表的内容

介绍

Google Chromebooks 是为学生提供计算资源的廉价且流行的方式。随着越来越多的 K-12 机构采用程序为每个学生提供计算机资源, 有时称为 "一对一", 因此需要安全地启用应用程序、用户和内容。帕洛阿尔托网络为 Chromebook 最终用户提供了前所未有的安全性和灵活性, 无论它们的位置 (在网络上还是离线)。以下参考指南已经创建, 以鼓励管理员利用所有帕洛阿尔托网络下一代技术, 以造福 Chromebook 用户。

Chromebooks 和 GlobalProtect

许多 K-12 机构现在为学生提供了将 Chromebooks 从本地网络 (即家庭) 中带走的能力。虽然新的倡议为教育提供了更大的灵活性, 但它们也引入了复杂性, 因为它涉及安全地启用应用程序、用户和内容。尽管存在着管理员可以应用于特定用例 (即内容筛选) 的产品, 但它们总是缺少其他关键领域 (即威胁预防、数据撤退、日志记录、关联等)。帕洛阿尔托网络平台提供的本机集成可以为管理员提供通过 GlobalProtect 对远程设备的完全可见性和控制。特定于 Chrome OS, 启用此功能有两个部分:

1. 从 Google Chromebook 管理控制台配置和部署 GlobalProtect 应用程序。
2. 配置和部署鱿鱼代理服务器如果用户尝试在没有启用 GlobalProtect 应用程序的情况下浏览 internet, 则显示响应页。

系统必备组件

此配置文章假定 GlobalProtect 已根据帕洛阿尔托网络技术文档中的最佳做法在防火墙上进行了配置, 并且在非 Chrome OS 设备上起作用。

GlobalProtect 应用程序配置和部署从 Google Chromebook 管理控制台

Chromebook 管理控制台使管理员能够从集中位置自定义和部署 GlobalProtect 应用程序。已从 GlobalProtect 文档中采取了以下配置步骤. 强烈建议阅读指南以了解更多详细信息。

查看 GlobalProtect 应用程序的用户设置

1. 从 Chromebook 管理控制台, 选择设备管理 > Chrome 管理 > 应用程序管理.
   1. 控制台显示在您的域中的所有组织 (组织上) 单位中配置的应用程序列表, 并显示每个应用程序的状态。单击应用程序状态以显示应用该状态的组织单位.
2. 选择 GlobalProtect 应用程序, 然后选择 "用户设置".
   1. 如果应用程序不存在, 请在Chrome Web 商店 中搜索 GlobalProtect.
      

为组织单位中的每个人配置策略和设置

1. 选择要配置设置和配置强制安装 的组织单位
   1. 强制安装 –自动安装此应用程序并防止用户删除它.
      1. 选择顶层组织单位将设置应用于该单元中的每一个人;选择子组织单位仅将设置应用于该子组织单位内的用户。
2. 以 JSON 格式创建文本文件, 使用以下语法并包括 GlobalProtect 门户的 FQDN 或 IP 地址:

   {

      "PortalAddress": {

         "价值": "portalfqdn.com"

      }

   }

3. 在 "用户设置"页上, 选择 "上载配置文件",然后浏览到 GlobalProtect 设置文件.
4. 保存您的更改. 设置通常在几分钟内生效, 但在组织中传播可能需要一个小时。

测试连接

1. 在 chrome 管理控制台成功地部署了应用程序之后,测试 GlobalProtect 应用程序的 chrome 操作系统.

鱿鱼代理服务器配置和部署

1. 通过公共或私有基础结构安装鱿鱼代理服务器.
2. 设置响应页以强制用户启用 GlobalProtect 并将其放入/usr/share/squid3/errors/en.
   1. 有关错误页面自定义的更多信息, 可以在Ubuntu 网站 上找到。下面是一个示例页:

       

      <!DOCTYPE html>

      <html>

          <head>

              <title>请启用全局保护以浏览互联网</title>

       

              <style type="text/css">

              <!--

              html, 正文, #tbl_wrap {高度: 100%; 宽度: 100%; 填料: 0; 边距: 0;}

              #td_wrap {垂直对齐: 中间; 文本对齐: 居中;}

              -->

              </style>

          </head>

       

          <body></body>

              <table id="tbl_wrap"><tbody><tr></tr></tbody></table>

              <!-- START: Anything between these wrapper comment lines will be centered -->

       

       

      <h1>请启用全局保护以浏览互联网</h1>

      <h2>https://chrome.google.com/webstore/detail/globalprotect/nicidmbokaedpmoegdbcebhnchpegcdc">获得ChromeBook 全球保护客户端在这里</h2>

       

              <!-- END: Anything between these wrapper comment lines will be centered -->

             

          </body>

      </html>

       

3. 使用下面的鱿鱼。

    

   #Whitelist 网站

   acl 白名单 dstdomain chrome.google.com

   acl 白名单 dstdomain gstatic.com

   acl 白名单 dstdomain googleapis.com

   acl 白名单 dstdomain accounts.google.com

   acl 白名单 dstdomain clients1.google.com

   acl 白名单 dstdomain clients2.google.com

   acl 白名单 dstdomain clients3.google.com

   acl 白名单dstdomain www.ipchicken.com

   acl 白名单 dstdomain FQDN。的.Vpn。网站 (示例: vpn.school.edu)

   acl 白名单 dstdomain FQDN。的.代理 (示例: proxy.school.edu)

    

   #GP 公共终止的 VPN IP

   acl from_gp src XXX.XXX.XXX.XXX (vpn.school.edu 的 IP)

    

   # 允许非 GP 身份验证的用户使用白名单的规则

   http_access 允许白名单

    

   # 允许 GP 用户使用的规则

   http_access 允许 from_gp

    

   #catch 所有规则

   http_access 拒绝所有

    

4. 从 Chromebook 管理控制台, 选择设备管理 > Chrome 管理 > 用户设置.
5. 向下滚动到网络>代理服务器设置.
   1. 在 "代理模式" 下拉列表中, 选择 "始终使用指定的代理"
   2. 在代理服务器 URL 下输入代理服务器的 IP 地址或 FQDN.
      1. 请注意, 代理服务器需要通过公共 IP 地址或公用互联网上的主机名访问。
6. 通过 Google 管理窗口的右下角保存配置.

