IBM Client Security Solutions - ps-2.kev009.com, an archive of old
Contents
1. Erste Ausgabe April 2003 Diese Ver ffentlichung ist eine bersetzung des Handbuchs IBM Client Security Solutions Using Client Security Software Version 5 1 with Tivoli Access Manager herausgegeben von International Business Machines Corporation USA Copyright International Business Machines Corporation 2002 Copyright IBM Deutschland Informationssysteme GmbH 2003 Informationen die nur f r bestimmte L nder G ltigkeit haben und f r Deutschland sterreich und die Schweiz nicht zutreffen wurden in dieser Ver ffentlichung im Originaltext bernommen M glicherweise sind nicht alle in dieser bersetzung aufgef hrten Produkte in Deutschland angek ndigt und ver f gbar vor Entscheidungen empfiehlt sich der Kontakt mit der zust ndigen IBM Gesch ftsstelle nderung des Textes bleibt vorbehalten Herausgegeben von SW TSC Germany Kst 2877 April 2003 Inhaltsverzeichnis Vorwort Zielgruppe Benutzung des Handbuchs Verweise auf das Client Security Installations handbuch Verweise auf das Client Security Administr tor handbuch Zus tzliche Informati n n Kapitel 1 Einf hrung in IBM Client Security Anwendungen und Komponenten von Client i rity PKI Furiktionen Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren Voraussetzungen Client Security Komponente herunterladen ana installieren Client Security Komponenten au dem Tiv2. ber das Fenster Policy f r UVM Verschl sselungstext kann der Administrator aus den folgenden Regeln f r Verschl sselungstexte ausw hlen e Verschl sselungstext ist nicht mehr g ltig nach ja 184 In diesem Beispiel l uft der Verschl sselungstext standardm ig nach 184 Tagen ab Der neue Verschl sselungstext muss der vorhandenen Policy f r den Verschl sselungstext entsprechen e Verschl sselungstext l uft nie ab Wenn diese Option ausgew hlt ist l uft der Verschl sselungstext nie ab Die Policy f r den Verschl sselungstext wird vom Administratordienstprogramm bei der Registrierung des Benutzers und bei der nderung des Verschl sselungs textes durch den Benutzer ber das Clientdienstprogramm berpr ft Die beiden Benutzereinstellungen zum vorherigen Kennwort werden zur ckgesetzt und Pro tokolle zum Verschl sselungstext werden entfernt Folgende allgemeine Regeln gelten f r UVM Verschl sselungstexte L nge Der Verschl sselungstext kann bis zu 256 Zeichen lang sein Zeichen Der Verschl sselungstext kann jede beliebige Kombination von Zeichen enthalten die die Tastatur erzeugt einschlie lich Leerzeichen und nicht alphanumerische Zeichen 36 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Merkmale Der UVM Verschl sselungstext unterscheidet sich von einem Kennwort das Sie zur Anmeldung am Betriebssystem verwenden k nnen Der UVM Verschl ss
3. UVM Schutz f r eine Lotus Notes Benutzer ID verwenden Der UVM Schutz funktioniert nicht wenn Sie innerhalb einer Notes Sitzung die Benutzer ID wechseln Sie k nnen den UVM Schutz nur f r die aktuelle Benut zer ID einer Notes Sitzung konfigurieren Gehen Sie wie folgt vor um von einer Benutzer ID f r die UVM Schutz aktiviert wurde zu einer anderen Benutzer ID zu wechseln 1 Verlassen Sie Lotus Notes 2 Inaktivieren Sie den UVM Schutz f r die aktuelle Benutzer ID 3 Rufen Sie Lotus Notes auf und wechseln Sie die Benutzer ID Weitere Informa tionen zum Wechseln von Benutzer IDs finden Sie in der Dokumentation zu Lotus Notes Wenn Sie den UVM Schutz f r die Benutzer ID zu der Sie gewechselt haben konfigurieren m chten fahren Sie mit Schritt 4 fort 4 Rufen Sie das von Client Security bereitgestellte Tool zur Lotus Notes Konfigu ration auf und konfigurieren Sie den UVM Schutz 18 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Einschr nkungen f r das Benutzerkonfigurationsprogramm Unter Windows XP gibt es f r einen Clientbenutzer unter bestimmten Umst nden Zugriffseinschr nkungen f r die verf gbaren Funktionen Windows XP Professional Unter Windows XP Professional k nnen die Einschr nkungen f r Clientbenutzer in den folgenden Situationen auftreten Client Security ist auf einer Partition installiert die sp ter in das NTFS Format konvertiert wird
4. Der Windows Ordner befindet sich auf einer Partition die sp ter in das NTFS Format konvertiert wird Der Archivordner befindet sich auf einer Partition die sp ter in das NTFS For mat konvertiert wird In den vorgenannten F llen k nnen Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung m glicherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren Den UVM Verschl sselungstext ndern Das mit UVM registrierte Windows Kennwort aktualisieren e Das Schl sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Windows XP Home Benutzer von Windows XP Home mit eingeschr nkter Berechtigung k nnen in den folgenden F llen das Benutzerkonfigurationsprogramm nicht verwenden Client Security ist auf einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Fehlernachrichten Fehlernachrichten f r Client Security werden in Ereignisprotokoll geschrieben Client Security verwendet einen Einheitentreiber der m glicherweise Fehlernach richten in das Ereignisprotokoll schreibt Die Fehler auf denen diese Nachrichten basieren wirken sich auf den normalen Betrieb des Computers nicht aus UVM ruft Fehlernachrichten auf die vom zugeordneten Programm generiert werde
5. Die Verschl sselung von Dateien und Ordnern erm glicht dem Benutzer das schnelle und einfache Ver und Ent schl sseln von Dateien und Ordnern So wird eine h here Stufe von Daten sicherheit als erste der Sicherheitsma nahmen des CSS Systems gew hrleistet 2 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Authentifizierung ber Fingerabdr cke IBM Client Security unterst tzt das Leseger t f r Fingerabdr cke von Targus als PC Karte oder ber USB f r die Authentifizierung Die Client Security Software muss installiert sein bevor die Einheitentreiber f r das Targus Leseger t f r Fingerabdr cke installiert werden damit ein ordnungsgem er Betrieb gew hrleistet ist Smartcard Authentifizierung IBM Client Security unterst tzt jetzt auch Smart cards als Authentifizierungseinheiten Client Security erm glicht die Verwen dung von Smartcards zur Authentifizierung als Token d h es kann sich je weils nur ein Benutzer authentifizieren Jede Smartcard ist systemgebunden wenn nicht der standortunabh ngige Zugriff Roaming mit Berechtigungsnach weis verwendet wird Wenn eine Smartcard erforderlich ist sollte die System sicherheit erh ht werden da diese Karte mit einem Kennwort geliefert werden muss das m glicherweise ausspioniert werden kann Standortunabh ngiger Zugriff mit Berechtigungsnachweis Der standort unabh ngige Zugriff mit Berechtigungsnachweis erm g
