podręcznik do szkolenia na temat usług sieciowych firmy novell

Novell Networking and Services- Novell Open Workgroup Suite 2

- praktyczny przegląd funkcjonalności

opracowanie: Małgorzata Piotrowska

strona 1

1 Wstęp

.. Cel szkolenia

Szkolenie przeznaczone jest dla uczniów/studentów szkół średnich, szkół policealnych, oraz uczelni wyższych kierunków informatycznych.Celem kursu jest zapoznanie z sieciowymi rozwiązaniami firmy Novell, w szczególności - przedstawienie zestawu programów i usług wchodzących w skład Novell Open Workgroup Suite 2 - ekonomicznego i zgodnego ze standardami otwartymi zestawu usług sieci komputerowych, zawierającego składowe przeznaczone dla serwerów i desktopów, w tym narzędzia administracyjne, wspomagania współpracy i zaawansowane aplikacje biurowe.

.. Wymagania wstępne

Posiadanie praktycznej wiedzy z zakresu technologii sieciowych, podstawowa wiedza oraz doświadczenie w pracy z systemami linuksowymi, w szczególności SUSE, znajomość systemu Microsoft Windows XP Professional.

.. Czas trwania

32 do 40 godzin lekcyjnych zajęć warsztatowych uzupełnionych materiałami e learningowymi, przy założeniu spełnienia wymagań wstępnych.

.. Konspekt warsztatów: 4 dni po 8 godzin lekcyjnych

dzień pierwszy:• Novell Open Workgroup Suite – składowe zestawu, licencjonowanie.• NetWare 6.5, SUSE Linux Enterprise Server 10 a Open Enterprise Server 2 – jaki

serwer do czego? • Stacje robocze– SLED, MS Windows, MAC OS.• OES 2 na SLES 10 – czyli eDirectory, serwery NCP.

dzień drugi:• Zarządzanie usługami – iManager, iMonitor, Remote Manager, YAST.• OES 2 na SLES 10 - nss, iFolder 3.x, NetStorage, iPrint.

dzień trzeci:• Novell ZENworks Configuration Management Standard Edition - składowe,

zastosowanie.• Novell ZENworks Linux Management - wytyczne wdrożenia, przykład

zastosowania.• Novell GroupWise 8– wytyczne wdrożenia, przykład zastosowania.

dzień czwarty:• Rozwiązania zapewniające bezpieczeństwo usług sieciowych.• Novell Identity Manager.• Podsumowanie – studium przypadków praktycznych, trendy. Novell a Open

Source (WIOO).

Małgorzata Piotrowska PTUN http://www.ptun.org.pl

http://www.ptun.org.pl/

strona 22 Novell Open Workgroup Suite – składowe zestawu

.. Składowe NOWS

http://www.novell.com/products/openworkgroupsuite/productinfo/

Novell Open Workgroup Suite 2 jest oferowany w dwóch zestawach:

1. Zestaw pierwszy — „wieloplatformowy” z Novell Teaming

Komponenty serwerowe można instalować na Novell SLES, Novell NetWare, a niektóre – na Microsoft Windows Server. W skład zestawu wchodzą produkty:

Novell Open Enterprise Server 2 — OES 2 SP1 Linux (SUSE Linux Enterprise Server 10 SP2), OES 2 SP1 NetWare (NetWare 6.5 SP8);

Novell GroupWise 8 multilingual — rozwiązanie do komunikacji i pracy grupowej z możliwością wdrażania serwera na SUSE Linux Enterprise Server;

Novell ZENworks 10 Configuration Management — pakiet oprogramowania do zarządzania komputerami osobistymi, pozwalający zmniejszyć koszt ich posiadania dzięki opartym na politykach (regułach) mechanizmom automatyzacji konfigurowania, aktualizacji, przywracania sprawności i migracji. Obsługuje


http://www.novell.com/products/openworkgroupsuite/productinfo/


strona 3stacje i serwery MS Windows oraz Linux, serwery NetWare i urządzenia przenośne. Można też używać Novell ZENworks 7 Suite.

SUSE Linux Enterprise Desktop 10 multilingual — system operacyjny open source dla desktopów i notebooków zawierający OpenOffice.org 2 (edycja Novella) OpenOffice.org for Windows (edycja Novella) — pakiet aplikacji biurowych dla systemów Windows.

2. Zestaw drugi — „wieloplatformowy” bez Novell Teaming

Inne produkty jw.

Licencję NOWS można kupić na urządzenie lub użytkownika:na czas nieokreślony lub w rocznej dzierżawie wraz z asystą techniczną

(tzw. maintenance, zapewniająca dostęp do pomocy technicznej oraz nowych wersji produktów).

.. Wymagania systemowe

Przed instalacją rozwiązania Novell Open Enterprise Server dla systemu Linux, należy spełnić następujące wymagania minimalne:

• komputer klasy serwer;• procesor minimum Pentium II (zalecany Pentium 4 z zegarem 1.5 GHz);• minimum 512 MB RAM (zalecane 1 GB);• 10 GB wolnej przestrzeni dyskowej.

Uwaga: Wielkość wymaganej pamięci RAM lub przestrzeni dyskowej uwzględnia wymagania tylko składników systemu. Elementy dodatkowo

instalowanych usług mogą wymagać dodatkowej pamięci RAM i przestrzeni dyskowej.

Przed instalacją rozwiązania Novell Open Enterprise Server dla systemu NetWare, należy spełnić następujące wymagania minimalne:

• komputer klasy serwer z procesorem Pentium II lub AMD K7 (zalecany komputer z dwoma procesorami Pentium III, Pentium III Xeon, Pentium 4, lub Intel Xeon 700 MHz);

• 512 MB RAM (zalecane 1 GB);

• karta graficzna Super VGA (zalecana karta zgodna z VESA 1.2 obsługująca wysokie rozdzielczości);

• partycja DOS o rozmiarze 200 MB i 200 MB dostępnej przestrzeni (zalecana partycja startowa z 1 GB dostępnej przestrzeni);

• 1 GB dostępnej przestrzeni dyskowej poza partycją DOS na partycję systemową (zalecane 4 GB);

• minimum jedna karta sieciowa;

• napęd CD obsługujący specyfikację El Torito;

• myszka USB lub PS/2 (zalecana)



strona 4

_

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 53 Stacje robocze dla serwerów OES 2

SLED, MS Windows, MacOS X

Trzy typy podłączenia do usług sieciowych serwerów OES2:

Novell Client → protokół NCP

Jeżeli zainstalowana jest usługa Novell SLP (lub OpenSLP) - można przeszukiwać wykryte drzewa eDirectory (NDAP) , konteksty. Jeżeli SLP nie ma (SLP jest rekomendowane, ale w małych sieciach – do trzech serwerów, - niekonieczne) – należy przy logowaniu podać nazwę DNS serwera lub adresy IP .

NFAP dla OES Netware

Novell CIFS lub SAMBA, Novell AFP dla OES Linux

przez przeglądarkę i protokoły internetowe (NetStorage, iFolder, iPrint)

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 64 OES 2 na SLES 10 – czyli eDirectory, serwery NCP, nss, iPrint,

iFolder, NetStorage

Pakiet OES 2 zawiera dwa zestawy usług sieciowych na dwie platformy serwerowe – NetWare 6.5 oraz SLES 10.

Poniżej przedstawiono porównanie ważniejszych usług sieciowych dostarczanych na platformy serwerowe OES 2:



strona 7



strona 8



strona 9



strona 10



strona 11



strona 12



strona 13



strona 14Systemy plików na serwerach OES 2:

NSS Novell Storage Services – „sztandarowy” system plików firmy Novell



strona 15Usługi NSS udostępniają wiele unikalnych i wydajnych funkcji systemu plików.

Wybrane funkcje NSS:• możliwość ustawiania widoczności struktur folderów, plików – na róznych

poziomach,• rozbudowany model kontroli dostępu do plików i folderów, tradycyjnie doceniany

za swoją elastyczność i podatność na ustawianie zgodne z biznesowymi funkcjami pracowników (RBS),

• zamazywanie danych:- całkowicie wymazuje pliki, spełnia standardy zabezpieczeń wymagane przez rząd Stanów Zjednoczonych,

• obsługa wielu konwencji nazewniczych - pełna, równoczesna obsługa nazewnictwa plików systemów DOS, Windows, Unix oraz Macintosh,

• rodzimy format Unicode,• możliwość ustawiania ograniczeń na przydziały użytkowników i folderów, • rozbudowane atrybuty plików, • obsługa wielu strumieni danych, • listy plików zdarzeń (historia – journaling), • podsystem odzyskiwania plików, • możliwość zapisywania „migawek” (snapshots) na poziomie pliku lub puli (co

zapewnia usługę archiwizacji oraz wersjoningu). Dzięki połączeniu tych funkcji usługi NSS są świetnym systemem plików do zarządzania pamięcią masową plików współdzielonych, przeznaczonym dla organizacji o dowolnej wielkości, umożliwiającym dowolną praktycznie skalowalność zarządzania systemem.Usługi NSS obsługują również narzędzia innych firm służące do zaawansowanej ochrony danych i zarządzania nimi. Obsługiwane są także tradycyjne rozwiązania umożliwiające archiwizację i tworzenie kopii zapasowych.

By na serwerach linuksowych była do dyspozycji pełna funkcjonalność wolumenów NSS – urządzenia dyskowe muszą być zarządzane przez Enterprise Volume Management System (EVMS).

http://evms.sourceforge.net/http://www.novell.com/linux/volumemanagement/strategy.html

Poniżej przedstawiono na rysunku zestawienie terminologii różnych systemów plików zarządzanych przez EVMS:



strona 16Poniżej – zestawienie usług plikowych dostępnych na różnych typach wolumenów:

_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

OES 2 Linux – jakie systemy plików są rekomendowane dla jakich usług?

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 17.. eDirectory – usługa katalogowa Sprawna organizacja środowiska informatycznego możliwa jest w oparciu o usługi katalogowe, które zapewnią unifikację informacji o tożsamości i uprawnieniach użytkowników, o posiadanych zasobach – oprogramowaniu i urządzeniach oraz o obowiązujących regułach.

Do najpopularniejszych na świecie usług katalogowych należy Novell eDirectory. Rozwiązanie to cechuje się niezrównaną skalowalnością (obsługa nawet miliardów obiektów w katalogu) i niezawodnością oraz elastyczną, ale zapewniającą wysoki poziom bezpieczeństwa architekturą.

System Novell eDirectory jest zgodny z najważniejszymi standardami branżowymi i systemami operacyjnymi oraz jest niezwykle łatwy do zarządzania.

Cechy i funkcje

• Skalowanie od wdrożeń najmniejszych do obejmujących ponad miliard tożsamości

• Obsługa standardów otwartych oraz standardów nowo wprowadzanych, w tym LDAP, SOAP, DSML, ADSI i JDBC

• Elastyczna struktura bezpieczeństwa z bezpośrednią obsługą zaawansowanych metod uwierzytelniania

• Przełączanie awaryjne w czasie rzeczywistym i odtwarzanie po awarii

• Kompleksowe narzędzia administracyjne zapewniające elastyczność korzystania z katalogów

• Kompatybilność z systemami Linux, NetWare, Windows, Solaris, AIX i HP-UX

• Opatentowany mechanizm replikacji z wieloma równoprawnymi kopiami, ułatwiający zagwarantowanie dostępu do danych w katalogu np. podczas uwierzytelniania użytkowników.

eDirectory (NDS – Novell Directory Services) to wysoce skalowalne, wydajne oraz bezpieczne rozwiązanie usługi katalogowej zgodne ze standardem X.500.



strona 18eDirectory jest usługą obsługiwaną na platformach NetWare, MS Windows, Linux, Solaris, Tru64, AS400. Implementacja standardu Open LDAP gwarantuje otwartość struktury na integrację z aplikacjami internetowymi.

eDirectory utrzymuje informacyjną bazę danych o wszystkich zasobach sieci oraz obsługuje żądania klientów dotyczące zasobów. Umiejscawia zasób

w sieci, weryfikuje klienta i łączy klienta z zasobem.

Dzięki eDirectory użytkownik może w prosty sposób wskazać, którym spośród wielu zasobów sieciowych chce się w danej chwili posłużyć. Usługi Katalogowej Bazy eDirectory to usługi sieciowe, regulujące dostęp do informacji sieciowych, zasobów oraz innych usług (plików, drukowania, pocztowych itp.).

Obiektowa baza danych eDirectory składa się z obiektów, cech i wartości. Obiekt jest jednostką informacji o zasobie sieci; porównać go można do zapisu (rekordu) w bazie danych.

baza danych → rekord - pole – dane eDirectory → obiekt - cecha – wartość

Obiekt może być zasobem fizycznym (drukarka, stacja robocza), logicznym (rola organizacyjna, wskaźnik, wzorzec (template)...), lub – organizacyjnym (kontenery).

Cechy definiują i rozróżniają obiekty.

Cechy mogą być obligatoryjne (nazwa obiektu jest zawsze taką cechą) lub nie, jedno- lub wielowartościowe (np. numer telefonu).

Spis wszystkich możliwych obiektów oraz ich cech stanowi strukturę (schema) eDirectory.

eDirectory jest bazą otwartą, o łatwo rozszerzalnej strukturze. Jest też bazą replikowalną (powielarną).



strona 19

Korzyści wynikające ze stosowania eDirectory:• centralne i standardowe zarządzanie informacją o zasobach i usługach -

pojedynczy punkt zarządzania dostępem do sieci;• logiczna organizacja zasobów niezależna od fizycznej charakterystyki sieci;• dynamiczne połączenie między zasobem a odpowiadającą mu informacją

(obiektem);• kontrola dostępu do sieci na podstawie informacji o użytkowniku, a nie

o miejscu, w którym on przebywa; • ochrona zasobów sieci za pomocą zabezpieczeń opartych na regułach;• bezpieczeństwo oparte o szyfrowanie RSA; usługi kryptograficzne;• możliwość udostępniania pracownikom, klientom, partnerom i dostawcom

informacji w sieci - i wyłącznie tych informacji, do których wykorzystywania są oni upoważnieni.

Bazę eDirectory można dzielić na mniejsze części, tzw. partycje.



strona 20Repliki (kopie) każdej partycji przechowuje się na różnych serwerach, co zapewnia niezawodność i łatwość dostępu do bazy.

___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



strona 21System zapewnia pełną synchronizację informacji między różnymi replikami tej samej partycji.

Planowanie, wdrożenie i odpowiednie utrzymanie rozmieszczenia replik, podział na partycje, kontrola synchronizacji, konfiguracja usług związanych z czasem (rodzaje czasu, serwery czasu, synchronizacja) – należą do bardzo istotnych elementów niezawodnej i wydajnej pracy systemów opartych o rozwiązania firmy Novell.

.. Drzewo eDirectory

Obiekty eDirectory uporządkowane są w strukturę zwaną DRZEWEM KATALOGU (Directory tree).

Obiekty – liście (leaf) umieszczone są w kontenerach.

Obiekty - kontenery (containers) znajdują się w korzeniu ([Root]) lub wewnątrz innych kontenerów. Tylko w kontenerach mogą znajdować się inne obiekty. Kontenery stosowane są do logicznego pogrupowania obiektów eDirectory. Mogą odzwierciedlać kraje, firmy, wydziały, grupy robocze.Jedynym kontenerem obowiązkowym jest jeden obiekt typu Organizacja.

Obiekt [Root] reprezentuje najwyższy poziom w drzewie i występuje tylko raz dla danego drzewa. Jest to specyficzny obiekt-„rezerwujący miejsce”. Nie może być skasowany, przesunięty, nie można mu zmienić nazwy. Powstaje w czasie instalacji usługi eDirectory na serwerze.



strona 22Obiekty liście reprezentują określone logiczne oraz fizyczne zasoby sieci takie, jak: użytkownicy, drukarki, serwery i systemy składowania plików. Obligatoryjne obiekty-liście wynikają z usług udostępnianych przez system. Do pracy w sieci, kontroli tożsamości niezbędne są obiekty użytkownicy, dostęp do systemów plików umożliwiają obiekty typu Volume, a z usługami drukowania związane są obiekty drukarki. Wiele obiektów nie jest obowiązkowych ale ułatwia pracę administratora oraz poprawia wydajność systemu. Są to, między innymi, obiekty: grupa, rola organizacyjna, wskaźnik do katalogu, profile login script, wzorzec – template.

typy kontenerów: przykłady obiektów liści:

Obiekty mają następujące atrybuty klas: C Country - Kraj, np. C=PL O Organization - Organizacja, np O=DAOU Organizational Unit - Jednostka Organizacyjna, np. OU=SLCCN Common Name - Zwykła Nazwa, np. CN=KThorn, CN=DA_SYS.

eDirectory potrzebuje dokładnej informacji o lokalizacji określonego obiektu w drzewie.

Kontekst (context) jest miejscem danego obiektu w drzewie eDirectory. Kontekst określony jest poprzez podanie nazw wszystkich obiektów-kontenerów leżących między danym obiektem a korzeniem.

Bezwzględna nazwa (distinguished name) jednoznacznie identyfikuje obiekt: składa się z nazwy zwykłej nadanej przy tworzeniu obiektu oraz kontekstu – lokalizacji obiektu w drzewie.



strona 23

Na przykład:

.CN=BJohnson.OU=SLC.O=DA określa położenie obiektu użytkownika BJohnson w drzewie DA_TREE.

Można też odwołać się do obiektu przez nazwę częściową, względną (partial name, relative distinguished name); nazwę określającą położenie obiektu względem bieżącego kontekstu.

Bieżący kontekst (current context) jest aktualną pozycją stacji roboczej w drzewie eDirectory.

CN=BJohnson.OU=SLC jest nazwą częściową, poprawną przy bieżącym kontekście takim jak O=DA; CN=BJohnson jest nazwą częściową - poprawną, gdy bieżący kontekst jest taki sam jak obiektu użytkownika BJohnson, tj: OU=SLC.O=DA

Gdy podawane są nazwy klas (typów) obiektu (O=organizacja, OU=jednostka organizacyjna, CN=nazwa zwykła obiektu liścia, ...) - jest to tzw. nazewnictwo z zastosowaniem typów (typefull naming); gdy pomijamy te nazwy – jest to nazewnictwo bez typów (typeless naming). W drugim przypadku - system sam odpowiednio uzupełni nazwę. Przykład: .BJohnson.SLC.DA

Nazwa zwykła (common name) jest zawsze nazwą względną (relative distinguished name).

Każda lokalizacja potrzebnego zasobu w sieci poprzedzana jest lokalizacją odpowiadającej zasobowi informacji (obiektu) w bazie eDirectory.

Nie można uzyskać dostępu do zasobu bez pośrednictwa eDirectory.___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 24Poprawna praca systemu usług sieciowych zależy od poprawnej pracy eDirectory – procesów (ndsd) i baz. To z kolei zależy od poprawnej komunikacji i konfiguracji elementów systemu:

Dbałość o poprawną konfigurację i komunikację elementów systemu oraz codzienne zarządzanie usługą eDirectory należy do podstawowych obowiązków administratora sieci komputerowej opartej o rozwiązania firmy Novell.

