Parallels Awingu

Parallels Awingu från Alludo är en trevlig lösning som löser många utmaningar när det gäller access till interna resurser. Awingu innehåller ett så stort antal komponenter så det kan vara svårt att hålla reda på allt, så den här blogg posten kommer att bli rätt lång.
Vill man inte läsa sig till det så finns det ett stort antal mycket bra instruktionsvideos på https://www.awingu.com/setupvideos/ 

Men vi tar oss igenom de olika delarna här en och en i den ordning jag sätter upp dom i vår demo miljö
Awingu Installation

Innan vi börjar installera så ska vi titta på vilka förutsättningar som måste uppfyllas

Anslutningar
Det är ett stort antal portar som måste vara öppna från AwinguVM och till de resurser den ska nå. Om man sätter firewall restriktioner på de interna resurserna Awingu ska nå måste dessa öppnas.
Se https://manuals.awingu.com/admin-manual/awingu-admin-manual-5-5.pdf 

Till Awingu servern ska 80, 8080 och 443 vara öppet

Sizing
Konfigurera AwinguVM med följande setup beroende på stoirleken på miljön:
  • Minimum, 100 RDP strömmar
    • 2 vCPU
    • 4GB minne
    • 80GB disk
  • Medium, 250 RDP strömmar
    • 6 vCPU
    • 6GB minne
    • 80GB disk
  • Stor, 500 RDP strömmar
    • 8 vCPU
    • 5GB minne
    • 80GB disk
För större än 500 RDP strömmar rekommenderas flera AwinguVM
Awingu kan också konfigureras i kluster för större och redundantare miljöer
För kluster måste en extern databas användas samt att det sätts en lastbalanserare för VM:arna

I https://manuals.awingu.com/admin-manual/awingu-admin-manual-5-5.pdf finns beskrivet hur man kan konfugurera Awinu upp till 5.000 "light-weight" användare (1 RDP ström) eller 1.000 "Heavy-weight" användare (3 RDP strömmar och 10 reverse proxy)
Setup

HAwingu körs i en virttual appliance och finns för:
  • OnOPrem
    • Microsoft Hyper-V
    • VMware ESXi
    • KVM
    • XenServer
  • Cloud
    • Microsoft Azure
    • Amazon EC2
    • Google Compute Engine
Vi kommer att sätta upp vår labb miljö på Hyper-V så det är det som beskrivs här, även fast jag tror att man kan fökja denna instruktion oavsett plattform. För mer specifik instruktion, se https://manuals.awingu.com/admin-manual/awingu-admin-manual-5-5.pdf
  • Steg 1
    • Ladda ner Awingu Appliance
      • https://repo-pub.awingu.com/appliances/latest/hyperv/
      • Packa upp zip filen
  • Steg 2
    • Skapa en VM med spec enligt ovan
    • Koppla till den nedladdade Awingu disken 
  • Steg 3
    • Boota maskinen och gå till konsollen (OBS! på Hyper-V - stäng av secure boot)
    • Redigera nätverksinställningarna (det är det enda som går att göra i konsollen)
Awingu Installer
  • Surfa till <Awiungu nätverksadress>:8080
  • Godkänn avtalet (efter genomläsning ;) )
  • Hoppa över restore
  • Konfiguera management användare (admin konto)
  • Ställ in hostnamn, DNS och NTP server
  • Option - koppla en extern databas, rekommenderas över 200 användare och krävs för kluster
  • Finish - servern installeras
Konfigurering
  • Logga in med management användaren som skapades
  • Godkänn integritets policyn
  • Nu får vi upp en sida med de applikationer som finns konfigurerade för den användaren - och det är inte så många :)
  • Klicka på System settings
    • Licens: vid installation så har man 15 dagars eval licens för 2 samtidigare användare. Tag kontakt med Commaxx för att köpa licens eller ehålla en partner NFR licens
    • Management user
      Här kan man lägga in vit listade subnet om man vill
    • Remote support
      Kan behöva öppnas för SSH access direkt till VM:en
    • Uppgradering
      Används vid uppdatering
  • Längst upp till höger har vi en meny som heter "Global"
    • Under "Connectivity" hanterar vi nätverk och övrig anslutningsinformation. Går inte in på det här
    • Domains:
      Awingu lagrar ingen användare information utan autktoriserar användare med en existerade infrastruktur.
      Klicka "Add"
      Fyll i information om den domän som Awingu ska kopplas mot
      För mig blir det:
      Name: COMMAXX
      Connectivity
      NetBIOS Name: COMMAXX
      Domain FQDN: commaxx.info
      DC/LDAP Server: 192.168.5.20
      Base DN: dc=commaxx,dc=local
      LDAP over SSL: Disabled (OBS! För att användare ska kunna byta lösenord måste LDAP över SSL vara konfigurerat, certifikatetr på LDAP servern måste vara SHA256, SHA512 stöds inte av Awingu)
      DNS Server: 192.168.5.20
      Bind User
      Admin användare som har rätt att läsa LDAP katalogen och importera applikationer och användare
      Add
Bra att veta 

