Piszki Lab

Analiza przypadku w języku przodków…

Dostęp do systemu Windows przez przeglądarkę internetową.

| 0 comments

Przed przystąpieniem do napisania tego posta zrobiłem mały risercz. I wyszło mi, że nie tak łatwo jest zorganizować dostęp zdalny przez przeglądarkę do własnej stacji roboczej. Istnieją różne rozwiązania, w większości wymagające instalacji serwera i klienta. Najbliższym rozwiązaniem do tego które tutaj opiszę jest chyba “Microsoft Remote Desktop Web Access”, jednak jest to funkcja Microsoft Server. Tak się jednak złożyło, że niedawno miał premierę VMware Horizon 6 with View, a wraz z nim nowa odsłona dodatku Direct Connect (o którym marudziłem tutaj). Jednak tym razem pojawiła się też nowość, Horizon View HTML Access. Pod tą nazwą kryje się protokół BLAST, który do tej pory był częścią Horizon View Connection Server i który to umożliwiał posiadaczom infrastruktury View komfortową pracę na stacjach roboczych z dowolnego miejsca poprzez przeglądarkę internetową. Dziś zostało to wydzielone na zewnątrz (budowa View stała się bardziej modularna), instalacja i konfiguracja nie jest prosta (ale też bez przesady), ale jej ukończenie pozwoli nam, za darmo, cieszyć się zdalnym dostępem do desktopa. Piszę że za darmo, oczywiście najpierw trzeba ściągnąć Horizon 6 with View z 60 dniową licencją, jednak sam dodatek do działania nie wymaga zainstalowanej i ważnej licencji (czyli można trochę “przedłużyć” jego używanie bez kombinowania). Poza tym VMware ma bardzo liberalny stosunek do “Home Lab” i nie czyni problemów osobom zdobywającym wiedzę z zakresu ich produktów.

unnamed

Cała procedura zawiera się w trzech krokach i przedstawia się następująco:

W kroku pierwszym musimy ściągnąć i zainstalować Horizon View Agent w wersji 32 lub 64 bit (zależnie od waszego systemu). Ściągamy też oczywiście dodatek Horizon View HTML Access (dla ułatwienia linki prowadzą bezpośrednio na mój serwer) i sam View Agent Direct Connect (32 lub 64 bit). Agenta należy zainstalować z linii komend (jako Administrator) z parametrem VDM_SKIP_BROKER_REGISTRATION=1  (Uwaga: nie użyjemy tej maszyny z View Connection Server):

web7

Dodatek View Agent Direct Connect instalujemy jako Administrator bez parametrów na domyślnym porcie 443 (nie jest to obligatoryjne). W kroku kolejnym musimy zainstalować i skonfigurować IIS, robi się to bardzo prosto. W panelu sterowania wybieramy “Programy i funkcje”, dalej “Włącz lub wyłącz funkcje systemu Windows” (zależnie oczywiście czy to jest Windows 7 czy 8, tutaj przykład pochodzi z Windows 7 32-bit):

web1

Teraz musimy sprawdzić, czy mamy w systemie jakikolwiek certyfikat wystawiony dla komputera. Możemy to zrobić poprzez uruchomienie konsoli przystawek mmc (w menu start uruchom: mmc) i oddania przystawki obsługującej certyfikaty:

web2

Certyfikat SSL może być dowolny, byle wspierał rozszerzenie “uwierzytelnianie serwera” i miał przyjazną nazwę vdm (dodajemy ją sami). Certyfikat ten będzie użyty przez serwer WWW do wyświetlania konsoli naszego komputera po protokole HTTPS. W przypadku braku certyfikatu, należy go sobie wygenerować i zaimportować. Mogę tutaj jedynie polecić mój skrypt CA (wymaga linuxa) lub odpowiedni poradnik (lub zakup w np. RapidSSL).

web3

W ostatnim kroku rozpakowujemy plik Horizon View HTML Access, w środku jest plik portal.war. Zmieniamy jego nazwę na portal.zip i jego zawartość rozpakowujemy do katalogu c:\inetpub\wwwroot\portal (katalog portal należy utworzyć sobie samemu). Za pomocą np. Notatnika tworzymy plik c:\inetpub\wwwroot\Default.htm z zawartością (adres lub IP = dokładnie taki po jakim będziemy go wywoływać):

