تكوين Umbrella VA لتلقي تعيينات User-IP
المقدمة
يصف هذا المستند كيفية تكوين الجهاز الظاهري (VA) لمظلة Cisco لتلقي تعيينات المستخدم-IP عبر قناة آمنة.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
-
إنشاء مفتاح خاص وإنشاء شهادة وتوقيع شهادة وإدارتها خارج نطاق مكونات Umbrella. يجب أن يتم هذا خارج هذه المكونات.
-
يجب إنشاء شهادة واحدة باسم مشترك فريد لكل جهاز ظاهري.
-
يجب أيضا إضافة سجل في خادم DNS الداخلي، للإشارة إلى هذا الاسم الشائع إلى عنوان IP الخاص بالجهاز الظاهري.
-
إذا كان عنوان IP الخاص بالجهاز الظاهري بحاجة إلى التغيير، فيجب تغيير هذا السجل A أيضا وفقا لذلك.
-
يجب تكوين FQDN المقابلة للشهادة كمجال محلي على لوحة معلومات Umbrella حتى يتعرف VA على هذا كمجال محلي.
-
يلزم إنشاء المفتاح الخاص والشهادات بتنسيق .key و .cer على التوالي.
-
يمكنك إستخدام إما شهادات موقعة ذاتيا أو شهادات موقعة من CA لهذا الغرض.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الجهاز الظاهري الذي يعمل بالإصدار 2.7 أو إصدار أحدث
- يجب أن يكون Umbrella AD Connector الإصدار 1.5 أو أحدث
- يجب أن يكون Umbrella Chromebook Client يشغل الإصدار 1.3.3 أو أعلى
ملاحظة: إذا كان موصل VA أو AD الخاص بك يعمل بإصدارات سابقة، فيمكنك فتح تذكرة دعم مع Umbrella لترقيتها إلى الإصدارات المعتمدة المقابلة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
تدعم الأجهزة الظاهرية Umbrella، التي تشغل الإصدار 2.6 أو إصدار سابق، تلقي تعيينات User-IP من موصل Umbrella Active Directory (AD) وعملاء Umbrella Chromebook في شكل غير مشفر فقط على المنفذ 443. ونتيجة لذلك، كان أحد المتطلبات الأساسية الإلزامية للنشر هو أن يتصل موصل AD وعملاء VA أو Chromebook و VA عبر شبكة موثوق بها فقط.
وبدءا من الإصدار 2.7، يمكن للأجهزة الظاهرية Umbrella الآن تلقي تعيينات AD لمستخدم IP من موصل AD عبر HTTPS، وكذلك تعيينات IP لمستخدم Windows من كل عميل Umbrella Chromebook عبر HTTPS.
توضح هذه المقالة خطوات التكوين على كل مكون لتمكين اتصال HTTPS. وبشكل افتراضي، يتم تعطيل اتصال HTTPS وتتصل عملاء موصل AD و Chromebook ب VA عبر HTTP فقط.
تحذير: يمكن أن يؤدي تشغيل هذه الميزة إلى زيادة وحدة المعالجة المركزية (CPU) واستخدام الذاكرة على موصل VA وموصل Umbrella AD كما يمكن أن يؤدي إلى تقليل معدل إخراج DNS ل VA. ونتيجة لذلك، يوصى بتشغيل هذه الميزة فقط إذا تم تفويضها بموجب أي متطلبات توافق خاصة بمؤسستك.
الجهاز الظاهري
إضافة مفتاح خاص وشهادة إلى VA
لإضافة المفتاح الخاص والشهادة إلى VA:
1. افتح ملف المفتاح الخاص عبر محرر النص.
2. حدد الكل، انسخ، ثم قم بلصق علامات الاقتباس المزدوجة لهذا الأمر:
config va ssl key "paste the contents of the .key file here"
إضافة شهادة إلى VA
لإضافة الشهادة إلى VA:
1. افتح ملف الشهادة عبر محرر نصي.
2. حدد الكل، انسخ، ثم قم بلصق علامات الاقتباس المزدوجة للأمر أدناه:
config va ssl cert "paste the contents of the .crt file here"
تمكين HTTPS على VA
تمكين HTTPS على VA باستخدام هذا الأمر:
config va ssl enable
التحقق من تمكين HTTPS
تحقق من تمكين HTTPS باستخدام الأمر:
config va show
يمكن أن يتضمن إخراج هذا الأمر حالة HTTPS بالإضافة إلى تفاصيل شهادة SSL.
مثال الإخراج:
HTTPS status : enabled
SSL Certificate Start Time : 2024-04-16 16:11:08
SSL Certificate Expiry Time : 2025-04-16 16:11:08
Issuer : C = US, ST = MASSACHUSETTS, L = BOSTON, O = CISCOSUPPORT, CN = server.domain.com
Common Names : vmhost.domain.com
قد يستغرق الأمر ما يصل إلى 20 دقيقة حتى تبدأ VA في تلقي الأحداث عبر HTTPS. يمكنك التحقق بعد حوالي 20 دقيقة باستخدام الأمر config va status. حالة موصل AD هي ذات الحالة الصفراء (المتوقفة) في الفترة المتوسطة وتتحرك إلى الحالة الخضراء بمجرد أن تبدأ VA في تلقي الأحداث عبر HTTPS.
