更新时间:2023-05-05
为实现章节7.4.3.开头所述的效果,现按照下述流程开始进行配置。
步骤1、aTrust获取定制包,并完成定制包的升级操作。登录零信任aTrust控制台,进入[系统管理/特性中心]处开启“一体化终端”和“桌面云应用”这两个特性。
步骤2、在VDC控制台[系统设置/接入选项/第三方设备/深信服零信任设备]处点击<联动码设置>,如下图所示,填写好设备名称和设备地址(VDC本机IP及端口),然后点击<生成联动码>并复制好联动码。联动码存在24小时的有效期,仅能使用一次。
:
在VDC设备上生成联动码时,填写“设备地址”有以下几个方面需要注意:
aTrust设备可以通过联动码读取出VDC设备的通讯地址和端口(实际是VDI用户的认证接入地址和端口)。
当VDI的用户接入地址使用443端口时,在联动码设置处填写的“设备地址”可以不带端口号。
如果VDI用户的接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:4431时,则“设备地址”处应填1.1.1.1:4431。
如果aTrust设备使用公网IP为源的方式访问VDC的时(即VDC和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),那么在VDC上生成联动码时,“设备地址”处应填写VDC设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431。
一个联动码仅能使用一次。
然后将联动码复制保存好。
步骤3、在aTrust控制台[安全中心/深信服联动设备]处点击<新增联动设备>,输入步骤2中获取到的联动码。
输入联动码后,点击<读取设备联动信息>,确认读取到的信息无误后,填写本机联动IP(aTrust控制中心或综合网关设备的用户接入地址及端口),然后点击<保存>。
:
aTrust设备的“本机联动IP”填写规范和步骤2中所述的注意事项的第2、3、4点一致。
如果aTrust用户的接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:4431时,则“设备地址”处应填1.1.1.1:4431。
如果aTrust设备使用公网IP为源的方式访问VDC的时(即VDC和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),那么在aTrust上生成联动码时,“设备地址”处应填写aTrust设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431。
联动完成后,可以点击<连通性测试>,确保连通性正常。
步骤4、在aTrust控制台[业务管理/应用管理/应用列表]点击<新增>。
访问模式选择桌面云,并填写[应用属性]中的名称、分类、所述区域节点等信息(具体配置方法可参考章节5.3.1的内容)。
在应用的[基础配置]中,输入VDC的用户登录地址和端口、VMP设备地址及端口(本案例中,VDC设备做了对VMP的强制代理,因此无需填写VMP设备的IP和端口),并将VDC的用户登录URL填写到[VDC访问入口]处。
在应用的[单点登录]中,复制其中的APP ID和APP Secret。在确保应用的其它配置都正常的情况下,最后点击<保存>完成配置。
步骤5、登录VDC控制台界面,在[VDI设置/认证设置/单点登录认证/深信服零信任认证]处点击的<设置>,填入aTrust的控制中心的设备IP地址及用户认证端口(互联网互访的场景下,填写公网IP及端口)、步骤4中获取到的APP ID和APP Serect,然后点击<测试连接>,验证连接正常后点击<保存>。
步骤6、在aTrust控制中心和VDC上创建同名的用户(也可从同一LDAP导入用户),确保用户名一致即可,密码可以不一致。然后VDC需要给该账号分配好虚拟机资源。而aTrust设备需要把步骤4中创建的aTrust应用授权给该账号。
:
1)VDC 本地用户场景:aTrust 上需创建与 VDC 本地用户同名的本地账户,密码可不保持一致;
2)域用户场景:aTrust 与 VDC 均需要保证对接同一套域控,域用户不同步到 VDC 本地时,可组映射与角色映射实现对用户资源的分配管理,域用户同步到本地时, 只能基于用户与用户组的角色授权实现资源分配关联,组映射与角色映射失效;
3)其余外部用户(如 radius 用户):aTrust 与 VDC 均需要将用户导入到本地,保证 VDC 本地有与 aTrust 认证用户相同的账号或者组织结构,才可正常联动登录并获取 VDI 资源信息。
步骤7、在[业务管理/策略管理/用户策略]处,给测试用户新增一条用户策略,在其中开启桌面云联动。
至此服务端的配置完成。