Weitere Informationen zu den General Settings finden Sie in den folgenden Kapiteln.
6mdm-Client – Konfigurationsaufgaben
Der Device properties dialog (Geräte-Eigenschaften), der Template properties dialog (Template-Eigenschaften), der Pool value properties dialog (Pool-Eigenschaften), sowie der VPN group properties dialog (VPN-Gruppe-Eigenschaften) werden jeweils für die Konfiguration von Geräten, Templates, Pools bzw. VPN-Gruppen verwendet. Aufgrund der großen Ähnlichkeit des Geräte- und Template-Dialogs werden die gemeinsamen Teile in diesem Kapitel behandelt.
In Kapitel 6.3.3 und Kapitel 6.4.3 wird auf die Unterschiede zwischen den beiden Dialogen eingegangen. Die Konfiguration der Pools wird in Kapitel 6.5.3 beschrieben. Ausführliche Informationen zum Konzept von Template und Erbe finden Sie in Kapitel 6.4.5 (Mit Templates arbeiten). Die Konfiguration der VPN-Gruppe wird in Kapitel 6.6.4 erläutert.
Auf der linken Seite des Dialogs finden Sie den Navigationsbaum ①, der der Menüstruktur der Webinterface des mGuard ähnelt. Im Gegensatz zur Webinterface des mGuard enthält der Navigationsbaum jedoch zusätzlich den Eintrag General Settings ②, der Templates und Geräteparameter enthält, die ausschließlich in mdm verwendet werden
|
Weitere Informationen zu den General Settings finden Sie in den folgenden Kapiteln. |
.
Navigationsbaum Kontextmenü
Der Navigationsbaum verfügt auch über ein Kontextmenü, dass durch Anklicken des Baums mit der rechten Maustaste geöffnet wird. Das Kontextmenü enthält verschiedene Einträge zum Auf-/Einklappen von Teilen des Baumes. Darüber hinaus zeigt das Kontextmenü die wichtigsten Verknüpfungen zum Zugriff auf Menüpunkte.
|
Navigationsbaum Kontextmenü |
||
|---|---|---|
|
Focus on Subtree |
Nur der Subtree des ausgewählten Knotens wird vollständig erweitert. Alle anderen aktuell erweiterten Knoten/Subtrees werden eingeklappt. |
|
|
Collapse All Other Nodes |
Alle Knoten, die momentan nicht ausgewählt sind, werden eingeklappt. |
|
|
Scroll to Active Node |
Wenn der aktuell ausgewählte Knoten noch nicht sichtbar ist, wird auf ihn fokussiert. |
|
|
Collapse |
Collapse All Nodes |
Alle Knoten werden eingeklappt. |
|
|
Collapse Selected Subtree |
Der ausgewählte Subtree wird eingeklappt. |
|
|
Collapse Selected Node |
Der ausgewählte Knoten wird eingeklappt. Die derzeit erweiterten Subtrees des Knotens werden wieder erweitert, wenn der Knoten erneut erweitert wird. |
|
Expand |
Expand All Nodes |
Alle Knoten werden vollständig erweitert. |
|
|
Expand Selected Subtree |
Der ausgewählte Subtree wird vollständig erweitert. |
|
|
Expand Selected Node |
Der ausgewählte Knoten wird erweitert (nur eine Ebene). |
|
|
Focus on Here Defined Nodes |
Alle Knoten mit Werten, die nicht vererbt werden, werden erweitert (d.h. Wertetypen, die auf custom oder local festgelegt sind). |
|
|
Focus on Inherited Nodes |
Alle Knoten mit vererbten Werten werden erweitert. |
|
|
Focus on Incomplete Nodes |
Alle Knoten mit vererbten "None" -Werten oder nicht erfüllten Poolreferenzen werden erweitert. |
mGuard-Konfiguration
Mit dem Navigationsbaum kann bequem zwischen den Variablen des mGuard navigiert werden. Durch Anklicken eines „Blatts“ des Baumes werden die entsprechenden Variablen des mGuard sowie die dazugehörigen Einstellungen an der rechten Seite ③ des Properties Dialogs angezeigt.
Abhängig von der Variable können verschiedene Wertetypen ausgewählt werden (beispielhaft für den Device properties dialog (Geräte-Eigenschaften) dargestellt, siehe unten).
|
Verschiedene Wertetypen von Variablen |
||
|---|---|---|
|
Variablen mit einem festen Wertesatz |
|
|
|
Inherited |
Setzen Sie die Variable auf den Standardwert oder auf den Wert, der in dem zugewiesenen Template (falls anwendbar) definiert ist. Auf die Verwendung von Templates und geerbten Werten wird in „Template-Eigenschaften (Template properties dialog)“ auf Seite 103 und „Mit Templates arbeiten“ auf Seite 110 eingegangen. |
|
|
Local |
Der mGuard unterstützt (unter anderem) zwei Rollen, den Admin, der alle Variablen des mGuard ändern kann, und den Netadmin, der nur lokale Variablen ändern kann. Der Wert für Local bestimmt, ob eine Variable lokal ist, d. h. ob sie durch den Netadmin am mGuard verwaltet werden kann. Zur Vermeidung von Konflikten zwischen mdm und dem Netadmin kann eine lokale Variable nicht mehr durch mdm verwaltet werden. |
|
|
Fixed values |
Eine Anzahl Fixed Values (feste Werte), die für diese Variable ausgewählt werden können. Welche Werte ausgewählt werden können, hängt von der Variablen ab. Im oben angegebenen Beispiel (siehe Abbildung) gibt es für die Variable Hostname mode die Fixed Values Provider defined und User defined. |
|
|
Verschiedene Wertetypen von Variablen |
||
|---|---|---|
|
Variablen mit einem editierbaren Wert |
|
|
|
|
Inherited |
Siehe oben. |
|
|
Local |
Siehe oben. |
|
|
Custom |
Bei der Auswahl der Werteeingabe Custom wird die Combobox editierbar und Sie können einen spezifischen Wert für die Variable eingeben, beispielsweise prod2975 im oben gezeigten Beispiel. Der eingegebene Wert wird daraufhin in der Combobox angezeigt und kann ausgewählt werden. |
|
Verschiedene Wertetypen von Variablen |
||
|---|---|---|
|
Tabellenvariablen (z. B. Firewall-Regeln für eintreffende Daten) |
Tabellenvariablen ermöglichen die folgenden Auswahlen (weitere Informationen zu Tabellen siehe „mGuard Tabellenvariablen ändern“ auf Seite 72). 
|
|
|
|
Inherited |
Setzen Sie die Variable auf die Standardzeile oder auf die Zeile, die in dem zugewiesenen Template (falls anwendbar) definiert ist. Die geerbten Zeilen werden am Anfang der Tabelle in einer anderen Farbe dargestellt und können weder editiert noch ausgewählt werden. Auf die Verwendung von Templates und geerbten Werten wird in „Template-Eigenschaften (Template properties dialog)“ auf Seite 103 und „Mit Templates arbeiten“ auf Seite 110 eingegangen. |
|
|
Local |
Siehe oben. |
|
|
Custom |
Bei Auswahl von Custom werden die Tabelle und die dazugehörigen Menüelemente aktiviert. In einem Template definierte Tabellenzeilen können vom Template in das Gerät kopiert werden. Sie können gelöscht oder editiert werden, oder neue Zeilen können im Device properties dialog (Geräte-Eigenschaften) hinzugefügt werden (gilt nur in bestimmten Fällen: siehe Punkt „Verhalten“ unten). 
Verhalten (Nur mit Berechtigung May override ): Generell: Normalerweise wird die Tabelle durch Umschalten von Inherited zu Custom vollständig überschrieben, d. h. der im Template definierte Tabelleninhalt wird auf dem Gerät nicht behalten, sondern es werden Standard-Tabellenzeilen eingerichtet (z. B. Firewall-Regeln für ausgehenden Datenverkehr). Ausnahme: Wenn die Tabelle nicht über eine Standardzeile verfügt (wenn sie z. B. leer ist), wird nach Wechseln von Inherited zu Custom der vom Template geerbte Tabelleninhalt der Einfachheit halber in die Tabelle Custom auf dem Gerät in Form neuer Zeilen kopiert (z. B. Firewall-Regeln für eingehenden Datenverkehr). Workaround für den generellen Fall: Im generellen Fall besteht die Möglichkeit, das Kopieren geerbter Tabellenzeilen zu erzwingen: Richten Sie die Tabelle als Custom ein, löschen Sie die Standard-Zeile(n), setzen Sie die Tabelle wieder auf Inherited und anschließend erneut auf Custom. In der damit erstellten Custom-Tabelle sind die Zeilen aus dem übergeordneten Template kopiert. 
|
|
|
Custom + Locally appendable (nur Device properties dialog (Geräte-Eigenschaften)) |
Im Prinzip wie Custom, aber mit dieser Option kann der Benutzer Netadmin dem mGuard weitere Zeilen hinzufügen. (Die in mdm definierten Zeilen können nicht durch den Benutzer Netadmin am mGuard editiert oder gelöscht werden.) |
|
Verschiedene Wertetypen von Variablen |
||
|---|---|---|
|
Komplexe Tabellenvariablen (z. B. VPN-Verbindungen) |
Anders als „normale“ Tabellenvariablen werden durch Hinzufügen oder Löschen von Zeilen von einer komplexen Tabellenvariablen zusätzlich Knoten am Navigationsbaum gelöscht oder hinzugefügt. Ein Beispiel für eine komplexe Tabellenvariable sind die VPN-Verbindungen: eine VPN-Verbindung wird durch eine Tabellenzeile in der Übersichtstabelle und einen zusätzlichen Knoten im Navigationsbaum dargestellt, in dem die Einstellungen für die Verbindung vorgenommen werden können. Hinweis: die Zellen komplexer Tabellen sind nicht editierbar, d. h. alle Einstellungen müssen in den Blättern der Knoten am Navigationsbaum vorgenommen werden. Komplexe Tabellenvariablen ermöglichen die folgenden Auswahlen (weitere Informationen zu Tabellen siehe „mGuard Tabellenvariablen ändern“ auf Seite 72). 
|
|
|
|
Inherited |
Das Verhalten ist grundsätzlich das gleiche wie oben für die „normalen“ Variablen beschrieben. Wenn als komplexe Tabellenvariable inherited ausgewählt wird, sind alle Zeilen aus einem Template, die auch als Knoten im Navigationsbaum angezeigt werden, schreibgeschützt. Auf die Verwendung von Templates und geerbten Werten wird in „Template-Eigenschaften (Template properties dialog)“ auf Seite 103 und „Mit Templates arbeiten“ auf Seite 110 eingegangen. |
|
|
Custom |
Bei Auswahl von Custom werden die Tabelle und die dazugehörigen Menüelemente aktiviert. Im Gegensatz zu „normalen“ Tabellenvariablen werden die geerbten Tabellenzeilen beim Wechsel zu Custom nicht aus dem Template ins Gerät kopiert. Geerbte Zeilen können nicht gelöscht werden, aber nach Auswahl von Custom sind sie editierbar. Hinweis: Ändern oder Bearbeiten der Zeilen ändert nicht die Zeilen im Template. Sie können der Tabelle auch neue Zeilen (Knoten) hinzufügen. 
|
Zusätzliche Konfiguration im Template
Im Template properties dialog (Template-Eigenschaften) finden Sie zusätzliche Einstellungen für die Variablen. Diese Einstellungen werden in „Template-Eigenschaften (Template properties dialog)“ auf Seite 103 erläutert.
6.1.3Anzeige einer ungültigen Eingabe
Ungültige Eingaben werden sofort durch eine rote Bezeichnung der Variablen und Fehlersymbolen im Navigationsbaum angezeigt, wie in der folgenden Abbildung für die externe IP-Adresse dargestellt:
Bild 6-1: Prüfung der Eingabe/ungültige Eingabe
Das Symbol 
in den Blättern des Navigationsbaumes (siehe folgende Abbildung) zeigt an, dass eine Variable in diesem Blatt geändert, diese Änderung aber noch nicht übernommen wurde.
Bild 6-2: Anzeige nicht übernommener Änderungen
Das Symbol 
in den Blättern des Navigationsbaumes (siehe folgende Abbildung) zeigt an, dass Einstellungen in dem entsprechenden Blatt geändert und die Änderungen übernommen wurden.
Bild 6-3: Anzeige übernommener Änderungen
6.1.5Anzeige eines „None“-Werts oder eines erschöpften Pools
Das Symbol 
in den Blättern des Navigationsbaumes (siehe folgende Abbildung) zeigt entweder an,
–dass in einem der übergeordneten Templates ein „None“-Wert ausgewählt wurde, der noch nicht in der Templatehierarchie überschrieben (gesetzt) wurde oder
–das ein erschöpfter (nicht ausreichend gefüllter) Pool ausgewählt wurde.
Bild 6-4: Anzeige eines None-Werts
6.1.6mGuard Tabellenvariablen ändern
In der folgenden Abbildung ist ein Beispiel für eine Tabellenvariable dargestellt (Firewall-Regeln für eingehende Dateien):
Bild 6-5: Ändern von Tabellenvariablen
Zeilen hinzufügen, löschen, kopieren oder verschieben
Mit den entsprechenden Schaltflächen können Sie Zeilen hinzufügen, löschen, kopieren oder verschieben.
Wenn keine Zeile markiert ist, klicken Sie auf die Schaltfläche Add, um eine Zeile zum Anfang der Tabelle hinzuzufügen. Sind bereits eine oder mehrere Zeilen markiert, wird die neue Zeile unter der letzten markierten Zeile eingefügt.
Die Schaltfläche Delete ist nur aktiv, wenn mindestens eine Zeile markiert ist. Mit dieser Schaltfläche werden die markierten Zeilen gelöscht.
Die Schaltfläche Copy ist nur aktiv, wenn mindestens eine Zeile markiert ist. Mit dieser Schaltfläche können markierte Zeilen kopiert und unter der letzten markierten Zeile eingefügt werden.
Die Schaltflächen Move sind nur aktiv, wenn mindestens eine Zeile markiert ist. Klicken Sie auf 
, um die aktuelle Auswahl um eine Zeile nach oben zu verschieben, und 
, um sie nach unten zu verschieben.
|
Die Schaltflächen Add, Delete, Copy und Move sind nur bei Auswahl von Custom oder Custom + locally appendable aktiv. Siehe Abschnitt mGuard-Konfiguration oben. |
Tabellenzeilen markieren
Durch Anklicken einer Tabellenzeile mit der linken Maustaste können Sie diese Zeile markieren. Klicken Sie zum Markieren mehrerer zusammenhängender Zeilen mit der linken Maustaste auf die oberste und unterste Zeile der gewünschten Auswahl und halten Sie dabei die <Umschalttaste> gedrückt.
Durch Anklicken der linken Maustaste und gleichzeitigem Drücken der Taste <Strg> können Sie Zeilen zu Ihrer Auswahl hinzufügen oder daraus entfernen.