Przed instalacją pierwszego serwera w sieci i utworzeniem drzewa eDirectory dla firmy przygotowywany jest odpowiedni projekt eDirectory.Projekt powinien zawierać:• standardy nazewnicze obiektów eDirectory;• strukturę bazy;• projekt drzewa ze wszystkimi kontenerami;• planowany podział na partycje, plan rozmieszczenia replik eDirectory;• rozmieszczenie i plan dostępu wszystkich przewidywanych usług;• harmonogramy wdrożeń, konserwacji, testowania pracy systemu, dostępności

oraz wydajności uruchomionych usług.

Pierwsze obiekty powstają przy instalowaniu eDirectory; kolejne, w szczególności obiekty użytkowników, tworzone są przez administratorów na bieżąco, według potrzeb, w oparciu o wyżej wymienione dokumenty i standardy.

Każdy użytkownik sieci powinien mieć unikalny obiekt użytkownika. Jedynym obiektem użytkownika automatycznie tworzonym przy instalacji eDirectory – jest admin. Admin jest obiektem o pełnych, maksymalnych prawach do eDirectory. Później można tworzyć obiekty użytkowników o takich samych prawach jak admin, można skasować obiekt admin lub odebrać mu prawa...

Użytkownicy sieci mogą być łączeni w grupy, w zależności od zbioru praw, profilu pracy. Jeden użytkownik może należeć do wielu grup. W systemie istnieje zawsze grupa [PUBLIC], do której automatycznie należą wszyscy – nawet poza sesją pracy w sieci. Naturalną grupą jest kontener – jednostka organizacyjna, organizacja...

___________________________________________________________________________________

__________________________________________________________________________________



strona 25Zarządzanie obiektami – narzędzia:

• iManager (oparty o Novell exteNd Director Standard Edition – dostępność funkcji określona przez RBS – Role Based Services)http://server_IP_adres lub nazwa DNS/nps/iManager.html case sensitive!

• ConsoleOne (oparta o JVM – uruchamiana na serwerze lub stacji roboczej (lepiej))

• synchronizacja danych osobowych --> Identity Manager (dawniej:DirXML)

.. prawa do obiektów i cech obiektów

System zabezpieczeń - ochrona zasobów przed... i dla użytkowników– Kto może mieć dostęp do sieci i jak? - Kto może mieć dostęp do jakich zasobów

w sieci i w jaki sposób?–

Ponadto:• SMS, tj. Storage Management Services (Usługi zarządzania Pamięcią Masową) • SFT tj. System Fault Tolerance (Systemowa Odporność na Awarie)- różne poziomy

nadmiarowego zapisu danych przez, przykładowo, wykorzystanie macierzy dyskowych (RAID), rozwiązań typu SAN czy klastrów

• UPSy

Sieciowy system zabezpieczeń dostępu do danych składa się z: – zabezpieczeń procedury włączenia się do sieci - logowania (login security):

istnienie konta obiektu użytkownika, okres ważności, - hasło: istnienie, długość, okresowa zmiana, unikalność, - ilość dopuszczalnych wejść do sieci po wygaśnięciu hasła, - ograniczenia dotyczące stacji roboczej, czasu pracy;

– zabezpieczeń systemu plikowego (file system security);– zabezpieczeń eDirectory (eDirectory security); – zabezpieczeń serwerów (server security); – zabezpieczeń środowiska określonej usługi sieciowej, np. drukowania.



strona 26Prawa dostępu eDirectory regulują dostęp do obiektów i ich cech w bazie eDirectory.

Prawa eDirectory i systemu plików są rozdzielne.

Uprawnienia nie przepływają z eDirectory do systemu plikowego. Wyjątkiem jest prawo S (Superviory) do obiektu serwera – dysponent obiektu serwera z prawem S - ma też prawo S do wszystkich wolumenów NCP tego serwera.

Uprawnienie Supervisory do obiektu i jego cech może być zablokowane w drzewie eDirectory przez filtr IRF (inherited rights filter) lub odebrane przez nadanie mnijeszych praw z tego samego tytułu.

Dysponentem (trustee) danego obiektu (object trustee) można zostać przez: • nadanie bezpośrednie obiektowi użytkownika,• odziedziczenie z góry praw dysponenta, • z tytułu przynależności do grupy, roli organizacyjnej czy kontenera, • poprzez ekwiwalent praw do obiektu dysponenta (security equivalence).

Prawa dostępu do obiektów:

□Inherit

Prawa dostępu do cech (atrybutów) obiektów:

□Inherit

Prawa do cech obiektu mogą być nadawane na dwa sposoby:

1. opcją All Properties/Attributes

2. opcją Selected Properties/Attributes



strona 27ustawienia domyślne:

• [Public] ma prawo [B] do całego drzewa eDirectory;

• admin ma prawo [S] do [Root];

• twórca ma prawo [S] do obiektu serwera;

• obiekt ma prawo czytania wszystkich swoich cech (All Properties);

• obiekt użytkownik ma dodatkowo prawo zapisu do swoich cech: login script, print job configuration (Selected Properties);

• [Root] ma prawo czytania cechy Network Address obiektu serwera;

• obiekt Serwer ma prawo [S] do siebie.

.. Zasady dziedziczenia praw w drzewie eDirectory

___________________________________________________________________________________

__________________________________________________________________________________



strona 28

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________



strona 29.. Zarządzanie usługami – iManager i inne

Do zarządzania usługami OES2 mamy do dyspozycji szereg różnorodnych narzędzi – od poleceń liniowych poprzez programy typu menu, programy z GUI po narzędzia przeglądarkowe – iManager, iMonitor, Remote Manager.

Funkcjonalność jest różna – zależy też od wersji i platformy systemowej, na której uruchamiamy daną wersję programu.

.. Narzędzia administracyjne OES 2

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________

_______________________________________________________________________________



strona 30.. IFolder 3.7

www.ifolder.comhttp://www.novell.com/documentation/ifolder3/index.html

Projekt iFolder to sponsorowana przez Novella inicjatywa open source, oprogramowanie upraszczające synchronizację plików między różnorodnymi systemami operacyjnymi na różnych komputerach. iFolder zapewnia użytkownikom swobodny, bezpieczny dostęp do własnych plików, a także możliwość współdzielenia plików z innymi użytkownikami.

Oprogramowanie zostało przekazane przez Novella społeczności i jest rozwijane na zasadach otwartego dostępu do kodu źródłowego od 2007 roku. Użytkownicy i twórcy oprogramowania mogą bezpłatnie pobierać oprogramowanie klienckie

i serwerowe oraz ich kod źródłowy.

Najnowsza wersja iFolder 3.7.2, została wzbogacona o szereg nowych mechanizmów. Użytkownicy mają do dyspozycji większe możliwości w zakresie bezpieczeństwa oraz obsługi kopii zapasowych, a także swobodę dostępu do plików na dowolnym komputerze za pomocą przeglądarki internetowej. Istnieje również możliwość łączenia plików, usprawnione zostało zarządzanie różnymi wersjami plików z ulepszonym mechanizmem rozwiązywania konfliktów. Pliki użytkownika automatycznie są powielane i synchronizowane między komputerami.

Użytkownicy sami kontrolują kto ma dostęp do ich iFolderów i na jakich prawach za pomocą programu klienta iFoldera.

Klient iFoldera integruje się z systemem operacyjnym by dostarczyć usługi iFoldera we właściwy dla danego środowiska sposób.


http://www.novell.com/documentation/ifolder3/index.html

http://www.ifolder.com/


strona 31Dostępne są wersje klienta dla następujących systemów stacji roboczych:

• SUSE® Linux Enterprise Desktop (SLED) 10 SP1;• openSUSE®;• Windows Vista SP1/XP SP2/2000 Professional SP4;• Apple Macintosh 10.4 .

Sesja iFolder'a zaczyna się w momencie zalogowania do konta usług iFoldera, a kończy w momencie wylogowania z konta lub zamknięcia programu klienta iFoldera. W czasie aktywnej sesji (i aktywnego połączenia sieciowego z serwerem iFoldera) możliwa jest synchronizacja plików. Użytkownicy mają dostęp do danych w lokalnych iFolderach w każdym momencie – również poza sesją iFoldera.



strona 32.. NetStorage

NetStorage zapewnia i dostarcza bezpieczny dostęp z przeglądarki internetowej lub poprzez Microsoft Web Folders (Microsoft'a implementacja protokołu WebDAV) - do plików i folderów na serwerach NetWare® i Linux.

Do uwierzytelniania NetStorage wykorzystuje Novell® eDirectory.

Novell NetStorage pozwala na:• bezpieczne kopiowanie, przenoszenie, zmianę nazwy, kasowanie, czytanie oraz

pisanie do plików na serwerach z lokalnego komputera podłączonego do Internetu;

• wykonywanie archiwalnych kopii plików; • dostęp do archiwalnych kopii plików (Novell Archive and Version Services 2.1 –

wymaga NSS!);• eliminację potrzeby stosowania klienta VPN dla dostępu do plików;• eliminację potrzeby kopiowania lub przesyłania e-mailem danych między

serwerami;• dostęp do sieciowych plików i folderów przez Novell Virtual Office oraz Novell

exteNd Director™ 4.1 Standard Edition;• zarządzanie prawami dostępu do plików i folderów, zmianę atrybutów

w systemach plików NSS na NetWare. Dla NSS na Linuksie – użytkownicy muszą być „Linux-enabled” przez Linux User Management.

Novell NetStorage:• obsługuje przypisania wskaźników dyskowych (typu G:, H:) w login scriptach przy

logowaniu przez Novell Client™;• obsługuje obiekty Storage Location stosowane dla wyświetlenia unikalnej nazwy

folderu w liście dostępu do katalogu wyświetlanej przez Microsoft Web Folders lub przeglądarkę internetową (Storage Location).

Przy NetStorage zainstalowanym na jednym serwerze OES Linux – użytkownicy mogą mieć dostęp do dowolnych zasobów plikowych serwerów Linux oraz NetWare (od NetWare 5) w rozproszonej geograficznie sieci.

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 33

NetStorage jest instalowane na jednym serwerze Linux, który spełnia funkcje serwera Middle Tier (Xtier). Konfiguracja serwera Middle Tier jest przechowywana w pliku XML na serwerze. Zmieniać konfigurację ( i ogólnie – zarządzać usługą) można przez wtyczki (plugins) do iManager'a.Serwer Middle Tier komunikuje się z serwerami NetWare i Linux oraz zapewnia uwierzytelnianie przez konta i hasła użytkowników w eDirectory.

Wszystkie transakcje mogą być szyfrowane przez stosowanie SSL.

Strona internetowa NetStorage wyświetla pliki i foldery aktualnie dostępne dla danego użytkownika. Dla serwerów NCP – NetStorage czyta login scripty kontenerowe, profile, użytkownika (tylko z podstawowego (primary) serwera eDirectory określonego podczas instalacji) by odnaleźć przypisania dyskowe, czyta cechy obiektu eDirectory User (ze wszystkich serwerów z różnych drzew eDirectory, których adresy IP lub nazwy DNS zostały podane podczas instalacji) by określić ścieżki do katalogu domowego użytkownika.

UWAGA. W przypadku różnych drzew eDirectory – nazwa użytkownika musi być ta sama w każdym drzewie.

Obiekty Storage Location skojarzone z odpowiednimi katalogami są wymagane dla zapewnienia dostępu do plików i katalogów na serwerach Linux (gdy nie ma serwerów NCP na nich), mogą też być stosowane dla serwerów NetWare. Wyświetlane są foldery określone na oba omówione sposoby.

UWAGA. Na razie nie jest możliwy dostęp do iFolder 2.x or 3.x za pomocą NetStorage na Linuksie.

Dostęp użytkownika do NetStorage: http://server_ip_address/oneNet/NetStorage/

(jeżeli Apache2 używa niestandardowego portu – należy go podać)



strona 34Lokalne pliki i foldery w współdzielonym katalogu serwera Linuksa, na którym jest zainstalowany NetStorage – mogą być dostępne przez NetStorage. Jest to użyteczne przy wkopiowywaniu (uploading) plików na serwer.

Ścieżka: /var/opt/novell/NetStorage/shared___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

.. iPrint

http://www.novell.com/documentation/oes2/iprint_lx/index.html?page=/documentation/oes2/iprint_lx/data/boeyh9p.html

iPrint pozwala użytkownikom na drukowanie skądkolwiek – gdziekolwiek.Oparty o internetowy standard IPP, iPrint umożliwia instalowanie drukarek z przeglądarki internetowej. Równie dobrze można wysłać zadanie wydruku na drukarkę za ścianą, jak za ocean - z miejsca pracy, z domu, z kawiarenki internetowej.

Drukowanie jest niezawodne i bezpieczne (przesyłana informacja jest szyfrowana). Można używać połączeń SSL.

Ponadto iPrint opiera się na NDPS używając eDirectory do weryfikacji uprawnień użytkowników do drukowania.





strona 35

Ze strony internetowej użytkownicy przez kliknięcie na wybraną z listy dostępnych drukarkę - instalują klienta iPrinta (o ile nie był wcześniej zainstalowany), ściągają potrzebne sterowniki dla wybranej drukarki, tworzą drukarkę na stacji roboczej. Drukarka od tej chwili jest dostępna dla każdej aplikacji stacji roboczej.

Struktura usług iPrint dla OES 2 Linux:

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 36

iPrint integruje się z usługą Novell eDirectory™ by zapewnić dostęp do drukarki wyłącznie użytkownikom autoryzowanym.

Transmitowane dane są szyfrowane.Domyślnie iPrint używa portów: 443 dla transmisji po SSL, 631 dla transmisji zwykłej. iPrint obsługuje też TLS – wtedy cała transmisja idzie przez port 631.

W czasie instalacji oprogramowania iPrint na serwerze SLES - usługa CUPS jest blokowana, by uniknąć konfliktu portu 631. Uwaga. Ponieważ klient iPrint używa CUPS do przygotowania zadań wydruku

przed wysłaniem ich do Print Manager'a – nie jest możliwe drukowanie lokalne z serwera SLES, na którym zainstalowano usługę iPrint.

Nowe cechy usługi iPrint w OES 2 SP1:• możliwość migracji usługi z serwera NetWare na SLES za pomocą narzędzia

Migration Tool,• wsparcie dla NSS – możliwość przechowywania konfiguracji iPrint na wolumenie

NSS,• wsparcie klastrów (na NSS).

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 375 Pakiet Novell ZENworks Configuration Management Standard

Edition - składowe, zastosowanie, wytyczne wdrożenia, przykład zastosowania

http://www.novell.com/pl-pl/products/zenworks/configurationmanagement/http://www.novell.com/documentation/zcm10/index.html

Licencjonowanie - po jednej licencji na każdego użytkownika lub na każde urządzenie.

Novell ZENworks Configuration Management - oprogramowanie do zarządzania komputerami osobistymi w czasie całego cyklu życia, pozwalające zmniejszyć koszt ich posiadania dzięki opartym na politykach (regułach) mechanizmom automatyzacji konfigurowania, aktualizacji, przywracania sprawności i migracji.

Rozwiązanie wieloplatformowe - działa w środowiskach serwerowych Windows, Linux i Open Enterprise Server for Linux, umożliwia zarządzanie różnymi wersjami Windows dla komputerów osobistych, w tym Vista.

Novell ZENworks Configuration Management to pojedyncze, zintegrowane rozwiązanie udostępniające zaawansowane mechanizmy, takie jak zarządzanie uaktualnieniami i konfiguracją urządzeń użytkowników, dostarczanie aplikacji, zarządzanie poprawkami, wykrywanie i usuwanie luk w zabezpieczeniach, zdalne zarządzanie, migracja tożsamości (przenoszenie zasobów i ustawień użytkownika na nowy komputer), wdrażanie i utrzymanie standardowego środowiska operacyjnego, zarządzanie zasobami i licencjami (w tym inwentaryzacja, audyt i kontrola zgodności) oraz zarządzanie zabezpieczeniami urządzeń końcowych.

Ponadto można wzbogacać funkcjonalność rozwiązania odpowiednio do potrzeb firmy. Przykładowo zaczynając od zarządzania desktopami można dalej stopniowo wdrażać kolejne wysoce zautomatyzowane zarządzanie wszystkimi składnikami infrastruktury informatycznej: od komputerów stacjonarnych i przenośnych aż po centrum przetwarzania danych.



http://www.novell.com/documentation/zcm10/index.html

http://www.novell.com/pl-pl/products/zenworks/configurationmanagement/

strona 38Novell ZENworks Configuration Management obsługuje bezpośrednio usługi katalogowe Active Directory i Novell eDirectory. Obsługuje środowiska z wieloma drzewami katalogowymi. ZENworks opiera swoje działanie na pochodzących z tych drzew katalogowych informacjach o tożsamości użytkowników, korzystając z istniejących już reguł i uprawnień dla zdefiniowanych grup użytkowników. Umożliwia to zarządzanie zasobami z uwzględnieniem biznesowych reguł i ról pełnionych przez osoby w organizacji — bez modyfikowania struktury katalogowej. Wszystko odbywa się bez konieczności replikacji i synchronizowania kont użytkowników.

Za pomocą Novell ZCM możesz zarządzać następującymi serwerami i stacjami roboczymi:• Windows 2000 Server SP4• Windows Server 2003 SP1 Enterprise x86, x86-64• Windows Server 2003 SP1 Standard x86, x86-64• Windows 2000 Professional SP4 x86• Windows Embedded XP SP2• Windows Vista x86, x86-64 (tylko wersje Business, Ultimate i Enterprise)• Windows XP Prof. SP2 x86 z poprawką KB897327

http://support.microsoft.com/KB/897327• Windows XP Tablet PC Edition SP2

Sesje klienta uproszczonego:• Windows 2000 Server SP4 x86• Windows Server 2003 SP1 x86, x86-64

Za pomocą Novell ZENworks Configuration Management można inwentaryzować następujące serwery i stacje robocze:• NetWare 5.1, 6.0 i 6.5• OES (Netware)• SUSE LINUX 8.0 - 10 (wszystkie wydania)• Red Hat Enterprise Linux 2.1 - 4.x• AIX 4.3 - 5.3 IBM pSeries (RS6000)• HP-UX 10.20 - 11.23 HP PA-RISC (HP9000)• Solaris 2.6 - 10 Sun SPARC (32- i 64-bit)• SUSE® Linux Enterprise 8 - 10 (wszystkie wydania)• Red Hat Linux 7.1 – 9• Mac OS 10.2.4 lub nowszy

Wymagania wobec serwera, na którym można zainstalować usługi NZCM:• Windows Server 2003 SP1 Enterprise x86, x86-64• Windows Server 2003 SP1 Standard x86, x86-64• SUSE Linux Enterprise Server 10 na platformach 32-bitowych (x86) i 64-bitowych

(x86-64) (procesory Intel i AMD Opteron)• Novell Open Enterprise Server 2 (Linux) x86, x86-64



strona 39Novell ZENworks Configuration Management obsługuje następujące bazy danych:• Sybase SQL iAnywhere 10.0 (instalowane domyślnie)• Sybase SQL Anywhere 10.0• Microsoft SQL 2005• Oracle* 10g Standard - 10.2.0.1.0

System ZCM składa się z dwóch głównych elementów: serwerów Primary oraz zarządzanych urządzeń pogrupowanych w tzw. Management Zone.

ZCM nie wymaga Novell eDirectory™ (chociaż z nią współpracuje), używa własnej bazy:

Usługi ZENworks są instalowane i konfigurowane na każdym z serwerów Primary.

