Dell Data Protection Guide de configuration
____________________ © 2014 Dell Inc. Marques déposées et marques commerciales utilisées dans les documents DDP|E, DDP|ST et DDP|CE : Dell™ et le logo Dell, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, et KACE™ sont des marques commerciales de Dell Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, et Xeon® sont des marques déposées d'Intel Corporation aux États-Unis et dans d'autres pays. Adobe®, Acrobat®, et Flash® sont des marques déposées d'Adobe Systems Incorporated.
Sommaire 1 Configuration de Compatibility Server . server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Configuration de Core Server PolicyService.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interrogation forcée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Options d'inventaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Activations hors domaine 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configuration des composants pour l'authentification/autorisation Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Configuration de Compatibility Server Ce chapitre décrit les paramètres que vous pouvez modifier afin d'adapter Compatibility Server à votre environnement. Faites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier. Ne modifiez que les paramètres documentés dans ce fichier. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données contenues dans ces fichiers, notamment les balises.
server_config.xml Paramètre Valeur par défaut rmi.recovery.host Description Pour utiliser la fonction de récupération EMS multi-serveur : default.gatekeeper.group.
server_config.xml Paramètre triage.execute.time Valeur par défaut 0 0 0/6 * * Description Le triage est un processus qui consiste à rapprocher les utilisateurs et les groupes que le serveur connaît déjà. Le paramètre par défaut est « 0 0 0/6 * * ? », ce qui signifie que le triage est effectué toutes les 6 heures à partir de minuit (minuit, 6h00, midi, 18h00, minuit...) gatekeeper.service.max.sessions 5 Nombre maximal de sessions Proxy règles. gatekeeper.service.max.session.
server_config.xml Paramètre Valeur par défaut security.authorization.method.IAdministrat iveService.findLdapGroups SystemAdmin, SecAdmin Rôles requis pour rechercher des groupes LDAP. security.authorization.method.IAdministrat iveService.findLdapUsers SystemAdmin, SecAdmin Rôles requis pour rechercher des utilisateurs LDAP. security.authorization.method.IAdministrat iveService.addUsers SystemAdmin, SecAdmin Rôles requis pour ajouter des utilisateurs. security.authorization.method.
server_config.xml Paramètre Valeur par défaut db.schema.version.patch dao.db.driver.dir Description Version du correctif du schéma de la base de données. $dell.home$/lib/mssql-microsoft dao.db.host Emplacement par défaut du pilote de base de données. Mettez à jour ce paramètre si vous modifiez l'emplacement par défaut de ce fichier. Nom d'hôte de votre serveur de base de données. Ce paramètre peut être modifié dans l'outil de configuration. dao.db.name Nom de votre base de données.
server_config.xml Paramètre Valeur par défaut Description vfs.file.handler.auth com.credant.guardian.server.vfs.Auth Gestionnaire du fichier d'autorisation. FileHandler vfs.file.handler.inventory com.credant.guardian.server.vfs.Inve Gestionnaire du fichier d'inventaire. ntoryFileHandler vfs.file.handler.event com.credant.guardian.server.vfs.Even Gestionnaire du fichier d'événements. tFileHandler gatekeeper.resource $dell.home$/conf/gkresource.
server_config.xml Paramètre Valeur par défaut Description security.authorization.method.IReportingSe rvice.getWorkstationDetailReport AcctAdmin, HelpDeskAdmin, SystemAdmin, SecAdmin Rôles requis pour afficher le rapport sur les détails des postes de travail. security.authorization.method.IReportingSe rvice.getEncryptionFailuresReport AcctAdmin, HelpDeskAdmin, SystemAdmin, SecAdmin Rôles requis pour afficher le rapport d'échec du cryptage. security.authorization.method.IReportingSe rvice.
Activation du format Domaine\Nom d'utilisateur Insérez la chaîne de caractères suivante pour activer (ou désactiver) le format domaine\nom d'utilisateur. Ce format est désactivé si la chaîne de caractères n'existe pas dans le fichier. Vous pouvez également désactiver ce format en définissant la valeur sur 0. 1 Naviguez jusqu'à \conf. 2 Ouvrez le fichier gkresource.xml à l'aide d'un éditeur XML.
2 Configuration de Core Server Ce chapitre décrit les paramètres que vous pouvez modifier afin d'adapter Core Server à votre environnement. Ne modifiez que les paramètres documentés dans ce fichier. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données contenues dans ces fichiers, notamment les balises.
