HIN Client Handbuchergänzung für Terminalserver Version: 1.7 Datum: 28.10.2014 Status: Final Health Info Net AG (HIN) Pflanzschulstrasse 3 8400 Winterthur support@hin.ch www.hin.ch Tel. 0848 830 740
Inhaltsverzeichnis 1 Einleitung 3 1.1 Terminalserver Umgebungen... 3 1.2 Sicherheitseinschränkungen... 3 1.3 Ziel des Dokuments... 4 1.4 Zielpublikum des Dokuments... 4 1.5 Literaturverzeichnis / referenzierte Dokumente... 4 2 Installation, Upgrade, Deinstallation 5 2.1 Installation... 5 2.1.1 Abgelaufene Versionen... 5 2.2 Upgrade... 5 2.2.1 Portkonfigurationsdatei aktualisieren... 6 2.2.2 Sichern der HIN Identitäten... 7 2.3 Deinstallation... 7 2.4 Zugriffsrechte überprüfen... 8 2.5 Aktivierung des Terminalserver-Modus... 8 3 Pflegen von Benutzerdaten 10 3.1 Benutzung des Programms "porttool.exe"... 10 3.2 Automatische Wahl der Port-Nummern... 11 3.3 Format der Port-Konfigurationsdatei... 11 3.4 Mitteilung der Port-Nummern an den Benutzer... 12 3.5 Meldung, wenn der Benutzer in der Port-Konfigurationsdatei fehlt... 12 4 Anhang 13 4.1 Kontakt und Support... 13 4.1.1 Häufig gestellte Fragen (FAQ)... 13 4.1.2 E-Mail HIN Support... 13 4.1.3 Telefon HIN Support... 13 4.1.4 Internet... 13 4.2 Änderungsnachweis... 13 HIN Client Nutzung in Terminalserver Umgebungen Seite 2/13
1 Einleitung HIN ist die grösste ehealth Plattform der Schweiz. Die PKI gesicherte Plattform ermöglicht den sicheren und datenschutzkonformen Austausch von Informationen sowie den sicheren Zugriff auf Applikationen. Weitere Informationen entnehmen Sie bitte unserer Webseite www.hin.ch. HIN Kunden werden heute mehrere Zugriffsmethoden zur Verfügung gestellt. Als wichtigste Zugangsmethode für die tägliche Nutzung wird der HIN Client eingesetzt. Im HIN Client Handbuch [HIN-1] wird die Funktionalität und Nutzung des HIN Clients im Detail beschrieben. Dieses Handbuch beschreibt zusätzlich die Möglichkeiten zur Nutzung des HIN Clients in Terminalserver-Umgebungen. HIN empfiehlt Terminalserver-Umgebungen ausschliesslich von qualifizierten Systemadministratoren aufsetzen und betreiben zu lassen. 1.1 Terminalserver Umgebungen Terminalserver-Umgebungen dienen dazu, dass mehrere Benutzer sich einen Rechner und die darauf installierten Applikationen teilen. Vorteile davon können sein: Zentrale Administration Lizenzkosteneinsparungen Einfacherer Datenaustausch zwischen den Benutzern Sicherheit durch weniger verteilte Daten Aus diesen Gründen werden Terminalserver-Umgebungen vielfältig eingesetzt, zum Beispiel innerhalb von Firmennetzwerken um einen Fernzugriff auf die firmeneigene Umgebung zu erlauben, oder auch von Praxissoftwareherstellern, um eine Komplettversorgung mit IT Dienstleistungen ohne aufwendigen Vor-Ort Support zu ermöglichen. Der HIN Client kann zentral auf einem Terminalserver installiert werden. Voraussetzung ist, dass es sich beim Terminalserver um ein Windows-System handelt. Wird im Dokument von Terminalserver resp. Terminalserver-Umgebung gesprochen, so bezieht sich diese ausschliesslich auf Windows-Systeme. 