Dell Encryption User Manual [in]

Dell Data Protection

Guida alla configurazione

____________________

© 2014 Dell Inc.
Marchi registrati e marchi utilizzati nella suite di documenti DDP|E, DDP|ST e DDP|CE: Dell™ e il logo Dell, Dell Precision™,

OptiPlex™, ControlVault™, Latitude™, XPS

®

e Xeon

sono marchi registrati di Intel Corporation negli Stati Uniti e in altri Paesi. Adobe®, Acrobat® e Flash® sono marchi registrati
di Adobe Systems Incorporated. Authen Tec
Micro Devices, Inc. Microsoft
Active Directory
Skydrive
VMware
Dropbox

®

®

®

SM

, Access®, ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®,
, SQL Server®, e Visual C++® sono marchi o marchi registrati di Microsoft Corporation negli Stati Uniti e/o in altri Paesi.
è un marchio o un marchio registrato di VMware, Inc. negli Stati Uniti o in altri Paesi. Box® è un marchio registrato di Box.

è un marchio di servizio di Dropbox, Inc. Google™, Android™, Google™ Chrome™, Gmail™, YouTube® e Google™ Play sono

®

, Windows® e Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®, ActiveX®,

marchi o marchi registrati di Google Inc. negli Stati Uniti e in altri Paesi. Apple
Apple TV

®

, Boot Camp™, FileVault™, iCloud
marchi, marchi di servizio o marchi registrati di Apple, Inc. negli Stati Uniti e/o in altri Paesi. GO ID
registrati di EMC Corporation. EnCase™ e Guidance Software
marchio registrato di Entrust

®

, Inc. negli Stati Uniti e in altri Paesi. InstallShield® è un marchio registrato di Flexera Software negli Stati
Uniti, Cina, Comunità Europea, Hong Kong, Giappone, Taiwan e Regno Unito. Micron
Technology, Inc. negli Stati Uniti e in altri Paesi. Mozilla
in altri Paesi. iOS

®

Oracle

e Java® sono marchi registrati di Oracle e/o delle sue affiliate. Altri nomi possono essere marchi dei rispettivi proprietari.

®

è un marchio o un marchio registrato di Cisco Systems, Inc. negli Stati Uniti e in altri Paesi ed è utilizzato sotto licenza.

SAMSUNG™ è un marchio di SAMSUNG negli Stati Uniti o in altri Paesi. Seagate
negli Stati Uniti e/o in altri Paesi. Travelstar
registrato di The Open Group. VALIDITY™ è un marchio di Validity Sensor, Inc. negli Stati Uniti e in altri Paesi. VeriSign
correlati sono marchi o marchi registrati di VeriSign, Inc. o delle sue affiliate o consociate negli Stati Uniti e in altri Paesi e concessi in
licenza a Symantec Corporation. KVM on IP

®

, e KACE™ sono marchi di Dell Inc. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®

®

e Eikon® so no m arc hi reg ist rat i di Aut hen Tec. AMD® è un marchio registrato di Advanced

®

®

SM

, iPad®, iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® e Siri® sono

®

sono marchi o marchi registrati di Guidance Software. Entrust® è un

®

Firefox® è un marchio registrato di Mozilla Foundation negli Stati Uniti e/o

®

è un marchio registrato di HGST, Inc. negli Stati Uniti e in altri Paesi. UNIX® è un marchio

®

è un marchio registrato di Video Products. Yahoo!® è un marchio registrato di Yahoo! Inc.

, Aperture®, App StoreSM, Apple Remote Desktop™,

®

, RSA® e SecurID® sono marchi

®

e RealSSD® sono marchi registrati di Micron

®

è un marchio registrato di Seagate Technology LLC

®

e altri marchi

Questo prodotto utilizza parti del programma 7-Zip. È possibile trovare il codice sorgente alla pagina Web
concesso tramite licenza GNU LGPL + restrizioni unRAR (

www.7-zip.org/license.txt

).

2014-02
Protetto da uno o più brevetti statunitensi tra cui: N. 7665125, N. 7437752 e N. 7665118.
Le informazioni incluse in questo documento sono soggette a variazione senza preavviso.

www.7-zip.org

. Il prodotto è

Contenuto

1 Configurare Compatibility Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

server_config.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

gkresource.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Abilitare il formato dominio\nome utente

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

run-service.conf

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2 Configurare Core Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Modificare l'arbitraggio dei criteri dal livello più sicuro al livello meno sicuro. . . . . . . . . . . . . . . 13

PolicyService.config

Disabilitare i servizi Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Abilitare il server SMTP per le notifiche e-mail sulle licenze

NotificationObjects.config

Notification.config

Aggiungere il percorso della cartella di Compatibility Server al file di configurazione di Core Server

Consentire l'iterazione di Core Server attraverso metodi di autenticazione

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

. . . . . . . . . . . . . . . . . . . . . . . . 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

. . . 15

. . . . . . . . . . . . . . . . . 15

3 Configurare Device Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

eserver.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

run-service.conf

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4 Configurare Security Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

context.properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

5 Configurare funzioni di crittografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Impedire l'eliminazione dei file temporanei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Nascondere le icone sovrapposte

Nascondere l'icona della barra di sistema

Attivazione in slot

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Guida alla configurazione 3

Polling forzato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Opzioni di inventario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Attivazioni non di dominio

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

6 Configurare componenti per l'autenticazione/autorizzazione Kerberos . . . 25

Configurare componenti per l'autenticazione/autorizzazione Kerberos . . . . . . . . . . . . . . . . . . . 25

Istruzioni per Servizi di Windows

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Istruzioni per il file di configurazione di Key Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

File di configurazione di esempio:

Istruzioni per Servizi di Windows

Istruzioni per la console di gestione remota

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

7 Assegnazione del ruolo di Amministratore Forensic . . . . . . . . . . . . . . . . . . 29

Istruzioni per la console di gestione remota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Disattivazione dell'autorizzazione Forensic

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

8 Espressioni Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Introduzione alle espressioni Cron. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Formati di espressioni Cron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Caratteri speciali

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Esempi

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

9 Creare un certificato autofirmato mediante Keytool e generare 

una richiesta di firma del certificato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Generare una nuova coppia di chiavi e un certificato autofirmato . . . . . . . . . . . . . . . . . . . . . . 35

Richiedere un certificato firmato da un'Autorità di certificazione . . . . . . . . . . . . . . . . . . . . . . 36

Importare un certificato radice

Metodo di esempio per richiedere un certificato

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4 Guida alla configurazione

1

Configurare Compatibility Server

In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Compatibility
Server all'ambiente in uso. Prima di eseguire qualsiasi modifica, effettuare sempre il backup dei file di configurazione.

Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Compatibility Server.

server_config.xml

È possibile modificare alcuni tra i parametri indicati di seguito in <directory di installazione di Compatibility
Server>\conf\server_config.xml. È presente un'indicazione per i parametri che non è opportuno modificare. Se
Compatibility Server è in esecuzione, è necessario arrestare il servizio Compatibility Server, modificare il file
server_config.xml e riavviare il servizio Compatibility Server per rendere effettive le modifiche a questo file.

server_config.xml

Parametro Predefinito Descrizione

secrets.location $dell.home$/conf/secretKeyStore Percorso predefinito di secretkeystore. Se si

modifica questo file dalla posizione predefinita,
aggiornare questo parametro.

archive.location $dell.home$/conf/archive Percorso predefinito dell'archivio. Se si modifica

questo file dalla posizione predefinita, aggiornare
questo parametro.

domain.qualified.authentication true Indica se è richiesto un nome di accesso utente

completo per tutte le richieste al server.
Se il valore viene modificato, sarà necessario

riavviare Device Server per rendere effettivo il
nuovo valore.

directory.max.search.size 1000 Limite in una directory

generata un'eccezione.
directory.server.search.timeout.seconds 60 Timeout del server in secondi per ricerche LDAP.
directory.client.search.timeout 60 Timeout del client in secondi per ricerche LDAP.

find

dopo il quale verrà

Guida alla configurazione 5

server_config.xml

Parametro Predefinito Descrizione

rmi.recovery.host Per utilizzare il recupero EMS multiserver:

<!--

- rimuovere i commenti e modificare i nomi host

nei nomi di dominio completi per concatenare il

recupero

<property name="rmi.recovery.host">

<value>rmi://foo.fabrikam.com:1099</value>

</property>

<property name="rmi.recovery.host">

<value>rmi://foo.fabrikam2.com:1099</value>

</property>

-->

default.gatekeeper.group.remote CMGREMOTE Nome predefinito del gruppo a cui appartengono

tutti i proxy criteri per impostazione predefinita.

È possibile modificare questo nome qui oppure in

context.properties all'interno di Device Server.

Se si modifica il nome del gruppo qui, sarà

necessario modificarlo anche in Device Server se si

intende:

• proteggere i dispositivi Windows;

• utilizzare CREDActivate.

È consigliabile che tutti i proxy criteri

appartengano a un unico gruppo.
rsa.securid.enabled false Se si utilizza RSA SecurID versione 6 per

Microsoft Windows come sostituzione di GINA,

impostare questo parametro su true, quindi

arrestare e riavviare il servizio Compatibility

Server.