Tabellenzellen ändern
Führen Sie zum Bearbeiten einer Tabellenzelle mit der linken Maustaste einen Doppelklick darauf aus. (Mit einem einfachen Klick wird die Zeile markiert).
Ungültige Werte in Tabellen
Ein ungültiger Wert in einer Tabelle wird nicht im Navigationsbaum angezeigt, die Zelle wird jedoch rot markiert. Wenn Sie in eine Zelle einen ungültigen Wert eingeben und die Zelle anschließend verlassen, beispielsweise durch Anklicken eines anderen Knotens im Navigationsbaum, wird der ungültige Eintrag durch den letzten übernommenen (gültigen) Wert ersetzt.
In Firewall-Tabellen gilt: Wenn das gewählte Protokoll weder TCP noch UDP ist, wird der konfigurierte Port ignoriert. Die Zelle wird in diesen Fällen gelb markiert.
Zeilenfarben
Die Zeilen einer Tabelle können in verschiedenen Farben angezeigt werden, je nach Art der Zeile. Geerbte Reihen von einem übergeordneten Template werden in Rot, Grün oder Grau dargestellt:
–grüne Zeilen können bearbeitet werden,
–rote Zeilen können nicht bearbeitet oder gelöscht werden
–bei grauen Zeilen handelt es sich um geerbte Standardzeilen (die geändert werden können).
|
Um eine grüne oder graue Zeile ändern zu können, muss der Tabellenwert von Inherited zu Custom geändert werden. |
Bild 6-6: Farben von Tabellenzeilen
Kontextmenü
Tabellen können auch über das Kontextmenü bearbeitet werden. Klicken Sie die Tabelle mit der rechten Maustaste an. Das folgende Menü wird angezeigt:
Bild 6-7: Kontextmenü
6.1.7Komplexe Tabellenvariablen ändern
Definition einer komplexen Tabellenvariable siehe Abschnitt mGuard-Konfiguration oben. Grundsätzlich gilt der vorhergehende Abschnitt auch für komplexe Tabellenvariablen. Es bestehen jedoch einige Unterschiede, die der Benutzer kennen muss.
In der folgenden Abbildung ist ein Beispiel für eine komplexe Tabellenvariable dargestellt (VPN-Verbindungen):
Bild 6-8: Ändern komplexer Tabellenvariablen
Bei einer komplexen Tabelle können die Zeilen nicht verschoben werden (hier fehlen die entsprechenden Schaltflächen). Darüber hinaus sind bei komplexen Tabellen die Zellen nicht editierbar. Durch das Hinzufügen einer Zeile zu einer komplexen Tabelle wird auch ein Knoten im Navigationsbaum hinzugefügt (siehe Bild 6-8).
|
Die Schaltflächen Add, Copy und Delete sind nur bei Auswahl von Custom oder Custom + locally appendable aktiv. Siehe Abschnitt mGuard-Konfiguration oben. |
6.1.8Änderungen in die Konfiguration übernehmen
An der Konfiguration vorgenommene Änderungen werden über die Schaltfläche Apply (am unteren Rand des Dialogs) dauerhaft gespeichert. Wenn Sie Änderungen vornehmen, ohne sie zu übernehmen, können Sie diese durch Schließen des Dialogs über die Schaltfläche Cancel verwerfen. Sie können Ihre Änderungen auch durch Schließen des Dialogs über die Schaltfläche OK übernehmen.
|
Hinweis: Die Konfiguration wird nach Übernahme einer Änderung nicht automatisch an den mGuard übertragen. Zur Übertragung der Konfiguration an einen mGuard müssen Sie die Konfigurationsdatei in den mGuard laden (siehe Kapitel 7.1). |
6.2Standardwerte (Default values)
Wird in der mGuard-Firmware ein Standardwert (Default value) geändert, so ist die Verwaltung dieses Wertes in mdm betroffen:
1.wenn die Firmware-Version eines verwalteten Geräts auf eine Firmwareversion mit geändertem Standardwert aktualisiert wird,
2.wenn ein erbendes „Kind“, das eine andere mGuard-Firmwareversion besitzt als seine Eltern, einen Wert mit einem anderen Standardwert erbt.
Das damit verbundene Verhalten von mdm wird nachfolgend beschrieben.
6.2.1Verhalten von geänderten Standardwerten
In mGuard-Firmwareversion 8.5 und 8.6 wurden folgende Standardwerte (Default values) geändert (siehe Tabelle 6-1 auf Seite 76).
|
Geändert in Version |
Pfad zum Wert in der mGuard-Weboberfläche |
Alter Wert |
Neuer Wert |
|
8.5.0 |
IPsec VPN >> Connections >> EDIT >> IKE Options >> ISAKMP SA (Key Exchange) |
3DES (Verschlüsselung) |
AES-256 |
|
8.5.0 |
IPsec VPN >> Connections >> EDIT >> IKE Options >> IPsec SA (Data Exchange) |
3DES (Verschlüsselung) |
AES-256 |
|
8.6.0 |
CIFS Integrity Monitoring >> CIFS Integrity Checking >> Settings >> Checking of Shares |
SHA-1 (Hash) |
SHA-256 |
|
8.6.0 |
OpenVPN Client -> Connections >> EDIT >> Tunnel Settings >> Data Encryption |
Blowfish (Verschlüsselung) |
AES-256 |
|
8.6.0 |
Redundancy >> Firewall Redundancy >> Redundancy >> Encrypted State Synchronization |
3DES (Verschlüsselung) |
AES-256 |
|
8.6.0 |
SHA-1 (Hash) |
SHA-256 |
|
|
8.5.0 |
Network Security >> Packet Filter >> Incoming/Outgoing |
Siehe mGuard-Firmwarehandbuch 8.5.x für weitere Informationen, avaliableonline |
|
Wenn ein Gerät/Template auf eine mGuardFirmwareversion (8.5 oder 8.6) upgegradet wird und ein neuer Standardwert (Default value) vom alten Standardwert abweicht (siehe Tabelle oben), gilt Folgendes:
Wenn der Standardwert (Default value) in der Standardkonfiguration (Default configuration) ist und vererbt wird (entlang der gesamten Vererbungskette), wird der alte Standardwert nach dem Upgrade beibehalten. In diesem Fall wird der Wertetyp (der Tabelle) von „Inherited“ auf „Custom“ geändert (Value type).
6.2.2Vererbung von geänderten Standardwerten
Die Vererbung geänderter Standardwerte (Default values) hängt von der installierten mdm-Version und der mGuard-Firmwareversion des betroffenen Gerätes/Templates ab.
Allgemeines Verhalten in mdm < 1.8.0:
Wenn sich die Standardwerte (Wertetyp = "Inherited" und nicht "Local" oder "Custom") des „Kindes“ von den Standardwerten der „Mutter“ (Wertetyp = "Inherited" entlang der vollständigen Vererbungskette) unterscheiden, verhält sich die Vererbung wie folgt:
1.Das „Kind“ behält die Standardwerte, die der Firmwareversion des „Kindes“ entsprechen. Der Wertetyp bleibt "Inherited".
Allgemeines Verhalten in mdm 1.8.0 oder höher:
Wenn sich die Standardwerte (Wertetyp = "Inherited" und nicht "Local" oder "Custom") des „Kindes“ von den Standardwerten der „Mutter“ (Wertetyp = "Inherited" entlang der vollständigen Vererbungskette) unterscheiden, verhält sich die Vererbung wie folgt:
1.Standardwerte, die in mGuard Firmwareversionen < 8.5 geändert wurden:
–Das „Kind“ behält die Standardwerte, die der Firmwareversion des „Kindes“ entsprechen. Der Wertetyp bleibt "Inherited".
2.Standardwerte, die in mGuard Firmwareversion 8.5 oder höher geändert wurden:
–Das „Kind“ erbt die Standardwerte der „Mutter“. Der Wertetyp bleibt "Inherited".
6.3.1Geräte-Übersicht (Device overview table)
Klicken Sie auf die Registerkarte Device, um die Geräte-Übersicht (Device overview table) aufzurufen:
Bild 6-9: mdm Hauptfenster mit Gerätetabelle
Spalten der Gerätetabelle
Die Geräte-Übersicht (Device overview table) enthält folgende Spalten (siehe unten).
|
Setzen Sie zum Ändern der Spaltenbreite den Cursor in die Kopfzeile der Tabelle an die Grenze zwischen zwei Spalten und ziehen Sie bei gedrückter linker Maustaste die Grenze in die gewünschte Richtung. Setzen Sie zum Verschieben einer Spalte den Cursor in die Kopfzeile der Tabelle und ziehen Sie bei gedrückter linker Maustaste die Spalte an den gewünschten Platz. |
|
Geräte-Übersicht (Device table columns) |
||
|---|---|---|
|
Status C |
Die mit C gekennzeichnete Spalte stellt den Konfigurationsstatus des Geräts dar und zeigt an, ob die Konfiguration des mGuard von der Konfiguration des Geräts in mdm abweicht. Der Konfigurationsstatus kann folgende Werte aufweisen. |
|
|
|
Unknown |
mdm kann nicht bestimmen, ob Ihr mGuard eine aktuelle Konfiguration aufweist. |
|
|
OK |
Die Konfiguration in mdm ist mit der aktuellen Konfiguration Ihres mGuard identisch. |
|
|
Changed |
Die Konfiguration in mdm weicht von der aktuellen Konfiguration Ihres mGuard ab, d. h. die mit mdm vorgenommenen Änderungen wurden noch nicht in das Gerät geladen. |
|
|
Locked |
Die Konfiguration ist derzeit durch einen anderen Benutzer gesperrt. Dies ist zum Beispiel der Fall, wenn der Device properties dialog (Geräte-Eigenschaften) oder der Template properties dialog (Template-Eigenschaften) eines zugewiesenen Templates durch einen anderen Benutzer geöffnet wurde. 
|
|
Status U |
Die mit U gekennzeichnete Spalte stellt den Upload-Status des Geräts dar und zeigt ein ausstehendes Upload bzw. das Ergebnis des letzten Uploads an. Informationen zum Hochladen von Konfigurationen in die Geräte finden Sie in „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. Der Upload-Status kann folgende Werte aufweisen. |
|
|
|
Unknown |
mdm konnte den Status noch nicht bestimmen, da kein Upload stattgefunden hat. |
|
|
Up to date |
Die Konfiguration am Gerät wurde nicht geändert, da sie bereits auf dem neuesten Stand war. |
|
|
Updated
|
Die Gerätekonfiguration wurde aktualisiert. |
|
|
Configuration exported |
Die Konfigurationsdateien wurden erfolgreich in das Dateisystem exportiert. |
|
|
Pull feedback received |
Der mdm-Server hat eine Rückmeldung von einem Konfigurations-Pull (Configuration Pull) vom HTTPS-Server erhalten, aber es konnte nicht festgestellt werden, ob die Konfiguration am Gerät jetzt auf dem neuesten Stand ist. Dieser Status zeigt an, dass das Gerät eine Konfigurationsdatei gezogen, aber diese noch nicht übernommen hat, oder dass die Konfiguration veraltet ist, weil sie nach dem Export auf den HTTPS-Server in mdm geändert wurde. |
|
|
Device credential update |
Zeigt an, dass der SSH-Host Key zurückgesetzt wurde. |
|
|
Configuration |
mdm zeigt an, dass die aktuelle Konfiguration ungültig ist, z. B. ein None-Wert(siehe „Template-Konfiguration“ auf Seite 108) im Template nicht im Gerät überschrieben wurde. |
|
|
Upload or export error |
Ein permanenter Fehler ist aufgetreten und mdm kann diesen nicht beheben oder die maximale Anzahl an Versuchen für das Pushen der SSH-Konfiguration wurde erreicht, ohne dass auf den mGuard zugegriffen werden konnte. Die Ursache des Fehlers wird im Protokollfenster angezeigt. – Host authentication failed – User authentication failed – I/O failed / Upload failed – Concurrent configuration upload – Configuration rejected |
|
|
Upload timeout |
Diese Meldung zeigt an, dass die SSH-Verbindung zum Gerät aufgrund einer Zeitüberschreitung beendet wurde, d. h. das Gerät hat auf die vom mdm generierten Befehle innerhalb eines vorgegebenen (konfigurierbaren) Zeitrahmens nicht reagiert. Falls die Konfiguration sehr viele VPN-Verbindungen enthält, muss dieser Zeitrahmen möglicherweise erweitert werden, siehe Kapitel 10.1, Knoten service » storage » update » ssh » deadPeerDetectionTimeout ( „Key deadPeerDetectionTimeout“ auf Seite 195). |
|
|
License could not be installed |
Diese Meldung weist darauf hin, dass eine mGuard Lizenzdatei nicht auf dem Gerät installiert werden konnte. |
|
|
Pull configuration rolled back |
Diese Meldung zeigt an, dass die vom Gerät gezogene Konfiguration zurückgerollt wurde. |
|
|
Pull configuration blocked due to previous rollback |
Diese Meldung weist darauf hin, dass eine Konfiguration aufgrund eines früheren Rollback blockiert ist. |
|
|
Saving configuration for rollback failed |
Diese Meldung zeigt an, dass die Rollback-Konfiguration nicht gespeichert werden konnte, die Konfiguration wurde nicht übernommen. |
|
|
Pulled configuration invalid |
Diese Meldung zeigt an, dass das Gerät eine ungültige Pull-Konfiguration erkannt hat und die Konfiguration daher nicht übernommen wurde. |
|
|
Firmware upgrade failed |
Das geplante Firmware-Upgrade ist fehlgeschlagen. |
|
|
Queued for upload or export |
Das Gerät befindet sich derzeit in der Warteschlange für einen Upload. Je nach den Einstellungen für configuration push retries und waiting time between retries kann sich das Gerät für einige Zeit in der Warteschlange befinden. |
|
|
Upload or export running |
Der Zugriff auf das Gerät war erfolgreich und die Konfigurationsdatei wird gerade hochgeladen. |
|
|
Requeued for upload or export |
Wenn nicht auf das Gerät zugegriffen werden kann, wird es erneut in die Warteschlange verschoben und nach waiting time between retries beginnt der Upload erneut. Wenn nach configuration push retries kein Zugriff auf das Gerät möglich ist, wird ein Fehler angezeigt. Dieses Symbol wird auch während eines laufenden Firmware-Upgrades angezeigt, da mdm vom Gerät in regelmäßigen Abständen das Ergebnis des Firmware-Upgrades abfragt. |
|
Management ID |
In dieser Spalte wird die Management-ID des Geräts angezeigt. |
|
|
Templates |
In dieser Spalte wird eine durch Kommas getrennte Liste der übergeordneten Templates des Geräts angezeigt. Der erste Punkt auf der Liste ist das unmittelbar übergeordnete Template. |
|
|
Status V |
In der mit V gekennzeichneten Spalte wird der VPN-Gruppenstatus angezeigt. |
|
|
|
Not a member of a VPN group |
Wird mit der Maus über die beiden letztgenannten Symbole gefahren, zeigt der Mauszeiger eine Quickinfo mit einer Aufzählung der VPN-Gruppen an, zu denen das Gerät gehört. |
|
|
Member of exactly one VPN group |
|
|
|
Member of more than one VPN group |
|
|
Version |
In diese Spalte wird die aktuell in mdm für dieses Gerät ausgewählte Firmwareversion angezeigt. |
|
|
Status F |
In der mit F gekennzeichneten Spalte wird der Firmwarestatus angezeigt. |
|
|
|
Unknown |
Der Status ist unbekannt. |
|
