Dell Data Protection Guida alla configurazione
____________________ © 2014 Dell Inc. Marchi registrati e marchi utilizzati nella suite di documenti DDP|E, DDP|ST e DDP|CE: Dell™ e il logo Dell, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, e KACE™ sono marchi di Dell Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® e Xeon® sono marchi registrati di Intel Corporation negli Stati Uniti e in altri Paesi. Adobe®, Acrobat® e Flash® sono marchi registrati di Adobe Systems Incorporated.
Contenuto 1 Configurare Compatibility Server . server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Configurare Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 PolicyService.config.
Polling forzato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Opzioni di inventario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Attivazioni non di dominio 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurare componenti per l'autenticazione/autorizzazione Kerberos .
1 Configurare Compatibility Server In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Compatibility Server all'ambiente in uso. Prima di eseguire qualsiasi modifica, effettuare sempre il backup dei file di configurazione. Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può determinare danneggiamenti e guasti del sistema.
server_config.xml Parametro Predefinito rmi.recovery.host Descrizione Per utilizzare il recupero EMS multiserver: default.gatekeeper.group.
server_config.xml Parametro triage.execute.time Predefinito Descrizione 0 0 0/6 * * La valutazione è il processo di riconciliazione degli utenti e dei gruppi già noti al server. L'impostazione predefinita è 0 0 0/6 * * ?, ovvero viene effettuata una valutazione ogni 6 ore a partire da mezzanotte (mezzanotte, 6.00, mezzogiorno, 18.00, mezzanotte...) gatekeeper.service.max.sessions 5 Numero massimo di sessioni di proxy criteri. gatekeeper.service.max.session.
server_config.xml Parametro Predefinito security.authorization.method.IAdministrat iveService.findLdapUsers SystemAdmin,SecAdmin Ruoli richiesti per trovare utenti LDAP. security.authorization.method.IAdministrat iveService.addUsers SystemAdmin,SecAdmin Ruoli richiesti per aggiungere utenti. security.authorization.method.IAdministrat iveService.addLicense SystemAdmin Ruolo richiesto per aggiungere licenze Enterprise. security.authorization.method.IAdministrat iveService.
server_config.xml Parametro Predefinito db.schema.version.patch dao.db.driver.dir Descrizione Versione di patch dello schema database. $dell.home$/lib/mssql-microsoft dao.db.host Percorso predefinito del driver del database. Se si modifica questo file dalla posizione predefinita, aggiornare questo parametro. Nome host del server database. Questo parametro viene modificato nello strumento di configurazione. dao.db.name Nome del database.
server_config.xml Parametro Predefinito Descrizione $dell.home$/conf/gkresource.xml Se si sposta il file di risorse di Gatekeeper dal percorso predefinito, aggiornare questo parametro. $dell.home$/conf/gkconfig.xml Se si sposta il file di risorse di Gatekeeper dal percorso predefinito, aggiornare questo parametro. rmi.server.registry.host localhost La proprietà host è utile esclusivamente ai programmi client per determinare la posizione del registro.
server_config.xml Parametro Predefinito Descrizione security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,System Ruoli richiesti per visualizzare il rapporto per i rvice.getGroupDetail Admin,SecAdmin dettagli del gruppo. security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,System Ruoli richiesti per visualizzare il rapporto per rvice.getDomainDetail Admin,SecAdmin l'elenco di domini. security.authorization.method.IKeyService. getKeys ForensicAdmin accountType.
run-service.conf È possibile modificare alcuni tra i seguenti parametri in \conf\run-service.conf. Questi parametri vengono automaticamente impostati durante l'installazione. Per personalizzare o apportare modifiche di configurazione a qualsiasi servizio, attenersi alla procedura descritta di seguito. 1 Arrestare il servizio. 2 Rimuovere il servizio. 3 Modificare e salvare il file run-service.conf.
2 Configurare Core Server In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Core Server all'ambiente in uso. Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da modifiche non autorizzate a questi file senza dover reinstallare Core Server.
Credant.Server2.WindowsService.exe.Config Rimuovere la seguente sezione: Spring.config Rimuovere quanto segue: Rimuovere tutte le definizioni nelle intestazioni AOP Advice, Web Service Target Definition e Web Service Host Definition.