Serwer Primary zawiera usługi ZENworks ( m.in. - zarządzania, wymuszania reguł (polis), inwentaryzacji, tworzenia obrazów). Główne usługi, to: ZENworks Server, ZENworks Loader, ZENworks Imaging Service, ZENworks Preboot Policy Service, ZENworks Server Service, ZENworks Management Service.

Content repository przechowuje w bazie - oprogramowanie, polisy, metadane konfiguracji. Zawartość repozytoriów jest zaszyfrowana i spakowana. Repozytoria są automatycznie replikowane, wg ustalonego terminarza, między serwerami Primary w Management Zone.

ZENworks Configuration Management database: przechowuje pełną konfigurację oraz dane inwentaryzacyjne urządzeń, logi, komunikaty , dane transakcji, użytkownikach oraz wiele innych.



strona 40

Na każdym zarządzanym urządzeniu musi być zainstalowany Novell ZENworks Adaptive Agent „współpracujący” z serwerami Primary ZCM.

Urządzenie może być zarejestrowane (i zarządzane) tylko w jednej Management Zone, ale może się komunikować z wieloma serwerami Primary strefy – w określonej kolejności, aż trafi na na taki, który może dostarczyć żądaną informację.

Uwaga. Zainstalowanie programu ZENworks Adaptive Agent automatycznie odinstaluje agentów poprzednich wersji ZENworks za wyjątkiem ZENworks 10 Patch Management

Agent.

ZENworks Adaptive Agent umożliwia: • bezpośrednie dostarczanie programów, łatek, dowolnych

plików do urządzenia;• zarządzanie regułami (polisy) określającymi zachowanie

urządzenia, możliwości użytkowania itp.;• pobranie danych inwentaryzacji;• zdalne zarządzanie urządzeniem.

Usługi te dostarczane są przez moduły agenta - „wtyczki”. Domyślnie instalowane są: Bundles module, Policies module, Inventory module, Remote Management module, Distribution Point module.

ZENworks® Adaptive Agent wdraża reguły zdefiniowane przez administratora.

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 41

To co użytkownik może faktycznie zrobić na danej stacji roboczej jest iloczynem logicznym reguł związanych z jego obiektem użytkownika oraz reguł związanych z komputerem, na którym pracuje.

Zanim administrator zacznie definiować zestawy reguł itd powinien starannie wszystko, we współpracy z użytkownikami, a w szczególności kadrą kierowniczą, zaprojektować oraz przetestować.

Tworzenie niestandardowych reguł za pośrednictwem centralnej konsoli pozwala lepiej kontrolować komputery stacjonarne, serwery i komputery naręczne przez cały okres ich eksploatacji, co obejmuje m.in. konfigurowanie urządzeń, tworzenie i obsługę ich obrazów, inwentaryzację, kontrolę wykorzystania licencji, utrzymanie oprogramowania oraz zdalne zarządzanie.

Można nawet definiować wzajemne relacje między zarządzanymi zasobami.___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 42

Pakiet ZENworks Configuration Management pomaga w przygotowaniu użytkownikom spersonalizowanych środowisk roboczych — gdziekolwiek się oni znajdują.

ZCM automatycznie dostarcza aplikacje i inne zasoby informatyczne dostosowane ściśle do indywidualnych potrzeb poszczególnych użytkowników (lub grup) z uwzględnieniem ról pełnionych przez nich (lub przez nie) w firmie. W efekcie użytkownicy nie są skazani na korzystanie z jednego określonego komputera. Mogą bowiem uzyskiwać dostęp do swoich środowisk roboczych i aplikacji za pośrednictwem dowolnego urządzenia, niezależnie od miejsca pobytu. Ostatecznie chodzi o zapewnienie odpowiedniej produktywności użytkowników, a nie urządzeń.

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 43.. Novell ZENworks Endpoint Security Managementto pełne zabezpieczenie urządzenia końcowego z zachowaniem funkcji centralnego sterowania rozwiązaniami informatycznymi; prosta, scentralizowana i pełna ochrona dla wszystkich punktów końcowych w sieci - przewodowych i bezprzewodowych. Zapewnia zgodność z normą ISO 27001.

Moduły:• Osobista zapora sieciowa• Kontrola portów• Szyfrowanie danych• Bezpieczeństwo urządzeń USB• Nadzór nad aplikacjami• Monitorowanie alarmów



strona 44

Licencjonowanie- po jednej licencji na każdy komputer użytkownika (urządzenie)

osobista zapora sieciowa (personal firewall)

Novell oferuje zaporę sieciową chroniącą przed hakerami, destrukcyjnymi programami, atakami z użyciem różnych protokołów i wieloma innymi zagrożeniami — a przy tym całkowicie niewidoczną dla użytkowników.

W przeciwieństwie do typowych osobistych zapór sieciowych, które działają tylko w warstwie aplikacji lub w formie sterownika punktu zaczepienia zapory, rozwiązanie oferowane przez firmę Novell jest zintegrowane ze sterownikiem NDIS każdej karty sieciowej. Umożliwia to optymalizację wydajności oraz zapewnia blokowanie niepożądanego ruchu w momencie, w którym próbuje on wejść do komputera użytkownika.

Technologia adaptacyjnego blokowania portów (ang. Adaptive Port Blocking) zapewnia ochronę przed atakami wykorzystującymi protokoły, takimi jak nieuprawnione skanowanie portów, zalew pakietów z flagą synchronizacji (ang. SYN flood), ataki w protokole NetBIOS i ataki typu DDOS (odmowa usługi). Administrator może skonfigurować zaufane i obce hosty według adresów IP lub adresów MAC, według ich położenia, a także według obsługujących je struktur sieciowych, które używają konkretnych technologii rozsyłania, np. multicastingu IP, ARP, ICMP i 802.1x.

Bezprzewodowo i bezpiecznieRozwiązanie do kontroli rozwiązań bezprzewodowych zapewnia centralny nadzór nad tym, gdzie, kiedy i jak użytkownicy mogą łączyć się z siecią. Można dzięki

temu ograniczyć łączność bezprzewodową tylko do uprawnionych punktów dostępowych, określić minimalną siłę szyfrowania lub nawet całkowicie wyłączyć obsługę Wi-Fi*.

Oprócz tego automatycznie wymusza się przestrzeganie stosowania wirtualnych sieci prywatnych przez wprowadzenie wymogu, że oprogramowanie VPN musi być uruchomione w momencie połączenia urządzenia z obcymi sieciami, np. w hotelach, lotniskach czy kawiarniach. Funkcja wykrywania nieuprawnionych punktów dostępowych ułatwia ochronę sieci bezprzewodowej w biurze i w jego otoczeniu.

Wszystkie te funkcje zapewniają kompleksową kontrolę nad łącznością Wi-Fi i ochronę przed hakerami niezależnie od użytych przez nich sztuczek. Użytkownicy mogą pracować w dogodnym dla nich miejscu i czasie, nie musząc samodzielnie podejmować decyzji związanych z bezpieczeństwem czy ręcznie wprowadzać kluczy zabezpieczeń.

Kontrola portówOprócz ochrony środowiska Wi-Fi, ZENworks Endpoint Security Management zabezpiecza wszystkie porty i karty komunikacyjne na urządzeniach końcowych,

takie jak:• porty sieci lokalnej• porty modemowe• porty Bluetooth*• porty podczerwieni• port 1394 (Firewire*)• porty szeregowe i równoległe



strona 45Szyfrowanie danychModuł Encryption szyfruje dane we wszystkich miejscach, do których one trafiają.

Umożliwia to scentralizowane tworzenie, dystrybucję, narzucanie i kontrolowanie reguł szyfrowania we wszystkich punktach końcowych i wyjmowalnych urządzeniach pamięci masowej (np. pamięć USB). Sterowanie szyfrowaniem odbywa się w rozbiciu na poszczególne typy plików, lokalizacje, typy urządzeń i inne kryteria. Nie wymaga się przy tym od użytkowników samodzielnego zarządzania ustawieniami i kluczami bezpieczeństwa.

Bezpieczeństwo urządzeń USBPrzy braku odpowiedniego zarządzania, wyjmowalne urządzenia pamięci masowej mogą stanowić poważne zagrożenie dla bezpieczeństwa i uniemożliwić

zachowanie zgodności z przepisami i regulacjami.Użytkownicy o złych zamiarach mogą skopiować na te urządzenia wielkie ilości danych nie pozostawiając po sobie żadnego śladu.Urządzenia zawierające poufne informacje łatwo jest też ukraść czy zgubić.Co więcej, przez urządzenia USB bez żadnych przeszkód może wkroczyć do firmy destrukcyjne oprogramowanie i zainfekować całą sieć. Niekontrolowane przenoszenie niezaszyfrowanych danych poza firmę czy instytucję naraża jej zarząd na poważne kłopoty ze strony audytorów kontrolujących zgodność z przepisami ustawy o ochronie danych, normą ISO:27001, regulacjami SOX, czy europejską Basel II.Rozwiązanie USB Security egzekwuje przestrzeganie reguł bezpieczeństwa dla urządzeń pamięci masowej. Reguły można swobodnie dostosowywać. Są one bezustannie i automatycznie rozsyłane do urządzeń bez udziału użytkownika. Dzięki USB Security administratorzy uzyskują rozbudowaną, szczegółową kontrolę nad:• dyskami CD i DVD• napędami USB• pamięcią Flash• kartami PCMCIA SCSI• dyskietkami• dyskami ZIP• odtwarzaczami muzyki, inteligentnymi telefonami i innymi urządzeniami

osobistymi

Zgodność z wewnętrznymi regulaminami firmy i przepisami prawa można zapewnić dopuszczając, blokując lub ograniczając dostęp do lokalnych urządzeń pamięci masowej, które umożliwiają kopiowanie danych bez pozostawiania śladów.

Skonfigurowane uprawnienia można w elastyczny sposób egzekwować za pomocą zautomatyzowanych reguł działania, uwzględniających położenie użytkownika czy nawet numer seryjny urządzenia. Jeżeli np. dopuści się możliwość zapisywania na urządzeniu wyjmowalnym, to można też automatycznie generować szczegółowe alarmy i raporty dotyczące wszystkich plików skopiowanych na dane urządzenie.

W przeciwieństwie do innych rozwiązań, system firmy Novell zapewnia kontrolę na poziomie urządzenia pamięci masowej i systemu plików. Dzięki temu urządzenia niestanowiące zagrożenia — np. mysz czy klawiatura USB — mogą pozostać włączone i zwyczajnie działać. Co istotne, można zarządzać osobno wieloma urządzaniami wspólnie korzystającymi z jednego portu USB. Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 46

Nadzór nad aplikacjamiŚwiadome czy nieświadome uruchamianie niedozwolonych aplikacji na komputerach w firmie jest źródłem wielu zagrożeń — od infekcji destrukcyjnym

kodem po dotkliwe kary finansowe za używanie nielicencjonowanego oprogramowania.

Rozwiązanie Application Control zapewnia szczegółową kontrolę nad aplikacjami, oferując następujące funkcje:• Czarne listy aplikacji, które umożliwiają blokowanie znanych, szkodliwych

aplikacji.• Kontrola aplikacji według ich położenia, w tym możliwość zezwalania na

uruchomienie aplikacji, zezwalania, ale bez dostępu do sieci, i blokowania. Reguły egzekwowania przestrzegania zabezpieczeń umożliwiają automatyczną zmianę uprawnień stosownie do położenia użytkownika. Zablokowane incydenty są rejestrowane i zgłaszane na serwer.

• Kontrola spójności oprogramowania antywirusowego i antyszpiegowskiego sprawdza, czy takie aplikacje mają aktualne wersje i czy są uruchomione. Urządzenia niespełniające wymogów zgodności można poddać kwarantannie i skorygować za pomocą ustalonych reguł, nawet jeśli urządzenie próbujące nawiązać łączność znajduje się z dala od biura.

• Narzucanie stosowania wirtualnej sieci prywatnej zapewnia, że użytkownik łączy się przez sieć VPN np. wtedy, gdy korzysta z publicznych punktów dostępowych. Funkcja ta nie tylko wymusza korzystanie z bezpiecznego połączenia i szyfrowanie danych, ale też chroni przed atakami typu Evil Twin (podszywaniem się pod punkt dostępowy) oraz zapobiega niebezpiecznym zachowaniom użytkowników, takim jak wydzielanie pobocznych tras dostępu (split tunelling).

• Zaawansowana obsługa skryptów umożliwia automatyczne porównywanie programów korygujących z serwisem aktualizacji firmy Microsoft lub wewnętrznym serwerem WSUS, wymuszanie instalowania brakujących poprawek, ciągłą kontrolę aktualności sygnatur wirusów itd. Nie wymaga to ani interwencji użytkownika, ani pomocy informatyków.

Automatyczna ochrona klientaZabezpieczenia działają tylko wtedy, jeśli się je odpowiednio zainstaluje, skonfiguruje i uruchomi.

Rozwiązanie Client Self-defense chroni punkt końcowy dbając też o to, by nie można było zmodyfikować, zaatakować ani odinstalować klienta zabezpieczeń.

Analizując położenie punktu końcowego w danym momencie, klient zabezpieczeń:• stosuje oparte na regułach filtry ruchu przychodzącego i wychodzącego;• sprawdza reguły nadzorujące używany sprzęt — np. bezprzewodowe punkty

dostępowe, wyjmowalne nośniki i karty sieciowe;• gromadzi dane do raportów;• uruchamia aplikacje zabezpieczające, niezbędne w konkretnych sytuacjach

określonych regułami.Aby uniemożliwić odinstalowanie, zmianę czy wyłączenie tych funkcji, co mogłoby pozwolić nieupoważnionym użytkownikom na dostęp do poufnych danych, rozwiązanie Client Self-defense stosuje następujące mechanizmy: • do odinstalowania klienta wymagane jest hasło lub użycie pakietu instalacyjnego

wysyłanego przez administratora;



strona 47• do wstrzymania lub zatrzymania usługi wymagane jest hasło (zgodnie

z ustawieniami obowiązującej reguły);• nie można zatrzymywać procesów bezpieczeństwa za pomocą Menedżera zadań

Windows;• najważniejsze pliki, klucze i wartości rejestru są monitorowane w poszukiwaniu

nieprawidłowych zmian;• rozwiązanie wymusza powiązanie filtra NDSI z kartą sieciową.

Monitorowanie alarmówFunkcja Alerts Monitoring nadzoruje i zgłasza do konsoli administracyjnej wszystkie próby naruszenia firmowych reguł bezpieczeństwa, co pozwala

administratorom szybko skorygować problem.

Konsola rozwiązania Alerts umożliwia swobodną konfigurację i zapewnia precyzyjną kontrolę nad sposobem oraz częstotliwością wyzwalania alarmów.

Administrator ma do dyspozycji pełny pakiet narzędzi raportowo-kontrolnych, za pomocą których można narzucić użytkownikom przestrzeganie wewnętrznych reguł bezpieczeństwa i dokumentować zgodność zabezpieczeń punktów końcowych z normami ISO ustawami typu SOX, HIPAA i innymi przepisami o kontroli i ochronie danych.

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 48.. Novell ZENworks Asset Managementto produkt udostępniający pełny i dokładny obraz zainstalowanego sprzętu i programów oraz informacje o zgodności z posiadanymi licencjami, rozwiązanie umożliwiające inwentaryzację zasobów, kontrolę korzystania z oprogramowania oraz administrowanie kontraktami i uzgadnianie licencji.

Inteligentne rozpoznawanie zasobów pozwala uniknąć pomyłek i ryzyka naruszenia licencji. Unikalna funkcja „widoku licencji” rozróżnia pełne pakiety oprogramowania od ich poszczególnych elementów, a także aplikacje typu przeglądarka od ich pełnych wersji.

Duża dokładność dzięki normalizowaniu danych z uwzględnieniem producenta, produktu, wydania i wersji, ponadto - udostępnia funkcje analizy wykorzystania, administrowania kontraktami i uzgadniania licencji

Licencjonowanie- po jednej licencji na każdego użytkownika lub na każde urządzenie.

Novell ZENworks Asset Management stosuje opatentowaną metodologię inwentaryzacji. Umożliwia uzyskanie wiarygodnych informacji zwrotnych, które pomogą w usprawnieniu zarządzania zasobami i uniknięciu kar spowodowanych niezgodnością z warunkami licencyjnymi.

W skład ZENworks Asset Management wchodzą moduły:• inwentaryzacji zasobów (Asset Inventory);• sprawdzenia zgodności z warunkami licencyjnymi (Software Compliance);• śledzenia użytkowania aplikacji (Usage).

Na oprogramowanie można spojrzeć z trzech stron: – z punktu widzenia plików, aplikacji i licencji.

1. Obraz plików to lista plików wykonywalnych. 2. Obraz aplikacji przedstawia wykryte aplikacje. 3. Obraz licencji obejmuje zaś licencje na te aplikacje. System sprawdzania

zgodności dopasowuje zainstalowane programy do warunków licencyjnych w relacji jeden do jednego - z „perspektywy licencyjnej”.

Novell ZENworks Asset Management pozwala na uzyskanie następujących korzyści:• Perspektywa licencyjna zinwentaryzowanego oprogramowania. Możliwość

optymalizacji zakupów aplikacji w stosunku do potrzeb firmy.• Dane na temat zakupów oprogramowania. Firma może być narażona na

konsekwencje nielegalnego wykorzystania oprogramowania. Kluczem do minimalizacji zagrożeń i kosztów związanych z kontrolą legalności oprogramowania jest wykazanie należytej staranności. Umożliwia to program audytu zgodności z warunkami licencji.

• Redukcja kosztów oprogramowania i obsługi. Często nieświadomie kupuje się zbyt wiele licencji na oprogramowanie i pakiety pomocy technicznej. Raporty zawierające dane dotyczące liczby instalacji, użytkowania oraz dokonanych zakupów ułatwią znalezienie oszczędności.

• Przygotowanie do negocjacji ze sprzedawcą. Rozpoczęcie negocjacji w oparciu o raporty wykazujące dokładną liczbę niezbędnych licencji pomaga w uzyskaniu lepszych warunków handlowych.



strona 49

• Uniknięcie problemów związanych z kontrolą legalności oprogramowania. Redukcja czasu niezbędnego do wyszukania w kartotekach i systemach finansowych liczby kupionych i zainstalowanych aplikacji oraz porównania ich z warunkami licencyjnymi.

Zarządzanie zasobami opiera się o dokładny inwentarz zasobów informatycznych w firmie. Moduł Asset Inventory automatycznie wykrywa i rejestruje oprogramowanie, sprzęt i zasoby sieciowe. Rejestrowane są wszystkie działające w firmie komputery biurowe z systemami Linux, MacOS i Windows oraz serwery z systemami Linux, Windows, NetWare i UNIX. Uzyskane dane umożliwiają zapewnienie zgodności z warunkami licencyjnymi, pozwolą także oszczędzić na zakupach licencji i pakietów pomocy technicznej. Dodatkowo mogą zostać skutecznie wykorzystane w innych projektach informatycznych, na przykład podczas migracji, zarządzania leasingiem, przy organizacji stanowisk pomocy, budżetowaniu, planowaniu itd.