|
OK |
Das Firmware-Upgrade war erfolgreich und die in mdm konfigurierte Firmwareversion entspricht der Firmwareversion des Geräts. |
|
|
Upgrade scheduled |
Das Upgrade ist vorgesehen. |
|
|
Upgrade running |
Das Upgrade läuft. |
|
|
Version mismatch |
Die in mdm konfigurierte Firmwareversion und die Firmwareversion des Geräts stimmen nicht überein. |
|
|
Fehler |
Während des Firmware-Upgrades ist ein Fehler aufgetreten. |
|
Version on device |
In dieser Spalte wird die aktuell auf dem Gerät installierte Firmwareversion angezeigt. Weitere Informationen finden Sie unter „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93. Wenn das Gerät im Redundanzmodus betrieben wird (nähere Informationen siehe „Redundanzmodus“ auf Seite 156), werden die Firmwareversionen beider Geräte mit Komma getrennt angezeigt. |
|
|
Accessible via |
In dieser Spalte wird die IP-Adresse bzw. der Hostname angezeigt, der von mdm für den Zugriff auf das Gerät verwendet wird. Diese Adresse kann in den General settings des Device properties dialogs (Geräte-Eigenschaften) konfiguriert werden (siehe „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93). Ohne eine Accessible via-Adresse können weder Konfigurationen auf das Gerät geschoben, ATV-Konfigurationsprofile importiert, noch dessen Webinterface geöffnet werden. Hinweis: Diese Adresse entspricht möglicherweise nicht den internen oder externen Adressen des mGuard bei Verwendung von NAT. Wenn ein SSH-Port manuell unter General settings eingestellt wurde oder von dem konfigurierten Port (Port for incoming SHH connections) bezogen wird, wird er ebenfalls angezeigt. Wenn das Gerät im Redundanzmodus betrieben wird (nähere Informationen siehe „Redundanzmodus“ auf Seite 156), werden die Accessible via-Adressen beider Geräte mit Komma getrennt angezeigt. |
|
|
Upload scheduled at |
In dieser Spalte werden Datum und Uhrzeit des nächsten für dieses Gerät geplanten Konfigurations-Upload angezeigt. |
|
|
Serial number |
In dieser Spalte wird die Seriennummer dieses Geräts angezeigt (siehe „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93). Wenn das Gerät im Redundanzmodus betrieben wird (nähere Informationen siehe „Redundanzmodus“ auf Seite 156), werden die Seriennummern beider Geräte mit Komma getrennt angezeigt. |
|
|
Pull config filename |
Bei einem Export der Konfiguration in das Dateisystem wird eine eindeutige ID als Name der Konfigurationsdatei verwendet. Der Dateiname der Konfiguration wird in dieser Spalte angezeigt. |
|
|
Location |
In dieser Spalte wird der Wert der SNMP Location Variable (SYS_LOCATION) angezeigt. Bei einem leeren Ort wird ein „–“ angezeigt. Wenn das Gerät im Redundanzmodus betrieben wird (nähere Informationen siehe „Redundanzmodus“ auf Seite 156) und für jedes physische Gerät unterschiedliche Orte eingestellt sind, werden die Standorte beider Geräte mit Komma getrennt angezeigt. |
|
|
Hardware |
In dieser Spalte wird die Hardwarekonfiguration des Geräts angezeigt. Weitere Informationen dazu erhalten Sie unter „Hardwarekonfigurationen“ auf Seite 58. |
|
|
Status K |
In der mit K gekennzeichneten Spalte werden die Größe der kryptografischen Schlüssel von ssh und https für den mGuard angezeigt. Die Größe wird bei jedem Zugriff des mdm auf den mGuard aktualisiert (nur wenn Firmwareversion ab 7.5 installiert ist). mGuard-Geräte mit einer früheren Firmwareversion als 7.5 aktualisieren diese Angaben nicht. |
|
|
|
Unknown |
Die Größe ist unbekannt. |
|
|
1024 bits |
Die Größe beträgt 1024 bit. |
|
|
2048 bits |
Die Größe beträgt 2048 bit. |
|
|
Key renewal scheduled |
Es wird empfohlen, Schlüssel mit 1024 bit zu erneuern (weiterführende Informationen siehe „Set Current Device Credentials“ auf Seite 91“). |
|
Last sync |
Die Spalte zeigt das Datum an, an dem jedes Gerät zuletzt erfolgreich mit mdm synchronisiert wurde. Synchronisierung bedeutet entweder ein Update via –SSH-Upload auf das Gerät (upload via SSH), –Pull-Export zum Gerät über einen HTTPS-Konfigurationspullserver + Rückmeldung (prepare pull configuration) oder –Online-Import von dem Gerät nach mdm (Import ATV Profile). 
Die Spalte kann durchsucht und chronologisch sortiert werden. |
|
Tabelle filtern und sortieren
Mit der Kopfzeile der Tabelle können die Einträge sortiert werden. Durch Anklicken der Kopfzeile einer Spalte wird die (primäre) Sortierung anhand dieser Spalte aktiviert. Dies wird durch einen Pfeil in der Kopfzeile angezeigt. Durch einen zweiten Klick auf dieselbe Kopfzeile erfolgt die Sortierung in umgekehrter Reihenfolge. Durch Anklicken einer weiteren Spalte wird anhand dieser neuen Spalte sortiert, wobei die vorher aktive Spalte als zweites Kriterium für die Sortierung herangezogen wird.
In der ersten Tabellenzeile wird die Eingabe regulärer Ausdrücke akzeptiert (siehe „Glossar“ auf Seite 205, Regular expressions), die zum effizienten Filtern der Tabelleneinträge verwendet werden können. Bei Spalten, die keinen Text enthalten (Spalten C, U, V und F) kann nicht auf der Grundlage regulärer Ausdrücke gefiltert werden.
Der Filterverlauf wird für den aktuellen Benutzer gespeichert und kann über die Dropdown-Funktion der Filterfelder aufgerufen werden.
Geräte anlegen
Neue Geräte können auf mehrere Arten angelegt werden:
1.Öffnen Sie das Kontextmenü durch einen Rechtsklick auf das Gerät. Klicken Sie im Kontextmenü auf Add, um den Device properties dialog (Geräte-Eigenschaften) für einen neuen mGuard zu öffnen.
2.Klicken Sie auf die Registerkarte Device und hier auf das Symbol 
in der Menüleiste und öffnen Sie den Device properties dialog für einen neuen mGuard.
3.Klicken Sie im Hauptmenü auf New » Device um den Device properties dialog für einen neuen mGuard zu öffnen.
4.Klicken Sie im Hauptmenü auf New » Device Import um neue Geräte zu importieren.
Geräte bearbeiten
Ein Gerät kann auf mehrere Arten bearbeitet werden:
1.Führen Sie mit der linken Maustaste einen Doppelklick auf das Gerät in der Tabelle aus, um den Device properties dialog zu öffnen.
2.Wählen Sie mit der linken Maustaste das Gerät aus und öffnen Sie durch einen Rechtsklick das Kontextmenü. Öffnen Sie den Device properties dialog durch Klicken auf Edit.
3.Wählen Sie in der Gerätetabelle das zu ändernde Gerät. Klicken Sie im Hauptmenü auf Edit » Edit Item um den Device properties dialog zu öffnen.
Geräte löschen
Geräte können auf mehrere Arten gelöscht werden:
1.Wählen Sie in der Gerätetabelle eines oder mehrere Geräte aus und öffnen Sie das Kontextmenü durch einen Klick mit der rechten Maustaste. Klicken Sie im Kontextmenü auf Delete um ein Gerät zu löschen.
2.Markieren Sie in der Tabelle die zu löschenden Geräte und klicken Sie in der Menüleiste auf das Symbol 
.
6.3.2Geräte-Kontextmenü (Device context menu)
Das Geräte-Kontextmenü (Device context menu) enthält die folgenden Einträge (siehe unten).
|
Geräte-Kontextmenü (Device context menu) |
||
|---|---|---|
|
|
Add |
Neues Gerät anlegen und den Device properties dialog (Geräte-Eigenschaften) des neuen Geräts öffnen. |
|
|
Edit |
Ausgewähltes Gerät bearbeiten (nur aktiv, wenn genau ein Gerät in der Übersichtstabelle markiert ist). |
|
|
Duplicate |
Öffnen Sie zum Erstellen einer Gerätekopie durch einen Klick mit der rechten Maustaste auf das Gerät in der Tabelle das Kontextmenü dieses Geräts. Klicken Sie im Kontextmenü auf Duplicate. mdm erstellt eine Kopie des Geräts und fügt zur Management-ID des neuen Geräts den String _copy<n> (<n> ist eine Zahl) hinzu. Hinweis: Der Menüeintrag Duplicate ist nur aktiviert, wenn in der Tabelle genau ein Gerät markiert ist. |
|
|
Import ATV Profile |
ATV-Profile in die ausgewählten Geräte importieren: 
Bild 6-10: ATV-Import Für den Import eines Profils stehen folgende Möglichkeiten zur Verfügung: Select Inherited where possible Bei Auswahl dieser Option werden die Variablen, für die der importierte Wert (d. h. der Wert im ATV-Profil) gleich dem geerbten Wert ist, auf Inherited gesetzt. Andernfalls werden alle im Profil enthaltenen Variablen ungeachtet ihres Werts auf Custom gesetzt. |
|
|
|
Ignore table rows added by the netadmin user Vom lokalen Netadmin-Benutzer am mGuard erstellte Tabellenzeilen werden nicht importiert. Select from File/Device Bei Auswahl File wird das zu importierende ATV-Profil als Datei hochgeladen. Diese Möglichkeit steht nur zur Verfügung, wenn ein ATV-Import in ein Einzelgerät durchgeführt wird. Bei Auswahl Device lädt mdm das ATV-Profil vom mGuard herunter. Dafür muss sich mdm mit dem ssh-Protokoll am mGuard anmelden können; die Accessible via-Adresse muss gesetzt sein. Der zugehörige SSH-Port kann optional konfiguriert werden (siehe „Accessible via“ auf Seite 96). |
|
|
|
Import into <A>/<B> Wenn das Gerät im Redundanzmodus betrieben wird (weitere Informationen siehe „Redundanzmodus“ auf Seite 156), kann das Profil für das erste oder zweite physische Gerät in die Konfigurationsvariablen importiert werden. Einige Konfigurationsvariablen können nicht importiert werden und müssen ggf. manuell gesetzt werden: die Passwörter für Root- und Admin-Benutzer, die Passwörter der Firewallbenutzer und die Zertifikatssperrlisten (CRL). Von einem mGuard heruntergeladene ATV-Profile enthalten diese Variablen entweder überhaupt nicht oder nur in verschlüsselter Form (mit Hash). Hinweis: mdm importiert nicht das Passwort des Netadmin-Benutzers, wenn es im ATV-Profil gefunden wird. In einem von einem mGuard heruntergeladenen Profil ist es nicht enthalten. |
|
|
Web Configure |
Webinterface des Geräts öffnen, falls auf das Gerät zugegriffen werden kann (siehe auch Accessible via-Adresse in „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93). 
|
|
|
Export |
Eine CSV-Datei mit den Grundeigenschaften (jedoch ohne die Konfigurationen) der markierten Geräte anlegen. Die Datei kann erneut in mdm importiert werden (siehe „mdm Hauptmenü“ auf Seite 51, Device Import. |
|
|
Delete |
Ausgewählte Geräte löschen. |
|
|
Set Firmware Version |
Firmware auf eine neue Version aktualisieren. Da unterschiedliche Versionen der mGuard-Software über unterschiedliche Variablensätze verfügen, muss hier die zur auf dem mGuard installierten Firmware passende Firmware ausgewählt werden. 
Weiterführende Informationen finden Sie unter „Firmware-Upgrades mit mdm verwalten“ auf Seite 153. |
|
|
Set Hardware Flavor |
Hardwarekonfiguration einrichten. Weiterführende Informationen finden Sie unter „Hardwarekonfigurationen“ auf Seite 58. |
|
|
Assign Template |
Dialog Assign template öffnen und den markierten Geräten ein Template zuweisen. |
|
|
Add to VPN Group |
Dialog öffnen, um die markierten Geräte zu einer VPN-Gruppe hinzuzufügen. |
|
|
Remove from VPN Group |
Dialog öffnen, um die markierten Geräte aus einer VPN-Gruppe zu entfernen. |
|
|
Upload |
Upload-Dialog öffnen. Weiterführende Informationen finden Sie unter „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. |
|
|
Cancel Upload |
Den für die ausgewählten Geräte vorgesehenen Upload abbrechen. |
|
|
Set Upload State |
Der Upload-Status wird nie automatisch auf successfully uploaded gesetzt, wenn kein Push-Upload durchgeführt wird und kein Pull-Feedback vom Konfigurationsserver eingeht (z. B. bei einem Verwendungsszenario, bei dem die exportierten Konfigurationsprofile manuell am Gerät installiert werden). Sie können mit dieser Option den Upload-Status von Hand auf successfully uploaded setzen. Wählen Sie in der Gerätetabelle eines oder mehrere Geräte aus, öffnen Sie das Kontextmenü durch einen Klick mit der rechten Maustaste und klicken Sie auf Set upload state. 
|
|
|
Export ECS Files |
(verschlüsselte) ECS-Dateien für die ausgewählten Geräte herunterladen. ECS-Dateien werden standardmäßig verschlüsselt. Der Benutzer root und andere Benutzer mit der entsprechenden Berechtigung können die Verschlüsselung deaktivieren und unverschlüsselte ECS-Dateien herunterladen. (Vergabe von Rechten an autorisierte Benutzer siehe „Benutzer, Rollen und Berechtigungen verwalten“ auf Seite 145). ECS-Dateien können für die Konfiguration von mGuard Geräten verwendet werden, die diesen Mechanismus über SD-Karten unterstützen; weitere Informationen siehe mGuard firmware manual. Ein Dialog wird geöffnet, in dem das Verzeichnis zum Speichern der ECS-Dateien ausgewählt werden kann. 
|
|
|
Show Device Configuration History |
Dialog mit dem Konfigurationsverlauf öffnen. Weiterführende Informationen siehe „Dialog Konfigurationsverlauf“ auf Seite 159. |
|
|
Generate Report of Changes to Device Configuration |
Dialog zum Erstellen eines Berichts zu Änderungen an Gerätekonfigurationen öffnen. Weiterführende Informationen siehe „Änderungsbericht“ auf Seite 166. |
|
|
Changes since last Sync |
Ein Konfigurationsdialog öffnet sich und zeigt durchgeführte Änderungen seit der letzten Synchronisation an. Synchronisierung bedeutet entweder ein Update via –SSH-Upload auf das Gerät (upload via SSH), –Pull-Export zum Gerät über einen HTTPS-Konfigurationspullserver + Rückmeldung (prepare pull configuration) oder –Online-Import von dem Gerät nach mdm (Import ATV Profile). Wurde das Gerät schon einmal erfolgreich synchronisiert, werden die Konfigurationsänderungen seit dem letzten Upload/Online-Import angezeigt. 
