Tromboseprofylakse 2013 - Dansk Selskab for Artroskopisk Kirurgi
SecureAware SA-‐Manual -‐ for Systemadministratorer Manualen beskriver brugen af SecureAware version 4.0 og senere versioner Dokument opdateret: december 2013 Om dette dokument Dette dokument beskriver de mest almindelige opgaver en systemadministrator skal varetage i SecureAware. Dette indbefatter bl.a.: Installation/opgradering Bruger-‐ og portalhåndtering Backup og restore Opsætning af LDAP Indholdsfortegnelse Installation ................................................................................................................................................... 3 Indlæsning af licensfil .................................................................................................................................. 5 Om licensnøglesystemet ......................................................................................................................... 5 Sikkerhed ................................................................................................................................................... 12 Sikker kommunikation ........................................................................................................................... 12 Nustil superusers adgangskode ............................................................................................................ 14 Nulstil systemadministrators adgangskode ......................................................................................... 14 Brug af URL parametre til brugergodkendelse .................................................................................... 16 Backup og restore af en standard SecureAware installation .............................................................. 18 Backup og Restore af en ikke-‐standard SecureAware installation ..................................................... 20 Portaler ...................................................................................................................................................... 21 Oprettelse af portaler ............................................................................................................................ 21 Portalens generelle opsætning ............................................................................................................. 24 Valg af datoformat ................................................................................................................................. 25 Internet Information Server ..................................................................................................................... 26 Single Sign-‐On ....................................................................................................................................... 28 Microsoft SQL Server 7, 2000 or 2005 ..................................................................................................... 30 Installation og opgradering på en Linux-‐server ...................................................................................... 34 Automatisk log out ................................................................................................................................... 38 Logning i SecureAware ............................................................................................................................ 39 SecureAware – Support ............................................................................................................................ 41 Kontaktinformation .................................................................................................................................. 43 2 Installation For at installere SecureAware, har du brug for installationsfilerne og en licensfil. Begge dele har du modtaget fra Neupart ved levering. Du har sandsynligvis fået tilsendt både en zippet og en ikke-‐ zippet version af licensfilen. Dette skyldes at nogle e-‐mail-‐servere kan ændre vedhæftede dokumenter, og derfor bør du benytte den zippede fil, hvis den ikke-‐zippede fil ikke fungerer. Før installationen Før installationen skal du sikre dig, at du har administratorrettigheder på, den server, hvor SecureAware skal installers. I nyere Windows-‐versioner skal du starte installeren med ”Run as administrator”. Specille krav til opsætningen Hvis du har specielle krav til opsætningen af SecureAware, skal disse indstilles efter installationen. Installation via download Når installationsfilen er downloadet, skal du eksekvere filen sainstall.exe. Installation fra CD Installationen påbegyndes automatisk, når CD’en sættes I pc’en. Hvis du har deaktiveret autostart, skal du finde og eksekvere filen sainstall.exe på CD’en. Installationsproceduren Når installationsfilen eksekveres, vil du blive guidet igennem følgende: • Accept af End user license agreement • Check af Java • o Download af java installer, hvis den ikke findes lokalt o Java-‐installation Check af Tomcat web server o Download af Tomcat installer, hvis den ikke findes lokalt o Tomcat-‐installation • Download af SecureAware installer, hvis den ikke findes lokalt • Installation af SecureAware 3 • Registrering af SecureAware og oprydning efter installationen • Opstart af browser • Klik på "Fortsæt installationen eller opgraderingen" • Indtast passwordet snRt!32w og klik OK. • Installationen fuldføres nu. Når installationen er afsluttet skal du klikke på "Retur til SecureAware". • Du er nu logget ind som systemadministrator. Upload licensfilen. Systemadministrators standard-‐login er sa. Passwordet er snRt!32w. Dette kan ændres ved at klikke på Min brugeropsætning (ikon) i øverste højre hjørne. Bemærk! Skal du foretage flere systemadministrator-‐opgaver, kan du fortsætte med denne manual. For at begynde at benytte SecureAware, skal du logge ind som su med password: snRt!32w. Læs mere i superuser-‐manualerne. 