Der SSL-Explorer von 3SP Ltd. ist eine SSL-VPN Lösung, die durch Java Applets einen VPN Tunnel ins Unternehmens- oder Heimnetzwerk aufbaut. Durch so genannte Application Shortcuts können RDP, WinSCP, Putty Verbindungen erstellt werden. Des Weiteren gibt es Network Places, die z.B. auf SMB- Shares oder ähnliches im entfernten Netzwerk verweisen, um von jedem Platz auf der Welt und jedem PC mit Browser und installiertem Java auf Dateien zuzugreifen.
Die Firma 3SP Ltd. hat im April 2008 angekündigt, keine weiteren Releases der Community Edition zu veröffentlichen.
Als Fork der Community Edition hat sich das Projekt Adito gebildet, welches die Community Edition weiter entwickelt und als OpenSource anbietet.
Update: Adito ist ebefalls Geschichte. Der direkte Nachfolger ist OpenVPN ALS. An dem Tutorial sollte sich aber nichts ändern.
In diesem Tutorial installiere ich die Version Adito 9.6.1
Als Basis setze ich auf CentOS 5.2 mit aktuellen Patches.
1. Abhängigkeiten
Wichtig ist vor Allem ein gültiger Eintrag in der /etc/hosts:
[root@adito ~]# cat /etc/hosts # Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 192.168.20.59 adito.meinedomain.local adito [root@adito ~]#
Möchte man seine User später per Active Directory authentifizieren, sollte ein entsprechender Eintrag, der auf den Domänencontroller zeigt ebenfalls in die /etc/hosts eintragen:
[root@adito ~]# echo '192.168.20.5 dc01.meinedomain.local dc01' >> /etc/hosts
Da Adito auf Java und Ant aufsetzt, werden erstmal diese beiden Dependencies installiert.
Beide Pakete erhält man auf den Webseiten der Hersteller bzw. Projekte.
1.1 Java
Java Development Kit Update 12: http://java.sun.com/javase/downloads/index.jsp
Nach einem Klick auf Download und auswählen der benötigten Architektur erhält man einen sehr langen Downloadlink. Man hat nun die Möglichkeit die Datei per Browser herunterzuladen und per WinSCP oder ähnlichem auf den Server zu bringen oder direkt per Konsole und Curl.
Dazu folgendes eingeben und die URL des Downloadlinks einsetzen:
[root@adito downloads]# curl -L -O 'sehr-lange-url-von-der-sun-webseite und das heruntergeladene Paket entpacken und nach /opt/verschieben: [root@adito downloads]# sh jdk-6u12-linux-i586.bin [root@adito downloads]# mv jdk1.6.0_12/ /opt/
1.2 Ant
Ant Projektseite: http://ant.apache.org/bindownload.cgi
Adito benötigt Ant ab der Version 1.6.0, momentan aktuell ist die Version 1.7.1.
Herunterladen:
[root@adito downloads]# wget http://apache.speedbone.de/ant/binaries/apache-ant-1.7.1-bin.zip
Entpacken und an einen vernünftigen Platz verschieben:
[root@adito downloads]# unzip apache-ant-1.7.1-bin.zip [root@adito downloads]# mv apache-ant-1.7.1 /opt/ant
Damit Ant und Java auch Systemweit verfügbar ist, werden in der /etc/profile die Umgebungsvariablen dafür angelegt. Und zwar ganz unten vor dem unset pathmunge
JAVA=""
export JAVA="sun"
export JPATH="/opt/java/"
export JAVA_HOME="$JPATH"
export CLASSPATH="$JPATH/bin"
export ANT_HOME=/opt/ant
export PATH=${PATH}:${ANT_HOME}/bin
unset pathmunge
Nach einem Logout und Login kann via
[root@adito ~]# ant -version Apache Ant version 1.7.1 compiled on June 27 2008
überprüft werden ob alles seine Richtigkeit hat.