Das Verhalten ähnelt dem Auswählen von zwei Historie-Einträgen im Dialog „Device Configuration History“ und dem Klicken auf „Compare...“ (siehe „Frühere Konfigurationen vergleichen“ auf Seite 163). Wurde das Gerät noch nie synchronisiert, werden die Konfigurationsänderungen seit der Erstellung des Gerätes angezeigt. Wenn es sich bei der aktuellen Konfiguration um die zuletzt synchronisierte Konfiguration handelt, wird im Konfigurationsdialog die aktuelle Konfiguration angezeigt. |
|
|
Upload/Import History |
Zeigt eine Übersicht der letzten Synchronisierungen (Synchronization actions) an. Synchronisierung bedeutet entweder ein Update via –SSH-Upload auf das Gerät (upload via SSH), –Pull-Export zum Gerät über einen HTTPS-Konfigurationspullserver + Rückmeldung (prepare pull configuration) oder –Online-Import von dem Gerät nach mdm (Import ATV Profile). |
|
|
Dialog öffnen, in dem die Anmeldedaten des Geräts eingegeben werden können. Folgende Attribute können gesetzt werden: Active root and admin passwords Aktive Passwörter sind die aktuell für das Gerät gültige Passwörter. Sie können sich von den konfigurierten Passwörtern unterscheiden, wenn die aktuelle Konfiguration noch nicht in den mGuard hochgeladen oder davon gezogen wurde. mdm registriert alle aktiven Passwörter, da das Root-Passwort zum Setzen eines neuen Passworts und das Admin-Passwort für die Anmeldung am mGuard benötigt wird. Reset SSH Host Key mdm speichert den SSH-Schlüssel eines mGuard nach dem ersten Kontakt. Bei Austausch eines mGuard stimmen die SSH-Schlüssel nicht überein und mdm verweigert jegliche Verbindung mit dem ausgetauschten Gerät. Mit dieser Funktion kann der SSH-Schlüssel zurückgesetzt werden. Renew Secure Key Length |
|
|
|
|
Mit dieser Funktion generiert der mGuard SSH- und HTTPS-Schlüssel beim nächsten Upload oder Ziehen einer Konfiguration. 
|
|
|
Device Replacement |
Alle gerätespezifischen Einstellungen werden auf die Werkseinstellung zurückgesetzt. Diese Funktion kann nach dem Austausch eines defekten Geräts verwendet werden. –Folgende Einstellungen werden zurückgesetzt: –Firmwareversion des Geräts –Serial Number –Flash ID –SSH Hostkey –Profile Encryption Key –Mit dem Gerät verbundene Lizenzen |
|
|
Set Redundancy Mode |
Dialog öffnen, in dem der Redundanzbetrieb für die ausgewählten Geräte aktiviert oder deaktiviert werden kann. |
|
|
Generate Redundancy Passphrases |
Variablen der Redundanz-Passphrases in der Gerätekonfiguration auf zufällige Werte setzen. |
|
|
Generate License |
Weiterführende Informationen zur Lizenzverwaltung siehe „Gerätelizenzen und Voucher verwalten“ auf Seite 142. |
|
|
Refresh License |
Weiterführende Informationen zur Lizenzverwaltung siehe „Gerätelizenzen und Voucher verwalten“ auf Seite 142. |
|
|
Get Profile Key |
Profilschlüssel vom Lizenzserver abholen. Einzelheiten siehe Kapitel „Profil verschlüsseln“ auf Seite 139. |
|
|
Enable/Disable profile encryption |
Verschlüsselung der Konfigurationsprofile für die ausgewählten Geräte aktivieren oder deaktivieren. Einzelheiten siehe Kapitel „Profil verschlüsseln“ auf Seite 139. |
|
|
Firmware Upgrade » Schedule upgrade to latest patches |
Firmware-Upgrade für die aktuellsten verfügbaren Patches planen. Weiterführende Informationen finden Sie unter „Firmware-Upgrades mit mdm verwalten“ auf Seite 153. |
|
|
Firmware Upgrade » Schedule upgrade to latest minor release |
Firmware-Upgrade für die aktuellsten verfügbaren Minor Releases planen. Weiterführende Informationen finden Sie unter „Firmware-Upgrades mit mdm verwalten“ auf Seite 153. |
|
|
Firmware Upgrade » Schedule upgrade to next major version |
Firmware-Upgrade für das nächste Major Release planen. Weiterführende Informationen finden Sie unter „Firmware-Upgrades mit mdm verwalten“ auf Seite 153. |
|
|
Firmware Upgrade » Unschedule upgrade |
Firmware-Upgrade aus der Planung nehmen. |
|
|
Certificate Handling » Request additional certificate |
Maschinenzertifikat für das Gerät anfordern und der Liste der vorhandenen Maschinenzertifikate hinzufügen. Weiterführende Informationen finden Sie unter „Maschinenzertifikate“ auf Seite 149. |
|
|
Certificate Handling » Request replacement certificate |
Maschinenzertifikat für das Gerät anfordern und alle vorhandenen Maschinenzertifikate durch das neue ersetzen. Weiterführende Informationen finden Sie unter „Maschinenzertifikate“ auf Seite 149. 
|
|
|
Certificate Handling » Issue and Export Certificate Requests |
Zertifikatanfrage für die manuelle Zertifikatregistrierung generieren. Weiterführende Informationen siehe „Maschinenzertifikate“ auf Seite 149. |
|
|
Select All |
Alle nicht durch den Tabellenfilter ausgeschlossenen Geräte auswählen. |
6.3.3Geräte-Eigenschaften (Device properties dialog)
Im Device properties dialog können die Variablen des mGuard und deren zugehörige Einstellungen für das Gerät konfiguriert werden.
Informationen zum Anlegen, Löschen oder Bearbeiten von Geräten siehe „mdm Hauptfenster“ auf Seite 50.
Bild 6-11: Device properties dialog (Geräte-Eigenschaften)
Ähnlich wie der Template properties dialog (Template-Eigenschaften) (siehe Kapitel 6.4.3) enthält auch der Device properties dialog auf der linken Seite einen Navigationsbaum, der der Menüstruktur der Webinterface des mGuard ähnelt. Mit dem Navigationsbaum kann bequem zwischen den Variablen des mGuard navigiert werden.
Der Device properties dialog enthält den Menüpunkt General settings zur Konfiguration zusätzlicher Parameter mit Bezug zu mdm. Die folgenden Parameter können in den General settings eingestellt werden.
|
Geräte-Eigenschaften (Device properties dialog) |
||
|---|---|---|
|
General Settings |
Management ID |
Anhand dieser ID wird das Gerät innerhalb des mdm erkannt. Die Management-ID muss eindeutig sein. |
|
|
Firmware Version |
Firmware auf eine neue Version aktualisieren. Da unterschiedliche Versionen der mGuard-Software über unterschiedliche Variablensätze verfügen, muss hier die zur auf dem mGuard installierten Firmware passende Firmware ausgewählt werden. 
|
|
|
Firmware version on device |
In diesem Feld wird die aktuell auf dem Gerät installierte Firmwareversion angezeigt. Sie kann manuell eingesetzt werden, wird aber bei jedem Push-Upload oder Pull-Feedback von dem Wert überschrieben, der auf dem Gerät gefunden wird. |
|
|
Template |
Das übergeordnete Template des Geräts. |
|
|
Redundancy support |
Die Unterstützung für den Redundanzbetrieb des Geräts kann aktiviert oder deaktiviert werden. |
|
|
Dies ist die IP-Adresse oder der Hostname, über die der mdm-Server auf den mGuard zugreifen kann, um einen SSH-Push-Export, einen ATV-Profilimport der Konfiguration durchzuführen oder das Web-Interface zu öffnen. Weitere Informationen zum Uploadvorgang finden Sie unter „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. Die folgenden Werte können unter Accessible via ausgewählt werden (der SSH-Port und der Web configuration port können in den folgenden Feldern (siehe unten) angegeben werden. Not online manageable Das Gerät wird nicht über SSH-Push verwaltet. Internal interface in auto stealth mode [1.1.1.1] mdm verwendet für den Zugriff auf mGuard die Adresse 1.1.1.1 (Adresse der internen Schnittstelle im automatischen geschützten Modus). Stealth management address mdm greift im geschützten Modus auf die externe oder interne Schnittstelle des mGuard zu. First external IP address |
|
|
|
|
mdm greift im Router-Modus auf die externe Schnittstelle des mGuard zu. First internal IP address mdm greift im Router-Modus auf die interne Schnittstelle des mGuard zu. Custom value Für den Zugriff auf den mGuard in NAT-Szenarien ist möglicherweise ein benutzerspezifischer Wert (IP-Adresse oder Hostname) erforderlich. |
|
|
SSH port |
Dies ist die SSH-Portnummer, über die der mdm-Server auf den mGuard zugreifen kann, um einen SSH-Push-Export oder einen ATV-Profilimport der Konfiguration durchzuführen. In einigen Fällen kann es notwendig sein, den Standard-SSH-Port zu ändern, um eine Verbindung zum Gerät herzustellen (z. B. wenn das Gerät nicht mit dem Internet verbunden ist, sondern einen Port zugewiesen bekommt, der von der Firewall übermittelt wird). Wenn Port for incoming SSH connections ausgewählt ist, wird der unter Management >> System Settings >> Shell Access >> Shell Access Options >> Port for incoming SSH connections konfigurierte Port verwendet und in der Übersichtstabelle angezeigt. Weitere Informationen zum Uploadvorgang finden Sie unter „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. |
|
|
Web configuration port |
Dies ist die HTTPS-Portnummer, über die die grafische Weboberfläche des mGuard aufgerufen wird. In einigen Fällen kann es notwendig sein, den Standard-HTTPS-Port zu ändern, um eine Verbindung zur Weboberfläche herzustellen (z. B. wenn das Gerät einen Port zugewiesen bekommt, der von der Firewall übermittelt wird). Wenn Remote HTTPS TCP port ausgewählt ist, wird der |
|
|
Pull filename (read only) |
Bei einem Export der Konfiguration in das Dateisystem wird eine eindeutige, automatisch zugewiesene und unveränderliche ID als Name der Konfigurationsdatei verwendet. Der Dateiname wird in diesem Feld angezeigt. Optional können weitere Exportdateien mit einem anderen Benennungsschema generiert werden, weitere Informationen dazu siehe „mdm-Server (Datei preferences.xml)“ auf Seite 191. |
|
|
Serial number |
Die Seriennummer des Geräts. Die Seriennummer wird für Lizenzangelegenheiten benötigt, vor allem zum Anfordern und Aktualisieren von Lizenzen (siehe „Lizenzen anfordern/generieren“ auf Seite 142). Sie kann manuell eingesetzt werden, wird aber bei jedem Push-Upload oder Pull-Feedback von dem Wert überschrieben, der auf dem Gerät gefunden wird. Wenn kein Push-Upload durchgeführt wird und kein Pull-Feedback eingeht (z. B. bei einem Verwendungsszenario, bei dem die exportierten Konfigurationsprofile manuell am Gerät installiert werden), muss die Seriennummer hier eingegeben werden, wenn Sie Dateinamen mit Seriennummer für die Pull-Konfiguration anlegen möchten. |
|
|
Flash ID |
Die Flash-ID des Geräts. Die Flash-ID wird für Lizenzangelegenheiten benötigt, vor allem für die Aktualisierung von Lizenzen (siehe „Lizenzen erneuern“ auf Seite 144). Sie kann manuell eingesetzt werden, wird aber bei jedem Push-Upload oder Pull-Feedback von dem Wert überschrieben, der auf dem Gerät gefunden wird. |
|
|
Comment |
Optionale Anmerkungen. |
|
|
Hardware flavor |
Die Hardwarekonfiguration des Geräts (siehe „Hardwarekonfigurationen“ auf Seite 58). Bei Einstellung auf rs2000 werden Variablen, die für diese Plattform nicht unterstützt werden, weggelassen. |
|
|
Profile encryption |
Verschlüsselung der Konfigurationsprofile für die ausgewählten Geräte aktivieren oder deaktivieren. Einzelheiten siehe Kapitel „Profil verschlüsseln“ auf Seite 139. |
|
|
Additional ATV include |
Dies ist ein Textfeld für zusätzliche Einstellungen, die in die Konfigurationsdatei des mGuard einzufügen sind. Die Eingabe muss sich an die Konventionen der mGuard Konfigurationsdatei halten. Durch Auswahl einer Datei mit dem Symbol File Chooser können Sie auch den Inhalt einer Textdatei in das Feld importieren. 
|
6.4.1Template-Übersicht (Template overview table)
Klicken Sie auf die Registerkarte Template, um die Template-Übersicht (Template overview table) aufzurufen.
Bild 6-12: Template-Übersicht (Template overview table)
Spalten der Template-Übersicht (Template overview table)
Die Template-Übersicht (Template overview table) enthält folgende Spalten.
|
|
||
|---|---|---|
|
|
Status (S) |
Das Status-Symbol zeigt an, ob das Template aktuell gesperrt ist. |
|
|
Name |
Der dem Template zugewiesene Name. Der Name kann unter General Settings im Template properties dialog (Template-Eigenschaften) eingetragen werden (siehe „Template-Eigenschaften (Template properties dialog)“ auf Seite 103). |
|
|
Templates |
In dieser Spalte wird eine durch Kommas getrennte Liste der übergeordneten Templates des Templates angezeigt. Der erste Punkt auf der Liste ist das unmittelbar übergeordnete Template. |
|
|
Version |
Für das Template verwendete Firmwareversion des mGuard. |
|
|
Comment |
Optionale Anmerkungen. Die Anmerkungen können unter General Settings im Template properties dialog (Template-Eigenschaften) eingetragen werden (siehe „Template-Eigenschaften (Template properties dialog)“ auf Seite 103). |
|
|
Use count |
In dieser Spalte wird die Anzahl der Geräte oder anderen Templates angezeigt, die dieses Template verwenden. |
Tabelle filtern und sortieren
Mit der Kopfzeile der Tabelle können die Einträge sortiert werden. Durch Anklicken der Kopfzeile einer Spalte wird die (primäre) Sortierung anhand dieser Spalte aktiviert. Dies wird durch einen Pfeil in der Kopfzeile angezeigt. Durch einen zweiten Klick auf dieselbe Kopfzeile erfolgt die Sortierung in umgekehrter Reihenfolge. Durch Anklicken einer weiteren Spalte wird anhand dieser neuen Spalte sortiert, wobei die vorher aktive Spalte als zweites Kriterium für die Sortierung herangezogen wird.
