cynapspro Data Endpoint Protection 2010

Integration von Drittsystemen

2

cynapspro Data Endpoint Protection 2010

Alle Rechte vorbehalten, 2004 – 2010 cynapspro GmbH. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte liegen bei der cynapspro GmbH. Jede andere Nutzung, insbesondere die Weitergabe an Dritte, Speicherung innerhalb eines Datensystems, Verbreitung, Bearbeitung, Vortrag, Aufführung und Vorführung ist untersagt. Dies gilt sowohl für das gesamte Dokument, als auch Teile davon. Änderungen vorbehalten. Die in dieser Dokumentation beschriebene Software unterliegt einer permanenten Weiterentwicklung. Aufgrund dessen kann es zu Unterschieden in der Dokumentation und der tatsächlichen Software kommen. Cynapspro devicepro® sind eingetragene Markenzeichen der cynapspro GmbH. Alle verwendeten Produktnamen und Warenzeichen sind Eigentum ihres jeweiligen Besitzers.

cynapspro GmbH Am Hardtwald 1 76275 Ettlingen

Germany

Tel. +49 (0)7243 945-250 Fax. +49 (0)7243 945-100

eMail: contact@cynapspro.com

3

Inhaltsverzeichnis

Integration von Drittsystemen

Bausteine zum Erstellen einer DevicePro Rechtedatei

Anwenderbeispiele

4

Integration von Drittsystemen Sie haben ein System in dem Sie schon alle Benutzer Verwalten oder Rechteveränderungen vornehmen, und möchten, dass die Änderungen automatisch in die DevicePro Datenbank übernommen werden? Dafür haben wir die Rechteverwaltung über Drittsoftware entwickelt. Alle Ihre Änderungen können Sie als XML Datei abspeichern und wir werden diese automatisch übernehmen. Sie können in der DevicePro Management Konsole den Pfad bestimmen, an dem Sie die XML Dateien ablegen möchten. Hierfür gehen Sie in der Administration auf Integration von Drittsoftware. Sie legen hier den Pfad zum Einlesen der XML unter Verzeichnis für den Datenimport fest. Die beiden anderen Pfade werden automatisch angelegt. Wenn Sie aber einen anderen Ordner verwenden möchten, klicken Sie auf Durchsuchen. Wenn Sie nun eine XML Datei in den bei Verzeichnis für den Datenimport hinterlegten Pfad legen, wird diese sofort bearbeitet. Wurde die Datei erfolgreich eingelesen, so wird sie automatisch in den Ordner \Success verschoben. Ist die XML Datei fehlerhaft, so finden Sie diese nach dem Einlesen unter dem Ordner \Fail. Zusätzlich zu der Ordnerstruktur informiert der DevicePro Server Sie über den Status des Importvorganges. Wurde die XML Datei erfolgreich verarbeitet, so sehen Sie in dieser XML Datei den Status „Success“. Bei fehlerhaften Einlesen des XML Befehles erhalten Sie die Meldung "Failed" und einen Rückgabewert "ErrorText" mit dem Fehlertext Status="Failed", welches in dieser XML Datei niedergeschrieben wird. Somit erhält das Drittsystem ein Feedback, ob alles funktioniert hat, bzw. falls nicht, warum es nicht geklappt hat.

Bitte beachten Sie die im Anhang erwähnten Bausteine zum Erstellen einer DevicePro Rechtedatei.

5

Bausteine zum Erstellen einer DevicePro Rechtedatei Geräteport ändern Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="9" Name="Firewire"> <SD> <ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE> </SD> </DC> </Body> </Xml>

Mit dem Parameter DP Type=“Wert“ (…) können Sie einzelne Ports sperren. Geben bitte hier den Port mit ID (Type) der entsprechenden Ports an. Die Angabe des Klassenamens (Name) ist optional und dient der Übersichtlichkeit. Parallel Port: <DP Type="3" Name="Parallel Port"></DP> Serial Port: <DP Type="4" Name="Serial Port"></DP> Firewire: <DP Type="9" Name="FireWire"></DP> PCMCIA: <DP Type="10" Name="PCMCIA"></DP> USB Port: <DP Type="14" Name="USB (without keyboards, mouses...)"></DP>

Sie können die Rechte einzelner Gruppen und Benutzern über den Baustein SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC). Dazwischen setzen Sie den SD (=Security Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Novell GUID’s werden automatisch von cynapspro in eine SID umgewandelt. Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie hier den Full Qualified Name des Rechners an. Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID zusammen.

