Dell Data Protection Guía de configuración
____________________ © 2014 Dell, Inc. Marcas comerciales utilizadas en el conjunto de documentos de DDP|E, DDP|ST y DDP|CE: Dell™ y su logotipo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS® y KACE™ son marcas de Dell, Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium® y Xeon® son marcas de Intel Corporation en Estados Unidos y otros países. Adobe®, Acrobat® y Flash® son marcas de Adobe Systems Incorporated. Authen Tec® y Eikon® son marcas de Authen Tec.
Contenido 1 Configuración de Compatibility Server server_config.xml gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Configuración de Core Server PolicyService.config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activación escalonada . Sondeo forzado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Opciones de inventario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activaciones fuera del dominio 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1 Configuración de Compatibility Server Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Compatibility Server a su sistema. Siempre haga una copia de seguridad de los archivos de configuración antes de modificarlos. En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas.
server_config.xml Parámetro Valor predeterminado rmi.recovery.host Descripción Para utilizar la recuperación de EMS en diversos servidores: default.gatekeeper.
server_config.xml Parámetro triage.execute.time Valor predeterminado 0 0 0/6 * * Descripción Se denomina triage al proceso de reconciliar a los usuarios y a los grupos que ya el servidor conoce. La configuración predeterminada es 0 0 0/6 * * ?, que significa que se hace triage cada 6 horas a partir de medianoche (medianoche, 6 AM, mediodía, 6 PM, medianoche...) gatekeeper.service.max.sessions 5 Cantidad máxima de sesiones del servidor Policy Proxy de políticas. gatekeeper.service.max.session.
server_config.xml Parámetro Valor predeterminado security.authorization.method.IAdministrat iveService.findLdapGroups SystemAdmin,SecAdmin Funciones necesarias para encontrar grupos LDAP. security.authorization.method.IAdministrat iveService.findLdapUsers SystemAdmin,SecAdmin Funciones necesarias para encontrar usuarios LDAP. security.authorization.method.IAdministrat iveService.addUsers SystemAdmin,SecAdmin Funciones necesarias para agregar usuarios. security.authorization.method.
server_config.xml Parámetro Valor predeterminado db.schema.version.patch dao.db.driver.dir Descripción Versión de la revisión del esquema de la base de datos. $dell.home$/lib/mssql-microsoft Ubicación predeterminada del controlador de la base de datos. Actualice este parámetro si mueve este archivo de su ubicación predeterminada. dao.db.host El nombre de host de su servidor de base de datos. Este parámetro se cambia mediante la herramienta de configuración. dao.db.name El nombre de su base de datos.
server_config.xml Parámetro Valor predeterminado Descripción vfs.file.handler.event com.credant.guardian.server.vfs. Controlador del archivo de eventos. EventFileHandler gatekeeper.resource $dell.home$/conf/gkresource.xml Actualice este parámetro si mueve el archivo de recursos de Gatekeeper de su ubicación predeterminada. gatekeeper.config $dell.home$/conf/gkconfig.xml Actualice este parámetro si mueve el archivo de recursos de Gatekeeper de su ubicación predeterminada. rmi.server.registry.
server_config.xml Parámetro Valor predeterminado Descripción security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,Sys Funciones necesarias para ver el informe de rvice.getUserDetail temAdmin,SecAdmin información detallada de los usuarios. security.authorization.method.IReportingSe AcctAdmin,HelpDeskAdmin,Sys Funciones necesarias para ver el informe de rvice.getGroupDetail temAdmin,SecAdmin información detallada de los grupos. security.authorization.method.
run-service.conf Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo \conf\run-service.conf. Estos parámetros se configuran automáticamente durante la instalación. Para personalizar o cambiar la configuración de cualquier servicio: 1 Detenga el servicio. 2 Quite el servicio. 3 Modifique y guarde el archivo run-service.conf.
2 Configuración de Core Server Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Core Server de núcleo a su sistema. En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Core Server.
Credant.Server2.WindowsService.exe.Config Elimine la siguiente sección: Spring.config Elimine lo siguiente: Elimine todas las definiciones en los encabezados de AOP Advice, Web Service Target Definition y Web Service Host Definition.