6. digitales Zertifikat erhalten kann Wenn der Benutzer versucht ein Zertifikat zu erhalten wird das Authentifizierungsfenster in dem er aufgefordert wird den UVM Verschl sselungstext anzugeben oder die Fingerabdr cke abtasten zu lassen mehr mals angezeigt Geben Sie bei jedem ffnen des Authentifizierungsfensters den UVM Verschl sselungstext ein bzw lassen Sie ihre Fingerabdr cke abtasten Eine Nachricht ber einen VBScript oder JavaScript Fehler wird angezeigt Ma nahme Wenn Sie ein digitales Zertifikat anfordern wird m glicherweise eine Fehlernachricht angezeigt die sich auf VBScript oder JavaScript bezieht Starten Sie den Computer erneut und bezie hen Sie das Zertifikat erneut IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zu Tivoli Access Manager Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung von Tivoli Access Manager in Verbindung mit Client Security Fehler auftreten Fehlersymptom M gliche L sung Die lokalen Policy Einstellungen entspre chen nicht denen auf dem Server Ma nahme Tivoli Access Manager l sst bestimmte Bit Konfigurationen zu die von UVM nicht unterst tzt werden Folglich k nnen lokale Policy Anforderungen Einstellungen ber schreiben die ein Administrator bei der Konfiguration eines PD Servers vorgenom men h
7. ii die gemeinsame Nutzung der ausgetauschten Informationen zu erm glichen wenden sich an folgende Adresse IBM Corporation Department 80D P O Box 12195 3039 Cornwallis Research Triangle Park NC 27709 U S A Die Bereitstellung dieser Informationen kann unter Umst nden von bestimmten Bedingungen in einigen F llen auch von der Zahlung einer Geb hr abh ngig sein 41 Die Lieferung des in diesem Dokument aufgef hrten Lizenzprogramms sowie des zugeh rigen Lizenzmaterials erfolgt im Rahmen der Allgemeinen Gesch ftsbedin gungen der IBM der Internationalen Nutzungsbedingungen der IBM f r Programmpakete oder einer quivalenten Vereinbarung Marken IBM und SecureWay sind in gewissen L ndern Marken der IBM Corporation Tivoli ist in gewissen L ndern eine Marke von Tivoli Systems Inc Microsoft Windows und Windows NT sind in gewissen L ndern Marken der Mic rosoft Corporation Andere Namen von Unternehmen Produkten und Dienstleistungen k nnen Mar ken oder Dienstleistungsmarken anderer Unternehmen sein 42 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden
8. svrssicfg erstellt dann auf dem Tivoli Access Manager Server einen g ltigen Eintrag und stellt eine eindeutige SSL Schl sseldatei f r verschl sselte ber tragung zur Verf gung 3 F hren Sie svrssicfg aus um die Position von ivacld der Datei TAMCSS conf hinzuzuf gen Standardm ig ist beim PD Autorisierungsserver der Anschluss 7136 empfangs bereit Sie k nnen das ber den Parameter tcp_req_port in der Zeilengruppe ivacld der Datei ivacld conf auf dem Tivoli Access Manager Server berpr fen Es ist wichtig dass Sie den richtigen ivacld Hostnamen eingeben Diese Information k nnen Sie ber den Befehl pdadmin server list anfordern Die Server wie folgt angeben lt Servername gt lt Hostname gt Beispiel f r den Befehl pdadmin server list MSDOS gt pdadmin server list ivacld MyHost ibm com Mit dem folgenden Befehl wird anschlie end ein Replikatseintrag f r den oben angezeigten ivacld Server hinzugefiigt Es wird davon ausgegangen dass fiir ivacld der Standardanschluss 7136 empfangsbereit ist svrsslcfg add replica f lt Pfad_zur_Konfigurationsdatei gt h lt Hostname gt MSDOS gt svrssicfg add_replica f C TAMCSS TAMCSS conf h MyHost ibm com 8 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Kapitel 3 IBM Clients konfigurieren Sie m ssen zun chst jeden Client mit dem Administratordienstprogramm einer Komponente von Client Securi
9. 1 Stunde und 17 Minuten lang gesperrt Wenn Sie nach diesem Zeitraum das Kennwort zehn weitere Male falsch eingeben wird der Com puter 2 Stunden und 34 Minuten lang gesperrt Die Dauer der Computer sperrung verdoppelt sich jedes Mal wenn Sie das Kennwort zehnmal falsch eingeben Regeln f r UVM Verschl sselungstexte Die Sicherheit wird dadurch erh ht dass der UVM Verschl sselungstext l nger und eindeutiger ist als ein herk mmliches Kennwort Die Policy f r den UVM Verschl sselungstext wird ber das Administratordienstprogramm von IBM Client Security gesteuert Das Fenster Policy f r UVM Verschliisselungstext des Administratordienst programms stellt Sicherheitsadministratoren eine einfache Schnittstelle zur Steue rung von Kriterien f r Verschl sselungstexte bereit ber das Fenster Policy f r UVM Verschliisselungstext kann der Administrator folgende Regeln f r Verschl sselungstexte festlegen Anmerkung Die Standardeinstellung f r jedes Kriterium ist unten in Klammern angegeben e ob eine Mindestanzahl an alphanumerischen Zeichen festgelegt werden soll ja 6 Wenn z B der Wert 6 festgelegt ist ist der Verschltisselungstext 1234567xxx ung ltig e ob eine Mindestanzahl an Ziffern festgelegt werden soll ja 1 Wenn z B der Wert 1 festgelegt ist ist der Verschl sselungstext thisismypassword ung ltig 35 ob eine Mindestanzahl an Leerzeichen festgelegt werden soll keine Mindestan zahl W