    

   注意: 使用代理来强制浏览流量始终使用 GlobalProtect 是有局限性的。许多公用 wi-fi 热点使用需要身份验证的固定门户, 或者接受连接到网络的条款和条件。不可能配置鱿鱼代理文件, 乌贼, 以适应或绕过这些条件。在 Google 管理控制台中有一个可配置的选项, 以强制 GlobalProtect 客户端始终处于 on, 这将简化此方案, 不需要使用该阻止页的代理服务器。这是目前对 Chrome OS 的限制, 并且已经提交的 bug 可以在这里查看.   我们鼓励读者打开一个功能要求与谷歌 chrome 产品团队, 以影响他们的决定, 支持一个总是在 VPN 与 Chrome 操作系统。

Chromebooks 和用户 ID

由于 chrome os 设备无法加入活动目录域, 因此可以利用一个免费的 chrome os 插件来提供用户 ID 功能。这个插件包括一个 Chrome 扩展, 一个基于 PHP 的服务器, 和帕洛阿尔托网络防火墙。

可以在此处找到用于用户 ID 的 Chrome 扩展、要使用的 PHP 脚本示例以及获取此安装程序的一般说明. 在高级别中, 一般工作流如下所示:

1. Chrome 插件会拉动用户信息, 并生成一个 HTTP POST 到 PHP 脚本。POST 请求包括 Chromebook 中的 IP 地址和用户名。
2. PHP 脚本从获取/POST 请求中提取信息。然后, php 服务器处理这些信息, 并将其传递给日志. PHP 脚本, 将日志消息发送到防火墙。
3. 防火墙充当日志接收器。自定义的日志过滤器从 PHP 服务器分析传入的日志 UDP 通信, 并应用已接收的日志消息中的用户 ID 映射。

安装 Chrome 插件 (background.min.js 文件)

1. 将 #yourGoogleDomain 更改为您的 Google 域.
2. 将 #locationToIndex. php # 转换为您选择的服务器上 php 脚本的位置 。

3. 将 #yourGoogleDomain # 的两个实例都更改为您的 Google 域.

部署 Chrome 插件

1. 创建apps@yourGoogleDomain帐户.
2. Zip 和发布应用程序.
3. 一旦发布, 请部署到您选择的组织/子组织(建议使用根级别).

设置 php 脚本 (索引. php 和日志文件)

1. 将 #yourPANBoxManagementIP # 更改为接收日志消息 (通常是管理接口) 的接口的 IP 地址.

2. 将#ThisWebServerHostname # 更改为 PHP 脚本驻留的服务器的主机名.
3. 将#FQDNofThisWebServer # 更改为 PHP 脚本驻留的服务器的 FQDN.
4. 将#ThisIPAddress # 更改为 PHP 脚本驻留的服务器的 IP 地址.

部署 PHP 脚本

1. 将文件复制到能够运行 PHP (运行 IIS 的服务器) 的服务器上的同一文件夹中。
   1. 如果需要, 可以通过通配符或唯一证书来保护 HTTPS 访问。

配置防火墙以分析日志消息

1. 导航到设备 > 用户标识 > 用户映射 > 编辑.
2. 导航到日志过滤器 > 添加.
1. 将类型更改为字段标识符.
2. 在字段标识符下面准确输入以下信息, 如下所示:日志分析配置文件
3. 单击"确定"关闭 "日志分析配置文件" 窗口,
3. 单击"确定"关闭帕洛阿尔托网络用户 ID 代理设置窗口.
4. 在 "用户映射" 选项卡中, 单击 " 服务器监视" 下 的 "添加".
   1. 输入PHP 服务器的网络地址以及默认域名的 AD 域名.
   2. 选择在步骤2中创建的日志分析配置文件.用户标识监视器服务器
5. 提交并测试配置.

Chromebooks 和 SSL 转发代理服务器

Chrome OS 的设计方式是在用户级别 (即一般 web 浏览) 中发生某些类型的通信, 而其他类型的通信则发生在设备级别 (即用户登录页、软件更新等)。当启用 SSL 转发代理时, 这会出现问题, 因为证书只能在用户级别部署, 从而中断了 Chrome OS 正常运行所必需的任务。

因此,需要包含特定 url 的白名单来缓解问题.

系统必备组件

此配置文章假定 SSL 转发代理已根据帕洛阿尔托网络技术文档的最佳做法进行配置, 并且在非 Chrome OS 设备上起作用。它还假定已将证书部署到 Chrome OS 设备.

1. 在防火墙中, 导航到对象 >> 自定义对象 > URL 类别 >> 添加, 并输入当前链接中提供的 url 列表上面.
   自定义 URL
   类别
2. 单击" 确定"
3. 导航到策略 > 解密, 并将新创建的自定义 URL 类别添加到 "服务/URL 类别" 选项卡.解密策略规则
4. 单击"确定解密策略 "
5. 提交和测试配置