Kerio Administration Console

Kerio Administration Console Nápovˇ eda

Kerio Technologies

 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 29. bˇ rezna 2007 Tato nápovˇ eda je urˇ cena k programu Kerio Administration Console ve verzi 2.3.0. Zmˇ eny vyhrazeny.

Obsah

1

Co je Kerio Administration Console? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2

Instalace, umístˇ ení soubor˚ u a spuštˇ ení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Operaˇ cní systém Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Operaˇ cní systém Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Operaˇ cní systém Mac OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

Ovládání programu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.1 Hlavní okno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.2 Pˇ ripojení k serveru a vytvoˇ rení záložky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.3 Kontrola identity serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.4 Ochrana záložek heslem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.5 Chyby pˇ ri pˇ ripojování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.6 Nastavení jazyka a úvodní obrazovky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.7 Nápovˇ eda (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.8 Import starých záložek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4

Sít’ová komunikace Administration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

5 5 6 7

27

Kapitola 1

Co je Kerio Administration Console?

Aplikace Kerio Administration Console (dále jen Administration Console) slouží ke správˇ e serverových produkt˚ u firmy Kerio Technologies (tj. Kerio WinRoute Firewall a Kerio MailServer). Jedná se o zcela nezávislou aplikaci, která komunikuje se serverovou aplikací (službou) speciálním sít’ovým protokolem. Tento zp˚ usob komunikace umožˇ nuje použít Administration Console jak pro lokální správu (tj. pˇ rímo z poˇ cítaˇ ce, na kterém služba bˇ eží), tak pro vzdálenou správu po síti (z libovolného jiného poˇ cítaˇ ce). Veškerá sít’ová komunikace mezi Administration Console a serverovou aplikací je šifrována — tím je zabránˇ eno odposlechu a zneužití pˇ renášených dat. Administration Console umožˇ nuje jednorázové pˇ ripojení k serveru (pˇ rihlašovací informace se neukládají) nebo vytvoˇ rení tzv. záložky — uložení pˇ rihlašovacích informací pro urˇ cité servery k opakovanému použití. Administration Console je koncipována jako modulární aplikace. Jejím základem je jednoduchý program (dále nazývaný hlavní okno), který umožˇ nuje nastavení základních parametr˚ u (napˇ r. jazyk administraˇ cního rozhraní) a specifikaci pˇ rihlašovacích údaj˚ u. Podle typu a verze konkrétní serverové aplikace je pak spuštˇ en odpovídající administraˇ cní modul, ve kterém lze konfigurovat její parametry a sledovat její stav. Díky této modularitˇ e poskytuje Administration Console kompaktní prostˇ redí pro správu r˚ uzných verzí serverových aplikací na r˚ uzných serverech.

4

Kapitola 2

Instalace, umístˇ ení soubor˚ u a spuštˇ ení

Tato kapitola obsahuje podrobné informace o instalaci, umístˇ ení soubor˚ u a spuštˇ ení Administration Console v operaˇ cních systémech — Windows, Linux a Mac OS. Informace o systémových požadavcích a podporovaných verzích (pˇ ríp. variantách) jednotlivých operaˇ cních systém˚ u jsou uvedeny v manuálech ke konkrétním serverovým aplikacím. Poznámky: 1.

Aplikace Kerio WinRoute Firewall je urˇ cena pouze pro operaˇ cní systém Windows. Pˇ ríslušný administraˇ cní modul je rovnˇ ež k dispozici pouze pro tento systém.

2.

Znalost umístˇ ení soubor˚ u není pro bˇ ežné použití Administration Console nutná. Umístˇ ení soubor˚ u je tˇ reba znát pˇ ri pˇ ridávání nových lokalizací (viz kapitola 3.6), nových soubor˚ u nápovˇ edy (pouze systém Windows — viz kapitola 3.7) nebo pˇ ri pˇ renášení vytvoˇ rených záložek na jiný poˇ cítaˇ c.

2.1 Operaˇ cní systém Windows Administration Console je instalována spoleˇ cnˇ e s produktem Kerio WinRoute Firewall a/nebo Kerio MailServer (ve volitelné instalaci se jedná o komponentu Administration Console). Na serveru není nutné instalovat Administration Console ze samostatného instalaˇ cního balíku. Administration Console lze spustit z menu Start → Programy → Kerio → Kerio Administration Console, pˇ rípadnˇ e z kontextového menu programu WinRoute Engine Monitor nebo Kerio MailServer Monitor (viz manuály k pˇ ríslušným produkt˚ um).

Umístˇ ení soubor˚ u Instalaˇ cním adresᡠrem Administration Console je podadresᡠr Admin adresᡠre, kde jsou nainstalovány produkty Kerio Technologies (typicky C:\Program Files\Kerio\Admin). V tomto adresᡠri se nachází spustitelný soubor Administration Console (kadmin.exe), jednotlivé administraˇ cní moduly (wradmin*.exe a mailadmin*.exe) a potˇ rebné dynamické knihovny (*.dll). V podadresᡠri translations jsou uloženy lokalizaˇ cní soubory (*.qm) a v podadresᡠri help soubory s nápovˇ edou ve formátu HTML Help (*.chm).

5

Kapitola 2 Instalace, umístˇ ení soubor˚ u a spuštˇ ení

Záložky (tj. uložené pˇ rihlašovací informace pro jednotlivé servery) se ukládají do uživatelského profilu (každý uživatel má vlastní sadu záložek). Každá záložka je uložena v samostatném souboru v adresᡠri C:\Documents and Settings\uzivatel\Application Data\Kerio\Admin. Pˇ rípona souboru závisí na aplikaci, pro kterou je záložka urˇ cena (.bkwf pro Kerio WinRoute Firewall a .bkms pro Kerio MailServer).

Instalace Administration Console pro vzdálenou správu Chceme-li provádˇ et správu serverové aplikace z jiného poˇ cítaˇ ce, nainstalujeme na tento poˇ cítaˇ c pouze Administration Console. K tomuto úˇ celu slouží samostatný instalaˇ cní balík Administration Console pro pˇ ríslušný produkt (název souboru zaˇ cíná kerio-kwf-admin, resp. kerio-kms-admin). Instalaci provedeme jednoduše spuštˇ ením pˇ ríslušného instalaˇ cního balíku. Pokud je na poˇ cítaˇ ci již nainstalována starší verze Administration Console nebo Administration Console pro jiný produkt, nedoporuˇ cujeme mˇ enit výchozí instalaˇ cní adresᡠr! Po úspˇ ešné instalaci lze Administration Console spustit z menu Start → Programy → Kerio → Kerio Administration Console.

