https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=Msoomere
ICO wiki - User contributions [en]
2026-05-07T23:22:50Z
User contributions
MediaWiki 1.45.1
https://wiki.itcollege.ee/index.php?title=Skript,_mis_pakib_failid_ja_laeb_ftp_abil_%C3%BCles&diff=61195
Skript, mis pakib failid ja laeb ftp abil üles
2013-02-01T20:27:57Z
<p>Msoomere: </p>
<hr />
<div>=Skript=<br />
Mihkel Soomere (C)<br />
<br />
Allpool on ka VBScript variant, millest PowerShell variant porditi. See skript on VBS variandis ühe spetsiiflise süsteemi logide edastamiseks mõeldud ja live's kasutuses, sellest tulenevalt ei ole see päris universaalne lahendus. Nt logide transpordiks ette valmistamisel on tähtis säilitada emakausta nimi.<br />
==PowerShell==<br />
<source lang="powershell"><br />
<#<br />
.Synopsis<br />
YourView andmete pushija<br />
Edastab YourView logifailid koos struktuuriga FTPsse kokku Zipituna<br />
Porditud VBS versioonist<br />
Alustatud detsember 2012<br />
Autor Mihkel Soomere<br />
.DESCRIPTION<br />
Skript vajab Zippimiseks: http://pscx.codeplex.com ja FTP laadimiseks http://gallery.technet.microsoft.com/scriptcenter/PowerShell-FTP-Client-db6fe0cb<br />
Testitud PS3 ja W8 peal<br />
ToDo<br />
Kui FTP ebaõnnestus, siis pane fail Queuesse. Järgmisel käivitusel laadi queue failid üles.<br />
.EXAMPLE<br />
YourViewPush.ps1 TallinnHarku<br />
Kasutab jaama nimena TallinnHarku.<br />
.INPUTS<br />
Ainus atribuut on jaama nimi, mis peab koosnema A-Z, a-z, 0-9 märkidest<br />
#><br />
<br />
Param (<br />
[parameter(Mandatory=$true,HelpMessage="Jaama nimes tohib olla sümboleid a-z ja numbreid 0-9")]<br />
[ValidatePattern("^[0-9a-zA-Z]+$")]<br />
[String] $JaamaNimi<br />
) <br />
#Lülida debugimine sisse<br />
#$DebugPreference = "Continue"<br />
<br />
#Debug<br />
Write-Debug ("args.Count " + $args.Count)<br />
Write-Debug ("args " + $args)<br />
<br />
#Logimise käivitamine<br />
$LogFile = $env:TEMP + "\YWPushLog.txt"<br />
Function LogWrite {<br />
Param ([string]$logstring)<br />
Write-Host $logstring<br />
Add-content $Logfile -value ((Get-Date -format "dd.MM.yyyy HH:mm").ToString() + " " + $logstring)<br />
}<br />
<br />
#Debug<br />
Write-Debug ("LogFile " + $LogFile)<br />
<br />
#Muutujate väärtustamine<br />
#Muutumatu, kuna igal pool sama<br />
$YourViewJuurkaust = "C:\YourView"<br />
#Argumendist<br />
$Jaamanimi = $args[0].ToString()<br />
#Kujul YYYYMMDD<br />
$KuuPaev = (Get-Date -Format "yyyyMMdd").ToString()<br />
#Alati jäetakse natuke logisid maha<br />
$MaxFailivanus = 3<br />
$YlekandeKaust = ($Jaamanimi + "-" + $KuuPaev)<br />
$AjutineJuurkaust = ($YourViewJuurkaust + "\" + $YlekandeKaust)<br />
$YlekantavFailiNimi = ($YlekandeKaust + ".zip")<br />
#Implementeerimata<br />
$TeadaolevadKaustad = "CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST"<br />
$FTPServer = ""<br />
$FTPServerTee = ""<br />
$FTPServerKasutaja =""<br />
#Enamvähem turvaline paroolisalvestusviis, et skript ei küsiks FTPga üles laadides parooli<br />
#Parooli salvestamiseks read-host -assecurestring | convertfrom-securestring | out-file C:\yourview\securestring.txt<br />
$FTPServerParool = cat C:\yourview\securestring.txt | convertto-securestring<br />
<br />
#Debug<br />
Write-Debug ("YourViewJuurKaust " + $YourViewJuurKaust)<br />
Write-Debug ("JaamaNimi " + $Jaamanimi)<br />
Write-Debug ("KuuPaev " + $KuuPaev)<br />
Write-Debug ("MaxFailiVanus " + $MaxFailivanus)<br />
Write-Debug ("YlekandeKaust " + $YlekandeKaust)<br />
Write-Debug ("AjutineJuurkaust " + $AjutineJuurkaust)<br />
Write-Debug ("YlekantavFailiNimi " + $YlekantavFailiNimi)<br />
Write-Debug ("TeadaolevadKaustad " + $TeadaolevadKaustad)<br />
<br />
#Liigutab failid koos emakaustaga<br />
Get-ChildItem $YourViewJuurkaust -Directory | ForEach-Object {<br />
Write-Debug ("YourViewChild " + $_.FullName)<br />
Get-ChildItem $_.FullName -Recurse | Where-Object {-not $_.PsIsContainer -and $_.LastWriteTime -lt (Get-Date).AddDays(-$MaxFailivanus) -and $_.Extension -eq ".csv"} | ForEach-Object {<br />
$Destination = ($AjutineJuurkaust + "\" + $_.Directory.Name + "\" + $_.Name)<br />
#Debug<br />
Write-Debug ("Source " + $_.FullName)<br />
Write-Debug ("Destination " + $Destination)<br />
#Workaround, kuna Move-Item ei loo faili liigutamisel pathi ette<br />
New-Item -ItemType Directory -Path ($AjutineJuurkaust + "\" + $_.Directory.Name) -Force<br />
Move-Item $_.FullName -Destination $Destination -Force<br />
}<br />
}<br />
<br />
#Pakib failid kokku<br />
Try{<br />
Write-Zip -Level 9 -IncludeEmptyDirectories -Path ($YourViewJuurkaust + "\" + $YlekandeKaust) -OutputPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 4! Pakkimine ebaõnnestus")<br />
Exit 4<br />
}<br />
<br />
#Edastab ZIPi FTP'ga<br />
Try {<br />
#Creadential objekti on vaja, ses muidu ei saa kuidagi parooli ette anda<br />
$Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist $FTPServerKasutaja,$FTPServerParool<br />
Set-FTPConnection -Credentials $Credential -Server $FTPServer -UseBinary -UsePassive<br />
Add-FTPItem -Path $FTPServerTee -LocalPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi) -Overwrite<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 5! FTP Edastamine ebaõnnestus")<br />
Exit 5<br />
}<br />
<br />
#Kustuta ZIP<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
#Kustuta ajutine kaust<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekandeKaust) -Recurse<br />
<br />
#Exit<br />
LogWrite ("Kõik OK!")<br />
Write-Debug "0"<br />
Exit 0<br />
</source><br />
<br />
==VBScript==<br />
<source lang="vb"><br />
'YourView andmete pushija.<br />
'Alustas Mihkel Soomere augustis 2011.<br />
'Skripti mõte on transportida minutiandmed automaatselt peamajja objektidel, kus pole püsiühendust ega VPNi.<br />
'Sõltuvused on 7-zip ja ncftpput.<br />
'Skript eeldab, et ta leiab asjad määratud kaustadest.<br />
'st 7-zip peab olema arhitektuuripõhine, ncftpput võib olla ka 32b, sest see läheb system32'te<br />
'Testitud Windows 7 peal, kuid peaks töötama kõige peal alates Windows 2000.<br />
<br />
'Kasutamine<br />
'Kopeeri skript ja ncftpput windows\system32 kausta<br />
'Kontorlli, et 7-zip oleks sama, mis operatsioonissüsteemi arhitektuur (alati %programfiles% variable)<br />
'Lisa Task Scheduleri<br />
'Kasutajaks SYSTEM<br />
'Käivita parameetriga jaama nimi.<br />
'Käivita igal pühapäeval kell 00 (üldjuhul UTC)<br />
'Jaama nimi peaks olema ASCII märkidega ja kõik kokku, nt narvajoesuu<br />
<br />
<br />
'Workflow:<br />
'Loo ajutine kaust mis koosneb arvuti nimest ja kuupäevast<br />
'Liiguta määratud ajast vanem sisu YW põhikaustadest ajutisse kausta<br />
'Paki ajutine kaust kokku<br />
'Saada pakitud info ära<br />
'Kustuta ajutised asjad<br />
'Kui midagi vahepeal feilib, skript väljub<br />
'Järgmise käivituse ajal korjab see kokku ka eelmisest käivitusest üle jäänud sodi, pakib selle uuesti kokku ning üritab uuesti ära saata<br />
<br />
'Muudatused<br />
'1.1<br />
'CURL vahetatud ncfptput vastu, muutujad jäävad samaks.<br />
'Failid luuakse argumendist võetava failinimega, lisatud kiire väljumine koodiga 6 argumendi puudumisel<br />
'Logifunktsioon varasemaks toodud, et kontrollida argumendi puudumist<br />
'1.2<br />
'Muudetud saadetavate failide nimekuju kujule YYYYMMDD<br />
'Lisatud koristaja<br />
'1.2a<br />
'Välja lülitatud vigane kustutaja<br />
<br />
'Karm režiim, nõua muutujate defineerimist, aitab debugimisel<br />
Option Explicit<br />
<br />
<br />
'Muutujate loomine<br />
Dim LogFile, Shell, FileSystemObject, RootFolder, SourceFolder, SourceFolderSubfolder, TransferRootFolder, TransferFile, CreateFolderPath, TransferPath, FileAge, FTPServer, FTPServerUser, FTPServerPassword, SevenZipPath, CURLPath, ComputerName, WshNetwork, FileItem, FTPServerPath, SevenZipExec, i, Run7Zip, LogFileAccess, CURLExec, RunCURL, CleanupFolder, FolderArray, FolderEntry, IsKnownFolder<br />
<br />
'Objektide loomine<br />
Set Shell = CreateObject("WScript.Shell")<br />
Set FileSystemObject = CreateObject("Scripting.FileSystemObject")<br />
Set WshNetwork = WScript.CreateObject("WScript.Network")<br />
<br />
'Initsialiseeri logi<br />
'Logifail<br />
LogFile = Shell.ExpandEnvironmentStrings("%TEMP%") & "\YWPushLog.txt"<br />
'Logi funktsioon<br />
Set LogFile = FileSystemObject.OpenTextFile(LogFile,8,True)<br />
<br />
'Atribuudi olemasolu kontroll<br />
If WScript.Arguments.Count < 1 Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu käsurea argument määramaks jaama nimi. Errorcode: 6"<br />
WScript.quit(6)<br />
end If<br />
<br />
'Muutujate määramine<br />
'See on hardcodetud, kuna YourView path on igalpool sama.<br />
Set RootFolder = FileSystemObject.GetFolder("C:\YourView")<br />
'Määrab saatmise kausta tee ja faili<br />
'Muudatus versioonis 1.1<br />
'Algses skrptis kasutati faili jaoks arvuti nime, selletõttu on muutuja ikka ComputerName, kuigi tema sisu on muutunud.<br />
ComputerName = WScript.Arguments.Item(0)<br />
TransferRootFolder = RootFolder & "\" & ComputerName & "-" & Date()<br />
TransferFile = ComputerName & "-" & Year(Date) & Right("0" & Month(Date),2) & Right("0" & Day(Date),2) & ".zip"<br />
'1.2 lisand - eeldatavate kaustade massiiv<br />
FolderArray = Array("CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST")<br />
'Rohkem kui järgnev arv päevi vanad failid võetakse töötlusse<br />
FileAge = 3<br />
'FTP ligipääsu andmed<br />
FTPServer = ""<br />
FTPServerPath = ""<br />
FTPServerUser = ""<br />
FTPServerPassword = ""<br />
'Väliste rakenduste pathid<br />
SevenZipPath = Shell.ExpandEnvironmentStrings("%ProgramFiles%") & "\7-Zip\7z.exe"<br />
'Muudatus versioonis 1.1<br />
'CURL viitab tegelikult ncftpput'ile<br />
CURLPath = FileSystemObject.GetSpecialFolder(1) & "\ncftpput.exe"<br />
<br />
<br />
'Kontrolli kas YourView kaust on olemas<br />
If Not FileSystemObject.FolderExists(RootFolder) Then<br />
LogFile.WriteLine Now() & " Kriitline viga! Puudu järgnev oluline kaust: " & RootFolder & " Variable: RootFolder Errorcode: 1"<br />
WScript.quit(1)<br />
End If<br />
'Kontrolli kas 7-Zip on olemas<br />
If Not FileSystemObject.FileExists(SevenZipPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & SevenZipPath & " Variable: SevenZipPath Errorcode: 2"<br />
WScript.quit(2)<br />
End If<br />
'Kontrolli kas CURL on olemas<br />
If Not FileSystemObject.FileExists(CURLPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & CURLPath & " Variable: CURLPath Errorcode: 3"<br />
WScript.quit(3)<br />
End If<br />
<br />
<br />
'Loo edastamise kaustastruktuuur ja liiguta andmed<br />
If Not FileSystemObject.FolderExists(TransferRootFolder) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferRootFolder)<br />
End If<br />
For Each SourceFolder in RootFolder.SubFolders<br />
'Jäta vahele edastuskaust ise<br />
If Not SourceFolder = TransferRootFolder Then<br />
TransferPath = TransferRootFolder & "\" & SourceFolder.Name<br />
If Not FileSystemObject.FolderExists(TransferPath) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferPath)<br />
End If<br />
For Each FileItem in SourceFolder.Files<br />
If DateDiff("d",FileItem.DateLastModified,Now()) > FileAge Then<br />
FileSystemObject.MoveFile SourceFolder & "\" & FileItem.Name , TransferPath & "\" & FileItem.Name<br />
End If<br />
Next<br />
End If<br />
Next<br />
<br />
<br />
'Paki andmed kokku 7Zip kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
SevenZipExec = chr(34) & SevenZipPath & chr(34) & " a -tzip " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34) & " " & chr(34) & TransferRootFolder & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita tsükkel 3 korda<br />
Do While (i<3)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
Run7Zip = Shell.Run(SevenZipExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (Run7Zip = 0) Then Exit Do<br />
'Kui 3 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 4<br />
'Jäta vahele andmete saatmine, kui seda pole niikuinii pakitud<br />
If (i = 2) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga pakkimisel! Proovitud 3 korda pakkida. Errorcode 4 ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
WScript.quit(4)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (Run7Zip = 0) Then LogFile.WriteLine Now() & " Viga pakkimisel! Proovin uuesti. ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
<br />
<br />
'Edasta andmed CURL kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
'Muudatus versioonis 1.1<br />
'Parameetrid on ncftpput jaoks<br />
CURLExec = chr(34) & CURLPath & chr(34) & " -u " & FTPServerUser & " -p " & Base64Decode(FTPServerPassword) & " -T . " & FTPServer & " " & FTPServerPath & " " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita 10 korda<br />
Do While (i<10)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
RunCURL = Shell.Run(CURLExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (RunCURL = 0) Then Exit Do<br />
'Kui 10 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 5<br />
If (i = 9) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga saatmisel! Proovitud 10 korda saata. Errorcode 5 ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
WScript.quit(5)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (RunCURL = 0) Then LogFile.WriteLine Now() & " Viga saatmisel! Proovin uuesti. ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
'Kui kõik ikkagi õnnestus kirjuta logisse maha<br />
LogFile.WriteLine Now() & " Kõik OK!"<br />
<br />
'Eemalda edastatud andmed<br />
FileSystemObject.DeleteFolder TransferRootFolder<br />
'Korista ära ja välju ilma veata<br />
'Lisa 1.2<br />
'Loopib läbi kõik kaustad ning võrdleb neid teadaolevate kaustadega - kui kaust pole teadaolev, kustuta.<br />
'Lisa 1.2a<br />
'Kustutaja välja lülitatud, kuna mõned kaustad teadmata põhjusel kustutatakse valesti<br />
'For Each CleanupFolder in RootFolder.SubFolders<br />
' IsKnownFolder=False<br />
' For Each FolderEntry in FolderArray<br />
' If CleanupFolder = "C:\YourView\" & FolderEntry Then<br />
' IsKnownFolder=True<br />
' End If<br />
' Next<br />
' If IsKnownFolder = False Then<br />
' FileSystemObject.DeleteFolder CleanupFolder<br />
' End If<br />
'Next<br />
WScript.quit()<br />
<br />
'Väline libra Base64 dekodeerimiseks<br />
Function Base64Decode(ByVal base64String)<br />
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"<br />
Dim dataLength, sOut, groupBegin<br />
base64String = Replace(base64String, vbCrLf, "")<br />
base64String = Replace(base64String, vbTab, "")<br />
base64String = Replace(base64String, " ", "")<br />
dataLength = Len(base64String)<br />
If dataLength Mod 4 <> 0 Then<br />
Err.Raise 1, "Base64Decode", "Bad Base64 string."<br />
Exit Function<br />
End If<br />
For groupBegin = 1 To dataLength Step 4<br />
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut<br />
numDataBytes = 3<br />
nGroup = 0<br />
For CharCounter = 0 To 3<br />
thisChar = Mid(base64String, groupBegin + CharCounter, 1)<br />
If thisChar = "=" Then<br />
numDataBytes = numDataBytes - 1<br />
thisData = 0<br />
Else<br />
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1<br />
End If<br />
If thisData = -1 Then<br />
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."<br />
Exit Function<br />
End If<br />
nGroup = 64 * nGroup + thisData<br />
Next<br />
nGroup = Hex(nGroup)<br />
nGroup = String(6 - Len(nGroup), "0") & nGroup<br />
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 5, 2)))<br />
sOut = sOut & Left(pOut, numDataBytes)<br />
Next<br />
Base64Decode = sOut<br />
End Function<br />
</source><br />
[[Category: Skriptimiskeeled]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Skript,_mis_pakib_failid_ja_laeb_ftp_abil_%C3%BCles&diff=61194
Skript, mis pakib failid ja laeb ftp abil üles
2013-02-01T20:26:41Z
<p>Msoomere: </p>
<hr />
<div>=Skript=<br />
Mihkel Soomere (C)<br />
<br />
Allpool on ka VBScript variant, millest PowerShell variant porditi. See skript on VBS variandis ühe spetsiiflise süsteemi logide edastamiseks mõeldud ja live's kasutuses, sellest tulenevalt ei ole see päris universaalne lahendus. Nt logide transpordiks ette valmistamisel on tähtis säilitada emakausta nimi.<br />
==PowerShell==<br />
<source lang="powershell"><br />
<#<br />
.Synopsis<br />
YourView andmete pushija<br />
Edastab YourView logifailid koos struktuuriga FTPsse kokku Zipituna<br />
Porditud VBS versioonist<br />
Alustatud detsember 2012<br />
Autor Mihkel Soomere<br />
.DESCRIPTION<br />
Skript vajab Zippimiseks: http://pscx.codeplex.com ja FTP laadimiseks http://gallery.technet.microsoft.com/scriptcenter/PowerShell-FTP-Client-db6fe0cb<br />
Testitud PS3 ja W8 peal<br />
ToDo<br />
Kui FTP ebaõnnestus, siis pane fail Queuesse. Järgmisel käivitusel laadi queue failid üles.<br />
.EXAMPLE<br />
YourViewPush.ps1 TallinnHarku<br />
Kasutab jaama nimena TallinnHarku.<br />
.INPUTS<br />
Ainus atribuut on jaama nimi, mis peab koosnema A-Z, a-z, 0-9 märkidest<br />
#><br />
<br />
Param (<br />
[parameter(Mandatory=$true,HelpMessage="Jaama nimes tohib olla sümboleid a-z ja numbreid 0-9")]<br />
[ValidatePattern("^[0-9a-zA-Z]+$")]<br />
[String] $JaamaNimi<br />
) <br />
#Lülida debugimine sisse<br />
#$DebugPreference = "Continue"<br />
<br />
#Debug<br />
Write-Debug ("args.Count " + $args.Count)<br />
Write-Debug ("args " + $args)<br />
<br />
#Logimise käivitamine<br />
$LogFile = $env:TEMP + "\YWPushLog.txt"<br />
Function LogWrite {<br />
Param ([string]$logstring)<br />
Write-Host $logstring<br />
Add-content $Logfile -value ((Get-Date -format "dd.MM.yyyy HH:mm").ToString() + " " + $logstring)<br />
}<br />
<br />
#Debug<br />
Write-Debug ("LogFile " + $LogFile)<br />
<br />
#Muutujate väärtustamine<br />
#Muutumatu, kuna igal pool sama<br />
$YourViewJuurkaust = "C:\YourView"<br />
#Argumendist<br />
$Jaamanimi = $args[0].ToString()<br />
#Kujul YYYYMMDD<br />
$KuuPaev = (Get-Date -Format "yyyyMMdd").ToString()<br />
#Alati jäetakse natuke logisid maha<br />
$MaxFailivanus = 3<br />
$YlekandeKaust = ($Jaamanimi + "-" + $KuuPaev)<br />
$AjutineJuurkaust = ($YourViewJuurkaust + "\" + $YlekandeKaust)<br />
$YlekantavFailiNimi = ($YlekandeKaust + ".zip")<br />
#Implementeerimata<br />
$TeadaolevadKaustad = "CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST"<br />
$FTPServer = ""<br />
$FTPServerTee = ""<br />
$FTPServerKasutaja =""<br />
#Enamvähem turvaline paroolisalvestusviis, et skript ei küsiks FTPga üles laadides parooli<br />
#Parooli salvestamiseks read-host -assecurestring | convertfrom-securestring | out-file C:\yourview\securestring.txt<br />
$FTPServerParool = cat C:\yourview\securestring.txt | convertto-securestring<br />
<br />
#Debug<br />
Write-Debug ("YourViewJuurKaust " + $YourViewJuurKaust)<br />
Write-Debug ("JaamaNimi " + $Jaamanimi)<br />
Write-Debug ("KuuPaev " + $KuuPaev)<br />
Write-Debug ("MaxFailiVanus " + $MaxFailivanus)<br />
Write-Debug ("YlekandeKaust " + $YlekandeKaust)<br />
Write-Debug ("AjutineJuurkaust " + $AjutineJuurkaust)<br />
Write-Debug ("YlekantavFailiNimi " + $YlekantavFailiNimi)<br />
Write-Debug ("TeadaolevadKaustad " + $TeadaolevadKaustad)<br />
<br />
#Liigutab failid koos emakaustaga<br />
Get-ChildItem $YourViewJuurkaust -Directory | ForEach-Object {<br />
