M.ID Server Handbuch Version 4.7.0

Transkript

1 M.ID Server Handbuch Version Swiss SafeLab GmbH Neuengasse Bern Switzerland Tel:

2 INHALTSVERZEICHNIS INHALTSVERZEICHNIS Dokumentinformationen Geistiges Eigentum Änderungen im Handbuch Einleitung Neue Kapitel im Handbuch seit Überarbeitete Kapitel im Handbuch seit Übersicht M.ID Suite M.ID Suite Einleitung Aufbau M.ID Agenten M.ID Komponenten Begriffe Lizenzmodell Beschreibung Lizenzmodell Subscription Lizenzmodell: Fixed User Count Beschreibung Subscription Überschreiten der Lizenz (innerhalb Toleranz) Überschreiten der Lizenz (über Toleranzgrenze hinaus) Lizenzmodell: Pool Licensing Service Beschreibung Subscription Überschreiten der Lizenz Übermittelte Daten an die M.ID Lizenzserver Lizenzmodell: Easy Licensing Service (Mietmodell) Beschreibung Subscription Überschreiten der Lizenz Übermittelte Daten an die M.ID Lizenzserver M.ID Lizenzdatei Demo Edition Lizenz Lizenzdatei installieren Übersicht der Anzahl verwendeten Lizenzen Troubleshooting M.ID Versionen Aufbau der Versionsnummern Hauptversion Nebenversion Patchversion Buildnummer M.ID Editionen Enterprise Edition Standard Edition Lite Edition Demo Edition M.ID Ablauf Anmeldemodi / M.ID Permission On demand / Session Modus Asynchroner Modus Beschreibung Anmeldevorgang Unterstützte M.ID PIN Befehle Synchroner Modus Smart On Demand By Pass M.ID Smart By Pass M.ID Password Reset Only Seite 2 M.ID Server Handbuch v4.7.0

3 motp Beschreibung Anmeldevorgang Benutzerkonfiguration Unterstützte M.ID PIN Befehle Authorize By Admin Schnittstellen LDAP Administration SMS-Gateway SMS Provider Development Kit Systemanforderungen M.ID Server M.ID Configurator M.ID RADIUS Proxy M.ID Citrix Web Interface Agent M.ID Web Agent (ISAPI-Filter) M.ID SMS Outlook 2007 AddIn M.ID Password Reset Agent for Windows Logon M.ID OWA Agent M.ID Remote Desktop Web Access Agent M.ID TMG Agent M.ID Server Installation Vorbereitung M.ID Server Installation Empfohlene Vorgehensweise Vorüberlegungen Übersicht M.ID Softwarekomponenten M.ID Server M.ID RADIUS Proxy Agent LDAP Server Redundante M.ID Server Installation Beschreibung der Redundanz Redundanz der M.ID Server Redundanz der M.ID Agenten Redundanz der LDAP-Server Redundanz der SMS Gateways SMS Account M.ID Server Installation Empfehlungen für Swiss SafeLab M.ID Server Installation Installationsassistent Einleitung Manuelle Installation Automatische Installation (/Silent) Verzeichnisstruktur nach der Installation Installation M.ID Agenten und M.ID Komponenten M.ID Server Mehrfachinstallation Redundante Installation Vorgehensweise Installation auf einem Application Server M.ID Server Deinstallation Beschreibung M.ID Server Deinstallation Automatische M.ID Server Deinstallation M.ID Server Update Szenarien Unterscheidung Update, Upgrade, Patch Update Upgrade Patch Update ab v4.2.x auf v4.7.x Update von v4.0.x oder v4.1.x auf 4.7.x Rollback Update von 2.x oder 3.x auf 4.7.x Update durchführen Rollback M.ID Server Handbuch v4.7.0 Seite 3

4 4.5. M.ID Server Patchen M.ID Server Patch einspielen Rollback Edition Upgrade Szenario Upgrade Demo Edition auf Standard Edition Upgrade Standard Edition auf Enterprise Edition M.ID Server Konfiguration Einleitung Konfigurationsablauf Benutzerdatenspeicher konfigurieren M.ID Lizenzdatei einspielen M.ID Server konfigurieren Zertifikate für SSL und SLDAP importieren M.ID Configurator Voraussetzungen M.ID Configurator starten Hinweise beim Starten des M.ID Configurators Fehlende mid.conf Datei Fehlende M.ID Lizenzdatei Java-Installation nicht gefunden Fehlende mid.key Datei Fehlende schema.ini Datei Fehlende mid_configurator.ini Datei M.ID Configurator Einstellungen Bestehende Konfigurationsdateien importieren Konfigurationsdateien aus Sicherheitskopie des \config Ordners importieren Konfigurationsdateien in ZIP-Datei exportieren/importieren Konfigurationsdateien als ZIP exportieren Gezippte Konfigurationsdateien importieren Minimalkonfiguration mit dem M.ID Configurator Minimalkonfiguration Empfohlene Konfiguration Konfiguration mit dem M.ID Configurator Beschreibung Funktionen Automatische Sicherheitskopien der Konfigurationsdateien Automatische Dokumentation der Konfiguration Global Settings Security M.ID Passcode Command Permissions M.ID PIN Command Settings Gateway Settings SMS Provider erfassen Datastore Settings Monitoring Logging Web Consoles Web Console Permissions M.ID Agents Miscellaneous Fehlende Konfigurationsmöglichkeiten Konfiguration direkt in der mid.conf Datei Global Settings Login-Event Listener Proxy Settings Key Store Settings Passcode Settings PIN Settings Secret Question and Answer Settings Password Settings motp Settings Session-Mode DOS Attacks Seite 4 M.ID Server Handbuch v4.7.0

5 SMS Gateway Settings Datastore settings Lifeness checks Timer for Asynchronous Mode Logging Settings Syslog Logging Database Logging Global Web Console Settings MID Management Control and View MID User Configuration M.ID Agent Settings M.ID Update Settings Einrichten des Datenbank Logging Voraussetzungen automatische Datenbank Konfiguration Manuelle Datenbank Konfiguration M.ID Sprachdateien Einleitung M.ID Sprachdateitypen M.ID Server Sprachdateien M.ID User Sprachdateien Aufbau der M.ID Sprachdateien Dateinamen Dateiinhalt Neue M.ID Sprachdatei erstellen Neue M.ID Sprachdatei erstellen mit M.ID Configurator Neue M.ID Sprachdatei erstellen ohne M.ID Configurator Bestehende M.ID Sprachdatei hinzufügen Mit M.ID Configurator Ohne M.ID Configurator Standardsprache setzen Mit M.ID Configurator Ohne M.ID Configurator Spezielle Platzhalter Beschreibung M.ID Server Sprachdateien M.ID User Sprachdateien Sprachdateien zusammenführen M.ID Server starten Voraussetzungen M.ID Server Windows Service M.ID Server Windows Service installieren M.ID Windows Service Deinstallieren M.ID Server starten mit M.ID Configurator msvcr*.dll Integration M.ID Server starten/stoppen aus Konsole Windows Plattformen M.ID Benutzerdaten Einleitung M.ID Benutzerdaten und Active Directory Schema Erweiterung M.ID Benutzerdaten ohne Active Directory Schema Erweiterung Einleitung Mehrere freie AD-Felder (mehrere AD-Felder erforderlich) Multi Value Field Variante (1 freies AD-Feld erforderlich) Beschreibung M.ID ADUC Properties Extension Beschreibung schema.ini Installationen mit/ohne Schemaerweiterung Installation mit Schemaerweiterung ohne M.ID ADUC Properties Extension mit M.ID ADUC Properties Extension Installation ohne Schemaerweiterung mehrere AD-Felder-Variante mit M.ID ADUC Properties Extension mehrere AD-Felder-Variante ohne M.ID ADUC Properties Extension M.ID Server Handbuch v4.7.0 Seite 5

6 Multi Value Field-Variante ohne M.ID ADUC Properties Extension Installation M.ID AD Assistant / Support Software Beschreibung M.ID Schema Extension Voraussetzungen für M.ID Schema Extension Schema Master bestimmen Installationsablauf M.ID AD Assistant Active Directory Schema erweitern M.ID AD Assistant starten Active Directory Schema Assistant Menübeschreibung Erweitern des Active Directory Schemas für M.ID Server Bestimmen von freien Active Directory Feldern Potentielle freie Active Directory Felder Übertragen in schema.ini, wenn M.ID ADUC Properies installiert Übertragen in schema.ini, wenn M.ID ADUC Properties nicht installiert wurde M.ID ADUC Properties Extension Voraussetzungen für M.ID ADUC Properties Extension Installation M.ID ADUC Properties Extension Verwendung der M.ID ADUC Properties Extension MIDADUCPropertiesExtension.ini Beschreibung Neue M.ID Sprache erfassen Leerschläge in Mobiltelefonnummern erlauben Deinstallieren der M.ID ADUC Properties Extension Aktualisieren der M.ID ADUC Properties M.ID Benutzerdaten konfigurieren Initialkonfiguration durch die M.ID Administration Benutzer erfassen/konfigurieren mit M.ID Management Control And View Neuen Benutzer erfassen mit M.ID Management Control And View Bestehende Benutzer konfigurieren mit M.ID Management Control And View Benutzer konfigurieren mit M.ID ADUC Properties Extension M.ID ADUC Properties Extension Funktionen Benutzer konfigurieren ohne M.ID ADUC Properties Extension autom. Import von M.ID User Config Files Initialkonfiguration durch den Benutzer Beschreibung Initialkonfiguration im On-Demand Modus Via Citrix Web Interface Via Portallösung und Swiss SafeLab M.ID RADIUS Proxy Initialkonfiguration im motp-modus Initialkonfiguration im Asynchronen-Modus Initialkonfiguration im Synchronen-Modus Initialkonfiguration via M.ID User Konfigurationsseite M.ID Benutzerdatenmigration nach Multi Value Field Beschreibung Mit Lite und Standard Edition Mit Enterprise Edition M.ID Betriebsfunktionen M.ID PIN Befehle Beschreibung M.ID PIN Befehle Passcode Request PIN Reset AD Passwort Reset (M.ID Integrated Remote Password Reset Agent) Support Passcode Passcode Anforderung auf Alternative Nummer / Initiales Secret Answer setzen Via Web Interface Via Swiss SafeLab Radius Proxy M.ID Passcode Befehle Beschreibung M.ID Passcode Befehle Passcode Anforderung auf alternative Nummer Secret Question / Secret Answer Szenario Beschreibung Secret Question / Secret Answer Szenario Vewendung von Secret Question / Secret Answer Seite 6 M.ID Server Handbuch v4.7.0

7 7.4. M.ID Management Control And View Einleitung Berechtigungsstufen Berechtigungsstufe Administrator Berechtigungsstufe Supporter Berechtigungsstufe Viewer Berechtigungsstufe PasscodeViewer Berechtigungsstufen anpassen Status Panel M.ID Server Information Agents Active Directory Security Center SMS Gateway stoppen/starten SMS Gateway test SMS Tests Help Logs M.ID Benutzer anzeigen M.ID Benutzer Support Center M.ID User Management Swiss SafeLab Web AD Manager Konfiguration anzeigen/neu laden Provider neu laden aktualisieren abmelden Konfigurierte M.ID Benutzer Übersicht konfigurierte M.ID Benutzer und verwendte M.ID Lizenzen M.ID Benutzer filtern Aktionen Test Message Aktivieren/Deaktivieren/Zurücksetzen von M.ID Benutzern Nachricht versenden One-Click-Password Reset Verwendete M.ID Lizenzen Detaillierte M.ID Attribute M.ID Benutzer Support Center Beschreibung M.ID Benutzer Authentifizieren M.ID Passcode Support Aktive M.ID Passcodes Benutzerpasswort zurücksetzen I Benutzerpasswort zurücksetzen II ( One-Click-Password Reset ) M.ID User Management Beschreibung M.ID User Management M.ID Attribute auslesen und in Textdatei speichern One-Click-Backup der M.ID Benutzerdaten M.ID Attribute via Textdatei setzen (Massenmutation) M.ID Attribute via Dateiupload setzen M.ID Attribute durch Direkteingabe setzen M.ID Benutzerdaten verschlüsseln M.ID User Configuration Beschreibung Anmeldung an M.ID User Configuration Einleitung Anmeldevorgang für konfigurierte M.ID Benutzer Anmeldevorgang für Initialkonfiguration mit konfigurierter M.ID Mobilnummer Anmeldevorgang für Initialkonfiguration ohne konfigurierter M.ID Mobilnummer Verweigerte Anmeldevorgänge Online Hilfe M.ID Benutzerdaten mutieren Beschreibung motp-daten mutieren M.ID Server Handbuch v4.7.0 Seite 7

8 Mutationen von bestimmten M.ID Benutzerdaten aktivieren/deaktivieren Sichtbarkeit der Formularfelder in Abhängigkeit der M.ID Permission M.ID User Initialization Wizard Beschreibung M.ID User Initialization Wizard Verwendung M.ID User Initialization Wizard M.ID User Initialization Wizard - Sprache M.ID User Initialization Wizard M.ID Mobile Nummer / M.ID User Initialization Wizard M.ID PIN M.ID User Initialization Wizard M.ID Secret Questions and Secret Answers M.ID User Initialization Wizard motp Data M.ID User Initialization Wizard M.ID Alternative Nummern/ s M.ID User Initialization Wizard Werte Bestätigen M.ID User Initialization Wizard Werte speichern Logging Logging in Dateien mid.log Dateien Erläuterung der Einträge stdout.txt, stderr.txt Dateien Logging in Datenbank Datenbank Tabellenbeschreibung Logging in Windows Event Log Telnet Monitoring Telnet Befehlsliste Debug Level Lifeness Überwachung Beschreibung Lifeness Checks HTTP-Lifeness Requests Lifeness File Billing Beschreibung Reporting Beschreibung Ausgelöste SMS Anmeldungen / Anmeldeversuche Lizenzstatus Benutzernamen-Anmeldemodi M.ID Integrated Web Password Reset Agent Einleitung Konfiguration Verwendung M.ID Password Reset Agent for Windows Logon Einleitung Installation adm Datei importieren Administrative Template konfigurieren Windows Server Windows Server Konfiguration Verwendung am Anmeldebildschirm mit Remote Desktop Deinstallation M.ID Web Interface Agent Voraussetzungen Neue Funktionalitäten Neue Funktionalitäten in v Installation M.ID Web Interface Agent Konfiguration M.ID Web Interface Agent Deinstallation M.ID Web Interface Agent M.ID RADIUS Proxy Voraussetzungen für M.ID RADIUS Proxy M.ID RADIUS Proxy Versionen M.ID RADIUS Proxy Version Neue Funktionalitäten in v Seite 8 M.ID Server Handbuch v4.7.0

9 Änderungen in v Update Szenario M.ID RADIUS Proxy Version Neue Funktionalitäten in v Behobene Fehler in v Änderungen in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v Behobene Fehler in v Änderungen in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v Behobene Fehler in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v Änderungen in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v Änderungen in v Behobene Fehler in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v M.ID RADIUS Proxy Version Neue Funktionalitäten in v Änderungen in v RADIUS Proxy Installation RADIUS Proxy Installation mit Installationsassistenten Verzeichnisstruktur nach der Installation RADIUS Proxy Update Szenario RADIUS Proxy Update mit Installationsassistenten RADIUS Proxy Update mit ZIP-Datei RADIUS Proxy Konfiguration Empfohlene Konfiguration Konfiguration mit RADIUS Configurator Hauptmenü Schaltflächen im Hauptmenü Menü Main Menü View Menü Help Initialkonfiguration mit dem Configuration Wizard Dialog Global Settings Dialog Security Settings Dialog Logging Settings Dialog Monitoring Settings Dialog M.ID Server Settings Dialog RADIUS Settings Dialog NAS Identifier Settings Dialog Finish RADIUS Proxy Windows Service installieren, starten, stoppen Via RADIUS Configurator Via Servicescripts Konfigurationsdatei proxy.ini Schlüsseldatei proxy.key M.ID RADIUS Proxy Sprachdateien (proxy_language_user_#.txt) Beschreibung M.ID RADIUS Proxy Sprachdateien Sprachdatei editieren Suche nach Updates RADIUS Logging/Monitoring M.ID RADIUS Logging M.ID Server Handbuch v4.7.0 Seite 9

10 M.ID RADIUS Monitoring Vendor Specific Attributes Beschreibung Konfiguration Anwendung Deinstallation M.ID RADIUS Proxy Troubleshooting M.ID RADIUS Proxy M.ID RADIUS Proxy mit Citrix Web Interface 5.x Zwei-Faktor Authentifizierung mit M.ID RADIUS Proxy Citrix Web Interface 5.0 und allow empty PIN Citrix Web Interface 5.2 und allow empty PIN Citrix Web Interface 5.x und UPN mit Domänensuffix M.ID RADIUS Proxy mit Citrix Receiver for ipad Konfiguration Citrix NetScaler für Citrix Receiver for ipad M.ID OWA Agent Beschreibung Installation und Konfiguration M.ID Remote Desktop Web Access Agent Beschreibung Installation und Konfiguration M.ID TMG Agent Beschreibung Voraussetzung Installation Installationablauf Beschreibung des Installationsprozesses Konfiguration Konfigurationsablauf Nachträgliche Änderungen Seiten anpassen Beschreibung Anmelde-Seite anpassen Passcode Seite anpassen M.ID ISAPI Agent Voraussetzungen Installationshilfen ISAPI Filter Konfiguration M.ID ISAPI Agent M.ID SMS Outlook 2007 AddIn Beschreibung Voraussetzungen Installationshilfen Konfiguration M.ID SMS Outlook 2007 AddIn Troubleshooting M.ID SMS Server communication error SMS Provider Development Kit Einleitung Änderungen Änderungen v Änderungen v Änderungen v Voraussetzungen Implementierung Zertifikate Einleitung Domain Controller Zertifikat exportieren IBM KeyMan Keystore öffnen Keystore Passwort ändern Zertifikat aus Datei importieren Zertifikat aus Keystore importieren Selbst signiertes Zertifikat erstellen Java KeyTool Seite 10 M.ID Server Handbuch v4.7.0

11 19. Offene Punkte M.ID Server Installation M.ID Server Betrieb M.ID Server im Betrieb mit anderen Produkten RADIUS Proxy Troubleshooting/FAQ M.ID Server M.ID Server Starten M.ID Server Konfiguration M.ID Server Deinstallation M.ID Server Benutzerkonfiguration Anmeldung SMS Ich erhalte keine SMS Ich erhalte mehrere SMS M.ID Management control and view M.ID Configurator M.ID RADIUS Proxy M.ID ADUC Properties Fehlermeldungen in den Log-Dateien Fehlermeldungen im Windows Event Log The LoadLibrary function failed fort he following reason Hinweise zu Microsoft Windows Server 2008 R Nützliche Konsolenbefehle Informationen über die Netzwerkports Informationen über Windows Dienste Informationen über die Domäne Java Keystore manipulieren Keystore Inhalt auflisten Keystore Passwort ändern Zertifikat in Keystore importieren Swiss SafeLab Produkte Installieren / Deinstallieren Swiss SafeLab Produkte Installieren Swiss SafeLab Produkte Deinstallieren Kommunikation mit dem M.ID Server Swiss SafeLab OTP Authenticator Beschreibung Swiss SafeLab OTP Authenticator Swiss SafeLab SMS Providing Beschreibung Konfiguration Swiss SafeLab Web AD Manager Lite Beschreibung Konfiguration Bedienung Passwort zurücksetzen Benutzerkonto aktivieren Benutzerkonto deaktivieren Benutzer löschen Active Directory Benutzereigenschaften anzeigen M.ID User Properties anzeigen Active Directory Benutzer erstellen Swiss SafeLab GSM Modem Observer Beschreibung Installation und Konfiguration GSM Modem Observer Anbindung GSM Modem Observer Feature Übersicht M.ID Server Framework M.ID Server Architekturmerkmale M.ID Server Sicherheitsmerkmale M.ID Agenten M.ID Komponenten M.ID Server Lizenzierung M.ID Server Konfiguration M.ID Server Handbuch v4.7.0 Seite 11

12 26.2. M.ID Server Administration M.ID Server Administration M.ID Benutzer Management M.ID Benutzer Support M.ID Benutzer Self-Management M.ID Server Logging M.ID Server Logging M.ID Server Monitoring M.ID Server Reporting Änderungshistorie M.ID Versionen M.ID Server Version Neue Funktionalitäten in v Neue Konfigurationmöglichkeiten in v Änderungen in v Neue Agenten / Komponenten in v Behobene Fehler in v Update-Szenarios für v M.ID Server Version Neue Funktionalitäten in v Neue Konfigurationsmöglichkeiten in v Änderungen in v Neue Agenten / Komponenten in v Behobene Fehler in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Neue Agenten / Komponenten in v Behobene Fehler in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Neue Agenten / Komponenten in v Behobene Fehler in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Neue Agenten / Komponenten in v Behobene Fehler in v M.ID Server Version Neue Funktionalitäten in v Behobene Fehler in v M.ID Server Version Behobene Fehler in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Behobene Fehler in v Neue Agenten / Komponenten in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Behobene Fehler in v Neue Agenten / Komponenten in v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Behobene Fehler in v Neue Agenten / Komponenten v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Behobene Fehler in v Seite 12 M.ID Server Handbuch v4.7.0

13 Neue Agenten / Komponenten v M.ID Server Version Neue Funktionalitäten in v Änderungen in v Neue Agenten / Komponenten in v M.ID Editionen Editionen in Version v4.7.0 Lite Edition v4.7.0 Standard Edition v4.7.0 Enterprise Edition Editionen in Version v4.6.0 Lite Edition v4.6.0 Standard Edition v4.6.0 Enterprise Edition Editionen in Version v4.5.0 Standard Edition v4.5.0 Enterprise Edition Editionen in Version v4.3.0 Standard Edition v4.3.0 Enterprise Edition Editionen in Version v4.2.0 Standard Edition v4.2.0 Enterprise Edition Editionen in Version v4.1.0 Standard Edition v4.1.0 Enterprise Edition Editionen in Version v4.0.0 Standard Edition v4.0.0 Enterprise Edition Kontakt Dokumentinformationen Autor: Swiss SafeLab GmbH Letzte Änderungen: Dieses Dokument umfasst die vollständige Installation und Konfiguration des M.ID Servers, seinen M.ID Agenten, sowie seinen Komponenten wie bspw. Active Directory Schemaerweiterung. Ein Troubleshooting Kapitel hilft bei einer allfälligen Problemlösung Geistiges Eigentum Dieses Dokument ist geistiges Eigentum der Swiss SafeLab GmbH und darf ohne deren Einwilligung weder kopiert, vervielfältigt, weitergegeben noch zur Ausführung benützt werden. Unbefugte Verwertung ist gemäss Art. 23 i.v.m Art. 5 Bundesgesetzt vom 19. Dezember 1986 gegen den unlauteren Wettbewerb (UWG) strafbar. Das Werk ist zudem urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere der Übersetzung, des Nachdrucks, der Entnahme von Abbildungen, der Weitergabe auf photomechanischem oder ähnlichem Wege und der Speicherung in Datenverarbeitungsanlagen bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Die in dieser Dokumentation beschriebenen Funktionen, Daten und Darstellungen gelten unter Vorbehalt, dass eine Änderung jederzeit möglich ist. Sie dienen dem besseren Verständnis der Materie, ohne Anspruch auf Vollständigkeit und Richtigkeit im Detail zu erheben. Copyright 2014 Swiss SafeLab GmbH Alle Rechte vorbehalten. M.ID Server Handbuch v4.7.0 Seite 13

14 1.3. Änderungen im Handbuch Einleitung Um Änderungen im Handbuch dies beinhaltet meistens die Beschreibung von neuen Funktionalitäten hervorzuheben, werden diese mit New! gekennzeichnet Neue Kapitel im Handbuch seit Update ab v4.2.x auf v4.7.x M.ID PIN Command Prefix M.ID User Initialization Wizard Settings Initialkonfiguration im motp-modus Nachricht an Benutzer senden Benutzer im Swiss SafeLab AD Web Manager anzeigen Ziel der User Web Console Anmeldung Wizard starten 7.6 M.ID User Initialization Wizard M.ID RADIUS Proxy Version Swiss SafeLab OTP Authenticator 24.9 M.ID User Properties anzeigen M.ID Server Version Editionen in Version Überarbeitete Kapitel im Handbuch seit Beschreibung Security Web Consoles Fehlende Konfigurationsmöglichkeiten Help Übersicht konfigurierte M.ID Benutzer und verwendte M.ID Lizenzen M.ID Attribute ändern Anmeldevorgang für konfigurierte M.ID Benutzer Seite 14 M.ID Server Handbuch v4.7.0

15 2. Übersicht M.ID Suite 2.1. M.ID Suite Einleitung Die Entwicklung der M.ID Suite startete Ende 2002 mit einem Messe-Prototypen. Durch laufenden Kundenkontakt, wird das Produkt um neue Möglichkeiten erweitert (bspw. M.ID Outlook 2007 Addin oder M.ID Password Reset Agent for Windows Logon). Unter dem Namen Swiss SafeLab M.ID wird ein Framework zur Zweifaktor-Authentifizierung via GSM-Mobiltelefonie verstanden. Das Framework lässt sich auf einfache Weise in bestehende Anwendungen integrieren. Mobiltelefone sind heutzutage weit verbreitet. Über 90% der Schweizer Bevölkerung besitzen ein oder mehrere Mobilanschlüsse. In andern Ländern ist dieser Wert sogar noch höher. Nahezu 100% der Menschen die sich regelmässig im Internet bewegen, haben ein Mobiltelefon. Durch diese Verbreitung kann davon ausgegangen werden dass jeder Benutzer im Einsatzumfeld des M.ID ein Mobiltelefon besitzt. Diese Gegebenheit nutzt das M.ID-Framework, indem es die Passwortzusätze (Passcodes genannt) als SMS Kurzmitteilung auf das Mobiltelefon sendet. Somit kann auf kostspielige Zusatzhardware wie smart cards, Taschenrechner oder auf Streichlisten verzichtet werden Aufbau Das zentrale Element der M.ID Suite ist der M.ID Server. Er verwaltet die Passcode-, oder auch Passcode-Policies. Diese Policies legen fest, wie lange ein Passcodezusatz gültig ist oder wie viele Logins damit möglich sind. Für die unterschiedlichen Authentifizierungsanwendungen wie Web- Login, Remote-Access über VPN oder automatischer Passwort-Reset stehen Agenten zur Verfügung, die beim M.ID Server Anfragen stellen, wenn sich ein Benutzer an- bzw. abmeldet. Ebenso ist der M.ID Server verantwortlich für den SMS/ Versand, Logging, Alerting und Reporting. Beim Anmelden über das Web übernimmt diese Funktion wahlweise der M.ID ISAPI Agent (ISAPI Filter) oder direkt die Web-Applikation, welche die Benutzeraktivitäten dem M.ID Server meldet. Beim Remote-Access über VPN kommt der M.ID RADIUS Agent (Radius Proxy) zum Einsatz. Für Citrix WI Umgebungen steht der speziell dafür entwickelte M.ID Citrix WI Agent zur Verfügung. Um möglichst alle Anmeldeszenarien (SSL VPN Appliances, Citrix Web Interfaces, Internetportale,...) und Anforderungen (bspw. SMS Versand) abzudecken, verwendet das M.ID Framework M.ID Agenten bzw. M.ID Komponenten M.ID Agenten M.ID Agenten werden in bestehende Portale (bspw. Citrix Web Interfaces) integriert. Die Kommunikation erfolgt in der Reihenfolge Portal M.ID Agent M.ID Server und wieder zurück. Derzeit stehen folgende M.ID Agenten zur Verfügung: M.ID Integrated Web Password Reset Agent (s. Kapitel 8) M.ID Password Reset Agent for Windows Logon (s. Kapitel 9) M.ID WebInterface Agent (s. Kapitel 10) o Verwendet für Citrix Web Interface 4.5, 4.6 M.ID RADIUS Proxy Agent (s. Kapitel 11) o Verwendet für Citrix Web Interface 5.x o RADIUS fähige Appliances (SonicWalls, Juniper, CheckPoint, Palo Alto,...) M.ID OWA Agent (s. Kapitel 12) o Verwendet für Microsoft Outlook Web Access 2007 / 2010 M.ID Remote Desktop Web Access Agent (s. Kapitel 13) o Verwendet für Microsoft Remote Desktop Web Access 2008 R2 M.ID TMG Agent (s. Kapitel 14) M.ID Server Handbuch v4.7.0 Seite 15

16 o Verwendet für Microsoft ForeFront Threat Management Gateway M.ID ISAPI Agent (s. Kapitel 15) M.ID Komponenten M.ID Komponenten unterstützen den Anwender in der Verwendung des M.ID Servers. Folgende M.ID Komponenten stehen zur Verfügung: M.ID Configurator (s. Kapitel 5.5) M.ID AD Assistant (s. Kapitel 6.7) M.ID ADUC Properties Extension (s. Kapitel 6.9.3) M.ID SMS Outlook 2007 AddIn (s. Kapitel 16) M.ID SMS Provider Development Kit (s. Kapitel 17) Swiss SafeLab Web AD Manager Lite (s. Kapitel 24) 2.2. Begriffe Begriff Swiss SafeLab GmbH Swiss SafeLab M.ID Suite M.ID Zwei-Faktor-Authentifizierung Swiss SafeLab M.ID Server M.ID Mobilnummer M.ID Passcode M.ID PIN M.ID Secret Answer M.ID Secret Question (AD) Passwort LDAP Seite 16 Erläuterung Ihr Partner für Netzwerksicherheit, Zwei-Faktor-Authentifizierungslösungen und SMS Providing Swiss SafeLab M.ID ist eine Softwarelösung zur Zweifaktor-Authentifizierung via GSM-Mobiltelefonie, Smartphones und Tablets Mobile Identity. Der Identitätsnachweis wird auf Grund des Besitzes des Mobiltelefons erbracht. Hierzu wird auf das dem Benutzernamen zugeordnete Mobiltelefon ein M.ID Passcode geschickt. Die korrekte Eingabe dieses M.ID Passcodes erbringt den Besitznachweis. Vorgang der Überprüfung einer behaupteten Identität anhand zwei Bedingungen (Faktoren). Der Swiss SafeLab M.ID Server verwendet Besitzfaktor (Mobiltelefon) und Wissensfaktor (PIN) um die Identität zu überprüfen. Core-Modul der M.ID Suite Die M.ID Mobilnummer kann eine Mobiltelefonnummer oder eine adresse sein. Der M.ID Passcode wird auf diese M.ID Mobilnummer verschickt. Als Passcode wird die zufällig genierte Zeichenkette bezeichnet, welche als SMS auf das Mobiltelefon verschickt wird (alternativ kann dieser Passcode auch via versandt werden). Die korrekte Eingabe des Passcodes erbringt den Besitznachweis. Je nach Anmeldemodus (s. Kapitel 2.7 Anmeldemodi) ist der Passcode nur für eine Anmeldung gültig (one time password) oder für eine vordefinierte Zeitspanne. Hinweis: Um Verwechslungen auszuschliessen, enthalten die generierten Passcodes keinen Kleinbuchstaben L und keinen Grossbuchstaben O Der PIN wiederspiegelt den Wissensfaktor und muss geheim bleiben. Der PIN autorisiert das Auslösen eines Passcodes. Hinweis: Seit v3.0.0 kann der M.ID Server auch ohne PIN betrieben werden, jedoch reduziert sich damit die Absicherung der Portale und/oder Appliance, welche Sie mit M.ID Server abgesichert haben. Die Secret Answer (geheime Antwort) wird als zusätzlicher Wissensfaktor verwendet um dem Benutzer eine PIN- oder AD-Passwort-Änderung ohne Beihilfe der Administration zu ermöglichen. Die Secret Question (geheime Frage) wurde mit M.ID Server v4.0.0 eingeführt. Die Secret Question kann vom Benutzer selber gewählt und geändert werden, damit sich dieser die Secret Answer einfacher merken kann. Als (Active Directory) Passwort wird das Domänenpasswort bezeichnet. Zurzeit wird bei keinem Anmeldevorgang via Swiss SafeLab M.ID Server das AD Passwort auf dessen Korrektheit geprüft. Diese Überprüfung führt bspw. das Citrix Web Interface durch. Jedoch besteht die Möglichkeit das AD Passwort zurücksetzen. Hinweis: Um Verwechslungen auszuschliessen, enthalten die generierten Passcodes keinen Kleinbuchstaben L und keinen Grossbuchstaben O LDAP steht für Lightweight Directory Access Protocol. Der Swiss SafeLab M.ID Server verwendet keine proprietäre Benutzerdatenbank. Alle Benutzerdaten M.ID Server Handbuch v4.7.0

17 (PIN, Passcode, Secret Answer, ) werden im LDAP abgelegt. Die LDAP Anbindung ist kompatibel mit ADAM (Active Directory Application Mode). M.ID Agent Als Agent wird eine Komponente bezeichnet, die mit dem Swiss SafeLab M.ID Server kommuniziert bspw. Swiss SafeLab M.ID Radius Proxy, Swiss SafeLab Outlook AddIn, Swiss SafeLab Citrix Web Interface Agent, ISAPI Agent. M.ID Befehle Als M.ID Befehle werden Befehle an den M.ID Server bezeichnet, die der Benutzer während des Anmeldeprozesses an den M.ID Server senden kann (bspw. AD Passwort zurücksetzen). M.ID Configurator Grafische Oberfläche zur Konfiguration und Verwaltung des Swiss SafeLab M.ID Servers. M.ID Key / Schlüsseldatei Zur Verschlüsselung der Passwörter verwendet Swiss SafeLab M.ID Server und seine Komponenten einen Schlüssel. Dieser Schüssel ist einer Schlüsseldatei abgelegt. Hinweis: Wenn die Schlüsseldatei geändert wird, so müssen alle Passwörter in der mid.conf, PINs und Passcodes neu verschlüsselt werden. M.ID Keystore Alle Zertifikate die dem M.ID Server zur Verfügung stehen müssen (LDAP Server- Zertifikat, SSL Zertifikat der SMS Provider, ) werden in einer Datei gespeichert. Diese Datei wird als Keystore bezeichnet. Der Keystore muss mit einem Passwort versehen werden. M.ID Management Control & Diese Webseite bietet Statusinformationen über den Swiss SafeLab M.ID Server View sowie einige weitere administrative Funktionen (s. Kapitel 7.4 M.ID Management Control And View) SMS Provider / SMS Gateway Swiss SafeLab M.ID Server verwendet als Besitzfaktor das Mobiltelefon. Damit der M.ID Server SMS verschicken kann, muss dieser eine Verbindung zu einem SMS Provider / Gateway aufbauen. SMS Provider Development Kit Das SPDK enthält Java-Interfaces und Java-Klasse zur Implementierung (SPDK) eigener SMS Provider. generischer SMS Provider Als generischer SMS Provider wird eine eigene Implementierung einer SMS Gateway Anbindung bezeichnet. Seit der Enterprise Edition v3.0.0 steht eine offene Schnittstelle zur Verfügung, welche es den Kunden erlaubt jeden beliebigen Provider anzubinden. Natürlich kann diese Implementierung auch Swiss SafeLab in Auftrag gegeben werden. M.ID Anmeldemodus Swiss SafeLab M.ID Server besitzt mehrere Anmeldemodi (s. Kapitel 2.7 Anmeldemodi), welche folgende Aspekte regeln: Art und Weise der Generierung des M.ID Passcode Zustellzeit des M.ID Passcodes Access Control u.v.m. Lizenz Die Lizenz erlaubt die Nutzung des erworbenen Produkts gemäss Lizenzvertrag und darf nicht weitergegeben werden. Subscription Mit einer Subscription erhalten Sie den Anspruch alle nachfolgenden Versionen des M.ID Servers, die während ihrer Subscription Gültigkeitsdauer lanciert werden, kostenlos zu beziehen und ebenfalls zeitlich unlimitiert zu nutzen. Version Swiss SafeLab M.ID wird stetig weiterentwickelt. Die Versionsnummer gibt Ihnen einen Rückschluss auf den Produktstand. Edition Ab Swiss SafeLab M.ID Server v3.0.0 ist der M.ID Server in unterschiedlichen Editionen verfügbar. Dies ermöglicht Ihnen den Einsatz einer auf Ihre Bedürfnisse massgeschneiderten Zwei-Faktor-Authentifizierungslösung. M.ID Active Directory Support Softwarekomponente zur Erweiterung des Active Directory Schemas und zur Software Erweiterung der Active Directory User and Computers Eigenschaften M.ID Properties Extension Die M.ID Properties Extension erweitert die Active Directory User and Computers Eigenschaften mit einer zusätzlichen Eigenschaftskarte (s. Kapitel 6.4). NAS In diesem Kontext immer Network Access Server. Mit NAS wird jedoch oft Network Attached Storage gemeint M.ID Server Handbuch v4.7.0 Seite 17

18 2.3. Lizenzmodell Beschreibung Lizenzmodell Swiss SafeLab M.ID Server verwendet das Named-User-Lizenzmodell. Pro aktivierten Benutzer (M.ID Permission wurde gesetzt), wird eine Lizenz benötigt. Den Lizenz-Status können Sie in der M.ID Management Control and View entnehmen (s. Kapitel Verwendete M.ID Lizenzen). Derzeit stehen zwei Varianten zur Verfügung: Fixed User Count Easy Licensing Service Die Variante des Lizenzmodells, die erworbene Edition und Anzahl Benutzer werden anhand einer Lizenzdatei (mid.lic) gesteuert Subscription Mit einer Subscription erhalten Sie den Anspruch alle nachfolgenden Versionen des M.ID Servers, die während Ihrer Subscription Gültigkeitsdauer lanciert werden, kostenlos zu beziehen und ebenfalls zeitlich unlimitiert zu nutzen Lizenzmodell: Fixed User Count Beschreibung Das Fixed User Count Modell ist der Standardfall. Hierbei werden soviele M.ID Benutzerlizenzen erworben, wie Benutzer aktiviert werden sollen Subscription Während der gesamten Gültigkeitsdauer der Subscriptionen, können alle nachfolgenden Versionen installiert werden. Ist die Subscription abgelaufen und es wird eine neuere Version installiert, so verweigert der M.ID Server seinen Dienst Überschreiten der Lizenz (innerhalb Toleranz) Die Lizenzdatei enthält Information über die Anzahl erworbenen Lizenzen und einer zusätzlichen Toleranzgrenze, bspw.: USERS: 100 USERTOLERANCE: 10 Bei obigem Beispiel wurden 100 Named-User-Licenses erworben und es stehen 10 zusätzliche Lizenzen als Toleranz zur Verfügung, total 110 Lizenzen. Sind bspw. nun 108 Benutzer aktiviert, so wird die M.ID Administration periodisch über die Überschreitung innerhalb der Toleranz informiert. Die Toleranz dient lediglich dazu der M.ID Administration genügend Vorlaufzeit zugeben um zusätzliche M.ID Lizenzen nachzubestellen. Abgesehen von den periodischen Warnhinweisen werden vom M.ID Server keine weiteren Aktionen unternommen - im Gegensatz zur Überschreitung der Lizenz über die Toleranzgrenze hinaus (s. nächstes Kapitel) Überschreiten der Lizenz (über Toleranzgrenze hinaus) Folgende Konstellationen führen zu einer Überschreitung der Lizenz Die Anzahl der aktivierten Benutzer im Datenspeicher (LDAP/Datenbank) ist grösser, als die Summe der erworbenen Lizenzen (USERS) plus Toleranz (USERTOLERANCE) Verwendung einer neueren M.ID Server Version ohne gültige Subscription Seite 18 M.ID Server Handbuch v4.7.0

19 Die Überschreitung der Lizenz wird im M.ID Security Center angezeigt. Zudem wird der Administrator stündlich über die Überschreitung per SMS/ (s. Lifeness Checks Angaben) informiert. Wird die Überschreitung nicht innert 98 Stunden (168 Stunden bei Enterprise Edition) behoben, so stoppt der M.ID Server seinen Dienst Lizenzmodell: Pool Licensing Service Beschreibung Der Pool Licensing Service (PLS) richtet sich ausschliesslich an Betreiber von Rechenzentren (RZ), welche das Hosting für unterschiedliche Kunden betreiben. Der Betreiber des RZ geniesst den Vorteil, nur noch eine einzige Lizenzdatei erwerben zu müssen. Die zu erwerbende Lizenzanzahl entspricht hier der Summe aller M.ID-Benutzer über alle Domänen hinweg. Hiermit erreicht der Betreiber des RZ eine viel höhere Rabattstufe beim Einkauf. Diese Lizenzdatei wird in allen gewünschten Domänen eingespielt. Beispiel: Betreibt ein RZ das Hosting für Domänen mit 50, 30, 25, 80 Benutzern, so muss dieser nicht 4 Lizenzdateien bestellen zu je 50, 30, 25, 80 Lizenzen, sondern kann eine einzige Lizenzdatei über 185 Lizenzen bestellen. Wird in einer Domäne eine Lizenz frei, so kann diese Lizenz in einer anderen Domäne verwendet werden Subscription Das Verhalten der Subscription ist identisch mit jenem beim Fixed User Count Model Überschreiten der Lizenz Das Verhalten beim Überschreiten der Lizenzen ist identisch mit jenem beim Fixed User Count Model Übermittelte Daten an die M.ID Lizenzserver Die M.ID Server mit Pool Licensing Service übermitteln folgende Daten an die M.ID Lizenzserver (teilweise mit Einwegverschlüsselung): M.ID Lizenzdatei Public IP des RZ Anzahl aktivierte M.ID Benutzer pro M.ID Anmeldemodus Domäneninformationen (einwegverschlüsselt) o objectguid, name, dc Lizenzmodell: Easy Licensing Service (Mietmodell) Beschreibung Der Swiss SafeLab M.ID Easy Licensing Service (ELS) ist ein Mietmodell. Der Lizenznehmer erhält so eine grössere Flexibilität betreffend der Anzahl benötigten Lizenzen, muss sich jedoch für eine Mindestanzahl an Lizenzen verpflichten. Je höher die Verpflichtung, desto niedriger die Kosten für die monatliche Miete einer Benutzerlizenz. Der Swiss SafeLab M.ID ELS kann ausschliesslich über Swiss SafeLab M.ID Gold Partner bezogen werden. Wird der M.ID Server im Mietmodell betrieben, so verbindet sich dieser periodisch mit einem Lizenzserver und übermittelt die Anzahl Benutzer pro M.ID Permission an den Lizenzserver. Diese Informationen werden benötigt, um die Lizenzen monatlich in Rechnung zu stellen. M.ID Server Handbuch v4.7.0 Seite 19

20 Detaillierte Information zum Swiss SafeLab M.ID Easy Licensing Service (ELS) Modell erhalten Sie bei Ihrem Distributor Subscription Beim M.ID ELS ist die Subscription inbegriffen. Während der gesamten Mietdauer kann jederzeit die aktuellste Version heruntergeladen und installiert werden Überschreiten der Lizenz Beim M.ID ELS gibt es keine Einschränkung betreffend der Lizenzanzahl während der gesamten Mietdauer. D.h. mit einer gültigen M.ID ELS Lizenz können beliebig viele Benutzer aktiviert werden. Jede aktivierte Benutzerlizenz wird zur vereinbarten monatlichen Miete verrechnet Übermittelte Daten an die M.ID Lizenzserver Die M.ID Server mit Easy Licensing Service übermitteln folgende Daten an die M.ID Lizenzserver (teilweise mit Einwegverschlüsselung): M.ID Lizenzdatei Public IP des RZ Anzahl aktivierte M.ID Benutzer pro M.ID Anmeldemodus Domäneninformationen (einwegverschlüsselt) o objectguid, name, dc M.ID Lizenzdatei Der Swiss SafeLab M.ID Server benötigt zum Betrieb eine Lizenzdatei (mid.lic). Bei dieser Lizenzdatei handelt es sich um eine Textdatei wie folgt: # M.ID Licence File # Do not edit this file LIC: GENERATED: :07:33 PRODUCT: Swiss Safe Lab M.ID Service VERSION: BUILD: 3515 EDITION: Demo OWNER: You USERS: 0 USERTOLERANCE: 3 SUBSCRIPTION: YES until AQUIRED AGENTS: ALL LICENCE: F1CB8A39461C2983E7C26EFB43CE8EB6B412A3E84C38BF98A573492B93E8B73121FC4C2AD8E7556F31 3DE6F32C50F741268F001E0BCB658A55B5CB9D964BFD5804E40BBA5D67DF666F985E69D34FDDED3CB8A39461C 2983E7C26EFB43CE8EB6B412A3E847E BF717363F1E0BCB65 Anhand der Lizenzdatei werden folgende Einschränkungen festgelegt: Anzahl Benutzer und Toleranz Anzahl ByPass Benutzer Lizenzen (ab v3.2.1) Anzahl Password Reset Only Lizenzen (ab v4.1.0 Enterprise Edition) Edition Subscription Verfügbare Agenten (ab v3.2.1) Dadurch wird auf einfache Weise ein Upgrade von Standard auf Enterprise Edition oder der Betrieb mit zusätzlichen Benutzerlizenzen möglich. Seite 20 M.ID Server Handbuch v4.7.0

21 Hinweis Die Lizenzdatei kann sich in Abhängigkeit der erworbenen Version/Edition vom Beispiel abweichen Demo Edition Lizenz Die mitgelieferte Lizenzdatei mid.lic ist eine Demo-Lizenz und unterliegt folgenden Einschränkungen: Die Laufzeit ist auf 6 Monate nach Veröffentlichung der Version beschränkt Die Lizenz ist auf 3 Benutzer beschränkt Lizenzdatei installieren Beim Erwerb von Swiss SafeLab M.ID Server erhalten Sie Ihre Lizenzdatei gemäss Verkaufsvertrag in elektronischer Form. Kopieren Sie nach der Installation des Swiss SafeLab M.ID Server die Lizenzdatei mid.lic in den <Installationsordner>\config\ Ordner. Erstellen Sie eine Sicherheitskopie der Lizenzdatei. Nehmen Sie keine Änderungen an der Lizenzdatei vor. Sie sind nicht berechtigt, die Lizenzdatei weiterzugeben. Hinweis: Falls Sie sich für Subscription entschieden haben, können alle folgenden Versionen des M.ID Servers, die während der Gültigkeitsdauer Ihrer Subscription erscheinen, kostenlos von der Herstellerseite heruntergeladen werden Übersicht der Anzahl verwendeten Lizenzen Eine Übersicht der Anzahl verwendeten M.ID Lizenzen finden Sie in der Log-Datei <Installationsordner>\log\stdout.txt In der M.ID Administration Web Console (s. Kapitel ) Troubleshooting Gründe, die im Zusammenhang mit der Lizenzdatei zum Beenden des Swiss SafeLab M.ID Servers führen können, sind: Fehlen der mid.lic Manipulationen an der Datei mid.lic Sie versuchen eine neuere Version des M.ID Servers zu betreiben, besitzen jedoch keine Subscription (SUBSCRIPTION: NO) Sie versuchen eine neuere Version des M.ID Servers zu betreiben und sind im Besitz einer Subscription (SUBSCRIPTION: YES until ), jedoch wurde die Version nach Ablaufdatum Ihrer Subscription veröffentlicht Die in Ihrer Lizenzdatei definierte Benutzeranzahl (USERS + USERTOLERANCE) wurde überschritten 2.4. M.ID Versionen Aufbau der Versionsnummern Eine Versionsnummer baut sich wie folgt zusammen: [Hauptversion].[Nebenversion].[Patchversion] Build [Buildnummer][p] bspw Build 14604p M.ID Server Handbuch v4.7.0 Seite 21

22 Hauptversion Eine Hauptversion bringt viele neue Features aber auch grundlegende Änderungen (neue M.ID Agenten, neue Konfigurationsmöglichkeiten) mit sich. Daher ist eine Neuinstallation (Update- Szenario) des M.ID Servers und seiner Agenten empfehlenswert (s. Kapitel 4 M.ID Server Update ff). Eine Hauptversion ist nur mit einer gültigen Subscription lauffähig Nebenversion Nebenversionen bringen kleinere Features mit sich, u.u. auch neue M.ID Agenten. Die Installation einer Nebenversion kann wenn nicht anders beschrieben mit einem Patch-Szenario durchgeführt werden. Eine Nebenversion ist nur mit einer gültigen Subscription lauffähig Patchversion Mit einer Patchversion werden Fehler in einer früheren Nebenversion behoben. Patchversionen sind mit einem angefügten kleinen p an die Buildnummer gekennzeichnet (04823p). Eine Patchversion ist nur mit einer gültigen Subscription für die entsprechende Nebenversion lauffähig Buildnummer Die Buildnummer wird mit jedem Release erhöht. Trägt eine Buildnummer ein p am Ende, so deutet dies auf eine Patch-Version hin M.ID Editionen Enterprise Edition Die Swiss SafeLab M.ID Enterprise Edition (ENT) beinhaltet alle M.ID Agenten, sowie den kompletten Funktionsumfang Standard Edition Bei der Swiss SafeLab M.ID Standard Edition (STD) kann nur ein M.ID Agent eingesetzt werden. Zudem stehen unteranderem folgende Funktionalitäten nicht zur Verfügung (nicht abschliessende Aufzählung): Passwort-Reset-Funktionalität Import/Export von Textdateien mit M.ID Benutzerattributen für Massenmutation (s. Kapitel 7.4.6) Swiss SafeLab AD Manager Lite (s. Kapitel 24) Datenbanklogging-Funktionalität (s. Kapitel 7.7.2) Berechtigungslevel für M.ID Admin Web Consoles können nicht modifiziert werden (s. Kapitel 7.4.2) Lite Edition Die Swiss SafeLab M.ID Server Lite Edition (LTE) reduziert die umfangreichen Funktionalitäten auf eine einfache OTP (one time passcode) Zwei-Faktor Authentifizierung. D.h. ein Benutzer erhält bei jeder Anmeldung eine SMS/ (motp wird nicht unterstützt). Alle Einschränkungen, welche für die Standard Edition gelten, gelten ebenfalls für die Lite Edition. Einschränkend fehlen nachfolgende Funktionalitäten (nicht abschliessende Aufzählung): M.ID PIN M.ID Secret Answer M.ID PIN Befehle M.ID Alternative Numbers Anmeldemodi o Asynchroner Modus Seite 22 M.ID Server Handbuch v4.7.0

23 o Synchroner Modus o Smart On Demand o By Pass M.ID o Smart By Pass M.ID o Password Reset Only o motp o Authorize By Admin M.ID Benutzer Authentifizierung via Secret Question/Secret Answer Syslog Folgende Einschränkungen bestehen zusätzlich bei der Lite Edition (nicht abschliessende Aufzählung): Es steht nur das Swiss SafeLab SMS Providing als SMS Provider zur Verfügung Demo Edition Die Swiss SafeLab M.ID Demo Edition bietet die gesamte Funktionalität der Enterprise Edition unterliegt jedoch folgenden Einschränkungen: max. 3 Benutzer können konfiguriert werden Die Laufzeit ist auf 6 Monate nach Erscheinungsdatum limitiert *) Die Demoversion kann mit einem entsprechenden Lizenzschlüssel zu einer zeitlich unlimitierten Vollversion freigeschaltet werden, ohne dass eine Neuinstallation/Neukonfiguration durchgeführt werden muss. *) Es steht Ihnen frei, nach dem Erscheinen einer weiteren Version, wiederum die Demo-Version herunterzuladen M.ID Ablauf Jeder Benutzer muss für M.ID in einer Benutzerverwaltung - standardmässig im LDAP / Active Directory - konfiguriert werden. Vor dem ersten Login muss der Benutzer seine initiale Secret Answer setzen (s bspw. Kapitel Initialkonfiguration via M.ID User Konfigurationsseite). Mit dieser Secret Answer kann der Benutzer ohne Hilfe seitens der Administration sein Active Directory Passwort und/oder seinen PIN ändern. PIN und Secret Answer sind nur ihm bekannt und müssen geheim gehalten werden. Nach dieser Registrierung kann der Benutzer durch den M.ID Server authentisiert werden. Beim Login wird der Benutzer aufgefordert, Benutzernamen und PIN und eventuell weitere Logindaten (z.b. Domäne) einzugeben. Durch diese Eingabe löst er eine SMS aus, die den SMS Passcode enthält. Dieser Passcode ist eine zufällig generierte Zeichenfolge. Je nach Anmeldemodus (s. Kapitel 2.7 Anmeldemodi) wird der SMS Passcode direkt mit dem PIN eingegeben oder erst in einem zweiten Schritt. Bei Portal Lösungen wie Citrix kann es sein, dass weiterhin ein (Domain-)Passwort benötigt wird. M.ID Server Handbuch v4.7.0 Seite 23

24 2.7. Anmeldemodi / M.ID Permission Der Swiss SafeLab M.ID Server bietet verschiedene Anmeldemodi an, welche pro Benutzer individuell konfiguriert werden können. Die Anmeldemodi unterscheiden sich hauptsächlich im Zeitpunkt der Generierung des Passcodes (und somit auch dessen Erhalt). Diese werden in den folgenden Abschnitten detailliert erklärt On demand / Session Modus Der Benutzer erhält während dem Anmeldeprozess einen neuen Passcode (Challenge-Response gesteuert). Dieser ist nur während einer vordefinierten Zeit und nur einmal gültig. Vorteil: Sehr sichere Methode da nur 1 Login möglich kurze Passcode Gültigkeit. Nachteil: Pro Login wird eine SMS/ versandt. 1 Agent 6 Benutzer 2 7 Zu schützende Ressourcen z.b. RAS / VPN / Web LDAP Verzeichnis M.ID Server Abbildung 2.1: on demand / Session Modus Ablauf: 1. Benutzer gibt Benutzernamen und PIN und evtl. weitere Login Daten ein 2. M.ID Agent übergibt Benutzernamen und PIN dem M.ID Server 3. M.ID Server generiert einen zufälligen Passcode und evtl. eine Session-ID 4. Der generierte Passcode wird wieder verschlüsselt im LDAP abgelegt 5. Benutzer erhält SMS mit Passcode 6. Benutzer gibt auf einer Folgeseite des Login den Passcode ein 7. M.ID Agent prüft Passcode und gibt bei erfolgreicher Authentifizierung die geschützte Ressource frei. 8. Der Passcode wird danach aus Sicherheitsgründen mit einem neuen, zufälligen Passcode überschrieben Seite 24 M.ID Server Handbuch v4.7.0

25 Asynchroner Modus Beschreibung Im asynchronen Modus wird in regelmässigen Abständen ein neuer M.ID Passcode erzeugt und versendet. Der erzeugte M.ID Passcode wird mit einem Zeitstempel versehen und verschlüsselt im Datenspeicher abgelegt. Die Versandzeit und die Gültigkeitsdauer des M.ID Passcodes sind einstellbar. Somit eignet sich dieser Modus für Access-Control (s Kapitel M.ID ADUC Properties Extension Funktionen). Vorteil: Weniger SMS Verkehr und damit niedrigere Betriebskosten Login auch an Orten ohne GSM Empfang Der M.ID Agent wird nicht zum Auslösen der SMS benötigt. Dem Benutzer kann ein Anmeldezeitfenster gesetzt werden. Ausserhalb dieses Zeitfensters kann sich der Benutzer nicht anmelden. Nachteil: Längere Gültigkeit des Passcodes Anmeldevorgang 1. M.ID Server generiert zu vordefinierten Zeitpunkten neue Passcodes 2. Passcode wird verschlüsselt im Kontext des Benutzers gespeichert 3. Benutzer erhält ein SMS mit Passcode 4. Benutzer kann sich mit Benutzernamen, PIN und Passcode sooft und solange anmelden, wie auch der Passcode gültig ist Hinweis: Der Benutzer erhält KEINEN Passcode, falls er keinen PIN und/oder keine Secret Answer besitzt! Achtung: Sie sollten den Async Passcode Timer auf < 60min einstellen, ansonsten besteht die Gefahr, dass nicht alle M.ID Benutzer zur angegebenen Stunde Ihren Passcode erhalten. Der Async Passcode Timer prüft periodisch ob neue Passcodes versendet werden sollen. Wenn das Intervall zu gross gewählt wird, werden Passcodes zu spät verschickt Unterstützte M.ID PIN Befehle Passcode Request (s. Kapitel 7.1.2) PIN Reset (s. Kapitel 7.1.3) AD Passwort Reset (s. Kapitel 7.1.4) Support Passcode (s. Kapitel 7.1.5) Passcode Anforderung auf alternative Nummer (s. Kapitel 7.1.6) M.ID Server Handbuch v4.7.0 Seite 25