2.2 Operaˇ cní systém Linux Pro operaˇ cní systém Linux je Administration Console distribuována pouze v samostatném RPM balíku (název balíku zaˇ cíná kerio-mailserver-admin). Tento balík je tˇ reba nainstalovat jak na serveru (pro lokální správu), tak na poˇ cítaˇ cích, ze kterých má být provádˇ ena vzdálená správa. Administration Console nainstalujeme pˇ ríkazem: rpm -i tedy napˇ r.: rpm -i kerio-mailserver-6.1.2build573-linux.i386.rpm Je-li již Administration Console nainstalována, m˚ užeme provést upgrade na novˇ ejší verzi pˇ ríkazem: rpm -U Administration Console m˚ užeme odinstalovat pˇ ríkazem: rpm -e kerio-mailserver-admin

6

2.3 Operaˇ cní systém Mac OS

Spuštˇ ení Administration Console Ke spouštˇ ení Administration Console slouží skript kerioadmin. Tento skript je umístˇ en v adresᡠri /usr/bin, do kterého je v systému standardnˇ e nastavena cesta. Upozornˇ ení: Administration Console by mˇ ela být vždy spouštˇ ena uvedeným skriptem. Pˇ ri pˇ rímém spuštˇ ení souboru kadmin m˚ uže dojít k naˇ ctení nesprávné verze knihovny Qt (pˇ rípadnˇ e tato knihovna nebude nalezena v˚ ubec) a Administration Console nebude fungovat správnˇ e.

Umístˇ ení soubor˚ u Administration Console se instaluje do adresᡠre /opt/kerio/admin. V tomto adresᡠri se nachází spustitelný soubor Administration Console (kadmin), jednotlivé administraˇ cní moduly (mailadmin*) a potˇ rebné dynamické knihovny (lib*). Lokalizaˇ cní soubory (*.qm) jsou uloženy v podadresᡠri translations. Nápovˇ eda není v systému Linux k dispozici. Záložky (tj. uložené pˇ rihlašovací informace pro jednotlivé servery) se ukládají do podadresᡠre .kerio/admin domovského adresᡠre aktuálního uživatele (každý uživatel má vlastní sadu záložek). Každá záložka je uložena v samostatném souboru. Pˇ rípona souboru závisí na aplikaci, pro kterou je záložka urˇ cena (v souˇ casné dobˇ e pouze .bkms pro Kerio MailServer).

2.3 Operaˇ cní systém Mac OS Administration Console je instalována spoleˇ cnˇ e s produktem Kerio MailServer. Na serveru není nutné instalovat Administration Console ze samostatného instalaˇ cního balíku. Administration Console lze spustit ze System Preferences → Other → KMS Monitor → Administration Console.

Umístˇ ení soubor˚ u Administration Console se instaluje do adresᡠre /Applications/Kerio MailServer. V tomto adresᡠri se nachází programový balík Administration Console.app. V podadresᡠri Contents/MacOS je uložen hlavní spustitelný soubor Administration Console a v podadresᡠri Contents/Resources jednotlivé administraˇ cní moduly (mailadmin*). Lokalizaˇ cní soubory (*.qm) jsou uloženy v podadresᡠri Contents/Resources/translations. Nápovˇ eda není v systému Mac OS k dispozici, v adresᡠri /Applications/Kerio MailServer je však uložen manuál k produktu Kerio MailServer ve formátu PDF .

7

Kapitola 2 Instalace, umístˇ ení soubor˚ u a spuštˇ ení

Záložky (tj. uložené pˇ rihlašovací informace pro jednotlivé servery) se ukládají do podadresᡠre .kerio/admin domovského adresᡠre aktuálního uživatele (každý uživatel má vlastní sadu záložek). Každá záložka je uložena v samostatném souboru. Pˇ rípona souboru závisí na aplikaci, pro kterou je záložka urˇ cena (v souˇ casné dobˇ e pouze .bkms pro Kerio MailServer).

Instalace Administration Console pro vzdálenou správu Chceme-li provádˇ et správu Kerio MailServeru z jiného poˇ cítaˇ ce, nainstalujeme na tento poˇ cítaˇ c pouze Administration Console. K tomuto úˇ celu slouží samostatný instalaˇ cní balík (obraz disku) Administration Console (název souboru zaˇ cíná kerio-mailserver-admin). Administration Console nainstalujeme jednoduše pomocí pr˚ uvodce, který se spustí pˇ ri otevˇ rení pˇ ríslušného obrazu disku. Administration Console lze spustit ze System Preferences → Other → KMS Monitor → Administration Console.

8

Kapitola 3

Ovládání programu

3.1 Hlavní okno Po spuštˇ ení programu Administration Console se zobrazí hlavní okno, které obsahuje vytvoˇ rené záložky a ikonu Nové pˇ ripojení pro jednorázové pˇ ripojení k serveru, pˇ rípadnˇ e vytvoˇ rení nové záložky.

Obrázek 3.1

Hlavní okno Administration Console

Pˇ ri umístˇ ení kurzoru myši na nˇ ekterou záložku se ve stavovém ˇ rádku v dolní ˇ cásti okna zobrazí podrobné informace o této záložce (název serverové aplikace, jméno nebo IP adresa serveru a uživatelské jméno). Dvojitým kliknutím na záložku (resp. stisknutím klávesy Enter na vybrané záložce nebo volbou Soubor / Pˇ ripojit z hlavního menu) dojde k pˇ ripojení k pˇ ríslušnému serveru. Pokud není v záložce uloženo heslo (viz kapitola 3.2), budeme po pˇ ripojení vyzváni k jeho zadání.

3.2 Pˇ ripojení k serveru a vytvoˇ rení záložky Dvojitým kliknutím na ikonu Nové pˇ ripojení nebo volbou Soubor / Nové pˇ ripojení... z hlavního menu otevˇ reme dialog Nové pˇ ripojení .

