Page 1
Dell Data Protection
Guía de configuración
Page 2
____________________
© 2014 Dell, Inc.
Marcas comerciales utilizadas en el conjunto de documentos de DDP|E, DDP|ST y DDP|CE: Dell™ y su logotipo, DellPrecision™,
OptiPlex™, ControlVault™, Latitude™, XPS
®
y Xeon
son marcas de IntelCorporation en EstadosUnidos y otros países. Adobe®, Acrobat® y Flash® son marcas de
AdobeSystemsIncorporated. AuthenTec
Microsoft
Access
SQLServer
®
, Windows®, y WindowsServer®, InternetExplorer®, MS-DOS®, WindowsVista®, MSN®, ActiveX®, ActiveDirectory®,
®
, ActiveSync®, BitLocker®, BitLockerTo Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®, Skydrive®,
® y
Visual C++® son marcas de MicrosoftCorporation en EstadosUnidos u otros países. VMware® es marca de
VMware,Inc. en EstadosUnidos u otros países. Box
Android™, Google™Chrome™, Gmail™, YouTube
®
Apple
, Aperture®, AppStoreSM, AppleRemoteDesktop™, AppleTV®, BootCamp™, FileVault™, iCloud
®
iPhoto
u otros países. GOID
GuidanceSoftware. Entrust
, iTunesMusicStore®, Macintosh®, Safari® y Siri® son marcas, algunas de ellas de servicios, de Apple,Inc. en EstadosUnidos
®
, RSA® y SecurID® son marcas de EMCCorporation. EnCase™ y GuidanceSoftware® son marcas de
®
es mar ca d e En trus t®,Inc. en EstadosUnidos y otros países. InstallShield® es mar ca d e Fl exera Software
en EstadosUnidos, China, UniónEuropea, HongKong, Japón, Taiwán y ReinoUnido. Micron
MicronTechnology,Inc. en EstadosUnidos y otros países. Mozilla
otros países. iOS
®
se utiliza con licencia y es marca de CiscoSystems,Inc. en EstadosUnidos y otros países. Oracle® y Java® son marcas
de Oracle o sus filiales. Los demás nombres utilizados pueden ser marcas de sus respectivos titulare s. S AM S UN G™ e s m a rc a d e SA M SUNG
en EstadosUnidos u otros países. Seagate
marca de HGST,Inc. en EstadosUnidos y otros países. UNIX
Va li d i ty Sensors,Inc. en EstadosUnidos y otros países. VeriSign
o compañías controladas, en EstadosUnidos y otros países, y cuentan con licencia a favor de SymantecCorporation. KVMonIP
marca de VideoProducts. Yahoo!
®
es marca deYahoo!Inc.
Este producto utiliza partes del programa 7-Zip. El código fuente puede consultarse en
las restricciones de licencia GNU LGPL y unRAR (
2014-02
Protegido por una o varias patentes de Estados Unidos, entre otras: Número 7665125; Número 7437752; y Número 7665118.
La información en este documento está sujeta a cambios sin aviso previo.
®
y KA CE ™ s on m a rc as de Del l, Inc. Intel®, Pentium®, IntelCoreInsideDuo®, Itanium®
®
y Eikon® son marcas de AuthenTec. A M D® es marca de AdvancedMicroDevices,Inc.
®
es marca deBox. DropboxSM es marca de servicios de Dropbox,Inc. Google™,
®
y Google™Play son marcas de Google,Inc. en EstadosUnidos y otros países.
®
®
Firefox® es marca de MozillaFoundation en EstadosUnidos u
®
es marca de SeagateTechnology,LLC en EstadosUnidos u otros países. Travelstar® es
®
es marca de TheOpenGroup. VALIDITY™ es marca de
®
y los nombres relacionados son marcas de VeriSign,Inc. o sus filiales
www.7-zip.org
www.7-zip.org/license.txt
).
y RealSSD® son marcas de
. La licencia se encuentra sujeta a
®
SM
, iPad®, iPhone®,
®
es
Page 3
Contenido
1 Configuración de Compatibility Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Habilitar el formato dominio/nombre de usuario
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 Configuración de Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Cambio del arbitraje de políticas, de La más segura a La menos segura. . . . . . . . . . . . . . . . . . . 13
PolicyService.config
Deshabilitar los servicios web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Habilitación del servidor SMTP para el envío de notificaciones de licencia por correo electrónico
NotificationObjects.config
Notification.config
Agregar la ubicación de la carpeta de Compatibility Server
al archivo de configuración de Core Server
Permitir que Core Server utilice un proceso de iteración para los métodos de autenticación
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
. . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
. . . . . . . 15
3 Configuración de Device Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
run-service.conf
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4 Configuración de Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
5 Configuración de las funciones de encriptación. . . . . . . . . . . . . . . . . . . . . 21
Prevención de la eliminación de archivos temporales . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Ocultar iconos superpuestos
Ocultar el icono de la bandeja del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Guía de configuración 3
Page 4
Activación escalonada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Sondeo forzado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Opciones de inventario
Activaciones fuera del dominio
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
6 Configuración de los componentes a fin de utilizarlos con la
autenticación/autorización Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos . . . . 25
Instrucciones del Servicio de Windows
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Instrucciones del archivo de configuración de Key Server. . . . . . . . . . . . . . . . . . . . . . . . . . 25
Ejemplo de archivo de configuración:
Instrucciones del Servicio de Windows
Instrucciones de la Consola de Administración Remota
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
. . . . . . . . . . . . . . . . . . . . . . . . . . . 27
7 Asignar función de administrador forense . . . . . . . . . . . . . . . . . . . . . . . . . 29
Instrucciones de la Consola de Administración Remota . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Deshabilitar autorización forense
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
8 Expresiones cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Introducción a las expresiones cron. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Formatos de las expresiones cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Caracteres especiales
Ejemplos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
9 Creación de un certificado autofirmado con Keytool
y generación de una solicitud de firma de certificado
Generación de un nuevo par de claves y un certificado autofirmado . . . . . . . . . . . . . . . . . . . . 35
Solicitud de certificado firmado a una Autoridad de certificación. . . . . . . . . . . . . . . . . . . . . . 36
Importación de un certificado raíz
Ejemplo de un método para solicitar un certificado
4 Guía de configuración
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . . . . . . 35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Page 5
1
Configuración de Compatibility Server
Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Compatibility Server a
su sistema. Siempre haga una copia de seguridad de los archivos de configuración antes de modificarlos.
En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las
etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de
modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Compatibility Server.
server_config.xml
Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de
Compatibility Server>\conf\server_config.xml. Los parámetros que no se deben modificar están señalados como tales.
Si Compatibility Server se está ejecutando, se debe detener el servicio Compatibility Server Service, modificar el archivo
server_config.xml y luego reiniciar el servicio Compatibility Server Service para que las modificaciones realizadas tengan efecto.
server_config.xml
Parámetro Valor predeterminado Descripción
secrets.location $dell.home$/conf/secretKeyStore Ubicación predeterminada del archivo "secretkeystore".
Actualice este parámetro si mueve este archivo de su
ubicación predeterminada.
archive.location $dell.home$/conf/archive Ubicación predeterminada del archivo "archive".
Actualice este parámetro si mueve este archivo de su
ubicación predeterminada.
domain.qualified.authentication true Indica si se requiere de un nombre de usuario de inicio
de sesión para hacer solicitudes al Servidor.
Si se modifica ese valor, se debe reiniciar el servidor
Device Server para que la modificación realizada tenga
efecto.
directory.max.search.size 1000 Límite de las
ese valor se inicia una excepción.
directory.server.search.timeout.seconds 60 Tiempo de espera del servidor de las búsquedas LDAP,
en segundos.
directory.client.search.timeout 60 Tiempo de espera del cliente de las búsquedas LDAP,
en segundos.
búsquedas
en directorios; por encima de
Guía de configuración 5
Page 6
server_config.xml
Parámetro Valor predeterminado Descripción
rmi.recovery.host Para utilizar la recuperación de EMS en diversos
servidores:
<!--
- quite la marca de comentario y modifique los
nombres de host a sus nombres de dominio
completamente autorizados para realizar una
recuperación en cadena
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam.com:1099</value>
</property>
<property name="rmi.recovery.host">
<value>rmi://foo.fabrikam2.com:1099</value>
</property>
-->
default.gatekeeper.group.remote CMGREMOTE El nombre predeterminado del grupo al que
pertenecen, como opción predeterminada, todos los
proxy de políticas. Este nombre se puede modificar
aquí, y también en el archivo "context.properties" del
Device Server.
Si se cambia el nombre del grupo aquí, también hay
que cambiarlo en el Device Server, si usted planea:
• Habilitar Shield para dispositivos Windows
• Utilizar CREDActivate
Recomendamos que todos los proxy de políticas
pertenezcan al mismo grupo.
rsa.securid.enabled false Si en su sistema está utilizando RSA SecurID para
Microsoft Windows versión 6 como reemplazo de
GINA, establezca este campo a "true" (verdadero), y
luego detenga y reinicie el servicio Compatibility
Server Service.