10. 20 Fehlerbehebungsinformationen zur Installation 20 Fehlerbehebungsinformationen zum Administratordienstprogramm 2 e Al Fehlerbehebungsinformationen zum B utz t konfigurationsprogramm 23 Fehlerbehebungsinformationen zum ThinkPad 24 Fehlerbehebungsinformationen zu Microsoft An wendungen und Betriebssystemen 24 Fehlerbehebungsinformationen zu Netscape Paz wendungen 28 Fehlerbehebungsinformationen zu digitalen Zerti fikaten 30 Fehlerbehebungsinformationen zu Tivoli A c ss Manager ol Fehlerbehebungsinformationen zu Lotus Notes 32 Fehlerbehebungsinformationen zur Verschl sse lung mess Fehlerbehebungsinformationen zu UVM sensiti ven Einheiten 138 Anhang A Regeln f r Kennw rter und Verschl sselungstexte 35 Regeln f r Hardwarekennw rter i 35 Regeln f r UVM Verschl sselungstexte Bd Anhang B Regeln f r den UVM Schutz fur die Anmeldung am System 39 Anhang C Bemerkungen und Marken 41 Bemerkungen 41 Marken 42 iii iv IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Vorwort Das vorliegende Handbuch enth lt n tzliche Informationen f r die Konfiguration von Client Security f r die Verwendung mit IBM Tivoli Access Manager Das Handbuch ist wie folgt aufgebaut Kapitel 1 Einf hrung in IBM Client Security enth lt eine bersicht ber die in der Software enthaltenen Anwendungen und Komponenten sowie eine Be
11. Kennwort verschl s selt und der Benutzer ben tigt keine neue Benutzer ID Datei Wenn der Endbenutzer das Kennwort erneut ndert generiert UVM ein neues per Zufallsgenerator festgelegtes Kennwort f r die Notes ID IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zur Verschl sselung Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verschl sselung von Dateien unter Verwendung von Client Secu rity ab Version 3 0 weiterhelfen k nnen Fehlersymptom M gliche L sung Bereits verschl sselte Dateien werden nicht entschl sselt Ma nahme Dateien die mit fr heren Versionen von Client Security verschl sselt wurden wer den nach dem Upgrade auf Client Security ab Version 3 0 nicht entschl sselt Dies ist eine bekannte Einschr nkung Sie m ssen alle mit fr heren Versionen von Client Security verschl sselten Dateien ent schl sseln bevor Sie Client Security ab Ver sion 3 0 installieren Client Security 3 0 kann Dateien die von fr heren Versionen von Client Security verschl sselt wurden nicht entschl sseln da in dieser Version die Imp lementierung der Dateiverschl sselung ge ndert wurde Fehlerbehebungsinformationen zu UVM sensitiven Einheiten Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung UVM sen
12. RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook Express 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft Bei der Verwendung eines Zertifikats in Outlook Express wird nach dem Ausfall eines Festplattenlaufwerks eine Fehler nachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sind einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt F hren Sie nach der Wiederherstellung der Schl ssel einen der folgenden Schritte aus e Fordern Sie neue Zertifikate an e Registrieren Sie die Zertifizierungsinstanz erneut in Outlook Express IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlersymptom M
13. Teil der Authenti fizierungssoftware UVM User Verification Manager der Hauptkomponente von Client Security Chiffrierschl sselverwaltung f r ffentliche Schl ssel Administratoren k n nen mit Client Security Chiffrierschl ssel f r die Computerhardware und f r die Clientbenutzer erstellen Bei der Erstellung von Chiffrierschl sseln sind diese ber eine Schl sselhierarchie an den integrierten IBM Security Chip gebunden In der Hierarchie wird ein Hardwareschl ssel der Basisebene verwendet um die bergeordneten Schl ssel sowie die den einzelnen Clientbenutzern zugeordneten Benutzerschl ssel zu verschl sseln Die Verschl sselung und Speicherung von Schl sseln auf dem integrierten IBM Security Chip erweitert die Clientsicherheit um eine wesentliche zus tzliche Ebene da die Schl ssel sicher an die Computer hardware gebunden sind Erstellung und Speicherung digitaler Signaturen die durch den integrierten IBM Security Chip gesch tzt sind Wenn Sie ein digitales Zertifikat anfordern das f r die digitale Signatur und f r die Verschl sselung einer E Mail verwend bar ist k nnen Sie mit Client Security den integrierten IBM Security Chip zur Bereitstellung der Verschl sselung f r Anwendungen einsetzen die mit der Mic rosoft CryptoAPI funktionieren Zu diesen Anwendungen geh ren Internet Explorer und Microsoft Outlook Express Dadurch ist sichergestellt dass der pri vate Schl ssel des digitalen Zertifikats auf dem i
14. ber Tivoli Access Manager gesteuert werden sollen Aktivieren Sie das Markierungsfeld Access Manager steuert ausgew hltes Objekt Klicken Sie auf die Schaltfl che bernehmen Die nderung werden bei der n chsten Cache Aktualisierung wirksam Wenn Sie m chten dass die nderungen sofort wirksam werden klicken Sie auf die Schaltfl che Lokalen Cache aktualisieren Lokalen Cache definieren und verwenden Nach Auswahl der Tivoli Access Manager Konfigurationsdatei kann das Aktualisierungsintervall f r den lokalen Cache festgelegt werden Auf dem IBM Client wird ein lokales Replikat der von Tivoli Access Manager verwalteten Sicher heits Policy Informationen verwaltet Sie k nnen festlegen dass der lokale Cache automatisch in einem einem Intervall von Monaten 0 12 oder Tagen 0 30 aktualisiert wird Gehen Sie wie folgt vor um den lokalen Cache zu definieren oder zu aktualisieren 1 4 Klicken Sie auf Start gt Programme gt Client Security Dienstprogramme gt Administratordienstprogramm Geben Sie das Hardwarekennwort ein und klicken Sie auf OK Das Fenster Administratordienstprogramm wird angezeigt Ausf hrliche Informationen zur Verwendung des Administratordienstprogramms sind im Client Security Administratorhandbuch enthalten Klicken Sie im Administratordienstprogramm auf die Schaltfl che Anwendungsunterst tzung und Policies konfigurieren Die Anzeige Policy Konfiguration von Client Securi
15. gliche L sung Outlook Express aktualisiert den dem Zer tifikat zugeordneten Verschl sselungsgrad nicht Ma nahme Wenn ein Sender den Verschl sselungsgrad in Netscape ausw hlt und eine signierte E Mail an einen Outlook Express Client mit Internet Explorer 4 0 128 Bit sendet stimmt m glicherweise der Verschl sselungsgrad der zur ckgesendeten E Mail nicht berein L schen Sie das zugeordnete Zertifikat aus dem Adressbuch von Outlook Express Off nen Sie die signierte E Mail erneut und f gen Sie dem Adressbuch von Outlook Express das Zertifikat hinzu In Outlook Express wird eine Nachricht ber Entschl sselungsfehler angezeigt Ma nahme Sie k nnen in Outlook Express eine Nach richt ffnen indem Sie doppelt darauf kli cken Wenn Sie zu schnell auf eine verschl sselte Nachricht klicken wird in einigen F llen eine Nachricht ber Entschl sselungsfehler angezeigt Schlie en Sie die Nachricht und ffnen Sie die verschl sselte E Mail erneut Dar ber hinaus wird m glicherweise in der Voranzeige eine Fehlernachricht angezeigt wenn Sie eine verschl sselte Nachricht aus w hlen Wenn in der Voranzeige eine Fehlernachricht angezeigt wird ist keine Ma nahme erfor derlich Wenn Sie bei verschl sselten E Mails zwei Mal auf die Schaltfl che Senden klicken wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie in Outlook Express zweimal auf die Schaltfl che zum