Aggiungere il percorso della cartella di Compatibility Server al file di configurazione di Core Server Core Server è un'applicazione .NET e pertanto può non essere in grado di accedere alle informazioni del Registro di sistema per via delle autorizzazioni. Il problema risiede nel fatto che, per poter leggere secretkeystore (chiave di crittografia del database), Core Server deve accedere alle informazioni di configurazione del Registro di sistema di Compatibility Server per il percorso di secretkeystore.
3 Salvare e chiudere il file. 4 Riavviare il servizio Core Server.
3 Configurare Device Server In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Device Server all'ambiente in uso. Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da modifiche non autorizzate a questi file senza dover reinstallare Device Server. eserver.
eserver.properties Parametro Predefinito eserver.ciphers Descrizione Imposta l'elenco di crittografie. Ogni crittografia deve essere separata da una virgola. Se non viene indicato alcun valore, il socket consentirà qualsiasi crittografia supportata da Tomcat. Rimuovere i commenti dall'esempio indicato di seguito per impostare l'elenco di crittografie. Separare ogni crittografia con una virgola. Per un elenco dei nomi di suite di crittografia validi, consultare la guida di riferimento JSSE di Sun.
4 Configurare Security Server In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Security Server all'ambiente in uso. Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da modifiche non autorizzate a questi file senza dover reinstallare Security Server. context.
Guida alla configurazione
5 Configurare funzioni di crittografia In questa sezione viene descritto come controllare in modo indipendente le funzioni di crittografia. Impedire l'eliminazione dei file temporanei Per impostazione predefinita, tutti i file temporanei nella directory c:\windows\temp vengono automaticamente eliminati durante l'installazione o l'aggiornamento di DDPE. L'eliminazione dei file temporanei velocizza il processo di crittografia iniziale e si verifica prima della procedura di ricerca crittografia.
L'attivazione in slot è abilitata e configurata tramite il programma di installazione o la workstation di Shield. Per gli utenti che necessitano dell'attivazione tramite VPN, è possibile richiedere la configurazione di un'attivazione in slot per Shield al fine di ritardare l'attivazione iniziale in modo da garantire al software del client VPN il tempo necessario a stabilire una connessione di rete. ATTENZIONE: configurare l'attivazione in slot esclusivamente con il servizio di assistenza clienti.
Creare o modificare l'impostazione del Registro di sistema come segue: HKLM\SOFTWARE\Credant\CMGShield\Notify PingProxy (DWORD value)=1 A seconda della versione di Shield in uso, l'impostazione del Registro di sistema sparirà o passerà automaticamente da 1 a 0 al completamento del polling. A seconda del gruppo di autorizzazioni di un utente amministratore, potrebbe essere necessario modificare le autorizzazioni per creare questa impostazione del Registro di sistema.
Guida alla configurazione
Configurare componenti per l'autenticazione/autorizzazione Kerberos 6 In questa sezione viene descritto come configurare componenti per l'utilizzo con l'autenticazione/autorizzazione Kerberos. Configurare componenti per l'autenticazione/autorizzazione Kerberos NOTA: se è necessario utilizzare l'autenticazione/autorizzazione Kerberos, il server contenente il componente Key Server dovrà essere parte integrante del dominio coinvolto.
In un ambiente con un solo dominio è accettabile l'utilizzo del nome dell'account SAM. 4 Accedere a e modificare "epw" in "password". Modificare quindi "" con la password dell'utente al passaggio 3. La password verrà nuovamente crittografata al riavvio del server. Se si utilizza "superadmin" (passaggio 3) e la password superadmin non è "changeit", dovrà essere modificata in questo punto.
Istruzioni per Servizi di Windows 1 Tornare al pannello Servizi di Windows. 2 Riavviare il servizio Dell Key Server. 3 Passare al file log.txt in per verificare che il servizio sia stato avviato. 4 Chiudere il pannello Servizi di Windows. Istruzioni per la console di gestione remota 1 Se necessario, accedere alla console di gestione remota. 2 Fare clic su Domini e quindi sull'icona Dettaglio. 3 Fare clic su Key Server.
Guida alla configurazione
Assegnazione del ruolo di Amministratore Forensic 7 Per impostazione predefinita, l'autorizzazione Forensic è abilitata nei server back-end e disabilitata nei server front-end. Queste impostazioni vengono posizionate in modo appropriato in fase di installazione per Device Server e Security Server. Istruzioni per la console di gestione remota 1 Se necessario, accedere alla console di gestione remota. 2 Nel riquadro sinistro fare clic su Gestisci > Utenti.
