Kívülről

A Novell megoldása a távoli elérésre

Már csaknem négy éve, hogy a Novell saját informatikai szervezete (Novell IS&T) üzembe állított egy kisebb halom kiszolgálót, hogy egy nagyobb halom távoli és mobil alkalmazott elérhesse a vállalati hálózatot. Ehhez a dolgozók betárcsáztak a szerverekre, kezdetben egy provói (Utah állam) helyi számra. Később ez egy ingyenes számra változott. A kiszolgálók átadták a felhasználók hitelesítési információit egy BorderManager Authentication Services kiszolgálónak a Remote Authentication Dial-In User Service (RADIUS) protokoll használatával (lásd az 1. ábrát). Ha már bejutottak, a dolgozók igénybe vehették a belső alkalmazásokat, megválaszolhatták e-mailjeiket, elérték az internetet, és böngészhettek a weben.

Az volt a probléma, hogy mindez csak a dolgozók számára volt ingyenes, a Novell IS&T fogadta és kifizette a vonatkozó számlát – a dolgozók által végzett le- és feltöltésekért, a dokumentumok olvasgatásáért, az internetezésért stb. Újszerű és kényelmes volt a vállalati hálózat használata (az e-mail és az internetezés) kívülről, a szolgáltatás népszerűsége (és költsége) a tervezettnél gyorsabban nőtt. Az USA és Kanada területéről "látható" ingyenes bejárat a cég hálózatába nagyszerű volt a felhasználóknak, annál kevésbé a Novellnek. A dolgozók az ingyenes számból arra következtettek, hogy a szolgáltatás nem kerül semmibe, márpedig a Novellnek minden egyes forgalmazott bitért fizetni kellett, a költségek ellenőrizhetetlenné váltak. Körülbelül ugyanekkor két másik probléma is felmerült: a dolgozók elkezdték ostromolni a szolgáltatót, hogy nekik 1 MB/mp-es DSL vonaluk, vagy kábelmodemjük van, nem lehetne-e, hogy azon keresztül lépjenek be? Meglehetősen csalódottan vették tudomásul, hogy nem, mert a kommunikációs szerverek csak 56 kb/mp-es vagy lassabb modemeket használtak. Továbbá az ingyenes vonal az USA-n és Kanadán kívülről nem volt ingyenes, az utazó vagy külső Novell-alkalmazottaknak ki kellett fizetni a lassú és nem is nagyon megbízható kapcsolat költségeit, természetesen visszatérítés fejében.

Nyilván más megközelítésre volt szükség. A megoldásnak biztosítania kellett a céges erőforrások elérését, bárhonnan, bármilyen internetes eszközzel, továbbá egyszerűnek kellett lennie, hogy ne csak a technikailag képzett dolgozók legyenek képesek a használatára. Emellett természetesen minden irányból biztonságosnak is kell lennie, végül, de egyáltalán nem utolsó sorban lényegesen olcsóbbnak is.

A NOMAD megoldás

Két évvel ezelőtt kezdett kirajzolódni a Novell IS&T megoldása, amely megfelelt a fenti kihívásoknak. Az alcímbeli név csak egy belső kód, amelyre utóbb szabták rá a "Novell Mobile Access Delivery" (Novell mobil elérési szolgáltatás) kifejtést. Több dolgot fed: a globális internetszolgáltatót, és minden olyan szoftvert, amelyet a Novell IS&T felhasznált a távoli elérés megvalósításához.

1. ábra. A NOMAD előtt a Novell dolgozók csak egy helyi, ingyenes telefonkapcsolaton keresztül érhették el a vállalati hálózatot. Ez túl költségesnek bizonyult a cég számára, gyakran kényelmetlen volt a dolgozóknak – Amerikán kívülről pedig nem volt ingyenes a szám

Sima globalizálódás

A Novell IS&T úgy határozott, hogy egy nemzetközi, sőt, globális internetszolgáltató igénybevételével oldja föl a helyi, ingyenes szám okozta dilemmát, ami zseniális döntésnek bizonyult. A WorldComhoz tartozó UUNET-tel kötöttek szerződést. Ez a szolgáltató világméretű hálózatot üzemeltet, amely több ezer városból elérhető &Eeacute;szak- és Dél-Amerikában, Európában, Afrikában valamint a Távol-Keleten ( www.uu.net ). Átjáró-szolgáltató partnereivel együtt lehetővé teszi, hogy a Novell-dolgozók gyakorlatilag bárhonnan a világból helyi szám hívásával jelentkezhessenek be az internetre és a céghálózatba.