Agregar la ubicación de la carpeta de Compatibility Server al archivo de configuración de Core Server Dado que Core Server es una aplicación .Net, el acceso a la información de registro puede bloquearse en ocasiones, a causa de los permisos. El problema es que, para que Core Server pueda leer secretkeystore (la clave de encriptación de la base de datos), necesita acceso a la información de la configuración de registro de Compatibility Server para encontrar la ubicación de secretkeystore.
3 Haga clic en Guardar y cierre el archivo. 4 Reinicie el servicio de Core Server.
3 Configuración de Device Server Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Device Server de dispositivos a su sistema. En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Device Server. eserver.
eserver.properties Parámetro Valor predeterminado eserver.ciphers Descripción Configura la lista de algoritmos de encriptación. Coloque una coma entre cada uno de los algoritmos. Si se deja vacío, el socket sólo permitirá los algoritmos compatibles con Tomcat. Quite la marca de comentario en el ejemplo a continuación para configurar la lista de algoritmos de encriptación. Coloque una coma entre cada uno de los algoritmos.
4 Configuración de Security Server Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Security Server a su sistema. En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Security Server. context.
context.properties Parámetro service.device.enable 20 Guía de configuración Valor predeterminado true Descripción Habilita la compatibilidad con servicios Shield tales como el almacenamiento de claves SDE.
Configuración de las funciones de encriptación 5 Esta sección explica cómo se puede controlar de manera independiente las funciones de encriptación. Prevención de la eliminación de archivos temporales Como opción predeterminada, todos los archivos temporales que se encuentren en el directorio c:\windows\temp serán eliminados automáticamente al hacer instalaciones y actualizaciones de DDPE.
La Activación escalonada se habilita y configura a través del instalador de Shield, y a través de la estación de trabajo de Shield. En el caso de usuarios que requieran de activación a través de redes VPN, podría ser necesaria una configuración de Activación escalonada de Shield, a fin de retrasar la activación inicial durante el lapso necesario que permita que el software cliente de la VPN establezca una conexión de red.
Sondeo forzado Utilice la configuración de registro a continuación para que Shield sondee al servidor para una actualización forzada de política. Cree o modifique las siguientes configuraciones de registro: HKLM\SOFTWARE\Credant\CMGShield\Notify PingProxy (DWORD value)=1 Según la versión de Shield, la configuración de registro desaparecerá automáticamente o se modificará de 1 a 0 una vez que el sondeo esté terminado.
Activaciones fuera del dominio Habilitar las activaciones fuera del dominio es una configuración avanzada que tiene consecuencias amplias. Póngase en contacto con el departamento de apoyo al cliente para analizar las necesidades específicas de su entorno y obtener instrucciones para activar esta función.
Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos 6 Esta sección explica la manera de configurar los componentes a fin de utilizarlos con la autenticación/autorización Kerberos. Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos NOTA: Si se va a utilizar la autenticación/autorización Kerberos, entonces el servidor que contiene el componente servidor de claves (Key Server) deberá formar parte del dominio afectado.
Por ejemplo, en un entorno multi-dominios, si sólo se coloca el nombre de la cuenta del SAM, "jdoe", probablemente fallará porque el servidor no podrá autenticar "jdoe" ya que no puede encontrar "jdoe". En un entorno multi-dominios, se recomienda el formato UPN, aunque el formato "dominio/nombre de usuario" también es aceptable. En un entorno de dominio único, es aceptable el nombre de la cuenta del SAM. 4 Vaya a y cambie "epw" a "password".
Instrucciones del Servicio de Windows 1 Regrese al panel del Servicio de Windows. 2 Reinicie el servicio Dell Key Server Service. 3 Navegue hasta log.txt a fin de verificar que el servicio arrancó correctamente. 4 Cierre el panel del Servicio de Windows. Instrucciones de la Consola de Administración Remota 1 De ser necesario, inicie una sesión en la Consola de Administración Remota. 2 Haga clic en Dominios y luego en el icono Detalle. 3 Haga clic en Key Server.