Write-Debug ("YourViewChild " + $_.FullName)<br />
Get-ChildItem $_.FullName -Recurse | Where-Object {-not $_.PsIsContainer -and $_.LastWriteTime -lt (Get-Date).AddDays(-$MaxFailivanus) -and $_.Extension -eq ".csv"} | ForEach-Object {<br />
$Destination = ($AjutineJuurkaust + "\" + $_.Directory.Name + "\" + $_.Name)<br />
#Debug<br />
Write-Debug ("Source " + $_.FullName)<br />
Write-Debug ("Destination " + $Destination)<br />
#Workaround, kuna Move-Item ei loo faili liigutamisel pathi ette<br />
New-Item -ItemType Directory -Path ($AjutineJuurkaust + "\" + $_.Directory.Name) -Force<br />
Move-Item $_.FullName -Destination $Destination -Force<br />
}<br />
}<br />
<br />
#Pakib failid kokku<br />
Try{<br />
Write-Zip -Level 9 -IncludeEmptyDirectories -Path ($YourViewJuurkaust + "\" + $YlekandeKaust) -OutputPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 4! Pakkimine ebaõnnestus")<br />
Exit 4<br />
}<br />
<br />
#Edastab ZIPi FTP'ga<br />
Try {<br />
#Creadential objekti on vaja, ses muidu ei saa kuidagi parooli ette anda<br />
$Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist $FTPServerKasutaja,$FTPServerParool<br />
Set-FTPConnection -Credentials $Credential -Server $FTPServer -UseBinary -UsePassive<br />
Add-FTPItem -Path $FTPServerTee -LocalPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi) -Overwrite<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 5! FTP Edastamine ebaõnnestus")<br />
Exit 5<br />
}<br />
<br />
#Kustuta ZIP<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
#Kustuta ajutine kaust<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekandeKaust) -Recurse<br />
<br />
#Exit<br />
LogWrite ("Kõik OK!")<br />
Write-Debug "0"<br />
Exit 0<br />
</source><br />
<br />
==VBScript==<br />
<source lang="vb"><br />
'YourView andmete pushija.<br />
'Alustas Mihkel Soomere augustis 2011.<br />
'Skripti mõte on transportida minutiandmed automaatselt peamajja objektidel, kus pole püsiühendust ega VPNi.<br />
'Sõltuvused on 7-zip ja ncftpput.<br />
'Skript eeldab, et ta leiab asjad määratud kaustadest.<br />
'st 7-zip peab olema arhitektuuripõhine, ncftpput võib olla ka 32b, sest see läheb system32'te<br />
'Testitud Windows 7 peal, kuid peaks töötama kõige peal alates Windows 2000.<br />
<br />
'Kasutamine<br />
'Kopeeri skript ja ncftpput windows\system32 kausta<br />
'Kontorlli, et 7-zip oleks sama, mis operatsioonissüsteemi arhitektuur (alati %programfiles% variable)<br />
'Lisa Task Scheduleri<br />
'Kasutajaks SYSTEM<br />
'Käivita parameetriga jaama nimi.<br />
'Käivita igal pühapäeval kell 00 (üldjuhul UTC)<br />
'Jaama nimi peaks olema ASCII märkidega ja kõik kokku, nt narvajoesuu<br />
<br />
<br />
'Workflow:<br />
'Loo ajutine kaust mis koosneb arvuti nimest ja kuupäevast<br />
'Liiguta määratud ajast vanem sisu YW põhikaustadest ajutisse kausta<br />
'Paki ajutine kaust kokku<br />
'Saada pakitud info ära<br />
'Kustuta ajutised asjad<br />
'Kui midagi vahepeal feilib, skript väljub<br />
'Järgmise käivituse ajal korjab see kokku ka eelmisest käivitusest üle jäänud sodi, pakib selle uuesti kokku ning üritab uuesti ära saata<br />
<br />
'Muudatused<br />
'1.1<br />
'CURL vahetatud ncfptput vastu, muutujad jäävad samaks.<br />
'Failid luuakse argumendist võetava failinimega, lisatud kiire väljumine koodiga 6 argumendi puudumisel<br />
'Logifunktsioon varasemaks toodud, et kontrollida argumendi puudumist<br />
'1.2<br />
'Muudetud saadetavate failide nimekuju kujule YYYYMMDD<br />
'Lisatud koristaja<br />
'1.2a<br />
'Välja lülitatud vigane kustutaja<br />
<br />
'Karm režiim, nõua muutujate defineerimist, aitab debugimisel<br />
Option Explicit<br />
<br />
<br />
'Muutujate loomine<br />
Dim LogFile, Shell, FileSystemObject, RootFolder, SourceFolder, SourceFolderSubfolder, TransferRootFolder, TransferFile, CreateFolderPath, TransferPath, FileAge, FTPServer, FTPServerUser, FTPServerPassword, SevenZipPath, CURLPath, ComputerName, WshNetwork, FileItem, FTPServerPath, SevenZipExec, i, Run7Zip, LogFileAccess, CURLExec, RunCURL, CleanupFolder, FolderArray, FolderEntry, IsKnownFolder<br />
<br />
'Objektide loomine<br />
Set Shell = CreateObject("WScript.Shell")<br />
Set FileSystemObject = CreateObject("Scripting.FileSystemObject")<br />
Set WshNetwork = WScript.CreateObject("WScript.Network")<br />
<br />
'Initsialiseeri logi<br />
'Logifail<br />
LogFile = Shell.ExpandEnvironmentStrings("%TEMP%") & "\YWPushLog.txt"<br />
'Logi funktsioon<br />
Set LogFile = FileSystemObject.OpenTextFile(LogFile,8,True)<br />
<br />
'Atribuudi olemasolu kontroll<br />
If WScript.Arguments.Count < 1 Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu käsurea argument määramaks jaama nimi. Errorcode: 6"<br />
WScript.quit(6)<br />
end If<br />
<br />
'Muutujate määramine<br />
'See on hardcodetud, kuna YourView path on igalpool sama.<br />
Set RootFolder = FileSystemObject.GetFolder("C:\YourView")<br />
'Määrab saatmise kausta tee ja faili<br />
'Muudatus versioonis 1.1<br />
'Algses skrptis kasutati faili jaoks arvuti nime, selletõttu on muutuja ikka ComputerName, kuigi tema sisu on muutunud.<br />
ComputerName = WScript.Arguments.Item(0)<br />
TransferRootFolder = RootFolder & "\" & ComputerName & "-" & Date()<br />
TransferFile = ComputerName & "-" & Year(Date) & Right("0" & Month(Date),2) & Right("0" & Day(Date),2) & ".zip"<br />
'1.2 lisand - eeldatavate kaustade massiiv<br />
FolderArray = Array("CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST")<br />
'Rohkem kui järgnev arv päevi vanad failid võetakse töötlusse<br />
FileAge = 3<br />
'FTP ligipääsu andmed<br />
FTPServer = ""<br />
FTPServerPath = ""<br />
FTPServerUser = ""<br />
FTPServerPassword = ""<br />
'Väliste rakenduste pathid<br />
SevenZipPath = Shell.ExpandEnvironmentStrings("%ProgramFiles%") & "\7-Zip\7z.exe"<br />
'Muudatus versioonis 1.1<br />
'CURL viitab tegelikult ncftpput'ile<br />
CURLPath = FileSystemObject.GetSpecialFolder(1) & "\ncftpput.exe"<br />
<br />
<br />
'Kontrolli kas YourView kaust on olemas<br />
If Not FileSystemObject.FolderExists(RootFolder) Then<br />
LogFile.WriteLine Now() & " Kriitline viga! Puudu järgnev oluline kaust: " & RootFolder & " Variable: RootFolder Errorcode: 1"<br />
WScript.quit(1)<br />
End If<br />
'Kontrolli kas 7-Zip on olemas<br />
If Not FileSystemObject.FileExists(SevenZipPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & SevenZipPath & " Variable: SevenZipPath Errorcode: 2"<br />
WScript.quit(2)<br />
End If<br />
'Kontrolli kas CURL on olemas<br />
If Not FileSystemObject.FileExists(CURLPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & CURLPath & " Variable: CURLPath Errorcode: 2"<br />
WScript.quit(3)<br />
End If<br />
<br />
<br />
'Loo edastamise kaustastruktuuur ja liiguta andmed<br />
If Not FileSystemObject.FolderExists(TransferRootFolder) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferRootFolder)<br />
End If<br />
For Each SourceFolder in RootFolder.SubFolders<br />
'Jäta vahele edastuskaust ise<br />
If Not SourceFolder = TransferRootFolder Then<br />
TransferPath = TransferRootFolder & "\" & SourceFolder.Name<br />
If Not FileSystemObject.FolderExists(TransferPath) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferPath)<br />
End If<br />
For Each FileItem in SourceFolder.Files<br />
If DateDiff("d",FileItem.DateLastModified,Now()) > FileAge Then<br />
FileSystemObject.MoveFile SourceFolder & "\" & FileItem.Name , TransferPath & "\" & FileItem.Name<br />
End If<br />
Next<br />
End If<br />
Next<br />
<br />
<br />
'Paki andmed kokku 7Zip kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
SevenZipExec = chr(34) & SevenZipPath & chr(34) & " a -tzip " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34) & " " & chr(34) & TransferRootFolder & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita tsükkel 3 korda<br />
Do While (i<3)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
Run7Zip = Shell.Run(SevenZipExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (Run7Zip = 0) Then Exit Do<br />
'Kui 3 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 4<br />
'Jäta vahele andmete saatmine, kui seda pole niikuinii pakitud<br />
If (i = 2) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga pakkimisel! Proovitud 3 korda pakkida. Errorcode 4 ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
WScript.quit(4)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (Run7Zip = 0) Then LogFile.WriteLine Now() & " Viga pakkimisel! Proovin uuesti. ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
<br />
<br />
'Edasta andmed CURL kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
'Muudatus versioonis 1.1<br />
'Parameetrid on ncftpput jaoks<br />
CURLExec = chr(34) & CURLPath & chr(34) & " -u " & FTPServerUser & " -p " & Base64Decode(FTPServerPassword) & " -T . " & FTPServer & " " & FTPServerPath & " " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita 10 korda<br />
Do While (i<10)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
RunCURL = Shell.Run(CURLExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (RunCURL = 0) Then Exit Do<br />
'Kui 10 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 5<br />
If (i = 9) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga saatmisel! Proovitud 10 korda saata. Errorcode 5 ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
WScript.quit(5)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (RunCURL = 0) Then LogFile.WriteLine Now() & " Viga saatmisel! Proovin uuesti. ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
'Kui kõik ikkagi õnnestus kirjuta logisse maha<br />
LogFile.WriteLine Now() & " Kõik OK!"<br />
<br />
'Eemalda edastatud andmed<br />
FileSystemObject.DeleteFolder TransferRootFolder<br />
'Korista ära ja välju ilma veata<br />
'Lisa 1.2<br />
'Loopib läbi kõik kaustad ning võrdleb neid teadaolevate kaustadega - kui kaust pole teadaolev, kustuta.<br />
'Lisa 1.2a<br />
'Kustutaja välja lülitatud, kuna mõned kaustad teadmata põhjusel kustutatakse valesti<br />
'For Each CleanupFolder in RootFolder.SubFolders<br />
' IsKnownFolder=False<br />
' For Each FolderEntry in FolderArray<br />
' If CleanupFolder = "C:\YourView\" & FolderEntry Then<br />
' IsKnownFolder=True<br />
' End If<br />
' Next<br />
' If IsKnownFolder = False Then<br />
' FileSystemObject.DeleteFolder CleanupFolder<br />
' End If<br />
'Next<br />
WScript.quit()<br />
<br />
'Väline libra Base64 dekodeerimiseks<br />
Function Base64Decode(ByVal base64String)<br />
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"<br />
Dim dataLength, sOut, groupBegin<br />
base64String = Replace(base64String, vbCrLf, "")<br />
base64String = Replace(base64String, vbTab, "")<br />
base64String = Replace(base64String, " ", "")<br />
dataLength = Len(base64String)<br />
If dataLength Mod 4 <> 0 Then<br />
Err.Raise 1, "Base64Decode", "Bad Base64 string."<br />
Exit Function<br />
End If<br />
For groupBegin = 1 To dataLength Step 4<br />
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut<br />
numDataBytes = 3<br />
nGroup = 0<br />
For CharCounter = 0 To 3<br />
thisChar = Mid(base64String, groupBegin + CharCounter, 1)<br />
If thisChar = "=" Then<br />
numDataBytes = numDataBytes - 1<br />
thisData = 0<br />
Else<br />
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1<br />
End If<br />
If thisData = -1 Then<br />
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."<br />
Exit Function<br />
End If<br />
nGroup = 64 * nGroup + thisData<br />
Next<br />
nGroup = Hex(nGroup)<br />
nGroup = String(6 - Len(nGroup), "0") & nGroup<br />
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 5, 2)))<br />
sOut = sOut & Left(pOut, numDataBytes)<br />
Next<br />
Base64Decode = sOut<br />
End Function<br />
</source><br />
[[Category: Skriptimiskeeled]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Skript,_mis_pakib_failid_ja_laeb_ftp_abil_%C3%BCles&diff=61193
Skript, mis pakib failid ja laeb ftp abil üles
2013-02-01T20:26:27Z
<p>Msoomere: </p>
<hr />
<div>=Skript=<br />
Mihkel Soomere (C)<br />
<br />
Allpool on ka VBScript variant, millest PowerShell variant porditi. See skript on VBS variandis ühe spetsiiflise süsteemi logide edastamiseks mõeldud ja live's kasutuses, sellest tulenevalt ei ole see päris universaalne lahendus. Nt logide transpordiks ette valmistamisel on tähtis säilitada emakausta nimi.<br />
==PowerShell==<br />
<source lang="powershell"><br />
<#<br />
.Synopsis<br />
YourView andmete pushija<br />
Edastab YourView logifailid koos struktuuriga FTP'sse kokku Zipituna<br />
Porditud VBS versioonist<br />
Alustatud detsember 2012<br />
Autor Mihkel Soomere<br />
.DESCRIPTION<br />
Skript vajab Zippimiseks: http://pscx.codeplex.com ja FTP laadimiseks http://gallery.technet.microsoft.com/scriptcenter/PowerShell-FTP-Client-db6fe0cb<br />
Testitud PS3 ja W8 peal<br />
ToDo<br />
Kui FTP ebaõnnestus, siis pane fail Queuesse. Järgmisel käivitusel laadi queue failid üles.<br />
.EXAMPLE<br />
YourViewPush.ps1 TallinnHarku<br />
Kasutab jaama nimena TallinnHarku.<br />
.INPUTS<br />
Ainus atribuut on jaama nimi, mis peab koosnema A-Z, a-z, 0-9 märkidest<br />
#><br />
<br />
Param (<br />
[parameter(Mandatory=$true,HelpMessage="Jaama nimes tohib olla sümboleid a-z ja numbreid 0-9")]<br />
[ValidatePattern("^[0-9a-zA-Z]+$")]<br />
[String] $JaamaNimi<br />
) <br />
#Lülida debugimine sisse<br />
#$DebugPreference = "Continue"<br />
<br />
#Debug<br />
Write-Debug ("args.Count " + $args.Count)<br />
Write-Debug ("args " + $args)<br />
<br />
#Logimise käivitamine<br />
$LogFile = $env:TEMP + "\YWPushLog.txt"<br />
Function LogWrite {<br />
Param ([string]$logstring)<br />
Write-Host $logstring<br />
Add-content $Logfile -value ((Get-Date -format "dd.MM.yyyy HH:mm").ToString() + " " + $logstring)<br />
}<br />
<br />
#Debug<br />
Write-Debug ("LogFile " + $LogFile)<br />
<br />
#Muutujate väärtustamine<br />
#Muutumatu, kuna igal pool sama<br />
$YourViewJuurkaust = "C:\YourView"<br />
#Argumendist<br />
$Jaamanimi = $args[0].ToString()<br />
#Kujul YYYYMMDD<br />
$KuuPaev = (Get-Date -Format "yyyyMMdd").ToString()<br />
#Alati jäetakse natuke logisid maha<br />
$MaxFailivanus = 3<br />
$YlekandeKaust = ($Jaamanimi + "-" + $KuuPaev)<br />
$AjutineJuurkaust = ($YourViewJuurkaust + "\" + $YlekandeKaust)<br />
$YlekantavFailiNimi = ($YlekandeKaust + ".zip")<br />
#Implementeerimata<br />
$TeadaolevadKaustad = "CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST"<br />
$FTPServer = ""<br />
$FTPServerTee = ""<br />
$FTPServerKasutaja =""<br />
#Enamvähem turvaline paroolisalvestusviis, et skript ei küsiks FTPga üles laadides parooli<br />
#Parooli salvestamiseks read-host -assecurestring | convertfrom-securestring | out-file C:\yourview\securestring.txt<br />
$FTPServerParool = cat C:\yourview\securestring.txt | convertto-securestring<br />
<br />
#Debug<br />
Write-Debug ("YourViewJuurKaust " + $YourViewJuurKaust)<br />
Write-Debug ("JaamaNimi " + $Jaamanimi)<br />
Write-Debug ("KuuPaev " + $KuuPaev)<br />
Write-Debug ("MaxFailiVanus " + $MaxFailivanus)<br />
Write-Debug ("YlekandeKaust " + $YlekandeKaust)<br />
Write-Debug ("AjutineJuurkaust " + $AjutineJuurkaust)<br />
Write-Debug ("YlekantavFailiNimi " + $YlekantavFailiNimi)<br />
Write-Debug ("TeadaolevadKaustad " + $TeadaolevadKaustad)<br />
<br />
#Liigutab failid koos emakaustaga<br />
Get-ChildItem $YourViewJuurkaust -Directory | ForEach-Object {<br />
Write-Debug ("YourViewChild " + $_.FullName)<br />
Get-ChildItem $_.FullName -Recurse | Where-Object {-not $_.PsIsContainer -and $_.LastWriteTime -lt (Get-Date).AddDays(-$MaxFailivanus) -and $_.Extension -eq ".csv"} | ForEach-Object {<br />
$Destination = ($AjutineJuurkaust + "\" + $_.Directory.Name + "\" + $_.Name)<br />
#Debug<br />
Write-Debug ("Source " + $_.FullName)<br />
Write-Debug ("Destination " + $Destination)<br />
#Workaround, kuna Move-Item ei loo faili liigutamisel pathi ette<br />
New-Item -ItemType Directory -Path ($AjutineJuurkaust + "\" + $_.Directory.Name) -Force<br />
Move-Item $_.FullName -Destination $Destination -Force<br />
}<br />
}<br />
<br />
#Pakib failid kokku<br />
Try{<br />
Write-Zip -Level 9 -IncludeEmptyDirectories -Path ($YourViewJuurkaust + "\" + $YlekandeKaust) -OutputPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 4! Pakkimine ebaõnnestus")<br />
Exit 4<br />
}<br />
<br />
#Edastab ZIPi FTP'ga<br />
Try {<br />
#Creadential objekti on vaja, ses muidu ei saa kuidagi parooli ette anda<br />
$Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist $FTPServerKasutaja,$FTPServerParool<br />
Set-FTPConnection -Credentials $Credential -Server $FTPServer -UseBinary -UsePassive<br />
Add-FTPItem -Path $FTPServerTee -LocalPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi) -Overwrite<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 5! FTP Edastamine ebaõnnestus")<br />
Exit 5<br />
}<br />
<br />
#Kustuta ZIP<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
#Kustuta ajutine kaust<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekandeKaust) -Recurse<br />
<br />
#Exit<br />
LogWrite ("Kõik OK!")<br />
Write-Debug "0"<br />
Exit 0<br />
</source><br />
<br />
==VBScript==<br />
<source lang="vb"><br />
'YourView andmete pushija.<br />
'Alustas Mihkel Soomere augustis 2011.<br />
'Skripti mõte on transportida minutiandmed automaatselt peamajja objektidel, kus pole püsiühendust ega VPNi.<br />
'Sõltuvused on 7-zip ja ncftpput.<br />
'Skript eeldab, et ta leiab asjad määratud kaustadest.<br />
'st 7-zip peab olema arhitektuuripõhine, ncftpput võib olla ka 32b, sest see läheb system32'te<br />
'Testitud Windows 7 peal, kuid peaks töötama kõige peal alates Windows 2000.<br />
<br />
'Kasutamine<br />
'Kopeeri skript ja ncftpput windows\system32 kausta<br />
'Kontorlli, et 7-zip oleks sama, mis operatsioonissüsteemi arhitektuur (alati %programfiles% variable)<br />
'Lisa Task Scheduleri<br />
'Kasutajaks SYSTEM<br />
'Käivita parameetriga jaama nimi.<br />
'Käivita igal pühapäeval kell 00 (üldjuhul UTC)<br />
'Jaama nimi peaks olema ASCII märkidega ja kõik kokku, nt narvajoesuu<br />
<br />
<br />
'Workflow:<br />
'Loo ajutine kaust mis koosneb arvuti nimest ja kuupäevast<br />
'Liiguta määratud ajast vanem sisu YW põhikaustadest ajutisse kausta<br />
'Paki ajutine kaust kokku<br />
'Saada pakitud info ära<br />
'Kustuta ajutised asjad<br />
'Kui midagi vahepeal feilib, skript väljub<br />
'Järgmise käivituse ajal korjab see kokku ka eelmisest käivitusest üle jäänud sodi, pakib selle uuesti kokku ning üritab uuesti ära saata<br />
<br />
'Muudatused<br />
'1.1<br />
'CURL vahetatud ncfptput vastu, muutujad jäävad samaks.<br />
'Failid luuakse argumendist võetava failinimega, lisatud kiire väljumine koodiga 6 argumendi puudumisel<br />
'Logifunktsioon varasemaks toodud, et kontrollida argumendi puudumist<br />
'1.2<br />
'Muudetud saadetavate failide nimekuju kujule YYYYMMDD<br />
'Lisatud koristaja<br />
'1.2a<br />
'Välja lülitatud vigane kustutaja<br />
<br />
'Karm režiim, nõua muutujate defineerimist, aitab debugimisel<br />
Option Explicit<br />
<br />
<br />
'Muutujate loomine<br />