9

Kapitola 3 Ovládání programu

Obrázek 3.2

Dialog pro pˇ ripojení k serverové aplikaci

Produkt Výbˇ er serverové aplikace, ke které se chceme pˇ ripojit. Administration Console pˇ ri svém spuštˇ ení zjistí, jaké administraˇ cní moduly jsou k dispozici a nastaví odpovídající aplikace do této položky. Není-li administraˇ cní program pro urˇ citou aplikaci k dispozici, nelze se pokusit o pˇ ripojení ani vytvoˇ rit záložku. Server DNS jméno nebo IP adresa poˇ cítaˇ ce, na kterém je nainstalována pˇ ríslušná serverová aplikace. Chceme-li se k serverové aplikaci pˇ rihlásit pˇ rímo z poˇ cítaˇ ce, na kterém je nainstalována, zadáme jméno serveru localhost (tj. lokální zpˇ etnovazební rozhraní — loopback). Nedoporuˇ cujeme používat IP adresy sít’ových rozhraní tohoto poˇ cítaˇ ce (resp. odpovídající DNS jména). Podle IP adresy, na kterou se Administration Console pˇ ripojuje, serverová aplikace rozpoznává, zda se jedná o lokální nebo vzdálenou správu. Neníli povolena vzdálená správa, pak aplikace akceptuje pouze pˇ ripojení na localhost. Dialog Nové pˇ ripojení si pamatuje nˇ ekolik naposledy použitých server˚ u. Pˇ ri opakovaném pˇ ripojování tak staˇ cí pouze vybrat jméno nebo adresu serveru ze seznamu (pro tyto pˇ rípady však doporuˇ cujeme vytvoˇ rit si záložku — pˇ ripojení k serveru pak bude mnohem rychlejší a jednodušší). Uživatelské jméno, Heslo Jméno uživatele a heslo pro pˇ rihlášení ke správˇ e serverové aplikace. Tento uživatel musí mít právo Pˇ rístup pro ˇ ctení i zápis (pro administraci), pˇ rípadnˇ e Pˇ rístup pouze pro ˇ ctení (pro prohlížení konfigurace). Pˇ rihlašovací dialog si rovnˇ ež pamatuje naposledy zadané uživatelské jméno.

10

3.2 Pˇ ripojení k serveru a vytvoˇ rení záložky

Stisknutím tlaˇ cítka Pˇ ripojit dojde k pokusu o pˇ ripojení k serverové aplikaci. Je-li pˇ ripojení i ovˇ eˇ rení uživatele úspˇ ešné, zobrazí se pˇ ríslušný administraˇ cní modul a hlavní okno Administration Console se zavˇ re. Poznámky: 1.

Sít’ový protokol použitý pˇ ri komunikaci mezi Administration Console a serverem je nezávislý na operaˇ cním systému. Z toho vyplývá, že napˇ r. Kerio MailServer na serveru s operaˇ cním systémem Mac OS lze vzdálenˇ e spravovat z pracovní stanice se systémem Windows apod.

2.

Pro zajištˇ ení maximální bezpeˇ cnosti provádí Administration Console pˇ ri každém pˇ ripojování kontrolu d˚ uvˇ eryhodnosti certifikátu serveru. Podrobnosti viz kapitola 3.3.

Vytvoˇ rení záložky Chceme-li pˇ rihlašovací údaje pro urˇ citý server uchovat pro opakované pˇ ripojení, pak pˇ red stisknutím tlaˇ cítka Pˇ ripojit stiskneme nejprve tlaˇ cítko Uložit jako. Toto tlaˇ cítko otevírá dialog pro uložení záložky.

Obrázek 3.3

Dialog pro uložení záložky

Do položky Jméno je tˇ reba zadat název, pod kterým bude záložka zobrazována v hlavním oknˇ e Administration Console. Tento název bude také použit jako jméno souboru, do kterého bude záložka uložena (viz kapitola 2). Upozornˇ ení: Je-li v okamžiku ukládání záložky vyplnˇ eno heslo, pak bude toto heslo také uloženo. Záložky v Administration Console lze ochránit proti zneužití zadáním hesla pro pˇ rístup k záložkám (podrobnosti viz kapitola 3.4).

Kontextové menu pro záložky Pˇ ri kliknutí pravým tlaˇ cítkem myši na vybranou záložku se zobrazí kontextové menu s tˇ emito funkcemi:

11

Kapitola 3 Ovládání programu

Obrázek 3.4

Kontextové menu pro záložku

• Pˇ ripojit — pˇ rihlášení k pˇ ríslušné serverové aplikaci (pˇ ripojit se lze rovnˇ ež dvojitým kliknutím myší nebo stisknutím klávesy Enter na této záložce). • Smazat — odstranˇ ení vybrané záložky. Smazání záložky znamená fyzické odstranˇ ení pˇ ríslušného souboru na disku (viz kapitola 2). Smazanou záložku již nelze obnovit (nemáme-li k dispozici zálohu pˇ ríslušného souboru). • Pˇ rejmenovat — zmˇ ena názvu záložky. Záložku lze rovnˇ ež pˇ rejmenovat jednoduchým kliknutím levým tlaˇ cítkem myši na její název (podobnˇ e jako ikonu na pracovní ploše Windows) nebo stisknutím klávesy F2. • Odeslat na pracovní plochu — vytvoˇ rení odkazu na záložku (tj. zástupce pˇ ríslušného souboru) na pracovní ploše. Soubory záložek jsou asociovány s Administration Console — dvojitým kliknutím na záložku na pracovní ploše dojde ke spuštˇ ení odpovídajícího administraˇ cního modulu a pˇ ripojení na pˇ ríslušný server. Poznámka: Tato funkce je dostupná pouze v operaˇ cních systémech Windows. • Vlastnosti — tato volba otevírá dialog pro zmˇ enu parametr˚ u vybrané záložky. Dialog Vlastnosti záložky je spojením výše popsaných dialog˚ u Nové pˇ ripojení a Uložit záložku.

Obrázek 3.5

Úprava parametr˚ u záložky

12

3.3 Kontrola identity serveru

3.3 Kontrola identity serveru Pˇ ri pˇ ripojování ke správˇ e serverové aplikace (Kerio WinRoute Firewall nebo Kerio MailServer — dále jen server) kontroluje Administration Console (dále jen klient) identitu pˇ ríslušného serveru. Toto je ochrana proti útoku typu „man-in-the-middle“ (útoˇ cník se vydává za cílový server, od klienta získá pˇ rihlašovací údaje a ty pak použije pro pˇ rihlášení na skuteˇ cný server). Server svou identitu prokazuje SSL certifikátem. Klient pak porovnává tzv. otisk certifikátu s otiskem, který má uložený ve svém konfiguraˇ cním souboru. Pokud otisky certifikátu souhlasí, pˇ ripojení je automaticky povoleno. V opaˇ cném pˇ rípadˇ e je nutný zásah uživatele. Poznámky: 1.