In der ersten Tabellenzeile wird die Eingabe regulärer Ausdrücke akzeptiert (siehe Kapitel 11, Regular expressions), die zum effizienten Filtern der Tabelleneinträge verwendet werden können. Eine Spalte, die keinen Text enthält (d. h. Spalte S) kann nicht auf der Grundlage regulärer Ausdrücke gefiltert werden.
Das Filterkriterium Use count wird nicht als regulärer Ausdruck interpretiert, sondern als Liste von Zahlen oder Zahlenbereichen, die durch Komma getrennt sind (z. B. 0, 2 – 3).
Der Filterverlauf wird für den aktuellen Benutzer gespeichert und kann über die Dropdown-Funktion der Filterfelder aufgerufen werden.
Templates anlegen
Neue Templates können auf mehrere Arten angelegt werden:
1.Öffnen Sie das Kontextmenü durch einen Rechtsklick auf das Template. Klicken Sie im Kontextmenü auf Add, um den Template properties dialog (Template-Eigenschaften) für einen neuen Template zu öffnen.
2.Klicken Sie auf die Registerkarte Template und hier auf das Symbol 
in der Menüleiste und öffnen Sie den Template properties dialog für ein neues Template.
3.Klicken Sie für ein neues Template im Hauptmenü auf New » Template und öffnen Sie den Template properties dialog.
Editing templates
Ein Template kann auf mehrere Arten bearbeitet werden:
1.Führen Sie mit der linken Maustaste einen Doppelklick auf das Template in der Tabelle aus, um den Device properties dialog (Geräte-Eigenschaften) zu öffnen.
2.Wählen Sie mit der linken Maustaste das Template aus und öffnen Sie durch einen Rechtsklick das Kontextmenü. Öffnen Sie den Template properties dialog durch Klicken auf Edit.
3.Wählen Sie in der Template-Tabelle das zu ändernde Template. Klicken Sie im Hauptmenü auf Edit » Edit Item um den Template properties dialog zu öffnen.
Deleting templates
Templates können auf mehrere Arten gelöscht werden:
1.Wählen Sie ein oder mehrere Templates aus und öffnen Sie das Kontextmenü durch einen Rechtsklick auf das Template. Klicken Sie im Kontextmenü auf Delete um ein Template zu löschen.
2.Markieren Sie in der Template-Tabelle die zu löschenden Templates und klicken Sie in der Menüleiste auf das Symbol 
.
6.4.2Template-Kontextmenü (Template context menu)
Im Template-Kontextmenü stehen folgende Optionen zur Verfügung.
|
Template-Kontextmenü |
||
|---|---|---|
|
|
Add |
Neues Template anlegen und den Template properties dialog (Template-Eigenschaften) dieses Templates öffnen. |
|
|
Edit |
Ausgewähltes Template bearbeiten (nur aktiv, wenn genau ein Template in der Übersichtstabelle markiert ist). |
|
|
Duplicate |
Öffnen Sie zum Anlegen einer Template-Kopie durch einen Klick mit der rechten Maustaste auf das Template in der Tabelle das Template-Kontextmenü. Klicken Sie im Kontextmenü auf Duplicate. mdm erstellt eine Kopie des Templates und fügt zum Namen des neuen Templates den String _copy<n> (<n> ist eine Zahl) hinzu. Hinweis: Der Menüeintrag Duplicate ist nur aktiviert, wenn in der Tabelle genau ein Template markiert ist. |
|
|
Import ATV Profile |
Ein ATV-Profil in die ausgewählten Templates importieren. Dies funktioniert genauso wie der Import von ATV-Profilen in Geräte, nähere Informationen siehe „Geräte-Kontextmenü (Device context menu)“ auf Seite 85. |
|
|
Delete |
Ausgewählte Templates löschen. |
|
|
Set Firmware Version |
Firmware auf eine neue Version aktualisieren. Da unterschiedliche Versionen der mGuard-Software über unterschiedliche Variablensätze verfügen, muss hier die zur auf dem mGuard installierten Firmware passende Firmware ausgewählt werden. 
Weiterführende Informationen finden Sie unter „Firmware-Upgrades mit mdm verwalten“ auf Seite 153. |
|
|
Assign Template |
Dialog Assign template öffnen und den markierten Templates ein übergeordnetes Template zuweisen. |
|
|
Set Redundancy Mode |
Dialog öffnen, in dem der Redundanzbetrieb für die ausgewählten Templates aktiviert oder deaktiviert werden. |
|
|
Select All |
Alle nicht durch den Tabellenfilter ausgeschlossenen Templates auswählen. |
6.4.3Template-Eigenschaften (Template properties dialog)
Mit Templates lassen sich sehr viele Geräte bequem und effizient konfigurieren und verwalten.
Durch die Zuweisung eines Templates zu einem Gerät (siehe „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93) erbt das Gerät die Template-Einstellungen und verwendet die im Template definierten Werte. Je nach Berechtigungseinstellungen können die Template-Einstellungen in der Gerätekonfiguration überschrieben werden.
In diesem Kapitel ist das Konzept der Templates beschrieben. Weiterführende Informationen zu Templates und Vererbung finden Sie unter „Mit Templates arbeiten“ auf Seite 110.
Informationen zum Anlegen, Löschen oder Bearbeiten von Templates siehe „mdm Hauptfenster“ auf Seite 50.
Im folgenden Screenshot ist der Template properties dialog (Template-Eigenschaften) abgebildet.
Bild 6-13: Template properties dialog (Template-Eigenschaften)
General settings
Ähnlich wie der Device properties dialog (siehe „Geräte-Eigenschaften (Device properties dialog)“ auf Seite 93) enthält auch der Template properties dialog (Template-Eigenschaften) auf der linken Seite ein Menü, das der Struktur der Webinterface des mGuard ähnelt.
Zusätzlich enthält der Template properties dialog den Menüpunkt General settings zur Konfiguration zusätzlicher Parameter mit Bezug zu mdm.
|
Dialog Template Properties |
||
|---|---|---|
|
|
Name |
Name des Templates. |
|
|
Firmware version |
Firmware auf eine neue Version aktualisieren. Da unterschiedliche Firmwareversionen des mGuard über unterschiedliche Variablensätze verfügen, muss hier die vom Template zu verwendende Firmware (oder der Variablensatz) ausgewählt werden. 
|
|
|
Template |
Das übergeordnete Template des Templates. |
|
|
Redundancy support |
Die Unterstützung für den Redundanzbetrieb des Geräts kann aktiviert oder deaktiviert werden. |
|
|
Accessible via |
Dies ist die IP-Adresse oder der Hostname, über die der mdm-Server auf den mGuard zugreifen kann, um einen SSH-Push-Export, einen ATV-Profilimport der Konfiguration durchzuführen oder das Web-Interface zu öffnen. Weitere Informationen zum Uploadvorgang finden Sie unter „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. Die folgenden Werte können unter Accessible via ausgewählt werden (der SSH-Port und der Web configuration port können in den folgenden Feldern (siehe unten) angegeben werden. Diese Adresse verwendet der mdm-Server für den Zugriff auf mGuard, um einen SSH-Push der Konfiguration durch zuführen oder die Webinterface zu öffnen. Weitere Informationen zum Upload-Prozess siehe „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. Folgende Werte stehen für Accessible via zur Verfügung: Not online manageable Das Gerät wird nicht über SSH-Push verwaltet. Internal interface in auto stealth mode [1.1.1.1] mdm verwendet für den Zugriff auf mGuard die Adresse 1.1.1.1 (Adresse der internen Schnittstelle im automatischen geschützten Modus). Stealth management address mdm greift im geschützten Modus auf die externe oder interne Schnittstelle des mGuard zu. First external IP address mdm greift im Router-Modus auf die externe Schnittstelle des mGuard zu. First internal IP address mdm greift im Router-Modus auf die interne Schnittstelle des mGuard zu. Custom value Für den Zugriff auf den mGuard in NAT-Szenarien ist möglicherweise ein benutzerspezifischer Wert (IP-Adresse oder Hostname) erforderlich. |
|
|
SSH port |
Dies ist die SSH-Portnummer, über die der mdm-Server auf den mGuard zugreifen kann, um einen SSH-Push-Export oder einen ATV-Profilimport der Konfiguration durchzuführen. In einigen Fällen kann es notwendig sein, den Standard-SSH-Port zu ändern, um eine Verbindung zum Gerät herzustellen (z. B. wenn das Gerät nicht mit dem Internet verbunden ist, sondern einen Port zugewiesen bekommt, der von der Firewall übermittelt wird). Wenn Port for incoming SSH connections ausgewählt ist, wird der unter Management >> System Settings >> Shell Access >> Shell Access Options >> Port for incoming SSH connections konfigurierte Port verwendet und in der Übersichtstabelle angezeigt. Weitere Informationen zum Uploadvorgang finden Sie unter „Konfigurationen in mGuard-Geräte hochladen“ auf Seite 137. |
|
|
Web configuration port |
Dies ist die HTTPS-Portnummer, über die die grafische Weboberfläche des mGuard aufgerufen wird. In einigen Fällen kann es notwendig sein, den Standard-HTTPS-Port zu ändern, um eine Verbindung zur Weboberfläche herzustellen (z. B. wenn das Gerät einen Port zugewiesen bekommt, der von der Firewall übermittelt wird). Wenn Remote HTTPS TCP port ausgewählt ist, wird der |
|
|
Default Permission |
Die Berechtigung, die von mdm für Variablen verwendet wird, die beim Beerben dieses Templates durch ein Gerät oder Template auf Inherited gesetzt sind. Folgende Berechtigungen können festgelegt werden: May override Variablen, die auf Inherited gesetzt sind, verfügen über die Berechtigung May override, d. h. sie können im erbenden Gerät oder Template gesetzt werden. |
|
|
|
May append Tabellenvariablen, die auf Inherited gesetzt sind, verfügen über die Berechtigung May append, d. h. im erbenden Gerät oder Template können Zeilen hinzugefügt werden, aber Änderungen an vorhandenen Zeilen sind nicht möglich. Sonstige Variablen, die auf Inherited gesetzt sind, verfügen über die Berechtigung May override, d. h. sie können im erbenden Gerät oder Template gesetzt werden. No override Variablen, die auf Inherited gesetzt sind, verfügen über die Berechtigung No override, d. h. sie können nicht im erbenden Gerät oder Template gesetzt werden. |
|
|
Comment |
Zusätzliche optionale Anmerkungen, die auch in der Template-Tabelle des Hauptfensters angezeigt werden. |
|
|
Additional ATV include |
Dies ist ein Textfeld für zusätzliche Einstellungen, die in die Konfigurationsdatei des mGuard einzufügen sind. Die Eingabe muss sich an die Konventionen der mGuard Konfigurationsdatei halten. Durch Auswahl einer Datei mit dem Symbol File Chooser können Sie auch den Inhalt einer Textdatei in das Feld importieren. 
|
Wie eingangs beschrieben, ähnelt der Navigationsbaum auf der linken Seite des Template properties dialog (Template-Eigenschaften) der Menüstruktur der Webinterface des mGuard ähnelt.
In Bild 6-14 ist ein Konfigurationsbeispiel für die externe Schnittstelle dargestellt.
Bild 6-14: Template-Konfiguration
Im Vergleich zum Device properties dialog (Geräte-Eigenschaften) sind in der Template-Konfiguration zusätzliche Einstellungen enthalten, auf die in den folgenden Abschnitten eingegangen wird.
Ausführliche Informationen zum Konzept von Template und Erbe finden Sie in „Mit Templates arbeiten“ auf Seite 110.
Wertetyp None
Im Template kann der Wert None ausgewählt werden, wie in der Variablen IP of internal interface in Bild 6-14 dargestellt. Das bedeutet, dass der Ersteller des Templates keinen Wert im Template definieren möchte, aber dafür gesorgt hat, dass der Wert in einem erbenden Template oder Gerät überschrieben wird. Beim Versuch, ein Gerät hochzuladen, in dem ein None-Wert gar nicht oder durch einen lokalen Wert überschrieben wurde, erfolgt eine Fehleranzeige.
Einrichtung von Berechtigungen
In Bild 6-14 verfügt die Variable Netmask of internal network über die zusätzliche Möglichkeit zur Einrichtung von Berechtigungen. Diese Berechtigung kontrolliert, ob und wie ein erbendes Gerät oder Template die Einstellungen überschreiben kann. Die Berechtigungseinstellungen können pro Variable zugewiesen werden.
|
Hinweis: Bei Auswahl des Werts Inherited oder None wird die Combobox für Berechtigungen nicht angezeigt. |
Folgende Berechtigungen können ausgewählt werden:
|
Template Configuration |
||
|---|---|---|
|
Permissions |
May override |
Der Wert kann durch ein erbendes Gerät oder Template geändert (überschrieben) werden. |
|
|
No override |
Der Wert kann durch ein erbendes Gerät oder Template nicht geändert werden. |
|
|
May append |
Der Einstellwert steht nur für Tabellen zur Verfügung (z. B. Firewall-Regeln). Ist die Tabellenvariable auf May append gesetzt, können in einem erbenden Gerät oder Template weitere Tabellenzeilen angefügt werden, die geerbten Zeilen können jedoch nicht geändert oder gelöscht werden. Wird der Wert Local und die Berechtigung May append ausgewählt, kann der Netadmin-Benutzer einem erbenden Gerät oder Template sowie dem mGuard neue Einträge hinzufügen. |
Änderungen an einem Template wirken sich potenziell auf sehr viele Geräte oder Templates aus. Daher sollten Sie bei der Arbeit mit Templates stets die folgenden Regeln berücksichtigen:
–Prüfen Sie vor Änderungen an einer Variable oder einem Template, ob deren Auswirkungen auf die erbenden Templates bzw. Geräte wirklich erwünscht sind.
–Vor allem Änderungen an den mit einer Variable verbundenen Berechtigungen können an erbenden Geräten bzw. Templates irreversible Schäden verursachen. Wird beispielsweise eine Berechtigung von May override zu No override geändert wird der Wert der Variablen in allen erbenden Templates und Geräten verworfen.
–Templates, die noch Geräten oder anderen Templates zugewiesen sind, können nicht gelöscht werden.
In diesem Kapitel wird der Mechanismus der Templates ausführlich beschrieben.
Vererbung
Mit Templates lassen sich sehr viele Geräte effizient konfigurieren. Templates enthalten die gemeinsamen Aspekte einer Gruppe von Geräten bzw. untergeordneten Templates. Durch die Zuweisung eines Templates zu einem untergeordneten Element (Gerät oder anderes Template) „erbt“ dieses die Einstellungen des übergeordneten Templates und kann optional einige dieser Einstellungen überschreiben, sofern die Berechtigungen im übergeordneten Template dies zulassen. Jegliche Änderungen am übergeordneten Template wirken sich potenziell auf alle erbenden Templates und Geräte aus, je nach Einstellungen von Werten und Berechtigungen im übergeordneten Template.