Dim LogFile, Shell, FileSystemObject, RootFolder, SourceFolder, SourceFolderSubfolder, TransferRootFolder, TransferFile, CreateFolderPath, TransferPath, FileAge, FTPServer, FTPServerUser, FTPServerPassword, SevenZipPath, CURLPath, ComputerName, WshNetwork, FileItem, FTPServerPath, SevenZipExec, i, Run7Zip, LogFileAccess, CURLExec, RunCURL, CleanupFolder, FolderArray, FolderEntry, IsKnownFolder<br />
<br />
'Objektide loomine<br />
Set Shell = CreateObject("WScript.Shell")<br />
Set FileSystemObject = CreateObject("Scripting.FileSystemObject")<br />
Set WshNetwork = WScript.CreateObject("WScript.Network")<br />
<br />
'Initsialiseeri logi<br />
'Logifail<br />
LogFile = Shell.ExpandEnvironmentStrings("%TEMP%") & "\YWPushLog.txt"<br />
'Logi funktsioon<br />
Set LogFile = FileSystemObject.OpenTextFile(LogFile,8,True)<br />
<br />
'Atribuudi olemasolu kontroll<br />
If WScript.Arguments.Count < 1 Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu käsurea argument määramaks jaama nimi. Errorcode: 6"<br />
WScript.quit(6)<br />
end If<br />
<br />
'Muutujate määramine<br />
'See on hardcodetud, kuna YourView path on igalpool sama.<br />
Set RootFolder = FileSystemObject.GetFolder("C:\YourView")<br />
'Määrab saatmise kausta tee ja faili<br />
'Muudatus versioonis 1.1<br />
'Algses skrptis kasutati faili jaoks arvuti nime, selletõttu on muutuja ikka ComputerName, kuigi tema sisu on muutunud.<br />
ComputerName = WScript.Arguments.Item(0)<br />
TransferRootFolder = RootFolder & "\" & ComputerName & "-" & Date()<br />
TransferFile = ComputerName & "-" & Year(Date) & Right("0" & Month(Date),2) & Right("0" & Day(Date),2) & ".zip"<br />
'1.2 lisand - eeldatavate kaustade massiiv<br />
FolderArray = Array("CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST")<br />
'Rohkem kui järgnev arv päevi vanad failid võetakse töötlusse<br />
FileAge = 3<br />
'FTP ligipääsu andmed<br />
FTPServer = ""<br />
FTPServerPath = ""<br />
FTPServerUser = ""<br />
FTPServerPassword = ""<br />
'Väliste rakenduste pathid<br />
SevenZipPath = Shell.ExpandEnvironmentStrings("%ProgramFiles%") & "\7-Zip\7z.exe"<br />
'Muudatus versioonis 1.1<br />
'CURL viitab tegelikult ncftpput'ile<br />
CURLPath = FileSystemObject.GetSpecialFolder(1) & "\ncftpput.exe"<br />
<br />
<br />
'Kontrolli kas YourView kaust on olemas<br />
If Not FileSystemObject.FolderExists(RootFolder) Then<br />
LogFile.WriteLine Now() & " Kriitline viga! Puudu järgnev oluline kaust: " & RootFolder & " Variable: RootFolder Errorcode: 1"<br />
WScript.quit(1)<br />
End If<br />
'Kontrolli kas 7-Zip on olemas<br />
If Not FileSystemObject.FileExists(SevenZipPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & SevenZipPath & " Variable: SevenZipPath Errorcode: 2"<br />
WScript.quit(2)<br />
End If<br />
'Kontrolli kas CURL on olemas<br />
If Not FileSystemObject.FileExists(CURLPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & CURLPath & " Variable: CURLPath Errorcode: 2"<br />
WScript.quit(3)<br />
End If<br />
<br />
<br />
'Loo edastamise kaustastruktuuur ja liiguta andmed<br />
If Not FileSystemObject.FolderExists(TransferRootFolder) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferRootFolder)<br />
End If<br />
For Each SourceFolder in RootFolder.SubFolders<br />
'Jäta vahele edastuskaust ise<br />
If Not SourceFolder = TransferRootFolder Then<br />
TransferPath = TransferRootFolder & "\" & SourceFolder.Name<br />
If Not FileSystemObject.FolderExists(TransferPath) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferPath)<br />
End If<br />
For Each FileItem in SourceFolder.Files<br />
If DateDiff("d",FileItem.DateLastModified,Now()) > FileAge Then<br />
FileSystemObject.MoveFile SourceFolder & "\" & FileItem.Name , TransferPath & "\" & FileItem.Name<br />
End If<br />
Next<br />
End If<br />
Next<br />
<br />
<br />
'Paki andmed kokku 7Zip kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
SevenZipExec = chr(34) & SevenZipPath & chr(34) & " a -tzip " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34) & " " & chr(34) & TransferRootFolder & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita tsükkel 3 korda<br />
Do While (i<3)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
Run7Zip = Shell.Run(SevenZipExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (Run7Zip = 0) Then Exit Do<br />
'Kui 3 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 4<br />
'Jäta vahele andmete saatmine, kui seda pole niikuinii pakitud<br />
If (i = 2) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga pakkimisel! Proovitud 3 korda pakkida. Errorcode 4 ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
WScript.quit(4)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (Run7Zip = 0) Then LogFile.WriteLine Now() & " Viga pakkimisel! Proovin uuesti. ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
<br />
<br />
'Edasta andmed CURL kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
'Muudatus versioonis 1.1<br />
'Parameetrid on ncftpput jaoks<br />
CURLExec = chr(34) & CURLPath & chr(34) & " -u " & FTPServerUser & " -p " & Base64Decode(FTPServerPassword) & " -T . " & FTPServer & " " & FTPServerPath & " " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita 10 korda<br />
Do While (i<10)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
RunCURL = Shell.Run(CURLExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (RunCURL = 0) Then Exit Do<br />
'Kui 10 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 5<br />
If (i = 9) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga saatmisel! Proovitud 10 korda saata. Errorcode 5 ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
WScript.quit(5)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (RunCURL = 0) Then LogFile.WriteLine Now() & " Viga saatmisel! Proovin uuesti. ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
'Kui kõik ikkagi õnnestus kirjuta logisse maha<br />
LogFile.WriteLine Now() & " Kõik OK!"<br />
<br />
'Eemalda edastatud andmed<br />
FileSystemObject.DeleteFolder TransferRootFolder<br />
'Korista ära ja välju ilma veata<br />
'Lisa 1.2<br />
'Loopib läbi kõik kaustad ning võrdleb neid teadaolevate kaustadega - kui kaust pole teadaolev, kustuta.<br />
'Lisa 1.2a<br />
'Kustutaja välja lülitatud, kuna mõned kaustad teadmata põhjusel kustutatakse valesti<br />
'For Each CleanupFolder in RootFolder.SubFolders<br />
' IsKnownFolder=False<br />
' For Each FolderEntry in FolderArray<br />
' If CleanupFolder = "C:\YourView\" & FolderEntry Then<br />
' IsKnownFolder=True<br />
' End If<br />
' Next<br />
' If IsKnownFolder = False Then<br />
' FileSystemObject.DeleteFolder CleanupFolder<br />
' End If<br />
'Next<br />
WScript.quit()<br />
<br />
'Väline libra Base64 dekodeerimiseks<br />
Function Base64Decode(ByVal base64String)<br />
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"<br />
Dim dataLength, sOut, groupBegin<br />
base64String = Replace(base64String, vbCrLf, "")<br />
base64String = Replace(base64String, vbTab, "")<br />
base64String = Replace(base64String, " ", "")<br />
dataLength = Len(base64String)<br />
If dataLength Mod 4 <> 0 Then<br />
Err.Raise 1, "Base64Decode", "Bad Base64 string."<br />
Exit Function<br />
End If<br />
For groupBegin = 1 To dataLength Step 4<br />
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut<br />
numDataBytes = 3<br />
nGroup = 0<br />
For CharCounter = 0 To 3<br />
thisChar = Mid(base64String, groupBegin + CharCounter, 1)<br />
If thisChar = "=" Then<br />
numDataBytes = numDataBytes - 1<br />
thisData = 0<br />
Else<br />
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1<br />
End If<br />
If thisData = -1 Then<br />
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."<br />
Exit Function<br />
End If<br />
nGroup = 64 * nGroup + thisData<br />
Next<br />
nGroup = Hex(nGroup)<br />
nGroup = String(6 - Len(nGroup), "0") & nGroup<br />
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 5, 2)))<br />
sOut = sOut & Left(pOut, numDataBytes)<br />
Next<br />
Base64Decode = sOut<br />
End Function<br />
</source><br />
[[Category: Skriptimiskeeled]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Skript,_mis_pakib_failid_ja_laeb_ftp_abil_%C3%BCles&diff=61191
Skript, mis pakib failid ja laeb ftp abil üles
2013-02-01T20:23:49Z
<p>Msoomere: </p>
<hr />
<div>=Skript=<br />
Mihkel Soomere (C)<br />
<br />
Allpool on ka VBScript variant, millest PowerShell variant porditi. See skript on VBS variandis ühe spetsiiflise süsteemi logide edastamiseks mõeldud ja live's kasutuses, sellest tulenevalt ei ole see päris universaalne lahendus. Nt logide transpordiks ette valmistamisel on tähtis säilitada emakausta nimi.<br />
==PowerShell==<br />
<source lang="powershell"><br />
<#<br />
.Synopsis<br />
YourView andmete pushija<br />
Edastab YourView logifailid koos struktuuriga FTP'sse kokku Zipituna<br />
Porditud VBS versioonist<br />
Alustatud detsember 2012<br />
Autor Mihkel Soomere<br />
.DESCRIPTION<br />
Skript vajab Zippimiseks: http://pscx.codeplex.com ja FTP laadimiseks http://gallery.technet.microsoft.com/scriptcenter/PowerShell-FTP-Client-db6fe0cb<br />
Testitud PS3 ja W8 peal<br />
ToDo<br />
Kui FTP ebaõnnestus, siis pane fail Queuesse. Järgmisel käivitusel laadi queue failid üles.<br />
.EXAMPLE<br />
YourViewPush.ps1 TallinnHarku<br />
Kasutab jaama nimena TallinnHarku.<br />
.INPUTS<br />
Ainus atribuut on jaama nimi, mis peab koosnema A-Z, a-z, 0-9 märkidest<br />
#><br />
Param (<br />
[parameter(Mandatory=$true,HelpMessage="Jaama nimes tohib olla sümboleid a-z ja numbreid 0-9")]<br />
[ValidatePattern("^[0-9a-zA-Z]+$")]<br />
[String] $JaamaNimi<br />
) <br />
#Lülida debugimine sisse<br />
#$DebugPreference = "Continue"<br />
<br />
#Debug<br />
Write-Debug ("args.Count " + $args.Count)<br />
Write-Debug ("args " + $args)<br />
<br />
#Logimise käivitamine<br />
$LogFile = $env:TEMP + "\YWPushLog.txt"<br />
Function LogWrite {<br />
Param ([string]$logstring)<br />
Write-Host $logstring<br />
Add-content $Logfile -value ((Get-Date -format "dd.MM.yyyy HH:mm").ToString() + " " + $logstring)<br />
}<br />
<br />
#Debug<br />
Write-Debug ("LogFile " + $LogFile)<br />
<br />
#Parameetrite arvu kontroll<br />
#If ($args.Count -ne 1) {<br />
# LogWrite ("Viga 6! Puudu käsurea argument määramaks jaama nimi või liiga palju parameetreid")<br />
# Exit 6<br />
#}<br />
<br />
#Parameetri valideerimine<br />
#foreach ($char in $args[0].ToString().GetEnumerator()) {<br />
# if (![System.Char]::IsLetterOrDigit($char)) {<br />
# LogWrite ("Viga 7! Jaama nimi ei ole a-z,A-Z,0-9")<br />
# Exit 7<br />
# }<br />
#}<br />
<br />
#Muutujate väärtustamine<br />
#Muutumatu, kuna igal pool sama<br />
$YourViewJuurkaust = "C:\YourView"<br />
#Argumendist<br />
$Jaamanimi = $args[0].ToString()<br />
#Kujul YYYYMMDD<br />
$KuuPaev = (Get-Date -Format "yyyyMMdd").ToString()<br />
#Alati jäetakse natuke logisid maha<br />
$MaxFailivanus = 3<br />
$YlekandeKaust = ($Jaamanimi + "-" + $KuuPaev)<br />
$AjutineJuurkaust = ($YourViewJuurkaust + "\" + $YlekandeKaust)<br />
$YlekantavFailiNimi = ($YlekandeKaust + ".zip")<br />
#Implementeerimata<br />
$TeadaolevadKaustad = "CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST"<br />
$FTPServer = ""<br />
$FTPServerTee = ""<br />
$FTPServerKasutaja =""<br />
#Enamvähem turvaline paroolisalvestusviis, et skript ei küsiks FTPga üles laadides parooli<br />
#Parooli salvestamiseks read-host -assecurestring | convertfrom-securestring | out-file C:\yourview\securestring.txt<br />
$FTPServerParool = cat C:\yourview\securestring.txt | convertto-securestring<br />
<br />
#Debug<br />
Write-Debug ("YourViewJuurKaust " + $YourViewJuurKaust)<br />
Write-Debug ("JaamaNimi " + $Jaamanimi)<br />
Write-Debug ("KuuPaev " + $KuuPaev)<br />
Write-Debug ("MaxFailiVanus " + $MaxFailivanus)<br />
Write-Debug ("YlekandeKaust " + $YlekandeKaust)<br />
Write-Debug ("AjutineJuurkaust " + $AjutineJuurkaust)<br />
Write-Debug ("YlekantavFailiNimi " + $YlekantavFailiNimi)<br />
Write-Debug ("TeadaolevadKaustad " + $TeadaolevadKaustad)<br />
<br />
#Liigutab failid koos emakaustaga<br />
Get-ChildItem $YourViewJuurkaust -Directory | ForEach-Object {<br />
Write-Debug ("YourViewChild " + $_.FullName)<br />
Get-ChildItem $_.FullName -Recurse | Where-Object {-not $_.PsIsContainer -and $_.LastWriteTime -lt (Get-Date).AddDays(-$MaxFailivanus) -and $_.Extension -eq ".csv"} | ForEach-Object {<br />
$Destination = ($AjutineJuurkaust + "\" + $_.Directory.Name + "\" + $_.Name)<br />
#Debug<br />
Write-Debug ("Source " + $_.FullName)<br />
Write-Debug ("Destination " + $Destination)<br />
#Workaround, kuna Move-Item ei loo faili liigutamisel pathi ette<br />
New-Item -ItemType Directory -Path ($AjutineJuurkaust + "\" + $_.Directory.Name) -Force<br />
Move-Item $_.FullName -Destination $Destination -Force<br />
}<br />
}<br />
<br />
#Pakib failid kokku<br />
Try{<br />
Write-Zip -Level 9 -IncludeEmptyDirectories -Path ($YourViewJuurkaust + "\" + $YlekandeKaust) -OutputPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 4! Pakkimine ebaõnnestus")<br />
Exit 4<br />
}<br />
<br />
#Edastab ZIPi FTP'ga<br />
Try {<br />
#Creadential objekti on vaja, ses muidu ei saa kuidagi parooli ette anda<br />
$Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist $FTPServerKasutaja,$FTPServerParool<br />
Set-FTPConnection -Credentials $Credential -Server $FTPServer -UseBinary -UsePassive<br />
Add-FTPItem -Path $FTPServerTee -LocalPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi) -Overwrite<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 5! FTP Edastamine ebaõnnestus")<br />
Exit 5<br />
}<br />
<br />
#Kustuta ZIP<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
#Kustuta ajutine kaust<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekandeKaust) -Recurse<br />
<br />
#Exit<br />
LogWrite ("Kõik OK!")<br />
Write-Debug "0"<br />
Exit 0<br />
</source><br />
==VBScript==<br />
<source lang="vb"><br />
'YourView andmete pushija.<br />
'Alustas Mihkel Soomere augustis 2011.<br />
'Skripti mõte on transportida minutiandmed automaatselt peamajja objektidel, kus pole püsiühendust ega VPNi.<br />
'Sõltuvused on 7-zip ja ncftpput.<br />
'Skript eeldab, et ta leiab asjad määratud kaustadest.<br />
'st 7-zip peab olema arhitektuuripõhine, ncftpput võib olla ka 32b, sest see läheb system32'te<br />
'Testitud Windows 7 peal, kuid peaks töötama kõige peal alates Windows 2000.<br />
<br />
'Kasutamine<br />
'Kopeeri skript ja ncftpput windows\system32 kausta<br />
'Kontorlli, et 7-zip oleks sama, mis operatsioonissüsteemi arhitektuur (alati %programfiles% variable)<br />
'Lisa Task Scheduleri<br />
'Kasutajaks SYSTEM<br />
'Käivita parameetriga jaama nimi.<br />
'Käivita igal pühapäeval kell 00 (üldjuhul UTC)<br />
'Jaama nimi peaks olema ASCII märkidega ja kõik kokku, nt narvajoesuu<br />
<br />
<br />
'Workflow:<br />
'Loo ajutine kaust mis koosneb arvuti nimest ja kuupäevast<br />
'Liiguta määratud ajast vanem sisu YW põhikaustadest ajutisse kausta<br />
'Paki ajutine kaust kokku<br />
'Saada pakitud info ära<br />
'Kustuta ajutised asjad<br />
'Kui midagi vahepeal feilib, skript väljub<br />
'Järgmise käivituse ajal korjab see kokku ka eelmisest käivitusest üle jäänud sodi, pakib selle uuesti kokku ning üritab uuesti ära saata<br />
<br />
'Muudatused<br />
'1.1<br />
'CURL vahetatud ncfptput vastu, muutujad jäävad samaks.<br />
'Failid luuakse argumendist võetava failinimega, lisatud kiire väljumine koodiga 6 argumendi puudumisel<br />
'Logifunktsioon varasemaks toodud, et kontrollida argumendi puudumist<br />
'1.2<br />
'Muudetud saadetavate failide nimekuju kujule YYYYMMDD<br />
'Lisatud koristaja<br />
'1.2a<br />
'Välja lülitatud vigane kustutaja<br />
<br />
'Karm režiim, nõua muutujate defineerimist, aitab debugimisel<br />
Option Explicit<br />
<br />
<br />
'Muutujate loomine<br />
Dim LogFile, Shell, FileSystemObject, RootFolder, SourceFolder, SourceFolderSubfolder, TransferRootFolder, TransferFile, CreateFolderPath, TransferPath, FileAge, FTPServer, FTPServerUser, FTPServerPassword, SevenZipPath, CURLPath, ComputerName, WshNetwork, FileItem, FTPServerPath, SevenZipExec, i, Run7Zip, LogFileAccess, CURLExec, RunCURL, CleanupFolder, FolderArray, FolderEntry, IsKnownFolder<br />
<br />
'Objektide loomine<br />
Set Shell = CreateObject("WScript.Shell")<br />
Set FileSystemObject = CreateObject("Scripting.FileSystemObject")<br />
Set WshNetwork = WScript.CreateObject("WScript.Network")<br />
<br />
'Initsialiseeri logi<br />
'Logifail<br />
LogFile = Shell.ExpandEnvironmentStrings("%TEMP%") & "\YWPushLog.txt"<br />
'Logi funktsioon<br />
Set LogFile = FileSystemObject.OpenTextFile(LogFile,8,True)<br />
<br />
'Atribuudi olemasolu kontroll<br />
If WScript.Arguments.Count < 1 Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu käsurea argument määramaks jaama nimi. Errorcode: 6"<br />
WScript.quit(6)<br />
end If<br />
<br />
'Muutujate määramine<br />
'See on hardcodetud, kuna YourView path on igalpool sama.<br />
Set RootFolder = FileSystemObject.GetFolder("C:\YourView")<br />
'Määrab saatmise kausta tee ja faili<br />
'Muudatus versioonis 1.1<br />
'Algses skrptis kasutati faili jaoks arvuti nime, selletõttu on muutuja ikka ComputerName, kuigi tema sisu on muutunud.<br />
ComputerName = WScript.Arguments.Item(0)<br />
TransferRootFolder = RootFolder & "\" & ComputerName & "-" & Date()<br />
TransferFile = ComputerName & "-" & Year(Date) & Right("0" & Month(Date),2) & Right("0" & Day(Date),2) & ".zip"<br />
'1.2 lisand - eeldatavate kaustade massiiv<br />
FolderArray = Array("CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST")<br />
'Rohkem kui järgnev arv päevi vanad failid võetakse töötlusse<br />
FileAge = 3<br />
'FTP ligipääsu andmed<br />
FTPServer = ""<br />
FTPServerPath = ""<br />
FTPServerUser = ""<br />
FTPServerPassword = ""<br />
'Väliste rakenduste pathid<br />
SevenZipPath = Shell.ExpandEnvironmentStrings("%ProgramFiles%") & "\7-Zip\7z.exe"<br />
'Muudatus versioonis 1.1<br />
'CURL viitab tegelikult ncftpput'ile<br />
CURLPath = FileSystemObject.GetSpecialFolder(1) & "\ncftpput.exe"<br />
<br />
<br />
'Kontrolli kas YourView kaust on olemas<br />
If Not FileSystemObject.FolderExists(RootFolder) Then<br />
LogFile.WriteLine Now() & " Kriitline viga! Puudu järgnev oluline kaust: " & RootFolder & " Variable: RootFolder Errorcode: 1"<br />
WScript.quit(1)<br />
End If<br />
'Kontrolli kas 7-Zip on olemas<br />
If Not FileSystemObject.FileExists(SevenZipPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & SevenZipPath & " Variable: SevenZipPath Errorcode: 2"<br />
WScript.quit(2)<br />
End If<br />
'Kontrolli kas CURL on olemas<br />
If Not FileSystemObject.FileExists(CURLPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & CURLPath & " Variable: CURLPath Errorcode: 2"<br />
WScript.quit(3)<br />
End If<br />
<br />
<br />
'Loo edastamise kaustastruktuuur ja liiguta andmed<br />
If Not FileSystemObject.FolderExists(TransferRootFolder) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferRootFolder)<br />
End If<br />
For Each SourceFolder in RootFolder.SubFolders<br />
'Jäta vahele edastuskaust ise<br />
If Not SourceFolder = TransferRootFolder Then<br />
TransferPath = TransferRootFolder & "\" & SourceFolder.Name<br />
