Vejledning i brug af DMUs WebVPN system for konsulenter og partnere Instructions in the use of DMU s WebVPN system for consultants and partners Bernhard Fabricius, IT-afdelingen Version 2, 2009-05-28 (RDP & Internet Explorer 8/Windows XP + CIFS) Tilmelding For at få adgang til WebVPN systemet skal der udfyldes en Aftale om VPNadgang for konsulenter som findes på intranettet (Bazaren). Aftalen skal underskrives af konsulentens/partnerens sponsor (sædvanligvis ejeren af det/de systemer som skal tilgås) og skal indeholde brugerens mobiltelefonnummer og navnet på kontaktpersonen i DMU (hvis dette ikke er sponsoren). Videre skal der tages stilling til hvilken portal man ønsker (dvs hvilke servere man skal kunne tilgå). Formularen afleveres i IT-afdelingen. Signing up In order to get access to the WebVPN system, the form Agreement on VPN access for consultants (found on the intranet Bazaren ) must be filled in. The form must be signed by the sponsor of the consultant/partner (usually the owner of the involved systems) and must include the user s mobile phone number and the name of the contact within DMU (if different from the sponsor). Further, a decision must be made as to which portal is required (i.e. which servers should be reachable). The form is then handed in to the IT department, Før brug af systemet Systemet kan bruges fra maskiner i hele verden. Det anbefales at sørge for at maskinens virusbeskyttelse er up-to-date, at alle kritiske opdateringer til operativsystemet er installeret og at maskinens JAVA er den nyeste tilgængelige (opdateringer hentes fra http://www.sun.com). Before using the system The system can be used for computers all over the world. We recommend that the anti-virus software is current and that all critical updates have been installed. 1
Further, it is highly recommended to ensure that the JAVA platform is up-to-date. (Updates may be found at http://www.sun.com) Forbindelse til systemet For at logge ind skrives vpn.dmu.dk i Web-browserens adresselinie. Browseren skal være Internet Explorer version 7 eller nyere. Der skftes automatisk fra http til https og vises en hængelås (sikker forbindelse). Username (ex: dmuext-abc) oplyses per e-mail og Password kommer som SMS. Group skal være Browser-access som vist. Klik på Login. Note: Man skal melde http://vpn.dmu.dk og https://vpn.dmu.dk ind i browserens zone med Trusted sites for at få Fjernskrivebord til at virke med Internet Explorer 8 på Windows XP Connecting to the system To log in, type vpn.dmu.dk in the address bar of the Web-browser. The browser should be Internet Explorer 7 or newer. Note the automatic change from http to https and the pad-lock (secure connection). Use the Username (like dmuext-abc) you received on e-mail and the initial Password that came as a text message. Group should be Browser-access as shown. Next click on Login. Note: You must add http://vpn.dmu.dk and https://vpn.dmu.dk to the browser s Trusted sites zone in order to make Remote Desktop work with Internet Explorer 8 under Windows XP 2
Engangspassword I løbet af nogle øjeblikke kommer der en (Flash) SMS med et engangspassword. Det er på seks tegn (tal og små bogstaver) og skal skrives i Response feltet. Klik Continue. Note 1: En lille bug i software gør at du selv skal sætte fokus på Response feltet ved at klikke der. Vi håber meget at fejlen bliver rettet snart! Note 2: Navnlig i udlandet kan det tage nogen tid før SMS en kommer. Systemet er sat op til at være meget tålmodigt, men kun hvis du også er det hvis du begynder forfra med brugernavn og password risikerer du at den SMS du omsider modtager passede til den foregående session! Note 3: En Flash SMS dukker op på telefonen uanset om den er låst op eller ej og lagres ikke. One-time password Within a few moments a (Flash) text message (SMS) will arrive with a one-time password. It is made up of six characters (numbers and lowercase letters) and should be typed in the Response field. Next click Continue. Note 1: Due to a minor bug in the software, you have to set focus in the Response field yourself by clicking on it. We hope this will be corrected soon. Note 2: It may take some time, especially when abroad, before the text message arrives. The system is configured to be very patient, but only if you are too if you start over with username and password, you run the risk that when the text message finally arrives, it will match the previous session! Note 3: A Flash SMS appears on the telephone even when it is locked and is never stored. 3
Portalen Efter succesrigt login vises en portal med de muligheder, dit brugernavn er sat op til. Det varierer fra bruger til bruger, men konsulenter og partnere har sædvanligvis et antal ikoner for fjernskrivebord til de servere ogeller de filshares man skal arbejde på. Note 1: Da vi grupperer konsulenter kan der godt kan være ikoner, du ikke må bruge. Note 2: Vi benytter i videst muligt omfang single sign on således at brugernavn og password kun skal skrives ved login til portalen. Skulle der blive afkrævet et brugernavn og password er det de samme som skal bruges The portal On completion of a successful login sequence, a portal will be shown with the options available to your username. The content will vary between different users, but consultants and partners usually have a number of icons for Remote Desktop connections to the servers and/or file shares they need to work on. Note 1: Since we group consultants you may see icons for servers to which you have no access. Note 2: We use single sign on whenever possible so you only need to type your username and password during the portal logon. Should you be prompted for a username and password then use the same values. 4