Kontrola certifikátu se neprovádí pˇ ri pˇ ripojování pˇ rímo z poˇ cítaˇ ce, na kterém je nainstalována pˇ ríslušná serverová aplikace (pˇ ripojení k localhost). V tomto pˇ rípadˇ e totiž útok „man-in-the-middle“ nemá smysl (pokud by útoˇ cník pronikl pˇ rímo na server, mohl by získat požadované informace jednodušším zp˚ usobem).

2.

Pro úˇ cely pˇ ripojení programem Administration Console se nepoužívá SSL certifikát, který je v serverové aplikaci nastaven pro „klientské“ služby (webová rozhraní apod.), ale speciální automaticky generovaný certifikát.

První pˇ ripojení k serveru Pˇ redpokládejme, že jsme na server server.firma.cz nainstalovali aplikaci Kerio ripojit programem AdWinRoute Firewall 1 a nyní se chceme k tomuto serveru poprvé pˇ ministration Console z jiného poˇ cítaˇ ce. Vyplníme pˇ rihlašovací dialog (pˇ rípadnˇ e vytvoˇ ríme záložku — podrobnosti viz kapitola 3.2). Po stisknutí tlaˇ cítka Pˇ ripojit se zobrazí informace, že identitu serveru nebylo možné ovˇ eˇ rit — viz obrázek 3.6. Nyní musíme zkontrolovat, zda se Administration Console skuteˇ cnˇ e pˇ ripojuje k požadovanému serveru: • V poli Server zkontrolujeme typ serverové aplikace a IP adresu cílového serveru. Pokud byl server zadán jménem a jeho IP adresa nesouhlasí, je tˇ reba zkontrolovat DNS záznam pro pˇ ríslušné jméno poˇ cítaˇ ce, pˇ rípadnˇ e zadat server pˇ rímo IP adresou. Nesprávná IP adresa m˚ uže signalizovat pokus o útok (podvržení DNS záznamu). Poznámka: Pokud byl server zadán IP adresou, pak je kontrola DNS záznam˚ u bezpˇ redmˇ etná. 1

ripojení a ovˇ eˇ rení identity stejný. Pro Kerio MailServer je postup pˇ

13

Kapitola 3 Ovládání programu

Obrázek 3.6

Kontrola identity serveru — pˇ ripojení k novému serveru

Nesouhlasí-li typ serverové aplikace, pak je vhodné provˇ eˇ rit spuštˇ ené serverové aplikace pˇ rímo na pˇ ríslušném serveru a zkusit se k nim pˇ ripojit lokálnˇ e. • Porovnáme otisk certifikátu v poli Podrobnosti certifikátu s otiskem certifikátu pˇ ríslušného serveru. Pokud otisky certifikát˚ u nesouhlasí, jedná se o podvržený certifikát. TIP: Otisk certifikátu lze oznaˇ cit myší, zkopírovat do schránky a vložit do souboru, e-mailové zprávy apod. Souhlasí-li IP adresa, typ aplikace i otisk certifikátu, m˚ užeme se k serveru bez obav pˇ ripojit. V opaˇ cném pˇ rípadˇ e pˇ ripojení zamítneme (tlaˇ cítkem Zavˇ rít) a pokusíme se najít pˇ ríˇ ciny zjištˇ ených problém˚ u. Pokud se pˇ ri pˇ ríštím pˇ ripojení nezmˇ ení IP adresa ani certifikát serveru, bude Administration Console považovat tento server za d˚ uvˇ eryhodný a popsaný dialog pro ovˇ eˇ rení identity se již nezobrazí.

Jak zjistit otisk certifikátu serveru? Pro zabezpeˇ cení komunikace mezi serverovou aplikací a programem Administration Console se používá speciální automaticky generovaný SSL certifikát. Tento certifikát se vytvoˇ rí pˇ ri prvním startu serverové aplikace po instalaci, resp. pˇ ri každém startu, kdy

14

3.3 Kontrola identity serveru

není certifikát nalezen (pokud byl smazán, poškozen apod.). Certifikát je uložen v souboru server.crt v podadresᡠri dbSSL instalaˇ cního adresᡠre serverové aplikace (konkrétní umístˇ ení závisí na typu aplikace a operaˇ cním systému). Zp˚ usob zjištˇ ení otisku certifikátu závisí na operaˇ cním systému serveru: Windows Certifikát serveru je standardnˇ e ukládán do adresᡠre C:\Program Files\Kerio\WinRoute Firewall\dbSSL resp. C:\Program Files\Kerio\MailServer\dbSSL Pˇ ri otevˇ rení souboru s certifikátem (dvojitým kliknutím myší nebo klávesou Enter) se zobrazí dialog s informacemi o certifikátu.

Obrázek 3.7

Zobrazení otisku certifikátu serveru v systému Windows

V záložce Podrobnosti vyhledáme pole Miniatura 2. Toto pole obsahuje otisk certifikátu, který m˚ užeme oznaˇ cit myší, zkopírovat do schránky a vložit do souboru, e-mailové zprávy apod.

2

Proprietární název otisku certifikátu.