6

Geräteklasse ändern Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DC Id="1" Name="CD / DVD"> <SD> <ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE> </SD> </DC> </Body>

</Xml>

Mit dem Parameter DC Type=“<Wert>“ können Sie einzelne Geräteklassen sperren. Geben bitte hier die Geräteklasse mit ID (Type) der entsprechenden Geräte an. Die Angabe des Klassenamens (Name) ist optional und dient der Übersichtlichkeit. unbekannte Geräte: <DC Id="0" Name="Unknown"></DC> CD/DVD: <DC Id="1" Name="CD / DVD"></DC> Diskettenlaufwerk: <DC Id="2" Name="Floppy Disk"></DC> externe Speichermedien: <DC Id="5" Name="External Storage"></DC> Infrarotgeräte: <DC Id="6" Name="Infrared"></DC> Bluetooth Adapter: <DC Id="7" Name="Bluetooth"></DC> WLAN Karten/Adapter: <DC Id="8" Name="WiFi"></DC> Scanner/Kameras: <DC Id="11" Name="Scanners and Cameras"></DC> TV Karten/Adpater: <DC Id="12" Name="TV Tuner"></DC> Drucker: <DC Id="13" Name="Printers"></DC> PDA/Smartphone: <DC Id="15" Name="PDA"></DC> Blackberry: <DC Id="16" Name="Blackberry"></DC> Modem: <DC Id="17" Name="Modem"></DC> ISDN Karten/Adapter: <DC Id="18" Name="ISDN Cards"></DC>

Sie können die Rechte aller Benutzer oder einzelner Gruppen und Benutzern über den Parameter SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC), bzw. eine Freigabe (DM oder DN) öffnen. Dazwischen setzen Sie den SD (=Security Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Novell GUID’s werden automatisch von cynapspro in eine SID umgewandelt. Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie hier den Full Qualified Name des Rechners an. Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID zusammen.

7

Freigegebene Gerätegruppen

Beispiel: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema> <DM Class="1" Cert="1" HwId="IDE\\CDROMLITE-ON_DVDRW_SHM-165P6S________________MS0F____"></DM> </Body>

</Xml>

Um einzelne Gerätegruppen in die Whitelist der Freigegebenen Gerätegruppen zu Integrieren verwenden Sie bitte den Parameter DM Class="<Wert>" Cert="<Wert>" HwId="<HardwareID> ". Der Parameter Class bzw. Port steht für die Geräteklasse bzw. den Port: unbekannte Geräte: Class="0" CD/DVD: Class="1" Diskettenlaufwerk: Class="2" Parallel Port: Port="3" Serial Port: Port="4" externe Speichermedien: Class="5" Infrarotgeräte: Class="6" Bluetooth Adapter: Class="7" WLAN Karten/Adapter: Class="8" Firewire: Port="9" PCMCIA: Port="10" Scanner/Kameras: Class="11" TV Karten/Adpater: Class="12" Drucker: Class="13" USB Port: Port="14" PDA/Smartphone: Class="15" Blackberry: Class="16" Modem: Class="17" ISDN Karten/Adapter: Class="18"

Mit der Angabe von Cert hinterlegen Sie bitte den Wert 1 zum Hinzufügen oder 0 zum Entfernen. Die Windows HardwareID des Gerätes geben Sie unter dem Parameter HwID bekannt.