16. im Administratordienstprogramm nicht ndern k nnen Inhalt des integrierten IBM Security Chips l schen ThinkCen tre Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Security Chip sowie das Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utili
17. Andern Dr cken Sie nachdem Sie das Best tigungs kennwort eingegeben haben nicht die Eingabetaste oder die Tabulatortaste zusammen mit der Eingabetaste IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zum Benutzerkonfigurations programm Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Verwendung des Benutzerkonfigurationsprogramms Fehler auftreten Fehlersymptom M gliche L sung Benutzer mit eingeschr nkter Berechtigung k nnen gewisse Funktionen des Benutzer konfigurationsprogramms unter Windows XP Professional nicht ausf hren Ma nahme Benutzer von Windows XP Professional mit eingeschr nkter Berechtigung k nnen m gli cherweise folgende Tasks im Benutzer konfigurationsprogramm nicht ausf hren e Den UVM Verschl sselungstext ndern e Das mit UVM registrierte Windows Kenn wort aktualisieren e Das Schl sselarchiv aktualisieren Diese Einschr nkungen gelten nicht mehr nachdem ein Administrator das Administratordienstprogramm gestartet und beendet hat Benutzer mit eingeschr nkter Berechtigung k nnen das Benutzerkonfigurations programm unter Windows XP Home nicht ausf hren Ma nahme Benutzer von Windows XP Home mit einge schr nkter Berechtigung k nnen in den fol genden F llen das Benutzerkonfigurationsprogramm nicht ver wenden e Client Security ist au
18. Client Security instal liert ist Klicken Sie auf OK um das Fenster zu ver lassen Gehen Sie wie folgt vor 1 Deinstallieren Sie die Software 2 Installieren Sie die Software erneut Anmerkung Wenn Sie dasselbe Hardware kennwort zum Schutz des integrierten IBM Security Chips verwenden m chten m ssen Sie den Inhalt des Chips nicht l schen und kein neues Kennwort festlegen Der Installationszugriff wird verweigert da das Hardwarekennwort unbekannt ist Ma nahme Wenn Sie die Software auf einem IBM Client mit aktiviertem integrierten IBM Security Chip installieren ist das Hardwarekennwort f r den integrierten IBM Security Chip unbekannt L schen Sie den Inhalt des Chips um mit der Installation fortzufahren Die Datei setup exe reagiert nicht ord nungsgem CSS Version 4 0x Ma nahme Wenn Sie alle Dateien aus csec4_0 exe in ein gemeinsames Verzeichnis extrahieren funktioniert die Datei setup exe nicht ord nungsgem F hren Sie die Datei smbus exe aus um den SMBus Einheitentreiber zu installieren und f hren Sie anschlie end die Datei csec4_0 exe aus um den Softwarecode von Client Security zu installieren IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlerbehebungsinformationen zum Administratordienst programm Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern b
19. IBM Client Security Solutions Client Security Version 3 1 mit Tivoli Access Manager verwenden IBM Client Security Solutions Client Security Version 3 1 mit Tivoli Access Manager verwenden M Hinweis Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten Sie die Informationen in Anhang C Bemerkungen und Marken auf Seite 41 lesen Die IBM Homepage finden Sie im Internet unter ibm com e IBM und das IBM Logo sind eingetragene Marken der International Business Machines Corporation e Das e business Symbol ist eine Marke der International Business Machines Corporation e Infoprint ist eine eingetragene Marke der IBM e ActionMedia LANDesk MMX Pentium und ProShare sind Marken der Intel Corporation in den USA und oder anderen Landern e C bus ist eine Marke der Corollary Inc in den USA und oder anderen L ndern e Java und alle auf Java basierenden Marken und Logos sind Marken der Sun Microsystems Inc in den USA und oder anderen L ndern e Microsoft Windows Windows NT und das Windows Logo sind Marken der Microsoft Corporation in den USA und oder anderen L ndern e PC Direct ist eine Marke der Ziff Communications Company in den USA und oder anderen L ndern SET und das SET Logo sind Marken der SET Secure Electronic Transaction LLC e UNIX ist eine eingetragene Marke der Open Group in den USA und oder anderen L ndern e Marken anderer Unternehmen Hersteller werden anerkannt
20. OS Setup Utility wird ge ffnet W hlen Sie die Option Password aus W hlen Sie die Option Supervisor Password aus Geben Sie das Kennwort ein und dr cken Sie die Eingabetaste Geben Sie das Kennwort erneut ein und dr cken Sie die Eingabetaste Klicken Sie auf Continue ONS Or Bow Driicken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden 14 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm IBM BIOS Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm IBM BIOS Setup Utility zugreifen und das Kennwort nicht ndern oder l schen Weitere Informationen hierzu finden Sie in der Hardwaredokumen tation die mit Ihrem Computer geliefert wurde Hardwarekennwort sch tzen Sie k nnen ein Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip f r einen Client zu aktivieren Nachdem Sie das Kennwort f r den IBM Security Chip festgelegt haben ist der Zugriff auf das Administrator dienstprogramm durch dieses Kennwort gesch tzt Sie m ssen das Kennwort f r den IBM Security Chip vor unberechtigtem Zugriff sch tzen damit nicht berech tigte Benutzer die Einstellungen