Cuando los usuarios de Shield se activan en un
entorno en el que se reemplazó RSA GINA, la
autenticación RSA reemplaza a la autenticación LDAP.
inv.queue.task.worker.size 10 Cantidad de subprocesos que procesan la cola de
inventario.
inv.queue.task.timeout.seconds 900 Cantidad de segundos antes de que se produzca el
vencimiento del tiempo de espera.
inv.queue.task.retry.count 3 Cantidad de veces que el servidor intenta procesar el
inventario antes de descartarlo.
report.retry.max 120 Cantidad máxima de reintentos.
report.retry.wait.millis 250 Cantidad de milisegundos de espera entre un reintento
y otro.
6 Guía de configuración
Page 7
server_config.xml
Parámetro Valor predeterminado Descripción
triage.execute.time 0 0 0/6 * * Se denomina triage al proceso de reconciliar a los
usuarios y a los grupos que ya el servidor conoce.
La configuración predeterminada es 0 0 0/6 * * ?, que
significa que se hace triage cada 6 horas a partir de
medianoche (medianoche, 6 AM, mediodía, 6 PM,
medianoche...)
gatekeeper.service.max.sessions 5 Cantidad máxima de sesiones del servidor Policy Proxy
de políticas.
gatekeeper.service.max.session.timeout 5 Tiempo de espera de la cantidad máxima de las
sesiones del Policy Proxy.
security.authorization.method.IAdministrat
iveService.updateAdminRoles
security.authorization.method.IAdministrati
veService.getAdministrativeAccountGroups
security.authorization.method.IAdministrat
iveService.openGetLogsSession
security.authorization.method.IAdministrat
iveService.getLogs
security.authorization.method.IAdministrat
iveService.getLogColumnList
security.authorization.method.IAdministrat
iveService.getLogCategoryList
security.authorization.method.IAdministrat
iveService.getLogPriorityList
security.authorization.method.IAdministrat
iveService.getUniqueIdName
security.authorization.method.IAdministrat
iveService.getAdministrators
security.authorization.method.IAdministrat
iveService.setSuperAdminPassword
security.authorization.method.IAdministrat
iveService.resetSuperAdminPassword
security.authorization.method.IAdministrat
iveService.addDomain
security.authorization.method.IAdministrat
iveService.removeDomain
security.authorization.method.IAdministrat
iveService.updateDomain
security.authorization.method.IAdministrat
iveService.addGroups
security.authorization.method.IAdministrat
iveService.removeGroup
AcctAdmin,SecAdmin,HelpDesk
AcctAdmin Función necesaria para actualizar las funciones
administrativas de grupos y usuarios.
AcctAdmin Función necesaria para actualizar las funciones
administrativas de grupos y usuarios
SystemAdmin,LogAdmin Funciones necesarias para recuperar las sesiones de los
registros.
SystemAdmin,LogAdmin Funciones necesarias para recuperar los registros.
SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de
columnas de los registros.
SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de
categorías de los registros.
SystemAdmin,LogAdmin Funciones necesarias para recuperar la lista de
prioridades de los registros.
Funciones necesarias para recuperar los nombres ID
Admin,SystemAdmin
AcctAdmin Función necesaria para recuperar la lista de
SuperAdmin Función necesaria para configurar la contraseña del
SecAdmin Función necesaria para restablecer la contraseña del
SystemAdmin,SecAdmin Funciones necesarias para agregar dominios.
SystemAdmin,SecAdmin Funciones necesarias para quitar dominios.
SystemAdmin,SecAdmin Funciones necesarias para actualizar dominios.
SystemAdmin,SecAdmin Funciones necesarias para agregar grupos.
SystemAdmin,SecAdmin Funciones necesarias para quitar grupos.
únicos.
administradores del sistema.
superadministrador.
superadministrador.
Guía de configuración 7
Page 8
server_config.xml
Parámetro Valor predeterminado Descripción
security.authorization.method.IAdministrat
iveService.findLdapGroups
security.authorization.method.IAdministrat
iveService.findLdapUsers
security.authorization.method.IAdministrat
iveService.addUsers
security.authorization.method.IAdministrat
iveService.addLicense
security.authorization.method.IAdministrat
iveService.getLicense
security.authorization.method.IDeviceMan
ager.recoverDevice
security.authorization.method.IDeviceMan
ager.isUserSuspended
security.authorization.method.DeviceMana
gerService.proxyActivate
security.authorization.method.DeviceMana
gerService.proxiedDeviceManualAuth
security.authorization.method.IFileManage
r.getGatekeeperResource
security.authorization.method.IFileManage
r.approveGatekeeperResource
security.authorization.method.IFileManage
r.approveGatekeeperConfig
policy.arbiter.security.mode most-restrictive Esta propiedad controla el modo de funcionamiento
policy.set.synchronization.sync-unmodified true Este indicador señala que se debe agregar o reasignar, en
db.schema.version.major Esquema principal de la base de datos.
db.schema.version.minor Esquema secundario de la base de datos.
SystemAdmin,SecAdmin Funciones necesarias para encontrar grupos LDAP.
SystemAdmin,SecAdmin Funciones necesarias para encontrar usuarios LDAP.
SystemAdmin,SecAdmin Funciones necesarias para agregar usuarios.
SystemAdmin Función necesaria para agregar licencias Enterprise.
SystemAdmin Función necesaria para ver la licencia Enterprise.
HelpDeskAdmin,SecAdmin Funciones necesarias para recuperar dispositivos.
HelpDeskAdmin,SecAdmin Funciones necesarias para suspender usuarios.
SecAdmin Funciones necesarias para activar dispositivos por
proxy.
HelpDeskAdmin,SecAdmin Funciones necesarias para recuperar dispositivos
manualmente por proxy.
SystemAdmin Función necesaria para recuperar el recurso de archivos
de Gatekeeper.
SystemAdmin Función necesaria para aprobar el recurso de archivos
de Gatekeeper.
SystemAdmin Funciones necesarias para aprobar la configuración de
Gatekeeper.
del algoritmo de asignación (mapeo) de políticas de los
elementos de políticas, que tienen una preferencia de
seguridad cuando la política tenga múltiples nodos
padre.
Va lo re s :
Least-restrictive (la menos restrictiva) - se utiliza el
valor del elemento menos restrictivo del padre
Most-restrictive (la más restrictiva) - se utiliza el valor
del elemento más restrictivo del padre
la próxima sincronización externa, todos los elementos
de política, sin configurar el indicador modificado a
"true" (verdadero). En cada sincronización se alterna el
valor de este indicador, de modo que es necesario
reiniciarlo si el administrador de seguridad quiere
agregar sin modificaciones. Esta es una opción
avanzada.
8 Guía de configuración
Page 9
server_config.xml
Parámetro Valor predeterminado Descripción
db.schema.version.patch Versión de la revisión del esquema de la base de datos.
dao.db.driver.dir $dell.home$/lib/mssql-microsoft Ubicación predeterminada del controlador de la base
de datos. Actualice este parámetro si mueve este
archivo de su ubicación predeterminada.
dao.db.host El nombre de host de su servidor de base de datos.
Este parámetro se cambia mediante la herramienta de
configuración.
dao.db.name El nombre de su base de datos.
Este parámetro se cambia mediante la herramienta de
configuración.
dao.db.user El nombre de usuario que tiene acceso completo a la
base de datos.
Este parámetro se cambia mediante la herramienta de
configuración.
dao.db.password La contraseña del nombre de usuario que tiene acceso
completo a la base de datos.
Este parámetro se cambia mediante la herramienta de
configuración.
dao.db.max.retry.count 10 La cantidad máxima de veces que Compatibility
Server intenta reconectarse a SQL Server cuando
ocurre un error especificado de socket.
dao.db.connection.retry.wait.seconds 5 El primer intento de reconexión ocurre de inmediato.
El segundo intento ocurre luego de la cantidad
especificada de segundos. El tercer intento ocurre
luego de la cantidad especificada de segundos
multiplicada por dos, el cuarto en la cantidad
multiplicada por tres y así sucesivamente.
dao.connection.pool.max.uses 10000 Permite el retiro de conexiones, el valor "0" indica que
no se retiren.
dao.connection.pool.inactive.threshold.seconds 900 Se utiliza para determinar si no se ha utilizado una
conexión, y por lo tanto se puede cerrar.
dao.db.driver.socket.errors 0 Compatibility Server intenta reconectarse a SQL
Server cuando ocurren los errores que corresponden a
los códigos que se encuentran en esta lista, separados
por comas. "0" es el código de error de los errores de
socket de Microsoft SQL Server. También se puede
agregar a la lista el código 17142 que corresponde a
errores del servidor en pausa, y el 6002 que corresponde
a errores de servidor cerrando.
dao.db.mssql.compatability.level 90 Valor correspondiente a SQL Server 2005 o posterior.
vfs.file.handler.auth com.credant.guardian.server.vfs.
AuthFileHandler
vfs.file.handler.inventory com.credant.guardian.server.vfs.I
nventoryFileHandler
Controlador del archivo de autorizaciones.
Controlador del archivo de inventarios.
Guía de configuración 9
Page 10
server_config.xml
Parámetro Valor predeterminado Descripción
vfs.file.handler.event com.credant.guardian.server.vfs.