Det finns några inställningar som är bra att känna till innan man börjar publicera applikationer och desktops i Awingu

User Labels
Efter att du anslutit Awingu till ditt AD så kan du använda "User labels" för att sätta rättigheter på det du publicerar, både användare och grupper, ex "Domain Admin", "Doman Users" eller enskilda användare. Det är bara att börja skriva nament så slår den up det i AD:et
Om man inte skriver nånting i den rutan så får ingen upp den, väljer man"All:" så får alla den

Context Policy Labels
Context Policy Labels används för att sätta andra former av rätigheter till en publicerad applikation

Man kan använda:
  • Land med 2 teckens ISO 3166-1 (https://en.wikipedia.org/wiki/List_of_ISO_3166_country_codes), dvs applikationen syns bara om man är i det eller de angivna länderna
  • Network genom att ange ex "network:192.168.1.0" eller ett subnet, ex "network:192.168.1.0/16"
  • MFA. Om man anger "MFA:requried" så måste användaren vara inloggad med MFA. Om man inte är det och klickar på en sån applikation, visas med ett hänglås på applikationen, så får man logga in igen och då med MFA (se nedan)
Interna web applikationer

Med Awingu kan man komma åt interna webb applikationer via reverse proxy, och alltså utan VPN

Det första man måste göra är att sätta upp ett extra DNS record som pekar på Awingu servern. Detta måste göras för varje applikation man publicerar.
Vi har som standard https://awingu.commaxx.info som pekar på våpr externa IP adress for Awingu appliancen, vi lägger till ytterligare ett DNS record, i vårt fall webapp.commaxx.info, som pekar på samma externa IP adress.
Det är också viktigt att Awingu appliancen kan nå de URL:er som man lägger upp, dvs att Awingu appliancen har ett korrekt konfigurerad DNS för att kunna slå upp interna web adresser.

Sen är det enkelt
  • Logga in till Awingu som admin
  • Starta Awingo System settings
  • Manage
  • Applications
  • Add
  • Reverse Proxied web application
  • Name : Det som ska visas för användaren
  • Destination URL - den interna URL:en till applikationen
  • Source Host Header: Den extra DNS som vi la upp ovan (webapp.commaxx.info)
  • Övriga fält enligt Awingu standard i övrigt
Applikationsservrar

För att kunna nå aplikationer och desktop är första steget att konfigurera applikationsservrar
Starta "System Settings > Manage > Application Servers"

Allra enklast är att importera dom från AD:et
  • Klicka "Import from AD"
  • Välj maskin
  • Under Punkt 2.
    • Port - normalt 3389
    • State: Enabled
    • Max connesctions. Hur många sessioner tillåts att öppnas mot den maskinen
  • Import
Sen ska vi i det här exemplet publicera den maskinens desktop. Hur vi publicerar applikationer från den kommer längre ner
  • Gå till "System Settings > Manage > Applications"
  • Klicka "Add"
  • "Desktop Application"
  • Ge den ett namn och om du vill en beskrivning
  • Välj en icon
  • Välj vilken programkategori den ska tillhöra
  • Välj vilka användare som ska ha rätt att köra den
  • "Context Policy Labels" förklaras ovan
  • Server Laber: Välj den server du skapade ovan
Demo & Labb Leverantörer