Die Berechtigungseinstellung in einem Template begrenzt die Auswahl an erbenden Templates und Geräten.
Ob ein untergeordnetes Element die Einstellungen eines Vorgänger-Templates erbt, wird im Properties Dialog durch ein Symbol vor dem Namen der Variable angezeigt. Wenn kein Symbol angezeigt wird, ist kein Template zugewiesen bzw. die Variable ist in allen Vorgängertemplates auf den Wert Inherited gesetzt, d. h. es bestehen keine Einschränkungen für diese Variable.
Entsprechend den in „Template-Konfiguration“ auf Seite 108 aufgeführten Berechtigungen werden for dem Namen der Variablen folgende Symbole angezeigt:
May override.
No override.
May append (nur für Tabellen).
Kein Wert definiert (Wert = None), d. h. der Wert wurde im Device properties dialog (Geräte-Eigenschaften) oder in einem der dazwischenliegenden Templates gesetzt.
Der Mechanismus der Vererbung wird in der folgenden Abbildung dargestellt. Bild 6-15 zeigt die Einstellungen für DHCP server options im übergeordneten (parent) Template.
Bild 6-15: Einstellungen im übergeordneten Template
Bild 6-16 zeigt die Einstellungen in der Gerätekonfiguration (child – untergeordnet). Diese beruhen auf vom übergeordneten Template geerbten Werten und Berechtigungen und von Änderungen am Gerät.
Bild 6-16: Einstellungen im erbenden Gerät
|
Einstellungen im erbenden Gerät |
||
|---|---|---|
|
|
Enable dynamic IP address pool |
Diese Variable ist im Template auf Yes und die Berechtigung auf No override gesetzt. Daher kann der Wert der Variablen nicht in der Gerätekonfiguration geändert werden. Dies wird durch deaktivierte Steuerelemente und das Symbol |
|
|
DHCP range start, DHCP range end |
Diese Variablen sind auf Local und die Berechtigung auf No override gesetzt, d. h. die Einstellung Local kann in der Gerätekonfiguration nicht geändert werden. Diese Werte müssen durch den netadmin des mGuard gesetzt werden und können nicht von mdm verwaltet werden. |
|
|
Local netmask, Broadcast address |
Das fehlende Symbol vor dem Namen der Variablen im Device properties dialog (Geräte-Eigenschaften) weist darauf hin, dass für diese Variablen sind im Template keine Einschränkungen definiert sind. Im vorliegenden Beispiel entschied sich der Konfigurator des Geräts für die Verwendung eines benutzerdefinierten Werts für Broadcast address und den (geerbten) Standardwert für Local netmask. |
|
|
Default gateway |
Der Wert dieser Variablen wird im Template gesetzt und die Berechtigung ist auf May override gesetzt. Daher kann der Wert der Variablen in der Gerätekonfiguration geändert werden. Dies wird durch aktivierte Steuerelemente und das Symbol |
|
|
DNS server |
Der Wert dieser Variablen wird im Template gesetzt und die Berechtigung ist auf May override gesetzt. Daher kann der Wert der Variablen in der Gerätekonfiguration geändert werden. Dies wird durch aktivierte Steuerelemente und das Symbol |
|
|
WINS-Server |
Der Wert dieser Variablen ist im Template auf None gesetzt. Dass bedeutet, dass in der Gerätekonfiguration ein Wert für diese Variable zugewiesen werden muss. Dies wird durch das Symbol |
|
|
Static mapping |
Im Template ist die Tabelle Static mapping auf Custom und deren Berechtigung auf May append gesetzt. Wie in Bild 6-16 gezeigt, können nach der Änderung der Tabellenvariable auf Custom in der Gerätekonfiguration Zeilen angefügt werden. Vom Template geerbte Zeilen können nicht geändert werden. |
Sonstiges
Komplexe Tabellenvariablen und Berechtigungen
Die Berechtigungseinstellungen für komplexe Tabellenvariablen (siehe „Allgemeine Bemerkungen“ auf Seite 61) im übergeordneten Template gelten für die Tabelle selbst, jedoch nicht für die Inhalte der Zeilen. Wenn die Tabelle auf No Override gesetzt ist, können keine Zeilen in der untergeordneten Konfiguration hinzugefügt oder gelöscht werden. Möglicherweise können jedoch die Werte der Variablen in den geerbten Zeilen der untergeordneten Tabelle geändert werden. Jede Variable einer Zeile (Knoten) verfügt über eine eigene Berechtigungseinstellung im übergeordneten Template, in der festgelegt ist, ob die Variable im untergeordneten Element überschrieben werden kann. Die Berechtigungseinstellung der Tabelle und die Berechtigungseinstellung einer einzelnen Variable innerhalb der Tabelle sind voneinander komplett unabhängig.
Versionseinstellungen der Firmware und Vererbung
In den General Settings des untergeordneten Elements und des übergeordneten Templates bestehen hinsichtlich der Firmwareversion gewisse Einschränkungen:
–Ein untergeordnetes Element kann nicht von einem übergeordneten Template erben, das eine neuere Firmwareversion als das untergeordnete Element selbst besitzt.
–Die Firmwareversion eines übergeordneten Templates kann nur auf eine neuere Version geändert werden, wenn alle untergeordneten Elemente, die von diesem übergeordneten Template erben, bereits auf die neuere Firmwareversion gesetzt sind.
–Die Vererbung der geänderten Defaultwerte hängt von der installierten mdm-Version und der mGuard-Firmwareversion des Device/Template ab (siehe unten).
Vererbung von geänderten Standardwerten
Allgemeines Verhalten in mdm < 1.8.0:
Wenn sich die Standardwerte (Wertetyp = "Inherited" und nicht "Local" oder "Custom") des „Kindes“ von den Standardwerten der „Mutter“ (Wertetyp = "Inherited" entlang der vollständigen Vererbungskette) unterscheiden, verhält sich die Vererbung wie folgt:
1.Das „Kind“ behält die Standardwerte, die der Firmwareversion des „Kindes“ entsprechen. Der Wertetyp bleibt "Inherited".
Allgemeines Verhalten in mdm 1.8.0 oder höher:
Wenn sich die Standardwerte (Wertetyp = "Inherited" und nicht "Local" oder "Custom") des „Kindes“ von den Standardwerten der „Mutter“ (Wertetyp = "Inherited" entlang der vollständigen Vererbungskette) unterscheiden, verhält sich die Vererbung wie folgt:
1.Standardwerte, die in mGuard Firmwareversionen < 8.5 geändert wurden:
–Das „Kind“ behält die Standardwerte, die der Firmwareversion des „Kindes“ entsprechen. Der Wertetyp bleibt "Inherited".
2.Standardwerte, die in mGuard Firmwareversion 8.5 oder höher geändert wurden:
–Das „Kind“ erbt die Standardwerte der „Mutter“. Der Wertetyp bleibt "Inherited".
6.5.1Poolwerte-Übersicht (Pool value overview table)
Klicken Sie auf die Registerkarte Pool, um die Poolwerte-Übersicht (Pool value overview table) aufzurufen. Ein Pool definiert eine Reihe von Netzwerkadressen, die automatisch Variablen zugewiesen werden können. Weiterführende Informationen zu Pools und deren Verwendung finden Sie in „Pool-Eigenschaften (Pool properties dialog)“ auf Seite 118.
Bild 6-17: mdm Hauptfenster mit Pooltabelle
Spalten der Poolwerte-Übersicht (Pool value overview table)
Die Poolwerte-Übersicht (Pool value overview table) enthält folgende Spalten.
|
Setzen Sie zum Ändern der Spaltenbreite den Cursor in die Kopfzeile der Tabelle an die Grenze zwischen zwei Spalten und ziehen Sie bei gedrückter linker Maustaste die Grenze in die gewünschte Richtung. Setzen Sie zum Verschieben einer Spalte den Cursor in die Kopfzeile der Tabelle und ziehen Sie bei gedrückter linker Maustaste die Spalte an den gewünschten Platz. |
|
|
||
|---|---|---|
|
|
Status (S) |
Das Status-Symbol zeigt an, ob die Pooldefinition gültig ist. |
|
|
Name |
Der dem Pool zugewiesene Name. |
|
|
Comment |
Optionale Anmerkungen. |
|
|
Reference count |
In dieser Spalte wird angezeigt, wieviele Variablen sich auf diesen Pool beziehen (siehe „Pool-Eigenschaften (Pool properties dialog)“ auf Seite 118). |
|
|
Use count |
In dieser Spalte wird angezeigt, wieviele Werte aus diesem Pool verwendet wurden (siehe „Pool-Eigenschaften (Pool properties dialog)“ auf Seite 118). |
|
|
Available count |
Diese Zahl gibt an, wieviele Werte noch im Pool zur Verfügung stehen (siehe „Pool-Eigenschaften (Pool properties dialog)“ auf Seite 118). |
Tabelle filtern und sortieren
Mit der Kopfzeile der Tabelle können die Einträge sortiert werden. Durch Anklicken der Kopfzeile einer Spalte wird die (primäre) Sortierung anhand dieser Spalte aktiviert. Dies wird durch einen Pfeil in der Kopfzeile angezeigt. Durch einen zweiten Klick auf dieselbe Kopfzeile erfolgt die Sortierung in umgekehrter Reihenfolge. Durch Anklicken einer weiteren Spalte wird anhand dieser neuen Spalte sortiert, wobei die vorher aktive Spalte als zweites Kriterium für die Sortierung herangezogen wird.
In der ersten Tabellenzeile wird die Eingabe regulärer Ausdrücke akzeptiert (siehe Kapitel 11, Regular expressions), die zum effizienten Filtern der Tabelleneinträge verwendet werden können. Eine Spalte, die keinen Text enthält (d. h. Spalte S) kann nicht auf der Grundlage regulärer Ausdrücke gefiltert werden.
Das Filterkriterium für die drei count-Spalten wird nicht als regulärer Ausdruck interpretiert, sondern als Liste von Zahlen oder Zahlenbereichen, die durch Komma getrennt sind (z. B. 0, 2 – 3).
Der Filterverlauf wird für den aktuellen Benutzer gespeichert und kann über die Dropdown-Funktion der Filterfelder aufgerufen werden.
Pools anlegen
Neue Pools können auf mehrere Arten angelegt werden:
1.Öffnen Sie das Kontextmenü durch einen Rechtsklick auf die Pool-Tabelle. Klicken Sie im Kontextmenü auf Add, um den Pool properties dialog (Pool-Eigenschaften) für einen neuen Pool zu öffnen.
2.Klicken Sie auf die Registerkarte Pool und hier auf das Symbol 
in der Menüleiste und öffnen Sie den Pool properties dialog für einen neuen Pool.
3.Klicken Sie im Hauptmenü auf New » Pool um den Pool properties dialog für einen neuen Pool zu öffnen.
Pools bearbeiten
Ein Pool kann auf mehrere Arten bearbeitet werden:
1.Führen Sie mit der linken Maustaste einen Doppelklick auf den Pool in der Tabelle aus, um den Pool properties dialog zu öffnen.
2.Wählen Sie mit der linken Maustaste den Pool aus und öffnen Sie durch einen Rechtsklick das Kontextmenü. Öffnen Sie den Pool properties dialog durch Klicken auf Edit.
3.Wählen Sie in der Pool-Tabelle den zu ändernden Pool. Klicken Sie im Hauptmenü auf Edit » Edit Item um den Pool properties dialog zu öffnen.
Pools löschen
Pools können auf mehrere Arten gelöscht werden:
1.Wählen Sie einen oder mehrere Pools aus und öffnen Sie das Kontextmenü durch einen Rechtsklick auf das Template. Klicken Sie im Kontextmenü auf Delete um einen Pool zu löschen.
2.Markieren Sie in der Pool-Tabelle die zu löschenden Pools und klicken Sie in der Menüleiste auf das Symbol 
.
6.5.2Pool-Kontextmenü (Pool context menu)
Im Kontextmenü der Poolwerte-Übersicht (Pool value overview table) stehen folgende Optionen zur Verfügung.
|
Pool-Kontextmenü |
||
|---|---|---|
|
|
Add |
Neuen Pool anlegen und den Pool properties dialog (Pool-Eigenschaften) des neuen Pools öffnen. |
|
|
Edit |
Ausgewählten Pool bearbeiten (nur aktiv, wenn genau ein Pool in der Übersichtstabelle markiert ist). |
|
|
Delete |
Ausgewählte Pools löschen. |
|
|
Select All |
Alle nicht durch den Tabellenfilter ausgeschlossenen Pools auswählen. |
6.5.3Pool-Eigenschaften (Pool properties dialog)
Der Pool properties dialog (Pool-Eigenschaften) ermöglicht die Definition von Wertepools, mit denen bestimmter Werte automatisch konfiguriert werden können (z. B. virtuelle Adressen für VPNs). Aktuell ermöglicht mdm die Definition von Adressbereichs-Pools (CIDR-Benachrichtigung), Beispiel siehe unten.
Bild 6-18: Der mdm Dialog Pool Properties
General settings
Die folgenden Parameter des Pools können in den General settings eingestellt werden:
|
Dialog Pool Properties |
||
|---|---|---|
|
General settings |
Name |
Bezeichnung für den Pool. Diese Bezeichnung wird verwendet, wenn in einer Variablen Bezug auf den Pool genommen wird (siehe nachfolgenden Abschnitt Verwendung von Pool-Werten in Variablen). |
|
|
Pooltyp |
Aktuell steht nur der Pooltyp IP Networks in CIDR Notation zur Verfügung. |
|
|
Comment |
Anmerkungen (optional). |
Pool definition
Über Pool Definition können der Wertebereich des Pools und der Adressbereich der dem Pool zu entnehmenden Werte definiert werden. Bild 6-19 zeigt ein Beispiel für eine Pool-Definition.
Bild 6-19: Definition eines CIDR-Pools
Der CIDR-Pool im Beispiel enthält alle in der Tabelle Network List definierten Adressen. Das Feld Network Mask definiert den Bereich der Einzelwerte, die dem Pool entnommen werden sollen, d. h. bei Verwendung des Pools in einer Variablen weist mdm dieser Variablen automatisch einen IP-Adressbereich mit einer Maske von 24 aus dem verfügbaren Source Networks zu.