Netes szoftverek

A NOMAD sikerének másik titka a Novell internetes szolgáltató szoftverkészlete, benne a Novell Modular Authentication Services (NMAS) 2.0-val és a BorderManager VPN Services 3.6-tal. (A verziószámok változhatnak az idővel.) Alapvetően az NMAS 2.0 hitelesíti a Novell-dolgozókat a cég címtárfájába a UUNET kiszolgálóktól kapott RADIUS csomagok használatával. Tehát az NMAS 2.0 révén kerülnek a Novell-dolgozók az internetre a Novell UUNET-elérésén át. De a legfontosabb, hogy a BorderManager 3.6 virtuális magánhálózat szolgáltatása teszi elérhetővé a dolgozók számára a Novell vállalati hálózatát, függetlenül a bejelentkezés helyétől és módjától.

Mint internetes szolgáltató szoftverek, mind a NMAS, mind a BorderManager születésüktől fogva az eDirectoryra illetve az NDS-re épülnek. Ahogy az közismert, az eDirectory az egyetlen olyan címtárszolgáltatás-szoftver, amely minden nagy hálózati operációs rendszer alatt fut, beleértve (a NetWare-n túl) a Sun Solarist, a Windows 2000-t és NT-t, a Linuxot, a Compaq TRU64-et, UNIX-ot és rövidesen az IBM AIX-et. Egyben az eDirectory a legtágabb határok között méretezhető címtár, amelyben akár egymilliárd objektumot tartalmazó fastruktúrák is kezelhetők.

A NOMAD-ban az eDirectory ugyanolyan szerepet játszik, mint bármely más hálózatos környezetben: egyszerűvé teszi a felhasználók és erőforrások egyébként komplex felügyeletét. Például az eDirectory teszi lehetővé, hogy a Novell IS&T a teljes, világméretű távolielérés-megoldást egyetlen, központi helyről felügyelhesse.

2. ábra. Amikor a Novell-dolgozók elindítják a NOMAD-tárcsázót, a fentihez hasonló bejelentkező ablakot kapnak. Ellentétben azonban a képen láthatóval, a Novell-alkalmazottak a közös eDirectory-nevükkel jelentkeznek be

Az eredmény

A Novell követelménye és informatikai szervezete tervei megvalósultak. Rengeteg pénzt takarít meg a NOMAD. Valójában a megtakarítás több mint 70 százalékos, annak ellenére, hogy a Novell céghálózat távoli elérése számottevően növekedett az utóbbi 2,5 évben. A NOMAD előtt megközelítően évi 1,2 millió dollárba került a távoli elérés.

A Novell megoldása az Öné is

Az eddigiek annyit jelentenek, hogy a Novellnél több mint 2 éve működik a NOMAD, egy sajátos, de valós példa. Hamarosan nyilvános, kapható megoldás lesz Novell Remote Access néven. Azaz "leugrik a NOMAD hátáról" – ahogy Sherry Bushonville, a Novell illetékes termékmarketing-menedzsere megfogalmazta. Más szóval a NOMAD tulajdonképpen a Novell Remote Access prototípusa. Egy megoldás, amelyet a cég a saját céljaira hozott létre, kitesztelte, tökéletesítette, és most, 2002. elejétől kezdődően kereskedelmi és tanácsadó csatornáin keresztül megkezdi az értékesítését.

Ha az Ön cégének működik valamilyen hasonló volumenű távolielérés-megoldása, várható, hogy a Novell Remote Access az előbb említetthez hasonló mértékű megtakarítást eredményez.

