|
|
Die Services und ihre Ports
|
Nach Abschluß der Installation bekommt man noch die Meldung, daß die Software vollständig installiert wurde und eine Fehlermeldung.
Die Fehlermeldung bedeutet nichts anderes, als das die Services und die dazugehörigen Ports noch nicht in der Datei /etc/service eingetragen sind. Diese muß man jetzt mit Hilfe eines Editors von Hand vornehmen.
Am Ende der Datei werden folgende Zeilen hinzugefügt:
| # ACE/SERVER |
| securid |
5500/udp |
| securidprop_00 |
5505/tcp |
| securid_01 |
5506/tcp |
| sdlog |
5520/tcp |
| sdserv |
5530/tcp |
| sdadmin |
5550/tcp |
| sdlockmgr |
5560/tcp |
| radius |
1645/udp |
„securid“ ist der Service über den sich alle Server und Clients am ACE/SERVER anmelden. Über die Services „securidprop_xx“ tauschen die Replikationsserver ihre Daten aus. Das xx steht für die Nummer des Servers. Der erste, als securidprop_00, befindet sich auf dem Primary- Server.
Die Services „sdlog“ und „sdlockmgr“ sind für die Logdateien. Diese sind sehr hilfreich, denn wenn es zu Problemen kommt, kann man an Hand der Logdateien den Ursprung des Fehler schnell eingrenzen. Letztendlich noch „sdserv“ und „sdadmin“, hier werden die Services und die Ports definiert, über die die Datenbank des ACE/SERVERS (sdserv) und seine „Token“ angesprochen werden. Der Service sdadmind ist ein Damon mit dem der ACE/SERVER lokal oder über remote administriert werden kann. Für eine remote- Administration muß auf dem anderen Rechner die „Remote Server Software“ installiert werden. So kann man z.B. von seiner NT- Workstation über eine graphische Oberfläche aus den ACE/Server betreuen.
Wenn die Services und seine Ports eingetragen sind, können wir den ACE/Server das erstemal in Betrieb nehmen.
nach oben
|
Starten des ACE/SERVERS
|
|
Dazu meldet man sich am Computer als Benutzer ace an. Dies geschieht, in dem man sich neu anmeldet oder mit dem Befehl su – ace.
Dann wechselt man in das Unterverzeichnis /secur/ace/prog und gibt den Befehl
./sdconnect start ein. Damit wird der Datenbank- Manager (Database- Broker) gestartet, der die Grundlage für alle Anwendungen des Ace- Server bildet. Nachdem man die Meldung erhalten hat, daß der Database Broker vollständig gestartet ist, kann mit den Befehl ./aceserver start aus dem selben Verzeichnis der eigentlichen Ace/Server gestartet werden.
Dieser startet auch automatisch den Radius- Server als Damon.
nach oben
|
Grundkonfiguration des ACE/SERVERS
|
|
In dem selben Verzeichnis liegt auch das Startscript ./sdadmin, mit welchem man den eigentlichen ACE/SERVER administrieren kann. Nach dem Start des Scriptes bekommt man eine pseudo graphische Oberfläche zur Verfügung gestellt. In dieser Oberfläche bewegt man sich jetzt mit den Cursortasten.
nach oben
|
System- Parameter
|
|
Das erste was eingestellt wird, sind die System- Parameter. Diese befinden sich unter dem Punkt - System / Edit System Parameter -.
Hier muß gleich der erste Punkt in unserem Fall - Allow agent host auto-registration - aktiviert werden. Denn wenn sich ein Mitarbeiter zu Hause oder von Unterwegs im Internet anmeldet, bekommt er ja vom jeweiligen Provider eine Dynamische IP zugewiesen. Die muß dann von der Client Software, dem ACE/SERVER, bekannt gemacht werden und dieser muß diese akzeptieren und regestrieren.
Danach kann man noch unter den Punkt allow remote administration die Remote- Administration erlauben und festlegen, wie sich die ACE/SERVER Administratoren anmelden müssen. Die größte Sicherheit bietet hier natürlich die Kombination von User Password und SecurID Card and Fobs, die nichts anderes bedeuten, als das man sich nur mit dem Token und seiner PIN als Password anmelden kann.
nach oben
|
Edit Authorization Parameters
|
|
Im Anschluß daran müssen unter dem Punkt - System / Edit Authorization Parameters... - beide Punkte aktiviert werden, das sind Enable External Authorization und Enable Authorization of Remote Login. Sie bewirken, daß man sich auch von außerhalb des bekannten Netzes anmelden darf, wie zum Beispiel über das Internet.
nach oben
|
Token Importieren und Synchronisieren
|
|
Jetzt müssen die Token dem Server bekannt gemacht werden. Diese befinden sich auf der mitgelieferten Diskette, mit dem Name Token Seed Kit. Dazu geht man in den Punkt - Token / Import Token -, nach dem man die Diskette eingelegt und mit dem Befehl mount /dev/df gemountet hat. Über den Punkt Browse geht man in das Verzeichnis /floppy und wählt die zu installierenden Tokens aus. Im Anschluß daran müssen im Punkt - Token /Edit Token - die Tokens einzeln synchronisiert werden. Dazu gibt man zwei hintereinander folgende Zahlen- Paßwörter der jeweils dazugehörigen SecurID Tokens in die dafür vorgesehenen Felder ein. Das ist auch der Punkt an dem man ansetzen sollte, falls es Probleme mit der Anmeldung einzelner Clienten gibt. Bei nicht genauer Synchronisation ist das Paßwort schon abgelaufen, bevor es am Server eintrifft.
nach oben
|
Benutzergruppen erstellen
|
Nach dem man das gemacht hat, wechselt man in den Punkt – Group - und erstellt unter dem Unterpunkt - Add Group - neue Gruppen. Diese könnte man Vergleichen mit den System- User- Groups von Unix/Linux oder Windows- NT. Hier werden erst einmal drei Gruppen erstellt und Benutzer den Gruppen zugeordnet. Diese Benutzer wurden mit der Radius- User –File bei der Installation exportiert.
