ESET REMOTE ADMINISTRATOR6 Příručka pro nasazení Virtual Appliance Klikněte sem pro stažení nejnovější verze příručky
ESET REMOTE ADMINISTRATOR 6 Copyright
2016 ESET, spol. s r.o.
ESET Remote Administrator 6 byl vyvinut společností ESET, spol. s r.o. Pro více informací navš tivte www.eset.cz. Vš echna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET, spol. s r.o. ESET, spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího upozornění. Technická podpora: www.eset.cz/podpora REV. 14/07/2016
Obsah 13. Řešení .......................................................59 problémů 1. Nasazení .......................................................4 ERA virtuální appliance 1.1 Předpoklady ....................................................................................................4 1.1.1
Doporučená ..............................................................................5 konfigurace
14. ERA .......................................................60 Virtual Appliance FAQ
2. Podporované .......................................................6 hypervizory
14.1 Jak zjistím, jakou verzi ERA komponent ....................................................................................................61 používám?
3. Implementace .......................................................7 a údržba virtuální appliance
14.2 Musím do ERA VA instalovat další komponenty? ....................................................................................................61
4. Stažení .......................................................8 ERA virtuální appliance
14.3 Jak ručně aktivovat Apache HTTP Proxy na....................................................................................................62 virtuální appliance?
5. Hesla.......................................................9 na ERA virtuální appliance 6. Proces .......................................................10 nasazení
14.4 Jak ....................................................................................................62 načíst obsah Active Directory? 14.5 Zapomněl jsem heslo pro přístup do ....................................................................................................62 ERA VA, co mám dělat?
14.6 Jak změnit connection string pro připojení ....................................................................................................62 do ERA databáze? 6.1 vSphere ....................................................................................................10 ERA VAgentHost ..............................................................................12 Appliance 14.7 ESET ....................................................................................................63 RD Sensor nedetekuje počítače 6.1.1 14.8 Jak ....................................................................................................64 změnit porty, které používá ERA? 6.2 VMware ....................................................................................................15 Workstation/Player 14.9 Jak zvýšit paměťový limit MySQL 6.3 Microsoft ....................................................................................................17 Hyper-V ....................................................................................................64 serveru? 6.4 Oracle ....................................................................................................19 VirtualBox 14.10ERA VA nefunguje korektně na Hyper-V Server ....................................................................................................64 2012 R2 7. Prvotní .......................................................22 konfigurace 7.1 ERA ....................................................................................................22 Server Appliance 7.2 ERA ....................................................................................................24 Proxy Appliance 7.3 ERA ....................................................................................................27 MDM Appliance
8. Konzole .......................................................30 pro správu 8.1 Nastavení ....................................................................................................31 statické IP adresy 8.2 Aktivace ....................................................................................................33 Webmin rozhraní 8.3 Záloha ....................................................................................................34 databáze 8.4 Obnova ....................................................................................................36 databáze 8.5 Reset ....................................................................................................37 po obnovení snapshotu 8.6 Migrace ....................................................................................................38 databáze ze starého serveru 8.7 Změna ....................................................................................................41 hesla do virtuálního stroje 8.8 Změna ....................................................................................................43 databázového hesla 8.9 Opětovné ....................................................................................................44 připojení do domény 8.10 Připojení ....................................................................................................45 do domény 8.11 Obnovení ....................................................................................................46 do továrního nastavení
9. Webmin .......................................................49 webové rozhraní 9.1 Dashboard ....................................................................................................50 9.2 System ....................................................................................................51 9.3 Servers ....................................................................................................52 9.3.1
ESET Remote ..............................................................................52 Administrator
9.4 Others ....................................................................................................54 9.5 Networking ....................................................................................................55
10. ERA .......................................................56 certifikáty 11. Aktualizace .......................................................57 a migrace 12. Disaster .......................................................58 recovery
14.11 Jak zvýšit stabilitu appliance provozovanou ....................................................................................................64 v Oracle VirtualBox?
15. DNS.......................................................65 servisní záznam
1. Nasazení ERA virtuální appliance ERA Virtual Appliance (ERA VA) nabízíme pro uživatele, kteří chtějí ESET Remote Administrator provozovat ve virtuálním prostředí. ERA Virtual Appliance představuje nejjednodušší a nejrychlejší způsob pro zprovoznění ESET Remote Administrator ve vaší síti. ERA Virtual Appliance je připravena pro nasazení do většiny virtuálních prostředí. Podporuje nativní hypervizory (VMware vSphere/ESXi a Microsoft Hyper-V), stejně tak hostované hypervizory běžící na desktopovém operačním systému (VMware Workstation, VMware Player a Oracle VirtualBox). Pro seznam podporovaných hypervizorů přejděte do této kapitoly. V této uživatelské příručce naleznete informace o nasazení a správě ERA virtuální appliance, včetně: Konzole pro správu ERA virtuální appliance – textové grafické rozhraní, které poskytuje základní informace o ESET Remote Administrator. Dále prostřednictvím tohoto rozhraní můžete provádět základní konfiguraci operačního systému CentOS mnohem pohodlněji než z terminálu a bez znalosti linuxových příkazů. Mezi nejdůležitější funkce dostupné v tomto rozhraní patří: o Nastavení statické IP adresy – pokud DHCP server nepřiřadil virtuálnímu stroji žádnou IP adresu, provedete to ručně pomocí tohoto skriptu. o Migrace databáze – tuto funkci využijete při migraci z jedné virtuální appliance do druhé. o Zálohování a obnovení a ERA databáze – pomocí této funkce provedete zálohu/obnovení databáze, kterou používá ESET Remote Administrator. o Tovární nastavení – tímto skriptem vrátíte konfiguraci virtuální appliance do výchozího stavu. To využijete v případě, kdy jste narazili na problémy při běhu virtuálního stroje. Po obnovení appliance do výchozí stavu stačí obnovit databázi ze zálohy. Webmin webové rozhraní – webové rozhraní třetí strany, prostřednictvím kterého můžete jednoduše spravovat operační systém CentOS. V této příručce naleznete popsány nejdůležitější součásti Webminu. Pro více informací se podívejte do oficiální dokumentace.
1.1 Předpoklady Pro nasazení ERA Virtual Appliance musí váš systém a infrastruktura splňovat následující předpoklady: Musíte používat podporovaný hypervizor. Pokud používáte VMware Workstation/Player nebo Oracle VirtualBox, musíte jej provozovat na podporovaném operačním systému. V BIOSu hostitelského systému musíte mít aktivní technologii VT. V závislosti na výrobci základní desky se funkce může jmenovat VT, Vanderpool Technology, Virtualization Technology, VMX nebo Virtual Machine Extensions. Toto nastavení zpravidla naleznete v BIOSu v sekci bezpečnost (security). Ujistěte se, že síťový adaptér virtuálního počítače je nastaven v režimu Bridged, případně NAT. V průběhu prvotní konfigurace ERA VA můžete zadat podrobné informace o síti stejně jako doméně, které jsou potřebné pro úspěšný běh úlohy Synchronizace statické skupiny. Pokud máte síťový adaptér nakonfigurovaný do režimu NAT a chcete mít ERA dostupné z internetu, musíte nastavit port forwarding. Potřebné porty jsou zobrazeny na úvodní obrazovce ERA VA po dokončení prvotní konfigurace. DŮLEŽITÉ: Pro zabránění ztráty dat a chybě v konfiguraci doporučujeme vytvořit snapshot virtuálního počítače s ERA ihned po jeho spuštění, po provedení prvotní konfigurace a po synchronizaci s Active Directory. Protože ERA neprovádí zálohování databáze, zálohujte ji ručně nebo celý stroj prostřednictvím snapshotu. Při konfiguraci ERA Proxy, ERA MDM a ERA VAgentHost jsou vyžadovány ERA certifikáty. Musíte již tedy mít funkční ERA Server, abyste mohli vygenerovat certifikáty, které jsou používány pro šifrování komunikace mezi jednotlivými komponentami ERA infrastruktury.