If Not FileSystemObject.FolderExists(TransferPath) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferPath)<br />
End If<br />
For Each FileItem in SourceFolder.Files<br />
If DateDiff("d",FileItem.DateLastModified,Now()) > FileAge Then<br />
FileSystemObject.MoveFile SourceFolder & "\" & FileItem.Name , TransferPath & "\" & FileItem.Name<br />
End If<br />
Next<br />
End If<br />
Next<br />
<br />
<br />
'Paki andmed kokku 7Zip kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
SevenZipExec = chr(34) & SevenZipPath & chr(34) & " a -tzip " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34) & " " & chr(34) & TransferRootFolder & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita tsükkel 3 korda<br />
Do While (i<3)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
Run7Zip = Shell.Run(SevenZipExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (Run7Zip = 0) Then Exit Do<br />
'Kui 3 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 4<br />
'Jäta vahele andmete saatmine, kui seda pole niikuinii pakitud<br />
If (i = 2) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga pakkimisel! Proovitud 3 korda pakkida. Errorcode 4 ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
WScript.quit(4)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (Run7Zip = 0) Then LogFile.WriteLine Now() & " Viga pakkimisel! Proovin uuesti. ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
<br />
<br />
'Edasta andmed CURL kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
'Muudatus versioonis 1.1<br />
'Parameetrid on ncftpput jaoks<br />
CURLExec = chr(34) & CURLPath & chr(34) & " -u " & FTPServerUser & " -p " & Base64Decode(FTPServerPassword) & " -T . " & FTPServer & " " & FTPServerPath & " " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita 10 korda<br />
Do While (i<10)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
RunCURL = Shell.Run(CURLExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (RunCURL = 0) Then Exit Do<br />
'Kui 10 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 5<br />
If (i = 9) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga saatmisel! Proovitud 10 korda saata. Errorcode 5 ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
WScript.quit(5)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (RunCURL = 0) Then LogFile.WriteLine Now() & " Viga saatmisel! Proovin uuesti. ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
'Kui kõik ikkagi õnnestus kirjuta logisse maha<br />
LogFile.WriteLine Now() & " Kõik OK!"<br />
<br />
'Eemalda edastatud andmed<br />
FileSystemObject.DeleteFolder TransferRootFolder<br />
'Korista ära ja välju ilma veata<br />
'Lisa 1.2<br />
'Loopib läbi kõik kaustad ning võrdleb neid teadaolevate kaustadega - kui kaust pole teadaolev, kustuta.<br />
'Lisa 1.2a<br />
'Kustutaja välja lülitatud, kuna mõned kaustad teadmata põhjusel kustutatakse valesti<br />
'For Each CleanupFolder in RootFolder.SubFolders<br />
' IsKnownFolder=False<br />
' For Each FolderEntry in FolderArray<br />
' If CleanupFolder = "C:\YourView\" & FolderEntry Then<br />
' IsKnownFolder=True<br />
' End If<br />
' Next<br />
' If IsKnownFolder = False Then<br />
' FileSystemObject.DeleteFolder CleanupFolder<br />
' End If<br />
'Next<br />
WScript.quit()<br />
<br />
'Väline libra Base64 dekodeerimiseks<br />
Function Base64Decode(ByVal base64String)<br />
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"<br />
Dim dataLength, sOut, groupBegin<br />
base64String = Replace(base64String, vbCrLf, "")<br />
base64String = Replace(base64String, vbTab, "")<br />
base64String = Replace(base64String, " ", "")<br />
dataLength = Len(base64String)<br />
If dataLength Mod 4 <> 0 Then<br />
Err.Raise 1, "Base64Decode", "Bad Base64 string."<br />
Exit Function<br />
End If<br />
For groupBegin = 1 To dataLength Step 4<br />
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut<br />
numDataBytes = 3<br />
nGroup = 0<br />
For CharCounter = 0 To 3<br />
thisChar = Mid(base64String, groupBegin + CharCounter, 1)<br />
If thisChar = "=" Then<br />
numDataBytes = numDataBytes - 1<br />
thisData = 0<br />
Else<br />
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1<br />
End If<br />
If thisData = -1 Then<br />
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."<br />
Exit Function<br />
End If<br />
nGroup = 64 * nGroup + thisData<br />
Next<br />
nGroup = Hex(nGroup)<br />
nGroup = String(6 - Len(nGroup), "0") & nGroup<br />
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 5, 2)))<br />
sOut = sOut & Left(pOut, numDataBytes)<br />
Next<br />
Base64Decode = sOut<br />
End Function<br />
</source><br />
[[Category: Skriptimiskeeled]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Skript,_mis_pakib_failid_ja_laeb_ftp_abil_%C3%BCles&diff=61190
Skript, mis pakib failid ja laeb ftp abil üles
2013-02-01T20:18:10Z
<p>Msoomere: Created page with '=Skript= Mihkel Soomere (C) Allpool on ka VBScript variant, millest PowerShell variant porditi. ==PowerShell== <source lang="powershell"> <# .Synopsis YourView andmete pushija E…'</p>
<hr />
<div>=Skript=<br />
Mihkel Soomere (C)<br />
Allpool on ka VBScript variant, millest PowerShell variant porditi.<br />
==PowerShell==<br />
<source lang="powershell"><br />
<#<br />
.Synopsis<br />
YourView andmete pushija<br />
Edastab YourView logifailid koos struktuuriga FTP'sse kokku Zipituna<br />
Porditud VBS versioonist<br />
Alustatud detsember 2012<br />
Autor Mihkel Soomere<br />
.DESCRIPTION<br />
Skript vajab Zippimiseks: http://pscx.codeplex.com ja FTP laadimiseks http://gallery.technet.microsoft.com/scriptcenter/PowerShell-FTP-Client-db6fe0cb<br />
Testitud PS3 ja W8 peal<br />
ToDo<br />
Kui FTP ebaõnnestus, siis pane fail Queuesse. Järgmisel käivitusel laadi queue failid üles.<br />
.EXAMPLE<br />
YourViewPush.ps1 TallinnHarku<br />
Kasutab jaama nimena TallinnHarku.<br />
.INPUTS<br />
Ainus atribuut on jaama nimi, mis peab koosnema A-Z, a-z, 0-9 märkidest<br />
#><br />
Param (<br />
[parameter(Mandatory=$true,HelpMessage="Jaama nimes tohib olla sümboleid a-z ja numbreid 0-9")]<br />
[ValidatePattern("^[0-9a-zA-Z]+$")]<br />
[String] $JaamaNimi<br />
) <br />
#Lülida debugimine sisse<br />
#$DebugPreference = "Continue"<br />
<br />
#Debug<br />
Write-Debug ("args.Count " + $args.Count)<br />
Write-Debug ("args " + $args)<br />
<br />
#Logimise käivitamine<br />
$LogFile = $env:TEMP + "\YWPushLog.txt"<br />
Function LogWrite {<br />
Param ([string]$logstring)<br />
Write-Host $logstring<br />
Add-content $Logfile -value ((Get-Date -format "dd.MM.yyyy HH:mm").ToString() + " " + $logstring)<br />
}<br />
<br />
#Debug<br />
Write-Debug ("LogFile " + $LogFile)<br />
<br />
#Parameetrite arvu kontroll<br />
#If ($args.Count -ne 1) {<br />
# LogWrite ("Viga 6! Puudu käsurea argument määramaks jaama nimi või liiga palju parameetreid")<br />
# Exit 6<br />
#}<br />
<br />
#Parameetri valideerimine<br />
#foreach ($char in $args[0].ToString().GetEnumerator()) {<br />
# if (![System.Char]::IsLetterOrDigit($char)) {<br />
# LogWrite ("Viga 7! Jaama nimi ei ole a-z,A-Z,0-9")<br />
# Exit 7<br />
# }<br />
#}<br />
<br />
#Muutujate väärtustamine<br />
#Muutumatu, kuna igal pool sama<br />
$YourViewJuurkaust = "C:\YourView"<br />
#Argumendist<br />
$Jaamanimi = $args[0].ToString()<br />
#Kujul YYYYMMDD<br />
$KuuPaev = (Get-Date -Format "yyyyMMdd").ToString()<br />
#Alati jäetakse natuke logisid maha<br />
$MaxFailivanus = 3<br />
$YlekandeKaust = ($Jaamanimi + "-" + $KuuPaev)<br />
$AjutineJuurkaust = ($YourViewJuurkaust + "\" + $YlekandeKaust)<br />
$YlekantavFailiNimi = ($YlekandeKaust + ".zip")<br />
#Implementeerimata<br />
$TeadaolevadKaustad = "CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST"<br />
$FTPServer = ""<br />
$FTPServerTee = ""<br />
$FTPServerKasutaja =""<br />
#Enamvähem turvaline paroolisalvestusviis, et skript ei küsiks FTPga üles laadides parooli<br />
#Parooli salvestamiseks read-host -assecurestring | convertfrom-securestring | out-file C:\yourview\securestring.txt<br />
$FTPServerParool = cat C:\yourview\securestring.txt | convertto-securestring<br />
<br />
#Debug<br />
Write-Debug ("YourViewJuurKaust " + $YourViewJuurKaust)<br />
Write-Debug ("JaamaNimi " + $Jaamanimi)<br />
Write-Debug ("KuuPaev " + $KuuPaev)<br />
Write-Debug ("MaxFailiVanus " + $MaxFailivanus)<br />
Write-Debug ("YlekandeKaust " + $YlekandeKaust)<br />
Write-Debug ("AjutineJuurkaust " + $AjutineJuurkaust)<br />
Write-Debug ("YlekantavFailiNimi " + $YlekantavFailiNimi)<br />
Write-Debug ("TeadaolevadKaustad " + $TeadaolevadKaustad)<br />
<br />
#Liigutab failid koos emakaustaga<br />
Get-ChildItem $YourViewJuurkaust -Directory | ForEach-Object {<br />
Write-Debug ("YourViewChild " + $_.FullName)<br />
Get-ChildItem $_.FullName -Recurse | Where-Object {-not $_.PsIsContainer -and $_.LastWriteTime -lt (Get-Date).AddDays(-$MaxFailivanus) -and $_.Extension -eq ".csv"} | ForEach-Object {<br />
$Destination = ($AjutineJuurkaust + "\" + $_.Directory.Name + "\" + $_.Name)<br />
#Debug<br />
Write-Debug ("Source " + $_.FullName)<br />
Write-Debug ("Destination " + $Destination)<br />
#Workaround, kuna Move-Item ei loo faili liigutamisel pathi ette<br />
New-Item -ItemType Directory -Path ($AjutineJuurkaust + "\" + $_.Directory.Name) -Force<br />
Move-Item $_.FullName -Destination $Destination -Force<br />
}<br />
}<br />
<br />
#Pakib failid kokku<br />
Try{<br />
Write-Zip -Level 9 -IncludeEmptyDirectories -Path ($YourViewJuurkaust + "\" + $YlekandeKaust) -OutputPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 4! Pakkimine ebaõnnestus")<br />
Exit 4<br />
}<br />
<br />
#Edastab ZIPi FTP'ga<br />
Try {<br />
#Creadential objekti on vaja, ses muidu ei saa kuidagi parooli ette anda<br />
$Credential = new-object -typename System.Management.Automation.PSCredential -argumentlist $FTPServerKasutaja,$FTPServerParool<br />
Set-FTPConnection -Credentials $Credential -Server $FTPServer -UseBinary -UsePassive<br />
Add-FTPItem -Path $FTPServerTee -LocalPath ($YourViewJuurkaust + "\" + $YlekantavFailiNimi) -Overwrite<br />
}<br />
Catch [system.exception] {<br />
LogWrite ("Viga 5! FTP Edastamine ebaõnnestus")<br />
Exit 5<br />
}<br />
<br />
#Kustuta ZIP<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekantavFailiNimi)<br />
#Kustuta ajutine kaust<br />
Remove-Item ($YourViewJuurkaust + "\" + $YlekandeKaust) -Recurse<br />
<br />
#Exit<br />
LogWrite ("Kõik OK!")<br />
Write-Debug "0"<br />
Exit 0<br />
</source><br />
==VBScript==<br />
<source lang="vb"><br />
'YourView andmete pushija.<br />
'Alustas Mihkel Soomere augustis 2011.<br />
'Skripti mõte on transportida minutiandmed automaatselt peamajja objektidel, kus pole püsiühendust ega VPNi.<br />
'Sõltuvused on 7-zip ja ncftpput.<br />
'Skript eeldab, et ta leiab asjad määratud kaustadest.<br />
'st 7-zip peab olema arhitektuuripõhine, ncftpput võib olla ka 32b, sest see läheb system32'te<br />
'Testitud Windows 7 peal, kuid peaks töötama kõige peal alates Windows 2000.<br />
<br />
'Kasutamine<br />
'Kopeeri skript ja ncftpput windows\system32 kausta<br />
'Kontorlli, et 7-zip oleks sama, mis operatsioonissüsteemi arhitektuur (alati %programfiles% variable)<br />
'Lisa Task Scheduleri<br />
'Kasutajaks SYSTEM<br />
'Käivita parameetriga jaama nimi.<br />
'Käivita igal pühapäeval kell 00 (üldjuhul UTC)<br />
'Jaama nimi peaks olema ASCII märkidega ja kõik kokku, nt narvajoesuu<br />
<br />
<br />
'Workflow:<br />
'Loo ajutine kaust mis koosneb arvuti nimest ja kuupäevast<br />
'Liiguta määratud ajast vanem sisu YW põhikaustadest ajutisse kausta<br />
'Paki ajutine kaust kokku<br />
'Saada pakitud info ära<br />
'Kustuta ajutised asjad<br />
'Kui midagi vahepeal feilib, skript väljub<br />
'Järgmise käivituse ajal korjab see kokku ka eelmisest käivitusest üle jäänud sodi, pakib selle uuesti kokku ning üritab uuesti ära saata<br />
<br />
'Muudatused<br />
'1.1<br />
'CURL vahetatud ncfptput vastu, muutujad jäävad samaks.<br />
'Failid luuakse argumendist võetava failinimega, lisatud kiire väljumine koodiga 6 argumendi puudumisel<br />
'Logifunktsioon varasemaks toodud, et kontrollida argumendi puudumist<br />
'1.2<br />
'Muudetud saadetavate failide nimekuju kujule YYYYMMDD<br />
'Lisatud koristaja<br />
'1.2a<br />
'Välja lülitatud vigane kustutaja<br />
<br />
'Karm režiim, nõua muutujate defineerimist, aitab debugimisel<br />
Option Explicit<br />
<br />
<br />
'Muutujate loomine<br />
Dim LogFile, Shell, FileSystemObject, RootFolder, SourceFolder, SourceFolderSubfolder, TransferRootFolder, TransferFile, CreateFolderPath, TransferPath, FileAge, FTPServer, FTPServerUser, FTPServerPassword, SevenZipPath, CURLPath, ComputerName, WshNetwork, FileItem, FTPServerPath, SevenZipExec, i, Run7Zip, LogFileAccess, CURLExec, RunCURL, CleanupFolder, FolderArray, FolderEntry, IsKnownFolder<br />
<br />
'Objektide loomine<br />
Set Shell = CreateObject("WScript.Shell")<br />
Set FileSystemObject = CreateObject("Scripting.FileSystemObject")<br />
Set WshNetwork = WScript.CreateObject("WScript.Network")<br />
<br />
'Initsialiseeri logi<br />
'Logifail<br />
LogFile = Shell.ExpandEnvironmentStrings("%TEMP%") & "\YWPushLog.txt"<br />
'Logi funktsioon<br />
Set LogFile = FileSystemObject.OpenTextFile(LogFile,8,True)<br />
<br />
'Atribuudi olemasolu kontroll<br />
If WScript.Arguments.Count < 1 Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu käsurea argument määramaks jaama nimi. Errorcode: 6"<br />
WScript.quit(6)<br />
end If<br />
<br />
'Muutujate määramine<br />
'See on hardcodetud, kuna YourView path on igalpool sama.<br />
Set RootFolder = FileSystemObject.GetFolder("C:\YourView")<br />
'Määrab saatmise kausta tee ja faili<br />
'Muudatus versioonis 1.1<br />
'Algses skrptis kasutati faili jaoks arvuti nime, selletõttu on muutuja ikka ComputerName, kuigi tema sisu on muutunud.<br />
ComputerName = WScript.Arguments.Item(0)<br />
TransferRootFolder = RootFolder & "\" & ComputerName & "-" & Date()<br />
TransferFile = ComputerName & "-" & Year(Date) & Right("0" & Month(Date),2) & Right("0" & Day(Date),2) & ".zip"<br />
'1.2 lisand - eeldatavate kaustade massiiv<br />
FolderArray = Array("CT","FD","PTU","SR","TG","WA","WIND","CT25K","FD12P","PTU_INST","SR_INST","TG_INST")<br />
'Rohkem kui järgnev arv päevi vanad failid võetakse töötlusse<br />
FileAge = 3<br />
'FTP ligipääsu andmed<br />
FTPServer = ""<br />
FTPServerPath = ""<br />
FTPServerUser = ""<br />
FTPServerPassword = ""<br />
'Väliste rakenduste pathid<br />
SevenZipPath = Shell.ExpandEnvironmentStrings("%ProgramFiles%") & "\7-Zip\7z.exe"<br />
'Muudatus versioonis 1.1<br />
'CURL viitab tegelikult ncftpput'ile<br />
CURLPath = FileSystemObject.GetSpecialFolder(1) & "\ncftpput.exe"<br />
<br />
<br />
'Kontrolli kas YourView kaust on olemas<br />
If Not FileSystemObject.FolderExists(RootFolder) Then<br />
LogFile.WriteLine Now() & " Kriitline viga! Puudu järgnev oluline kaust: " & RootFolder & " Variable: RootFolder Errorcode: 1"<br />
WScript.quit(1)<br />
End If<br />
'Kontrolli kas 7-Zip on olemas<br />
If Not FileSystemObject.FileExists(SevenZipPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & SevenZipPath & " Variable: SevenZipPath Errorcode: 2"<br />
WScript.quit(2)<br />
End If<br />
'Kontrolli kas CURL on olemas<br />
If Not FileSystemObject.FileExists(CURLPath) Then<br />
LogFile.WriteLine Now() & " Kriitiline viga! Puudu järgnev oluline fail: " & CURLPath & " Variable: CURLPath Errorcode: 2"<br />
WScript.quit(3)<br />
End If<br />
<br />
<br />
'Loo edastamise kaustastruktuuur ja liiguta andmed<br />
If Not FileSystemObject.FolderExists(TransferRootFolder) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferRootFolder)<br />
End If<br />
For Each SourceFolder in RootFolder.SubFolders<br />
'Jäta vahele edastuskaust ise<br />
If Not SourceFolder = TransferRootFolder Then<br />
TransferPath = TransferRootFolder & "\" & SourceFolder.Name<br />
If Not FileSystemObject.FolderExists(TransferPath) Then<br />
Set CreateFolderPath = FileSystemObject.CreateFolder(TransferPath)<br />
End If<br />
For Each FileItem in SourceFolder.Files<br />
If DateDiff("d",FileItem.DateLastModified,Now()) > FileAge Then<br />
FileSystemObject.MoveFile SourceFolder & "\" & FileItem.Name , TransferPath & "\" & FileItem.Name<br />
End If<br />
Next<br />
End If<br />
Next<br />
<br />
<br />
'Paki andmed kokku 7Zip kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
SevenZipExec = chr(34) & SevenZipPath & chr(34) & " a -tzip " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34) & " " & chr(34) & TransferRootFolder & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita tsükkel 3 korda<br />
Do While (i<3)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
Run7Zip = Shell.Run(SevenZipExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (Run7Zip = 0) Then Exit Do<br />
'Kui 3 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 4<br />
'Jäta vahele andmete saatmine, kui seda pole niikuinii pakitud<br />
If (i = 2) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga pakkimisel! Proovitud 3 korda pakkida. Errorcode 4 ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
WScript.quit(4)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (Run7Zip = 0) Then LogFile.WriteLine Now() & " Viga pakkimisel! Proovin uuesti. ReturnCode: " & Run7Zip & " SevenZipExec: " & SevenZipExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
<br />
<br />
'Edasta andmed CURL kasutades. See loopib et vea korral uuesti proovida<br />
'Määra käsurea parameetrid<br />
'Muudatus versioonis 1.1<br />
'Parameetrid on ncftpput jaoks<br />
CURLExec = chr(34) & CURLPath & chr(34) & " -u " & FTPServerUser & " -p " & Base64Decode(FTPServerPassword) & " -T . " & FTPServer & " " & FTPServerPath & " " & chr(34) & TransferRootFolder & "\" & TransferFile & chr(34)<br />
'Nulli tsüklikordaja<br />
i=0<br />
'Käivita 10 korda<br />
Do While (i<10)<br />
'Käivita peidetuna ning oota käivituse lõppu.<br />
RunCURL = Shell.Run(CURLExec,0,True)<br />
'Kui pakkimine õnnestus, välju tsüklist<br />
If (RunCURL = 0) Then Exit Do<br />
'Kui 10 korda proovitud, kirjuta logisse ning välju skriptist veakoodiga 5<br />
If (i = 9) Then<br />
LogFile.WriteLine Now() & " Fataaalne viga saatmisel! Proovitud 10 korda saata. Errorcode 5 ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
WScript.quit(5)<br />
End If<br />
'Kui oli viga, siis kirjuta ReturnCode ja käivitatud käsurida logisse<br />
If Not (RunCURL = 0) Then LogFile.WriteLine Now() & " Viga saatmisel! Proovin uuesti. ReturnCode: " & RunCURL & " CURLExec: " & CURLExec<br />
'Suurenda tsüklikordajat<br />
i = i+1<br />
'Oota 10 minutit<br />
WScript.Sleep 600000<br />
Loop<br />
'Kui kõik ikkagi õnnestus kirjuta logisse maha<br />
LogFile.WriteLine Now() & " Kõik OK!"<br />
<br />
'Eemalda edastatud andmed<br />
FileSystemObject.DeleteFolder TransferRootFolder<br />
'Korista ära ja välju ilma veata<br />
'Lisa 1.2<br />
'Loopib läbi kõik kaustad ning võrdleb neid teadaolevate kaustadega - kui kaust pole teadaolev, kustuta.<br />
'Lisa 1.2a<br />
'Kustutaja välja lülitatud, kuna mõned kaustad teadmata põhjusel kustutatakse valesti<br />
'For Each CleanupFolder in RootFolder.SubFolders<br />