Credant.Server2.WindowsService.exe.Config Supprimez la section suivante : Spring.config Supprimez les éléments suivants : Supprimez toutes les définitions sous les en-têtes AOP Advice, Web Service Target Definition, et Web Service Host Definition.
Ajouter l'emplacement du dossier Compatibility Server au fichier de configuration du Core Server Le Core Server est une application .Net, ce qui signifie que l'accès aux informations du répertoire peut parfois être interdit, en raison des autorisations. Cependant, pour lire le secretkeystore (la clé de cryptage de base), le Core Server doit accéder aux informations de configuration du répertoire du Compatibility Server pour l'emplacement du secretkeystore.
Guide de configuration
3 Configuration de Device Server Ce chapitre décrit les paramètres que vous pouvez modifier afin d'adapter Device Server à votre environnement. Ne modifiez que les paramètres documentés dans ce fichier. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données contenues dans ces fichiers, notamment les balises.
eserver.properties Paramètre Valeur par défaut eserver.ciphers Description Définit la liste des chiffrements de cryptage. Tous les chiffrements doivent être séparés par une virgule. Si vous laissez ce paramètre vide, le socket autorisera uniquement les chiffrements disponibles pris en charge par Tomcat. Supprimez le commentaire dans l'exemple ci-dessous pour définir la liste des chiffrements de cryptage. Séparez tous les chiffrements par une virgule.
4 Configuration de Security Server Ce chapitre décrit les paramètres que vous pouvez modifier afin d'adapter Security Server à votre environnement. Ne modifiez que les paramètres documentés dans ce fichier. Vous risquez de corrompre ou d'endommager le système si vous modifiez les autres données contenues dans ces fichiers, notamment les balises.
Guide de configuration
Configuration des fonctionnalités de cryptage 5 Cette section vous explique comment vous pouvez contrôler indépendamment les fonctionnalités de cryptage.. Empêcher la suppression des fichiers temporaires Par défaut, tous les fichiers temporaires qui se trouvent dans le répertoire c:\windows\temp directory sont automatiquement supprimés au cours de l'installation/la mise à niveau de DDPE.
L'activation et la configuration de la fonctionnalité d'activation par plages horaires s'effectuent dans le programme d'installation du Shield ou via le poste de travail du Shield. Pour les utilisateurs nécessitant une activation via VPN, la configuration d'une activation par plages horaires pour le Shield peut être nécessaire pour différer l'activation initiale pendant une durée suffisamment importante pour permettre au logiciel client VPN d'établir une connexion au réseau.
Interrogation forcée Utilisez le paramètre registre suivant pour autoriser le Shield à interroger le serveur pour procéder à une mise à niveau forcée des règles. Créez ou modifiez le paramètre registre suivant : HKLM\SOFTWARE\Credant\CMGShield\Notify PingProxy (DWORD value)=1 Selon la version Shield, le paramètre de répertoire disparaîtra automatiquement ou passera de 1 à 0 une fois l'interrogation terminée.
Guide de configuration
Configuration des composants pour l'authentification/autorisation Kerberos 6 Cette section vous explique comment configurer les composants requis pour l'utilisation de l'authentification/autorisation Kerberos. Configuration des composants pour l'authentification/autorisation Kerberos REMARQUE : Pour utiliser l'authentification/autorisation Kerberos, il est nécessaire d'intégrer le serveur qui contient le composant Key Server dans le domaine concerné.
4 Accédez à et remplacez « epw » par « password ». Puis remplacez la « » par le mot de passe de l'utilisateur de l'étape 3. Ce mot de passe est re-crypté dès que le serveur redémarre. Si vous avez utilisé « superadmin » à l'étape 3, et si le mot de passe superadmin n'est pas « changeit », vous devez le modifier ici. 5 Enregistrez vos modifications, puis fermez le fichier.
Instructions pour la Console de gestion à distance 1 2 3 4 Si nécessaire, connectez-vous à la Console de gestion à distance. Cliquez sur Domaines, puis sur l'icône Détails. Cliquez sur Key Server. Dans la liste des comptes Key Server, ajoutez l'utilisateur qui exécutera les opérations d'administration. Le format à utiliser est Domaine\Nom d'utilisateur. Cliquez sur Ajouter un compte. 5 Cliquez sur Utilisateurs dans le menu de gauche.
Guide de configuration
Attribuer le rôle d'administrateur Forensic 7 Par défaut, l'autorisation Forensic est activée sur les serveurs dorsaux et désactivée sur les serveurs frontaux. Ces paramètres sont définis correctement lors de l'installation du Device Server et du serveur de sécurité. Instructions pour la Console de gestion à distance 1 Si nécessaire, connectez-vous à la Console de gestion à distance. 2 Dans le volet de gauche, cliquez sur Gérer > Utilisateurs.