15

Kapitola 3 Ovládání programu

Linux a Mac OS X (pouze Kerio MailServer) Certifikát serveru je standardnˇ e ukládán do adresᡠre /opt/kerio/mailserver/dbSSL (Linux), resp. /usr/local/kerio/mailserver/dbSSL (Mac OS X). Pro zjištˇ ení otisku certifikátu využijeme program openssl (v systému musí být nainstalován balík OpenSSL). V konzoli (terminálu) se pˇ repneme do adresᡠre se souborem server.crt a zadáme následující pˇ ríkaz: openssl x509 -in server.crt -noout -text -fingerprint -sha1 Tento pˇ ríkaz zobrazí informace o certifikátu, pˇ riˇ cemž na posledním ˇ rádku výpisu bude uveden otisk certifikátu: SHA1 Fingerprint=F4:D1:F4:49:57:99:81:10:D6:41:8F:0E:2E:A5: 77:42:80:E9:70:D0 Upozornˇ ení: Uvedené informace platí pro produkty Kerio WinRoute Firewall verze 6.3.0 a vyšší a Kerio MailServer verze 6.4.0 a vyšší. Administration Console zároveˇ n zachovává kompatibilitu se staršími verzemi tˇ echto aplikací. Pokud je nainstalován pˇ ríslušný administraˇ cní modul (viz kapitola 2), pak je možné se pˇ ripojit napˇ r. ke správˇ e aplikace Kerio WinRoute Firewall 6.2.0. Pˇ ri prvním pˇ ripojení (resp. po zmˇ enˇ e IP adresy atd.) se rovnˇ ež zobrazí varování, že identita serveru nebyla ovˇ eˇ rena. U starších verzí serverových aplikací však není možné zjistit otisk SSL certifikátu, který se používá pro pˇ ripojení ke správˇ e. V tomto pˇ rípadˇ e musíme pˇ ripojení akceptovat bez kontroly otisku certifikátu, pokud se k danému serveru skuteˇ cnˇ e chceme pˇ ripojit. Opakované pˇ ripojení k témuž serveru Pokud nedojde ke zmˇ enˇ e otisku certifikátu nebo IP adresy serveru, pak pˇ ri dalších pˇ ripojeních Administration Console ovˇ eˇ ruje pouze uživatelské jméno a heslo. Kontrola certifikátu a IP adresy serveru z˚ ustává uživateli skryta. Dojde-li ke zmˇ enˇ e otisku certifikátu, zobrazí se varování — viz obrázek 3.8. Tato situace m˚ uže nastat, pokud byl server pˇ reinstalován, nebo pokud byl jeho certifikát z nˇ ejakého d˚ uvodu poškozen ˇ ci smazán. V takovém pˇ rípadˇ e serverová aplikace pˇ ri svém startu vytvoˇ rila nový certifikát, jehož otisk se samozˇ rejmˇ e liší od otisku, který má Administration Console uložený. Pokud víme, že na serveru k takové zmˇ enˇ e došlo, provedeme kontrolu otisku certifikátu stejnˇ e jako v pˇ rípadˇ e prvního pˇ ripojení (viz výše). Pokud nový (pˇ rijatý) otisk certifikátu souhlasí s otiskem certifikátu serveru, m˚ užeme pˇ ripojení povolit. V tomto pˇ rípadˇ e se uložený otisk certifikátu pˇ repíše otiskem nového certifikátu a pˇ ri dalším pˇ ripojení již opˇ et nebude zobrazováno žádné varování.

16

3.3 Kontrola identity serveru

Obrázek 3.8

Kontrola identity serveru — detekce zmˇ eny certifikátu

Jestliže k žádné zmˇ enˇ e certifikátu na serveru nedošlo, pak se s nejvyšší pravdˇ epodobností jedná o útok (podvržení certifikátu). V takovém pˇ rípadˇ e pˇ ripojení zamítneme (tlaˇ cítkem Zavˇ rít) a pokusíme se najít pˇ ríˇ ciny zjištˇ ených problém˚ u. Poznámka: Pˇ ri prosté aktualizaci (upgrade) serverové aplikace z˚ ustává certifikát zachován. Pˇ reinstalováním je v tomto pˇ rípadˇ e mínˇ ena kompletnˇ e nová instalace — napˇ r. pˇ ri výmˇ enˇ e pevného disku apod. Za urˇ citých okolností m˚ uže také dojít ke zmˇ enˇ e IP adresy serveru (napˇ r. pokud byl server pˇ repojen do jiné subsítˇ e). Pˇ ri zmˇ enˇ e IP adresy se (zpravidla) provádí také aktualizace pˇ ríslušných DNS záznam˚ u. Z toho vyplývá, že pˇ ri dalším pokusu o vzdálené pˇ ripojení programem Administration Console k pˇ ríslušné serverové aplikaci sice použijeme stejné DNS jméno, ale IP adresa bude odlišná. Na zmˇ enu IP adresy serveru m˚ uže Administration Console reagovat dvˇ ema zp˚ usoby: • Pokud pro novou IP adresu (a port pˇ ríslušné serverové aplikace) dosud neexistuje záznam, Administration Console zobrazí varování jako v pˇ rípadˇ e prvního pˇ ripojení k novému serveru (viz obrázek 3.6). • Existuje-li pro novou IP adresu a pˇ ríslušný port záznam (tzn. Administration Console se v minulosti již pˇ ripojovala k dané serverové aplikaci na dané IP adrese), pak je tato

17

Kapitola 3 Ovládání programu

situace vyhodnocena jako zmˇ ena identity serveru (viz obrázek 3.8). V obou pˇ rípadech platí, že pokud se jedná o zámˇ ernou (vˇ edomou) zmˇ enu IP adresy, pak ve varovném dialogu zkontrolujeme IP adresu a otisk (nového) certifikátu a je-li vše v poˇ rádku, m˚ užeme pˇ ripojení akceptovat. Pokud k žádné zmˇ enˇ e IP adresy serveru nedošlo, pak pˇ ripojení zamítneme a pokusíme se zjistit pˇ ríˇ cinu tohoto problému.

3.4 Ochrana záložek heslem Záložky v Administration Console slouží k rychlému pˇ ripojení ke konkrétnímu serveru, a proto obsahují kompletní pˇ rihlašovací informace, zpravidla vˇ cetnˇ e hesla. Pokud k poˇ cítaˇ ci s Administration Console získá pˇ rístup neoprávnˇ ená osoba, mohlo by dojít ke zneužití nˇ ekteré záložky a provedení nežádoucích konfiguraˇ cních zmˇ en na pˇ ríslušném serveru. Na ochranu proti zneužití záložek umožˇ nuje Administration Console ochránit pˇ rístup k záložkám heslem.

Nastavení ochrany záložek Volbou z hlavního menu Nástroje / Chránit záložky heslem se zobrazí dialog pro nastavení hesla.

Obrázek 3.9

Nastavení hesla pro ochranu záložek

Ve výchozím stavu (po instalaci Administration Console) nejsou záložky chránˇ ené. V dialogu je potˇ reba zadat zvolené heslo a pro potvrzení jej zopakovat (vylouˇ cení pˇ reklep˚ u apod.). Pokud jsou záložky již chránˇ eny, pak menu Nástroje obsahuje položku Zmˇ enit heslo pro ochranu záložek. Pro zmˇ enu hesla je nutné se ovˇ eˇ rit zadáním stávajícího hesla do

18

3.5 Chyby pˇ ri pˇ ripojování

položky Staré heslo. Nastavením prázdného hesla (tzn. položky Nové heslo a Potvrzení nového hesla z˚ ustanou nevyplnˇ ené) bude ochrana záložek zrušena. Upozornˇ ení: Záložky doporuˇ cujeme chránit heslem vždy, pokud existuje nebezpeˇ cí pˇ rístupu neoprávnˇ ených osob k poˇ cítaˇ ci s Administration Console!

