Dit artikel is een handleiding voor het opzetten van IGEL Cloud Gateway in je omgeving. Onderstaande overzicht laat je toe om snel naar een specifiek onderdeel te springen.
Wat is IGEL Cloud Gateway?
Als je beschikt over IGEL thin clients en UMS, kan je dankzij IGEL Cloud Gateway – ICG – je endpoints ook buiten de bedrijfsperimeter op dezelfde eenvoudige en veilige manier beheren als de endpoints die binnen de LAN kantoor omgeving staan. ICG vormt de brug tussen je remote, internet connected endpoints en de UMS server in je corporate netwerk.
In deze blog leg ik stap voor stap uit hoe je de ICG kan opzetten in je DMZ zone, zoals aangegeven in onderstaand diagram.
IGEL Cloud Gateway voorbereiding
De installatie en configuratie van IGEL Cloud Gateway bestaat uit 3 stappen.
- De LINUX machine opzetten
- Certificaten voorzien
- De ICG installatie
ICG Minimum vereisten en beperking
ICG is de link tussen endpoints die via het internet verbonden zijn en de UMS. De IGEL OS profiles en policies worden dus nog steeds in je UMS server opgezet. Het enige wat je niet rechtstreeks kan toepassen op thin clients die via ICG naar je UMS verbinden, is
- Universal Firmware upgrades via WebDav. We werken daar rond door een externe SFTP repository op te zetten.
- Custom partitions over WebDav. Ook daarvoor moeten we met een workaround werken.
- Secure Terminal is ondersteund voor UMS 6.04.100 en hoger voor endpoints met IGEL OS 11.02.100 of hoger.
- Secure Shadowing is ondersteund voor UMS 6.03.100 en hoger voor endpoints met IGEL OS 11.02.100 of hoger.
Voor deze installatie gebruik ik de volgende versies:
- UMS: 6.04.110
- IGEL OS Firmware: 11.06.580
- IGEL Cloud Gateway: 2.01.110
- Linux host: Ubuntu 18.04 – 64-bit
Stap 1: De Linux host machine voorbereiden
In deze stap wordt de Linux host machine klaargemaakt voor de ICG installatie. De voorbereiding bestaat uit het opzetten van een user account, het ingeven van een IP adres en Python installeren.
Let er op dat als je host een virtuele machine is, de netwerk interface van de host VM zich in het juiste segment bevindt – in onze geval de DMZ.
User account aanmaken
Tijdens de installatieprocedure van de Ubuntu server moet je een username / password ingeven. De gebruiker die je hier aanmaakt zal sudo kunnen doen.
Opgelet: je mag de gebruikersnaam zelf ingeven, maar zorg ervoor dat je niet ‘icg’ als naam kiest. ICG wordt als naam gebruikt in de ICG Tomcat server.
Ik gebruik ‘igel
‘ als gebruikersnaam.
- Na de initiele setup, aanmelden met de gekozen gebruikersnaam.
- Gebruik het
sudo
commando om root privileges te krijgen voor de verdere configuratie.
IP adres instellen
Je kan de host via DHCP reservations een IP adres toekennen als er DHCP beschikbaar is in je DMZ, maar het is gebruikelijker om een statisch IP configureren via netplan.
- Geef het commando ‘
ip addr
‘ om de naam van de netwerk interface op te zoeken.
In dit voorbeeld is de naam van de NIC ens160.
- Disable de netwerk configuratie opties in cloud-init door middel van volgende commando’s.
vim /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg
- Zet het volgende commando in de file:
network: {config: disabled}
- Daarna de file bewaren en de vi editor afsluiten door het commando
:wq
in te geven.
(Ter info, dit zijn enkele nuttige vim commando’s: save: :w / save and exit: :wq / exit: :q / force: ! (example :w! :q!)
- Maak de YAML file voor de netwerk config aan via command
vim /etc/netplan/01-static.yaml
Belangrijk! Gebruik een IP adres dat je is toegewezen door je netwerkbeheerder voor de zone waarin je de host opzet.
- Nadat je de config file hebt aangepast, de vim editor sluiten met het commando
:wq
.
- Nu kan je de gekozen IP configuratie voor de netwerkkaart toepassen via het
netplan apply
commando.
- Kijk de netwerk configuratie na om er zeker van te zijn dat het IP adres is toegewezen aan de netwerkkaart.
Python installeren
Python 2.7 of 3.x is nodig voor de remote installatie van ICG. Ik heb versie 2.7 gebruikt in deze handleiding.
