Leitfaden zur XML-Verwaltungsschnittstelle von Fremdsystemen der cynapspro Endpoint Data Protection 2010.
Weitere Informationen über die cynapspro Endpoint Data Protection 2010 finden Sie unter http://cynapspro.com/DE/
2. 2
cynapspro Data Endpoint Protection 2010
Alle Rechte vorbehalten, 2004 – 2010 cynapspro GmbH. Diese Dokumentation ist urheberrechtlich
geschützt. Alle Rechte liegen bei der cynapspro GmbH. Jede andere Nutzung, insbesondere die
Weitergabe an Dritte, Speicherung innerhalb eines Datensystems, Verbreitung, Bearbeitung, Vortrag,
Aufführung und Vorführung ist untersagt. Dies gilt sowohl für das gesamte Dokument, als auch Teile
davon.
Änderungen vorbehalten. Die in dieser Dokumentation beschriebene Software unterliegt einer
permanenten Weiterentwicklung. Aufgrund dessen kann es zu Unterschieden in der Dokumentation
und der tatsächlichen Software kommen.
Cynapspro devicepro® sind eingetragene Markenzeichen der cynapspro GmbH. Alle verwendeten
Produktnamen und Warenzeichen sind Eigentum ihres jeweiligen Besitzers.
cynapspro GmbH
Am Hardtwald 1
76275 Ettlingen
Germany
Tel. +49 (0)7243 945-250
Fax. +49 (0)7243 945-100
eMail: contact@cynapspro.com
3. 3
Inhaltsverzeichnis
Integration von Drittsystemen
Bausteine zum Erstellen einer DevicePro Rechtedatei
Anwenderbeispiele
4. 4
Integration von Drittsystemen
Sie haben ein System in dem Sie schon alle Benutzer Verwalten oder Rechteveränderungen
vornehmen, und möchten, dass die Änderungen automatisch in die DevicePro Datenbank
übernommen werden? Dafür haben wir die Rechteverwaltung über Drittsoftware entwickelt.
Alle Ihre Änderungen können Sie als XML Datei abspeichern und wir werden diese automatisch
übernehmen.
Sie können in der DevicePro Management Konsole den Pfad bestimmen, an dem Sie die XML
Dateien ablegen möchten. Hierfür gehen Sie in der Administration auf Integration von
Drittsoftware. Sie legen hier den Pfad zum Einlesen der XML unter Verzeichnis für den
Datenimport fest. Die beiden anderen Pfade werden automatisch angelegt. Wenn Sie aber
einen anderen Ordner verwenden möchten, klicken Sie auf Durchsuchen.
Wenn Sie nun eine XML Datei in den bei Verzeichnis für den Datenimport hinterlegten
Pfad legen, wird diese sofort bearbeitet.
Wurde die Datei erfolgreich eingelesen, so wird sie automatisch in den Ordner Success
verschoben. Ist die XML Datei fehlerhaft, so finden Sie diese nach dem Einlesen unter dem
Ordner Fail.
Zusätzlich zu der Ordnerstruktur informiert der DevicePro Server Sie über den Status des
Importvorganges. Wurde die XML Datei erfolgreich verarbeitet, so sehen Sie in dieser XML
Datei den Status „Success“. Bei fehlerhaften Einlesen des XML Befehles erhalten Sie die
Meldung "Failed" und einen Rückgabewert "ErrorText" mit dem Fehlertext Status="Failed",
welches in dieser XML Datei niedergeschrieben wird. Somit erhält das Drittsystem ein
Feedback, ob alles funktioniert hat, bzw. falls nicht, warum es nicht geklappt hat.
Bitte beachten Sie die im Anhang erwähnten Bausteine zum Erstellen einer DevicePro
Rechtedatei.