21. Senden klicken um eine verschl sselte E Mail zu senden wird eine Fehlernachricht dar ber angezeigt dass die Nachricht nicht gesendet werden konnte Schlie en Sie die Fehlernachricht und kli cken Sie einmal auf die Schaltfl che Senden Beim Anfordern eines Zertifikats wird eine Fehlernachricht angezeigt Ma nahme Bei Verwendung von Internet Explorer erhal ten Sie m glicherweise eine Fehlernachricht wenn Sie ein Zertifikat anfordern das das CSP Modul des integrierten IBM Security Chips verwendet Fordern Sie das digitale Zertifikat erneut an Kapitel 4 Fehlerbehebung 27 28 Fehlerbehebungsinformationen zu Netscape Anwendungen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Netscape Anwendungen Fehlersymptom M gliche L sung Fehler beim Lesen verschl sselter E Mails Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden unterscheiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser ver wenden Der Verschl sselungsgrad von Client Secu
22. abeaufforderung des Programms Configuration Setup Utility die Taste F1 Das Hauptmen des Programms Configuration Setup Utility wird ge ffnet 3 Wahlen Sie die Option System Security aus gt W hlen Sie die Option Administrator Password aus 5 Geben Sie das Kennwort ein und dr cken Sie auf der Tastatur die Taste mit dem Abw rtspfeil 6 Geben Sie das Kennwort erneut ein und dr cken Sie auf der Tastatur die Taste mit dem Abw artspfeil 13 7 W hlen Sie Change Administrator password aus und dr cken Sie die Ein gabetaste Dr cken Sie danach erneut die Eingabetaste 8 Dr cken Sie die Taste Esc um die Einstellungen zu speichern und das Pro gramm zu verlassen Nach dem Festlegen eines Administratorkennworts wird bei jedem Zugriff auf das Programm Configuration Setup Utility eine Eingabeaufforderung angezeigt Wichtig Bewahren Sie Ihr Administratorkennwort an einem sicheren Ort auf Soll ten Sie das Administratorkennwort verlieren oder vergessen k nnen Sie nicht auf das Programm Configuration Setup Utility zugreifen und das Kennwort nicht ndern oder l schen ohne die Computerabdeckung zu entfernen und auf der Systemplatine eine Br cke zu versetzen Weitere Informationen hierzu finden Sie in der Hardwaredokumentation die mit Ihrem Computer geliefert wurde Administratorkennwort festlegen ThinkPad Mit den Sicherheitseinstellungen im Programm IBM BIOS Setup Utility k nnen Administrator
23. ad f r die Konfigurationsdatei ausw hlen Aktualisierungsintervall f r lokalen Cache ausw hlen Gehen Sie wie folgt vor um die Informationen zur Konfiguration von Tivoli Access Manager auf dem IBM Client anzugeben 1 Klicken Sie auf Start gt Einstellungen gt Systemsteuerung gt Subsystem von IBM Client Security 2 Geben Sie das Administratorkennwort ein und klicken Sie auf OK Wenn Sie das Kennwort eingegeben haben wird das Hauptfenster des Administratordienstprogramms ge ffnet 3 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren Die Anzeige Konfiguration der UVM Anwendungen und Policies wird angezeigt 4 Aktivieren Sie das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen 10 11 W hlen Sie unter Informationen zur Konfiguration von Tivoli Access Mana ger den vollst ndigen Pfad zur Konfigurationsdatei TAMCSS conf aus Bei spiel C TAMCSS TAMCSS conf Dieser Bereich wird nur angezeigt wenn Tivoli Access Manager auf dem Cli ent installiert ist Klicken Sie auf die Schaltfl che Anwendungs Policy Klicken Sie auf die Schaltfl che Policy bearbeiten Die Anzeige Administratorkennwort eingeben erscheint Geben Sie das Administratorkennwort in das entsprechende Feld ein und kli cken Sie auf OK Die Anzeige IBM UVM Policy erscheint W hlen Sie im Dropdown Men Aktionen die Aktionen aus die
24. at Dies ist eine bekannte Einschr nkung Kein Zugriff auf die Konfigurationsein stellungen von Tivoli Access Manager Ma nahme Im Administratordienstprogramm kann auf der Seite zur Policy Installation weder auf die Konfigurationseinstellungen von Tivoli Access Manager noch auf die entsprechen den Einstellungen zur lokalen Cache Ein richtung zugegriffen werden Installieren Sie Tivoli Access Manager Run time Environment Wenn die Laufzeit umgebung Runtime Environment auf dem IBM Client nicht installiert ist sind auf der Seite zur Policy Installation auch keine Ein stellungen f r Tivoli Access Manager verf g bar Eine Benutzersteuerung gilt sowohl f r den Benutzer als auch f r die Gruppe Access Manager Servers einen Benutzer f r eine Gruppe definieren gilt die Benutzers teuerung sowohl f r den Benutzer als auch f r die Gruppe wenn die Option Traverse bit aktiviert wurde Ma nahme Es ist keine Ma nahme erforderlich Wenn Sie beim Konfigurieren des Tivoli Kapitel 4 Fehlerbehebung 31 32 Fehlerbehebungsinformationen zu Lotus Notes Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Lotus Notes mit Client Security weiterhelfen k n nen Fehlersymptom M gliche L sung Nach dem Aktivieren des UVM Schutzes f r Lotus Notes kann Lotus Notes die Kon figuration nicht fertig stellen Ma nahme Lot
25. auf ausgew hltes Objekt zulassen ist nicht inaktiviert wenn die Tivoli Access Manager Steuerung ausgew hlt wurde Wenn Sie im UVM Policy Editor die Option Access Manager steuert ausgew hltes Objekt ausw hlen um ein Authentifizierungsobjekt ber Tivoli Access Manager zu steuern wird das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen nicht inaktiviert Auch wenn das Markierungsfeld Keinen Zugriff auf ausgew hltes Objekt zulassen weiterhin aktiviert ist kann die Tivoli Access Manager Steuerung nicht ber dieses Markierungsfeld au er Kraft gesetzt werden Bekannte Einschr nkungen Dieser Abschnitt enth lt Informationen zu bekannten Einschr nkungen in Bezug auf Client Security Client Security mit Windows Betriebssystemen einsetzen Alle Windows Betriebssysteme weisen die folgende bekannte Einschr nkung auf Wenn ein in UVM registrierter Clientbenutzer seinen Windows Benutzern amen ndert geht die gesamte Funktionalit t von Client Security verloren Der Benutzer muss den neuen Benutzernamen erneut in UVM registrieren und alle neuen Berechtigungsnachweise anfordern Windows XP Betriebssysteme weisen die folgende bekannte Einschr nkung auf In UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde werden von UVM nicht erkannt UVM verweist auf den fr heren Benutzernamen w hrend Windows nur den neuen Benutzernamen erkennt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzerna
26. ch ber geben Wenn das Objekt dann wieder lokal gesteuert werden soll m ssen Sie Cli ent Security erneut installieren Lokale UVM Policy bearbeiten Bevor Sie versuchen die UVM Policy f r den lokalen Client zu bearbeiten muss mindestens ein Benutzer in UVM registriert sein Sonst wird eine Fehlernachricht angezeigt wenn der Policy Editor versucht die Datei f r die lokale Policy zu ff nen Sie bearbeiten eine lokale UVM Policy und verwenden sie nur auf dem Client f r den sie bearbeitet wurde Wurde Client Security im Standardverzeichnis installiert wird die lokale UVM Policy im Verzeichnis Program Files IBM Security UVM_Policy globalpolicy gvm gespeichert Nur ein Benutzer der UVM hinzugef gt wurde kann den UVM Policy Editor verwenden Anmerkung Wird f r UVM Policy angegeben dass f r ein Authentifizierungsob jekt wie z B die Anmeldung am Betriebssystem ein Fingerabdruck erforderlich ist m ssen Benutzer die UVM hinzugef gt sind ihren Fingerabdruck registrieren lassen um diese Objekt verwenden zu k nnen F hren Sie im Administratordienstprogramm die folgenden Schritte aus um den UVM Policy Editor zu starten 1 Klicken Sie auf die Schaltfl che Anwendungsunterst tzung und Policies kon figurieren Die Anzeige Policy Konfiguration von Client Security ndern erscheint 2 Klicken Sie auf die Schaltfl che Policy bearbeiten Die Anzeige Administratorkennwort eingeben erscheint 3 Geben Si
27. chiv wiederherstellen wird bei der nderung des ffentlichen Schl ssels f r Administratoren m glicherweise eine Fehlernachricht angezeigt F gen Sie in UVM die Benutzer hinzu und fordern Sie ggf neue Zertifikate an Beim Versuch einen UVM Verschl sselungstext wiederherzustellen wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie einen ffentlichen Schl ssel f r Administratoren ndern und anschlie end versuchen einen UVM Verschl sselungstext f r einen Benutzer wiederherzustellen wird m glicherweise eine Fehlernachricht ange zeigt F hren Sie einen der folgenden Schritte aus e Sollte f r den Benutzer der UVM Verschl sselungstext nicht ben tigt wer den ist keine Ma nahme erforderlich e Wenn der UVM Verschl sselungstext f r den Benutzer erforderlich ist m ssen Sie ihn in UVM aufnehmen und ggf neue Zertifikate anfordern Kapitel 4 Fehlerbehebung 21 22 Fehlersymptom M gliche L sung Beim Versuch die UVM Policy Datei zu speichern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie versuchen eine UVM Policy Datei globalpolicy gvm durch Klicken auf ber nehmen oder Speichern zu speichern wird eine Fehlernachricht angezeigt Schlie en Sie die Fehlernachricht bearbeiten Sie die UVM Policy Datei erneut und spei chern Sie die Datei Beim Versuch den UVM Policy Editor zu ffnen wird eine Fehlernachricht ange zeigt Ma na
28. csec50 exe ein Hier bei gibt d verzeichnis den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist c Klicken Sie auf OK Das Begr ungsfenster des InstallShield Assistenten von IBM Client Secu rity wird angezeigt d Klicken Sie auf Weiter Der Assistent extrahiert die Dateien und installiert die Software Nach Abschluss der Installation werden Sie gefragt ob der erforderliche Neu start sofort oder zu einem sp teren Zeitpunkt durchgef hrt werden soll e W hlen Sie den entsprechenden Radioknopf aus und klicken Sie auf OK 6 Klicken Sie nach dem Neustart auf dem Windows Desktop auf Start gt Aus f hren 7 Geben Sie in das Feld Ausf hren d verzeichnis TAMCSS exe ein Hierbei gibt d verzeichnis den Laufwerkbuchstaben und das Verzeichnis an in dem die Datei gespeichert ist Klicken Sie auf Durchsuchen wenn Sie die Datei ausw hlen m chten 8 Klicken Sie auf OK 9 Geben Sie einen Zielordner an und klicken Sie auf Unzip Der Assistent extrahiert die Dateien in den angegebenen Ordner Eine Nach richt teilt mit dass die Dateien erfolgreich dekomprimiert wurden 10 Klicken Sie auf OK Client Security Komponenten auf dem Tivoli Access Manager Server hinzuf gen Beim Dienstprogramm pdadmin handelt es sich um ein Befehlszeilentool mit dem der Administrator die meisten Tivoli Access Manager Verwaltungstasks durchf hren kann Die Funktion zur Ausf hrung mehrerer Befehle erm gl
29. d einige Zertifi kate wie z B die kostenfreien Zertifikate von VeriSign nach einer Schl ssel wiederherstellung nicht wiederhergestellt Fordern Sie nach dem Wiederherstellen der Schl ssel ein neues Zertifikat an Kapitel 4 Fehlerbehebung 29 30 Fehlersymptom M gliche L sung Der Netscape Agent wird ge ffnet und ver ursacht einen Fehler in Netscape Ma nahme Das ffnen des Netscape Agenten f hrt zum Schlie en von Netscape Schalten Sie den Netscape Agenten aus Netscape wird mit zeitlicher Verz gerung ge ffnet Ma nahme Wenn Sie das PKCS 11 Modul des integrier ten IBM Security Chips hinzuf gen und anschlie end Netscape ffnen verz gert sich das ffnen von Netscape um kurze Zeit Es ist keine Ma nahme erforderlich Dies dient lediglich zu Ihrer Information Fehlerbehebungsinformationen zu digitalen Zertifikaten Die folgenden Informationen zur Fehlerbehebung k nnen hilfreich sein wenn bei der Anforderung eines digitalen Zertifikats Fehler auftreten Fehlersymptom M gliche L sung Das Fenster UVM Verschl sselungstext oder das Fenster f r die Authentifizierung ber Fingerabdr cke wird bei der Anforde rung eines digitalen Zertifikats mehrmals angezeigt Ma nahme In der UVM Sicherheits Policy ist festgelegt dass ein Benutzer sich mit einem UVM Verschl sselungstext oder ber Fingerabdr cke authentifizieren muss bevor er ein
30. e das Administratorkennwort in das entsprechende Feld ein und kli cken Sie auf OK Die Anzeige IBM UVM Policy erscheint 4 Klicken Sie auf der Registerkarte Objektauswahl auf Aktion oder Objekttyp und w hlen Sie das Objekt aus dem Authentifizierungsbestimmungen zuge ordnet werden sollen Zu den Beispielen f r zul ssige Aktionen geh ren Systemanmeldung Entsper ren des Systems und E Mail Entschl sselung Ein Beispiel f r den Objekttyp ist Digitales Zertifikat anfordern Kapitel 3 IBM Clients konfigurieren 11 12 5 W hlen Sie f r jedes ausgew hlte Objekt Tivoli Access Manager steuert ausge w hltes Objekt aus um den Tivoli Access Manager f r das entsprechende Objekt zu aktivieren Wichtig Wenn Sie den Tivoli Access Manager zur Steuerung eines Objektes ausw hlen bergeben Sie die Steuerung dem Tivoli Access Manager Objekt bereich Wenn dieses Objekt zu einem sp teren Zeitpunkt wieder lokal gesteu ert werden soll m ssen Sie Client Security erneut installieren Anmerkung Beim Bearbeiten der UVM Policy k nnen Sie eine Zusammenfas sung der Informationen zur Policy aufrufen indem Sie auf Poli cy Zusammenfassung klicken 6 Klicken Sie auf bernehmen um Ihre nderungen zu speichern 7 Klicken Sie auf OK um den Vorgang zu beenden UVM Policy f r ferne Clients bearbeiten und verwenden Damit die UVM Policy auf mehreren IBM Clients verwendet werden kann bear beiten und speichern Sie die UVM Po