26 Synchroner Modus Der Benutzer erhält nach jedem erfolgreichen Login (ereignisgesteuerte Generierung) einen neuen Passcode für die nächste Anmeldung. Dieser ist gültig, bis zur nächsten erfolgreichen Verwendung. Vorteil: Login auch an Orten ohne GSM Empfang Nur 1 Login möglich Nachteil: Längere Gültigkeit des Passcodes Pro Login wird eine SMS versandt 4 Agent Benutzer 5 Zu schützende Ressourcen z.b. RAS / VPN / Web M.ID Server Abbildung 2.2: synchroner Modus LDAP Verzeichnis Ablauf: 1. M.ID Server generiert neuen Passcode 2. Passcode wird in der Benutzerverwaltung (LDAP Verzeichnis), verschlüsselt im Kontext des Benutzers gespeichert 3. Benutzer erhält SMS mit Passcode 4. Benutzer kann sich mit Benutzernamen, PIN und Passcode anmelden 5. M.ID Agent bemerkt erfolgreiche Authentifizierung und löst eine Passcodegenerierung aus. Prozess beginnt wieder bei Schritt 1. Seite 26 M.ID Server Handbuch v4.7.0

27 Smart On Demand Der Smart On Demand-Modus ist eine Mischform des On Demand und des Asynchronen Modus. Pro Benutzer muss konfiguriert werden, an welchem Wochentag er sich anmelden darf und wie lange sein Passcode gültig ist (s. Kapitel M.ID ADUC Properties Extension Funktionen): Der Passcode ist jeweils 8h gültig (480 min). Der Benutzer darf sich von Montag bis Freitag anmelden. Meldet sich der Benutzer bspw. am Montagmorgen um 08:00 an, so erhält er einen neuen Passcode. Dieser Passcode ist 8h gültig. Meldet sich der Benutzer am Montag um 12:00 ist sein Passcode noch immer gültig er erhält keinen Passcode. Meldet sich der Benutzer nun nochmals um 17:00 an, so erhält er wieder um einen neuen Passcode, da der letzte verfallen ist. Meldet sich der Benutzer am Freitagabend um 20:00 an und erhält einen neuen Passcode, so wäre dieser am Samstag um 01:00 noch gültig, aber der Benutzer hat keine Berechtigung sich am Samstag anzumelden. Der Benutzer erhält während dem Anmeldeprozess einen neuen Passcode (Challenge-Response gesteuert). Dieser ist nur während einer vordefinierten Zeit gültig. Vorteil: Zugriffssteuerung der Benutzer auf die Ressourcen möglich Die Anzahl der verschickten SMS kann reduziert werden Nachteil: Längere Gültigkeit des Passcodes 1 Agent 5 Benutzer 2 6 Zu schützende Ressourcen z.b. RAS / VPN / Web Ablauf: 4 M.ID Server Abbildung 2.3: on demand / Session Modus 1. Benutzer gibt Benutzernamen und PIN und evtl. weitere Login Daten ein 2. M.ID Agent übergibt Benutzernamen und PIN dem M.ID Server 3 7 LDAP Verzeichnis 3. M.ID Server prüft, ob der Benutzer sich am aktuellen Tage anmelden darf und ob sein Passcode noch gültig ist. Ist der Passcode gültig, wird kein neuer Passcode generiert. Ist der Passcode verfallen, wird ein neuer Passcode generiert und verschickt. Der generierte Passcode wird wieder verschlüsselt im LDAP abgelegt 4. Benutzer erhält je nach Gültigkeit seines letzten Passcodes eine SMS mit Passcode 5. Benutzer gibt auf einer Folgeseite des Login den Passcode ein 6. M.ID Agent prüft Passcode und gibt bei erfolgreicher Authentifizierung die geschützte Ressource frei. 7. Der Passcode wird danach aus Sicherheitsgründen mit einem neuen, zufälligen Passcode überschrieben M.ID Server Handbuch v4.7.0 Seite 27

28 By Pass M.ID Dieser Anmeldemodus verwendet keine zusätzliche Zwei-Faktor-Authentifizierung. D.h. der Benutzer muss sich nicht mit einem Passcode (verschickt auf Mobiltelefon oder ) authentifizieren. Der Benutzer braucht daher keinen PIN und auch keine Secret Answer (und kann daher auch sein Passwort nicht zurücksetzen). Dieser Modus ist für Portale gedacht, bei denen die Zugriffskontrolle auf Ressourcen auf Grund des Anmeldenamens gesteuert wird. Benutzer in diesem Modus werden immer direkt auf das Portal weitergeleitet. Wurden die Portale mit der Eingabe eines M.ID PINs erweitert, so können Benutzer in diesem Modus einen beliebigen Wert als PIN eingeben. Kommunizieren die Portale mit dem M.ID RADIUS und der M.ID wird als separater Request angefordert, so wird bei Benutzer in diesem Modus dieser PIN-Request unterdrückt. 1 Agent 4 Benutzer 2 Zu schützende Ressourcen z.b. RAS / VPN / Web M.ID Server 3 LDAP Verzeichnis Ablauf: 1. Benutzer gibt Benutzernamen und Passwort ein. Im allenfalls vorhandenen PIN-Feld kann der Benutzer einen beliebigen Wert eingeben. 2. M.ID Agent übergibt nur Benutzernamen M.ID Server 3. M.ID Server überprüft die Berechtigung/Modus. Bei diesem Modus gibt der M.ID Server direkt ein OK an den M.ID Agenten weiter. 4. Der M.ID Agent gibt wiederum direkt OK an das Portal weiter. Der Benutzer wurde ohne weitere Kriterien weitergeleitet. Hinweis: Den Benutzer mit By Pass M.ID Modus steht die M.ID User Configuration nicht zur Verfügung! Seite 28 M.ID Server Handbuch v4.7.0

29 Smart By Pass M.ID Dieser Anmeldemodus verwendet keine zusätzliche Zwei-Faktor-Authentifizierung. D.h. der Benutzer muss sich nicht mit einem Passcode (verschickt auf Mobiltelefon oder ) authentifizieren. Der Benutzer braucht daher keinen PIN und auch keine Secret Answer (und kann daher auch sein Passwort nicht zurücksetzen). Dieser Modus ist für Portale gedacht, bei denen die Zugriffskontrolle auf Ressourcen auf Grund des Anmeldenamens gesteuert wird. Im Gegensatz zum By Pass M.ID kann bei diesem Modus zusätzlich ein Anmeldezeitfenster definiert werden. Der Benutzer kann sich dann nur noch innerhalb diesem Zeitfenster anmelden. Wurden die Portale mit der Eingabe eines M.ID PINs erweitert, so können Benutzer in diesem Modus einen beliebigen Wert als PIN eingeben. Kommunizieren die Portale mit dem M.ID RADIUS und der M.ID wird als separater Request angefordert, so wird bei Benutzer in diesem Modus dieser PIN-Request unterdrückt. 1 Agent 4 Benutzer 2 Zu schützende Ressourcen z.b. RAS / VPN / Web M.ID Server 3 LDAP Verzeichnis Ablauf: 1. Benutzer gibt Benutzernamen und Passwort ein. Im allenfalls vorhandenen PIN-Feld kann der Benutzer einen beliebigen Wert eingeben. 2. M.ID Agent übergibt nur Benutzernamen M.ID Server 3. M.ID Server überprüft die Berechtigung/Modus. Bei diesem Modus wird ebenfalls die Kriterien für das Anmeldezeitfenster ausgelesen und überprüft. Findet die Anmeldung innerhalb des definierten Zeitfensters statt, gibt der M.ID Server direkt ein OK an den M.ID Agenten weiter, anderenfalls wird der Zugriff verweigert. 4. Der M.ID Agent gibt wiederum direkt OK an das Portal weiter. Der Benutzer wurde ohne weitere Kriterien weitergeleitet. Hinweis: Den Benutzer mit By Pass M.ID Modus steht die M.ID User Configuration nicht zur Verfügung! M.ID Server Handbuch v4.7.0 Seite 29

30 Password Reset Only Der Password Reset Only Modus ist kein Anmeldemodus im eigentlichen Sinne. Vielmehr dient er dazu Benutzern, nur die Password Reset per Mobiltelefon Funktionalität zur Verfügung zu stellen. Benutzer mit der M.ID Permission Password Reset Only können sich nicht via Web Portal (bspw. Citrix Web Interface) anmelden. Dieser Modus erlaubt es einem Unternehmen allen Benutzern die Vorteile der Swiss SafeLab Password Reset Agenten zur Verfügung zu stellen und nur ausgewählten Benutzern die komplette Mächtigkeit der Swiss SafeLab M.ID Zwei-Faktor-Authentifizierungslösung. Muss sich ein Benutzer mit der M.ID Permission Password Reset Only doch gesichert an einem Portal anmelden, so muss lediglich die M.ID Permission auf eine der anderen zur Verfügung stehenden Anmeldemodi geändert werden. Für den Password Reset Only Modus stehen vergünstige M.ID Password Reset Only Lizenzen zur Verfügung. Wenden Sie sich diesbezüglich an Ihren autorisierten Swiss SafeLab M.ID Reseller. Hinweis: Der Password Reset Only Modus steht nur in der Enterprise Edition zur Verfügung motp Beschreibung Der motp -Anmeldemodus basiert auf der Open Source motp-lösung von Beim motp -Anmeldemodus wird kein M.ID Passcode generiert und versandt, sondern der motp wird auf einem Smartphone generiert. Die Generierung erfolgt auf Basis einer fixen motp Secret, dem M.ID PIN und der aktuellen UTC-Zeit. Da motp die UTC-Zeit verwendet, müssen die motp-apps auf den Smartphones mit der M.ID Server Zeit synchronisiert sein. Detailliertere Informationen zu den motp-algorithmen sowie den verfügbaren motp-apps für unterschiedliche Mobil-OS entnehmen Sie bitte dem nachfolgenden Link Swiss SafeLab bietet mit dem Swiss SafeLab OTP Authenticator (s. Kapitel 22 Swiss SafeLab OTP Authenticator) eine eigene App an. Weitere von uns getesteten Apps finden Sie auf unserer Webseite in den M.ID Server FAQs ( Vorteile: Es wird kein M.ID Passcode verschickt. Dadurch können einerseits SMS-Kosten eingespart werden und man ist andererseits unabhängig vom GSM-Netzwerk (schlechter Empfang). Nachteil: motp setzt ein App-fähiges Smartphone/Tablet/PDA voraus Anmeldevorgang Die Anmeldung erfolgt in folgenden Schritten: 1. Benutzer startet seine motp-applikation 2. Zur Generierung des motp muss der M.ID PIN in die motp-app eingegeben werden. Dadurch ist gewährleistet, dass bei einem Verlust des Mobiltelefons Unbefugte sich nicht via motp Anmelden können, da diese nicht im Besitz des M.ID PINs sind. 3. Der Benutzer gibt den generierten motp in das M.ID PIN-Feld ein. Seite 30 M.ID Server Handbuch v4.7.0

31 4. Die Anmeldung ist erfolgreich, wenn der motp vom M.ID Server akzeptiert wurde. Gibt der Benutzer in das M.ID PIN-Feld tatsächlich seinen M.ID PIN ein, so wird ihm ein M.ID Passcode auf seine M.ID Mobile Number zugestellt Benutzerkonfiguration Damit sich ein Benutzer via motp Anmelden kann, müssen folgende Benutzerkonfigurationen vorgenommen werden: M.ID PIN a. Der M.ID PIN muss der Benutzer in seiner motp-app eingeben motp Time Shift a. Zeitdifferenz in Sekunden zwischen Smartphone des Benutzers und des M.ID Servers motp Secret Length a. Definiert die Länge der motp Secret. motp Secret a. Die motp Secret muss einerseits in den M.ID Benutzerdaten und andererseits in der motp-app hinterlegt werden Unterstützte M.ID PIN Befehle Passcode Anforderung auf alternative Nummer (s. Kapitel 7.1.6) Authorize By Admin Der Authorize By Admin -Anmeldemodus ist mit dem On-Demand-Anmeldemodus identisch, bis auf dass kein M.ID Passcode generiert und verschickt wird. Der für die Anmeldung erforderliche M.ID Passcode wird immer im M.ID Support Center angezeigt (als würde der Benutzer den M.ID PIN- Befehl Support Passcode verwenden). Bei diesem Modus muss sich also der Benutzer immer beim M.ID Help-Desk melden und erhält so seinen M.ID Passcode. M.ID Server Handbuch v4.7.0 Seite 31

32 2.8. Schnittstellen LDAP Microsoft Active Directory, OpenLDAP oder andere LDAP Server Alle benötigten LDAP Felder können im M.ID Server konfiguriert werden Administration Statistiken und wichtige Konfigurationsinformationen über Webseite mit Tags Life-Logging mit 4 Ebenen über Telnet Zugang Mail und SMS Benachrichtigung für Administratoren bei Statusänderungen SMS-Gateway Swiss SafeLab SMS Providing (nur Versand) ASP SMS (nur Versand) SMS Creator DE (nur Versand) Clickatell (nur Versand) Generic SMS Provider (abhängig von der jeweiligen Implementierung) SMS Provider Development Kit Schnittstelle zur Implementierung eigener generic SMS Provider Seite 32 M.ID Server Handbuch v4.7.0

33 2.9. Systemanforderungen M.ID Server SUN Java VM ab Version oder höher Getestet auf Windows XP/Vista/7/8, Windows Server 2k/2k3/2k8 32/64 Bit (R2)/2k12 Für Datenbanklogging wird Microsoft Data Access Components (MDAC) 2.8 benötigt Der Swiss SafeLab M.ID Server bietet eine webbasierte Managementkonsole (M.ID Management Control And View, s. Kapitel 8.3). Für den Betrieb derselben wird KEIN Webserver (IIS, Apache, ) benötigt M.ID Configurator Microsoft MSXML 4.0 SP 2 (Microsoft XML Basisdienste) Hinweis: Der M.ID Configurator wird für den M.ID Server benötigt. Daher müssen dessen Systemanforderungen zwingend erfüllt sein M.ID RADIUS Proxy SUN Java VM ab Version M.ID Citrix Web Interface Agent Citrix WI 4.5 und WI M.ID Web Agent (ISAPI-Filter) Microsoft Web-Server IIS ab Version M.ID SMS Outlook 2007 AddIn Microsoft Outlook 2007 (nicht im Lieferumfang enthalten) Microsoft.NET Framework 2.0 (nicht im Lieferumfang enthalten) Microsoft Visual Studio 2005 Tools for Office Second Edition Runtime (wird mitgeliefert) M.ID Password Reset Agent for Windows Logon Windows Vista oder Windows 7 oder Windows Server M.ID OWA Agent Microsoft Exchange 2007 oder Microsoft Exchange 2010 Microsoft.NET Framework 3.5 (nicht im Lieferumfang enthalten) M.ID Remote Desktop Web Access Agent Microsoft Remote Desktop Web Access Microsoft.NET Framework 3.5 (nicht im Lieferumfang enthalten) M.ID TMG Agent Microsoft ForeFront Threat Management Gateway Microsoft.NET Framework 3.5 (nicht im Lieferumfang enthalten) M.ID Server Handbuch v4.7.0 Seite 33

34 3. M.ID Server Installation 3.1. Vorbereitung M.ID Server Installation Empfohlene Vorgehensweise 1. Systemvoraussetzungen überprüfen (s. Kapitel 2.9) 2. Vorüberlegungen treffen (s. Kapitel 3.1.2) 3. Optional: Backup der aktuellen Konfigurationen (M.ID Server, M.ID Agenten) erstellen 4. Installationsassistent ausführen (s. Kapitel 3.2.2) 5. M.ID Benutzerdatenspeicher konfigurieren Entscheiden Sie sich für eine der folgenden Optionen (s. Kapitel 6ff) Schema Erweiterung durchführen (s. Kapitel 6.7) o Schema-Datei schema.ini der Schema Erweiterung in \conf-ordner der M.ID Server Installation kopieren 12 freie AD-Felder bestimmen (s. Kapitel 6.3.2) o Schema-Datei schema.ini im \conf-anpassen 1 freies AD-Feld bestimmen für Multi Value Field Verwendung (s. Kapitel 6.3.3) 6. Erworbene Lizenzdatei mid.lic in \conf-ordner der M.ID Server Installation kopieren 7. M.ID Configurator starten und M.ID Server konfigurieren (s. Kapitel 5.2) Bei der Erstinstallation wird eine Minimalkonfiguration empfohlen (s. Kapitel 5.4) 8. M.ID Server Windows Service starten (s. Kapitel 5.9ff) 9. Über M.ID Admin Web Console einen Benutzer für M.ID aktivieren (s. Kapitel 7.4.4) 10. Restliche M.ID Agenten installieren und konfigurieren 11. Anmeldetest mit aktiviertem Benutzer durchführen 12. Optional: Redundante Installationen des M.ID Servers und der verwendeten M.ID Agenten (s. Kapitel 3.1.4ff, 3.3ff) 13. Weitere M.ID Server Konfigurationen vornehmen (s.a. Kapitel 5.4.2) Seite 34 M.ID Server Handbuch v4.7.0

35 Vorüberlegungen Bevor Sie beginnen, klären Sie vor der Installation folgende Fragen (Swiss SafeLab empfiehlt diese Seite auszudrucken): Frage Antwort Auf welchen Servern wird der M.ID Server IPv4: installiert? Ja Ist mindestens Java v1.6 auf diesen Servern Nein Java Runtime Engine selektieren/installieren installiert? (s Installationsassistent) Ist MSXML 4.0 (Microsoft XML Core Services) auf diesen Servern installiert? Welche Portale (Citrix Web Interface, Microsoft OWA, Firewall,...) sollen abgesichert werden? Ja Nein MSXML 4.0 selektieren/installieren (s Installationsassistent) Welche M.ID Agenten (M.ID RADIUS Proxy, M.ID OWA Agent, s. Kapitel 2.1.3) werden zum Schutz der Portale benötigt? Auf welchen Servern werden die M.ID Agenten / Komponenten installiert? IP-Adresse(n) des/der LDAP-Server(s)? Benutzername für AD-Zugriffe: Benötigt genügend Rechte zum Lesen und Schreiben aller M.ID Benutzer-Attribute SLDAP-Verbindung zum LDAP-Server? Falls SLDAP-Verbindung zum LDAP-Server, Server Root Zertifikat exportiert? Listener Port (default 81) für Kommunikation des M.ID Servers mit seinen Agenten? Firewall-Regeln für Kommunikation des M.ID Servers mit seinen Agenten/Komponenten angepasst? SMS Account bei einem unterstützten SMS Provider vorhanden (Kapitel SMS Account)? Lizenzdatei vorhanden? Redundanz gewährleistet (Kapitel Redundan)? Active Directory Schema Erweiterung durchführen (Kapitel 6.7 Installation M.ID AD Assistant / Support Software)? Falls Active Directory Schema Erweiterung durchgeführt werden soll, muss diese auf dem Schema Master durchgeführt werden: Active Directory Users and Computers Eigenschaftskarte installieren (s. Kapitel )? ( benötigte M.ID Agenten im M.ID Installationsassistenten selektieren) IPv4: IPv4: Ja IBM Key Manager v1.69 selektieren/installieren (s Installationsassistent) Nein Export-Pfad: Port: Ja Nein Firewall Regeln anpassen Ja Nein Account bestellen Ja Nein: Es können nur 3 Benutzer aktiviert werden Ja Nein: grösseres Nicht-Verfügbarkeits-Risiko Ja Swiss SafeLab M.ID Active Directory Support Software selektieren/installieren (s Installationsassistent) Nein M.ID Attribute in mehrere AD-Felder speichern oder M.ID Attribute in 1 AD-Feld konkateniert speichern? Active Directory Schema Master: Ja Swiss SafeLab M.ID Active Directory Support Software selektieren/installieren (s Installationsassistent) Nein M.ID Server Handbuch v4.7.0 Seite 35

36 Übersicht M.ID Softwarekomponenten Die nachfolgende Übersicht stellt schematisch anhand von M.ID Server und M.ID RADIUS Proxy Agent dar, auf welchen Servern, welche Softwarekomponenten installiert werden müssen, sowie die Abhängigkeiten der Softwarekomponenten M.ID Server Auf dem Server, auf welchem der Swiss SafeLab M.ID Server installiert wird, müssen folgende Komponenten ebenfalls installiert werden: Swiss SafeLab M.ID Server Swiss SafeLab M.ID Configurator (ist in der Swiss SafeLab M.ID Server Installation enthalten) Sun Java Runtime Engine MSXML 4.0 (Microsoft XML Core Services) Microsoft Softwarebibliothek für XML-Unterstützung. Benötigt vom M.ID Configurator IBM Key Manager Tool zur Verwaltung von Java Keystores. Benötigt um Zertifikate (SSL) in die Keystores zu importieren M.ID RADIUS Proxy Agent Auf dem Server, auf welchem der Swiss SafeLab M.ID RADIUS Proxy installiert wird, müssen folgende Komponenten ebenfalls installiert werden: Swiss SafeLab M.ID RADIUS Proxy Swiss SafeLab M.ID RADIUS Configurator (ist in der Swiss SafeLab RADIUS Proxy Installation enthalten) Sun Java Runtime Engine LDAP Server Auf dem Directory Server kann optional folgende Softwarekomponente installiert werden: M.ID AD Assistant Tool für Active Directory Schema Extension und ADUC Property Extension (optional) Seite 36 M.ID Server Handbuch v4.7.0

37 Swiss SafeLab GmbH Neuengasse Bern Switzerland Tel:

38 Redundante M.ID Server Installation Beschreibung der Redundanz Der Failover-Mechanismus in der Swiss SafeLab M.ID Suite basiert auf der Angabe von mehreren M.ID Server, SMS Gateways oder dergeleichen. Fällt eine Komponente aus, so wechselt das System automatisch zur nächsten Komponente Redundanz der M.ID Server Die erworbene Lizenz erlaubt Ihnen den M.ID Server zu Redundanzzwecken innerhalb der gleichen Domäne mehrfach zu installieren (s. Kapitel 3.3) Redundanz der M.ID Agenten Die erworbene Lizenz erlaubt Ihnen die M.ID Agenten zu Redundanzzwecken mehrfach zu installieren. Jedem M.ID Agent kann eine Liste der verfügbaren M.ID Server angegeben werden. Sollte ein M.ID Server in dieser Liste nicht erreichbar sein, so kontaktiert der M.ID Agent automatisch den nächsten. Konnte der letzte M.ID Server in der Liste nicht kontaktiert werden, so wird wieder beim ersten M.ID Server begonnen Redundanz der LDAP-Server Der M.ID Server unterstützt mehrere LDAP-Server. Wenn der erste LDAP-Server in der Liste nicht erreichbar ist, so wird automatisch der nächste verwendet. Ist der letzte Server nicht mehr erreichbar, so wird wieder beim ersten LDAP-Server begonnen Redundanz der SMS Gateways Pro M.ID Server können beliebig viele SMS Gateways definiert werden. Den SMS Gateways muss eine Priorität zugewiesen werden. Wenn eine SMS nicht über den aktuellen SMS Gateway versendet werden kann, so wird der Gateway mit der nächst niederigen Priorität angesprochen. Sind alle Gateways fehlgeschlagen, wird ein Fehler generiert und diese SMS verworfen. Swiss SafeLab SMS Providing bietet Gateways an unterschiedlichen Standorten an, wodurch Sie keinen weiteren SMS Provider aus Redundanzgründen benötigen SMS Account Der Versand von SMS erfolgt über SMS Provider. Diese stellen die Infrastruktur für den Versand in verschiedene Mobil-Netze zur Verfügung. Derzeit werden die Provider Swiss SafeLab SMS Providing, Clickatell, SMS Creator DE und aspsms unterstützt. Provider Swiss SafeLab SMS Providing aspsms.com Clickatell SMS Creator Auf Rechnung Flash SMS SSL variabler Absender Online Anmeldung Ja Ja Ja Ja PDF/Fax/ Nein SMS Credits vorgängig einkaufen Nein SMS Credits vorgängig einkaufen Nein SMS Credits vorgängig Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Bemerkung schneller Provider, flexibel für Kundenwünsche, detaillierte Abrechnungen Automatische Auswahl verschiedener Server, schneller Provider, sehr zuverlässig. Möglichkeit eine Benachrichtigung zu erhalten wenn das Guthaben unter einen bestimmten Wert sinkt. Schneller Provider. Langsamer Provider, flexibel für Kundenwünsche. Swiss SafeLab GmbH Neuengasse Bern Switzerland Tel:

39 einkaufen Monitor: Bei allen Providern wird bei der Lifeness Überprüfung das verfügbare Guthaben zurückgegeben. SMS Guthaben: Wenn ein bestimmtes SMS Guthaben unterschritten wird, so sendet der M.ID Server eine Benachrichtigung an die Mobiltelefonnummer des Administrators. Die Benachrichtigung erfolgt einmalig bei jedem Neustart des Services und sobald die Hälfte des Guthabens unterschritten wurde. Diese Funktion ist nur aktiv, wenn die Lifeness Überwachung eingeschaltet ist. Flash SMS: Die meisten Mobiltelefone unterstützen Flash SMS. Diese SMS werden nur auf dem Display angezeigt und nicht als SMS gespeichert. SSL: SMS via SSL verschlüsselt zum Provider übertragen. Unterstützt dies der Provider nicht, ist es theoretisch möglich, den Passcode abzuhören. Wenn Sie SSL im Web Interface mit on demand / Session Modus verwenden ist dies nicht relevant da die Session nicht von anderen übernommen werden kann. In den anderen Modi wird empfohlen, einen Provider mit SSL Verschlüsselung zu wählen. Var. Absender: Variable Absender ermöglichen, den Absender beliebig (max. 11 Buchstaben) zu definieren. Sind variable Absender nicht unterstützt (bspw. Clickatell), müssen die gewünschten Absender beim Provider jeweils freigeschaltet werden M.ID Server Installation Empfehlungen für Swiss SafeLab M.ID Server Installation Vorüberlegungen abgeklärt Optional: Backup der bestehenden M.ID Server Konfiguration erstellt Komponenten auf unterschiedlichen Servern (M.ID Server im LAN, M.ID RADIUS in DMZ) installieren Installationsassistent Einleitung Um die Installation zu starten, laden Sie sich das aktuelle Gesamtinstallationspaket herunter: MID_Server_v???_b????.exe, Multi Edition Dieses Paket beinhaltet den Swiss SafeLab M.ID Server, alle M.ID Agenten und benötigte Softwarekomponenten. Der Installationsassistent installiert jedoch nur den M.ID Server und extrahiert die Installationsassistenten für die M.ID Softwarekomponenten. Wichtig: Der M.ID Server basiert auf Java 6. Sollte Java 6 auf dem Server auf den Swiss SafeLab M.ID Server installiert wird, nicht vorhanden sein, so muss die Java Runtime Engine ebenfalls installiert werden (im Installationspaket enthalten) Der M.ID Configurator benötigt Microsoft MSXML 4.0 SP 2 (Microsoft XML Basisdienste). Sollte MSXML 4.0 SP 2 auf dem Server auf den Swiss SafeLab M.ID Server installiert wird nicht vorhanden sein, so muss diese Komponente ebenfalls installiert werden (im Installationspaket enthalten) Unter Windows Server 2008 müssen Sie jeden Installationsassistenten als Run as Administrator starten Manuelle Installation Nachfolgend wird die Installation auf Basis von MID_Server_v430_b11486.exe erklärt: M.ID Server Handbuch v4.7.0 Seite 39

40 1. Kopieren Sie das Installationspaket auf jenen Server, auf welchem Swiss SafeLab M.ID Server installiert werden soll und starten Sie den Installationsassistenten. 2. Wählen Sie die gewünschte Sprache für die Installation und klicken auf OK und beim Willkommensfenster gleich auf Weiter. 3. Um Swiss SafeLab M.ID installieren zu können, müssen Sie die Lizenzbestimmungen akzeptieren. Klicken Sie auf Weiter. 4. Wählen Sie den gewünschten Zielordner oder übernehmen Sie die Standardeinstellung für die Installation von M.ID. Klicken Sie danach auf Weiter. 5. Selektieren Sie die gewünschte Edition des M.ID Servers und/oder die gewünschten Komponenten: Seite 40 Selektieren Sie alle Komponenten, die Sie in Ihrer Infrastruktur verwenden möchten. Die Komponenten werden nicht installiert, sondern lediglich derer Installationsroutinen gemäss unterstehender Auflistung extrahiert. In einem weiteren Schritt, kann dann bspw. die M.ID Active Directory Support Software auf den Directory Server kopiert und ausgeführt werden. Swiss SafeLab M.ID Server Standard Edition (<Installationsordner>) Swiss SafeLab M.ID Server Enterprise Edition (<Installationsordner>) Swiss SafeLab M.ID RADIUS Proxy (<Installationsordner>\agents) Swiss SafeLab M.ID Password Reset Agent for Windows (<Installationsordner>\agents) Swiss SafeLab M.ID OWA Agent (<Installationsordner>\agents) Swiss SafeLab M.ID RDWA Agent (<Installationsordner>\agents) Swiss SafeLab M.ID Citrix Web Interface 4.6 Agent (<Installationsordner>\agents) Swiss SafeLab M.ID Outlook 2007 AddIn (<Installationsordner>\agents) Swiss SafeLab M.ID ISAPI Agent (<Installationsordner>\agents) Swiss SafeLab M.ID Active Directory Support Software (<Installationsordner>\tools) Swiss SafeLab M.ID Generic SMS Provider Implementierung (<Installationsordner>\tools) Java Runtime Engine (<Installationsordner>\tools) MSXML 4.0 SP2 (Microsoft XML Core Services) (<Installationsordner>\tools) wird für M.ID Configurator verwendet (optional, falls bereits installiert) IBM Key Manager v1.69 (<Installationsordner>\tools) Tool zum Verwalten von Java Keystores (enthält Zertifikate) (optional, falls bereits installiert) Swiss SafeLab M.ID Manual only (<Installationsordner>\doc) Diese Option ermöglicht nur das Handbuch zu extrahieren Verfügbare Update (<Installationsordner>\updates) Selektieren Sie entsprechend Ihrer erworbenen Lizenz die entsprechende Edition. Installieren Sie trotz erworbener Standard Edition Lizenz die Enterprise Edition, stehen Ihnen Konfigurationsmöglichkeiten und Agenten zur Verfügung, die Sie nicht verwenden können! Möchten Sie die Demo Edition installieren, so selektieren Sie die Enterprise Edition. Die Demo Edition unterliegt den in Kapitel Demo Edition aufgeführten Einschränkungen. M.ID Server Handbuch v4.7.0

41 Setzen Sie bei den gewünschten Komponenten ein Häkchen und klicken Sie auf Weiter. 6. Wählen Sie ein gewünschtes Startmenü Verzeichnis oder übernehmen Sie die Standardeinstellung und klicken Sie auf Weiter, 7. Überprüfen Sie Ihre Auswahl in der Übersicht und klicken Sie auf Installieren um die Installation zu starten. 8. Aktivieren Sie das Häkchen View mid_qs_guide.txt um zusätzliche Installationsanweisungen zu erhalten. Sie können nun ebenfalls zusätzliche Komponenten/Agenten installieren. Die zuvor selektierten Komponenten/Agenten befinden sich in <Installationsordner>\tools bzw. \agents. Somit können Sie diese Komponenten zu einem späteren Zeitpunkt vom erwähnten Ordner aus installieren, oder auf einen anderen Zielserver kopieren. 9. Falls nicht schon vorhanden, installieren Sie nach der Installation des Swiss SafeLab M.ID Servers ebenfalls folgende Komponenten: Java Runtime Engine IBM Key Manager MSXML 4.0 SP 2 Aktivieren Sie dazu das entsprechende Kontrollkästchen und klicken Sie danach auf Fertigstellen um die Installation abzuschliessen Automatische Installation (/Silent) Es besteht die Möglichkeit Swiss SafeLab M.ID Server ebenfalls automatisch (nicht überwachte Installation) zu installieren. Dazu stehen folgende Parameter zur Verfügung: Parameter Beschreibung Standardwert /SILENT Weist den Installationsassistenten an, keine Dialoge n.v. anzuzeigen. /LOG= filename Weist den Installationsassistenten an, eine Protokolldatei unter angegebenem Pfad und Dateiname anzulegen /DIR= dir Weist den Installationsassistenten an, Swiss SafeLab M.ID %ProgramFiles(x86)%\Swiss SafeLab\MID Server in dieses Verzeichnis zu installieren /GROUP= name Weist den Installationsassistenten an, Swiss SafeLab\M.ID Server Bspw.: MID_Server_v420_b10055_RC3.exe /SILENT /LOG="MIDInstall.log" /DIR="C:\Program Files (x86)\swisssafelab\mid" /GROUP="Swiss SafeLab\M.ID Server 4.3.0" Hinweis: M.ID Server Handbuch v4.7.0 Seite 41

42 Bei der Automatischen Installation werden die nachfolgenden Komponenten nicht automatisch installiert: o Java Runtime Engine o MSXML 4.0 SP2 o IBM Key Manager v1.69 Weitere Swiss SafeLab Produkte, die mit diesen Parametern installiert werden können, finden Sie im Kapitel Verzeichnisstruktur nach der Installation Nach der Installation des M.ID Servers finde Sie eine Verzeichnisstruktur wie folgt vor: \<M.ID Installationsordner>\ \ M.ID-Service (mid.jar), Uninstall-Informationen \agents Setups der selektierten M.ID Agenten \config M.ID Configurator und Konfigurationsdateien wie bspw. mid.lic, mid.key, mid.conf, mid_providers.xml \database Datenbank für das datenbankbasiertes Logging (mid.mdb) \doc M.ID Handbuch, Quick Starter Guide \ext Java Extensions, keine Änderungen vornehmen \html M.ID Web Console, \log Log-Dateien \tools Setups der selektierten Tools wie AD Support Software, IBM Key Manager, DLLs, \updates Updates, falls vorhanden und selektiert Installation M.ID Agenten und M.ID Komponenten Falls Sie M.ID Agenten und/oder M.ID Komponenten zum Installieren ausgewählt haben, müssen Sie diese, bevor Sie deren Installationsassistenten Starten aus den Ordner \config oder \tools auf den Zielserver kopieren M.ID Server Mehrfachinstallation Redundante Installation Um den M.ID Server redundant zu installieren, müssen Sie lediglich folgende Punkte beachten: Verwendung der gleichen Konfigurationsdatei (mid.conf). Wobei Unterschiede in den Pfadangaben erlaubt sind, jedoch bspw. nicht in den Security und Web Management Settings (Ports, Passwörter) Verwendung der gleichen Key-Datei (mid.key) Verwendung des gleichen Keystores (mid.keystore) Verwendung der gleichen Schema-Datei (schema.ini) IP Adressen aller redundanten M.ID Server bei den M.ID Agenten eintragen Vorgehensweise 1. Installieren und konfigurieren Sie komplett die erste M.ID Serverinstanz 2. Installieren Sie die zweite M.ID Serverinstanz auf einem anderen Server 3. Kopieren Sie den gesamten \config-ordner der ersten Instanz über die zweite Instanz Seite 42 M.ID Server Handbuch v4.7.0

43 4. Starten Sie den M.ID Configurator der zweiten Instanz und passen Sie allenfalls die Pfade an 5. Speichern Sie die Einstellungen und Starten Sie den M.ID Server Windows Service 6. Wiederholen Sie Schritt 2-5 für die gewünschte Anzahl von redundanten M.ID Servern 7. Tragen Sie die IP-Adresse der redundanten M.ID Server in die M.ID Serverliste aller installierten M.ID Agenten ein Installation auf einem Application Server Der Swiss SafeLab M.ID Server lässt sich mühelos mehrfach auf dem gleichen Server installieren. Dies ist beispielsweise bei Application Servern eines Application Server Providers (ASP) der Fall. Zu beachten sind folgende Punkte: Der Swiss SafeLab M.ID Server muss in unterschiedliche Verzeichnisse installiert werden. Der M.ID Windows Service Name muss unterschiedlich konfiguriert werden Der Login Event Listener Port muss unterschiedlich konfiguriert werden Der Admin Web Console Port muss unterschiedlich konfiguriert werden Der User Web Console Port muss unterschiedlich konfiguriert werden Der M.ID Integrated Web Password Reset Agent Port muss unterschiedlich konfiguriert werden Die Key-Datei (mid.key) sollte aus Sicherheitsgründen unterschiedlich sein Bei einer Deinstallation einer Instanz einer Mehrfachinstallation sind folgende Punkte zu beachten: Die Java VM sollte nicht deinstalliert werden, wenn noch andere M.ID Server betrieben werden sollen. Die Deinstallation von Swiss SafeLab M.ID Server kann zur Folge haben, dass die folgenden Systemkomponenten ebenfalls deinstalliert werden: o %SystemRoot%\System32\ccrpipa6.ocx o %SystemRoot%\System32\OMDLG32.OCX o %SystemRoot%\System32\mscomct2.OCX o %SystemRoot%\System32\msvcr71.dll o %SystemRoot%\System32\MSCOMCTL.OCX o %SystemRoot%\System32\MSCOMM32.OCX o %SystemRoot%\System32\Msstdfmt.dll o %SystemRoot%\System32\TABCTL32.OCX Sollte dies der Fall sein, müssen Sie die DLLs und OCXs wieder ins System32-Verzeichnis kopieren und registrieren. Sie finden die DLLs und OCXs im Verzeichnis: <Installationsverzeichnis>\tools\DLLs\ 3.4. M.ID Server Deinstallation Beschreibung M.ID Server Deinstallation Bei einer Deinstallation des M.ID Servers werden folgende Dateien bewusst nicht deinstalliert: \tools\dlls\* (s. Kapitel 3.3) \config\mid.keystore \config\mid.lic \config\mid.key \config\mid_providers.xml \config\mid_providers.xsd \database\mid.mdb \database\midlog.xls M.ID Server Handbuch v4.7.0 Seite 43

44 Diese Dateien werden nicht deinstalliert, weil es sich um Konfigurationsdateien handelt. Diese Dateien können natürlich ebenfalls gelöscht werden, wenn diese nicht mehr benötigt werden! Hinweis: Bevor Sie den M.ID Server mit dem Deinstallationsassistenten (im Startmenü) deinstallieren, sollten Sie mit dem M.ID Configurator den M.ID Windows Service ebenfalls deinstallieren Automatische M.ID Server Deinstallation Parameter Beschreibung Standardwert /SILENT /LOG= filename Bspw.: Weist den Installationsassistenten an, keine Dialoge anzuzeigen. Weist den Installationsassistenten an, eine Protokolldatei unter angegebenem Pfad und Dateiname anzulegen "C:\Program Files (x86)\swisssafelab\mid\unins000.exe" /SILENT /LOG="MIDUninstall.log" Weitere Swiss SafeLab Produkte, die mit diesen Parametern deinstalliert werden können, finden Sie im Kapitel n.v. Seite 44 M.ID Server Handbuch v4.7.0

45 4. M.ID Server Update Szenarien 4.1. Unterscheidung Update, Upgrade, Patch Update Als Update wird ein Haupt-/Nebenversionswechsel bezeichnet, bspw. von 2.x auf 3.y oder von 3.x auf 3.y. Ein Update sollte immer mit einer Neuinstallation eingespielt werden. Zuvor sollten die alten Konfigurationsdateien gesichert werden und nach der Installation über die neuen Dateien kopiert werden Upgrade Als Upgrade wird ein Wechsel von der Standard Edition zur Enterprise Edition bezeichnet. S. Kapitel 4.6 Edition Upgrade Szenario Patch Als Patch wird ein Wechsel der Patchversion bezeichnet, bspw. von 3.2.x auf 3.2.y (s. Kapitel 4.5 M.ID Server Patchen). Ein Patch kann nicht für einen Hauptversionsupdate verwendet werden! 4.2. Update ab v4.2.x auf v4.7.x Bestehende M.ID Server v4.2.x Installationen können mit Einspielen der patched files only auf die neuste Version aktualisiert werden (s. Kapitel 4.5 M.ID Server Patchen). Hinweis: Stellen Sie sicher, dass auch die neusten M.ID Agenten und M.ID Komponenten aktualisiert/gepatched werden Update von v4.0.x oder v4.1.x auf 4.7.x WICHTIG NUR FÜR bestehende v4.0.x und v4.1.x Installationen Bevor Sie das Update von v4.0.x oder v4.1.x auf 4.7.x durchführen, müssen Sie eine Schemaerweiterung durchführen. Die v4.2.x erfordert zusätzliche Benutzerdaten, was eine weitere Schemaerweiterung nach sich zieht. Mit der v4.7.x werden neue/aktualisierte M.ID Agenten (bspw. M.ID RADIUS Proxy) und neue M.ID Komponenten (bspw. M.ID AD Support Software) ausgeliefert. Es wird daher eine Neuinstallation wie folgt empfohlen: 1. Starten Sie den M.ID Configurator 2. Wählen Sie Menüleiste\View\Show Settings und drucken Sie diese Einstellungen aus. 3. Wählen Sie Menüleiste\Main\Zip config files und speichern Sie das Zip-Archiv. 4. Stoppen Sie den M.ID Windows Service via Menüleiste\Main\M.ID Service Deinstallieren Sie den M.ID Windows Service via Menüleiste\Main\M.ID Service Schliessen Sie den M.ID Configurator 7. Sichern Sie den Ordner <M.ID Server Installationsordner> mitsamt Unterordner. Hinweis: Dieser Schritt ist wichtig, damit Sie Ihre alten Konfigurationsdateien wieder einspielen resp. ein Rollback fahren können. 8. Deinstallieren Sie den M.ID Server komplett M.ID Server Handbuch v4.7.0 Seite 45

46 9. Installieren Sie den M.ID Server gemäss Installationsanleitung (s. Kapitel 3) Überschreiben Sie nicht die folgenden Dateien während des Installationsprozesses: mid.conf mid.key mid_providers.xml mid.keystore mid.lic Bei diesem Schritt werden ebenfalls die M.ID Sprachdateien überschrieben. Neue Versionen enthalten neue Einträge in den M.ID Sprachdateien. Werden die neuen M.ID Sprachdateien nicht verwendet, kann dies zu einem unbekannten Verhalten des M.ID Servers führen. Falls Sie die M.ID Sprachdateien angepasst haben, müssen Sie die alten M.ID Sprachdateien über das Menü Tools > Merge M.ID Language Files... zusammengeführt werden. 10. Nur für Updates von v4.0.x, v4.1.x auf v4.7.x durchführen Installieren Sie die M.ID AD Support Software auf Ihrem Schema Master Server gemäss Kapitel 6.7ff Führen Sie eine Schemaerweiterung gemäss Kapitel 6.7.4ff durch Kopieren Sie die <M.ID AD Assistant Installationsordner>\schema.ini in den <M.ID Installationsordner>\config-Ordner 11. Starten Sie den M.ID Configurator Falls während des Installationsprozesses Konfigurationsdateien (bspw. mid.conf, mid.keystore,...) überschrieben worden sind, können Sie diese nun über das Menü Main\Import config files... importieren. 12. Speichern Sie die Einstellungen (auch wenn Sie keine Änderungen durchgeführt haben). Dieser Schritt ist notwendig, um Sicherzustellen, dass alle neuen Konfigurationsmöglichkeiten gesetzt wurden. Konfigurieren Sie unter Umständen die neuen Konfigurationsmöglichkeiten. 13. Deinstallieren Sie den M.ID Server Service, auch wenn dieser bereits installiert ist! 14. Installieren Sie den M.ID Server Service 15. Starten Sie den M.ID Server Service 16. Aktualisieren Sie ggf. Ihre verwendeten M.ID Agenten Rollback Sollte der M.ID Server nicht wie gewünscht funktioniert, kann ein Rollback wie folgt durchgeführt werden: 1. Stoppen Sie den M.ID Service 2. Deinstallieren Sie den M.ID Server komplett 3. Löschen Sie ggf. alle Dateien im Ordner <M.ID Server Installationsordner> 4. Kopieren Sie die gesamte Ordnersturktur aus Schritt 7 der vorangegnangen Installationsanleitung zurück 5. Starten Sie den M.ID Configurator 6. Starten Sie den M.ID Server Windows Service neu 4.4. Update von 2.x oder 3.x auf 4.7.x Update durchführen Auf Grund der beträchtlichen Neuerungen in v4.7.x muss eine Neuinstallation des M.ID Servers durchgeführt werden: Seite 46 M.ID Server Handbuch v4.7.0

47 1. Starten Sie den M.ID Configurator 2. Wählen Sie Menüleiste\View\Show Settings und drucken Sie diese Einstellungen aus. 3. Stoppen Sie den M.ID Server Windows Service via Menüleiste\Main\M.ID Service Deinstallieren Sie den M.ID Server Windows Service via Menüleiste\Main\M.ID Service Schliessen Sie den M.ID Configurator 6. Sichern Sie den Ordner <M.ID Server Installationsordner> mitsamt Unterordner. Hinweis: Dieser Schritt ist wichtig, damit Sie ihre alten Konfigurationsdateien wieder einspielen resp. ein Rollback fahren können. 7. Deinstallieren Sie den M.ID Server komplett 8. Löschen Sie ggf. nicht deinstallierte Dateien und den Ordner <M.ID Server Installationsordner> 9. Installieren Sie den M.ID Server gemäss Installationsanleitung (s. Kapitel 3) Vergleichen Sie die Versionen der mitgelieferten Agenten mit jenen, die Sie im Einsatz haben. Allenfalls müssen Sie Ihre Agenten ebenfalls aktualisieren. Stellen Sie sicher, dass folgende Komponenten installiert werden o IBM Key Manager o Update - SMS Provider Certificates 10. Starten Sie den M.ID Configurator. Da keine Konfigurationsdateien vorhanden sind (Neuinstallation), können die gesicherten Konfigurationsdateien aus Schritt 6 nun importiert werden (s. Kapitel 5.3.1) 11. Kontrollieren Sie neue Konfigurationsmöglichkeiten, in dem Sie die Konfiguration gleich speichern. Nicht angegebene Pflichtfelder werden durch eine Warnmeldung aufgeführt. 12. Speichern Sie Ihre Konfiguration Starten Sie den M.ID Server noch nicht 13. Starten Sie den IBM Key Manager Dieser Schritt ist wichtig um die neuen SSL Zertifikate zu importieren (s. Kapitel ) Öffnen Sie den Keystore <M.ID Server Installationsordner\config\mid.keystore> Importieren Sie die Zertifikate aus <M.ID Server Installationsordner\updates\SMSProviderCerts\*.cer> Löschen Sie die Zertifikate (sms01.swiss-safelab.com, sms02.swiss-safelab.com) Speichern Sie den Keystore Beenden Sie den IBM Key Manager 14. Installieren Sie den Service (M.ID Configurator Menü Main\M.ID Service ) 15. Starten Sie den M.ID Service (M.ID Configurator Menü Main\M.ID Service ) 16. Öffnen Sie die M.ID Management Control and View und kontrollieren Sie gegebenenfalls die Logdateien stdout.txt, stderr.txt, mid0.log Rollback Sollte der M.ID Server nicht wie gewünscht funktionieren, können Sie ein Rollback wie folgt durchführen: 1. Stoppen Sie den M.ID Service 2. Deinstallieren Sie den M.ID Server komplett 3. Löschen Sie ggf. alle Dateien im Ordner <M.ID Server Installationsordner> 4. Kopieren Sie die gesamte Ordnersturktur aus Schritt 6 von Kapitel Update zurück 5. Starten Sie den M.ID Configurator 6. Starten Sie den M.ID Service neu M.ID Server Handbuch v4.7.0 Seite 47

48 4.5. M.ID Server Patchen Alle M.ID Versionen, welche als letzte Ziffer keine 0 tragen, sind Patches (bspw ). Ein Patch kann, wenn nicht anders beschrieben, nur auf derselben Nebenversion installiert werden ( > 4.1.3). Es kann jedoch möglich sein, dass ein Patch auch für ein Update verwendet werden kann bspw > Dies wird jedoch immer explizit erwähnt M.ID Server Patch einspielen Um einen M.ID Server Patch einzuspielen gehen Sie wie folgt vor: 1. Laden Sie sich den Patch vom Swiss SafeLab Download-Center ( herunter und extrahieren Sie alle Dateien aus dem Archiv (MID_Server_vxxx_byyyyyp_patched_files_only.zip) 2. Erstellen Sie eine Sicherungskopie des kompletten <M.ID Server Installationsordner> Hierbei werden ebenfalls die Installationspakete der M.ID Agenten und der M.ID Compontens gesichert, welche beim Patch-Prozess nicht betroffen sind. Trotz der überflüssig gesicherten Dateien, ist das Wegkopieren des gesamten <M.ID Server Installationsordner> der sicherste und komfortabelste Weg. 3. Stoppen Sie den M.ID Server Windows Service via M.ID Configurator 4. Schliessen Sie den M.ID Service 5. Überschreiben Sie alle Dateien in <M.ID Server Installationsordner>\*.* mit den Dateien aus dem Archiv. 6. Optional: Falls Sie mit dem Update eine neue M.ID Lizenz erworben haben, kopieren Sie die M.ID Lizenzdatei mid.lic in den <M.ID Server Installationsordner>\config-Ordner. 7. Optional: Falls mit dem Update/Patch ebenfalls eine Active Directory Schema Erweiterung durchgeführt wurde, kopieren Sie nun die schema.ini von Ihrem Schema Master in den <M.ID Server Installationsordner>\config-Ordner 8. Starten Sie den M.ID Configurator 9. Speichern Sie die Einstellungen (auch wenn Sie keine Änderungen durchgeführt haben). Dieser Schritt ist notwendig, um Sicherzustellen, dass alle neuen Konfigurationsmöglichkeiten gesetzt wurden. 10. Deinstallieren Sie den M.ID Server Windows Service, auch wenn dieser bereits installiert ist! 11. Installieren Sie den M.ID Server Windows Service 12. Starten Sie den M.ID Server Windows Service 13. Öffnen Sie die M.ID Management Control And View via M.ID Configurator 14. Öffnen Sie die die Logdateien stdout.txt, stderr.txt, mid0.log via M.ID Configurator. 15. Optional: Wenn das Update erfolgreich war, können Sie die Sicherungskopien aus Schritt 2 löschen. Hinweis: Falls mit dem Einspielen der Patch-Dateien ein Versions-Update (bspw. v4.4.1 auf v4.7.0) durchgeführt wurde, so müssen ebenfalls die neuen M.ID Agenten und M.ID Komponenten aktualisiert werden Rollback Sollte der M.ID Server nicht wie gewünscht funktionieren, können Sie ein Rollback wie folgt durchführen: 1. Stoppen Sie den M.ID Server Windows Service 2. Schliessen Sie den M.ID Configurator 3. Führen Sie diesen Schritt nur aus, wenn Sie eine Sicherungskopie erstellt haben: Löschen Sie den gesamten Ordner <M.ID Server Installationsordner> Seite 48 M.ID Server Handbuch v4.7.0

49 4. Kopieren Sie den Sicherungsordner wieder nach <M.ID Server Installationsordner> 5. Starten Sie den M.ID Server Windows Service via M.ID Configurator neu 4.6. Edition Upgrade Szenario Upgrade Demo Edition auf Standard Edition 1. Stoppen Sie den M.ID Server Windows Service 2. Erstellen Sie eine Sicherungskopie der bestehenden Lizenzdatei <M.ID Server Installationsordner>\mid.lic 3. Kopieren Sie die erworbene Lizenzdatei nach <M.ID Server Installationsordner>\mid.lic 4. Starten Sie den M.ID Server Windows Service Hinweis: In der Demo-Edition sind die Enterprise Funktionalitäten während maximal 180 Tage vorhanden. Durch den Erwerb der Standard Edition entfallen die Enterprise Funktionalitäten (bspw. Datenbank- Logging). Die vorgenommen Einstellungen werden dadurch inaktiv Upgrade Standard Edition auf Enterprise Edition 1. Stoppen Sie den M.ID Server Windows Service 2. Erstellen Sie eine Sicherungskopie der bestehenden Lizenzdatei <M.ID Server Installationsordner>\mid.lic 3. Kopieren Sie die erworbene Lizenzdatei nach <M.ID Server Installationsordner>\mid.lic 4. Nehmen Sie folgende Einstellungen mit dem M.ID Configurator vor: Register Logging o Database Logging o Reporting Register Web Management o Permission Register M.ID Agents 5. Starten Sie den M.ID Server Windows Service Hinweis: Mit dem Erwerb der Enterprise Edition stehen Ihnen viele neue Funktionalitäten zur Verfügung. Einen Überblick finden Sie in Kapitel M.ID Editionen M.ID Server Handbuch v4.7.0 Seite 49

50 5. M.ID Server Konfiguration 5.1. Einleitung Konfigurationsablauf Die Konfiguration des M.ID Servers findet in mit folgenden Schritten statt: 1. Benutzerdatenspeicher (Active Directory) konfigurieren ( schema.ini) Mit M.ID AD Schema Assistant (s. Kapitel 6ff) 2. M.ID Lizenzdatei einspielen ( mid.lic) In \config-ordner kopieren 3. M.ID Server Konfigurieren ( mid.conf) Mit M.ID Configurator (s. Kapitel 5.2 ) 4. Optional: Zertifikate für SSL und SLDAP importieren ( mid.keystore) Mit IBM KeyMan (s. Kapitel 18) Benutzerdatenspeicher konfigurieren Damit unterschiedliche Datenspeichern (bspw. Microsoft Active Directory) angebunden werden können, muss eine Zuordnung zwischen den M.ID Benutzerattributen (M.ID PIN,...) und dem tatsächlichen Feldnamen im Datenspeicher erstellt werden. Diese Zuordnung wird in der schema.ini gespeichert (s. Kapitel 6ff) M.ID Lizenzdatei einspielen s. Kapitel M.ID Server konfigurieren Der Swiss SafeLab M.ID Server bezieht alle Einstellungen aus der mid.conf-datei. Diese Datei kann mit einem herkömmlichen Texteditor editiert werden (s. Kapitel 5.6). Die Konfiguration mit dem GUI basierten M.ID Configurator ist jedoch zu bevorzugen wie ab Kapitel 5.2 beschrieben Zertifikate für SSL und SLDAP importieren s. Kapitel M.ID Configurator Voraussetzungen Microsoft Visual Basic Run time 6.0 SP 6 (benötigt für M.ID Configurator) Microsoft MSXML 4.0 SP2 Parser and SDK (in Setup-Paket enthalten, benötigt für M.ID Configurator) Sun Java (mind. Version 6, in Setup-Paket enthalten) mid.lic in <M.ID Installationsordner>\config\ kopiert Bei Schemaerweiterung oder bei der Verwendung von mehreren AD-Feldern o schema.ini in <M.ID Installationsordner>\config\ kopiert Die schema.ini wird bei einer Active Directory Schema Erweiterung mit dem M.ID AD Assistant erstellt. Ansonsten muss die schema_template.ini in schema.ini umbenannt werden (s. Kapitel 6ff) Seite 50 M.ID Server Handbuch v4.7.0

51 M.ID Configurator starten Der M.ID Configurator ist eine Microsoft Visual Basic 6.0 Anwendung zur Konfiguration des M.ID Servers. Dabei werden die Werte aus der mid.conf ausgelesen und in einer Benutzeroberfläche dargestellt. Der M.ID Configurator kann via Startmenü oder durch Aufruf der mid_configurator.exe im M.ID Installationsordnerunterordner \config gestartet werden Hinweise beim Starten des M.ID Configurators Beim Start überprüft der M.ID Configurator die Integrität der Konfiguration. Bei einer Neuinstallation kann es deshalb zu einer Reihe von Warnhinweisen kommen, wie nachfolgend beschrieben: Fehlende mid.conf Datei Es wurde keine Konfigurationsdatei (mid.conf) gefunden, wie dies bei einer Neuinstallation der Fall ist. Die Konfigurationsdatei muss immer mid.conf lauten und sich im Verzeichnis \config befinden. Es besteht die Möglichkeit die Konfigurationsdateien aus einem Sicherungsverzeichnis zu importieren, wie dies bspw. bei einem Update-Prozess der Fall ist (s. Kapitel 4.4) Fehlende M.ID Lizenzdatei Diese Warnung deutet darauf hin, dass Sie Ihre erworbene M.ID Lizenzdatei noch nicht in die \config-ordner kopiert haben. Wenn Sie nur die M.ID Demo Edition verwenden wollen, können Sie diese Meldung ignorieren. Anderenfalls kopieren Sie nun ihre Lizenzdatei (mid.lic) in den \config- Ordner und überschreiben Sie die bestehende Datei Java-Installation nicht gefunden Erhalten Sie beim Start des M.ID Configurators folgende Fehlermeldung: M.ID Server Handbuch v4.7.0 Seite 51

52 Konnte die java.exe nicht gefunden werden. Wurde Java jedoch bereits auf dem System installiert, klicken Sie auf OK sonst auf Cancel und installieren Sie zuerst die Sun Java Runtime. Erhalten Sie beim Start des M.ID Configurators folgende Fehlermeldung: So wurde ein Pfad zu Java Home angegeben, jedoch ist dieser ungültig. Klicken Sie auf OK um den Pfad zu korrigieren Fehlende mid.key Datei Informationen wie Passwörter, abgelegte PINs und Passcodes werden verschlüsselt gespeichert. Dazu wird ein Schlüssel benötigt welcher im Key File (mid.key) abgelegt ist. Beim Start des M.ID Configurators, wird überprüft, ob ein Key File existiert. Sollte kein Key File vorhanden sein, wie dies bei einer Neuinstallation der Fall ist, erhält man diese Meldung und die Möglichkeit gleich automatisch ein Key File generieren zu lassen. Klicken Sie in der Meldung auf Yes um das File zu erstellen. Hinweis: Sobald Sie die mid.conf Datei exportieren um sie evtl. auf einem anderen Server zu verwenden, muss auch das Key File mit exportiert werden, sofern die gleichen Passwörter verwendet werden sollen! Fehlende schema.ini Datei Lesen Sie bitte das Kapitel 6 M.ID Benutzerdaten, für weitere Informationen bezüglich der schema.ini. Seite 52 M.ID Server Handbuch v4.7.0