Cechy kluczowe

Raportowanie• Rozbudowane raporty dostępne przez strony WWW, oferujące wiele opcji

wyświetlania i tworzenia wykresów• Setki wbudowanych raportów i zapytań• Analiza danych archiwalnych oraz trendów w zakresie wykorzystania zasobów• Możliwość samodzielnego tworzenia raportów i ostrzeżeń.

Wykrywanie• Automatyczne wykrywanie dziesiątek tysięcy produktów• Wykrywanie oprogramowania, sprzętu i urządzeń sieciowych• Comiesięczne aktualizacje bazy wiedzy• Wykrywanie pakietów oprogramowania• Możliwość łatwego dodania mechanizmów wykrywania produktów własnych

i odziedziczonych• Nieograniczona liczba pól definiowanych przez użytkownika do gromadzenia

dodatkowych informacji.

Mechanizmy• Zintegrowane narzędzie umożliwiające przesyłanie danych z komputerów

użytkowników• Proces inwentaryzacji w oparciu o konfigurację standardową lub własną• Inwentaryzacja przez sieć, dostęp telefoniczny z zewnątrz oraz autonomiczna• Elastyczne opcje uruchamiania (strategie klienta, strategie systemowe, skrypty

do uwierzytelnienia)• Wiele opcji tworzenia i wykorzystania harmonogramów• Możliwość skanowania na życzenie w celu inwentaryzacji wybranych urządzeń

w czasie rzeczywistym• Integracja z narzędziami do zarządzania zasobami oraz systemami elektronicznej

dystrybucji oprogramowania (ESD, Electronic Software Distribution)• Automatyczne aktualizacje.

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________



strona 50Technika wykrywania ZENworks

Wyszukanie plików wykonywalnych na dysku jest bardzo proste w porównaniu z analizą zebranych informacji:• nagłówki plików wykonywalnych zawierają często informacje nieścisłe, błędne

lub nie zawierają żadnych danych;• w środowisku Windows pliki wykonywalne nie muszą jednoznacznie wskazywać

konkretnych aplikacji• celem wykorzystania narzędzia do automatycznego wykrywania i rejestracji

programów jest uzyskanie wiarygodnych informacji na temat zainstalowanego oprogramowania. Nie wystarczy lista nic nie znaczących plików wykonywalnych.

Firma Novell instaluje i bada każdą aplikację, której sygnatury dodawane są do bazy wiedzy. Sygnatury są tworzone przez wykwalifikowanych, doświadczonych specjalistów.Opatentowana technika wykrywania i rejestracji ZENworks Recognition Technology zastosowana w module Asset Inventory jest stosowana od ponad 14 lat na ponad 10 mln. komputerów biurowych.

Sprawdzanie zgodności z licencjami

Novell ZENworks Asset Management oferuje obraz zgodności z warunkami licencyjnymi w oparciu o interfejs WWW. Dane inwentaryzacyjne są połączone z rejestrem zakupów i licencji tworząc wszechstronną „perspektywę licencyjną”.

Cechy kluczoweŚledzenie licencji• Importowanie informacji o zakupach w celu redukcji ręcznego wprowadzania

danych• Automatyczne uwzględnienie zakupów dodatkowych licencji dla produktów,

które firma już posiada• Możliwość integracji z systemem sprzedawcy (np. SHI, SoftChoice).

Uzgadnianie• Automatyczne dopasowywanie informacji o produktach wykrytych i zakupionych• Inwentarz oprogramowania połączony z dowodami zakupu i informacjami

o instalacji• Możliwość tworzenia szczegółowych raportów zgodności w celu uzyskania danych

o zakupie i instalacji oprogramowania.

Zarządzanie zasobami oprogramowania• Zarządzanie standardami oprogramowania obowiązującymi w firmie

(oprogramowanie standardowe, niestandardowe i niezgodne ze strategią firmy)• Raporty łączące dane na temat licencji, instalacji i użytkowania• Licencje przypisane do działów, ośrodków kosztów lub pojedynczych stacji

roboczych.

Raporty zgodnościRaport zgodności łączy informacje o dokonanych zakupach i posiadanym inwentarzu oraz pozwala na szybki dostęp do danych.



strona 51

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 52Użytkowanie

ZENworks Asset Management umożliwia poznanie trendów i szczegółowych informacji na temat użytkowania aplikacji na komputerach biurowych. Raporty informują o tym kto wykorzystuje dane oprogramowanie (typy i konkretne produkty), a przede wszystkim jakie oprogramowanie nie jest w ogóle wykorzystywane. Umożliwia to utrzymanie zgodności z warunkami licencyjnymi przy jednoczesnym ograniczeniu zakupów licencji i pakietów pomocy technicznej do niezbędnych produktów.Raporty użytkowania umożliwiają też wdrożenie i utrzymanie firmowych standardów, a także wyeliminowanie nieautoryzowanych aplikacji jak narzędzia hakerskie czy oprogramowanie peer-to-peer (P2P).

Cechy kluczowe• Raporty informujące o aplikacjach zainstalowanych lokalnie i na serwerach• Śledzenie czasu użytkowania aplikacji (zarówno pierwszoplanowych jak

i działających w tle)• Lista wykorzystania aplikacji: często, rzadko lub brak• Informacje na temat użytkowników i urządzeń (także wielodostępnych)

korzystajacych z aplikacji• Zbiorcze widoki poziomów użytkowania w działach firmy czy ośrodkach kosztów• Raporty informujące o poziomie użytkowania aplikacji w określonym czasie• Możliwość tworzenia rozbudowanych zapytań uszczegóławiających• Śledzenie użytkowania nawet jeśli dane urządzenie jest odłączone od sieci• Nie zakłóca pracy użytkownika: zajmuje mało miejsca i działa w tle bez wiedzy

użytkownika.Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 53Architektura ZENworks Asset Management

W skład ZENworks Asset Management wchodzą następujące elementy:• konsola WWW oraz konsola zarządzająca, wykorzystywana do administrowania

i raportowania• usługa-zadanie, zarządzająca wykrywaniem w sieciach• mechanizmy aktualizacji bazy wiedzy oraz oprogramowania• usługa gromadzenia danych, zarządza harmonogramami inwentaryzacji

i aktualizacjami po stronie komputerów użytkowników• centralna baza danych (Microsoft SQL lub Oracle), w której przechowywane są

wszystkie zebrane dane dotyczące inwentarza i użytkowania, pochodzące ze wszystkich wykrytych urządzeń.

Zestawienie głównych właściwości ZENworks 7 Asset Management

Cecha ZENworks Suite*, ZENworks Desktop Management* i Server Management*

ZENworks Asset Management

Inwentaryzacja zasobów (Asset Inventory)

TAK TAK

Sprawdzenie zgodności z warunkami licencyjnymi (Software Compliance)

NIE TAK

Śledzenie użytkowania aplikacji (Usage)

NIE TAK

• Klienci objęci ubezpieczeniem wersji lub konserwacją (maintenance) mają prawo do skorzystania z Asset Inventory



strona 54.. Novell ZENworks Linux Management - wytyczne wdrożenia

http://www.novell.com/documentation/zlm72/index.htmlhttp://www.novell.com/documentation/zlm73/index.html

Oparte na politykach (regułach) rozwiązanie do zarządzania służące do wdrażania i utrzymania w ruchu serwerów i komputerów osobistych z systemem Linux.

Scentralizowane zarządzanie komputerami osobistymi – uprawnieniami użytkowników, obrazami dysków i aktualizacjami oprogramowania, zdalna inwentaryzacja zasobów itd.

Novell® ZENworks® Linux Management jest pierwszym, w pełni zintegrowanym z systemami Linux rozwiązaniem do zarządzania linuksowymi serwerami i stacjami roboczymi.

Uwaga. ZENworks Linux Management pozwala na zarządzanie serwerami Dell PowerEdge przez połączenie możliwości ZENworks Linux Management z funkcjonalnością Dell OpenManage* toolkit.W przypadku posiadania SUSE® Linux Enterprise Server lub Red Hat* Enterprise Linux na serwerach PowerEdge – można zarządzać i konfigurować sprzęt, systemy operacyjne, aplikacje – z jednej konsoli administracyjnej - ZENworks Control Center.

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________


http://www.novell.com/documentation/zlm73/index.html

http://www.novell.com/documentation/zlm72/index.html


strona 55

.. ZENworks Configuration Management — zestawienie właściwości

.. Przegląd właściwościStandard Advanced Enterprise

Zarządzane systemy:Windows Vista ▲ ▲ ▲Windows XP Professional ▲ ▲ ▲Windows XP Tablet Edition ▲ ▲ ▲Windows 2000 Professional ▲ ▲ ▲Windows Server 2003 ▲ ▲ ▲Windows 2000 Server ▲ ▲ ▲Macintosh OSX2 ▲ ▲ ▲Windows NT42 ▲ ▲ ▲Windows 982 ▲ ▲ ▲Windows 952 ▲ ▲ ▲NetWare® 6.52 ▲ ▲ ▲

Zarządzanie aplikacjami ▲ ▲ ▲Samonaprawianie aplikacji ▲ ▲ ▲Zdalne sterowanie ▲ ▲ ▲Wykrywanie i klasyfikowanie zasobów informatycznych ▲ ▲ ▲Sporządzanie raportów z użyciem narzędzia

BusinessObjects

▲ ▲ ▲

Zintegrowane zarządzanie poprawkami3 ▲ ▲

.. Kontrola urządzeń z wymiennymi nośnikami pamięci masowej

▲ ▲

Kontrola portów USB ▲ ▲Kontrola modemów oraz portów sieci lokalnej, Bluetooth,

podczerwieni i Firewire

▲ ▲

Kontrola portów szeregowych i równoległych ▲ ▲Kontrola kart sieciowych Wi-Fi ▲ ▲Zarządzanie listą autoryzowanych punktów dostępowych ▲ ▲Szyfrowanie danych ▲Osobista zapora sieciowa ▲Monitorowanie alertów bezpieczeństwa ▲Samoobrona komputerów-klientów ▲Kontrola autoryzowanych aplikacji ▲Blokowanie aplikacji ▲Zintegrowane zarządzanie zasobami ▲Złącza dla sprzedawców na potrzeby integracji wykazu

zakupów

▲

Śledzenie licencji na oprogramowanie ▲Śledzenie stopnia użycia oprogramowania ▲Zarządzanie umowami dotyczącymi zasobów ▲Zarządzanie aplikacjami działającymi na urządzeniach

naręcznych

▲

Zarządzanie zabezpieczeniami urządzeń naręcznych ▲Synchronizowanie haseł do urządzeń naręcznych

z zabezpieczeniami komunikacji sieciowej

▲

Zdalne sterowanie urządzeniami naręcznymi ▲Zarządzanie systemami Linux ▲Instalowanie poprawek na komputerach z systemem

Linux i stosowanie wobec nich działań zaradczych

▲

Zdalne zarządzanie komputerami z systemem Linux ▲

(2) Tylko inwentaryzacja.(3) Produkt obejmuje 60-dniowe aktualizowanie poprawek. Przedłużenie tej usługi wymaga nabycia ochrony uaktualnieniowej (upgrade protection) lub asysty technicznej (maintenance).



strona 56

.. ZENworks Configuration Management — przegląd produktów składowych

.. Przegląd produktów składowychStandard Advanced Enterprise

ZENworks Configuration Management ▲ ▲ ▲USB/Port & Wireless Security Management ▲ ▲Patch Management Services4 ▲ ▲

.. Asset Management Services▲

Endpoint Security Management ▲Handheld Management ▲Linux Management ▲

(4) Produkt obejmuje 60-dniowe aktualizowanie poprawek. Przedłużenie tej usługi wymaga nabycia ochrony uaktualnieniowej (upgrade protection) lub asysty technicznej (maintenance).

.. ZENworks Configuration Management i wytyczne ITILPakiet ZENworks Configuration Management jest zgodny z wytycznymi ITIL, które określają najlepsze metody działania dotyczące świadczenia usług informatycznych z myślą o:• dostosowaniu procesów informatycznych do ogólnych celów działalności firmy,• zapewnieniu zgodności ze zmieniającymi się błyskawicznie wymaganiami

ustawowymi,• wdrożeniu łatwej w rozbudowie infrastruktury do kontrolowania całego

przedsiębiorstwa, która posłuży do tworzenia kompleksowego zestawu usług w dziedzinie zarządzania środowiskiem informatycznymi.

• Pakiet ZENworks Configuration Management może ponadto pomóc:• obniżyć całkowity koszt zarządzania komputerami stacjonarnymi, serwerami

i urządzeniami naręcznymi,• zmniejszyć obciążenie administratorów obowiązkami,• regularnie instalować aktualizacje i poprawki systemów w celu zapewnienia

bezpieczeństwa i zgodności z przepisami,• zapewnić zgodność z umowami licencyjnymi i lepsze wykorzystanie nabytego

oprogramowania,• zabezpieczyć urządzenia końcowe, porty i urządzenia z wymiennymi nośnikami

pamięci masowej,• zwiększyć maksymalnie wartość wszystkich zasobów informatycznych.

.. Niezawodna migracja do sytemu ZENworksNiezależnie od tego, czy uaktualnianie odbywa się z wcześniejszych wersji ZENworks, czy z innego produktu do zarządzania systemami, pakiet ZENworks Configuration Management można wdrożyć całkowicie bez zakłócania pracy obecnego środowiska informatycznego.

Po wzbogaceniu infrastruktury o platformę Windows Server 2003, Novell Open Enterprise Server 2 (Linux) lub SUSE Linux Enterprise Server pakiet ZENworks pozwoli na zarządzanie konfiguracjami w każdym z tych systemów.



strona 57• Współistnienie. Nie trzeba się martwić o niekorzystny wpływ na obecnie

stosowane produkty do zarządzania systemami. Pakiet ZENworks Configuration Management może zgodnie współdziałać z wcześniejszymi wersjami ZENworks i produktami firm niezależnych.

• Kontrolowana migracja. Migrację można przeprowadzać w dogodnym dla siebie czasie — instalując od razu cały pakiet lub wybrane elementy. Konfiguracje można projektować i testować aż do momentu uzyskania satysfakcjonujących efektów, a następnie można wykonać migrację aplikacji i reguł zgodnie z własnym harmonogramem i z możliwością pełnego przywrócenia środowiska informatycznego do poprzedniego stanu. Podczas migracji zostaje zabezpieczona cała dotychczasowa zawartość infrastruktury: aplikacje, reguły, powiązania itd.

• Łatwa w rozbudowie architektura. Proste dodawanie nowych mechanizmów i rozwiązań technicznych w celu zaspokajania zmieniających się potrzeb biznesowych. Modułowa architektura oparta na usługach internetowych zapewnia oprogramowaniu ZENworks Configuration Management bezkonkurencyjną łatwość rozbudowy i skalowalność.

• Zgodność z ITIL. Pakiet ZENworks Configuration Management z łatwością wpisuje się w plany strategiczne każdej firmy ponieważ powstał na bazie architektury Novell Desktop-to-Data Center Management Blueprint przeznaczonej do świadczenia usług opartych na wytycznych Information Technology Infrastructure Library (ITIL).

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 587 Programy do pracy zespołowej - Novell GroupWise 8, Teaming & Conferencinghttp://www.novell.com/pl-pl/documentation/gw8/index.htmlhttp://www.novell.com/communities/coolsolutions/gwmag

Novell GroupWise 8 to wieloplatformowy pakiet oprogramowania wspomagającego komunikację i pracę grupową, obejmujący pocztę elektroniczną, komunikator, obsługę kalendarzy, terminarzy grupowych oraz zarządzanie zadaniami, kontaktami i dokumentami - bezpieczne, zgodne z innymi rozwiązaniami narzędzia pracy dla pracowników stacjonarnych i mobilnych.

.. Historia produktu

Historia GroupWise zaczęła się od WordPerfect Library. Produkty wchodzące w skład zestawu Library zostały opracowane w celu zorganizowania, uproszczenia i rozszerzenia środowisk pojedynczych komputerów w firmach współpracujących z WordPerfect Corporation. Wprowadzony na rynek 14 czerwca 1990 r. WordPerfect Office 3.0 był pierwszym produktem dla sieci lokalnych o wielu serwerach, oferując ponadto przekazywanie poczty elektronicznej, tworzenie kalendarzy oraz harmonogramów poprzez wiele platform. Po dodaniu Windows Mail Client na początku 1992 r., WordPerfect Office 3.1 stał się jedynym systemem przekazywania poczty elektronicznej, który funkcjonował w heterogenicznej sieci komputerów pracujących w systemach DOS, Windows, Macintosh, UNIX oraz maszyn VAX/VMS. Produkt ten zawierał również usługi zdalne, kartoteki do organizacji Skrzynek nadawczej i odbiorczej. Po kupieniu WordPerfect Corporation przez firmę Novell - systemowi WordPerfect Office nadano nową nazwę wraz z wypuszczeniem kolejnej wersji. 30-go sierpnia 1994 r. został wprowadzony na rynek system GroupWise 4.1 jednocześnie w wersjach dla wielu platform z ponad 50 nowymi i rozszerzonymi produktami.GroupWise jako pierwszy na rynku potrafił zarządzać dokumentami i obrazami poprzez nowe środowisko uniwersalnej skrzynki pocztowej. Uniwersalna Skrzynka Pocztowa zapewniała użytkownikom pojedynczy punkt dostępu do grup, zadań, wiadomości przekazywanych pocztą głosową, faksów, dokumentów, obrazów, kalendarzy osobistych i terminarzy oraz innych wiadomości. Gwarantowała dostęp do informacji nie tylko z komputera biurowego, ale także z poziomu dowolnej przeglądarki internetowej zgodnej z HTML czy nawet poprzez faks, telefon lub pager.

Bogaty zestaw funkcji i możliwości systemu GroupWise, jest od razu dostępny dla użytkowników . Można oczywiście w łatwy sposób poszerzać jego możliwości, dorabiać własne funkcje - lecz nie są one konieczne do jego funkcjonowania. GroupWise daje użytkownikom pewność, że mogą oni całkiem bezpiecznie przesyłać informacje dotyczące działalności swojej firmy za pośrednictwem Internetu, przy zachowaniu pełnych funkcji szyfrowania systemów GroupWise.. GroupWise pozostaje jednym z najlepiej skalowalnych systemów pracy grupowej.Ma wystarczająco duże możliwości, aby z łatwością spełnić wymagania dużych przedsiębiorstw, a przy tym jest na tyle prosty, aby mogły z niego korzystać również małe firmy. W GroupWise nacisk położono na obsługę klastrów, bezpieczeństwo oraz standardy internetowe; na łatwość i niezawodność udostępniania potrzebnych informacji - kiedykolwiek, gdziekolwiek: z komputera osobistego, telefonu komórkowego, komputera naręcznego (PDA), takiego jak PalmPilot, Compaq iPaq lub RIM Blackberry. Ponadto – Klient GroupWise łatwo integruje konta pocztowe od różnych dostawców, listy dyskusyjne.


http://www.novell.com/communities/coolsolutions/gwmag

http://www.novell.com/pl-pl/documentation/gw8/index.html


strona 59System GroupWise składa się z:• systemu zarządzania pocztą – domen, urzędów oraz skrzynek pocztowych

(w postaci katalogów i baz) oraz programów-agentów POA, MTA zarządzających nimi. System pocztowy jest zainstalowany na serwerach.