4 Indlæsning af licensfil For at indlæse licensfilen, skal du være logget ind som systemadministrator. Har du endnu ikke ændret standardindstillingerne, er standard-‐login sa. Passwordet er snRt!32w. Dette kan ændres ved at vælge Min brugeropsætning i øverste højre hjørne. Vælg Licenser og klik på Gennemse (nederst i skærmbilledet, hvis du har en licens installeret i forvejen) for at finde den licensfil, som du har fået tilsendt (husk at bekræfte, at du har læst EULA’en) og klik på Send. Om licensnøglesystemet Licensen styrer hvilke moduler, sprog, brugere, portaler, beredskabsplaner mm der er købt adgang til, ligesom gyldighedsperioden også bestemmes af licensen. Licensen er en xml-‐tekstfil af filtypen .lic. Din virksomheds navn ligger som en del af licensfilen. Navnet bruges i rapportudskrifter, og du skal derfor bede Neupart om en ny licensfil, hvis din virksomheds navn ikke er angivet korrekt i rapporter. Licensnøglesystemet er baseret på PKI standarden (privat/offentligt nøglesystem), hvor den offentlige nøgle, som dekrypterer og godkender licensen er tilgængelig i kundeinstallationen og den private nøgle genereres og opbevares hos Neupart. 5 Opgradering Opgradering til version 3.7.0 eller senere versioner Ved opgradering fra 2.0.2 eller tidligere, bedes du kontakte Neupart på: [email protected] for nærmere information om, hvordan du opgraderer. • Stop SecureAware-‐servicen og tag backup af din database. • Hvis du benytter IIS, skal denne nu stoppes. • Download SecureAware version 3.7.0. via det link, du har fået tilsendt i release-‐mailen. • Kør installationsprogrammet. • Når du tilsidst klikker "Finish", vil SecureAware vises i browseren. • Klik på "Fortsæt installationen eller opgraderingen" • Indtast opgraderingspasswordet snRt!32w og klik OK. • Databasen bliver nu opgraderet. Når opgraderingen er afsluttet skal du klikke på "Retur til SecureAware". • Start IIS'en igen, hvis denne benyttes. 6 Brug af en ikke-‐indbygget database SecureAwares benytter som default HypersonicSQL. Du kan dog vælge at bruge MS SQL eller MySQL i stedet. Når databasen er oprettet, skal der ændres i SecureAware-‐konfigurationsfilen catalina.properties i C:\Programmer\Neupart\SecureAware\conf (i version 3.6.5 og tidligere ligger den i C:\Programmer\Neupart\SecureAware3\conf). Dette gør, at SecureAware kan kommunikere med databasen. Stop SecureAware-‐servicen og åbn filen i en teksteditor, eksempelvis notepad. Nedenfor vises indholdet i denne fil. Start med at udkommentere (#) de 10 linier i Hypersonic SQL og fjerne udkommenteringen ud for de linier i den database, du ønsker at benytte. Nedenfor er de nødvendige informationer markeret. # SecureAware database connection settings ## HypersonicSQL hibernate.dialect org.hibernate.dialect.HSQLDialect hibernate.connection.driver_class org.hsqldb.jdbcDriver hibernate.connection.username sa hibernate.connection.password hibernate.connection.url jdbc:hsqldb:../database/sa document.dialect org.hibernate.dialect.HSQLDialect document.connection.driver_class org.hsqldb.jdbcDriver document.connection.username sa document.connection.password document.connection.url jdbc:hsqldb:../database/sadoc ## MS SQL Server #hibernate.dialect org.hibernate.dialect.SQLServerDialect #hibernate.connection.driver_class net.sourceforge.jtds.jdbc.Driver 7 #hibernate.connection.username secureaware (brugernavn til databasen) #hibernate.connection.password secureaware (password til databasen) (databasens navn) #hibernate.default_schema dbo #hibernate.default_catalog secureaware #hibernate.connection.url jdbc:jtds:sqlserver://localhost:1433/secureaware;tds=8.0;lastupdatecount=true (url til databasen) #document.dialect org.hibernate.dialect.SQLServerDialect #document.connection.driver_class net.sourceforge.jtds.jdbc.Driver #document.connection.username secureaware (brugernavn til databasen) #document.connection.password secureaware (password til databasen) (databasens navn) #document.default_schema dbo #document.default_catalog secureaware #document.connection.url jdbc:jtds:sqlserver://localhost:1433/secureaware;tds=8.0;lastupdatecount=true (url til databasen) #hibernate.connection.url jdbc:mysql://localhost:3306/secureaware (url til databasen) #hibernate.connection.username secureaware (brugernavn til databasen) #hibernate.connection.password secureaware (password til databasen) #document.connection.url jdbc:mysql://localhost:3306/secureaware (url til databasen) #document.connection.username secureaware (brugernavn til databasen) #document.connection.password secureaware (password til databasen) ## MySQL #hibernate.dialect org.hibernate.dialect.MySQLInnoDBDialect #hibernate.connection.driver_class com.mysql.jdbc.Driver #document.dialect org.hibernate.dialect.MySQLInnoDBDialect #document.connection.driver_class com.mysql.jdbc.Driver Gem ændringerne og start SecureAware-‐servicen op igen. Tag backup af konfigurationsfilerne. De skal benyttes ved hver opgradering af SecureAware. 