53 Fehlende mid_configurator.ini Datei Deutet darauf hin, dass die mid_configurator.ini beschädigt ist oder fehlt. Bestätigen Sie diese Meldung mit OK und klicken Sie bei Meldung auf Yes um die M.ID Configurator Einstellungen zu überprüfen: M.ID Configurator Einstellungen Um die Einstellungen des M.ID Configurators anzupassen, klicken Sie im Menü Main auf M.ID Configurator preferences... M.ID Configurator Einstellungen Configurator Feld Beschreibung Standardwert Backup folder Wenn die Einstellungen im M.ID Configurator gespeichert werden, erstellt dieser jeweils Sicherheitskopien von folgenden Dateien, falls diese geändert wurden: - mid.conf.\backup M.ID Server Handbuch v4.7.0 Seite 53

54 - mid.key - mid_keystore - mid_providers.xml Diese Sicherheitskopien werden im Backup folder abgelegt. Der Pfad kann auch relativ angegeben werden (.\backup). mid.jar path Pfad zur mid.jar Datei. Der Pfad kann auch relativ angegeben werden (..\mid.jar) Max. Backup age (days) Gibt das maximale Alter einer Sicherheitskopie an. Ist eine Sicherheitskopie älter als die angegebene Anzahl Tage, wird diese gelöscht. Wird das Alter auf 0 gesetzt, so werden keine Backups gelöscht. Password field type Steuert, ob die Eingabe in den Passwortfeldern maskiert (*) oder im Klartext erfolgen soll. localhost mode Definiert, ob die Localhost-URL als http(s):// oder http(s)://localhost aufgerufen werden soll. In IP6-Umgebungen sollte disable warnings for optional settings Settings mode on startup der Wert auf gesetzt werden! Falls aktiviert, werden Warnungen für fehlende optionale Einstellungen nicht angezeigt Basic: Der M.ID Configurator zeigt nur die minimal notwendigen Einstellungen an Advanced: Zeigt alle möglichen Einstellungen an..\mid.jar 0 plain text Deaktiviert Advanced 5.3. Bestehende Konfigurationsdateien importieren Konfigurationsdateien aus Sicherheitskopie des \config Ordners importieren Bevor eine Installation oder ein Update durchgeführt wird, sollte immer der \config-ordner gesichert werden. Mit diesem Vorgang können Sie diese Dateien aus einer Sicherheitskopie des \config-ordners importieren. Dieser Vorgang funktioniert nicht, wenn sich der \config-ordner mit dem produktiven \config-ordner deckt. Folgende Dateien werden (falls vorhanden) importiert. mid_configurator.ini mid.conf mid.lic mid.key mid.keystore resp. Keystore mid_language_server_*.txt mid_language_user_*.txt mid_logging.properties resp. logging.properties mid_providers.xml resp. Providers.xml schema.ini Hinweis: Mit dieser Funktionalität können NICHT die Sicherungsdateien importiert werden, welche der M.ID Configurator automatisch im \backup-ordner anlegt! 1. Starten Sie den M.ID Configurator und ignorieren Sie alle Warnhinweise bis auf die fehlende Java Installation (java.exe muss angegeben werden) und die fehlende mid.key-datei (erstellen). 2. Wählen Sie im Menü Main Import config files... Seite 54 M.ID Server Handbuch v4.7.0

55 3. Klicken Sie auf Yes um den einen Ordner auszuwählen 4. Bestätigen Sie das Importieren jeder Datei mit Yes. Die bestehende Datei wird überschrieben 5. Falls sich M.ID Sprachdateien im Sicherungsordner befinden, so können diese entweder zusammengeführt (Yes) oder ignoriert (No) werden: 6. Wenn eine mid.conf importiert wurde, empfiehlt es sich die Einstellung aus dieser Datei zu laden! Klicken Sie hierzu auf Yes 7. Nach dem Importvorgang empfiehlt es sich alle Einstellungen zu kontrollieren und anschliessend die Settings zu speichern. M.ID Server Handbuch v4.7.0 Seite 55

56 8. Beim Import einer älteren mid.conf Datei, empfiehlt es sich die mid.conf von allen alten Einträgen bereinigt zu speichern. Klicken Sie hierzu im Menü Main auf Save clean config Konfigurationsdateien in ZIP-Datei exportieren/importieren Konfigurationsdateien als ZIP exportieren Bevor ein Update durchgeführt wird, sollten die Konfigurationsdateien gesichert werden. Dies geht bequem über Menüleiste\Main\Zip config files Gezippte Konfigurationsdateien importieren Nachdem das Update durchgeführt wurde, können die gezippten Konfigurationsdateien wieder importiert werden: Seite 56 M.ID Server Handbuch v4.7.0

57 5.4. Minimalkonfiguration mit dem M.ID Configurator Bei der ersten Verwendung des M.ID Configurators empfiehlt es sich vorerst nur die Minimalkonfiguration vorzunehmen und diese anschliessend zu testen. Detaillierte Informationen zur Konfiguration der jeweiligen Optionen entnehmen Sie bitte dem Kapitel 5.5 Konfiguration mit dem M.ID Configurator Minimalkonfiguration Folgende Einstellungen müssen minimal vorgenommen werden: Reiter Global o Java Home o Login Events allowed hosts Listener Port Reiter Security o Keystore Reiter Gateway o SMS Provider Wenn Sie bereits im Besitz eines Provider XMLs sind, so laden Sie dieses, öffnen und speichern Sie jeden erfassten SMS Provider. Mit dieser Prozedur gewährleisten Sie, dass Ihre SMS Provider Einstellungen konform mit der neuesten Version des M.ID Servers sind. Reiter Datastore o Datastore Connection Type o LDAP Connection Settings LDAP URL LDAP user login LDAP user password o M.ID Field Mappings Reiter Monitoring o Lifeness checks TO -FROM Mobile phone o SMTP Server Settings Reiter Web Management o Global Allowed IPs web console credentials o M.ID Management Control and View Nachdem die Minimalkonfiguration durchgeführt wurde, kann der Swiss SafeLab M.ID Server gemäss Kapitel 5.9 M.ID Server starten gestartet werden Empfohlene Konfiguration Um die Sicherheit des Swiss SafeLab M.ID Servers zu erhöhen, sollten folgende Einstellungen zusätzlich vorgenommen werden: Reiter Global o Login Events SSL Listener Port verwenden, Listener Port auf 0 setzen Reiter Security M.ID Server Handbuch v4.7.0 Seite 57

58 o Default Keystorepassword (midmid) ändern o Session Timeout Timeout (min) auf 10 setzen Delete every second auf 60 setzen o DOS Attacks Number of Logins auf 30 setzen Time auf 120 setzen Banned auf 300 setzen o Passcodelänge auf 5 Zeichen mit 1 Zahl konfigurieren o PIN Länge auf 4-6 beschränken o PIN nicht deaktivieren o Secret Question n Answer Settings required questions auf 3 setzen count of questions to ask auf 3 setzen o Password Settings Overwrite timer (min) auf 10 setzen Reiter Gateway o Swiss SafeLab SMS Provider verwenden, da bei diesem Provider SSL Verbindungen zwingend notwendig ist Reiter Datastore o LDAP Connection Settings Häkchen setzen bei Secure LDAP (SSL) Wenn Sie das Häkchen SSL setzen, so müssen Sie das Domain Controller Zertifikat in den Keystore importieren (s. Kapitel 18.2 Domain Controller Zertifikat exportieren) ansonsten kann keine SLDAP-Verbindung zum Domain Controller hergestellt werden. Number of conns auf 20 setzen M.ID Service Account (LDAP user login) ist Account Operator (jedoch nicht Domain Admin!) M.ID Benutzer sind Domain Users Reiter Monitoring o Lifeness checks konfigurieren o SMTP Server Settings konfigurieren Reiter Logging o Logging Settings Log Level auf INFO setzen Reiter Web Management o Global Allowed IPs einschränken o M.ID Management Control And View Häkchen bei SSL setzen o M.ID Management User Configuration Häkchen bei SSL setzen Reiter M.ID Agents o M.ID Integrated Web Password Reset Agent Falls enabled gesetzt, dann SSL aktivieren Auf Appliances sollte zuerst M.ID (primary authentication server) und dann LDAP (secondary authentication server) abgefragt werden um Account Lockouts zu verhindern. Seite 58 M.ID Server Handbuch v4.7.0

59 5.5. Konfiguration mit dem M.ID Configurator Beschreibung Funktionen Die Konfigurationsmöglichkeiten im M.ID Configurator sind thematisch in folgende Reiter unterteilt: Global Security Gateway Datastore Monitoring Logging Web Management M.ID Agents Miscellaneous Menü Eintrag Beschreibung Main Zip config files... Fasst alle Konfigurationsdateien in einer ZIP-Datei zusammen und speichert diese unter dem gewünschten Speicherort Import zipped config Import die Konfigurationsdateien eines ZIPs files... View Basic/Advanced Settings Tools Zip log files... Basic: Der M.ID Configurator zeigt nur die minimal notwendigen Einstellungen an Advanced: Zeigt alle möglichen Einstellungen an Fasst alle Log-Dateien (mid?.log, stderr.txt, stdout.txt) in einer ZIP-Datei zusammen und speichert diese unter dem gewünschten Speicherort Zusätzliche Informationen zu den Funktionalitäten zum M.ID Configurator finden Sie in der Online Hilfe im Menü About. Hinweise: Nachdem Sie die Änderungen gespeichert haben, müssen Sie den Swiss SafeLab M.ID Server neu starten. Wurden an Einstellungen, welche mit einem * versehen sind (bspw. Passcode Settings), Änderungen vorgenommen, genügt es in der M.ID Management Control And View die Einstellungen neu zu laden (s. Kapitel ) Automatische Sicherheitskopien der Konfigurationsdateien Vor dem Speichern einer Konfiguration wird von der alten Konfiguration eine Sicherheitskopier aller relevanten Dateien (mid.key, mid.keystore,...) im Verzeichnis \backup erstellt Automatische Dokumentation der Konfiguration Nach dem Speichern der Konfiguration werden die Einstellungen in einer lesbaren Form als.html- Datei gespeichert. Diese Datei kann auf Wunsch ausgedruckt werden. Die generierte Dokumentation kann über das Menü "View" aufgerufen werden. M.ID Server Handbuch v4.7.0 Seite 59

60 Global Settings M.ID Configurator Global Settings Configurator Feld mid.conf Schlüssel Beschreibung Configuration conf file Pfad der geladen mid.conf-datei. Klicken Sie auf die nebenstehende Schaltfläche um eine andere mid.conf- Datei zu laden M.ID Service name M.ID Service Name mid.service.name Name des Windows Service. Klicken Sie auf die nebenstehende Schaltfläche um den Servicenamen zu ändern. services.msc Öffnet die Microsoft Management Console der Dienstverwaltung Java Home Java Home java.home Pfad zum Java-Home Verzeichnis. Dies ist normalerweise das \bin-verzeichnis Wichtig: Wir das Java-Home-Verzeichnis geändert, so muss zwingend der M.ID Server Windows Service deinstalliert und installiert werden. Version... Liefert die Version der angegeben Java Runtime zurück Login Events allowed host LoginEvent.rec.all.ip Gibt an von welchen Adressen M.ID Authentifizierung Seite 60 M.ID Server Handbuch v4.7.0

61 akzeptiert wird. Geben Sie hier den Server mit dem installierten M.ID Agent an, z.b. Das Citrix Web Interface. Es können einzelne Adressen oder IP Ranges definiert werden. Listener Port LoginEvent.rec.port Definiert über welchen Port der M.ID Service Anfragen von den Agents wie z.b. Von einem Citrix Web Interface erhält. SSL Listener Port LoginEvent.rec.port.ssl Definiert über welchen Port der M.ID Service SSL-Anfragen von den Agents wie z.b. von einem Citrix Web Interface erhält. Der Wert 0, deaktiviert SSL Login Events M.ID Cluster Members Proxy Settings Enabled Proxy Settings enabled mid.cluster.members proxy.enabled Redundante M.ID Server können als Cluster zusammengebunden werden, damit die einzelnen Mitglieder Daten (bpsw. M.ID Support Passcodes) untereinander austauschen können. Jedes Mitglied muss mit einer URL mit folgendem Format angegeben werden: [protocol]://[m.id Server IP / FQDN]:[Listener Port]. Bspw.: Mehrere Mitglieder müssen mit Semikolons getrennt angegeben werden. Diese Angabe ist optional. Bei gesetztem Häkchen wird die gesamte Kommunikation via definierte Proxy Server geführt Proxy proxy.host IP-Adresse des Proxy Port proxy.port Portnummer des Proxy User proxy.user Benutzername für die Anmeldung am Proxy Password proxy.password Passwort des Proxy-Benutzers M.ID Languages Available user languages mid.languages.users Zeigt die Liste aller Benutzersprachdateien an. Um eine neue Sprachdatei in die List aufzunehmen, klicken Sie auf add.... Um eine Sprachdatei zu entfernen, klicken Sie mit der Mauskontextmenütaste auf den entsprechenden Eintrag und wählen Sie remove. Default mid.languages.users.default Standardsprache, die benutzt werden soll, wenn das Attribute M.ID Language eines Benutzers auf eine nicht vorhandene Sprachdatei verweist. Zum Setzen der Standardsprache, klicken Sie mit der Mauskontextmenütaste auf den entsprechenden Eintrag und wählen Sie set as default language Available server languages Default mid.languages.server Zeigt die Liste aller Serversprachdateien an. Um eine neue Sprachdatei in die List aufzunehmen, klicken Sie auf add.... Um eine Sprachdatei zu entfernen, klicken Sie mit der Mauskontextmenütaste auf den entsprechenden Eintrag und wählen Sie remove. mid.languages.server.default Standardsprache, die benutzt werden soll, wenn das Attribute M.ID Language eines Benutzers auf eine nicht vorhandene Sprachdatei verweist. Zum Setzen der Standardsprache, klicken Sie mit der Mauskontextmenütaste auf den entsprechenden Eintrag und wählen Sie set as default language M.ID Server Handbuch v4.7.0 Seite 61

62 Security M.ID Configurator Security Configurator Feld mid.conf Schlüssel Beschreibung Keystore Keystore key.trust.store Gibt den Speicherort der M.ID Service Verschlüsselungsinformationen an. Klicken Sie auf browse... um einen anderen Keystore zu laden! Keystore password key.trust.store.password Passwort zum Keystore. Das Passwort muss mindestens 6 Zeichen lang sein. Klicken Sie auf change... um das Passwort des Keystores zu ändern. Das Passwort des Keystores kann auch mit IBM KeyMan geändert werden (s. Kapitel ). Session Settings Timeout(min) session.timeout Dieser Wert gibt in Minuten an, wie lange ein Passcode im On demand Modus gültig ist. Wird ein Passcode innerhalb dieses Zeitrahmens nicht verwendet, verfällt der Passcode Delete every session.refresh Gibt in Sekunden an, wie oft der M.ID Service ausgestellte Passcodes bereinigt. In diesen Abständen werden abgelaufene und ungültige Passcodes aus dem Cache gelöscht sowie auch überprüft welche Passcodes als ungültig gelten. Re-login time lock (s) session.relogin.timelock Gibt in Sekunden an, wie lange ein Benutzer nach einem Anmeldeversuch gesperrt ist (0 = keine Sperrung). Diese Einstellung kann ebenfalls verwendet werden um mehrere Anfragen die von einer Appliances aus Timout Gründen ausgelöst werden zu ignorieren. Sollten Sie Probleme mit mehreren SMS haben, setzen Sie diesen Wert auf bspw s. DOS Attacks Number of logins dos.count Anzahl Logins die von einem User in einer bestimmten Zeit hintereinander durchgeführt werden dürfen ohne als DOS Attacke zu gelten. Time (sec) dos.delta Zeitrahmen in Sekunden, in welchem ein User eine bestimmte Anzahl Anmeldungen hintereinander machen darf. Sind es mehr Anmeldungen in diesem Zeitraum, gilt dies als DOS Attacke. Banned (sec) dos.blocked Zeitraum in Sekunden, in welchem von einer als DOS Angreifer vermuteten Verbindung keine Sessions mehr entgegen genommen werden. Passcode Settings Seite 62 M.ID Server Handbuch v4.7.0

63 Passcode length passcode.length Definiert die Länge des M.ID Passcodes welcher an die Benutzer per SMS geschickt wird. Werte 1 20 möglich. Uppercase passcode.uppercase Aktivieren Sie diese Option, damit Passcodes kleine und grosse Zeichen enthalten. Deaktiviert, werden die Passcodes kleingeschrieben generiert. Special characters passcode.specletter Aktiviert man diese Option, werden für die Passcodes zusätzlich Sonderzeichen verwendet. Benutzte Sonderzeichen sind: $, *, +, Digits passcode.digit Aktivieren Sie diese Option, damit auch Zahlen in Passcodes enthalten sind. Im nebenliegenden Feld wird gleich angegeben, wie viele Zahlen pro Passcode verwendet werden sollen. New! case sensitive Passcode Commands passcode.casesensitive Legt fest, ob beim M.ID Passcode zwischen Gross- und Kleinschreibung unterschieden wird. Bei deaktivierter Option reduzieren sich die Anzahl der möglichen M.ID Passcodes. Klicken Sie auf Passcode Commands um Festzulegen, welche M.ID Passcode Befehle dem Benutzer zur Verfügung stehen. Diese Schaltfläche ist nur in der Enterprise Edition verfügbar. PIN Settings Length (min) pin.length.min Gibt die Mindestlänge für PIN Nummern vor (1 20) Length (max) pin.length.max Gibt die Maximallänge für PIN Nummern vor (1 20) Alphanumeric pin.letters Aktivieren Sie diese Option, wenn Sie auch alphanumerische Zeichen in PIN Nummern verwenden möchten Allow empty PIN pin.empty Aktivieren Sie dieses Feld, falls Sie M.ID Server ohne PIN verwenden möchten. Hinweis: Diese Einstellung reduziert die Sicherheitsstufe und wird nicht empfohlen! PIN Commands Klicken Sie auf PIN Commands um Festzulegen, welche M.ID PIN Befehle zur Verfügung stehen Secret Question n Answer Settings required secretqaa.required.count questions count of question to ask Password Settings Overwrite timer (min) secretqaa.ask.count password.overwrite.timer Definiert die Anzahl Secret Questions (und somit auch die Anzahl Secret Answers) die ein Benutzer definiert haben muss, damit dieser M.ID verwenden kann. Wird die Anzahl der erforderlichen Secret Questsions auf 0 gesetzt, so benötigen die Benutzer für den Betrieb keine M.ID Secret Question/Secret Answer. Jedoch stehen dann gewisse M.ID PIN Befehle nicht mehr zur Verfügung. Falls die Anzahl der erforderlichen Secret Questions auf 0 gesetzt wird, so muss zwingend Swiss SafeLab M.ID RADIUS Proxy v2.5.1 oder höher verwendet werden. Definiert die Anzahl Secret Questions die der Benutzer beantworten muss um sich erfolgreich zu authentifizieren Nach Ablauf dieser Zeitspanne werden die Zufallspasswörter erneut durch ein weiteres Zufallspasswort überschrieben, sofern der Benutzer das Passwort nicht geändert hat. Password length password.length Länge des zu generierenden Zufallpasswortes bei einem Passwort Reset motp Settings Timezone (+/-12) motp.timezone UTC-Zeitzone der Uhrzeit für den M.ID Server. Standardwert: 0 Secret save mode motp.secret.savemode Grosskleinschreibung beim Speichern der motp Secret. Standardwert: As is Secret gener. Mode Secret default length motp default length motp Valididty Time Span (s) motp.secret.generationmode motp.secret.defaultlength motp.motp.defaultlength motp.motp.validitytimespan Grosskleinschreibung beim Generieren der motp Secret. Standardwert: lower case Standardlänge der Secret. Standardwert: 16 Standardlänge der motp Standardwert: 6 Gültigkeitsdauer eines motp in Sekunden Standardwert: 180 motp Gener. Mode motp.motp.generationmode Grosskleinschreibung beim Generieren des motp Standardwert: lower case motp Compare Mode motp.motp.comparemode Grosskleinschreibung beim Überprüfen des motp beachten M.ID Server Handbuch v4.7.0 Seite 63

64 Standardwert: case invariant / Grosskleinschreibung ignorieren company seed motp.motp.companyseedmode None: Keine Company Seed (standard) Ansonsten wählen Sie aus der DropDownList die Position aus, an der die Company Seed ( [cs] ) eingefügt werden soll. [ep]: epoch time [pi]: PIN [se]: secret company seed motp.motp.companyseed Die Company Seed, welche verwendet werden soll. Gängige motp-clients besitzen nicht die Möglichkeit einer Company-Seed und können daher nicht für die Authentifizierungs verwendet werden. Hinweis: Um Verwechslungen auszuschliessen, enthalten die generierten M.ID Passcodes und AD Passwörter keinen Kleinbuchstaben L und keinen Grossbuchstaben O! M.ID Passcode Command Permissions M.ID Passcode Befehle akt-/deaktivieren Im Dialog M.ID Passcode Permissions kann definiert werden, welche M.ID Passcode Befehle (s. Kapitel 7.2.) den Benutzern zur Verfügung stehen. Hinweis: Die M.ID Passcode Befehle stehen nur in der Enterprise Edition zur Verfügung. Configurator Feld mid.conf Schlüssel Beschreibung Passcode Commands Allow Passcode Request Alt. Number 1 Allow Passcode Request Alt. Number 1 passcode.command.alternative1.enabled Passcode Anfoderung auf alt. Nummer 1 passcode.command.alternative1.enabled Passcode Anfoderung auf alt. Nummer 2 Seite 64 M.ID Server Handbuch v4.7.0

65 M.ID PIN Command Settings M.ID PIN Command Permissions M.ID PIN Befehle akt-/deaktivieren Im Reiter PIN Command kann definiert werden, welche M.ID PIN Befehle (s. Kapitel 7.1 M.ID PIN Befehle) den Benutzern zur Verfügung stehen. Hinweis: Meldet sich ein Benutzer mit einem deaktivierten PIN Befehl an, so wird die Anmeldung verweigert. Configurator Feld mid.conf Schlüssel Beschreibung Passcode Commands Allow Passcode pin.command.alternative1.enabled Request Alt. Number 1 Passcode Anfoderung auf alt. Nummer 1 Allow Passcode pin.command.alternative1.enabled Request Alt. Number 1 Passcode Anfoderung auf alt. Nummer 2 Allow Passcode pin.command.passcoderequest.enabled Request Passcode Anforderung im asynchronous Modus Allow Support pin.command.passcodesupport.enabled Passcode Support Passcode Allow Password Reset pin.command.passwordreset.enabled Password Reset Allow PIN Reset pin.command.pinreset.enabled PIN Reset M.ID PIN Command Prefix M.ID PIN Befehlpräfixe New! Im Reiter Command Prefix können die Präfixe der M.ID PIN Commands (s. Kapitel 7.1 M.ID PIN Befehle) festgelegt werden, wodurch die Sicherheit erhöht werden kann, da sich die Befehle nun von Firma zu Firma unterscheiden. M.ID Server Handbuch v4.7.0 Seite 65

66 Gateway Settings M.ID Configurator Gateway Settings Die SMS Providereinstellungen werden in einer separaten XML-Datei gespeichert. Diese ermöglicht es Ihnen unbegrenzt viele SMS Provider für ein Failover zu erfassen. Im Kontextmenü der erfassten SMS Provider stehen ihnen die Funktionen Edit, Delete, Add new, Activate und copy provider zur Verfügung Hinweis: Es wird empfohlen die Konfiguration der SMS Provider via M.ID Configurator vorzunehmen und nicht direkt in der XML-Datei. Configurator Feld mid.conf Schlüssel Beschreibung SMS Provider Settings SMS Provider XML sms.provider.xmlconfig Pfad zu der SMS Provider XML. Configured SMS Providers Liste aller konfigurierten SMS Provider. Mit dem Kontextmenü der Liste können Sie einzelne Provider aktivieren, deaktivieren oder gar löschen. SMS Provider Required sms.provider.required Falls aktiviert, müssen aktive SMS Gateways vorhanden sein, ansonsten verschickt der M.ID Server Warnmeldungen Falls deaktiviert, werden keine Warnmeldungen verschickt, wenn keine aktiven SMS Gateways vorhanden sind Standard: aktiviert Wait before retry (ms) sms.failure.waitbeforeretry Schwellenwert in Milisekunden, bevor nach einem fehlerhaftem SMS-Versand ein erneuter Versand durchgeführt wird. Standard: 2000 Seite 66 M.ID Server Handbuch v4.7.0

67 SMS Provider erfassen Configurator Feld mid_providers.xml Beschreibung Element Required provider settings Active* active Aktivieren, deaktivieren des SMS Providers Providername* providername Name des Providers wie er in den Log-Dateien und der M.ID Management Control & View erscheinen soll. Der Name muss über alle SMS Provider eindeutig sein. Priority* priority Priorität des SMS Providers. Je kleiner die Zahl, desto höher die Priorität. Wenn ein SMS Provider nicht erreicht werden kann, wird automatisch der SMS Provider mit der nächst niederen Priorität angesprochen. Die Priorität muss über alle SMS Provider eindeutig sein. Type* type Wählen Sie einen der vordefinierten SMS Providern aus. Hinweis: Der Typ generic und gsmmodemobserver steht nur in der Enterprise Edition zur Verfügung. Supports flash* <supportsflash> Flash-SMS sind SMS-Nachrichten, die direkt auf dem Mobiltelefon erscheinen. Flash-SMS können nicht gespeichert werden, sondern werden automatisch gelöscht, wenn die Nachricht gelesen wurde. Daher eignen sich Flash-SMS hervorragend für die Übermittlung von einmaligen Passcodes. Nicht jeder SMS Provider unterstützt Flash- SMS Host* <host> Geben Sie die Host-Adresse des SMS Providers an Username* <username> Accountname beim SMS Provider Password* <password> Passwort zum Account encrypted* <encrypted> Soll das Passwort verschlüsselt in der XML abgelegt werden Sender* <sender> Absenderkennung der SMS. Dies kann ein alphanumerischer Text von 3 bis zu 11 Zeichen sein. Bitte beachten Sie, dass der Absendertext allenfalls bei Ihrem SMS Provider freigeschaltet werden Supports variable Sender* <supportsvariablesender> muss (s. Supports variable Sender) Manche SMS Provider unterstützen variable alphanumerische Absenderkennungen, ohne dass diese vorgängig registriert werden müssen. Erkundigen Sie sich bei Ihrem SMS Provider, ob Sie eine Absenderkennung vorgängig registrieren müssen. Swiss SafeLab SMS Providing unterstützt variable Sender IDs. D.h. Sie können eine beliebige Sender ID (bspw. IhreFirma, MID, MIDPasscode, ) verwenden. Wenn der SMS Provider keine variable Sender ID unterstützt, so wird immer SafeLab als Sender ID verwendet, da dieser bei allen SMS Provider out-of-the box freigeschaltet wurde. Credit Limit* <creditlimit> Wenn dieses Limit unterschritten wird, erhalten Sie vom M.ID Server eine Benachrichtigung, dass das Limit unterschritten wurde. Timeout (ms) <timeout> Nach dieser Zeitüberschreitung wird zum nächsten SMS Gateway gewechselt Standard: 2500 Max. message Length <supportedmessagelength> Definiert die Anzahl der Zeichen, welche für in einer SMS übertragen werden können. Falls der SMS Provider Long SMS nicht unterstützt, dann werden die Nachrichten länger als diese Zeichen abgetrennt. Generic Provider Settings JAR Path <javajarpath> Wenn Sie einen generischen SMS Provider konfigurieren, müssen Sie M.ID Server Handbuch v4.7.0 Seite 67

68 hier den Pfad zur JAR-Datei angeben (s. Kapitel 17 SMS Provider Development Kit). Java class name <javaclassname> Wenn Sie einen generischen SMS Provider konfigurieren, müssen Sie hier den Klassennamen Ihres implementierten Providers angeben (s. Kapitel 17 SMS Provider Development Kit). Provider specific props & values Provider specifiic props & values property, propertyvalue Hinweis: Die mit *) markierten Felder sind in jedem Falle zwingend! Für gewisse Provider müssen zusätzliche Angaben gemacht werden: Swiss SafeLab SMS Provider: AccountID CostUnit Die CostUnit ist optional und wird ebenfalls in das Swiss SafeLab SMS Providing übertragen. Clickatell API_ID, REQ_FEATURE Wenn Sie einen generischen SMS Provider konfigurieren, können Sie hier ebenfalls zusätzliche Werte abspeichern, die Ihrer Implementierung während der Laufzeit ebenfalls z.v. stehen (s. Kapitel 17 SMS Provider Development Kit). SMS Cretor DE Caption Dieses Property ist optional und wird, falls definiert auf den SMS Creator DE Wert JobName der Auswertung gemappt Datastore Settings M.ID Configurator Datastore Settings mit Schema Erweiterung Configurator Feld mid.conf Schlüssel Beschreibung Datastore Connection Type middata.connection.type Definiert, ob die M.ID Attribute in ein Multi Value Field (LDAP with a Multi Value Field) geschrieben werden sollen, oder in mehrere AD- Felder (LDAP with M.ID Schema Extension). Wenn Sie keine M.ID Schema-Erweiterung durchgeführt haben, aber pro M.ID Benutzerattribut ein AD-Feld verwenden, so wählen Sie ebenfalls LDAP with M.ID Schema Extension LDAP Connection Settings Number of conns ldap.threads Dieses Feld definiert die Anzahl permanenten LDAP-Verbindungen, die der M.ID Server benutzen dürfte. Seite 68 M.ID Server Handbuch v4.7.0

69 conn. validity (mins) ldap.threads.validity Definiert die max. Gültigkeit einer LDAP-Verbindung in Minuten. Normalerweise werden die LDAP-Verbindungen korrekt getrennt. Wenn die Verbindungen nicht korrekt getrennt werden, so nimmt die Anzahl der verfügbaren LDAP-Verbindungen (Number of conns) stetig ab. Wird ein Wert definiert, so werden die Verbindungen nach Ablauf dieser Gültigkeitsperiode automatisch getrennt. Standardwert: 0 (unendlich lange gültig). auto. close oldest ldap.threads.autocloseoldest Definiert, ob die älteste LDAP-Verbindung automatisch getrennt (freigegeben) werden soll, falls alle LDAP-Verbindungen aufgebraucht sind. Wenn LDAP-Verbindungen nicht korrekt getrennt werden, so nimmt die Anzahl der verfügbaren LDAP-Verbindungen stetig ab. Sollten Probleme mit der Anzahl verfügbaren Verbindungen auftreten, aktivieren Sie diese Einstellung. Standardwert: deaktiviert Time to wait (secs) ldap.time Definiert den Timeout bei der Abfrage des LDAP Verzeichnisses. Secure LDAP (SSL) ldap.url.isssl Aktivieren Sie dieses Häkchen, falls Sie SLDAP verwenden möchten. SLDAP setzt jedoch ein Zertifikat Ihres Domain-Controllers im Keystore voraus. SLDAP ist zwingend notwendig für die AD Passwort Reset Funktionalität. LDAP URL ldap.url LDAP: Tragen Sie in dieser Zeile den Pfad zur Ihrem LDAP Server ein. Über Multiple LDAP können aus Gründen der Ausfallsicherheit mehrere LDAP Server angegeben werden. LDAP user login ldap.login.dn LDAP: Geben Sie hier den Pfad im LDAP zu dem User an, welcher für die LDAP Abfragen verwendet wird. Für AD Passwort Reset muss dieser Benutzer administrative Rechte besitzen. Es wird empfohlen einen extra M.ID Service Account in Ihrem AD einzurichten. Gültige Formate: CN bspw.: cn= midadmin,cn=administrators,dc=example,dc=com UPN bspw: midadmin@example.com NetBIOS bspw: example\\midadmin LDAP user password ldap.login.password LDAP: Tragen Sie an dieser Stelle das Passwort des Users ein, welcher unter LDAP user login definiert wurde. Login Settings Login field login name ldap.login.field.loginname Feldname, welches den Loginnamen enthält. Bei Microsoft Active Directory bspw. SAMAccountName. Bei Microsoft Active Directory Lightweight Directory Services zwingend name Login field UPN ldap.login.field.upn Feldname, welches den User Principal Name enthält. Bei Microsoft Active Directory bspw. userprincipalname Login field ldap.login.field.mail Feldname, welches die adresse enthält. Bei Microsoft Active Directory bspw. mail. Allowed login modes ldap.login.mode 1 = Anmeldung mit Loginname erlaubt 2 = Anmeldung mit UPN erlaubt 3 = Anmeldung mit erlaubt. Sie können die Werte auch kombinieren. Trennen Sie hierfür die Werte durch ein Semikolon, bspw: 1;2;3 erlaubt alle Anmeldemodi M.ID Field Mappings (according to schema.ini) M.ID Field Mappings ldap.field.* In diesem Bereich sind die Datastore Felder definiert, welche als M.ID Konfigurationsfelder ausgelesen werden sollen. Dies gilt für die Standard Edition (siehe 5.1.1). In der Enterprise Edition kann eine Schemaerweiterung durchgeführt werden, nach welcher die Felder Field Mappings nicht mehr relevant sind, da eigene dedizierte Felder verwendet werden. M.ID Server Handbuch v4.7.0 Seite 69

70 Monitoring M.ID Configurator Monitoring Configurator Feld mid.conf Schlüssel Beschreibung Lifeness checks Intervall (min) lifenesscheck.interval Geben Sie hier in Minuten an, wie oft M.ID aktiv die SMS Provider überprüfen soll. TO lifenesscheck. .to Lifeness Checks werden an diese Adresse geschickt, z.b. wenn ein SMS Provider down ist. FROM lifenesscheck. .from Lifeness Checks werden per Mail mit dieser Absenderadresse verschickt. Mobile phone lifenesscheck.sms.to Falls das Credit Limit eines SMS Providers unterschritten wurde, wird an dieses Mobiltelefon eine Benachrichtigung verschickt. Lifeness filename Lifenesscheck.filename Falls ein Dateiname angegeben wird, so schreibt der M.ID Server periodisch einen Lifeness Check Bericht in diese Datei (s. Kapitel Lifeness File). Klicken Sie auf * um den Standardpfad des Lifeness filename einzutragen. SMTP Server Settings Server address mail.smtp.server Geben Sie hier an, welchen SMTP Server M.ID zum Versenden von Lifeness Checks verwenden soll. Benötigt der gewählte SMTP Server eine Authentifizierung, so können die entsprechenden Benutzerdaten darunter eingetragen werden. Ist keine Authentifizierung nötig, können die Felder User und Password leer gelassen werden. Server Port mail.smtp.port SMTP Port des servers User Password mail.smtp.user mail.smtp.pwd Async Passcode Timer Enabled timer.enable Aktiviert die Timerfunktion für den Async-Modus. Wird der Timer deaktiviert, können Sie keine Benutzer mit Async-Modus anmelden. Interval in mins timer.interval Gibt an, in welchem Zeitintervall das AD nach Benutzer mit Async- Modus durchsucht werden soll. Seite 70 M.ID Server Handbuch v4.7.0

71 Logging M.ID Configurator Logging Configurator Feld mid.conf Schlüssel Beschreibung Lifeness checks Log Level Gespeichert in der mid_logging.properties log.windows.eventlog.enabled Setzt das Log-Level in der mid_logging.properties und somit den Detaillierungsgrad des Protokolls. Falls aktiviert, schreibt der M.ID Server im Lifeness check interval einen Eintrag in das Windows Event Log (s. Kapitel 7.7.3) Enable Windows Event Logging log invalid Passcodes log.loginvalid.passcodes Falls aktiviert, werden die ungültigen Passcodes im Klartext in die Logdatei geschrieben. Dies ist bei Anmeldeproblemen dienlich, stellt aber ein Sicherheitsrisiko dar. log invalid PINs log.loginvalid.pins Falls aktiviert, werden die ungültigen PINs im Klartext in die Logdatei geschrieben. Dies ist bei Anmeldeproblemen dienlich, stellt aber ein Sicherheitsrisiko dar. Database Logging Database Logging db.logging.enable db.odbc.driver db.user db.password Diese Funktion steht nur in der Enterprise Edition zur Verfügung. An dieser Stelle können Sie die Datenbankverbindung angeben für das Datenbank Logging. Geloggte Informationen werden in eine Datenbank geschrieben und können danach aus der Datenbank ausgelesen werden. Klicken Sie auf create... um automatisch mit den angegeben Daten eine ODBC Verbindung zu erstellen. s. Kapitel Reporting Reporting db.logging.ldapfieldssep db.logging.ldapfields* db.logging.ldapfieldsdesc* Diese Funktion steht nur in der Enterprise Edition zur Verfügung. An dieser Stelle können LDAP Felder definiert werden welche beim Datenbank Logging überwacht und geloggt werden sollen. Es können mehrere LDAP-Attribute pro LDAP Field erfasst werden. Trennen Sie die LDAP-Attribute mit dem entsprechenden Field Separator. Bspw.: givenname;department Wählen Sie only Val im Dropdown wenn Sie nur den Wert des LDAP-Attributs geloggt haben möchten. Wählen Sie Name=Val wenn Sie Attributname=Attributwert geloggt haben möchten. M.ID Server Handbuch v4.7.0 Seite 71

72 Syslog Logging Syslog Logging syslog.logging syslog.host syslog.port s. Kapitel 7.10, 7.11 Aktivieren Sie an dieser Stelle bei Bedarf Syslog Logging und geben Sie dazu den Host und Port an Web Consoles Seite 72 M.ID Configurator Web Management Configurator Feld mid.conf Schlüssel Beschreibung Global Telnet refreshrate webconsole.telnet.refresh Gibt die Aktualisierungsrate der webbasierten Überwachung Allowed IPs webconsole.allowed.ip Definiert den Adressbereich von welchem aus die webbasierte Überwachung aufgerufen werden darf. Es können einzelne Adressen oder IP Ranges definiert werden. M.ID Management Control and View Admin Port webconsole.admin.port Definiert den Port, über welchen die webbasiertem.id Management Control and View angezeigt wird (s. Kapitel 7.4 M.ID Management Control And View) Admin Port SSL webconsole.admin.ssl Falls aktiviert, ist die webbasierte Admin View nur via https (SSL) erreichbar. Wichtig: Falls aktiviert, muss in den Keystore ein gültiges SSL-Zertifikat importiert werden CAPTCHA complexity webconsole.admin.captcha.level Definiert die Komplexität des CAPTCHAs CAPTCHA after webconsole.admin.captcha.after Definiert eine Anzahl von fehlerhaften Anmeldeversuchen. Wird diese Anzahl überschritten, wird für die Anmeldung ein CAPTCHA angezeigt Session Timeout (min) webconsole.admin.session.timeout Nach Ablauf dieser Zeitspanne ohne Benutzerinteraktion wird die Session automatisch beendet. Standardwert: 3min Specify credentials webconsole.credentials.mode webconsole.credentials.admin webconsole.credentials.supporter webconsole.credentials.viewer webconsole.credentials. passcodeviewer By fixed login/pass: Sie müssen einen fixen Loginnamen und ein fixes Passwort hinterlegen. By user group: Sie müssen den distinguished name einer Active Directory Gruppe (bspw.: N=MID_Administrator,OU=test_users,OU=Humans,DC=DOMAIN, M.ID Server Handbuch v4.7.0

73 permissions... webconsole.permission.supporter. change.active webconsole.permission.supporter. change.password webconsole.permission.supporter. change.permission webconsole.permission.supporter. global.supcenter.func.authreq DC=LOCAL) angeben. Alle Benutzer welche Teil von dieser Gruppe sind, können sich anmelden. Ab v3.2.1 können Sie mehrere AD Gruppen angegeben. Trennen Sie diese mit einem Semikolon (;) Klicken Sie auf diese Schaltfläche um die Berechtigungen der jeweiligen Stufen zu verfeinern. Nur in Enterprise Edition M.ID User Configuration User Port webconsole.user.port Definiert den Port, über welchen die webbasierte M.ID User Konfigurationsseite angezeigt wird (s. Kapitel Initialkonfiguration via M.ID User Konfigurationsseite). User Port SSL webconsole.user.ssl Falls aktiviert, ist die webbasierte User GUI nur via https (SSL) erreichbar. Wichtig: Falls aktiviert, muss in den Keystore ein gültiges SSL-Zertifikat importiert werden Session Timeout (min) webconsole.user.session.timeout Nach Ablauf dieser Zeitspanne ohne Benutzerinteraktion wird die Session automatisch beendet. Standardwert: 5min External help url webconsole.user.externalhelp.url Definieren Sie eine URL bspw. um dem Benutzer eine externe Hilfe-Webseite zur Verfügung zu stellen. Falls eine URL angegeben wird, erhält der Benutzer einen zusätzlichen Link in der User Web Console. Always allow changes webconsole.user.allowalwaysedit Falls aktiviert, können M.ID Benutzer jederzeit (bei aktivierter M.ID Berechtigung) ihren M.ID PIN und M.ID Secret Answer via M.ID User Konfigurationsseite ändern. Falls deaktiviert, können M.ID Benutzer nur einmal ihren M.ID PIN und M.ID Secret Anwer setzen. Ändern müssen sie diese via M.ID Befehle (s. Kapitel 7.1 M.ID PIN Befehle). Natürlich kann die Administration den entsprechenden Benutzern M.ID PIN und M.ID Secret Answer aus dem AD löschen, dann steht ihnen die Seite wieder einmalig zur Verfügung. allow Mobile Nr changes webconsole.user.allowmobilenrcha nge Aktiviert: Benutzer können immer Ihre M.ID Mobile / ändern (falls Always allow changes ebenfalls aktiviert ist). Deaktiviert: Benutzer können Ihre M.ID Mobile / nur initial mit der M.ID User Configuration ändern Standardwert: deaktiviert allow PIN changes webconsole.user.allowpinchange Analog allow Mobile Nr changes Standardwert: aktiviert allow Secret Answer changes webconsole.user.allowsachange Analog allow Mobile Nr changes Standardwert: aktiviert allow Alternative Number changes webconsole.user.allowanchange Analog allow Mobile Nr changes Standardwert: aktiviert allow motp changes webconsole.user.allowmotpchange Analog allow Mobile Nr changes Control visibility depends on M.ID Permission New! Allow Simple Login webconsole.user.controlvisibilit ydependsonpermission webconsole.user.login.allowsimpl elogin Standardwert: aktiviert Steuert die Sichtbarkeit der Formularfelder in Abhängigkeit der M.ID Permission (s. Kapitel 7.5.5) Falls aktiviert, müssen sich Benutzer immer nur mit Benutzer/Passwort an der User Web Console anmelden. Dies übersteuert das M.ID Benutzerattribut Allow simple login to M.ID User GUI. New! Wizard Schaltfläche zeigt den Dialog für die Wizard-Einstellungen an (s. Kapitel ) M.ID Server Handbuch v4.7.0 Seite 73

74 Web Console Permissions Hinweis: Die nachfolgenden Einstellungsmöglichkeiten sind nur in der Enterprise Edition verfügbar! Global Configurator Feld mid.conf Schlüssel Beschreibung User Support function need authentication Allow to send M.ID Login Data webconsole.permission.supcenter.func.authreq webconsole.permission.global.allow.tosendlogindata Falls aktiviert, können die Funktionen im Support Center (s. Kapitel ) nur verwendet werden, wenn der entsprechende Benutzer vorgängig authentifiziert wurde. Falls aktiviert, erhalten Administratoren und Supporter die Möglichkeit die Anmeldedaten dem Benutzer zuzusenden. S. Kapitel M.ID Admin Web Console Permision: Administrator Configurator Feld mid.conf Schlüssel Beschreibung Allow to clear M.ID User Data webconsole.permission.admin.allow.clearmiduserdata Blendet die Aktion clear M.ID User Data in der M.ID Admin Web Console ein oder aus. s. Kapitel Seite 74 M.ID Server Handbuch v4.7.0

75 M.ID Admin Web Console Permission: Supporter Configurator Feld mid.conf Schlüssel Beschreibung Allow to change M.ID Attributes Permission Allow Simple Login Phone Number Dropdown Mobile Number Language Passcode PIN Alternative Numbers Secret Answer Passcode Refresh Passcode Timestamp motp data Other Allow to activate/deactivate Users webconsole.permission.supporter.change.midattrib ute.permission webconsole.permission.supporter.change.midattrib ute.allowsimplelogin webconsole.permission.supporter.change.midattrib ute.phonenumberdropdown webconsole.permission.supporter.change.midattrib ute.mobilenumber webconsole.permission.supporter.change.midattrib ute.language webconsole.permission.supporter.change.midattrib ute.passcode webconsole.permission.supporter.change.midattrib ute.pin webconsole.permission.supporter.change.midattrib ute.alternativenumbers webconsole.permission.supporter.change.midattrib ute.secretanswer webconsole.permission.supporter.change.midattrib ute.passcoderefresh webconsole.permission.supporter.change.midattrib ute.passcodetimestamp webconsole.permission.supporter.change.midattrib ute.motpdata webconsole.permission.supporter.change.active Falls aktiviert, kann der M.ID Supporter die M.ID Permissions eines Benutzers ändern dito dito dito dito dito dito dito dito dito dito dito Falls aktiviert, kann der M.ID Supporter einen M.ID Benutzer aktivieren oder deaktivieren Allow to reset passwords webconsole.permission.supporter.change.password Falls aktiviert, kann der M.ID Supporter das Passwort eines M.ID Benutzers zurücksetzen Allow One-Click-Password Resets webconsole.permission.supporter.change. passwordoneclick Falls aktiviert, kann der M.ID Supporter die Funktion One- Click-Password Reset verwenden M.ID Admin Web Console Permission: Viewer Derzeit stehen für den M.ID Viewer keine Regeln zur Verfügung. M.ID Server Handbuch v4.7.0 Seite 75

76 M.ID Admin Web Console Permission: PasscodeViewer Configurator Feld mid.conf Schlüssel Beschreibung no login required s. Kapitel webconsole.permission.passcodeviewer.nolo ginrequired Falls aktiviert, kann die Passcode Viewer direkt über die URL [protokoll]://[m.id Server]:[Admin Port]/adminview/passcodeview/ ohne vorgängige Anmeldung aufgerufen werden M.ID User Initialization Wizard Settings Configurator Feld mid.conf Schlüssel Beschreibung force first login with wizard webconsole.user.login.forcefirstloginwith Wizard zwingt nicht konfigurierte Benutzer den Wizard zu benutzen display logo nto dropdown webconsole.user.login.displaylogonto blendet das Dropdown für die Wahl zwischen M.ID User Web Console oder M.ID User Initialization Wizard ein oder aus Session Timeout (min) webconsole.user.wizard.session.timeout Timout der Wizard Session s. Kapitel 7.6 M.ID User Initialization Wizard Seite 76 M.ID Server Handbuch v4.7.0

77 M.ID Agents Abbildung 9.9: M.ID Configurator M.ID Agents Configurator Feld mid.conf Schlüssel Beschreibung M.ID Password Reset Agent for Windows Logon installed agent.pwraforwl.installed Falls aktiviert, wird beim Speichern der Konfiguration eine Meldung angzeigt, ob ebenfalls die.adm- und.reg- Dateien erstellt werden sollen. generate.adm and.reg files - Generiert die Group Policy und die Registrierungsdatei für den M.ID Password Reset Agent for Windows Logon (s. Kapitel 9). Swiss SafeLab AD Web Manager Lite enabled agent.admanagerlite.enabled Aktiviert den Swiss SafeLab AD Web Manager Lite in der M.ID Admin Web Console (s. Kapitel 24 Swiss SafeLab Web AD Manager Lite). M.ID Integrated Web Password Reset Agent enabled agent.intwebpwreset.enabled Falls aktiviert, steht der M.ID Integrated Web Password Reset Agent zur Verfügung (s. Kapitel 8 M.ID Integrated Web Password Reset Agent) SSL agent.intwebpwreset.ssl Falls aktiviert, muss die Verbindung zur Webseite über SSL (HTTPS) erfolgen. Dies erfordert ein Zertifikat im Keystore. Listener Port agent.intwebpwreset.port Definiert den TCP Port auf welchem der M.ID Integrated Web Password Reset Agent aufgerufen werden kann. M.ID Server Handbuch v4.7.0 Seite 77

78 Miscellaneous M.ID Configurator Miscellanoeus Configurator Feld mid.conf Schlüssel Beschreibung M.ID Updates Update urls update.notification.sa.expired Definiert, die Update-URLs für Swiss SafeLab M.ID Server. Mehrere URLs können mit Semikolons getrennt werden. Der Wert sollte ohne Absprache mit Swiss SafeLab GmbH nicht geändert werden. Notification Notify if subscription has expired update.notification.sa.expired Falls aktiviert, wird die M.ID Administration per periodisch informiert, wenn die Subscription abgelaufen ist. Send Licence Report notification.sendlicencereport Falls aktiviert, wird periodisch eine mit einem Statusbericht über die aktivierten Lizenzen an die M.ID Administration verschickt (s. Kapitel ). M.ID Attributes Allow whitespaces in cell phone numbers Available/Allowed M.ID Permissions middata.mobilenumber.allow.whitespaces middata.permission.allowed Falls aktiviert, wird die M.ID Administration per periodisch informiert, wenn die Subscription abgelaufen ist. Definiert welche M.ID Permissions in der M.ID Admin Web Console konfiguriert werden können (allowed). Je nach Edition stehen nicht alle M.ID Permissions zur Verfügung (available) Fehlende Konfigurationsmöglichkeiten Für die nachfolgenden Einstellungen bestehen keine Konfigurationsmöglichkeiten via M.ID Configurator. Diese Konfigurationsmöglichkeiten werden bei späteren Versionen nachgepflegt. mid.conf Schlüssel Werte Beschreibung middata.mobilenumber.minimallength [ ] Definiert die minimale Länge einer gültigen Mobiltelefonnumer inkl. Ländercode. Standard-Wert: 11. db.sql.format.date Seite 78 Datums-Format- String Definiert, in welchem Format ein Datum im SQL- Statement abgebildet werden soll M.ID Server Handbuch v4.7.0

79 Standard-Wert: yyyy/mm/dd HH:mm:ss db.sql.format.datequotechar Char Definiert das Zeichen, um in SQL Anfang und Ende eines Datums zu kennzeichnen. Standard-Wert: # db.sql.format.booleanmode [0.. 2] Definiert, wie ein Boolean-Wert in SQL abgebildet werden soll: 0: True/False 1: 1/0 2: -1/0 Standard-Wert: 0 New! webconsole.permission.global.allow. ToSendLoginData.includeAlternativeNumbers New! webconsole.admin.ldap.mode New! webconsole.admin.ldap.url New! webconsole.admin.ldap.login.dn New! webconsole.admin.ldap.login.password New! importtimer.interval New! importtimer.import.folder New! importtimer.imported.folder [ 0 1] Definiert, ob die M.ID Alternativen Nummern ebenfalls in der Nachricht mit den Zugangsdaten enthalten sein sollen (s. Kapitel ) [ 0 1] Definiert, welche LDAP-Verbindung rein für die Authentifizierung an der Admin Web Console verwendet werden soll. 0: es wird die Standard-Verbindung verwendet, welche unter den Datastore Settings definiert wurde 1: es wird jene in den webconsole-einstellungen verwendet ldap-url username password ldap-url inkl. Port Benutzername Password [0... ] import timer in Minuten. 0 = deaktiviert (s. Kapitel 6.9.5) path path Pfad zu den zu importierenden M.ID User Config Files Pfad für die erfolgreich importierten M.ID User Config Files Hinweis: Derzeit stehen keine undokumentierten Konfigurationsmöglichkeiten zur Verfügung. M.ID Server Handbuch v4.7.0 Seite 79

80 5.6. Konfiguration direkt in der mid.conf Datei Öffnen Sie die Datei mid.conf mit einem Editor z.b. Wordpad.exe unter Windows. In den folgenden Kapiteln werden alle Abschnitte der Konfiguration erläutert. Hinweise: Chiffrierte Passwörter, die nicht mit dem erstellten Key erstellt wurden, können/dürfen nicht verwendet werden. Der Server wird mit einer Fehlermeldung den Start verweigern. Lassen Sie nicht benötigte Passwort Felder leer. Pfadangaben müssen in der Java-Notation erfolgen. D.h. Verzeichnisse müssen mit einem doppelten \\ getrennt werden, bspw.: C:\\Program Files\\Java\\jre6\\bin Um Einstellungen zu deaktivieren, verwenden Sie als Wert die Zahl 0 Bspw.: proxy.enabled = 0 deaktiviert die Proxy-Funktionalität Um Einstellungen zu aktivieren, verwenden Sie als Wert die Zahl 1 Bspw. webconsole.user.ssl = 0 aktiviert SSL Bei jeder Konfigurationsänderung muss der M.ID Server neu gestartet werden Global Settings Die definierten Zahlen für mid.languages.* weisen auf den Index der Sprachdatei hin. Detailliertere Informationen zu den Sprachdateien finden Sie im Kapitel 5.8ff M.ID Sprachdateien ############################################################ # # MID Configuration File # VERSION Build # ############################################################ ############################################################ # Global Settings ############################################################ # java.home = C:\\Program Files\\Java\\jre6\\bin mid.service.name = SwissSafeLabMID400 mid.languages.users = 0;1;2 mid.languages.users.default = 1 mid.languages.server = 0;1 mid.languages.server.default = Login-Event Listener Über diese Schnittstelle werden die Authentifizierungsanfragen von den M.ID Agents (wie bspw. M.ID RADIUS Proxy), an den M.ID Server gestellt. Nur die hier registrierten IP Adressen können auf die Schnittstelle zugreifen. Wird der LoginEvent.rec.port.ssl auf 0 gesetzt, so werden keine SSL-Anfragen akzeptiert. ############################################################ # Login-Event Listener ############################################################ # # IP - address(es) of any used MID (Web-)Agent, separate multiple IPs with semicolon # LoginEvent.rec.port = M.ID Server listener port for incoming M.ID Agent Events. # LoginEvent.rec.port.sll = M.ID Server listener port for incoming Secure Socket Layer M.ID Agent Events # LoginEvent.rec.all.ip = LoginEvent.rec.port = 81 LoginEvent.rec.port.ssl = 0 Seite 80 M.ID Server Handbuch v4.7.0

81 Proxy Settings Seit der Version steht Ihnen die Möglichkeit offen, alle Internetverbindungen (Kommunikation mit den SMS Providern) über einen Proxy Server zu leiten: ############################################################ # Proxy Settings ############################################################ # proxy.enabled = 0 proxy.host = myproxy.example.com proxy.port = 8080 proxy.user = proxyuser proxy.password = C3B1AFDB9128AB68C Key Store Settings Geben Sie den Pfad ein, unter dem ihr Keystore zu finden ist. Er liegt standardmässig im Verzeichhnis /config. Seit der Version muss der Keystore mit einem Passwort versehen werden. ############################################################ # Key Store Settings ############################################################ # # key.trust.store = # Absolute path to certificate keystore. # Used for secured communication to LDAP or SMS Gateways. # For SLDAP-Connections the keystore must contain a valid ldap server certificate. # key.trust.store.password = # The keystore password must be set and must contain at least 6 characters. # # key.trust.store = C:\\Program Files\\SwissSafeLab\\MID\\config\\mid.keystore key.trust.store.password = 34DF08A3F 6CD0FC1E3A Passcode Settings Der Passcode beinhaltet standardmässig kleine Buchstaben, wobei der Kleinbuchstabe l aus Verwechslungsgründen nicht verwendet wird. Möchten Sie Grossbuchstaben, Zahlen oder Sonderzeichen erzwingen, setzen Sie die Anzahl von passcode.uppercase, passcode.specletter und/oder passcode.digit auf die Anzahl gewünschter Zeichen dieses Typs. Die Zahl 0 und der Grossbuchstabe O werden ebenfalls nicht verwendet. z.b. setzen Sie passcode.length auf 6 und passcode.digit auf 1 beinhaltet ihr Passcode 5 kleine Buchstaben und 1 Zahl. z.b. setzen Sie passcode.length auf 6, passcode.specletter auf 2, passcode.digit auf 1 beinhaltet ihr Passcode 3 kleine Buchstaben, 2 Sonderzeichen und 1 Zahl. Verwenden Sie am besten die Passwort Einstellungen wie sie in Ihrem LDAP definiert sind (Passwort Policy). Beachten Sie, dass gewisse Mobilfunkgeräte Zeichensätze verwenden, bei denen Grossbuchstaben schlecht lesbar sind! Benutzte Sonderzeichen sind: $, *, +, Sollten beim SMS Versand Probleme entstehen, deaktivieren Sie diese Option! ############################################################ # Passcode Settings ############################################################ # # passcode.length = Length (Number of characters) # passcode.uppercase = amount of upper case characters # the passcode contains always lowercase characters. This is not changeable yet. # passcode.specletter = amount of Non-alphabetic characters (for example,!, $, #, %) # passcode.digit = amount of digits digits (0 through 9) # # set value to 0 to disable passcode complexitiy rule. # # passcode.length = 5 passcode.uppercase = 0 passcode.specletter = 0 passcode.digit = 1 M.ID Server Handbuch v4.7.0 Seite 81