5. 5
Bausteine zum Erstellen einer DevicePro Rechtedatei
Geräteport ändern
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DP Type="9" Name="Firewire">
<SD>
<ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE>
</SD>
</DC>
</Body>
</Xml>
Mit dem Parameter DP Type=“Wert“ (…) können Sie einzelne Ports sperren. Geben bitte
hier den Port mit ID (Type) der entsprechenden Ports an. Die Angabe des Klassenamens
(Name) ist optional und dient der Übersichtlichkeit.
Parallel Port: <DP Type="3" Name="Parallel Port"></DP>
Serial Port: <DP Type="4" Name="Serial Port"></DP>
Firewire: <DP Type="9" Name="FireWire"></DP>
PCMCIA: <DP Type="10" Name="PCMCIA"></DP>
USB Port: <DP Type="14" Name="USB (without keyboards, mouses...)"></DP>
Sie können die Rechte einzelner Gruppen und Benutzern über den Baustein SD ändern. Zuerst
müssen Sie die Port-/Geräteklasse (DP oder DC). Dazwischen setzen Sie den SD (=Security
Descriptor) in welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry)
übergeben. Im Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen,
sowie das Zugriffsrecht AR (=Access Right). Novell GUID’s werden automatisch von cynapspro
in eine SID umgewandelt.
Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert
0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden.
Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden.
Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie
hier den Full Qualified Name des Rechners an.
Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID
zusammen.
6. 6
Geräteklasse ändern
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DC Id="1" Name="CD / DVD">
<SD>
<ACE sid="S-1-5-21-3757206099-4223034928-3177353085-1003" ar="0"></ACE>
</SD>
</DC>
</Body>
</Xml>
Mit dem Parameter DC Type=“<Wert>“ können Sie einzelne Geräteklassen sperren. Geben
bitte hier die Geräteklasse mit ID (Type) der entsprechenden Geräte an. Die Angabe des
Klassenamens (Name) ist optional und dient der Übersichtlichkeit.
unbekannte Geräte: <DC Id="0" Name="Unknown"></DC>
CD/DVD: <DC Id="1" Name="CD / DVD"></DC>
Diskettenlaufwerk: <DC Id="2" Name="Floppy Disk"></DC>
externe Speichermedien: <DC Id="5" Name="External Storage"></DC>
Infrarotgeräte: <DC Id="6" Name="Infrared"></DC>
Bluetooth Adapter: <DC Id="7" Name="Bluetooth"></DC>
WLAN Karten/Adapter: <DC Id="8" Name="WiFi"></DC>
Scanner/Kameras: <DC Id="11" Name="Scanners and Cameras"></DC>
TV Karten/Adpater: <DC Id="12" Name="TV Tuner"></DC>
Drucker: <DC Id="13" Name="Printers"></DC>
PDA/Smartphone: <DC Id="15" Name="PDA"></DC>
Blackberry: <DC Id="16" Name="Blackberry"></DC>
Modem: <DC Id="17" Name="Modem"></DC>
ISDN Karten/Adapter: <DC Id="18" Name="ISDN Cards"></DC>
Sie können die Rechte aller Benutzer oder einzelner Gruppen und Benutzern über den
Parameter SD ändern. Zuerst müssen Sie die Port-/Geräteklasse (DP oder DC), bzw. eine
Freigabe (DM oder DN) öffnen. Dazwischen setzen Sie den SD (=Security Descriptor) in
welchem Sie dann den Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im
Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das
Zugriffsrecht AR (=Access Right). Novell GUID’s werden automatisch von cynapspro in eine
SID umgewandelt.
Für unbekannte Benutzer verwenden Sie S-1-5-11. Als Zugriffsrechte können Sie den Wert
0 für Kein Zugriff, den Wert 1 für Lesezugriff und den Wert 3 für Vollzugriff verwenden.
Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und external Storage gewährt werden.
Möchten Sie ein Rechnerrecht bearbeiten so verwenden Sie den Parameter host. Geben Sie
hier den Full Qualified Name des Rechners an.
Um einen Rechner dem Benutzer zuzuweisen fügen Sie den Parameter Host und SID
zusammen.