EventFileHandler
gatekeeper.resource $dell.home$/conf/gkresource.xml Actualice este parámetro si mueve el archivo de
gatekeeper.config $dell.home$/conf/gkconfig.xml Actualice este parámetro si mueve el archivo de
rmi.server.registry.host localhost La propiedad Host se utiliza solamente para que los
rmi.server.registry.port 1099 El puerto del registro RMI se configura durante la
security.authorization.method.IServerRepor
ts.getOverviewReport
security.authorization.method.IReportingSe
rvice.removeEntity
security.authorization.method.IReportingSe
rvice.setEntityVisibility
security.authorization.method.IReportingSe
rvice.getHardwareDetailReport
security.authorization.method.IReportingSe
rvice.openSession
security.authorization.method.IReportingSe
rvice.getPagedReport
security.authorization.method.IReportingSe
rvice.getDeviceTypeReport
security.authorization.method.IReportingSe
rvice.getDeviceOsReport
security.authorization.method.IReportingSe
rvice.getDeviceModelReport
security.authorization.method.IReportingSe
rvice.getPolicyDetailReport
security.authorization.method.IReportingSe
rvice.getWorkstationDetailReport
security.authorization.method.IReportingSe
rvice.getEncryptionFailuresReport
security.authorization.method.IReportingSe
rvice.getEncryptionSummaryReport
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
SystemAdmin Función necesaria para quitar las entidades del
SystemAdmin Función necesaria para configurar la visibilidad de las
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
Controlador del archivo de eventos.
recursos de Gatekeeper de su ubicación
predeterminada.
recursos de Gatekeeper de su ubicación
predeterminada.
programas cliente puedan determinar en qué lugar se
encuentra el registro. No se utiliza durante la creación
del registro RMI ni de los objetos remotos. Se creará en
localhost.
instalación. Este parámetro también se puede utilizar
para cambiar el puerto después de la instalación.
Si se cambia ese valor, también se debe configurar los
servicios Gatekeeper Web Services.
Funciones requeridas para configurar las
autorizaciones de los informes del servidor.
servidor.
entidades del servidor.
Funciones necesarias para ver la página de detalles de
los dispositivos.
Funciones necesarias para abrir una sesión del servidor.
Funciones necesarias para ver el informe paginado.
Funciones necesarias para ver el informe de tipos de
dispositivos.
Funciones necesarias para ver el informe del sistema
operativo.
Funciones necesarias para ver los informes de modelos
de dispositivos.
Funciones necesarias para ver el informe detallado de
las políticas.
Funciones necesarias para ver el informe detallado de
las estaciones de trabajo.
Funciones necesarias para ver el informe de fallas en la
encriptación.
Funciones necesarias para ver el informe de resumen
de la encriptación.
10 Guía de configuración
Page 11
server_config.xml
Parámetro Valor predeterminado Descripción
security.authorization.method.IReportingSe
rvice.getUserDetail
security.authorization.method.IReportingSe
rvice.getGroupDetail
security.authorization.method.IReportingSe
rvice.getDomainDetail
security.authorization.method.IKeyService.
getKeys
accountType.nonActiveDirectory.enabled false Habilitar las activaciones fuera del dominio es una
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
AcctAdmin,HelpDeskAdmin,Sys
temAdmin,SecAdmin
Fore ns ic Ad mi n Esta configuración se utiliza con los complementos de
Funciones necesarias para ver el informe de
información detallada de los usuarios.
Funciones necesarias para ver el informe de
información detallada de los grupos.
Funciones necesarias para el informe de la lista de
dominios.
integración forense. Comuníquese con el
departamento de apoyo técnico de Dell si necesita la
integración con una herramienta forense.
configuración avanzada que tiene consecuencias
amplias.
póngase en contacto con el departamento de apoyo al
cliente para analizar las necesidades específicas de su
entorno. Reinicie el servicio de Compatibility Server
después de modificar este valor.
Además de esta configuración, cree o modifique el
parámetro de registro de la computadora con Windows
de la siguiente manera:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield
AllowNonDomainActivations=REG_DWORD:1
ANTES
de habilitar esta configuración,
gkresource.xml
Se pueden cambiar los parámetros en <Directorio de instalación de Compatibility Server>\conf\gkresource.xml.
Recomendamos que indique la secuencia de los cambios realizados, mediante comentarios al comienzo del archivo. Eso le
permitirá trasladar de manera sencilla los cambios al nuevo archivo cuando haga una actualización.
NOTA: El archivo gkresource.xml debe ser un archivo XML de formato correcto. Si no está familiarizado con los archivos XML, Dell
recomienda que no intente modificar este archivo. Asegúrese de utilizar referencias a entidades cuando corresponda, en vez de
caracteres especiales no precedidos por una secuencia de escape.
Todo cambio al archivo de recursos de Gatekeeper debe ser aprobado por un Administrador del Sistema antes de su implementación.
Habilitar el formato dominio/nombre de usuario
Agregue la siguiente cadena para habilitar (o deshabilitar) el formato dominio\nombre de usuario. El formato queda
deshabilitado si la cadena no existe en el archivo. También se puede configurar el valor a "0" para deshabilitarlo.
1
Vaya a <Directorio de instalación de Compatibility Server>\conf.
2
Abra el archivo gkresource.xml con un editor de archivos .xml.
3
Agregue la cadena:
<string name="EnableGKProbeMultiDomainSupport">1</string>
4
Haga clic en Guardar y cierre el archivo.
Guía de configuración 11
Page 12
run-service.conf
Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de
Compatibility Server>\conf\run-service.conf. Estos parámetros se configuran automáticamente durante la instalación.
Para personalizar o cambiar la configuración de cualquier servicio:
1
Detenga el servicio.
2
Quite el servicio.
3
Modifique y guarde el archivo
mediante comentarios al comienzo del archivo.
4
Vuelva a instalar el servicio.
5
Arranque el servicio.
Parámetro Valor predeterminado Descripción
JAVA_HOME Dell\Java Runtime\jreX.x Ubicación del directorio de instalación de
wrapper.java.additional.5 n/a La dirección MAC indicada en este renglón
wrapper.ntservice.name EpmCompatSvr Nombre del servicio.
wrapper.ntservice.displayname Dell Compatibility Server Nombre para mostrar del servicio.
wrapper.ntservice.description Enterprise Compatibility Server Descripción del servicio.
wrapper.ntservice.dependency.1 Dependencias del servicio. Agregue las
wrapper.ntservice.starttype AUTO_START Modo en el que el servicio está instalado:
wrapper.ntservice.interactive false Cuando se configura a "true"
run-service.conf
. Recomendamos que indique la secuencia de los cambios realizados,
run-service.conf
Jav
a.
es la dirección MAC de la tarjeta de la red
local.
Si el servidor tiene varias tarjetas de red, o si
desea enlazar a
tarjeta principal del sistema, escriba aquí la
dirección MAC de la tarjeta deseada, sin
guiones.
dependencias del servicio, según sea
necesario, a partir de 1.
AUTO_START o bien DEMAND_START.
puede interactuar con el escritorio.
una tarjeta distinta de la
, el servicio
12 Guía de configuración
Page 13
2
Configuración de Core Server
Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Core Server de núcleo a su
sistema.
En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las
etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de
modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Core Server.
Cambio del arbitraje de políticas, de La más segura a La menos segura
PolicyService.config
Modifique este parámetro para cambiar el arbitraje de políticas, de "la más segura" a "la menos segura". Cambie la
configuración en <Directorio de instalación de Core Server>\PolicyService.config. Si Core Server está en ejecución, se
debe detener el servicio, modificar el archivo PolicyService.config y luego reiniciar el servicio, para que los cambios
realizados al archivo tengan efecto.
Recomendamos que indique la secuencia de los cambios realizados, mediante comentarios al comienzo del archivo. Eso le
permitirá trasladar de manera sencilla los cambios al nuevo archivo PolicyServiceConfig.xml cuando haga una actualización.
Modifique la siguiente sección:
<!-- Web Service Targets -->
<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation">
<property name="TemplateDataAccess" ref="TemplateDataAccess"/>
<property name="PolicyDataAccess" ref="PolicyDataAccess"/>
<property name="SupportDataAccess" ref="SupportDataAccess"/>
<property name="AuditLog" ref="ServiceAuditLog"/>
<property name="GlobalArbitrationBias" value="1" />
La menos segura]
</object>
[Cambie este valor de “0” a “1” para configurar a la opción
Deshabilitar los servicios web
NOTA: Esta es una configuración avanzada que solo debe modificarse con la guía del departamento de apoyo técnico al cliente.
Para deshabilitar los servicios web en Core Server (por ejemplo, si se cuenta con una segunda instalación de Core Server
que solo realiza el procesamiento de inventarios), modifique los parámetros de configuración en:
<Directorio de instalación de Core Server>\
Credant.Server2.WindowsService.exe.Config
y
<Directorio de instalación de Core Server>\Spring.config
Si Core Server está en ejecución, se debe detener el servicio, modificar los parámetros de configuración de estos dos
archivos y luego reiniciar el servicio, para que los cambios realizados al archivo tengan efecto.
Guía de configuración 13
Page 14
Credant.Server2.WindowsService.exe.Config
Elimine la siguiente sección:
<!-- Web Services Configuration -->
<system.serviceModel>
<services configSource="Services.config"/>
<behaviors configSource="Behaviors.config"/>
<bindings configSource="Bindings.config"/>
</system.serviceModel>
Spring.config
Elimine lo siguiente:
Elimine todas las definiciones <object> </object> en los encabezados de AOP Advice, Web Service Target Definition y
Web Service Host Definition.