Guide de configuration
8 Expressions Cron Cette section vous explique comment utiliser la syntaxe des expressions Cron et les caractères spéciaux. Présentation des expressions Cron Cron est un outil disponible depuis de nombreuses années sous UNIX. Ses puissantes fonctionnalités de planification sont donc éprouvées. La classe CronTrigger est basée sur les fonctionnalités de planification de Cron.
• Le caractère / permet de spécifier des incréments. 0/15 dans le champ « Seconds » signifie les secondes suivantes : 0, 15, 30 et 45. 5/15 dans le champ « Seconds » signifie les secondes suivantes : 5, 20, 35 et 50. Faire précéder le caractère / du caractère * équivaut à spécifier 0 comme valeur de départ. 1/3 dans le champ « Day of month » signifie que la règle est déclenchée tous les 3 jours à partir du premier jour du mois.
Exemples Expression Signification 0 0 12 * * ? Déclenchement de la règle tous les jours à 12h00 (midi) 0 15 10 ? * * Déclenchement de la règle tous les jours à 10h15 0 15 10 * * ? Déclenchement de la règle tous les jours à 10h15 0 15 10 * * ? * Déclenchement de la règle tous les jours à 10h15 0 15 10 * * ? 2005 Déclenchement de la règle tous les jours à 10h15 pendant l'année 2005 0 * 14 * * ? Déclenchement de la règle toutes les minutes de 14h00 à 14h59, tous les jours 0 0/5 14 * * ? 0 0/5 14,
Guide de configuration
9 Créer un certificat auto-signé avec Keytool et générer une demande de signature de certificat (CSR) REMARQUE : Cette section décrit les étapes à suivre pour créer un certificat auto-signé pour des composants Java. Ce processus ne peut pas être utilisé pour créer un certificat auto-signé pour les composants basés sur .NET. Nous recommandons un certificat auto-signé uniquement dans un environnement hors production.
• • • Ville ou localité : saisissez la valeur appropriée (par exemple, Austin). État ou province : saisissez le nom non-abrégé de l'État ou de la province (par exemple, Texas). Code de deux lettres du pays : États-Unis = US Canada = CA Suisse = CH Allemagne = DE Espagne = ES France = FR Grande-Bretagne = GB Irlande = IE Italie = IT Pays-Bas = NL • • L'utilitaire demande confirmation que l'information est correcte. Si c'est le cas, saisissez oui. Si ce n'est pas le cas, saisissez non.
3 Lorsque le certificat signé est reçu, enregistrez-le dans un fichier. 4 La méthode recommandée consiste à sauvegarder ce certificat dans le cas où une erreur se produise pendant le processus d'importation. Cette sauvegarde pourra éviter d'avoir à reprendre le processus depuis le début. Importer un certificat racine REMARQUE : Si l'Autorité de certification du certificat racine est Verisign (mais pas Verisign Test), passez à la procédure suivante et importez le certificat signé.
2 Sélectionnez Demander un certificat et cliquez sur Suivant >. Schéma 9-2. Services de certificats Microsoft 3 Sélectionnez Demandes avancées puis cliquez sur Suivant >. Schéma 9-3.
4 Sélectionnez l'option de Soumettre une demande de certificat avec un fichier PKCS #10 à encodage base64 et cliquez sur Suivant >. Schéma 9-4. Demande de certificat avancée 5 Collez le contenu de la demande CSR dans la zone de texte. Sélectionnez un modèle de certificat de serveur Web et cliquez sur Envoyer >. Schéma 9-5.
6 Enregistrez le certificat. Sélectionnez Binaire encodé et cliquez sur Télécharger certificat CA. Schéma 9-6. Télécharger un certificat CA 7 Enregistrez le certificat. Sélectionnez Binaire encodé et cliquez sur Télécharger chemin de certification CA. Schéma 9-7.
8 Importez les certificats d'autorité de signature convertis. Retournez à la fenêtre DOS. Tapez : keytool -import -trustcacerts -file -keystore cacerts 9 Après que le certificat de l'autorité de signature a été importé, le certificat du serveur peuvent être importés (la chaîne de confiance peut être établie). Tapez : keytool -import -alias dell -file -keystore cacerts Utilisez l'alias du certificat auto-signé pour combiner la demande CSR avec le certificat du serveur.
Guide de configuration
0XXXXXA0X