Quando gli utenti di Shield eseguono l'attivazione

in un ambiente RSA di sostituzione di GINA,

l'autenticazione RSA sostituisce l'autenticazione

LDAP.
inv.queue.task.worker.size 10 Numero di thread che elaborano la coda di

inventario.
inv.queue.task.timeout.seconds 900 Numero di secondi prima che si verifichi il

timeout.
inv.queue.task.retry.count 3 Numero di tentativi di elaborazione

dell'inventario da parte del server prima che venga

ignorato.
report.retry.max 120 Numero massimo di nuovi tentativi.
report.retry.wait.millis 250 Numero di millisecondi di attesa prima di un

nuovo tentativo.

6 Guida alla configurazione

server_config.xml

Parametro Predefinito Descrizione

triage.execute.time 0 0 0/6 * * La valutazione è il processo di riconciliazione degli

utenti e dei gruppi già noti al server.

L'impostazione predefinita è 0 0 0/6 * * ?, ovvero

viene effettuata una valutazione ogni 6 ore a

partire da mezzanotte (mezzanotte, 6.00,

mezzogiorno, 18.00, mezzanotte...)
gatekeeper.service.max.sessions 5 Numero massimo di sessioni di proxy criteri.
gatekeeper.service.max.session.timeout 5 Timeout per il numero massimo di sessioni di

proxy criteri.
security.authorization.method.IAdministrat

iveService.updateAdminRoles
security.authorization.method.IAdministrati

veService.getAdministrativeAccountGroups
security.authorization.method.IAdministrat

iveService.openGetLogsSession
security.authorization.method.IAdministrat

iveService.getLogs
security.authorization.method.IAdministrat

iveService.getLogColumnList
security.authorization.method.IAdministrat

iveService.getLogCategoryList
security.authorization.method.IAdministrat

iveService.getLogPriorityList
security.authorization.method.IAdministrat

iveService.getUniqueIdName
security.authorization.method.IAdministrat

iveService.getAdministrators
security.authorization.method.IAdministrat

iveService.setSuperAdminPassword
security.authorization.method.IAdministrat

iveService.resetSuperAdminPassword
security.authorization.method.IAdministrat

iveService.addDomain
security.authorization.method.IAdministrat

iveService.removeDomain
security.authorization.method.IAdministrat

iveService.updateDomain
security.authorization.method.IAdministrat

iveService.addGroups
security.authorization.method.IAdministrat

iveService.removeGroup
security.authorization.method.IAdministrat

iveService.findLdapGroups

AcctAdmin,SecAdmin,HelpDeskAd

AcctAdmin Ruolo richiesto per aggiornare i ruoli

amministrativi di un utente o un gruppo.

AcctAdmin Ruolo richiesto per aggiornare i ruoli

amministrativi di un utente o un gruppo

SystemAdmin,LogAdmin Ruoli richiesti per recuperare sessioni di registro.

SystemAdmin,LogAdmin Ruoli richiesti per recuperare registri.

SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di colonne

del registro.

SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di categorie

del registro.

SystemAdmin,LogAdmin Ruoli richiesti per recuperare l'elenco di priorità

del registro.

Ruoli richiesti per recuperare nomi ID univoci.

min,SystemAdmin

AcctAdmin Ruolo richiesto per recuperare l'elenco di

amministratori nel sistema.

SuperAdmin Ruolo richiesto per impostare la password

amministratore con privilegi avanzati.

SecAdmin Ruolo richiesto per reimpostare la password

amministratore con privilegi avanzati.

SystemAdmin,SecAdmin Ruoli richiesti per aggiungere domini.

SystemAdmin,SecAdmin Ruoli richiesti per rimuovere domini.

SystemAdmin,SecAdmin Ruoli richiesti per aggiornare domini.

SystemAdmin,SecAdmin Ruoli richiesti per aggiungere gruppi.

SystemAdmin,SecAdmin Ruoli richiesti per rimuovere gruppi.

SystemAdmin,SecAdmin Ruoli richiesti per trovare gruppi LDAP.

Guida alla configurazione 7

server_config.xml

Parametro Predefinito Descrizione

security.authorization.method.IAdministrat
iveService.findLdapUsers

security.authorization.method.IAdministrat
iveService.addUsers

security.authorization.method.IAdministrat
iveService.addLicense

security.authorization.method.IAdministrat
iveService.getLicense

security.authorization.method.IDeviceMan
ager.recoverDevice

security.authorization.method.IDeviceMan
ager.isUserSuspended

security.authorization.method.DeviceMana
gerService.proxyActivate

security.authorization.method.DeviceMana
gerService.proxiedDeviceManualAuth

security.authorization.method.IFileManage
r.getGatekeeperResource

security.authorization.method.IFileManage
r.approveGatekeeperResource

security.authorization.method.IFileManage
r.approveGatekeeperConfig

policy.arbiter.security.mode most-restrictive Questa proprietà controlla il funzionamento

policy.set.synchronization.sync-unmodified true Questo flag indica che la successiva

db.schema.version.major Schema database principale.
db.schema.version.minor Schema database secondario.

SystemAdmin,SecAdmin Ruoli richiesti per trovare utenti LDAP.

SystemAdmin,SecAdmin Ruoli richiesti per aggiungere utenti.

SystemAdmin Ruolo richiesto per aggiungere licenze Enterprise.

SystemAdmin Ruolo richiesto per visualizzare la licenza

Enterprise.

HelpDeskAdmin,SecAdmin Ruoli richiesti per ripristinare un dispositivo.

HelpDeskAdmin,SecAdmin Ruoli richiesti per sospendere utenti.

SecAdmin Ruoli richiesti per attivare dispositivi in base al

proxy.

HelpDeskAdmin,SecAdmin Ruoli richiesti per ripristinare manualmente un

dispositivo in base al proxy.

SystemAdmin Ruolo richiesto per recuperare il file di risorse di

Gatekeeper.

SystemAdmin Ruolo richiesto per approvare il file di risorse di

Gatekeeper.

SystemAdmin Ruoli richiesti per approvare la configurazione di

Gatekeeper.

dell'algoritmo di mappatura per gli elementi dei

criteri che presentano differenze nei livelli di

sicurezza se un criterio include più nodi padre.

Va lo r i :

Least-restrictive: viene utilizzato il valore

dell'elemento meno restrittivo degli elementi

padre

Most-restrictive: viene utilizzato il valore

dell'elemento più restrittivo di tutti gli elementi

padre

sincronizzazione esterna dovrà aggiungere o

eseguire nuovamente la mappatura di tutti gli

elementi dei criteri senza impostare il flag

modificato su true. Il flag viene impostato su false

in seguito a ogni sincronizzazione, pertanto dovrà

essere reimpostato se l'amministratore della

sicurezza desidera aggiungere elementi senza

modifiche. Si tratta di un'opzione avanzata.

8 Guida alla configurazione

server_config.xml

Parametro Predefinito Descrizione

db.schema.version.patch Versione di patch dello schema database.
dao.db.driver.dir $dell.home$/lib/mssql-microsoft Percorso predefinito del driver del database. Se si

modifica questo file dalla posizione predefinita,

aggiornare questo parametro.
dao.db.host Nome host del server database.

Questo parametro viene modificato nello

strumento di configurazione.
dao.db.name Nome del database.

Questo parametro viene modificato nello

strumento di configurazione.
dao.db.user Nome utente con autorizzazioni complete per il

database.

Questo parametro viene modificato nello

strumento di configurazione.
dao.db.password Password del nome utente con autorizzazioni

complete per il database.

Questo parametro viene modificato nello

strumento di configurazione.
dao.db.max.retry.count 10 Numero massimo di tentativi di riconnessione a

SQL Server da parte di Compatibility Server se si

verifica un errore di socket specificato.
dao.db.connection.retry.wait.seconds 5 Il primo tentativo di riconnessione è immediato. Il

secondo tentativo si verifica dopo il numero di

secondi specificato. Il terzo si verifica dopo il

numero raddoppiato di secondi specificato, il

quarto dopo il numero triplicato e così via.
dao.connection.pool.max.uses 10000 Consente il ritiro delle connessioni. Un valore pari

a 0 indica nessun ritiro.
dao.connection.pool.inactive.threshold.seconds 900 Consente di determinare se una connessione non

è stata utilizzata e può essere chiusa.
dao.db.driver.socket.errors 0 Compatibility Server tenta di riconnettersi a SQL

Server se si verificano errori corrispondenti ai

codici inclusi in questo elenco separato da virgole.

0 è il codice per gli errori di socket relativi a

Microsoft SQL. È inoltre possibile aggiungere

17142 per gli errori di sospensione del server e

6002 per gli errori di arresto del server.
dao.db.mssql.compatability.level 90 Valore per SQL 2005 o versioni successive.
vfs.file.handler.auth com.credant.guardian.server.vfs.Auth

FileHandler

vfs.file.handler.inventory com.credant.guardian.server.vfs.Inven

toryFileHandler

vfs.file.handler.event com.credant.guardian.server.vfs.Even

tFileHandler

Gestore file di autorizzazione.

Gestore file di inventario.

Gestore file di eventi.