<HEAD>

<meta HTTP-EQUIV=”REFRESH” content=”0; url=https://adres IP lub nazwa DNS naszego komputera/portal/webclient/index.html”>

</HEAD>

Teraz musimy przejść do konsoli IIS (Panel sterowania –> Narzędzia administracyjne –> Menedżer internetowych usług… lub to samo w “Zarządzanie komputerem”):

web4

Klikamy w “Default Web Site” i po prawej w “Powiązania”. Robimy nowe wiązanie, port 443 do adresu IP naszego komputera (można go sprawdzić w linii poleceń ipconfig) z naszym certyfikatem vdm. Proponuję aby od razu usunąć domyślne powiązanie na porcie 80:

web5

Następnie dodajemy (jeśli nie mamy), nowy typ MIME:

web6

I to w zasadzie wszystko. Pamiętajmy tylko, że jeśli na naszym komputerze włączona jest “Zapora systemu Windows” to o ile View Agent i Direct Connect utworzą i włączą odpowiednie reguły, o tyle port 443 jest domyślnie wyłączony (reguła “Usługi Sieci World Wide Web”) i należy go ręcznie włączyć.  Przy wystawianiu portalu do Internetu należy też zrobić odpowiednią konfigurację na własnym routerze (przekierowanie). Na koniec o kwestiach bezpieczeństwa. Po pierwsze port może być dowolny, byle był spójny na IIS i w trakcie instalacji Direct Connect (np. 8443). Do portalu należy zalogować się loginem i hasłem lokalnego użytkownika na którego pulpit chcemy się dostać:

web10

Po zalogowaniu wybieramy nasz komputer i przechodzimy na konsolę (ekran główny zostanie zablokowany tak jak to ma miejsce np. przy RDP). Połączenie jest szyfrowane, IIS i portal odpowiadają jedynie za autentykację i przekierowanie na port na którym działa serwer BLAST. Jeśli aktualizujemy regularnie nasz komputer, takie rozwiązanie jest w miarę bezpieczne. Jednak wiadomo, zły zawsze czyha i lepiej pobawić się w zabezpieczenia na firewallu typu dozwolone połączenie jedynie z wybranego IP (np. z pracy). W ostatecznym rachunku liczy się jednak efekt końcowy, a wygląda on tak (wielkość ekranu jest dynamicznie dostosowywana do wielkości okna przeglądarki):

web11

Szybkość działania jest porównywalna z RDP (czyli bez zacięć etc.). Jako dodatek opiszę co zrobić gdy np. mamy własną domenę i wygenerowany dla niej certyfikat podpisany przez CA (nasz lub np. RapidSSL). Podmiana certyfikatu w IIS odbywa się na tej samej zasadzie, importujemy certyfikat (uwaga: opcja “oznacz klucz jako eksportowalny” powinna być zaznaczona), nadajemy mu przyjazną nazwę vdm i wiążemy go na porcie 443 w konsoli IIS. Serwer BLAST realizujący prawdziwe połączenie jest całkowicie oddzielny od IIS i podmiana certyfikatu wygląda inaczej. W tej samej konsolce przystawek (lub w Panel sterowania—>Opcje internetowe—>Zawartość—>Certyfikaty SSL) we właściwościach naszego certyfikatu wyświetlamy i zapamiętujemy Thumbprint (odcisk palca):

web8

Następnie uruchamiamy edytor rejestru (regedit) i w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config w parametrze SslHash wklejamy nasz odcisk:

web9

Następnie restartujemy usługę VMware Blast (lub cały komputer jak kto woli). Jeśli po restarcie SslHash uległ zmianie (a w logu c:\ProgramData\VMware Blast\Blast-Worker.log widzimy komunikat: Unable to load private key from the certificate) to oznacza, że nie oznaczyliśmy klucza prywatnego jako eksportowalnego! Jeśli wszystko się udało, mamy spójne certyfikaty w IIS i BLAST. Jeśli są jakieś dodatkowe pytania to chętnie odpowiem.

Oceń ten artykuł:
[Głosów:1    Średnia:3/5]

Dodaj komentarz

Required fields are marked *.


.

Podobał się wpis? Wesprzyj Piszki Lab, kliknij w reklamę! :-)

.