إذا كنت ترغب في تعطيل HTTPS والرجوع إلى HTTP، أستخدم الأمر config va ssl disable.
إذا كنت تريد إعادة تمكين HTTPS، فيجب عليك إضافة المفتاح الخاص والشهادة مرة أخرى ثم إستخدام الأمر config va enable.
الدليل النشط
إذا كنت تستخدم شهادة موقعة من CA لكل VA، تأكد من تثبيت شهادة الجذر وإصدار شهادات CA لكل شهادة VA على كل نظام يشغل موصل AD في نفس موقع VA.
إذا كنت تستخدم شهادة موقعة ذاتيا لكل VA، تأكد من تثبيت كل شهادة VA على كل نظام يشغل موصل AD في نفس موقع Umbrella مثل VA.
ملاحظة: لا يلزم تثبيت إلا شهادات VA الموجودة في نفس موقع المظلة مثل موصل AD على موصل AD.
قد يستغرق الأمر ما يصل إلى 20 دقيقة حتى تتمكن وحدة التحكم VA من مزامنة حالة HTTPS إلى Umbrella، والتي تتم مزامنتها بعد ذلك إلى موصل AD. ونتيجة لذلك، قد يستغرق الأمر ما يصل إلى 20 دقيقة حتى يبدأ الموصل في إرسال البيانات إلى وحدة التحكم عن بعد (VA) عبر HTTPS. يتم تجاهل أي تعيينات IP للمستخدم يتم إرسالها أثناء هذه الفترة بواسطة VA. لذلك يوصى بإجراء تغيير التكوين على VA فقط أثناء ساعات التوقف عن العمل عندما لا يتم توقع تسجيل دخول المستخدم.
Umbrella Android Client
إذا كنت تستخدم شهادات CA الموقعة ل VAs، تأكد من دفع شهادة الجذر وإصدار شهادات CA لكل شهادة VA وتثبيتها على كل جهاز Android.
إذا كنت تستخدم شهادات ذاتية التوقيع ل VAs، تأكد من دفع كل شهادة VA إلى وتثبيتها على كل جهاز Android.
بمجرد توفر الشهادة، يمكن لعميل Umbrella Android بدء إستخدام هذه الشهادة لإعداد قناة HTTPS مع VA.
عميل Umbrella Chromebook
إذا كنت تستخدم شهادات موقعة من CA ل VAs، تأكد من دفع شهادة الجذر وإصدار شهادات CA لكل شهادة VA وتثبيتها على كل مصنف.
إذا كنت تستخدم شهادات ذاتية التوقيع ل VAs، تأكد من دفع كل شهادة VA وتثبيتها على كل كروم.
بمجرد توفر الشهادة، يمكن لعميل Umbrella Chromebook بدء إستخدام هذه الشهادة لإعداد قناة HTTPS مع VA.
لمزيد من المعلومات، ارجع إلى المقالة عميل Umbrella Chromebook: إرسال تعيينات بروتوكول IP للمستخدم عبر قناة آمنة إلى الجهاز الظاهري Umbrella.
تسلسل التكوين
بمجرد تمكين HTTPS على VA، لا تقبل VA تعيينات IP الخاصة بالمستخدم المرسلة في نص عادي عبر HTTP. ونتيجة لذلك، يتم تجاهل أي عمليات تسجيل دخول مستخدم تم إرسالها عبر HTTP، كما لا يتوفر نسب المستخدم لطلبات DNS من هؤلاء المستخدمين. لذلك يوصى بتكوين هذه المكونات بهذا الترتيب:
1. قم بإنشاء الشهادة والمفتاح الخاص لكل VA استنادا إلى شهادة CA موقعة أو موقعة ذاتيا.
2. قم بإضافة الشهادة والمفتاح الخاص لكل VA على التوالي.
3. تأكد من تثبيت الشهادة الجذر والشهادات المرجعية المتوسطة لكل شهادة VA (أو شهادة VA ذاتية التوقيع) على كل نظام يشغل موصل AD في نفس موقع VA، وعلى كل كروم.
4. أثناء ساعات التوقف عن العمل، قم بتمكين HTTPS على VA.
ملاحظة: يجب إستبدال الشهادة الموجودة على VA قبل انتهاء صلاحيتها، ويجب تثبيت الشهادات الرئيسية والجذرية الوسيطة على موصل AD وعملاء Umbrella Chromebook. في حالة عدم القيام بذلك، لا يتمكن عملاء Umbrella Chromebook وموصل الإعلان من الاتصال ب VA.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
24-Sep-2025
|
الإصدار الأولي |
التعليقات