Install & Config Guide 8MAN 3.0.x protected-networks.com GmbH Christian Zander 01.12.2010
2 Haftungsausschluss Die in diesem Handbuch gemachten Angaben können sich jederzeit ohne vorherige Ankündigung ändern und gelten als nicht rechtsverbindlich. Die beschriebene Software 8MAN wird von protected-networks.com im Rahmen einer Nutzungsvereinbarung zur Verfügung gestellt und darf nur in Übereinstimmung mit dieser Vereinbarung eingesetzt werden. Dieses Dokument darf ohne die vorherige schriftliche Erlaubnis von protected-networks.com weder ganz noch teilweise in irgendeiner Form reproduziert, übermittelt oder übersetzt werden, sei es elektronisch, mechanisch, manuell oder optisch. Dieses Dokument ist in einer Einheit zu denen auf der Website von protected-networks.com veröffentlichten rechtlichen Hinweisen AGB, EULA und der Datenschutzerklärung zu sehen. Urheberrecht 8MAN ist eine geschützte Bezeichnung für ein Programm und die entsprechenden Dokumente, dessen Urheberrechte bei protected-networks.com GmbH liegen. Marken und geschäftliche Bezeichnungen sind auch ohne besondere Kennzeichnung Eigentum des jeweiligen Markeninhabers. protected-networks.com GmbH Alt-Moabit 73 10555 Berlin Tel.: +49 (30) 390 63 45-0 Web: www.protected-networks.com Hot-Line Support: susi.support@protected-networks.com Tel.-Support: +49 (30) 390 63 45-0 Zu den üblichen Bürozeiten Veröffentlichung: Dezember 2010
3 Systemvoraussetzungen Die Systemvoraussetzungen sind in dem Dokument 8MAN System Requirements beschrieben. Installation von 8MAN Für die Installation von 8MAN sind die erforderlichen Systemvoraussetzungen zu erfüllen. Der 8MAN Server Rechner muss mindestens einmal mit einem Domänenkonto an Windows angemeldet worden sein. Für die Installation folgen Sie bitte den beschriebenen Tasks: 1. Starten Sie die Setup.exe oder den MSI für das Zielsystem Sie haben die Möglichkeit den 8MAN mit einem MSI speziell für ihr Betriebssystem (32 Bit oder 64 Bit) bzw. in der gewünschten Sprache (Deutsch oder Englisch) zu installieren. Wenn Sie die Setup.exe verwenden wird das Betriebssystem automatisch erkannt und Sie können die Sprache wie unten dargestellt wählen.
4 Nach der Sprachauswahl bzw. nach dem Start des MSI wird folgende Ansicht angezeigt. Mit Weiter und Zurück können Sie durch die Installation navigieren. Um die Installation durchzuführen, müssen Sie die Lizenzvereinbarungen bestätigen.
Bitte wählen Sie die zu installierenden Komponenten und den Speicherort der Installation. Der 8MAN Server muss nur auf einem Rechner installiert werden. Datenkollektoren und die Benutzeroberflächen können auf beliebig vielen Rechnern installiert werden. Bitte beachten Sie, dass die Versionen von Server und Kollektoren gleich sein müssen. Es wird empfohlen die 8MAN Konfiguration zusammen mit dem 8MAN Server zu installieren. Die Architektur (Zusammenarbeit und Funktion der Komponenten) ist in dem Dokument 8MAN Architektur noch einmal detailliert beschrieben. 5
6 Mit einem Klick auf Installieren wird die Installation gestartet. Die 8MAN Installationsroutine erkennt eine bereits installierte Version und führt ein Update bei einer älteren Version durch oder bricht die Installation ab, wenn bereits eine neuere Version installiert ist. Mit einem Klick auf Fertig stellen schließen Sie die Installation ab.