8 Ændring af databasens placering Denne vejledning gælder for SecureAware version 3.x.x. Det anbefales at alle punkterne i proceduren læses igennem før ændringerne foretages. Stop SecureAware-‐ og tag en sikkerhedskopi af databasefilerne. De otte databasefiler er som standard placeret i biblioteket C:\WINDOWS\database som vist til højre. Kopier nu databasen til den placering du ønsker. Notér stien. For at SecureAware kan vide, hvor databasen ligger, skal der ske to ændringer i konfigurationsfilen catalina.properties i C:\Programmer\Neupart\SecureAware\conf (i version 3.6.5 og tidligere ligger den i C:\Programmer\Neupart\SecureAware3\conf ). Inden du laver foretager ændringerne bør du sikkerhedskopiere filen. Filen kan efterfølgende åbnes i en teksteditor, eksempelvis ”Notesblok”. I konfigurationsfilen ”catalina.properties” er der to linjer, der angiver stien til databasens placering. Disse to linjer er markeret herunder med rødt, og selve stien er yderligere markeret med gult. -‐-‐-‐-‐-‐ ## HypersonicSQL 9 hibernate.dialect org.hibernate.dialect.HSQLDialect hibernate.connection.driver_class org.hsqldb.jdbcDriver hibernate.connection.username sa hibernate.connection.password hibernate.connection.url jdbc:hsqldb:../database/sa ## HypersonicSQL Document Database document.dialect org.hibernate.dialect.HSQLDialect document.connection.driver_class org.hsqldb.jdbcDriver document.connection.username sa document.connection.password document.connection.url jdbc:hsqldb:../database/sadoc -‐-‐-‐-‐ Det er i disse to linjer den nye sti til databasen skal noteres. Det er valgfrit om du vil anvende relative stier (som vist her) eller absolutte stier. Anvendes relative stier er udgangspunktet ”system32” -‐ biblioteket under ”Windows”. I begge tilfælde skrives stien med forward slashes ( / ). Har du eksempelvis placeret databasen i biblioteket: C:\NyMappe\secureaware3 og ønsker at anvende absolutte stier, skal de to linjer se ud som vist herunder. Bemærk ændringen fra back slash (\) til forward slash (/). Første linje: hibernate.connection.url jdbc:hsqldb:../database/sa -‐ bliver til: hibernate.connection.url jdbc:hsqldb:c:/nymappe/secureaware3/sa Anden linje: document.connection.url jdbc:hsqldb:../database/sadoc -‐ bliver til: document.connection.url jdbc:hsqldb:c:/nymappe/secureaware3/sadoc Når ændringerne er foretaget, gemmes disse inden konfigurationsfilen catalina.properties lukkes. 10 Nu kan servicen ”Secure Aware 3 Server” startes op igen. 11 Sikkerhed SecureAware indeholder mange sikkerhedselementer, som, tilsammen, giver mulighed for at indeholde og adskille interne og eksterne informationer. Sikkerhedssystemet i SecureAware kan tilpasses forskellige behov og på denne måde operere i flere forskellige miljøer. SecureAware opererer som standard på en java servlet container i en webserver. I standardinstallationen benyttes ukrypteret http-‐kommunikation mellem klient og server. Hvis det skønnes nødvendigt, kan kommunikationen foretages med SSL-‐kryptering og køre på VPN-‐ forbindelser. Hver portal i en SecureAware server kan konfigureres til at have forskellige sikkerhedsniveauer. Niveauerne kan spænde fra offentlige systemer med anonym adgang til lukkede systemer, som kræver adgangsgodkendelse før indhold gøres tilgængeligt. Sikker kommunikation I en SecureAware installation er der et antal uafhængige systemer, som skal kunne kommunikere. Disse kommunikationskanaler er ikke krypterede. Da SecureAware oftest arbejder i beskyttede miljøer, som interne firmanetværk, vil standardkonfigurationen være tilstrækkelig til de fleste virksomheders behov. Klient-‐server kommunikation Alle klienter skal benytte en standardbrowser til kommunikation med SecureAware-‐serveren, hvor standardprotokollen er http på port 8080. Denne kommunikation kan ændres til SSL-‐krypteret https-‐ protokol, som kan benyttes af de fleste browsere, dette vil typisk ske ved brug af en proxy web-‐ server, såsom Apache eller Internet Information Server. Proxyen håndterer al klientkommunikation og sender alle forespørgelser til servlet-‐”maskinen” som SecureAware kører på. 12 Http-‐ eller https-‐kommunikation kan pakkes ind i en krypteret tunnel v.hj.a. services som VPN eller SSH. SecureAware as a Service (Saas) benytter som udgangspunkt https. Ved brug af en front-‐end web server muliggøres også ekstern brugergodkendelse, hvor brugerne godkendes af front-‐end serveren og brugerkriterier er tilføjet forespørgslen til SecureAware. SecureAware kan, på denne måde, blive en del af et single-‐sign-‐on system. En uddybende beskrivelse af dette setup kan findes i IIS opsætnings manualen. Databasekommunikation SecureAware serveren kan benytte forskellige back-‐end databasesystemer. Standardinstallationen er opsat til at benytte et javabaseret system, som opererer i det samme virtuelle miljø. På denne måde er al database-‐kommunikation beskyttet i SecureAware. I installationer, hvor eksterne databaseudbydere benyttes, bruger SecureAware standard JDBC-‐forbindelser, og er baseret på almindelig TCP/IP kommunikation. Kommunikation kan blive mere sikker ved anvendelse af eksempelvis en certifikatbaseret løsning og/eller SSL-‐sessioner. Forbindelsen kan ligeledes sikres ved at etablere krypterede forbindelser (f.eks. IPSec eller VPN) i kommunikationen. Da krypteret kommunikation vil have indvirkning på programmets ydeevne og dermed svartider, anbefales dette ikke, medmindre det er et krav i virksomheden. LDAP-‐brugergodkendelse SecureAware kan operere i sikker tilstand, hvor et eksternt brugerbibliotek, benyttes sammen med LDAP-‐protokollen. I standardinstallationen anvendes ukrypteret LDAP-‐kommunikation, men SecureAware understøtter også SSL-‐sesioner. Sikring med denne form for kommunikation vil ikke have væsentlig indflydelse på SecureAware’s ydeevne. Webservice-‐kommunikation Webservice kører som udgangspunkt på http-‐protokollen, men kommunikationen kan sikres yderligere med SSL kryptering over https protokollen. Pauseskærmsprogrammet bruger http til kommunikation mellem arbejdsstationen og SecureAware-‐ serveren. Ved denne kommunikationsform er indholdet ikke krypteret. 13 Nustil superusers adgangskode Logges brugere ind i SecureAware via AD, skal passwords administreres herfra. Interne brugeres passwords kan ændres af en bruger med superuser-‐rettigheder i brugerstyringen (se superuser-‐ manualen. Har en superuser glemt sin adgangskode, kan dette nulstilles af systemadministrator ved at gå til Portalstyring > [portalens navn] > Genskab superbrugers adgangskode. Klik på pilen ud for den superbruger, hvis adgangskode du ønsker at nulstille. Adgangskoden nulstilles nu til snRt!32w. Nulstil systemadministrators adgangskode For at nulstille en systemadministrators adgangskode, skal du gøre følgende: 1. Stop SecureAware servicen, Åbn filen sa.script, der som standard ligger i C:\windows\database. Har du valgt at lægge databasen et andet sted, vil dette være angivet i filen catalina.properties i C:\Program Files\Neupart\SecureAware\conf (i version 3.6.5 og tidligere ligger den i C:\Programmer\Neupart\SecureAware3\conf). 2. Søg efter teksten ”INSERT INTO SA_GUIPORTAL”. En eller flere linjer vil blive fundet; en for hver portal i SecureAware. Det tredje parameter er navnet på portalen (her: ’SecureAware’). Du skal nu finde den portal for hvilken du ønsker at nulstille systemadministrators adgangskode. 14 3. Søg på tekststrengen ”INSERT INTO SA_USRUSER” til du finder brugeren (brugerens login-‐ navn findes i den anden parameter). 4. Når den rigtige bruger er fundet, skal du overskrive den gamle adgangskode. Dette er tredje parameter, som skal overskrives med ’-‐794539518’. Bemærk at der er apostroffer omkring koden. 5. Gem ændringerne og genstart servicen. Brugeren kan nu logge ind med adgangskoden: snRt!32w. 15 Brug af URL parametre til brugergodkendelse SecureAware kan modtage brugeroplysninger ved at indlejre disse i en URL (med en GET forespørgsel) eller som en form parameter i en POST forespørgsel). SecureAware kan håndtere flere parameterformater, og er således kompatibel med ældre versioner af SecureAware. Vær opmærksom på, at det valgte sikkerhedsniveau har indflydelse på, hvordan brugere godkendes. URL parametre Et link til SecureAware, som peger på en side der kræver godkendelse, skal følge disse retningslinier: Link: http://localhost:8080/security/login Hvor “localhost:8080” skal udskiftes med navnet eller ip-‐adresse på den server, som kører SecureAware-‐installationen. Parameter: saformsubmit = login Valgfrit parameter: userID (som er identisk med brugerens ID) Valgfrit parameter: password (some er adgangskoden for brugeren) Valgfrit parameter: redirectto (some er linket og parameteret, som skal være aktiv efter login) Eksempel på url: http://localhost/security/login?userID=su&password=snRt!32w&saformsubmit=login&redirectto=/pol icy?activepolicyid=0&tabname=PolicyRulesPane&filtertargetgroup=1&filtercategory=10 Eksempelform: <html> <head></head> <body> <form name="saform" method="post" action="http://localhost:8080/security/login"> <input type=hidden name=userID value="su"> 16 <input type=hidden name=password value="snRt!32ws"> <input type=hidden name=redirectto value="/policy?activepolicyid=0&tabname=PolicyRulesPane&filtertargetgroup=1&filtercategory=10"> <input type=submit name=saformsubmit value="Login"> </form> </body> </html> SecureAware 2 Script-‐filer som var inkluderet i SecureAware version 2 virker også til version 3. 17 Backup – Restore Denne afsnit omhandler, hvordan du kan tage den daglige backup, samt hvordan du gendanner (restorer) din SecureAware database. Det anbefales at der, dagligt, tages backup af SecureAware databasen for at undgå datatab i forbindelse med servernedbrud, sletning af data eller andet. Hvis du ikke bruger en standard SecureAware-‐opsætning, anbefales det at også at have et enkelt backup af konfigurationsfilerne. Backup og restore af en standard SecureAware installation Backup: For at sikre at data i databasen er konsistente, skal SecureAware servicen være stoppet før databasefilerne kopieres. I Windows gøres det enten under Windows Services manager eller via SecureAware-‐manageren. Tag en backup af hele indholdet af databasemappen. I version 3.x.x drejer det sig om 8 filer. Databasens placering: I en standard SecureAware installation er databasen placeret i: C:\Windows\Database\ Bemærk: at Windows mappen er kaldt ”Winnt” i nogle versioner af Microsoft Windows. Vigtigt: Gem data på et sikkert medie. Restore: 1. Stop SecureAware servicen. 2. Overskriv eller slet, dine databasefiler med dine backupfiler. 