1.2 Sicherheitseinschränkungen In Terminalserver-Umgebungen teilen sich mehrere Benutzer dies selben physikalischen Ressourcen (sprich CPU, Netzwerkkarte, ). Dies führt dazu, dass der Daten- und Kommunikationssicherheit besondere Aufmerksamkeit gegeben werden muss. Der wichtigste Unterschied zu einer gewöhnlichen Installation des HIN Clients besteht bei der Terminalserver-Installation darin, dass der Administrator des Terminalservers jedem Benutzer und Zugriffsprotokoll (http, smtp, pop3, imap, Client API) unterschiedliche Port- Nummern zuweisen muss. Für diese Aufgabe steht dem Administrator ein Kommandozeilentool zur Verfügung. Beachten Sie dabei bitte, dass es theoretisch möglich ist, dass ein Benutzer mit krimineller Energie die Ports im Browser/ E-Mail Programm bewusst verändert und so auf Web- Applikationen anderer angemeldeter Benutzer zugreifen oder in anderem Namen E-Mails verschicken oder abrufen kann. HIN empfiehlt daher auf dem Terminalserver lokale Sicherheitssoftware einzusetzen, die den Zugriff auf die Prozesse der HIN Clients ausschliesslich für Programminstanzen des aktuellen Benutzers erlaubt. HIN Client Nutzung in Terminalserver Umgebungen Seite 3/13
1.3 Ziel des Dokuments Dieses Dokument beschreibt die Spezialkonfiguration und die notwendigen Anpassungen, um den HIN Client im Terminalserver-Modus betreiben zu können und die wichtigsten Abläufe, wie Hinzufügen eines neuen Benutzers zur Terminalserver-Umgebung. 1.4 Zielpublikum des Dokuments Das Dokument richtet sich ausschliesslich an Systemadministratoren, die den HIN Client in einer Terminalserver-Umgebung betreiben möchten 1.5 Literaturverzeichnis / referenzierte Dokumente Referenz Internetadresse / URL Dokument Version [HIN-1] [HIN-2] [HIN-3] https://download.hin.ch/hin_client_ Handbuch_de.pdf https://download.hin.ch/documentat ion/hin_client_bookletneukunden _de.pdf https://download.hin.ch/documentat ion/hin_client_export_import_de.p df HIN Client Handbuch» 2.3 Aufsetzen HIN Client» 1.0 Export / Import HIN Identität» 1.0 Weitere Informationen zum HIN Client können Sie beim HIN Support anfordern. HIN Client Nutzung in Terminalserver Umgebungen Seite 4/13
2 Installation, Upgrade, Deinstallation 2.1 Installation Der Administrator des Terminalservers führt die Installation des HIN Clients durch, er nutzt dabei das normale Installationsprogramm des HIN Clients (siehe hier auch [HIN-2]). Der Terminalserver-Modus wird erst nach der Installation aktiviert (siehe dazu Kapitel 0). 2.1.1 Abgelaufene Versionen Sollte die installierte Version des HIN Clients abgelaufen sein, werden die Benutzer automatisch aufgefordert dies dem Terminalserver-Administrator zu melden, so dass der Administrator ein Upgrade des HIN Clients angehen kann. 2.2 Upgrade Bitte beachten: Im Terminalserver-Modus darf kein HIN Client Upgrade erfolgen. Anders als im normalen Betrieb können Terminalserver-Benutzer des HIN Clients Upgrades nicht selbst installieren. Ein wichtiges Upgrade muss daher der Administrator des Terminalservers von der HIN Webseite herunterladen und dann auf dem Terminalserver einspielen - dabei muss zwingend die alte Version deinstalliert und dann die neue Version installiert werden. Der HIN Client jedes einzelnen Benutzers muss vorher beendet sein. Wir empfehlen hier grundsätzlich die Upgrades in einem vordefinierten Wartungsfenster durchzuführen und vorgängig alle Benutzer zu informieren. Durch dieses Vorgehen ist sichergestellt, dass alle Benutzer eines Terminalservers die gleiche Version des HIN Clients verwenden. HIN Client Nutzung in Terminalserver Umgebungen Seite 5/13