2. Adito
Downloadseite: http://sourceforge.net/project/showfiles.php?group_id=228294
Adito herunterladen, entpacken und in /opt/adito verschieben und in das Verzeichnis wechseln:
[root@adito downloads]# wget http://dfn.dl.sourceforge.net/sourceforge/adito/adito-0.9.1-bin.zip [root@adito downloads]# unzip adito-0.9.1-bin.zip [root@adito downloads]# mv adito-0.9.1 /opt/adito [root@adito adito]# cd /opt/adito/
Durch den Aufruf von
[root@adito adito]# ant install Buildfile: build.xml set-tools: check-tools: check-permissions: install: [java] Starting installation wizard.....Point your browser to http://adito.meinedomain.local:28080. [java] [java] Press CTRL+C or use the 'Shutdown' option from the web interface to leave the installation wizard. [java] .
wird die Installationsroutine gestartet und Adito kann über den Browser konfiguriert werden.
Man hat die Wahl, ein neues Zertifikat zu erstellen oder ein Zertifikat von einer offiziellen Zertifizierungsstelle wie z.B. Thawte zu importieren.
Für dieses Tutorial, lasse ich von Adito ein eigenes Zertifikat erstellen:
Die Userauthentifizierung kann wahlweise an einen Domänencontroller weitergereicht, von Adito übernommen oder anhand der Linuxeigenen Mechanismen realisiert werden. In Unternehmen steht in der Regel ein Domänencontroller zur Verfügung. Also werde ich es hier beispielhaft einmal durchführen.
Der Administratoraccount der Windows Domäne lässt sich genausogut verwenden, wie ein extra für diese Zwecke erstellter Service Account. Unter dem Tab OU-Filter lassen sich die Organisational Units festlegen. Hat man seine User in solchen Organisationseinheiten muss man diese Filter entsprechend anpassen.
Sollte nach einem Klick auf Next ein User Database error auftauchen, sollte man auf jeden Fall die Namensauflösung zum Domänencontroller überprüfen. Entweder den Eintrag in der /etc/resolv.conf oder den statischen Eintrag in der /etc/hosts.
Der Super User, ist der jenige, der später alle Systemeinstellungen, wie Policy Groups, Network Places und Application Shortcuts vornimmt. Hier habe ich ebenfalls den adito-service Account gewählt.
Im nächsten Schritt werden die Einstellungen für den Webserver vorgenommen, auf welchem Port und welcher IP soll Adito lauschen.
Der letzte Konfigurationspunkt ist für Umgebungen in denen ein Proxy zum Einsatz kommt, dann demnentsprechend konfigurieren.
Die Installation wird abgeschlossen und der Installer beendet sich.
Um die Adito Init Scripte zu installieren muss noch einmal zur Konsole gewechselt werden und im Adito Installationspfad die letzten Schritte ausgeführt werden.
[root@adito adito]# ant install-service Buildfile: build.xml set-tools: check-tools: check-permissions: install-service: [echo] Installing Adito as Linux service [exec] Detecting Java [exec] Using /opt/java/jre [exec] Detected OS redhat (x86) [exec] Service installed [echo] Adito installed as Linux service BUILD SUCCESSFUL Total time: 0 seconds
Adito das erste mal von Hand starten. Dieser Schritt ist notwendig, weil Adito noch einige Configs koipieren muss um per Init Script gestartet werden zu können.
[root@adito adito]# ant start Buildfile: build.xml create-wrapper-conf: [copy] Copying 1 file to /opt/adito/conf [echo] Creating wrapper configuration dynamically [echo] [echo] Java executable: /opt/java/jre/bin/java [echo] Wrapper directory: install/platforms/linux/x86 set-tools: check-tools: check-permissions: start: [exec] Starting Adito... [echo] Adito started BUILD SUCCESSFUL Total time: 1 second
Nachdem die Initscripte aktiviert und Adito gestartet wurde, kann man sich per Webbrowser am Adito anmelden.