Guida alla configurazione 9

server_config.xml

Parametro Predefinito Descrizione

gatekeeper.resource $dell.home$/conf/gkresource.xml Se si sposta il file di risorse di Gatekeeper dal

percorso predefinito, aggiornare questo parametro.
gatekeeper.config $dell.home$/conf/gkconfig.xml Se si sposta il file di risorse di Gatekeeper dal

percorso predefinito, aggiornare questo parametro.
rmi.server.registry.host localhost La proprietà host è utile esclusivamente ai

programmi client per determinare la posizione del

registro. Non viene utilizzata durante la creazione

di oggetti remoti e del registro RMI. Verrà creata

in localhost.
rmi.server.registry.port 1099 La porta del registro RMI è configurabile durante

l'installazione. Sarà inoltre possibile modificare la

porta in seguito all'installazione mediante questo

parametro.

Se si modifica questo valore, sarà necessario

configurare anche Gatekeeper Web Services.
security.authorization.method.IServerRepor

ts.getOverviewReport
security.authorization.method.IReportingSe

rvice.removeEntity
security.authorization.method.IReportingSe

rvice.setEntityVisibility
security.authorization.method.IReportingSe

rvice.getHardwareDetailReport
security.authorization.method.IReportingSe

rvice.openSession
security.authorization.method.IReportingSe

rvice.getPagedReport
security.authorization.method.IReportingSe

rvice.getDeviceTypeReport
security.authorization.method.IReportingSe

rvice.getDeviceOsReport
security.authorization.method.IReportingSe

rvice.getDeviceModelReport
security.authorization.method.IReportingSe

rvice.getPolicyDetailReport
security.authorization.method.IReportingSe

rvice.getWorkstationDetailReport
security.authorization.method.IReportingSe

rvice.getEncryptionFailuresReport
security.authorization.method.IReportingSe

rvice.getEncryptionSummaryReport
security.authorization.method.IReportingSe

rvice.getUserDetail

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

SystemAdmin Ruolo richiesto per rimuovere entità del server.

SystemAdmin Ruolo richiesto per impostare la visibilità delle

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

Ruoli richiesti per impostare l'autorizzazione dei

rapporti del server.

entità del server.

Ruoli richiesti per visualizzare la pagina relativa ai

dettagli del dispositivo.

Ruoli richiesti per aprire una sessione server.

Ruoli richiesti per visualizzare il rapporto in

pagine.

Ruoli richiesti per visualizzare il rapporto per il

tipo di dispositivo.

Ruoli richiesti per visualizzare il rapporto per il

sistema operativo.

Ruoli richiesti per visualizzare i rapporti per i

modelli di dispositivo.

Ruoli richiesti per visualizzare il rapporto per i

dettagli dei criteri.

Ruoli richiesti per visualizzare il rapporto per i

dettagli della workstation.

Ruoli richiesti per visualizzare il rapporto per gli

errori di crittografia.

Ruoli richiesti per visualizzare il rapporto per il

riepilogo della crittografia.

Ruoli richiesti per visualizzare il rapporto per i

dettagli dell'utente.

10 Guida alla configurazione

server_config.xml

Parametro Predefinito Descrizione

security.authorization.method.IReportingSe
rvice.getGroupDetail

security.authorization.method.IReportingSe
rvice.getDomainDetail

security.authorization.method.IKeyService.
getKeys

accountType.nonActiveDirectory.enabled false L'abilitazione di attivazioni non di dominio è una

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

AcctAdmin,HelpDeskAdmin,System

Admin,SecAdmin

Fore ns ic Ad mi n Impostazione utilizzata con un plug-in di

Ruoli richiesti per visualizzare il rapporto per i

dettagli del gruppo.

Ruoli richiesti per visualizzare il rapporto per

l'elenco di domini.

integrazione Forensic. Se è necessaria

l'integrazione di uno strumento Forensic,

contattare l'assistenza Dell.

configurazione avanzata con conseguenze di vario

tipo.

PRIMA

di abilitare questa configurazione,
contattare il servizio di assistenza clienti per
discutere delle esigenze specifiche dell'ambiente.
Una volta modificato questo valore, riavviare il
servizio Compatibility Server.

Oltre a questa impostazione, creare o modificare
l'impostazione del Registro di sistema nel
computer Windows, come indicato di seguito.

HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CMGShield

AllowNonDomainActivations=REG_DWORD:1

gkresource.xml

È possibile modificare i parametri in <directory di installazione di Compatibility Server>\conf\gkresource.xml.
È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire

le modifiche al nuovo file in fase di aggiornamento.

NOTA: il file gkresource.xml dovrà essere un file XML ben formato. Dell sconsiglia di modificare questo file se non si è esperti di XML.

Accertarsi di utilizzare riferimenti di entità laddove appropriato, anziché caratteri speciali (senza escape) non elaborati.


Un amministratore di sistema deve approvare le modifiche al file di risorse di Gatekeeper affinché vengano rese effettive.

Abilitare il formato dominio\nome utente

Aggiungere la seguente stringa per abilitare o disabilitare il formato dominio/nome utente. Il formato è disabilitato se la
stringa non è presente nel file. Può inoltre essere disabilitato impostando il valore su 0.

1

Passare a <directory di installazione di Compatibility Server>\conf.

2

Aprire il file gkresource.xml con uneditor XML.

3

Aggiungere la stringa:
<string name="EnableGKProbeMultiDomainSupport">1</string>

4

Salvare e chiudere il file.

Guida alla configurazione 11

run-service.conf

È possibile modificare alcuni tra i seguenti parametri in <directory di installazione di Compatibility
Server>\conf\run-service.conf. Questi parametri vengono automaticamente impostati durante l'installazione. Per
personalizzare o apportare modifiche di configurazione a qualsiasi servizio, attenersi alla procedura descritta di seguito.

1

Arrestare il servizio.

2

Rimuovere il servizio.

3

Modificare e salvare il file

4

Reinstallare il servizio.

5

Avviare il servizio.

Parametro Predefinito Descrizione

JAVA_HOME Dell\Java Runtime\jreX.x Percorso della directory di installazione di

wrapper.java.additional.5 n/d L'indirizzo MAC in questa riga corrisponde

wrapper.ntservice.name EpmCompatSvr Nome del servizio.
wrapper.ntservice.displayname Dell Compatibility Server Nome visualizzato del servizio.
wrapper.ntservice.description Enterprise Compatibility Server Descrizione del servizio.
wrapper.ntservice.dependency.1 Dipendenze del servizio. Aggiungere

wrapper.ntservice.starttype AUTO_START Modalità di installazione del servizio:

wrapper.ntservice.interactive false Se si imposta su true, il servizio potrà

run-service.conf

. È consigliabile tenere traccia delle modifiche con commenti all'inizio del file.

run-service.conf

Jav

a.

a quello della scheda Ethernet locale.
Se il server include più schede di interfaccia

ete o si desidera eseguire l'associazione a

di r
una scheda diversa da quella principale,
immettere qui l'indirizzo MAC fisico della
scheda dell'interfaccia di rete senza trattini.

dipendenze in base alle esigenze, a partire
da 1.

UTO_START o DEMAND_START.

A

interagire con il desktop.

12 Guida alla configurazione

2

Configurare Core Server

In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Core Server
all'ambiente in uso.

Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Core Server.

Modificare l'arbitraggio dei criteri dal livello più sicuro al livello meno sicuro

PolicyService.config

Modificare questa impostazione per cambiare l'arbitraggio dei criteri dal livello più sicuro al meno sicuro. Modificare
l'impostazione in <directory di installazione di Core Server>\PolicyService.config. Se Core Server è in esecuzione, arrestare il
servizio, modificare il file PolicyService.config, quindi riavviare il servizio affinché le modifiche vengano rese effettive.

È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file PolicyServiceConfig.xml in fase di aggiornamento.

Modificare la seguente sezione:
<!-- Web Service Targets -->

<object id="PolicyService" singleton="false" type="Credant.Policy.Service.PolicyService,
Credant.Policy.ServiceImplementation">

<property name="TemplateDataAccess" ref="TemplateDataAccess"/>
<property name="PolicyDataAccess" ref="PolicyDataAccess"/>
<property name="SupportDataAccess" ref="SupportDataAccess"/>
<property name="AuditLog" ref="ServiceAuditLog"/>
<property name="GlobalArbitrationBias" value="1" />

livello meno sicuro]

</object>

[modificare questo valore da "0" a "1" per impostarlo su un

Disabilitare i servizi Web

NOTA: è consigliabile modificare questa impostazione avanzata solo con il supporto del servizio di assistenza clienti.

Per disabilitare i servizi Web in Core Server (ad esempio in presenza di una seconda installazione di Core Server
esclusivamente per l'elaborazione dell'inventario), modificare le impostazioni in:

<directory di installazione di Core Server>\
Credant.Server2.WindowsService.exe.Config

e
<directory di installazione di Core Server>\Spring.config
Se Core Server è in esecuzione, arrestare il servizio, modificare le impostazioni in questi due file, quindi riavviare il servizio

affinché le modifiche a questo file vengano rese effettive.