7
8 Konfiguration Konfigurieren und Starten des 8MAN Server Dienst Die 8MAN Serverkomponente besteht aus einem Dienst, der mit lokalen SYSTEM Berechtigungen läuft. Für die File Server und Active Directory Scans müssen gesondert Anmeldedaten in der Konfigurations-GUI gespeichert werden. Am Anfang jedoch werden die Zugangsdaten für den MS SQL Server benötigt und ebenfalls in der Konfigurations-GUI eingegeben. Starten der Konfigurations-GUI Nach der Installation startet der Login Dialog für die Konfigurations-GUI entweder automatisch oder sie kann über START Alle Programme protected-networks.com 8MAN Config gestartet werden. Bitte geben Sie noch den Rechnernamen oder die IP Adresse des 8MAN Servers ein und klicken Sie auf Anmelden. Wenn der 8MAN Server lokal läuft, geben Sie bitte localhost ein. Die Architektur der 8MAN - Komponenten ist in dem Dokument 8MAN Architektur noch einmal detailliert beschrieben.
9 Die Konfigurationsoberfläche startet bei einem neuen (unkonfigurierten) System automatisch mit dem Dialog für die Basiskonfiguration anderenfalls wird das Dashboard angezeigt: Konfiguration Benutzer Interface Falls die Basiskonfiguration nicht angezeigt wird, klicken Sie auf das entsprechende Symbol im Dashboard.
10 Es erscheint der folgende Dialog: In diesem Dialog konfigurieren Sie die Anmeldung für den 8MAN Server, die zu verwendende MS SQL Server Datenbank und das Transferverzeichnis mit dem der 8MAN Server Daten in die SQL Datenbank importiert. 8MAN Server Anmeldung Der 8MAN Server wird benötigt, um den Zugriff auf das Transferverzeichnis zu gewährleisten. Diese Anmeldeinformationen wird außerdem bei entsprechender Konfiguration bei der Anmeldung am MS SQL Server verwendet. Weiterhin werden diese Anmeldeinformationen auch standardmäßig bei neu konfigurierten Scans vorgeschlagen. Ein automatischer Test überprüft, ob die eingegebenen Daten benutzt werden können. Transferverzeichnis Der Standard für das Transferverzeichnis ist ein vom 8MAN Server angelegtes Verzeichnis in den Anwendungsdaten aller Windowsbenutzer. Auf dieses Verzeichnis haben ein lokal
11 installierter MS SQL Server und der 8MAN Server in jedem Fall Zugriff. Falls der MS SQL Server nicht lokal installiert ist, müssen folgende Bedingungen erfüllt sein: - der MS SQL Server muss Leserechte auf diesem Verzeichnis haben - der 8MAN Server muss Lese- und Schreibrechte auf diesem Verzeichnis haben Hierzu empfiehlt sich die Einrichtung einer Freigabe auf dem MS SQL Server. Da der MS SQL Server üblicherweise als lokaler Dienst ausgeführt wird und nur bedingt Zugriffe auf Freigaben auf anderen Rechnern möglich sind. Dann geben Sie die Freigabe mit Angabe des Servers im Feld Transferverzeichnis an (z. B. \\MSSQLSERVER\share\8MAN). MS SQL Server Anmeldung Zuletzt müssen die MS SQL Server Einstellungen vorgenommen werden. In der SQL-Konfiguration müssen sowohl der MS SQL-Server und die MS SQL-Instanz als auch die Art der Anmeldung am SQL-Server festgelegt werden. Weiterhin ist es möglich, den Namen der Datenbank festzulegen. Bei der Verwendung der Anmeldung des 8MAN-Servers werden die Anmeldeinformationen die bereits bei den Anmeldedaten eingegeben wurden, verwendet. Es ist auch möglich, die MS SQL Server Benutzerverwaltung zu verwenden, tragen Sie dazu bitte den Benutzernamen und das Passwort in die entsprechenden Felder ein. Wenn Sie außerhalb der Konfiguration etwas ändern, in dem Sie z. B. einen neuen Service Account anlegen, so können sie die Einstellungen mit einem Klick auf prüfen.