Guía de configuración
Asignar función de administrador forense 7 De forma predeterminada, la autorización forense está habilitada en los servidores de base de datos y deshabilitada en los servidores de aplicaciones. Estas configuraciones se establecen apropiadamente al momento de la instalación tanto de Device Server como de Security Server. Instrucciones de la Consola de Administración Remota 1 De ser necesario, inicie una sesión en la Consola de Administración Remota.
Guía de configuración
8 Expresiones cron Esta sección explica la manera de utilizar los formatos y los caracteres especiales de las expresiones cron. Introducción a las expresiones cron La herramienta cron es una herramienta de UNIX que ha estado en uso durante mucho tiempo, de modo que sus capacidades de planificación en el tiempo son poderosas y están demostradas. La clase CronTrigger se basa en las capacidades de planificación en el tiempo de cron.
• El caracter "-" se utiliza para especificar intervalos. Por ejemplo, "10-12" en el campo de horas significa las horas 10, 11 y 12. • El caracter "," se utiliza para especificar valores adicionales. Por ejemplo, MON,WED,FRI en el campo del día de la semana significa los días lunes, miércoles y viernes. • El caracter "/" se utiliza para especificar incrementos. "0/15" en el campo de segundos significa los segundos 0, 15, 30 y 45. "5/15" en el campo de segundos significa los segundos 5, 20, 35 y 50.
• El caracter "C" se utiliza en expresiones de calendario. Al utilizar este caracter se indica que los valores se calculan en relación al calendario asociado, si existe. Si no existe un calendario asociado, entonces es equivalente a tener un calendario total. Por ejemplo, la expresión "5C" en el campo del día del mes significa el primer día incluido en el calendario que caiga en la fecha 5 del mes o con posterioridad a dicha fecha.
Guía de configuración
Creación de un certificado autofirmado con Keytool y generación de una solicitud de firma de certificado 9 NOTA: Esta sección explica los pasos necesarios para crear un certificado autofirmado para componentes basados en Java. Este proceso no puede usarse para crear un certificado autofirmado en componentes basados en .NET. Recomendamos los certificados autofirmados solamente en entornos que no sean de producción.
• Nombre completo: Introduzca el nombre completo del servidor en el que está instalado el componente con el que • Unidad organizacional: Introduzca el valor apropiado (ejemplo: Seguridad). • Organización: Introduzca el valor apropiado (ejemplo: Dell). • Ciudad o localidad: Introduzca el valor apropiado (ejemplo: Austin). • Estado o provincia: Introduzca el nombre de la provincia o el estado sin abreviar (ejemplo: Texas). • Código de dos letras del país: está trabajando.
Figura 9-1. Ejemplo de archivo .CSR 2 Siga el proceso de su organización para la adquisición de un certificado de servidor SSL de una autoridad de certificación. Envíe el contenido de para su firma. NOTA: Hay varios métodos para solicitar un certificado válido. Puede ver un método de ejemplo en Ejemplo de un método para solicitar un certificado. 3 Cuando reciba el certificado firmado, guárdelo en un archivo.
2 Seleccione Request a certificate y haga clic en Next >. Figura 9-2. Servicios de certificación de Microsoft 3 Seleccione Advanced Request y haga clic en Next >. Figura 9-3.
4 Seleccione la opción Submit a certificate request using a base64 encode PKCS #10 file y haga clic en Next >. Figura 9-4. Solicitud de certificado avanzada 5 Pegue el contenido de la solicitud CSR en el cuadro de texto. Seleccione una plantilla de certificado de Web Server haga clic en Submit >. Figura 9-5.
6 Guarde el certificado. Seleccione DER encoded y haga clic en Download CA certificate. Figura 9-6. Descarga del certificado de la CA 7 Guarde el certificado. Seleccione DER encoded y haga clic en Download CA certification path. Figura 9-7.
8 Importe el certificado de la autoridad de firma convertido. Volver a la ventana de DOS. Escriba: keytool -import -trustcacerts -file -keystore cacerts 9 Ahora que ya ha importado el certificado de la autoridad de firma, puede importar el certificado del servidor (puede establecerse la cadena de confianza).
Guía de configuración
0XXXXXA0X