4
1.1.1 Doporučená konfigurace V závislosti na velikosti vaší sítě a počtu klientů, kteří se budou k ERA virtuální appliance připojovat, můžete upravit její nastavení pro zajištění plynulého běhu. Následující hodnoty platí pro virtuální appliance ERA Server, ERA Proxy a ERA MDM: Počet klientů
Počet jader
RAM
Ostatní požadavky
méně než 1000 klientů
2
2 GB
Thick provisioned disk
1000 až 5000 klientů
4
4 GB
Thick provisioned disk, ručně upravte paměťový limit MySQL
více než 5000 klientů
8
8 GB
V závislosti na počtu klientů navyšte systémové prostředky virtuálního stroje
DŮLEŽITÉ: Pokud plánujete spravovat více než 5 000 klientů, doporučujeme ERA Server/Proxy/MDM nainstalovat na fyzický stroj (Microsoft Windows Server + Microsoft SQL Server). Následující hodnoty platí pro ERA VAgentHost Appliance: Minimální konfigurace: 1 - 1 000 virtuálních počítačů -> 2 jádra, 2 GB RAM Doporučená konfigurace: 1 - 10 000 virtuálních počítačů -> 4 jádra, 8 GB RAM
5
2. Podporované hypervizory ERA Virtual Appliance (ERA VA) (ERA_Appliance.ova a ERA_VAgentHost.ova) je založena na vmx-07 virtual hardware family type a provozovat ji můžete v následujících hypervizorech. Hypervizor
Verze
ERA Server Appliance
ERA Proxy Appliance
ERA ERA MDM VAgentHost Appliance Appliance
VMware vSphere/ESXi
5.0 a novější
x
x
x
x
VMware Workstation
9 a novější
x
x
x
N/A
VMware Player
7 a novější
x
x
x
N/A
Microsoft Hyper-V
Server 2012 a 2012 R2
x
x
x
N/A
Oracle VirtualBox
4.3.24 a novější
x
x
x
N/A
Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně. Následně již budete schopni virtuální appliance nakonfigurovat prostřednictvím webového rozhraní.
6
3. Implementace a údržba virtuální appliance Úspěšné zprovoznění ERA virtuální appliance se skládá z následujících kroků: 1. Nasazení ERA Appliance – nejprve musíte OVA soubor naimportovat do svého hypervizoru a vytvořit nový virtuální stroj. 2. Prvotní konfigurace ERA Appliance – následně prostřednictvím webového průvodce proveďte prvotní konfiguraci virtuální appliance, v rámci které definujte typ appliance, nastavení sítě a případně ji rovnou napojte do domény. Veškeré další akce budete provádět prostřednictvím textového grafického rozhraní, případně Webminu. Podrobnější informace naleznete v těchto kapitolách: 1. Konzole pro správu ERA Appliance – grafická konzole pro provádění nejdůležitějších akcí jako je konfigurace sítě, zálohování databáze, změna hesel atp. Z této konzole se můžete také dostat do systémového terminálu. 2. Webmin webové rozhraní – webové rozhraní třetí strany, prostřednictvím kterého můžete snadno spravovat operační systém CentOS, na kterém běží ERA VA. Zpracovány máme scénáře pro aktualizaci, migraci a disaster recovery. Aktualizace a migrace – v této kapitole naleznete informace týkající se procesu aktualizace ERA virtuální appliance na nejnovější verzi, případně migrace na jinou virtuální appliance. Disaster recovery – kroky uvedené v této kapitole využijte v případě, kdy potřebujete obnovit virtuální appliance do funkčního stavu.
7
4. Stažení ERA virtuální appliance ERA Virtual Appliance distribuujeme jako OVA soubor (Open Virtualization Appliance). Appliance naleznete na webových stránkách společnosti ESET v sekci Stáhnout > Firmy > Remote Administrator 6 . Kliknutím na rozbalte celou kategorii a dále vyberte Virtual Appliances. Před samotným stažením se rozhodněte, zda potřebujete ERA_Appliance.ova nebo ERA_VAgentHost.ova . Pokud plánujete appliance provozovat v Microsoft Hyper -V, stáhněte si ERA_Appliance.vhd.zip. ERA_Appliance.ova
– obsahuje několik druhů ERA appliance. Prostřednictvím tohoto souboru můžete nasadit: ERA Server – virtuální počítač, na kterém běží ERA Server včetně všech potřebných součástí a ESET Rogue Detection Sensor. ERA Proxy – virtuální počítač, na kterém běží ERA Proxy. Tato komponenta agreguje požadavky od ERA Agentů a hromadně je přeposílá na ERA Server. ERA Proxy můžete nasadit do vzdálených poboček a zvýšit tak propustnost sítě. Tato appliance dále obsahuje ESET Rogue Detection Sensor. ERA MDM – virtuální počítač, na kterém běží komponenta pro správu mobilních zařízení. Pokud nechcete do internetu vypublikovat celý ERA Server, můžete z internetu zpřístupnit pouze ERA MDM. Tímto způsobem budete mít stále možnost spravovat mobilní zařízení, i když nejsou ve vaší interní síti, při zachování vysoké míry zabezpečení ERA serveru.
ERA_VAgentHost.ova
– obsahuje ERA VAgentHost Appliance určenou pro nasazení do vSphere/ESXi a slouží jako konektor mezi ESET Remote Administrator a ESET Virtualization Security. Abyste při nasazení appliance mohli postupovat podle těchto kroků, musíte být připojeni k vCenter Serveru, nikoli ESXi serveru.
OVA soubor je šablona s operačním systémem CentOS 7. Pro nasazení OVA souboru postupujte podle těchto kroků v závislosti na použitém hypervizoru. Po nasazení virtuální appliance proveďte její prvotní konfiguraci prostřednictvím webového průvodce. Po dokončení konfigurace máte funkční virtuální stroj s ESET Remote Administrator, případně jeho komponentami. Předtím než se pustíte do samotného procesu nasazení se ujistěte, zda splňuje vaše infrastruktura všechny předpoklady pro úspěšné nasazení a provoz ESET Remote Administrator. Po nasazení appliance a provedení prvotní konfigurace se můžete přihlásit do ERA Web Console. Pro více informací a možnostech, které konzole nabízí přejděte do uživatelské příručky popisující používání ESET Remote Administrator. Poznámka: ESET nabízí ERA virtuální appliance, ale neposkytuje technickou podporu k použitému operačnímu systému a není zodpovědný za jeho údržbu ani jeho částí. ERA VA je navržena tak, aby její nasazení a používání bylo co nejjednodušší a je založena na veřejně dostupném operačním systému, který obsahuje komponenty třetích stran. Správa a aktualizace těchto komponent je výhradně na administrátorovi ERA VA. Operační systém doporučujeme pravidelně aktualizovat a minimalizovat tak bezpečnostní problémy (to platí také v případě, kdy ERA provozujete na Windows infrastruktuře).
8
5. Hesla na ERA virtuální appliance Na ERA virtuální appliance jsou použity tyto uživatelské účty: Účet
Výchozí heslo
Popis a použití
Uživatel root operačního systému (CentOS)
eraadmin
Pod tímto uživatelem se přihlašujete do virtuální appliance, tedy konzole pro správu a Webmin webového rozhraní. V rozhraní virtuální appliance je toto heslo označováno jako VM password.
Databázový uživatel root (MySQL)
eraadmin
Jedná se o účet s oprávněním root pro přístup k MySQL databázovému serveru. Pod tímto uživatelem budete provádět zálohu nebo obnovení databáze. V rozhraní virtuální appliance je toto heslo označováno jako database root password.
Administrator ERA Web Console
toto heslo def inuj ete až v Prostřednictvím tohoto hesla se přihlásíte do ERA Web průvodci prvotní konf igurací Console jako uživatel Administrator.
Po nasazení virtuální appliance je heslo pro všechny účty společné: eraadmin. Ke změně hesel dojde až následně při prvotní konfiguraci a výše uvedeným uživatelským účtům se nastaví heslo, které jste si sami definujete. V rámci zvýšení bezpečnosti však doporučujeme používat rozdílná hesla. Poznámka: Pokud jste zapomněli heslo, přejděte do této kapitoly. Jednotlivá hesla si můžete změnit prostřednictvím konzole pro správu.
9
6. Proces nasazení Vyberte si hypervizor a postupujte podle dalších kroků: vSphere VMware Workstation/Player Microsoft Hyper-V Oracle VirtualBox
6.1 vSphere Nasazení ERA VA prostřednictvím vSphere klienta 1. Připojte se prostřednictvím vSphere klienta přímo k vCenter nebo ESXi serveru. 2. V hlavním menu klikněte na File > Deploy OVF Template. 3. Klikněte na tlačítko Browse a vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET a klikněte na tlačítko Open. 4. Klikněte na tlačítko Next v části OVF Template Details. 5. Přečtěte si a odsouhlaste licenční ujednání koncového uživatele (EULA). 6. Dále postupujte podle instrukcí na obrazovce a vyplňte následující informace týkající se nového virtuálního počítače: Name and Location Host/Cluster Resource Pool Storage Disk Format Network Mapping 7. Po kliknutí na tlačítko Next se zobrazí souhrn konfigurace a kliknutím na tlačítko Finish spustíte proces vytvoření virtuálního stroje.
8. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následující obrazovka:
10
Na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to be performed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svého internetového prohlížeče a zobrazte si webové rozhraní, prostřednictvím kterého proveďte prvotní konfiguraci appliance. Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně.
11
Poznámka: Doporučujeme nastavit vCenter Roles and Permissions ve VMware tak, aby ostatní uživatelé neměnili přístup k ERA virtuálnímu stroji. Tím zabráníte neoprávněným zásahům do konfigurace ERA virtuálního stroje. Přístup k ESET Remote Administrator přidělíte jednotlivým uživatelům prostřednictvím ERA Web Console. Pro více informací o uživatelských oprávněních přejděte do administrační části příručky ESET Remote Administrator.
6.1.1 ERA VAgentHost Appliance Nasazení ERA VAgentHost Appliance prostřednictvím vSphere klienta 1. Připojte se prostřednictvím vSphere klienta přímo ke svému vCenter serveru (nepřipojujte se přímo v ESXi serveru). 2. V hlavním menu klikněte na File > Deploy OVF Template. 3. Klikněte na tlačítko Browse a vyberte ERA_VAgentHost.ova soubor stažený z webových stránek společnosti ESET a klikněte na Open. 4. Klikněte na tlačítko Next v části OVF Template Details. 5. Přečtěte si a odsouhlaste licenční ujednání koncového uživatele (EULA). 6. Dále postupujte podle instrukcí na obrazovce a vyplňte následující informace týkající se nového virtuálního počítače:
12
Name and Location Host/Cluster Resource Pool Storage Disk Format Network Mapping 7. V sekci Properties vyplňte níže uvedené položky (ostatní hodnoty jsou volitelné): Hostname – název ERA VAgentHost appliance, Password – heslo pro přístup do ERA VM, které se zároveň nastaví jako root heslo v operačním systému CentOS, ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke které se má ERA VAgentHost připojovat, ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem nebo ERA proxy (standardně 2222), Certification Authority - Base64 – vložte exportovaný veřejný klíč certifikační autority v Base64 formátu. Pro více informací přejděte do této kapitoly, Proxy Certificate - Base64 – vložte exportovaný certifikát proxy v Base64 formátu, Pro více informací přejděte do této kapitoly, Agent Certificate - Base64 – vložte exportovaný certifikát agenta v Base64 formátu, Pro více informací přejděte do této kapitoly.
13
8. Po kliknutí na tlačítko Next se zobrazí souhrn konfigurace. Ujistěte se, že jste veškeré parametry nastavili správně. Později již nebude možné jednoduše je změnit. Kliknutím na tlačítko Finish spustíte proces vytvoření virtuálního stroje.
14
9. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout.
6.2 VMware Workstation/Player Nasazení ERA VA do VMware Workstation/Player Před pokračováním se ujistěte, že používáte nejnovější verzi VMware Player. Síťový adaptér nastavte do režimu Bridged nebo NAT. Poznámka: Aby byl virtuální stroj s ERA dostupný z internetu musíte mít správně nastaven port forwarding. 1. V hlavním okně klikněte na Soubor > Otevřít virtuální počítač. 2. Vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET a klikněte na Otevřít. 3. Zadejte název nového virtuálního stroje, případně vyberte složku, do které chcete stroj uložit, a klikněte na tlačítko Importovat. 4. Přečtěte si a odsouhlaste licenční ujednání koncového uživatele (EULA). 5. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následující obrazovka:
15
Na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to be performed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svého internetového prohlížeče a zobrazte si webové rozhraní, prostřednictvím kterého proveďte prvotní konfiguraci appliance. Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně.
16
6.3 Microsoft Hyper-V Nasazení ERA VA do Microsoft Hyper-V 1. Rozbalte ERA_Appliance.vhd.zip soubor stažený z webových stránek společnosti ESET například prostřednictvím 7-Zip. 2. Spusťte správce technologie Hyper-V. 3. Vytvořte nový virtuální stroj jako generaci 1, přiřaďte mu alespoň 4 jádra a 4 GB RAM a jako disk použijte stažený .vhd disk. 4. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následující obrazovka:
17
Na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to be performed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svého internetového prohlížeče a zobrazte si webové rozhraní, prostřednictvím kterého proveďte prvotní konfiguraci appliance. Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně.
18
6.4 Oracle VirtualBox Nasazení ERA VA do VirtualBox Před pokračováním se ujistěte, že používáte nejnovější verzi VirtualBox. Síťový adaptér nastavte do režimu Bridged nebo NAT. Poznámka: Aby byl virtuální stroj s ERA dostupný z internetu musíte mít správně nastaven port forwarding. 1. V hlavním okně klikněte na Soubor vyberte možnost Importovat appliance. 2. Klikněte na tlačítko Procházet a vyberte ERA_Appliance.ova soubor stažený z webových stránek společnosti ESET a klikněte na Otevřít. 3. Klikněte na tlačítko Další. 4. Prohlédněte si souhrnné nastavení virtuálního stroje a klikněte na tlačítko Importovat. 5. Přečtěte si a odsouhlaste licenční ujednání koncového uživatele (EULA). 6. Po úspěšném vytvoření virtuálního stroje jej můžete zapnout. Při prvotním spuštění se zobrazí následující obrazovka:
19
Na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to be performed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svého internetového prohlížeče a zobrazte si webové rozhraní, prostřednictvím kterého proveďte prvotní konfiguraci appliance. Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně.
20
21
7. Prvotní konfigurace ERA VA můžete pohodlně nakonfigurovat prostřednictvím webového rozhraní. Abyste mohli provést prvotní konfiguraci prostřednictvím webového rozhraní, je potřeba aby DHCP server přiřadil virtuálnímu počítači IP adresu. Poznámka: Pokud v síti nemáte DHCP server, budete muset virtuální appliance přiřadit statickou IP adresu ručně. Při správné konfiguraci se na úvodní obrazovce konzole ERA Appliance se zobrazí informace "First time appliance configuration needs to be performed through a web browser by connecting to: https://[IP_adresa]:8443". Uvedenou adresu zadejte do svého internetového prohlížeče a zobrazte si webového průvodce prvotní konfigurací. Nejprve vyberte z rozbalovacího menu typ appliance, kterou chcete nasadit. Dále postupujte podle níže uvedených kroků v závislosti na druhu appliance, kterou chcete nasadit: ERA Server Appliance ERA Proxy Appliance ERA MDM Appliance
7.1 ERA Server Appliance V této kapitole uvádíme postup konfigurace virtuální appliance jako ERA Server. Konfigurační stránka je rozdělena na dvě části Application a Networking properties. Abyste mohli pokračovat dále, musíte vyplnit všechny povinné parametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte si čas při ruční konfiguraci v budoucnu. Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA Server. Povinné položky pro konfiguraci ERA Server Appliance: Password – toto heslo je důležité! Nastaví se jako heslo uživatele root v operačním systému CentOS, použije se jako heslo do ERA databáze, bude jej mít výchozí účet Administrator v ERA Web Console a certifikační autorita ERA bude opatřena tímto heslem.
22
Sice to není nutné, ale doporučujeme vyplnit také nepovinné parametry. Například vyplněním informací o připojení do domény si ušetříte čas při ruční konfiguraci v budoucnu. Dále můžete pomocí možnosti Enable HTTP forward proxy aktivovat Apache HTTP Proxy, komponentu která dokáže do cache ukládat aktualizační a instalační balíčky, čímž nahrazuje mirror. Tuto komponentu můžete aktivovat také později. Poznámka: Mějte na paměti, že vybráním této možnosti se automaticky vytvoří odpovídající politiky a přiřadí se všem stanicím. Pokud máte v síti mobilní uživatele, doporučujeme nastavení zkontrolovat a případně jej pozměnit.
Ujistěte se, že jste veškeré parametry nastavili správně. Později již nebude možné jednoduše změnit a akci dokončete kliknutím na tlačítko Submit. Následně se zobrazí tato informace:
Poznámka: Tuto stránku neaktualizuje. Prohlížeč nebo záložku s touto stránku zavřete a vraťte zpět do konzole ERA VA.
23
Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace o serveru. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port, na kterém běží ERA Web Console ve formátu https://[nazev_nebo_ip_adresa_serveru]:8443.