12 Die Konfigurationsschritte werden Ihnen vom 8MAN auch detailliert erläutert. Sobald alle Einstellungen vorgenommen wurden und diese Informationen valide sind, kann gespeichert werden und der 8MAN-Server wird mit den neuen Einstellungen gestartet. Dabei wird der Server beendet und die Konfigurations-GUI ist für ein paar Sekunden getrennt. Nun gelangen Sie über den Button zurück ins Dashboard. Die Basiskonfiguration ist nun vollständig und gültig: 8MAN unterstützt auch MS SQL 2005 oder 2008 in der Express Version. Der SQL-Express Server ist in seiner Leistungsfähigkeit stark beschränkt. Bei einer Teststellung in größeren Umgebungen ab ca. 2.500 Benutzern kann es deshalb notwendig werden, auf einen Standard MS SQL Server umzusteigen. Es ist natürlich möglich einen bereits installierten MS SQL Server zu verwenden.
13 Lizenz einspielen Im Bereich Serverstatus können sie Ihre Lizenzdatei einspielen. Klicken Sie auf das Symbol Server-Status!, worauf der Lizenzdialog erscheint: Drücken Sie auf Lizenz laden. Es erscheint ein Dateiauswahldialog.
14 Wählen Sie nun die Lizenzdatei aus und drücken Sie auf Öffnen. Nun können Sie ihre Lizenzdaten sehen: Mit gelangen Sie nun wieder ins Dashboard.
15 Konfigurieren von AD und FS Scans Wählen Sie im Dashboard das Symbol für die Scankonfiguration: Sie gelangen in den Konfigurationsdialog für die AD und FS Scans: Konfigurieren eines AD Scans Klicken Sie auf, um einen neuen Domänen-Scan hinzuzufügen. Es erscheitn eine Konfigurationsblase in der Sie sämtliche Einstellungen für einen AD-Scan vornehmen können. Beginnen Sie mit der Auswahl der Domäne, indem Sie auf erscheinenden Dialog können Sie die gewünschte Domäne wählen und mit bestätigen: klicken. Im darauf Stellen Sie rechts neben der Domäne den Scan-Turnus ein. Die Anmeldung für den Scan, die Sie rechts daneben einstellen können, wird standardmäßig aus der Basiskonfiguration übernommen, kann aber bei Bedarf auch geändert werden. Für Änderungsvorgänge geben Sie
16 bitte auch eine Anmeldung ein oder nutzen Sie die gleichen Daten des Scans. Alternativ wird 8MAN die Anmeldedaten erfragen, sobald sie benötigt werden. Gegebenenfalls muss ein Kollektor gewählt werden. Dieser führt den eigentlichen Scan aus und ist normalerweise der 8MAN-Server selbst. Wählen Sie im Anschluss noch eine Organisationseinheit (OE) aus in der 8MAN eigene OEs sowie eigene Gruppen anlegen darf. Ein zusätzliches Prefix kann für jede Domäne angegeben werden und als Teil der 8MAN-Gruppen namen verwendet werden. Diese Gruppennamen werden in der Gruppenassistent-Konfiguration eingestellt. Wenn alle Einstellungen korrekt sind, wird der im oberen linken Bereich befindliche Start- Button aktiviert: Konfigurieren eines FS Scans Sie können einen FS-Scan entweder separat definieren oder mit einem AD-Scan verknüpfen. Einen separaten Scan erstellen Sie durch Klick auf. Einen verknüpften Scan erstellen Sie dagegen, indem Sie bei einem vorhandenen AD-Scan auf klicken. In beiden Fällen erscheint eine neue Konfigurationsblase für die FS-Konfiguration. Die Verknüpfung zu einem AD-Scan wird visuell durch eine Verbindungslinie gekennzeichnet. Sie können diese auch nachträglich erstellen bzw. lösen, indem Sie einen FS-Scan per Drag&Drop auf einen AD-Scan ziehen bzw. von diesem wegziehen.