Použití chránˇ ených záložek Jsou-li záložky chránˇ eny heslem, pak se bezprostˇ rednˇ e po spuštˇ ení Administration Console zobrazí dialog pro zadání hesla.

Obrázek 3.10

rístup k záložkám Zadání hesla pro pˇ

Po zadání správného hesla bude možné pracovat se záložkami bˇ ežným zp˚ usobem (viz kapitola 3.2). Pokud bude tento dialog stornován (napˇ r. pˇ ri neznalosti hesla), pak bude možné použít pouze volbu Nové pˇ ripojení pro pˇ ripojení k serveru bez možnosti vytvoˇ rení záložky. Dialog pro zadání hesla lze znovu vyvolat volbou z hlavního menu Nástroje / Naˇ císt záložky (heslo je rovnˇ ež vyžadováno pˇ ri pokusu o použití nˇ ekteré záložky).

3.5 Chyby pˇ ri pˇ ripojování V této kapitole jsou popsána nejˇ castˇ ejší chybová hlášení, která se zobrazují v pˇ rípadˇ e neúspˇ ešného pˇ ripojení k serverové aplikaci. Poznámka: Je-li hlášena chyba, která zde není uvedena, doporuˇ cujeme kontaktovat technickou podporu firmy Kerio Technologies (kontakty naleznete na WWW stránkách http://www.kerio.cz/).

Vzdálený poˇ cítaˇ c nenalezen Tato chyba je hlášena, pokud je zadaný cílový poˇ cítaˇ c (server) nedosažitelný.

19

Kapitola 3 Ovládání programu

Obrázek 3.11

Chyba pˇ ri pˇ ripojování: server nenalezen

Možné pˇ ríˇ ciny této chyby: • Chybná IP adresa nebo DNS jméno serveru. Ujistˇ ete se, že zadáváte správnou IP adresu, pˇ rípadnˇ e pro DNS jméno ovˇ eˇ rte, zda je platné (napˇ r. systémovým nástrojem nslookup). • Cílový poˇ cítaˇ c není dostupný (napˇ r. došlo k sít’ové chybˇ e nebo je komunikace blokována firewallem). Vyzkoušejte dostupnost cílového poˇ cítaˇ ce pˇ ríkazem ping, pˇ rípadnˇ e proved’te potˇ rebné zmˇ eny v nastavení firewallu.

Serverová aplikace není spuštˇ ena Pokud se Administration Console nepodaˇ rí navázat sít’ové spojení se serverovou aplikací na daném poˇ cítaˇ ci, pak je hlášena chyba Serverová aplikace není spuštˇ ena

Obrázek 3.12

Chyba pˇ ri pˇ ripojování: serverová aplikace není spuštˇ ena

Možné pˇ ríˇ ciny této chyby: • Serverová aplikace není spuštˇ ena. Zkontrolujte, zda na poˇ cítaˇ ci, kam se pˇ ripojujete, bˇ eží služba Kerio WinRoute Firewall, resp. Kerio MailServer. • Nelze navázat spojení na port pˇ ríslušné aplikace (komunikace je blokována firewallem).

20

3.5 Chyby pˇ ri pˇ ripojování

Zkuste navázat spojení pˇ ríkazem Telnet na konkrétní port (viz kapitola 4), pˇ rípadnˇ e proved’te potˇ rebné zmˇ eny v nastavení firewallu.

Ovˇ eˇ rení uživatele selhalo Pokud Administration Console naváže spojení se serverem, ale nastane problém s pˇ rihlášením uživatele, zobrazí se hlášení Ovˇ eˇ rení uživatele selhalo.

Obrázek 3.13

Chyba pˇ ri pˇ ripojování: ovˇ eˇ rení uživatele selhalo

Možné pˇ ríˇ ciny této chyby: • Neplatné uživatelské jméno nebo heslo. Zkontrolujte, že jsou pˇ rihlašovací údaje zadány správnˇ e. Pokud tato chyba nastává pˇ ri pˇ ripojování pomocí záložky, zkuste se pˇ ripojit pomocí funkce Nové pˇ ripojení a zadat všechny pˇ rihlašovací údaje (napˇ r. mohlo dojít ke zmˇ enˇ e hesla uživatele a záložka stále obsahuje staré heslo). • Vzdálená správa serverové aplikace není povolena nebo je povolena pouze z urˇ cité skupiny IP adres (do které není zaˇ razen váš poˇ cítaˇ c). Podrobnosti naleznete v manuálu k pˇ ríslušné serverové aplikaci. • Uživatel nemá potˇ rebná pˇ rístupová práva. Uživatelský úˇ cet, pod kterým se chcete pˇ rihlásit, musí mít právo Pˇ rístup pro ˇ ctení i zᡠpis (pro administraci), pˇ rípadnˇ e Pˇ rístup pouze pro ctení (pro prohlížení konfigurace). • Problém s ovˇ eˇ rením uživatele na serveru. Na serveru se vyskytla chyba, kv˚ uli které nelze uživatele ovˇ eˇ rit pˇ ríslušnou ovˇ eˇ rovací metodou (napˇ r. v Active Directory). Pro úˇ cely pˇ rihlášení ke správˇ e doporuˇ cujeme vytvoˇ rit speciální uživatelský úˇ cet v interní databázi uživatel˚ u (podrobnosti viz manuál k pˇ ríslušné serverové aplikaci).

21

Kapitola 3 Ovládání programu

Nepodporovaná verze serveru Tato chyba je hlášena, pokud Administration Console nenalezne administraˇ cní modul odpovídající verzi serverové aplikace, ke které se pˇ ripojujeme (napˇ r. na serveru je nainstalován Kerio WinRoute Firewall 6.1.x, zatímco administraˇ cní modul je k dispozici pouze pro verzi 6.0.x).