Guida alla configurazione
8 Espressioni Cron In questa sezione viene descritto come utilizzare formati di espressioni Cron e caratteri speciali. Introduzione alle espressioni Cron Cron è uno strumento UNIX in commercio da diverso tempo, pertanto le sue funzionalità di pianificazione sono efficaci e comprovate. La classe CronTrigger si basa sulle funzionalità di pianificazione di Cron. CronTrigger utilizza espressioni Cron, che consentono di creare pianificazioni di attivazione, ad esempio alle ore 8.
• Il carattere / consente di specificare incrementi. 0/15 nel campo dei secondi indica i secondi 0, 15, 30 e 45. 5/15 nel campo dei secondi indica i secondi 5, 20, 35 e 50. Specificare * prima di / corrisponde a specificare 0 come valore di partenza. 1/3 nel campo del giorno del mese indica l'attivazione ogni 3 giorni a partire dal primo giorno del mese. In sostanza, per ogni campo dell'espressione è disponibile un insieme di numeri che possono essere attivati o disattivati.
Esempi Espressione Significato 0 0 12 * * ? Attivazione alle 12.00 (mezzogiorno) ogni giorno 0 15 10 ? * * Attivazione alle 10.15 ogni giorno 0 15 10 * * ? Attivazione alle 10.15 ogni giorno 0 15 10 * * ? * Attivazione alle 10.15 ogni giorno 0 15 10 * * ? 2005 Attivazione alle 10.15 ogni giorno del 2005 0 * 14 * * ? Attivazione ogni minuto a partire dalle 14.00 e fino alle 14.59 di ogni giorno 0 0/5 14 * * ? Attivazione ogni 5 minuti a partire dalle 14.00 e fino alle 14.
Guida alla configurazione
Creare un certificato autofirmato mediante Keytool e generare una richiesta di firma del certificato 9 NOTA: in questa sezione sono illustrati in dettaglio i passaggi per creare un certificato autofirmato per i componenti basati su Java. Questo processo non può essere utilizzato per creare un certificato autofirmato per componenti basati su .NET. È consigliabile utilizzare un certificato autofirmato solo in un ambiente non di produzione.
• Unità organizzativa: immettere il valore appropriato (ad esempio, Sicurezza). • Organizzazione: immettere il valore appropriato (ad esempio, Dell). • Città o località: immettere il valore appropriato (ad esempio, Roma). • Stato: immettere il nome esteso dello stato (ad esempio, Italia).
Figura 9-1. File CSR di esempio 2 Attenersi alla procedura dell'organizzazione per l'acquisizione di un certificato server SSL da un'Autorità di certificazione. Inviare i contenuti del file per la firma. NOTA: è possibile richiedere un certificato valido in diversi modi. Un metodo di esempio è illustrato in Metodo di esempio per richiedere un certificato. 3 Alla ricezione del certificato firmato, archiviarlo in un file.
2 Selezionare Richiedi certificato e fare clic su Avanti >. Figura 9-2. Servizi certificati Microsoft 3 Selezionare Richiesta avanzata e fare clic su Avanti >. Figura 9-3.
4 Selezionare l'opzione per inviare una richiesta di certificato mediante un file PKCS #10 con codifica Base64 e fare clic su Avanti >. Figura 9-4. Richiesta certificati avanzata 5 Incollare i contenuti della richiesta CSR nella casella di testo. Selezionare un modello di certificato del server Web e fare clic su Invia >. Figura 9-5.
6 Salvare il certificato. Selezionare Codifica DER e fare clic su Scarica certificato CA. Figura 9-6. Scaricare il certificato CA 7 Salvare il certificato. Selezionare Codifica DER e fare clic su Scarica percorso certificato CA. Figura 9-7.
8 Importare il certificato dell'autorità di firma convertito. Tornare alla finestra DOS. Digitare: keytool -import -trustcacerts -file -keystore cacerts 9 Una volta importato il certificato dell'autorità di firma, sarà possibile importare il certificato server (è possibile creare la catena di certificati). Digitare: keytool -import -alias dell -file -keystore cacerts Utilizzare l'alias del certificato autofirmato per associare la richiesta CSR al certificato server.
Guida alla configurazione
0XXXXXA0X