Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect Návod pro práci při vzdáleném připojení do sítě ČEZ a. s., pomocí sítě Internet pro zaměstnance skupiny ČEZ, a. s. Verze 1.03 Verze Stručný popis změn Datum 1.00 Vytvoření příručky 20.6.2017 Pojmy a zkratky Pojem Zkratka Popis Virtual Private Network VPN Spojení, umožňující uživatelům pracovat vzdáleně s firemními programy a daty pomocí veřejného internetu Klient Uživatelská stanice mimo síť ČEZ a. s. Home drive H: Soukromý diskový prostor přidělený uživateli a dostupný pouze jemu SDP U:, M:, aj. Sdílený diskový prostor pro více uživatelů, podle úrovně přidělených práv Integrovaná společnost IDS Dceřiné společnosti ČEZ a. s. ČEZ ICT Services, a. s. Strana 1
Úvod Vzdálené připojení umožňuje uživatelům, kteří pracují z domu nebo jsou na cestách mimo interní síť, pracovat s daty a programy tak, jako by byli připojeni na svém pracovišti. Současné připojení na jedno KPJM z vícero zařízení není povoleno. Účel Příručka popisuje činnost uživatele při vyvolání VPN spojení, jeho ukončení a některé možné chybové události. Je určena pro zaměstnance ČEZ a. s., a všech IDS, kteří pracují s notebooky standardně nainstalovanými a spravovanými ČEZ ICT Services a. s. Cílový stav Na stanici je úspěšně spuštěn VPN tunel a uživatel má k dispozici programy a data uložená na home drive a přidělených SDP úložištích. OBSAH: 1 Aktivace VPN spojení... 3 2 Spuštění VPN Cisco AnyConnect na stanici... 6 3 Ovládání klienta Cisco AnyConnect... 10 4 Možné některé chybové stavy... 12 ČEZ ICT Services, a. s. Strana 2
1 Aktivace VPN spojení Pro správnou funkci VPN připojení jsou nutné tyto předpoklady: a) standardně nainstalovaný notebook ve správě ČEZ ICT Services, a. s., a účet v doméně cezdata.corp (KPJM) a nainstalovaný CA balíček Cisco VPN AnyConnect. b) již aktivované RSA ověření nebo požádat o aktivaci požadavkem v Service Desku: ČEZ ICT Services, a. s. Strana 3
c) nainstalovaný certifikát CEZ_WiFi1. Uživatelé, kteří do CEZ_WiFi1 přistupují, mají potřebný certifikát již instalován a nemusí provádět žádný další import. O přístup do ČEZ_WIFI1 lze požádat požadavkem v Service Desku: ČEZ ICT Services, a. s. Strana 4
d) kontrolu existence certifikátu pro CEZ_WiFi1 lze zjistit spuštěním internetového prohlížeče, v menu Nástroje zvolte Možnosti Internetu, vyberte záložku Obsah a na této záložce klepněte na tlačítko Certifikáty. V Osobních certifikátech vyberte certifikát s Vaším KPJM v názvu a zkontrolujte, zda Zamýšlený účel certifikátu je: Ověření klienta, CEZ Wireless User. Pokud máte více certifikátu s Vaším KPJM, můžete pomocí šipky dolů na klávesnici postupně provést kontrolu u všech certifikátů. Pokud jste přístup do CEZ_WIFI1 neměli a zakládali jste si nový požadavek na přístup do této wifi, je nutné pro úspěšný import potřebného certifikátu alespoň jednou se na stanici, ze které budete přistupovat do VPN CISCO Anyconnect, přihlásit (až po vyřešení požadavku na přístup do CEZ_WiFi1). Stanice musí být při přihlášení připojena kabelem do datové sítě ČEZ. Import certifikátu proběhne po Vašem přihlášení do stanice automaticky na pozadí, není nutná žádná součinnost uživatele. Výše popsaným způsobem zkontrolujte úspěšný import certifikátu pro CEZ_WIFI1. ČEZ ICT Services, a. s. Strana 5
2 Spuštění VPN Cisco AnyConnect na stanici Klienta VPN CISCO ANYCONNECT je možné spustit pouze mimo interní síť ČEZ. a) Klienta Cisco AnyConnect spustíte z nabídky Start Programy Cisco b) ve spuštěném okně by měl být zobrazen předdefinovaný profil vzdáleného připojení do sítě ČEZ (CEZ Internal) kliknout na tlačítko Connect. V případě, že je nabídnut jiný profil, postupujte dle bodu 4 b) ČEZ ICT Services, a. s. Strana 6