' IsKnownFolder=False<br />
' For Each FolderEntry in FolderArray<br />
' If CleanupFolder = "C:\YourView\" & FolderEntry Then<br />
' IsKnownFolder=True<br />
' End If<br />
' Next<br />
' If IsKnownFolder = False Then<br />
' FileSystemObject.DeleteFolder CleanupFolder<br />
' End If<br />
'Next<br />
WScript.quit()<br />
<br />
'Väline libra Base64 dekodeerimiseks<br />
Function Base64Decode(ByVal base64String)<br />
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"<br />
Dim dataLength, sOut, groupBegin<br />
base64String = Replace(base64String, vbCrLf, "")<br />
base64String = Replace(base64String, vbTab, "")<br />
base64String = Replace(base64String, " ", "")<br />
dataLength = Len(base64String)<br />
If dataLength Mod 4 <> 0 Then<br />
Err.Raise 1, "Base64Decode", "Bad Base64 string."<br />
Exit Function<br />
End If<br />
For groupBegin = 1 To dataLength Step 4<br />
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut<br />
numDataBytes = 3<br />
nGroup = 0<br />
For CharCounter = 0 To 3<br />
thisChar = Mid(base64String, groupBegin + CharCounter, 1)<br />
If thisChar = "=" Then<br />
numDataBytes = numDataBytes - 1<br />
thisData = 0<br />
Else<br />
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1<br />
End If<br />
If thisData = -1 Then<br />
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."<br />
Exit Function<br />
End If<br />
nGroup = 64 * nGroup + thisData<br />
Next<br />
nGroup = Hex(nGroup)<br />
nGroup = String(6 - Len(nGroup), "0") & nGroup<br />
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _<br />
Chr(CByte("&H" & Mid(nGroup, 5, 2)))<br />
sOut = sOut & Left(pOut, numDataBytes)<br />
Next<br />
Base64Decode = sOut<br />
End Function<br />
</source><br />
[[Category: Skriptimiskeeled]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Operatsioonis%C3%BCsteemide_referaadid_2011_S%C3%BCgis&diff=45370
Operatsioonisüsteemide referaadid 2011 Sügis
2012-01-05T20:22:24Z
<p>Msoomere: /* Mihkel Soomere AK41 */</p>
<hr />
<div>[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]<br />
=Päevaõpe=<br />
==Raido Aarop A21==<br />
<br />
==Sander Arnus A22== <br />
[[Apt-key]] <br />
<br />
==Kullo-Kalev Aru A21== <br />
==Kalju Hõbemäe A22==<br />
[[Httperf]]<br />
<br />
[[Talk:PAM]] - Arvustus <br />
<br />
==Carolys Kallas A22==<br />
[[Regulaaravaldis]]<br />
<br />
[[Talk:/etc/passwd]] - Arvustus<br />
<br />
==Kristo Kapten A22==<br />
[[Ubuntu Rescue Remix]]<br />
<br />
[[Talk:Ab]] - Arvustus<br />
<br />
==Nele Kiigemägi A21==<br />
[[Vmstat]] <br />
[[Talk:Apt pinning]] - arvustus<br />
<br />
==Kersti Lang A21== <br />
==Rauno Lehiste A22==<br />
[[Nmap]]<br />
<br />
[[Talk:Vmstat]] - arvustus<br />
<br />
==Urmo Lihten A21==<br />
[[Metasploit]]<br />
<br />
Arvustus - [[Talk: Apt-key]]<br />
<br />
==Tambet Liiv A22==<br />
[[Ab]]<br />
<br />
==Iti Liivik A22==<br />
[[PAM]]<br />
<br />
[[Talk:logger]] - arvustus<br />
<br />
==Priit Lilleleht A21== <br />
==Oliver Naaris A21==<br />
[[Minix]]<br />
<br />
[[Talk:Nmap]] - arvustus<br />
==Kairo Ostapenko A41== <br />
==Kermo Pajula A22== <br />
==Kristjan Pajumaa A32== <br />
==Andres Pihlak A22==<br />
[[Kustutatud failide taastamine Ubuntus]] <br />
==Robert Pärn A21 ==<br />
[[kill]]<br />
<br />
[[Talk:Minix]]<br />
<br />
==Inger Romanenko A31== <br />
[[SystemRescueCd]]<br><br />
[[Md5sum]]<br />
==Gertti-Vena Rätsep A21==<br />
<br />
[[Ubuntu 11.10]]<br />
<br />
Retsensioon:<br />
https://wiki.itcollege.ee/index.php/Talk:Kustutatud_failide_taastamine_Ubuntus<br />
<br />
==Lauri Rüütli A21==<br />
* Arvustus : https://wiki.itcollege.ee/index.php/Talk:Ubuntu_11.10<br />
<br />
==Teet Saar A22==<br />
<br />
[[Linux/Unix protsessid]]<br />
<br />
[[Talk:Sshguard]] - Retsensioon<br />
<br />
==Heiki Saaver A31==<br />
<br />
[[ Zip ]]<br />
<br />
==Taavi Sannik A21==<br />
<br />
[[ Apt pinning ]]<br />
<br />
==Sander Saveli A22==<br />
[[Grub2]]<br />
<br />
==Rene Sepp A31== <br />
==Aare Song A22== <br />
==Tarmo Suurmägi A21== <br />
<br />
[[/etc/passwd]] - valmis ülevaatamiseks<br />
<br />
[[Talk:Ubuntu_11.10]] - retsensioon<br />
<br />
==Taavi Zeiger A21== <br />
==Ott Telga A22== <br />
==Raigo Trei A21==<br />
[[logger]]<br />
<br />
[[Talk:Ubuntu_Rescue_Remix]] - Arvustus<br />
<br />
==Robert Vane A21==<br />
[[Sshguard]]<br />
<br />
=Kaugõpe=<br />
==Uuve Maikov AK21==<br />
[[lshw]] <br />
<br />
Koostamisel<br />
==Risto Bristol AK31==<br />
[[Nagios]]<br />
<br />
==Andrus Dei AK31==<br />
[[lspci]]<br />
<br />
==Aive Haavel AK21==<br />
[[Dmidecode]]<br />
<br />
==Jüri Kalbin AK21==<br />
[[OpenVZ]]<br />
<br />
==Meelis Kurnikov AK21==<br />
[[Expect]]<br><br />
Retsensioon: [[Talk:Nagios]]<br />
<br />
==Erki Marmor AK11==<br />
[[DHCP teenus Ubuntu Server süsteemis]]<br />
<br />
==Klaid Mägi AK21==<br />
[[OpenNMS installeerimine Debianile]]<br />
<br />
==Rünno Reinu AK31== <br />
<br />
Rünno hindab teiste töid.<br />
<br />
==Taavo Siimer AK41==<br />
<br />
[[Softi RAID Ubuntu baasil.]]<br />
[[Category: Operatsioonisüsteemide administreerimine ja sidumine ]]<br />
<br />
==Mihkel Soomere AK41==<br />
[[Identity Management]]<br/><br />
[[Talk:Lspci]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45369
Talk:Lspci
2012-01-05T20:21:39Z
<p>Msoomere: </p>
<hr />
<div>Retsenseeris: Mihkel Soomere (AK41)<br />
<br />
Tegemist on põhimõtteliselt man-page tõlkega mõnede kärbete ja ümbertõstmistega, lisasisu ei tuvastanud.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks, näiteks kasvõi vaikimisi väljund VirtualBoxi peal.<br />
<pre>root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada (use case). Näiteks on arvutis tundmatu PCI seade (DVB tüüner), mis ei hakka ise tööle ning lspci kasutades tuleks leida seadme tüüp ning selle järgi draiver (mis ei pruugi kernelis vaikimisi olla).<br />
<br />
Mõned spetsiifilisemad terminid võiks olla viidatud või seletatud:<br />
* PCI domeen<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)...).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine<br />
* mõned sõnad võtmetes nagu file, access denied, domain, bus... võiks ära tõlkida ikka<br />
<br />
Kuna originaalset sisu ei ole, üsna mõistliku tõlke eest skooriks 3/10.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45368
Talk:Lspci
2012-01-05T20:21:18Z
<p>Msoomere: </p>
<hr />
<div>Retsenseeris: Mihkel Soomere (AK41)<br />
<br />
Tegemist on põhimõtteliselt man-page tõlkega mõnede kärbete ja ümbertõstmistega, lisasisu ei tuvastanud.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks, näiteks kasvõi vaikimisi väljund VirtualBoxi peal.<br />
<pre>root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada (use case). Näiteks on arvutis tundmatu PCI seade (DVB tüüner), mis ei hakka ise tööle ning lspci kasutades tuleks leida seadme tüüp ning selle järgi draiver (mis ei pruugi kernelis vaikimisi olla).<br />
<br />
Mõned spetsiifilisemad terminid võiks olla viidatud või seletatud:<br />
* PCI domeen<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)...).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine<br />
* mõned sõnad võtmetes nagu file, access denied, domain, bus... võiks ära tõlkida ikka<br />
<br />
Kuna originaalset sisu ei ole, üsna pädeva tõlke eest skooriks 3/10.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45353
Talk:Lspci
2012-01-05T16:49:03Z
<p>Msoomere: </p>
<hr />
<div>Retsenseeris: Mihkel Soomere (AK41)<br />
<br />
Tegemist on põhimõtteliselt man-page tõlkega.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks. Näiteks kasvõi väljund VirtualBoxi peal.<br />
<br />
<pre><br />
root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB<br />
</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada (use case). Näiteks on tundmatu PCI seade (DVB tüüner), mis ei hakka ise tööle ning PCI ID järgi tuleks leida draiver.<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)...).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45352
Talk:Lspci
2012-01-05T16:48:14Z
<p>Msoomere: </p>
<hr />
<div>Retsenseeris: Mihkel Soomere (AK41)<br />
<br />
Tegemist on põhimõtteliselt man-page tõlkega.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks. Näiteks kasvõi väljund VirtualBoxi peal.<br />
<br />
<pre><br />
root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB<br />
</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada (use case). Näiteks on tundmatu PCI seade (DVB tüüner), mis ei hakka ise tööle ning PCI ID järgi tuleks leida draiver.<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45351
Talk:Lspci
2012-01-05T16:46:57Z
<p>Msoomere: </p>
<hr />
<div>Retsenseeris: Mihkel Soomere (AK41)<br />
<br />
Tegemist on põhimõtteliselt man-page tõlkega.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks. Näiteks kasvõi väljund VirtualBoxi peal.<br />
<br />
<pre><br />
root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB<br />
</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada.<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Talk:Lspci&diff=45350
Talk:Lspci
2012-01-05T16:46:34Z
<p>Msoomere: Created page with 'Tegemist on põhimõtteliselt man-page tõlkega. Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks. Näiteks kasvõi väljund VirtualBoxi peal. <pre> …'</p>
<hr />
<div>Tegemist on põhimõtteliselt man-page tõlkega.<br />
<br />
Puuduvad näited tööriista väljundist, kuigi artikli fookus seda eeldaks. Näiteks kasvõi väljund VirtualBoxi peal.<br />
<br />
<pre><br />
root@ubuntuserver:~# lspci<br />
00:02.0 VGA compatible controller: InnoTek Systemberatung GmbH VirtualBox Graphics Adapter<br />
00:03.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:04.0 System peripheral: InnoTek Systemberatung GmbH VirtualBox Guest Service<br />
00:07.0 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 08)<br />
00:08.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:09.0 Ethernet controller: Red Hat, Inc Virtio network device<br />
00:18.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:19.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev f2)<br />
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)<br />
00:1f.1 IDE interface: Intel Corporation 631xESB/632xESB IDE Controller<br />
00:1f.2 SATA controller: Intel Corporation 82801HM/HEM (ICH8M/ICH8M-E) SATA Controller [AHCI mode] (rev 02)<br />
00:1f.4 USB controller: Apple Computer Inc. KeyLargo/Intrepid USB<br />
</pre><br />
<br />
Ootaks näiteid, kuidas tööriista päriselus kasutada.<br />
<br />
Kuna üsna paljud võtmed on praktikas või väljaspool eriolukordi kasutud, võiks nad välja jätta (--version, -G, -vvv, -xxx(x)).<br />
<br />
Mõned õigekirjalised ja keelelised parandused:<br />
* -m -mm juures on õigem kasutada alalütlevat käänet (masinloetaval kujul)<br />
* --mm juures on protsessimise asemel õige sõna töötlemine</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=45074
Identity Management
2011-12-21T13:18:13Z
<p>Msoomere: </p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd.<br />
<br />
Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla ''multi-value'' (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises ''single-value''. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
Tüüpiline näide on kasutajanimede olukord. Tihti kasutatakse Active Directory's kasutajanimekuju eesnimi.perekonnanimi. Teisalt on SQL'is punkt eraldaja ning eDirectory's märgib see kasutaja konteksti (asukohta kataloogipuus). Identiteedihaldus võib seda lahendada mitut moodi. Ühel juhul võidakse kasutajanime muuta süsteemiga sobivaks, näiteks eemaldades punkti või asendadades selle teise märgiga. Teisel juhul võidakse see jätta samaks ning kasutada SQL'is või eDirectory's erimärgi ''escape''mist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
Erinevate tarkvarade vahel ei ole funktsionaalsuselt erilisi vahesid, pigem on vahe tehnilises lahenduses. Novelli ja Microsofti lahendusi on Eestis ka edukalt rakendatud.<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44319
Identity Management
2011-12-11T19:26:41Z
<p>Msoomere: /* Enimlevinud identiteedihalduse tarkvarad */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd.<br />
<br />
Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla ''multi-value'' (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises ''single-value''. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
Tüüpiline näide on kasutajanimede olukord. Tihti kasutatakse Active Directory's kasutajanimekuju eesnimi.perekonnanimi. Teisalt on SQL'is punkt eraldaja ning eDirectory's märgib see kasutaja konteksti (asukohta kataloogipuus). Identiteedihaldus võib seda lahendada mitut moodi. Ühel juhul võidakse kasutajanime muuta süsteemiga sobivaks, näiteks eemaldades punkti või asendadades selle teise märgiga. Teisel juhul võidakse see jätta samaks ning kasutada SQL'is või eDirectory's erimärgi ''escape''mist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
Erinevate tarkvarade vahel ei ole funktsionaalsuselt erilisi vahesid, pigem on vahe tehnilises lahenduses. Novelli ja Microsofti lahendusi on Eestis ka edukalt rakendatud.<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44318
Identity Management
2011-12-11T19:26:11Z
<p>Msoomere: /* Enimlevinud identiteedihalduse tarkvarad */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd.<br />
<br />
Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla ''multi-value'' (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises ''single-value''. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
Tüüpiline näide on kasutajanimede olukord. Tihti kasutatakse Active Directory's kasutajanimekuju eesnimi.perekonnanimi. Teisalt on SQL'is punkt eraldaja ning eDirectory's märgib see kasutaja konteksti (asukohta kataloogipuus). Identiteedihaldus võib seda lahendada mitut moodi. Ühel juhul võidakse kasutajanime muuta süsteemiga sobivaks, näiteks eemaldades punkti või asendadades selle teise märgiga. Teisel juhul võidakse see jätta samaks ning kasutada SQL'is või eDirectory's erimärgi ''escape''mist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
Erinevate tarkvarade vahel ei ole funktsionaalsuselt erilisi vahesid, pigem on vahe tehnilises lahenduses.<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44317
Identity Management
2011-12-11T19:24:31Z
<p>Msoomere: /* Identiteedihaldussüsteemide kitsas- ja keerukuskohad */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd.<br />
<br />
Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla ''multi-value'' (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises ''single-value''. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
Tüüpiline näide on kasutajanimede olukord. Tihti kasutatakse Active Directory's kasutajanimekuju eesnimi.perekonnanimi. Teisalt on SQL'is punkt eraldaja ning eDirectory's märgib see kasutaja konteksti (asukohta kataloogipuus). Identiteedihaldus võib seda lahendada mitut moodi. Ühel juhul võidakse kasutajanime muuta süsteemiga sobivaks, näiteks eemaldades punkti või asendadades selle teise märgiga. Teisel juhul võidakse see jätta samaks ning kasutada SQL'is või eDirectory's erimärgi ''escape''mist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44316
Identity Management
2011-12-11T19:20:25Z
<p>Msoomere: /* Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd.<br />
<br />
Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44315
Identity Management
2011-12-11T19:20:09Z
<p>Msoomere: /* Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstsenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44314
Identity Management
2011-12-11T19:19:01Z
<p>Msoomere: /* Kokkuvõte */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Välja toodud piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt algavadki identiteedihalduse süsteemid just standardlahendustest ning hiljem laienevad erilahendustele. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud.<br />
<br />
Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele.<br />
<br />
Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks. Siiski ei tasu end rahanumbritel hirmutada lasta, sest tasuvusaeg võib olla vägagi kiire.</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44313
Identity Management
2011-12-11T19:16:06Z
<p>Msoomere: /* Enimlevinud identiteedihalduse tarkvarad */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
*Novell Identity Management<br />
*Microsoft Forefront Identity Management<br />
*IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44312
Identity Management
2011-12-11T19:15:26Z
<p>Msoomere: /* Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44311
Identity Management
2011-12-11T19:14:57Z
<p>Msoomere: </p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
==Tüüpiline tööolukord==<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
==Paroolide sünkroonimine==<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
===Paroolide sünkroonimise turvarisk===<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
==Sünkroonimine erisused==<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44310
Identity Management
2011-12-11T19:12:36Z
<p>Msoomere: /* Tüüpiline tööolukord */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse. Näide on lihtsustatud, kuid kajastab tüüpilist töömehhanismi.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44309
Identity Management
2011-12-11T19:11:40Z
<p>Msoomere: /* Sissejuhatus */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
''Identity Management'' ehk identiteedihaldus on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44308
Identity Management
2011-12-11T19:11:08Z
<p>Msoomere: /* Identiteedihalduse töömehhanism */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (''metabase'', ''meta-directory''). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi ''trigger'', spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44307
Identity Management
2011-12-11T19:09:04Z
<p>Msoomere: /* Identiteedihalduse koht reaalsetes infosüsteemides */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks võib infosüsteemil puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (metabase, meta-directory). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi triger, spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44306
Identity Management
2011-12-11T19:08:10Z
<p>Msoomere: </p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms. Ei tasu lasta end petta sõnast "identiteet" - identiteedihaldus võib siduda suvaliste olemite seoseid, mitte ainult inimeste, nagu "identiteet" lubaks arvata.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks on võib infosüsteemid puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (metabase, meta-directory). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi triger, spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44305
Identity Management
2011-12-11T19:06:57Z
<p>Msoomere: /* Sissejuhatus */</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms.<br />
<br />
=Identiteedihalduse koht reaalsetes infosüsteemides=<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks on võib infosüsteemid puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihaldus kataloogisüsteemide liidestamisel=<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