Guida alla configurazione 13

Credant.Server2.WindowsService.exe.Config

Rimuovere la seguente sezione:
<!-- Web Services Configuration -->

<system.serviceModel>

<services configSource="Services.config"/>
<behaviors configSource="Behaviors.config"/>
<bindings configSource="Bindings.config"/>

</system.serviceModel>

Spring.config

Rimuovere quanto segue:
Rimuovere tutte le definizioni <object> </object> nelle intestazioni AOP Advice, Web Service Target Definition e We b

Service Host Definition.

Abilitare il server SMTP per le notifiche e-mail sulle licenze

Se si utilizza Dell Data Protection | Cloud Edition, queste impostazioni vengono automatizzate mediante lo strumento di
configurazione server. Attenersi alla procedura descritta di seguito se è necessario abilitare il server SMTP per le notifiche
e-mail sulle licenze per scopi al di fuori dell'ambito di Dell Data Protection | Cloud Edition.

NotificationObjects.config

Per configurare il server SMTP per le notifiche e-mail sulle licenze, modificare il file NotificationObjects.config in
<directory di installazione di Core Server>.

Modificare quanto segue:
<object name="EmailNotification" singleton="false" type="Credant.Notification.EmailNotification,

Credant.Notification"> [
<property name="NotificationDataFactory" ref="NotificationDataFactory"/> [
<property name="Host" value="test.dell.com"/>
<property name="Port" value="25"/>
<property name="Username" value="nomeutente"/>
<property name="Password" value="${SmtpPassword}"/> [
<property name="Logger" ref="NotificationLogger"/> [
</object>

non modificare questo valore

]

non modificare questo valore

non modificare questo valore

non modificare questo valore

]

]

]

Notification.config

Se il server della posta richiede l'autenticazione, modificare il file Notification.config in <directory di installazione di Core
Server>.

Modificare quanto segue:
<notification>

<add key="SmtpPassword" value="password_del_server_di_posta"/>
</notification>

14 Guida alla configurazione

Aggiungere il percorso della cartella di Compatibility Server al file di configurazione di Core Server

Core Server è un'applicazione.NET e pertanto può non essere in grado di accedere alle informazioni del Registro di
sistema per via delle autorizzazioni. Il problema risiede nel fatto che, per poter leggere secretkeystore (chiave di crittografia
del database), Core Server deve accedere alle informazioni di configurazione del Registro di sistema di Compatibility
Server per il percorso di secretkeystore. Se le relative autorizzazioni impediscono l'accesso, Core Server non potrà
autenticare gli utenti della console. Con questa impostazione il percorso della cartella di Compatibility Server viene
aggiunto al file di configurazione di Core Server in caso di problemi di accesso al Registro di sistema.

1

Passare a <directory di installazione di Core Server>\EntityDataAccessObjects.config.

2

Modificare il seguente elemento in
<object id="DomainDataAccess" singleton="false" type="Credant.Entity.DataAccess.DomainDataAccess,

Credant.Entity.DataAccess">

<property name="Logger" ref="DataAccessLogger"/>
<!--<property name="CompatibilityServerPath" value="PATH_TO_COMPATIBILITY_SERVER"/> -->



Rimuovere i commenti in questa riga e impostare il percorso completo su Compatibility Server

</object>

3

Salvare e chiudere il file.

4

Riavviare i servizi Core Server e Compatibility Server.

grassetto

:

.

Consentire l'iterazione di Core Server attraverso metodi di autenticazione

I tentativi di autenticazione di Core Server possono essere bloccati dal controller di dominio a causa dei criteri impostati
nei metodi di autenticazione consentiti. Il miglioramento consiste nell'implementare uno "switch" nel file di
configurazione di Core Server per consentirne l'iterazione attraverso vari metodi di configurazione, nel tentativo di
individuarne uno appropriato.

1

Passare a <directory di installazione di Core Server>\Spring.config.

2

Modificare il seguente elemento in
<object id="DomainCache" singleton="true" type="Credant.Authorization.DomainCache.DomainCache,

Credant.Authorization.DomainCache">

<!-- Change this logger? -->
<property name="Logger" ref="DataAccessLogger" />
<property name="DomainDataAccess" ref="DomainDataAccess" />
<property name="RefreshFrequency" value="300" />
<property name="TryAllAuthTypes" value="false" /> 
<!-- Used to change the AuthType per domain: key is domain's CID and value is the

System.DirectoryServices.AuthenticationTypes value
<property name="DomainAuthType">
<dictionary key-type="string" value-type="int" >
<entry key="5A23TPM2" value="0" />
</dictionary>
</property>
-->

</object>

grassetto

:

Impostare questo valore su "true" per abilitare la funzionalità.

Guida alla configurazione 15

3

Salvare e chiudere il file.

4

Riavviare il servizio Core Server.

16 Guida alla configurazione

3

Configurare Device Server

In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Device Server
all'ambiente in uso.

Modificare esclusivamente i parametri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Device Server.

eserver.properties

È possibile modificare i parametri indicati di seguito in <directory di installazione di Device
Server>\conf\eserver.properties.

È consigliabile tenere traccia delle modifiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire
le modifiche al nuovo file in fase di aggiornamento.

eserver.properties

Parametro Predefinito Descrizione

eserver.default.host Servizio Device Server Nome di dominio completo in cui è

installato il servizio Device Server.

eserver.default.port Enterprise Server 7.7 o versioni successive - 8443

Enterprise Server (versioni precedenti alla 7.7) - 8081

eserver.use.ssl Tr ue SSL è abilitato per impostazione

eserver.keystore.location ${context['server.home']}/conf/cacerts Percorso del certificato SSL utilizzato da

eserver.keystore.password changeit Se è stata modificata la password

Porta in cui Device Server è in ascolto di
richieste di attivazione in ingresso da
dispositivi.

predefinita. Per disabilitare SSL, impostare
il parametro su False.

Device Server.

dell'Autorità di certificazione nello
strumento di configurazione, il parametro
verrà automaticamente aggiornato. Se si
modifica l'Autorità di certificazione nello
strumento di configurazione in qualsiasi
momento dopo la configurazione iniziale,
aggiornare questo parametro con la
password KeyStore utilizzata.

Guida alla configurazione 17

eserver.properties

Parametro

eserver.ciphers Imposta l'elenco di crittografie. Ogni

Predefinito Descrizione

crittografia deve
virgola. Se non viene indicato alcun valore,
il socket consentirà qualsiasi crittografia
supportata da Tomcat.

Rimuovere i commenti dall'esempio

to di seguito per impostare l'elenco di

indica
crittografie. Separare ogni crittografia con
una virgola. Per un elenco dei nomi di suite
di crittografia validi, consultare la guida di
riferimento JSSE di Sun.

#eserver.ciphers=

SA_WITH_RC4_128_MD5,SSL_RS

SSL_R
A_WITH_RC4_128_SHA,SSL_DHE_RSA
_WITH_3DES_EDE_CBC_SHA

essere separata da una

run-service.conf

È possibile modificare alcuni tra i seguenti parametri in <directory di installazione di Device
Server>\conf\run-service.conf. Questi parametri vengono automaticamente impostati durante l'installazione. Per
personalizzare o apportare modifiche di configurazione a qualsiasi servizio, attenersi alla procedura descritta di seguito.

1

Arrestare il servizio.

2

Rimuovere il servizio.

3

Modificare e salvare il file

4

Reinstallare il servizio.

5

Avviare il servizio.

run-service.conf

. È consigliabile tenere traccia delle modifiche con commenti all'inizio del file.

run-service.conf

Parametro Predefinito Descrizione

JAVA_HOME Dell\Java Runtime\jreX.x Percorso della directory di installazione di

Jav

a.
wrapper.ntservice.name EpmDeviceSvr Nome del servizio.
wrapper.ntservice.displayname Dell Device Server Nome visualizzato del servizio.
wrapper.ntservice.description Enterprise Device Server Descrizione del servizio.
wrapper.ntservice.dependency.1 Dipendenze del servizio. Aggiungere

dipendenz
da 1.

wrapper.ntservice.starttype AUT O_START Modalità di installazione del servizio:

UTO_START o DEMAND_START.

A

wrapper.ntservice.interactive false Se si imposta su true, il servizio potrà

interagire con il desktop.

e in base alle esigenze, a partire

18 Guida alla configurazione

4

Configurare Security Server

In questo capitolo vengono forniti dettagli relativi ai parametri che è possibile modificare per adattare Security Server
all'ambiente in uso.

Modificare esclusivamente i paramet
determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi derivanti da
modifiche non autorizzate a questi file senza dover reinstallare Security Server.

context.properties

È possibile modificare i parametri indicati di seguito in <directory di installazione di Security
Server>\webapps\xapi\WEB-INF\context.properties.

È consigliabile tenere traccia delle mo
le modifiche al nuovo file in fase di aggiornamento.