Az elérés rendje

Elméletileg az alkalmazottak különféle módokon kapcsolódhatnak a céghálózathoz, de a Novell IS&T az egyszerűséget tartotta szem előtt. Ezért tervezői úgy állították össze a NOMAD-ot, hogy használóinak mindig két lépést kelljen megtenniük a szolgáltatások eléréséhez:

• kapcsolódás az internetre;
• belépés a céghálózatba.

Első lépés: kapcsolódás az internetre

A NOMAD nem köti meg, hogyan kell a dolgozónak elérnie az internetet. Használhatnak modemet, DSL-t, kábel- (TV-) modemet vagy ISDN-t. Nem köti meg a szolgáltatót sem, de biztosítja a lehetőséget ahhoz, hogy az a UUNET (a Novellel kötött szerződés alapján) legyen az. Ehhez természetesen a dolgozónak a NOMAD-betárcsázóra van szüksége, amely egy tárcsázó és egy telefonkönyv kombinációja; ez leegyszerűsíti a kapcsolódás folyamatát. A Novell-dolgozók letölthetik a NOMAD-tárcsázót a vállalati portálról (i-Login.net), vagy arról a webhelyről, amelyet a Novell IS&T kifejezetten a NOMAD-használók számára tart fenn (és logikus módon csak a novellesek számára érhető el). Miután a használó letöltötte és telepítette a NOMAD-tárcsázót, csak kettőt kell kattintani a munkaasztalon megjelent ikonra, hogy megkapja 2. ábrán látható bejelentkező ablakot.

Az adminisztrátor terhelésének minimalizálása

Eleinte a NOMAD-ba (pontosabban a UUNET-be a Novellen keresztül) való belépéskor a novelleseknek meg kell adniuk az eDirectory-nevüket és jelszavukat. E cikk írásakor még be kellett gépelniük egy pontot, majd a felhasználói nevüket és kontextusukat a "Username" mezőbe. Mire a cikk megjelenik, az eljárás megváltozik.

Az i-Login kezdeményezés részeként a Novell IS&T létrehozott egy eDirectory-fát kifejezetten hitelesítési célokra, majd DirXML segítségével becsatolták a Novell elsődleges, Novell-Inc nevű eDirectory-fájába. (Pusztán az érdekesség kedvéért: a Novell IS&T általában DirXML-lel csatolja be a hálózati címtárakat, alkalmazásokat, és adatbázisokat a Novell céghálózatába.)

Ez a hitelesítési fa "lapos" szerkezetű, jellemzően egy Novell Organization konténert tartalmaz User objektumokkal, melyekben felhasználónevek és jelszavak vannak. A hitelesítési fa felgyorsítja a beazonosítást azzal, hogy minden felhasználót egy kontextusba helyez. A lapos szerkezet nem igényel különféle, a dolgozók kontextusa meghatározta helyekre irányuló proxy kéréseket az autentikációhoz. Végül pedig ez a szerkezet egyszerűsíti le a NOMAD-ba való bejelentkezést úgy, hogy csak az eDirectory-nevet kell begépelni.

Amikor először jelentkezik be, a felhasználónak be kell írnia az eDirectory-neve után a "@novell.com" karaktersorozatot (például lkennard@novell.com), ezt a tárcsázó megjegyzi, úgyhogy csak ezen egyetlen alkalommal van rá szükség.

Amikor a UUNET (vagy partnerének) szervere érzékeli a novelles felhasználónevet, felismeri, merre kell továbbítania a kérést. A RADIUS használatával a UUNET (vagy partnerének) szervere továbbítja a kérést autentikációra a négy NMAS 2.0 szerver egyikére a NOMAD-ban. Fizikailag e szerverek a Novell székhelyén, egy szerelvényszekrényben találhatók, 20 másik, NetWaret futtató Compaq DL360 szerverrel egyetemben. (Történetesen a Compaq a Novell hardverszállítója...).

Az NMAS 2.10 egy olyan hitelesítési szolgáltatás, amellyel központilag lehet felügyelni egy nagy, vállalati hálózat különféle beazonosítási módszereit. Vagy az NMAS-sal járnak, vagy beszerezhetők a különféle hitelesítési modulok, amelyek bekérnek a felhasználóktól valamit, amit azok ismernek (jelszót, vagy PIN-t), valamit, amivel rendelkeznek (kártyát, vagy egyéb eszközt) vagy letapogatják valamely biológiai jellemzőjüket (jellemzően ujjlenyomatot vagy íriszrajzolatot).