2.2.1 Portkonfigurationsdatei aktualisieren Seit der HIN Client Version 1.4.0-0 steht die Funktion IMAP zur Verfügung. Wird von einer älteren Version ein Upgrade gemacht, muss die Port-Konfigurationsdatei aktualisiert werden. Das TerminalServerPortsTool wurde mit einer Option erweitert, mit der eine Portskonfiguration automatisiert neu erstellt werden kann. Mit der Option --recreate wird die de Portskonfiguration eingelesen, die Benutzer extrahiert, und dann eine neue Datei erstellt welche für all diese Benutzer entsprechende Ports konfiguriert hat. D.h. der Administrator muss lediglich dieses Tool einmal laufen lassen, und alle Benutzer haben neu einen IMAP Port alloziert. Folgender Befehl ist dafür vorgesehen: porttool.exe -recreate ports.txt Mit diesem Befehl geschieht folgendes: Beispielkonfiguration vorher: Beispielkonfiguration nachher: HIN Client Nutzung in Terminalserver Umgebungen Seite 6/13
2.2.2 Sichern der HIN Identitäten Es empfiehlt sich, sämtliche registrierte HIN Identitäten vor der Installation einer neuen Version zu sichern. Dabei handelt es sich um die Dateien mit Dateiname <HIN Loginname>.hin, welche im Normalfall in den entsprechenden User-Verzeichnisse unter: C:\Users\<Username>\AppData\Roaming\HIN\HIN Client liegen. Die Sicherung der Identität kann der Endbenutzer auch selber anhand der Anleitung [HIN-3] durchführen. 2.3 Deinstallation Der HIN Client kann über die Systemsteuerung oder mit dem Deinstallationsprogramm deinstalliert werden (über das Windows Startmenü im Ordner HIN Client aufzurufen). Bei der Deinstallation werden alle Identitäten des ausführenden Benutzers mitgelöscht. Dies kann verhindert werden, indem die zu rettenden Identitäten markiert und mit dem - - Button von der Liste entfernt werden. HIN Client Nutzung in Terminalserver Umgebungen Seite 7/13
Nach Abschluss des Deinstallationsprogrammes sind nicht entfernte Identitäts-Dateien wie auch die Port-Konfigurationsdatei noch vorhanden. Die Port-Konfigurationsdatei sollte im Upgrade-Fall nicht entfernt werden. 2.4 Zugriffsrechte überprüfen Normale Windows-Benutzer sollten nur Leserechte, aber keine Schreibrechte im HIN Client- Verzeichnis erhalten. Bitte prüfen Sie, ob das auch auf Ihrem Terminalserver der Fall ist. 2.5 Aktivierung des Terminalserver-Modus Der Terminalserver-Modus wird durch einen Eintrag aktiviert - in der Datei "hinclient.admin.properties" Diese Datei ist im HIN Client-Verzeichnis zu finden, z.b. in "C:\Programme\HIN Client\". In dieser Datei stehen folgende Zeilen: # the client starts in Terminalserver mode when a ports file is set terminalserver.portsfile= Um den Terminalserver-Modus zu aktivieren, tragen Sie dort einen Dateinamen ein: # the client starts in Terminalserver mode when a ports file is set terminalserver.portsfile=ports.txt Diese Datei ("ports.txt") ist die Port-Konfigurationsdatei, welche für jeden Benutzer die zugewiesenen Port-Nummern enthält. Sie ist eine normale Textdatei und kann manuell mit einem Texteditor bearbeitet werden. HIN Client Nutzung in Terminalserver Umgebungen Seite 8/13
Wenn die Datei auf einem Fileshare liegt (Terminalserver Farmen) muss ein "Escaping" für Sonderzeichen verwendet werden. Vor allem das Zeichen \ (Backslash) muss jeweils doppelt geschrieben werden: # the client starts in Terminalserver mode when a ports file is set terminalserver.portsfile=\\\\192.168.10.1\\cdrive\\temp\\ports.txt Die Datei ports.txt muss in geeigneter Form geschützt und der Inhalt sollte vertraulich behandelt werden. HIN Client Nutzung in Terminalserver Umgebungen Seite 9/13