Parametro Predefinito Descrizione

default.gatekeeper.group.remote CMGREMOTE Nome del gruppo remoto di dispositivi. Non

xmlrpc.max.threads 250 Numero massimo di thread simultanei con

default.auth.upn.suffix Suffisso UPN aggiunto a un nome di

device.manual.auth.enable true Indica se le autenticazioni manuali sono

service.activation.enable true Indica se le attivazioni sono gestite da

service.policy.enable true Indica se i criteri sono abilitati/disabilitati.

service.auth.enable true Indica se le autenticazioni sono gestite da

service.forensic.enable true Impostazione utilizzata con un plug-in di

service.support.enable true Consente il recupero di metadati sul server.
service.device.enable true Consente il supporto di se

ri documentati in questo file. La modifica di altri dati in questi file, inclusi i tag, può

difiche con commenti all'inizio del file. In questo modo sarà più semplice trasferire

context.properties

mo

dificare.

questo Device Server.

accesso utente se il server richiede un nome
di accesso completo non fornito nella
richiesta.

abilitate o

Device Server. Non modificare

Non modificare.

Device Ser

integrazione Forensic. Se è necessaria
l'integrazione di uno strumento Forensic,
contattare l'assistenza Dell.

esempio l'archiviazione delle chiavi SDE.

disabilitate. Non modificare

ver.

rvizi Shield, ad

Guida alla configurazione 19

20 Guida alla configurazione

5

Configurare funzioni di crittografia

In questa sezione viene descritto come controllare in modo indipendente le funzioni di crittografia.

Impedire l'eliminazione dei file temporanei

Per impostazione predefinita, tutti i file temporanei nella directory c:\windows\temp vengono automaticamente eliminati
durante l'installazione o l'aggiornamento di DDPE. L'eliminazione dei file temporanei velocizza il processo di crittografia
iniziale e si verifica prima della procedura di ricerca crittografia.

Tuttavia, se l'organizzazione utilizza un'applicazione di terze parti che richiede di preservare la struttura dei file nella
directory \temp, è opportuno evitare l'eliminazione di questi file.

Per disabilitare l'eliminazione dei file temporanei, creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\SOFTWARE\CREDANT\CMGShield
DeleteTempFiles (REG_DWORD)=0
Se non si eliminano i file temporanei, la durata del processo di crittografia iniziale risulterà maggiore.

Nascondere le icone sovrapposte

Per impostazione predefinita, in fase di installazione tutte le icone di crittografia sovrapposte sono impostate come visibili.
Utilizzare la seguente impostazione del Registro di sistema per nasconderle per tutti gli utenti gestiti in un computer in
seguito all'installazione originale.

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\Software\CREDANT\CMGShield
HideOverlayIcons (DWORD value)=1
Se un utente con privilegi appropriati sceglie di mostrare le icone di crittografia sovrapposte, l'impostazione sostituirà il

valore del Registro di sistema.

Nascondere l'icona della barra di sistema

Per impostazione predefinita, in fase di installazione l'icona della barra di sistema è visibile. Utilizzare la seguente impostazione
del Registro di sistema per nasconderla per tutti gli utenti gestiti in un computer in seguito all'installazione originale.

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\Software\CREDANT\CMGShield
HIDESYSTRAYICON (DWORD value)=1

Attivazione in slot

L'attivazione in slot è una funzione che consente di distribuire le attivazioni di Shield in un periodo di tempo
preimpostato per agevolare il carico del server durante una distribuzione di massa. Le attivazioni vengono ritardate in base
a periodi di tempo generati da un algoritmo, per garantire una distribuzione lineare dei tempi di attivazione.

Guida alla configurazione 21

L'attivazione in slot è abilitata e configurata tramite il programma di installazione o la workstation di Shield.
Per gli utenti che necessitano dell'attivazione tramite VPN, è possibile richiedere la configurazione di un'attivazione in slot

per Shield al fine di ritardare l'attivazione iniziale in modo da garantire al software del client VPN il tempo necessario a
stabilire una connessione di rete.

ATTENZIONE: configurare l'attivazione in slot esclusivamente con il servizio di assistenza clienti. Una configurazione in slot inappropriata

potrebbe determinare l'attivazione simultanea di un numero elevato di client e causare seri problemi di prestazioni.

Per configurare l'attivazione in slot vengono utilizzate le seguenti chiavi del Registro di sistema. Le modifiche a queste
chiavi verranno rese effettive solo in seguito al riavvio della workstation di Shield.

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SlottedActivation
Questa impostazione consente di abilitare o disabilitare la funzione di attivazione in slot.

Disabilitata=0 (impostazione predefinita)
Abilitata=1

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\CalRepeat
Periodo di tempo in secondi in cui si verificherà l'intervallo dell'attivazione in slot. È possibile utilizzare questa proprietà

per ignorare il periodo di tempo in secondi in cui si verificherà tale intervallo. In un periodo di sette ore sono disponibili

25.200 secondi per le attivazioni in slot. L'impostazione predefinita è 86.400 secondi, ovvero una ripetizione giornaliera.

• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\SlotIntervals
Intervallo nella ripetizione, ACTIVATION_SLOT_CALREPEAT, in cui si verificano tutti gli slot dell'attivazione. È

consentito un solo intervallo. È consigliabile impostare il valore 0,<CalRepeat>. Un valore diverso da 0 potrebbe
generare risultati imprevisti. L'impostazioni predefinita è 0,86400. Per impostare una ripetizione ogni sette ore, utilizzare
l'impostazione 0,25200. CALREPEAT verrà attivato all'accesso di un utente di Shield.





• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\ActivationSlot\MissThreshold
Numero di slot di attivazione che è possibile ignorare prima che il computer tenti di attivarsi al successivo accesso

dell'utente la cui attivazione è stata divisa in slot. Se l'attivazione ha esito negativo durante questo tentativo immediato,
Shield riprenderà i tentativi di attivazione in slot. Se l'attivazione ha esito negativo per un errore di rete, verrà effettuato
un nuovo tentativo alla riconnessione della rete, anche se il valore in MISSTHRESHOLD non è stato superato. Se un
utente si disconnette prima del raggiungimento del periodo degli slot di attivazione, all'accesso successivo verrà
assegnato un nuovo slot.

• HKCU/Software/CREDANT/ActivationSlot (dati per utente)
Tempo posticipato per tentare l'attivazione in slot, impostata quando l'utente accede per la prima volta alla rete in

seguito all'abilitazione dell'attivazione in slot. Lo slot di attivazione viene ricalcolato per ogni tentativo di attivazione.

• HKCU/Software/CREDANT/SlotAttemptCount (dati per utente)
Numero di tentativi non riusciti o ignorati, quando sopraggiunge lo slot temporale e viene eseguito un tentativo di attivazione

che ha esito negativo. Se il numero raggiunge il valore impostato in ACTIVATION_SLOT_MISSTHRESHOLD, il computer
tenterà un'attivazione immediata al momento della connessione alla rete.

Per abilitare l'attivazione in slot tramite riga di comando, utilizzare un comando simile al seguente:

setup.exe /v"SLOTTEDACTIVATION=1 CALREPEAT=25200 SLOTINTERVALS=0,25200 <other parameters>"

NOTA: è importante ricordare che tutti i valori contenenti uno o più caratteri speciali, ad esempio uno spazio, devono essere racchiusi tra

virgolette con escape.

Polling forzato

Utilizzare la seguente impostazione del Registro di sistema per fare in modo che Shield esegua il polling del server per un
aggiornamento forzato dei criteri.

22 Guida alla configurazione

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\SOFTWARE\Credant\CMGShield\Notify
PingProxy (DWORD value)=1
A seconda della versione di Shield in uso, l'impostazione del Registro di sistema sparirà o passerà automaticamente da 1 a

0 al completamento del polling.
A seconda del gruppo di autorizzazioni di un utente amministratore, potrebbe essere necessario modificare le

autorizzazioni per creare questa impostazione del Registro di sistema. Se si verificano problemi durante la creazione di un
nuovo valore DWORD, attenersi alla procedura descritta di seguito per modificare le autorizzazioni.

1

Nel Registro di sistema di Windows passare a HKLM\SOFTWARE\Credant\CMGShield\Notify.

2

Fare clic con il pulsante destro del mouse su

3

All'apertura della finestra

4

Fare clic su OK.

È ora possibile creare la nuova impostazione del Registro di sistema.

Autorizzazione per Notifica

Notifica

e scegliere

selezionare la casella di controllo

Autorizzazioni

.

Controllo completo

.

Opzioni di inventario

Utilizzare le seguenti impostazioni del Registro di sistema per consentire l'invio da parte di Shield di un inventario
ottimizzato al server, l'invio di un inventario completo al server o l'invio di un inventario completo per tutti gli utenti
attivati al server.

Inviare l'inventario ottimizzato al server

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=1
Se non sono presenti voci, l'inventario ottimizzato verrà inviato al server.

Inviare l'inventario completo al server

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
OnlySendInvChanges (REG_DWORD)=0
Se non sono presenti voci, l'inventario ottimizzato verrà inviato al server.

Inviare l'inventario completo per tutti gli utenti attivati

Creare o modificare l'impostazione del Registro di sistema come segue:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield
RefreshInventory (REG_DWORD)=1
Questa voce verrà eliminata dal Registro di sistema nel momento in cui verrà elaborata. Il valore viene salvato nell'insieme

di credenziali, pertanto anche se il computer viene riavviato prima del caricamento dell'inventario, Shield soddisferà
comunque questa richiesta al successivo tentativo di caricamento riuscito.

Questa voce sostituisce il valore OnlySendInvChanges del Registro di sistema.