Obrázek 3.14

Chyba pˇ ri pˇ ripojování: nepodporovaná verze serveru

Je-li pˇ ri pˇ ripojování hlášena tato chyba, je tˇ reba nainstalovat (pˇ rípadnˇ e zkopírovat do adresᡠre Admin) pˇ ríslušný administraˇ cní modul. Doporuˇ cujeme použít stejný instalaˇ cní balík, ze kterého byla nainstalována pˇ ríslušná serverová aplikace.

3.6 Nastavení jazyka a úvodní obrazovky Volba Nástroje / Volby v hlavním menu otevírá dialog pro výbˇ er jazyka Administration Console vˇ cetnˇ e všech spouštˇ ených administraˇ cních modul˚ u.

Obrázek 3.15

Nastavení jazyka a pˇ redvolby

22

3.6 Nastavení jazyka a úvodní obrazovky

Volba Zobrazovat úvodní obrazovku v dolní ˇ cásti dialogu zapíná/vypíná zobrazování úvodní obrazovky (splash screen) administraˇ cního modulu pˇ ri pˇ ripojování k serverové aplikaci. Volba Okno se záložkami nechávat vždy zobrazené zp˚ usobuje, že po pˇ ripojení k vybrané serverové aplikaci z˚ ustane zobrazeno také hlavní okno Administration Console se seznamem záložek. Tuto funkci lze využít zejména v pˇ rípadech, kdy se postupnˇ e (stˇ rídavˇ e) pˇ ripojujeme k nˇ ekolika r˚ uzným server˚ um. Poznámka: Ve výchozí konfiguraci Administration Console jsou obˇ e výše uvedené volby zapnuté.

Možnosti nastavení jazyka V sekci Preferovaný jazyk lze vybrat jazyk, ve kterém bude zobrazována Administration Console a všechny spouštˇ ené administraˇ cní moduly. Položka Primární slouží k výbˇ eru jazyka, který bude za normálních okolností používán. V pˇ rípadˇ e, že nebude možné naˇ císt definiˇ cní soubor zvoleného primárního jazyka (napˇ r. chybˇ ející nebo poškozený soubor), pokusí se Administration Console naˇ císt jazyk nastavený jako Alternativní . Nepodaˇ rí-li se naˇ císt ani ten, pˇ repne se Administration Console do výchozího jazyka, kterým je angliˇ ctina. Volba Automaticky znamená, že se Administration Console pokusí automaticky nastavit jazyk podle národního prostˇ redí operaˇ cního systému.

Definiˇ cní soubory jazyk˚ u Program Administration Console (a pˇ ríslušné administraˇ cní moduly) obsahuje pouze anglickou verzi uživatelského rozhraní. Ostatní jazyky musejí být uloženy v tzv. definiˇ cních souborech. Umístˇ ení definiˇ cních soubor˚ u pro jednotlivé operaˇ cní systémy je podrobnˇ e popsáno v kapitole 2. Pro každý podporovaný jazyk jsou potˇ reba tyto soubory: kadmin.<jazyk>.qm — pro hlavní okno Administration Console mailadmin<XYY>.<jazyk>.qm — pro administraˇ cní modul aplikace Kerio MailServer wradmin.<jazyk>.qm — pro administraˇ cní modul aplikace Kerio WinRoute Firewall (pouze v systému Windows) kde: • <XYY> je hlavní (jednomístné) a vedlejší (dvojmístné) ˇ císlo verze administraˇ cního modulu pro Kerio MailServer

23

Kapitola 3 Ovládání programu

• je hlavní a vedlejší ˇ císlo verze administraˇ cního modulu pro Kerio WinRoute Firewall • <jazyk> je standardní dvoupísmenná zkratka jazyka (napˇ r. cs pro ˇ ceštinu, sk pro slovenštinu, de pro nˇ emˇ cinu atd.) Poznámka: Pokud nainstalujeme administraˇ cní modul pouze pro jednu aplikaci, pak budou nainstalovány pouze definiˇ cní soubory jazyk˚ u pro Administration Console a pro tento modul. Pˇ ríklad: Nainstalujeme produkty Kerio MailServer 6.0.5 a Kerio WinRoute Firewall 6.1.5. Pro ˇ ceštinu budou nainstalovány definiˇ cní soubory kadmin.cs.qm, mailadmin600.cs.qm a wradmin601.cs.qm.

3.7 Nápovˇ eda (Windows) V operaˇ cním systému Windows umožˇ nuje Administration Console otevˇ rít nápovˇ edu ve formátu HTML Help (*.chm), a to jak pro hlavní okno Administration Console (volba Nápovˇ eda / Obsah v hlavním menu), tak pro jednotlivé administraˇ cní moduly (volba Nápovˇ eda / Pˇ ríruˇ cka administrátora v hlavním menu). Instalaˇ cní balíky obsahují pouze nápovˇ edu v anglickém jazyce; soubory s nápovˇ edou v dalších jazycích lze stáhnout z WWW stránek http://www.kerio.cz/. Umístˇ ení soubor˚ u s nápovˇ edou je podrobnˇ e popsáno v kapitole 2. Soubory jsou pojmenovány podle tohoto schématu: kadmin.<jazyk>.chm — nápovˇ eda pro hlavní okno Administration Console mailadmin<XYY>.<jazyk>.chm — pˇ ríruˇ cka administrátora pro aplikaci Kerio MailServer wradmin.<jazyk>.chm — pˇ ríruˇ cka administrátora pro aplikaci Kerio WinRoute Firewall kde: • <XYY> je hlavní (jednomístné) a vedlejší (dvojmístné) ˇ císlo verze administraˇ cního modulu pro Kerio MailServer • je hlavní a vedlejší ˇ císlo verze administraˇ cního modulu pro Kerio WinRoute Firewall • <jazyk> je dvoupísmenná zkratka jazyka (napˇ r. cs pro ˇ ceštinu, sk pro slovenštinu, de pro nˇ emˇ cinu atd.)

24

3.8 Import starých záložek

Administration Console (resp. administraˇ cní modul) vždy hledá nejprve soubor s nápovˇ edou ve zvoleném jazyce uživatelského rozhraní (viz kapitola 3.6). Pokud jej nenalezne, pokusí se najít odpovídající nápovˇ edu v angliˇ ctinˇ e. Nenajde-li ani anglickou verzi, pak nebude dostupná položka hlavního menu Nápovˇ eda / Obsah (v hlavním oknˇ e), resp. Nápovˇ eda / Pˇ ríruˇ cka administrátora (v oknˇ e administraˇ cního modulu). Poznámka: V operaˇ cních systémech Linux a Mac OS není v souˇ casné dobˇ e nápovˇ eda k dispozici. Hlavní menu Administration Console, resp. administraˇ cního okna, v tˇ echto systémech neobsahuje výše uvedené položky. Jako nápovˇ edu m˚ užeme použít manuál ve formátu HTML nebo PDF — obsah manuálu/nápovˇ edy je ve všech formátech shodný.