DŮLEŽITÉ: Před další konfigurací a připojením prvních ERA Agentů doporučujeme vytvořit snapshot virtuálního stroje. V případě chybné konfigurace se snadno můžete vrátit k funkčnímu stavu. Do internetového prohlížeče zadejte adresu ERA Web Console a přihlaste se. Pro více informací a možnostech, které konzole nabízí přejděte do uživatelské příručky popisující používání ESET Remote Administrator.
7.2 ERA Proxy Appliance V této kapitole uvádíme postup konfigurace Virtual Appliance jako ERA Proxy. Konfigurační stránka je rozdělena na dvě části Application a Networking properties. Abyste mohli pokračovat dále, musíte vyplnit všechny povinné parametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte si čas při ruční konfiguraci v budoucnu. Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA Proxy. Povinné položky pro konfiguraci ERA Proxy Appliance: Hostname – název ERA Proxy Appliance. Password – heslo pro přístup do konzole virtuální appliance. Použije se také jako root heslo v operačním systému CentOS a heslo databázového uživatele root.
24
ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke kterému se má ERA Proxy připojovat. ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem (standardně 2222). Certification authority Base64 – vložte exportovaný veřejný klíč certifikační autority v Base64 formátu. Pro více informací přejděte do této kapitoly. Proxy Certificate Base64 – vložte exportovaný certifikát proxy v Base64 formátu, Pro více informací přejděte do této kapitoly. Agent Certificate Base64 – vložte exportovaný certifikát agenta v Base64 formátu, Pro více informací přejděte do této kapitoly.
Sice to není nutné, ale doporučujeme vyplnit také nepovinné parametry. Například vyplněním informací o připojení do domény si ušetříte čas při budou konfiguraci a bude vám rovnou fungovat synchronizace s Active Directory. Dále můžete pomocí možnosti Enable HTTP forward proxy aktivovat Apache HTTP Proxy, komponentu která dokáže do cache ukládat aktualizační a instalační balíčky, čímž nahrazuje mirror. Tuto komponentu můžete aktivovat také později. Poznámka: Mějte na paměti, že vybráním této možnosti se automaticky vytvoří odpovídající politiky a přiřadí se všem stanicím. Pokud máte v síti mobilní uživatele, doporučujeme nastavení zkontrolovat a případně jej pozměnit.
Ujistěte se, že jste veškeré parametry nastavili správně. Později již nebude možné jednoduše změnit a akci dokončete kliknutím na tlačítko Submit. Následně se zobrazí tato informace:
25
Poznámka: Tuto stránku neaktualizuje. Prohlížeč nebo záložku s touto stránku zavřete a vraťte zpět do konzole ERA VA. Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace o proxy. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port. ERA Proxy je nyní připravena k použití.
26
7.3 ERA MDM Appliance V této kapitole uvádíme postup konfigurace Virtual Appliance jako ERA MDM. Konfigurační stránka je rozdělena na dvě části Application a Networking properties. Abyste mohli pokračovat dále, musíte vyplnit všechny povinné parametry označené červeně. Další parametry jsou volitelné, ale pokud je nastavíte nyní, ušetříte si čas při ruční konfiguraci v budoucnu. Poznámka: Tato virtuální appliance vytvoří virtuální počítač, na kterém poběží ERA MDM. Povinné položky pro konfiguraci ERA MDM Appliance: Hostname – název ERA MDM Appliance. Password – heslo pro přístup do konzole virtuální appliance. Použije se také jako root heslo v operačním systému CentOS a heslo databázového uživatele root. ERA Server Hostname – název nebo IP adresa ERA Serveru nebo ERA Proxy, ke kterému se má ERA MDM. ERA Server Port – port, který použije ERA Agent pro komunikaci s ERA serverem (standardně 2222). Pokud při nasazování máte konektivitu k ERA Serveru, vyplněním níže uvedených polí si usnadníte nasazení. V opačném případě byste museli mít exportované certifikáty. Web Console Username – zadejte jméno uživatele, který má přístup do konzole ERA Web Console a alespoň oprávnění pro asistovanou instalaci (použít můžete výchozí účet Administrator). Web Console Password – zadejte heslo k výše uvedenému uživatelskému účtu.
Ujistěte se, že jste veškeré parametry nastavili správně. Později již nebude možné jednoduše změnit a akci dokončete kliknutím na tlačítko Submit. Následně se zobrazí tato informace:
27
Poznámka: Tuto stránku neaktualizuje. Prohlížeč nebo záložku s touto stránku zavřete a vraťte zpět do konzole ERA VA. Po restartování a automatickém nakonfigurování ERA Virtual Appliance se zobrazí konzole s podrobnými informace o MDM. Kromě informací o verzi jednotlivých komponent je zde zobrazen název počítače, IP adresa a port, na kterém běží ERA MDM ve formátu https://[nazev_nebo_ip_adresa_serveru]:9980.
Do internetového prohlížeče zadejte zobrazené údaje a ověřte, že Mobile Device Connector běží. Pokud bylo nasazení úspěšné, zobrazí se následující informace:
28
29
8. Konzole pro správu Po úspěšném nasazení ERA virtuální appliance uvidíte na obrazovce virtuálního stroje základní informace o serveru jako je název počítače, jeho IP adresa a bližší informace o nainstalovaných ERA komponentách. Z této obrazovky se můžete přepnout do konzole pro správu virtuální appliance. Do konzole se dostanete stisknutím klávesy Enter a následným zadáním hesla. Pokud jste zatím heslo nenastavovali, použijte výchozí heslo: eraadmin. Po přihlášení do konzole pro správu máte k dispozici tyto možnosti: Set Static IP address Enable/Disable Webmin interface Backup database Restore database Reset after snapshot revert Pull database from other server Change VM password Change database password Rejoin domain Configure domain Factory reset DŮLEŽITÉ: Dostupnost jednotlivých možností závisí na použitém typu virtuální appliance a fázi jejího nasazení. Restart system – pomocí této možnosti restartujte ERA VA. Shut down system – pomocí této možnosti vypnete ERA VA. Lock screen – pomocí této možnosti se vrátíte zpět na úvodní obrazovku. Případně se z konzole můžete rychle odhlásit stisknutím klávesy Esc. Exit to terminal – pomocí této možnosti se přepnete do terminálu operačního systému CentOS. Pro návrat do konzole pro správu virtuální appliance zadejte příkaz exit, případně logout.
30
8.1 Nastavení statické IP adresy Tato možnost je dostupná při prvotním spuštění virtuální appliance, pokud ji DHCP server nepřiřadil IP adresu. Pomocí této funkce přiřadíte virtuálnímu stroji IP adresu. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo eraadmin.
2. Z dostupných možností vyberte Set static IP address.
31
3. Průvodce vás postupně vyzve k zadání: IP adresy Masky Brány DNS serveru Poznámka: Parametry sítě zadávejte v IPv4 formátu. Příklad: 192.168.1.10 (IP adresa), 255.255.255.0 (maska). 4. Pokračujte stisknutím klávesy Enter nebo pomocí kombinace kláves Ctrl+C zůstaňte v terminálu. ERA virtuální appliance má jeden síťový adaptér, ale v případě potřeby můžete přidat další. Nicméně tato funkce vždy konfiguruje rozhraní eth0.
32
8.2 Aktivace Webmin rozhraní Abyste mohli použít Webmin webové rozhraní, musíte jej nejprve povolit. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Enable/Disable Webmin interface.
33
2. Po aktivování této možnosti se na úvodní obrazovce virtuální appliance zobrazí informace, že je Webmin aktivní a běží na portu 10000. Pro přístup k Webmin webovému rozhraní zadejte do internetového prohlížeče adresu ve formátu https://[nazev_nebo_ip_adresa_serveru]:10000.
Pro více informací přejděte do kapitoly Webmin webové rozhraní.
8.3 Záloha databáze Všechny informace a nastavení ESET Remote Administrator jsou uloženy v databázi. ERA Server, ERA Proxy ani ERA Mobile Device Connector neprovádí zálohu databáze. Doporučujeme tedy databázi zálohovat ručně pro zabránění ztráty dat. Databázi můžete zazálohovat přímo v grafickém rozhraní virtuální appliance pomocí možnosti Backup database. Následně se dump MySQL databáze (era-backup.sql) uloží do složky root. Poznámka: Případně můžete zálohovat celý virtuální stroj prostřednictvím snapshotu. Při návratu ke staršímu snapshotu nezapomeňte spustit úlohu pro synchronizaci dat. DŮLEŽITÉ: Dump databáze doporučujeme z virtuální appliance zálohovat na externí úložiště. V případě pádu virtuálního stroje nebo celého virtuálního prostředí budete schopni obnovit ERA komponentu do původního stavu bez nutnosti konfigurovat vše znovu. Pro více informací přejděte do kapitoly ERA VA disaster recovery. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Backup database.
