шаблон (Local template) или Безопасность Windows NT (Windows NT security). Устройство CSA не поддерживает интегрированную систему безопасности.

Для создания пакета агента удаленного управления "по требованию" выполните следующие действия:

1. Щелкните Конфигурация > Управлять устройствами облачных услуг (Configure > Manage Cloud Services Appliances).
2. На вкладке Агент удаленного управления (Remote control agent) выберите устройство CSA и профиль настроек удаленного управления, которые нужно использовать.
3. Нажмите Создать (Create).
4. Укажите место для сохранения агента удаленного управления.
5. Нажмите Сохранить (Save).

После создания агента удаленного управления можно распространить его на устройстве USB или отправить в доступное место, откуда оно будет загружаться управляемыми устройствами.