Habilitación del servidor SMTP para el envío de notificaciones de licencia por correo electrónico
Si se utiliza Dell Data Protection | Cloud Edition, estos parámetros de configuración se automatizan usando la
herramienta de configuración del servidor. Utilice este procedimiento si necesita habilitar el servidor SMTP para el envío
de notificaciones de licencia por correo electrónico por otros motivos no relacionados con Dell Data Protection | Cloud
Edition.
NotificationObjects.config
Para configurar su servidor SMTP para el envío de notificaciones de licencia por correo electrónico, modifique el archivo
NotificationObjects.config que se encuentra en el <Directorio de instalación de Core Server>.
Modifique lo siguiente:
<object name="EmailNotification" singleton="false" type="Credant.Notification.EmailNotification,
Credant.Notification"> [
<property name="NotificationDataFactory" ref="NotificationDataFactory"/> [
<property name="Host" value="test.dell.com"/>
<property name="Port" value="25"/>
<property name="Username" value="username"/>
<property name="Password" value="${SmtpPassword}"/> [
<property name="Logger" ref="NotificationLogger"/> [
</object>
No cambie este valor
]
No cambie este valor
No cambie este valor
No cambie este valor
]
]
]
Notification.config
Si su servidor de correo electrónico requiere de autenticación, modifique el archivo Notification.config que se encuentra
en el <Directorio de instalación de Core Server>.
Modifique lo siguiente:
<notification>
<add key="SmtpPassword" value="your_email_server_password"/>
</notification>
14 Guía de configuración
Page 15
Agregar la ubicación de la carpeta de Compatibility Server al archivo de configuración de Core Server
Dado que Core Server es una aplicación .Net, el acceso a la información de registro puede bloquearse en ocasiones, a causa
de los permisos. El problema es que, para que Core Server pueda leer secretkeystore (la clave de encriptación de la base de
datos), necesita acceso a la información de la configuración de registro de Compatibility Server para encontrar la ubicación
de secretkeystore. Si los permisos del registro bloquean este acceso, Core Server no puede autenticar a los usuarios de la
consola. Esta configuración agrega la ubicación de la carpeta de Compatibility Server a la carpeta de configuración de Core
Server en caso de problemas de acceso al registro.
1
Navegue hasta el <Directorio de instalación de Core Server>\EntityDataAccessObjects.config.
2
Cambie el siguiente elemento en
<object id="DomainDataAccess" singleton="false" type="Credant.Entity.DataAccess.DomainDataAccess,
Credant.Entity.DataAccess">
<property name="Logger" ref="DataAccessLogger"/>
<!--<property name="CompatibilityServerPath" value="PATH_TO_COMPATIBILITY_SERVER"/> -->
Quite la marca de comentario de esta línea y establezca la ruta de acceso completa a Compatibility Server
</object>
3
Haga clic en Guardar y cierre el archivo.
4
Reinicie los servicios de Core Server y Compatibility Server.
negrita
:
.
Permitir que Core Server utilice un proceso de iteración para los métodos de autenticación
El controlador de dominio puede bloquear los intentos de autenticación de Core Server debido a políticas configuradas en
los métodos de autenticación permitidos. La mejora se realizó para implementar un “interruptor” en el archivo de
configuración de Core Server para permitir que Core Server repita (iteración) diversos métodos de autenticación, en un
intento por encontrar uno que funcione.
1
Navegue hasta el <Directorio de instalación de Core Server>\Spring.config.
2
Cambie el siguiente elemento en
<object id="DomainCache" singleton="true" type="Credant.Authorization.DomainCache.DomainCache,
Credant.Authorization.DomainCache">
<!-- Change this logger? -->
<property name="Logger" ref="DataAccessLogger" />
<property name="DomainDataAccess" ref="DomainDataAccess" />
<property name="RefreshFrequency" value="300" />
<property name="TryAllAuthTypes" value="false" />
<!-- Used to change the AuthType per domain: key is domain's CID and value is the
System.DirectoryServices.AuthenticationTypes value
<property name="DomainAuthType">
<dictionary key-type="string" value-type="int" >
<entry key="5A23TPM2" value="0" />
</dictionary>
</property>
-->
</object>
negrita
:
Cambie este valor a “true” para habilitar esta función.
Guía de configuración 15
Page 16
3
Haga clic en Guardar y cierre el archivo.
4
Reinicie el servicio de Core Server.
16 Guía de configuración
Page 17
3
Configuración de Device Server
Este capítulo explica en detalle los parámetros que se pueden modificar para ajustar el servidor Device Server de
dispositivos a su sistema.
En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las
etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de
modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Device Server.
eserver.properties
Se pueden cambiar los siguientes parámetros en <Directorio de instalación de Device Server>\conf\eserver.properties.
Recomendamos que indique la secuencia de los cambios realizados, mediante comentarios al comienzo del archivo. Eso le
permitirá trasladar de manera sencilla los cambios al nuevo archivo cuando haga una actualización.
eserver.properties
Parámetro Valor predeterminado Descripción
eserver.default.host Servicio Device Server El FQDN de la ubicación en la que está
instalado Device Server.
eserver.default.port Enterprise Server v7.7 o posterior: 8443
Enterprise Server anterior a v7.7: 8081
eserver.use.ssl Tr u e Los protocolos SSL están habilitados como
eserver.keystore.location ${context['server.home']}/conf/cacerts La ubicación del certificado SSL que utiliza
eserver.keystore.password changeit Este parámetro se modifica cuando se
El puerto en el que Device Server estará
atento a solicitudes entrantes de activación
provenientes de los dispositivos.
opción predeterminada. Para deshabilitar
SSL, cambie el valor de este parámetro a
"False".
Device Server.
modifica la contraseña de cacerts mediante
la herramienta de configuración. Si se
modifica el cacert del sistema mediante la
herramienta de configuración en algún
momento después de la configuración
inicial, actualice este parámetro con la
contraseña Keystore que usted utiliza.
Guía de configuración 17
Page 18
eserver.properties
Parámetro Valor predeterminado Descripción
eserver.ciphers Configura la lista de algoritmos de
encripta
uno de los algoritmos. Si se deja vacío, el
socket sólo permitirá los algoritmos
compatibles con Tomcat.
Quite la marca de comentario en el ejemplo
a continu
algoritmos de encriptación. Coloque una
coma entre cada uno de los algoritmos.
Consulte la guía de referencia de JSSE de
Sun para conocer la lista de nombres válidos
de los paquetes de algoritmos de
encriptación.
#eserver.ciphers=
SSL_R
A_WITH_RC4_128_SHA,SSL_DHE_RSA
_WITH_3DES_EDE_CBC_SHA
ción. Coloque una coma entre cada
ación para configurar la lista de
SA_WITH_RC4_128_MD5,SSL_RS
run-service.conf
Se pueden cambiar algunos de los parámetros indicados a continuación, en el archivo <Directorio de instalación de
Device Server>\conf\run-service.conf. Estos parámetros se configuran automáticamente durante la instalación. Para
personalizar o cambiar la configuración de cualquier servicio:
1
Detenga el servicio.
2
Quite el servicio.
3
Modifique y guarde el archivo
mediante comentarios al comienzo del archivo.
4
Vuelva a instalar el servicio.
5
Arranque el servicio.
run-service.conf
. Recomendamos que indique la secuencia de los cambios realizados,
run-service.conf
Parámetro Valor predeterminado Descripción
JAVA_HOME Dell\Java Runtime\jreX.x Ubicación del directorio de instalación de
Jav
a.
wrapper.ntservice.name EpmDeviceSvr Nombre del servicio.
wrapper.ntservice.displayname Dell Device Server Nombre para mostrar del servicio.
wrapper.ntservice.description Enterprise Device Server Descripción del servicio.
wrapper.ntservice.dependency.1 Dependencias del servicio. Agregue las
dependencias del
necesario, a partir de 1.
wrapper.ntservice.starttype AUTO_START Modo en el que el servicio está instalado:
UTO_START o bien DEMAND_START.
A
wrapper.ntservice.interactive false Cuando se configura a "true"
puede interactuar con el escritorio.
servicio, según sea
, el servicio
18 Guía de configuración
Page 19
4
Configuración de Security Server
Este capítulo explica en detalle los parámetros que se pueden modificar a fin de ajustar el servidor Security Server a su
sistema.
En estos archivos cambie solo parámetros documentados. Si se cambia algún otro dato de estos archivos, incluso las
etiquetas, el sistema podría dañarse y presentar fallas. Dell no puede garantizar que los problemas derivados de
modificaciones no autorizadas de estos archivos se puedan resolver sin reinstalar Security Server.
context.properties
Se pueden cambiar los siguientes parámetros en <Directorio de instalación de Security
Server>\webapps\xapi\WEB-INF\context.properties.
Recomendamos que indique la secuencia de los cambios realizados, mediante comentarios al comienzo del archivo. Eso le
permitirá trasladar de manera sencilla los cambios al nuevo archivo cuando haga una actualización.
context.properties
Parámetro Valor predeterminado Descripción
default.gatekeeper.group.remote CMGREMOTE Nombre del grupo remoto del dispositivo.