Miután telepítettük ezeket a modulokat, felállíthatunk az egész vállalatra érvényes hitelesítési irányelveket. Ezek mindegyike kijelölhet egy bejelentkezési sorrendet, amely az eDirectoryba való bejelentkezéshez – a hálózat vagy egyéb szolgáltatás (például hangposta) igénybevételéhez – lesz szükséges. A bejelentkezési sorrend tartalmazhat egy vagy több olyan eljárást, amelyet az NMAS 2.0 támogat. (Az NMAS-ról többek között e számunk "Gondoljuk újra a biztonságot" című cikkében vagy a www.novell.com/products/nmas weboldalon olvashatunk.)

Ennél fontosabb, hogy az NMAS 2.0-ban van egy RADIUS kiszolgáló, amely lehetővé teszi a Novell IS&T számára, hogy anélkül vegye igénybe a UUNET szolgáltatásait, hogy veszélyeztetné a Novell biztonságát.

A NOMAD-ban az NMAS 2.10 RADIUS szerverek átjáróként működnek a UUNET kiszolgálók és a Novell eDirectory-fája között. Azaz a UUNET-ből származó hitelesítési információ alapján a NMAS 2.0 szerverek azonosítják be a felhasználókat, és küldik vissza az igent vagy a nemet a UUNET–Novell kapcsolaton keresztül. Ha a NMAS 2.0 nem támogatná a RADIUS-t, a felhasználók felügyelete rémálom lenne: minden egyes alkalommal, amikor egy dolgozó be- vagy kilép, a UUNET-et kellene felkérni a változtatás végrehajtására. Azzal, hogy a UUNET és az NMAS képes a hitelesítési információ cseréjére, ha a dolgozónak létrejön az eDirectory bejegyzése, egyben internetelérést is nyer – amivel ismét csak lényegesen leegyszerűsödik a felügyelet.

3. ábra. Mindössze két lépést tartalmaz a NOMAD-koncepció: csatlakozás az internetre és csatlakozás a cég hálózatába. Az internetcsatlakozás helyét és módját a felhasználó választhatja meg; kihasználhatja a UUNET és a Novell NMAS 2.0 – RADIUS kiszolgálókkal megalapozott megállapodását is. Ha már felkapcsolódott az internetre, a céghálózatba a BorderManager VPN Services 3.6 segítségével lép be

PAP-tól CHAP-ig

Kétféle hitelesítési módszert támogat a UUNET: a Password Authentication Protocolt (PAP-ot) és a Challenge Handshake Authentication Protocollt (CHAP-ot). A kettő között az az alapvető különbség, hogy előbbi rejtjelezés nélkül küldi át a jelszót és/vagy PIN-t a hálózaton.

Eddig a PAP-ot alkalmazta a Novell a NOMAD-ban, mert a CHAP a Novellétől eltérő módon rejtjelezi az hitelesítési információt: más hash-eljárást használ a UUNET, mint az eDirectory, emiatt mindkettő rossznak értelmezi a másiktól kapott adatot, és nem engedélyezi a kapcsolatot.

A probléma megoldására a Novell IS&T kifejlesztett egy új NMAS 2.0 modult (az "M" karakter a "modular" szót jelenti a rövidítésben), és bevezetett egy PIN-t a hitelesítésben. Ez a modul el tudja végezni ugyanazt a hash-eljárást, mint amit a UUNET. Ezután tehát még a NOMAD Novell által felügyelt részén – a RADIUS-szerveren belül – elő tud állni az eDirectoryból származó és a UUNET-en kapott PIN UUNET-szerint hashelt változata. Ha ezek egyeznek, akkor pozitív az autentikáció. Ha nem, akkor nem.

Rövidesen tehát a NOMAD át fog térni a CHAP alkalmazására a Novell-UUNET kapcsolatban. A PIN alkalmazása egyébként jobb védelmet nyújt a Novell céghálózat számra. Ha egy illetéktelen hozzájut egy ilyen PIN-hez, akkor internetezhet a Novell-UUNET kapcsolat kihasználásával de nem jut be a céghálózatba.