34
2. Následně zadejte heslo uživatele root pro přístup k databázi. Poznámka: Pokud jste heslo zapomněli, můžete si jej změnit.
3. Vyčkejte na dokončení zálohování. V závislosti na velikosti databáze může tato operace chvíli trvat. 4. Dump databáze naleznete ve složce: /root/era-backup.sql DŮLEŽITÉ: Nezapomeňte dump databáze zálohovat na externí úložiště. To provedete například pomocí WinSCP nebo k tomu můžete použít Webmin File manager.
35
8.4 Obnova databáze Pomocí níže uvedených kroků obnovíte databázi ze zálohy. Poznámka: Před obnovením databáze doporučujeme vytvořit snapshot virtuálního stroje. V případě komplikací se snadno vrátíte k předchozímu stavu. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Restore database.
DŮLEŽITÉ: Nahrajte dump databáze (era-backup.sql) do složky root. To provedete například pomocí WinSCP nebo k tomu můžete použít Webmin File manager. VAROVÁNÍ: V žádném případě nepoužívejte při obnovení databázi z jiného serveru. Vždy obnovujte databázi na server, na kterém jste provedli její zálohu. Výjimkou je situace, kdy máte čistou, ještě nenakonfigurovanou virtuální appliance. 2. Při obnovení databáze budete vyzváni k zadání hesla uživatele root pro přístup k existující databázi. Pokud obnovujete na čistou virtuální appliance, nebudete vyzváni k zadání hesla.
36
3. Vyčkejte na obnovení databáze. V závislosti na její velikosti může tato operace chvíli trvat.
8.5 Reset po obnovení snapshotu Tuto úlohu je potřeba spustit vždy, když se vrátíte k staršímu snapshotu a obnovíte virtuální appliance do předchozího stavu. Spuštěním této úlohy vynutíte připojení ERA Agentů a zajistíte tím konzistentnost dat. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Reset after snapshot revert.
2. Předtím než dojde k resetování stavu ERA Serveru budete vyzváni k zadání hesla databázového uživatele root.
37
3. Stisknutím klávesy Enter restartujte server.
8.6 Migrace databáze ze starého serveru Pomocí této funkce můžete přemigrovat obsah ERA databáze ze staré virtuální appliance do nové. Těmito kroky dojde k automatickému přenesení databáze bez toto, že byste museli na starém serveru databázi zálohovat, překopírovat ji na nový server a ručně ji importovat. 1. Nasaďte novou ERA VA, ale zatím ji nekonfigurujte. 2. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo eraadmin.
3. Z dostupných možností vyberte Pull database from other server. 38
4. Zadejte heslo uživatele root pro přístup k databázi na původní ERA VA, ze které chcete databáze importovat. 5. Dále zadejte heslo uživatele root pro vzdálený SSH přístup a název/IP adresu virtuální appliance ve tvaru: root@IPaddress nebo root@hostname 6. V případě, že budete vyzváni k ověření (The authenticity of host), zadejte yes.
39
7. Zadejte heslo pro přístup k virtuálnímu stroji.
Po úspěšné migraci hesla se zobrazí informace Restoral of remote database backup finished. Poznámka: V závislosti na velikosti databáze může tato operace chvíli trvat a budete možná muset znovu zadat heslo pro přístup k původnímu virtuálnímu stroji. 8. Vyčkejte na obnovení databáze. 9. Po dokončení migrace původní ERA virtuální appliance vypněte. Smažte ji až ve chvíli, kdy si budete jisti, že nová virtuální appliance funguje a všichni klienti se připojují k novému ERA serveru. 10. Nastavte novou appliance. Konfigurace závisí na tom, zda jste prováděli: Aktualizaci – v tomto případě nastavte virtuální appliance stejně jako původní. Migraci – upravte konfiguraci domény a sítě tak, aby odpovídala novému prostředí. V obou případech zadejte původní heslo. DŮLEŽITÉ: Pokud jste prováděli migraci, budete muset ERA Agenty nasměrovat na nový ERA Server. V opačném případě by se agenti stále snažili připojovat ke starému serveru.
40
8.7 Změna hesla do virtuálního stroje Přístup do konzole pro správu ERA virtuální appliance je chráně heslem. V případě potřeby můžete toto heslo kdykoli změnit. DŮLEŽITÉ: Pomocí těchto kroků změníte heslo pro přístup do virtuální appliance. Heslo pro přístup do ERA Web Console a databáze zůstane beze změny. Více informací o heslech naleznete v této kapitole. Pokud jste heslo zapomněli, můžete jej resetovat. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Change VM password.
2. Zadejte nové heslo.
41
Po úspěšné změně hesla se zobrazí informace all authentication tokes updated successfully. Při příštím přihlášení již použijte nové heslo.
42
8.8 Změna databázového hesla Databázový uživatel root má úplný přístup k MySQL databázovému serveru. V případě, že potřebujete heslo změnit, můžete to provést pomocí níže uvedených kroků. Poznámka: Standardně je heslo databázového uživatele root stejné jako heslo výchozího uživatele Administrator. ERA Server používá pro přístup do databáze vlastního uživatele. 1. Na úvodní obrazovce virtuální appliance stiskněte Enter a zadejte heslo. Z dostupných možností vyberte Change database password.
2. Zadejte nové heslo a pro ověření stávající heslo.
Heslo bylo úspěšně změněno.
43
8.9 Opětovné připojení do domény Pokud došlo k porušení důvěry a virtuální stroj již není členem domény, můžete jej pomocí tohoto skriptu znovu připojit do domény. DŮLEŽITÉ: Před použitím této funkce musíte mít již nakonfigurováno připojení do domény. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Rejoin domain.
2. Zadejte uživatelské jméno a heslo doménového uživatele, který má oprávnění přidávat počítače do domény. Tuto akci můžete provést také prostřednictvím Webminu v sekci Servers > Samba Windows File Sharing.
44
8.10 Připojení do domény Pokud jste při prvotní konfiguraci virtuální appliance nepřipojili do domény, můžete napojení provést kdykoli později. Ve virtuální appliance je k dispozici skript, nicméně v tomto případě bude muset ručně upravit soubory uvedené v tabulce níže. Název souboru
Popis
/etc/hosts
Soubor Hosts musí obsahovat záznam o doménovém řadiči.
/etc/krb5.conf
Konfigurační soubor Kerberos musí být správně nakonfigurován. Pro ověření správné konfigurace použijte příkaz kinit <user-from-domain>.
/etc/ntp.conf
Do NTP konfiguračního souboru byste měli přidat záznam pro synchronizaci času s doménovým řadičem.
/etc/samba/ smb.conf
Konfigurační soubor Samba musí být správně nakonfigurován.
Tyto soubory se v systému již nachází a je potřeba do nich doplnit pouze správné údaje jako je název domény, DNS server, informace o doménovém řadiči atp. DŮLEŽITÉ: Tento návod je určen zkušeným uživatelům. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Configure domain.
45
2. Stiskněte klávesu Enter a upravte první konfigurační soubor. 3. Pomocí kláves CTRL + X ukončete textový editor nano a změny uložte stisknutím klávesy Y. Pokud nechcete změny uložit stiskněte klávesu N nebo se pomocí kláves CTRL + C. Poznámka: Více informací o připojení virtuální appliance do domény naleznete v souboru /root/help-with-domain.txt. Ten si můžete otevřít pomocí příkazu nano help-with-domain.txt nebo využijte Webmin File manager. Změny můžete provést také prostřednictvím Webminu v sekci Servers > Samba Windows File Sharing.
8.11 Obnovení do továrního nastavení Pokud chcete vrátit ERA virtuální appliance do výchozího stavu, v jakém byla po nasazení a nastavit si ji znovu, můžete k tomu použít právě tuto úlohu. Po jejím spuštění dojde k odstranění všech ERA komponent a souvisejících nastavení. VAROVÁNÍ Mějte na paměti, že v průběhu obnovení konfigurace virtuální appliance do výchozího stavu dojde k odstranění databáze. Pokud ji chcete dále použít, zálohujte ji. 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Factory reset.
46
2. Potvrďte stisknutím klávesy Enter a vyčkejte na provedení všech akcí. Pokud jste se rozhodli, že nechcete nastavení obnovit, stále se můžete pomocí kláves CTRL + C vrátit zpět. V případě, že jste už zahájili proces obnovení do továrního stavu, nechte akci doběhnout a nesnažte se ji zastavit!