Evite modificarlo.
xmlrpc.max.threads 250 Cantidad máxima de subprocesos
simultáneos en este Device Server.
default.auth.upn.suffix El sufijo UPN que se añade al nombre del
usuario a fin de iniciar una sesión, si el
servidor requiere de un nombre completo y
la solicitud no lo incluye.
device.manual.auth.enable true Indica si las autenticaciones manuales están
habilitadas o deshabitadas. Evite
modificarlo.
service.activation.enable true Indica si el servidor Device Server maneja
las activaciones. Evite modificarlo.
service.policy.enable true Indica si la política está habilitada o
deshabitada. Evite modificarlo.
service.auth.enable true Indica si el servidor Device Server maneja
las autenticaciones.
service.forensic.enable true Esta configuración se utiliza con los
complementos de integración forense.
Comuníquese con el departamento de
apoyo técnico de Dell si necesita la
integración con una herramienta forense.
service.support.enable true Habilita la recuperación de
metainformación del servidor.
Guía de configuración 19
Page 20
context.properties
Parámetro Valor predeterminado Descripción
service.device.enable true Habilita la compatibilidad con servicios
Shield tales como el almacenamiento de
claves SDE.
20 Guía de configuración
Page 21
5
Configuración de las funciones de encriptación
Esta sección explica cómo se puede controlar de manera independiente las funciones de encriptación.
Prevención de la eliminación de archivos temporales
Como opción predeterminada, todos los archivos temporales que se encuentren en el directorio c:\windows\temp serán
eliminados automáticamente al hacer instalaciones y actualizaciones de DDPE. La eliminación de los archivos temporales
agiliza la encriptación inicial, y se realiza antes del barrido inicial de encriptación.
No obstante, si en su sistema se utilizan aplicaciones de terceros que requieren que se conserve la estructura de archivos
contenida en el directorio \temp, no se debe realizar dicha eliminación.
Para deshabilitar la eliminación de archivos temporales, cree o modifique la configuración de registro de la siguiente manera:
HKLM\SOFTWARE\CREDANT\CMGShield
DeleteTempFiles (REG_DWORD)=0
Tome en cuenta que si no se eliminan los archivos temporales aumentará la duración de la encriptación inicial.
Ocultar iconos superpuestos
Como opción predeterminada, durante la instalación todos los iconos de encriptado superpuestos están configurados para
mostrarse. Utilice los siguientes parámetros de registro para ocultar los iconos de encriptado superpuestos para todos los
usuarios administrados en una computadora después de la instalación original.
Cree o modifique las siguientes configuraciones de registro:
HKLM\Software\CREDANT\CMGShield
HideOverlayIcons (DWORD value)=1
Si un usuario (con los privilegios apropiados) decide mostrar los iconos de encriptado superpuestos, esa configuración
anulará este valor del registro.
Ocultar el icono de la bandeja del sistema
De forma predeterminada, durante la instalación se muestra el icono de la bandeja del sistema. Utilice los siguientes
parámetros de registro para ocultar el icono de la bandeja del sistema para todos los usuarios administrados en una
computadora después de la instalación original.
Cree o modifique las siguientes configuraciones de registro:
HKLM\Software\CREDANT\CMGShield
HIDESYSTRAYICON (DWORD value)=1
Activación escalonada
La Activación escalonada es una función que permite repartir las activaciones de Shield a lo largo de un período
determinado de tiempo, a fin de reducir las cargas sobre el servidor al realizar implementaciones masivas. Las activaciones
se retrasan con base en escalones de tiempo generados algorítmicamente, a fin de permitir una distribución homogénea de
los lapsos de activación.
Guía de configuración 21
Page 22
La Activación escalonada se habilita y configura a través del instalador de Shield, y a través de la estación de trabajo de Shield.
En el caso de usuarios que requieran de activación a través de redes VPN, podría ser necesaria una configuración de
Activación escalonada de Shield, a fin de retrasar la activación inicial durante el lapso necesario que permita que el
software cliente de la VPN establezca una conexión de red.
PRECAUCIÓN: Configure la Activación escalonada sólo con la asistencia del departamento de apoyo técnico al cliente. Si el
escalonamiento de tiempo se configura de manera incorrecta, es posible que una gran cantidad de clientes intenten la
activación de forma simultánea, lo que puede generar problemas graves de rendimiento.
En la configuración de la Activación escalonada se utilizan las siguientes claves de registro. Todo cambio a estas claves de
registro requieren del reinicio de la estación de trabajo de Shield para que las actualizaciones tengan efecto.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation
Esta configuración habilita o deshabilita la función de Activación escalonada.
Deshabilitada=0 (predeterminado)
Habilitada=1
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot
El lapso de tiempo, en segundos, en que ocurrirá el intervalo entre escalones de la activación. Se puede utilizar esta
propiedad a fin de reemplazar el período de tiempo, en segundos, durante el que ocurre el intervalo entre escalones de la
activación. Están disponibles 25200 segundos para las activaciones escalonadas, durante un período de siete horas. La
configuración predeterminada es de 86400 segundos, lo que representa una repetición diaria.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals
El intervalo dentro de la repetición, ACTIVATION_SLOT_CALREPEAT, en el que se producen todos los escalones de
tiempo de activación. Sólo se permite un intervalo. El valor de esa configuración debe ser de "0",<CalRepeat>. Toda
desviación del valor 0 podría arrojar resultados inesperados. La configuración predeterminada es 0,86400. Para configurar
una repetición de siete horas, utilice la configuración 0,25200. CALREPEAT se activa cuando un usuario de Shield inicia
una sesión.
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold
La cantidad de escalones de activación que pueden ser omitidos antes de que la computadora intente hacer la activación,
durante el siguiente inicio de sesión del usuario cuya activación haya sido escalonada. Si la activación no se realiza
durante ese intento inmediato, Shield reinicia los intentos de Activación escalonada. Si la activación no se realiza debido
a una falla en la red, se intentará la activación al reconectarse la red, aunque no se haya superado el valor del parámetro
MISSTHRESHOLD. Si un usuario cierra su sesión antes de haberse alcanzado el lapso del escalón de activación, se
asigna un nuevo escalón cuando el usuario inicie una nueva sesión.
• HKCU/Software/CREDANT/ActivationSlot (según la información de usuario)
El tiempo diferido en el que se intentará la Activación escalonada, que se configura cuando el usuario inicia una sesión
en la red por primera vez después de haberse habilitado la Activación escalonada. El escalón de activación se vuelve a
calcular después de cada uno de los intentos de activación.
• HKCU/Software/CREDANT/SlotAttemptCount (según la información de usuario)
La cantidad de intentos fallidos u omitidos, cuando se llega al escalón de tiempo y se intenta la activación pero falla.
Cuando esa cifra alcanza el valor configurado en el parámetro ACTIVATION_SLOT_MISSTHRESHOLD, la
computadora intenta una activación inmediata al momento de la conexión a la red.
Para activar la Activación escalonada mediante la línea de comandos, utilice un comando similar al siguiente:
setup.exe /v"SLOTTEDACTIVATION=1 CALREPEAT=25200 SLOTINTERVALS=0,25200 <otros parámetros>"
NOTA: Asegúrese de incorporar un valor que contenga uno o más caracteres especiales, como un espacio, en comillas no precedidas por
una secuencia de escape.
22 Guía de configuración
Page 23
Sondeo forzado
Utilice la configuración de registro a continuación para que Shield sondee al servidor para una actualización forzada de
política.
Cree o modifique las siguientes configuraciones de registro:
HKLM\SOFTWARE\Credant\CMGShield\Notify
PingProxy (DWORD value)=1
Según la versión de Shield, la configuración de registro desaparecerá automáticamente o se modificará de 1 a 0 una vez
que el sondeo esté terminado.
Según el conjunto de permisos de un usuario administrador, podría necesitarse realizar una modificación en los permisos
para crear este parámetro de configuración de registro. Si surgen problemas al intentar crear un DWORD nuevo, siga los
pasos que se detallan a continuación para realizar la modificación de permisos.
1
En el registro de Windows vaya a HKLM\SOFTWARE\Credant\CMGShield\Notify.
2
Haga clic con el botón derecho en
3
Una vez que se abre la ventana
4
Haga clic en
Ya puede crear su nueva configuración de registro.
Aceptar
.
Notificar
>
Permisos
Permiso para notificar
.
, seleccione la casilla de
Control total
.
Opciones de inventario
Utilice los siguientes parámetros de registro para permitir que Shield envíe un inventario optimizado al servidor, envíe un
inventario completo al servidor o envíe un inventario completo para todos los usuarios activados al servidor.
Enviar inventario optimizado al servidor
Cree o modifique las siguientes configuraciones de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=1
Si no hay ninguna entrada, se envía el inventario optimizado al servidor.
Enviar inventario completo al servidor
Cree o modifique las siguientes configuraciones de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=0
Si no hay ninguna entrada, se envía el inventario optimizado al servidor.
Enviar inventario completo para todos los usuarios activados
Cree o modifique las siguientes configuraciones de registro:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
RefreshInventory (REG_DWORD)=1
Esta entrada se quita del registro tras ser procesada. El valor se guarda en el almacén, de forma que incluso si se reinicia la
computadora antes de que se cargue el inventario, Shield seguirá cumpliendo la solicitud en la próxima carga de inventario
satisfactoria.
Esta entrada tiene precedencia sobre el valor de registro OnlySendInvChanges.