3. Start SecureAware servicen igen. Batfil for automatisk backup af SecureAware Følgende er en beskrivelse af, hvordan der kan oprettes en automatisk rutine til at foretage de daglige backups. Dette er specielt nyttigt ved en server-‐installation. Der oprettes en batfil som stopper SecureAware servicen, tage backup af databasen og bagefter genstarter SecureAware. Såfremt SecureAware-‐installationen eller SecureAware-‐databasen er placeret (source) et andet sted end ved en standardinstallation, skal du selv ændre stierne i batfilen. 18 Åbn en ren tekst editor f.eks. notepad. Kopier nedenstående tekst ind i editoren. Gem filen som <Navn>.bat @echo off Rem Variable declaration :: variables Rem Destination directory set drive=C:\Backup\ set backupcmd=xcopy /s /c /d /e /h /i /r /k /y Rem SecureAware installation directory source set folder="C:\Program Files\Neupart\SecureAware3" Rem Database folder source set backupfolder="C:\windows" echo ### Backing up your SecureAware %folder% database directory... call %folder%\bin\stopsa.bat %backupcmd% "%backupfolder%\database" "%drive%" Rem start SecureAware again call %folder%\bin\startsa.bat Gem batfilen i en mappe f.eks. c:/SecureAware-‐Backup. Med Schedule Task manageren kan du så sætte batfilen til, eksempelvis at blive afviklet efter arbejdstid, så et stop af SecureAware servicen ikke forstyrrer evt. brugere. 19 Backup og Restore af en ikke-‐standard SecureAware installation Installation af en ikke-‐standard SecureAware, er typisk der, hvor du bruger en anden database end SecureAware’s egen, f.eks. en SQL database. Til disse typer af installationer henvises til producenternes beskrivelse af, hvordan du tager backup og restorer data på de pågældende databasesystemer. Det er en god ide at tage backup af konfigurationsfilerne, hvis du bruger en ikke-‐standard-‐ installation, hvor du har ændret i konfigurationens filerne. Bl.a. hvis du ønsker en anden databaseplacering end C:\windows\database som er standard, eller hvis du bruger en anden type database f.eks. en SQL database. Konfigurationsfilerne er placeret i ..\\Neupart/SecureAware/conf (I tidligere versioner end 3.7.0 er det ..\\Neupart/SecureAware3/conf) 20 Portaler SecureAware giver mulighed for at oprette flere uafhængige portaler i den samme installation. Dette kan være nyttigt i større organisationer med flere afdelinger, som hver skal have sin egen politik, eget sprog, risikovurderinger mm. Dette giver mulighed for, at styre de enkelte afdelinger centralt og kun administrere en database. Som default oprettes en portal med navn ”SecureAware”. Denne portal kan ikke slettes og den vises såfrem intet andet alias matcher. Oprettelse af portaler For at oprette og administrere portaler, skal du være logget ind som systemadministrator (SA). I menubaren (øverst i højre side) klikkes på portalstyringsikonet og menuen for portalstyring fremkommer. Her kan du oprette og slette de enkelte portaler. For at oprette en portal skal du klikke på ”Opret ny portal”. Indtast et navn i Portaltitel. Portaltitlen bliver vist i browserens titelbar. I dette eksempel bruges navnet Test. 21 Indtast en Portaladresse. Navnet kan være et hostnavn eller DNS-‐navn. I dette eksempel bruges navnet secureaware.test. Det tager nogle minutter før portalen er oprettet. Tryk på Tilbage-‐knappen når den er færdig. Den nye portal vil fremkomme. Klik på navnet på den nye portal for at gå til portalens opsætningsmenu. 22 Login i ny portal For at bruge den nye portal, skal portalen gøres ”synlig” for browseren, dette kan enten gøres ved at oprette et alias i DNS eller indtaste en ip-‐adresse i Hosts-‐filen. NB: Hostfilen anvendes kun til test, da det kun virker på den lokale pc. NB: I Windows XP er den placeret i C:\Windows\system32\drivers\etc\ NB: ip-‐adressen skal refere til den pc, hvorpå SecureAware er indstalleret. I eksemplet er det en lokal installation. I browseren indtastes http://Aliasnavn:8080 I eksemplet ”http://secureaware.test:8080” Hvor aliasnavn er aliasnavnet på portalen, i eksemplet er det secureaware.test. Port 8080 er standard i SecureAware. Hvis du vil benytte en anden port, bør du først læse Technical Whitepaper. Du kan sikre dig, at du er på den rigtige portal ved at se i browserens titelbar. Der skal stå navnet på portalen. I eksemplet er navnet Test og i titelbaren står der Test. 23 Den nye portal er nu oprettet og klar til brug. Portalens generelle opsætning Portaltitel: Her kan du ændre navnet på portalen. Portalnavnet fremkommer i browserens titelbar, så kan du se hvilken portal du er inde på. Vis versionsnummer: Hvis versionsnummeret af SecureAware skal vises i browseren. Kan skjules ved at vælge nej. Portal-‐aliasnavne: Dette refererer til Host (servernavn) som bruges til at kalde portalen i browseren. Du kan godt have flere aliaser på samme portal. Sprogvalg: Her kan du aktivere/deaktivere de sprog, det er muligt at bruge i henhold til licensaftalen, læs mere i afsnittet om sprog. Maximal størrelse af dokumentdatabasen: Det er ligeledes muligt at ændre, hvor meget plads der skal allokeres til dokumentdatabasen. 24 Tillad brugere at vælge foretrukken målgruppe: Som standard har en bruger mulighed for, at ændre sin foretrukne målgruppe. Dette kan forhindres ved at vælge ”Nej”. Vær opmærksom på, at dette ikke alene er en adgangsbegrænsning. Valg af datoformat Opsætning af datoformat kan indstilles efter eget valg. Klik på blyanten ud for det enkelte land og indtast den ønskede ændring. Afslut ved at klikke på den grønne pil til højre for feltet. Du behøver ikke at lave ændringer i portalstyringen for at få SecureAware til at køre. Når dit valg er foretaget klikkes på returknappen. 