- Installeer Python via commando
apt-get install python2.7-minimal
.
- Maak een symbolic link naar Python 2.7:
d /usr/bin/
sudo ln -s python2.7 python2
Hiermee is de voorbereiding van de Linux host machine voltooid en kunnen we verder met het voorbereiden van de certificaten in Stap 2 en daarna de ICG installatie zelf.
Stap 2: Certificaten voorbereiden
Er zijn verschillende mogelijkheden voor het voorbereiden van de certificaten. In deze handleiding gebruiken we een bestaande certificate chain, maar je kan ook in UMS een certificate aanmaken.
Zorg ervoor dat je het server certificate, het root certificate en eventuele intermediate CA certificates beschikbaar hebt in PEM formaat.
- In de UMS Administration, open de Cloud Gateway opties.
- Klik op de knop om het root certificate te importeren.
- Selecteer het juiste root certificate en klik de ‘Open’ knop.
- Het gekozen certificate is nu geimporteerd in UMS en zichtbaar in de lijst.
- Rechts-klik op het geimporteerde root certificate en kies de optie ‘Import signed certificate’.
- Selecteer nu het intermediate CA certificate en klik op de ‘Open’ knop.
Het intermediate CA certificate is nu geïmporteerd en gelinkt aan het root CA certificate.
Tenslotte gaan we het server certificate toevoegen aan de chain.
- Rechts-klik het zonet toegevoegde intermediate CA certificate en kies de optie ‘Import signed certificate’.
- Selecteer het voorziene server certificate en klik op de ‘Open’ knop.
Als alles goed verlopen is, heb je nu een volledige certificate chain beschikbaar in UMS.
We zijn klaar voor de laatste stap, de installatie van ICG zelf!
Stap 3: IGEL Cloud Gateway installeren
De installatie van IGEL Cloud Gateway doen we vanuit de UMS console.
- In UMS, ga naar UMS Administration > IGEL Cloud Gateway.
- Kllik op het ‘Install new IGEL Cloud Gateway’ icoon.
Er opent een nieuw venster waarin je het te gebruiken certificate kan kiezen.
- Selecteer het certificate dat je hebt geïmporteerd in Stap 2 en klik op de ‘Next’ knop.
- Accepteer de EULA en klik op de ‘Next’ knop.
Op het volgende scherm geef je een aantal parameters in die UMS nodig heeft om de ICG installatie te starten op de remote Linux host die we hebben opgezet in Stap 1.
- SSH host: hostname van de Linux machine die we hebben klaargezet in Stap 1.
- SSH port: Default is 22.
- SSH user: De gebruikersnaam die we hebben gekozen in Stap 1.
- SSH password: Het paswoord van de gebruiker op de Linux host.
- Installation path: Default: is /opt/IGEL/icg.
- ICG port: Default is 8843.
- Path to installer: Het path waar IGEL UMS de installatiebestanden voor ICG kan ophalen.
- Als alle parameters juist zijn ingegeven klik je op de ‘Next’ knop. De installatie van ICG zal starten.
- Na de installatie krijg je een bevestiging. Klik op de ‘Next’ knop om verder te gaan.
Als laatste stap in de installatiewizard, moeten we nog enkele gegevens invullen.
- Displayname: dit is hoe de ICG in je UMS console zichtbaar is. Dit kan je zelf vrij invullen.
- Host: Selecteer hier de host die we zonet hebben geïnstalleerd..
- Port: 8443
- Host(external): Dit is de hostname die de endpoints zullen gebruiken om connectie naar de ICG te maken. Zorg ervoor dat deze naam vanaf het internet via DNS te resolven is.
- Port(external): De poort waarop de ICG zal luisteren voor externe endpoint requests.
Indien gewenst kan je via de ‘Next’ knop nog een proxy toevoegen. Anders druk je op ‘Finish’ om af te sluiten.
De ICG is nu volledig geïnstalleerd en zichtbaar in je UMS.
Je kan op de ICG lijn klikken om meer informatie en status te zien van de ICG instance.
En daarmee is de volledige installatie van de IGEL Cloud Gateway in je omgeving klaar! Alweer een stap dichter naar een veilige moderne werkplek gebaseerd op IGEL thin clients.
Wil je meer weten over het nut van IGEL thin clients voor hybrid cloud workspaces? Lees dan zeker ook eens onze andere posts er op na.
Heb je verder advies of hulp nodig? Geef gerust een seintje, we luisteren graag naar jouw noden!