82 PIN Settings Der PIN kann verschieden lang sein und darf nur numerische- oder alphanumerische Zeichen beinhalten. Teilen Sie diese Bedingungen Ihren Benutzern mit. Bei PIN, die nicht diesem Kriterium entsprechen, wird eine Fehlermeldung zurückgegeben. Wenn pin.letters auf 1 geschaltet ist, können Benutzer Buchstaben verwenden, ansonsten nur Zahlen. Sie sind aber nicht gezwungen, Buchstaben zu verwenden. Die PIN-Befehle können mit 1 aktiviert und mit 0 deaktiviert werden. ############################################################ # PIN Settings ############################################################ # # pin.length.min = minimal PIN length # pin.length.max = maximal PIN length # pin.letters = # Only numbers are allowed = 0 # Numbers and characters allowed = 1 # pin.empty = no pin required (reduces security level!) # set pin.command values to 1 to enable or to 0 to disable it. # # pin.length.min = 4 pin.length.max = 20 pin.letters = 1 pin.empty = 0 pin.command.alternative1.enabled = 1 pin.command.alternative2.enabled = 1 pin.command.passcoderequest.enabled = 1 pin.command.passcodesupport.enabled = 1 pin.command.passwordreset.enabled = 1 pin.command.pinreset.enabled = Secret Question and Answer Settings ############################################################ # Secret Question and Answer Settings ############################################################ # # secretqaa.required.count # defines the amount of Secret Question and Secret Answer pairs a user must have defined. # secretqaa.ask.count # defines the amount of Secret Questions which will be asked before an action is executed. # # secretqaa.required.count = 3 secretqaa.ask.count = Password Settings ############################################################ # Password Settings ############################################################ # # password.overwrite.timer (in minutes) # overwrites the password from a password reset action with a new random password # if the user did not changed it within this time span. # password.length # length of the randomly generated password of a password reset action # # password.overwrite.timer = 20 password.length = motp Settings ############################################################ # motp Settings ############################################################ # # motp.timezone : [ ], current UTC-Timezone. Default = 0 Seite 82 M.ID Server Handbuch v4.7.0

83 # motp.secret.savemode : [0 (as is) 1 (lower case) 2 (upper case) ], Secret Save Mode. Default = 0 # motp.secret.generationmode : [0 (lower case) 1 (upper case) ], Secret Generation Mode. Default = 0 # motp.motp.defaultlength : [1.. 32], length of a default generated motp. Default = 6 # motp.motp.validitytimespan : [ ], validity time span. Default = 180 # motp.motp.generationmode : [0 (lower case) 1 (upper case) ], motp Generation Mode. Default = 0 # motp.motp.comparemode : [0 (case invariant ) 1 (case sensitive), motp Compare Mode. Default = 0 # motp.timezone = 0 motp.motp.validitytimespan = 180 motp.motp.generationmode = 0 motp.motp.comparemode = 0 motp.motp.defaultlength = 6 motp.secret.savemode = 0 motp.secret.generationmode = motp.secret.defaultlength = Session-Mode ############################################################ # Session-Mode ############################################################ # # session.timeout = Session lifetime in minutes. # session.refresh = timer in seconds to delete timed-out session. # session.relogin.timelock = lock time in seconds to allow a re-login. # If set to 0 a re-login can be done immediately. # # session.timeout = 10 session.refresh = 60 session.relogin.timelock = DOS Attacks Um DOS (denial of service) Attacken zu vermeiden, ist jede Schnittstelle mit einem Schutz ausgerüstet. Dies soll beispielsweise verhindern, dass über das Web Interface unterschiedliche PIN ausprobiert werden können. Im M.ID Server kann konfiguriert werden, wie oft ein Benutzer ein falsches Passwort eingeben darf (dos.count), in welcher Zeitspanne (dos.delta) und wie lange danach eine Anfrage von dieser IP abgelehnt wird (dos.blocked). ############################################################ # DOS Attacks ############################################################ # # dos.count = counted number of login attempts or page refreshes from same IP address (possible DOS attacks) # dos.delta = period of time for counting in seconds # dos.blocked = period of time to block IP address in seconds # # dos.count = 20 dos.delta = 120 dos.blocked = SMS Gateway Settings Seit der Version wurde die gesamte SMS Gatewaykonfiguration in eine externe XML Datei ausgelagert. Dies hat den Vorteil, dass beliebig viele SMS Provider für ein fail-over konfiguriert werden können. Es muss lediglich der Pfad zur Provider XML konfiguriert werden: ############################################################ # SMS Gateway Settings ############################################################ # #sms.provider.xmlconfig = path to the sms provider xml file M.ID Server Handbuch v4.7.0 Seite 83

84 # # sms.provider.xmlconfig =C:\\Program Files\\SwissSafeLab\\MID\\config\\Providers.xml Wenn eine SMS auf einem Gateway nicht abgesetzt werden kann, wird der Gateway mit der nächst niedriger Priorität angesprochen. Kann auf keinem Gateway das SMS abgesetzt werden, wird es mit einer Fehlermeldung verworfen. Seit der Version steht der Swiss SafeLab SMS Provider zur Verfügung. Der Swiss SafeLab SMS Provider bindet unterschiedliche SMS Provider an unterschiedlichen Standorten an wodurch ein leistungsfähiger redundanter Provider entsteht (s. Kapitel 23ff Swiss SafeLab SMS Providing). Die Konfigurationsangaben zu den Gateways erhalten sie direkt bei der Registrierung vom jeweiligen Provider. Die Zertifikate für eine verschlüsselte Verbindung zu den Providern müssen Sie zuerst herunterladen und dann im M.ID Keystore einfügen. Der M.ID Keystore befindet sich ebenfalls im Verzeichnis /config. Wenn ein Zertifikat abläuft ist die Prozedur genau gleich. Das Kapitel 18 Zertifikate zeigt den Import eines Zertifikates anhand eines Beispiels Datastore settings ############################################################ # Datastore settings ############################################################ # # ldap.threads = Number of concurrent LDAP access threads # ldap.threads.validity = Validity in minutes. 0 = infinite # ldap.threads.autocloseoldest = [ 0 (false) 1 (true) ]. auto closes oldest connection only if no free connection is available. # # LDAP - Server Address with BASE DN or other DN configuration. # multiple LDAP - Server addresses from same directory are possible # examples: # ldap.url = :636/DC=testlab,DC=local # ldap.url = :389/DC=testlab,DC=local # ldap.url = :389/DC=intra,DC=testlab,DC=local # # ldap.login.dn = Username for LDAP Login - read and write necessary. # ldap.login.password = Passwort for ldap username, must encrypt with config.cmd # examples: # ldap.login.dn = cn=administrator,cn=users,dc=testlab,dc=local # ldap.login.dn = CN=MID_USER,OU=Securityaccounts,OU=Humans,DC=testlab,DC=local # ldap.login.password = 4F88629B82D4DB75C855ADD6D8B8A616 # # ldap.time = time to wait for using next LDAP address in seconds. # # ldap.login.mode = Modes to allow user to login by different credentials. # Available login modes are [1, 2, 3] where # 1 = allow login by login name # 2 = allow login by UPN # 3 = allow login by # To allow multiple login modes, separate the values with a semicolon. # e.g.: ldap.login.mode = 1;2 # # ldap.login.field.mail = ldap/database field containing user's address # ldap.login.field.upn = ldap/database field containing user principal name # ldap.threads = 10 ldap.threads.validity = 0 ldap.threads.autocloseoldest = 0 ldap.url = server.domain.local:389/dc=domain,dc=local; ldap.login.dn = cn=administrator,cn=users,dc=domain,dc=local ldap.login.password = AC67EE892CEF9E996E7FCE FE978A84F234E25D9 ldap.time = 1 ldap.url.isssl = 0 ldap.login.mode = 1 ldap.login.field.loginname = samaccountname ldap.login.field.upn = userprincipalname ldap.login.field.mail = mail data.connection.type = 0 # # # assigned LDAP/database attributes # M.ID Server stores all important user information in these fields. Seite 84 M.ID Server Handbuch v4.7.0

85 # # ldap.field.mobile ldap.field.passcode ldap.field.pin ldap.field.passcoderefresh ldap.field.permission ldap.field.passcodetimestamp ldap.field.secretanswer ldap.field.alternativenumbers ldap.field.phonenumberdropdownindex ldap.field.language ldap.field.motpdata ldap.field.userguisimpleloginallowed ldap.field.displayname = midmobile = midpasscode = midpin = midpwrefresh = midpermission = midpasscodetimestamp = midsecretanswer = midalternatenumbers = midcbophoneindex = midlanguage = motpdata = miduserguisimpleloginallowed = displayname Unter URL können mehrere LDAP Server angegeben werden. Trennen Sie die einzelnen Server mit ; Bei jeder LDAP Anfrage wird zuerst der erste Server verwendet. Sollte dieser Server nicht reagieren, so werden die folgenden Server abgefragt. Beim ersten Mal wird dabei die Zeit ldap.time abgewartet, um z.b. Synchronisationen gewährleisten zu können. Für ein Domain-Passwort-Reset muss eine sichere LDAP Verbindung zum Active Directory aufgebaut werden. Dazu wird das Zertifikat bei Active Directory abgeholt und in den M.ID Keystore abgelegt, in dem sich bereits die Zertifikate der SMS Gateways befinden. Um das Zertifikat des Microsoft Active Directory zu erhalten, müssen Sie das Zertifikat auf dem Zertifizierungsserver abholen. Das Hinzufügen funktioniert gleich wie bei den SMS Zertifikaten in Kapitel 18 Zertifikate Lifeness checks Bei den Mail Konfigurationen können Sie eine Mailadresse, Benutzernamen und (verschlüsseltes) Passwort angeben. Bei Statusänderungen der SMS Provider oder der LDAP-Anbindung erhalten Sie eine . Sind Mobiltelefonnummern konfiguriert wird die Statusänderung als SMS an diese Nummern gesendet. ############################################################ # Lifeness checks ############################################################ # # lifenesscheck.interval = Interval for lifeness checks in minutes. # lifenesscheck. .to = on status changes send notification to this mail address. # lifenesscheck. .from = on status changes - sender mail address. # # lifenesscheck.sms.to - on status changes send notification sms to this mobile number # must include country code like # separate multiple numbers with a semi colon ; # lifenesscheck.filename = path to a file to track lifeness checks # # lifenesscheck.interval = 120 lifenesscheck. .to = admin@domain.com lifenesscheck. .from = mid@domain.com lifenesscheck.sms.to = lifenesscheck.filename = C:\\Program Files\\SwissSafeLab\\MID\\log\\life.log mail.smtp.server = mail.smtp.port = 25 mail.smtp.pwd = mail.smtp.user = Timer for Asynchronous Mode ############################################################ # Timer for Asynchronous Mode ############################################################ # # timer.enable= # Timer activated = 1 # Timer disabled = 0 # timer.interval = periodical check for asyc-mode in minutes # # M.ID Server Handbuch v4.7.0 Seite 85

86 timer.enable = 1 timer.interval = Logging Settings ############################################################ # Logging Settings ############################################################ # # Set value to 0 (default and more seucre) to deactivate invalid credential logging # Set value to 1 to log invalid credentials (plain text!) # # log.windows.eventlog.enabled = 0 log.loginvalid.passcodes = 0 log.loginvalid.pins = Syslog Logging M.ID unterstützt nebst den bereits genannten Logging Möglichkeiten auch Syslog Meldungen an einen Syslog Server zu schicken. ############################################################ # Syslog Logging ############################################################ # # syslog.logging # activated = 1 # disabled = 0 # # syslog.logging = 1 syslog.host = localhost syslog.port = Database Logging Erfolgt das Logging in eine Datenbank, so muss definiert werden, welche Informationen in die Datenbank gespeichert werden soll. Es stehen 9 Datenbankfelder zur Verfügung, welche individuell mit LDAP-Feldern abgefüllt werden können. ############################################################ # Database Logging ############################################################ # # db.logging.enable = # YES = 1 # NO = 0 # db.odbc.driver = Name of ODBC-System DSN # Database Errors while running MID # MID Service will be stopped and will be sent = 1 # MID Service will not be stopped and keeps running = 0 # # LDAPFieldsSep : Separator between two LDAPFields. Used for XLS # LDAPFields?Desc : = 1: use 'AttributeName=AttributeValue' in XLS # LDAPFields?Desc : = 0: use only 'AttributeValue' in XLS # db.logging.enable = 0 db.odbc.driver = MID db.user = db.password = db.shutdown = 0 db.logging.ldapfieldssep = ; db.logging.ldapfields1 = samaccountname db.logging.ldapfieldsdesc1 = 0 db.logging.ldapfields2 = userprincipalname db.logging.ldapfieldsdesc2 = 0 db.logging.ldapfields3 = mail db.logging.ldapfieldsdesc3 = 0 db.logging.ldapfields4 = department db.logging.ldapfieldsdesc4 = 0 db.logging.ldapfields5 = givenname;sn db.logging.ldapfieldsdesc5 = 0 Seite 86 M.ID Server Handbuch v4.7.0

87 db.logging.ldapfields6 = db.logging.ldapfieldsdesc6 = 0 db.logging.ldapfields7 = db.logging.ldapfieldsdesc7 = 0 db.logging.ldapfields8 = db.logging.ldapfieldsdesc8 = 0 db.logging.ldapfields9 = db.logging.ldapfieldsdesc9 = Global Web Console Settings ############################################################ # "Global Web Console Settings" ############################################################ # # webconsole.telnet.refresh = Refresh-Rate of Telnet - Session in Seconds. # webconsole.allowed.ip = Allowed Client-IP-address(es) # localhost ( ) always allowed # All = ALL # Single IP = # Multiple IP = ; ; # webconsole.credentials.mode = # 0 use fixed user name and passwords for authentication # 1 use ldap group member of authentication for authentication # webconsole.credentials.admin # specify credentials for admin level. # e.g. by fixed username and passwords: # webconsole.credentials.admin=admin;1cd0fc36a3fa08ef # e.g. by ldap group authentication: # webconsole.credentials.admin=cn=mid_administrators,ou=mid,ou=humans,dc=example,dc=local;cn=mid_group _1,OU=MID,OU=Humans,DC=EXAMPLE,DC=LOCAL # separate multiple ldap groups with a semi colon # # webconsole.telnet.refresh = 1 webconsole.allowed.ip = webconsole.credentials.mode = 0 webconsole.credentials.admin = admin; 3086CD0FC3AF61E0FCCD3FA webconsole.credentials.supporter = supporter;1ef6cd0fc308a3fa webconsole.credentials.viewer = viewer;23fc308a32cab33fa webconsole.permission.global.supcenter.func.authreq = 1 webconsole.permission.supporter.change.active = 0 webconsole.permission.supporter.change.password = 0 webconsole.permission.supporter.change.permission = 0 webconsole.permission.supporter.change.passwordoneclick = MID Management Control and View ############################################################ # "MID Management Control and View" ############################################################ # # webconsole.admin.port = Listener Port for M.ID Management Control And View # Connection to MID Server via Telnet or Browser # webconsole.admin.ssl = 0 : do not use ssl, = 1 use ssl # webconsole.admin.captcha.after = Number of invalid logins after a CAPTCHA will be displayed. # = 0, no CAPTCHA will be displayed at any time! # webconsole.admin.captcha.level = Complexity level (1 = easy, 2 = medium, 3 = difficult) of the CAPTCHA# # webconsole.admin.port = webconsole.admin.ssl = 0 webconsole.admin.captcha.level = 3 webconsole.admin.captcha.after = MID User Configuration ############################################################ # "MID User Configuration" ############################################################ # M.ID Server Handbuch v4.7.0 Seite 87

88 # webconsole.user.port = # Listener Port for the M.ID User Configuration Page # webconsole.user.ssl = 0 : do not use ssl, = 1 use ssl # # webconsole.user.port = webconsole.user.ssl = 0 webconsole.user.allowalwaysedit = 1 webconsole.user.allowmobilenrchange = 0 webconsole.user.allowpinchange = 1 webconsole.user.allowsachange = 1 webconsole.user.allowanchange = 1 webconsole.user.allowmotpchange = M.ID Agent Settings ############################################################ # M.ID Agent Settings ############################################################ # agent.intwebpwreset.enabled = 0 agent.intwebpwreset.port = agent.intwebpwreset.ssl = 1 agent.admanagerlite.enabled = 1 agent.pwraforwl.installed = M.ID Update Settings ############################################################ # M.ID Update Settings ############################################################ # update.notification.sa.expired = 0 notification.sendlicencereport = Einrichten des Datenbank Logging Voraussetzungen Derzeit basiert das M.ID Datenbanklogging auf einer Microsoft Access 2000 Datenbankdatei. Es gibt keine besonderen Voraussetzungen für die Verwendung einer Accessdatenbank. Das Datenbankgerüst MID.mdb wird bei der Installation des Swiss-SafeLab M.ID Service mitgeliefert. Ebenso wird eine kleine Microsoft Excel 2000 Datei mitgeliefert, welche ein rudimentäres Reporting darstellt. Das ist eine sehr einfache Art, eine Access DB auszulesen. Es steht Ihnen frei, die midlog.xls beliebig anzupassen. Die bestehende Datenstruktur der MID.mdb sollten Sie nicht verändern, jedoch können Sie neue Datenbankobjekte hinzufügen. Nachfolgend wird die Verwendung der mitgelieferten Access Datenbank beschrieben. Hinweis: Das Datenbank Logging steht nur in der Enterprise Edition zur Verfügung! automatische Datenbank Konfiguration Mit dem M.ID Configurator lässt sich bequem die benötigte OBDC DSN erstellen. 1. Starten Sie den M.ID Configurator 2. Wechseln Sie in den Reiter Logging 3. Aktivieren Sie das Database Logging 4. Vergeben Sie einen ODBC DSN Namen 5. Vergeben Sie optional einen Anmeldenamen 6. Vergeben Sie optional ein Passwort Seite 88 M.ID Server Handbuch v4.7.0

89 7. Klicken Sie auf create Bestätigen Sie die Frage mit Yes. Ansonsten wird der ODBC Data Source Administrator gestartet und Sie können die Konfiguration manuell vornehmen, wie nachfolgend in Kapitel beschrieben. 9. Falls die automatische Konfiguration erfolgreich war, wird dies mit folgender Meldung angezeigt: Anderenfalls sollten Sie die Konfiguration manuell durchführen Manuelle Datenbank Konfiguration 1. Klicken Sie auf Start\Einstellungen\Systemsteuerung\Verwaltung\Datenquellen (ODBC) Hinweis: auf 64bit Systemen, müssen Sie die 32bit ODBC Treiber Verwaltung laden: 64 Bit: %systemdrive%\windows\syswow64\odbcad32.exe 32 Bit: %systemdrive%\windows\system32\odbcad32.exe Oder klicken Sie im M.ID Configurator im Reiter Logging auf create... und klicken Sie im Dialog auf No M.ID Server Handbuch v4.7.0 Seite 89

90 2. Wählen Sie den Reiter System-DSN : 3. Wählen Sie <Add > um eine neue Zuweisung und damit einen neuen Data Source Name anzulegen. 4. Wählen Sie nun Microsoft Access Driver aus und klicken auf Finish : 5. Geben Sie jetzt den Data Source Name ein. Dieser muss mit dem Namen überein-stimmen, der in der mid.conf bzw. im M.ID Configurator definiert wurde: 6. Der Name ist frei wählbar und auch der Ablageort der MID.mdb spielt keine Rolle, sofern alles über ODBC genau definiert wird. 7. Geben Sie folgende Werte ein: Datenquellenname: MID (wenn Sie einen anderen Namen wählen, müssen Sie die DSN im Excel- Sheet anpassen) Seite 90 M.ID Server Handbuch v4.7.0

91 Beschreibung: MID 8. Klicken Sie auf Select 9. Navigieren Sie zum Speicherort der Access-Datenbank MID.mdb 10. Selektieren Sie die MID.mdb Datei 11. Klicken Sie auf OK 12. Klicken Sie erneut auf OK 13. Jetzt sollte die Ansicht als Namen MID anzeigen und als Treiber Microsoft Access driver. 14. Bestätigen Sie diese Ansicht mit einem Klick auf <OK>. Damit schliesst sich auch das Fenster und die Konfiguration der Datenbank ist abgeschlossen. Die Konfiguration, was alles in diese Datenbank geschrieben werden soll ist zu einem Teil vorgegeben und zu einem weiteren Teil absolut frei aus dem LDAP wählbar. M.ID Server Handbuch v4.7.0 Seite 91

92 5.8. M.ID Sprachdateien Einleitung Mit den M.ID Sprachdateien können die Texte für die M.ID Web Consoles (M.ID Management Control And View, M.ID User Configuration) und die SMS-/ nachrichten in einer der vorhandenen Sprache angezeigt werden. Die Sprachdateien befinden sich im \config-ordner der M.ID Server Installation. Jede Sprachdatei besitzt einen Index im Dateienamen (mid_language_server_0.txt, Index = 0). Dieser Index dient zur Referenzierung einerseits in der mid.conf und andererseits wird dieser Index im M.ID Attribut Sprache (midlanguage) hinterlegt. Es stehen folgende Sprachen derzeit zur Verfügung: Englisch (0) Deutsch (1) Französisch (2) Italienisch (3) Berndeutsch (4) Spanisch (5) Holländisch (6) Es stehen zwei Typen von Sprachdateien zur Verfügung: M.ID Server Sprachdateien M.ID User Sprachdateien M.ID Sprachdateitypen Um das Übersetzen der Textfragmente zu erleichtern, wurden diese in M.ID Server Sprachdateien und M.ID User Sprachdateien aufgetrennt. So müssen bspw. Textfragmente welche ein M.ID Benutzer nie erhält (M.ID Server Fehlermeldungen) nicht allesamt in die Sprache der M.ID Benutzer übersetzt werden M.ID Server Sprachdateien Die M.ID Server Sprachdateien (mid_language_server_?.txt) beinhalten Textfragmente welche auf die Mobiltelefone der M.ID Administratoren verschickt werden als den M.ID Administratoren verschickt werden in der M.ID Management Control And View angezeigt werden in die Logdateien geschrieben werden M.ID User Sprachdateien Die M.ID User Sprachdateien (mid_language_user_?.txt) beinhalten Textfragmente welche Auf die Mobiltelefone der M.ID Benutzer verschickt werden Als den M.ID Benutzer verschickt werden In der M.ID User Configuration angezeigt werden Von einigen M.ID Agenten (bspw. M.ID Integrated Web Password Reset Agent) verwendet werden Aufbau der M.ID Sprachdateien Dateinamen Der Dateinamen weist einerseits auf den Sprachdateityp hin (mid_language_server resp. mid_lanugage_user) hin und andererseits trägt er einen Index um die Sprachdatei in der mid.conf Seite 92 M.ID Server Handbuch v4.7.0

93 eindeutig referenzieren zu können (bspw. mid_language_server_0.txt). Der Index muss eine natürliche Zahl sein Dateiinhalt Die M.ID Sprachdateien sind zeilenorientiert. Es existieren: Leerzeilen Kommentarzeilen (beginnend mit #) Zeilen mit Textfragmentnummer und dem entsprechenden Textfragment Speziell sind die Textfragmentnummern 0 und 1. Das Textfragment mit der Nummer 0 ist der Name der Sprache und die Nummer 1 weist auf den Sprachdateittyp hin Neue M.ID Sprachdatei erstellen Neue M.ID Sprachdatei erstellen mit M.ID Configurator Um eine neue M.ID Sprachdatei mit dem M.ID Configurator zu erstellen gehen Sie wie folgt vor: 1. Starten Sie den M.ID Configurator 2. Wechseln Sie in den Reiter Global und klicken Sie in der Rubrik M.ID Languages auf einen existierenden Eintrag. 3. Drücken Sie nun die Kontextmenümaustaste (mehrheitlich rechte Maustaste) und wählen Sie im Kontextmenü copy to new language file M.ID Server Handbuch v4.7.0 Seite 93

94 4. Geben Sie einen neuen Namen für die Sprache ein 5. Bestätigen Sie die nachfolgende Frage mit Ja. 6. Doppelklicken Sie auf die neue Sprachdatei und beginnen Sie mit der Übersetzung der einzelnen Textfragmente. Hinweise: Sie müssen die Textfragmentnummern 0 und 1 nicht anpassen Die Indeces sind für Swiss SafeLab GmbH reserviert. Die Indeces können verwendet werden, jedoch kann es sein, dass Swiss SafeLab GmbH zu einem späteren Zeitpunkt eine Sprachdatei mit einem dieser Indeces ausliefert, was im Anschluss zur Verwirrung führen kann Neue M.ID Sprachdatei erstellen ohne M.ID Configurator Um eine neue M.ID Sprachdatei zu erstellen gehen Sie wie folgt vor: 1. Kopieren Sie eine bestehende M.ID Server Sprachdatei und vergeben Sie einen neuen Index 2. Kopieren Sie eine bestehende M.ID User Sprachdatei und vergeben Sie den gleichen Index 3. Editieren Sie die neue M.ID Server Sprachdatei mit einem Texteditor und passen Sie die Textfragment Nummern 0 und 1 an 4. Editieren Sie die neue M.ID User Sprachdatei mit einem Texteditor und passen Sie die Textfragment Nummern 0 und 1 an 5. Beginnen Sie mit der Übersetzung der Textfragmente 6. Speichern Sie die Sprachdateien Bestehende M.ID Sprachdatei hinzufügen Mit M.ID Configurator Seite Starten Sie den M.ID Configurator 7. Wechseln Sie in den Reiter Global und klicken Sie in der Rubrik M.ID Langauges auf add existing Wählen Sie eine bestehende M.ID Language Sprachdatei aus 9. Laden Sie die Konfigurationen neu via Admin Web Console oder starten Sie den M.ID Server neu Ohne M.ID Configurator 1. Öffnen Sie die mid.conf in einem Texteditor. 2. Suchen Sie den Eintrag mid.languages.users resp. mid.languages.server 3. Fügen Sie in den Index der bestehenden Sprachdatei mit einem Semikolon (;) der Auflistung hinzu (bspw.: mid.languages.users = 0;1;2) 4. Speichern Sie die mid.conf 5. Laden Sie die Konfigurationen neu via Admin Web Console oder starten Sie den M.ID Server neu M.ID Server Handbuch v4.7.0

95 Standardsprache setzen Wurde für einen Benutzer das M.ID Attribut Sprache auf einen ungültigen Index gesetzt, resp. die Sprachdatei mit dem geforderten Index nicht gefunden, so wird jeweils das Textfragment aus der Standardsprachdatei verwendet Mit M.ID Configurator 1. Starten Sie den M.ID Configurator 2. Wechseln Sie in den Reiter Global und klicken Sie in der Rubrik M.ID Languages auf einen existierenden Eintrag. 3. Drücken Sie nun die Kontextmenümaustaste (mehrheitlich rechte Maustaste) und wählen Sie im Kontextmenü set as default language 4. Speichern Sie Ihre Einstellungen 5. Laden Sie die Konfigurationen neu via Admin Web Console oder starten Sie den M.ID Server neu Ohne M.ID Configurator 1. Öffnen Sie die mid.conf in einem Texteditor. 2. Suchen Sie den Eintrag mid.languages.users.default resp. mid.languages.server.default 3. Setzen Sie als Wert den Index der entsprechenden Sprachdatei (bspw.: mid.languages.users.default = 0) 4. Speichern Sie die mid.conf 5. Laden Sie die Konfigurationen neu via Admin Web Console oder starten Sie den M.ID Server neu Spezielle Platzhalter Beschreibung Die nachfolgenden beschriebenen Platzhalter werden durch spezielle Werte ersetzt. Diese Platzhalter gelten nur jeweils für den aufgeführten Index M.ID Server Sprachdateien Index Platzhalter Erläuterung Irrelevant %ProductNameLong% Fügt die M.ID Server Version ein, bspw. Swiss SafeLab M.ID Server Enterprise Edition v4.4.0 Build Irrelevant %VersionNumber% Fügt die Versionsnummer ein, bspw Irrelevant %Timestamp% Fügt die das aktuelle Datum und die Zeit ein :12: M.ID User Sprachdateien Index Platzhalter Erläuterung 11, 12, 14, 15, 16, %text0% 19, 20 Fügt den Anmeldenamen ein 11 %text1% Fügt den M.ID Passcode ein 11,12 %text2% Fügt den DisplayName ein Irrelevant %ProductNameLong% Fügt die M.ID Server Version ein, bspw. Swiss SafeLab M.ID Server Enterprise Edition v4.4.0 Build Irrelevant %VersionNumber% Fügt die Versionsnummer ein, bspw Irrelevant %Timestamp% Fügt die das aktuelle Datum und die Zeit ein :12:32 M.ID Server Handbuch v4.7.0 Seite 95

96 Sprachdateien zusammenführen Mit jedem Update von Swiss SafeLab M.ID Server werden neue Sprachdateien mitgeliefert, welche neue Phrasen enthalten. Es ist also zwingend notwendig, dass diese Sprachdateien verwendet werden. Wurden bestimmte Phrasen manuell angepasst, so werden diese Anpassungen bei jedem Update durch die neuen M.ID Sprachdateien wieder überschrieben. Damit nach jedem Update die Sprachdateien nicht wieder händisch angepasst/überarbeitet werden müssen, besteht die Möglichkeit des Zusammenführen von M.ID Sprachdateien: 1. Erstellen Sie eine Sicherungskopie des \config-ordners 2. Führen Sie das Update durch Bei diesem Schritt werden die aktuellen Sprachdateien überschreiben. Stellen Sie also sicher, dass Sicherungskopie von Schritt 1 erstellt wurde. 3. Starten Sie den M.ID Configurator 4. Wählen Sie im Menü Tool den Menüeintrag Merge M.ID Language Files Bestätigen Sie die Sicherheitsabfrage 6. Wählen Sie das Verzeichnis der Sicherungskopie aus Schritt 1, welches die M.ID Language Files enthält. 7. Es werden nun alle Sicherungskopien der Sprachdateien mit den neuen Sprachdateien zusammengeführt. Hinweis: Beim Importieren von Konfigurationsdateien (bspw. beim Starten des M.ID Configurators) besteht ebenfalls die Möglichkeit des Zusammenführens der M.ID Sprachdateien (s. Kapitel 5.3.1) M.ID Server starten Voraussetzungen M.ID Server wurde konfiguriert und die Einstellungen wurden gespeichert mid.lic in <M.ID Installationsordner>\config\ kopiert Nur bei Datastore Connection Type = LDAP with M.ID Schema Extension : o schema.ini einer durchgeführten Active Directory Schema Erweiterung nach <M.ID Installationsordner>\config\ kopiert. o Falls keine Active Directory Schemaerweiterung durchgeführt wurde, die angepasste schema_template.ini in schema.ini umbenennen M.ID Server Windows Service Mit Hilfe des JavaService.exe wird der M.ID Server (eine Java Anwendung) als Windows Service installiert. Somit lässt sich der M.ID Server auf einfache Art und Weise starten und stoppen (bspw. über die Windows Management Console, MMC). Damit der M.ID Windows Service installiert werden kann, muss diesem einen Dienstnamen zugewiesen werden M.ID Server Windows Service installieren Um den M.ID Windows Service installieren zu können, gehen Sie wie folgt vor: 1. Starten Sie den M.ID Configurator 2. Klicken Sie im Menu Main auf M.ID Service Ändern Sie ggf den Dienstnamen Seite 96 M.ID Server Handbuch v4.7.0

97 4. Falls der M.ID Server Windows Service noch nicht installiert ist, ist die Schaltfläche Install aktiv. 5. Klicken Sie auf Install um den Windows Service zu installieren. Sie müssen den M.ID Service nur einmal installieren. Dies installiert einen Windows Service, welcher über die Windows Management Console in der Rubrik Services ebenfalls konfiguriert werden kann. Da der M.ID Server als Windows Service läuft, werden dessen Startparameter in der Registry (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\[Dienstname]\Parameters) abgelegt. Hinweis: Wenn das Java-Home-Verzeichnis geändert wird, so muss der M.ID Server Windows Service deinstalliert und wieder installiert werden, damit die Windows Service Parameter neu gesetzt werden M.ID Windows Service Deinstallieren Um den M.ID Windows Service installieren zu können, gehen Sie wie folgt vor: 1. Starten Sie den M.ID Configurator 2. Klicken Sie im Menu Main auf M.ID Service Falls der Dienstname bereits installiert ist, ist die Schaltfläche Uninstall aktiv. 4. Klicken Sie auf Uninstall um den Windows Service zu deinstallieren. Hinweis: Bevor Sie Swiss SafeLab M.ID Server deinstallieren, sollten Sie ebenfalls auch immer den M.ID Windows Service deinstallieren! M.ID Server starten mit M.ID Configurator 1. Klicken Sie dazu im M.ID Configurator In der Menüleiste auf Main, danach auf M.ID Service. 2. Klicken Sie auf Start um den M.ID Service zu starten. 3. Kontrollieren Sie den Service Status a. Wenn der Service sofort stoppt ( Service [Service Name] stopped ) sollten die Logdateien mid0.log, stderr.txt, stdout.txt kontrolliert werden! Weitere Informationen finden Sie im Kapitel 20 Troubleshooting. b. Wenn nach 5 Sekunden der Status auf Service [Service Name] running steht, M.ID Server Handbuch v4.7.0 Seite 97

98 i. kann die M.ID Management Control and View geöffnet werden (Menüleiste\View\M.ID Management control and view) ii. führen Sie einen SMS Provider Test durch 4. Es können weitere Einstellungen mit dem M.ID Configurator vorgenommen werden oder dieser kann geschlossen werden msvcr*.dll Integration Die Java VM benötigt die msvcr71.dll (Java 6) resp. msvcr100.dll (Java 7). Es kann vorkommen, dass diese DLL nicht korrekt während der Installation von Java mitgeliefert wird. Sollte dies der Fall sein, kann der M.ID Server nicht gestartet. Diese DLL muss ins System32-Verzeichnis (32bit OS) bzw. SysWOW64 (64bit OS) kopiert werden. Mit den Schaltflächen Integrate bzw. Remove kann diese DLL bequem in das entsprechende Verzeichnis kopiert werden. Dabei wird automatisch die korrekte DLL ins korrekte Verzeichnis kopiert M.ID Server starten/stoppen aus Konsole Wenn Sie den M.ID Server Service installiert haben, können Sie den M.ID Server auch über Konsolenbefehle starten/stoppen: Windows Plattformen Starten Sie eine Eingabeaufforderung und geben Sie für die gewünschte entsprechenden Befehle ein: Starten: net start [Service Name] Stoppen: net stop [Service Name] Deaktivieren: sc config [Service Name] start= disabled Aktivieren: sc config [Service Name] start= auto Aktion die Hinweis: Beachten Sie, dass sich VOR dem = KEIN Leerzeichen und NACH dem = EIN Lehrschlag befinden muss! Seite 98 M.ID Server Handbuch v4.7.0

99 6. M.ID Benutzerdaten 6.1. Einleitung Benutzer, welche sich via Swiss SafeLab M.ID Server authentisieren möchten, benötigen individuelle M.ID Benutzerdaten wie bspw. M.ID PIN, M.ID Mobile Number,... Die M.ID Benutzerdaten werden in einem LDAP Verzeichnis, wie bspw. Active Directory, in vordefinierten LDAP-Felder abgelegt. Swiss SafeLab M.ID Server bietet zwei Möglichkeiten die Benutzerdaten zu speichern: mit Active Directory Schema Erweiterung ohne Active Directory Schema Erweiterung o M.ID Benutzerattribute in freie AD-Felder speichern o M.ID Benutzerattribute in 1 freies AD-Feld konkateniert speichern Hinweis: Swiss SafeLab empfiehlt das Active Direcory Schema zu erweitern. Zur Verwaltung der M.ID Benutzer stehen folgende Möglichkeiten zur Verfügung: Verwaltung direkt in Active Directory Computers and Users o mit M.ID ADUC Properties Extension, s. Kapitel o ohne M.ID ADUC Properties Extension, s. Kapitel Verwaltung via web basierte M.ID Management Control And View (s. Kapitel , 7.4.6ff) Hinweis: Swiss SafeLab empfiehlt die Benutzerdaten über die webbasierte M.ID Management Control and View zu verwalten. Hinweis: Wird Microsoft Active Directory Lightweight Services verwendet, so muss der Login field loginname zwingend auf name gesetzt warden (s. Kapitel 5.5.5) 6.2. M.ID Benutzerdaten und Active Directory Schema Erweiterung Bei einer Active Directory Schema Erweiterung werden dem Active Directory neue Felder hinzugefügt und ausschliesslich für die M.ID Benutzerdaten verwendet. Das Active Directory Schema wird mit dem Swiss SafeLab M.ID AD Assistant durchgeführt. Diese Kompontente kann im M.ID Server Installationsassistenten ausgewählt werden und enthält ebenfalls die M.ID ADUC Properties Extension (s. Kapitel 6.4) M.ID Benutzerdaten ohne Active Directory Schema Erweiterung Einleitung Wird keine Schema Erweiterung durchgeführt, so müssen die M.ID Benutzerdaten in vorhandene leere Active Directory Felder gespeichert werden. Dabei muss gewährleistet sein, dass die vorhandenen Felder von keiner anderen Appliaktion verwendet werden und für alle Benutzer leer/frei sind. Der Swiss SafeLab M.ID Server wird stetig weiterentwickelt und es ist sehr wahrscheinlich, dass dabei weitere M.ID Benutzerdaten abgelegt werden müssen. Es besteht nun die Gefahr, dass bei einem Update, welches zusätzliche M.ID Benutzerdaten erfordert, im Active Directory keine freien existierenden Felder vorhanden sind. Dabei stehen zwei Varianten zur Verfügung: Alle M.ID Attribute werden in ein jeweiliges entsprechendes freies AD-Feld geschrieben. Dies erfordert mehrere freie AD-Felder (aktuell: 12 freie AD-Felder). M.ID Server Handbuch v4.7.0 Seite 99

100 Alle M.ID Attribute werden in ein einziges freies AD-Feld geschrieben (Multi Value Field Variante) Mehrere freie AD-Felder (mehrere AD-Felder erforderlich) Bei dieser Variante müssen mehrere freie AD-Attribute bestimmt werden und manuell in der schema.ini im \config-verzeichnis des M.ID Servers hinterlegt werden. Für Installationsanleitung s.a. Kapitel Multi Value Field Variante (1 freies AD-Feld erforderlich) Bei dieser Variante ist nur ein freies AD-Feld nötig. Alle M.ID Attribute werden konkateniert in dieses Feld geschrieben: Im Beispiel oben, wurde das AD-Feld carlicense verwendet. Die M.ID Attribute werden wie folgt hinterlegt: midpermission==2~/~midmobile== ~/~midpasscode==1fae9342f5b88ae6~/~midpin==5b 8DA8331A6A9F99~/~midLanguage==2 Es werden folgende fixe Trennzeichen verwendet: zwischen M.ID Attribut (bspw. midmobile) und dem Wert: == zwischen M.ID Attribute und Wert Paaren: ~/~ Es werden folgende M.ID Attributnamen verwendet: midpermission midmobile midpasscode midpin midsecretanswer midalternatenumbers midcbophoneindex midlanguage midmotpdata midmustchangelogindata Hinweise: Bei dieser Variante wird die M.ID ADUC Properties Extensionkarte nicht unterstützt. Für Installationsanleitung s.a. Kapitel Für die Datenmigration in ein Multi Value Field s. Kapitel 6.11ff Seite 100 M.ID Server Handbuch v4.7.0

101 6.4. Beschreibung M.ID ADUC Properties Extension Mit der M.ID ADUC Properties Extension wird ein zusätzlicher Reiter mit dem Namen M.ID Settings in den Benutzereigenschaften im Active Directory Users and Computers installiert. Dieser Reiter stellt dedizierte Eigenschaftsfelder für die M.ID Benutzerkonfiguration zur Verfügung. Die M.ID ADUC Properties Extension wird ebenfalls mit der Swiss SafeLab M.ID Active Directory Support Software installiert. Die Installation der M.ID Properties Extension wird in den nachfolgenden Kapiteln beschrieben. M.ID Server Handbuch v4.7.0 Seite 101

102 6.5. Beschreibung schema.ini Mit der schema.ini wird definiert, in welchen LDAP-Feldern der M.ID Server die entsprechenden Daten findet. Die schema.ini wird ebenfalls von der M.ID ADUC Properties Extension (s. Kapitel ) verwendet. Im nachstehenden Screenshot wird bspw. definiert, dass sich der M.ID Passcode im LDAP-Feld [midpasscode] befindet (dieses Feld wurde durch die Schema Erweiterung angelegt). Die schema.ini wird während des Schemaerweiterungsprozess generiert (s. Kapitel 6.7ff), kann aber manuell bearbeitet werden, wenn auf eine Schemaerweiterung verzichtet wird (s. Kapitel 6.7.5). Hinweis: Die schema.ini wird bei der Multi Value Field Variante nicht benötigt. schema.ini 6.6. Installationen mit/ohne Schemaerweiterung Es ist dem M.ID Administrator überlassen, welche Komponenten (Schemaerweiterung, M.ID ADUC Properties Extension) verwendet werden sollen. Nachfolgend werden die möglichen Installationsabläufe beschrieben Installation mit Schemaerweiterung ohne M.ID ADUC Properties Extension Hinweis: Dies ist die empfohlene Installationsvariante 1. Installation der Swiss SafeLab M.ID Active Directory Support Software 2. Active Directory Schema Erweiterung durchführen mit dem M.ID AD Assistant (s. Kapitel 6.7) 3. schema.ini in \config-ordner der M.ID Server Installation kopieren Seite 102 M.ID Server Handbuch v4.7.0

103 mit M.ID ADUC Properties Extension 1. Installation der Swiss SafeLab M.ID Active Directory Support Software 2. Active Directory Schema Erweiterung durchführen mit dem M.ID AD Assistant (s. Kapitel 6.7) 3. Registrieren der M.ID Properties Extension mit dem M.ID AD Assistant (s. Kapitel 6.8.5) 4. schema.ini in \config-ordner der M.ID Server Installation kopieren Installation ohne Schemaerweiterung mehrere AD-Felder-Variante mit M.ID ADUC Properties Extension 1. Installation der Swiss SafeLab M.ID Active Directory Support Software 2. Registrieren der M.ID Properties Extension mit dem M.ID AD Assistant (s. Kapitel 6.8.5) 3. Freie Active Directory Felder bestimmen und in die schema.ini übertragen (s. Kapitel ) 4. Registrieren der M.ID Properties Extension mehrere AD-Felder-Variante ohne M.ID ADUC Properties Extension 1. Freie Active Directory Felder bestimmen und in die schema.ini im \config-ordner übertragen (s. Kapitel ) Multi Value Field-Variante ohne M.ID ADUC Properties Extension 1. 1 freies Active Directory Feld bestimmen 2. M.ID Configurator > Datastore > Datastore Connection Type auf LDAP with a Multi Value Field setzen 3. Name des freien AD-Feldes im M.ID Configurator in M.ID Field Mappings > Multi Value Field eintragen 6.7. Installation M.ID AD Assistant / Support Software Beschreibung M.ID Schema Extension Die Software erweitert ausschliesslich die Attribute der Benutzer und ist deswegen beinahe unbedenklich. Bevor die Schemaerweiterung durchgeführt wird, sollte dennoch zuerst eine Sicherung des Active Directories durchgeführt werden. Bei Beschädigungen des Active Directories wird jegliche Verantwortung seitens Swiss SafeLab abgelehnt. Die Schemaerweiterung wird mit dem Microsoft Dienstprogramm ldifde.exe durchgeführt. ldifde.exe ist ein in Windows Server 200x enthaltendes Dienstprogramm zum Importieren, Exportieren und Ändern von Daten und Strukturen im Active Directory. Die Daten resp. die Strukturen werden hierbei als Script an das Dienstprogramm übergeben. Der M.ID AD Assistant schreibt erstellt ein solches Scripts und führt es mit Hilfe des Dienstprogramm ldifde.exe aus. Da das Script durch die ldifde.exe eingelesen und geprüft wird, wird sichergestellt, dass die Erweiterung nicht zu einem inkonsistenten Zustand des Active Directorys führen kann. Hinweise: Die Schemaerweiterung muss auf dem Schema Master Server durchgeführt werden und können nicht rückgängig gemacht werden! Schema und Configuration sind nur für den kompletten Forrest machbar. Lesen Sie diesbezüglich auch den MS Artikel zu den Prerequisites: M.ID Server Handbuch v4.7.0 Seite 103

104 Voraussetzungen für M.ID Schema Extension Die Schemaerweiterung muss auf dem Schema Master Server durchgeführt werden. Der ausführende Benutzer muss auch Mitglied in der Gruppe der Schema Admins sein. Registrierung regsvr32.exe schmmgmt.dll Die Setup-Datei MID_AD_Assistant_v???_b?????.exe Die Datei C:\Windows\System32\ldifde.exe Schema Master bestimmen Via Eingabeaufforderung 1. Starten Sie eine Eingabeaufforderung 2. Geben Sie netdom query fsmo ein Via Microsoft Active Directory Users and Computers Management Console 1. Starten Sie eine Microsoft Management Console (mmc.exe) 2. Fügen Sie das Active Directory Schema Snap-In hinzu 3. Wählen Sie im Kontextmenü von Active Directory Schema [SERVER NAME] Operations Master 4. Im darauf folgenden Dialog können Sie den aktuellen Schema Master ablesen: Installationsablauf M.ID AD Assistant 1. Melden Sie sich an der Konsole des Schema Masters an Seite 104 M.ID Server Handbuch v4.7.0

105 2. Schliessen Sie alle MMCs 3. Deinstallieren Sie alle älteren Versionen der M.ID AD Support Software (alter Name bis v4.1.0) 4. führen Sie auf dem Schema Master Server die Datei MID_AD_Assistant_v???_b?????.exe aus. Die MID_AD_Assistant_v???_b?????.exe finden Sie \tools-ordner Ihrer Swiss SafeLab M.ID ServerInstallation. Klicken Sie auf Weiter Abbildung 5.5: Komponenten der Schemaerweiterung 5. Lesen und akzeptieren Sie die Lizenzbestimmungen. Klicken Sie auf Weiter 6. Folgen Sie dem Assistenten bis Sie aufgefordert werden den Zielpfad einzugeben. Sie können einen Individuellen Zielpfad für die M.ID Installation angeben, oder die Standardeinstellungen beibehalten. Klicken Sie danach auf Weiter 7. Tragen Sie den Namen für den gewünschten Startmenüeintrag ein, oder übernehmen Sie die Standardvorgabe. Klicken Sie danach auf Weiter 8. Überprüfen Sie in der Zusammenfassung die Einstellungen und klicken Sie auf Installieren, um die Installation durchzuführen. Nach erfolgter Installation klicken Sie auf fertigstellen. 9. Aktivieren Sie das Häkchen Start M.ID AD Assistant now, falls Sie die Anwendung nun ausführen wollen. 10. Klicken Sie auf fertigstellen Active Directory Schema erweitern M.ID AD Assistant starten 1. Starten Sie den M.ID AD Assistant via Startmenü oder via MIDADAssistant.exe im Installationsverzeichnis (Standard: \%ProgramFiles%\Swiss SafeLab\M.ID AD Assistant). 2. Erhalten Sie beim Start des M.ID AD Assitant nachfolgende Fehlermeldung M.ID Server Handbuch v4.7.0 Seite 105

106 So können Sie das Active Directory Schema nicht erweitern, da die Schemaerweiterung mit dem Microsoft Dienstprogramm ldifde.exe durchgeführt wird. Abbildung 5.6: M.ID AD Assistant Oberfläche 3. Klicken Sie auf Get Domain um die Domäneninformationen abzurufen. 4. Klicken Sie auf Test Connection um die Verbindung zum Domain Controller zu testen. 5. Konnte die Verbindung erfolgreich hergestellt werden, so können Sie das Active Directory Schema gemäss nachfolgenden Kapiteln erweitern Active Directory Schema Assistant Menübeschreibung Menüpunkt Tools Active Directory Computers and Users ADSIEdit MIDADAssistant.msc Register schmmgmt.dll Copy schema.ini to Clipboard View schema.ini Backups Help Prerequisites for Schema Extension Beschreibung Öffnet die Microsoft Management Konsole für Active Directory Users and Computers Startet ADSIEdit Öffnet eine MMC mit vordefinierten Snap-Ins Registriert die schmmgmt.dll Kopiert die schema.ini in die Zwischenablage, damit Sie diese bequem in das \config-verzeichnis des M.ID Server einfügen können Öffnet die schema.ini Öffnet den \backup-ordner im Windows Explorer, welcher alle.ldf-dateien enthält, welche durch den M.ID AD Assistant generiert und ausgeführt wurde. Öffnet eine MSDN Knowlege Base im Standardbrowser über Vorbedingungen zur Active Directory Schemaerweiterung Seite 106 M.ID Server Handbuch v4.7.0

107 Erweitern des Active Directory Schemas für M.ID Server Falls Sie das Active Directory Schema noch nie für M.ID Server erweitert haben, erweitern Sie das Schema gemäss den nachfolgenden Schritten, beachten Sie jedoch zusätzlich die gelb hervorgehobenen Schritte. Falls Sie das Active Directory Schema bereits für eine frührere Version von M.ID Server erweitert haben, erweitern Sie das Schema gemäss den nachfolgenden Schritten, beachten Sie jedoch zusätzlich die grün hervorgehobenen Schritte. 1. Starten Sie den M.ID AD Assistant gemäss vorangehendem Kapitel. 2. Klicken Sie auf Check Preconditions um zu Gewährleisten, dass alle Vorbedingungen zum Erweitern des Active Directory Schemas erfüllt sind. Es kann sein, dass die Vorbediungen der member Of -Prüfung fehlschlägt auf Grund unterschiedlichen benennung der Schema Admins Gruppe (bspw. Schema-Admins anstelle von Schema Admins ). In diesem Fall, können Sie dennoch Erweiterungsprozess fortsetzen. 3. Schemaattribute definieren a. Falls noch keine M.ID Schema Erweiterung druchgeführt wurde (schema.ini einer frühreren M.ID Installation existiert nicht): i. klicken Sie auf Load Defaults um die Standard M.ID Felder abzurufen, welche dem Active Directory hinzugefügt werden sollen. b. Falls eine schema.ini existiert (von einer frühreren Schemaerweiterung für M.ID Server): i. kopieren Sie diese schema.ini in das Verzeichnis des M.ID AD Assistant (bspw. C:\Program Files (x86)\swisssafelab\mid AD Assistant) ii. laden Sie die schema.ini mit Load Schema File... iii. Kontrollieren Sie die Log-Ausgabe. In der Log-Ausgabe sollte stehen, dass x Felder gefunden wurden (der bestehenden Schemaerweiterung) und y benötigte Felder (der zusätzlichen Schemaerweiterung) hinzugefügt wurden. 4. Klicken Sie auf Compare To AD. Bei diesem Schritt wird überprüft, ob das Active Directory Schema nicht doch bereits Swiss SafeLab M.ID Server Felder enthält. Die Überprüfung liefert folgende Resultate: Exists: Das Feld existiert bereits im Active Directory und kann nicht erstellt werden (Create deaktiviert) Is Defunct: Das Feld existiert bereits im Active Directory wurde jedoch deaktiviert Create: dieses Feld existiert noch nicht, muss daher erstellt werden 5. Klicken Sie auf die Schaltfläche Extend Schema.... Nach dem Klicken auf die Schaltfläche Extend Schema... wird eine.ldf-datei geschrieben, welche in einem Text-Editor angeschaut werden kann. Diese.ldf-Datei wird im Anschluss der Sicherheitsabfrage durch die ldifde.exe ausgeführt. Wenn Sie die nachfolgende Sicherheitsabfrage: Mit No quittieren, wird das Active Directory Schema nicht erweitert und Sie können zuerst die.ldf- Datei kontrollieren. Mit Yes wird der Prozess zur Erweiterung des Active Directory Schemas durchgeführt. M.ID Server Handbuch v4.7.0 Seite 107

108 Dieser Vorgang kann nicht rückgängig gemacht werden! 6. Die Active Directory Schema Erweiterung wurde erfolgreich durchgeführt, wenn Sie folgende Meldung erhalten: Bei nachfolgender Fehlermeldung ist ein Fehler aufgetreten und Sie sollten die Logdateien kontrollieren: 7. Kopieren Sie generierte schema.ini in den \config-ordner Ihrer M.ID Server Installationen: Standardpfad: <M.ID ServerInstallation>\config\ Über Menü\Tools\Copy schema.ini to Clipboard wird die schema.ini in die Zwischenablage kopiert, damit Sie diese bequem im \config-ordner einfügen können. 8. Starten Sie den M.ID Configurator 9. Wechseln Sie in den Reiter Datastore 10. Kontrollieren Sie, dass die Felder in M.ID Field Mappings den erstellten Feldern entsprechen und speichern Sie die Einstellungen, damit die neuen Informationen aus der schema.ini in die mid.conf übertragen werden Bestimmen von freien Active Directory Feldern Hinweis: Die nachfolgenden Unterkapitel sind nur relevant, wenn Sie keine Active Directory Schemaerweiterung durchgeführt haben (nicht empfohlen!) Potentielle freie Active Directory Felder Sie haben sich entschieden keine Active Directory Schema Erweiterung durchzuführen. In diesem Fall müssen die M.ID Benutzerdaten in freie und von keiner anderen Software verwendeten Active Directory Felder geschrieben werden. Folgende Felder werden oft nicht verwendet: Active Directory Beschreibung/Zweck sichtbar in ADUC Eigenschaften Feldname carlicense KFZ-Kennzeichen nein employeenumber emplyeenumber nein employeetype employeetype nein employeeid employeeid nein pager Pager Reiter Telephones, Gruppe Telephone numbers homephone Home Reiter Telephones, Gruppe Telephone numbers facsimiletelephonenumber Fax Reiter Telephones, Gruppe Telephone numbers mobile Mobile Reiter Telephones, Gruppe Telephone numbers title Job Title Reiter Organization Seite 108 M.ID Server Handbuch v4.7.0

109 department Department Reiter Organization company Company Reiter Organization postaladdress Street Reiter Address postofficebox P.O. Box Reiter Address l City Reiter Address st State/province Reiter Address postalcode Zip/Postal Code Reiter Address extensionattribute1 bis extensionattribute15 unbekannt Erstellt durch Microsoft Exchange Derzeit werden 12 Felder für Benutzerdaten benötigt. Prüfen Sie in Ihrem Active Directory nach, ob die oben beschriebenen Felder zur Verfügung stehen. Die Active Directory Feldnamen müssen anschliessend in eine schema.ini geschrieben werden. Da keine Schemaerweiterung durchgeführt wurde, stehen nur schema-ini-vorlagen zur Verfügung: <M.ID Server Installationsverzeichnis>\config\schema_templa te2.ini Immer vorhanden <M.ID AD Assistant Installationsverzeichnis>\config\schema_templa te2.ini Nur vorhanden, wenn M.ID ADUC Properties installiert wurde Im Screenshot ist die template_schema2.ini zu sehen, welche bereits existierende Active Directory Felder verwendet Übertragen in schema.ini, wenn M.ID ADUC Properies installiert Wenn Sie die M.ID ADUC Properties installiert haben, aber keine Schemaerweiterung durchführen wollen, liegen im Verzeichnis <M.ID AD Assistant Installationsverzeichnis> zwei schema-ini- Vorlagen template_schema1.ini und template_schema2.ini. 1. Öffnen Sie die template_schema2.ini, welche als Vorlage für nicht erweiterte Active Directories dient. 2. Editieren Sie die Feldnamen gemäss Ihrer Suche nach freien Feldern. 3. Speichern Sie die template_schema2.ini als schema.ini im gleichen Verzeichnis ab. 4. Kopieren sie die schema.ini in den \config-ordner Ihrer M.ID Server Installation Hinweis: Die schema.ini muss im \config-verzeichnis des M.ID Servers und im \config-verzeichnis der M.ID ADUC Properties Extension liegen Übertragen in schema.ini, wenn M.ID ADUC Properties nicht installiert wurde Wenn Sie die M.ID ADUC Properties nicht installiert haben, so finden Sie im Verzeichnis <M.ID Server Installation>\config\ zwei schema.ini-vorlagen template_schema1.ini und template_schema2.ini. 1. Öffnen Sie die template_schema2.ini, welche als Vorlage für nicht erweiterte Active Directories dient. 2. Editieren Sie die Feldnamen gemäss Ihrer Suche nach freien Feldern. 3. Speichern Sie die template_schema2.ini als schema.ini im gleichen Verzeichnis ab. M.ID Server Handbuch v4.7.0 Seite 109