c) pokud se objeví okno s výzvou potvrzení certifikátu, potvrďte ho tlačítkem OK. (v případě, že máte nainstalováno více osobních certifikátů, budou zobrazeny všechny a je třeba vybrat ten správný certifikát CEZ_WIFI1, informace o certifikátu zjistíte klepnutím myší na Kliknutím zobrazíte vlastnosti certifikátu) d) dle typu ověření zadejte svůj PIN+kód z RSA klíčenky nebo svůj SMS PIN (Passcode) pro zaslání SMS a kliknout na tlačítko OK Pokud není v Username předvyplněno Vaše KPJM, byl importován špatný certifikát. Import správného certifikátu proveďte dle návodu zde. ČEZ ICT Services, a. s. Strana 7
e) uživatelům využívajícím SMS autentizaci se objeví ještě jedno okno pro zadání ověřovacího kódu zaslaného na mobilní telefon formou SMS zprávy f) v případě úspěšného VPN spojení se objeví banner s informací, který se sám po chvíli skryje g) úspěšné spojení lze také ověřit rozkliknutím seznamu skrytých ikon v pravém rohu hlavního ovládacího panelu a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect. V zobrazeném menu klepněte na Open AnyConnect. ČEZ ICT Services, a. s. Strana 8
Pokud nemá uživatel aktivovaný přístup na internet ze sítě ČEZ, tak v okamžiku aktivního VPN připojení přístup na internet nebude funkční. h) po úspěšném přihlášení do VPN Cisco AnyConnect lze používat většinu aplikací (Outlook, SAP, Intranet (vč. intranetových aplikací), atd.) stejným způsobem, jako když jste připojeni na svém pracovišti. Pro přístup k prostředí Citrix je třeba napsat do adresního řádku internetového prohlížeče adresu: citrix.cezdata.corp ČEZ ICT Services, a. s. Strana 9
3 Ovládání klienta Cisco AnyConnect Po úspěšném spuštění klienta VPN Cisco AnyConnect je přidána do seznamu skrytých ikon v pravém rohu hlavního ovládacího panelu ikona Cisco Anyconnect. Kliknutím pravým tlačítkem myši lze vyvolat menu pro ovládání VPN spojení. klient v režimu Disconnect klient v režimu Connect a) ukončení VPN spojení lze provést a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Disconnect b) opětné navázání VPN lze provést a kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Connect. Budete znova vyzváni k zadání přihlašovacích údajů viz bod 2 d), e). ČEZ ICT Services, a. s. Strana 10
c) úplné ukončení služby VPN spojení a uvolnění paměti lze provést kliknutím pravým tlačítkem myši na ikoně klienta Cisco Anyconnect a v zobrazeném menu klepnout na Quit. Opětné nastartování VPN služby lze provést kliknutím na zástupce Cisco AnyConnect v nabídce Start Programy Cisco ČEZ ICT Services, a. s. Strana 11
4 Možné některé chybové stavy a) import nesprávného certifikátu příklad špatného KPJM 1. klepněte na Cancel 2. rozklikněte rozbalovací menu a vyberte profil CEZ Internal (i v případě, kdy je tento profil již předvyplněn) 3. znova klikněte na Cancel ČEZ ICT Services, a. s. Strana 12
4. Klikněte na ikonu Nastavení, v zobrazeném okně nastavení vyberte záložku Preferences a zrušte zaškrtnutí u volby Enable automatic certificate selection a zavřete okno křížkem 5. klikněte na Connect a pokračujte bodem 2. b) 6. Stejným postupem si, po vybrání správného certifikátu, znova zaškrtněte položku Enable automatic certificate selection, jinak budete vyzváni k výběru certifikátu při každém novém přihlášení do VPN ČEZ ICT Services, a. s. Strana 13
b) pokus o připojení z vnitřní sítě klepněte na Cancel, odpojte stanici od sítě ČEZ, připojte stanici k internetu a postupujte od bodu 2 a) c) není zobrazen správný profil CEZ Internal při spuštění klienta klikněte na rozbalovací menu a vyberte profil CEZ Internal a klikněte na Connect dále pokračujte bodem 2 c) d) pokus o přihlášení při neaktivovaném VPN spojení SD požadavkem pokud po zadání PIN+kód z RSA klíčenky nebo PIN a vložení kódu z autentizační SMS nedojde k přihlášení do VPN a zobrazí se okno s informací Login failed, není pravděpodobně zřízen přístup do VPN je třeba zadáním požadavku do Service Desk požádat o zřízení nebo kontrolu nastavení přístupu pro vzdálené připojení. e) pokus o vícenásobné připojení toto hlášení znamená, že máte aktivováno VPN spojení současně na jiném zařízení. ČEZ ICT Services, a. s. Strana 14