• klientów GroupWise instalowanych na stacjach roboczych.

System Novell GroupWise zorganizowany jest hierarchicznie w systemy, domeny, urzędy pocztowe oraz obiekty. Najbardziej typowymi obiektami są użytkownicy, ale mogą być nimi określone zasoby, jak na przykład: samochody służbowe, sale konferencyjne.

UWAGA 1. Raz nadanych nazw: systemu, domeny, urzędu pocztowego – nie można już zmienić!UWAGA 2. Ze względu na integrację z DNS ( adresy internetowe – nazwy użytkowników (więc i kont mailowych) powinny być unikalne w systemie.

Rozmieszczenie elementów przesyłki w bazach urzędu pocztowego:



strona 60Drogi przesyłki w systemie GroupWise

A/ nadawca i odbiorca w jednym urzędzie pocztowym; metoda dostępu Client - Server

B/ nadawca i odbiorca w różnych urzędach pocztowych jednej domeny metoda dostępu Client-Server



strona 61

C/ nadawca i odbiorca w systemach pocztowych – przesyłanie przez Internetodbiór przesyłki z Internetu

nadanie przesyłki do Internetu

Odbiór przesyłki ze swojej skrzynki pocztowej – zdalnie przez WebAccess



strona 62Przesyłka obiegowaDowolną przesyłkę można wysłać jako tzw. przesyłkę obiegową (lista rozsyłania). Można tę możliwość wykorzystać w prostym obiegu prac. Kolejni odbiorcy z listy rozsyłania otrzymują przesyłkę, gdy osoba poprzedzająca zakończy prace nad nią i zaznaczy jej zakończenie.Jeżeli typ przesyłki określi się jako zadanie, a dodatkowo podłączy się dokumenty oraz bibliotekę działu lub zespołu – można zdefiniować obieg prac – np. obsługę zlecenia.Bardziej profesjonalny obieg zadań – można utworzyć w oparciu o rozszerzenia GroupWise lub aplikacje oferowane przez firmy trzecie ( na bazie GroupWise).

PRACA Z DOKUMENTAMIUsługi zarządzania dokumentami pozwalają na tworzenie, przechowywanie, zarządzanie, przeszukiwanie, śledzenie i dostęp do dowolnych dokumentów.

DMS (Document Management Services) to usługi zarządzania dokumentami stanowiące integralną część systemu GroupWise. Można oczywiście usługi te wdrożyć później niż standardowe usługi poczty elektronicznej oraz terminarza.

Dokumenty DMS to pliki – zdefiniowane jako dokument – przechowywane w bazach – bibliotekach DMS. Poza typowymi dokumentami mogą to być przesyłki typu poczta, zadanie, spotkanie. Główną zaletą – praktycznie natychmiastowe udostępnienie potrzebnego dokumentu nawet, jeżeli powstał parę lat temu. Wyszukiwać dokumenty można według różnych kryteriów. Dokumenty mogą być równocześnie udostępnione wielu osobom.

Skuteczne wdrożenie DMS w firmie zależy w znacznym stopniu od starannego zaplanowania ostatecznej struktury DMS oraz przebiegu prac.

W ramach projektu należy:− zaplanować liczbę i wielkość bibliotek− zaplanować rodzaje dokumentów− zaplanować opisy dokumentów− zaplanować procedury bieżącej i okresowej obsługi bibliotek, parametry

i konfigurację agentów POA odpowiedzialnych za indeksowanie bibliotek.− zaplanować strukturę praw do bibliotek, określić funkcje bibliotekarzy− wdrożyć projekt. − przygotować dokumentację DMS oraz informację dla użytkowników.



strona 63

W trakcie instalacji programu klienta, GroupWise sprawdza, jakie aplikacje zostały zainstalowane na stacji roboczej i pyta, czy zainstalować pliki integracji z tymi programami.Istnieją dwa typy integracji:

- ODMA - (Open Document Management Application API) wykorzystanie istniejącego standardu;

– Point-To-Point - integracja wykorzystująca makroinstrukcje zamieniające odwołania aplikacji do systemu plików na wywołania ODMA.

Przy otwarciu dokumentu zintegrowanej aplikacji poprzez GroupWise – GroupWise automatycznie uruchamia właściwą aplikację. Przy zamykaniu dokumentu – system GroupWise zgłasza się z informacją o konieczności zachowania dokumentu w bibliotece GroupWise.Jest kilka metod tworzenia dokumentów z DMS:

− Tworzenie z innej niż GroupWise aplikacji i zapisanie do biblioteki;

− Edycja istniejącego dokumentu i zapisanie do biblioteki jako nowy dokument;

− Tworzenie dokumentu w GroupWise i otwarcie w aplikacji – przeznaczone dla

aplikacji nie zintegrowanych;

− Import dokumentów do biblioteki.__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 64.. Zestawienie funkcjonalności różnych wersji GroupWise



strona 65



strona 66



strona 67.. Porównanie programów klienckich GroupWise



strona 68



strona 69



strona 70.. Novell Teaming

http://www.novell.com/documentation/team_plus_conf/index.htmlhttp://www.novell.com/coolsolutions/vault/abc_555.html

Otwarta platforma współdzielenia i obiegu dokumentów oraz pracy zespołowej, zwiększająca produktywność przez udostępnienie wspólnej przestrzeni roboczej, społecznościowych mechanizmów sieciowych i współpracy w czasie rzeczywistymNovell Teaming zawiera mechanizmy zarządzania dokumentami i ich współdzielenia; workflow; zespołowe kalendarze i wspólne listy zadań; fora dyskusyjne, wiki i blogi, mechanizmy zarządzania przekazywaniem zadań i wiedzą

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________


http://www.novell.com/coolsolutions/vault/abc_555.html

http://www.novell.com/documentation/team_plus_conf/index.html


strona 718 Bezpieczeństwo w sieciach opartych o rozwiązania firmy Novell

.. Polityka bezpieczeństwa

• procedury zapewnienia bezpieczeństwa, procedury postępowania w przypadku wykrycia naruszenia bezpieczeństwa; regulaminy, szkolenia pracowników

• reguły, zasady: – kto, co, kiedy, jak; autentykacja a autoryzacja, procesy obiegu pracy (work flow); przepisy prawne;

• infrastruktura sprzętowa – serwery, stacje robocze, laptopy, sprzęt sieciowy; sprzęt dedykowany bezpieczeństwu informacji – UPSy, sprzęt do backupów; urządzenia uwierzytelniające itp. itd.;

• oprogramowanie – systemowe, użytkowe, wykorzystanie standardowych możliwości zawartych w oprogramowaniu; dodatkowe programy dedykowane bezpieczeństwu – w różnych aspektach;

• audyty – kontrola niezależna od pracowników IT;

• śledzenie (monitorowanie) i dokumentowanie (logi), „alarmy”, testy.

Ważne: Konserwacja (utrzymanie) i stałe aktualizowanie elementów polityki bezpieczeństwa

Ważne: Zintegrowane podejście do całości problemu bezpieczeństwa: sprzęt, programy, ludzie, procedury, środowisko.

Ważne: Zapobieganie a wykrywanie naruszenia polityki bezpieczeństwa – ekonomiczna równowaga.



strona 72Bezpieczeństwo sieci można poprawić za pomocą, między innymi, następujących mechanizmów:

• Zarządzanie tożsamością przez cały okres jej istnienia

• Zarządzanie dostępem

• Rozwiązania jednokrotnego logowania dla przedsiębiorstw

• Zarządzanie hasłamiPrzy uwzględnieniu: automatyzacji procesów biznesowych, ograniczania zagrożeń bezpieczeństwa i budowania podstaw systemu egzekwowania zgodności z wewnętrznymi regułami i przepisami zewnętrznymi.

Rozwiązania technologiczne firmy Novell pozwalają na kontrolę i monitorowanie dostępu do cennych zasobów informacyjnych bez względu na typ systemów i aplikacji, jakie są już częścią infrastruktury zarządzania tożsamością oraz

bezpieczeństwem.

.. Oprogramowanie Novell'a przeznaczone do ochrony procesów biznesowych – poprawy bezpieczeństwa

Najważniejsze produkty w zakresie bezpieczeństwa:

• Novell BorderManager

• Novell Access Manager

• Novell SecureLogin

• Sentinel from Novell

.. Novell Border Manager

Wykorzystanie możliwości Border Managera do efektywnej konfiguracji dostępu do internetu:

• Funkcja sterowania dostępem z uwzględnieniem ról pozwala określić, do których zasobów użytkownicy mogą uzyskać dostęp. Dotyczy to także zasobów internetowych.

• Rozwiązanie umożliwia wybiórcze blokowanie niepożądanych i nieprzydatnych materiałów tak, aby nie przedostawały się do sieci przedsiębiorstwa.

• Obrzeże sieci zabezpieczają zapory chroniące przed atakami, a także serwery forward-proxy, które można zainstalować na styku sieci przedsiębiorstwa z Internetem.

• Wirtualne sieci prywatne umożliwiają połączenie z oddziałami terenowymi i użytkownikami, nie naruszając poufności przesyłanych danych.

• Mechanizmy filtrowania pozwalają chronić sieć przed szkodliwymi lub nielegalnymi materiałami, nie pozwalając im przedostać się do systemu.

• Buforowanie na serwerze proxy jest niedrogą alternatywą wobec kosztownych modernizacji sprzętu. Metoda ta umożliwia maksymalne wykorzystanie dostępnej obecnie przepustowości sieci, bez ponoszenia kolejnych kosztów inwestycyjnych.



strona 73

Novell BorderManager to jedno z najważniejszych rozwiązań Novella do kontroli dostępu i zabezpieczania sieci. Za pomocą jego skutecznych mechanizmów opartych na usługach katalogowych można kontrolować, usprawniać i monitorować dostęp użytkowników do Internetu.

Ponieważ BorderManager kontroluje dostęp na podstawie danych identyfikacyjnych i wykorzystuje mechanizm forward proxy, można go stosować do ochrony wewnętrznej sieci przed przedostawaniem się do niej niepożądanych treści internetowych przy zachowaniu wyjątkowo wysokiej wydajności.

Novell BorderManager udostępnia ponadto usługi wirtualnych sieci prywatnych (VPN), zaporę (firewall) o jakości potwierdzonej certyfikatem branżowym oraz skalowalny mechanizm filtrowania treści.

Novell BorderManager obsługuje standardy branżowe oraz korzysta z zabezpieczeń i skalowalności usług katalogowych Novell eDirectory™ działających w sieciach NetWare®, Windows NT*/2000/Me/XP i UNIX*. W ramach integracji z Novell eDirectory oprogramowanie Novell BorderManager umożliwia przyznawanie dostępu do zasobów na podstawie profilu użytkownika — chroniąc w ten sposób zasoby sieciowe przed nieupoważnionym dostępem oraz ułatwiając korzystanie z sieci użytkownikom, którzy automatycznie uzyskują dostęp do niezbędnych im zasobów.

.. Kontrola dostępuRuch w sieci generowany w związku z komunikacją internetową pochłania większość przepustowości łączy.

Mechanizm kontroli dostępu BorderManagera umożliwia wprowadzenie reguł, które ograniczają dostęp użytkowników do treści internetowych według różnych kryteriów. Można np. kontrolować poczynania użytkowników w zależności od typu usługi, węzła lub adresu sieciowego, adresu URL, pory dnia, rodzaju treści, tożsamości użytkownika, przynależności do grupy i wielu innych kryteriów.

Kontrola dostępu gwarantuje, że przepustowość łączy wewnętrznej sieci jest wykorzystywana wyłącznie do celów zawodowych, związanych z działalnością firmy.



strona 74Mechanizm ten może ponadto chronić użytkowników przed dostępem do potencjalnie szkodliwych stron internetowych, np. zawierających wirusy.

Kontrola dostępu zapewnia szereg korzyści związanych z bezpieczeństwem, m.in.:

• zapewnia wszystkie poziomy bezpieczeństwa, w tym na poziomie sieci (zapora poziomu I), obwodu (zapora poziomu II) i aplikacji (zapora poziomu III);

• pozwala na stosowanie ogólnych zasad bezpieczeństwa, które można dostosowywać pod kątem poszczególnych użytkowników, grup użytkowników, pór dnia, aplikacji i innych kryteriów;

• określa, które żądania mają zostać zrealizowane lub odrzucone; w zależności od tego, czy dane żądania przekazano za pośrednictwem usług proxy, czy wirtualnej sieci prywatnej.

Mechanizm kontroli dostępu Novell BorderManagera obejmuje dwa składniki: reguły dostępu i listy kontroli dostępu.

.. Reguły dostępuReguły dostępu konfigurowane w Novell eDirectory stanowią główny element kontroli dostępu.

Serwer Novell BorderManagera — umieszczony zwykle pomiędzy firmowym intranetem a Internetem —stosuje te reguły do wszystkich żądań, bez względu na to, czy przekazano je za pośrednictwem usług proxy, czy wirtualnej sieci prywatnej.

Tworząc reguły dopuszczania (Allow) lub odrzucania (Deny), można przyznać dostęp do każdego z poniższych zasobów lub odmówić go:• wiele sieci i usług internetowych• usługi proxy oprogramowania Novell BorderManager• wirtualne sieci prywatne• adresy URL.

Aby zapewnić pełne bezpieczeństwo, reguły dostępu można ponadto skonfigurować na następujących poziomach obiektów Novell eDirectory:• kraj (Country — C)• przedsiębiorstwo lub instytucja (Organization — O)• jednostka organizacyjna (Organizational Unit — OU)• serwer (Server).

.. Listy kontroli dostępuGdy Novell BorderManager zostanie załadowany na serwer, gromadzi on reguły dostępu utworzone na każdym poziomie obiektów Novell eDirectory. Najpierw zbiera reguły z obiektu Server, następnie z obiektu Organizational Unit znajdującego się nad obiektem Server itd.

Zgromadzone zestawy reguł dostępu są wykorzystywane do utworzenia list kontroli dostępu (access control lists — ACL) na serwerze Novell BorderManagera. Takie skonsolidowane listy reguł kontrolują miejsca docelowe lub usługi, do których obiekty mogą uzyskać dostęp za pośrednictwem Novell BorderManagera. Decydują one również, kiedy dany obiekt może uzyskać do nich dostęp. Możliwość konfigurowania i przechowywania reguł dostępu w różnych obiektach Novell eDirectory pozwala na utworzenie hierarchicznych zależności między regułami Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 75dotyczącymi kontroli dostępu w celu blokowania treści na różnych poziomach. Umożliwia to blokowanie dostępu do Internetu w czasie godzin pracy wszystkim pracownikom, z wyjątkiem np. zatrudnionych w dziale marketingu.

Kontrola dostępu może również chronić firmową sieć przed szkodliwymi lub nielegalnymi treściami, do których użytkownicy mogliby nieumyślnie uzyskać dostęp.

.. Usługi ProxyUsługi proxy oprogramowania Novell BorderManager zwiększają bezpieczeństwo i wydajność sieci oraz produktywność użytkowników, a przy tym zmniejszają podatność sieci na ataki.

Usługi proxy dotyczące aplikacji są bramkami na poziomie aplikacji, umożliwiającymi kontrolowanie portów i adresów, do których użytkownicy mają uprawnienia dostępu.

Usługi proxy wprowadzają reguły, które decydują o przyznaniu lub odmówieniu dostępu z określonego źródła do określonego punktu docelowego. Źródłem może być adres IP, zakres adresów, adres podsieci lub obiekt Novell eDirectory (użytkownik, grupa lub kontener). Punktami docelowymi mogą być usługi działające na serwerze Novell BorderManagera, adresy/porty IP, wzorce adresów URL lub kategorie z bazy danych SurfControl* Content Database, N2H2* lub Connectotel.

Usługa proxy dotycząca aplikacji HTTP sprawdza uprawnienia dostępu za pośrednictwem Novell eDirectory oraz obsługuje tunelowanie w ramach warstwy Secure Sockets Layer (SSL) i certyfikaty użytkowników. Jednoczesne zastosowanie tunelowania SSL i certyfikatów użytkowników tworzy szyfrowane połączenie między klientem a serwerem, które chroni informacje przed przechwyceniem i zmanipulowaniem.Usługi proxy zwiększają ponadto wydajność sieci poprzez buforowanie informacji, które są najczęściej pobierane z Internetu. Dzięki temu oszczędza się przepustowość łączy poświęcaną na przekazywanie żądań dotyczących tych samych informacji, zmniejsza obciążenie zdalnego serwera i skraca czas potrzebny na pobranie treści. W konsekwencji wpływa to na zwiększenie produktywności użytkowników.

Usługi proxy Novell BorderManagera wykorzystują trzy główne rodzaje buforowania:

• Forward proxy (przyspieszenie działania klientów internetowych). W przypadku forward proxy, serwer proxy jest umieszczony pomiędzy klientami a Internetem. Serwer proxy przekazuje żądania pochodzące od klientów intranetowych do serwerów internetowych, wykorzystując odpowiednie protokoły, np. HTTP, FTP i Gopher. Następnie serwer proxy buforuje najczęstsze żądania dotyczące adresów URL, stron HTML i plików na serwerach FTP. Kolejne żądania dotyczące tych treści są realizowane przy wykorzystaniu bufora serwera proxy. Eliminuje to opóźnienia, które występują w przypadku dostępu do serwerów internetowych oraz minimalizuje ruch na łączach między firmową siecią a Internetem.

• Hierarchiczne buforowanie Internet Caching Protocol (ICP) (przyspieszenie działania sieci). Hierarchiczne buforowanie ICP jest realizowane za pomocą wielu serwerów proxy, tworzących strukturę hierarchiczną, zwaną inaczej topologią „siatki”. Charakteryzuje się ona tym, że serwery proxy są połączone zależnościami nadrzędny-podrzędny i równorzędne.



strona 76Jeżeli wystąpi błąd, tj. gdy usługa proxy nie może znaleźć danej informacji na pierwszym serwerze, z jakim się kontaktuje, to komunikuje się z innymi serwerami należącymi do siatki. Najbliższy serwer proxy, w którego buforze znajdują się żądane informacje, przekazuje je do usługi proxy, która z kolei przesyła je do klienta. Dzięki zmniejszaniu obciążenia łączy sieci rozległych (WAN) hierarchiczne buforowanie ICP oszczędza przepustowość. Zostają ponadto zmniejszone opóźnienia w działaniu sieci, ponieważ żądane informacje są wysyłane z najbliższego serwera proxy. Skraca to czas oczekiwania na żądane dane. BorderManager obsługuje również hierarchie buforowanie CERN.

• Reverse proxy (przyspieszenie działania serwera internetowego lub HTTP). W przypadku wstecznego buforowania serwer proxy pełni rolę frontu dla serwerów internetowych i buforuje wszystkie informacje, które są na nich przechowywane. Novell BorderManager zapewnia buforowanie reverse proxy dotychczasowym klientom.

Usługi proxy oprogramowania Novell BorderManager obsługują następujące protokoły i aplikacje:• HTTP (0.9, 1.0 i 1.1), w tym HTTPS i Secure Sockets Layer (SSL)• FTP• Domain Name System (DNS)• Gopher• Simple Mail Transfer Protocol/Post Office Protocol 3 (SMTP/POP3)• Network News Transfer Protocol (NNTP)• RealAudio* i RealVideo*• Real Time Streaming Protocol (RTSP)• SOCKS 4 i 5• Generic TCP/UDP• HTTP Transparent proxy• Telnet Transparent proxy.