Poznámka: Pokud obnovení do továrního nastavení selže, doporučujeme nasadit novou appliance. Následně můžete postupovat kroků popsaných v kapitole aktualizace a migrace, resp. disaster recovery. 47
Při obnovení továrního nastavení dojde k: resetování nastavení sítě, obnovení hesel a názvu stroje, deaktivování Webminu, smazání konfiguračních souborů, balíčků a systémových protokolů, odstranění všech dat z ERA databáze. 3. Restartujte virtuální appliance a znovu nakonfigurujte appliance prostřednictvím průvodce prvotním spuštění. Poznámka: Vámi provedené změny a nastavení nesouvisející s ERA zůstanou beze změny.
48
9. Webmin webové rozhraní Webmin je webové rozhraní třetí strany, prostřednictvím kterého můžete snadno spravovat operační systém CentOS, na kterém běží ERA virtuální appliance. Webmin je určen pro uživatele, kteří nemají zkušenosti s linuxovými distribucemi, protože umožňuje provádět akce v grafickém rozhraní místo terminálu. Webmin si můžete stejně jako ERA Web Console zobrazit z jakéhokoli zařízení, které je připojené k internetu/síti a disponuje internetovým prohlížečem. Aktuální verze Webminu je možné používat pro komerční i nekomerční použití zcela zdarma. Podrobnější informace naleznete na webových stránkách Webmin. DŮLEŽITÉ: Webmin je součástí ERA virtuální appliance. Pokud jej chcete používat, nejprve jej musíte aktivovat. Po jeho aktivování se na úvodní obrazovce virtuální appliance zobrazí informace, že je Webmin aktivní a běží na portu 10000. Přístup k Webminu: Pro přístup k Webmin webovému rozhraní zadejte do internetového prohlížeče adresu ve formátu https:// [nazev_nebo_ip_adresa_serveru]:10000. Zadejte přihlašovací údaje: o uživatelské jméno: root o výchozí heslo je eraadmin. Pokud jste si v průběhu prvotní konfigurace nastavili vlastní, zadejte vaše heslo.
Po úspěšném přihlášení se zobrazí Webmin nástěnka.
49
9.1 Dashboard Po přihlášení se zobrazí nástěnka, na které jsou uvedeny základní systémové informace jako je název stroje, operační systém, doba běhu, využití paměti atp. V dolní části se mohou zobrazit upozornění, která mohou vyžadovat vaši interakci. Například aktualizaci Webminu provedete tak, že kliknete na tlačítko Upgrade Webmin Now. Po dokončení aktualizace se zobrazí informace Webmin install complete. V hlavním menu jsou dostupné tyto moduly: Webmin, System, Servers, Others, Networking, Hardware a Cluster. Pro více informací o jednotlivých modulech se podívejte do dokumentace Webminu. Poznámka: Webmin automaticky detekuje konfiguraci ERA virtuální appliance a zobrazuje vždy relevantní moduly. Pro správu ERA virtuální appliance budete ve většině případů potřebovat tyto moduly: System Server Others Networking DŮLEŽITÉ: Mějte na paměti, že Webmin běží s úplnými právy uživatele root. To znamená, že prostřednictvím webového rozhraní můžete měnit/vytvářet soubory a spouštět libovolné příkazy a skripty. Při neopatrném použití můžete nechtěně smazat důležité soubory a znefunkčnit virtuální stroj. Pokud budete provádět potenciálně nebezpečné akce, Webmin vás na to upozorní. Přesto doporučujeme provádět pouze akce, u kterých jste si jisti, co děláte.
Oznámení – Webmin vás může upozornit například na dostupnost nové verze. Tato informace a všechny další se zobrazí v dolní části nástěnky. Odhlášení – pro odhlášení klikněte na tlačítko
50
.
9.2 System V této části můžete konfigurovat některé systémové moduly. Bootup and Shutdown – prostřednictvím tohoto modulu můžete spravovat služby, vytvářet a upravovat spouštěcí skripty atp. V dolní části stránky se nachází tlačítko pro rychlý restart nebo vypnutí virtuálního počítače.
Change Passwords – v této části můžete změnit hesla jednotlivých uživatelů operačního systému. DŮLEŽITÉ: Tuto možnost nepoužívejte, pokud chcete změnit heslo pro přístup do virtuálního stroje, případně heslo databázového uživatele. V tomto případě změnu hesla proveďte prostřednictvím konzole pro správu. Pro více informací přejděte do kapitoly změna hesla virtuálního stroje, resp. změna databázového hesla. Running Processes – prostřednictvím tohoto modulu si můžete zobrazit všechny běžící procesy, ukončit je a měnit jejich prioritu. Software Package Updates – tento modul zobrazuje seznam dostupných aktualizací a přímo z něj můžete aktualizovat vybrané balíčky. System Logs – v této části si můžete zobrazit systémové protokoly a případně zde můžete změnit umístění pro ukládání protokolů.
51
9.3 Servers V této části můžete konfigurovat některé serverové moduly: Apache Webserver – pomocí tohoto modulu můžete zprovoznit webový server a používat jej například pro distribuci instalačních balíčků. Možnosti konfigurace jsou široké, nezapomeňte však následně ve firewallu povolit potřebné porty. Poznámka: Nejedná se o stejný webový server, který pohání ERA Web Console. Tento Apache můžete použít pro vlastní potřebu a libovolně si jej konfigurovat. ESET Remote Administrator – v této části můžete provádět nejdůležitější akce související s ESET Remote Administrator. MySQL Database Server – pomocí tohoto nástroje můžete konfigurovat databázový server, spravovat obsah databáze a měnit hesla uživatelům. DŮLEŽITÉ: Pro zálohování nebo obnovení databáze použijte konzoly pro správu virtuální appliance. Samba Windows File Sharing – v této části můžete definovat složky, které mají být sdílené s Windows stanicemi prostřednictvím SMB (Server Message Block) protokolu. Aby sdílení fungovalo, musíte mít nakonfigurovanou Sambu, což můžete provést také v této sekci. Nezapomeňte potřebné porty povolit ve firewallu. SSH Server – v této části můžete detailně nastavit SSH/OpenSSH server a upravit možnosti vzdáleného přístupu k serveru prostřednictvím protokolu SSH.
9.3.1 ESET Remote Administrator V této části můžete provádět nejdůležitější akce související s ESET Remote Administrator. Run diagnostic tool – po kliknutí na toto tlačítko se spustí diagnostický nástroj, který exportuje protokoly z ERA serveru a agenta. Výsledný .zip archiv naleznete ve složce root a stáhnout si jej můžete například pomocí nástroje File Manager.
Reset ERA Server Administrator password – tuto možnost oceníte, pokud jste zapomněli heslo k výchozímu účtu Administrator a nemůžete se přihlásit do ERA Web Console.
Repair ERA Server certificate – pomocí této možnosti můžete do ERA Serveru nahrát certifikát ve formátu PFX/ PKCS12. Tuto možnost využijete v případě, kdy jste nasadili novou appliance, a chcete zajistit, aby se vám připojili ERA Agenti. Klikněte na ikonku sponky a vyberte serverový certifikát ze starého serveru a případně zadejte heslo.
52
Repair ERA Server certification authority – pomocí této možnosti můžete do ERA Serveru importovat certifikační autoritu ve formátu DER. Klikněte na ikonku sponky a vyberte veřejný klíč certifikační autority a případně zadejte heslo.
Repair ERA Agent connection – tuto možnost můžete použít pro opravu ERA Agenta nainstalovaného ve virtuální appliance. Zadejte název serveru a port, ke kterému se má připojovat (standardně localhost a port 2222).
Repair ERA Agent certificate – tuto možnost můžete použít pro opravu ERA Agenta nainstalovaného ve virtuální appliance. Klikněte na ikonku sponky a vyberte certifikát ve formátu PFX/PKCS12 a případně zadejte heslo.
Repair ERA Agent certification authority – tuto možnost můžete použít pro opravu ERA Agenta nainstalovaného ve virtuální appliance. Klikněte na ikonku sponky a vyberte veřejný klíč certifikační autority ve formátu DER.
Edit Apache Tomcat server.xml – pomocí této možnosti můžete upravit konfigurační soubor server.xml webového serveru Apache Tomcat. Tuto možnost využijete například při změně portu, na kterém běží webová konzole. Po kliknutí na toto tlačítko se v textovém editoru otevřete soubor /etc/tomcat/server.xml. Po provedení změn klikněte na tlačítko Save. Následně dojde k automatickému restartování služby Apache Tomcat.