3 Pflegen von Benutzerdaten Jeder Benutzer benötigt 5 Port-Nummern, damit er den HIN Client starten kann. Diese Port- Nummern werden für folgende Zwecke eingesetzt: HTTP (Web-Browser) SMTP (E-Mails versenden) POP3 (E-Mails empfangen) Client API (Kommunikation mit weiteren Programmen) IMAP (E-Mails empfangen/synchronisieren) Das Kommandozeilenprogramm "porttool.exe" kann dem Administrator dabei helfen, Port- Nummern für einen neuen Benutzer zu finden und in die Port-Konfigurationsdatei ("ports.txt") einzutragen. Sie finden dieses Programm im HIN Client-Verzeichnis. 3.1 Benutzung des Programms "porttool.exe" Das Programm braucht zwei Parameter: Den Namen der Port-Konfigurationsdatei und den Namen (Windows-Loginname) des neuen Benutzers. Mit diesem Befehl können Sie einen neuen Benutzer in die Datei "ports.txt" einzutragen: porttool.exe "<Port-Konfigurationsdatei>" <Benutzername> Wichtig: Der Pfad zur Konfigurationsdatei muss in Hochkomma (Quotes) stehen. Zum Beispiel: porttool.exe "ports.txt" mmuster oder für Terminalserver-Farmen: porttool.exe "\\192.168.10.1\cdrive\tmp\ports.txt" mmuster Das Programm zeigt dann die automatisch gewählten Ports an: Die Datei "ports.txt" existiert noch nicht, sie wird neu erstellt. HIN Client Port-Nummern für Benutzer "mmuster": HTTP: 5101 SMTP: 5102 POP3: 5103 Client API: 5104 IMAP: 5105 Die Konfiguration für Benutzer "mmuster" wurde erfolgreich in die Datei "ports.txt" eingetragen. Wichtig: der Benutzername wird, falls er Grossbuchstaben enthält, automatisch in Kleinbuchstaben umgewandelt und so in die Datei ports.txt eingetragen - dies ist wichtig, damit Case-Insensitive Logins in Windows unterstützt werden können. Wird die Ports-Datei manuell editiert bzw. erweitert muss dafür gesorgt werden, dass alle Benutzernamen in Kleinbuchstaben geschrieben sind! Die erzeugte Datei "ports.txt" könnte zum Beispiel so aussehen: #Fri Oct 01 13:19:08 CEST 2010 mmuster.hinclient.httpproxy.port=5101 mmuster.hinclient.smtpproxy.port=5102 mmuster.hinclient.pop3proxy.port=5103 mmuster.hinclient.clientapi.port=5104 HIN Client Nutzung in Terminalserver Umgebungen Seite 10/13
mmuster.hinclient.imapproxy.port=5105 Um einen weiteren Benutzer hinzuzufügen, können Sie das Programm erneut starten: porttool.exe "ports.txt" ameier Ausgabe des Programms: HIN Client Port-Nummern für Benutzer "ameier": HTTP: 5106 SMTP: 5107 POP3: 5108 Client API: 5109 IMAP: 5110 Die Konfiguration für Benutzer "ameier" wurde erfolgreich in die Datei "ports.txt" eingetragen. Die Datei "ports.txt" könnte nun so aussehen: #Fri Oct 01 13:21:37 CEST 2010 mmuster.hinclient.httpproxy.port=5101 mmuster.hinclient.smtpproxy.port=5102 mmuster.hinclient.pop3proxy.port=5103 mmuster.hinclient.clientapi.port=5104 mmuster.hinclient.imapproxy.port=5105 ameier.hinclient.httpproxy.port=5106 ameier.hinclient.smtpproxy.port=5107 ameier.hinclient.pop3proxy.port=5108 ameier.hinclient.clientapi.port=5109 ameier.hinclient.imapproxy.port=5110 Wenn Sie versuchen, einen Benutzer hinzuzufügen, der bereits in der Datei vermerkt ist, erhalten Sie folgende Meldung: Fehler: Die Konfiguration für Benutzer "mmuster" ist bereits in der Datei "ports.txt" enthalten. 3.2 Automatische Wahl der Port-Nummern Das Programm "porttool.exe" wählt automatisch freie Port-Nummern im Bereich zwischen 5101 und 32767. Die neu gewählten Ports sind immer grösser als die bereits in der Datei enthaltenen Ports. Wenn das Programm eine Port-Nummer gewählt hat, welche durch ein anderes Programm beansprucht wird, können Sie die Datei von Hand anpassen. Sollten Sie die Datei manuell editieren, beachten Sie bitte, dass normalerweise Benutzern kein Zugriff auf die Ports zwischen 0 und 1024 gewährt wird. Ausserdem gibt es Bereiche, welche oft durch andere Programme benutzt werden. Weitere Informationen finden Sie im Wikipedia-Artikel "Ephemeral port" (http://en.wikipedia.org/wiki/ephemeral_port). 