Attivazioni non di dominio

L'abilitazione di attivazioni non di dominio è una configurazione avanzata con conseguenze di vario tipo. Contattare il servizio
di assistenza clienti per discutere delle esigenze specifiche dell'ambiente e ottenere istruzioni per abilitare questa funzione.

Guida alla configurazione 23

24 Guida alla configurazione

6

Configurare componenti per l'autenticazione/autorizzazione Kerberos

In questa sezione viene descritto come configurare componenti per l'utilizzo con l'autenticazione/autorizzazione Kerberos.

Configurare componenti per l'autenticazione/autorizzazione Kerberos

NOTA: se è necessario utilizzare l'autenticazione/autorizzazione Kerberos, il server contenente il componente Key Server dovrà essere

parte integrante del dominio coinvolto.

Key Server è un servizio in ascolto dei client per la connessione tramite un socket. Al momento della connessione di un
client, una connessione sicura verrà negoziata, autenticata e crittografata mediante API Kerberos (se non è possibile
negoziare una connessione sicura, il client verrà disconnesso).

Key Server verificherà quindi con Device Server se l'utente che esegue il client è autorizzato ad accedere alle chiavi. Questo
accesso viene consentito nella console di gestione remota tramite

Istruzioni per Servizi di Windows

1

Passare al pannello Servizi di Windows (Start > Esegui... > services.msc > OK).

2

Fare clic con il pulsante destro del mouse su Dell Key Server e scegliere

3

Accedere alla scheda

4

Nel campo
amministratore locale per la cartella Key Server (deve essere in grado di scrivere nel file di configurazione di Key Server e
nel file log.txt).

5

Fare clic su OK.

6

Riavviare il servizio (lasciare aperto il pannello Servizi di Windows per ulteriori operazioni).

7

Passare al file log.txt in <directory di installazione di Key Server> per verificare che il servizio sia stato avviato.

Account

Connessione

aggiungere l'utente di dominio desiderato. Questo utente dovrà disporre almeno dei diritti di

e selezionare il pulsante di opzione

singoli

domini.

Proprietà

Account

.

.

Istruzioni per il file di configurazione di Key Server

1

Passare a <directory di installazione di Key Server>.

2

Aprire il file Credant.KeyServer.exe.config con un editor di testo.

3

Accedere a <add key="user" value="superadmin" /> e modificare il valore "superadmin" con il nome dell'utente
appropriato (è possibile mantenere "superadmin").

Il formato di "superadmin" può essere qualsiasi metodo in grado di eseguire l'autenticazione al server. È accettabile il
nome dell'account SAM, l'UPN o il formato dominio\nome utente. È accettabile qualsiasi metodo in grado di eseguire
l'autenticazione al server, poiché la convalida è richiesta per l'account utente
ad Active Directory.

Ad esempio, in un ambiente multidominio, se si immette solo un nome di account SAM come "jdoe", l'operazione potrebbe
avere esito negativo, in quanto il server non sarà in grado di autenticare "jdoe" poiché non riuscirà a trovarlo. In un ambiente
multidominio è consigliabile utilizzare l'UPN, sebbene sia accettabile anche il formato dominio\nome utente.

specifico

ai fini dell'autorizzazione rispetto

Guida alla configurazione 25

In un ambiente con un solo dominio è accettabile l'utilizzo del nome dell'account SAM.

4

Accedere a <add key="epw" value="<valore crittografato della password>" /> e modificare "epw" in "password".
Modificare quindi "<valore crittografato della password>" con la password dell'utente al passaggio 3. La password verrà
nuovamente crittografata al riavvio del server.

Se si utilizza "superadmin" (passaggio 3) e la password superadmin non è "changeit", dovrà essere modificata in questo
punto.

5

Salvare le modifiche e chiudere il file.

File di configurazione di esempio:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>

<appSettings>

<add key="port" value="8050" />

[porta TCP su cui sarà in ascolto il server. L'impostazione predefinita è 8050,

ma può essere modificata.]

<add key="maxConnections" value="2000" />
<add key="url" value="https://keyserver.domain.com:8081/xapi" />

[numero di connessioni socket attive consentite dal server.]

[URL di Device Server. Se si dispone di
Enterprise Server 7.7 o versioni successive, il formato è https://keyserver.domain.com:8443/xapi/; se si dispone di
una versione precedente, il formato è https://keyserver.domain.com:8081/xapi (senza barra finale).]

<add key="verifyCertificate" value="false" />

[true abilita la verifica dei certificati. Impostare su false per non

eseguire la verifica o in caso di utilizzo di certificati autofirmati.]

<add key="user" value="superadmin" />

[nome utente utilizzato per comunicare con Device Server. Il tipo di
amministratore Forensic dell'utente deve essere selezionato nella console di gestione remota. Il formato di
"superadmin" può essere qualsiasi metodo in grado di eseguire l'autenticazione al server. È accettabile il nome
dell'account SAM, l'UPN o il formato dominio\nome utente. È accettabile qualsiasi metodo in grado di eseguire
l'autenticazione al server, poiché la convalida è richiesta per l'account utente specifico ai fini dell'autorizzazione
rispetto ad Active Directory. Ad esempio, in un ambiente multidominio, se si immette solo un nome di account
SAM come "jdoe", l'operazione potrebbe avere esito negativo, in quanto il server non sarà in grado di autenticare
"jdoe" poiché non riuscirà a trovarlo. In un ambiente multidominio è consigliabile utilizzare l'UPN, sebbene sia
accettabile anche il formato dominio\nome utente. In un ambiente con un solo dominio è accettabile l'utilizzo
del nome dell'account SAM.]

<add key="cacheExpiration" value="30" />

[durata (in secondi) in cui il servizio verificherà quali utenti sono
autorizzati a chiedere chiavi. Il servizio mantiene una cache e tiene traccia della data di creazione. Una volta che
la data della cache avrà superato il valore indicato (in secondi), verrà creato un nuovo elenco. Nel momento in cui
un utente si connette, Key Server dovrà scaricare gli utenti autorizzati da Device Server. Se non è presente una
cache per questi utenti o l'elenco non è stato scaricato negli ultimi "x" secondi, verrà nuovamente effettuato il
download. Non si verificherà alcun polling, ma questo valore configurerà il livello di obsolescenza consentito per
l'elenco prima che venga aggiornato.]

<add key="epw" value="encrypted value of the password" />

[password utilizzata per comunicare con Device

Server. Se la password superadmin è stata modificata, sarà necessario cambiarla in questo punto.]

</appSettings>

</configuration>

26 Guida alla configurazione

Istruzioni per Servizi di Windows

1

Tornare al pannello Servizi di Windows.

2

Riavviare

3

Passare al file log.txt in <directory di installazione di Key Server> per verificare che il servizio sia stato avviato.

4

Chiudere il pannello Servizi di Windows.

il servizio Dell Key Server.

Istruzioni per la console di gestione remota

1

Se necessario, accedere alla console di gestione remota.

2

Fare clic su

3

Fare clic su

4

Nell'elenco degli account Key Server aggiungere l'utente che eseguirà le attività di amministratore. Il formato è
dominio\nome utente. Fare clic su

5

Fare clic su
Cerca

6

Una volta individuato l'utente corretto, fare clic sull'icona

7

Selezionare

I componenti sono ora configurati per l'autenticazione/autorizzazione Kerberos.

Domini
Key Server

Utenti

.

Amministratore Forensic

e quindi sull'icona

.

nel menu a sinistra. Nell'apposita casella cercare il nome utente aggiunto nel passaggio 4. Fare clic su

Dettaglio

Aggiungi account

. Fare clic su

.

Aggiorna

.

Dettaglio

.

.

Guida alla configurazione 27

28 Guida alla configurazione

7

Assegnazione del ruolo di Amministratore Forensic

Per impostazione predefinita, l'autorizzazione Forensic è abilitata nei server back-end e disabilitata nei server front-end.
Queste impostazioni vengono posizionate in modo appropriato in fase di installazione per Device Server e Security Server.

Istruzioni per la console di gestione remota

1

Se necessario, accedere alla console di gestione remota.

2

Nel riquadro sinistro fare clic su

3

Nella pagina
clic su
CMGAlu e dell'agente decrittografia in modalità Forensic).

4

Nella pagina

5

Nella pagina

6

Nella colonna Utente selezionare

Il ruolo di Amministratore Forensic è ora impostato.

Ricerca utenti

Cerca

(le credenziali di questo utente vengono fornite durante l'esecuzione delle utilità CMGAd, CMGAu,

Risultati ricerca utenti
Dettaglio utente per: <nome utente>

Disattivazione dell'autorizzazione Forensic

1

Dal server back-end, accedere a <
Server>\webapps\xapi\WEB-INF\context.properties

service.forensic.enable=true

Gestisci

immettere il nome dell'utente a cui associare il ruolo di amministratore Forensic, quindi fare

>

Utenti

.

fare clic sull'icona

Amministratore Forensic

directory di installazione di

Dettaglio

selezionare

e fare clic su

e modificare la proprietà seguente:

.
Amministrazione

Aggiorna

Security

.

.

in
service.forensic.enable=false

2

Riavviare

3

Passare a
<init-param>

<param-name>forensic</param-name>
<param-value>
</init-param>

4

Riavviare

5

È consigliabile rimuovere il ruolo di Amministratore Forensic per gli utenti che non utilizzano attivamente le
autorizzazioni per i ruoli.

il servizio Security Server.