53
9.4 Others V této části naleznete několik užitečných nástrojů: File manager (Filemin) – pomocí tohoto webového správce můžete pohodlně pracovat se soubory uloženými ve virtuální appliance. Po přihlášení se standardně načte obsah složky /root. Nicméně složka se může lišit v závislosti na tom, pod jakým uživatelem se přihlásíte. Pro pohyb mezi složkami jednoduše klikněte na název složky, případně její ikonu. Pro návrat o úroveň výš klikněte na tlačítko Zpět v horní části okna, případně využijte drobečkovou navigaci. Nástroj Filemin dokáže vyhledávat soubory. Pro vyhledávání klikněte na Tools > Search, případně název souboru zadejte do pole v pravém horním rohu. Pro stažení souboru klikněte na jeho název nebo ikonu. Pokud chcete do virtuální appliance nahrát soubor, klikněte na File > Upload to current folder. Následně vyberte soubory, které chcete nahrát a akci dokončete kliknutím na tlačítko Upload Files. Soubor si můžete stáhnout na vzdálený počítač, stačí z menu File vybrat možnost Get from URL a následně tento odkaz otevřít na jakémkoli počítači v síti. Pro úpravu souboru na něj klikněte pravým tlačítkem myši a z kontextového menu vyberte možnost Edit. Nový soubor vytvoříte kliknutím na File > Create File. Pro přejmenování klikněte pravým tlačítkem na soubor/složku a z kontextového menu vyberte možnost Rename.
Upload and download – pomocí tohoto nástroje můžete pohodlně do virtuální appliance stáhnout soubory z externích odkazů, případně soubory do appliance nahrát z lokálního stroje: Download from web – zadejte URL souborů, které chcete stáhnout a následně definujte složku pro uložení souborů. Upload to server – klikněte na ikonu sponky a vyberte soubory z vašeho počítače, které chcete nahrát na virtuální appliance a vyberte složku pro uložení souborů. Zároveň můžete nahrávat maximálně 4 soubory. 54
Download from server – zadejte cestu k souboru, který chcete z virtuální appliance stáhnout prostřednictvím prohlížeče. Zároveň můžete stahovat pouze jeden soubor.
9.5 Networking V případě potřeby můžete nastavení síťových služeb měnit přímo v sekci Networking. Nejčastěji využijete: Kerberos5 configuration – správně nastavený Kerberos je důležitý pro vytvoření ověřovacího ticketu do Active Directory. Pokud budete mít vše nastaveno správně, můžete použít skript na opětovné připojení virtuální appliance do domény. Linux Firewall – pravidla v IPtables můžete modifikovat, mazat a přidávat další. Network configuration – v této části nakonfigurujete všechna síťová rozhraní (přiřadíte jim IP adresy), host soubor atp. Poznámka: Změny se projeví až po stisknutí tlačítka Apply Configuration. DŮLEŽITÉ: Tato část je určena výhradně zkušeným uživatelům. Nesprávnou změnou síťové konfigurace můžete odpojit od sítě a Webmin již nebude dostupný. V každém případě můžete virtuální stroj dále konfigurovat prostřednictvím terminálu, který spustíte pomocí konzole pro správu.
55
10. ERA certifikáty Při nasazování ERA virtuální appliance typu ERA Proxy, ERA MDM nebo ERA VAgentHost jsou vyžadovány ERA certifikáty. Musíte již tedy mít funkční ERA Server, abyste mohli vygenerovat certifikáty, které jsou používány pro šifrování komunikace mezi komponentami ERA infrastruktury. Certifikáty v Base64 formátu si stáhnete prostřednictvím ERA Web Console. Pro jejich získání přejděte na záložku Administrace > Certifikáty, vyberte certifikát a následně možnost Exportovat jako Base64. Hash certifikátu si můžete rovnou zkopírovat nebo stáhnout do souboru pro pozdější použití.
Poznámka: Komponenty ERA infrastruktury nasazované jako virtuální appliance akceptují pouze certifikáty v Base64 formátu. Pokud používáte pro ověřování komunikace vlastní certifikáty a nemáte je v Base64, musíte je exportovat v tomto formátu. Případně certifikáty můžete převést podle těchto kroků: http://linux.die.net/man/1/base64 nebo https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man1/ base64.1.html. Příklad: 'cat ca.der | base64 > ca.base64.txt' 'cat agent.pfx | base64 > agent.base64.txt'
56
11. Aktualizace a migrace Pomocí níže uvedených kroků můžete provést aktualizaci virtuální appliance, resp. ERA komponentu přenést na jiný server bez toho, že byste přišli o data. 1. Stáhněte si aktuální ERA_Appliance.ova nebo ERA_Appliance.vhd.zip. 2. Nasaďte novou appliance do svého virtuálního prostředí. 3. Pokud bude mít nová appliance jinou IP adresu, na existujícím ERA Serveru vytvořte politiku pro ERA Agenta a nastavte jim adresu nového nové ERA Serveru. 4. Přemigrujte databázi z původní appliance a dokončete její konfiguraci. Poznámka: Původní server smažte až ve chvíli, kdy si budete jisti, že se k novému serveru připojili všichni ERA Agenti a nový server funguje stejně jako ten původní.
57
12. Disaster recovery V případě, že přestal virtuální stroj fungovat a nejde spustit, došlo k jeho poškození nebo jste nedopatřením smazali stroj z úložiště, pomocí následujících kroků můžete ERA komponentu uvést do původního stavu bez toho, aniž byste přišli o data. Poznámka: Abyste mohli obnovit virtuální appliance do původního funkčního stavu, musíte mít zálohu databáze. 1. Stáhněte si aktuální ERA_Appliance.ova nebo ERA_Appliance.vhd.zip. 2. Nasaďte novou appliance do svého virtuálního prostředí. 3. Nahrajte dump databáze (era-backup.sql) do složky root na nové appliance. K tomu můžete použít například WinSCP nebo Webmin File manager. 4. Obnovte databázi. 5. Dokončete konfiguraci virtuální appliance a nastavte ji stejně jako původní.
58
13. Řešení problémů Na níže uvedených řádcích uvádíme seznam souborů, do kterých byste se měli podívat v případě, kdy řešíte nějaký problém související s ERA VA. Protokol
Umístění
Popis
Konfigurace
/root/appliance-conf iguration-log.txt
Pokud proces nasazení ERA VA selhal, virtuální počítač nerestartujte a podívejte se do tohoto protokolu.
ERA Server
/var/log/eset/RemoteAdministrator/ EraServerInstaller.log
Instalační protokol ERA Serveru.
/var/log/eset/RogueDetectionSensor/ RDSensorInstaller.log ERA Server trace log
/var/log/eset/RemoteAdministrator/ Server/
ERA Agent trace log
/var/log/eset/RemoteAdministrator/ Agent/
Apache HTTP Proxy /opt/apache/logs/
Protokoly dalších ERA komponent naleznete ve stejném umístění. Pouze se liší název složky v závislosti na komponentě. Zkontrolujte trace protokoly ERA serveru: trace.log status.html last-error.html Protokoly dalších ERA komponent naleznete ve stejném umístění. Pouze se liší název složky v závislosti na komponentě. Cesta k protokolu ve starší verzi ERA VA.
/var/log/httpd
Cesta k protokolu v nové verzi ERA VA.
Dumpy ERA serveru
/var/opt/eset/RemoteAdministrator/ Server/Dumps/
Diagnostické dumpy obsahující výpis paměti z doby pádu ERA Serveru.
Výstup diagnostického nástroje ERA serveru/agenta
/root/ Diagnostický nástroj ukládá archiv do složky root a RemoteAdministratorAgentDiagnostic2016 do názvu souboru přidává časové razítko. 0429T105105.zip
Poznámka: Výše uvedené soubory můžete z virtuální appliance získat prostřednictvím WinSCP nebo k tomu můžete použít Webmin File manager.