3.3 Format der Port-Konfigurationsdatei Die Datei ist eine Textdatei. Wichtig: wenn Sie hierzu nicht das Programm "porttool.exe" einsetzen, muss die Codierung zwingend ANSI sein. Beachten Sie weiter: Kommentarzeilen beginnen mit dem Zeichen "#" und werden ignoriert. Jede Zeile ist nach dem folgenden Schema aufgebaut: <Benutzername>.hinclient.<Porttyp>.port=<Port> HIN Client Nutzung in Terminalserver Umgebungen Seite 11/13
Der Benutzername ist der Windows-Loginname ohne Domain. Bitte beachten Sie hier die Gross-/Kleinschreibung. Für jeden Benutzer müssen fünf Zeilen vorhanden sein, und zwar eine Zeile pro Porttyp: "httpproxy", "smtpproxy", "pop3proxy", "clientapi", "imapproxy". Die Reihenfolge der Zeilen spielt aus technischer Sicht keine Rolle. Das Programm "porttool.exe" sortiert die Zeilen jedoch nach der Port-Nummer, um die Datei lesbarer zu machen. 3.4 Mitteilung der Port-Nummern an den Benutzer Damit der Benutzer seinen Webbrowser und sein E-Mail-Programm passend konfigurieren kann, muss er die ihm zugewiesenen Port-Nummern kennen. Terminalserver-Administratoren sollten die Port-Nummern deshalb jedem neuen Benutzer mitteilen. Benutzer können die Ihnen zugewiesenen Port-Nummern auch in den Einstellungen des HIN Clients nachschauen. Da die Port-Nummern für den HIN Client durch den Administrator des Terminalservers bestimmt werden, können die Benutzer die Port-Nummern nicht mehr selbst verändern. Die entsprechenden Felder zeigen die für den jeweiligen Benutzer korrekten Port- Nummern an, sind aber deaktiviert. 3.5 Meldung, wenn der Benutzer in der Port-Konfigurationsdatei fehlt Falls die Konfiguration des HIN Clients auf dem Terminalserver noch nicht für einen neuen Benutzer angepasst wurde und der Benutzer trotzdem den HIN Client startet, erscheint diese Meldung: Der HIN Client kann automatisch den Administrator per E-Mail benachrichtigen, sollte ein nicht freigeschalteter Benutzer den HIN Client starten. Dazu muss die E-Mail-Konfiguration angepasst werden, so wie im Kapitel 10 des HIN Client Handbuchs [HIN-1] beschrieben. HIN Client Nutzung in Terminalserver Umgebungen Seite 12/13
4 Anhang 4.1 Kontakt und Support Bei Fragen zum HIN Client und zur Nutzung der zugehörigen API-Schnittstelle wenden Sie sich an den HIN Support: 4.1.1 Häufig gestellte Fragen (FAQ) Nutzen Sie auch unsere Seite mit den häufig gestellten Fragen (FAQ), um schnell und unkompliziert Antworten zu finden. 4.1.2 E-Mail HIN Support support@hin.ch 4.1.3 Telefon HIN Support Unser Call-Desk-Team ist von Montag bis Freitag von 8.00-18.00 Uhr für Sie da. Telefon 0848 830 740 Unsere MitarbeiterInnen informieren Sie gerne und vermitteln den Kontakt zu den zuständigen Fachpersonen. 4.1.4 Internet http://www.hin.ch 4.2 Änderungsnachweis Datum Ausgabe Änderung Kapitel 11.03.2011 1.1 Freigabe des finalen Dokumentes für die externe Kommunikation Alle 31.03.2011 1.2 Korrekturen Alle 23.08.2012 1.3 Ergänzung Abgelaufene Versionen 2.1.1 09.08.2013 1.4 Korrekturen und neue Erkenntnisse Alle 30.09.2014 1.5 Anpassungen aufgrund IMAP Alle 02.10.2014 1.6 Porttool Funktion recreate 2.2.1 28.10.2014 1.7 Kleine Änderungen 1.2, 3.3 HIN Client Nutzung in Terminalserver Umgebungen Seite 13/13