7. 7
Freigegebene Gerätegruppen
Beispiel:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DM Class="1" Cert="1" HwId="IDECDROMLITE-ON_DVDRW_SHM-
165P6S________________MS0F____"></DM>
</Body>
</Xml>
Um einzelne Gerätegruppen in die Whitelist der Freigegebenen Gerätegruppen zu Integrieren
verwenden Sie bitte den Parameter DM Class="<Wert>" Cert="<Wert>"
HwId="<HardwareID> ".
Der Parameter Class bzw. Port steht für die Geräteklasse bzw. den Port:
unbekannte Geräte: Class="0"
CD/DVD: Class="1"
Diskettenlaufwerk: Class="2"
Parallel Port: Port="3"
Serial Port: Port="4"
externe Speichermedien: Class="5"
Infrarotgeräte: Class="6"
Bluetooth Adapter: Class="7"
WLAN Karten/Adapter: Class="8"
Firewire: Port="9"
PCMCIA: Port="10"
Scanner/Kameras: Class="11"
TV Karten/Adpater: Class="12"
Drucker: Class="13"
USB Port: Port="14"
PDA/Smartphone: Class="15"
Blackberry: Class="16"
Modem: Class="17"
ISDN Karten/Adapter: Class="18"
Mit der Angabe von Cert hinterlegen Sie bitte den Wert 1 zum Hinzufügen oder 0 zum
Entfernen.
Die Windows HardwareID des Gerätes geben Sie unter dem Parameter HwID bekannt.
8. 8
Baustein für individuelle Gerätefreigabe
Beispiel PDA für alle Benutzer freigeben:
<?xml version="1.0"?>
<Xml>
<Header></Header>
<Body>
<Schema>1</Schema>
<DN Port="14" Class="15" InstanceId="USBVID_0BB4&PID_0BCE5&1C5E86F8&0&1"
Name="Windows Mobile-based Device">
<SD>
<ACE sid="S-1-1-0" ar="3"></ACE>
</SD>
</DN>
</Body>
</Xml>
Wollen Sie über die Seriennummer und HardwareID einzelne Geräte für einzelne Benutzer
und/oder Rechner mit Lese- oder Vollzugriff freigeben. Hierfür können mit dem Parameter DN
Port="<Wert>" Class="<Wert>" InstanceId="<HwID+SNr>"
Name="<Gerätebeschreibung>" verwenden. Mit den Werten Port und Class hinterlegen
Sie die genaue Ansteuerung des Gerätes. Die InstanceID besteht aus HardwareID und
Seriennummer des entsprechenden Gerätes. Mit dem Parameter Name können Sie optional
eine Gerätebeschreibung hinterlegen.
In den Parameter <DN (…)>…</DN> können Sie mit folgenden Tags die betroffenen
Benutzer und Rechte hinterlegen. Hierfür öffnen Sie mit SD den „Security Descriptor“ in
welchem Sie dann die Zugriffskontrolleintrag ACE (=Access control entry) übergeben. Im
Zugriffskontrolleintrag hinterlegen Sie die SID der Benutzer oder Gruppen, sowie das
Zugriffsrecht AR (=Access Right).
Als Zugriffsrechte können Sie den Wert 0 für Kein Zugriff, den Wert 1 für Lesezugriff und
den Wert 3 für Vollzugriff verwenden. Ein Lesezugriff kann nur auf Floppy Disk, CD/DVD und
external Storage gewährt werden.
Um einen Benutzer oder Rechner aus einer Gerätefreigabe zu entfernen verwenden Sie den
Parameter del. Der Wert hinter diesem Parameter gibt die Anzahl der Objekte an.
Anschließend hinterlegen Sie die SID oder den Rechner.
AD/NDS/LDAP Synchronisation starten
DpAdminTool.exe /sync [/activate]
Starten Sie mit dem Kommandozeilenbefehl /sync die komplette Synchronisation Ihrer bereits
bestehenden Verzeichnis Dienst Struktur. Mit dem zusätzlichen Parameter /activate werden
alle neuen User automatisch in DevicePro aktiviert.