8

Baustein für individuelle Gerätefreigabe Beispiel PDA für alle Benutzer freigeben: <?xml version="1.0"?>

<Xml> <Header></Header> <Body> <Schema>1</Schema>

<DN Port="14" Class="15" InstanceId="USB\\VID_0BB4&PID_0BCE\\5&1C5E86F8&0&1" Name="Windows Mobile-based Device"> <SD> <ACE sid="S-1-1-0" ar="3"></ACE> </SD> </DN>

</Body> </Xml>

Wollen Sie über die Seriennummer und HardwareID einzelne Geräte für einzelne Benutzer und/oder Rechner mit Lese- oder Vollzugriff freigeben. Hierfür können mit dem Parameter DN Port="<Wert>" Class="<Wert>" InstanceId="<HwID+SNr>" Name="<Gerätebeschreibung>" verwenden. Mit den Werten Port und Class hinterlegen Sie die genaue Ansteuerung des Gerätes. Die InstanceID besteht aus HardwareID und Seriennummer des entsprechenden Gerätes. Mit dem Parameter Name können Sie optional eine Gerätebeschreibung hinterlegen. In den Parameter <DN (…)>…</DN> können Sie mit folgenden Tags die betroffenen Benutzer und Rechte hinterlegen. Hierfür öffnen Sie mit SD den „Security Descriptor“ in welchem Sie dann die Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das Zugriffsrecht AR (=Access Right). Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden. Um einen Benutzer oder Rechner aus einer Gerätefreigabe zu entfernen verwenden Sie den Parameter del. Der Wert hinter diesem Parameter gibt die Anzahl der Objekte an. Anschließend hinterlegen Sie die SID oder den Rechner. AD/NDS/LDAP Synchronisation starten DpAdminTool.exe /sync [/activate]

Starten Sie mit dem Kommandozeilenbefehl /sync die komplette Synchronisation Ihrer bereits bestehenden Verzeichnis Dienst Struktur. Mit dem zusätzlichen Parameter /activate werden alle neuen User automatisch in DevicePro aktiviert. Alle Benutzer in DevicePro aktivieren DpAdminTool.exe /activate Aktivieren Sie sämtliche Benutzer automatisiert. Lizenzdatei wechseln DpAdminTool.exe /license LICENSE_FILE_PATH /user LICENSE_NAME

9

Verwaltung von ersten Laufwerksbuchstaben DpAdminTool.exe /driveLetter "<Laufwerksbuchstabe>"

Damit keine Konflikte zwischen Netzlaufwerken und externen Massenspeichern bei der Vergabe der Laufwerksbuchstaben entstehen, können Sie mit dem folgenden Befehl den ersten Buchstaben für Speichermedien setzen. Client Rollout über DevicePro Server /install [all] [MACHINE_NAMES]

Installieren Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES]. Client Update über DevicePro Server /update [all] [MACHINE_NAMES]

Updaten Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES]. Automatisches Löschen von Logfiles DpAdminTool.exe /serverLogsTime 5 - (5 Tage Begrenzung) DpAdminTool.exe /serverLogsTime 0 - (keine zeitliche Begrenzung) DpAdminTool.exe /serverLogsSize 5 - (5 MB Größe Begrenzung) DpAdminTool.exe /serverLogsSize 0 - (keine Begrenzung der Größe) DpAdminTool.exe /agentLogsTime 5 - (5 Tage Begrenzung) DpAdminTool.exe /agentLogsTime 0 - (keine zeitliche Begrenzung) DpAdminTool.exe /agentLogsSize 5 - (5 MB Größe Begrenzung) DpAdminTool.exe /agentLogsSize 0 - (keine Begrenzung der Größe)

Um den Speicherbedarf von DevicePro zu minimieren, können Sie mit folgenden Parametern die Aufbewahrung von Logdateien, welche die Programmaktivitäten mit protokollieren nach Zeitraum oder Volumen automatisch leeren. Abändern von Domaincontroller Daten DpAdminTool.exe /xmlrpcport 6005 /agentPort 6006 /dsType 1 /domainController [DC_NAME] /adUser [AD_USER] /adPassword [AD_PASSWORD] /dbServer [DB_SERVER] /dbName [DB_NAME] /dbUserName [DB_USER_NAME] /dbPassword [DB_PASSWORD]