25 Internet Information Server Denne vejledning er gældende for version 3.7.0 og senere. Installation af redirector Redirectoren er en IIS-‐filter API-‐applikation, som sender forespørgsler fra IIS webserveren til Tomcat webserveren. Opsætning af redirectoren i IIS’en Nu skal IIS’en sættes op til at hoste websitet og redirector-‐filteret. Start Microsoft IIS manageren og opret eller vælg det website, som skal være SecureAwares website. På websitet skal du oprette et nyt virtual directory, der hedder “jakarta”, som peger på mappen C:\Program Files\Neupart\SecureAware\iis Et virtuelt directory kan oprettes som en ny “task” i aktionsmenuen eller ved at højreklikke på websitet. 26 Når du indstillet Virtual Directory Permissions, skal du sikre dig, at du tillader eksekvering af ISAPI-‐ applikationer. (redirectoren er en ISAPI-‐applikation). I web sites properties skal du nu tilføje redirectoren som et IIS API-‐filter. Gå til filter-‐fanebladet og tilføj det nye filter med navnet ”jakarta” samt stien til redirector DLL-‐filen: C:\Program Files\Neupart\SecureAware\iis\isapi_redirect.dll Vær opmærksom på, at Status og Priority vil blive opdateret når IIS websitet er blevet genstartet og du har benyttet websitet første gang. På en IIS version 6 skal du desuden aktivere den web service extension, der hedder “All unknown ISAPI Extensions” 27 Dette er en global indstilling i IIS manager applikationen under “Web service Extensions”. Gentart IIS websitet For at dine ændringer skal slå igennem, skal du genstarte det website, du indstillede til SecureAware. Dette kan gøres i IIS-‐manageren ved at vælge websitet og bruge Stop og Start-‐knapperne. Test af omdirigeringen Du kan nu, I browseren, pege på websitet, som du oprettede i IIS’en og se det indhold, som er blevet omdirigeret fra Tomcat web server. Fejfinding Hvis sitet ikke virker, kan du prøve at genstarte IIS web service eller serveren. Husk at det kun vil fungere, hvis Tomcat web server (SecureAware-‐ servicen) startes FØR det IIS website, som hoster SecureAware-‐applikationen. Får du en “Access denied”-‐meddelelse, skal du sikre dig, at at den service, som du konfigurerede på IIS web server har ”read” og ”execute”-‐adgang til den SecureAware IIS-‐mappe du oprettede. Du skal desuden sikre dig, at omdirigeringen virker før du går videre til at sætte Single Sign-‐On op. Single Sign-‐On Før du begynder opsætningen af Single Sign-‐On, skal du indstille SecureAware til at benytte AD samt indtaste en IIS-‐bruger i Portalstyringen i SecureAware (se afsnittet ”AD-‐opsætning”). Du skal nu fjerne anonym adgang (Anonymous access) til websitet. Dette gøres i ”Web site properties” i fanebladet Directory Security. Klik på Edit the Anonymous access and authentication control og deaktiver anonym adgang. 28 Kun muligheden “Integrated Windows authentication” bør være valgt. Husk at genstarte websitet for at få ændringerne til at slå igennem. 29 Microsoft SQL Server 7, 2000 or 2005 En standard SecureAware-‐installation indeholder alle de filer du skal bruge til at køre applikationen på Microsoft-‐databasen, inklusiv JDBC-‐driveren. Database-‐installation Du skal først sikre dig at databasen er installeret og fungerer. Hvis SecureAware-‐serveren og SQL-‐ serveren ikke er på den samme server, skal du desuden tjekke at firewallen ikke blokerer på forbindelsesporten (som default port 1433). Oprettelse af database Opret en ny database ved navn SecureAware på din SQL-‐server. Tabeller og indhold vil automatisk blive oprettet, når SecureAware installeres eller opgraderes. På Microsoft SQL server 2005 skal du starte SQL server management studio. Højreklik på Database til venstre i træet og klik på ”New database...” Indtast “SecureAware” som databasens navn og ændr datafilens størrelse (Initial Size [MB]) til 10 MB. Opret en burger til SecureAware For at kunne forbinde til databasen, skal vi bruge en databasebrugerkonto. I eksemplet er det en bruger ved navn ”SecureAware” med passwordet ”secureaware” (anbefales ikke til 30 produktionsmiljøer). Databasebrugeren skal have databaseejerrettigheder under installationsforløbet, men behøver herefter kun rettighederne ”select”, ”update” og ”delete”. I MS SQL 2005, skal brugeren også oprettes I Management Studio. I Security-‐mappen skal du højreklikke på login og vælge at oprette et nyt login. I dialogboksen skal du indtaste “secureaware” som loginnavnet. Vælg “SQL server authentication” og indtast password. Du skal fjerne fluebenet i “Enforce password expiration”. Sæt defaultdatabasen til SecureAware. Du skal nu mappe brugeren til SecureAware-‐databasen og give brugeren rollen db_owner. Dette sikrer, at brugeren kan oprette og vedligeholde datamodellen (create and alter table rights). Når du nu har sat login til at benytte SQL server authentication, skal du nu sikre dig, at databasen benytter denne autentifikationsmetode. Vær opmærksom på, at Microsoft SQL server som default kun har Windows integrated security aktiveret. Du skal derfor aktivere SQL authentication mode under installationen. På SQL server 2005 skal dette ændres I management studio applikationen ved at vælge Server Properties på databasen. 