=Identiteedihalduse töömehhanism=<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest ning erinevad atribuudid. Seda nimetatakse metabaasiks (metabase, meta-directory). Väärib märkimist, et metabaas ei sisalda otsest infot olemite kohta (näiteks nime, numbreid vms), vaid infot identiteetide ja atribuutide seostamiseks. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi triger, spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
=Tüüpiline tööolukord=<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
=Paroolide sünkroonimine=<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
==Paroolide sünkroonimise turvarisk==<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
=Kasutusstsenaarium süsteemidest, mis ei toeta väliseid identiteete=<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
=Kasutusstsenaarium tihedalt seotud andmetega sisusüsteemides=<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
*Erinevad kataloogiteenused<br />
*Erinevad andmebaasimootorid<br />
*Läbipääsusüsteemid<br />
*Andmebaaside sisuosad<br />
*Dokumendihaldussüsteemid<br />
*Muud eriotstarbelised infosüsteemid<br />
=Identiteedihaldussüsteemide kitsas- ja keerukuskohad=<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
<br />
=Enimlevinud identiteedihalduse tarkvarad=<br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
<br />
=Muud identiteedihalduse lahendused=<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimesest ning lubab muuta nendes korraga andmeid. Väikese modifikatsioonina võib see kolmas süsteem ka just andmeid sünkroonida. Kui veidi järele mõelda, oleme leiutanud uuesti ratta ehk siis identiteedihaldussüsteemi.<br />
<br />
=Kokkuvõte=<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44302
Identity Management
2011-12-11T18:55:44Z
<p>Msoomere: </p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
<br />
=Sissejuhatus=<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms.<br />
<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks on võib infosüsteemid puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi triger, spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
• Erinevad kataloogiteenused<br />
• Erinevad andmebaasimootorid<br />
• Läbipääsusüsteemid<br />
• Andmebaaside sisuosad<br />
• Dokumendihaldussüsteemid<br />
• Muud eriotstarbelised infosüsteemid<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning <br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimeset ning lubab muuta nendes korraga andmeid. Selliste süsteemide ehitamine on samuti ajamahukas (samuti raha neelav) ning tekitab küsimuse – miks mitte kasutada standardtarkvara?</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=44301
Identity Management
2011-12-11T18:55:02Z
<p>Msoomere: </p>
<hr />
<div>Autor: Mihkel Soomere (AK41).<br />
<br />
11.12.2011 - POOLELI<br />
Identity Management (identiteedihaldus) on teenus, mis tegeleb olemite sidumisega erinevates süsteemides olevate identiteetidega ja identiteetide erinevate atribuutidega. Olemid on tüüpiliselt inimesed, arvutid, hooned jms. Identiteedid on tüüpiliselt inimeste või arvutite kasutajakontod, hoonete kirjed registrites vms. Atribuudid on näiteks inimese nimi või telefoninumber, arvuti seerianumber, hoone aadress vms.<br />
Ideaalses maailmas on kõik olemit kirjeldavad andmed kirjeldatud ühes keskses süsteemis, millest ülejäänud süsteemid andmed kätte saavad. Praktilises maailmas on paraku mitmeid infosüsteeme, mis sisaldavad sarnast või kattuvat infot. Võivad puududa ka tehnilised võimalused või otstarbekus koondada andmed ühte süsteemi. Näiteks on võib infosüsteemid puududa võimekus viidata välistele andmetele või on vastav funktsionaalsus väga kallis või töömahukas. Kuna andmed ajas muutuvad, muutub üha keerulisemaks hoida andmeid eri süsteemide vahel ajakohasena. Siin tulevadki mängu identiteedihalduse tooted.<br />
Tüüpilised näited on näiteks erinevate kataloogiteenuste (LDAP põhised süsteemid) liidestamine. Näiteks on asutuses kasutuses Novell eDirectory, kuid ärivajadused nõuavad kõrvale Microsoft Active Directory püstitamist. Inimesed vajavad kasutajakontosid mõlemasse süsteemi, kuid kataloogide vahel andmete ajakohasena hoidmine on probleemne. Abiellumise puhul vahetatakse nime, muutuvad telefoninumbrid ja e-posti aadressid, vahetatakse paroole. Käsitsi sellise info haldamine on äärmiselt töömahukas. Siin tulevadki mängu identiteedihalduse tooted.<br />
Tüüpiliselt on identiteedihalduse tarkvara südameks andmebaas, mis seostab kasutajakontod erinevatest infosüsteemidest. Iga infosüsteemi juures on vahend (agenttarkvara, andmebaasi triger, spetsiaalne klienttarkvara vms.) jälgimaks muudatusi. Kui toimub infosüsteemis muudatus, teavitatakse identiteedihalduse keskset andmebaasi, mis edastab tehtud muudatused teistesse infosüsteemidesse.<br />
Näiteks eDirectorys muudetakse kasutaja telefoninumbrit. eDirectory kataloogi jälgiv agent edastab muudatuse teavituse identiteedihalduse andmebaasi, mis omakorda edastab muudatuse teistesse seotud infosüsteemidesse, siinkohal Active Directory’sse.<br />
Kõige keerulisem on üldjuhul sünkroonida paroole. Paroole salvestatakse infosüsteemides üldjuhul räsina ning olemasolevat parooli teada ei saa. Samuti kasutavad infosüsteemid erinevaid tüüpi räsisid ning lihtne räsi kopeerimine ühest süsteemist teise ei toimi.<br />
Õnneks on üldjuhul paroolivahetuse ajal mingi aja parool saadav ka avatekstina. Seda näiteks selleks, et võrrelda parooli paroolipoliitika nõudmistega või rakendada sellele räsifunktsiooni. On olemas ka liidesed parooli teadasaamiseks (enamik kataloogisüsteeme) paroolivahetuse hetkel. Samas on ka süsteeme, kust on tehniliselt võimatu vastavate liideste puudumisel parooli kätte saada (näiteks Lotus Domino). Selliste süsteemide puhul tuleb paroole vahetada mõnes muus infosüsteemis või spetsiaalses identiteedihalduse liideses, mis edastab uue parooli teistele infosüsteemidele.<br />
See võib osutuda ka turvariskiks, kuna parooli on identiteedihalduse andmebaasi ja teiste infosüsteemide vahel tarvis transportida avatekstina. Selle tõttu on väga oluline kasutada turvatud kanaleid (näiteks TLS või IPSec tunneleid).<br />
Teine näidisstsenaarium on MySQL andmebaasimootor, mis ei toeta erinevalt teistest suurematest mootoritest (Oracle, Microsoft SQL, IBM DB2) ei toeta väliseid kasutajakontosid (näiteks üle LDAP liidese). Ärivajadustest sõltuvalt võib siiski olla tarvis kasutada MySQL puhul väliseid kasutajakontosid. Identiteedihalduse süsteem võimaldab seda kaudselt, luues andmebaasi kasutajakontod ning hoides nende info sünkroonis muude infosüsteemidega.<br />
Seda stsenaariumi võib laiendada ka tüüpnäitena operatsioonisüsteemidele, mis mingil põhjusel pole seotud mõne kataloogisüsteemiga. Näiteks rangete turvanõuete tõttu ei ole Linuxi veebiserver seotud kataloogiteenusena, kuid on tarvis sinna luua mõned kontod, mis peaksid olema samad muude süsteemidega. Identiteedihaldus võimaldab seda teha sarnaselt MySQL näitena.<br />
Kolmas näidisstenaarium on raamatupidamise andmebaasi ajakohasena hoidmine. Erinevalt eelmistest näidetest ei ole siin tarvis sünkroonida kasutajakontosid, vaid olemite atribuute. Näiteks on raamatupidamise süsteemis alati sünkroonitud kasutaja üldandmed, temaga seotud teised olemid (kasutada antud vahendid, näiteks arvuti või auto) ning nende olemite olulised andmed (arvuti füüsiline asukoht asutuses, mis pärineb varahalduse süsteemist või auto läbisõit, mis pärineb GPS jälgimise infosüsteemist).<br />
Sellise tihedalt seotud süsteemi loomine on võimalik, kuid erinevalt esimesest kahest näitest palju keerulisem. Esimesed näited kirjeldasid väga tüüpilisi standardstsenaariumeid, millega tulevad identiteedihaldused toime väga lihtsalt, viimane on aga erilahendus, mis võib nõuda palju rohkem arendustööd. Tüüpiliselt sarnanevadki identiteedihalduse juurutused kolmanda stsenaariumiga, kus seotakse kokku palju erinevaid infosüsteeme, näiteks:<br />
• Erinevad kataloogiteenused<br />
• Erinevad andmebaasimootorid<br />
• Läbipääsusüsteemid<br />
• Andmebaaside sisuosad<br />
• Dokumendihaldussüsteemid<br />
• Muud eriotstarbelised infosüsteemid<br />
Identiteedihaldussüsteem peab arvestama ka erinevate süsteemide piirangutega. Näiteks võib ühes kataloogisüsteemis mõni atribuut olla multi-value (näiteks võib kasutaja olla mitu telefoninumbrit), kuid teises single-value. Samuti lisab keerukust erinevate süsteemide poliitikad. Näiteks, kui parooli sünkroonimisel on sihtsüsteemis paroolipoliitika, mis keelab lihtsad paroolid, võib parooli sünkroonimine ebaõnnestuda. Probleemiks võivad osutuda ka nii lihtsad asjad kui täpitähed või erimärgid, Unicode’st rääkimata.<br />
Võib olla vajalik ma teatud muudatusi ignoreerida, käigu pealt transformeerida või ühe infosüsteemi muutmisel teisest andmed kustutada. Näiteks on ei tohi Linuxi veebiserveris saada parooli muuta. Kui ründaja saab ligipääsu serverile ning üritab mõne muu süsteemida liidestatud kasutaja parooli muuta, ei tohi see olla võimalik. Vastasel juhul võib ründaja saada ligipääsu teistelegi süsteemidele, mis muidu poleks võimalik (kui on salvestatud vaid räsi). Transformeerida on tarvis andmeid näiteks erinevates regioonis olevate süsteemide vahel. Näiteks kasutatakse USA’s ja Euroopas erinevat kümnenderaldajat, mis võib valesti kasutamisel tekitada raamatupidamises probleeme. Kustutada võib olla tarvis näiteks töötaja liikumisesl ühest hoonest teise, mille järel kustutakse kasutaja andmed läbipääsusüsteemist.<br />
Sellised piirangud ja nõuded muudavad identiteedihalduse reaalse ülesseadmise väljaspool standardseid lahendusi väga keeruliseks. Teisalt ongi erilahendused just täpselt see, milleks identiteedihaldust enim vaja on. Tehniliselt ei ole selline töö enamasti probleem, kuna pakutavad lahendused on väga paindlikud. Skaala teises otsas on tohutu käsitsitöö, mis suuremas asutuses ja kogukamates infosüsteemides toob kaasa otseselt mõõdetava suure tööjõukulu. Samuti kipuvad inimesed tegema vigu ning unustama, mis suunab fookuse jällegi automaatsüsteemidele. Samas ei ole siiski tegemist võluvitsaga, mis kõik haldus-, audentimise- ja sisuprobleemid lahendab. Identiteedihalduse tarkvarad on üldjuhul ka üsna kallid, mis eriti esmasel juurutamisel viib kulud väga kõrgeks ning <br />
Enimlevinud identiteedihalduse tarkvarad on:<br />
• Novell Identity Management<br />
• Microsoft Forefront Identity Management<br />
• IBM Tivoli Identity Manager<br />
Ka teisi infosüsteeme liidestavaid süsteeme võib käsitleda identiteedihaldussüsteemidena. Üks suuremaid Eesti-siseseid süsteeme on X-tee. Kuigi selle primaarne eesmärk on lubada turvalisi päringuid erinevate registrite ja andmekogude vahel, kasutatakse seda ka erinevate andmekogude andmete sünkroonimisel.<br />
Iseehitatud liidesed ja süsteemid kvalifitseeruvad samuti identideedihalduse lihtsamate variantidena. Näiteks on sageli kasutuses iseehitatud paroolivahetusveeb, mis muudab parooli mitmetes infosüsteemides korraga. Teine lahendus on „kolmas“ infosüsteem, mis esitab andmeid kahest esimeset ning lubab muuta nendes korraga andmeid. Selliste süsteemide ehitamine on samuti ajamahukas (samuti raha neelav) ning tekitab küsimuse – miks mitte kasutada standardtarkvara?</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Identity_Management&diff=41390
Identity Management
2011-11-05T10:22:29Z
<p>Msoomere: Created page with 'Autor: Mihkel Soomere (AK41).'</p>
<hr />
<div>Autor: Mihkel Soomere (AK41).</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Operatsioonis%C3%BCsteemide_referaadid_2011_S%C3%BCgis&diff=41382
Operatsioonisüsteemide referaadid 2011 Sügis
2011-11-05T10:04:08Z
<p>Msoomere: /* Kaugõpe */</p>
<hr />
<div>[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]<br />
=Päevaõpe=<br />
==Raido Aarop A21==<br />
<br />
==Sander Arnus A22== <br />
==Kullo-Kalev Aru A21== <br />
==Kalju Hõbemäe A22== <br />
==Carolys Kallas A22== <br />
==Kristo Kapten A22== <br />
==Nele Kiigemägi A21== <br />
==Kersti Lang A21== <br />
==Rauno Lehiste A22== <br />
==Urmo Lihten A21== <br />
==Tambet Liiv A22== <br />
==Iti Liivik A22== <br />
==Priit Lilleleht A21== <br />
==Oliver Naaris A21== <br />
==Kairo Ostapenko A41== <br />
==Kermo Pajula A22== <br />
==Kristjan Pajumaa A32== <br />
==Andres Pihlak A22== <br />
==Robert Pärn A21 == <br />
==Inger Romanenko A31== <br />
==Gertti-Vena Rätsep A21== <br />
==Lauri Rüütli A21== <br />
==Teet Saar A22== <br />
==Heiki Saaver A31== <br />
==Taavi Sannik A21== <br />
==Sander Saveli A22== <br />
==Rene Sepp A31== <br />
==Aare Song A22== <br />
==Tarmo Suurmägi A21== <br />
==Taavi Zeiger A21== <br />
==Ott Telga A22== <br />
==Raigo Trei A21== <br />
==Robert Vane A21==<br />
<br />
=Kaugõpe=<br />
<br />
<br />
==Risto Bristol AK31==<br />
<br />
==Andrus Dei AK31== <br />
==Aive Haavel AK21==<br />
==Jüri Kalbin AK21== <br />
==Meelis Kurnikov AK21==<br />
==Erki Marmor AK11==<br />
[[DHCP teenus Ubuntu Server süsteemis]] - Teema uuendamine + leitud vigade parandamine<br />
<br />
==Klaid Mägi AK21==<br />
[[FreeBSD upgrade]]<br />
<br />
==Rünno Reinu AK31== <br />
<br />
Rünno hindab teiste töid.<br />
<br />
==Taavo Siimer AK41==<br />
<br />
[[Softi RAID Ubuntu baasil.]]<br />
[[Category: Operatsioonisüsteemide administreerimine ja sidumine ]]<br />
<br />
==Mihkel Soomere AK41==<br />
[[Identity Management]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Windows_Server_administreerimine_ainekaart&diff=11207
Windows Server administreerimine ainekaart
2010-06-01T08:49:22Z
<p>Msoomere: /* Windows Server võrguteenused */</p>
<hr />
<div>= Windows server administreerimine =<br />
<br />
<br />
== Eesmärk ==<br />
Õppeaine eesmärk on tutvustada Windows Server operatsioonisüsteemil baseeruvate serverite paigaldust, haldamist ja turvamist, õppeaine arendab õppija administreerimisoskuseid ning teadmisi serveritel kasutatavatest operatsioonisüsteemidest.<br />
<br />
== Lühitutvustus ==<br />
Õppeaines käsitletakse Windows Server operatsioonisüsteemil baseeruvate serverite paigaldust, haldamist, turvamist ning veaotsingut. Pikemalt vaadeldakse Windows Serveri teenuseid, mis on seotud hulgipaigalduse, võrgu infrastruktuuri ning Active Directoryiga.<br />
<br />
== Õpiväljundid == <br />
* Õppija oskab teostada Windows Server tarkvaratoote paigaldust.<br />
* Õppija teab ning oskab nimetada Windows Serveri peamised rollid ning selgitada nende ülesandeid.<br />
* Õppija oskab paigaldada Windows Server'ile AD DS, DHCP, DNS ning failiserveri rolle ning neid lihtsamatel juhtudel seadistada.<br />
* Õppija oskab hallata kasutajaid ning kasutajate gruppe ning rakendada grupipoliitikaid.<br />
* Õppija oskab teostada lihtsamatel juhtudel tagavarakoopiaid ning tagavarakoopiate abil rikenud andmeid taastada.<br />
<br />
== Hinnde kujunemise selgitus ==<br />
Kontrolltöö on planeeritud pärast kindla teemade ploki läbimist, mis sisaldab mitu sarnast või omavahel seotud teemat. <br />
Semestri jooksul on 2 kontrolltööd, iga kontrolltöö eest saadud hinne määrab 25% ulatuses arvestuse lõpphindehinde ning 50% hindest moodustab iseseisva tööna valminud juhend. Arvestushinde saamise eelduseks on läbitud e-kursuste komplekt "6424: Fundamentals of Windows Server 2008 Active Directory". [[Juhend Microsoft IT Academy e-õppe kursuste kasutamiseks]]<br />
<br />
<br />
Kontrolltöö koosneb valikvastustega küsimustest. Küsimused koostatakse läbitud materjali alusel. Praktilised ülesandeid koostatakse praktika tundides käsitletud ülesannete alusel. <br />
Minimaalselt on nõutav mõlemas kontrolltöös õigete vastuste hulk vähemalt 51%. <br />
<br />
Iseseisva tööna koostatav juhend või ülevaade tuleb majutada aadressile http://wiki.itcollege.ee ning töö hindamisel arvestatakse eelkõige teema käsitlemise põhjalikkust, asjakohasust ning praktilist rakendatavust.<br />
<br />
= Teemad =<br />
<br />
== Sissejuhatus (esimene kohtumine)==<br />
*Windows Server tooteperekonna tutvustus<br />
* Erinevad [[Windows Server versioonid]]<br />
** [[Windows Server Core]]<br />
** [[Hyper-V Server]]<br />
* Miinumumnõuded<br />
* [[Serveri rollid]]<br />
<br />
<br />
===Teemad===<br />
[[Windows Server versioonid]], [[Serveri rollid]], [[Windows Server Core]], [[Windows Server 2008]], [[Windows Server]], [[Hyper-V Server]]<br />
<br />
==Windows Server paigaldus (teine ja kolmas kohtumine)==<br />
* [[Windows Serveri paigaldus erinevatelt meediatelt]]<br />
** [[Lab: Windows Serveri paigaldus paigalusmeedialt]]<br />
* Tootevõtemete haldus ja [[Aktiveerimine|aktiveerimine]]<br />
* [[Windows operatsioonisüsteemi automaatpaigaldus]]<br />
** [[Windows Deployment Services]]<br />
* Rollide seadistamine<br />
**[[Lab: Windows Deployment Services rolli paigaldus ja seadistamine]]<br />
<br />
===Teemad===<br />
[[Aktiveerimine]], [[Windows operatsioonisüsteemi automaatpaigaldus]], [[Windows Deployment Services]]<br />
<br />
==Administreerimisvahendid (neljas kohtumine)==<br />
* Ülevaade haldusvahenditest<br />
** Kaughaldus ja selle häälestamine<br />
*** [[Võrguühenduste seadistamine Windows operatioonissteemis]] ja [[Remote Desktop]]<br />
**** [[ipconfig]], [[netsh]]<br />
*** Remote Server Administration Tools for Windows 7 http://technet.microsoft.com/en-us/library/ee449475(WS.10).aspx<br />
*** Enabling a Remote Workforce http://technet.microsoft.com/et-ee/windowsserver/cc441386(en-us).aspx<br />
*** Server Core Remote Management http://technet.microsoft.com/et-ee/windowsserver/cc441379(en-us).aspx<br />
*** Lab: [[Windows Server 2008 võrguühenduste seadistamise praktikum]]<br />
*** Lab: [[Windows Server 2008 kaughalduse seadistamise praktikum]]<br />
** Ressursside haldamiseks mõeldud vahendid http://technet.microsoft.com/et-ee/windowsserver/ee895113(en-us).aspx<br />
*** Performance and Reliability http://technet.microsoft.com/en-us/library/cc770309(WS.10).aspx<br />
*** Windows Server 2008 R2 Quick Look- System Health Report<br />
**** [[Reliability Monitor]], [[Resource Monitor]], [[Performance Monitor]], [[Data Collector Sets]], [[Task Manager]], [[Windows System Resource Manager]]<br />
<br />
===Teemad===<br />
[[Võrguühenduste seadistamine Windows operatioonissteemis]], [[Server Manager Console]], [[MMC]], [[Windows PowerShell]], [[EMS]], [[Remote Desktop]], [[RSAT Tools]], [[Microsoft System Center Operations Manager]], [[Reliability Monitor]], [[Resource Monitor]], [[Performance Monitor]], [[Data Collector Sets]], [[Task Manager]], [[Windows System Resource Manager]], [[WSUS]]<br />
<br />
==Active Directory infrastruktuur(viies kohtumine)==<br />
*[[Active Directory Domain Services]] roll<br />
** Active Directory Domain Services for Windows Server 2008 http://technet.microsoft.com/en-us/library/dd378891(WS.10).aspx<br />
** Active Directory Domain Services for Windows Server 2008 R2 http://technet.microsoft.com/en-us/library/dd378801(WS.10).aspx<br />
** Active Directory Lightweight Directory Services http://technet.microsoft.com/en-us/library/cc731868(WS.10).aspx<br />
* Kasutajad ja grupid <br />
** Managing Users http://technet.microsoft.com/en-us/library/cc754661.aspx<br />
** Managing Groups http://technet.microsoft.com/en-us/library/cc771069.aspx<br />
* Arvutite kontod<br />
** Managing Computers http://technet.microsoft.com/en-us/library/cc771682.aspx<br />
* Domeenide haldamine<br />