Pˇ ridání souboru s nápovˇ edou Pˇ ríklad: Do Administration Console chceme pˇ ridat ˇ ceskou nápovˇ edu a ˇ ceskou pˇ ríruˇ cku administrátora pro aplikaci Kerio WinRoute Firewall 6.1.x (aktuální verzi zjistíme na úvodní obrazovce po pˇ rihlášení). Z WWW stránek http://www.kerio.cz/ stáhneme odpovídající manuály ve formátu HTML Help a uložíme je do podadresᡠre help (viz výše): • nápovˇ edu pro Administration Console pod názvem kadmin.cs.chm • pˇ ríruˇ cku administrátora wradmin601.cs.chm

pro

Kerio

WinRoute

Firewall

pod

názvem

Pˇ ridáváme-li novou nápovˇ edu v dobˇ e, kdy je Administration Console (pˇ rípadnˇ e nˇ ekterý administraˇ cní modul) spuštˇ ena, platí následující pravidla: • Nápovˇ eda pro Administration Console bude dostupná po pˇ ríštím spuštˇ ení Administration Console, pˇ rípadnˇ e po zmˇ enˇ e jazyka (tj. pˇ repnutí z jiného jazyka na jazyk, pro který byla nápovˇ eda pˇ ridána). • Pˇ ríruˇ cka administrátora pro konkrétní aplikaci bude dostupná po pˇ ríštím pˇ rihlášení k této aplikaci (tj. po dalším spuštˇ ení pˇ ríslušného administraˇ cního modulu).

3.8 Import starých záložek Starší verze Kerio Administration Console (1.x, dodávané se serverovými produkty ˇ rady 5.x) používaly jiný zp˚ usob uložení záložek. Souˇ casná verze Administration Console (2.x) nedokáže s tˇ emito záložkami pracovat pˇ rímo, umožˇ nuje však naˇ ctení odpovídajících pˇ rihlašovacích údaj˚ u a vytvoˇ rení nových záložek. Naˇ ctení a konverzi záložek z pˇ redchozí verze lze provést volbou Nástroje / Importovat staré záložky z hlavního menu Administration Console.

25

Kapitola 3 Ovládání programu

Administration Console se nejprve pokusí nalézt soubor se starými záložkami (_admin.bkm) v domovském adresᡠri aktuálního uživatele. Je-li soubor nalezen, zkontroluje se, zda je šifrován a chránˇ en heslem. Pokud ano, uživatel je vyzván k zadání tohoto hesla. Po úspˇ ešném naˇ ctení souboru se zobrazí dialog pro import záložek.

Obrázek 3.16

Import starých záložek

Seznam obsahuje všechny záložky, které byly ve starší verzi Administration Console definovány — jak v nabídce záložek, tak v nástrojovém pruhu. Oznaˇ címe záložky, které chceme pˇ revést do nové verze, a stiskneme tlaˇ cítko Importovat. Je-li import záložek úspˇ ešný, budou importované záložky pˇ ridány do seznamu v hlavním oknˇ e Administration Console. Poznámka: K serveru definovanému importovanou záložkou se m˚ užeme pˇ ripojit pouze tehdy, pokud pˇ ríslušná serverová aplikace byla aktualizována na verzi 6.x. Pˇ ripojení ke starším verzím (5.x) není možné.

26

Kapitola 4

Sít’ová komunikace Administration Console

V této kapitole uvádíme struˇ cný popis sít’ové komunikace mezi Administration Console a serverovou aplikací. Tyto informace jsou d˚ uležité zejména v pˇ rípadˇ e, chceme-li provádˇ et vzdálenou správu a v cestˇ e je firewall, na kterém musíme povolit pˇ ríslušnou komunikaci. Pˇ ri komunikaci se používá protokol TCP (pˇ renos konfiguraˇ cních dat) a UDP (pˇ renos asynchronních zpráv ze serveru do Administration Console). Každá serverová aplikace má pˇ riˇ razeno jedno ˇ císlo portu pro pˇ ripojení k administraci (dále jen „port aplikace“). Na tomto portu server ˇ ceká na pˇ ríchozí TCP spojení a synchronizaˇ cní UDP zprávu (viz dále). Produkty firmy Kerio Technologies používají tyto porty: • 44333 — Kerio WinRoute Firewall • 44337 — Kerio MailServer

Pr˚ ubˇ eh komunikace Komunikace mezi Administration Console (dále jen „klient“) a serverovou aplikací (dále jen „server“) probíhá následovnˇ e: 1.

Klient naváže TCP spojení (šifrovaný kanál) na server na pˇ ríslušný port aplikace. Po úspˇ ešném ovˇ eˇ rení získá od serveru tzv. identifikátor spojení.

2.

Klient pošle serveru UDP zprávu s identifikátorem spojení na pˇ ríslušný port aplikace.

3.

Server si zapamatuje port, ze kterého klient zprávu s identifikátorem spojení odeslal. Na tento port bude pak klientovi zasílat asynchronní zprávy (napˇ r. nové položky do oken záznam˚ u).

4.

Po ukonˇ cení TCP spojení (odhlášením, ukonˇ cením klienta nebo serveru, z d˚ uvodu sít’ové chyby atd.) server i klient zruší pˇ ríslušný identifikátor spojení. Pˇ rípadné další UDP zprávy s tímto portem klienta budou ignorovány.

27

Nastavení firewallu Z výše uvedeného popisu komunikace vyplývá nastavení firewallu pro komunikaci mezi Administration Console a serverovou aplikací v tˇ echto situacích: 1.

Server za firewallem (tj. v chránˇ ené lokální síti nebo pˇ rímo na poˇ cítaˇ ci s firewallem), klient v Internetu Na firewallu je tˇ reba otevˇ rít (mapovat) port pˇ ríslušné aplikace (tj. 44333 nebo 44337) pro protokoly TCP a UDP.

2.

Klient za firewallem, server v Internetu Firewall musí být nastaven tak, aby povolil odchozí TCP spojení a UDP komunikaci na port pˇ ríslušné aplikace.

28