Alle Benutzer in DevicePro aktivieren
DpAdminTool.exe /activate
Aktivieren Sie sämtliche Benutzer automatisiert.
Lizenzdatei wechseln
DpAdminTool.exe /license LICENSE_FILE_PATH /user LICENSE_NAME
9. 9
Verwaltung von ersten Laufwerksbuchstaben
DpAdminTool.exe /driveLetter "<Laufwerksbuchstabe>"
Damit keine Konflikte zwischen Netzlaufwerken und externen Massenspeichern bei der
Vergabe der Laufwerksbuchstaben entstehen, können Sie mit dem folgenden Befehl den
ersten Buchstaben für Speichermedien setzen.
Client Rollout über DevicePro Server
/install [all] [MACHINE_NAMES]
Installieren Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern
[MACHINE_NAMES].
Client Update über DevicePro Server
/update [all] [MACHINE_NAMES]
Updaten Sie den DevicePro Agent auf allen [all] oder einzelnen Rechnern [MACHINE_NAMES].
Automatisches Löschen von Logfiles
DpAdminTool.exe /serverLogsTime 5 - (5 Tage Begrenzung)
DpAdminTool.exe /serverLogsTime 0 - (keine zeitliche Begrenzung)
DpAdminTool.exe /serverLogsSize 5 - (5 MB Größe Begrenzung)
DpAdminTool.exe /serverLogsSize 0 - (keine Begrenzung der Größe)
DpAdminTool.exe /agentLogsTime 5 - (5 Tage Begrenzung)
DpAdminTool.exe /agentLogsTime 0 - (keine zeitliche Begrenzung)
DpAdminTool.exe /agentLogsSize 5 - (5 MB Größe Begrenzung)
DpAdminTool.exe /agentLogsSize 0 - (keine Begrenzung der Größe)
Um den Speicherbedarf von DevicePro zu minimieren, können Sie mit folgenden Parametern
die Aufbewahrung von Logdateien, welche die Programmaktivitäten mit protokollieren nach
Zeitraum oder Volumen automatisch leeren.
Abändern von Domaincontroller Daten
DpAdminTool.exe /xmlrpcport 6005 /agentPort 6006 /dsType 1 /domainController [DC_NAME] /adUser [AD_USER]
/adPassword [AD_PASSWORD] /dbServer [DB_SERVER] /dbName [DB_NAME] /dbUserName [DB_USER_NAME] /dbPassword
[DB_PASSWORD]
Nur eingetragene Parameter werden für die Änderung berücksichtigt.
Abändern der Pfad für XML Schnittstellen
DpAdminTool.exe /impdir ACL_IMPORT_DIR /impdirsuccess IMPORT_SUCCESS_DIR /impdirfail IMPORT_FAIL_DIR
Hinterlegen Sie den Importpfad (ACL_IMPORT_DIR), den Pfad für erfolgreiche
Importvorgänge (IMPORT_SUCCESS_DIR) oder fehlerhafte XML Dateien (IMPORT_FAIL_DIR).
Import und Export der Einstellungen von Server zu Server
/importACL ACL_FILE_PATH
/exportACL ACL_FILE_PATH
Importieren Sie alle Benutzerrechte und Gerätefreigaben eines anderen Servers über die
Export/Import Funktion
12. 12
Gratulation
Nun sind Sie mit dem kompletten DevicePro Ultimate bestens vertraut.
Für weitere Unterstützung stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Gerne stehen wir Ihnen aber auch bei aufkommenden Fragen unterstützend zur Seite.
cynapspro GmbH
Am Hardtwald 1
76275 Ettlingen
Germany
Tel. +49 (0)7243-945-250
Fax. +49 (0)7243-945-100
eMail: contact@cynapspro.com
Website: http://www.cynapspro.com
Wir wünschen Ihnen viel Spaß mit unseren Produkten.