.. Wirtualna sieć prywatna

Novell BorderManager oferuje usługi wirtualnych sieci prywatnych (VPN), które zapewniają bezpieczne połączenie z firmowym intranetem innym ośrodkom intranetowym, zdalnym użytkownikom bądź partnerom handlowym za pośrednictwem publicznych łączy internetowych.

Informacje przesyłane wirtualną siecią prywatną za pośrednictwem Internetu są szyfrowane, co zapobiega nieupoważnionemu dostępowi do nich. Sprawdzana jest ponadto poprawność informacji w celu wykrycia przypadków manipulowania nimi przez hakerów.

Usługi wirtualnych sieci prywatnych działają w protokołach IP i IPX, co pozwala na komunikowanie się z firmową siecią za pośrednictwem łączy internetowych.

Usługi te współdziałają ponadto z systemem Novell eDirectory, który ułatwia zarządzanie wirtualną siecią prywatną. Pakiet Novell BorderManager cechuje się wysoką skalowalnością — może obsługiwać maksymalnie 256 ośrodków na jeden tunel i ponad 1500 użytkowników łączących się telefonicznie z zewnątrz na jeden serwer.



strona 77Novell BorderManager udostępnia oprogramowanie klienta wirtualnej sieci prywatnej do systemów Windows* 95, 98, NT 4.0, 2000, Me i XP. Możliwe jest też wykorzystanie oprogramowania klienta VPN innych firm: VPN Tracker dla MAC* OS i Openswan dla Linuksa.Wirtualna sieć prywatna zapewnia zdalnym użytkownikom dostęp do zasobów sieciowych, a nad bezpieczeństwem tego dostępu czuwa zapora Novell Client Firewall 2.0, wchodząca w skład Novell BorderManagera.

Architektura wirtualnej sieci prywatnejUsługi wirtualnych sieci prywatnych są oparte na architekturze standardowej, zintegrowanej z technologią katalogową Novell eDirectory lub inną, byle zgodną z protokołem LDAP. Zapewnia to maksymalną elastyczność, ułatwia zarządzanie i administrowanie wirtualną siecią prywatną oraz pozwala użytkownikom na dostęp do zasobów sieciowych po jednokrotnej rejestracji.

Zaawansowane metody uwierzytelnianiaNovell BorderManager zawiera w sobie funkcjonalność Novell Modular Authentication Service (NMAS). Dzięki temu kontrola tożsamości użytkownika może być realizowana na wiele (ponad 50) zaawansowanych sposobów.

Zgodność ze standardamiJako rozwiązanie oparte o IPSec, Novell BorderManager współpracuje z dowolnymi urządzeniami certyfikowanymi pod kątem IPSec. Tunelowanie na potrzeby wirtualnej sieci prywatnej jest realizowane przy wykorzystaniu protokołów Internet Key Exchange (IKE) oraz Simple Key Management for Internet Protocols (SKIP). Pakiet ten korzysta z infrastruktury Novell International Cryptographic Infrastructure (NICI), standardowego oprogramowania szyfrującego firmy Novell. Umożliwia ona swobodne stosowanie kodu źródłowego na całym świecie bez naruszania ograniczeń licencyjnych RSA.

Novell BorderManager wspiera funkcje hash (Triple-DES, DES, SHA1, MD5 i inne) współużytkowania kluczy i mechanizmy szyfrowania danych.

Integracja z Novell eDirectoryNovell BorderManager uwierzytelnia użytkowników za pośrednictwem Novell eDirectory, by zagwarantować, że z wirtualnej sieci prywatnej korzystają tylko upoważnione do tego osoby. Administratorzy mogą kontrolować dostęp do wirtualnej sieci prywatnej za pomocą list kontroli dostępu użytkowników, przechowywanych w drzewie katalogowym Novell eDirectory. Oznacza to, że administratorzy mogą zarządzać użytkownikami wirtualnej sieci prywatnej przy wykorzystaniu tego samego drzewa katalogowego Novell eDirectory, które służy im do zarządzania pozostałymi użytkownikami sieci. Nie muszą oni utrzymywać osobnego drzewa katalogowego dla użytkowników wirtualnej sieci prywatnej.

Konfiguracja wirtualnej sieci prywatnejNovell BorderManager pozwala firmom na ekonomiczne zapewnienie zdalnym użytkownikom komunikacji z sieciami lokalnymi przy wykorzystaniu Internetu w charakterze taniej sieci szkieletowej. Można zastosować jedną z dwóch konfiguracji wirtualnej sieci prywatnej: ośrodek- ośrodek i klient-serwer.



strona 78Wirtualna sieć prywatna typu ośrodek-ośrodekStosując wirtualną sieć prywatną typu ośrodek-ośrodek, przedsiębiorstwo może zespolić niezależne części sieci lokalnej w jedną, spójną sieć rozległą (WAN) przy wykorzystaniu Internetu w charakterze elementu łączącego. Dzięki temu, że usługi wirtualnych sieci prywatnych oprogramowania Novell BorderManager obsługują protokoły IP i IPX, części sieci lokalnej mogą być dowolnymi kombinacjami sieci IP i IPX™.

Wirtualną sieć prywatną typu ośrodek-ośrodek wdraża się, instalując serwer BorderManagera w każdym ośrodku i łącząc te serwery za pośrednictwem Internetu. Serwery można połączyć w topologii siatki, pierścienia lub gwiazdy. Wirtualną sieć prywatną typu ośrodek-ośrodek można również wykorzystać do zbudowania ekstranetu, który łączy firmową sieć z sieciami partnerów handlowych.

Wirtualna sieć prywatna typu klient-serwerWdrażając wirtualną sieć prywatną typu klient- serwer, firma może zapewnić zdalnym użytkownikom ekonomiczny i bezpieczny dostęp do niezbędnych im zasobów sieciowych, niezależnie do miejsca pobytu użytkowników i lokalizacji zasobów.

Aby skorzystać z wirtualnej sieci prywatnej typu klient-serwer, użytkownik oprogramowania klienta Novell BorderManagera łączy się z serwerem Novell BorderManagera, który pełni rolę bramki do wirtualnej sieci prywatnej.

Użytkownik może nawiązać połączenie PPP (Point-to-Point Protocol) z serwerem wirtualnej sieci prywatnej albo za pośrednictwem operatora Internetu, albo za pomocą oprogramowania do dostępu zdalnego.

W celu zagwarantowania optymalnej wydajności można tak skonfigurować oprogramowanie klienta Novell BorderManagera, aby szyfrowało tylko informacje wysyłane do i odbierane z chronionych sieci (zamiast szyfrowania wszystkich danych, niezależnie od miejsca ich przeznaczenia).



strona 79.. Zapora – ściana ogniowa (firewall)

Zapory były pierwotnie barierami, które uniemożliwiały przedostawanie się do środka. Obecnie zapora musi działać bardziej selektywnie. Jej zadanie nadal polega na blokowaniu nieupoważnionych użytkowników, ale musi ona ponadto umożliwiać dostęp do zasobów sieciowych klientom, partnerom, dostawcom oraz pracownikom.

Zapora Novell BorderManagera ma certyfikat ICSA i zapewnia skuteczną ochronę przed niepożądanymi treściami internetowymi.

Novell BorderManager wykorzystuje kilka rodzajów filtrowania, dzięki czemu można bardzo dokładnie określić, jaki rodzaj ruchu w sieci będzie przekraczał granicę firmowej infrastruktury informatycznej. Dokładność ta jest konieczna w celu ochrony przed wirusami i atakami, m.in. typu denial-of-service (odmowa usługi).

Dzięki filtrowaniu można ponadto kontrolować, do których serwisów internetowych mają dostęp pracownicy, eliminując w ten sposób pokusę zaglądania w czasie pracy na nieodpowiednie strony internetowe.

Filtry oferowane przez oprogramowanie BorderManager konfiguruje się bardzo prosto za pomocą interfejsu przeglądarki internetowej.

W przypadku rozszerzania granic firmowej sieci przy wykorzystaniu usług wirtualnych sieci prywatnych, komputery-klienty użytkowników stają się punktami wejściowymi do wewnętrznej infrastruktury informatycznej. Dlatego Novell BorderManager zawiera zaporę Novell Client Firewall 2.0, która chroni użytkowników wirtualnej sieci prywatnej przed nieupoważnionym dostępem.

Pakiet Novell BorderManager zawiera następujące składniki zapór i filtrowania:

• filtrowanie pakietów

1. statyczne

2. dynamiczne

3. filtrowanie z dokładnością do części pakietów

4. filtrowanie bitów TCP ACK

• filtrowanie przy użyciu wzorców wirusów

• filtrowanie treści.

Filtrowanie pakietówNovell BorderManager wykorzystuje mechanizmy filtrowania pakietów, aby zapewnić podstawowy poziom ochrony sieci. Filtrowanie pakietów korzysta z adresów IP, co umożliwia odrzucenie żądań pochodzących z nieupoważnionych aplikacji internetowych. Można np. w godzinach pracy zablokować dostęp do programu typu komunikator (Instant Messenger) lub do radiostacji internetowych.

Novell BorderManager wykorzystuje kilka różnych metod filtrowania pakietów, w tym:

• statyczne filtrowanie pakietów

• dynamiczne filtrowanie pakietów



strona 80• filtrowanie pofragmentowanych pakietów

• filtrowanie bitów TCP ACK.

Każdy rodzaj filtrowania ma zalety, ale i ograniczenia. Novell BorderManager oferuje najskuteczniejsze filtrowanie pakietów, jakie jest dostępne, umożliwiając łączenie wszystkich czterech metod.

Statyczne filtrowanie pakietówTo najmniej wyrafinowany rodzaj filtrowania. Akceptuje lub odrzuca pakiety według następujących czterech kryteriów:

• identyfikator protokołu, np. Transmission Control Protocol (TCP), User Datagram Protocol (UDP) i Internet Control Message Protocol (ICMP)

• źródłowy adres IP i numer portu

• docelowy adres IP i numer portu

• interfejs routera na potrzeby pakietów wchodzących lub wychodzących.

Reguły dotyczące statycznego filtrowania pakietów są wyjątkowo proste — przekazywane są albo wszystkie pakiety, albo żaden. Akceptuje się np. wszystkie pakiety TCP lub nie akceptuje się żadnego, albo zatwierdza się wszystkie żądania kierowane do konkretnego serwera internetowego lub nie zatwierdza się żadnego.

Ten rodzaj filtrowania jest użyteczny przy blokowaniu komunikacji z całymi serwisami internetowymi, np. Dilbert Zone czy eBay.

Dzięki swej prostocie jest on bardzo efektywny, gdyż jego realizacja wymaga mniejszej mocy obliczeniowej i przepustowości niż w przypadku pozostałych rodzajów filtrowania.

Połączenia z różnymi usługami, np. pocztą elektroniczną, FTP i Telnetem, mogą zostać zablokowane poprzez filtrowanie pakietów, próbujących skorzystać z danej usługi lub określonego numeru portu.

Zapory, których działanie opiera się na statycznym filtrowaniu pakietów, są urządzeniami warstwy sieciowej, które nie potrafią przetwarzać informacji dotyczących wyższych warstw.

Nie mogą one sprawdzać żądań aplikacji ani śledzić danych o stanie aplikacji.

Zapora obsługująca statyczne filtrowanie pakietów nie potrafi ustalić, sprawdzając po prostu nagłówek wchodzącego pakietu, czy dany pakiet jest pierwszym przesyłanym z zewnętrznego klienta do wewnętrznego serwera, czy też stanowi odpowiedź zewnętrznego serwera dla wewnętrznego klienta.

Poziom bezpieczeństwa zapewniany przez tego rodzaju zaporę jest ograniczony.

Dynamiczne filtrowanie pakietówDynamiczne filtrowanie pakietów, jakie oferuje Novell BorderManager, przezwycięża ograniczenia narzucane przez reguły „wszystkie lub żaden”, które stosuje się w przypadku statycznego filtrowania pakietów. Filtrowanie dynamiczne pozwala wewnętrznemu klientowi na zainicjowanie sesji komunikacyjnej z zewnętrznym serwerem internetowym, ale uniemożliwia temu serwerowi zainicjowanie sesji z klientami wewnętrznymi.



strona 81Kiedy wychodzący pakiet jest kierowany do Internetu, zostaje utworzony dynamicznie filtr odwrotny, który umożliwi przesłanie z powrotem pakietu z odpowiedzią.

Filtr odwrotny jest tworzony poprzez wydobycie następujących informacji o pakiecie:• źródłowego adresu IP• źródłowego interfejsu• źródłowego portu• docelowego adresu IP• docelowego interfejsu• docelowego portu• typu protokołu.

Informacje te są przechowywane w tabeli, która jest porównywana z odpowiedzią. Jeżeli przychodząca wiadomość nie jest odpowiedzią na oryginalne żądanie, zostaje odrzucona. Ten tworzony dynamicznie zestaw filtrów jest wykorzystywany do decydowania o przekazywaniu kolejnych pakietów, aż do zamknięcia połączenia.

Aby pakiet przychodzący został uznany za odpowiedź, musi pochodzić z serwera i portu, do których został wysłany pakiet wychodzący.

Dynamiczne filtrowanie pakietów obsługuje protokoły zarówno połączeniowe, jak i bezpołączeniowe (TCP, UDP, ICMP itd.).

Funkcja dynamicznego filtrowania pakietów monitoruje każde połączenie i ustanawia dla danego połączenia tymczasowy (ograniczony czasowo) wyjątek filtru wiadomości przychodzących. Umożliwia to blokowanie informacji pochodzących z określonego numeru portu i adresu, a jednocześnie przekazywanie danych płynących w przeciwną stronę z tego samego numeru portu i adresu.

Filtrowanie pofragmentowanych pakietówFunkcja filtrowania pofragmentownych pakietów pomaga chronić sieć przed atakami typu denial-of-service (odmowa usługi), ponieważ sprawdza wszystkie pakiety i ich części. Jedną z metod przeprowadzenia takiego ataku jest wykorzystanie części pakietów. Niektóre datagramy Warstwy 2 są dłuższe, niż przewiduje ustalony limit, są zatem dzielone na części. Pierwsza część zawiera pełny nagłówek i informacje transportowe, a kolejne pakiety wskazują tylko, do której części należą i w jakim porządku w niej występują. Typowe zapory sprawdzają tylko pierwszy pakiet i przekazują kolejne części bez żadnej kontroli. Jeżeli pierwsza część zostanie odrzucona, serwer docelowy nie może odtworzyć kolejnych części i połączenie nie zostanie nawiązane.

Obecnie jednak hakerzy zalewają sieci wieloczęściowymi pakietami, które angażują dostatecznie dużo mocy obliczeniowej i przepustowości, aby spowolnić lub nawet zatrzymać ruch w sieci.Niesprawdzane części pakietów powodują ponadto, że sieć staje się podatna na

skanowanie portów. Działanie to daje hakerom informacje o oprogramowaniu, które działa na danym komputerze, co może z kolei posłużyć do odkrycia słabych punktów serwera. Włączając bit informujący o podziale na części do pakietu, który tak naprawdę stanowi zamkniętą całość, potencjalni włamywacze mogą przesyłać pakiety poprzez zapory i otrzymywać z powrotem pakiety zawierające informacje o portach.



strona 82Aby zapewnić ochronę przed atakami wykorzystującymi fragmentację pakietów, Novell BorderManager sprawdza wszystkie pakiety, łącznie z ich częściami. Jeśli pierwszy pakiet zostaje odrzucony, Novell BorderManager odrzuca także wszystkie kolejne części, które mają te same źródłowe i docelowe adresy IP i interfejsy. Mechanizm ten jest wbudowany w stos IP (a nie do narzędzi filtrujących), dzięki czemu powstaje znacznie skuteczniejszy system zabezpieczeń.

Filtrowanie bitów Transmission Control Protocol ACK (TCP ACK)TCP to połączeniowy, niezawodny protokół komunikacyjny. Jeśli filtrowanie bitów TCP ACK jest uaktywnione, można zapobiec przedostawaniu się do sieci przychodzących pakietów żądań TCP. Uniemożliwia to włamywaczom inicjowanie sesji komunikacyjnych TCP z wewnętrznymi serwerami lub klientami. Jednocześnie nie blokuje to użytkownikom wewnętrznym możliwości inicjowania sesji komunikacyjnych TCP ze światem zewnętrznym.

Włączenie filtru bitów TCP ACK chroni ponadto sieć przed typowymi atakami, np. zsynchronizowany (SYN) zalew łączy.

Filtrowanie treściAby ułatwić monitorowanie wykorzystywania Internetu oraz ustalanie i stosowanie reguł dostępu do niego, Novell BorderManager współpracuje z ponad 40 zdefiniowanymi przez partnerów (SurfControl, N2H2, Connectotel, ...) bazami kategorii internetowych.

Poprzez integrację z Connectotel obsługuje również darmową bazę squidGuard. Oprogramowanie to oferuje m.in. opcję sporządzania raportów, które mogą pomóc w śledzeniu wykorzystania Internetu w całej firmie lub przez poszczególnych pracowników.

Administratorzy ustalają reguły dostępu przy użyciu kategorii. Reguły te można umieszczać na serwerze, w jednostce organizacyjnej lub w obiektach należących do organizacji.

Filtrowanie przy użyciu wzorców wirusówNovell BorderManager oferuje ponadto mechanizm filtrowania przy użyciu wzorców wirusów, który chroni przed wirusami korzystającymi z protokołu HTTP.

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 83

.. Novell Access Manager

Cel: zapewnienie nieskomplikowanego i bezpiecznego dostępu do webowych i firmowych zasobów przedsiębiorstwa, a równocześnie ochrona organizacji przed atakami

Pracownicy, partnerzy i klienci potrzebują często dostępu do sieci przedsiębiorstwa z dowolnego miejsca oraz w dowolnym czasie. Jednocześnie konieczna jest ochrona sieci przed dostępem konkurencji i przestępców. Przedsiębiorstwa muszą zorganizować więc bezpieczny, a przy tym niekłopotliwy dostęp do zasobów sieci, dla którego nie będą przeszkodą bariery techniczne i organizacyjne.

Novell Access Manager zapewnia on użytkownikom dostęp do zasobów bez zbędnego ograniczania bezpieczeństwa i kontroli. W celu ochrony systemów przedsiębiorstwa, Access Manager stosuje zaawansowane narzędzia i technologie, w tym różne metody uwierzytelniania, szyfrowanie danych, mechanizm jednokrotnego logowania do sieci przez WWW oraz bezklientową wirtualną sieć prywatną (VPN) opartą na protokole SSL.

Access Manager stanowi ściśle zintegrowane rozwiązanie bezpieczeństwa, pozwalające przedsiębiorstwu zminimalizować ryzyko, a równocześnie wzmocnić relacje z klientami i partnerami.