Wird der Pool beispielsweise (in einer VPN-Verbindung) für die Template-Variable Remote network verwendet, weist mdm der Variable Remote network bei allen Geräten, die das jeweilige Template nutzen, automatisch einen Wert zu. In der Tabelle Pool-Übersicht im Hauptfenster wird angezeigt, wieviele Variablen dem Pool entnommen wurden (Use count) und wieviele Werte im Pool noch zur Verfügung stehen (Available count).
|
Hinweis: Sind Netzwerkmaske und Quelladressbereiche des Pools einmal definiert, können sie nicht mehr geändert oder gelöscht werden, d. h. der Netzwerkbereich 10.12.0.0/16 bis 10.12.0.0/19 im oben angeführten Beispiel kann nicht mehr verringert werden. Dem Pool können lediglich weitere Bereiche hinzugefügt werden, d. h. der Wertebereich des Pools kann erweitert werden. Daher ist bei der Vorausplanung des Pools größte Sorgfalt geboten. |
Poolwerte in Variablen verwenden
Poolwerte können nur in Templates verwendet werden. Bei bestimmten Variablen kann der gewünschte Pool aus einer Dropdown-Liste ausgewählt werden, z. B. stehen in Bild 6-20 eine Anzahl Pools (London, New York, Paris usw.) für die Verwendung mit der Variable IP of external interface zur Verfügung. In der Dropdown-Liste werden nur Pools angezeigt, die zur Variable passen (z. B. CIDR-Pool und Variable vom Typ IP-Adresse). Bei Verwendung eines Pools in einem Template werden der jeweiligen Variablen keine Werte zugewiesen; auf den Pool wird zu diesem Zeitpunkt lediglich Bezug genommen. Daher wird der Reference count in der Pool-Tabelle um eins erhöht. Bei Zuweisung eines Wertes zu einer Variablen (erfolgt auf Geräteebene, nicht auf Template-Ebene) wird der Use count um eins erhöht.
Diese Zuweisung erfolgt automatisch, wenn Sie ein geerbtes Gerätetemplate durch Bezugnahme auf einen Pool von einer Variablen an das Template bearbeiten oder wenn Sie ein Template einem Gerät zuweisen, das bereits auf einen Pool Bezug nimmt.
Bild 6-20: Verwendung von Pool-Werten
Bei der Arbeit mit Pools sollten Sie stets Folgendes beherzigen.
|
In einer Variable, die eine IP-Adresse (kein IP-Netzwerk) erfordert, kann nur auf Pools mit einer Netzwerkmaske von 32 Bezug genommen werden. |
|
Wenn Sie sich dafür entscheiden, einen Pool-Wert im Gerät zu überschreiben, wird der zugewiesene Pool-Wert nicht an den Pool zurückgegeben (d. h. der Use count wird um eins verringert), sondern bleibt „im Hintergrund“ zugewiesen, falls Sie für die erneute Verwendung des geerbten Werts für notwendig erachten. |
|
Pools müssen ausreichend groß sein, um einen Wert für jedes Gerät zur Verfügung zu stellen, das die Vorlage, in der auf diesen Pool Bezug genommen wird, beerbt. Dies gilt auch, wenn einige dieser Geräte ihren jeweiligen Pool-Wert überschreiben (siehe oben). |
6.6.1VPN-Gruppen-Übersicht (VPN group overview table)
Klicken Sie auf die Registerkarte VPN Groups, um die VPN-Gruppen-Übersicht (VPN group overview table) aufzurufen. Mit einer VPN-Gruppe können Geräte in einem vermaschten VPN-Netzwerk gruppiert werden. Weiterführende Informationen zu VPN-Gruppen und deren Verwendung finden Sie in „VPN-Gruppe-Eigenschaften (VPN group properties dialog) – Vermaschte VPN-Netzwerke“ auf Seite 129.
Bild 6-21: VPN-Gruppen-Übersicht (VPN group overview table)
Die VPN-Gruppen-Übersicht (VPN group overview table) enthält folgende Spalten.
|
Setzen Sie zum Ändern der Spaltenbreite den Cursor in die Kopfzeile der Tabelle an die Grenze zwischen zwei Spalten und ziehen Sie bei gedrückter linker Maustaste die Grenze in die gewünschte Richtung. Setzen Sie zum Verschieben einer Spalte den Cursor in die Kopfzeile der Tabelle und ziehen Sie bei gedrückter linker Maustaste die Spalte an den gewünschten Platz. |
|
Spalten der VPN-Gruppen-Übersicht (VPN group table columns) |
||
|---|---|---|
|
|
Status (S) |
Das Status-Symbol zeigt an, ob die VPN-Gruppe aktuell gesperrt ist. |
|
|
Name |
Der der VPN-Gruppe zugewiesene Name. Der Name kann unter General Settings im VPN group properties dialog (VPN-Gruppe-Eigenschaften) eingetragen werden (siehe Kapitel 6.6.4). |
|
|
Members |
Liste, in der mit Komma getrennt die zur VPN-Gruppe gehörenden Geräte aufgeführt werden (d. h. die Teil des durch die VPN-Gruppe definierten vermaschten VPN-Netzwerks sind). |
|
|
Version |
Für die VPN-Gruppe verwendete Firmwareversion des mGuard. |
|
|
Comment |
Optionale Anmerkungen. Die Anmerkung kann unter General Settings im VPN group properties dialog (VPN-Gruppe-Eigenschaften) eingetragen werden (siehe Kapitel 6.6.4). |
|
|
Member Count |
In dieser Spalte wird die Anzahl der zur VPN-Gruppe gehörenden Geräte angezeigt. |
Tabelle filtern und sortieren
Mit der Kopfzeile der Tabelle können die Einträge sortiert werden. Durch Anklicken der Kopfzeile einer Spalte wird die (primäre) Sortierung anhand dieser Spalte aktiviert. Dies wird durch einen Pfeil in der Kopfzeile angezeigt. Durch einen zweiten Klick auf dieselbe Kopfzeile erfolgt die Sortierung in umgekehrter Reihenfolge. Durch Anklicken einer weiteren Spalte wird anhand dieser neuen Spalte sortiert, wobei die vorher aktive Spalte als zweites Kriterium für die Sortierung herangezogen wird.
In der ersten Tabellenzeile wird die Eingabe regulärer Ausdrücke akzeptiert (siehe Kapitel 11, Regular expressions), die zum effizienten Filtern der Tabelleneinträge verwendet werden können. Eine Spalte, die keinen Text enthält (d. h. Spalte S) kann nicht auf der Grundlage regulärer Ausdrücke gefiltert werden.
Das Filterkriterium Member count wird nicht als regulärer Ausdruck interpretiert, sondern als Liste von Zahlen oder Zahlenbereichen, die durch Komma getrennt sind (z. B. 0, 2 – 3).
Der Filterverlauf wird für den aktuellen Benutzer gespeichert und kann über die Dropdown-Funktion der Filterfelder aufgerufen werden.
VPN-Gruppen anlegen
Neue VPN-Gruppen können auf mehrere Arten angelegt werden:
1.Öffnen Sie das Kontextmenü durch einen Rechtsklick auf die VPN-Gruppentabelle. Klicken Sie im Kontextmenü auf Add, um den VPN group properties dialog (VPN-Gruppe-Eigenschaften) für eine neue VPN-Gruppe zu öffnen.
2.Klicken Sie auf die Registerkarte VPN-Gruppe und hier auf das Symbol 
in der Menüleiste und öffnen Sie den VPN group properties dialog für eine neue VPN-Gruppe.
3.Klicken Sie im Hauptmenü auf New » VPN Group um den VPN group properties dialog für eine neue VPN-Gruppe zu öffnen.
VPN-Gruppen bearbeiten
Eine VPN-Gruppe kann auf mehrere Arten bearbeitet werden:
1.Führen Sie mit der linken Maustaste einen Doppelklick auf die VPN-Gruppe in der Tabelle aus, um den VPN group properties dialog zu öffnen.
2.Wählen Sie mit der linken Maustaste die VPN-Gruppe aus und öffnen Sie durch einen Rechtsklick das Kontextmenü. Öffnen Sie den VPN group properties dialog durch Klicken auf Edit.
3.Wählen Sie in der Gerätetabelle das zu ändernde Gerät. Klicken Sie im Hauptmenü auf Edit » Edit Item um den VPN group properties dialog zu öffnen.
VPN-Gruppen löschen
VPN-Gruppen können auf mehrere Arten gelöscht werden:
1.Wählen Sie in der VPN-Gruppentabelle eine oder mehrere VPN-Gruppen aus und öffnen Sie das Kontextmenü durch einen Klick mit der rechten Maustaste. Klicken Sie im Kontextmenü auf Delete um eine VPN-Gruppe zu löschen.
2.Markieren Sie in der Tabelle die zu löschenden VPN-Gruppen und klicken Sie in der Menüleiste auf das Symbol 
.
6.6.2VPN-Gruppe-Kontextmenü (VPN group context menu)
Im VPN-Gruppe-Kontextmenü stehen folgende Optionen zur Verfügung.
|
VPN-Gruppe-Kontextmenü |
||
|---|---|---|
|
|
Add |
Neue VPN-Gruppe anlegen und den VPN group properties dialog (VPN-Gruppe-Eigenschaften) der neuen VPN-Gruppe öffnen. |
|
|
Edit |
Ausgewählte VPN-Gruppe bearbeiten (nur aktiv, wenn genau eine VPN-Gruppe in der Übersichtstabelle markiert ist). |
|
|
Duplicate |
Öffnen Sie zum Anlegen einer VPN-Gruppenkopie durch einen Klick mit der rechten Maustaste auf die VPN-Gruppe in der Tabelle das Kontextmenü dieser VPN-Gruppe. Klicken Sie im Kontextmenü auf Duplicate. mdm erstellt eine Kopie der VPN-Gruppe und fügt zum Namen der neuen VPN-Gruppe den String _copy<n> (<n> ist eine Zahl) hinzu. Hinweis: Der Menüeintrag Duplicate ist nur aktiviert, wenn in der VPN-Gruppentabelle genau eine VPN-Gruppe markiert ist. |
|
|
Delete |
Ausgewählte VPN-Gruppen löschen. |
|
|
Set Firmware Version |
Da unterschiedliche Versionen der mGuard-Software über unterschiedliche Variablensätze verfügen, muss hier die zur auf dem mGuard installierten Firmware passende Firmware ausgewählt werden. 
|
|
|
Assign/Remove Member Devices |
Geräte, die Mitglied einer oder mehrerer VPN-Gruppen sind, bearbeiten. Weiterführende Informationen finden Sie unter „Mitgliedschaft von Geräten in VPN-Gruppen bearbeiten“ auf Seite 127. |
|
|
Select All |
Alle nicht durch den Tabellenfilter ausgeschlossenen VPN-Gruppen auswählen. |
6.6.3Mitgliedschaft von Geräten in VPN-Gruppen bearbeiten
Bei Anklicken von Assign/Remove Member Devices im Kontextmenü der VPN-Gruppe wird ein Dialog aufgerufen, der die Bearbeitung der Mitgliedschaft des Geräts in den ausgewählten VPN-Gruppen ermöglicht:
Bild 6-22: Dialog zur Bearbeitung der Mitgliedschaft von Geräten in VPN-Gruppen
Spalten der Tabelle VPN-Gruppenmitgliedschaft
Die Tabelle VPN-Gruppenmitgliedschaft enthält folgende Spalten.
|
Setzen Sie zum Ändern der Spaltenbreite den Cursor in die Kopfzeile der Tabelle an die Grenze zwischen zwei Spalten und ziehen Sie bei gedrückter linker Maustaste die Grenze in die gewünschte Richtung. Setzen Sie zum Verschieben einer Spalte den Cursor in die Kopfzeile der Tabelle und ziehen Sie bei gedrückter linker Maustaste die Spalte an den gewünschten Platz. |
|
Spalten der Tabelle VPN-Gruppenmitgliedschaft |
||
|---|---|---|
|
|
Status I |
Das Status-Symbol I zeigt an, ob ein Gerät Mitglied in einigen, allen oder keiner der ausgewählten VPN-Gruppen ist. Durch einen Klick auf das Symbol |
|
|
Status V |
Das Status-Symbol V zeigt an, ob die Firmwareversion des Geräts zur Firmwareversion der ausgewählten VPN-Gruppen passt, d. h. ob sie gleichwertig oder aktueller ist. |
|
|
Management ID |
Management-ID des Geräts. |
|
|
Templates |
Durch Kommas getrennte Liste der übergeordneten Templates des Geräts. Der erste Punkt auf der Liste ist das unmittelbar übergeordnete Template.
|
|
|
Version |
Firmwareversion der VPN-Gruppe. |
|
|
VPN Groups |
Durch Kommas getrennte Liste der VPN-Gruppen, in denen das Geräts aktuell Mitglied ist. |
Tabelle filtern und sortieren
Mit der Kopfzeile der Tabelle können die Einträge sortiert werden. Durch Anklicken der Kopfzeile einer Spalte wird die (primäre) Sortierung anhand dieser Spalte aktiviert. Dies wird durch einen Pfeil in der Kopfzeile angezeigt. Durch einen zweiten Klick auf dieselbe Kopfzeile erfolgt die Sortierung in umgekehrter Reihenfolge. Durch Anklicken einer weiteren Spalte wird anhand dieser neuen Spalte sortiert, wobei die vorher aktive Spalte als zweites Kriterium für die Sortierung herangezogen wird.
In der ersten Tabellenzeile wird die Eingabe regulärer Ausdrücke akzeptiert (siehe Kapitel 11, Regular expressions), die zum effizienten Filtern der Tabelleneinträge verwendet werden können. Bei Spalten, die keinen Text enthalten (Spalten I und V) kann nicht auf der Grundlage regulärer Ausdrücke gefiltert werden.
Geräte auswählen
Wählen Sie die Geräte aus, bei denen Sie die Mitgliedschaft in der VPN-Gruppe bearbeiten möchten:
–Markieren Sie ein Gerät durch Anklicken.
–Klicken Sie zur Auswahl eines Gerätebereichs ein Gerät an, halten Sie die Umschalttaste gedrückt und klicken Sie ein zweites Gerät an. Dadurch markieren Sie alle Geräte, die sich zwischen diesen beiden Geräten befinden.
–Um den Auswahlstatus eines Geräts umzukehren, klicken Sie bei gedrückter Strg-Taste das Gerät an.
VPN-Gruppenmitgliedschaft zuweisen oder aufheben
Klicken Sie zur Zuweisung der markierten Geräte zur ausgewählten VPN-Gruppe (d. h. die VPN-Gruppen wurden bei Öffnen des Dialogs in der VPN-Gruppentabelle ausgewählt) auf die Schaltfläche Attach Selected Devices. Klicken Sie analog zum Entfernen der markierten Geräte aus der ausgewählten VPN-Gruppe auf die Schaltfläche Detach Selected Devices.
|
Ein Gerät kann nur Mitglied einer VPN-Gruppe sein, wenn dessen Firmwareversion gleichwertig oder aktueller als die Firmwareversion der VPN-Gruppe ist. |
|
Versuche, ein Gerät einer VPN-Gruppe hinzuzufügen, in der es bereits Mitglied ist, bzw. ein Gerät aus einer VPN-Gruppe zu entfernen, in der es kein Mitglied ist, werden nicht beachtet. |
|
Das Hinzufügen von Geräten zu VPN-Gruppen oder das Löschen von Geräten aus VPN-Gruppen erfolgt im Hintergrund. Der Dialog kann bereits geschlossen werden, während dieser Vorgang noch läuft. |
6.6.4VPN-Gruppe-Eigenschaften (VPN group properties dialog) – Vermaschte VPN-Netzwerke
Die Geräte, die Mitglied einer VPN-Gruppe sind, bilden ein vermaschtes VPN-Netzwerk. Für jedes Mitglied legt mdm eine VPN-Verbindung (sog. VPN-Gruppenverbindung) zu jedem anderen Gerät an, das Mitglied dieser Gruppe ist. Ein Gerät kann Mitglied mehrerer VPN-Gruppen sein. Sollten dadurch mehrere VPN-Verbindungen zwischen denselben beiden Geräten entstehen, legt mdm nur eine derartige Verbindung an. VPN-Gruppen sind nicht für Firmwareversionen verfügbar, die älter sind als 6.0.
