OpenVPN pre ne-admin používateľa

OpenVPN dostáva admin.práva cez C-Monitor


Problém
Možnosti s CM
Ako na to
Kroky nastavenia v obrázkoch
Čo získal bežný používateľ ?
Záver a prínosy CM riešenia


PROBLÉM

Voľne šíriteľný OpenVPN klient pre správnu funkciu potrebuje oprávnenia na zmenu v sieťovej konfigurácii (napr. pre príkaz route add). V prostredí, kde vám záleží na bezpečnosti a používateľom nedávate administrátorské oprávnenia, je to komplikácia a dá sa prekonať rôznymi spôsobmi. Na novších systémoch (od Visty vyššie ) je problémom zladenie spustenia pod používateľom s administrátorskými oprávneniami a session (obrazovka používateľa) pre zobrazenie ikonky.

My vám ponúkame riešenie, ktoré nielen priradí potrebné oprávnenia, ale aj zabezpečí spoľahlivý automatizovaný štart klienta OpenVPN s ikonkou pre ovládanie spojení na každom operačnom systéme Windows (včítane WIN 8). 


MOŽNOSTI S CM

K spusteniu využijeme C-Monitor klienta (min. verzie 2.6.), kde cez Scheduler nastavíme úlohu pre OpenVPN. V rámci tejto úlohy bude zadefinované všetko - účet s administrátoskými oprávneniami pre spustenie, sessionpre spustenie akéhokoľvek prihláseného používateľa (už bude jedno či bude admin alebo nie), udalosť na spustenie - štandardne po nabootovaní systému, ale aj kedykoľvek ručne cez ikonku.
Takýto spôsob spúšťania obíde aj pýtanie potvrdenia UAC, ak používateľ je administrátorom, ale z bezpečnostných dôvodov má zapnuté potvrdzovanie každého programu zasahujúceho do systému.

V prípade zmeny konfigurácie môžnete naplánovanú úlohu vzdialene upraviť cez CM portál a nemusíte robiť všetko len lokálne na počítači.


AKO NA TO

Nastavenie v C-MonitorConsole, časti Scheduler  je v nasledujúcich krokoch :

1. Pridáme novú úlohu bez sprievodcu, pomenujeme úlohu napríklad OpenVPN
2. V záložke General Do Command line vložíme celú cestu ku OpenVPN-GUI programu. Ak je v ceste medzera, musí byť v úvodzovkách.
    Startup directory nastavíme na rovnaký adresár ako je exe súbor.
   Vypneme spúšťanie podľa dátumu a času (periódy), aktivujeme spúšťanie po naštartovaní operačného systému.
3. Podpíšeme OpenVpn-gui.exe súbor (ikonka kľúčika napravo od command line)
4. V záložke Accounts buď ponecháme spustenie pod System Local accounts (ako je spustený C-Monitor) alebo si zvolíme možnosť Run as another user. Drobnou nevýhodou spustenia pod SYSTEM používateľom je nezobrazovanie ikonky OpenVPN v paneli úloh.
5. V záložke Advanced v prvej položke Execute in Session zmeníme hodnotu na Logged user session (app will be terminated by that user logoff). To zabezpečí vždy viditeľnosť spúšťaného programu pre akéhokoľvek prihláseného používateľa.
6. Vytvoríme ikonku na plochu pre ručné spustenie.

Ak by ste to spúšťali na terminálovom serveri alebo si to priali len pre vybraných používateľov, zvolili by ste možnosť Some of specified logged user sessions a vymenovali by ste prihlasovacie mená, pre ktoré má byť program spúšťaný.


KROKY NASTAVENÍ ILUSTROVANÉ V OBRÁZKOCH
V C-MonitorConsole v Scheduleri dáme naplánovať novú úlohu

Obrázok: V C-MonitorConsole v Scheduleri dáme naplánovať novú úlohu


V záložke General vyplníme údaje k spusteniu programu OpenVPN-gui..-exe

Obrázok: V záložke General vyplníme údaje k spusteniu programu OpenVPN-gui..-exe


Podpíšeme .exe program, aby C-Monitor poznal, že je to súbor, ktorý sme my dali spúšťať.

Obrázok: Podpíšeme .exe program, aby C-Monitor poznal, že je to súbor, ktorý sme my dali spúšťať.


V záložke Accounts buď ponecháme default systémového používateľa alebo dáme existujúci admin účet.

Obrázok: V záložke Accounts buď ponecháme default systémového používateľa alebo dáme existujúci admin účet.


V záložke Advanced je dôležité dať možnosť Logged user sessions (inak by s to spustilo na Session 0 a to by sme ikonku OpenVPN nevideli.

Obrázok: V záložke Advanced je dôležité dať možnosť Logged user sessions (inak by s to spustilo na Session 0 a to by sme ikonku OpenVPN nevideli.


Vytvorenie ikonky na Desktop. Po vytvorení ikonky, zmeňte ikonu na OpenVPN

Obrázok: Vytvorenie ikonky na Desktop. Po vytvorení ikonky, zmeňte ikonu na OpenVPN


Zodpovieme ešte jednu nepoloženú otázku. Prečo používateľovi nenastavíme OpenVPN v režime služby ? Odpoveď je, že pre konfiguráciu pripojenia  s heslom to vôbec nie je možné (režim služby je možné nasadiť len pre konfiguráciu bez hesla do pripojenia a je jedno či je to heslo pre certifikát alebo overovanie na strane server). Druhý dôvod pre nepoužívanie režimu služby je, že v zobrazenej ikonke (ak sa zobrazí) sa nesignalizuje stav pripojenia (stále je fialová) a používateľ v prípade problémov nevie, čo sa deje. 


ČO ZÍSKAL BEŽNÝ POUŽÍVATEĽ ?

Používateľ počítača získava potrebnú bezpečnosť - nedostáva zbytočne oprávnenia, ktoré by mohli poškodiť jeho počítač, úsporu viacerých kliknutí (aj keby admin práva dostal) a vždy pripravenú ikonbku pre pripojenie.  Pre opätovné spustenie programu ručne bude mať na ploche vytvorenú ikonku, čiže sú pokrtyé všetky potreby používateľa

ZÁVER A PRÍNOS CM

S pomocou CM sme optimálne vyriešili problém s OpenVPN pripojením. Pri zachovaní bezpečnosti sme dosiahli komfort pre používateľa. Nastavenie je možne zvládnuť do 1min.

Dátum:
17.12.2012
Obrázky: 
V C-MonitorConsole v Scheduleri dáme naplánovať novú úlohuV záložke General vyplníme údaje k spusteniu programu OpenVPN-gui..-exePodpíšeme .exe program, aby C-Monitor poznal, že je to súbor, ktorý sme my dali spúšťať. V záložke Accounts buď ponecháme default systémového používateľa alebo dáme existujúci admin účet.V záložke Advanced je dôležité dať možnosť Logged user sessions (inak by s to spustilo na Session 0 a to by sme ikonku OpenVPN nevideli.Ikonka OpenVPN, ktorú má používateľ po štarte počítača vidieť.Vytvorenie ikonky na Desktop. Po vytvorení ikonky, zmeňte ikonu na OpenVPN