110 6.8. M.ID ADUC Properties Extension Hinweis: Die M.ID ADUC Properties Extension muss obwohl sie verlockend aussieht - nicht installiert werden. Alle M.ID Benutzerattribute können ebenso komfortabel über die M.ID Management Control And View administriert werden, in welcher zusätzliche Funktionalitäten zur Verfügung stehen. Zudem besteht für die M.ID Management Control and View ein 3 stufiges Berechtigungssystem, so dass auch Nicht-Active-Directory-Administratoren die M.ID Benutzerdaten ändern können. Es ist geplant, die M.ID ADUC Properties künftig nicht mehr auszliefern, da einerseitz nicht mehr ausreichend Platz für alle M.ID Benutzerdaten vorhanden ist und andererseits nicht alle notwendigen Funktionen (Verschlüsseln der Benutzerdaten) abgebildet werden können Voraussetzungen für M.ID ADUC Properties Extension Forest Member Active Directory Users and Computers muss gestartet werden können (dsa.msc) (auf Windows XP ist das nur mit einer Erweiterung mit dem Adminpack aus der Windows Server 2003 Installation möglich.) M.ID AD Assistant muss installiert sein (s. Kapitel 6.7.3) Starten der MMC-Konsolen im 32-bit Modus (mmc.exe /32) Es darf nicht die M.ID Benutzerdaten Variante Multi Value Field verwendet werden Installation M.ID ADUC Properties Extension Falls Sie die Installation der M.ID Schema Extension bereits durchgeführt haben, überspringen Sie den nachfolgenden Ablauf. 1. Schliessen Sie alle MMC Konsolen (bspw. den Server Manager). 2. Starten Sie den Swiss SafeLab M.ID AD Assistant 3. Wechseln Sie in den Reiter M.ID ADUC Properties Extension 4. Klicken Sie auf Install um die M.ID ADUC Properties Extension zu installieren. Bei diesem Schritt werden die Dateien MIDADUCPropertiesExtension.ocx, mssnapd.ocx und mssnapr.dll registriert. 5. Bei einer erfolgreichen Installation wird nachfolgender Dialog angezeigt: Seite 110 M.ID Server Handbuch v4.7.0

111 6. Klicken Sie auf Yes, falls Sie im Anschluss die Active Directory Users and Computers MMC öffnen wollen Hinweis: Die M.ID ADUCProperties Extension steht nur auf dem Server zur Verfügung, auf dem diese installiert wurde. Wird gewünscht, dass die M.ID ADUC Properties in jeder Active Directory And Computers MMC auf allen Domain Controllers zur Verfügung stehen soll, so muss die M.ID AD Support Software und im Anschluss die M.ID ADUC Properties auf allen Domain Controller installiert werden (die Schema Erweiterung darf nicht nochmals durchgeführt werden!) Verwendung der M.ID ADUC Properties Extension Bevor die M.ID ADUC Properties verwendet werden kann, muss sichergestellt werden, dass sich im <Installationsverzeichnis>\bin eine schema.ini-datei befindet. Die schema.ini ist bereits vorhanden, wenn auf dem aktuellen Server die Schemaerweiterung durchgeführt wurde (empfohlen). Wenn die schema.ini fehlt, führen Sie eine Schema Erweiterung durch oder verfahren Sie gemäss Kapitel Damit die M.ID Properties Extension angezeigt wird, müssen sie die Microsoft Management Console mit dem Parameter /32 starten bspw.: mmc.exe /32 dsa.msc /32 Wenn Sie die Management Console auf einem 64 Bit System ohne den Parameter /32 starten, so wird die Erweiterung nicht angezeigt. Erhalten Sie beim öffnen des Reiters M.ID Settings nachfolgende Fehlermeldung: So deutet dies darauf hin, dass Sie die Schemaerweiterung nicht korrekt durchgeführt haben die schema.ini nicht korrekt editiert haben Kontrollieren Sie in diesem Fall die schema.ini. Die M.ID Properties Extension ist nur auf dem Server sichtbar, auf dem die M.ID ADUC Properties Extension installiert wurde. Wenn Sie die M.ID Properties Extension auch auf anderen Servern verwenden möchten, müssen Sie die M.ID Properties Extension erneut installieren. Vergessen Sie nicht, ebenfalls die schema.ini zu kopieren MIDADUCPropertiesExtension.ini Beschreibung Die MIDADUCPropertiesExtension.ini wird verwendet um Einstellungen der M.ID ADUC Properties Extension zu speichern. Derzeit werden lediglich die zur Verfügung stehenden M.ID Sprachen in der MIDADUCPropertiesExtension.ini gespeichert, da die M.ID ADUC Properties Extension keinen Kommunikationskanal zum M.ID Server besitzt. M.ID Server Handbuch v4.7.0 Seite 111

112 Neue M.ID Sprache erfassen Falls Sie eine eigene M.ID Sprachdatei erstellt haben (s. Kapitel 5.8ff), bspw. mit Index 200 und der Sprache Esperanto, so müssen Sie diesen Index ebenfalls in die MIDADUCPropertiesExtension.ini aufnehmen: Vor dem Erfassen [MID_LANGUAGES] DEFAULT_INDEX=0 0=English 1=German 2=French 3=Italien 4=Swiss German 5=Spanish Nach dem Erfassen [MID_LANGUAGES] DEFAULT_INDEX=0 0=English 1=German 2=French 3=Italien 4=Swiss German 5=Spanish 200=Esperanto Leerschläge in Mobiltelefonnummern erlauben Standardmässig sind im gesamten Swiss SafeLab M.ID Framework Leerschläge in Mobiltelefonnummern nicht zugelassen, da nicht alle SMS Provider SMSs mit Leerschlägen handhaben kann. Falls Leerschläge erlaubt werden sollen, so muss in der MIDADUCPropertiesExtension.ini der Wert für MOBILENUMBER_ALLOW_WHITESPACE modifiziert werden. Erlaubte Werte sind: 0 : Leerzeichen in Mobiltelefonnummern sind nicht erlaubt (Standard) 1 : Leerzeichen sind erlaubt. Beim nachfolgenden Beispiel sind Leerzeichen in Mobiltelefonnummern nicht erlaubt: [CONFIG] MOBILENUMBER_ALLOW_WHITESPACE=0 Beim nachfolgenden Beispiel sind Leerzeichen in Mobiltelefonnummern erlaubt: [CONFIG] MOBILENUMBER_ALLOW_WHITESPACE= Deinstallieren der M.ID ADUC Properties Extension 1. Schliessen Sie alle MMC Konsolen (bspw. Server Manager) 2. Starten Sie den Swiss SafeLab M.ID AD Assistant 3. Wechseln Sie in den Reiter M.ID ADUC Properties Extension 4. Klicken Sie auf Uninstall Alternativ können Sie im Installationsverzeichnis die Batchdatei unregister.cmd ausführen Seite 112 M.ID Server Handbuch v4.7.0

113 Aktualisieren der M.ID ADUC Properties 1. Schliessen Sie alle MMC Konsolen (bspw. Server Manager) 2. Starten Sie den Swiss SafeLab M.ID AD Assistant 3. Wechseln Sie in den Reiter M.ID ADUC Properties Extension 4. Klicken Sie auf Update 5. Wählen Sie die Update-Version der Datei aus (bspw. MIDADUCPropertiesExtension_v431_b3234.ocx) 6. Damit ist der Update-Prozess abgeschlossen. Bei diesem Update-Prozess wird die aktuelle.ocx-datei deregistriert und im Anschluss gelöscht. Das Update wird umbenannt und registriert M.ID Benutzerdaten konfigurieren Initialkonfiguration durch die M.ID Administration Die Konfiguration eines Benutzers durch die Administration erfolgt in zwei Schritten: 1. Benutzer mit M.ID Anmeldemodus und M.ID Mobiltelefonnummer konfigurieren (s. Kapitel , 6.9.4, Aufwand: 1 Minute) 2. Benutzer informieren dass er M.ID PIN und M.ID Secret Answer definieren muss (s. Kapitel 6.10ff). Via Web Interface v4.6 Zur Generierung Ihrer Secret Answer klicken Sie hier Via Portallösung wird der Benutzer automatisch bei der Anmeldung aufgefordert seine Secret Answer zu setzen, falls diese noch nicht gesetzt wurde Via M.ID User Konfigurationsseite (s. Kapitel ff) Wurde der Benutzer mit Mobiltelefonnummer und M.ID Modus konfiguriert, kann der Benutzer seine Secret Answer, seinen PIN und sein AD Passwort selber wählen und setzen (s. Kapitel 6.10ff Initialkonfiguration durch den Benutzer). Selbstverständlich kann die M.ID Administration ebenfalls alle anderen M.ID Benutzerdaten (M.ID PIN, M.ID Secret Answer, M.ID Alternative Nummern, M.ID Language) vorgeben Benutzer erfassen/konfigurieren mit M.ID Management Control And View Neuen Benutzer erfassen mit M.ID Management Control And View Um einen neuen Benutzer für M.ID zu erfassen/aktivieren, wählen Sie auf dem Status Panel den Menüpunkt M.ID Benutzer anzeigen und befolgen Sie folgende Schritte: 1. Aktivieren Sie den Filter not configured (s. Kapitel ) und geben Sie den Anmeldenamen in das entsprechende Filter-Feld ein. Falls Sie den Anmeldenamen nicht eingeben, so werden alle nicht für M.ID konfigurierten Benutzer angezeigt! 2. Wenden Sie den Filter an M.ID Server Handbuch v4.7.0 Seite 113

114 3. Klicken Sie in der Ergebnisliste auf den entsprechenden Anmeldenamen 4. Konfigurieren Sie den Benutzer wie im nachfolgenden Kapitel beschrieben. Seite 114 M.ID Server Handbuch v4.7.0

115 Bestehende Benutzer konfigurieren mit M.ID Management Control And View Die M.ID Benuzterdaten können komfortabel über die M.ID Management Control and View vorgenommen (Status Panel > M.ID Benutzer anzeigen). Die Funktionalitäten werden ausführlicher in Kapitel beschrieben. Benutzer auswählen Initial-Werte setzen M.ID Server Handbuch v4.7.0 Seite 115

116 Benutzer konfigurieren mit M.ID ADUC Properties Extension M.ID ADUC Properties Extension Funktionen Abbildung 5.4: Reiter M.ID Settings LDAP Verzeichnis M.ID Permission Allow login with Username/Password Choose ex. mobile number / Phone Number Language Index Time to send passcode Begin login time Seite 116 Bedeutung für M.ID Wählen Sie den entsprechenden Anmeldemodus für diesen Benutzer aus. Informationen zu den Anmeldemodi finden Sie in den Kapitel 2.7ff. (reset / disabled): Wählen Sie diesen Wert, falls Sie alle M.ID Benutzerdaten aus dem AD löschen wollen. Der Benutzer ist somit automatisch auch deaktiviert und bezieht keine M.ID Lizenz mehr. (deactivated): Wählen Sie diesen Wert, falls Sie den Benutzer deaktivieren möchten, jedoch seine M.ID Benutzerdaten beibehalten möchten. Der Benutzer bezieht keine M.ID Lizenz mehr. Falls aktiviert, können sich Benutzer nur mit dem Benutzernamen und dem Active Directory Passwort an der M.ID User Configuration Seite anmelden. Wenn der Benutzer Konfigurationen tätigt, so wird das Flag automatisch entfernt und der Benutzer muss sich im Anschluss mit Benutzername, Passwort und M.ID Passcode anmelden. Solange das Flag gesetzt ist, können sich die Benutzer nicht via M.ID Agenten anmelden (externe Anmeldeportale). Aus dem Dropdown Fenster kann ausgewählt werden, welche ex. Nummer / aus dem LDAP ins Feld Phone Number übertragen werden soll: Mobile Phone: liest das Feld Mobile aus den Benutzereigenschaften im ADS aus. Phone: liest das Feld Telephone Number aus den Benutzereigenschaften im ADS aus. Custom Phone:Wählen Sie diese Option, wenn Sie den Passcode an eine Benutzerdefinierte Nummer schicken wollen, ohne diese in anderen Eigenschaftsfeldern eintragen zu müssen. Address: liest das Feld aus den Benutzereigenschaften im AD aus. Alternate Phone 1 und 2: Trägt die entsprechende Alternative Nummer ein. Gibt an wohin der M.ID Passcode hingeschickt werden soll. Dies kann eine Mobiltelefonnummer oder eine adresse sein. Dieses Feld ist für alle Anmeldemodis ausser motp zwingend erforderlich. Geben Sie hier den Index der M.ID User Sprachdatei an (s. Kapitel 5.8ff) oder wählen Sie eine Sprache aus der Auswahlliste. Falls die gewünschte Sprache in der Auswahlliste nicht z.v. steht, müssen Sie diese in der MIDADUCPropertiesExtension.ini erfassen (s. Kapitel 6.8.4) (nur Asynchronous Mode) Legt die Uhrzeit und den/die Wochentage fest, wann ein Passcode generiert und versendet werden soll. Es können nur ganze Stunden angegeben werden, da viele Faktoren den Versand verzögern (Async Passcode Timer, Verfügbarkeit der SMS Provider). Wählen Sie bevorzugt lieber eine Stunde früher, als später! (nur Smart By Pass M.ID) Zeitpunkt ab dem sich ein Benutzer anmelden darf. Das Anmeldezeitfenster setzt sich aus Begin login time und Validity Period und den Wochentagen zusammen. M.ID Server Handbuch v4.7.0

117 Validity Period (min) Last Passcode set Passcode (encrypted) PIN (encrypted) Secret Answer (encrypted) motp Data (L / T / e.s.) Alternate Number/ 1 Alternate Number/ 2 Funktionen: Doppelklicken auf PIN oder Passcode (nur Asynchronous und Smart By Pass M.ID Modus) Legt die Gültigkeitsdauer des Passcodes fest (in Minuten) dient zur Überprüfung, ob und wann dem User zuletzt ein Passcode erstellt und versendet wurde. Format: YYYY/MM/DD HH:mm:ss Jeweils letzter Passcode der für den User erstellt wurde, wird hier vom M.ID Service verschlüsselt eingetragen. Der PIN Code welchen der User gewählt hat wird an dieser Stelle vom M.ID Service verschlüsselt eingetragen. Die Secret Answer, welche der User gewählt hat wird an dieser Stelle vom M.ID Service verschlüsselt eingetragen. Die motp Daten: L = Länge der Secret (16 / 32) T = Timeshift. Zeitdifferenz zwischen Benutzersmartphone und M.ID Serverzeit in Sekunden e.s. = encrypted Secret. Verschlüsselte motp Secret. Die Alternative Empfängernummer/ 1 und 2 werden für den PIN-Befehl Passcode Anforderung auf alternative Nummer (s. Kapitel 7.1.6) verwendet. Hier kann bspw. die Mobiltelefonnummer des Partners oder eine Web- eingetragen werden. Verliert/Verlegt der Benutzer sein Mobtiltelefon, so kann er den M.ID Passcode auf diese hinterlegten Nummern/ adressen anfordern. Damit werden die Felder Passcode und PIN gelöscht. Mit dieser Funktion kann man den User zurücksetzen (Benutzer wird nicht deaktiviert). Der Benutzer kann danach einen neuen PIN wählen und die M.ID Anmeldung weiter verwenden. Hinweis: Mit Time to send passcode und Validity Period (min) können Sie festlegen, wann ein Benutzer sich via M.ID anmelden darf: Mit diesen Einstellungen wird für den Benutzer von Montag bis Freitag jeweils um 6 Uhr morgens ein Passcode generiert und verschickt. Der Passcode ist 12 Stunden gültig. Damit kann sich der Benutzer Montag bis Freitag von 06:00 bis 18:00 anmelden. Samstags und sonntags wird kein Passcode generiert und der Benutzer kann sich somit nicht anmelden. Hinweis: Wo gefordert, müssen die Werte verschlüsselt gespeichert werden. Die M.ID ADUC Properties hat keinen Zugriff auf die mid.key und kann somit keine Werte verschlüsseln Benutzer konfigurieren ohne M.ID ADUC Properties Extension Wenn Sie keine Schema Erweiterung durchgeführt haben, so sind die M.ID Benutzerdaten möglicherweise in Feldern vorhanden, welche Sie trotzdem via ADUC bearbeiten können (s. Screenshot). Jedoch ist das Konfigurieren verwirrend, da die Feldnamen irreführend sind. Als M.ID Administrator müssen theoretisch nur der Anmeldemodus und die M.ID Mobilnummer definiert werden, damit der Benutzer für M.ID freigeschaltet ist. Diese beiden Informationen lassen sich evtl. leicht merken. Viel komfortabler ist jedoch die Konfiguration via M.ID Management Control and View (s. Kapitel , 7.4.6ff). M.ID Server Handbuch v4.7.0 Seite 117

118 autom. Import von M.ID User Config Files Mit der Enterprise Edition besteht die Möglichkeit, M.ID User Config Files (s. Kapitel 7.4.6) automatisch zu importieren. Hierzu muss der Import-Timer (s. Kapitel ) aktiviert werden. Kann eine Dritt-Applikation M.ID User Config Files schreiben, so kann diese Dritt-Applikation indirekt M.ID Benutzer konfigurieren Initialkonfiguration durch den Benutzer Beschreibung Damit ein Benutzer seine Initialkonfiguration abschliessen kann, müssen durch die Systemadministration folgende Benutzerdaten konfiguriert worden sein: M.ID Anmeldemodus M.ID Mobiltelefonnummer Wurden diese Daten - welche nur die M.ID Administration ändern kann - konfguriert, muss der Benutzer vor der erstmaligen Anmeldung seine M.ID Secret Answer und seinen M.ID PIN setzen (ggf. sein AD Passwort). Die Initialkonfiguration für den Benutzer wird in den nachfolgenden Kapiteln ausführlich beschrieben Initialkonfiguration im On-Demand Modus Via Citrix Web Interface Dem Benutzer steht auf der Anmeldeseite nach der Installation des Swiss SafeLab M.ID Citrix Web Interface Agents ein Link zur Verfügung um seine Secret Answer zu setzen: 2. Wird der Link aufgerufen, wird der Benutzer aufgefordert seinen Benutzernamen und seine gewünschte Secret Answer einzugeben: Seite 118 M.ID Server Handbuch v4.7.0

119 3. Nach der geforderten Eingabe und des Klickens auf Secret Answer setzen erhält der Benutzer auf sein Mobiltelefon einen Passcode zugeschickt der im nächsten Feld eingegeben werden muss: 4. Wird der Passcode korrekt eingegeben, erhält der Benutzer eine Bestätigungs-SMS, dass seine Secret Answer gesetzt wurde: Hello <Benutzername>, your Secret Answer has been successfully changed. Im Web Interface Message Center kann folgende Meldung erscheinen: Wenn das Bestätigungs-SMS verschickt wurde, dann fehlt dem Benutzer für eine erfolgreiche Anmeldung noch einen M.ID PIN. Wenn keine SMS verschickt wurde und der Benutzer bereits einen PIN (bspw. gesetzt durch die Administration), dann wurde der Passcode falsch eingegeben. 5. Nach Erhalt der Bestätigungs-SMS muss der Benutzer nun seinen PIN definieren. Dafür kehrt er zurück auf die Anmeldeseite und gibt Benutzername, sein AD Passwort und den PIN reset Befehl (s. Kapitel PIN Reset) ein: <neuerpin>----<secretanswer> Bspw.: <OhTannenbaum> 6. Der Benutzer wird aufgefordert den Passcode einzugeben: 7. Wird die Anmeldung verweigert, wurde das Passwort falsch eingegeben, oder der Benutzer hat noch kein Passwort. In diesem Falle, muss der Benutzer nun ein AD Passwort reset durchführen (s. Kapitel AD Passwort Reset). Wurden diese Schritte durchgeführt, hat der Benutzer nun erfolgreich seine Secret Answer und seinen PIN gesetzt und kann sich somit jederzeit am Web Interface v4.6 anmelden Via Portallösung und Swiss SafeLab M.ID RADIUS Proxy Im Folgenden wird die Initialkonfiguration anhand Swiss SafeLab M.ID RADIUS Proxy und Citrix Web Interface 5.0 erklärt. Die Initialkonfiguration wurde mit Swiss SafeLab M.ID RADIUS v1.3.0 angepasst. 1. Der Benutzer gibt seinen Benutzernamen und sein Passwort ein. Für den PIN gibt er einen beliebigen Wert ein: M.ID Server Handbuch v4.7.0 Seite 119

120 2. Der Benutzer wird nun, da ihm die Secret Answer fehlt, aufgefordert seine gewünschte Secret Answer einzugeben: 3. Das Setzen der Secret Answer muss der Benutzer mit einem Passcode bestätigen: 4. Wurde der Passcode korrekt eingegeben, erhält der Benutzer eine SMS, dass seine Secret Answer gesetzt wurde: Hello <Benutzername>, your Secret Answer has been successfully changed. Der Benutzer wird nun wieder auf die Anmeldeseite zurückgewiesen. 5. Der Benutzer muss nun seinen PIN setzen gemäss PIN reset Befehl (s. Kapitel PIN Reset): <neuerpin>----<secretanswer> Bspw.: <OhTannenbaum> 6. Stimmt die Secret Answer, erhält der Benutzer eine SMS, dass sein PIN geändert wurde. Gleichzeitig, erhält er einen Passcode für die Anmeldung: 7. Wird der Passcode korrekt bestätigt und der Benutzer war bereits im Besitzt eines Passwortes, war die M.ID Anmeldung hiermit erfolgreich. Falls nicht, muss der Benutzer nun ein AD Passwort reset durchführen (s. Kapitel AD Passwort Reset) Initialkonfiguration im motp-modus New! Die Initialkonfiguration eines Benutzers im motp-modus ist analog jener des On-Demand Modus, ausser, dass zusätzlich noch eine motp Secret eingegeben werden muss: 1. Da der Benutzer nicht im Besitz eines M.ID PINs oder motp-codes ist, kann und muss er eine beliebige Zeichenfolge für den M.ID PIN/mOTP eingeben: Seite 120 M.ID Server Handbuch v4.7.0

121 2. Der Benutzer wird nun aufgefordert, seine neue M.ID Secret Answer einzugeben. Eine genügt, auch wenn mehrere gefordert werden. 3. Der Benutzer wird nun aufgefordert, seinen neuen M.ID PIN einzugeben 4. Der Benutzer wird nun aufgefordert, seine neue motp-secret (16 oder 32 Hex-Zeichen) einzugeben 5. Der Benutzer wird nun aufgefordert, seinen motp einzugeben, welcher mit der motp Secret und seinem M.ID PIN generiert wurde 6. Bei korrekter Eingabe von M.ID PIN, motp Secret, motp, Benutzername und zugehörigem Passwort, kann der Benutzer auf die Ressourcen zugreifen Initialkonfiguration im Asynchronen-Modus Die Initialkonfiguration eines Benutzers im Asynchronen-Modus via Web Interface v4.6 oder via Portallösung und Swiss SafeLab M.ID RADIUS Proxy verhält sich bis auf einen zusätzlichen Schritt analog wie jene beim On-Demand-Modus. Der Benutzer kann die Initialkonfiguration nur vornehmen, wenn er sich auch im gültigen Anmeldezeitfenster befindet (s. Kapitel Asynchroner Modus). Beim Asynchronen Modus ist der M.ID Server Handbuch v4.7.0 Seite 121

122 Benutzer bereits im Besitz eines Passcodes für die Anmeldung doch dieser fehlt bei der Initialkonfiguration. D.h. der Benutzer muss nach dem Setzen seines PINs (Schritt 5 s.o.) einen Passcode anfordern (s. Kapitel Passcode Request): Format: ----<PIN> Bspw.: Damit ist der Benutzer nun im Besitz eines Passcodes und kann diesen nun Benutzen Initialkonfiguration im Synchronen-Modus Die Initialkonfiguration eines Benutzers im Synchronen-Modus verhält sich analog der Initialkonfiguration im Asynchronen-Modus. Beim Synchronen-Modus ist der Benutzer ebenfalls vor der Anmeldung im Besitz des Passcodes für die Anmeldung. Daher muss auch hier, nach dem Setzen des PINs der Passcode angefordert werden (s. Kapitel Passcode Request) Initialkonfiguration via M.ID User Konfigurationsseite Bevor der Benutzer seine Initialkonfiguration selber vornehmen kann, muss ihm die M.ID Berechtigung und seine M.ID Mobilnummer gesetzt werden. Diese können via Active Directory ADUC Eigenschaften (s. Kapitel M.ID ADUC Properties Extension Funktionen) oder via M.ID User Management gesetzt werden. Sobald der Benutzer für M.ID aktiviert wurde, ruft er im Browser entsprechend den M.ID Einstellungen die M.ID User Konfigurationsseite auf (s. Kapitel ff) M.ID Benutzerdatenmigration nach Multi Value Field Beschreibung Seit M.ID v4.4.0 können alle M.ID Benutzerdaten in ein einziges AD-Feld geschrieben werden (s. Kapitel 6.3.3). Dadurch wird nur noch ein einziges freies AD-Feld benötigt, womit auf eine Schemaerweiterung verzichtet werden kann. Will man nun diese Variante des Benutzerspeichers verwenden, so müssen die Daten aus den bestehenden AD-Feldern in dieses eine Feld migriert werden. Dieses Vorgehen wird in den nächsten Kapiteln beschrieben Mit Lite und Standard Edition In der Lite und Standard Editionen fehlen die entsprechenden Features im M.ID Server. Das Vorgehen muss also wie folgt manuell durchgeführt werden: 1. Exportieren Sie alle M.ID Benutzerdaten gemäss der schema.ini-datei bspw. in eine Textdatei. Für den Export müssen eigene Tools verwendet werden. In der Enterprise Edition steht ein entsprechendes Tool zur Verfügung. 2. Importieren Sie nun die M.ID Benutzerdaten in das Multi Value Field bspw. carlicense. Beim Import müssen die M.ID Attribute wie folgt zusammengesetzt werden: Attribut1==Value1~/~Attribut2==Value2 Für den Import müssen eigene Tools verwendet werden. In der Enterprise Edition steht ein entsprechendes Tool zur Verfügung. 3. Starten Sie den M.ID Configurator 4. Stoppen Sie den M.ID Server 5. Wechseln Sie im Datastore Tab den Data Connection Type auf LDAP with a Multi Value Field 6. Definieren Sie in M.ID Field Mappings das Multi Value Field Seite 122 M.ID Server Handbuch v4.7.0

123 7. Speichern Sie die Einstellungen 8. Starten Sie den M.ID Server neu 9. Testen Sie die Datenmigration. 10. Wenn keine Probleme auftreten, können die alten Feldinhalte geleert werden. Hierzu müssen wiederum eigene Tools verwendet werden. In der Enterprise Edition steht ein entsprechendes Tool zur Verfügung. Hinweise: Den Export/Import kann bspw. durch VBS-/PS-Scripts durchgeführt werden Wenn Sie mehrere M.ID Server Instanzen betreiben, so müssen die Konfiguration (Data Connection Type, Multi Value Field) auf allen M.ID Server Instanzen anpassen Mit Enterprise Edition Mit der Enterprise Edition kann die Datenmigration mit den M.ID Server Bordmittel wie folgt durchgeführt werden: 1. Melden Sie sich an der M.ID Admin Web Console an und navigieren Sie nach M.ID User Management 2. Führen Sie einen one-click-backup durch: 3. Laden Sie die Datei????_??_??_??_??_??_UserConfigFile.txt herunter und erstellen Sie davon 2 Sicherheitskopien: *_mvf.txt und *_clear.txt 4. Passen Sie, falls nötig, in der Datei *_mvf.txt die ldap attribute names (Zeile 24) entsprechend den Multi Value Fields an (s. Kapitel 6.3.3) Speichern Sie die Datei *_mvf.txt 5. Starten Sie den M.ID Configurator 6. Stoppen Sie den M.ID Server 7. Wechseln Sie im Datastore Tab den Data Connection Type auf LDAP with a Multi Value Field 8. Definieren Sie in M.ID Field Mappings das Multi Value Field 9. Speichern Sie die Einstellungen 10. Starten Sie den M.ID Server neu 11. Melden Sie sich an der M.ID Admin Web Console an und navigieren Sie nach M.ID User Management 12. Konfigurieren Sie die M.ID Benutzer in dem Sie die editierte *_mvf.txt Datei hochladen 13. Testen Sie die Datenmigration. 14. Wenn keine Probleme auftreten, können die alten Feldinhalte geleert werden: M.ID Server Handbuch v4.7.0 Seite 123

124 Editieren Sie die Datei???_clear.txt, vorzugsweise mit einem Tabellenkalkulationsprogramm, da die Werte mit Tabulatoren getrennt sind. Ersetzen Sie alle Werte durch (not set) und speichern Sie die Datei wieder als tabulatorgetrennte Textdatei. laden Sie diese Datei via M.ID User Management und upload a user config file hoch Hinweise: Wenn Sie mehrere M.ID Server Instanzen betreiben, so müssen die Konfiguration (Data Connection Type, Multi Value Field) auf allen M.ID Server Instanzen anpassen. Seite 124 M.ID Server Handbuch v4.7.0

125 7. M.ID Betriebsfunktionen 7.1. M.ID PIN Befehle Beschreibung M.ID PIN Befehle Dem Benutzer ist es möglich, via PIN-Feld Befehle an den M.ID Server zu senden. Hinweise: Die einzelnen M.ID PIN Befehle können via M.ID Configurator aktiviert und deaktiviert werden (s. Kapitel ). New! die einzelnen Präfixe können via M.ID Configurator konfiguriert werden (s. Kapitel M.ID PIN Command Prefix). Im nachfolgenden werden die Standarpräfixe verwendet Wird das PIN-Feld auf dem Portal ausgeblendet (bspw. weil kein PIN verwendet wird) so stehen die M.ID Befehle nicht zur Verfügung. Ist ein PIN-Feld auf dem Portal vorhanden, der M.ID Server jedoch mit allow empty PIN konfiguriert, so stehen die M.ID Befehle dennoch zur Verfügung. In diesem Falle muss im M.ID Befehl an Stelle des PINs nichts eingegeben werden. So reduziert sich der Passcode Request Befehl bspw. nur noch auf die Eingabe von: Passcode Request Hat der Benutzer im asynchronen oder synchronen Modus den Passcode vergessen - und das SMS mit dem Passcode bereits gelöscht - kann er, vorausgesetzt er ist im erlaubten Anmeldezeitraum, einen neuen Passcode auslösen: Format: ----<PIN> Bspw.: PIN Reset Der Benutzer kann seinen PIN wie folgt ändern: Format: <NeuerPIN>----<SecretAnswer> Bspw.: OhTannenbaum Der Benutzer gibt im PIN-Feld seinen neuen PIN ein, gefolgt von ---- und seiner Secret Answer (bspw.: OhTannenbaum). Erfüllt der neue PIN das geforderte Format und stimmt seine Secret Answer überein, so wird der PIN gesetzt. Falls der PIN erfolgreich geändert werden konnte, erhält der Benutzer eine Bestätigungs-SMS. Hinweis: Hat der Benutzer mehrere Secret Answer hinterlegt, so muss kann der Benutzer beliebig eine von diese verwenden AD Passwort Reset (M.ID Integrated Remote Password Reset Agent) Hat der Benutzer sein AD Passwort vergessen, kann er ohne Hilfe der Administration sein AD Passwort wie folgt zurücksetzen: Format: ----<SecretAnswer> Bspw.: ----OhTannenbaum 1. Benutzer gibt im PIN-Feld ---- gefolgt von seiner Secret Answer ein (bspw. ----OhTannenbaum) 2. Der Benutzer erhält auf sein Mobiltelefon ein neues zufallgeneriertes Passwort: You requested a password reset! Your new password is: *AICdUQAjCNL3* M.ID Server Handbuch v4.7.0 Seite 125

126 Das Passwort beginnt und endet mit einem Stern. Das Passwort enthält nie den kleinen Buchstaben L, da auf gewissen Mobiltelefonen das kleine L wie eine eins aussieht. Das Passwort enthält nie den grossen Buchstaben O, da auf gewissen Mobiltelefonen das grosse O wie eine null aussieht. 3. Der Benutzer meldet sich mit dem erhaltenen Passwort wie gewohnt an. 4. Der Benutzer muss nach der Anmeldung sein Passwort ändern. Hinweise: Der M.ID Server muss via SLDAP auf den LDAP Server zugreifen. Der M.ID Server Serviceaccount benötigt hierfür Administratorenrechte. Es sollte gewährleistet werden, dass der Benutzer via Portallösung sein Passwort ändern kann, falls sein Benutzerkonto das Attribut Muss Passwort bei der nächsten Anmeldung ändern gesetzt hat. Hat der Benutzer mehrere Secret Answer hinterlegt, so muss kann der Benutzer beliebig eine von diese verwenden Support Passcode Hat der Benutzer sein Mobiltelefon nicht zur Hand kann er sich Mithilfe des Support-Centers wie folgt anmelden: Format: ****<PIN> Bspw.: **** Der Benutzer ruft das Support-Center an 2. Der Supporter teilt dem Benutzer mit, im PIN-Feld **** gefolgt von seinem PIN einzugeben (Bspw. ****123456) 3. Für den Supporter ist nun in der M.ID Management Control And View der generierte Passcode ersichtlich 4. Der Supporter teilt dem Benutzer den Passcode mit 5. Der Benutzer meldet sich mit dem mitgeteilten Passcode an 6. Der Passcode wird aus der M.ID Management Control And View entfernt. Hinweis: Dieses Szenario setzt voraus, dass im Unternehmen ein Support-Center eingerichtet ist Passcode Anforderung auf Alternative Nummer / Pro Benutzer können zusätzlich zwei alternative Nummern/ s erfasst werden. Hat der Benutzer sein Mobiltelefon verlegt, so kann er mit der Passcode Anforderung die auf alternative Nummer den neuen Passcode auf eine der beiden Nummern/ s zusenden lassen. Dazu gibt er im PIN-Feld die Zeichenkette für die Passcode Anforderung auf alternative Nummer ein (@@@@), gefolgt vom Index der gewünschten alternativen Nummer (1 für die 1. Hinterlegte alternative Nummer, 2 für die 2.), gefolgt vom PIN: für <AlternativeNummernIndex> =1, <PIN> = Hinweis: Die alternativen Nummern können vom Benutzer mit der User GUI selber gesetzt werden. Als Nummer kann auch eine erfasst werden. Seite 126 M.ID Server Handbuch v4.7.0

127 Initiales Secret Answer setzen Das Secret Answer kann derzeit nur einmalig vom Benutzer gesetzt werden. Die Bedingung für das erstmalige Setzen ist, dass das LDAP-Feld in dem die Secret Answer gespeichert wird, keinen Wert enthält Via Web Interface Der Benutzer klickt auf dem erweiterten Web Interface v4.6 auf To generate your Secret Answer click here 2. Der Benutzer wird nun aufgefordert seinen Anmeldenamen und seine gewünschte Secret Answer einzugeben. 3. Dem Benutzer wird ein Passcode zugesandt 4. Wird der Passcode korrekt bestätigt, wird das Secret Answer gesetzt und der Benutzer erhält eine Bestätigung, dass seine Secret Answer gesetzt wurde Via Swiss SafeLab Radius Proxy 1. Der Benutzer gibt im PIN-Feld #### gefolgt von seiner gewünschten Secret Answer ein und meldet sich an bspw.: ####DasTischleinDecktSichMorgensUm7h00 2. Dem Benutzer wird ein Passcode zugesandt und aufgefordert diesen einzugeben 3. Wird der Passcode korrekt bestätigt, wird das Secret Answer gesetzt und der Benutzer erhält eine Bestätigung, dass seine Secret Answer gesetzt wurde. Hinweis: Das Secret Answer kann nur geändert werden, wenn die Administration vorgängig im LDAP den Feldinhalt löscht M.ID Passcode Befehle Beschreibung M.ID Passcode Befehle Der Benutzer kann mit den M.ID Passcode Befehlen, bestimmte Befehle an den M.ID Server senden. Dabei wird der M.ID Passcode Befehl in das Eingabefeld für den M.ID Passcode eingegeben. Hinweise: Die M.ID Passcode Befehle stehen nur in der Enterprise Edition zur Verfügung. Die einzelnen M.ID Passcode Befehle können via M.ID Configurator aktiviert und deaktiviert werden (s. Kapitel ) Passcode Anforderung auf alternative Nummer Pro Benutzer können zusätzlich zwei alternative Nummern/ s erfasst werden. Hat der Benutzer sein Mobiltelefon verlegt, so kann er mit der Passcode Anforderung die auf alternative Nummer den neuen Passcode auf eine der beiden Nummern/ s zusenden lassen. Dabei gibt er die alternative Nummer direkt in das Eingabefeld für den M.ID Passcode ein. Stimmt die Eingabe mit einer hinterlegten alternativen Nummer überrein, so wird ein neuer M.ID Passcode ausgelöst. Der Vorteil bei dieser Variante gegenüber dem M.ID PIN Befehl ist, dass der Benutzer sich nicht erneut einloggen muss, wenn er bemerkt, dass er keinen M.ID Passcode erhält (bspw. Funkloch) oder das Mobiltelefon verlegt hat. M.ID Server Handbuch v4.7.0 Seite 127

128 Eingabe eines M.ID Passcode Befehls 7.3. Secret Question / Secret Answer Szenario Beschreibung Secret Question / Secret Answer Szenario Die Secret Question dient dazu, dass sich die Benutzer die Secret Answer leichter merken können. Es können beliebig viele Secret Question / Secret Answer Paare definiert werden. Hierzu gibt die M.ID Administration vor, wie viele Secret Questions / Secret Answers ein Benutzer definiert haben muss (s. Kapitel Security). Der Benutzer kann anschliessend mit der Initialkonfiguration seine Secret Questions / Secret Answers selber definieren (s. Kapitel Initialkonfiguration via M.ID User Konfigurationsseite). Definiert der Benutzer keine Secret Question (bspw. via Initialkonfiguration), so lautet die Secret Question immer Wie lautet Ihre Secret Answer? Vewendung von Secret Question / Secret Answer Je nach Verwendung(M.ID Agent) gestaltet sich das Secret Question / Secret Answer Szenario anders: Verwendung M.ID PIN Befehle s. Kapitel 7.1 M.ID Benutzer Support s. Kapitel M.ID Integrated Web Password Reset Agent s. Kapitel 8ff M.ID Password Reset Agent for Windows Logon s. Kapitel 9ff Beschreibung Bei der Verwendung in den M.ID PIN Befehlen, wird die Secret Question nicht verwendet. Als Secret Answer kann eine der hinterlegten Secret Answers verwendet werden. Im M.ID Benutzer Support Center wird die Secret Question dem Benutzer gestellt (bspw.: Was gibt es nicht auf dem Mond?). Als Antwort wird nicht die komplette Secret Answer erwartet, sondern der Buchstabe an einer bestimmten Position. Dies wird für die Anzahl definierten Fragen wiederholt (s. Kapitel 5.5.3, 7.4.5) Es wird per Zufallsgenerator eine der hinterlegten Secret Questions ausgewählt und angezeigt. Als Eingabe ist die komplette Secret Answer gefordert. Es wird per Zufallsgenerator eine der hinterlegten Secret Questions ausgewählt und angezeigt. Als Eingabe ist die komplette Secret Answer gefordert. Seite 128 M.ID Server Handbuch v4.7.0

129 7.4. M.ID Management Control And View Einleitung M.ID Management Control And View Der Administrator kann Statistiken und Konfigurationen abrufen, z.b. welche Komponenten verfügbar sind oder wie viele SMS versandt wurden. Dazu ruft er mit einem Webbrowser die Webseite (Port ist der Standard M.ID Login Event Port. Die korrekte Portnummer entnehmen Sie bitte Ihrer M.ID Konfiguration) auf. Dieser Aufruf kann auch mit der IP Adresse des M.ID Servers erfolgen. Es erscheint eine Webseite die den Administratornamen und ein Passwort verlangt. Administrationsport, Administratornamen und Passwort werden in der Konfiguration des M.ID Servers eingerichtet. Wird die konfigurierte Anzahl von fehlerhaften Anmeldeversuchen überschritten, so wird der Benutzer zur Eingabe eines CAPTCHAs aufgefordert (s. Kapitel 0). Wird während 2min keine Funktion betätigt, so wird der Zugriff auf die Seite gesperrt und man muss sich erneut anmelden. Hinweis: Mozilla FireFox stellt die Webseiten freundlicher dar, als dass dies andere Browser tun Berechtigungsstufen Für die M.ID Admin Web Console stehen vier Berechtigungsstufen zur Verfügung. Hinweis: Mit der Enterprise Edition besteht die Möglichkeit diese Berechtigungsstufen individuell anzupassen. M.ID Server Handbuch v4.7.0 Seite 129

130 Berechtigungsstufe Administrator Dem Administrator stehen alle Funktionen der M.ID Control And View uneingeschränkt zur Verfügung: SMS Gateways starten/stoppen Versand von Test SMS/ s Lifeness Checks Prüfung auf neue M.ID Server Versionen M.ID Konfigurationen neu laden SMS Gateway Konfigurationen neu laden Support Passcode M.ID User Management M.ID User alle Attribute anzeigen/ändern M.ID User aktivieren/deaktivieren Verwendung des Swiss SafeLab Web AD Manager Lite Berechtigungsstufe Supporter Dem Supporter stehen folgende Funktionen NICHT zur Verfügung: M.ID User Management M.ID Konfigurationen neu laden Prüfung auf neue M.ID Server Versionen SMS Gateway Konfigurationen neu laden Der Supporter hat jedoch unter anderem die Berechtigung für (nicht abschliessend) Versand von Test SMS/ s Passcode Support Anzeigen/Ändern aller M.ID Attribute ausser M.ID Permission Berechtigungsstufe Viewer Der Viewer hat keine Berechtigung zur Ausführung von Aktionen wie: Versand von Test SMS/ s Prüfung auf neue M.ID Server Versionen Der Viewer kann jedoch lesend auf M.ID User Attribute Passcode Support zugreifen Berechtigungsstufe PasscodeViewer Der PasscodeViewer hat nur Zugriff auf die Liste der Support Passcodes. Falls die Einstellung no login required für den PasscodeViewer aktiviert ist (s. Kapitel ), kann die Liste direkt über die URL: [protokoll]://[m.id Server]:[Admin Port]/adminview/passcodeview bspw. aufgerufen werden. Seite 130 M.ID Server Handbuch v4.7.0

131 Berechtigungsstufen anpassen Mit der Enterprise Edition besteht die Möglichkeit die Berechtigungsstufen individuell anzupassen (s. Kapitel ff Web Console Permissions) Status Panel M.ID Server Information Blendet Informationen über den M.ID Server wie folgt ein: Version und Edition des installierten M.ID Servers Lizenzinformation Startzeit IP-Adresse, Servername und Betriebsystemversion des Servers, auf dem M.ID Server installiert wurde Agents Unter Agents finden Sie Informationen zu den erworbenen M.ID Agents (ab v3.2.1, nur Standard Edition. In der Enterprise Edition sind alle Agenten erlaubt) und den mit dem M.ID Server verbundenen M.ID Agents. M.ID Server Handbuch v4.7.0 Seite 131

132 Active Directory Zeigt den Verbindungsstatus zum LDAP an. Durch klicken auf show werden die einzelnen Verbindungen angezeigt. Falls notwendig, besteht die Möglichkeit durch klicken auf close oldest die älteste Verbindung zu trennen! Security Center Das Security Center benachrichtigt Sie über Sicherheitsrisiken Ihrer Einstellungen wie bspw. die Verwendung von M.ID ohne PIN oder einer ungesicherten LDAP-Verbindung. Zudem kann über die check for updates Schaltfläche nach Updates gesucht werden. Keine Warnungen zwei vorhandene Warnungen Folgende Sicherheitsrisiken werden derzeit angezeigt: Keine SLDAP-Verbindung zum LDAP Keine SSL-Verbindung zur Admin Web Console Keine SSL-Verbindung zur User Web Console Logging von invaliden M.ID Passcodes ist aktiviert Logging von invaliden M.ID PINs ist aktiviert Die M.ID Lizenzlimite ist überschritten Der M.ID Lizenztoleranzbereich wurde erreicht Die M.ID Subscription ist abgelaufen Es wird eine veraltete Java-Version eingesetzt Abgelaufene Zertifikate Zertifikate die innerhalb von 60 Tagen ablaufen Überprüfung auf neue M.ID Server Versionen Mit der Schaltfläche check for updates wird eine Verbindung zum M.ID Update Server hergestellt und es werden alle verfügbaren Updates angezeigt. Jedes Update/Version trägt einen Typ und kann nur bei entsprechender Lizenzierung (Subscription) verwendet werden. Die Installationsdateien stehen im Download Center zur Verfügung. Critical: Dieses Update behebt schwerwiegende Fehler Recommended: Dieses Update nicht kritische Fehler Optional: Dieses Update beinhaltet neue Funktionalitäten Work in progress: Vorschau auf eine neue Version. Subscription expired: Sie haben keine gültige Subscription um diese neue Version zu installieren (s. Kapitel 2.3 Lizenzmodell). Seite 132 M.ID Server Handbuch v4.7.0

133 SMS Gateway stoppen/starten Durch Klicken auf stop wird der SMS Provider deaktiviert. D.h. er wird nicht mehr angesprochen, falls ein anderer SMS Provider ausfällt. Gestoppte (deaktivierte) SMS Provider lassen durch klicken auf start wieder starten (aktivieren) SMS Gateway test SMS Durch Klicken auf test SMS wird an alle hinterlegten Empfänger eine Test SMS über den entsprechenden SMS Provider ausgelöst. Wahlweise kann auch eine Mobiltelefonnummer eingegeben werden Tests SMS Provider Tests Durch Klicken auf run SMS Provider Test wird über jeden aktiven SMS Provider eine SMS an die hinterlegten Empfänger verschickt. M.ID Server Handbuch v4.7.0 Seite 133

134 Mail Test Durch Klicken auf run Mail Test wird über den konfigurierten SMTP Server eine Test verschickt Lifeness check Das Klicken auf run lifeness check wird eine Lifeness Überwachung durchgeführt (s. Kapitel 7.9ff) Help Durch klicken auf die entsprechenden Links können das FAQ und die Kontaktadresse aufgerufen, New! sowie das M.ID Server Handbuch heruntergeladen werden Logs Monitoring Hinweis: Nur In der Enterprise Edition verfügbar. Live Monitoring der Log-Dateien Im Live Monitoring werden die jeweils die letzten Änderungen der mid0.log, stderr.txt, stdout.txt angezeigt. Seite 134 M.ID Server Handbuch v4.7.0

135 Hinweise: Es werden jeweils maximal 100 Zeilen angezeigt Die Seite wird automatisch alle 10 Sekunden aktualisiert, falls das Häkchen auto. refresh page gesetzt ist Download Logs Ermöglicht das Herunterladen der mid0.log, stderr.txt, stdout.txt. Mit klicken auf donload all logs können alle Log-Dateien in einem Zip-Archiv heruntergeladen werden M.ID Benutzer anzeigen Zeigt eine Übersicht über alle konfigurierten M.ID Benutzer im Datenstore (s. Kapitel Konfigurierte M.ID Benutzer) M.ID Benutzer Support Center Zeigt das M.ID Benutzer Support Center an (s. Kapitel M.ID Benutzer Support) M.ID User Management Zeigt die M.ID User Management an (s. Kapitel M.ID User Management). Hinweis: M.ID User Management ist nur in der Enterprise Edition verfügbar Swiss SafeLab Web AD Manager Lädt den Swiss SafeLab Web AD Manager. Hinweis: Der Swiss SafeLab Web AD Manager ist nur in der Enterprise Edition verfügbar Konfiguration anzeigen/neu laden Durch Klicken auf Konfiguration anzeigen erhält man einen Auszug aus den aktuellen Einstellungen des M.ID Servers. Durch Klicken auf Einstellung neuladen werden die mit einem * im M.ID Configurator versehenen Felder neu eingelesen und sofort angewendet. M.ID Server Handbuch v4.7.0 Seite 135

136 Provider neu laden Mit Provider neu laden wird die Provider XML neu eingelesen. Somit können während dem Betrieb des M.ID Servers die Providerdaten bearbeitet werden aktualisieren Mit aktualisieren wird die Seite neu geladen und die Statistiken neu berechnet. Die Seite wird automatisch alle 60 aktualisiert abmelden Durch Klicken auf abmelden wird die Admin Session beendet. Seite 136 M.ID Server Handbuch v4.7.0

137 Konfigurierte M.ID Benutzer Übersicht konfigurierte M.ID Benutzer und verwendte M.ID Lizenzen In der Übersicht werden die aktuell aktivierten M.ID Benutzer alphabetisch sortiert angezeigt. Bei fehlende Informationen, werden diese rot dargestellt (s. Kringel im Screenshot). Die Rubrik Konfigurierte M.ID Benutzer ermöglicht folgende Aktionen M.ID Benutzer filtern Asynchronous M.ID Passcodes aktualisieren M.ID Attribute der Benutzer ändern One-Click-Password Reset Massenversand von Textnachrichten Übersicht der verwendeten M.ID Lizenzen Sortieren der Spalten via Mausklick auf Spaltenüberschrift (s. Kringel im Screenshot) Indexe für die Anfangsbuchstaben der Nachnamen (s. Kringel im Screenshot) Rubrik Konfigurierte M.ID Benutzer M.ID Server Handbuch v4.7.0 Seite 137

138 M.ID Benutzer filtern Fahren Sie mit der Maus über Filter anwenden um die Filteroptionen einzublenden: Es können nach den einzelnen Anmeldemodi, nicht konfigurierten Benutzern, ungültigen Werten, dem Anmeldenamen oder nach Benutzern in einer Active Directory Organisationseinheit gefiltert werden. Das Filtern nach dem Anmeldenamen liefert alle Teilübereinstimmungen und ignoriert Gross-/Kleinschreibung. Um Benutzer in einer AD Organisationseinheit anzeigen zu lassen, müssen Sie den distinguished name dieser Organisationseinheit eingeben. Bspw.: OU=MID Test Users,OU=Humans,DC=testlab,DC=local Aktionen Fahren Sie mit der Maus über Aktionen um weitere Aktionen einzublenden: Aktion Async Passcode aktualisieren Alle Sitzungen beenden Alle M.ID Werte löschen aktualisieren Beschreibung Der Async Passcode Timer aktualisiert die M.ID Passcodes der M.ID Benutzer im Asynchronous Mode nur periodisch. Werden Asynchronous-Einstellungen (bspw. Versandzeit) geändert, werden die M.ID Passcodes nicht sofort versendet. Mit dieser Aktion können nun jedoch die Asynchronous Passcodes aktualisiert werden. Beendet alle M.ID Sitzungen. Alle Session-bezogene M.ID Passcodes (on-demand Modus) werden gelöscht. ACHTUNG! Löscht alle M.ID Benutzerdaten aus dem Datenspeicher. Diese Aktion sollte nur verwendet werden, wenn Swiss SafeLab M.ID Server deinstalliert werden soll. Diese Aktion wird nur eingeblendet, falls die Aktion aktiviert wurde (s. Kapitel ). Lädt die Seite neu Test Message In der Enterprise Edition kann direkt auf die dem Benutzer hinterlegte Nummer/ eine Test- Nachricht gesendet werden. In der Standard Edition steht dieses Feature nicht zur Verfügung. Seite 138 M.ID Server Handbuch v4.7.0

139 Aktivieren/Deaktivieren/Zurücksetzen von M.ID Benutzern Ab v3.2.2 steht in der Admin-Berechtigungsstufe eine zusätzliche Spalte Misc zur Verfügung. Mit dieser Spalte kann man mehrere Benutzer gleichzeitig aktivieren/deaktivieren/zurücksetzen. Mit dem Filter not configured können Benutzer angezeigt werden, welche noch nicht für M.ID konfiguriert wurden. Anschliessend kann für die angezeigten Benutzer das Häkchen Misc. gesetzt werden wodurch alle Benutzer aktiviert werden. Beim Aktivieren wird immer der Anmeldemodus On Demand gesetzt. Sobald ein Modus gesetzt ist, gelten die Benutzer als M.ID konfiguriert. Hinweis: Diese Funktionalität lässt sich für den M.ID Supporter aktivieren Nachricht versenden Auf einfache Weise kann auch ausgewählten M.ID Benutzern eine Nachricht verschickt werden. Dazu müssen die gewünschten M.ID Benutzer selektiert werden (Spalte Misc, s. Screenshot oben). Wird anschliessend ins Textfeld Textnachricht eine Nachricht eingegeben und auf sende Nachricht geklickt, so wird diese Nachricht an alle ausgewählten M.ID Benutzern verschickt One-Click-Password Reset Mit One-Click-Password Reset kann einem M.ID Benutzer sein Active Directory Passwort geändert werden. Beim One-Click-Password Reset muss dem Benutzer kein neues Passwort gesetzt werden. Der M.ID Server generiert ein Zufallspasswort und sendet das Passwort dem Benutzer per SMS/ zu. 1. Selektieren Sie die Benutzer, deren Passwort Sie per One-Click-Password Reset zurücksetzen möchten. 2. Klicken Sie auf Passwort zurücksetzen 3. Bestätigen Sie die Sicherheitsmeldung mit OK 4. Hinweise: Die Funktionalität One-Click-Password Reset steht nur in der Enterprise Edition zur Verfügung. Die Funktionalität kann für den M.ID Supporter freigeschaltet werden M.ID Server Handbuch v4.7.0 Seite 139

140 Verwendete M.ID Lizenzen Spalte Not configured total M.ID users licenses in use Normal licenses ByPass licenses Beschreibung Anzahl Benutzer, welche einen ungültigen M.ID Permission Wert im LDAP haben Anzahl Benutzer, mit gültiger M.ID Permission (auch deactivated) Anzahl Benutzer, mit aktivierter M.ID Permission Anzahl M.ID Lizenzen ohne ByPass (falls erworben) und ohne Password reset only (falls erworben) Lizenzen Anzahl ByPass Lizenzen, falls erworben Password reset only licenses Anzahl Password Reset Only Lizenzen, falls erworben License tolerance Anzahl Lizenzen und Toleranz (in Klammern) gemäss Kaufvertrag. Subscription Ablaufdatum der Subscription, falls erworben Solange [licence in use] (hier 13) kleiner ist, als die Anzahl Lizenzen (hier 10000), ist das Feld grün eingefärbt. Überschreitet [licence in use] die Anzahl Lizenzen (hier 5), ist jedoch noch immer kleiner als Anzahl Lizenzen (5) plus Toleranz (3) also 8 - wird das Feld orange eingefärbt. Wäre [licence in use] grösser als die Summe von der Anzahl Lizenzen plus Toleranz, so verweigert der M.ID Server seinen Dienst. Seite 140 M.ID Server Handbuch v4.7.0

141 Detaillierte M.ID Attribute Durch Klicken auf den Accountnamen eines Benutzers, werden alle seine M.ID Attribute eingeblendet, wie sie im Datenstore abgelegt sind: Die eingeblendeten Attribute können durch Klicken auf das rote Kreuz wieder ausgeblendet werden! M.ID Server Handbuch v4.7.0 Seite 141