Guía de configuración 23
Page 24
Activaciones fuera del dominio
Habilitar las activaciones fuera del dominio es una configuración avanzada que tiene consecuencias amplias. Póngase en
contacto con el departamento de apoyo al cliente para analizar las necesidades específicas de su entorno y obtener
instrucciones para activar esta función.
24 Guía de configuración
Page 25
6
Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos
Esta sección explica la manera de configurar los componentes a fin de utilizarlos con la autenticación/autorización
Kerberos.
Configuración de los componentes a fin de utilizarlos con la autenticación/autorización Kerberos
NOTA: Si se va a utilizar la autenticación/autorización Kerberos, entonces el servidor que contiene el componente servidor de claves (Key
Server) deberá formar parte del dominio afectado.
Key Server es un servicio que está atento a la conexión de clientes a sockets. Al conectarse un cliente, se negocia, autentica
y encripta una conexión segura, con el uso de las interfaces API de Kerberos (si no se puede negociar una conexión segura,
se desconecta al cliente).
Key Server comprueba con Device Server si el usuario que ejecuta el cliente tiene el permiso de acceso a las claves. Dicho
acceso se otorga a través de la consola de administración remota mediante dominios
Instrucciones del Servicio de Windows
1
Navegue hasta el panel del Servicio de Windows (Inicio > Ejecutar... > services.msc > Aceptar).
2
Haga clic con el botón de la derecha sobre Dell Key Server y seleccione
3
Vaya a la pestaña
4
En el campo
derechos de administrador local a la carpeta de Key Server (debe poder escribir en el archivo de configuración de Key
Server, y también escribir en el archivo log.txt).
5
Haga clic en
6
Reinicie el servicio (deje abierto el panel del Servicio de Windows para operaciones posteriores).
7
Navegue hasta <Directorio de instalación de Key Server> log.txt a fin de verificar que el servicio arrancó correctamente.
Iniciar sesión
Esta cuenta:
Aceptar
.
y seleccione el botón de opción
, agregue el usuario deseado de dominio. Este usuario de dominio debe tener al menos los
Esta cuenta:
Propiedades
.
individuales
.
.
Instrucciones del archivo de configuración de Key Server
1
Navegue hasta el <Directorio de instalación de Key Server>.
2
Abra Credant.KeyServer.exe.config con un editor de texto.
3
Vaya a <add key="user" value="superadmin" /> y cambie el valor de "superadmin" al nombre del usuario
correspondiente (también puede dejar el valor de "superadmin").
El formato "superadmin" puede ser cualquier método que pueda autenticarse con el servidor. El nombre de la cuenta del
SAM, el nombre UPN y también el formato "dominio/nombre de usuario" son aceptables. Todo método que pueda
autenticar con el servidor es aceptable, debido que se requiere la validación de
autorización con Active Directory.
esa
cuenta de usuario a fin de obtener la
Guía de configuración 25
Page 26
Por ejemplo, en un entorno multi-dominios, si sólo se coloca el nombre de la cuenta del SAM, "jdoe", probablemente
fallará porque el servidor no podrá autenticar "jdoe" ya que no puede encontrar "jdoe". En un entorno multi-dominios, se
recomienda el formato UPN, aunque el formato "dominio/nombre de usuario" también es aceptable.
En un entorno de dominio único, es aceptable el nombre de la cuenta del SAM.
4
Vaya a <add key="epw" value="<valor encriptado de la contraseña>" /> y cambie "epw" a "password". Luego cambie
"<valor encriptado de la contraseña>" a la contraseña del usuario según el Paso 3. El valor de la contraseña del usuario
será encriptado cuando se reinicie el servidor.
Si se utiliza "superadmin" en el paso 3, y la contraseña del superadministrador no es "changeit",se debe cambiar aquí.
5
Guarde los cambios y cierre el archivo.
Ejemplo de archivo de configuración:
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<appSettings>
<add key="port" value="8050" />
[El puerto TCP en el que el servidor estará atento. La opción predeterminada
es 8050, modifique de ser necesario.]
<add key="maxConnections" value="2000" />
[Máxima cantidad de conexiones activas al socket permitidas por
el servidor].
<add key="url" value="https://keyserver.domain.com:8081/xapi" />
[URL de Device Server. Si su Enterprise
Server es v7.7 o posterior, el formato es https://keyserver.domain.com:8443/xapi/ -- Si su Enterprise Server es
anterior a v7.7, el formato es https://keyserver.domain.com:8081/xapi (sin la barra diagonal al final)].
<add key="verifyCertificate" value="false" />
[El valor "true" verifica los certificados. Configure el valor en
"false" si desea omitir la verificación o si utiliza certificados de firma automática].
<add key="user" value="superadmin" />
[El nombre de usuario que se utiliza para comunicarse con el servidor
Device Server. Este usuario debe ser del tipo "Administrador forense", seleccionado en la consola de
administración remota. El formato "superadmin" puede ser cualquier método que pueda autenticarse con el
servidor. El nombre de la cuenta del SAM, el nombre UPN y también el formato "dominio/nombre de usuario" son
aceptables. Todo método que pueda autenticar con el servidor es aceptable, debido que se requiere la validación
de esa cuenta de usuario a fin de obtener la autorización con Active Directory. Por ejemplo, en un entorno
multi-dominios, si sólo se coloca el nombre de la cuenta del SAM, "jdoe", probablemente fallará porque el servidor
no podrá autenticar "jdoe" ya que no puede encontrar "jdoe". En un entorno multi-dominios, se recomienda el
formato UPN, aunque el formato "dominio/nombre de usuario" también es aceptable. En un entorno de dominio
único, es aceptable el nombre de la cuenta del SAM.]
<add key="cacheExpiration" value="30" />
[Qué tan a menudo (en segundos) el servicio debe comprobar
quiénes tienen permiso de pedir claves. El servicio mantiene una memoria caché y lleva el seguimiento de la
antigüedad. Una vez que la información en la caché tenga más antigüedad que el valor de este parámetro (en
segundos), obtiene una nueva lista. Al conectarse un usuario, Key Server debe descargar del Device Server la
información de los usuarios autorizados. Si no hay información de los usuarios en la caché, o si la lista no se ha
descargado en los últimos "x" segundos, se volverá a descargar. No se hace sondeo, sino que este valor configura
qué tan antigua puede llegar a ser la lista antes de que sea actualizada, cuando sea necesaria.]
<add key="epw" value="encrypted value of the password" />
[Contraseña que se utiliza para comunicarse con
Device Server. Si la contraseña "superadmin" fue cambiada, se debe cambiar aquí.]
</appSettings>
</configuration>
26 Guía de configuración
Page 27
Instrucciones del Servicio de Windows
1
Regrese al panel del Servicio de Windows.
2
Reinicie
3
Navegue hasta <Directorio de instalación de Key Server> log.txt a fin de verificar que el servicio arrancó correctamente.
4
Cierre el panel del Servicio de Windows.
el servicio Dell Key Server Service.
Instrucciones de la Consola de Administración Remota
1
De ser necesario, inicie una sesión en la Consola de Administración Remota.
2
Haga clic en
3
Haga clic en
4
En la lista de cuentas de Key Server, agregue al usuario que realizará las actividades de Administrador. El formato es
dominio\nombre de usuario. Haga clic en
5
Haga clic en
en el Paso 4. Haga clic en
6
Una vez que haya encontrado el usuario correcto, haga clic en el icono
7
Seleccione
Los componentes estarán ya configurados para la autenticación/autorización Kerberos.
Dominios
Key Server
Usuarios
Administrador forense
y luego en el icono
.
en el menú a la izquierda. En la casilla de búsqueda, escriba el nombre de usuario que fue agregado
Buscar
Agregar cuenta
.
. Haga clic en
Detalle
Actualizar
.
.
Detalle
.
.
Guía de configuración 27
Page 28
28 Guía de configuración
Page 29
7
Asignar función de administrador forense
De forma predeterminada, la autorización forense está habilitada en los servidores de base de datos y deshabilitada en los
servidores de aplicaciones. Estas configuraciones se establecen apropiadamente al momento de la instalación tanto de
Device Server como de Security Server.
Instrucciones de la Consola de Administración Remota
1
De ser necesario, inicie una sesión en la Consola de Administración Remota.
2
En el panel izquierdo, haga clic en
3
En la página de
administrador forense, y luego haga clic en
las utilidades CMGAd, CMGAu, CMGAlu, y durante la ejecución del agente Decryption Agent en el modo Forense).
4
En la página
5
En la página
6
En la columna "Usuario", marque
La función del administrador forense ya está configurada.
Búsqueda de usuarios
Resultados de la búsqueda de usuarios
Detalles de usuario de: <Nombre de usuario>
Deshabilitar autorización forense
Controlar
Administrador forense
>
Usuarios
, introduzca el nombre del usuario al que quiere asignar la función de
Buscar
.
(las credenciales de este usuario se suministran durante la ejecución de
, haga clic en el icono
, seleccione
, y haga clic en
Detalle
Admin
.
Actualizar
.
.
1
En su servidor de base de datos, vaya a <Directorio de instalación de
Server>\webapps\xapi\WEB-INF\context.properties
service.forensic.enable=true
a
service.forensic.enable=false
2
Reinicie
3
Navegue hasta
siguiente
<init-param>
<param-name>forensic</param-name>
<param-value>
</init-param>
4
Reinicie
5
La práctica recomendada es eliminar la función de administrador forense de cualquier usuario que no utilice activamente
los permisos que otorga la función.
el servicio del Servidor de Seguridad.