** Managing Domains http://technet.microsoft.com/en-us/library/cc754751.aspx<br />
* ''Organizational Units'' haldamine<br />
** Managing Organizational Units http://technet.microsoft.com/en-us/library/cc753063.aspx<br />
* Grupipoliitikate rakendamine<br />
** Group Policy (2008) http://technet.microsoft.com/en-us/library/cc726027(WS.10).aspx<br />
** Group Policy (2008 R2) http://technet.microsoft.com/en-us/library/cc754286.aspx<br />
<br />
===Teemad===<br />
[[Active Directory Domain Services]], [[Active Directory Lightweight Directory Services]], [[Organizational Unit]]<br />
<br />
==Windows Server turvamine (kuues kohtumine)==<br />
* Logifailid ja Event Viewer<br />
* Turvapaikade paigaldamine ja haldusvahendid<br />
** Windows Server Update Services http://technet.microsoft.com/en-us/wsus/default.aspx<br />
** [[Lab: WSUS 3.0 paigaldus ja seadistamine]]<br />
* Tulemüür<br />
** How to use the "netsh advfirewall firewall" context instead of the "netsh firewall" context to control Windows Firewall behavior in Windows Server 2008 and in Windows Vista http://support.microsoft.com/kb/947709<br />
** TechNet Virtual Lab: Managing Network Security using Windows Firewall with Advanced Security in Windows Server 2008 Beta 3 http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032345256&EventCategory=3&culture=en-US&CountryCode=US<br />
* Turvapoliitika<br />
** Windows Server 2008 Security Guide http://technet.microsoft.com/et-ee/library/cc264463(en-us).aspx<br />
** Server Security Policy Management http://technet.microsoft.com/en-us/library/cc731004(WS.10).aspx<br />
** [[Security Configuration Wizard]] http://technet.microsoft.com/en-us/library/cc731515(WS.10).aspx<br />
** [[UAC]]<br />
<br />
<br />
===Teemad===<br />
[[Event Viewer]], [[Windows Server]], [[WSUS]]<br />
<br />
==Andmete haldamine (seitsmes kohtumine)==<br />
*Failide ja ketaste haldus<br />
** Ketaste haldus<br />
*** Disk Management: Welcome http://technet.microsoft.com/en-us/library/cc770943(WS.10).aspx<br />
*** [[Diskpart]]<br />
*** How Do I: Modifying Boot Records in Windows Vista and Windows http://technet.microsoft.com/et-ee/windowsserver/dd490734(en-us).aspx<br />
<br />
* Failide pääsuõigused<br />
** File and Folder Permissions http://technet.microsoft.com/en-us/library/cc732880(WS.10).aspx<br />
*** Managing Permissions http://technet.microsoft.com/en-us/library/cc770962.aspx<br />
<br />
* Andmete jagamine <br />
** Shared Folders http://technet.microsoft.com/en-us/library/cc770406(WS.10).aspx<br />
*** Managing Permissions for Shared Folders http://technet.microsoft.com/en-us/library/cc753731(WS.10).aspx<br />
** File Server Resource Manager Step-by-Step Guide for Windows Server 2008 R2 http://technet.microsoft.com/et-ee/library/dd758761(en-us,WS.10).aspx<br />
** Services for NFS Step-by-Step Guide for Windows Server 2008 R2 http://technet.microsoft.com/et-ee/library/dd758767(en-us,WS.10).aspx<br />
<br />
* Tagavarakoopiate loomine ja taaste<br />
** Windows Server Backup http://technet.microsoft.com/en-us/library/cc770757(WS.10).aspx<br />
** Shadow Copies of Shared Folders http://technet.microsoft.com/en-us/library/cc771305(WS.10).aspx<br />
<br />
* Introducing BranchCache in Windows Server 2008 R2 http://www.microsoft.com/learning/_silverlight/learningsnacks/WS08R2/snack02/Default.html<br />
<br />
===Teemad===<br />
[[Server Backup]], [[Shadow Copy]], [[Icacls]], [[*.VHD]]<br />
<br />
==Windows Server võrguteenused==<br />
* Võrguteenused ja nende haldus<br />
** DCHP server ja klient, nende seadistamine<br />
*** Dynamic Host Configuration Protocol, DHCP (2008 R2) http://technet.microsoft.com/en-us/library/cc755282.aspx<br />
*** Dynamic Host Configuration Protocol, DHCP (2008)<br />
** DNS server, selle seadistamine ja roll<br />
*** DNS http://technet.microsoft.com/en-us/library/cc730921.aspx<br />
** Network Policy and Access Services<br />
*** [http://wiki.itcollege.ee/index.php/Windows_Server_2008_RADIUS |Network Policy Serveri baasil RADIUS koos PEAP ja EAP-TLS]<br />
<br />
===Teemad===<br />
[[netsh]], [[ipconfig]], [[ping]], [[tracert]], [[nslookup]], [[net]], [[SID]]<br />
<br />
==Muud teemad==<br />
* Siia tulevad need teemad, mis otseseselt kuhugi mujale ei sobi.<br />
<br />
===Teemad===<br />
[[Litsenseerimine]],<br />
[[Terminal Services]]<br />
<br />
==Active Directory Certificate Services==<br />
<br />
== Lingid ==<br />
* Migreerimine<br />
** Migrate Server Roles to Windows Server 2008 R2 http://technet.microsoft.com/en-us/library/dd365353(WS.10).aspx<br />
* AD DS<br />
** Designing OU Structures that Work - http://technet.microsoft.com/en-us/magazine/2008.05.oudesign.aspx?pr=blog<br />
<br />
[[Category: Windows Server administreerimine]]</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Windows_Server_2008_RADIUS&diff=11163
Windows Server 2008 RADIUS
2010-05-31T16:45:40Z
<p>Msoomere: </p>
<hr />
<div>[[Category:Traadita side alused]]<br />
=Sissejuhatus=<br />
RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud. Olles ammustel aegadel 2003 R2 peal RADIUSe tööle pannud, tekkis huvi seda teha ka 2008 peal. Sai seda kord tööl proovitud ühe teise projekti kõrval, kuid eksitasin end seadete põhjatusse sügavikku. Selle raames saigi nüüd asja uuesti proovitud. Asja tööle saamiseks, katsetamiseks ja testimiseks kulus ca nädala jagu õhtuid, iga õhtu mõned tunnid.<br />
* Peaks töötama ka Windows Server 2008 R2 peal, kuna NPS teenus on jäänud suuresti samaks.<br />
* Windows 2008 NPS on üsna keeruline (ja võimekas) tööriist, 2003 vastav teenus oli palju lihtsam.<br />
=Näidisinfrastruktuur=<br />
==Teenindav pool==<br />
* Virtual PC 7 virtuaalmasin serveriga, jooksmas sülearvutis 1.<br />
* Windows Server 2008 eelnevalt paigaldatud. Vaata [[Windows Server administreerimine]]. Arvuti nimi TESTSRV.<br />
* Active Directory eelnevalt paigaldatud. Vaata [[Active Directory Domain Services]] Domeen test.internal, NetBIOS nimi TEST.<br />
* Tugijaam DD-WRT v24 beta, Linksys WRT54GL<br />
==Kontod==<br />
Kuna ühtegi reaalset masinat domeeni liikmeks ei teinud, ei saanud proovida masinate iseseisvat domeeni logimist. Kasutasin vaid kasutajakontosid test.user kuni test.user3. Katsetasin vastavalt MSCHAPv2, TLS ja mõlemaid kordamööda.<br />
==Kliendid==<br />
* Sülearvuti 1 Intel 5300, Windows 7 - Ethernet ühendatud Virtual PC ja tugijaama vahele<br />
* Sülearvuti 2 Intel 2945, Windows XP<br />
* PDA 1, Qualcomm, Windows Mobile 6.1 Professional <br />
* PDA 2, Qualcomm, Windows Mobile 6.5<br />
* IP võrk 192.168.63.0/24, staatiliselt määratud<br />
<br />
=Active Directory Certificate Services=<br />
Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama.<br />
<br />
NB! Kuna meil on domeenikontroller, CA ja RADIUS ühes masinas, tuvastab RADIUS server ennast juursertifikaadiga. Praktikas ei ole see soovitatav, aga hetkel "kärab küll".<br />
==Add Roles Wizard==<br />
Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs1.png]]<br><br />
==Introduction to Active Directory Certificate Services==<br />
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.<br><br />
[[image:Radiusadcs2.png]]<br><br />
==Select Role Services==<br />
Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs3.png]]<br><br />
==Specify Setup Type==<br />
Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"<br><br />
[[image:Radiusadcs4.png]]<br><br />
==Specify CA Type==<br />
Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.<br><br />
[[image:Radiusadcs5.png]]<br><br />
==Set Up Private Key==<br />
Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.<br><br />
[[image:Radiusadcs6.png]]<br><br />
==Configure Cryptography for CA==<br />
Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka.<br><br />
[[image:Radiusadcs7.png]]<br><br />
==Configure CA Name==<br />
Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist.<br><br />
[[image:Radiusadcs8.png]]<br><br />
==Set Validity Period==<br />
Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka.<br><br />
[[image:Radiusadcs9.png]]<br><br />
==Configure Certificate Database==<br />
Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta.<br><br />
[[image:Radiusadcs10.png]]<br><br />
==Confirm Installation Selections==<br />
Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata.<br><br />
[[image:Radiusadcs11.png]]<br><br />
<br />
=Network Protection Services=<br />
==Add Roles Wizard==<br />
Vali rollide nimekirjast Network Policy and Access Services ja vajuta jätkamiseks Next.<br><br />
[[image:Radiusnps1.png]]<br />
==Network Policy and Access Services==<br />
Tutvustatakse erinevaid rolli võimalusi, jätka. <br><br />
[[image:Radiusnps2.png]]<br />
==Select Role Services==<br />
Vali rolliteenuste seast "Network Policy Server" ja jätka. Teised teenused pakuvad näiteks VPNi ja kliendi tarkvara turvakontrolli, kuid pole hetkel vajalikud. <br><br />
[[image:Radiusnps3.png]]<br />
==Confirm Installation Selections==<br />
Kinnita paigaldus vajutades "Install".<br><br />
[[image:Radiusnps4.png]]<br />
<br />
=Seadistamine EAP-PEAP (MS-CHAP2) ja PEAP jaoks=<br />
Käivita Network Policy Server konsool.<br />
==Register server in Active Directory==<br />
Esmalt registreeri NPS server AD's. Selle tegemiseks tee paremklõps konsoolipuu juurkaustal ja vajuta "Register server in Active Directory". See võimaldab NPS serveril audentida kliente AD kasutajatega.<br><br />
[[image:Nps1.png]]<br><br />
Palutakse luba lisada arvuti objekt gruppi, et lugeda kasutajate Dial-in seadeid. Kuigi NPS võib neid seadeid ignoreerida, on see soovitatav.<br><br />
[[image:Nps2.png]]<br><br />
Teiste domeeni kohta forestis tuleb seda käsitsi teha. Hetkel seda vaja pole, kuna teisi domeene pole.<br><br />
[[image:Nps3.png]]<br><br />
==Viisardi käivitamine==<br />
Kasutame NPS seadistamiseks viisardit. Olles NPS konsooli juurkaustas, on tegevuspaanis rippmenüü, kus saab valida erinevate stsenaariumite viisardeid. Vali "RADIUS server for 802.1X Wireless or Wired Connections" ja vajuta "Configure 802.1X".<br><br />
[[image:Nps4.png]]<br><br />
==Select 802.1X Connections Type==<br />
Vali "Secure Wireless Connections". Nime kohale võid kirjutada midagi äratuntavat.<br><br />
[[image:Nps5.png]]<br><br />
==Specify 802.1X Switches==<br />
Dialoogis saad lisada tugijaamu (authenticator).<br><br />
[[image:Nps6.png]]<br><br />
==New RADIUS Client==<br />
Tugijaama lisamise seadete dialoog. Kõik seadmed ei pruugi toetada nii pikka salasõna (shared secret). Maksimaalse pikkus peaks kirjas olema seadme dokumentatsioonis.<br><br />
[[image:Nps7.png]]<br><br />
==Configure an Authentication Method==<br />
Vali EAP-PEAP (Microsoft: Protected EAP), kuna paljud seadmed ei oska otseselt EAP-MSCHAPv2 kasutada. PEAP sisuliselt kapseldab MSCHAPv2 TLS tunnelisse. Ühest küljest võimaldab see serveril ennast korretse TLS sertifikaadiga tuvastada, kuid teisest küljest ei nõua kliendilt sertifikaati.<br><br />
[[image:Nps8.png]]<br><br />
==Specify User Groups==<br />
Saad piirata kasutajaid, kes võivad RADIUSes end tuvastada. Kui soovid, et arvutid (arvutid iseseisvalt, mitte kasutajad) vastavalt poliitikale iseseisvalt WiFisse logiks, tasub lisada ka grupp arvutitega. Teine variant on jätta kõik tühjaks, siis lubatakse ligi kõik kasutajad. Seda valikut saab hiljem täpsemalt määrata Conditions all.<br><br />
[[image:Nps11.png]]<br><br />
==Configure a Virtual LAN (VLAN)==<br />
VLANe hetkel pole, nii et ei puutu.<br><br />
[[image:Nps12.png]]<br><br />
==Käsitsi seaded==<br />
Mõned asjad nõuavad käsitsi muutmist, seega ava uue poliitika seaded.<br><br />
[[image:Nps14.png]]<br />
===Overview===<br />
Oluline linnuke on "Ignore user account dial-in properties". See määrab, kas NPS järgib AD õigusi kasutada dial-in ja VPN teenuseid. Vaikimisi on kasutajatel VPN või dial-up keelatud.<br><br />
[[image:Nps15.png]]<br />
===Conditions===<br />
Ühenduvad kliendid peavad ühilduma kõigi tingimustega, kui vastav tingimus on määratud. St kui tingimust pole määratud, siis seda ei kontrollita. Kui tingimus eksisteerib, peab klient sellele vastama.<br><br />
[[image:Nps16.png]]<br />
===Constraints===<br />
Constraints toimub sarnaselt Conditions'ile, kuid piirangud on eelmääratud.<br><br />
[[image:Nps17.png]]<br />
====Authentication Methods====<br />
Lisa nimekirja "Microsoft: Smart Card or other certificate" ehk maakeeli EAP-TLS. Windows Mobile puhul peab EAP-TLS toimimiseks olema nimekirjas esimene. Eemalda kõik ülejäänud linnukesed.<br><br />
[[image:Nps18.png]]<br />
===Settings===<br />
<br />
====RADIUS Attributes====<br />
Standard RADIUS attributes all eemalda DD-WRT jaoks atribuut "Framed-Protocol".<br><br />
====Encryption====<br />
Encryption all eemalda kõik peale "Strongest encryption (MPPE 128-bit)". Samas kõik seadmed ei pruugi tugevaimat krüpteeringut toetada. Lihtne testimine aitab seda kindlaks teha.<br><br />
<br />
=Sertifikaadi taotlemine ja eksport=<br />
Kuna me "Web enrollment" teenust ei paigaldanud, peab sertifikaate taotlema läbi AD'sse lisatud arvuti. Meie ainus server on ka domeenikontroller ning tavakasutajad ei saa vaikimisi domeenikontrollerisse logida. Selleks puhuks on domeeni lisatud Windows 7 virtuaalmasin.<br />
<br />
"Certificates" konsool pole otseselt kättesaadav, kuid auto-enrollment poliitikaga me hetkel ei tegele.<br />
==Sertifikaatide konsooli avamine==<br />
Käivita MMC halduskonsool, trükkides "Run" aknasse mmc.<br><br />
[[image:Enrollment1.png]]<br><br />
Avanenud aknas vajuta Ctrl+M, et lisada konsoolile laiendusi. Lisa Certificates ja jätka.<br><br />
[[image:Enrollment1.1.png]]<br />
==Sertifikaaditaotlusviisardi avamine==<br />
Tee paremklõps kaustal Personal ja vastavalt pildile ava uue sertifikaadi päringu viisard.<br><br />
[[image:Enrollment2.png]]<br />
==Before you begin==<br />
Kiire tutvustus - vajuta jätkamiseks "Next".<br><br />
[[image:Enrollment3.png]]<br />
==Select Certificate Enrollment Policy==<br />
Enrollment poliitikad meil puuduvad seega jätka vaikimisi valikuga.<br><br />
[[image:Enrollment4.png]]<br />
==Request Certificates==<br />
Vali "User" ja jätka.<br><br />
[[image:Enrollment5.png]]<br />
==Certificate Installation Results==<br />
Kui päring õnnestus (võrk, DNS, kasutajakonto korras), sulge viisard.<br><br />
[[image:Enrollment6.png]]<br />
==Sertifikaadi eksportimise viisard==<br />
Vastavalt pildile ava sertifikaadi eksportimise viisard. See on vajalik eksportimaks sertifikaati seadmetele, millel puudub muu ligipääs võrgule, näiteks PDA'd, isiklikud arvutid või eraldiseisvad seadmed (printerid vms). Seda saaks teha läbi Web Enrollmenti, aga see hetkel puudub.<br><br />
[[image:Enrollment7.png]]<br />
==Welcome to the Certificate Export Wizard==<br />
Väike tutvustus - jätka.<br><br />
[[image:Enrollment8.png]]<br />
==Export Private Key==<br />
Ekspordi sertifikaat koos privaatvõtmega - muidu ei saa ju sind tuvastada.<br><br />
[[image:Enrollment9.png]]<br />
==Export File Format==<br />
Kaasa vahepealsed sertifikaadid, kuna teised seadmed ei tea enne importimist midagi meie juursertifikaadist või vahepealsetest sertifikaatidest.<br><br />
[[image:Enrollment10.png]]<br />
==Password==<br />
Kaitse eksporditud sertifikaat parooliga - see võimaldab ju kasutajat tuvastada ning valedesse kätesse sattumisel palju pahandust põhjustada.<br><br />
[[image:Enrollment11.png]]<br />
==File to Export==<br />
Määra eksporditud faili asukoht.<br><br />
[[image:Enrollment12.png]]<br />
==Completing the Certificate Export Wizard==<br />
Kokkuvõte.<br><br />
[[image:Enrollment13.png]]<br />
<br />
=Klientseadmed=<br />
Siin ma täpsemalt klientseadmete seadistamisele ei keskendu, kuna fookus on serveripoolel. Sertifikaatide import seisneb vaid eksporditud failil klõpsimises ja parooli sisestamises.<br />
* MSCHAPv2 puhul võib jätta kasutajanime ette domeeni sisestamata<br />
* Kui on vaja domeeni määratleda, kasuta vaid domeeni NetBIOS nime. FQDN peale kipub NPS pirtsutama.<br />
==Windows==<br />
* Kui klient pole domeeni liige, hoiatatakse isegi usaldusväärse juursertifikaadi puhul, kui profiil pole eelseadistatud. Profiil tuleb panna käsitsi juursertifikaati usaldama. See on kummaline, arvestades, et imporditud isikliku sertifikaadiga kaasneb ka juursertifikaadi avalik võti.<br />
* Kui server toetab PEAP ja EAP samaaegselt, valib Windows kõigepealt PEAP. Kui ühendusprofiili (eel)seadistada, saab kliendi määrata käsitsi EAP kasutama.<br />
* Windows puhverdab sisestatud kasutajanime ja parooli. Kui sisestasid valesti, võib osutuda võimatuks puhvrit tühjendada. Lihtne lahendus on taaskäivitus, mis tühjendab puhvri.<br />
==WIndows Mobile==<br />
* Profiili juures tuleb käsitsi määrata, kas kasutada PEAP või EAP.<br />
* Kuna EAP-MSCHAPv2 pole toetatud, tuleb kasutada PEAP.<br />
* Windows Mobile hoiatab samuti juursertikaadi usaldamatuse eest...?<br />
<br />
© Mihkel Soomere 2010</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Windows_Server_2008_RADIUS&diff=11152
Windows Server 2008 RADIUS
2010-05-31T14:26:13Z
<p>Msoomere: </p>
<hr />
<div>[[Category:Traadita side alused]]<br />
=Sissejuhatus=<br />
RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud.<br />
* Peaks töötama ka Windows Server 2008 R2 peal<br />
* Windows 2008 NPS on üsna keeruline tööriist, 2003 vastav teenus oli palju lihtsam.<br />
<br />
=Näidisinfrastruktuur=<br />
* Virtual PC 7 virtuaalmasin serveriga, jooksmas sülearvutis 1.<br />
* Windows Server 2008 eelnevalt paigaldatud. Vaata [[Windows Server administreerimine]]. Arvuti nimi TESTSRV.<br />
* Active Directory eelnevalt paigaldatud. Vaata [[Active Directory Domain Services]] Domeen test.internal, NETBIOS nimi TEST.<br />
* Tugijaam DD-WRT v24 beta, Linksys WRT54GL<br />
* Sülearvuti 1 Intel 5300, Windows 7 - Ethernet ühendatud Virtual PC ja tugijaama vahele<br />
* Sülearvuti 2 Intel 2945, Windows XP<br />
* PDA 1, Qualcomm, Windows Mobile 6.1 Professional <br />
* PDA 2, Qualcomm, Windows Mobile 6.5<br />
* IP võrk 192.168.63.0/24, staatiliselt määratud<br />
<br />
=Active Directory Certificate Services=<br />
Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama.<br />
<br />
NB! Kuna meil on domeenikontroller, CA ja RADIUS ühes masinas, tuvastab RADIUS server ennast juursertifikaadiga. Praktikas ei ole see soovitatav, aga hetkel "kärab küll".<br />
==Add Roles Wizard==<br />
Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs1.png]]<br><br />
==Introduction to Active Directory Certificate Services==<br />
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.<br><br />
[[image:Radiusadcs2.png]]<br><br />
==Select Role Services==<br />
Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs3.png]]<br><br />
==Specify Setup Type==<br />
Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"<br><br />
[[image:Radiusadcs4.png]]<br><br />
==Specify CA Type==<br />
Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.<br><br />
[[image:Radiusadcs5.png]]<br><br />
==Set Up Private Key==<br />
Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.<br><br />
[[image:Radiusadcs6.png]]<br><br />
==Configure Cryptography for CA==<br />
Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka.<br><br />
[[image:Radiusadcs7.png]]<br><br />