17 Wählen Sie zunächst einen Fileserver durch einen Klick auf aus: Als Server-Typ lassen Sie bitte vorzugsweise die Standardeinstellung Automatisch erkennen ausgewählt. Nur falls dies nicht funktioniert, sollten Sie den Typ explizit angeben. Die Einstellung der einzelnen Parameter wie Scan-Turnus, Anmeldung und Kollektoren erfolgt auf die gleiche Weise wie bereits bei den o. g. AD-Scans. Nun können Sie noch bestimmen, welche Shares gescannt oder ausgelassen werden sollen: Sofern Sie die automatische Listrechteverwaltung von 8MAN benutzen, klicken Sie auf den Link bei. Dieser erscheint, sobald ein Fileserver ausgewählt wurde:
18 Es erscheitn ein Overlay mit zusätzlichen Einstellmöglichkeiten: Aktiviert wird die Listrechteverwaltung durch das Setzen der folgenden Option: Im unteren Bereich können Sie bestimmen, wie die Listrechte für die ersten fünf Verzeichnebenen realisiert werden sollen. Belassen Sie hierbei bitte die Standardeinstellung, sofern Sie keine spezielle Konfiguration für Ihr System benötigen: Wenn alle Einstellungen korrekt sind, wird wie bei der AD-Konfigurationsblase der im oberen linken Bereich befindliche Start-Button aktiviert:
19 Starten und Anzeigen von Scans Nach erfolgreicher Konfiguration können Sie die Domänen- und Fileserver-Scans direkt ausführen. Durch einen Klick auf eingestellte Scan gestartet. Ein Klick auf Fileserver-Scans. wird der in der entsprechenden Konfigurationsblase startet darüber hinaus auch alle verknüpften Im Overlays für die Scan-Zyklen können die Scans der aktuellen AD- bzw. FS-Konfiguration aktiviert oder deaktiviert werden. Ist sie deaktiviert, so wird kein Scan mehr ausgeführt. Im aktivierten Zustand wird der Scan wie eingestellt regelmäßig durchgeführt. Wenn Sie den Job unmittelbar ausführen, wird er nach dem Zurückspringen ins Dashboard auch angezeigt: Ein Fileserver mit 100.000 Verzeichnissen wird zurzeit in ca. 15 Minuten ausgelesen. Der AD- Scan ist wesentlich schneller. Für die Zeit, bis die Scan-Ergebnisse das erste Mal vollständig vorliegen, ist deshalb nur die Dauer des Fileserver-Scans relevant.
20 Berechtigungsmanagement In der Konfiguration haben Sie die Möglichkeit den Zugriff auf den 8Man einzuschränken. Klicken Sie hierzu auf dem Dashboard auf das Benutzermanagement.
21 Sie haben die Möglichkeit nachdem die Benutzerverwaltung aktiviert ist, auf der linken Seite Benutzer und Gruppen zu suchen und per Drag&Drop oder über den -Knopf in die Liste der 8MAN Benutzer hinzuzufügen. Es wird dabei in allen verfügbaren Domänen gesucht. Wenn sie das Domänenkürzel voranstellen (z.b. pn\ ) wird nur in der Domäne pn gesucht. Es ist derzeit nicht möglich die Primäre Gruppe oder Vordefinierte Gruppen zu verwenden. Sie können für jeden Benutzer verschiedene Berechtigungsstufen definieren, diese werden in Form von Symbolen auf der rechten Seite angezeigt: Stufe Beschreibung Keine Berechtigung Lesen und Reports erstellen Lesen, Ändern und Reports erstellen Administrator Mit gelangen Sie nun wieder ins Dashboard.
22 Gruppenassistent Konfiguration Der Gruppenassistent bleibt nach der Installation von 8MAN auf einem neuen System zunächst inaktiv. Dies ist notwendig, da es Einstellungen in Bezug auf Active-Directorys und Datei-Server gibt, die auf Ihre Umgebung abgestimmt sein müssen. Nehmen Sie daher bitte nach der Installation die Konfiguration des Gruppenassistenten vor. Sie erreichen diese im 8MAN Dashboard: Klicken Sie auf dieses Symbol. Es erscheint der folgende Konfigurationsdialog: In diesem Dialog konfigurieren Sie sämtliche Parameter, die für die Ausführung des Gruppenassistenten und für Berechtigungsänderungen notwendig sind. Hierzu zählen u. a. die zu erstelltenden Gruppennamen und typen, die verfügbaren Zugriffskategorien sowie die Blacklist. Die einzelnen Einstellungen werden Ihnen auch in diesem Dialog vom 8MAN detailliert erläutert.