- Die Gruppe Admin, die eigentlich Alles dürfen und müssen.
- Die Gruppe Haupt, die Angestellten der Firma, die z. B. von zu Hause aus arbeiten müssen oder die im Außendienst tätig sind.
- Die Gruppe Guest, für die nur in einem bestimmten Zeitraum, ein bestimmter Account gilt. Mitarbeiter die eigentlich nicht von zu Hause aus Arbeiten müssen, aber für die Firma unterwegs sind, wie z. B. auf Messen oder Kongressen.
nach oben
|
Der Agent Host
|
|
Wenn man die Gruppen und ihre Benutzer festgelegt hat, muß man noch mindestens einen Host einrichten auf dem sich der Benutzer anmelden kann. Es wurden zwei eingerichtet, den Primären Domän Controller und Sekundären Domän Controller, auf denen dazu die Client- Server- Software von den dafür zuständigen Administratoren installiert wurde.
In diesem Punkt muß als Erstes der Name des Domänen Controllers und seine IP eingetragen werden. Danach der Typ des Agent OS. In unseren Fall ist es ein Windows NT4- Server, also ein Net OS Agent.
Darauf hin muß man noch den Typ der Verschlüsselung des Tokens bekannt geben, man nimmt am besten DES. Trotz der geringen Länge des Schlüssel von DES, ist das keine Schwachstelle, da hiermit nur der Token verschlüsselt wird. Dieser ist aber nur eine Minute gültig und nur einmal zu gebrauchen. Aufgrund des komplexen Algorithmus können auch nicht die nächsten Token erraten werden, so das diese Verschlüsselung ausreichend ist.
Ansonsten muß nur noch der Punkt Open to All Locally Knows User aktiviert werden. Damit erreicht man, daß alle dem ACE/SERVER bekannten Benutzer sich dort anmelden dürfen.
Die anderen Punkte beziehen sich darauf, daß man verschiedene Netzwerkteile hat, die z.B. in einem anderen IP- Bereich liegen.
Wenn man nicht allen Benutzern die Anmeldung auf diesen Server erlauben möchte, wird dieser Punkt nicht aktiviert und man spezifiziert die einzelnen Gruppen und Benutzer in den darunter gelegenen Schritten.
Zum Schluß muß man noch den Assign Acting Server angeben, doch dazu mehr im nächsten Abschnitt.
nach oben
|
Die Konfigurationsdatei und der Acting Server
|
|
Der Client- Rechner muß wissen an welchem ACE/SERVER er sich anmelden kann. Dazu wird am ACE/SERVER eine Konfigurationsdatei ( sdconf.rec) für die Clienten generiert, damit dieser weiß, welcher Acting Server für ihn zuständig ist. Man macht dies in der vorherigen Eingabemaske, also wenn man einen Host neu einrichtet, im Punkt - Assign Acting Server - oder im Punkt - Agent Host / Generate Configurations File... - wenn sich an der Konfiguration des Server Grundlegendes geändert hat. Wie z.B. der Host Name oder die IP- Adresse. Diese neue Konfigurationsdatei muß dann jedem Clienten neu aufgespielt werden.
Der Trick an der Einrichtung eines einzelnen Acting Server ist, daß man die Eingabemaske nicht mit O.K. verläßt, sonder einfach nur den Punkt Generate Config File anwählt und danach mit Cancel die Eingabemaske verläßt.
nach oben
|
Log und Report
|
|
Unter dem Punkt Log kann man einstellen, was alles mitgelogt werden soll, wohin diese Logdateien geschrieben und wann diese automatisch gesichert und/ oder überschrieben werden.
In dem Punkt Report kann man diese Logdateien dann ganz nach seinen Bedürfnissen und Erfordernissen auswerten.
Hier kann man die Ausgabe individuell einrichten und an verschieden Ausgabegeräte weiterleiten. Das heißt entweder in Echtzeit an einen Monitor oder zu bestimmten Zeiten an einen Drucker.
nach oben
|
Abschluß
|
Zum Schluß müssen dem einzelnen Benutzern noch SecurID Tokens zu geordnet werden. Das geschieht im Punkt - User / Edit User -. Hier wählt man aus der Liste den jeweiligen Benutzer aus und ordnet die Tokens im Punkt - Assing Token - nach der ID- Nummer, die auf der Rückseite der SecurID Tokens eingelassen ist, zu. In dieser Eingabemaske kann man auch einen genauen Zeitraum angeben, in welchem dem Benutzer das Recht des Zugriffes auf das Netz erlaubt wird. Dies geschieht im Punkt - Edit Access Time -.
Damit sind die Installation und die Grundkonfiguration des ACE/SERVERS abgeschlossen.
nach oben
|
|