Kit kell hívni?

Miután a dolgozó megadta a hitelesítési adatokat, de még mielőtt kattintott volna a "Connect" gombon, ki kell választania egy hívószámot a NOMAD-betárcsázó telefonkönyvéből. Négy lehetősége van:

• Novell irodai számok
• UUNET telefonszámok
• UUNET ingyenes számok
• UUNET-partnerek ingyenes számai

Nyilván azt fogja választani, amely a legolcsóbb. A költség attól függ, hogy honnan kíván kapcsolódni. A költségek megítéléséhez a Novell IS&T létrehozott egy NOMAD-díjtáblázatot, amelyben a külföldi tarifákat is feltüntették. De miért érdekelné a dolgozót, hogy a Novellnek mennyibe kerül a kapcsolat?

Mert névre szólóan nyilvántartják, mikor és mennyit töltött online a dolgozó, amit a részlegének bizony ki kell fizetnie. A RADIUS tárolja mind a felhasználónevet, mind a kapcsolat idejét és egyéb paramétereit, amelyekből kiderül, hogyan és honnan kapcsolódott föl az illető. E költségadatok bekerülnek egy Oracle adatbázisba, ahol a dolgozók maguk ítélhetik meg, mennyibe kerültek részlegeiknek. A Novell szerint, ha a dolgozók ismerik az általuk okozott költségeket, sőt, valamilyen szinten felelősek is azokért, a kapcsolati költségek csökkenni fognak.

4. ábra. Ahhoz, hogy a NOMAD tárcsázóval kapcsolódhasson az internetre, a dolgozónak telefonszámot kell választania egy telefonkönyvből

Második lépés: belépés a céghálózatba

Ha létrejött a NOMAD-kapcsolat, a dolgozó feltárcsázott egy UUNET (vagy partner-) kapcsolati számot, csak az internetig jutott el. Innen viszont egy böngészőn – például a GroupWise WebAccessen – át néhány céges szolgáltatást igénybe is vehet. Ez persze kevés ahhoz képest, amennyire szüksége lehet, és amennyit saját irodájából elér.

A BorderManager VPN Services 3.6 egy olyan biztonságos, távoli kommunikációs rendszer, amely virtuális magánhálózatot (VPN-t) alakít ki az interneten vagy más nyilvános gerinchálózaton. A virtuális magánhálózat egy adatalagút (tunnel), amelyen át titkosított forgalom folytatható. Minden BorderManager VPN Services 3.6 szerver egyidejűleg 1000 VPN-t képes fenntartani. A titkosításhoz az alábbi módszereket használhatja, akár 128 bites formában (ahol ez megengedett):

• Data Encryption Standard (DES);
• 3DES;
• Internet Protocol Security (IPSEC);
• RC2;
• RC3;
• SKIP.

Ezek a VPN szolgáltatások nem függenek az internet-kapcsolat jellegétől, tehát az lehet telefonos, DSL, kábelmodemes vagy ISDN. Sőt, a BorderManager VPN Services 3.6 akkor is képes VPN kialakítására, ha az internetszolgáltató hálózaticím-fordítást (network address translationt, NAT-ot) alkalmaz, ami általában lehetetlenné teszi a magánhálózat létrehozását.

A BorderManager VPN Services 3.6-ot úgy is be lehet állítani, hogy megengedje az ügyfelek közvetlen belépését a céghálózatba. A Novell IS&T céltudatosan nem ezt választotta, hogy egyszerűbb legyen a felügyelet: a dolgozó előbb legyen az interneten, és aztán onnan lépjen be.

Nyilvánvalóan a BorderManager VPN Services 3.6 alkalmazásához egy ügyfélszoftverre is szükség van, ezt a dolgozó szintén az i-Login.netről, vagy NOMAD webhelyéről töltheti le, ugyanúgy, mint a NOMAD tárcsázót.