==Configure CA Name==<br />
Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist.<br><br />
[[image:Radiusadcs8.png]]<br><br />
==Set Validity Period==<br />
Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka.<br><br />
[[image:Radiusadcs9.png]]<br><br />
==Configure Certificate Database==<br />
Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta.<br><br />
[[image:Radiusadcs10.png]]<br><br />
==Confirm Installation Selections==<br />
Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata.<br><br />
[[image:Radiusadcs11.png]]<br><br />
<br />
=Network Protection Services=<br />
==Add Roles Wizard==<br />
Vali rollide nimekirjast Network Policy and Access Services ja vajuta jätkamiseks Next.<br><br />
[[image:Radiusnps1.png]]<br />
==Network Policy and Access Services==<br />
Tutvustatakse erinevaid rolli võimalusi, jätka. <br><br />
[[image:Radiusnps2.png]]<br />
==Select Role Services==<br />
Vali rolliteenuste seast "Network Policy Server" ja jätka. Teised teenused pakuvad näiteks VPNi ja kliendi tarkvara turvakontrolli, kuid pole hetkel vajalikud. <br><br />
[[image:Radiusnps3.png]]<br />
==Confirm Installation Selections==<br />
Kinnita paigaldus vajutades "Install".<br><br />
[[image:Radiusnps4.png]]<br />
<br />
=Seadistamine EAP-PEAP (MS-CHAP2) ja PEAP jaoks=<br />
Käivita Network Policy Server konsool.<br />
==Register server in Active Directory==<br />
Esmalt registreeri NPS server AD's. Selle tegemiseks tee paremklõps konsoolipuu juurkaustal ja vajuta "Register server in Active Directory". See võimaldab NPS serveril audentida kliente AD kasutajatega.<br><br />
[[image:Nps1.png]]<br><br />
Palutakse luba lisada arvuti objekt gruppi, et lugeda kasutajate Dial-in seadeid. Kuigi NPS võib neid seadeid ignoreerida, on see soovitatav.<br><br />
[[image:Nps2.png]]<br><br />
Teiste domeeni kohta forestis tuleb seda käsitsi teha. Hetkel seda vaja pole, kuna teisi domeene pole.<br><br />
[[image:Nps3.png]]<br><br />
==Viisardi käivitamine==<br />
Kasutame NPS seadistamiseks viisardit. Olles NPS konsooli juurkaustas, on tegevuspaanis rippmenüü, kus saab valida erinevate stsenaariumite viisardeid. Vali "RADIUS server for 802.1X Wireless or Wired Connections" ja vajuta "Configure 802.1X".<br><br />
[[image:Nps4.png]]<br><br />
==Select 802.1X Connections Type==<br />
Vali "Secure Wireless Connections". Nime kohale võid kirjutada midagi äratuntavat.<br><br />
[[image:Nps5.png]]<br><br />
==Specify 802.1X Switches==<br />
Dialoogis saad lisada tugijaamu (authenticator).<br><br />
[[image:Nps6.png]]<br><br />
==New RADIUS Client==<br />
Tugijaama lisamise seadete dialoog. Kõik seadmed ei pruugi toetada nii pikka salasõna (shared secret). Maksimaalse pikkus peaks kirjas olema seadme dokumentatsioonis.<br><br />
[[image:Nps7.png]]<br><br />
==Configure an Authentication Method==<br />
Vali EAP-PEAP (Microsoft: Protected EAP), kuna paljud seadmed ei oska otseselt EAP-MSCHAPv2 kasutada. PEAP sisuliselt kapseldab MSCHAPv2 TLS tunnelisse. Ühest küljest võimaldab see serveril ennast korretse TLS sertifikaadiga tuvastada, kuid teisest küljest ei nõua kliendilt sertifikaati.<br><br />
[[image:Nps8.png]]<br><br />
==Specify User Groups==<br />
Saad piirata kasutajaid, kes võivad RADIUSes end tuvastada. Kui soovid, et arvutid (arvutid iseseisvalt, mitte kasutajad) vastavalt poliitikale iseseisvalt WiFisse logiks, tasub lisada ka grupp arvutitega. Teine variant on jätta kõik tühjaks, siis lubatakse ligi kõik kasutajad. Seda valikut saab hiljem täpsemalt määrata Conditions all.<br><br />
[[image:Nps11.png]]<br><br />
==Configure a Virtual LAN (VLAN)==<br />
VLANe hetkel pole, nii et ei puutu.<br><br />
[[image:Nps12.png]]<br><br />
==Käsitsi seaded==<br />
Mõned asjad nõuavad käsitsi muutmist, seega ava uue poliitika seaded.<br />
[[image:Nps14.png]]<br />
===Overview===<br />
Oluline linnuke on "Ignore user account dial-in properties". See määrab, kas NPS järgib AD õigusi kasutada dial-in ja VPN teenuseid. Vaikimisi on kasutajatel VPN või dial-up keelatud.<br />
[[image:Nps15.png]]<br />
===Conditions===<br />
Ühenduvad kliendid peavad ühilduma kõigi tingimustega, kui vastav tingimus on määratud. St kui tingimust pole määratud, siis seda ei kontrollita. Kui tingimus eksisteerib, peab klient sellele vastama.<br />
[[image:Nps16.png]]<br />
===Constraints===<br />
Constraints toimub sarnaselt Conditions'ile, kuid piirangud on eelmääratud.<br />
[[image:Nps17.png]]<br />
====Authentication Methods====<br />
Lisa nimekirja "Microsoft: Smart Card or other certificate" ehk maakeeli EAP-TLS. Windows Mobile puhul peab EAP-TLS toimimiseks olema nimekirjas esimene. Eemalda kõik ülejäänud linnukesed.<br />
[[image:Nps18.png]]<br />
===Settings===<br />
ABC<br />
====RADIUS Attributes====<br />
Standard RADIUS attributes all eemalda DD-WRT jaoks atribuut "Framed-Protocol".<br />
====Encryption====Encryption all eemalda kõik peale "Strongest encryption (MPPE 128-bit)". Samas kõik seadmed ei pruugi tugevaimat krüpteeringut toetada. Lihtne testimine aitab seda kindlaks teha.<br />
<br />
=Sertifikaadi taotlemine ja eksport=<br />
Kuna me "Web enrollment" teenust ei paigaldanud, peab sertifikaate taotlema läbi AD'sse lisatud arvuti. Meie ainus server on ka domeenikontroller ning tavakasutajad ei saa vaikimisi domeenikontrollerisse logida. Selleks puhuks on domeeni lisatud Windows 7 virtuaalmasin.<br />
<br />
"Certificates" konsool pole otseselt kättesaadav, kuid auto-enrollment poliitikaga me hetkel ei tegele.<br />
==Sertifikaatide konsooli avamine==<br />
Käivita MMC halduskonsool, trükkides "Run" aknasse mmc.<br />
[[image:Enrollment1.png]]<br />
Avanenud aknas vajuta Ctrl+M, et lisada konsoolile laiendusi. Lisa Certificates ja jätka.<br />
[[image:Enrollment1.1.png]]<br />
==Sertifikaaditaotlusviisardi avamine==<br />
Tee paremklõps kaustal Personal ja vastavalt pildile ava uue sertifikaadi päringu viisard.<br />
[[image:Enrollment2.png]]<br />
==Before you begin==<br />
Kiire tutvustus - vajuta jätkamiseks "Next".<br />
[[image:Enrollment3.png]]<br />
==Select Certificate Enrollment Policy==<br />
Enrollment poliitikad meil puuduvad seega jätka vaikimisi valikuga.<br />
[[image:Enrollment4.png]]<br />
==Request Certificates==<br />
Vali "User" ja jätka.<br />
[[image:Enrollment5.png]]<br />
==Certificate Installation Results==<br />
Kui päring õnnestus (võrk, DNS, kasutajakonto korras), sulge viisard.<br />
[[image:Enrollment6.png]]<br />
==Sertifikaadi eksportimise viisard==<br />
Vastavalt pildile ava sertifikaadi eksportimise viisard. See on vajalik eksportimaks sertifikaati seadmetele, millel puudub muu ligipääs võrgule, näiteks PDA'd, isiklikud arvutid või eraldiseisvad seadmed (printerid vms). Seda saaks teha läbi Web Enrollmenti, aga see hetkel puudub.<br />
[[image:Enrollment7.png]]<br />
==Welcome to the Certificate Export Wizard==<br />
Väike tutvustus - jätka.<br />
[[image:Enrollment8.png]]<br />
==Export Private Key==<br />
Ekspordi sertifikaat koos privaatvõtmega - muidu ei saa ju sind tuvastada.<br />
[[image:Enrollment9.png]]<br />
==Export File Format==<br />
Kaasa vahepealsed sertifikaadid, kuna teised seadmed ei tea enne importimist midagi meie juursertifikaadist või vahepealsetest sertifikaatidest.<br />
[[image:Enrollment10.png]]<br />
==Password==<br />
Kaitse eksporditud sertifikaat parooliga - see võimaldab ju kasutajat tuvastada ning valedesse kätesse sattumisel palju pahandust põhjustada.<br />
[[image:Enrollment11.png]]<br />
==File to Export==<br />
Määra eksporditud faili asukoht.<br />
[[image:Enrollment12.png]]<br />
==Completing the Certificate Export Wizard==<br />
Kokkuvõte<br />
[[image:Enrollment13.png]]<br />
<br />
<br />
=Group Policy seaded WiFi RADIUS klientide halduseks=<br />
GP'ga tuntud levialad jms.<br />
<br />
© Mihkel Soomere 2010</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=Windows_Server_2008_RADIUS&diff=11151
Windows Server 2008 RADIUS
2010-05-31T14:11:41Z
<p>Msoomere: </p>
<hr />
<div>[[Category:Traadita side alused]]<br />
=Sissejuhatus=<br />
RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud.<br />
* Peaks töötama ka Windows Server 2008 R2 peal<br />
* Windows 2008 NPS on üsna keeruline tööriist, 2003 vastav teenus oli palju lihtsam.<br />
<br />
=Näidisinfrastruktuur=<br />
* Virtual PC 7 virtuaalmasin serveriga, jooksmas sülearvutis 1.<br />
* Windows Server 2008 eelnevalt paigaldatud. Vaata [[Windows Server administreerimine]]. Arvuti nimi TESTSRV.<br />
* Active Directory eelnevalt paigaldatud. Vaata [[Active Directory Domain Services]] Domeen test.internal, NETBIOS nimi TEST.<br />
* Tugijaam DD-WRT v24 beta, Linksys WRT54GL<br />
* Sülearvuti 1 Intel 5300, Windows 7 - Ethernet ühendatud Virtual PC ja tugijaama vahele<br />
* Sülearvuti 2 Intel 2945, Windows XP<br />
* PDA 1, Qualcomm, Windows Mobile 6.1 Professional <br />
* PDA 2, Qualcomm, Windows Mobile 6.5<br />
* IP võrk 192.168.63.0/24, staatiliselt määratud<br />
<br />
=Active Directory Certificate Services=<br />
Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama.<br />
<br />
NB! Kuna meil on domeenikontroller, CA ja RADIUS ühes masinas, tuvastab RADIUS server ennast juursertifikaadiga. Praktikas ei ole see soovitatav, aga hetkel "kärab küll".<br />
==Add Roles Wizard==<br />
Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs1.png]]<br><br />
==Introduction to Active Directory Certificate Services==<br />
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.<br><br />
[[image:Radiusadcs2.png]]<br><br />
==Select Role Services==<br />
Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".<br><br />
[[image:Radiusadcs3.png]]<br><br />
==Specify Setup Type==<br />
Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"<br><br />
[[image:Radiusadcs4.png]]<br><br />
==Specify CA Type==<br />
Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.<br><br />
[[image:Radiusadcs5.png]]<br><br />
==Set Up Private Key==<br />
Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.<br><br />
[[image:Radiusadcs6.png]]<br><br />
==Configure Cryptography for CA==<br />
Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka.<br><br />
[[image:Radiusadcs7.png]]<br><br />
==Configure CA Name==<br />
Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist.<br><br />
[[image:Radiusadcs8.png]]<br><br />
==Set Validity Period==<br />
Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka.<br><br />
[[image:Radiusadcs9.png]]<br><br />
==Configure Certificate Database==<br />
Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta.<br><br />
[[image:Radiusadcs10.png]]<br><br />
==Confirm Installation Selections==<br />
Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata.<br><br />
[[image:Radiusadcs11.png]]<br><br />
<br />
=Network Protection Services=<br />
==Add Roles Wizard==<br />
Vali rollide nimekirjast Network Policy and Access Services ja vajuta jätkamiseks Next.<br><br />
[[image:Radiusnps1.png]]<br />
==Network Policy and Access Services==<br />
Tutvustatakse erinevaid rolli võimalusi, jätka. <br><br />
[[image:Radiusnps2.png]]<br />
==Select Role Services==<br />
Vali rolliteenuste seast "Network Policy Server" ja jätka. Teised teenused pakuvad näiteks VPNi ja kliendi tarkvara turvakontrolli, kuid pole hetkel vajalikud. <br><br />
[[image:Radiusnps3.png]]<br />
==Confirm Installation Selections==<br />
Kinnita paigaldus vajutades "Install".<br><br />
[[image:Radiusnps4.png]]<br />
<br />
=Seadistamine EAP-PEAP (MS-CHAP2) ja PEAP jaoks=<br />
Käivita Network Policy Server konsool.<br />
==Register server in Active Directory==<br />
Esmalt registreeri NPS server AD's. Selle tegemiseks tee paremklõps konsoolipuu juurkaustal ja vajuta "Register server in Active Directory". See võimaldab NPS serveril audentida kliente AD kasutajatega.<br><br />
[[image:Nps1.png]]<br><br />
Palutakse luba lisada arvuti objekt gruppi, et lugeda kasutajate Dial-in seadeid. Kuigi NPS võib neid seadeid ignoreerida, on see soovitatav.<br><br />
[[image:Nps2.png]]<br><br />
Teiste domeeni kohta forestis tuleb seda käsitsi teha. Hetkel seda vaja pole, kuna teisi domeene pole.<br><br />
[[image:Nps3.png]]<br><br />
==Viisardi käivitamine==<br />
Kasutame NPS seadistamiseks viisardit. Olles NPS konsooli juurkaustas, on tegevuspaanis rippmenüü, kus saab valida erinevate stsenaariumite viisardeid. Vali "RADIUS server for 802.1X Wireless or Wired Connections" ja vajuta "Configure 802.1X".<br><br />
[[image:Nps4.png]]<br><br />
==Select 802.1X Connections Type==<br />
Vali "Secure Wireless Connections". Nime kohale võid kirjutada midagi äratuntavat.<br><br />
[[image:Nps5.png]]<br><br />
==Specify 802.1X Switches==<br />
Dialoogis saad lisada tugijaamu (authenticator).<br><br />
[[image:Nps6.png]]<br><br />
==New RADIUS Client==<br />
Tugijaama lisamise seadete dialoog. Kõik seadmed ei pruugi toetada nii pikka salasõna (shared secret). Maksimaalse pikkus peaks kirjas olema seadme dokumentatsioonis.<br><br />
[[image:Nps7.png]]<br><br />
==Configure an Authentication Method==<br />
Vali EAP-PEAP (Microsoft: Protected EAP), kuna paljud seadmed ei oska otseselt EAP-MSCHAPv2 kasutada. PEAP sisuliselt kapseldab MSCHAPv2 TLS tunnelisse. Ühest küljest võimaldab see serveril ennast korretse TLS sertifikaadiga tuvastada, kuid teisest küljest ei nõua kliendilt sertifikaati.<br><br />
[[image:Nps8.png]]<br><br />
==Specify User Groups==<br />
Saad piirata kasutajaid, kes võivad RADIUSes end tuvastada. Kui soovid, et arvutid (arvutid iseseisvalt, mitte kasutajad) vastavalt poliitikale iseseisvalt WiFisse logiks, tasub lisada ka grupp arvutitega. Teine variant on jätta kõik tühjaks, siis lubatakse ligi kõik kasutajad. Seda valikut saab hiljem täpsemalt määrata Conditions all.<br><br />
[[image:Nps11.png]]<br><br />
==Configure a Virtual LAN (VLAN)==<br />
VLANe hetkel pole, nii et ei puutu.<br><br />
[[image:Nps12.png]]<br><br />
==Käsitsi seaded==<br />
Mõned asjad nõuavad käsitsi muutmist, seega ava uue poliitika seaded.<br />
[[image:Nps14.png]]<br />
===Overview===<br />
Oluline linnuke on "Ignore user account dial-in properties". See määrab, kas NPS järgib AD õigusi kasutada dial-in ja VPN teenuseid. Vaikimisi on kasutajatel VPN või dial-up keelatud.<br />
[[image:Nps15.png]]<br />
===Conditions===<br />
Ühenduvad kliendid peavad ühilduma kõigi tingimustega, kui vastav tingimus on määratud. St kui tingimust pole määratud, siis seda ei kontrollita. Kui tingimus eksisteerib, peab klient sellele vastama.<br />
[[image:Nps16.png]]<br />
===Constraints===<br />
Constraints toimub sarnaselt Conditions'ile, kuid piirangud on eelmääratud.<br />
[[image:Nps17.png]]<br />
====Authentication Methods====<br />
Lisa nimekirja "Microsoft: Smart Card or other certificate" ehk maakeeli EAP-TLS. Windows Mobile puhul peab EAP-TLS toimimiseks olema nimekirjas esimene. Eemalda kõik ülejäänud linnukesed.<br />
[[image:Nps18.png]]<br />
===Settings===<br />
ABC<br />
====RADIUS Attributes====<br />
Standard RADIUS attributes all eemalda DD-WRT jaoks atribuut "Framed-Protocol".<br />
====Encryption====Encryption all eemalda kõik peale "Strongest encryption (MPPE 128-bit)". Samas kõik seadmed ei pruugi tugevaimat krüpteeringut toetada. Lihtne testimine aitab seda kindlaks teha.<br />
<br />
=Sertifikaadi taotlemine ja eksport=<br />
Kuna me "Web enrollment" teenust ei paigaldanud, peab sertifikaate taotlema läbi AD'sse lisatud arvuti. Meie ainus server on ka domeenikontroller ning tavakasutajad ei saa vaikimisi domeenikontrollerisse logida. Selleks puhuks on domeeni lisatud Windows 7 virtuaalmasin.<br />
<br />
"Certificates" konsool pole otseselt kättesaadav, kuid auto-enrollment poliitikaga me hetkel ei tegele.<br />
<br />
Käivita MMC halduskonsool, trükkides "Run" aknasse mmc.<br />
[[image:Enrollment1.png]]<br />
Avanenud aknas vajuta Ctrl+M, et lisada konsoolile laiendusi. Lisa Certificates ja jätka.<br />
[[image:Enrollment1.1.png]]<br />
Tee paremklõps kaustal Personal ja vastavalt pildile ava uue sertifikaadi päringu viisard.<br />
[[image:Enrollment2.png]]<br />
Kiire tutvustus - vajuta jätkamiseks "Next".<br />
[[image:Enrollment3.png]]<br />
Enrollment poliitikad meil puuduvad seega jätka vaikimisi valikuga.<br />
[[image:Enrollment4.png]]<br />
Vali "User" ja jätka.<br />
[[image:Enrollment5.png]]<br />
Kui päring õnnestus (võrk, DNS, kasutajakonto korras), sulge viisard.<br />
[[image:Enrollment6.png]]<br />
Vastavalt pildile ava sertifikaadi eksportimise viisard. See on vajalik eksportimaks sertifikaati seadmetele, millel puudub muu ligipääs võrgule, näiteks PDA'd, isiklikud arvutid või eraldiseisvad seadmed (printerid vms). Seda saaks teha läbi Web Enrollmenti, aga see hetkel puudub.<br />
[[image:Enrollment7.png]]<br />
Väike tutvustus - jätka.<br />
[[image:Enrollment8.png]]<br />
Ekspordi sertifikaat koos privaatvõtmega - muidu ei saa ju sind tuvastada.<br />
[[image:Enrollment9.png]]<br />
Kaasa vahepealsed sertifikaadid, kuna teised seadmed ei tea enne importimist midagi meie juursertifikaadist või vahepealsetest sertifikaatidest.<br />
[[image:Enrollment10.png]]<br />
Kaitse eksporditud sertifikaat parooliga - see võimaldab ju kasutajat tuvastada ning valedesse kätesse sattumisel palju pahandust põhjustada.<br />
[[image:Enrollment11.png]]<br />
Määra eksporditud faili asukoht.<br />
[[image:Enrollment12.png]]<br />
Kokkuvõte<br />
[[image:Enrollment13.png]]<br />
<br />
<br />
=Group Policy seaded WiFi RADIUS klientide halduseks=<br />
GP'ga tuntud levialad jms.<br />
<br />
© Mihkel Soomere 2010</div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment13.png&diff=11150
File:Enrollment13.png
2010-05-31T14:10:31Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment12.png&diff=11149
File:Enrollment12.png
2010-05-31T14:09:58Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment10.png&diff=11148
File:Enrollment10.png
2010-05-31T14:08:41Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment11.png&diff=11147
File:Enrollment11.png
2010-05-31T14:07:27Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment9.png&diff=11146
File:Enrollment9.png
2010-05-31T14:06:40Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment8.png&diff=11145
File:Enrollment8.png
2010-05-31T14:06:12Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment7.png&diff=11144
File:Enrollment7.png
2010-05-31T14:03:44Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment6.png&diff=11143
File:Enrollment6.png
2010-05-31T14:02:49Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment5.png&diff=11142
File:Enrollment5.png
2010-05-31T14:02:19Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment4.png&diff=11141
File:Enrollment4.png
2010-05-31T14:01:31Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment3.png&diff=11140
File:Enrollment3.png
2010-05-31T14:00:44Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment1.1.png&diff=11139
File:Enrollment1.1.png
2010-05-31T13:59:57Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment2.png&diff=11138
File:Enrollment2.png
2010-05-31T13:45:53Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere
https://wiki.itcollege.ee/index.php?title=File:Enrollment1.png&diff=11137
File:Enrollment1.png
2010-05-31T13:45:04Z
<p>Msoomere: </p>
<hr />
<div></div>
Msoomere