HOB Desktop-on-Demand

Votre PC de bureau ! N'importe où, n'importe quand!

HOB Desktop-on-Demand fait partie de la solution complète de sécurité HOB RD VPN et HOB RD VPN Compact.

Avec HOB Desktop-on-Demand, un utilisateur authentifié peut avoir un accès à distance sécurisé avec un cryptage via un navigateur standard à son PC de son de travail. Si le PC est éteint, il sera automatiquement activé. L'utilisateur accède à distance, par exemple, à son ordinateur de travail via le client RDP Java intégrée JWT HOBLink (Java Windows Terminal), généralement par Internet, depuis son domicile, un hôtel, chez un partenaire commercial ou d'un ordinateur portable. Accès à partir de cybercafés est également possible, si désiré (peut être désactivé).

Quand quelqu'un veut utiliser HOB Desktop-on-Demand, il n'a pas besoin d'installer quoi que se soit sur le PC local, pas de droit d'administrateur requis. Cette solution est basée sur un navigateur indépendant de la plateforme, à savoir, l'accès est disponible à partir de Windows, Linux ou MAC pour les machines Apple entreprise internes PC.

HOB Desktop-on-Demand: Principe de fonctionnement

HOB Desktop-on-Demand n'est pas un Third-party, les composants sont installés dans le réseau de l'entreprise, de préférence dans la DMZ (zone démilitarisée). Contrairement à des services Third-party, la solution HOB a l'avantage que les données ne sont envoyées qu'une seule fois sur Internet, les performances sont plus élevées et les temps de réponse bien meilleures.

Le composant de base de HOB RD VPN est WebSecureProxy ce composant est sur le serveur . La version actuelle de WebSecureProxy en abrégé (WSP 2,2) est disponible pour Windows, Linux et Unix sur un total de 11 différentes versions suivant la plate-forme. WSP peut également fonctionner sous SCS , l'open-source est sous Système d'exploitation serveur Unix. SCS l'abrégé de 'serveur Secure Communications'.

WSP travaille avec un cryptage SSL. Le crypatge SSL supporte tous les algorithmes de cryptages actuels, y compris AES (Advanced Encryption Standard) jusqu'à 256 bits de longueurs de clés

WSP est doté d'un serveur Web, les composants du client Java RDP JWT HOBLink sont de préférence téléchargés à partir de ce serveur Web intégré. Il est également possible d'effectuer une installation Java à partir du WSP est intégré dans le serveur Web.

Pour l'authentification du serveur via le protocole SSL, le WSP nécessite un certificat X.509, qui est également utilisée dans les serveurs Web avec SSL / HTTPS..

Un utilisateur peut être authentifié de trois façons différentes, selon les réglages effectués lors de l'installation:

• Token avec mot de passe unique par exemple, RSA SecurID,  Premier Access ou VASCO DigiPass
• Certificat pour le client d'authentification via le protocole SSL

L'authentification est faite sur un navigateur avec une connexion SSL / HTTPS par WSP. Ainsi, l'authentification elle-même est cryptée et sécurisée.

WSP a une interface Radius intégré de sorte que l'authentification peut être faite à tous les serveurs Radius conventionnels..

Comme RD VPN 1.3, le client peut également être contrôlé conformément aux critères spécifiés avant l'accès aux données interne de l'entreprise. Lorsque cela est souhaité, cela est déterminé lors de l'installation dans le réseau d'entreprise.

Après qu'un utilisateur ai réussi à s'authentifié au WSP sur un navigateur, et veut (après une sélection facultative du serveur cible) accéder à son PC de bureau, le WSP va envoyer un paquet Wake-on-LAN pour PC de bureau de l'utilisateur. Wake-on-LAN est une technologie qui a été développé depuis 1995 et aujourd'hui intégrée dans presque tous les PC (par exemple, dans la carte réseau). Wake-on-LAN doit être envoyé comme une diffusion UDP. Si le WSP est dans la DMZ, il se pourrait que le paquet de diffusion soit bloqué par le pare-feu et ne puisse rentrer dans le réseau interne.