31 Under “Security” skal du nu vælge ”SQL server and Windows authentication mode”. Da SecureAware benytter en JDBC driver som etablerer forbindelsen til databasen over TCP, skal du sikre dig, at SQL serveren har dette aktiveret. I SQL 2005 kontrolleres forbindelsesindstillingerne i ”SQL server configuration manageren”, som ligger i Start-‐menuen. Som standard er TCP ikke aktiveret på en SQL server 2005 (kun shared memory). Når du aktiverer TCP-‐ forbindelse kan du også bestemme, hvilken port, der skal benyttes (default 1433). Husk at genstarte SQL serveren for at dine ændringer skal slå igennem. Ændring af SecureAwares konfiguration Stop SecureAware-‐servicen før disse ændringer foretages. Du skal nu ændre filen “catelina.properties” i conf – mappen, som ligger i: (Version 3.6.5 og tidligere): C:\Program Files (x86)\Neupart\SecureAware3\ (Version 3.7.0 og senere): C:\Program Files (x86)\Neupart\SecureAware\ Nedenfor vises indholdet i denne fil. Start med at udkommentere (#) de 10 linier i Hypersonic SQL og fjerne udkommenteringen ud for de linier ud for MS SQL server. Nedenfor vises konfigurationen for den opsætning, som er blevet beskrevet i dette afsnit. Læs mere om dette i afsnittet ”Brug af en ikke-‐indbygget database”. ## MS SQL Server hibernate.dialect org.hibernate.dialect.SQLServerDialect hibernate.connection.driver_class net.sourceforge.jtds.jdbc.Driver hibernate.connection.username secureaware hibernate.connection.password secureaware hibernate.default_schema dbo hibernate.default_catalog secureaware hibernate.connection.url jdbc:jtds:sqlserver://localhost:1433/secureaware;tds=8.0;lastupdatecount=true 32 document.dialect org.hibernate.dialect.SQLServerDialect document.connection.driver_class net.sourceforge.jtds.jdbc.Driver document.connection.username secureaware document.connection.password secureaware document.default_schema dbo document.default_catalog secureaware document.connection.url jdbc:jtds:sqlserver://localhost:1433/secureaware;tds 33 Installation og opgradering på en Linux-‐ server For at benytte SecureAware på Linux, er Java SDK påkrævet. Installation af Java 1.6.0 SDK på OpenSUSE (32 bit) Klik på Kamæleonen (samme knap som Start i Windows) og vælg Opsætning YaST. for Indtast administrator administrator-‐ adgangskoden og klik på OK. Klik nu på Software Management (faneblad i Software), skriv ”java” i søgefeltet og find “java-‐1.6.0-‐ sun-‐devel” i skærmbilledet til højre. Sæt flueben i boksen (hvis det ikke allerede er der), og klik på Check nederst i skærmbilledet. Du vil nu se pop-‐up meddelelsen ”All package dependencies are OK”. Klik på OK for at gå videre. Du skal nu acceptere, at Java 1.6.0-‐pakken installeres. Du vil muligvis få brug for installations-‐cd/dvd’en. Du kan nu begynde at installere SecureAware. 34 hvis du har en ældre version af java, skal denne afinstalleres først. Installation af SecureAware Start med at downloade SecureAware Linux. Installationspakken er af typen RPM (extension .rpm). Når du har downloadet SecureAware, kan du vælge at installere på én af følgende måder: Terminaladgang ved hjælp af RPM-‐værktøjet eller ved hjælp af den grafiske brugerflade. For terminaladgang åbnes terminalen og stien til installationsfilerne angives. I eksemplet nedenfor ligger filerne på skrivebordet. Bemærk, at du skal have administratorrettigheder for at kunne installere software. Skriv: sudo –s og angiv administratoradgangskoden. Når adgangskoden er accepteret, vil ~ symbolet ændres til # ved siden af host-‐navnet. Er det første gang du skal installere SecureAware, skal du skrive: rpm –ivh [hele navnet på SecureAware]. Ved opgradering til en nyere version skrives: rpm – Uvh [hele navnet på SecureAware]. Ved afinstallering skrives rpm –e [hele navnet på SecureAware]. Ved installation vil filerne nu blive udpakket i: /opt/secureaware. 35 Som nævnt er det også muligt at at installere SecureAware ved hjæp af den grafiske brugerflade. Dette foregår ved at højreklikke på den downloadede mappe og vælge at installere den ved hjælp af ”Installér software”. Filerne vil nu blive pakket ud i /opt/secureaware. Det er vigtigt at JAVA_Home environment variablen peger på Java 1.6.0 SDK eller senere SDK version. Du kan vælge at ændre dette globalt eller ved at ændre i filen /opt/secureaware/bin/setenv.sh således: JAVA_HOME=/usr/lib/jvm/java-‐1.6.0. Du kan foretage denne ændring ved hjælp af en editor eller gennem teminalen. Benytter du editoren, skal du huske at åbne editoren som systemadministrator ved at indtaste: sudo [editor-‐navn] og herefter åbne setenv.sh-‐filen. Ved terminaladgang finder du stien: /opt/secureaware/bin/ og skriver: nano setenv.sh eller vi setenv.sh. Du kan nu ændre filen og gemme dine ændringer. Hvis environment-‐variablen ikke findes eller peger på JRE-‐versionen af Java, vil du få en fejlmeddelelse, der forklarer, at dette skal ændres. Opstart af SecureAware Mappen: /opt/secureaware/bin indholder følgende scripts: Startup.sh som starter SecureAware-‐baggrundsprocessen og vender tilbage. Shutdown.sh som stopper SecureAware-‐baggrundsprocessen og vender tilbage. Ønsker du at SecureAware skal startes og stoppes automatisk samtidig med operativsystemet, kan disse filer inkluderes i Linux’ opstarts-‐ og nedlukningssekvens. Hvis du foretrækker at starte og stoppe SecureAware manuelt, åbner du terminalen, logger ind som administrator og finder stien: /opt/secureaware/bin. Indtast ./startup for at starte og ./shutdown for at stoppe SecureAware-‐servicen. 