Cechy i funkcje NAM:

• Zmniejszenie złożoności oraz obniżenie kosztów zarządzania dostępem

• Zabezpieczony dostęp do sieci WWW i aplikacji korporacyjnych

• Autoryzacja dostępu w oparciu o role użytkowników

• Jednokrotne logowanie do aplikacji internetowych

• Wielopoziomowe uprawnienia dostępu do wspieranych serwerów J2EE

• Obsługa zaawansowanych metod uwierzytelniania

• Obsługa federacji tożsamości (wsparcie dla SAML 1.1 / 2.0 oraz Liberty Alliance)

• Obsługa aprowizacji dla tożsamości sfederowanych, co umożliwia automatyczne generowanie kont użytkowników na żądanie z federacji

• Obsługa magazynów tożsamości Novell eDirectory, Microsoft Active Directory i Sun ONE.

Rys. Graficzny interfejs administratora udostępnia wgląd w status poszczególnych komponentów za pomocą specjalnej tablicy rozdzielczej (dashboard)



strona 84Rys. Ogólny widok komponentów oprogramowania Novell Access Manager:

Podstawowa konfiguracja NAM:

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 85Proces obsługi żądania dostępu w podstawowej konfiguracji NAM:

1. Użytkownik wysyła przez Access Gateway żądanie dostępu do zasobu – strony www;

2. Access Gateway przekierowuje użytkownika do Identity Server'a, który pyta użytkownika o nazwę i hasło;

3. Identity Server sprawdza nazwę i hasło w repozytorium Katalogu (typu LDAP – eDirectory, Active Directory, Sun ONE);

4. Identity Server zwraca dane do autentyfikacji (authentication artifact) do Access Gateway;

5. Access Gateway pobiera informacje uwierzytelniające użytkownika z Identity Server'a;

6. Access gateway wprowadza podstawowe informacje nt. tożsamości użytkownika do nagłówka HTTP;

7. Serwer WWW sprawdza dane o tożsamości i wysyła żądaną stronę www.__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 86.. Sentinel

Automatyczne i nieustanne monitorowanie zdarzeń związanych z bezpieczeństwem oraz zgodnością z regulacjami i przepisami

Każde przedsiębiorstwo codziennie zbiera informacje o zdarzeniach zachodzących w wykorzystywanych urządzeniach sieciowych, systemach i aplikacjach.

Oprogramowanie Sentinel firmy Novell zapewnia pełny wgląd w informację o stanie bezpieczeństwa sieci przedsiębiorstwa, a także automatyzuje monitorowanie zasobów informatycznych pod kątem efektywności oraz analizuje

korelacje w napływających danych, dzięki czemu umożliwia wykrywanie i eliminowanie zagrożeń w czasie rzeczywistym, zanim wpłyną one negatywnie na działalność przedsiębiorstwa.

Ponadto Sentinel zapewnia możliwość tworzenia dokumentacji wymaganej przez prawo, regulacje i przepisy branżowe.

Sentinel łączy zalety systemów kontroli tożsamości i zarządzania systemami z zaletami systemów do monitorowania zdarzeń związanych z bezpieczeństwem w czasie rzeczywistym. Na pojedynczej konsoli przedstawia wszechstronny widok zdarzeń powiązanych z użytkownikami, sieciami i aplikacjami. Dzięki temu można szybciej oraz skuteczniej reagować na potencjalne zagrożenia. Usprawnia ponadto procesy ręcznej sprawozdawczości (czasochłonne i podatne na błędy) redukując związane z tym koszty. I co najważniejsze, Sentinel pomaga utworzyć rygorystyczne programy utrzymania bezpieczeństwa oraz zgodności z regulacjami w całym przedsiębiorstwie.

Inteligentna automatyzacja oparta na regułachSentinel automatyzuje identyfikację incydentów i rozwiązywanie problemów w oparciu o wbudowane reguły biznesowe. Reguły te można łatwo dopasować do strategii firmy lub instytucji oraz obowiązujących procedur, jednocześnie utrzymując zgodność z regulacjami. Dzięki systemowi Sentinel administratorzy systemów informatycznych mogą monitorować przypadki naruszenia bezpieczeństwa oraz śledzić status rozwiązywania problemów. Mogą też szybko identyfikować (przy użyciu praktycznie dowolnego źródła danych) nowe trendy występujące w całym przedsiębiorstwie czy też pojedyncze ataki.

Informatycy mogą operować na informacjach graficznych zbieranych w czasie rzeczywistym lub też przeglądać informacje historyczne dotyczące konkretnego urządzenia, użytkownika lub zdarzenia, obejmujące czas sprzed kilku sekund czy godzin.Sentinel wykorzystuje techniki korelacji wykonywane w pamięci, aby zmniejszyć obciążenie bazy danych i przyspieszyć proces dostarczenia ważnych danych o zdarzeniach do centralnej konsoli. Może połączyć się z dowolnym urządzeniem, które wykorzystuje protokoły SNMP, ODBC lub inne standardy.

Sentinel nie wymusza też stosowania określonej platformy, gdyż działa i jest zgodny z wieloma systemami, jak Windows*, UNIX*, Solaris* i Linux*.

Sentinel zaraz po wdrożeniu informuje o stanie elementów służących do nadzoru informatycznego oraz urządzeń wykorzystywanych do zabezpieczenia sieci. Jeśli zdarzy się problem, informuje jak go rozwiązać i uruchamia automatyczną procedurę przepływu pracy związanej z rozwiązywaniem problemu.



strona 87 Cechy i funkcje:• Widok danych o zdarzeniach prezentowany w czasie rzeczywistym dzięki

konfigurowanym tablicom rozdzielczym

• Obniżenie kosztów zapewnienia bezpieczeństwa i zgodności z regulacjami i przepisami

• Sprawnie i skuteczne zarządzanie ryzykiem związanym z bezpieczeństwem systemów IT

• Szybkie wykrywanie i rozwiązywanie incydentów

• Raportowanie zarówno dla potrzeb bezpieczeństwa jak i dla potrzeb zapewnienia zgodności z przepisami

• Monitorowanie zgodności z wewnętrznymi regułami oraz dokumentowanie zgodności dla zewnętrznych podmiotów, takich jak organy kontrolne, partnerzy i klienci

• Umożliwienie skoncentrowania zasobów IT na krytycznych przedsięwzięciach informatycznych i biznesowych

• Szybkie wykrywanie ataków lub naruszeń zgodności z regulacjami i przepisami dzięki elastycznym mechanizmom kojarzenia informacji w pamięci operacyjnej

• Korelowanie przy użyciu dynamicznych list, co umożliwia doskonalsze zestawianie z wyselekcjonowanymi danymi historycznymi dla potrzeb analizy danych przyszłych

• System inteligentnego gromadzenia danych o zdarzeniach, zapewniający ich zbieranie, analizę składniową, normalizację oraz wzbogacanie

• Reagowanie na incydenty związane z bezpieczeństwem i zgodnością z użyciem w pełni dostosowywanego systemu obsługi procedur (workflow)

• Tablice rozdzielcze i raporty dla kierownictwa pozwalające na badanie zgodności z regulacjami i przepisami, takimi jak Sarbanes-Oxley, HIPAA, PCI i inne

• Uproszczone wdrażanie i zarządzanie produktami, sprawdzanie kondycji systemu (health check) dzięki narzędziom z serii Event Source Management (narzędzia do zarządzania danymi źródłowymi o zdarzeniach).

O b s ł u g i w a n e p l a t f o r m y

Systemy operacyjne

Novell SUSE Linux Enterprise Server 9 (32-bit.)

Novell SUSE Linux Enterprise Server 10 (32- i 64-bit.)

Red Hat Enterprise Linux 3 (32-bit.)

Solaris 9 (32- i 64-bit.)

Solaris 10 (64-bit.)

Windows 2003 (32- i 64-bit.)

Bazy danych

Microsoft SQL Server 2005

Oracle 9i

Oracle 10g wraz z Real Application Clusters (RAC)

___________________________________________________________________________________

__________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________

___________________________________________________________________________________



strona 88Rys. Analiza danych o zdarzeniach umożliwia szybkie reagowanie oraz działanie z wyprzedzeniem (CSRIT = Computer Security Incident Response Team):

Rys. Jeden widok prezentujący cały system:

Rys. Filtrowanie widoku zdarzeń:



strona 89.. Architektura Sentinel

Dolna część diagramu przedstawia cztery obszary, z których system Sentinel może

pobierać dane o zdarzeniach:

1. Urządzenia bezpieczeństwa na granicy sieci, takie jak systemy VPN, zapory,

routery i przełączniki.

2. Źródła odniesienia takie jak systemy zarządzania tożsamością, zarządzania

zasobami oraz zarządzania poprawkami.

3. Główne urządzenia do przetwarzania informacji, takie jak serwery łącznie

z serwerami klasy mainframe, stacje robocze i laptopy.

4. Aplikacje użytkownika, systemy zarządzania bazami danych, kontrolery domen

i systemy pracy grupowej.

Kolektory systemu Sentinel (Collector) oraz Menedżerzy kolektorów (Collector Manager) to elastyczne narzędzia, które pozwalają na monitorowanie praktycznie dowolnego źródła danych związanych z bezpieczeństwem.



strona 90Obejmuje to zarówno popularne systemy, aplikacje i urządzenia, a także własne, niestandardowe.

Kolektory pozwalają zautomatyzować procesy, inteligentnie reagują na reguły i podejmują działania przy spełnieniu określonych warunków. Mogą zbierać i filtrować zdarzenia zdalnie lub lokalnie, tam gdzie są wywoływane. Za wyjątkiem dosłownie kilku systemów (takich jak serwery klasy mainframe), Kolektory są pozbawione agentów. Zbierają więc dane zdalnie i nie wymagają instalowania dodatkowego oprogramowania na monitorowanym systemie lub urządzeniu.

Oprogramowanie zawiera też interfejsy API, które umożliwiają dwukierunkową komunikację z systemami rozwiązywania problemów (np. HP ServiceDesk*, BMC Software’s Remedy*) lub urządzeniami, które nie tworzą czytelnych dzienników,

np. serwery klasy mainframe.

Kolektory automatyzują proces filtrowania zdarzeń. Informacje o większości zdarzeń przesyłają do Repozytorium w celu przechowania i późniejszej analizy. Część informacji jest z kolei przesyłana do Mechanizmu korelacji (Corellation engine), w celu oceny oraz odniesienia do zdefiniowanej uprzednio strategii oraz informacji o zdarzeniach napływających z innych źródeł w sieci. Kolektory rozszerzają zakres informacji o zdarzeniach, uzupełniając je o dane (taksonomię zdarzeń i odniesienia biznesowe), które pomagają w ich identyfikacji i klasyfikacji.

Magistrala komunikatów iSCALE

Komunikacja między komponentami systemu Sentinel jest zrealizowana w oparciu o magistralę komunikatów opartą na architekturze magistrali Sonic JMS*. Pozwala ona łatwo zintegrować ten produkt z systemem do zarządzania tożsamością Novell Identity Manager oraz innymi systemami działającymi w oparciu o komunikację przez magistralę.

Architektura systemu Sentinel oparta na magistrali komunikatów jest bardzo skalowalna, tak że nawet rozbudowane środowiska IT mogą korzystać z Sentinela bez utraty wydajności. Wynika to z faktu, że architektura systemu Sentinel nie opiera się o relacyjną bazę danych, która może stanowić ograniczenie wydajności i ekonomicznej skalowalności. Zamiast tego Sentinel wykorzystuje przetwarzanie w pamięci, aby szybko wychwytywać i odfiltrowywać istotne zdarzenia. Dzięki temu możliwa jest analiza tysięcy zdarzeń na sekundę w czasie rzeczywistym. Komponenty można skalować niezależnie od siebie, bez powielania całego systemu i bez dokupowania sprzętu czy licencji na bazy danych.

Mechanizm korelacji Mechanizm korelacji określa, czy seria zdarzeń jest incydentem wymagającym reakcji. Moduł ten otrzymuje informacje o zdarzeniach przekazywane z magistrali komunikatów, ocenia je i podejmuje decyzje w oparciu o uprzednio zdefiniowane kryteria. Po zdecydowaniu o następnych krokach, mechanizm korelacji przesyła informacje przez magistralę komunikatów, umożliwiając modułowi iTRAC™ i innym komponentom lub aplikacjom otrzymanie informacji o zdarzeniu i podjęcie stosownych działań. Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 91Automatyczna korelacja zdarzeń pozwala informatykom oszczędzić czas poświęcany na analizowanie plików dziennika.

Zmniejsza to możliwość wystąpienia błędów w analizie i pozwala uniknąć sytuacji, w której incydent związany z bezpieczeństwem lub zgodnością z regulacjami zostaje pominięty.

Centrum sterowania Centrum sterowania systemu Sentinel to główna konsola do wizualizacji i analizy zdarzeń oraz incydentów. Intuicyjne monitory pozwalają analitykom szybko identyfikować nowe trendy, ataki lub naruszenia obowiązujących zasad, a także operować na informacjach graficznych zbieranych w czasie rzeczywistym, w tym również na szczegółowych danych historycznych.

Centrum sterowania zawiera ponadto gotowe panele konsoli monitorowania bezpieczeństwa i zgodności z regulacjami, które zostały skonfigurowane według najlepszych procedur w branży. Łatwo można je dostosować do kontekstów biznesowych charakterystycznych dla danej firmy lub instytucji.

iTRACWbudowany, automatyczny system obsługi procesów przepływu pracy i naprawiania problemów. Zbudowano go w oparciu o szablony rozwiązywania incydentów organizacji SANS Institute. iTRAC określa działania, które należy podjąć w przypadku wystąpienia konkretnych zdarzeń. Wstępnie zdefiniowane procesy można dostroić tak, aby pasowały

do procedur danej firmy lub instytucji, zaś po zakończeniu każdego działania dostępny jest dziennik kontroli, który dowodzi zgodności z regulacjami. Dodatkowo iTRAC pozwala administratorom automatycznie przekazywać zadania do systemów zewnętrznych, takich jak Remedy, HP ServiceDesk lub innych, jeśli jest to konieczne.

RepozytoriumW zależności od potrzeb i preferencji jako repozytorium zdarzeń można wykorzystać bazę danych Oracle* lub SQL*.

Ilość danych utrzymywanych w repozytorium zależy od ilości informacji o danym zdarzeniu oraz zasad filtrowania w Kolektorach.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

..



strona 92.. Dodatkowe komponenty oprogramowania Sentinel

Sprawozdawczość

W skład oprogramowania Sentinel wchodzi aplikacja Sentinel Reports służąca do wizualizacji środowiska zabezpieczeń w przedsiębiorstwie, dokumentowania zgodności z regulacjami, a także efektywnego zarządzania ryzykiem operacyjnym. Sentinel Reports zawiera kilka wstępnie zdefiniowanych szablonów raportów. Administratorzy mogą też tworzyć własne raporty oraz generować zapytania do repozytorium przy użyciu narzędzia Crystal Reports* jako mechanizmu zaplecza.



strona 93Pakiety sterujące

Pakiety sterujące to rozwiązania przeznaczone dla specyficznych grup nadzoru informatycznego, które zawierają agentów, reguły korelacji, szablony procesów iTRAC oraz raporty odnoszące się do ogólnych kategorii nadzoru.

Kategorie te obejmują administrację bezpieczeństwem, zarządzanie zmianami w aplikacjach, zarządzanie danymi, odtwarzanie po awarii i zarządzanie incydentami.Część rozwiązania stanowią też gotowe do uruchomienia raporty dotyczące zgodności ze strategią przedsiębiorstwa, jej naruszeń, a także działań naprawczych.

Rys. Pakiety sterujące powodują, że strategie opracowane na papierze stają się automatycznie monitorowanymi informatycznymi elementami nadzoru:

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 94

.. Novell SecureLogin

Egzekwowanie silnych reguł bezpieczeństwa dotyczących korzystania z haseł bez

nakładania na użytkowników wymogu pamiętania wielu identyfikatorów oraz haseł

Gdy użytkownicy mają do czynienia ze zbyt dużą liczbą identyfikatorów i haseł, mają

skłonność do ich zapisywania lub często je zapominają, a odzyskanie hasła jest stratą

czasu zarówno dla użytkownika, jak i pracowników działu IT.

Nadmiar haseł jest nie tylko niewygodny, lecz także osłabia poziom bezpieczeństwa.

Dlatego przedsiębiorstwo potrzebuje rozwiązania, które wyeliminowałoby frustrację

użytkowników związaną z koniecznością pamiętania wielu haseł, zapewniło

bezpieczeństwo zasobów korporacyjnych, a także zgodność z coraz większą liczbą

wymagań prawnych.

Novell SecureLogin umożliwia upoważnionym użytkownikom jednokrotne

bezpieczne zalogowanie się, które wystarcza do uwierzytelnienia do wszystkich

zasobów korporacyjnych, do których dany użytkownik powinien mieć dostęp, takich jak

sieć, aplikacje czy zabezpieczone serwisy internetowe. Jednocześnie wyeliminowane

zostają kłopoty i koszty związane z obciążaniem helpdesku problemami z resetowaniem

zapomnianych haseł.

Cechy i funkcje:

• Umożliwienie użytkownikom jednokrotnego logowania w celu uzyskania dostępu do sieci, poczty elektronicznej, potrzebnych aplikacji, zabezpieczonych stron internetowych itd.

• Obsługa i egzekwowanie wielu złożonych reguł dotyczących haseł

• Prosty interfejs udostępniany pracownikom

• Wykorzystanie katalogu (np. Novell eDirectory lub Active Directory) do scentralizowanej kontroli dostępu, szczegółowego rozróżniania uprawnień oraz zapewnienia elastyczności w obsłudze tożsamości

• Automatyczne konfigurowanie nowych haseł po wygaśnięciu starych

• Obsługa zaawansowanych metod uwierzytelniania, takich jak metody biometryczne, karty procesorowe, karty zbliżeniowe

• Ścisła integracja z systemem zarządzania tożsamością w przedsiębiorstwie celem automatyzacji czynności związanych z konfigurowaniem kont użytkowników

• Automatyczne, oparte na regułach kontrolowanie komputerów użytkowników, w tym komputerów z systemami Windows Vista i Novell SUSE Linux Enterprise Desktop.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 95

Rys. Przykład działania funkcji jednokrotnego logowania w oprogramowaniu Novell SecureLogin;

Administrator konfiguruje SecureLogin poprzez program iManager'a (iManager SSO plug-in), SecureLogin Manager, Active Directory Computer Usera and SnapIns.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 96Novell SecureLogin używa „definicji aplikacji” do automatycznego logowania użytkownika do programów MS Windows, Webowych oraz Javy.

Dla niektórych programów są już przygotowane szablony „definicji aplikacji”, inne – trzeba samodzielnie zdefiniować.

Automatyczny proces logowania:

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 97Reguły haseł w Novell SecureLogin:

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 98

.. Novell Storage Manager

Automatyzacja zarządzania pamięcią masową udostępnioną użytkownikom

Udostępnianie przestrzeni pamięci masowej każdemu użytkownikowi lub grupie

użytkowników w sieci, a także zarządzanie tą przestrzenią, nie muszą być utrudnieniem

dla działu informatycznego.

Stosując oprogramowanie Novell Storage Manager można zautomatyzować

udostępnianie pamięci masowej, wyeliminować ręczne, pracochłonne procesy i

ograniczyć koszty związane z zarządzaniem pamięcią masową.

Novell Storage Manager ułatwia przydzielanie i czyszczenie pamięci masowej oraz

zarządzanie nią w oparciu o reguły oraz informacje o tożsamości użytkowników.