31. ei der Verwendung des Administratordienstprogramms weiterhelfen k n nen Fehlersymptom M gliche L sung Policy f r UVM Verschl sselungstext nicht erzwungen Ma nahme Das Markierungsfeld Mehr als 2 wiederkeh rende Zeichen nicht zulassen funktioniert nicht in IBM Client Security Version 5 0 Dies ist eine bekannte Einschr nkung bei IBM Client Security Version 5 0 Die Schaltfl che Weiter ist nicht verf g bar nachdem Sie im Administratordienst programm den UVM Verschl sselungstext eingegeben und best tigt haben Wenn Sie neue Benutzer in UVM aufneh men ist die Schaltfl che Weiter m glicher weise nicht mehr verf gbar nachdem Sie Ihren UVM Verschl sselungstext im Administratordienstprogramm eingegeben und best tigt haben Ma nahme Klicken Sie in der Windows Taskleiste auf Informationen und fahren Sie mit dem Vor gang fort Beim Versuch eine lokale UVM Policy zu bearbeiten wird eine Fehlernachricht ange zeigt Ma nahme Beim Bearbeiten der lokalen UVM Policy wird m glicherweise eine Fehlernachricht angezeigt wenn in UVM keine Benutzer registriert sind F gen Sie in UVM einen Benutzer hinzu bevor Sie versuchen die Policy Datei zu bearbeiten Beim ndern des ffentlichen Schl ssels f r Administratoren wird eine Fehler nachricht angezeigt Ma nahme Wenn Sie den Inhalt des integrierten Security Chips l schen und anschlie end das Schl sselar
32. eiden Anmerkung Wenn Sie Browser mit 128 Bit Verschl sselung mit Client Security verwen den m chten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unter st tzen Wenn der integrierte IBM Security Chip 56 Bit Verschl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser ver wenden Der Verschl sselungsgrad von Client Security ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des Webbrowsers beim Sender muss mit dem Verschl sselungsgrad des Webbrowsers des Empf ngers kompatibel sein 2 Der Verschl sselungsgrad des Webbrowsers muss mit dem Verschl sselungsgrad der Firmware von Client Security kompatibel sein Fehler bei der Verwendung eines Zertifi kats von einer Adresse der mehrere Zerti fikate zugeordnet sind Ma nahme Outlook Express kann mehrere Zertifikate zu einer einzigen E Mail Adresse auflisten und einige dieser Zertifikate k nnen ung ltig werden Ein Zertifikat wird ung ltig wenn der dem Zertifikat zugeordnete private Schl ssel auf dem integrierten IBM Security Chip des Sendercomputers auf dem das Zertifikat generiert wurde nicht mehr vor handen ist Bitten Sie den Empf nger sein digitales Zer tifikat erneut zu senden w hlen Sie anschlie end dieses Zertifikat im Adress buch von Outlook Express aus Kapitel 4 Fehlerbehebung 25 26 Fehlersymptom M gliche L sung Beim Versuc
33. elungstext kann in Verbindung mit anderen Authentifizierungs einheiten verwendet werden z B mit einem UVM Sensor f r Fingerabdr cke Fehlversuche Wenn Sie w hrend einer Sitzung den UVM Verschl sselungstext mehrmals falsch eingeben wird der Computer nicht gesperrt F r die Anzahl der Fehlversuche besteht keine Begrenzung Anhang A Regeln f r Kennw rter und Verschl sselungstexte 37 38 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System Mit dem UVM Schutz wird sichergestellt dass nur Benutzer die in UVM f r einen bestimmten IBM Client hinzugef gt wurden auf das Betriebssystem zugreifen k n nen Windows Betriebssysteme umfassen Anwendungen die einen Anmeldeschutz bieten Auch wenn UVM Schutz parallel mit diesen Windows Anmeldeanwendun gen verwendet werden kann funktioniert er je nach Betriebssystem etwas anders Die UVM Anmeldeschnittstelle ersetzt die Anmeldung am Betriebssystem so dass immer wenn sich ein Benutzer am System anmelden m chte das UVM Anmelde fenster angezeigt wird Lesen Sie die folgenden Hinweise bevor Sie den UVM Anmeldeschutz f r das Sys tem konfigurieren und verwenden L schen Sie den Inhalt des integrierten IBM Security Chips nicht bei aktiviertem UVM Schutz Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesa
34. en folgende Vorg nge durchf hren Den integrierten IBM Security Chip aktivieren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung Andernfalls haben Sie keinen Zugriff mehr auf das System Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Bei einigen ThinkPad Modellen ist es vor der Installation oder dem Upgrade von Client Security notwendig das Administratorkennwort vor bergehend zu inaktivieren Nach der Konfiguration von Client Security legen Sie ein Administratorkennwort fest um nicht berechtigte Benutzer daran zu hindern diese Einstellungen ndern Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste F1 Das Hauptmen des Programms IBM BI
35. enn z B der Wert 2 festgelegt ist ist der Verschl sselungstext i am not here ung ltig ob mehr als zwei wiederkehrende Zeichen zul ssig sein sollen nein Wenn dies z B festgelegt ist ist der Verschl sselungstext aaabcdefghijk ung l tig ob der Verschl sselungstext mit einer Ziffer beginnen darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig ob der Verschl sselungstext mit einer Ziffer enden darf nein Standardm ig ist z B der Verschl sselungstext password8 ung ltig ob der Verschl sselungstext eine Benutzer ID enthalten darf nein Standardm ig ist z B der Verschl sselungstext Benutzername ung ltig wobei es sich bei Benutzername um eine Benutzer ID handelt ob der neue Verschl sselungstext sich von den letzten x Verschl sselungstexten unterscheiden muss ja 3 Standardm ig ist z B der Verschl sselungstext mypassword ung ltig wenn einer der drei vorherigen Verschl sselungstexte mypassword war ob der Verschl sselungstext mehr als drei identische aufeinander folgende Zei chen des letzten Kennworts enthalten darf nein Standardm ig ist z B der Verschl sselungstext password ung ltig wenn einer der drei vorherigen Verschl sselungstexte pass oder word war Das Fenster Policy f r UVM Verschl sselungstext des Administratordienst programms erm glicht Sicherheitsadministratoren zudem eine Steuerung des Ablaufs der Verschl sselungstexte