Egyszerű, biztonságos, kényelmes

Amikor a dolgozó elindítja a BorderManager VPN Services 3.6 ügyfélszoftvert, egy VPN bejelentkező képernyőre kerül. Itt meg kell adnia eDirectory-nevét, jelszavát, kontextusát, és a két BorderManager VPN Services 3.6 kiszolgáló egyikének IP-címét. (Utóbbiakat a NOMAD Felhasználói kézikönyvében találhatják meg.) Az első kapcsolat alkalmával a kiszolgáló hitelesítési adatokat (néhány sornyi alfanumerikus – betűket és számokat tartalmazó – karaktersorozatot) küld vissza. Ezek bizonyítják a dolgozónak, hogy hivatalos, NOMAD BorderManager VPN Services 3.6 kiszolgálóval léptek kapcsolatra. Miután csak két BorderManager VPN Services 3.6 kiszolgáló működik a NOMAD-ban, legföljebb még egyszer kell mindezt begépelni, mert a továbbiakban a kiszolgáló megjegyzi az adatokat.

Innentől a dolgozó elérte a céghálózatot, böngészhet az InnerWeben (a Novell intranetjén), küldhet-fogadhat e-mailt a GroupWise-on keresztül, sőt, rákapcsolódhat a számára elérhetővé tett NetWare kiszolgálókra – mintha csak a saját irodájában ülne.

Osztott tunneling

A Novell IS&T kihasználta a BorderManager VPN Services 3.6 osztott tunneling szolgáltatását. Ennek révén megválasztható, hogy mely hálózatok felé menjenek a titkosított adatok, és melyekkel lehet rejtjelezés nélküli forgalmat folytatni. A BorderManager VPN Services 3.6 egy NWADMIN-bedolgozója révén IP-címekkel adható meg a védett szerverek listája, amelyek felé titkosítani kell a forgalmat. Ha a dolgozó például a Compaq nyilvános webhelyeinek egyikére lép be, a VPN ügyfélprogram nem fogja titkosítani a forgalmat. Így adott esetben számottevően csökkenthető a NOMAD-ban lekötött BorderManager kiszolgálók forgalma.

A VPN főnyeremény

Kétszeresen is hatékony a BorderManager VPN Services 3.6 a NOMAD megoldásban. Egyetlen szám helyett lényegében bármilyen internetkapcsolatot alkalmassá tesz a céghálózatba való belépésre. Ezen túlmenően, a UUNET-tel kötött megállapodás révén jelentős mennyiségű pénzt takarít meg a Novellnek, hogy a cégnek sokba kerülő "ingyenes" elérés helyett a dolgozó a legolcsóbb összeköttetést választhatja.

A NOMAD egyszerűsít, biztonságossá tesz, gyorsít – és takarékos

A NOMAD követhetővé teszi a dolgozók számára a kapcsolatot: előbb az internet, aztán a cég. Ezen felül még barátságos kezelőfelületet is nyújt: a NOMAD betárcsázóét, és a BorderManager 3.6 ügyfélszoftverét.

A NOMAD gyorsítja az elérést azáltal, hogy a dolgozóra bízza, milyen módszert választ. Ha teheti, kapcsolódjon szélessávú technológiával – ezáltal a céghálózatot is így éri el. Azzal is gyorsul az ügymenet, hogy a Novell IS&T mind az internet- mind a cégkapcsolatot az eDirectoryban tárolt adatok segítségével kontrollálja. Rögtön a belépés napján rendelkezésre áll mindkettő – és a kilépés napján azonnal meg is szüntethető.

A NOMAD egy NMAS 2.0 PIN hozzáadásával biztonságosabbá teszi a céghálózatot, mert ezáltal nehezebb hozzáférni az eDirectory jelszavaihoz. A BorderManager VPN 3.6 pedig titkosítja a forgalmat a dolgozó és a céghálózat között.

Mindezeken felül a Novellnek 70 százalékkal kevesebbe kerül évente a mobil és távoli dolgozóknak nyújtott elérés a NOMAD-dal, mint a korábbi technológiával. Rövidesen pedig a NOMAD – Novell Remote Access néven – a vevők rendelkezésére fog állni, hogy az összes említett előnyt élvezhessék.