<Directorio de instalación de Device Server>\webapps\ROOT\WEB-INF\web.xml
:
@FORENSIC_DISABLE@
el servicio de Device Server.
</param-value>
y cambie la siguiente propiedad:
Security
y m
odifique lo
Guía de configuración 29
Page 30
30 Guía de configuración
Page 31
8
Expresiones cron
Esta sección explica la manera de utilizar los formatos y los caracteres especiales de las expresiones cron.
Introducción a las expresiones cron
La herramienta cron es una herramienta de UNIX que ha estado en uso durante mucho tiempo, de modo que sus
capacidades de planificación en el tiempo son poderosas y están demostradas. La clase CronTrigger se basa en las
capacidades de planificación en el tiempo de cron.
CronTrigger utiliza expresiones cron, con las que
viernes" o "la 1:30 am todos los últimos viernes del mes".
Las expresiones cron son muy poderosas pero también pueden ser
de los misterios de la creación de expresiones cron, lo que le da un recurso que puede utilizar antes de buscar ayuda de
otros.
Formatos de las expresiones cron
Las expresiones cron constan de 6 campos obligatorios y de 1 campo opcional, separados por espacios en blanco.
Los campos pueden contener cualquiera de los valor
especiales permitidos para cada campo en particular.
Las expresiones cron puede ser tan sencillas como****?*.
O más complicadas, como 00/51
La descripción de los cam
pos es como sigue.
4,18,3-39,52? JAN,MAR,SEP MON-FRI 2002-2010.
se puede crear cronogramas de activación, del estilo "8:00 am de lunes a
muy confusas. Este documento busca eliminar algunos
es permitidos, junto con diversas combinaciones de los caracteres
Nombre del campo ¿Obligatorio? Valores permitidos Caracteres especiales
permitidos
Minutos Sí 0-59 , - * /
Horas Sí 0-23 , - * /
Día del mes Sí 1-31 , - * ? / L W C
Mes Sí 1-12 o bien JAN-DEC , - * /
Día de la semana Sí 1-7 o bien SUN-SAT , - * ? / L C #
Año No Vacío, 1970-2099 , - * /
Caracteres especiales
• El caracter "*" se utiliza para especificar todos los valores. Por ejemplo, "*" en el campo de minutos significa todos los
minutos.
• El caracter "?" (sin valor especificado) es útil cuando se quier
permite el uso de dicho caracter, pero no en el otro. Por ejemplo, para desencadenar una activación en un día particular
del mes (el día 10), sin importar qué día de la semana sea la fecha, coloque "10" en el campo del día del mes y "?" en el
campo del día de la semana.
e especificar algo en alguno de los dos campos en los que se
Guía de configuración 31
Page 32
• El caracter "-" se utiliza para especificar intervalos. Por ejemplo, "10-12" en el campo de horas significa las horas 10,
11 y 12.
• El caracter "," se utiliza para especificar valores adicionales. Por ejemplo, MON,WED,FRI en el campo del día de la
semana significa los días lunes, miércoles y viernes.
• El caracter "/" se utiliza para especificar incrementos.
"0/15" en el campo de segundos significa los segundos 0, 15, 30 y 45.
"5/15" en el campo de segundos significa los segundos 5, 20, 35 y 50.
Colocar "*" antes de "/" equivale a especificar "0" como el valor inicial.
"1/3" en el campo del día del mes significa activar cada 3 días a partir del primer día del mes.
En pocas palabras, existe un conjunto de números para cada uno de los campos de la expresión que se pueden poner en
uso y en desuso. Para segundos y minutos, los números van de 0 a 59; para las horas, de 0 a 23; para los días del mes, de 0
a 31; y para los meses, de 1 a 12. El caracter / simplemente le ayuda a activar cada valor ordinal (nº) en un conjunto dado.
De ese modo, "7/6" en el campo del mes sólo activa los meses 7, no significa cada 6º mes.
• El caracter "L" es un caracter permitido en los campos de día del mes y de día de la semana. El significado de este carácter
es "último" (last), pero tiene un significado diferente en cada uno de los dos campos.
El valor "L" en el campo del día del mes significa el último día del mes (el día 31 del mes de enero, el día 28 del mes de
febrero en los años no bisiestos, etc).
Si se utiliza por sí solo en el campo del día de la semana, significa 7 o SAT (sábado).
Si se utiliza en el campo del día de la semana después de otro valor, significa el último día XXX del mes. Por ejemplo, "6L"
significa el último viernes del mes. Cuando se utiliza la opción "L", es importante que no se especifique listas ni
intervalos de valores, ya que los resultados obtenidos serán confusos.
• El caracter "W" es un caracter permitido en el campo del día del mes. Este caracter se utiliza para especificar el día de la
semana (lunes-viernes) más cercano al día dado. Por ejemplo, si se coloca "15W" en el campo del día del mes, significa el
día de la semana (lunes-viernes) más cercano al día 15 del mes. De modo que si el día 15 es un sábado, el desencadenador
se activará el día viernes 14. Si el día 15 es un domingo, el desencadenador se activará el día lunes 16. Si el día 15 es un
martes, el desencadenador se activará el día martes 15. No obstante, si se especifica "1W" como el valor del campo del día
del mes, y el día 1º es un sábado, el desencadenador se activará el lunes 3, ya que no 'saltará' la demarcación de los días de
un mes. El caracter "W" sólo se puede utilizar cuando el día del mes sea un día único, no un intervalo ni una lista de días.
Los caracteres "L" y "W" también se pueden combinar en las expresiones del día del mes, para crear la expresión "LW"
que significa el último día de la semana (lunes-viernes) del mes.
• El caracter "#" es un caracter permitido en el campo del día de la semana. Este caracter se utiliza para especificar el ‘nº’
día XXX del mes. Por ejemplo, la expresión "6#3" en el campo del día de la semana significa el tercer viernes del mes (día
6 = viernes, y #3 = el 3º del mes).
Ejemplos adicionales:
2#1 = el primer lunes del mes
4#5 = el quinto miércoles del mes.
Tome en cuenta que si coloca "#5" y no hay un día 5º del día dado en ese mes, no se producirá la activación en dicho
mes.
32 Guía de configuración
Page 33
• El caracter "C" se utiliza en expresiones de calendario. Al utilizar este caracter se indica que los valores se calculan en
relación al calendario asociado, si existe. Si no existe un calendario asociado, entonces es equivalente a tener un
calendario total. Por ejemplo, la expresión "5C" en el campo del día del mes significa el primer día incluido en el
calendario que caiga en la fecha 5 del mes o con posterioridad a dicha fecha. Por ejemplo, la expresión "1C" en el campo
de la semana del mes significa el primer día incluido en el calendario que caiga en domingo o después de un domingo.
NOTA: La compatibilidad para especificar valores tanto del día de la semana como del día del mes todavía no está finalizada. En dichos
campos, utilice el caracter "?". La compatibilidad de las funciones asociadas al caracter "C" todavía no está finalizada. Los caracteres
permitidos y los nombres de los meses y los días no distinguen entre mayúsculas y minúsculas. "MON" es lo mismo que "mon". Preste
atención a los efectos de ? y * en los campos de día de la semana y día del mes.
Tenga cuidado cuando establezca las horas de disparo entre la medianoche y
causar saltos (o repeticiones) en función de si la hora se atrasa o si adelanta.
la 1:00 de la mañana. Los horarios de verano pueden
Ejemplos
Expresión Significado
0 0 12 * * ? Activar a las 12 pm (mediodía) todos los días
0 15 10 ? * * Activar a las 10:15 am todos los días
0 15 10 * * ? Activar a las 10:15 am todos los días
0 15 10 * * ? * Activar a las 10:15 am todos los días
0 15 10 * * ? 2005 Activar a las 10:15 am todos los días durante el año 2005
0 * 14 * * ? Activar cada minuto a partir de las 2 pm hasta las 2:59 pm, todos
s días
lo
0 0/5 14 * * ? Activar cada 5 minutos a partir de las 2 pm hasta las 2:55 pm, todos
los días
0 0/5 14,18 * * ? Activar cada 5 minutos a partir de las 2 pm hasta las 2:55 pm, Y
activar cada 5 minutos a partir de las 6 pm hasta las 6:55 pm, todos
los días
0 0-5 14 * * ? Activar cada minuto a partir de las 2 pm hasta las 2:05 pm, todos
s días
lo
0 10,44 14 ? 3 WED Activar a las 2:10 pm y a las 2:44 pm todos los miércoles del mes de
marzo.
0 15 10 ? * MON-FRI Activar a las 10:15 am todos los lunes, martes, miércoles, jueves y
viernes
0 15 10 15 * ? Activar a las 10:15 am el día 15 de cada mes
0 15 10 L * ? Activar a las 10:15 am el último día de cada mes
0 15 10 ? * 6L Activar a las 10:15 am el último viernes de cada mes
0 15 10 ? * 6L Activar a las 10:15 am el último viernes de cada mes
0 15 10 ? * 6L 2002-2005 Activar a las 10:15 am todos los últimos viernes de cada mes
durante los
0 15 10 ? * 6#3 Activar a las 10:15 am el tercer viernes de cada mes
0 0 12 1/5 * ? Activar a las 12 pm (mediodía) cada 5 días todos los meses, a partir
del primer día del mes.