<directory di installazione di Device Server>\webapps\ROOT\WEB-INF\web.xml

@FORENSIC_DISABLE@

il servizio Device Server.

</param-value>

Guida alla configurazione 29

e modificare la seguente:

30 Guida alla configurazione

8

Espressioni Cron

In questa sezione viene descritto come utilizzare formati di espressioni Cron e caratteri speciali.

Introduzione alle espressioni Cron

Cron è uno strumento UNIX in commercio da diverso tempo, pertanto le sue funzionalità di pianificazione sono efficaci e
comprovate. La classe CronTrigger si basa sulle funzionalità di pianificazione di Cron.

CronTrigger utilizza espressioni Cron, che consentono di creare pia
lunedì al venerdì oppure alle ore 1.30 ogni ultimo venerdì del mese.

Si tratta di espressioni efficaci,
fare chiarezza sulla creazione di un'espressione Cron, una risorsa a cui attingere prima di richiedere assistenza.

ma che possono creare confusione. L'obiettivo di questo documento è quello di tentare di

Formati di espressioni Cron

Le espressioni Cron sono costituite da 6 campi obbligatori e 1 campo facoltativo, separati da spazi. I campi possono
contenere qualsiasi valore autorizzato, oltre a una serie di combinazioni di caratteri speciali consentiti per il campo
specifico.

Le espressioni Cron possono essere semplici, come * * * * ? *,
o più complesse, ad esempio 0 0/5 14,18,3-3
Di seguito vengono descritti i campi.

9,52 ? GEN,MAR,SET LUN-VEN 2002-2010.

nificazioni di attivazione, ad esempio alle ore 8.00 dal

Nome del campo Obbligatorio? Valori consentiti Caratteri speciali consentiti

Minutes Sì 0-59 , - * /

Hours Sì 0-23 , - * /

Day of month Sì 1-31 , - * ? / L W C

Month Sì 1-12 o JAN-DEC , - * /

Day of week Sì 1-7 o SUN-SAT , - * ? / L C #

Ye ar No vuoto, 1970-2099 , - * /

Caratteri speciali

• Il carattere * consente di specificare tutti i valori. Ad esempio, * nel campo dei minuti indica ogni minuto.

• Il carattere ? (nessun valore specifico) risulta utile in caso sia necessario spe
il carattere è consentito, ma non nell'altro. Ad esempio, per eseguire un'attivazione in un giorno specifico del mese (10),
indipendentemente dal giorno della settimana, utilizzare 10 nel campo relativo al giorno del mese e ? in quello del giorno
della settimana.

• Il carattere - consente di specificare intervalli. Ad esempio

• Il carattere , consente di specificare valori aggiuntivi. Ad e
indica i giorni lunedì, mercoledì e venerdì.

, 10-12 nel campo delle ore indica 10.00, 11.00 e 12.00.

sempio, MON,WED,FRI nel campo del giorno della settimana

cificare un valore in uno dei due campi in cui

Guida alla configurazione 31

• Il carattere / consente di specificare incrementi.
0/15 nel campo dei secondi indica i secondi 0, 15, 30 e 45.

5/15 nel campo dei secondi indica i secondi 5, 20, 35 e 50.
Specificare * prima di / corrisponde a specificare 0 come valore di partenza.
1/3 nel campo del giorno del mese indica l'attivazione ogni 3 giorni a partire dal primo giorno del mese.
In sostanza, per ogni campo dell'espressione è disponibile un insieme di numeri che possono essere attivati o disattivati.

Per i secondi e i minuti, il numero varia da 0 a 59, per le ore da 0 a 23, per i giorni del mese da 0 a 31 e per i mesi da 1 a

12. Il carattere / consente di attivare ogni valore numerico nell'insieme specifico. Pertanto, 7/6 nel campo del mese
consente di attivare semplicemente il mese 7 e non ogni sesto mese.

• Il carattere L è consentito per i campi del giorno del mese e della settimana. Questo carattere significa "last" (ultimo), ma
cambia di significato a seconda del campo.

Il valore L nel campo del giorno del mese indica l'ultimo giorno del mese (31 per gennaio, 28 per febbraio negli anni non
bisestili).

Se utilizzato nel campo del giorno della settimana, indica 7 o domenica.
Se utilizzato nel campo del giorno della settimana dopo un altro valore, indica l'ultimo giorno xxx del mese. Ad esempio,

6L indica l'ultimo sabato del mese. Se si utilizza l'opzione L, è importante non specificare elenchi o intervalli di valori, in
quanto si otterrebbero risultati poco chiari.

• Il carattere W è consentito per il campo del giorno del mese. Significa "weekday" (giorno feriale) e consente di specificare
il giorno feriale (lunedì/venerdì) più vicino al giorno indicato. Se ad esempio si specifica 15W come valore per il campo
del giorno del mese, indica il giorno feriale più vicino al 15 del mese. Se il giorno 15 è un sabato, l'attivazione avrà luogo
venerdì 14, se è una domenica, avverrà lunedì 16, mentre se è un martedì, si verificherà martedì 15. Se tuttavia si
specifica 1W come valore per il giorno del mese e il giorno 1 è un sabato, l'attivazione avrà luogo lunedì 3, poiché non
verrà eseguito il passaggio da un mese all'altro. Il carattere W può essere specificato solo se il giorno del mese è indicato
come singolo giorno e non come un intervallo o un elenco di giorni.

I caratteri L e W possono inoltre essere combinati per generare l'espressione del giorno del mese LW, a indicare l'ultimo
giorno feriale del mese.

• Il carattere # è consentito per il campo del giorno della settimana. Consente di specificare il valore numerico del giorno
xxx del mese. Ad esempio, il valore 6#3 nel campo del giorno della settimana indica il terzo sabato del mese (giorno 6 =
sabato e #3 = il terzo del mese).

Altri esempi:
2#1 = primo martedì del mese





4#5 = quinto giovedì del mese.
Se si specifica #5, ma non è presente il quinto giorno della settimana nel mese specifico, l'attivazione non avrà luogo nel

mese in corso.

• Il carattere C è consentito per il calendario e indica che i valori vengono calcolati in base a un eventuale calendario
associato. Se non è associato alcun calendario, verrà considerato un calendario globale. Il valore 5C nel campo del giorno
del mese indica il primo giorno incluso nel calendario corrispondente al 5 o dopo di esso. Il valore 1C nel campo del
giorno della settimana indica il primo giorno incluso nel calendario corrispondente alla domenica o dopo di essa.

NOTA: il supporto per indicare un valore per il giorno della settimana e del mese non è completo. Utilizzare il carattere ? in uno di questi

campi. Il supporto per le funzioni descritte per il carattere C non è completo. I caratteri e i nomi dei mesi e dei giorni della settimana
validi non fanno distinzione tra lettere maiuscole e minuscole. MON è uguale a mon. Prestare massima attenzione agli effetti dei
caratteri ? e * nei campi del giorno della settimana e del mese.
Procedere con la massima cautela nel caso in cui si specifichi l'attivazione tra la mezzanotte e l'una. L'ora legale può determinare il
salto o la ripetizione di un'ora a seconda della situazione specifica.



32 Guida alla configurazione

Esempi

Espressione Significato

0 0 12 * * ? Attivazione alle 12.00 (mezzogiorno) ogni giorno
0 15 10 ? * * Attivazione alle 10.15 ogni giorno
0 15 10 * * ? Attivazione alle 10.15 ogni giorno

0 15 10 * * ? * Attivazione alle 10.15 ogni giorno

0 15 10 * * ? 2005 Attivazione alle 10.15 ogni giorno del 2005

0 * 14 * * ? Attivazione ogni minuto a partire dalle 14.00 e fino alle 14.59 di

ogni giorno

0 0/5 14 * * ? Attivazione ogni 5 minuti a partire dalle 14.00 e fino alle 14.55 di

ogni giorno

0 0/5 14,18 * * ? Attivazione ogni 5 minuti a partire dalle 14.00 e fino alle 14.55 E

ogni 5 minuti a partire dalle 18.00 e fino alle 18.55 ogni giorno

0 0-5 14 * * ? Attivazione ogni minuto a partire dalle 14.00 e fino alle 14.05 di

orno

ogni gi

0 10,44 14 ? 3 WED Attivazione alle 14.10 e alle 14.44 ogni mercoledì di marzo.

0 15 10 ? * MON-FRI Attivazione alle 10.15 ogni lunedì, martedì, mercoledì, giovedì e

erdì

ven

0 15 10 15 * ? Attivazione alle 10.15 il giorno 15 di ogni mese

0 15 10 L * ? Attivazione alle 10.15 l'ultimo giorno di ogni mese
0 15 10 ? * 6L Attivazione alle 10.15 l'ultimo sabato di ogni mese
0 15 10 ? * 6L Attivazione alle 10.15 l'ultimo sabato di ogni mese

0 15 10 ? * 6L 2002-2005 Attivazione alle 10.15 l'ultimo sabato di ogni mese durante gli anni

2003, 2004 e 2005

2002,

0 15 10 ? * 6#3 Attivazione alle 10.15 il terzo sabato di ogni mese

0 0 12 1/5 * ? Attivazione alle 12.00 (mezzogiorno) ogni 5 giorni di ogni mese, a

e dal primo giorno del mese.

partir

0 11 11 11 11 ? Attivazione ogni 11 novembre alle 11.11.