142 M.ID Attribute ändern Je nach Berechtigungsstufe können alle (Admin), alle ausser M.ID Permission (Supporter) oder keine (Viewer) M.ID Attribute geändert werden. M.ID Passcode, PIN und Secret Answer müssen im Klartext eingegeben werden. Der M.ID Server verschlüsselt die Werte und speichert diese im Datenstore. Wird der login name in roter Schrift angezeigt, so ist die Initialkonfiguration (fehlen von M.ID Pin, Mobile Number oder Secret Answer) für diesen Benutzer noch nicht abgeschlossen. Hinweis: Je nach M.ID Anmeldemodus können nur bestimmte M.ID Attribute geändert werden. Feld Beschreibung M.ID Permission Wählen Sie aus der Auswahlleiste den gewünschten M.ID Anmeldemodus. Je nach Anmeldemodus stehen unterschiedliche Felder zur Konfiguration zur Verfügung. Allow simple login to M.ID Wählen Sie aus der Auswahlliste, ob sich ein Benutzer nur mit Benutzername/Passwort (Ja) an User GUI der M.ID User GUI anmelden kann oder per Zwei-Faktor-Authentifizierung (Nein). Wählen Sie (not set) um den Wert zu löschen. Choose Phone/ Wählen Sie aus der Auswahlliste, welchen Wert falls vorhanden - aus dem Active Directory für die M.ID Mobile Nummer verwendet werden soll. M.ID Mobile Number Geben Sie eine Mobiltelefonnummer im internationalen Format mit führendem + -Zeichen an oder eine adresse an M.ID Language Wählen Sie aus der Auswahlliste eine gewünschte Sprache M.ID Passcode Dieses Feld enthält den M.ID Passcode für die Anmeldemodi Smart On Demand, Asynchronous, Synchronous. Der Wert muss im Klartext gesetzt werden. M.ID PIN Definiert den M.ID PIN. Der Wert muss im Klartext gesetzt werden. M.ID Secret Answer Um Secret Question und Secret Answer anzugeben, so müssen diese mit // getrennt eingegegebn werden. Bspw: Was gibt es nicht auf dem Mond?//Kleine Käfer New! Beim aktuellen Wert wird die Anzahl der vorhanden Secret Answers sowie erforderlichen Secret Answers angezeigt: M.ID Passcode Refresh Die Werte von M.ID Passcode Refresh können nur in den Anmeldemodi Asynchronous, Smart On Demand und Smart By Pass geändert werden. Definieren Sie die wann ein M.ID Passcode verschickt wird (resp. wann eine Anmeldung erlaubt ist) und wie lange der M.ID Passcode gültig ist. M.ID Passcode Timestamp Zeigt an, wann der letzte M.ID Passcode verschickt wurde. Format: YYYY/MM/DD HH:mm:ss M.ID Alternative Number Geben Sie die eine Mobiltelefonnummer oder eine adresse an. Die Alternativen Nummern werden für Passcode Anforderung auf Alternative Nummern verwendet. motp Data Secret Länge Definiert die Standardlänge der motp-secret für den Benutzer (16 / 32). MOTP Data Secret Die motp-secret im Klartext. Die motp-secret muss ebenfalls auf dem Clientgerät hinterlegt werden. motp Data Zeitverschiebung Die Zeitverschiebung in Sekunden zwischen M.ID Server und Clientgerät. Die Zeitverschiebung kann entweder durch die Anzahl Sekdunden oder New! durch die Eingabe der Client-Zeit im Format HH:MM:SS eingegeben werden. toggle memberof Zeigt die Achtive-Directory Gruppenzugehörigkeit des Benutzers an. Löschen Löscht den Wert aus dem Datenspeicher. Dies setzt in die Eingabefelder den Wert (not set) Ausblenden Schliesst die Ansicht der detaillierten M.ID Attribute des Benutzers Neue Werte speichern Speichert die neuen Werte Reset & deaktivieren Deaktiviert den Benutzer und löscht all seine Werte aus dem Datenspeicher. Dadurch wird eine M.ID Lizenz freigegeben. Seite 142 M.ID Server Handbuch v4.7.0

143 Erfolgreiche Änderungen werden im Message Center aufgeführt. Hinweis: Nur wenn Secret Answer und PIN auf SET stehen, kann sich der Benutzer anmelden. Anderenfalls muss er die Secret Answer und/oder den PIN setzen. Benutzer im Modus By Pass M.ID oder Smart By Pass M.ID können sich trotzdem anmelden Anmeldedaten zusenden Falls die Einstellung Allow to send M.ID Login Data (s. Kapitel ) aktiviert ist, können in der Übersicht der detaillierten M.ID Attribute die Anmeldedaten dem Benutzer auf seine M.ID Mobile Number als SMS/ zugeschickt werden: Je nach M.ID Permission werden unterschiedliche Werte zugeschickt: motp: M.ID PIN, motp Data Secret Length, motp Data Secret, motp Data Time Shift andere: nur M.ID PIN Benutzer im Swiss SafeLab AD Web Manager anzeigen New! Mit der Enterprise Edition besteht die Möglichkeit den Benutzer direkt im Swiss SafeLab AD Web Manager anzeigen zu lassen Nachricht an Benutzer senden New! Um eine Nachricht an den Benutzer zu senden, muss eine der verfügbaren Nummern (M.ID Mobile Number, M.ID Alternative Number 1+2) aus dem Dropdown ausgewählt werden M.ID Benutzer Support Center Beschreibung Das M.ID Benutzer Support Center bietet für die M.ID Administratoren und M.ID Supporter Gruppen folgende Funktionalitäten: M.ID Benutzer Authentifizieren M.ID Passcode Support Aktive M.ID Passcodes Benutzerpasswort zurücksetzen I Benutzerpasswort zurücksetzen II (One-Click-Password Reset) M.ID Server Handbuch v4.7.0 Seite 143

144 Rubrik M.ID Benutzer Support Center M.ID Benutzer Authentifizieren Die Funktionalität M.ID Benutzer Authentifizieren dient dazu, Benutzer welche sich telefonisch melden zu authentifizieren. Dazu wird dem Benutzer eine seiner Secret Question gestellt (bspw. Was gibt es nicht auf dem Mond? ). Der Benutzer muss die Secret Question nicht mit der Secret Answer beantworten, sondern mit dem Buchstaben der geforderten Stelle: M.ID Supporter gibt Benutzername ein M.ID Supporter stellt die Secret Question mit entsprechender Buchstabenposition dem Benutzer Es werden so viele Fragen gestellt, wie in Kapitel Security (count of question to ask) definiert. Wurden alle Fragen korrekt beantwortet, wurde der M.ID Benutzer authentifiziert. Das Vorgehen mit der Frage nach dem Buchstaben an der entsprechenden Position wurde gewählt, damit der M.ID Supporter nicht auf einfache Art und Weise Zugriff auf alle M.ID Secret Answers erhält. Die M.ID Benutzer Authentifizierung kann für folgende Funktionen vorgeschrieben sein Aktive M.ID Passcode Benutzerpasswort zurücksetzen I Benutzerpasswort zurücksetzen II Hinweise: Falls die Secret Answer ein Leerzeichen enthält, so kann dieses ebenfalls als Buchstabe interpretiert werden. Die Grosskleinschreibung ist zu beachten. Seite 144 M.ID Server Handbuch v4.7.0

145 M.ID Passcode Support Unter M.ID Passcode Support werden alle Support Passcodes angezeigt, welche die Benutzer durch die Support Passcodeanforderung (****[PIN]) ausgelöst haben. Ebenfalls werden die M.ID Passcode aller Benutzer mit dem Anmeldemodus Authorize By Admin (s. Kapitel 2.7.9) angezeigt. Wenn Sie M.ID Cluster Member angegeben haben (s. Kapitel 5.5.2), so werden alle Support Passcodes von allen M.ID Cluster Members angezeigt. Ansonsten werden nur die M.ID Support Passcodes des aktuellen M.ID Servers angezeigt. Hinweis: Für die Anzeiger der M.ID Passcode Support ist keine M.ID Benutzer Authentifizierung erforderlich. M.ID Support Passcodes ohne M.ID Cluster Members M.ID Support Passcodes mit M.ID Cluster Members Aktive M.ID Passcodes Die Funktion Aktive M.ID Passcodes zeigt den aktuell gültigen M.ID Passcode eines Benutzers an. Damit der M.ID Passcode angezeigt wird, muss der Benutzer zuerst authentifiziert werden. Diese Bedingung lässt sich ausschalten (s. Kapitel ) Benutzerpasswort zurücksetzen I Die Funktion Benutzerpasswort zurücksetzen bietet dem M.ID Supporter die Möglichkeit das AD Passwort eines Benutzers neuzusetzen/zurückzusetzen. Hinweise: Die Funktionalität steht dem M.ID Supporter nur zur Verfügung, wenn diese aktiviert wurde (s. Kapitel Berechtigungsstufen anpassen) Diese Funktionalität kann ebenfalls an die M.ID Benutzer Authentifizierung gekoppelt werden M.ID Server Handbuch v4.7.0 Seite 145

146 Benutzerpasswort zurücksetzen I Benutzerpasswort zurücksetzen II ( One-Click-Password Reset ) Mit der Funktionalität Benutzerpasswort zurücksetzen II kann der Supporter dem Benutzer ein Passwort zurücksetzen, ohne dass der Supporter das Passwort zuvor selber eingeben muss. One-Click-Password Reset 1. Der Supporter gibt lediglich den Anmeldenamen des Benutzers ein 2. Optional können Kontoeinstellungen gesetzt werden 3. Klicken auf Passwort zurücksetzen 4. Bestätigen der Sicherheitsmeldung Bei diesem Prozess wird das Passwort des Benutzers auf ein Zufallspasswort geändert und dem Benutzer per SMS/ zugesandt. Hinweise: Die Funktionalität steht dem M.ID Supporter nur zur Verfügung, wenn diese aktiviert wurde (s. Kapitel Berechtigungsstufen anpassen) Diese Funktionalität kann ebenfalls an die M.ID Benutzer Authentifizierung gekoppelt werden Seite 146 M.ID Server Handbuch v4.7.0

147 M.ID User Management Beschreibung M.ID User Management Wird in der M.ID Management Control and View auf M.ID User Management geklickt, wird die M.ID User Management angezeigt. Mit der M.ID User Management können Sie: die M.ID Attribute von Benutzern in eine Textdatei speichern (Massenexport) die M.ID Attribute von Benutzern via Textdatei setzen (Massenmutation) nicht verschlüsselte M.ID Attribute verschlüsseln M.ID User Management M.ID Attribute auslesen und in Textdatei speichern 1. Geben Sie an, ob Sie die M.ID Benutzerdaten einer Active Directory Security Group oder einer Organizational Unit exportieren möchten. 2. Geben Sie den distinguishedname der gewünschten User Gruppe (SG oder OU) an, aus der Sie alle Benutzer mit ihren M.ID Attribute (M.ID PIN, Passcode, Secret Answer, ) auslesen möchten Bspw.: CN=Domain Users;CN=Users;DC=TESTDOMAIN;DC=COM 3. Geben Sie die gewünschten Felder an, welche Sie auslesen möchten. Wenn Sie auf das Fragezeichen klicken, erhalten Sie eine Liste der verfügbaren Felder. Geben Sie die Felder aus der Spalte ldap/database attribute an. Es können auch Datenspeicher-Attribute (bspw. memerof, displayname, ) verwendet werden Bspw.: samaccountname;midmobile;midpin;memberof M.ID Server Handbuch v4.7.0 Seite 147

148 4. Wenn Sie auf generate klicken, wird Ihnen eine Textdatei zum Download angeboten. Speichern Sie diese Textdatei an einem beliebigen Ort. Organizational Unit Security Group Hinweise: Die Textdatei enthält Kommentarzeilen (mit einem # beginnend) Die Datenzeilen sind mit einem Tabulator getrennt Zum Einlesen (bspw. in Microsoft Excel) entfernen Sie die Kommentarzeilen Ist ein Wert bei einem Benutzer nicht gesetzt so wird (not set) in die Textdatei geschrieben Wenn die angegebene Benutzergruppe nicht existiert, wird eine leere Textdatei generiert. Fehlermeldungen werden im Message Center angezeigt One-Click-Backup der M.ID Benutzerdaten Bei diesem Vorgang werden alle Benutzerattribute aller konfigurierten M.ID Benutzer (midpermission ist gesetzt, auch deaktivierte) ausgelesen. Somit können Sie auf eine einfache Art und Weise alle Benutzerdaten exportieren und allenfalls in einem neuen Active Directory wieder einlesen. Seite 148 M.ID Server Handbuch v4.7.0

149 1. Wählen Sie all configured M.ID Users 2. Klicken Sie auf generate 3. Speichern Sie die Datei M.ID Attribute via Textdatei setzen (Massenmutation). Damit Sie Ihre Benutzer möglichst einfach und schnell konfigurieren können, bietet M.ID Server die Möglichkeit die Benutzer via Textdatei zu mutieren M.ID Attribute via Dateiupload setzen M.ID Attribute durch Direkteingabe setzen Erstellen Sie eine Textdatei gemäss folgendem Schema: 1. Die 1. Zeile muss die M.ID Attribute enthalten. 2. Die 1. Spalte in 1. Zeile muss der Loginname sein (damit eindeutige Zuordnung gewährleistet ist) 3. Geben Sie in den restlichen Spalten in der 1. Zeile die zu setzenden M.ID Attribute an, trennen Sie jede Spalte mit einem Tabulator 4. Geben Sie nun in jeder nachfolgenden Zeile die zu setzenden Werte an 5. Speichern Sie die so erstellte Datei Bspw.: #### First line contains user ldap attribute names (e.g. samaccountname). samaccountname midpermission midmobile midpin midsecretanswer #### Do not confuse them with the M.ID Mapping Fields (e.g. midpermission). #### The next lines contains the values seperated with a tab: Administrator My Secret Answer is Secret midtest (not set) RowRowRowYourBoat M.ID Server Handbuch v4.7.0 Seite 149

150 Oder erstellen Sie eine Textdatei wie unter beschrieben und passen Sie alle gewünschten Werte an. Wiederum erhalten Sie eine kleine Hilfe durch das Klicken auf das Fragezeichen. Zudem steht ihnen ein Beispiel zum Download zur Verfügung. Hinweise: Wenn Sie einen Wert entfernen wollen, geben Sie als Wert in der Textdatei (not set) an. Verschlüsselte Werte, werden als solches erkannt und nicht wieder verschlüsselt (es sei denn, der mid.key wurde ausgetauscht). M.ID PIN, Passcode und Secret Answer können als Klartext angegeben werden. Diese Werte werden immer verschlüsselt gespeichert Jede Datei die Sie dem M.ID Server übermitteln wird im <Installationsordner>\config\backup im Format UserConfigFile_YYYY_MM_DD_mm_hh_ss.txt gespeichert. Wird ein ungültiger Wert angebenen, so werden alle Werte geschrieben, ausser diesem ungültigen Wert. Fehlermeldungen werden im Message Center angezeigt. Es können auch Attributnamen des Datenspeichers verwendet werden (bspw. memberof, displayname, ). Bitte beachten Sie, dass gewisse Attribute des Datenspeichers schreibgeschützt sind (memberof) M.ID Benutzerdaten verschlüsseln Mit dieser Funktion können alle nicht verschlüsselten M.ID Benutzerdaten (M.ID PIN, M.ID Secret Answer, ) der angegebenen Benutzer verschlüsselt werden. Dies ist hilfreich, wenn die Benutzerdaten im Datenspeicher durch eine Fremdapplikation (welche den Verschlüsserlungsalgorithmus nicht kennt) mutiert werden. 1. Mutieren der Benutzerdaten mit einer Fremdapplikation (bspw. ADUC Attribute Editor). Bspw. kann nun in das M.ID PIN-Feld der Wert in Klartext eingegebenen werden 2. Erfassen Sie in der Textbox auf jeder Zeile einen Benutzernamen 3. Klicken Sie auf upload & send 4. Der M.ID Server kontrolliert nun für jeden angegebenen Benutzernamen, welche Werte verschlüsselt werden müssen. Bereits verschlüsselte Werte werden nicht mutiert. Seite 150 M.ID Server Handbuch v4.7.0

151 7.5. M.ID User Configuration Beschreibung Die M.ID User Configuration ermöglicht einem M.ID Benutzer seine M.ID Daten (Mobiltelefonnummer, M.ID PIN,...) zu ändern. Die M.ID User Configuration ist unter der IP-Adresse des M.ID Servers und dem entsprechenden Port (s. Kapitel 5.5.8) aufrufbar (falls die Firewall-Regeln entsprechend konfiguriert wurden). M.ID User Configuration im Mozilla FireFox Browser Anmeldung an M.ID User Configuration Einleitung Die Anmeldung an der M.ID User Configuration erfolgt ebenfalls via Zwei-Faktor-Authentifizierung (Benutzername, Passwort, M.ID Passcode). Dies erfordert jedoch, dass der Benutzer für M.ID bereits konfiguriert. Je nach Anmeldemodus ist eine M.ID Mobile Number oder die motp-einstellungen nötig. Dieser Anmeldevorgang ist im nachfolgenden Kapitel beschrieben. Der Anmeldevorgang für Benutzer, welche die Initialkonfiguration noch nicht abgeschlossen haben, wird im Kapitel beschrieben Ziel der User Web Console Anmeldung Mit der Konfiguration display logon to dropdown kann ein Dropdown eingeblendet werden, welches dem Benutzer die Zielseite nach der Anmeldung anzeigt. Derzeit stehen folgende Zielseiten z.v.: M.ID Server Handbuch v4.7.0 Seite 151

152 User Web Console Wizard Anmeldevorgang für konfigurierte M.ID Benutzer Der nachfolgende Ablauf beschreibt einen Anmeldevorgang eines M.ID Benutzer, der für M.ID komplett konfiguriert wurde (Anmeldung via M.ID ist möglich): 1. Starten eines Web-Browsers mit der URL der M.ID User Configuration bspw.: 2. Eingabe von Benutzername und Active Directory Passwort Die Sprache der Anmeldeseite entspricht der Standard M.ID Benutzersprache. Der M.ID Passcode wird dem Benutzer auf seine hinterlegte M.ID Mobilnummer verschickt Ist die M.ID Permission auf motp gesetzt, so wird kein M.ID Passcode verschickt Ist das M.ID Benutzerattribut Allow simple login to User GUI gesetzt, so wird kein M.ID Passcode verschickt und der Benutzer gelangt bei korrektem Benutzername/Passwort direkt zur M.ID User Web Console ohne Zwei-Faktor-Authentifizierung. New! Ist die Konfiguration Allow Simple Login gesetzt, so wird kein M.ID Passcode verschickt und der Benutzer gelangt bei korrektem Benutzernamen/Passwort direkt zur M.ID User Web Console ohne Zwei-Faktor-Authentifizierung. 3. Eingabe des M.ID Passcodes resp. des motp Seite 152 M.ID Server Handbuch v4.7.0

153 Es findet keine M.ID PIN Abfrage statt. Falls der Benutzername existiert, so wird nun die entsprechende M.ID Sprachdatei geladen. 4. Falls die Anmeldung erfolgreich war, wird der Benutzer auf die M.ID User Configuration Web-Seite weitergeleitet Anmeldevorgang für Initialkonfiguration mit konfigurierter M.ID Mobilnummer Für diesen Anmeldevorgang (s.a. Kapitel ) ist es erforderlich, dass die M.ID Administration folgende Einstellungen vorgenommen hat: Festlegen der M.ID Permission Die M.ID Permission muss immer durch die M.ID Administration festgelegt werden Festlegen der M.ID Mobilnummer / adresse 1. Starten eines Web-Browsers mit der URL der M.ID User Configuration bspw.: 2. Eingabe von Benutzername und Active Directory Passwort (s. Screenshot oben) 3. Der M.ID Passcode wird dem Benutzer auf seine hinterlegte M.ID Mobilnummer verschickt ausser beim Anmeldemodus motp 4. Eingabe des M.ID Passcodes bzw. motp (s. Screenshot oben) 5. Falls die Anmeldung erfolgreich war, wird der Benutzer auf die M.ID User Configuration Web-Seite weitergeleitet Anmeldevorgang für Initialkonfiguration ohne konfigurierter M.ID Mobilnummer Für diesen Anmeldevorgang (s.a. Kapitel ) ist es erforderlich, dass die M.ID Administration folgende Einstellungen vorgenommen hat: Festlegen der M.ID Permission Die M.ID Permission muss immer durch die M.ID Administration festgelegt werden Häkchen setzen für Allow simple login to M.ID User GUI / Allow login with Username/PW erlauben Falls die Benutzer Ihre M.ID Mobile / -Nummer NICHT ändern dürfen, so muss zusätzlich noch diese Nummer festlegt werden. M.ID Server Handbuch v4.7.0 Seite 153

154 Der Benutzer kann sich in diesem Fall nur mit Benutzername und Passwort anmelden: 1. Starten eines Web-Browsers mit der URL der M.ID User Configuration bspw.: 2. Eingabe von Benutzername und Active Directory Passwort 3. Weiterleitung direkt auf die M.ID User Configuration Web-Seite, auf Grund Allow login with Username/PW Verweigerte Anmeldevorgänge Die Gründe für verweigerte Anmeldungen können sein: M.ID Berechtigung nicht gesetzt M.ID Mobilnummer nicht gesetzt Haken Anmeldung mit Username/Passwort nicht gesetzt Das Passwort ist falsch Der Benutzer hat seine Initialkonfiguration abgeschlossen und der Haken für always allow changes wurde entfernt (s. Kapitel Global Settings). M.ID Berechtigung auf By Pass M.ID oder Smart By Pass M.ID gesetzt Online Hilfe Sprechblase Die Ursache der Verweigerung wird im Message Center angezeigt Die M.ID User Web Consol besitzt für jedes M.ID Attribut, welches mutiert werden kann eine Sprechblasenhilfe. Hierfür muss mit der Maus über das Fragezeichen bewegt werden, die Sprechblase wird automatisch eingeblendet: Die Texte der Sprachblase sind können in den M.ID User Sprachdateien angepasst werden. Seite 154 M.ID Server Handbuch v4.7.0

155 Externe Webseite Falls in Kapitel eine entsprechende URL konfiguriert wurde, erscheint in der M.ID User Web Console ein zusätzlicher Link, welcher auf diese Webseite verweist: Wizard starten Falls in Kapitel die Konfiguration aktiviert wurde, so erschtin in der M.ID User Web Console eine zusätzliche Schaltfläche zum Ausführen des M.ID User Initialization Wizards (s. Kapitel 7.6 M.ID User Initialization Wizard): M.ID Benutzerdaten mutieren Beschreibung Der Benutzer kann seinen M.ID PIN, M.ID Secret Answer und Alternative Nummer bequem via Formular ausfüllen. Ebenso kann er seine bevorzugte Sprache auswählen. Die roten Felder weisen den Benutzer darauf hin, dass seine Initialkonfiguration für M.ID noch nicht abgeschlossen ist: Änderungen an den M.ID Attributen werden ebenfalls im Message Center angezeigt: M.ID Server Handbuch v4.7.0 Seite 155

156 Sobald M.ID PIN und M.ID Secret Answer gesetzt wurden, kann der Benutzer M.ID verwenden. Standardmässig werden die Anmeldedaten durch * dargestellt. Durch klicken auf Werte einblenden können diese eingeblendet resp. mit Werte ausblenden ausgeblendet werden. Hinweise: Die Sitzungsdauer kann in den M.ID Server Einstellungen definiert werden. Nach Inaktivität wird die Sitzung automatisch beendet. Das explizite abmelden via logout ist nicht zwingend Das Schliessen des Browserfenster bewirkt selbiges. Wenn der M.ID PIN nicht gesetzt wurde, stimmt das PIN-Format nicht mit dem PIN-Format der M.ID Einstellungen überein Das PIN-Format entspricht den M.ID Einstellungen (s. Kapitel Security) Wird die Funktion always allow changes (s. Kapitel Global Settings) deaktiviert, können sich Benutzer an der M.ID User Konfigurationsseite nicht mehr anmelden, sobald M.ID PIN und M.ID Secret Answer gesetzt sind motp-daten mutieren Die motp-daten können nur von Benutzer mutiert werden, falls diese den motp-anmeldmodus benutzen und die M.ID Administration das Mutieren der motp-daten erlaubt (s. Kapitel 7.5.4). Seite 156 M.ID Server Handbuch v4.7.0

157 Mutieren der motp-daten Feld/Funktion Secret generieren senden Zeitverschiebung Serverzeit Clientzeit Beschreibung Die motp-secret als Hex-String. Diese motp-secret muss ebenfalls auf dem Smartphone in der motp-app hinterlegt werden Generiert eine motp-secret gemäss der von der Administration festgelegten motp Secret Length. Schickt die gespeicherte (Aktuelle Einstellungen) motp-secret per SMS an das Mobiltelefon. Zeitverschiebung in Sekunden. Die Zeitverschiebung muss so gewählt werden, dass sich die Serverzeit mit der Clientzeit deckt. Zeit des Servers, auf dem Swiss SafeLab M.ID installiert wurde Zeit des Clients (bspw. Smartphone des Benutzers) Mutationen von bestimmten M.ID Benutzerdaten aktivieren/deaktivieren Der M.ID Server kann so konfiguriert werden, dass der Benutzer nur bestimmte M.ID Attribute mutieren darf: Mutieren von M.ID PIN, M.ID Secret Answer, M.ID Alternativen Nummern deaktiviert M.ID Server Handbuch v4.7.0 Seite 157

158 Felder werden entsprechend ausgeblendet Hinweis: motp-daten können nicht mutiert werden, da die M.ID Permission auf on Demand steht und die Einstellung control visibility depends on M.ID Permission gesetzt ist Sichtbarkeit der Formularfelder in Abhängigkeit der M.ID Permission Standardmässig ist das Mutieren von motp-daten nur mit der motp-m.id Permission möglich. In allen anderen Anmeldemodi ist das Mutieren deaktiviert: motp-daten können nur mit motp-m.id Permission mutiert werden Mit der M.ID Server Einstellung control visibility depends on M.ID Permission (s. Kapitel 5.5.8) kann diese Einschränkung aufgehoben werden: Seite 158 M.ID Server Handbuch v4.7.0

159 motp-daten können nun auch mit On Demand-M.ID Permission mutiert werden M.ID Server Handbuch v4.7.0 Seite 159

160 7.6. M.ID User Initialization Wizard Beschreibung M.ID User Initialization Wizard Der auschliesslichlich in der Enterprise Edition verfügbare M.ID User Initialization Wizard erleichtert den Benutzer die Konfiguration ihrer M.ID Benutzerdaten durch einen geführten Schritt für Schritt Assistenten. Der M.ID User Initialization Wizard lässt sich auf unterschiedliche Arten starten: 1. Aus der M.ID User Web Console, falls die Konfigurationseinstellung vorgenommen wurde (s ) 2. Der Benutzer den Wizard bei der Anmeldung aus dem Dropdown wählt (s ) 3. Falls der Benutzer noch nicht konfiguriert ist und die Administration die Konfiguration force first login with wizard aktiviert hat (s ) Nach jedem Schritt werden die M.ID Benutzerdaten überprüft und gegebenenfalls wird der Benutzer wieder auf den letzten Dialog zurückgeführt. Die angezeigten Dialoge sind Abhängig von den M.ID User Permissions (s ): Verwendung M.ID User Initialization Wizard M.ID User Initialization Wizard - Sprache Eingabe der gewünschten M.ID Benutzersprache M.ID User Initialization Wizard M.ID Mobile Nummer / Eingabe der M.ID Mobil Number / . Seite 160 M.ID Server Handbuch v4.7.0

161 M.ID User Initialization Wizard M.ID PIN Eingabe des M.ID PINs M.ID User Initialization Wizard M.ID Secret Questions and Secret Answers Eingabe der M.ID Secret Questions und Secret Answers. Die Anzahl der SQ & SA kann von der Administration festgelegt werden M.ID User Initialization Wizard motp Data Eingabe der motp Daten. Der Benutzer hat zusätzlich die Möglichkeit sich die motp Daten zustellen zu lassen. M.ID Server Handbuch v4.7.0 Seite 161

162 M.ID User Initialization Wizard M.ID Alternative Nummern/ s Optionale Eingaben der M.ID Alternative Number M.ID User Initialization Wizard Werte Bestätigen Anzeigen der zu speicherenden M.ID Benutzerdaten M.ID User Initialization Wizard Werte speichern Erfolgsmeldung, wenn die M.ID Benutzerdaten gespeichert werden konnten. Seite 162 M.ID Server Handbuch v4.7.0

163 M.ID Server Handbuch v4.7.0 Seite 163

164 7.7. Logging Folgende Möglichkeiten stehen für ein Logging zur Verfügung: Logging in Dateien Logging in eine Datenbank mittels ODBC-Treibern Telnet Logging Syslog-Server Logging Event Logging Logging in Windows Event Log Logging in Dateien mid.log Dateien Für die Konfiguration dieses Loggings ist die Datei mid_logging.properties in <Install Folder>\config\ verantwortlich: Key Beschreibung Standardwert pattern Pfad, wobei %g die Dateinummer angibt. log\\mid%g.log limit max. Dateigrösse in Bytes, bevor in eine neue Datei geschrieben wird count Anzahl Dateien, die beibehalten werden. Bei Erreichen der max. 10 Anzahl, wird die älteste überschrieben. level SEVER Fehler, die für Sie sehr wichtig sind z.b. fehlgeschlagener Versand einer SMS. INFO INFO Informationen z.b. wann sich ein Benutzer angemeldet hat. FINE Informationen für die Fehlersuche. FINER Informationen für die Entwicklung. Ein gewählter Level beinhaltet alle höheren Level z.b. INFO beinhaltet auch SEVERE. Normalerweise wird der INFO Level verwendet. Die Informationen können im Text- oder im XML Format abgelegt werden. Das XML Schema (DTD) ist elektronisch unter zu finden. Hinweis: Die mid0.log Datei kann via M.ID Management Control And View oder M.ID Configurator geöffnet werden Erläuterung der Einträge Auszüge bei erfolgreicher Anmeldung :23:19 Eventlistener - Server INFO: New M.ID Session: User [Benutzername] Erläuterung: Der M.ID Server erhält eine Authentifizierungsanfrage des Benutzers [Benutzername] :23:20 Session-Mode - Server FEIN: new Session ID for user [Benutzername] with permission On demand Erläuterung: Der PIN wurde erfolgreich überprüft und somit wurde dem [Benutzername] eine Session ID zugewiesen Seite 164 M.ID Server Handbuch v4.7.0

165 :23:27 Eventlistener - Server INFO: Permission: Login-Session: Erläuterung: Die angegebene Session-ID wird überprüft. Steht im nach folgenden Log keine weiteren Infos mehr, so ist die Session gültig (gültiger Passcode) Auszüge bei falschem PIN :31:17 Eventlistener - Server INFO: New M.ID Session: User [Benutzername] Erläuterung: Der M.ID Server erhält eine Authentifizierungsanfrage des Benutzers [Benutzername] :31:18 M.ID Process - LDAP Content WARNUNG: invalid or missing Pin for [Benutzername] Erläuterung: Der PIN wurde falsch eingegeben, oder es ist kein PIN hinterlegt Auszüge bei falschem Passcode :33:15 Eventlistener - Server INFO: Permission: Login-Session: Erläuterung: Die angegebene Session-ID wird überprüft. Steht im nach folgenden Log keine weiteren Infos mehr, so ist die Session gültig (gültiger Passcode) :33:15 Session-Mode - content FEINER: invalid Erläuterung: Die Überprüfung der Session-ID ist gescheitert (falscher Passcode) stdout.txt, stderr.txt Dateien Die Datei stdout.txt beinhaltet Informationen zur verwendeten M.ID Server Version und der verwendeten Lizenzdatei. Die Datei stderr.txt beinhalten unerwartete Programmfehler. Bei jedem Neustart des M.ID Service werden diese beiden Dateien neu angelegt (überschrieben). Um eine Fehlersuche zu erleichtern, ist es sinnvoll das Überschreiben der Datei zu verhindern. Auf Windows Plattformen gehen Sie dabei wie folgt vor: i. Öffnen Sie den Registry-Editor ii. Wechseln Sie zum Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [MIDSERVICENAME]\Parameters iii. Setzen Sie den Wert von Overwrite Files Flag von 1 (überschreiben) auf 0 (anfügen) iv. Starten Sie den M.ID Service neu Hinweis: Die stdout.txt und stderr.txt Dateien können via M.ID Management Control And View oder M.ID Configurator geöffnet werden. M.ID Server Handbuch v4.7.0 Seite 165

166 Logging in Datenbank Hinweis: Das Datenbanklogging Feature steht nur in der Enterprise Edition zur Verfügung. Um die Flexibilität für die Weiterverarbeitung der Informationen möglichst gross zu halten, kümmert sich der M.ID Server nicht um die Grösse der Datenbank, d.h. der Administrator ist verantwortlich, dass nicht mehr gebrauchte Einträge gelöscht werden. Mit der Installation des Swiss SafeLab M.ID Server wird eine Microsoft Access Datenbank (MID.mdb) mitgeliefert, welche die benötigten Datenstrukturen enthält. Es steht dem Anwender frei, diese Tabellenstrukturen in eine andere Datenbank zu importieren (Microsoft SQL Server,...). Beachten Sie hierbei, dass Sie die entsprechenden ODBC-Treiber verwenden! Die Anleitung zum Einrichten des Datenbankloggings finden Sie im Kapitel Logging. Derzeit werden folgende Aktivitäten geloggt Anmeldungen (Tabelle LOG_AUTHENTICATIONS), s. Kapitel Ausgelöste SMS (Tabelle LOG_BILLING), s. Kapitel 7.10 Wird eine Datenbank verwendet um die Informationen zu speichern, kann zusätzlich zu vordefinierten Feldern, jedes x-beliebige LDAP Feld aus dem Kontext des Benutzers mitgeschrieben werden. Damit wird ein Billing und Reporting ermöglicht (s. Kapitel 7.10 Billing und 7.11 Reporting für Tabellenbeschreibungen) Datenbank Tabellenbeschreibung Tabelle LOG_AUTHENTICATION Feld Beschreibung LogAuth_ID Laufnummer LogAuth_TimeStamp Zeitstempel der Anmeldung, Check des PINs, des Passcodes MIDUser_Username Benutzername LogAuth_SessionID Generierte SessionID LogAuth_successful [True False], erfolgreiche Anmeldung LogAuth_validPin [True False], Resultat der PIN-Überprüfung LogAuth_validPasscode [True False], Resultat der Passcode-Überprüfung LogAuth_Description Beschreibung des Anmeldeprozesses Tabelle LOG_BILLING Feld Beschreibung LogBilling_ID Laufnummer LogBilling_TimeStamp M.ID Server Zeitstempel des SMS Auftrages an den SMS Provider LogBilling_PhoneNr Empfängernummer LogBilling_Message Text der SMS. Bei SMSType=0 oder 3 wird der Text unterdrückt LogBilling_Comment Zusätzliche Info geschrieben vom M.ID Server LogBilling_SMSProvider Name des SMS Providers über den das SMS verschickt wurde LogBilling_SMSType s. Tabelle SMS_TYPE.SMS_TYPE_ID LogBilling_SMSID Eindeutige ID der SMS. Ist ebenfalls in der mid0.log ersichtlich LogBilling_Credits Anzahl verfügbare Credits des SMS Providers LogBilling_LDAPFields1-9 Werte gemäss LDAP Fields1-9 (s. Screenshot) Tabelle SMS_TYPE Feld Beschreibung SMS_TYPE_ID Laufnummer Seite 166 M.ID Server Handbuch v4.7.0

167 SMS_TYPE Typ der SMS, Auslösungsgrund der SMS, gemäss nachstehender Tabelle SMS_TYPE_ID SMS_TYPE 0 M.ID Authentication SMS SMS, die Aufgrund des Anmeldeprozesses ausgelöst werden 1 M.ID Service Message SMS, die der M.ID Server auslöst (bspw. Low Credit Warning, Bestätigung bei PIN reset, ) 2 M.ID Provider Test SMS, die durch den Provider Test ausgelöst werden 3 Private SMS SMS, welche über das M.ID Outlook 2007 Addin ausgelöst werden 4 M.ID Confirmation SMS Confirmation SMS Bestätigungs-SMS (bspw. bei PIN oder Passwort reset) 5 Development SMS, welche während der Entwicklungsphase ausgelöst werden 6 M.ID Password Reset SMS SMS, welche auf Grund eines Passwort Resets ausgelöst werden 7 Outlook Mobile Service Reserviert 8 Web Portal Reserviert 9 To SMS Server Reserviert 10 Document Protector Reserviert 11 M.ID Authentication SMS 12 Connection Observer Service Reserviert Logging in Windows Event Log Auf Windows-Plattformen besteht die Möglichkeit, Lifeness-Checks ins Windows Event Log zu schreiben. Damit diese Einträge geschrieben werden, muss die Windows Event Logging Funktionalität aktiviert werden: Aktivierung mit M.ID Configurator M.ID Server Handbuch v4.7.0 Seite 167

168 Aktivierung direkt in mid.conf Windows Event Log Eintrag 7.8. Telnet Monitoring Der M.ID Server besitzt ein Telnet-Interface wodurch Statistiken und LogMeldungen ausgegeben werden können. In der Konsole starten Sie die Telnet-Verbindung über: ist der Standardport der M.ID Management Control And View. Sie können diese Portnummer gemäss Ihren Anforderungen konfigurieren. Nach dieser Eingabe bleibt die Konsole schwarz. Geben sie dann den Administratorbenutzername gefolgt von //// und anschliessend das Administratorpasswort ein: Administratorbenutzername: admin Administratorpassword: midmid Eingabe: admin////midmid Die Eingabe wird nicht angezeigt. Bei einer fehlerhaften Eingabe wird die Telnet Verbindung beendet. Bei einem erfolgreichen Login erscheint eine Log Meldung zur Begrüssung: :59:51 Monitor - Configuration INFO: Welcome to the Monitor-Center. Your IP is Hinweis: Das Telnet Monitoring funktioniert, wenn kein SSL zur M.ID Management Control And View verwendet wird Telnet Befehlsliste Befehl Funktion e [enter] Beendet die Telnet Session Seite 168 M.ID Server Handbuch v4.7.0

169 q [enter] Beendet die Telnet Session l [1..4] [enter] Ändert den Log Level 1 = SEVERE 2 = INFO 3 = FINE 4 = FINER dx [enter] Debug Level siehe Kapitel 0 fs [enter] Ausgabe der Log Meldungen als Text fx [enter] Ausgabe der Log Meldungen als XML s [enter] Ausgabe der Statistiken v [enter] Ausgabe der Programmversion h [enter] Hilfe? [enter] Hilfe Debug Level Mit diesem Modus lassen sich gezielte Log Meldungen einschalten. Diese sind Themen Orientiert. Mit dem Hilfe Befehl erhalten Sie eine Liste mit allen momentan verfügbaren Kategorien. Geben Sie den Buchstabe d ein und danach alle gewünschten Debug Levels. Sie können weitere Levels durch nochmaligen Aufruf des Befehles hinzufügen Lifeness Überwachung Beschreibung Lifeness Checks Der M.ID Server überwacht in regelmässigen Abständen die angeschlossenen Komponenten. Er überprüft die Kommunikation gemäss Konfiguration der folgenden Kapitel. Der M.ID Server lässt sich so konfigurieren, dass er bei Änderungen eines Zustandes eine SMS oder verschickt (s. Kapitel 5.5.6). Folgende Dienste können überwacht werden: M.ID Server o Event Login o Web Consoles SMS Gateways o Bei jeder Überprüfung wird der aktive SMS Provider auf jenen mit der höchsten Priorität gesetzt. Logging Datenbank LDAP Verzeichnis HTTP-Lifeness Requests Der M.ID Server selber kann über http Abfragen überwacht werden. Folgende http-requests stehen zur Verfügung: event port]/life o Prüft ob Anfragen von M.ID Agenten entgegengenommen werden können o Bspw. Web Console port]/life o Prüft Verfügbarkeit der Admin Web Console o Bspw. Web Console port]/life o Prüft Verfügbarkeit der User Web Console o Bspw. Web Password Reset port]/life o Prüft Verfügbarkeit des Integrated Web Password Reset Agents o Bspw. M.ID Server Handbuch v4.7.0 Seite 169

170 Die korrekten Portnummern entnehmen Sie bitte Ihrer Konfiguration. Als Antwort wird OK zurückgegeben. Siehe auch Kapitel Logging in Windows Event Log Lifeness File Falls ein Lifeness Dateiname definiert wurde (s. Kapitel 5.5.6), schreibt der M.ID Server bei jeder Lifeness Überwachung einen Statusbericht über LDAP-, SMS Provider- und Datenbankanbindung in die definierte Datei: [STATUS] DATE= :39:21 HOST= (DURBAR) SOURCE=Swiss SafeLab M.ID Server Enterprise Edition 4.1.0, Build DB_COUNT=0 LDAP_COUNT=1 LDAP_1=1; :636/DC=testlab,DC=local SMS_COUNT=2 SMS_1=1;Swiss SafeLab SMS01 SMS_2=1;Swiss SafeLab SMS03 Lifeness Schlüssel DATE HOST SOURCE DB_COUNT DB_? LDAP_COUNT LDAP_? SMS_COUNT SMS_? Beschreibung Erstellungsdatum der Lifeness Datei IP und Computername auf welchem der M.ID Server läuft Version des M.ID Servers Anzahl angebundene Datenbanken. 0, falls keine Datenbank angebunden ist? = Index der angebunden Datenbank. Falls DB_COUNT = 0, ist kein Eintrag DB_? Vorhanden. Falls DB_COUNT = n, so sind Einträge DB_1 bis DB_n vorhanden. Die Werte sind durch ein Semikolon getrennt. Der erste Wert [0 1] definiert den Status, wobei 1 = OK bedeutet. Der zweite Wert identifiziert das zu überwachende Objekt. Anzahl angebundene LDAP-Server. 0, falls kein LDAP-Server angebunden ist? = Index des angebundenen LDAP-Servers. Falls LDAP_COUNT = 0, ist kein Eintrag LDAP _? Vorhanden. Falls LDAP _COUNT = n, so sind Einträge LDAP _1 bis LDAP _n vorhanden. Die Werte sind durch ein Semikolon getrennt. Der erste Wert [0 1] definiert den Status, wobei 1 = OK bedeutet. Der zweite Wert identifiziert das zu überwachende Objekt. Anzahl angebundene SMS Providers. 0, falls kein SMS Provider angebunden ist? = Index des angebunden SMS Providers. Falls SMS_COUNT = 0, ist kein Eintrag SMS_? Vorhanden. Falls SMS_COUNT = n, so sind Einträge SMS_1 bis SMS_n vorhanden. Die Werte sind durch ein Semikolon getrennt. Der erste Wert [0 1] definiert den Status, wobei 1 = OK bedeutet. Der zweite Wert identifiziert das zu überwachende Objekt. Eine solche Text-Datei kann mit gängigen Monitoring-Tools blabliblablu Billing Beschreibung Falls die Datenbank-Logging Funktionalität aktiviert ist (s. Kapitel 5.5.6), wird bei jedem Versand einer SMS ein neuer Datensatz in der Tabelle LOG_BILLING (s. Kapitel )mit SMS-Typen der Tabelle SMS_TYPE (s. Kapitel ) erstellt. Die definierten LDAP-Felder werden zusätzliche mitgespeichert: Seite 170 M.ID Server Handbuch v4.7.0

171 Wenn Sie bspw. eines der LDAP Felder auf samaccountname und die Anzeige auf only Val setzen, können Sie nun alle Datensätze nach dem entsprechenden LogBilling_LDAPFields gruppieren und bspw. alle Datensätze zählen, welche LogBilling_SMSType=3 haben: SELECT Count(LOG_BILLING.LogBilling_ID) AS PrivateSMSCount, LOG_BILLING.LogBIlling_LDAPFields5 FROM LOG_BILLING WHERE (LOG_BILLING.LogBilling_SMSType=3) GROUP BY LOG_BILLING.LogBIlling_LDAPFields5; Es steht Ihnen natürlich frei, weit aus kompliziertere Auswertungen durchzuführen. Hinweis: Das Datenbank-Logging-Feature steht nur in der Enterprise Edition zur Verfügung Reporting Beschreibung Falls die Datenbank-Logging-Funktionalität aktiviert ist, werden Aktionen wie: Ausgelöste SMS Anmeldungen / Anmeldeversuche protokolliert. Andererseits besteht die Möglichkeit der M.ID Administration per periodisch eine Übersicht der verwendeten Lizenzen zukommen lassen. Microsoft Access bietet eine einfache Möglichkeit aus Tabellen und Abfragen komplexe Reports zu generieren. Ebenso kann mit Microsoft Excel auf die Tabellen zugegriffen werden. Es steht Ihnen frei, beliebige Reports zu erstellen. Hinweis: Das Datenbank-Logging-Feature steht nur in der Enterprise Edition zur Verfügung Ausgelöste SMS Tabellenbeschreibung s. Kapitel Beschreibung s. Kapitel Anmeldungen / Anmeldeversuche Tabellenbeschreibung s. Kapitel Lizenzstatus Falls die Option zum Versand des Lizenzstatus aktiviert ist (s. Kapitel ) so erhält die Administration periodisch eine Text- mit folgendem Inhalt: M.ID Server Handbuch v4.7.0 Seite 171

172 Swiss SafeLab M.ID Server Release Candidate 2 Enterprise Edition 4.2.0, Build Licence Statistics Generated: :46:59 Host: (TESTLAB001) Licence Overview: total M.ID users: 15 licences in use: 11 normal licences: / 9 licenses tolerance: 10080(30) subscription: YES until Users per M.ID Permissions: motp: 2 Password reset only: 1 By pass MID: 1 On demand: 7 Deactivated: Benutzernamen-Anmeldemodi Der M.ID Server unterstützt drei Benutzernamen-Anmeldemodi: Benutzername, bspw. midtest, MuellerH User Principal Name, bspw. midtest@example.com, Mueller@example.com adresse bspw. mid@example.com, Heinz.Mueller@example.com Um die neuen Anmeldemodi verwenden zu können, müssen die Felder vorerst konfiguriert werden, welche die entsprechenden Werte besitzen (s. Kapitel Datastore Settings, Login Settings). Auf Grund den angegebenen Felder entscheidet der M.ID Server ob es sich um einen gültigen Anmeldenamen handelt oder nicht. Seite 172 M.ID Server Handbuch v4.7.0

173 8. M.ID Integrated Web Password Reset Agent 8.1. Einleitung Der Swiss SafeLab M.ID Integrated Password Reset Agent ist, wie der Name andeutet, bereits im M.ID Server integriert. Somit entfällt eine Installation desselben. Wie die M.ID Management Control And View ist der M.ID Integrated Password Reset Agent eine Webseite, welche vom M.ID Server generiert wird. Hinweis: Der Swiss SafeLab M.ID Integrated Password Reset Agent ist nur in der Enterprise Edition vorhanden Konfiguration Die Konfiguration des Swiss SafeLab M.ID Integrated Password Reset Agents wird mit dem M.ID Configurator vorgenommen: Feld Enable SSL Listener Port Beschreibung Wird das Häkchen gesetzt, so steht der Swiss SafeLab M.ID Integrated Password Reset Agent den Benutzern zur Verfügung Wird das Häkchen gesetzt, so muss der Integrated Web Password Reset Agent via HTTPS aufgerufen werden Port, auf welchem der Integrated Web Password Reset Agent zur Verfügung steht Verwendung Um den M.ID Integrated Web Password Reset Agent verwenden zu können, muss lediglich ein Browser mit der entsprechenden URL gestartet werden, bspw.: Die Initialsprache des Integrated Web Password Reset Agent entspricht der Benutzerstandardsprache. M.ID Server Handbuch v4.7.0 Seite 173

174 Sobald sich ein Benutzer anmeldet, ändert sich die Sprache entsprechend dem M.ID Language Attributs des Benutzers. Der Benutzer wird zur Eingabe seines Benutzernamens aufgefordert. Im nächsten Schritt, erscheint eine der hinterlegten Secret Questions und der Benutzer wird zur Eingabe der entsprechenden Secret Answer aufgefordert. Falls Benutzername, Secret Question und Secret Answer übereinstimmen, wird ein Passcode versendet: Seite 174 M.ID Server Handbuch v4.7.0

175 Falls der Passcode korrekt eingegeben wurde, wird das Passwort im Active Directory auf ein Zufallspasswort gesetzt und dieses dem Benutzer auf zugeschickt. M.ID Server Handbuch v4.7.0 Seite 175

176 9. M.ID Password Reset Agent for Windows Logon 9.1. Einleitung Der Swiss SafeLab M.ID Password Reset Agent for Windows Logon erweitert den Windows Credential Manager ab Windows Vista. Somit steht der M.ID Password Reset Agent for Windows Logon nur für die Betriebssysteme Windows Vista, Windows 7 und Windows Server 2008 zur Verfügung. Der M.ID Password Reset Agent for Windows Logon steht ebenfalls im Remote Desktop Connection zur Verfügung Installation Die Installation erfolgt über das architekturspezifische (x64, x86) Installationspaket. 1. Starten Sie das entsprechende Installationspaket 2. Folgen Sie den Installationsanweisungen 3. Starten Sie den M.ID Configurator und lassen Sie sich die.adm und.reg -Dateien erstellen Hinweis: Derzeit ist der M.ID Password Reset Agent for Windows Logon nur via HTTP erreichbar! 4. Importieren Sie die.reg-datei oder verwenden Sie den Group Policy Editor und importieren die.adm-datei 5. Starten Sie die Workstation/Server neu 6. Der Swiss SafeLab M.ID Password Reset Agent sollte nun im Anmeldebildschirm angezeigt werden Seite 176 M.ID Server Handbuch v4.7.0

177 adm Datei importieren 1. Starten Sie den Group Policy Editor (gpedit.msc) 2. Wechseln Sie in Local Computer Policy\Computer Configuration\Administrative Templates 3. Wählen Sie im Kontextmenü von Administrative Templates Add/Remove Templates Klicken Sie auf Add... und suchen Sie die.adm-datei (<MID Installationsordner>\config\mid.adm) 5. Klicken Sie auf Close Administrative Template konfigurieren Windows Server Starten Sie den Group Policy Editor (gpedit.msc) 2. Wechseln Sie in Local Computer Policy\Computer Configuration\Administrative Templates\Classic Administrative Templates (ADM)\M.ID Settings 3. Doppelklicken Sie MID Server URLs 4. Aktivieren Sie die Policy (Enabled) 5. Passen Sie allenfalls M.ID Server URLs an Windows Server Starten Sie den Group Policy Editor (gpedit.msc) 2. Wechseln Sie in Local Computer Policy\Computer Configuration\Administrative Templates 3. Klicken Sie im Kontextmenü von Administrative Templates auf View\Filtering Entfernen Sie das Häkchen bei Only Show policy settings that can be fully managed 5. Klicken Sie auf OK 6. Wechseln Sie in Local Computer Policy\Computer Configuration\Administrative Templates\M.ID Settings 7. Doppelklicken Sie MID Server URLs 8. Aktivieren Sie die Policy (Enabled) 9. Passen Sie allenfalls M.ID Server URLs an 9.3. Konfiguration Die Information über die vorhandenen M.ID Servern wird im Registrierungsschlüssel: [HKEY_LOCAL_MACHINE\SOFTWARE\SwissSafeLab\MID] "MIDServerURLs"=" abgelegt. Sie können diesen Registrierungsschlüssel mit dem Registrierungseditor ändern, oder die.reg-datei resp..adm-datei verwenden. Hinweis: Derzeit ist der M.ID Password Reset Agent for Windows Logon nur via HTTP erreichbar! 9.4. Verwendung am Anmeldebildschirm 1. Im Anmeldebildschirm, klicken Sie auf M.ID Password Reset Agent M.ID Server Handbuch v4.7.0 Seite 177

178 2. Der M.ID Password Reset Agent for Windows Logon fordert nur zur Eingabe des Anmeldenamens im UPN Format oder NetBIOS (Domäne\Benutzername) auf 3. Anschliessend wird eine vom Benutzer hinterlegte Secret Question angezeigt, welche der Benutzer durch seine entsprechende Secret Answer beantworten muss. 4. Falls Benutzername, Secret Question und Secret Answer übereinstimmen, wird das Passwort zurückgesetzt: Hinweis: Die Secret Answer muss wie in der M.ID User Configuration definiert, eingegeben werden. D.h. inkl. Aller Leerzeichen, Satzzeichen. Ebenso muss die Grosskleinschreibung beachtet werden. Seite 178 M.ID Server Handbuch v4.7.0

179 9.5. mit Remote Desktop Der Swiss SafeLab M.ID Password Reset Agent for Windows Logon wird ebenfalls in die Remote Desktop Verbindung integriert: Erweitertes Remote Desktop Verbindungsfenster Der Ablauf gestaltet sich identisch wie in Kapitel 9.4 Verwendung am Anmeldebildschirm beschrieben. Voraussetzung: Auf dem Client, auf welchem RDP gestartet wird, muss der M.ID Password Reset Agent for Windows Logon ebenfalls installiert sein Deinstallation Um den M.ID Password Reset Agent for Windows Logon zu deinstallieren, gehen Sie wie folgt vor: 1. Öffnen Sie die Systemsteuerung und anschliessend Programme und Funktionen 2. Starten Sie den Deinstallationsassistenten Swiss SafeLab Password Reset Agent for Windows Logon 3. Folgen Sie den Anweisungen des Deinstallationsassistenten 4. Starten Sie die Workstation/Server neu Sollte nach dem Neustart der Workstation/Server der M.ID Password Reset Agent for Windows Logon noch immer im Anmeldefenster sichtbar sein, gehen Sie wie folgt vor: 1. Starten Sie den Registrierungseditor 2. Löschen Sie den Schlüssel oder verwenden Sie die unten angefügte Registrierungsdatei. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credenti al Providers\{B6EFF27D-C1C4-481F-B81B-F3547C47D58A} 3. Löschen Sie den Schlüssel oder verwenden Sie die unten angefügte Registrierungsdatei. HKEY_CLASSES_ROOT\CLSID\{B6EFF27D-C1C4-481F-B81B-F3547C47D58A} 4. Starten Sie die Workstation/Server neu 5. Löschen Sie die Datei C:\Windows\System32\PWResetAgentForWindowsLogon.dll 6. Starten Sie die Workstation/Server neu Sie können die Registrierungsschlüssel auch mit dieser Registrierungsdatei entfernen. Kopieren Sie den Inhalt in eine Textdatei und speicher Sie diese als Unregister.reg ab und führen Sie diese anschliessend aus. M.ID Server Handbuch v4.7.0 Seite 179

180 Windows Registry Editor Version 5.00 ; Registry File ; for Swiss SafeLab M.ID Password Reset Agent for Windows Logon ; ================================================================ ; ; This file shows the registry entries deleted during uninstallation process. ; [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{B6EFF27D-C1C4-481F-B81B-F3547C47D58A}] [-HKEY_CLASSES_ROOT\CLSID\{B6EFF27D-C1C4-481F-B81B-F3547C47D58A}] Seite 180 M.ID Server Handbuch v4.7.0

181 10. M.ID Web Interface Agent Der Swiss SafeLab M.ID Web Interface Agent dient dem Schutz von Citrix Web Interfaces der Versionen 4.5 oder 4.6. Für spätere Versionen steht der Swiss SafeLab M.ID RADIS Proxy Agent zur Verfügung (s. Kapitel 11). Der M.ID WebInterface Agent wird auf dem WebInterface-Server installiert Voraussetzungen installiertes Citrix Web Interface 4.5 oder 4.6 erstelltes Web Interface, welches mit M.ID abgesichert werden soll mindestens M.ID Server v Neue Funktionalitäten Neue Funktionalitäten in v3.2.0 Unterstützung für die neuen Modi By Pass M.ID und Smart By Pass M.ID Installation M.ID Web Interface Agent 1. Folgende Dateien werden während der Installation auf dem System verändert: <WebInterface Root Verzeichnis>\web.config <WebInterface Root Verzeichnis>\conf\webinterface.conf <WebInterface Root Verzeichnis>\language\*.properties Es wird empfohlen von diesen Dateien nun Sicherheitskopien anzulegen. Alternativ können Sie das gesamte <WebInterface Root Verzeichnis> sichern. 2. Kopieren Sie die Setup-Datei des M.ID Web Interface Agents (SwissSafeLabCitrixWebInterfaceAgent_Vxx.exe, zu finden unter <M.ID Installationsordner>\agents\) auf den Server, welcher die zu erweiternden Citrix Web Interfaces enthält. 3. Starten Sie Setuproutine mit SwissSafeLabCitrixWebInterfaceAgent_Vxx.exe 4. Klicken Sie im Willkommensfenster des Installationsassistenten auf Next. 5. Lesen Sie die Information aufmerksam durch und klicken Sie auf Next. Stellen Sie sicher dass die Citrix Access Management Console nicht geöffnet ist. 6. Bestätigen Sie die Lizenzbedingungen und klicken Sie auf Next. 7. Wählen Sie das Installationsziel des WI Agents. Dabei muss das Ziel auch dem Verzeichnis einer Web Interface Seite entsprechen. Sollen mehrere unterschiedliche Web Interface Seiten auf dem gleichen Server konfiguriert werden, muss der WI Agent jeweils in jedes gewünschte WI Verzeichnis installiert werden. Dazu muss die Installation mehrfach ausgeführt werden. M.ID Server Handbuch v4.7.0 Seite 181

182 Abbildung 9.2: Installationsziel WI Agent Beispiel eines Standard WI Pfades: c:\inetpub\wwwroot\citrix\accessplattform 8. Klicken Sie auf Next 9. Kontrollieren Sie den Installationsordner und klicken Sie auf Start um die Installation durchzuführen. 10. Lesen Sie die SSL_CTXWI_Readme.txt um Informationen über die abschliessenden notwendigen Installationsschritte zu erhalten. Abbildung 9.2: Installationsziel WI Agent 11. Klicken Sie auf Exit um die M.ID WI Installation abzuschliessen Konfiguration M.ID Web Interface Agent 1. Begeben Sie sich ins Hauptverzeichnis der Web Interface Seite und öffnen Sie die Datei web.config mit einem Editor. 2. Suchen Sie die Zeile: <add key="auth:unprotected_pages Abbildung 9.3: web.conf Seite 182 M.ID Server Handbuch v4.7.0