23 Grundeinstellungen Der Gruppenassistent erstellt für die Zugriffsberechtigungen auf einem Verzeichnis eigene Gruppen, die einen einheitlichen Aufbau besitzen. In den Grundeinstellungen können Sie diesen Aufbau Ihren Erfordernissen anpassen: Sie bestimmen, welche Namensbestandteile und in welcher Reihenfolge diese zu einem Gruppennamen zusammengefügt werden, ob ausschließlich lokale oder auch globale Domänengruppen angelegt werden und ob ACEs verzögert geschrieben werden sollen (da Berechtigunsgänderungen u. U. erst nach einem erneuten Login eines Benutzers wirksam werden). Gruppennamen-Format Das Format des Gruppennamens kann nahezu frei konfiguriert werden. Wählen Sie unter Gruppennamen-Format einfach die Bestandteile und Trennzeichen aus, die sich an den jeweiligen Positionen befinden sollen. Ein Beispiel Ihres konfigurierten Namensschemas sehen sie unmittelbar nach jeder Änderung, die Sie vornehmen, im darunter befindlichen Anzeigefeld. Verzögertes Schreiben von ACEs Aktivieren Sie diese Option und stellen Sie die Anzahl der Tage ein, um die eine Änderung von ACEs verzögert werden soll. Dies ist sinnvoll, da in bestimmten Situationen Berechtigungsänderungen erst nach einer erneuten Anmeldung eines Benutzers wirksam werden. Durch das Verzögerte Schreiben können Sie die Änderungen auf einen Zeitpunkt verschieben, an dem keine oder nur wenige Benutzer angemeldet sind. AD-Gruppen Die Auswahl der zu verwendenden AD-Gruppentypen legt fest, wie die Verwaltung der Zugriffsrechte erfolgen soll. Es werden lokale Domänengruppen verwendet, um Ressourcen (z.b. Der Pfad auf dem die Berechtigungen bearbeitet werden) zu verwalten und globale Domänengruppen um Benutzer (z.b. Die Benutzer die Zugriff auf den Pfad haben sollen) zu verwalten. Alternativ kann 8MAN auch ausschließlich lokale Domänengruppen verwenden.
24 Wichtig: Beachten Sie bitte, dass diese Einstellung nur einmalig vorgenommen werden kann. Eine nachträgliche Umstellung führt zu Inkonsistenzen. Aktivierung Setzen Sie den Haken in das Feld, um den Gruppenassistent zu aktivieren. Wenn Sie den Gruppenassistenten deaktivieren, kann er im 8MAN nicht verwendet werden. Ist der Gruppenassistent aktiviert kann er im 8MAN bei Bedarf deaktiviert werden. Gruppennamen-Bestandteile In diesem Abschnitt werden Namensbestandteile und -vorgaben der 8MAN -Gruppen definiert, die gemäß dem zuvor konfigurierten Format für den Gruppennamen verwendet werden. AD-Gruppenkennung Definieren Sie hier die Kürzel zur Kennzeichnung von globalen, lokalen sowie Listgruppen. Das Trennzeichen, das Sie hier festlegen, kann zur Abgrenzung der einzelnen Namensbestandteile genutzt werden. Das hier aufgeführte Listgruppen-Suffix wird im Rahmen der automatischen Listrechteverwaltung verwendet und kennzeichnet entsprechend automatisch angelegte Listgruppen. Namensvorgaben Im linken Bereich können Sie zwischen kompletten Pfad (\\Server\Freigabe\Verzeichnis\...), relativen Pfad zum Server (\Freigabe\Verzeichnis\...) oder relativen Pfad zur Freigabe (\Verzeichnis\...) wählen. Im rechten Bereich können Sie den gewählten Pfad noch weiter auf bestimmte Pfadanteile beschränken. Wie auch bei den anderen Einstellungen sehen Sie unmittelbar nach jeder Änderung ein aktuelles Beispiel im Bereich Grundeinstellungen. 8MAN wird ausgehend von dieser Vorgabe den Namen für die 8MAN Gruppen anhand des aktuellen Pfades erstellen. Rechtekennzeichen Im Bereich der Rechtekennzeichen legen Sie zum einen fest, welche Zugriffskategorien im Gruppenassistenten zur Verfügung stehen und zum anderen, welche Kürzel jede Kategorie besitzen soll.