Nur eingetragene Parameter werden für die Änderung berücksichtigt. Abändern der Pfad für XML Schnittstellen DpAdminTool.exe /impdir ACL_IMPORT_DIR /impdirsuccess IMPORT_SUCCESS_DIR /impdirfail IMPORT_FAIL_DIR

Hinterlegen Sie den Importpfad (ACL_IMPORT_DIR), den Pfad für erfolgreiche Importvorgänge (IMPORT_SUCCESS_DIR) oder fehlerhafte XML Dateien (IMPORT_FAIL_DIR). Import und Export der Einstellungen von Server zu Server /importACL ACL_FILE_PATH /exportACL ACL_FILE_PATH

Importieren Sie alle Benutzerrechte und Gerätefreigaben eines anderen Servers über die Export/Import Funktion

10

Anwenderbeispiele

1) Benutzer-/Rechnerrechte für einen Port definieren <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="14" Name="USB"> <SD> <ACE host="computer.damain.in" sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="3"></ACE> </SD> </DP> </Body> </Xml>

2) Einem Rechner Zugriffsrechte für 2 Ports und 2 Geräte ändern <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DP Type="9" Name="FireWire"> <SD> <ACE host="hostname.domain.at" ar="0"></ACE> </SD> </DP> <DP Type="10" Name="PCMCIA"> <SD> <ACE host="hostname.domain.at" ar="3"></ACE> </SD> </DP> <DC Id="7" Name="Bluetooth"> <SD> <ACE host="hostname.domain.at" ar="0"></ACE> </SD> </DC> <DC Id="8" Name="WiFi"> <SD> <ACE host="hostname.domain.at" ar="3"></ACE> </SD> </DC> </Body> </Xml>

3) Zwei Geräte unterschiedlicher Geräteklassen in freigegeben Gerätegruppen fügen

<?xml version="1.0"?> <Xml>

<Header></Header> <Body> <Schema>1</Schema> <DM Class="1" Cert="1" HwId="IDE\\CDROMLITE-ON_DVDRW_SHM-165P6S________________MS0F____"></DM> <DM Port="14" Class="5" Cert="1" HwId="USB\\VID_0835&PID_0835"></DM> </Body>

</Xml>

11

4) Gerät aus freigegeben Gerätegruppen entfernen <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DM Cert="0" HwId="V1394\\NIC1394"></DM> </Body> </Xml>

5) Eine globale Freigabe eines PDA <?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DN Port="14" Class="15" InstanceId="USB\\VID_0BB4&PID_0BCE\\5&1C5E86F8&0&1" Name="Windows Mobile-based Device"> <SD> <ACE sid="S-1-1-0" ar="3"></ACE> </SD> </DN> </Body> </Xml>

6) Einen Benutzer aus seiner individuellen Gerätefreigabe löschen

<?xml version="1.0"?> <Xml> <Header></Header> <Body> <Schema>1</Schema> <DN InstanceId="IDE\\CDROMLITE-ON_DVDRW_SHW-16H5S_________________LS0N____\\5&23126E32&0&0.1.0" Name="LITE-ON DVDRW SHW-16H5S"> <SD> <ACE Del="1" sid="S-1-5-21-3757206099-4223034928-3177353085-1003"></ACE> </SD> </DN> </Body> </Xml>

12

Gratulation

Nun sind Sie mit dem kompletten DevicePro Ultimate bestens vertraut. Für weitere Unterstützung stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Gerne stehen wir Ihnen aber auch bei aufkommenden Fragen unterstützend zur Seite.

cynapspro GmbH Am Hardtwald 1 76275 Ettlingen

Germany

Tel. +49 (0)7243-945-250 Fax. +49 (0)7243-945-100

eMail: contact@cynapspro.com

Website: http://www.cynapspro.com

Wir wünschen Ihnen viel Spaß mit unseren Produkten.