183 3. Fügen Sie der Zeile folgende Ergänzung hinzu: /auth/mid_setpin.aspx,/auth/mid_setsecretanswer.aspx,/auth/mid_verifypasscode.asp x 4. Speichern und schliessen Sie die Datei. 5. Öffnen Sie nun in dem eben verwendeten Web Interface Verzeichnis das Unterverzeichnis \conf 6. Öffnen Sie mit einem Editor die Datei webinterface.conf Abbildung 9.4: Webinterface.conf 7. Fügen Sie der Datei Webinterface.conf folgende 2 Zeilen hinzu: AdditionalExplicitAuthentication=MID MIDServerIP= Wobei [MIDServerIPAdresse:Port] entsprechend Ihren Einstellungen anzupassen sind. Falls Sie mehrere M.ID Server zwecks Redundanz betreiben, geben Sie diese getrennt durch Semikolons an. Falls Sie SSL-Verbindungen einsetzen, geben Sie https an, bspw.: MIDServerIP= Speichern Sie die Datei und schliessen Sie sie. 9. Im übergeordneten Ordner, finden Sie einen Ordner \language mit einer Batch-Datei appendlocalizedtext.cmd. Führen Sie diese Batch-Datei aus, damit die M.ID Texte an die Sprachdateien angefügt werden. Von Ihren bestehenden Sprachdateien *.properties werden Sicherungsdateien mit der Endung.midbak erstellt. 10. Tragen Sie die IP-Adresse des Web Interface Servers in die allowed hosts Liste im M.ID Configurator ein 11. Starten Sie den IIS und den M.ID Server neu M.ID Server Handbuch v4.7.0 Seite 183

184 10.5. Deinstallation M.ID Web Interface Agent 1. Im Hauptverzeichnis Ihres Citrix Web Interfaces finden Sie das Deinstallationscript Uninstall_SSL_CTXWI_Agent_V31.exe. Starten Sie die Deinstallation mit dieser Datei. 2. Um eventuelle Änderungen, die Sie nach der Installation des M.ID Web Interface Agents getätigt haben, nicht zu löschen, wurden die aktuellen Sprachdateien nicht gelöscht. Wurden keine Änderungen getätigt, so löschen Sie die aktuellen Sprachdateien im Ordner \language und benennen Sie die Sicherungsdateien *.midbak wieder nach *.properties um. Seite 184 M.ID Server Handbuch v4.7.0

185 11. M.ID RADIUS Proxy Voraussetzungen für M.ID RADIUS Proxy Swiss SafeLab M.ID Server v4.7.0 Windows XP, Windows Server 2003, Windows Server 2008 oder eine der getesteten Linux Distributionen Java Runtime 6 oder höher M.ID RADIUS Proxy Versionen M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.6.0 Unterstützt den motp Initial-Prozess Unterstützt Empty PIN und die Verwendung von motp Änderungen in v2.6.0 Neue Einträge 9, 10 in den Proxy Sprachdateien Update Szenario s. Kapitel RADIUS Proxy Update mit Installationsassistenten s. Kapitel RADIUS Proxy Update mit ZIP-Datei M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.5.2 Neue Proxy-Sprachdatei proxy_language_user_6.txt Behobene Fehler in v2.5.2 Probleme mit dem M.ID Initialprozess mit M.ID PIN Mode = PW 1st, M.ID PIN 2nd wurden behoben Änderungen in v2.5.2 keine M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.5.1 Unterstützung für optionale M.ID Secret Answer Überprüfung der benötigten Java Extensions (*.jar im \ext-verzeichnis) M.ID Server Handbuch v4.7.0 Seite 185

186 M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.5.0 Zippen der Konfigurationsdateien Importieren von gezippten Konfigurationsdateien Passwörter werden maskiert dargestellt Behobene Fehler in v2.5.0 Der geänderte Windows Servicenamens wurde unter bestimmten Umständen nicht gespeichert Änderungen in v2.5.0 Die Pfade werden nun nur noch mit einem einfachen \ angezeigt M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.4.1 Unterstützung für Vendor Specific Attributes Behobene Fehler in v2.4.1 Geänderte NAS-IP-Adressen wurden beim Speichern nicht übernommen (s. Kapitel ) M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.4.0 Neuer PIN Mode: Password & Username only (s. Kapitel ) Neue Sprachdateien: Französisch, Italienisch, Spanisch, Berndeutsch (s. Kapitel ) Änderungen in v2.4.0 Der Index 0 der Sprachdateien entspricht nun der englischen Sprachdatei und nicht mehr der deutschen (s. Kapitel ) Neues Format der Sprachdateien o Das Format und die Indexe entspricht den Sprachdateien des M.ID Servers (s. Kapitel ) M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.3.0 Neuer PIN Mode PW 1st, M.ID PIN 2nd (s. Kapitel ) Zeigt den RADIUS Windows Service Status auf dem Hauptmenü an (s. Kapitel ) Änderungen in v2.3.0 keine Behobene Fehler in v2.3.0 Der Installationsassistent wird nun geschlossen, falls direkt der RADIUS Configurator gestartet wird Seite 186 M.ID Server Handbuch v4.7.0

187 M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.2.0 Unterstützung für Citrix Receiver for ipad (s. Kapitel , 11.10) Swiss SafeLab RADIUS Configurator o Ändern des Trust Store Passwords (s. Kapitel ) o Öffnen der logging.properties Datei (s. Kapitel ) o Deaktivieren der Monitoring Settings (s. Kapitel ) o Ändern der Reihenfolge der M.ID Server URLs (s. Kapitel ) M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.1.0 Swiss SafeLab RADIUS Configurator o Importieren von Konfigurationsdateien (s. Kapitel ) o Ändern des Keystore Passwords (s. Kapitel ) M.ID RADIUS Proxy Version Neue Funktionalitäten in v2.0.0 Swiss SafeLab RADIUS Configurator o Komplett GUI basierte Konfiguration des M.ID RADIUS Proxys o Validierung der Konfiguration (bspw. freie Ports, gültige M.ID Server URLs, ) o Sichern der Konfiguration o Suche nach Updates o Pretty Print Funktionalität der Konfiguration o Integrierte Passwortverschlüsselung o Installieren/Starten/Stoppen des RADIUS Proxy Windows Service Änderungen in v2.0.0 Neue Schlüssel in der proxy.ini o [Globals].ServiceName o [Globals].JavaVMPath o [Monitor].MonitorPassword Entfernte Schlüssel aus der proxy.ini o [Globals].LogLevel M.ID Server Handbuch v4.7.0 Seite 187

188 11.3. RADIUS Proxy Installation RADIUS Proxy Installation mit Installationsassistenten Hinweise: Der Swiss SafeLab M.ID RADIUS Proxy darf nicht ins gleiche Verzeichnis installiert werden, wie der Swiss SafeLab M.ID Server. Da bei einer Deinstallation gleichnamige Dateien deinstalliert werden! Falls Sie ein Update durchführen, sichern Sie zuerst die Konfigurationsdateien im \config-ordner. Während des 1. Starten Sie den Installationsassistenten (bspw. MID_RADIUS_v250_b11022.exe) 2. Führen Sie die Installation gemäss Installationsassistenten durch. a. Bei einem Update-Prozess sollten die vorhandenen Konfigurationsdateien (welche bei einer Deinstallation nicht entfernt werden) nicht überschrieben werden. 3. Lassen Sie sich die readme.txt-datei anzeigen (letzter Schritt des Installationsassistenten) 4. Kopieren Sie ggf. gesicherte Konfigurationsdateien zurück in das \config-verzeichnis a. Sprachdateien sollten nicht zurückkopiert werden, da möglicherweise neue Einträge vorgenommen wurden. Falls nicht, können die individuell angepassten Sprachdateien problemlos verwendet werden Verzeichnisstruktur nach der Installation Nach der Installation des M.ID Servers finde Sie eine Verzeichnisstruktur wie folgt vor: \<RADIUS Installationsordner>\ \ M.ID-Proxy (proxy.jar), Uninstall-Informationen \config RADIUS Proxy-Konfigurationsdateien wie bspw. proxy.ini, proxy.keystore, proxy.key \log Log-Dateien stdout.txt, stderr.txt, proxy0.log RADIUS Proxy Update Szenario RADIUS Proxy Update mit Installationsassistenten 1. Starten Sie den M.ID RADIUS Configurator 2. Erstellen Sie eine Sicherheitskopie des \config-ordners 3. Deinstallieren Sie den M.ID RADIUS Proxy Agent 4. Schliessen Sie den M.ID RADIUS Configurator 5. Führen Sie die Installation gemäss Installationsassistenten durch 6. Starten Sie den M.ID RADIUS Proxy Configurator 7. Importieren Sie die gesicherten Konfigurationsdateien aus Schritt 1 via Menüleiste\Main\Import config files Kontrollieren Sie die Einstellungen entsprechend den Neuerungen 9. Starten Sie den M.ID RADIUS Proxy Service Seite 188 M.ID Server Handbuch v4.7.0

189 RADIUS Proxy Update mit ZIP-Datei 1. Stoppen Sie den M.ID RADIUS Proxy Windows Service 2. Deinstallieren Sie den M.ID RADIUS Proxy Windows Service 3. Erstellen Sie eine Sicherheitskopie des \config-ordners 4. Entpacken Sie die Dateien aus der ZIP-Datei bspw. MID_RADIUS_v250_b11554_patched_files_only.zip 5. Kopiere Sie die Dateien entsprechend ihrer Ordnerstruktur in die bestehende Ordnerstruktur 6. Starten Sie den M.ID RADIUS Proxy Configurator 7. Kontrollieren Sie die Einstellungen entsprechend den Neuerungen 8. Installieren Sie den M.ID RADIUS Proxy Service 9. Starten Sie den M.ID RADIUS Proxy Service RADIUS Proxy Konfiguration Nachdem Sie Swiss SafeLab Proxy installiert haben, konfigurieren Sie Swiss SafeLab Proxy anhand des RADIUS Configurators oder setzen Sie die Werte direkt in die proxy.ini (erfordert fundierte Kenntnisse im Umgang mit dem M.ID RADIUS Proxy) Empfohlene Konfiguration Security Settings o Default Trust Store password (midmid) ändern Logging Settings o Log Level auf Info setzen Monitoring Settings o deaktiviert o falls aktiviert, Allowed Monitor IPs einschränken M.ID Server Settings o Passcode Retries: 2 o M.ID Server Timeout: 5 o M.ID Server URLs auf SSL Listener Port gesetzt M.ID Server Handbuch v4.7.0 Seite 189

190 Konfiguration mit RADIUS Configurator Starten Sie nach der Installation den RADIUS Configurator über die Verknüpfung im Startmenü oder mit der RadiusConfigurator.bat-Datei. Hinweis: Allenfalls müssen Sie die RadiusConfigurator.bat editieren und den Pfad zu Ihrer Java-Installation angeben. Informationen hierzu finden Sie in der RadiusConfigurator.bat Hauptmenü Im Hauptmenü sehen Sie auf einen Blick, ob die aktuelle Konfiguration gültig (alle Icons sind grün) ist. Wenn nicht alle Kategorien gültig sind, so kann dies zu undefiniertem Verhalten des RADIUS Proxys führen. Durch Klicken auf den Kategorienamen gelangen Sie direkt zur Konfiguration derselben. M.ID RADIUS Configurator Schaltflächen im Hauptmenü Schaltfläche Beschreibung... Durch klicken auf... neben Configuration File kann eine neue Proxy.ini geladen werden.... Durch klicken auf... neben Service wird der Dialog zum Installieren/Starten/Stoppen des RADIUS proxy Windows Service angezeigt Reload Lädt die aktuelle Proxy.ini neu Quit Schliesst den RADIUS Configurator Menü Main Menü Eintrag Beschreibung Configuration Wizard Startet den Konfigurationsassistenten. Entspricht dem Klicken auf die erste Kategorie Global Settings RADIUS Proxy Service Zeigt einen Dialog zum Installieren/Starten/Stoppen des RADIUS Proxy Windows Services an Load config file Bietet die Möglichkeit eine Konfigurationsdatei zu laden (bspw. ein Backup). Seite 190 M.ID Server Handbuch v4.7.0

191 Import zipped config files... Import config files Zip config files Backup settings Pretty print settings Check for updates Die selektierte Datei wird lokal ins <Installationsverzeichnis>\config\proxy.ini kopiert. Importiert die Konfigurationsdateien in einem Zip-Archiv, welches durch Zip config files erstellt wurde Diese Funktionalität ermöglicht das Importieren von Konfigurationsdateien (proxy.ini, proxy.keystore,...) von einem Backupordner. Fasst alle relevanten Konfigurationsdateien in einem Zip-Archiv zusammen Sichert die Dateien proxy.ini, trust store und das key file lokal ins <Installationsverzeichnis>\config\backup\* Schreibt die aktuellen Einstellungen als HTML-Datei lokal nach <Installationsverzeichnis>\config\settings.html Sucht nach neuen RADIUS Proxy Updates. Es werden keine Updates heruntergeladen oder gar installiert! Menü View Menü Eintrag Beschreibung View proxy0.log Öffnet die Log-Datei des RADIUS Proxys im Standard Editor (bspw. Notepad) View stdout.txt Öffnet die Standard Out-Datei des RADIUS Proxys im Standard Editor (bspw. Notepad) View stderr.txt Öffnet die Error-Datei des RADIUS Proxys im Standard Editor (bspw. Notepad) View proxy.ini Öffnet die RADIUS Proxy Konfigurationsdatei proxy.ini (bspw. Notepad) Menü Help Menü Eintrag Beschreibung View Readme Zeigt die Datei <Installationsverzeichnis>\config\readme.txt an About Zeigt einen Dialog über Swiss SafeLab M.ID RADIUS Agent an Initialkonfiguration mit dem Configuration Wizard Es wird empfohlen, die Initialkonfiguration mit dem Configuration Wizard durchzuführen. Klicken Sie hierzu im Menü Main auf Configuration Wizard... und vervollständigen Sie alle nachfolgenden Dialoge Dialog Global Settings Feld Service Name Service Description Path to jvm.dll Beschreibung Geben Sie hier den Namen des Windows Service ein. Das Klicken auf * schlägt einen Windows Service Namen vor Beschreibung des Windows Service. Derzeit nicht änderbar Geben Sie hier den Pfad zu Java Virtual Machine (jvm.dll) an. Diese Funktionalität ermöglicht es Ihnen auch ältere Java Versionen auf dem System installiert zu haben, ohne M.ID Server Handbuch v4.7.0 Seite 191

192 Language dass der RADIUS Proxy davon betroffen ist. Sie müssen mindestens eine Java Virtual Machine der Version 6 angeben. Der Pfad kann auch \\ anstelle der \ enthalten (Java-Pfad). Wahl der Sprachdatei (s. Kapitel M.ID RADIUS Proxy Sprachdateien (proxy_language_user_#.txt)) Dialog Security Settings Feld / Schaltfläche Key file Trust store Trust store password validate change Beschreibung Geben Sie hier den Pfad zur Schlüsseldatei an (s. Kapitel Schlüsseldatei proxy.key) oder generieren Sie eine neue Schlüsseldatei durch Klicken auf generate. Der Pfad kann auch \\ anstelle der \ enthalten (Java-Pfad). Geben Sie hier den Pfad zum Trust Store an. Der Pfad kann auch \\ anstelle der \ enthalten (Java-Pfad). Geben Sie hier das Passwort zum Trust Store an. Klicken Sie auf validate um das Passwort gegen den Trust Store zu prüfen. Wenn das Passwort nicht übereinstimmt, besteht die Möglichkeit das Passwort zu ändern. Klicken Sie auf change um das Passwort des Trust Stores zu ändern Dialog Logging Settings Feld / Schaltfläche Beschreibung Log File Level Wählen Sie hier das gewünschte Log-Level. Das Log-Level wird direkt in die logging.properties geschrieben (s. Kapitel M.ID RADIUS Logging) Open Durch Klicken auf Open... wird die Datei logging.properties geöffnet (s. Kapitel M.ID RADIUS Logging) Seite 192 M.ID Server Handbuch v4.7.0

193 Dialog Monitoring Settings Feld / Schaltfläche Beschreibung Enable Monitor Settings Falls das Häkchen gesetzt ist, wird das Telnet-Monitoring aktiviert. Monitor Port Geben Sie hier einen Port für das Monitoring an (s. Kapitel M.ID RADIUS Monitoring). Die Schaltfläche validate prüft, ob der angegebene Port frei ist. Monitor Password Geben Sie hier ein Passwort für das Telnet Monitoring an Allowed Monitor IPs Geben Sie hier alle IPv4 an, welche das Telnet Monitoring verwenden dürfen Hinweis: Diese Einstellungen sind optional Dialog M.ID Server Settings Feld Passcode retries M.ID Server Timeout M.ID Server URLs add new remove move up move down check all Beschreibung Definieren Sie die Anzahl der weiteren Passcode-Aufforderungen, nach dem die erste Eingabe fehlgeschlagen ist. Definieren Sie hier den Schwellwert des Verbindungstimeouts zum M.ID Server Definieren Sie hier alle M.ID Server die dem M.ID RADIUS Proxy zur Verfügung stehen sollen. Format der M.ID Server URL: [Protokoll]://[IP]:[Port] bspw. [Protokoll]://[DNS Name]:[Port] bspw. Klicken Sie auf add new um eine neue M.ID Server URL zu erfassen. Klicken Sie auf remove um die selektierte M.ID Server URL zu entfernen. Verschiebt die selektierte URL nach oben und erhöht dadurch deren Priorität. Dieser Befehl steht auch im Kontextmenü der selektierten URL zur Verfügung. Verschiebt die selektierte URL nach unten und vermindert dadurch deren Priorität. Dieser Befehl steht auch im Kontextmenü der selektierten URL zur Verfügung. Durch Klicken auf check all versucht der RADIUS Configurator alle definierten M.ID Server zu kontaktieren. Hinweis: Vergewissern Sie sich, dass Sie bei allen M.ID Server die IP des RADIUS Server Agents zu den allowed Hosts hinzufügen (s. Kapitel Global Settings)! M.ID Server Handbuch v4.7.0 Seite 193

194 Dialog RADIUS Settings Feld RADIUS Listener Port Validate RADIUS Shared Secret Allowed NAS IPs Beschreibung Spezifizieren Sie hier den Port an, auf dem der RADIUS Proxy Agent auf eingehende RADIUS-Pakete Ihres NAS horcht (standardmässig: 1812). Durch Klicken auf validate wird geprüft, ob der angegebene Port frei ist. Wird der Port durch den RADIUS Proxy Agent belegt, so wird dennoch eine Fehlermeldung ausgegeben. Überprüft, ob der angegebene Port zur Verfügung steht. ACHTUNG: Das Resultat der Validierung kann falsche Werte liefern (bspw. im Zusammenhang mit dem Microsoft RADIUS Server) Spezifizieren Sie hier das RADIUS Shared Secret gemäss RFC Die Schaltfläche encrypt verschlüsselt das Shared Secret, sofern eine Schlüsseldatei definiert wurde! Spezifiziert für jeden NAS (Appliance, Web Interface Server, ) den PIN Mode. Die PIN Modes werden im nachfolgenden Kapitel beschrieben. Durch Klicken auf add new kann eine neue Zuordnung NAS IP/PIN mode erfasst werden. Durch Klicken auf remove wird die selektierte Zuordnung gelöscht. Hinweis: Zur Konfiguration Ihrem NAS (Appliance, Web Interface Server, ) müssen Sie die Werte RADIUS Listener Port und RADIUS Shared Secret verwenden. Stimmen diese Werte nicht überein, so kann keine Kommunikation zwischen dem NAS und dem RADIUS Proxy Agent stattfinden. Firewall Regeln sind hier nicht berücksichtigt! PIN Modes PIN on login page o Definiert, dass der PIN auf der Anmeldeseite eingegeben wird (bspw. CAG) PIN with second request o Definiert, dass der PIN mit einer separaten Aufforderung eingegeben wird. Bspw. bei Software Clients / Appliances, welche keine Manipulation der Anmeldeseite erlauben. no PIN o Definiert, dass kein PIN verwendet wird. o Setzt voraus, dass der M.ID Server entsprechend konfiguriert wurde (s. Kapitel Security) PW 1st, M.ID PIN 2nd o Definiert, dass die NAS in der ersten Anfrage einen Benutzernamen und ein AD Passwort übermittelt. Mit der zweiten Anfrage wird der M.ID PIN übermittelt. PW & username only o Definiert, dass die NAS in der ersten Anfrage einen Benutzernamen und ein AD Passwort übermittelt. Der RADIUS Proxy nimmt diese Anfrage entgegen und senden Benutzername und AD Passwort an den M.ID Server, welcher diese überprüft. o Hier findet keine Zwei-Faktor-Authentifizierung statt. o Es besteht die Gefahr eines Account Lock Outs Seite 194 M.ID Server Handbuch v4.7.0

195 Dialog NAS Identifier Settings Feld / Schaltfläche enable NAS-Identifier Beschreibung Falls Sie Citrix Receiver for ipad unterstützen möchten, aktivieren Sie dieses Häkchen Geben Sie den NAS-Identifier ein, wie er in der Citrix NetScaler RADIUS Policy definiert wurde (s. Kapitel 11.10) Dialog Finish Der letzte Schritt des Konfigurationsassistenten weist Sie darauf hin, welche Kategorien noch ungültige Konfigurationseinträge enthalten. Durch Klicken auf Cancel werden alle Einstellungen verworfen. Durch Klicken auf Save werden die Einstellungen gespeichert. Ebenfalls werden die Windows Service Konfigurationsscripts <Proxy Installationsordner>\config\Proxy_Install.bat <Proxy Installationsordner>\config\Proxy_Uninstall.bat <Proxy Installationsordner>\config\Proxy_Start.bat <Proxy Installationsordner>\config\Proxy_Stop.bat <Proxy Installationsordner>\config\Proxy_Restart.bat neu geschrieben. M.ID Server Handbuch v4.7.0 Seite 195

196 RADIUS Proxy Windows Service installieren, starten, stoppen Via RADIUS Configurator Der RADIUS Configurator bietet Ihnen eine bequeme Oberfläche um den RADIUS Proxy Windows Service zu installieren. Klicken Sie hierzu in der Menüleiste auf Main\RADIUS Proxy Service Feld / Schaltfläche Service Name Install Uninstall Start Restart Stop Beschreibung Hier besteht nochmals die Möglichkeit den Windows Service Namen zu ändern Installiert den RADIUS Proxy Windows Service. Ist der RADIUS Proxy Windows Service bereits installiert, so ist diese Schaltfläche deaktiviert. Deaktiviert den RADIUS Proxy Windows Service. Die Schaltfläche ist deaktiviert, falls der RADIUS Proxy Windows Service nicht installiert ist oder der Service gestartet ist. Startet den Windows Service. Die Schaltfläche ist deaktiviert, wenn der Service nicht installiert ist oder der Service bereits gestartet wurde. Startet den Windows Service erneut. Die Schaltfläche ist deaktiviert, wenn der Service nicht installiert wurde. Stoppt den Service. Die Schaltfläche ist deaktiviert, wenn der Service bereits gestoppt wurde oder der Service nicht installiert wurde Via Servicescripts Sie können dien Swiss SafeLab RADIUS Proxy Windows Service auch über das Script <Proxy Installationsordner>\config\Proxy_install.bat installieren oder deinstallieren (<Proxy Installationsordner>\config\Proxy_Uninstall.bat). Zum starten, stoppen, neustarten stehen Ihnen folgende Scripts zur Verfügung: <Proxy Installationsordner>\config\Proxy_Start.bat <Proxy Installationsordner>\config\Proxy_Stop.bat <Proxy Installationsordner>\config\Proxy_Restart.bat Hinweis: Bitte beachten Sie Anmerkungen in den Scripts, wenn Sie eine Konfiguration ohne RADIUS Configurator durchführen! Seite 196 M.ID Server Handbuch v4.7.0

197 Konfigurationsdatei proxy.ini Nicht empfohlen, jedoch möglich, ist die Konfiguration des Swiss SafeLab Proxys direkt in der proxy.ini vorzunehmen. Hinweise: Chiffrierte Passwörter, die nicht mit dem erstellten Proxy-Key (proxy.key) erstellt wurden, können/dürfen nicht verwendet werden. Der Server wird mit einer Fehlermeldung den Start verweigern. Lassen Sie nicht benötigte Passwort Felder leer. Pfadangaben müssen in der Java-Notation erfolgen. D.h. Verzeichnisse müssen mit einem doppelten \\ getrennt werden, bspw.: C:\\Program Files\\Java\\jre6\\bin Um Einstellungen zu deaktivieren, verwenden Sie als Wert die Zahl 0 Bspw.: MIDPasscodeActivated = 0 deaktiviert die M.ID Passcode Funktionalität Um Einstellungen zu aktivieren, verwenden Sie als Wert die Zahl 1 Bspw. webconsole.user.ssl = 0 aktiviert die M.ID Passcode Funktionalität Bei jeder Konfigurationsänderung muss der M.ID RADIUS Proxy neu gestartet werden. INI-Schlüssel Language MIDPasscodeActivated ServiceName JavaVMPath MIDPasscodeRetries KeyFile KeyTrustStore KeyTrustStorePassword BufferSize ForwartDelay ListenPort SharedSecret AllowedNAS_IPs MonitorSettingsEnabled AllowedMonitor_IPs MonitorPort MIDServerURLs Beschreibung [0, 1] wobei 0=deutsch (language_de.txt), 1=englisch (language_en.txt) Default = 0 [0, 1] wobei 0 = deaktiviert 1 = aktiviert. Steht der Wert auf 1, so wird der RADIUS Verkehr mit einer PIN/Passcode-Aufforderung unterbrochen. Default = 1 Definiert den Windows Service Namen Definiert die zu verwendende Java Virtual Machine. Geben Sie hier den Pfad zu einer jvm.dll an. Positive natürliche Zahl Definiert, wie oft nach der ersten falschen Passcodeeingabe, der Passcode erneut abgefragt wird. Default = 2 Pfad zur Schlüsseldatei. Natürlich können Sie den Pfad zur mid.key-datei angeben oder die mid.key-datei kopieren und im lokalen \config-ordner ablegen. Default = C:\\Program Files\\SwissSafeLab\\Proxy\\config\\proxy.key Pfad zum Keystore mit Ihren Zertifikaten. Natürlich können Sie den Pfad zum M.ID-Keystore angegeben oder den M.ID-Keystore kopieren und im lokalen \config-ordner ablegen. Default = C:\\Program Files\\SwissSafeLab\\Proxy\\config\\keystore Password für den Keystore. Default: = midmid Muss derzeit nicht angepasst werden Muss derzeit nicht angepasst werden Port der dem Swiss SafeLab Proxy zugewiesen wird, auf dem der Proxy RADIUS-Anfragen entgegen nimmt. Default = 1812 Shared Secret gemäss RFC Die Shared Secret muss mit der angegebenen Schlüsseldatei verschlüsselt worden sein IPs der Portallösungen / Clients, die auf Swiss SafeLab M.ID RADIUS Proxy zugreifen dürfen Aktiviert das Telnet-basierte Monitoring. Werte [0, 1], wobei 0 = deaktiviert 1 = aktiviert IPs die eine Telnet-Monitoring-Session starten dürfen Telnet-Monitor-Port. Default = 82 URL zu einem M.ID Server. Die URL enthält Protokoll, IP und Port, bspw.: Mehrere M.ID Server können mit Semikolon getrennt angegeben werden. Für SSL muss https angegeben werden, bspw.: Hinweis: Sie müssen die Host-IP des Swiss SafeLab Proxies im M.ID Configurator bei den M.ID Server Handbuch v4.7.0 Seite 197

198 MIDServerTimeOut RadiusClientNASIDCitrix ReceiverIPadEnabled RadiusClientNASIDCitrix ReceiverIPad CONFIG_CLIENTS Login Events Host eintragen! Maximale Zeitüberschreitung in Sekunden, bevor der M.ID RADIUS Proxy den nächsten M.ID Server kontaktiert. Default = 5 Aktiviert die Möglichkeit einer Anmeldung via Citrix Receiver for ipad. Werte: [0, 1], wobei 0 = deaktiviert 1 = aktiviert NAS-Identifier wie er vom Citrix Netscaler übermittelt wird Geben Sie hier die IP Ihrer Portallösung als Schlüssel an. Als Werte stehen [1, 2, 3, 4] zur Verfügung, wobei 1 = PIN wird nicht auf der Anmeldeseite angegeben 2 = PIN wird auf der Anmeldeseite angegeben 3 = kein PIN benötigt (reduziert Sicherheit) 4 = AD Passwort zuerst, dann M.ID PIN 7 = Password & username only Hinweis: Nach jeder Änderung in der proxy.ini muss der Swiss SafeLab Proxy neu gestartet werden Schlüsseldatei proxy.key Swiss SafeLab Proxy verwendet ebenfalls eine Schlüsseldatei um die Passwörter zu verschlüsseln. Eine Schlüsseldatei kann wie folgt definiert werden: Generieren mit dem RADIUS Configurator im Dialog Security Settings Generieren mit generatekey.bat Verwenden der Schlüsseldatei des M.ID Servers. Nachdem Sie eine Schüsseldatei definiert haben, können Sie mit encryptpassword.bat und einer Schlüsseldatei (proxy.key, mid.key) ein Passwort verschlüsseln. Dies ist hilfreich, falls Sie die Konfiguration ohne den RADIUS Configurator vornehmen. Der RADIUS Configurator hingegen bietet jedoch mit der Schaltfläche encrypt einen bequemeren Weg an M.ID RADIUS Proxy Sprachdateien (proxy_language_user_#.txt) Beschreibung M.ID RADIUS Proxy Sprachdateien Mit der Version des Swiss SafeLab M.ID RADIUS Proxy Agents wurden die Sprachdateien dem Format der M.ID Server Sprachdateien angepasst (s. dort). Die Sprachdateien enthalten die Texte, welche während des Challenge/Response dem Benutzer angezeigt werden und somit individuell angepasst werden können. Die Sprachdateien befinden sich im \config-ordner. Die entsprechende Sprachdatei wird anhand des proxy.ini Schlüssels Language ausgewählt. Der gesetzte Wert entspricht dem Index der entsprechenden Sprachdatei: Language = 0 proxy_language_user_0.txt wird verwendet (englisch) Language = 1 proxy_language_user_1.txt wird verwendet (deutsch) usw Sprachdatei editieren Öffnen Sie die entsprechende Sprachdatei in einem beliebigen Texteditor und passen Sie die Texte gemäss Ihren Ansprüchen an. Seite 198 M.ID Server Handbuch v4.7.0

199 Hinweis: Verwenden Sie keine Sonderzeichen und/oder HTML-Tags da dies unbekannte Auswirkungen auf den Client hat, welcher die Texte anzeigt Suche nach Updates Swiss SafeLab M.ID Server bietet derzeit eine manuelle Suche nach Updates. Klicken Sie dazu im RADIUS Configurator in der Menüleiste auf Main\Check for updates oder führen Sie dazu die Batch-Datei checkforupdates.bat in <Proxy Installationsordner>\config\ aus. Falls neue Updates verfügbar sind, müssen diese manuell im Download-Bereich unter heruntergeladen werden RADIUS Logging/Monitoring M.ID RADIUS Logging Die Überwachung des Swiss SafeLab Proxys kann einerseits über die Log-Dateien <Proxy Installationsordner>\log\log0.txt <Proxy Installationsordner>\log\stderr.txt <Proxy Installationsordner>\log\stdout.txt erfolgen, oder über eine Telnet-Sitzung. Für die Konfiguration der Log-Dateien ist die Datei <Proxy Installationsordner>\config\logging.properties verantwortlich (s. a. Kapitel ) M.ID RADIUS Monitoring Bevor Sie eine Telnet-Sitzung aufbauen können, müssen Sie Monitoring-Einstellungen in der proxy.ini setzen und ein Monitoring-Passwort mit der generatemonitoringpasswort.bat erstellen. Anhand der Proxy-Host IP und des Monitoring-Ports können Sie nun eine Telnet-Session starten. Das Standardpasswort für die Telnet-Sitzung lautet: midmid Hinweis: Wenn Sie die Schlüsseldatei ändern, müssen Sie ebenfalls das Monitor-Passwort neu verschlüsseln! M.ID Server Handbuch v4.7.0 Seite 199

200 Vendor Specific Attributes Beschreibung Der Swiss SafeLab M.ID RADIUS Proxy unterstützt die Verwendung von VSA (Vendor Specific Attributes). Dabei werden spezielle vordefinierte Werte zurück an die NAS geschickt. Gewisse NAS erfordern, dass der RADIUS-Server spezifische Werte zurückliefern (bspw. Fortinet Fortigate FG-200) Konfiguration Beschreibung Die VSAs können derzeit nur pro NAS IP Adresse (s ) konfiguriert werden. Falls eine NAS-IP VSAs erfordert, so müssen diese n einer VSA-Datei im \config-ordner gespeichert werden. Der Dateiname muss folgendes Format tragen: vsa_[nas-ip].txt, Wobei die Punkte durch Unterstriche ersetzt werden müssen: Die NAS-IP entspricht der IP-Adresse der Appliance und nicht dem Wert des RADIUS Attributes NAS-IP-Address (Attributtyp 4). Beispiel. vsa_192_168_11_13.txt. Diese IP-Adresse deckt sich also mit einer der NAS-IP-Adressen im M.ID RADIUS Configurator. Die VSA-Text-Datei ist wie folgt aufgebaut: # lines starting with a hash (#) get ignored (comments). ######################################################### # Vendors Section # ######################################################### # please check your appliance's documentation for its vendor name and vendor id. # only one VENDOR line is allowed # syntax: VENDOR <vendor_name> <vendor_id> # <vender_name> : text, the manufacturer, no white spaces allowed # <vender_id> : integer, manufacturer's id # use either blanks or tabs to separate values VENDOR Fortinet ######################################################### # Attributes Section # ######################################################### # syntax: ATTRIBUTE <attr_name> <attr_id> <attr_type> <attr_value> # <attr_name> : text, please check your appliance's documentation for its <attr_name> and <attr_id> # <attr_id> : integer, please check your appliance's documentation for its <attr_name> and <attr_id> # <attr_type> : [string ipaddr integer] # <attr_value> : text, must match <attr_type> # use either blanks or tabs to separate values ATTRIBUTE Fortinet-Group-Name 1 string GroupName ATTRIBUTE Fortinet-Client-IP-Address 2 ipaddr ATTRIBUTE Fortinet-Vdom-Name 3 string Vdom-Name ATTRIBUTE Fortinet-Client-IPv6-Address 4 string 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 ATTRIBUTE Fortinet-Interface-Name 5 string Interface-Name ATTRIBUTE Fortinet-Access-Profile 6 string Access-Profile Bitte beachten Sie folgende Punkte: Es darf nur eine VENDOR-Zeile definiert werden Die einzelnen Werte können mit Blanks oder Tabs getrennt werden <vendor_name>, <attr_name>, <attr_value> dürfen keine Blanks enthalten Der Datentyp von <attr_value> muss mit <attr_type> übereinstimmen Bei Log-Level FINEST werden die geladenen VSA-Dateien aufgezeichnet VENDOR - Zeile Die VENDOR-Zeile enthält 3 Werte, welche durch mindestens einem Leerzeichen oder einem Tabulator getrennt sein müssen. Die Werte dürfen keine Leerzeichen und/oder Tabulatoren enthalten Seite 200 M.ID Server Handbuch v4.7.0

201 Der erste Wert lautet immer VENDOR. Der zweite Werte beschreibt die NAS Der dritte Werte entspricht der Vendor-ID. Die entsprechende ID findet sich im Handbuch zur jeweiligen Appliance ATTRIBUTE-Zeile Die ATTRIBUTE-Zeile enthält 5 Werte, welche durch mindestens einem Leerzeichen oder einem Tabulator getrennt sein müssen Die Werte dürfen keine Leerzeichen und/oder Tabulatoren enthalten Der erste Wert lautet immer ATTRIBUTE Der zweite Wert entspricht einem VSA. Die verfügbaren VSA finden sich im Handbuch zur jeweiligen Appliance Der dritte Wert entspricht der ID der VSA Der vierte Wert entspricht dem VSA-Datentyp. Es stehen folgende Datentypen zur Verfügung [string ipaddr integer] Der fünfte Wert enthält den Wert für dieses VSA Hinweis: Eine Beispiel-VSA findet sich im \config-ordner der Swiss SafeLab M.ID RADIUS Proxy Installation Anwendung Wenn ein Request einer NAS eintrifft, so prüft der M.ID RADIUS Proxy, ob für diese NAS-IP eine VSA- Datei existiert. Wenn keine VSA-Datei für diese NAS-IP existiert, so gibt der M.ID RADIUS Proxy keine VSA-Werte an die NAS zurück. Existiert eine VSA-Datei, so werden die VSAs ausgelesen und für Access-Accept und Access-Challenge zurückgegeben. Für Access-Reject werden keine VSAs zurückgegeben Deinstallation M.ID RADIUS Proxy Bevor Sie den Swiss SafeLab Proxy deinstallieren, können Sie optional, die Konfigurationsdateien sichern: agent.ini events.xml proxy.ini keystore proxy.key monitor.pwd Deinstallieren Sie Swiss SafeLab Proxy mit dem Deinstallationsassistenten Troubleshooting M.ID RADIUS Proxy Sollte Swiss SafeLab Proxy nicht erwartungsgemäss funktionieren, stellen Sie sicher, dass: Ihre Einstellungen in der proxy.ini richtig und gültig sind Ihre Passwörter mit der richtigen Schlüsseldatei verschlüsselt wurden die Host-IP des Proxys in den Login Events Host des M.ID Configurators eingetragen sind die IP Ihrer Portallösung in AllowedNAS_IPs eingetragen ist die IP Ihrer Portallösung unter CLIENT_CONFIG eingetragen ist Öffnen Sie eine der Log-Dateien <Proxy Installationsordner>\log\log0.txt oder <Proxy Installationsordner>\log\stderr.txt oder <Proxy Installationsordner>\log\stdout.txt und suchen Sie nach Fehlermeldungen. M.ID Server Handbuch v4.7.0 Seite 201

202 11.9. M.ID RADIUS Proxy mit Citrix Web Interface 5.x Zwei-Faktor Authentifizierung mit M.ID RADIUS Proxy 1. Citrix Web Interface selektieren, welches mit Zwei-Faktor Authentifizierung mit M.ID RADIUS Proxy angepasst werden soll 1. Klicken Sie in der Rubrik Common Tasks auf Configure authentication methods 2. Explicit aktivieren, auf Properties klicken 3. Optional Rubrik Domain Restriction anpassen (Dropdown box wird unter Authentication Type \Settings angepasst 4. Optional Rubrik Authentication Type anpassen 5. In Rubrik Two-Factor Authentication Seite 202 M.ID Server Handbuch v4.7.0

203 1. Two-Factor Authentication auf RADIUS setzen 2. RADIUS Server hinzufügen (IP-Adresse des M.ID Proxies angeben). 3. Das RADIUS Shared Secret in einer Datei unter \[Sitename]\conf\radius_secret.txt speichern 6. Password Settings anpassen, damit AD Passwort Reset möglich ist Häkchen bei Allow users to change password aktivieren und Option auf At any time setzen. Ansonsten wird der Passwort-Ändern-Dialog nicht angezeigt. 7. Editieren von %program files%\citrix\web Interface\[VERSION]\language\ accessplatforms_strings.propertes und anpassen von passcode= auf passcode=m.id PIN für jede Sprachdatei. Hinweise: ggf. existieren die Sprachdateien auch unter \[Sitename]\language. In diesem Falle müssen die Dateien in diesem Verzeichnis angepasst werden! Ab WI v5.3.0 befinden sich die Sprachdateien unter %program files%\citrix\web Interface\[VERSION]\language\ Der Schlüssel passcode= in der Sprachdatei entspricht NICHT dem M.ID Passcode. Falls Sie keinen M.ID PIN verwenden, fahren Sie gemäss Kapitel Citrix Web Interface 5.0 und allow empty PIN fort. 8. Speichern Sie die getätigten Änderungen 9. Editieren Sie die Datei C:\Inetpub\wwwroot\Citrix\[Sitename]\web.config wie folgt: Web Interface 5.1 <add key="radius_secret_path" value="/radius_secret.txt" /> M.ID Server Handbuch v4.7.0 Seite 203

204 Web Interface 5.2 <add key="radius_secret_path" value="/radius_secret.txt" /> <add key="radius_nas_identifier" value="ctxwi" /> Web Interface 5.3 und 5.4 <add key="radius_secret_path" value="/radius_secret.txt" /> <add key="radius_nas_identifier" value="ctxwi" /> <add key="radius_nas_ip_address" value=" " /> Wobei: RADIUS_SECRET_PATH Pfad und Name zur Datei, die im Klartext den Radius Secret key beinhaltet. RADIUS_NAS_IDENTIFIER frei wählbarer, aber mindestens 3 Zeichen langer Name RADIUS_NAS_IP_ADDRESS IP Adresse des Webinterface Servers 10. Starten Sie den IIS mit IISRESET neu und rufen Sie Ihr soeben konfiguriertes Citrix Web Interface via Webbrowser auf: Hinweis: Bei einem Update von Web Interface 5.2 auf Web Interface 5.3 löscht die Installationsroutine die Datei radsiu_secret.txt und legt auch eine neue Datei web.config an Citrix Web Interface 5.0 und allow empty PIN Wenn das (die) Citrix Web Interface(s) gemäss Kapitel Zwei-Faktor Authentifizierung mit M.ID RADIUS Proxy konfiguriert wurde(n) wird ein zusätzliches Feld für den M.ID PIN eingeblendet: Möchten Sie jedoch den M.ID Server ohne M.ID PIN verwenden (s. Kapitel Security) ist das zusätzlich eingeblendete Feld überflüssig. Um das zusätzliche Feld auszublenden führen Sie folgende Schritte für jedes konfigurierte Citrix Web Interface durch: i. Öffnen Sie auf dem Web Server welcher die Citrix Web Interfaces enthält den Ordner: C:\Inetpub\wwwroot\Citrix\[WebInterfaceName]\app_data\include\ (der Pfad muss gemäss Ihrer Installation des IIS angepasst werden) ii. Erstellen Sie nun von der Datei loginmainform.inc eine Sicherungskopie. iii. Öffnen Sie einem HTML-Editor Ihrer Wahl die Datei loginmainform.inc. iv. Fügen Sie oberhalb der Zeile ClientInfo clientinfo = wicontext.getclientinfo(); Seite 204 M.ID Server Handbuch v4.7.0

205 Folgende Zeilen ein: // Swiss SafeLab M.ID Server // used to dis-/allow empty M.ID PIN // must fit your settings in // o M.ID Configurator\Securtiy\PIN Settings // o proxy.ini\config CLIENTS\[IP] bool midemptypinallowed = false; v. Suchen Sie in der selben Datei loginmainform.inc nach der Zeichenfolge if (viewcontrol.getshowpasscode() && viewcontrol.getshowpassword() Die gesuchte Zeile befindet sich ca. auf der 293. Zeile: vi. Fügen Sie in diese Zeile der If-Klausel die zusätzliche Bedingung: && midemptypinallowed hinzu: vii. Speichern Sie nun die Datei loginmainform.inc. M.ID Server Handbuch v4.7.0 Seite 205

206 viii. Führen Sie diese Konfiguration für jedes gewünschte Citrix Web Interface durch (falls an der entsprechenden Datei in den anderen Citrix Web Interfaces keine Änderungen vorgenommen wurden, kann die Datei in die jeweiligen Ordner kopiert werden. ix. Starten Sie den IIS mit IISRESET neu und rufen Sie Ihr soeben konfiguriertes Citrix Web Interface via Webbrowser auf: Das zusätzliche Feld wurde ausgeblendet. Hinweis: Wenn der M.ID PIN wieder verwendet werden soll, dann muss die Zeile bool midemptypinallowed = false; wie folgt angepasst werden: bool midemptypinallowed = true; Citrix Web Interface 5.2 und allow empty PIN Leider gestaltet sich das Ausblenden des PIN-Feldes beim Citrix Web Interface 5.2 nicht mehr so einfach: Wenn das (die) Citrix Web Interface(s) gemäss Kapitel Zwei-Faktor Authentifizierung mit M.ID RADIUS Proxy konfiguriert wurde(n) wird ein zusätzliches Feld für den M.ID PIN eingeblendet: Möchten Sie jedoch den M.ID Server ohne M.ID PIN verwenden (s. Kapitel Security) ist das zusätzlich eingeblendete Feld überflüssig. Um das zusätzliche Feld auszublenden führen Sie folgende Schritte für jedes konfigurierte Citrix Web Interface durch: 1. Öffnen Sie auf dem Web Server welcher die Citrix Web Interfaces enthält den Ordner: C:\Inetpub\wwwroot\Citrix\[WebInterfaceName]\app_data\include\ (der Pfad muss gemäss Ihrer Installation des IIS angepasst werden) 2. Erstellen Sie nun von der Datei loginmainform.inc eine Sicherungskopie. 3. Öffnen Sie einem HTML-Editor Ihrer Wahl die Datei loginmainform.inc. 4. Fügen Sie oberhalb der Zeile ClientInfo clientinfo = wicontext.getclientinfo(); Seite 206 M.ID Server Handbuch v4.7.0

207 Folgende Zeilen ein: // Swiss SafeLab M.ID Server // used to dis-/allow empty M.ID PIN // must fit your settings in // o M.ID Configurator\Securtiy\PIN Settings // o proxy.ini\config CLIENTS\[IP] bool midemptypinallowed = true; Mit dieser Zeile können Sie auf bequeme Art und Weise das Pin-Feld ein (false) und ausblenden (true). Gemäss Anleitung wird das Pin-Feld nun ausgeblendet (true)! 5. Suchen Sie in der selben Datei loginmainform.inc nach der Zeichenfolge if (viewcontrol.getshowpasscode() && viewcontrol.getshowpassword() Die gesuchte Zeile befindet sich ca. auf der 282. Zeile: 6. Fügen Sie in der if-klausel folgende Abschnitte ein: Alte if-klausel: M.ID Server Handbuch v4.7.0 Seite 207

208 If-Klausel mit neuen Abschnitten (markiert): Seite 208 Code für Zeile 292 if (!midemptypinallowed) { //inserted for Swiss SafeLab M.ID RADIUS Proxy Code für Zeile 317ff } else { %> <input type='hidden' value='0000' name='<%=constants.id_passcode%>' id='<%=constants.id_passcode%>'> <% } M.ID Server Handbuch v4.7.0

209 Die Zeilennummern müssen nicht mit obigen übereinstimmen! 7. Speichern Sie nun die Datei loginmainform.inc. 8. Führen Sie diese Konfiguration für jedes gewünschte Citrix Web Interface durch (falls an der entsprechenden Datei in den anderen Citrix Web Interfaces keine Änderungen vorgenommen wurden, kann die Datei in die jeweiligen Ordner kopiert werden. 9. Starten Sie den IIS mit IISRESET neu und rufen Sie Ihr soeben konfiguriertes Citrix Web Interface via Webbrowser auf: Das zusätzliche Feld wurde ausgeblendet. Hinweis: Wenn der M.ID PIN wieder verwendet werden soll, dann muss die Zeile bool midemptypinallowed = true; wie folgt angepasst werden: bool midemptypinallowed = false; Citrix Web Interface 5.x und UPN mit Domänensuffix Bei der RADIUS-Authentifizierung mit Citrix Web Interface 5.x entfernt das Citrix Web Interface den Domänensuffix bei einer UPN-Anmeldung. Meldet sich ein Benutzer mit user@domain an, so leitet das Citrix Web Interface 5.x nur user an den RADIUS-Client weiter wodurch eine Anmeldung scheitern kann. Zur Problembehebung gehen Sie wie folgt vor 1. Erstellen Sie eine Sicherheitskopie folgender Datei: C:\Inetpub\wwwroot\Citrix\%WebInterfaceName%\app_code\PagesJava\com\citrix\wi\pageut ils\twofactorauth.java Bitte beachten Sie, dass die Sicherungskopie nicht unterhalb von \app_code (inkl. Unterverzeichnis) erstellt wird. 2. Öffnen Sie die TwoFactorAuth.java mit einem Text-Editor 3. Suchen Sie nach der Funktioner getusername() (ca. auf Zeile 131) 4. Ersetzen Sie den Funktionskörper mit nachfolgendem Code M.ID Server Handbuch v4.7.0 Seite 209

210 Der alte Funktionskörper wurde auskommentiert und nachfolgende Zeile hinzugefügt: return token.getuseridentity(); // This returns the full UPN as entered by the user 5. Speichern Sie die Datei 6. Führen Sie ein IISRESET durch 7. Damit ist die Anpassung abgeschlossen M.ID RADIUS Proxy mit Citrix Receiver for ipad Swiss SafeLab M.ID bietet die Möglichkeit den Citrix Receiver for ipad zu verwenden, ohne dass eine App auf dem ipad installiert werden muss. Folgende Bedingungen müssen hierfür jedoch erfüllt sein: Mobiltelefon für den Empfang des Passcodes Citrix Receiver for ipad Citrix NetScaler Appliance Konfiguration Citrix NetScaler für Citrix Receiver for ipad Auf Grund der unterschiedlichen Kommunikationswegen muss der M.ID RADIUS Proxy ein Citrix Receiver Anmeldeprozess von einem anderen Anmeldeprozess (bspw. Citrix Web Interface) unterscheiden können. Hierfür wird bei der RADIUS-Authentifizierung ein sogenannter NAS-Identifier mitgeschickt. Erstellen Sie auf der Citrix NetScaler Appliance einen neuen RADIUS Authentication Server und definieren Sie einen beliebigen NAS-Identifier: Konfiguration eines Authentication Servers mit Citrix NetScaler 9.2 Der freidefinierbare Wert muss mit den NAS-Identifier Settings des M.ID RADIUS Proxys übereinstimmen (s. Kapitel ) Erstellen Sie ebenfalls eine neue Authentication Policy für den soeben erstellten RADIUS Authentication Server: Seite 210 M.ID Server Handbuch v4.7.0

211 Authentication Policy mit Match Expression Der Citrix Receiver for ipad sendet ein HTTP-Header Attribut User-Agent mit, welches den Wert CitrixReceiver enthält. Passen Sie so an, dass diese nur greift, wenn dieser Wert mit CitrixReceiver übereinstimmt. Hinweis: Der NAS-Identifier darf nur für Citrix Receiver for ipad Anmeldungen verwendet werden. Wird der NAS-Identifier ebenfalls bei einem anderen Anmeldeprozess (bspw. einer Citrix Web Interface Anmeldung) so wird der Anmeldeprozess falsch durchgeführt und eine Anmeldung schlägt fehl! M.ID Server Handbuch v4.7.0 Seite 211

212 12. M.ID OWA Agent Beschreibung Der Swiss SafeLab M.ID OWA Agent ist ein Komponente (M.ID Agent) von Swiss SafeLab M.ID und somit nur in dessen Verbund einsetzbar. Der Swiss SafeLab M.ID OWA Agent erweitert die Anmeldeseite des Microsoft Office Outlook Web Access mit einem zusätzlichen Eingabefeld für den M.ID PIN (s. Screenshots). Bei gültiger Benutzernamen-M.ID PIN-Kombination, wird je nach M.ID Anmeldemodus ein M.ID Passcode auf das Mobiltelefon des Benutzers verschickt. Bei korrekter Eingabe des M.ID Passcodes wird der Benutzer direkt zum Microsoft Office Outlook Web Access weitergeleitet, falls ebenfalls das Active Directory Passwort korrekt ist. Erst bei dieser Weiterleitung wird das Active Directory Passwort des Benutzers durch OWA überprüft. Durch die Integration des Swiss SafeLab M.ID OWA Agenten kann ein Account-Lock-Out durch Unbefugte verhindert werden. Mit Swiss SafeLab M.ID OWA Agenten erweitertes OWA 2007 und OWA Installation und Konfiguration 1. Installieren Sie den Swiss SafeLab M.ID Server, falls noch nicht geschehen 2. Kopieren Sie aus dem Ordner <M.ID Server Installationsordner>\agents\ die Datei MID_OWAAgent_v???_b?????.exe auf den Web Server mit OWA 3. Starten Sie den Installationsassistenten auf dem Web Server mit OWA 4. Folgen Sie den Installationsanweisungen Detaillierte Informationen zur Installation und Konfiguration des Swiss SafeLab M.ID OWA Agents entnehmen Sie bitte dem M.ID OWA Agent beiliegenden Handbuch, welches nacht der Installation im Verzeichnis \doc zu finden ist. Seite 212 M.ID Server Handbuch v4.7.0

213 13. M.ID Remote Desktop Web Access Agent Beschreibung Der Swiss SafeLab M.ID Remote Desktop Web Access Agent (M.ID RDWA Agent) ist eine Komponente (M.ID Agent) des Swiss SafeLab M.ID Servers und somit nur in dessen Verbund einsetzbar. Der Swiss SafeLab M.ID RDWA Agent erweitert die Anmeldeseite des Microsoft Remote Desktop Web Access mit einem zusätzlichen Eingabefeld für den M.ID PIN (s. Screenshots). Bei gültiger Benutzernamen-M.ID PIN-Kombination, wird je nach M.ID Anmeldemodus ein M.ID Passcode auf das Mobiltelefon des Benutzers verschickt. Bei korrekter Eingabe des M.ID Passcodes wird der Benutzer direkt zum Microsoft Remote Desktop Web Access weitergeleitet, falls das Active Directory Passwort ebenfalls korrekt ist. Erst bei dieser Weiterleitung wird das Active Directory Passwort des Benutzers durch RDWA überprüft. Durch die Integration des Swiss SafeLab M.ID RDWA Agenten kann ein Account-Lock-Out durch Unbefugte verhindert werden. Mit Swiss SafeLab M.ID RDWA Agenten erweiterter Remote Desktop Web Access Installation und Konfiguration 1. Installieren und konfigurieren Sie den Swiss SafeLab M.ID Server, falls nicht bereits durchgeführt. 2. Kopieren Sie aus dem Ordner <M.ID Server Installationsordner>\agents\ den Installationsassistenten MID_RDWAAgent_v???_b?????.exe auf den Web Server mit Microsoft Remote Desktop Web Access 3. Starten Sie den Installationsassistenten auf dem Web Server mit Microsoft Remote Desktop Web Access 4. Folgen Sie den Installationsanweisungen M.ID Server Handbuch v4.7.0 Seite 213

214 Detaillierte Informationen zur Installation und Konfiguration des Swiss SafeLab M.ID RDWA Agents entnehmen Sie bitte dem M.ID RDWA Agent beiliegenden Handbuch, welches nacht der Installation im Verzeichnis \doc zu finden ist. Seite 214 M.ID Server Handbuch v4.7.0

215 14. M.ID TMG Agent Beschreibung Der Swiss SafeLab M.ID TMG Agent ist eine Komponente (M.ID Agent) des Swiss SafeLab M.ID Servers und ist ein FBA (Form Based Authentication) Filter für den Microsoft Forefront Threat Management Gateway (TMG). Der M.ID TMG Agent bricht (derzeit jede) FBA-Kommunikation auf und integriert eine Zwei-Faktor-Authentifizierung direkt mit dem M.ID Server. Detaillierte Informationen zur Installation und Konfiguration des Swiss SafeLab M.ID TMG Agents entnehmen Sie bitte dem M.ID TMG Agent beiliegenden Handbuch, welches nacht der Installation im Verzeichnis \doc zu finden ist. Hinweis: Der M.ID TMG Agent ist nur in der Enterprise Edition verfügbar! Voraussetzung Swiss SafeLab M.ID Server Enterprise Edition Microsoft Forefront Threat Management Gateway Rollout 1 SP Installation Installationablauf 1. Installieren und konfigurieren Sie den Swiss SafeLab M.ID Server, falls nicht bereits durchgeführt. 2. Kopieren Sie aus dem Ordner <M.ID Server Installationsordner>\agents\ den Installationsassistenten MID_TMG_Agent_v???_b?????.exe auf den Server installiert mit Microsoft Forefront Threat Management Gateway 3. Starten Sie den Installationsassistentn auf dem Microsoft TMG Server 4. Folgen Sie den Installationsanweisungen Beschreibung des Installationsprozesses Der M.ID TMG Agent Installationsassistent kopiert lediglich die Dateien MIDTMGFilter.dll DFMIDCONFIG.XML nach C:\Program Files\Microsoft Forefront Threat Management Gateway. Zusätzlich wird die Datei MIDTMGFilter.dll registriert Konfiguration Konfigurationsablauf 1. Starten Sie den M.ID Configurator a. Tragen Sie die IP-Adressen des TMG Servers in die Liste der Allowed Hosts ein M.ID Server Handbuch v4.7.0 Seite 215

216 2. Speichern Sie die Einstellungen 3. Starten Sie den M.ID Server neu 4. Starten Sie den M.ID TMG Configurator Definieren Sie a. M.ID PIN Modus b. M.ID Server URLs c. Log-Off Befehl 5. Öffnen Sie die ForeFront TMG Management Console 6. Stellen Sie sicher, dass der M.ID TMG Agent Filter vor dem FBA Filter zum Zuge kommt 7. Bestätigen Sie ggf. die Änderungen 8. Starten Sie den Firewall Windows Dienst neu a. net stop fwsrv b. net start fwsrv Nachträgliche Änderungen Wenn Sie Änderungen an der Konfiguration vornehmen wollen, gehen Sie wie folgt vor: 1. Führen Sie Ihre Konfigurationsänderungen durch 2. Speichern Sie Ihre Änderungen 3. Starten Sie den Firewall Windows Dienst neu a. net stop fwsrv Seite 216 b. net start fwsrv M.ID Server Handbuch v4.7.0