25 Die hier aktivierten Zugriffskategorien erscheinen im Gruppenassistenten als Spalten in die Sie zur Änderung von Zugriffsberechtigungen einzelne oder mehrere Benutzer hinein bzw. wieder heraus schieben können. Die Kürzel werden analog zu den AD-Gruppenkennungen den Gruppennamen hinzugefügt Blacklist Die Blacklist erlaubt Ihnen Benutzer, Gruppen und SIDs zu definieren, die vom Gruppenassistenten ignoriert werden sollen. Jegliche Berechtigungsänderungen an diesen (über 8MAN) werden verhindert. Sie fügen einen Benutzer bzw. ein Gruppe hinzu, indem Sie in das Suchfeld den Namen bzw. Teilnamen eingeben und anschließend in den Suchergebnissen den entsprechenden Eintrag auswählen. Mit oder Doppelklick wird die zugehörige SID in die Liste eingefügt. Alternativ können Sie direkt eine SID in das Suchfeld eingeben und über einfügen. Zum Entfernen eines Eintrags der Blacklist, wählen Sie einen Eintrag aus und klicken Sie auf. Die entsprechende SID wird dann aus der Liste herausgenommen. Status der Konfiguration Dieser Informationsbereich zeigt Ihnen den Zustand der aktuellen Konfiguration sowie Meldungen über den Abschluss von Lade- und Speichervorgängen. Zum Speichern Ihrer neuen oder geänderten Konfiguration, klicken Sie auf.
26 Wenn Sie Ihre erste Konfiguration speichern, erscheint eine Sicherheitsabfrage, die Sie darauf hinweist, dass die Wahl der zu verwendenen Domänengruppen nach dem Speichern nicht mehr geändert werden kann: Sofern Sie eine bestehende Konfiguration geändert haben, erscheint die folgende Sicherheitsabfrage: Klicken Sie auf Ja, um die Konfiguration zu übernehmen. Sofern die Konfiguration gültig ist und das Speichern erfolgreich war, werden entsprechende Meldungen angezeigt: Sie können anschließend über Dashboard zurückkehren im oberen Teil des Konfigurationsdialogs zum 8MAN Im Fall einer fehlerhaften oder unvollständigen Konfiguration, werden entsprechende Hinweise angezeigt und es erfolgt keine Speicherung:
27 Client starten Der Client kann nun gestartet werden. Tragen Sie beim ersten Start die Adresse des 8MAN Servers ein. Ändern Sie den Port bitte nur, wenn das gemeinsam mit dem Support von protected-networks.com in der zentralen Config geändert wurde. Fertig Viel Spaß mit 8MAN! Für Fragen erreichen Sie unseren Support unter +49(30)3906345-44.
28 8MAN. Und Berechtigungen bleiben sauber. Über protected-networks.com GmbH Die protected-networks.com GmbH mit Sitz in Berlin entwickelt integrierte Lösungen für das Berechtigungsmanagement in Server-Umgebungen für Unternehmen aller Branchen. Integrated Data Security Management heißt der Ansatz, den protected-networks.com verfolgt und Unternehmen eine einheitliche Lösung für die Verwaltung von Berechtigungen und Daten bietet. Die Lösung 8MAN ermöglicht das Visualisieren, Administrieren, Dokumentieren und Optimieren aller Berechtigungen, die innerhalb der IT-Umgebung bestehen. Damit erweitert und optimiert 8MAN nicht nur die Funktionen der Microsoft-Dienste wie Active Directory, Fileserver, SharePoint und Exchange, sondern auch die Funktionen vieler anderer Serversysteme. Die protected-networks.com GmbH wurde Anfang 2009 gegründet und ist durch die Investitionsbank Berlin sowie den High Tech Gründerfonds finanziert.