Fjernskrivebord Fjernskrivebord mod serverne kan enten køre i et browservindue, eller som vist i fuld skærm ved at klikke på Full Screen knappen. Brugernavn og password skal ikke angives igen og man har adgang til sin lokale udklipsholder og sine lokale printere (og eventuelt lokale diske hvis dette er konfigureret). Note 1: Den første gang klienten startes skal der installeres nogle komponenter se appendiks. Note 2: Fjernskrivebordet virker kun godt med ActiveX på Internet Explorer. JAVA versionen til andre browsere er ikke understøttet af DMU. Den må gerne bruges, men vi hjælper ikke! Remote Desktop Remote Desktop to the servers can either be run within the browser or in full screen mode, as shown, by clicking on the Full screen button. Log on is through single sign on (no prompt for username and password) and access is provided to your local clip-board, your local printers (and your local drives if that has been configured). Note 1: The first time the client is started, some components need to be installed see appendix. Note 2: The Remote Desktop only works well with ActiveX on Internet Explorer. The JAVA version for other browsers and platforms is not supported by the IT Department. Feel free to use it, but don t ask for help! 5
Fil-shares Filer kan tilgås enten gennem portalens menu (upload, omdøb, slet osv) eller ved brug af Web-folders som ligner den sædvanlige Windows Explorer og gør det muligt at tilgå filer og kataloger fra f.eks. Office programmerne. Web-folder startes ved at klikke på ikonet i menuen givent folder-navn. Note: Man kommer tilbage til portalen ved at bruge browserens Tilbage knap eller ikonet ud for et File shares Files may be accessed through the portal (upload, rename, delete etc) or through the use of Web-folders which resembles the usual Windows Explorer and makes it possible to access files and directories directly from e.g. Office programs. Web-folders are started by clicking on the icon in the menu (or to the right of a specific folder name. Note: Your return to the portal through the use of the browser s navigational button 6
Logout Fjernskrivebordsessions sluttes med den røde Log-off knap (gul på ældre servere). Man kan afslutte WebVPN sessionen med den røde ring med krydset i navigationsmenuen eller den røde firkant med krydset på selve portalen. Der vises et afslutningsbillede og det anbefales at lukke browseren og slette cachen hvis man kan. Logout The RDP session is ended by clicking the red Log-off button (yellow on older servers). You can end the WebVPN session by clicking the red circle with the white cross in the navigational menu or the red square with the white cross on the portal itself. A closing picture is show and it is recommended that you close the browser and clear the cache if you can. 7
Appendiks: Første brug af klienten til Fjernskrivebord Fjernskrivebordet kræver nogle browser-udvidelser for at virke. Disse hentes første gang man klikker på ikonet, og der skal svares på advarsler og udføres en række handlinger før det virker. Det kan virke overvældende, men efter den første gang er der højst en enkelt sikkerhedsadvarsel at tage stilling til. Generelt kan man med sindsro ignorere advarsler om fejl i signaturer og sige ja til at installere/enable komponenter. Først skal der installeres en Port Forwarder fra CISCO. Der kommer en advarsel i toppen af browseren: Klik og vælg at installere den. Nu kommer en advarsel om at signaturen er forkert: Vælg Always trust og klik på Run. Det giver endnu et vindue: Vælg Install det var faktisk det vi ville. 8
En ballon-tekst i bunden af browser dukker nu atter op med besked om at en add-on er disablet. Højre-klik på tandhjulet: Peg på den manglende komponent Microsoft Terminal Services Client Control (redist) og klik på Enable. Den hopper nu ned i listen af Enabled e udvidelser og man kan klikke OK. Dette udløser en advarsel om at man måske skal genstarte, men dette kan ignoreres ( OK ). 9
Det starter dog ikke klienten og browser-siden med JAVA funktioner virker heller ikke, men man kan dog nemt komme tilbage til portalen med browserens egen tilbage funktion: NU kan man starte fjernskrivebordet igen, og denne gang skulle man kun få advarslen: Klik Connect og du er inde! Ved at eksperimentere med ActiveX opsætningerne for browserens zone med Trusted sites kan man også slippe af med denne advarsel, men det vil DMUs IT-afdeling ikke blande sig i, da området kan være styret af din virksomheds Group Policies. 10
Appendix: First use of the Remote Desktop client The Remote Desktop client requires certain browser-extensions to work. These are downloaded the first time the RDP icon is clicked and you need to answer a number of prompts and change some settings. The tasks involved may seems overwhelming, but after this first run only a single security warning remains on subsequent use. In general, warnings about signature errors may safely be ignored and request to install or enable components safely be confirmed. First the Port Forwarder from CISCO is installed. A warning appears at the top of the browser: Right-click and choose to install. Next a signature warning appears: Choose Always trust and click on Run. This results in yet another window: Choose Install that is actually what we wanted to do! 11
A balloon text at the bottom of the browser now reappears with a message that an add-on is disabled. Right-click the cog: Select the disabled component Microsoft Terminal Services Client Control (redist) and click on Enable. It now moves to the list of enabled components and you click OK This spawns a warning that you may have to restart the browser ignore ( OK ).. 12
This will not, however, start the client and the browser page is full of nonfunctioning JAVA links, but you can easily return to the portal page by means of the browser s own navigational buttons: NOW the RDP session can be restarted and this time all you ll get is this warning: Click Connect and you re in! Note: By experimenting with the ActiveX settings of the browser s Trusted sites zone you may get rid of even this warning, but DMU s IT Department will not be involved in this as the area is usually covered by the Group Policies in your company. 13