217 Seiten anpassen Beschreibung Der M.ID TMG Filter verwendet die Standard HTML-Seiten des TMG. Die HTML-Seiten befinden sich im nachfolgenden Verzeichnis: C:\Program Files\Microsoft Forefront Threat Management Gateway\Templates\CookieAuthTemplates\Exchange\HTML In den HTML-Dateien werden Plazthalter (beginnend mit bspw. verwendet, um Text(-Fragmente) der Sprachdateien zu Referenzieren. Die Sprachdateien befinden sich im nachfolgenden Verzeichnis: C:\Program Files\Microsoft Forefront Threat Management Gateway\Templates\CookieAuthTemplates\Exchange\HTML\nls Es können eigene Platzhalter in die HTML-Dateien eingefügt werden. Diese müssen dann jedoch in allen entsprechenden Sprachdateien nachgeführt werden. In den Sprachdateien müssen die Platzhalter ohne führende hinterlegt werden und der Text in Anführungszeichen gesetzt werden, bspw.: L_SecuredByISA="Geschützt durch Swiss SafeLab M.ID" HTML-Entitäten wie bspw. ", &lg;, können in die Textfragmente miteinbezogen werden. Hinweis: Die aufgeführten Pfade entsprechen den Pfaden einer Microsoft ForeFront TMG Standard Installation Anmelde-Seite anpassen Der Name der Anmelde-Seite lautet usr_pwd.htm Passcode Seite anpassen Der Name der Passcode-Seite lautet pcode.htm. Falls die Eingabe des M.ID Passcodes in klartext gewünscht ist, muss das input-tag mit id=passcode (ca. Zeile 102) wie folgt angepasst werden: o Maskierte Eingabe (standard): <input class="txt" id="passcode" type="password" name="passcode" onfocus="g_ffcs=0" /> o Klartext Eingabe: <input class="txt" id="passcode" type="text" name="passcode" onfocus="g_ffcs=0" /> M.ID Server Handbuch v4.7.0 Seite 217

218 15. M.ID ISAPI Agent Voraussetzungen IIS Server mit erstelltem WEB (Das zu schützende WEB) M.ID Server installiert und getestet IP: Port: Active Server Pages unter IIS installiert: Add or Remove Programs -> Windows Components -> Application Server -> Internet Information Services -> World Wide Web Services Abbildung 15.1: Installation von Active Server Pages Installationshilfen Um den Internet Information Server elegant neu zu starten nutzen Sie folgenden Befehl in der Befehlskonsole (cmd.exe): iisreset.exe Die vollständige Beschreibung des Befehles ist auf der Internetseite von Microsoft zu finden: ISAPI Filter Benötigte Dateien: HttpAuthentication.dll (192k version) AuthFilt.ini 1. HttpAuthentication.dll ins Default Web Site" Verzeichnis kopieren, wo das Login Portal entstehen soll. Default: c:\inetpub\wwwroot\ 2. AuthFilt.ini ins Windows Installationsverzeichnis kopieren. Default: c:\windows\ 3. Benutzer einrichten und zur Gruppe Gäste hinzufügen: Seite 218 M.ID Server Handbuch v4.7.0

219 Abbildung 15.2: Neuer IIS Benutzer Abbildung 15.3: Zur Gruppe Gäste hinzu fügen 4. AuthFilt.ini konfigurieren: Parameter [BusinessLogic] HostCount = 3 Host_0_Name= Host_0_Port=81 Host_1_Name= Host_1_Port=81 Host_2_Name= Host_2_Port=81 [Login] User=AuthUser Password=1234 [AuthSettings] SessionTime=3600 DefaultPage= LoginPage=/session.asp mode=id Persistent=0 Beschreibung Anzahl M.ID Server Es können maximal 10 verschiedene Server angegeben werden. Der ISAPI Filter verwendet den ersten Host bis dieser nicht mehr erreichbar ist, dann den zweiten usw. Nach dem letzten Host wird wieder versucht den ersten Host anzusprechen. Lokaler Benutzer unter dem die zu schützende Webseite läuft. Dieser User muss Gast-Rechte besitzen. Gültigkeitsdauer einer Session (in Sekunden). Der Benutzer muss sich danach erneut einloggen. Ziel Webseite nach erfolgreichem Login Hauptseite M.ID Server Login. Default: session.asp Anmeldemodus des M.ID Servers. Session: mode=id On Demand: mode=user Cookie Konfiguration Session Cookie: 0 Persistentes Cookie: 1 5. ISAPI Filter registrieren, aktivieren (Ab IIS 6.0). Das zu schützende Portal muss eine Unterwebseite des Login Webs sein (Hier Default Web Site ). M.ID Server Handbuch v4.7.0 Seite 219

220 Abbildung 15.4: Beispiel Unterwebseite 6. ISAPI registrieren: Web Service Extensions -> Add new Web Service Extension Abbildung 15.5: ISAPI Filter registrieren 7. Status des Filters auf Allowed setzen 8. Aktivieren des Filters: Default Web Site -> Properties -> ISAPI Filters -> Add 9. Und dann die gleiche Datei HttpAuthentication.dll auswählen. Abbildung 15.6: Filter aktivieren Achtung! Bei Änderungen an der AuthFilt.ini muss der IIS Server neu gestartet werden. (Siehe Kapitel 15.2) Seite 220 M.ID Server Handbuch v4.7.0

221 15.4. Konfiguration M.ID ISAPI Agent 1. Dateien kopieren: 2. Alle Dateien im \ISAPI\web Verzeichnis Ihres Produktdatenträgers ins Default Web Site Verzeichnis kopieren. Unterverzeichnisse nicht kopieren. (Zu kopierende Dateien: citrix.asp, citrixadvanced.asp, def.inc, event.asp, footer.inc, header.inc, lang.inc, log.asp, LoginRedirect.html, logo.gif, LogonAgentRedirect.asp, mid.css, mid.gif, mid.jpg, pin.asp, reset.asp, schatten.gif, session.asp, ssl-logo.jpg, title.inc) Isolation Modus des IIS aktivieren: Web Sites -> Properties -> Service -> Run WWW Abbildung 15.7: Isolation Modus aktivieren 3. Authentifizierungsmethoden: Default Web Site -> Properties -> Directory Security -> Edit... Abbildung 15.8: AuthUser einbinden M.ID Server Handbuch v4.7.0 Seite 221

222 4. Scriptzugriff (ASP) einschalten, siehe auch Kapitel 15.1 Wichtig: Die Unterverzeichnisse müssen auch freigeschaltet werden! Default Web Site -> Properties -> Home Directory Abbildung 15.9: ASP aktivieren 5. Verlinkung zur Hauptseite auf den M.ID Login umstellen: 6. Default Web Site -> Properties -> Documents -> Add -> session.asp Abbildung 15.10: Hauptseite einstellen Seite 222 M.ID Server Handbuch v4.7.0

223 7. Fehlerseite für den Fall eines direkten Zugriffes so abändern dass die Hauptseite erscheint: Default Web Site -> Properties -> Custom Errors -> Error 401;2 -> Edit -> LoginRedirect.html Abbildung 15.11:Fehlerseite einstellen 8. Rechte für das zu schützende Portal entfernen: zu schützendes Portal -> Properties -> Directory Security -> Edit Abbildung 15.12: Zu schützendes Portal Rechte M.ID Server Handbuch v4.7.0 Seite 223

224 9. def.inc konfigurieren Citrix Variablen müssen nicht konfiguriert werden wenn die zu Schützende Webseite kein Citrix WI ist. Parameter mode = 0 time = 3 midserver = " citrixanmeldung = 0 pfadcitrix = "Citrix/MetaFrame/auth/login.aspx" domaincitrix = "instructor" domaincitrixview = 1 language = "de" webserver = " " firmname = "Swiss SafeLab" firmlogo = "ssl-logo.jpg" Beschreibung Anmeldemodus des M.ID Servers. Dieser Anmeldemodus muss der selbe sein wie bei der AuthFilt.ini konfiguriert Session: mode=0 On Demand: mode=1 Bei Session mode die Gültigkeitsdauer des Passcodes in Minuten angeben. IP und Port des M.ID Servers Soll eine automatische Anmeldung erfolgen? 0 = nein 1 = Citrix Web Interface v2 2 = Citrix Web Interface v3 3 = Citrix Web Interface v4 4 = ab Citrix v4.2 Pfad der Citrix Login Seite. Pfad inklusive Login Seite angeben. Logindomain, wird automatisch in die Eingabemaske eingefügt. Feld leer lassen, wenn mehrere Domains vorhanden, oder Hauptdomäne angeben und unter domaincitrixview das Domainfeld sichtbar schalten. Anzeigen der Domain ja/nein 0 = Domainfeld nicht sichtbar 1 = Domainfeld sichtbar Wenn Domainfeld ausgeblendet ist, muss unter domaincitrix eine Domain angegeben werden, ansonsten kein Login durchgeführt werden kann. Standardsprache. Wird Citrix mitgegeben beim Login. Domainname oder IP des Webservers Logo für Loginseiten konfigurieren. Die Logos müssen im gleichen Verzeichnis liegen wie diese Datei. Seite 224 M.ID Server Handbuch v4.7.0

225 16. M.ID SMS Outlook 2007 AddIn Beschreibung Das Swiss SafeLab M.ID SMS Outlook 2007 AddIn ermöglicht den Versand von SMS direkt aus Microsoft Outlook Das AddIn erweitert die Outlook Menüleiste um einen Eintrag M.ID mit einem Menüpunkt Send SMS. Das AddIn kommuniziert direkt mit dem M.ID Server, daher muss die Workstation auf der das AddIn ausgeführt wird mit dem M.ID Server kommunizieren können. Die erweiterte Microsoft Outlook Menüleiste und der neue Menüeintrag Dialog für den SMS Versand Hinweis: Kunden von Swiss SafeLab SMS Providing wird empfohlen auf die Installation des M.ID Outlook 2007 AddIns zu verzichten und stattdessen Microsoft Outlook Mobile Services (OMS) mit Swiss SafeLab SMS Providing zu verwenden. OMS ist Bestandteil fixer Bestandteil von Microsoft Outlook was somit keine clientseitige Installation erfordert (s. Kapitel 23). Das Swiss SafeLab Outlook 2007 AddIn lässt sich ebenfalls auf Terminal Server installieren Voraussetzungen Microsoft Outlook 2007 Microsoft Windows Plattform Visual Studio 2005 Tools for Office SE Runtime (im Setup enthalten) Microsoft.NET Framework 2.0 Hinweis: Das Swiss SafeLab Outlook 2007 AddIn lässt sich ebenfalls auf Terminal Server installieren. Kunden mit einem Swiss SafeLab SMS Providing Abonnement können SMS ebenfalls via Outlook Mobile Services versenden M.ID Server Handbuch v4.7.0 Seite 225

226 16.3. Installationshilfen Hinweis: Eine detaillierte Installationsanleitung entnehmen Sie bitte dem der Installation beiliegenden Quick Starter Guide Konfiguration M.ID SMS Outlook 2007 AddIn Die Konfiguration für das M.ID SMS Outlook 2007 AddIn beläuft sich nur auf das Setzen der M.ID Server Adresse: 1. Passen Sie Ihre Firewall Regeln so an, dass Sie von der Workstation auf der das M.ID SMS Outlook 2007 AddIn installiert wurde mit dem M.ID Server Listener Port (s. Kapitel 5.5.2) kommunizieren können 2. Öffnen Sie die Datei <install folder>\midoutlookaddin.dll.config 3. Geben Sie als Wert für den Schlüssels <MIDServers> die IP-Adresse inkl. Port Ihres M.ID Servers an. Bspw.: <add key="midservers" value=" /> Falls Sie mehrere M.ID Servers installiert haben, trennen Sie die IP-Adressen mit einem Semikolon: Bspw.: <add key="midservers" value=" /> Troubleshooting M.ID SMS Server communication error Vergewissern Sie sich, dass der verwendete M.ID Server (s. Dialog About ) läuft die IP-Adresse des Servers/der Workstation auf dem Outlook 2007 läuft, in der Login Events Host des M.ID Configurators eingetragen ist: Seite 226 M.ID Server Handbuch v4.7.0

227 17. SMS Provider Development Kit Einleitung Seit Version steht den Kunden ein SMS Provider Development Kit (SPDK) zur Verfügung. Anhand dieser offenen Java-Schnittstelle können eigene SMS Provider implementiert werden. Hinweis: Diese Schnittstelle steht nur in der Enterprise Edition zur Verfügung Änderungen Änderungen v1.0.2 Es stehen nun SMS-Typen zur Verfügung. Anhand des SMS-Typs kann eruiert werden, was der Auslösegrund für die SMS war. Es stehen neue reservierte ProviderStatus-Stadien zur Verfügung Änderungen v1.0.3 Die Klasse SMS() wurde mit zwei neuen setter-funktionen ausgestattet: o setsamaccount() o setmobilenumber() Änderungen v3.2.1 Die Klasse SMS() wurde mit einer neuen Instanz-Variable Id ausgestattet Die Klasse SMS() wurde mit zwei neuen getter-funtionen ausgestattet: o getid() o getidasstring() Die Klasse SMS() wurde mit einer neuen Klassen-Funktion generateid() ausgestattet Hinweis: Ab Swiss SafeLab M.ID Server müssen Sie müssen die neue SMS()-Klasse v3.2.1 verwenden. Erstellen Sie Ihre jar-datei für den Generic SMS Provider neu! Voraussetzungen Für die Implementierung eines eigenen SMS Providers benötigen Sie: M.ID Service Enterprise Edition Java JDK 1.5.0_09 Swiss SafeLab Java Interface ISMSProviderSender() Swiss SafeLab Java Class SMS() Swiss SafeLab Java Class ProviderStatus() Swiss SafeLab Java Class ProviderKVPair() Der Swiss SafeLab M.ID Server wurde in Java 1.5.0_09 entwickelt. Daher darf ein generic SMS Provider nicht in einer höheren Java Version oder in einer Java Version kleiner als 1.5 entwickelt werden. Es stehen zwei Installationspakete zum Download bereit: SPDK_v1_0_2_with_JDK_1_5_0_09.exe (50MB) SPDK_v1_0_2_without_JDK_1_5_0_09.exe (200KB) M.ID Server Handbuch v4.7.0 Seite 227

228 17.4. Implementierung 1. Laden Sie eines der beiden Installationspakte herunter und extrahieren Sie die Interface-Klassen. 2. Erstellen Sie eine neue Java Klasse (bswp.: company.project.smsproviders.provider1) und implementieren Sie das Interface ch.swisssafelab.mid.io.smsprovider.ismsprovidersender() 3. Implementieren Sie alle Methoden des ISMSProviderSender()-Interfaces. Hinweis: Ändern Sie unter keinen Umständen den Wert der Variable ismsprovidersenderversion 4. Sollten Sie zusätzliche Konfigurationswerte für Ihren Provider benötigen, können Sie diese im M.ID Configurator unter provider specific values & props angeben: Mit obiger Beispielkonfiguration erhalten Sie in in der Hashtable() vom Typ ProviderKVPair() für die init()-methode folgende Einträge: - XML Elem/Attr, ProviderKVPair( XML Elem/Attr, XML Elem/Attr Value ) - providername, ProviderKVPair( providername, GenericProvider ) - priority, ProviderKVPair( priority, 5 ) - type, ProviderKVPair( type, generic ) - AllowAnonymous, ProviderKVPair( AllowAnonymous, true ) - LogMessageText, LogMessageText, false ) Der Key entspricht dem XML-Element oder dem XML-Attribut aus der Provider XML. Hinweis: Auf nicht-windows-plattformen steht der M.ID Configurator derzeit noch nicht zur Verfügung. In diesem Falle müssen Sie Ihren SMS Provider direkt in der XML-Datei konfigurieren. Es wird empfohlen, einen XML-Editor zu verwenden, welcher die XML-Datei gegen die beiliegende XML- Schema-Datei validieren kann! 5. Erstellen Sie ggf. neue ProviderStatus()-Fehlermeldungen 6. Erstellen Sie ein Java Archive (jar) (es wird kein Manifest benötigt) mit einer JDK Version 5 Update 9 ohne die mitgelieferten Interfaces und Klassen. 7. Geben Sie im M.ID Configurator für JAR Path den Pfad zum soeben erstellten.jar an. 8. Geben Sie im M.ID Configurator für Java class name den Namen der soeben erstellten Klasse an, inkl. des Packagenamen (bspw.: company.project.smsproviders.provider1). 9. Speichern Sie die Einstellung 10. Starten Sie den M.ID Service neu 11. Ihr eigener SMS Provider sollte nun in der M.ID Management Control & View erscheinen. Hinweis: Auf Auftrag implementiert Swiss SafeLab GmbH zusätzliche Provider. Seite 228 M.ID Server Handbuch v4.7.0

229 18. Zertifikate Einleitung Für gesicherte Netzwerkkommunikationen sind Zertifikate unabdingbar: gesicherte Verbindung zum SMS Provider (bspw. Swiss SafeLab SMS Providing) gesicherte Verbindung zum LDAP-Server (bspw. für Passwort Reset) gesicherte Verbindung der Agents mit dem M.ID Server Alle Zertifikate, die dem M.ID Server zur Verfügung stehen sind im M.ID Keystore (<M.ID Server Installation>\config\mid.keystore) gespeichert. Mit dem mitgelieferten Tool KeyMan von IBM (<M.ID Server Installation>\tools\) können Sie dem M.ID Keystore Zertifikate hinzufügen, entfernen oder das Keystore-Passwort ändern. Neue SMS Provider-Zertifikate finden Sie im unter <M.ID Server Installation>\updates\. Das Importieren von Zertifikaten (Domain Controller, SMS Provider) ist im nachfolgenden Kapitel beschrieben Domain Controller Zertifikat exportieren Für eine gesicherte Verbindung zu Ihrem LDAP-Server müssen Sie das Server Zertifikat Ihres/Ihrer LDAP-Server exportieren und anschliessend in den M.ID Keystore importieren. Hinweis: Ohne Server Zertifikat kann der M.ID Server keine gesicherte Verbindung zu Ihrem LDAP-Server aufbauen und somit steht Ihnen das Active Directory Passwort Reset Feature nicht zur Verfügung. 1. Starten Sie die Microsoft Management Console (mmc.exe) 2. Wählen Sie File\ Add/Remove Snap-in 3. Klicken Sie auf Add M.ID Server Handbuch v4.7.0 Seite 229

230 4. Wählen Sie Certificates 5. Wählen Sie Computer account, dann Local computer, dann Finish 6. Öffnen Sie den Zweig Certificates (Local Computer)\Personal\Certificates resp. Certificates (Local Computer) Trusted Root Certification Authorities\Certificates Sollten Sie an dieser Stelle kein Server Zertifikat vorfinden, müssen Sie das Zertifikat bei Ihrer Zertifizierungsstelle anfordern. Hilfe bezüglich der Microsoft Zertifizierungsstelle entnehmen Sie bitte der Microsoft Knowledge Base. Hinweis: MMC\Certificates (Local Computer)\Personal\Certificates All Tasks Request New Certificate 7. Wählen Sie dort Ihr Server Zertifikat resp. das Root-Zertifikat der Domäne aus Seite 230 M.ID Server Handbuch v4.7.0

231 8. Wählen Sie im Kontextmenü des Zertifikats All Tasks \ Export Wählen Sie No, do not export the private key 11. Wählen Sie DER encoded binary x.509 (.cer) M.ID Server Handbuch v4.7.0 Seite 231

232 12. Speichern Sie das Zertifikat ab Hinweis: Sie müssen das Server Zertifikat für jeden LDAP-Server exportieren, den Sie in Ihrer LDAP-URL im M.ID Configurator angegeben haben. Bei Windows Small Business Server 2008 wird ein Root-Zertifikat bei der Installation erstellt IBM KeyMan Installieren Sie den IBM KeyMan. Sie finden die Installationsdatei im Verzeichnis \tools\ in Ihrem M.ID Installations-Ordner. Mit dem IBM KeyMan können Sie auf einfache Weise Ihren M.ID Keystore verwalten Keystore öffnen 1. Starten Sie KeyMan mit km.bat oder via M.ID Configurator im Menü Tools. 2. Klicken Sie auf das rechte Icon ( Open existing... ) um einen Keystore zu öffnen: 3. Wählen Sie Local ressource 4. Wählen Sie Open a file, suchen Sie in Ihrem M.ID Installationsordner im Unterordner \config die Keystore-Datei (der Pfad zur Keystore-Datei finden Sie im M.D Configurator) 5. Klicken Sie auf weiter. Seite 232 M.ID Server Handbuch v4.7.0

233 6. Lassen Sie diesen Dialog leer: 7. Geben Sie das Keystore Passwort ein (Default: midmid): 8. Der Keystore wurde erfolgreich geöffnet: Keystore Passwort ändern 1. Öffnen Sie den Keystore, dessen Passwort Sie ändern wollen 2. Wählen Sie in der Menüleiste: Options\Change User Password M.ID Server Handbuch v4.7.0 Seite 233

234 3. Geben Sie zweimal das neue Passwort ein. Das Passwort muss mindestens 6 Zeichen lang sein! 4. Klicken Sie auf das Gutzeichen. Es erscheint kein Bestätigungsdialog. 5. Speichern Sie den Keystore via File\Save 6. Setzen Sie im M.ID Configurator das soeben verwendete Passwort Zertifikat aus Datei importieren Wählen Sie diesen Ablauf, wenn Sie bspw. das Domain Controller Zertifikat oder neue SMS Provider Zertifikate importieren wollen. 1. Öffnen Sie den Keystore, dem Sie ein neues Zertifikat hinzufügen wollen 2. Wählen Sie Menüleiste\File\Import: 3. Wählen Sie Local resource, dann Open a file und geben Sie den Pfad zur Zertifikatsdatei an Seite Der Import wird ohne Bestätigungsdialog abgeschlossen. M.ID Server Handbuch v4.7.0

235 5. Klicken Sie auf das Drop Down Fenster Private Certificates und wählen Sie die Option All Certificate Items um sich zu vergewissern, dass das eben importierte Server Zertifikat auch tatsächlich im Keystore abgelegt wurde: 6. Klicken Sie auf File und danach auf Save um den Keystore mit dem neuen Server Zertifikat zu speichern. Hinweis: Sie müssen das Server Zertifikat von jedem LDAP-Server importieren, den Sie in Ihrer LDAP-URL im M.ID Configurator angegeben haben Zertifikat aus Keystore importieren 1. Öffnen Sie den Keystore, dem Sie ein neues Zertifikat hinzufügen wollen 2. Wählen Sie Menüleiste\File\Import 3. Wählen Sie Local resource, dann Open a file und geben Sie den Pfad zum Keystore an, der die zu importierenden Zertifikate enthält 4. Der Import wird ohne Bestätigungsdialog abgeschlossen 5. Bitte beachten Sie, dass alle Zertifikate aus dem Keystore importiert wurden. Sie müssen nun alle nicht gewünschten Zertifikate nachträglich löschen 6. Ändern Sie ggf. das Passwort des Keystores (Options\Change User Password) 7. Klicken Sie auf File und danach auf Save um den Keystore mit dem neuen Zertifikaten zu speichern Selbst signiertes Zertifikat erstellen Falls Sie noch nicht im Besitz eines gültigen SSL-Zertifikats für Ihren Server sind, können Sie mit IBM KeyMan ein eigenes selbstsigniertes Zertifikat erstellen. Mit diesem Zertifikat können Sie die webbasierte Admin View und User GUI via https (SSL) testen. 1. Öffnen Sie den Keystore, dem Sie ein neues Zertifikat hinzufügen wollen 2. Wählen Sie Menüleiste\Action\Generate Key:, Wählen Sie RSA und mindestens 1024 bit M.ID Server Handbuch v4.7.0 Seite 235

236 3. Bestätigen Sie Ihre Einstellung mit Klicken auf das Ok-Zeichen 4. Wählen Sie Menüleiste\Action\Create Certificate dann Self signed certificate und füllen Sie das Formular gemäss Ihren Angaben aus: Hinweis: 5. Bestätigen Sie Ihre Einstellung mit Klicken auf das Ok-Zeichen. 6. Optional: Geben Sie dem Zertifikat einen treffenden Namen bspw.: self signed cert for M.ID Server 7. Speichern Sie den Keystore über Menüleiste\File\Save Mit diesem Zertifikat können Sie nun via https die webbasierten GUIs aufrufen. In den Browsern erhalten Sie jedoch eine Sicherheitswarnung, da dem Zertifikat weil selbst signiert nicht vertraut wird Java KeyTool Wie überprüfe ich das Keystore Passwort? Mit dem mitgelieferten Programm "IBM Key Man" Mit Java Programm "KeyTool.exe" 1. Öffnen Sie eine Eingabeaufforderung im Ordner in dem sich der Keystore befindet 2. Geben Sie folgenden Befehl in der Eingabeaufforderung ein: <JAVA_HOME>\keytool -list -keystore <keystorename> bspw.: C:\programme\java\jre6\bin\keytool -list -keystore mid.keystore 3. Geben Sie das geforderte Passwort ein. Wie ändere ich das Keystore Passwort? Mit dem mitgelieferten Programm "IBM Key Man" Mit Java Programm "KeyTool.exe" 1. Öffnen Sie eine Eingabeaufforderung im Ordner in dem sich der Keystore befindet 2. Geben Sie folgenden Befehl in der Eingabeaufforderung ein: <JAVA_HOME>\keytool -storepasswd -keystore <keystorename> bspw.: C:\programme\java\jre6\bin\keytool -storepasswd -keystore mid.keystore 3. Geben Sie das alte Passwort ein 4. Geben Sie das neue Passwort ein Seite 236 M.ID Server Handbuch v4.7.0

237 19. Offene Punkte M.ID Server Installation Problem Auf Microsoft Windows Server bit mit Java Version 6 32bit lässt sich der M.ID Service manchmal nicht starten. Lösung 1. Deinstallieren Sie den M.ID Windows Service über den M.ID Config Generator. 2. Installieren Sie Java neu anhand des Setup-Packets im \tools-verzeichnis. 3. Starten Sie den M.ID Configurator und passen Sie den Pfad zum Java-Home-Verzeichnis im Reiter Globals an. 4. Klicken Sie auf Version und stellen Sie sicher, dass die Version korrekt erkannt wurde 5. Installieren Sie den M.ID Windows Service über den M.ID Config Generator. s. auch Kapitel The LoadLibrary function failed fort he following reason M.ID Server Betrieb Problem SMS im asynchronen Modus werden nicht zum gewünschten Zeitpunkt versandt. Bspw. wird ein Versand um gewünscht, die SMS treffen jedoch ein. Lösung Stellen Sie sicher, dass der Async Passcode Timer < 60 Minuten eingestellt ist. Starten Sie den M.ID Server möglichst nah nach einer vollen Stunde bspw. um oder M.ID Server im Betrieb mit anderen Produkten Problem In Umgebungen mit aktivierter Web Thread Protection Komponente von Trend Micro Antivirus kann es vorkommen, dass keine Anmeldung mit korrektem M.ID PIN und M.ID Passcode hergestellt werden kann. Lösung Deaktivieren Sie die Web Thread Protection Komponente von Trend Micro Antivirus RADIUS Proxy Problem Der RADIUS Proxy Configurator erkennt nicht, dass der angegebene Port verwendet ist. Lösung Derzeit gibt es keine Lösung. M.ID Server Handbuch v4.7.0 Seite 237

238 20. Troubleshooting/FAQ M.ID Server M.ID Server Starten Der M.ID Server Windows Service startet nicht via M.ID Configurator. Überprüfen Sie die stderr.txt, stdout.txt und mid0.log auf Fehlermeldungen. Stellen Sie sicher, dass sich bei der Verwendung von Java 6 die Datei msvcr71.dll (resp. msvcr100.dll bei Java 7) im %SystemRoot%\System32- (resp. %SystemRoot\SysWOW64)- Verzeichnis befindet. Verwenden Sie Windows Server 2008 R2 64bit, installieren Sie ein Java Version 6 32bit, deinstallieren Sie den Windows Service via M.ID Configurator, setzen Sie den Java-Home Pfad auf die neue 32bit Java Version. Installieren und Starten Sie den M.ID Windows Service via M.ID Configurator. Wie kann ich überprüfen, ob der Swiss SafeLab M.ID Server läuft? Öffnen Sie eine die Log-Dateien (mid0.log, stdout.txt, stderr.txt). Wenn keine Fehlermeldungen enthalten sind, kann davon ausgegangen werden, dass der M.ID Server läuft. Öffnen Sie via M.ID Configurator die M.ID Management Control & View Hinweis: s. auch Kapitel Hinweise zu Microsoft Windows Server 2008 R M.ID Server Konfiguration Wie ändere ich das Keystore-Passwort? Mit dem M.ID Configurator Mit dem mitgelieferten Programm "IBM Key Man" Mit Java Programm "KeyTool" 1. Öffnen Sie eine Eingabeaufforderung im Ordner in dem sich der keystore befindet 2. Geben Sie folgenden Befehl in der Eingabeaufforderung ein: <JAVA_HOME>\keytool -storepasswd -keystore <keystorename> bspw.: C:\programme\java\jre6\bin\keytool -storepasswd -keystore keystore 3. Geben Sie das alte Passwort ein 4. Geben Sie das neue Passwort ein Welches sind die häufigsten Fehlerursachen? Es läuft bereits eine Instanz des M.ID Servers mit identischem Login Event Port. Verschlüsselte Passwörter der mid.conf wurden nicht mit dem aktuellen mid.key verschlüsselt. Die Lizenz ist abgelaufen, weil o mehr Benutzer aktiviert sind, als die Lizenz zulässt. o eine neuere Version von Swiss SafeLab M.ID installiert wurde, als die Lizenz zulässt (Subscription). inkompatible Java-Version. falsche Angabe des Java-Home-Verzeichnisses im M.ID Configurator. Die IP des M.ID Agenten ist nicht in der Login Event Hosts aufgeführt. Hinweis: s. auch Kapitel Hinweise zu Microsoft Windows Server 2008 R2 Seite 238 M.ID Server Handbuch v4.7.0

239 M.ID Server Deinstallation Die Datei <Installationsverzeichnis>\config\javaservice.exe lässt sich nicht löschen. Vor allem auf virtualisierten Servern kann es einige Zeit (1-10min) dauern, bis Windows den Service effektiv gelöscht hat (bei manuellen Löschversuchen via sc.exe delete erscheint die Fehlermeldung: This Service is marked for deletion. Erst wenn Windows den Service effektiv gelöscht hat, kann ebenfalls die Datei javaservice.exe gelöscht werden M.ID Server Benutzerkonfiguration Wie kann ich mir den M.ID Passcode per zustellen lassen? Tragen Sie anstelle einer Mobiltelefonnummer die adresse ins Feld M.ID Mobile Number ein Anmeldung Ich erhalte eine SMS kann mich jedoch nicht anmelden Stellen Sie sicher, dass Sie den M.ID Passcode korrekt eingeben Stellen Sie sicher, dass Sie das korrekte Passwort eingeben haben Stellen Sie sicher, dass Sie sich anmelden dürfen (Async Modus, Smart On Demand,...) Bei Citrix Web Interfaces: Stellen Sie sicher, dass im Active Directory das userprincipalname Attribut gesetzt ist. Wie funktioniert die erste Anmeldung? 1. Melden Sie sich mit Ihrem Benutzernamen und Passwort an. Sollten Sie kein Passwort besitzen, geben Sie eine beliebige Zeichenfolge ins Passwortfeld ein. Sollten Sie keinen Pin besitzen, geben Sie eine beliebige Zeichenfolge ins Passwortfeld ein. 2. Wenn Sie noch keine Secret Answer erfasst haben, werden Sie nun dazu aufgefordert diese zu setzen. Anschliessend müssen Sie die Eingabe mit einem Passcode bestätigen. Nach der Bestätigung werden Sie wieder auf die Anmeldeseite zurückgeführt. 3. Wenn Sie noch keinen Pin haben, geben Sie Ihren Benutzernamen und Passwort ein. Sollten Sie kein Passwort besitzen, geben Sie eine beliebige Zeichenfolge ins Passwortfeld ein. Geben Sie im Pin-Feld [neuerpin]----[secret Answer aus Punkt 2] - bspw.: DieBergeSindSchön. Damit wurde Ihr Pin gesetzt und Sie werden wieder auf die Anmeldeseite zurückgeführt. 4. Wenn Sie ein Passwort haben, können Sie sich nun erfolgreich anmelden. Wenn Sie jedoch noch kein Passwort haben, geben Sie im Pin-Feld: ----[Secret Answer aus Punkt 2] ein - bspw.: ---- DieBergeSindSchön. Sie erhalten nun ein neues Passwort auf Ihr Mobilfunktelephon. Melden Sie sich nun mit diesem Benutzernamen, dem erhaltenen Passwort und Ihrem Pin an. Bestätigen Sie den Passcode und ändern Sie das Passcode im nächsten Eingabeformular. Wie funktioniert die Anmeldung mit motp? s. Kapitel Anmeldevorgang. Der generierte motp muss ins M.ID PIN Feld eingegeben werden. Die Anmeldung mit motp funktioniert nicht. Stellen Sie sicher, dass o die motp Settings mit den Einstellungen der App kompatibel sind. Die Standardeinstellungen für motp sind: M.ID Server Handbuch v4.7.0 Seite 239

240 Der Active Directory Passwort Reset scheint nicht zu funktionieren Stellen Sie sicher, dass Ihr Portal dem Benutzer das ändern seines Passwortes zulässt Stellen Sie sicher, dass der Benutzer sein Passwort ändern darf: o Hat er überhaupt die Berechtigung zum Ändern (s. Kontoeigenschaften)? o Hat er die Berechtigung das Passwort JEDERZEIT zu ändern (s. Group Policy)? Stellen Sie sicher, dass Sie ein Domain Controller Zertifikat in den Keystore importiert haben Stellen Sie sicher, dass Sie eine SLDAP-Verbindung verwenden SMS Ich erhalte keine SMS Vergewissern Sie sich, dass der M.ID Server läuft. Vergewissern Sie sich, dass mindestens einer der SMS Provider verfügbar ist. Vergewissern Sie sich, dass genügend Credits für die jeweiligen SMS Providern zur Verfügung stehen. Überprüfen Sie, dass der eingegeben PIN korrekt ist. Klären Sie ab, für welchen Modus Ihr Konto konfiguriert wurde. Sie erhalten keine SMS nach der Anmeldung, falls Ihr Konto als Asynchron Modus konfiguriert wurde. Sie erhalten keine SMS, wenn Sie keinen PIN und/oder keine Secret Answer definiert haben. Stellen Sie sicher, dass Kommunikation zwischen Web Portal und M.ID Agent sichergestellt ist. Stellen Sie sicher, dass die Kommunikation zwischen M.ID Agent und M.ID Server sichergestellt ist. Falls die Kommunikation zwischen M.ID Server und M.ID Agent sichergestellt ist, werden solche Meldungen (Level FINER) ausgegeben: :59:37 Eventlistener - Receiving Data FEINER: Event from on :81 Seite 240 M.ID Server Handbuch v4.7.0

241 Ich erhalte mehrere SMS Ein Reload der Web-Seite führt unweigerlich zu einer 2. SMS (Anmeldedaten werden ein weiteres Mal geschickt) Das Doppelklicken auf die Anmeldeschaltfläche führt ebenfalls zu zweien SMS. Falls die SMS nicht gleich nach 4, 5 Sekunden eintrifft, darf nicht nochmals ein Anmeldeprozess durchgeführt werden, da sonst ein neuer M.ID Passcode generiert und verschickt wird, der Benutzer jedoch nicht erkennt, welcher der beiden M.ID Passcodes nun der gültige ist. Falls der M.ID Agent keine Antwort vom M.ID Server innerhalb des definierten Timeouts erhält, dann kontaktiert der M.ID Agent den nächsten M.ID Server in seiner Failover Liste und sendet eine neue Anfrage. Dies kann dazu führen, dass nun beide M.ID Server die Anfrage verarbeiten und somit zwei SMS ausgelöst werden. Abhilfe für schafft die Erhöhung des Timeouts. Falls eine Appliance vom M.ID RADIUS Proxy keine Antwort innerhalb eines vordefinierten Timeouts erhält, so sendet die Appliance die Anfrage an den M.ID RADIUS Proxy erneut. Dies kann nun dazu führen, dass nun alle Anfragen verarbeitet werden und somit mehrere SMS ausgelöst werden. Abhilfe schafft die Erhöhung des Timeouts für die RADIUS Konfiguration auf Seiten der Appliance sowie das Setzen des Re-Login Timelock Wertes (s. Kapitel 5.5.3) M.ID Management control and view Ich kann die Admin View Control nicht starten. Vergewissern Sie sich, dass der M.ID Server läuft. Überprüfen Sie die Login Port-Einstellungen im M.ID Configurator. No connection to ldap! M.ID Management Control And View will be slow and not all features will be available! Es gibt mehrere Gründe für diese Fehlermeldung, jedoch können diese in drei Kategorien geteilt werden: Keine Netzwerkverbindung zwischen M.ID Server und LDAP Server o IP-Adresse nicht erreichbar o falsche IP-Adresse o falscher Port o Firewall Regeln nicht entsprechend gesetzt Die verwendeten Anmeldedaten sind ungültig o Falscher Benutzername o Falsches Passwort o Passwort für Konto abgelaufen o Konto deaktiviert Ungültige Policies o SSL-Zertifkat (bei SLDAP) abgelaufen o Überprüfen Sie die Policy Domain controller: LDAP server signing requirements s. Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options M.ID Configurator Die Log-Dateien lassen sich nicht via Menü View öffnen. Zum Öffnen der Log-Dateien startet der M.ID Configurator die Dateien mit dem der Dateiendung entsprechenden Programm. Vergewissern Sie sich, dass Sie für die Dateiendungen.txt und.log eine Programmverknüpfung erstellt haben (z.b. Notepad.exe). M.ID Server Handbuch v4.7.0 Seite 241

242 Der M.ID Service lässt sich nicht installieren. Kontrollieren Sie, dass der M.ID Service nicht bereits unter dem angegebenen Namen läuft. Starten Sie hierzu eine Eingabeaufforderung und geben Sie: sc query [ServiceNamen] ein, wobei [ServiceNamen] Ihrem M.ID Service Namen entsprechen muss. Falls der Service noch läuft, stoppen Sie ihn. Falls der Dienst bereits gestoppt ist, kann es sein, dass der Dienst von Windows noch nicht entfernt wurde. In diesem Falle, warten Sie einige Minuten und versuchen Sie es erneut oder Starten Sie Ihren Server/Ihre Workstation neu M.ID RADIUS Proxy Der Monitor lässt sich mit dem verwendeten Passwort nicht starten. Stellen Sie sicher, dass o Die aktuelle IP für Monitoring zugelassen ist [AllowedMonitor_IPs] o Der korrekte Monitor-Port verwendet wird [MonitorPort] o das Monitor-Passwort in der der Datei monitor.pwd nicht auf zwei Zeilen verteilt ist. Sollte dies der Fall sein, wählen Sie ein anderes Passwort. Erstellen Sie zur Sicherheit mit der Batchdatei generatemonitorpassword.bat ein neues (gleiches) Monitor-Passwort Der M.ID RADIUS Proxy reagiert scheinbar nicht auf die Requests des Logon-Portals. Erhöhen Sie das Log-Level auf FINEST, starten Sie den RADIUS Proxy neu, führen Sie erneut einen Anmeldeversuch durch und kontrollieren Sie die Log-Datei auf das Eintreffen des Anmelde-Request. Notieren Sie sich die IP-Adresse Stellen Sie sicher, dass o die IP-Adresse des Logon-Portals in den RADIUS Settings als NAS IP erfasst ist. o der RADIUS Port zwischen Logon-Portal und RADIUS Proxy freigegeben wurde. o der RADIUS Port nicht durch eine andere Applikation belegt ist (netstat.exe) M.ID ADUC Properties Die M.ID ADUC Properties wird in den Eigenschaften eines Benutzers nicht angezeigt. Stellen Sie sicher, dass Sie die Microsoft Management Console mit dem Parameter /32 gestartet haben (bspw.: mmc.exe /32) Fehlermeldungen in den Log-Dateien Hinweis: Die Nachfolgenden Fehlermeldungen können in den mid*.log und/oder stderr.txt auftreten. Can't load log handler "java.util.logging.filehandler" java.io.ioexception: Couldn't get lock for [Pfad] Überprüfen Sie im \config Verzeichnis die Datei mid_logging.properties und dort die Pfadangabe vom Schlüssel java.util.logging.filehandler.pattern=. Das Verzeichnis muss bereits existieren. Das Verzeichnis kann auch relativ angegeben werden bspw. log\\mid%g.log Exception in thread "main" java.lang.unsupportedclassversionerror: Bad version number in.class file 1. Deinstallieren Sie den M.ID Service Seite Aktualisieren Sie Ihre Java-Version auf 1.6 M.ID Server Handbuch v4.7.0

243 3. Installieren Sie den Service could not instantiate provider 'ProviderName': no specific error with javax.net.ssl.sslpeerunverifiedexception: peer not authenticated Stellen Sie sicher, dass das Zertifikat des Providers 'ProviderName' gültig ist. Invalid Java VM root folder: <Folder> Could not find file jvm.dll in standard sub folders!" Damit der M.ID Service erfolgreich installiert werden kann, wird eine jvm.dll benötigt. Diese Datei befindet sich normalerweise unter o <JAVA-Folder>\bin\client\jvm.dll o <JAVA-Folder>\jre\bin\client\jvm.dll o <JAVA-Folder>\jre\bin\server\jvm.dll o Wenn die Datei jvm.dll in diesen Standardunterordnern nicht gefunden werden kann, erhalten Sie obige Fehlermeldung. Stellen Sie sicher, dass sich die Datei jvm.dll in einem der Standardunterordner befindet! No free LDAP-Connection available for... Diese Meldung tritt auf, wenn die maximale Anzahl von gleichzeitigen LDAP-Verbindungen (s. Kapitel 5.5.5) erreicht wurde und keine weitere Verbindung mehr erstellt werden kann. Schliessen Sie nicht mehr verwendete LDAP-Verbindung (s. Kapitel ) Erhöhen Sie die Anzahl der LDAP-Verbindungen (s. Kapitel 5.5.5) Definieren Sie eine Gültigkeitsdauer der LDAP-Verbindungen (s. Kapitel ) Aktivieren Sie das automatische trennen der ältesten LDAP-Verbindung (s. Kapitel ) No connection to any LDAP urls! No connection to (S)LDAP: Diese Fehlermeldung tritt auf, wenn zu keinem definierten LDAP eine Verbindung aufgebaut werden kann. Überprüfen Sie die ldap connection settings im M.ID Configurator mit der Schaltfläche verify Stellen Sie sicher, dass der ldap user login nicht gesperrt und nicht deaktiviert ist Falls SLDAP aktiviert ist, deaktivieren Sie testhalber SLDAP o Stellen Sie sicher, dass Sie die aktuellen Domain Controller Zertifikate in den Keystore importiert haben o o Überprüfen Sie, dass die Zertifikate im Keystore nicht abgelaufen sind Überprüfen Sie die Domain Controller Policy: ldap server signing requirements Setzen Sie den Wert allenfalls auf None invalid initial configuration Diese Fehler tritt auf, wenn der Benutzer seine Initialkonfiguration nicht abgeschlossen hat. Stellen Sie sicher, dass dieser Benutzer eine M.ID Secret Answer hat. Dieser Benutzer ein M.ID PIN hat Allow simple login to M.ID User GUI deaktiviert/nicht gesetzt ist M.ID Server Handbuch v4.7.0 Seite 243

244 20.9. Fehlermeldungen im Windows Event Log The LoadLibrary function failed fort he following reason Fehlermeldung The LoadLibrary function failed for the following reason: The specified module could not be found. Ursache Der M.ID Server wird als Windows Dienst installiert. Hierfür wird die Datei JavaService.exe verwendet welche sich im \config-ordner befindet. Diese Datei benötigt jedoch die DLL msvcr71.dll (Java 6) oder msvcr100.dll (Java 7). Das Fehlen einer dieser DLL führt zur beschriebenen Fehlermeldung. Lösung Die DLLs msvcr71.dll und msvcr100.dll befinden sich im Verzeichnis <M.ID Installations- Verzeichnis>\tools\DLL. Bei Java 6 (resp. Java 7) befindet sich die msvcr71.dll (resp. msvcr100.dll ) im \bin-ordner. Kopieren Sie die DLL msvcr71.dll (bei Java 6) resp. msvcr100.dll (bei Java 7) ins %SystemRoot%\System32-Verzeichnis bei 32 Bit Systemen (%SystemRoot%\SysWOW64-Verzeichnis bei 64 Bit Architektur). Die DLL muss nicht registriert werden Hinweise zu Microsoft Windows Server 2008 R2 Ich kann den M.ID Server nicht installieren oder nicht konfigurieren Erläuterung Die User Access Control Einstellungen unter Windows Server 2008 R2 können die Installation oder die Konfiguration der M.ID Komponenten einschränken Lösungsansätze Starten Sie die Installationsroutinen und/oder Konfigurationstools mit Run as administrator Kontrollieren Sie die Dateiberechtigungen Kontrollieren Sie die Einstellungen der User Access Control Kontrollieren Sie die Local Group Policies: Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options o User Account Control: Admin Approval Mode fort he Build-in Administrator account o User Account Control: Run all administrators in Admin Approval Mode Seite 244 M.ID Server Handbuch v4.7.0

245 21. Nützliche Konsolenbefehle Informationen über die Netzwerkports Befehl netstat.exe Beispiel netstat.exe -a -o Informationen über Windows Dienste Befehl sc.exe Beispiel sc.exe delete <service name> sc.exe query <service name> Informationen über die Domäne Befehl netdom.exe Beispiel netdom.exe query fsmo netdom.exe query /domain:example.com fsmo Java Keystore manipulieren Keystore Inhalt auflisten Befehl keytool.exe -list -keystore <keystorename> Beispiel keytool.exe -list -keystore mid.keystore Keystore Passwort ändern Befehl keytool.exe -storepasswd -keystore <keystorename> Beispiel keytool.exe -storepasswd -keystore mid.keystore Zertifikat in Keystore importieren Befehl keytool.exe importcert file <path to certificate> -alias <alias> -keystore <keystorename> Beispiel M.ID Server Handbuch v4.7.0 Seite 245

246 keytool.exe importcert file "C:\export\DomainRoot.cer" -alias "Domain Root" -keystore mid.keystore Swiss SafeLab Produkte Installieren / Deinstallieren Swiss SafeLab Produkte Installieren Folgende Swiss SafeLab Produkte können automatisch ohne Benutzeraufsicht installiert werden: M.ID Server M.ID AD Assistant M.ID OWA Agent M.ID RADIUS Proxy M.ID RDWA Agent Swiss SafeLab Document Protector Swiss SafeLab ToSMS Server Swiss SafeLab GSM Modem Observer Für eine unüberwachte Installation gelten folgende Parameter: Parameter Beschreibung Standardwert /SILENT Weist den Installationsassistenten an, keine Dialoge anzuzeigen. n.v. /LOG= filename Weist den Installationsassistenten an, eine Protokolldatei unter angegebenem Pfad und Dateiname anzulegen /DIR= dir Weist den Installationsassistenten an, Swiss SafeLab M.ID Server %ProgramFiles(x86)%\Swiss SafeLab\MID in dieses Verzeichnis zu installieren /GROUP= name Weist den Installationsassistenten an, Swiss SafeLab\M.ID Server Bspw.: MID_Server_v420_b10055_RC3.exe /SILENT /LOG="MIDInstall.log" /DIR="C:\Program Files (x86)\swisssafelab\mid" /GROUP="Swiss SafeLab\M.ID Server 4.2.0" Swiss SafeLab Produkte Deinstallieren Für eine unüberwachte Deinstallation gelten folgende Parameter: Parameter Beschreibung Standardwert /SILENT /LOG= filename Bspw.: Weist den Installationsassistenten an, keine Dialoge anzuzeigen. n.v. Weist den Installationsassistenten an, eine Protokolldatei unter angegebenem Pfad und Dateiname anzulegen "C:\Program Files (x86)\swisssafelab\mid\unins000.exe" /SILENT /LOG="MIDUninstall.log" Kommunikation mit dem M.ID Server Es bestehen zwei einfache Möglichkeiten um zu überprüfen, ob eine Kommunikation mit dem M.ID Server Event Port stattfinden kann: Geben Sie im Broswer die Adresse vom M.ID Server mitsamt dem Listener Port ein, bspw.: o Starten Sie Telnet mit der Adresse des M.ID Server und dem Listener Port, bspw.: o telnet Hinweis: Informationen zum Listener Port finden Sie in Kapitel Seite 246 M.ID Server Handbuch v4.7.0

247 22. Swiss SafeLab OTP Authenticator Beschreibung Swiss SafeLab OTP Authenticator Swiss SafeLab OTP Authenticator ist eine motp-app gemäss den Spezifikationen von Swiss SafeLab OTP Authenticator steht für Google Android und Apple ios Geräte als kostenlose App in den jeweiligen Stores zur Verfügung. Create motp Create a motp Profile App Menu M.ID Server Handbuch v4.7.0 Seite 247

248 23. Swiss SafeLab SMS Providing Beschreibung Das Swiss SafeLab SMS Providing bietet Zugangspunkte (Web Service) an unterschiedlichen Serverstandorten an und integriert SMSC (Short Message Service Center) im In- und Ausland. Dadurch entsteht ein kostenoptimiertes, leistungsstarkes SMS Providing: ausfallsicher durch unabhängige Serverstandorte kostenoptimiert durch intelligentes Routing der SMS zu den verschiedenen SMSCs einfach, weil kein SMS Guthaben eingekauft und ständig überwacht werden muss Das Swiss SafeLab SMS Providing bietet zusätzlich: monatliche detaillierte Abrechnung über die ausgelösten SMS auf Kundenbedürfnisse zugeschnittene Preispläne Zuordnung der SMS zu Kostenstellen (bspw. für Buchhaltung) Versand von SMS mit alphanumerischem Absender (bspw. "IhreFirma") Möglichkeit zur Speicherung der versandten Texte (bspw. für Privatpersonen) Anbindung von Microsoft Outlook Mobile Service Versand von s als SMS mit dem ToSMS Server Connection Observer Service (Überwachung Ihrer Internetverbindung) Document Protector (sicheres Versenden von Dokumenten) Detaillierte Informationen zu Swiss SafeLab SMS Providing finden Sie unter Konfiguration Bevor Sie beginnen, stellen Sie sicher, dass Sie im Besitz Ihrer Anmeldedaten (Username, Passwort und Account-ID) sind. 4. Starten Sie den M.ID Configurator 5. Wechseln Sie in den Reiter Gateway Settings und fügen Sie einen neuen SMS Provider hinzu add new 6. Füllen Sie alle notwendigen Felder aus a. Wählen Sie swisssafelab als Type b. Als Host stehen Ihnen derzeit zur Verfügung 7. Erstellen Sie in den provider specific props & values ein neues Property AccountID und setzen Sie den Wert gemäss Ihren Anmeldedaten. 8. Speichern Sie die Einstellungen Um die Ausfallsicherheit zu erhöhen, sollten Sie nun einen zweiten SMS Provider konfigurieren. Swiss SafeLab SMS Providing stellt hierfür einen zweiten Zugangspunkt (Host) zur Verfügung. Erstellen Sie einen zweiten Swiss SafeLab SMS Provider und geben Sie als Host nun die andere URL ein. Seite 248 M.ID Server Handbuch v4.7.0

249 24. Swiss SafeLab Web AD Manager Lite Beschreibung Der Swiss SafeLab Web AD Manager Lite ist eine in die M.ID Management Control And View eingebettete zusätzliche Komponente zur Active Directory Administration. Folgende Funktionalitäten stehen zur Verfügung: Passwort zurücksetzen Benutzereigenschaften anzeigen Benutzer löschen Benutzer erstellen Link zum Swiss SafeLab Web AD Manager Lite Der Swiss SafeLab Web AD Manager Lite Hinweis: Der Swiss SafeLab Web AD Manager Lite steht nur in der Enterprise Edition zur Verfügung. M.ID Server Handbuch v4.7.0 Seite 249

250 24.2. Konfiguration Der Swiss SafeLab Web AD Manager Lite steht der M.ID Administratoren-Gruppe automatisch zur Verfügung. Falls Sie den Swiss SafeLab Web AD Manager nicht verwenden möchten, können Sie Ihn mit dem M.ID Configurator deaktivieren (s. Kapitel M.ID Agents) Bedienung Nachdem der Swiss SafeLab Web AD Manager Lite geladen wurde, wird das aktuelle Active Directory als Baumstruktur dargestellt. Knoten stellen OU resp. Gruppen dar, Blätter hingegen ein Benutzer. Die Funktionalitäten Passwort zurücksetzen Benutzer löschen Benutzerkonto aktivieren Benutzerkonto deaktivieren Benutzereigenschaften anzeigen stehen im Kontextmenü eines Benutzer zur Verfügung: Die Funktionalität Benutzer erstellen steht beim Klicken auf eine Gruppe/OU zur Verfügung: Seite 250 M.ID Server Handbuch v4.7.0

251 24.4. Passwort zurücksetzen Um das Passwort eines Benutzers zurückzusetzen, gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen 3. Klicken Sie im Kontextmenü auf reset password 4. Vergeben Sie das neue Passwort 5. Setzen Sie allenfalls die Kontorichtlinien 6. Klicken Sie auf reset password 7. Bestätigen Sie das Zurücksetzen des Passworts Benutzerkonto aktivieren Um einen Benutzerkonto zu aktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen 3. Klicken Sie im Kontextmenü auf enable account 4. Bestätigen Sie die Aktivierung Benutzerkonto deaktivieren Um einen Benutzerkonto zu deaktivieren, gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen M.ID Server Handbuch v4.7.0 Seite 251

252 3. Klicken Sie im Kontextmenü auf disable account 4. Bestätigen Sie die Deaktivieren Benutzer löschen Um einen Benutzer zu löschen gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen 3. Klicken Sie im Kontextmenü auf delete user 4. Kontrollieren Sie den Anmeldenamen 5. Klicken Sie auf Delete 6. Bestätigen Sie den Löschvorgang Active Directory Benutzereigenschaften anzeigen Um die Benutzereigenschaften anzeigen zu lassen, gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen 3. Klicken Sie im Kontextmenü auf AD Properties Seite 252 M.ID Server Handbuch v4.7.0

253 4. Die Benutzereigenschaften werden geladen Derzeit werden nur folgende Benutzereigenschaften angezeigt: Anmeldenamen (samaccountname) Anzeigenamen (displayname) adresse (mail) UPN (userprincipalname) M.ID User Properties anzeigen New! Um die M.ID Benutzereigenschaften anzeigen zu lassen, gehen Sie wie folgt vor: 1. Navigieren Sie zum Benutzer mittels Directory Browser. 2. Klicken Sie auf den Benutzernamen 3. Klicken Sie im Kontextmenü auf AD Properties Active Directory Benutzer erstellen Um einen Benutzer zu erstellen, gehen Sie wie folgt vor: 1. Navigieren Sie mittels Directory Browser zur OU/Gruppe in welcher der neue Benutzer erstellt werden soll. 2. Klicken Sie auf den OU/Gruppennamen 3. Erfassen Sie die geforderten Angaben M.ID Server Handbuch v4.7.0 Seite 253

254 4. Klicken Sie auf create user 5. Bestätigen Sie den Erstellungsvorgang Seite 254 M.ID Server Handbuch v4.7.0

255 25. Swiss SafeLab GSM Modem Observer Beschreibung Der Swiss SafeLab GSM Modem Observer ist eine separat erhältliche Software-Komponente, welche zur Anbindung von GSM Modem dient. Der Swiss SafeLab M.ID Server enthält eine Schnittstelle zur Kommunikation mit dem Swiss SafeLab GSM Modem Observer, wodurch nun eine (indirekte) Anbindung von GSM Modems an den Swiss SafeLab M.ID Server ermöglicht wird Installation und Konfiguration GSM Modem Observer Detaillierte Informationen zur Installation und Konfiguration des Swiss SafeLab GSM Modem Observers entnehmen Sie dem entsprechenden Handbuch Anbindung GSM Modem Observer Die Anbindung des GSM Modem Observers erfolgt via M.ID Configurator. GSM Modem Observer als SMS Provider hinzufügen Feld Providername Priority Type Host Username Password Sender Credit Limit Provider specific props & values Beschreibung Gemäss Ihren Anforderungen Gemäss Ihren Anforderungen gsmmodemobserver URL und Port gemäss Installation des GSM Modem Observers Gemäss Installation des GSM Modem Observers Gemäss des GSM Modem Observers GSM Modem unterstützen keine alphanumerische Absenderkennungen. Daher ist dieses Feld deaktiviert Derzeit nicht unterstützt Derzeit keine weiteren Werte nötig Hinweis: Der Typ gsmmodemobserver steht nur in der Swiss SafeLab M.ID Server Enterprise Edition zur Verfügung. M.ID Server Handbuch v4.7.0 Seite 255