59
14. ERA Virtual Appliance FAQ V této kapitole naleznete odpovědi na nejčastější dotazy týkající se ERA virtuální appliance. Jak zjistím, jakou verzi ERA komponent používám? Musím do ERA VA instalovat další komponenty? Jak ručně aktivovat Apache HTTP Proxy na virtuální appliance? Jak načíst obsah Active Directory? Zapomněl jsem heslo pro přístup do ERA VA, co mám dělat? Jak změnit connection string pro připojení do ERA databáze? ESET RD Sensor nedetekuje počítače Jak změnit porty, které používá ERA? Jak zvýšit paměťový limit MySQL serveru? ERA VA nefunguje korektně na Hyper-V Server 2012 R2 Jak zvýšit stabilitu appliance provozovanou v Oracle VirtualBox? Pokud jste řešení svého problému nenalezli v této kapitole, zkuste najít řešení v dalších částech dokumentace (administrační nebo instalační), případně v Databázi znalostí. Nepodaří-li se vám najít řešení, sesbírejte diagnostické protokoly a zašlete je s popisem problému na technickou podporu.
60
14.1 Jak zjistím, jakou verzi ERA komponent používám? Seznam všech komponent včetně verze naleznete na úvodní obrazovce ERA VA. Zobrazené informace se aktualizují vždy při restartu appliance, případně se přepněte do konzole pro správu a přejděte zpět na úvodní obrázku. Informace o nainstalovaných komponentách v ERA VA zjistíte přímo v ERA Web Console v detailech daného zařízení.
14.2 Musím do ERA VA instalovat další komponenty? Ne, ERA Virtual Appliance je samostatný hotový produkt. Nasadíte jej a nakonfigurujete. Jedná se o nejjednodušší a nejrychlejší cestu pro zprovoznění ESET Remote Administrator, pokud používáte podporovaný hypervizor.
61
14.3 Jak ručně aktivovat Apache HTTP Proxy na virtuální appliance? Pokud jste neaktivovali Apache HTTP Proxy při prvotní konfiguraci virtuální appliance, můžete to provést kdykoli pomocí níže uvedených příkazů: 1. echo /opt/apache/bin/apachectl start >> /root/http-forward-proxy.sh
2. echo /opt/apache/bin/htcacheclean -d60 -i -p/var/cache/apache2 -l10000000000 >> /root/http-forward-proxy. 3. iptables -A INPUT -p tcp --dport 3128 -j 4. ip6tables -A INPUT -p tcp --dport 3128 -j 5. service iptables save 6. service ip6tables save 7. ./root/http-forward-proxy.sh
Po provedení těchto kroků nastartujete Apache HTTP Proxy a povolíte port 3128 ve firewallu. Následně vytvořte odpovídající politiku pro všechny ESET produkty / součásti ERA infrastruktury tak, aby komunikace těchto komponent procházela do internetu prostřednictvím Apache HTTP Proxy. Pro více informací přejděte do ESET Databáze znalostí.
14.4 Jak načíst obsah Active Directory? Pokud jste při prvotním nasazení jste virtuální appliance nepřipojili do domény a chcete z Active Directory načíst organizační strukturu, musíte úlohu pro synchronizaci statické skupiny vytvořit ručně. V tomto případě je potřeba úlohu nastavit, aby se použil LDAP protokol. Více informací naleznete v Databázi znalostí.
14.5 Zapomněl jsem heslo pro přístup do ERA VA, co mám dělat? Pokud jste zapomněli heslo pro přístup do virtuální appliance, postupujte podle následujících kroků: Nastartujte virtuální počítač v tzv. Single-User režimu, postupovat můžete podle tohoto návodu https:// wiki.centos.org/TipsAndTricks/ResetRootPassword. Pokud máte starší appliance s operačním systémem CentOS6, postupujte podle tohoto návodu http://www.cyberciti.biz/faq/grub-boot-into-single-user-mode/. Následně prostřednictvím shellu změnte heslo pomocí příkazu passwd.
14.6 Jak změnit connection string pro připojení do ERA databáze? Connection string pro připojení do ERA databáze můžete změnit v souboru StartupConf iguration.ini, který naleznete ve složce /etc/opt/eset/RemoteAdministrator/Server.
62
14.7 ESET RD Sensor nedetekuje počítače V případě, že provozujete ERA virtuální appliance na Hyper-V, a chcete aby fungoval ESET RD Sensor, musíte mít v nastavení virtuálního stroje aktivovanou možnost falšování MAC adresy (MAC address spoofing).
63
14.8 Jak změnit porty, které používá ERA? Podle níže uvedených kroků můžete změnit port, na kterém běží webová konzole, případně porty, které používá pro komunikaci ERA Server. DŮLEŽITÉ Při změně portů je potřeba odpovídajícím způsobem modifikovat nastavení firewallu. Pravidla můžete upravit přímo v souboru /root/f irewall-ports.sh, případně prostřednictvím Webminu v sekci Networking > Linux Firewall. Port ERA Web Console (standardně 8443) Upravte konfigurační soubor webového serveru Apache Tomcat. Soubor server.xml naleznete ve složce /etc/ tomcat7 a změňte v něm řádek
ESET Remote Administrator > Edit Apache Tomcat server.xml. Porty ERA serveru (standardně 2222 a 2223) Přihlaste se do ERA Web Console. Přejděte do sekce Administrace > Nastavení serveru > Připojení. Změňte porty, nastavení uložte a restartujte daemona ERA Server, případně celou appliance. Poznámka: Pokud změníte port, na kterém ERA Server očekává komunikaci ERA Web Console, musíte tento port změnit také na straně ERA Web Console v souboru /var/lib/tomcat7/webapps/era/WEB-INF/classes/sk/eset/era/ g2webconsole/server/modules/conf ig/EraWebServerConf ig.properties.
14.9 Jak zvýšit paměťový limit MySQL serveru? Pro zvýšení paměťového limitu MySQL serveru postupujte podle následujících kroků: 1. Na úvodní obrazovce virtuální appliance stiskněte klávesu Enter a zadejte heslo. Z dostupných možností vyberte Exit to terminal. 2. Pomocí příkazu nano /etc/my.cnf otevřete v textovém editoru konfigurační soubor MySQL. 3. Najděte řádek innodb_buffer_pool_size = 1024M a hodnotu zvyšte na 1/2 dostupné RAM. 1024M znamená 1024 MB. 4. Pomocí kláves Ctrl+X zavřete textový editor a stiskem klávesy Y potvrďte uložení změn. 5. Restartujte virtuální appliance.
14.10 ERA VA nefunguje korektně na Hyper-V Server 2012 R2 Pokud provozujete ESET Remote Administrator 6 na Hyper-V Server 2012 R2 a po přihlášení do ERA Web Console zobrazí virtuální stroj chybu "Unable to handle Kernel NULL pointer dereference at (null)", v nastavení virtuálního stroje deaktivujte dynamické přiřazování paměti.
14.11 Jak zvýšit stabilitu appliance provozovanou v Oracle VirtualBox? Pokud ERA virtuální appliance provozujete v Oracle VirtualBox a potýkáte s její nestabilitou, zkuste upravit počet procesů, které má virtuální stroj přidělen. V nastavení virtuálního stroje přejděte na záložku Systém > Procesor a snižte počet procesů. Máte-li například 4 fyzická jádra, přiřaďte virtuální appliance pouze 2 jádra.
64
15. DNS servisní záznam Nastavení DNS záznamu: 1. Na svém DNS serveru (DNS serveru na doménovém řadiči) přejděte na Ovládací panely > Nástroje pro správu. 2. Vyberte DNS. 3. Ve Správci DNS přejděte do větve Zóny dopředného vyhledávání a v části _tcp vytvořte nový záznam Umístění služby - Service Location (SRV). 4. Podle DNS pravidel použijte podtržítko ( _ ) v názvu služby (použijte unikátní záznam služby, například _era). 5. Do pole Protokol zadejte: _tcp. 6. Jako číslo portu zadejte port 2222. Pokud jste port měnili, zadejte vlastní hodnotu. 7. Do pole hostitel nabízející tuto službu zadejte plně specifikované doménové jméno počítače (FQDN), na kterém běží ERA Server. 8. Klikněte na tlačítko OK > Hotovo pro uložení záznamu – nově vytvořený záznam se zobrazí v seznamu. Ověření DNS záznamu: 1. Přihlaste se na jakýkoli počítač v doméně a otevřete příkazový řádek (cmd.exe). 2. Zadejte příkaz nslookup a potvrďte klávesou Enter. 3. Zadejte příkaz set querytype=srv a potvrďte klávesou Enter. 4. Zadejte _era._tcp.domain.name a potvrďte klávesou Enter. Nyní by se měl zobrazit správný záznam. Poznámka: Postup je stejný pro ERA běžící na Windows i Linuxu. Pokud nainstalujete ESET Remote Administrator Server na jiný stroj, nezapomeňte změnit hodnotu hostitel nabízející tuto službu na nové plně specifikované doménové jméno počítače (FQDN).
65