Il y a aussi une solution pour cela: Le WSP peut également envoyer les paquets IP unicast, qui passent facilement le pare-feu et sont ensuite reformé dans les paquets de diffusion par un relais Wake-on-LAN. Wake-on-LAN relais sont disponibles comme indépendant de la plateforme logiciel (Java) pour l'installation sur n'importe quel serveur dans le réseau d'entreprise. Ce serveur doit ensuite être opérationnel en permanence. HOB peuvent également fournir une solution matérielle pour le relais de Wake-on-LAN, ce qui est une petite machine à haut rendement Linux embarqué.

Lorsqu'un PC est démarré par le Wake-on-LAN, il faut un certain temps pour que RDP puisse démarrer l'ordinateur. Le client Java RDP de JWT attend que le WSP ai établi une session à l'ordinateur de bureau. L'utilisateur est tenu informé de l'avancement.

Avec Windows XP, il faut environ 1,5 minute jusqu'à ce que le PC soit démarré, l'OS ok et le composant serveur RDP prêt. Si l'utilisateur veut accéder plus rapidement, alors il ne doit pas mettre off son PC , mais simplement fermer la session ou verrouiller. Toutes les demandes demeurent valides. Dans cet état la carte réseau reçoit le paquet Wake-on-LAN, Windows passe en état de REPRISE et l'utilisateur peut reprendre le travail plus rapidement au moment de l'interruption.

 Si l'ordinateur de bureau a été laissé en marche, l'utilisateur obtient une session immédiatement. WSP demande certaines données sur le PC de bureau afin de transférer sur la demande de l'utilisateur spécifique au PC et de se connecter. Sont Obligatoires , l'adresse Internet du client et l'adresse de la carte réseau MAC. Ces données, avec l'ID utilisateur et mot de passe, sont enregistrés soit dans le fichier XML de la configuration de WSP (HOB RD VPN Compact) ou dans la composante accès HOB Entreprise.

HOB Enterprise Access utilise une base de données intégrée ou les données sont enregistrées sur un serveur LDAP. HOB Enterprise Access prend en charge tous les serveurs conventionnels LDAP ainsi que Microsoft Active Directory. Si HOB Enterprise Access est de sauvegarder les données à un serveur LDAP, les structures correspondantes doivent être créées via une extension de schéma..

Dans Desktop-on-Demand il y a aussi un composant intégré avec lequel l'adresse Internet et l'adresse MAC peut facilement être lu sur le PC de bureau; ces données sont ensuite saisies dans la configuration.

Lorsque l'utilisateur a une connexion active à travers le client Java RDP de JWT , il peut faire tout ce qu'il pouvait faire à son poste de travail local. Merci aux ressources du protocole RDP, cet accès à distance est très performant.

L'utilisateur peut copier-coller entre le client local et le PC de bureau via le protocole RDP et le presse-papiers. L'utilisateur peut également imprimer sur le client local, ce qui est rendu facile par le biais de EasyPrint, qui fonctionne indépendamment des pilote. Sonore c'est-à-dire de l'audio à partir du PC de bureau peut être utilisée sur le client local. Le Mappage du disque local permet d'échanger des données entre le client local et PC de bureau. Desktop-on-Demand est adapté pour l'accès aux ordinateurs de bureau exécutant Windows XP Pro ou Windows Vista. Les versions Home's ne sont pas supportées, la gestion intégrée du serveur Microsoft RDP sur ces versions ne sont complètement activé.

Si l'on veut accéder à des machines Linux en utilisant Desktop-on-Demand, il y a le composant X11Gate qui traduit X11 ou X-Windows dans le RDP.

En cours de développement, MAC-Gate est une solution pour Apple Mac OS X. Si le composant MAC-Gate est installé sur un MAC OS X alors Desktop-on-Demand fonctionnera comme décrit ci-dessus . Desktop-on-Demand est une partie de la solution complète de sécurité RD VPN. RD VPN est certifié par le BSI (Bundesamt für Sicherheit in der Informationstechnik) en conformité avec les Critères Communs. Avec l'installation complète tous les composants de RD VPN composants peuvent être disposées de façon redondante dans le réseau d'entreprise. Cela évite le problème d'avoir un point d'échec et aide à assurer des opérations ininterrompues.

HT 12.12.11