Sollte dieses Howto genügend Anspruch finden, werde ich auch noch auf das Einrichten und das Erstellen eigener Extensions eingehen.
Konstruktive Kritik und Anregungen sind Erwünscht.
Rechtschreibfehler dienen weder der allgemeinen Erheiterung, noch sind sie beabsichtigt. Vielmehr bilden sie eine terroristische Vereinigung, die es dank meiner orthographischen Fähigkeiten geschafft hat, geheim zu bleiben und sich dem Zugriff der rollenden Staatsmacht zu entziehen. Gut versteckt versuchen sie, unsere Gesellschaft zu infiltrieren, um die Pisa-Studie zu sabotieren…
Der hat doch ne kleinere...
Klingt schon mal sehr interessant.
Mehr davon.
die beste Anleitung, die ich gefunden habe.
Danke
Danke für das Feedback Joachim. Sowas liest man doch gerne.
Sehr gut, danke dir! Zuvor war zu wenig Kenntniss mit ant vorhanden etc. jetzt klappts
[...] http://sourceforge.net/projects/openvpn-als/files/ Eine gute Installationsanleitung (CentOS) hiert: http://blog.verfriemelt.com/index.php/2009/02/installation-von-adito-ssl-explorer-auf-centos-52/ [...]
[...] Kommentare gerade bei Artikeln wie “Installation von Adito(SSLExplorer) unter Centos5.2“, “ESXi Cronjob Backup (ESXi 4.0)“, “VMware ESXi Backup Script” um [...]
Ich steige durch den Grundgedanken von Adito/openvpn-als noch nicht so ganz durch. Ist das Ganze nun nur eine Konfigurationsoberfläche für OpenVPN (was der Name openvpn-als mutmaßen lassen würde), ist es ein OpenVPN-Ersatz, der über die Weboberfläche schlicht einfacher zu konfigurieren ist als OpenVPN, oder ist es gar irgendetwas, was sogar browserseitig Dienste bereitstellt? Ich bin verwirrt
@Arne Mit OpenVPN an sich hat das erstmal nicht viel zu tun, bis auf das du einen verschlüsselten Tunnel aufbauen kannst. Das Ganze ist so aufgebaut, dass du dich mit Browser via User + Password an dem Login Screen anmeldest. Dann hat man einige so genannte Application Shortcuts. Das könnte z.B. eine Java RDP Verbindung sein, ein Zugriff auf eine Freigabe oder so. Benutzt du jetzt diese Java RDP Verbindung, wird ein SSL-Tunnel zum RDP Port des Servers geöffnet und mit dem integrierten RDP Client eine Verbindung aufgebaut. Du kannst also von jedem Rechner der einen Browser+Java installiert hat, eine verschlüsselte Verbindung zu einem Server in deinem Unternehmen aufbauen ohne irgendeinen Client installieren zu müssen. Grob gesagt…
Hoffe ich habe dich jetzt nciht noch mehr verwirrt
Hallo Björn
Saubere Arbeit, danke!
Ich (mit-)verantworte den IT Betrieb unserer Klinik und habe schon erfolgreiche Experimente mit SSL-VPN hinter mir. (Diverse Produkte)
OpenVPN ALS überzeugt und danke Deinen Ausführungen verstehe ich die Soft schon rech tgut und konnte sie installieren. Meine Frage nun konkret in die Runde: Wie setze ich die Funktion SSL-Tunnel ein? Ich meine wo liegt der praktische Nutzen im Vergleich mit einem Apllication Shortcut? Ich steh da noch auf der Leitung… Habe mal versucht, den Port 3389 (RDP) als Tunnel einzurichten. Der Tunnel lief aber eine Verbindung vom Client zum Terminal Server klappte nicht…
Gibts eine Info mit Schritt für Schritt Beispiel dass auch ichs noch kapiere
?