0 11 11 11 11 ? Activar todos los días 11 de noviembre a las 11:11 am.
años 2002, 2003, 2004 y 2005
Guía de configuración 33
Page 34
34 Guía de configuración
Page 35
9
Creación de un certificado autofirmado con Keytool y generación de una solicitud de firma de certificado
NOTA: Esta sección explica los pasos necesarios para crear un certificado autofirmado para componentes basados en Java. Este proceso
no puede usarse
para crear un certificado autofirmado en componentes basados en.NET.
Recomendamos los certificados autofirmados
Si su organización exige un certificado de servidor SSL, o si necesita crear un certificado por cualquier otro motivo, esta
sección describe el proceso para crear un keystore de java usando la herramienta Keytool.
Keytool crea claves privadas que se transmiten en un formato de Solicitud de firma de certificado (CSR) a una Autoridad
de certificación (CA), como puede ser VeriSign® o Entrust®. La CA, basada en esta CSR, crea y firma un certificado de
servidor. El certificado de servidor se descarga entonces a un archivo, junto con el certificado de la autoridad de firma. Los
certificados se importan luego al archivo cacerts.
solamente
en entornos que no sean de producción.
Generación de un nuevo par de claves y un certificado autofirmado
1
Vaya has ta e l di rect ori o
2
Realice una copia de seguridad de la base de datos de certificados predeterminada:
Haga clic en
3
Agregue Keytool a la ruta del sistema. Escriba el siguiente comando en la línea de comandos:
set path=%path%;%dell_java_home%\bin
4
Para generar un certificado, ejecute Keytool como se muestra:
keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias dell -keystore
.\cacerts
5
Introduzca la siguiente información cuando Keytool se la solicite.
NOTA: Haga una copia de seguridad de los archivos de configuración antes de modificarlos. Cambie únicamente los parámetros
especificados. Si se cambia algún otro dato de estos archivos, incluso las etiquetas, el sistema podría dañarse y presentar fallas. Dell
no puede garantizar que los problemas derivados de modificaciones no autorizadas de estos archivos se puedan resolver sin
reinstalar Enterprise Server.
•
Contraseña de keystore:
en el archivo de componente
<Directorio de instalación de Compliance Reporter>\conf\eserver.properties. Configure el valor
eserver.keystore.password =
Inicio
>
Ejecutar
conf
de Compliance Reporter, Console Web Services, Device Server, o Gatekeeper Web Services.
, y escriba
Ingrese una contraseña (los caracteres no compatibles son <>;&” ’), y configure la variable
move cacerts cacerts.old
conf
al mismo valor, como se muestra:
.
<Directorio de instalación de Console Web Services>\conf\eserver.properties. Configure el valor
eserver.keystore.password =
<Directorio de instalación de Device Server>\conf\eserver.properties. Configure el valor eserver.keystore.password =
Guía de configuración 35
Page 36
•
Nombre completo:
está trabajando. Este nombre completo incluye el nombre de host y el nombre de dominio (ejemplo:
server.dell.com).
•
Unidad organizacional:
•
Organización:
•
Ciudad o localidad:
•
Estado o provincia:
• Código de dos letras del país:
Estados Unidos = US
Canadá = CA
Suiza = CH
Alemania = DE
España = ES
Francia = FR
Gran Bretaña = GB
Irlanda = IE
Italia = IT
Países Bajos = NL
Introduzca el nombre completo del servidor en el que está instalado el componente con el que
Introduzca el valor apropiado (ejemplo: Seguridad).
Introduzca el valor apropiado (ejemplo: Dell).
Introduzca el valor apropiado (ejemplo: Austin).
Introduzca el nombre de la provincia o el estado sin abreviar (ejemplo: Texas).
• La utilidad solicita la confirmación de que la información es correcta. De ser así, escriba
Si no lo es, escriba no. Keytool muestra cada valor ingresado previamente. Haga clic en
cambie el valor y haga clic en
•
Contraseña clave para alias:
Keystore.
Intro
.
Si no introduce aquí otra contraseña, de forma predeterminada se utilizará la de
yes
.
Intro
para aceptar el valor o
Solicitud de certificado firmado a una Autoridad de certificación
Utilice este procedimiento para generar una solicitud de firma de certificado (CSR) para el certificado autofirmado creado
en
Generación de un nuevo par de claves y un certificado autofirmado
1
Sustituya el mismo valor usado anteriormente para <
keytool -certreq -sigalg MD5withRSA -alias <certificate-alias> -keystore
.\cacerts -file <csr-filename>
Ejemplo:
keytool -certreq -sigalg MD5withRSA -alias dell -keystore .\cacerts -file
credant.csr
El archivo .csr contendrá un par BEGIN/END que se usará durante la creación del certificado por parte de la CA.
certificate-alias
.
>:
36 Guía de configuración
Page 37
Figura 9-1. Ejemplo de archivo .CSR
2
Siga el proceso de su organización para la adquisición de un certificado de servidor SSL de una autoridad de certificación.
Envíe el contenido de <csr-filename> para su firma.
NOTA: Hay varios métodos para solicitar un certificado válido. Puede ver un método de ejemplo en
certificado
3
Cuando reciba el certificado firmado, guárdelo en un archivo.
4
La práctica recomendada es realizar una copia de seguridad de este certificado, en caso de que ocurra un error durante el
proceso de importación. Esta copia de seguridad evitará tener que comenzar todo el proceso otra vez.
.
Ejemplo de un método para solicitar un
Importación de un certificado raíz
NOTA: Si la autoridad de certificación del certificado raíz es Verisign (no Verisign Test), pase al siguiente procedimiento e importe el
certificado firmado.
El certificado raíz de la autoridad de certificación valida los certificados firmados.
1
Haga
una
de las siguientes acciones:
• Descargue el certificado raíz de la autoridad de certificación y guárdelo en un archivo.
• Obtenga el certificado raíz del ser
2
Haga
una
de las siguientes acciones:
• Si está habilitando SSL para Compliance Reporter, Console
Connector, cambie al directorio del componente
• Si está habilitando SSL entre el servidor y el servidor de dir
de Dell>\Java Runtimes\jre1.x.x_xx\lib\security
3
Ejecute Keytool de la siguiente manera, para instalar el certificado raíz:
keytool -import -trustcacerts -alias <ca-cert-alias> -keystore .\cacerts -file
<ca-cert-filename>
vidor de directorios empresarial.
Web Services, Device Server o Legacy Gatekeeper
conf
.
ectorios empresarial, cambie a
(La contraseña predeterminada para el cacerts JRE es
<Directorio de instalación
changeit
).
Ejemplo:
keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer
Ejemplo de un método para solicitar un certificado
Un ejemplo de un método para solicitar un certificado es usar un navegador web para acceder al servidor de CA de
Microsoft, que su organización habría configurado internamente.
1
Navegue hasta el servidor de CA de Microsoft. Su organización le proporcionará la dirección IP.
Guía de configuración 37
Page 38
2
Seleccione
Figura 9-2. Servicios de certificación de Microsoft
3
Seleccione
Request a certificate
Advanced Request
y haga clic en
y haga clic en
Next>
Next>
.
.
Figura 9-3. Selección del tipo de solicitud
38 Guía de configuración
Page 39
4
Seleccione la opción
Figura 9-4. Solicitud de certificado avanzada
Submit a certificate request using a base64 encode PKCS #10 file
y haga clic en
Next>
.
5
Pegue el contenido de la solicitud CSR en el cuadro de texto. Seleccione una plantilla de certificado de
Submit>
clic en
Figura 9-5. Envío de una solicitud guardada
.
Web S e rv e r
haga
Guía de configuración 39
Page 40
6
Guarde el certificado. Seleccione
Figura 9-6. Descarga del certificado de la CA
DER encoded
y haga clic en
Download CA certificate
.
7
Guarde el certificado. Seleccione
Figura 9-7. Descarga de la ruta de certificación de la CA
DER encoded
y haga clic en
Download CA certification path
.
40 Guía de configuración
Page 41
8
Importe el certificado de la autoridad de firma convertido. Volver a la ventana de DOS. Escriba:
keytool -import -trustcacerts -file <csr-filename> -keystore cacerts
9
Ahora que ya ha importado el certificado de la autoridad de firma, puede importar el certificado del servidor (puede
establecerse la cadena de confianza). Escriba:
keytool -import -alias dell -file <csr-filename> -keystore cacerts
Utilice el alias del certificado autofirmado para emparejar la solicitud de CSR con el certificado del servidor.
10
Al listar el archivo cacerts se verá que el certificado del servidor tiene una
longitud de cadena de certificado
indica que el certificado no es autofirmado. Escriba:
keytool -list -v -keystore cacerts
Observe que la huella digital del segundo certificado en la cadena es el certificado importado de la autoridad de
certificación (que también aparece en el listado bajo el certificado del servidor en la lista).
El certificado del servidor se ha importado correctamente, junto con el certificado de la autoridad de firma.
de 2, lo que
Guía de configuración 41
Page 42
42 Guía de configuración
Page 43
Page 44
0 XXXXXA0 X
Loading...