36 Databasens placering Før databasen sikkerhedskopieres, skal SecureAware-‐servicen stoppes. Sikkerhedskopieringen kan med fordel automatiseres i et script, som kaldes regelmæssigt. I SecureAware Linux er databasefilerne placeret i: /opt/secureaware/database 37 Automatisk log out Brugere bliver som udgangspunkt logget af SecureAware efter 30 minutters inaktivitet. Hvis du vil ændre dette, skal du stoppe SecureAware-‐servicen og finde filen web.xml i C:\Program Files\Neupart\SecureAware\conf (tag lige en backup af filen først). Søg efter strengen: <session-‐timeout>30</session-‐timeout> Nu kan du ændre "30" til det antal minutter, der skal gå før brugeren logges ud. Gem, luk og start servicen igen. 38 Logning i SecureAware Logningsfaciliteterne i SecureAware har til formål at spore og dokumentere redigering i Policy-‐ modulet og at dokumentere fejlhændelser i systemet i øvrigt. Der er således indbyggede logningsfaciliteter i Policy-‐modulet (beskrives i Policy-‐manualen) og i systemadministratorens administrations-‐funktioner. SecureAware indeholder i øvrigt i flere af modulerne oplysninger, som knytter data til en bestemt bruger. Her fremgår sporings-‐ og dokumentationsoplysninger af de almindelige data, systemet behandler, og ikke af en særlig log. Fejl-‐log Rapporten indeholder tekniske oplysninger om fejlhændelser i systemet. Adgang til fejl-‐log: SecureAwares fejl-‐log kan tilgås i menuen Log-‐filer. Loggen kan være værdifuld i supportsituationer. Logning i øvrigt Såfremt man i sin SecureAware installation benytter Microsoft Internet Information Server, kan de generelle logningsfaciliteter heri anvendes til at spore brugernes anvendelse af systemet. SecureAware er ikke konstrueret til offentlige myndigheders behandling af anmeldelsespligtige personoplysninger, og systemet indeholder derfor ikke funktioner til logning i henhold til sikkerhedsbekendtgørelsens § 19. 39 Såfremt der hos en offentlig myndighed er behov for at registre anmeldelsespligtige personoplysninger i tilknytning til SecureAware, anbefaler Neupart, at man registrerer oplysningerne i et ESDH-‐system e.l., som har de nødvendige logningsfaciliteter, og benytter SecureAwares mulighed for at linke til eksterne dokumenter. 40 SecureAware – Support Kontakter du Neuparts supportafdeling ([email protected]), vil du sandsynligvis blive bedt om sende dine databasefiler og/eller en fejllog. Databasefilerne ligger som standard i C:\Windows\Database\ Disse 8 filer skal zippes og vedhæftes e-‐mailen til support. For at sikre at dataene i databasen er konsistente, skal SecureAware-‐servicen være stoppet før databasefilerne kopieres. For at generere en fejllog, skal du være logget ind som systemadministrator. Vælg menuen Log-‐filer Denne vejledning beskriver, hvordan du sender din SecureAware-‐database til Neuparts support-‐ afdeling. Hvis et problem skal løses ved en direkte databaseændring, kan denne vejledning også bruges til at gendanne databasen igen, når du får din databasen retur fra Neupart support afdeling. Dette gøres ved at udpakke filerne fra den pakkede zip-‐fil, og kopiere dem ned i databasemappen. Bemærk: Husk altid at tage en backup af din gamle database, før du overskriver dem. Stop SecureAware servicen For at sikre at dataene i databasen er konsistente, skal SecureAware-‐servicen være stoppet før databasefilerne kopieres. I Windows gøres det enten ved hjælp af Windows Services manager eller SecureAware Manageren. I Windows XP er SecureAware manageren placeret under start menuen: Åben ”Start” menuen. Åben ”Programmer” 41 Vælg ”SecureAware” mappen Vælg ”Manager” mappen Vælg ”SecureAware Manager” Hvis der ikke er et link til SecureAware i start menuen, kan manageren findes i : C:\Programmer/Neupart/SecureAware\bin\SecureAware3w.exe (I tidligere versioner end 3.7.0 er det C:\Programmer/Neupart/SecureAware3\bin\SecureAware3w.exe) Bemærk: Mappen kan have et andet navn, afhængig af hvilken version af windows du bruger. I SecureAware-‐manageren skal du stoppe servicen ved at klikke på knappen ”Stop”. Efter et øjeblik bliver knappen ”Start” markeret. SecureAware er nu stoppet. Efter kopieringen kan du bruge manageren til at starte servicen igen ved at trykke på ”Start”. Hvis du bruger Windows Service Manageren, kan du stoppe og starte SecureAware med ”SecureAware” servicen. Database placering I en standardinstallation af SecureAware, er databasen er placeret under: C:\Windows\Database\ Bemærk: Windows-‐mappen er kaldt ”Winnt” i nogle versioner af Microsoft Windows. Pak de kopierede filer med et pakke program, f.eks. Winzip, Winrar eller Windows XP ”Compressed (Zippen) mappe”. Send de pakkede filer til [email protected] sammen med en uddybende forklaring af problemet. 42 Kontaktinformation -‐ For yderligere information, kontakt Neupart: Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Copyright © 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet ”SecureAware” er varemærker, som tilhører Neupart A/S . Dokumentet leveres ”som det er og foreligger” uden nogen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Der gives ingen garantier for opnåelsen af resultater ved brug af denne dokumentation. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 43
© Copyright 2024