Guida alla configurazione 33

34 Guida alla configurazione

9

Creare un certificato autofirmato mediante Keytool e generare una richiesta di firma del certificato

NOTA: in questa sezione sono illustrati in dettaglio i passaggi per creare un certificato autofirmato per i componenti basati su Java. Questo

non

processo

può essere utilizzato per creare un certificato autofirmato percomponenti basati su .NET.

È consigliabile utilizzare un certificato autofirmato
Se l'organizzazione richiede un certificato server SSL oppure è necessario creare un certificato per altri motivi, in questa

sezione viene descritto il processo per creare un archivio chiavi Java mediante Keytool.
Keytool consente di creare chiavi private passate nel formato CSR (Certificate Signing Request, richiesta di firma del

certificato) a un'Autorità di certificazione, come VeriSign® o Entrust®. L'Autorità, in base a questa richiesta, creerà
quindi un certificato server per la firma. Il certificato server verrà scaricato in un file insieme a quello dell'autorità di firma.
Entrambi verranno infine importati nel file dell'Autorità di certificazione.

solo

in un ambiente non di produzione.

Generare una nuova coppia di chiavi e un certificato autofirmato

1

Passare alla directory

2

Eseguire il backup del database di certificati predefinito:
Fare clic sul pulsante

3

Aggiungere Keytool al percorso di sistema. Al prompt dei comandi digitare il seguente comando:

set path=%path%;%dell_java_home%\bin

4

Per generare un certificato, eseguire Keytool come illustrato di seguito:

keytool -genkey -keyalg RSA -sigalg SHA1withRSA -alias dell -keystore
.\cacerts

5

Immettere le seguenti informazioni quando richiesto da Keytool.

NOTA: prima di modificare i file di configurazione, eseguirne il backup. Modificare esclusivamente i parametri specificati. La modifica di altri

dati in questi file, inclusi i tag, può determinare danneggiamenti e guasti del sistema. Dell non può garantire la risoluzione dei problemi
derivanti da modifiche non autorizzate a questi file senza dover reinstallare Enterprise Server.

•

Password Keystore:

conf

del componente sullo stesso valore, come segue:

<directory di installazione di Compliance Reporter>\conf\eserver.properties. Impostare il valore
eserver.keystore.password =

conf

di Compliance Reporter, Console Web Services, Device Server o Gatekeeper Web Services.

Start

> scegliere

immettere una password (<>;&" ' sono caratteri non supportati) e impostare la variabile nel file

Esegui

e digitare

move cacerts cacerts.old

.

<directory di installazione di Console Web Services>\conf\eserver.properties. Impostare il valore
eserver.keystore.password =

<directory di installazione di Device Server>\conf\eserver.properties. Impostare il valore eserver.keystore.password =

•

Nome e cognome:

completo include il nome host e il nome di dominio (ad esempio, server.dell.com).

immettere il nome completo del server in cui è installato il componente in uso. Questo nome

Guida alla configurazione 35

•

Unità organizzativa:

•

Organizzazione:

•

Città o località:

•

Stato:

immettere il nome esteso dello stato (ad esempio, Italia).

• Codice paese di due lettere:
Stati Uniti = US

Canada = CA
Svizzera = CH
Germania = DE
Spagna = ES
Francia = FR
Gran Bretagna = GB
Irlanda = IE
Italia = IT
Paesi Bassi = NL

immettere il valore appropriato (ad esempio, Sicurezza).

immettere il valore appropriato (ad esempio, Dell).

immettere il valore appropriato (ad esempio, Roma).

• Verrà richiesta la conferma dell'immissione delle informazioni. In questo caso, digitare
altrimenti no. In Keytool verrà visualizzato ciascun valore precedentemente immesso. Premere
il valore oppure modificarlo e premere

•

Password della chiave per l'alias:

Keystore.

INVIO

.

se non si immette un'altra password in questa posizione, verrà utilizzata la password

yes

,



INVIO

per accettare

Richiedere un certificato firmato da un'Autorità di certificazione

Attenersi alla procedura descritta di seguito per generare una richiesta di firma del certificato per il certificato autofirmato
creato in

1

Generare una nuova coppia di chiavi e un certificato autofirmato

Sostituire lo stesso valore precedentemente utilizzato per <

keytool -certreq -sigalg MD5withRSA -alias <certificate-alias> -keystore
.\cacerts -file <csr-filename>

Esempio:

keytool -certreq -sigalg MD5withRSA -alias dell -keystore .\cacerts -file
credant.csr

Il file.csr conterrà una coppia BEGIN/END che verrà utilizzata durante la creazione del certificato nell'Autorità di
certificazione.



certificate-alias

.

>:

36 Guida alla configurazione

Figura 9-1. File CSR di esempio

2

Attenersi alla procedura dell'organizzazione per l'acquisizione di un certificato server SSL da un'Autorità di
certificazione. Inviare i contenuti del file <csr-filename> per la firma.

NOTA: è possibile richiedere un certificato valido in diversi modi. Un metodo di esempio è illustrato in

certificato

3

Alla ricezione del certificato firmato, archiviarlo in un file.

4

È consigliabile eseguire il backup del certificato in caso di errori durante il processo di importazione, onde evitare di
dover ripetere per intero la procedura.

.

Metodo di esempio per richiedere un

Importare un certificato radice

NOTA: se l'Autorità di certificazione del certificato radice è Verisign (ma non Verisign Test), passare alla procedura successiva e importare il

certificato firmato.

Il certificato radice dell'Autorità di certificazione convalida i certificati firmati.

1

Effettuare

• Scaricare il certificato radice dell'Autorità di certificazione e

• Ottenere il certificato radice server della directory aziendale.

2

Effettuare

• Se si abilita SSL per Compliance Reporter, Console Web Services, Device Server

• Se si abilita SSL tra il server e il server della directory aziendale, passare a

3

Per installare il certificato radice, eseguire Keytool nel modo seguente:

keytool -import -trustcacerts -alias <ca-cert-alias> -keystore .\cacerts -file
<ca-cert-filename>

una

delle seguenti operazioni:

una

delle seguenti operazioni:

conf

passare alla directory

Runtimes\jre1.x.x_xx\lib\security

del componente.

archiviarlo in un file.

o Legacy Gatekeeper Connector,

<directory di installazione Dell>\Java

(la password predefinita per l'Autorità di certificazione JRE è

changeit

).

Esempio:

keytool -import -alias Entrust -keystore .\cacerts -file .\Entrust.cer



Metodo di esempio per richiedere un certificato

Un metodo di esempio per richiedere un certificato consiste nell'utilizzare un browser Web per accedere al server
Microsoft CA, installato internamente dall'organizzazione.

1

Passare al server Microsoft CA. L'indirizzo IP verrà fornito dall'organizzazione.

Guida alla configurazione 37

2

Selezionare

Figura 9-2. Servizi certificati Microsoft

3

Selezionare

Richiedi certificato

Richiesta avanzata

e fare clic su

e fare clic su

Avanti >

Avanti >

.

.

Figura 9-3. Scegliere il tipo di richiesta

38 Guida alla configurazione

4

Selezionare l'opzione per
Avanti >

Figura 9-4. Richiesta certificati avanzata

.

inviare una richiesta di certificato mediante un file PKCS #10 con codifica Base64

e fare clic su

5

Incollare i contenuti della richiesta CSR nella casella di testo. Selezionare un modello di certificato del

Invia >

clic su

Figura 9-5. Inviare una richiesta salvata

.

server Web

e fare

Guida alla configurazione 39

6

Salvare il certificato. Selezionare

Figura 9-6. Scaricare il certificato CA

Codifica DER

e fare clic su

Scarica certificato CA

.

7

Salvare il certificato. Selezionare

Figura 9-7. Scaricare il percorso del certificato CA

Codifica DER

e fare clic su

Scarica percorso certificato CA

.

40 Guida alla configurazione

8

Importare il certificato dell'autorità di firma convertito. Tornare alla finestra DOS. Digitare:

keytool -import -trustcacerts -file <csr-filename> -keystore cacerts

9

Una volta importato il certificato dell'autorità di firma, sarà possibile importare il certificato server (è possibile creare la
catena di certificati). Digitare:

keytool -import -alias dell -file <csr-filename> -keystore cacerts

Utilizzare l'alias del certificato autofirmato per associare la richiesta CSR al certificato server.

10

Un elenco dei file delle Autorità di certificazione indicherà che il certificato server presenta una
di certificati

pari a 2, ovvero il certificato non è autofirmato. Digitare:

lunghezza per la catena

keytool -list -v -keystore cacerts

L'impronta del secondo certificato nella catena è il certificato dell'autorità di firma importato (elencato anche al di sotto
del certificato server nell'elenco).

Il certificato server è stato importato insieme a quello dell'autorità di firma.

Guida alla configurazione 41

42 Guida alla configurazione

0 XXXXXA0 X