Rozwiązanie Novella automatyzuje wiele typowych zadań związanych z pamięcią

masową, takich jak zarządzanie limitami, zmiana nazw katalogów, migracja,

przydzielanie miejsca w zależności od priorytetu oraz archiwizacja.

Novell Storage Manager działa na różnych platformach i jest kompatybilny

z systemami operacyjnymi Microsoft Windows, Novell Open Enterprise Server w

wersji dla SUSE Linux oraz NetWare.

Cechy i funkcje

• Konfigurowanie pamięci masowej i zarządzanie nią w oparciu o tożsamość osoby – rolę pełnioną przez użytkownika w organizacji oraz posiadane przez niego uprawnienia

• Zarządzanie pamięcią masową w oparciu o zdefiniowane reguły

• Implementacja reguł usuwania plików i trwałego ich składowania (vaulting) dla potrzeb archiwizacji nieaktywnych danych

• Generowanie kompleksowych raportów (np. z informacjami o ostatnim dostępie do pliku, momencie modyfikacji, wielkości, duplikatach plików, typach plików, relacjach zaufania i własności), dotyczących zarówno pamięci masowej poszczególnych użytkowników jak i pamięci wspólnej dla grup użytkowników (np. działu marketingu firmy lub oddziału w Krakowie)

• Moduł analizy uprawnień zapewniający, że tylko właściwi użytkownicy uzyskują uprawnienia dostępu do pamięci masowej

• Automatyzacja migracji danych użytkownika w przypadku zmiany stanowiska lub miejsca pracy

• Egzekwowanie automatycznej, opartej na regułach procedury czyszczenia (lub trwałego składowania) danych po odejściu pracownika z przedsiębiorstwa

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 99Rys. Integracja funkcji związanych z tożsamością i funkcji związanych z pamięcią masową

Rys. Schemat ogólny stosowania reguł w zarządzaniu pamięcią masową

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 100Rys. Zarządzanie pamięcią masową we wszystkich fazach cyklu obsługi użytkownika

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 101.. Sprzętowe i programowe technologie zabezpieczenia danych przed

awarią pamięci dyskowej - RAID

.. Mirroring partycji dyskowych, RAID 1,2; DFS, oraz inne mechanizmy NSS

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 102

Hardware RAID vs Software RAID

Konfiguracja Software RAID 0 oraz RAID 1 w NSS

iManager --> Storage--> Software RAIDs--> New

stripe size --> 4KB do 256 KB

Mirroring oraz duplexing wolumenów NSS

Konfiguracja

iManager --> Storage--> Software RAIDs--> wskazać serwer -->nazwa urządzenia RAID wybrać poziom RAID: RAID 1 mirroring-->nextUtworzyć storage pool: iManager-->Storage-->Pools--> newutworzyć logiczny wolumen:iManager-->Storage-->volumes--> new______________________________________________________________________________________________________________________________________________________



strona 103.. iSCSI – koncepcja, zastosowanie , konfiguracja

sieci SAN, sieci NAS

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 104.. Klastry serwerów – koncepcja, zastosowanie, konfiguracja

__________________________________________________________________________

__________________________________________________________________________

__________________________________________________________________________



strona 105.. Zagadnienia bezpieczeństwa - Kopie bezpieczeństwa (backupy) Plano-

wanie, instalacja i konfiguracja SMS, procedury

NetWare® Storage Management Services (SMS) – zestaw programów do tworzenia ko-pii bezpieczeństwa, odtwarzania informacji z kopii, migrowania danych.SMS pozwala na backup: systemów plików, Novell® eDirectory, baz GroupWise® .SMS jest „cluster-enabled”

Infrastruktura SMS:

SBCON aplikacja backup/restore3 moduły:• Interfejs użytkownika tworzy zadania i wysyła do eDirectory Queue.• Q Manager (QMAN) –pobiera z kolejki oraz interpretuje zadania– może kilka na

raz …• Engine – wykonuje i monitoruje zadanie.



strona 106

TSAFS pozwala na backup otwartych plików wolumenów Novell Storage Services (NSS-jeśli włączona jest opcja (cecha) CopyOnWrite . Robiona jest kopia ostatniej zamknię-tej wersji pliku.

Niezbędne uprawnienie → Supervisory.

Procedura backupu

1. Uruchomić sterowniki kontrolera oraz urządzeń pamiętających na serwerze, na który „backup”.

2. Uruchomić SMDR oraz agentów TSA na serwerze “target” 3. Uruchomić SMDR na serwerze „backup”4. Skonfigurować odpowiednio SMDR.

.. Aktualizacje systemu na serwerze i na stacjach

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

.. Nietypowe instalacje serwera, usług sieciowych

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________

___________________________________________________________________________



strona 1079 Novell Identity Manager 3.x

• Natychmiastowy dostęp do zasobów w całym przedsiębiorstwie.• Uproszczone zarządzanie hasłami. Niższe koszty utrzymania i mniejsza złożoność

środowiska IT.• Zapewnienie bezpieczeństwa, kontroli dostępu i zgodności z przepisami.

.. Natychmiastowy dostęp do zasobów w całym przedsiębiorstwie

Oprogramowanie Novell Identity Manager pozwala nowym użytkownikom błyskawicznie uzyskać wymaganą produktywność, ponieważ zapewnia dostęp do potrzebnych im firmowych zasobów już w pierwszym dniu pracy w firmie.

Po utworzeniu rekordu nowego użytkownika np. w kadrowej bazie danych (lub rekordu klienta bądź partnera w odpowiedniej aplikacji) wszystkie wymagane konta są tworzone automatycznie i zgodnie z regułami biznesowymi, a wszelkie powiązane z tym procesy zatwierdzania są w pełni zautomatyzowane. Rozwiązanie Novell Identity Manager ułatwia również kadrze zarządzającej czy też oddziałom firmy zarządzanie własnymi potrzebami związanymi z dostępem użytkowników — nie muszą oni polegać na pracy administratora sieci.

Rys. Widok zadań użytkownika

.. Uproszczone zarządzanie hasłami

Dzięki oprogramowaniu Novell Identity Manager można zsynchronizować wszystkie bądź wybrane hasła użytkownika do postaci jednego silnego hasła do wszystkich systemów.Użytkownicy są zwykle w stanie zapamiętać jedno hasło i dbać o nie (nie zapisywać, regularnie zmieniać, odpowiednio konstruować), a ponadto mają do dyspozycji odpowiednie wskazówki oraz narzędzie do samoobsługi haseł przydatne w przypadku konieczności zmiany danych czy odzyskania zapomnianego hasła. Mogą oni również zarządzać hasłami za pośrednictwem rodzimych interfejsów, na przykład mechanizmów dostępnych w systemie Microsoft Windows.



strona 108Funkcje samodzielnego zarządzania hasłami dostępne w oprogramowaniu Novell Identity Manager ograniczają liczbę zgłoszeń do stanowisk pomocy (helpdesku) i zwiększają produktywność pracowników.Co więcej, rozwiązanie gwarantuje bezpieczeństwo haseł ustawianych przez użytkowników: można ustalać i egzekwować systemowe reguły tworzenia haseł, które ochronią przedsiębiorstwo przed atakami.

Rys. Określanie restrykcyjnych zasad dotyczących haseł za pomocą kreatora zasad tworzenia haseł

.. Niższe koszty i mniejsza złożoność

W miarę rozwoju firmy zwiększa się liczba użytkowników i złożoność środowiska biznesowego.

Oprogramowanie NIM pozwala wyeliminować kosztowne i czasochłonne procesy ręcznego administrowania dostępem użytkowników. Zwiększa wydajność ich pracy już od momentu zatrudnienia — dzięki automatyzacji procesów związanych z konfigurowaniem kont użytkowników i służących temu mechanizmom obsługi przepływu pracy (workflow), które umożliwiają delegowanie zadań administracyjnych i samoobsługę.____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 109

Rys. Graficzne modelowanie przy użyciu narzędzia Designer for Identity Manager

W skład rozwiązania Novell Identity Manager wchodzi m.in. aplikacja Designer for Identity Manager — zaawansowane narzędzie administracyjne, które znacznie upraszcza wdrażanie i konfigurację pod kątem biznesowych potrzeb firmy.

Designer udostępnia następujące możliwości:• graficzne modelowanie wdrożeń, • ponowne użycie konfiguracji skracające czas wdrożenia, • opracowywanie i testowanie scenariuszy typu „co, jeżeli” przed wdrożeniem

w środowisku eksploatacyjnym, co zapewnia poprawne zdefiniowanie reguł,• automatyczne generowanie dokumentacji projektu zawierającej wszystkie

szczegóły wdrożenia,• praca w trybie offline w celu bezpiecznego konfigurowania wdrożeń poza

środowiskiem eksploatacyjnym,• zarządzanie wersjami projektu,• definiowanie reguł związanych z przekształcaniem, rozmieszczaniem,

dopasowywaniem danych oraz zarządzanie nimi.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 110Rys. Dostosowywanie reguł do potrzeb przedsiębiorstwa

Rys. Konsola architekta systemu w narzędziu Designer służącym m.in. do projektowania procesów zatwierdzania dostępu (workflow) i przepływu informacji o tożsamości i uprawnieniach użytkowników



strona 111Oprogramowanie NIM zawiera narzędzie Enforcer do automatycznego weryfikowania danych podczas zapisu.Narzędzie Enforcer zostało opracowane z myślą o skróceniu czasu wdrażania poprzez wyeliminowanie niespójności formatów danychEnforcer ułatwia skonfigurowanie systemów przed rozpoczęciem wdrożenia rozwiązania Novell Identity Management oraz zapewnia nieprzerwane działanie środowiska dzięki pełnej widoczności całego procesu.

Rys. Konfigurowanie zasad oprogramowania Novell Identity Manager

.. Bezpieczeństwo i zgodność z przepisami

Byli pracownicy stanowią zwykle zagrożenie dla bezpieczeństwa firmy, ale rozwiązanie Novell Identity Manager pozwala rozwiązać ten problem. Dostęp do zasobów zostaje automatycznie zablokowany w momencie zmiany statusu pracownika na „Zwolniony” w kadrowej bazie danych lub innym źródle nadrzędnym. Informacje poufne pozostają bezpieczne.

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 112Novell Identity Manager udostępnia następujące funkcje:• administrowanie tożsamością w oparciu o role i stanowisko pełnione przez osobę

w organizacji,• automatyzacja konfigurowania kont i uprawnień użytkowników,• automatyzacja procedur (workflow) związanych z zatwierdzaniem przyznawania

uprawnień,• automatyzacja zarządzania hasłami,• rygorystyczne egzekwowanie reguł dotyczących haseł,• dwukierunkowa synchronizacja haseł,• szerokie możliwości korzystania z oprogramowania w trybie samoobsługi, w tym

możliwość rejestracji użytkowników,• monitorowanie ról dla potrzeb raportowania zgodności z regulacjami

i przepisami,• możliwość tworzenia firmowych książek teleadresowych i diagramów

organizacyjnych,• tworzenie raportów na temat uprawnień dostępu wszystkich użytkowników

w formie przygotowanej do audytu,• automatyczne generowanie dokumentacji ułatwiające zapewnienie zgodności

z regulacjami i przepisami,• dostępność narzędzi do sprawdzania poprawności reguł synchronizacji danych o

tożsamości,• projektowanie i współużytkowanie nowych procedur (workflow) bez ręcznego

kodowania,• tworzenie i testowanie reguł „na żywo”, bez ryzyka dla działających systemów,• skrócenie czasu potrzebnego do wdrożenia rozwiązania dzięki automatycznemu

czyszczeniu danych (data scrubbing).Rozwiązanie Novell Identity Manager zapewnia następujące korzyści:• wyższa wydajność operacyjna całej firmy, • egzekwowanie zgodności z przepisami branżowymi, • ograniczenie kosztów administrowania systemami i utrzymania stanowisk pomocy

(helpdesk), • ograniczenie zagrożeń dotyczących bezpieczeństwa, • wypracowanie korzystnych relacji biznesowych z klientami bądź partnerami, • zapewnianie natychmiastowego dostępu do zasobów i automatyzacji złożonych

procesów konfigurowania kont użytkowników,• przydzielanie użytkownikom zasobów z uwzględnieniem ról i reguł

obowiązujących w firmie,• synchronizowanie haseł umożliwiające stosowanie jednego hasła do wszystkich

systemów,• samodzielne odzyskiwanie lub resetowanie reguł przez użytkowników za pomocą

interfejsu internetowego, • opracowywanie i egzekwowanie restrykcyjnych zasad tworzenia haseł we

wszystkich systemach, • otrzymywanie raportów w przypadku nieprawidłowego udzielenia dostępu,• niższe koszty utrzymania i mniejsza złożoność środowiska IT, • rejestrowanie czynności (audyt) użytkowników powiązanych z ich tożsamością

dzięki aplikacji Novell Audit Starter Pack i zapewnienie dokładności danych.Małgorzata Piotrowska PTUN http://www.ptun.org.pl


strona 113O b s ł u g i w a n e s y s t e m y i a p l i k a c j e Bazy danychIBM DB2IBM InformixJDBCMicrosoft SQL ServerMySQLOracleSybaseKatalogiCritical Path InJoin DirectoryIBM Tivoli Directory Server iPlanet Directory ServerLDAPMicrosoft Active DirectoryMicrosoft Windows NT DomainsNetscape Directory ServerNISNIS+Novell eDirectoryNovell NDSOracle Internet DirectorySun ONE Directory ServerSystemy poczty elektronicznejLotus NotesMicrosoft Exchange 5.5, 2000, 2003Novell GroupWise

Aplikacje korporacyjneBaanJ.D. EdwardsLawsonOraclePeopleSoftSAP HRSAP R/3 4.6 i SAP Enterprise Systems (BASIS)SAP Web Application Server (Web AS) 6.20SiebelMagistrala usług przedsiębiorstwaBEAIBM WebSphere MQJbossOpenJMSOracleSunTIBCOSystemy mainframeCA-ACF2CA-Top SecretRACF

Systemy klasy średniejOS/400 (AS/400)

Systemy operacyjneDebian LinuxFreeBSDHP-UXIBM AIXMicrosoft Windows 2000, 2003Microsoft Windows NT 4.0Red Hat LinuxRed Hat Linux Advanced Server

i Red Hat Enterprise LinuxSolarisNovell SUSE Linux Enterprise ServerPliki systemu UNIX — /etc/passwdInne systemy i standardyPliki tekstowe z separatoramiDSMLRemedy (helpdesk)Schools Interoperability Framework(SIF)SOAPSPMLCentrale abonenckie (PBX)

Avaya PBX

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________

____________________________________________________________________________



strona 114.. Zestawienie funkcji oprogramowania Novell Identity Manager 3.5Funkcja Novell

Identity Manager 2.0

Novell Identity Manager 3.0

Novell Identity Manager 3.5

Dwukierunkowe konfigurowanie kont oparte na zdarzeniach • • •Uprawnienia z uwzględnieniem ról • • •Generowanie raportów i powiadomień • • ∆Zarządzanie hasłami • • ∆Zintegrowany proces zatwierdzania • • ∆Książki teleadresowe i samoobsługa • • ∆Sterownik Workflow Request Service • • •Graficzny generator reguł i skrypty Novell DirXML® • • ∆Interfejs internetowy Novell iManager • • ∆Generowanie raportów i powiadomień oraz rejestrowanie zdarzeń za pomocą aplikacji Novell Audit

• • •

Reguły oparte na języku XSLT • • •Obsługa dodatkowych platform • • •Uproszczona instalacja • • ∆Udoskonalony interfejs administracyjny • • ∆Narzędzie wykrywania wersji • • •Przykładowe raporty dotyczące audytów • • •Udoskonalone aplikacje do obsługi tożsamości • ∆Atrakcyjna wizualnie, elastyczna aplikacja dla użytkowników

• ∆

Designer for Identity Manager: narzędzie do projektowania i modelowania w trybie offline

• ∆

Lepsza skalowalność i większe bezpieczeństwo danych • •Obsługa dodatkowych języków • ∆Graficzny projektant przepływu pracy • ∆Narzędzie Secret Store do konfiguracji danych uwierzytelniających

• ∆

Samoobsługowe rejestrowanie się użytkowników • ∆Dostęp anonimowy ∆Udoskonalone zarządzanie hasłami wraz z harmonogramami generowania i graficznym stanem synchronizacji

∆

Usługi internetowe związane z przepływem pracy i interfejsy API do monitorowania

∆

Udoskonalone mechanizmy obsługi reguł ∆Obsługa ról:– obsługa wieloośrodkowych i poliarchicznych struktur organizacyjnych,– precyzyjnie zdefiniowane punkty integracji z rozwiązaniami innych dostawców.

∆

Ustalanie harmonogramów konfigurowania kont użytkowników

∆

Harmonogram stanowisk ∆Obsługa synchronizacji haseł w sterownikach LDAP i Notes ∆Powiadomienia o synchronizacji haseł ∆Obsługa standardu ECMA Script i udoskonalone powiązania reguł

∆

LEGENDA: • Tak ∆ Nowe bądź udoskonalone funkcje



strona 115

.. Projekt Bandit

Nowatorskie rozwiązania do zarządzania tożsamością wpierane przez społeczność open source.

W miarę jak współczesne przedsiębiorstwa i instytucje coraz szerzej wdrażają technologie zarządzania tożsamością, napotykają na coraz większą, przytłaczającą wręcz liczbę produktów pochodzących od różnych dostawców. Zróżnicowanie tych ofert może stwarzać trudności w integracji systemów i aplikacji wykorzystujących często te same informacje o tożsamości. W celu wyjścia naprzeciw tym problemom Novell zinicjował projekt pod nazwą Bandit wspierany przez społeczność open-source.

Celem projektu jest ujednolicenie zróżnicowanych systemów zarządzania tożsamością oraz wprowadzenie spójnego podejścia do zabezpieczenia tożsamości i zarządzania tożsamością.

W skład projektu wchodzą luźno powiązane komponenty typu open source (z otwartym dostępem do kodu źródłowego), które udostępniają jednolite usługi zarządzania tożsamością, obejmujące uwierzytelnianie, autoryzację i audyt. Komponenty te implementują protokoły i specyfikacje oparte na otwartych standardach, co oznacza, że usługi zarządzania tożsamością mogą być tworzone, używane, integrowane i oparte na wielu źródłach tożsamości.

Rys. Schemat ogólny architektury



strona 116Cechy i funkcje• Prosty dostęp z aplikacji do wielu magazynów z danymi o tożsamościach• Obsługa wielu metod uwierzytelniania (w tym dołączanych jako wtyczki) przy

zapewnieniu jednolitego dostępu do aplikacji• Prosty interfejs aplikacji zapewniający jednolity dostęp do systemów w oparciu

o role• Łatwe włączanie aplikacji do wspólnego systemu zapewnienia zgodności

z przepisami

Rys. Praca z aplikacją Microsoft CardSpace

Rys. Strona główna projektu Bandit: www.bandit-project.org


http://www.bandit-project.org/


strona 11710 Postępowanie w sytuacjach awaryjnych

konsole serwera i ekrany uruchomionych procesów; polecenia liniowe, skrypty systemowe, logi systemowe

dokumentacja, support.novell.com , fora internetowe



podręcznik do szkolenia na temat usług sieciowych firmy novell

Documents