Mit dem VPN group properties dialog können gemeinsame, von allen VPN-Verbindungen innerhalb der Gruppe genutzte Variablen konfiguriert werden.
Informationen zum Anlegen, Löschen oder Bearbeiten von VPN-Gruppen und zum Hinzufügen oder Entfernen von Geräten aus diesen Gruppen siehe „VPN-Gruppen-Übersicht (VPN group overview table)“ auf Seite 122.
Bild 6-23: Der mdm Dialog VPN Group Properties
Ähnlich wie die Dialoge Device bzw. Template Properties enthält auch der VPN group properties dialog auf der linken Seite einen Navigationsbaum. Damit kann bequem zwischen den Variablen navigiert werden.
General settings
Der VPN group properties dialog enthält den Menüpunkt General settings zur Konfiguration zusätzlicher Parameter mit Bezug zu mdm. Die folgenden Parameter können in den General settings eingestellt werden.
|
VPN-Gruppe-Eigenschaften – VPN group properties dialog (Vermaschte VPN-Netzwerke) |
||
|---|---|---|
|
General settings |
Name |
Mit dem Namen wird die VPN-Gruppe innerhalb des mdm erkannt. Der Name muss eindeutig sein. |
|
|
Firmware Version |
Da unterschiedliche Versionen der mGuard-Software über unterschiedliche Variablensätze verfügen, muss hier die zur auf dem mGuard installierten Firmware passende Firmware ausgewählt werden. 
|
|
|
Member devices (schreibgeschützt) |
Die Geräte, die aktuell Mitglieder der VPN-Gruppe sind. |
|
|
Comment |
Optionale Anmerkungen. |
VPN-Gruppenverbindungen
Beim Anlegen von VPN-Gruppenverbindungen kombiniert mdm die Variablen in der VPN-Gruppe mit zusätzlichen Variablen im Gerät. Während die Variablen in der VPN-Gruppe bei allen Verbindungen in dieser Gruppe gleich sind, sind die zusätzlichen Variablen gerätespezifisch, aber allen VPN-Gruppenverbindungen dieses Geräts gemeinsam.
Die VPN-Gruppe enthält folgende Variable:
–General VPN settings
–Protocol settings
–Authentication settings
–IKE options
Geräte und Templates enthalten Variablen unter dem Gruppenkonfigurationsknoten IPsec VPN » VPN, die beim Hinzufügen von VPN-Gruppen zu einem Gerät durch mdm verwendet werden:
–Tunnel settings
–NAT settings
–Firewall settings
Das lokale VPN-Netzwerk
Das für die VPN-Gruppenverbindungen zu verwendende lokale VPN-Netzwerk kann entweder im Template oder im Gerät angegeben werden (IPsec VPN » VPN Group Configuration » Tunnel Settings » Local) oder wird, wenn das Gerät im Routermodus betrieben wird, automatisch abgeleitet werden. Ist die Variable IPsec VPN » VPN Group Configuration » Tunnel Settings » Use first internal address as local VPN network in router mode auf Yes gesetzt, verwendet mdm die erste interne Adresse samt zugehöriger Netzmaske, sodass das entsprechende lokale Netzwerk durch den VPN-Tunnel sichtbar ist. Diese Einstellung wirkt sich im geschützten Modus nicht aus, d. h. wenn das Gerät im geschützten Modus verwendet wird, muss das lokale VPN-Netzwerk immer angegeben werden.
Local 1:1 NAT
VPN-Gruppenverbindungen können so konfiguriert werden, dass sie auf lokalen Adressen 1:1 NAT durchführen können. Keiner der anderen NAT-Mechanismen für VPN-Verbindungen ist in VPN-Gruppenverbindungen verfügbar.
Das lokale 1:1 NAT wird aktiviert, in dem man die Variable IPsec VPN » VPN Group Configuration » NAT » Enable 1:1 NAT of local addresses auf Yes setzt. Das lokale Netzwerk im Tunnel muss angegeben werden.
|
Hinweis: Das Netzwerk innerhalb Tunnel (d. h. Netzwerkadressen, wie sie von der Gegenstelle gesehen werden), wird durch die 1:1 NAT-Einstellungen angegeben. Dies ist der Unterschied zur Webinterface des mGuard, wo das Netzwerk außerhalb des Tunnels (d. h. die Netzwerkadressen, wie sie vom lokalen Netzwerk aus zu sehen sind) in den 1:1 NAT-Einstellungen angegeben wird. |
Erweiterte Firewall-Regeln
In den Firewall-Regeln des Knotens IPsec VPN » VPN Group Configuration sind zusätzliche Combine-Felder enthalten, die mit den Adressen From IP und To IP oder Netzwerken verbunden sind. Ist ein Combine-Feld auf No gesetzt, wo wird die entsprechende Adresse bzw. das entsprechende Netzwerk ohne Änderung in der VPN-Gruppenverbindung verwendet.
Ist ein Combine-Feld auf Yes gesetzt, wird die in der Tabelle eingegebene Adresse bzw. das hier eingegebene Netzwerk mit dem lokalen oder Remote-VPN-Netzwerk verbunden, um das in der VPN-Gruppenverbindung genutzte Netzwerk zu berechnen.
–In den Firewall-Regeln für eingehenden Datenverkehr wird das Feld From IP mit dem Remote-VPN-Netzwerk und das Feld To IP mit dem lokalen VPN-Netzwerk kombiniert.
–In den Firewall-Regeln für ausgehenden Datenverkehr wird das Feld From IP mit dem lokalen VPN-Netzwerk und das Feld To IP mit dem Remote-VPN-Netzwerk kombiniert.
Der Wert des Feldes From IP oder To IP wird mit dem VPN-Netzwerk kombiniert, indem die Adressen oktettweise hinzugefügt werden, d. h. jedes Oktett wird einzeln hinzugefügt. Kommt es nach dem Hinzufügen zweier Oktetts zu einem Überlauf (d. h. es ist größer als 255), wird der Wert 256 subtrahiert (die Addition „wickelt sich also drumherum“). Die Netzwerkmaske des Werts des Feldes From IP oder To IP (oder 32 wenn das Feld keine Netzwerkmaske enthält) wird auf das Ergebnis angewendet.
Beispiele:
–Weist das Feld From IP oder To IP den Wert 0.0.78.0/24 auf und das VPN-Netzwerk ist 10.6.0.0/16, lautet der kombinierte Wert 10.6.78.0/24.
–Weist das Feld From IP oder To IP den Wert 0.1.78.0/24 auf und das VPN-Netzwerk ist 10.6.0.0/16, lautet der kombinierte Wert 10.7.78.0/24.
6.7VPN-Verbindungen konfigurieren
Mit mdm lassen sich die Konfigurationen für eine große Anzahl von VPN-Tunneln problemlos anlegen. Generell gelten Angaben in Kapitel 6.1, Kapitel 6.3.3, Kapitel 6.4.3 und Kapitel 6.4.5 auch für die VPN-Konfiguration.
VPNs erfordern jedoch die Berücksichtigung einiger besonderer Einstellungen, beispielsweise die automatische Konfiguration der VPN-Gegenstelle. Im vorliegenden Abschnitt werden diese näher beschrieben. Die VPN-Konfiguration finden Sie im Knoten IPsec VPN des Navigationsbaumes.
VPN-Verbindungen hinzufügen und bearbeiten
Öffnen Sie zum Hinzufügen, Ändern oder Löschen von VPN-Verbindungen den Knoten IPsec VPN » Connections. Legen Sie zum Erstellen einer neuen Verbindung eine neue Tabellenzeile an (siehe „mGuard Tabellenvariablen ändern“ auf Seite 72). Sobald Sie eine Verbindung einrichten, erscheint diese als Knoten im Navigationsbaum. Öffnen Sie zum Bearbeiten einer Verbindung den Knoten dieser Verbindung im Navigationsbaum und navigieren Sie zu den gewünschten Einstellungen. Die Struktur des Verbindungsknotens ähnelt der Menüstruktur des mGuard.
|
Die Verbindungstabelle ist schreibgeschützt, d. h. wenn Sie Änderungen an der Verbindung vornehmen möchten, beispielsweise den Namen der Verbindung ändern oder eine Verbindung deaktivieren, müssen Sie zu dem jeweiligen Knoten navigieren. |
|
Hinweis: Die Berechtigungseinstellungen der Verbindungstabelle in einem Template gilt nur für diese Tabelle, nicht jedoch für die Inhalte der Verbindung. Wenn Sie die Tabelle auf No override setzen, können die Einstellungen der VPN-Verbindung immer noch an dem Gerät, das das Template verwendet, modifiziert werden. Der Benutzer auf Geräteebene ist jedoch nicht berechtigt, weitere Verbindung zur Tabelle hinzuzufügen. |
Automatische Konfiguration der VPN-Gegenstelle
Sie können die VPN-Verbindung für die Gegenstelle automatisch anlegen (siehe Bild 6-24). Setzen Sie dazu den Cursor in das Feld Peer device und drücken Sie die Pfeiltaste Abwärts. Eine Liste der verfügbaren Geräte wird angezeigt. Sie können die Anzahl der Geräte in der List begrenzen, indem Sie die ersten Zeichen der Management-ID des gewünschten Geräts eingeben. Bei Auswahl eines Geräts wird die VPN-Konfiguration für dieses Gerät automatisch erstellt.
|
Nicht alle Einstellungen der Gegenstelle können automatisch vorgenommen werden, daher müssen Sie Teile der Konfiguration manuell eingeben. Überprüfen Sie die Unterknoten der VPN-Verbindung für diese Einstellungen. Sie befinden sich in den entsprechenden Unterknoten und sind von den anderen Einstellungen durch den Text Configuration of peer device getrennt (Beispiel Bild 6-24). |
|
Die automatisch angelegten VPN-Verbindungen werden schreibgeschützt in der Gegenstellen-Verbindungstabelle dargestellt, d. h. die Konfiguration auf Seiten der Gegenstelle kann nicht geändert werden. |
|
Wenn die VPN-Gateways über unterschiedliche Firmwareversionen verfügen, kann eine Gegenstelle nur im Device properties dialog (Geräte-Eigenschaften) mit einer älteren Firmwareversion konfiguriert werden. Wenn Sie die Gegenstelle im Device properties dialog mit einer aktuellen Firmware als in der Verbindung vorhanden konfigurieren, wird Geräten mit einer älteren Firmware keine Verbindung hergestellt. Eine Fehlermeldung oder Warnung wird nicht angezeigt. |
|
Die automatisch hergestellten VPN-Verbindungen können als Alternative zur Funktion mGuard Tunnel Group (mGuard ab Version 5.0) verwendet werden, siehe Anmerkungen im nachfolgenden Abschnitt Hinweise für VPN-Verbindungen. |
Bild 6-24: Automatische Konfiguration einer VPN-Gegenstelle
VPN-Kennungen automatisch einstellen
Das lokale und das Remote-Maschinenzertifikat sind mdm in zahlreichen typischen Verwendungsszenarien bekannt (wenn VPN-Konfigurationen für die Gegenstelle durch mdm angelegt werden). mdm kann diese Informationen zum automatischen Einrichten einer lokalen VPN-Kennung und der Remote-VPN-Kennung verwenden, d. h. Ableitung der Kennungen von den bekannten Zertifikaten. Bei der Verwendung von CA-Zertifikaten zur Authentifizierung von VPN-Verbindungen müssen diese Variablen gesetzt werden.
Zur Nutzung dieser Funktion IPsec VPN » Connections » Connection Name » Authentication » VPN Identifiers node öffnen und Variable Set VPN Identifiers automatically auf Yes setzen. In diesen Knoten werden die lokale VPN-Kennung und die Kennzeichnungsvariablen der Remote-VPN ignoriert, die Kennungen werden von den Zertifikaten abgeleitet.
Firewall-Regeln kopieren
Die Firewall-Tabellen innerhalb der VPN-Verbindungen enthalten eine Schaltfläche Copy from Main. Durch Anklicken dieser Schaltfläche wird der Inhalt der entsprechenden Firewall-Tabelle für Netzwerkverkehr außerhalb von VPN kopiert (d. h. wenn die aktuelle Firewall-Tabelle für eingehenden Datenverkehr bestimmt ist, wird die Firewall-Tabelle für eingehenden Datenverkehr außerhalb von VPN kopiert, analog wird für ausgehenden Datenverkehr verfahren).
Die kopierten Firewall-Regeln werden durch eine andere Hintergrundfarbe angezeigt. Die Hintergrundfarbe wird entfernt, wenn ein anderer Knoten des Navigationsbaumes geöffnet wird.
Hinweise für VPN-Verbindungen
Die folgenden Hinweise sind hilfreich, wenn die Tunnelgruppen-Funktion nicht verwendet wird und die VPN-Verbindungen explizit definiert sind.
|
Bei 1:N-VPN-Konfigurationen wird empfohlen, die VPN-Verbindung in einer Vorlage zu definieren und das zentrale Gerät im Feld Peer device auszuwählen (siehe obenstehenden Abschnitt Automatische Konfiguration der VPN-Gegenstelle). Wenn Sie dieses Template den Geräten zuweisen, legt mdm automatisch die Konfigurationen der N-Verbindung für das zentrale Gerät an. |
|
Bei einer 1:N-VPN-Konfiguration ist es für die Konfiguration der Gegenstelle erforderlich, die Gateway-Adresse des aktuellen Geräts anzugeben (siehe Bild 6-24, Configuration of peer device » Gateway address of peer). Bei der Verwendung von Zertifikaten kann %any (siehe Bild 6-24) als Adresse im Template verwendet werden, aber als PSK-Authentifizierung ist %any nicht zulässig. Bei Verwendung der PSK-Authentifizierung muss für jedes Gerät die externe Adresse (wenn kein NAT verwendet wird) in das Feld Configuration of peer device » Gateway address of peer eingegeben werden. |
vor dem Namen der Variablen im 
vor dem Namen der Variablen angezeigt. Im Beispiel wird der Wert aus dem Template durch einen benutzerdefinierten Wert überschrieben.
vor dem Namen der Variablen angezeigt. In diesem Beispiel wird der Wert aus dem Template in der Gerätekonfiguration durch einen benutzerdefinierten Wert überschrieben.
vor dem Namen der Variablen und eine blaue Markierung angezeigt. Wird ein Gerät hochgeladen, für das keine None-Werte zugewiesen sind, erscheint eine Fehlermeldung.
können Sie einen Dialog öffnen, in dem die zur Verfügung stehenden Symbole und deren Bedeutung beschrieben werden.