36. eren oder inaktivieren Den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti vierter gesicherter UVM Anmeldung Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu installieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird e L schen oder inaktivieren Sie den integrierten IBM Security Chip nicht bei akti viertem UVM Schutz Andernfalls haben Sie keinen Zugriff mehr auf das Sys tem Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertifikate verloren die auf dem Chip gespeichert sind Da auf Ihre Sicherheitseinstellungen ber das Programm Configuration Setup Uti lity des Computers zugegriffen werden kann legen Sie ein Administratorkenn wort fest um zu verhindern dass diese Einstellungen durch nicht autorisierte Benutzer ge ndert werden Gehen Sie wie folgt vor um ein Administratorkennwort festzulegen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eing
37. ertraut sein Installation und Verwaltung des SecureWay Directory LPAP Protokolls Light weight Directory Access Protocol Installations und Konfigurationsverfahren f r Tivoli Access Manager Runtime Environment Verwaltung des Tivoli Access Manager Objektbereichs Benutzung des Handbuchs Mit dem vorliegenden Handbuch k nnen Sie die Client Security Unterst tzung f r Tivoli Access Manager konfigurieren Das Handbuch ist eine Erg nzung zu den Ver ffentlichungen Client Security Installationshandbuch Client Security Administrator handbuch und Client Security Benutzerhandbuch Das Handbuch und die gesamte Dokumentation zu Client Security kann von der IBM Website unter http www pc ibm com ww security secdownload html her untergeladen werden Verweise auf das Client Security Installationshandbuch Das vorliegende Handbuch enth lt Verweise auf das Client Security Installations handbuch Nachdem auf dem Client der Tivoli Access Manager Server installiert und konfiguriert wurde und die Runtime Environment installiert wurde k nnen Sie mit Hilfe der Anweisungen im Client Security Installationshandbuch Client Secu rity auf IBM Clients installieren Weitere Informationen k nnen Sie Kapitel 3 IBM Clients konfigurieren auf Seite 9 entnehmen Verweise auf das Client Security Administratorhandbuch Das vorliegende Handbuch enth lt Verweise auf das Client Security Administrator handbuch Das Client Security Admi
38. f einer Partition im NTFS Format installiert e Der Windows Ordner befindet sich auf einer Partition im NTFS Format e Der Archivordner befindet sich auf einer Partition im NTFS Format Dies ist eine bekannte Einschr nkung unter Windows XP Home F r dieses Problem gibt es keine L sung Kapitel 4 Fehlerbehebung 23 Fehlerbehebungsinformationen zum ThinkPad Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Verwendung von Client Security auf ThinkPads weiterhelfen k n nen Fehlersymptom M gliche L sung Beim Versuch eine Administratorfunktion von Client Security aufzurufen wird eine Fehlernachricht angezeigt Ma nahme Nach dem Versuch eine Administrator funktion von Client Security aufzurufen wird eine Fehlernachricht mit folgendem Wortlaut angezeigt FEHLER 0197 Ung l tige ferne nderungsanforderung Dr cken Sie lt F1 gt um Setup aufzurufen Das ThinkPad Administratorkennwort muss inaktiviert sein damit Sie bestimmte Administratorfunktionen von Client Security ausf hren k nnen Gehen Sie wie folgt vor um das Administratorkennwort zu inaktivieren 1 Rufen Sie mit F1 das Programm IBM BIOS Setup Utility auf 2 Geben Sie das aktuelle Administrator kennwort ein 3 Geben Sie ein leeres neues Administratorkennwort ein und best ti gen Sie das leere Kennwort 4 Dr cken Sie die Eingabetaste 5 Dr cken Sie d
39. h eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn der Verfasser einer E Mail versucht eine E Mail digital zu signieren jedoch sei nem E Mail Account noch kein Zertifikat zugeordnet ist wird eine Fehlernachricht angezeigt Verwenden Sie die Sicherheitseinstellungen in Outlook Express um ein Zertifikat anzu geben das dem Benutzeraccount zugeordnet werden soll Weitere Informationen hierzu finden Sie in der Dokumentation zu Outlook Express Outlook Express 128 Bit verschl sselt E Mails nur mit dem 3DES Algorithmus Ma nahme Beim Senden verschl sselter E Mails zwi schen Clients die Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden kann nur der 3DES Algorithmus verwendet werden Wenn Sie Browser mit 128 Bit Verschl sse lung mit Client Security verwenden m ch ten muss der integrierte IBM Security Chip 256 Bit Verschl sselung unterst tzen Wenn der integrierte IBM Security Chip 56 Bit Ver schl sselung unterst tzt m ssen Sie einen 40 Bit Webbrowser verwenden Der Verschl sselungsgrad von Client Security ist im Administratordienstprogramm angege ben Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit Out look Express verwendet werden erhalten Sie bei Microsoft Outlook Express Clients senden E Mails mit einem anderen Algorithmus zur ck Ma nahme Eine mit dem RC2 40 RC2 64 oder
40. hme Wenn der aktuelle Benutzer der am Betriebssystem angemeldet ist nicht in UVM aufgenommen wurde wird der UVM Policy Editor nicht ge ffnet Nehmen Sie den Benutzer in UVM auf und ffnen Sie den UVM Policy Editor Bei der Verwendung des Administrator dienstprogramms wird eine Fehlernachricht angezeigt Ma nahme W hrend Sie das Administratordienst programm verwenden wird m glicherweise die folgende Fehlernachricht angezeigt Beim Versuch auf den Client Security Chip zuzugreifen ist ein Puffer E A Fehler aufge treten Der Fehler kann m glicherweise durch einen Warmstart behoben werden Schlie en Sie die Fehlernachricht und star ten Sie den Computer erneut Beim ndern des Kennworts f r den Security Chip wird eine Nachricht ber die Inaktivierung des Chips angezeigt Ma nahme Wenn Sie versuchen das Kennwort f r den IBM Security Chip zu ndern und nach der Eingabe des Best tigungskennworts die Ein gabetaste oder die Tabulatortaste zusammen mit der Eingabetaste dr cken wird die Schaltfl che Chip inaktivieren aktiviert und es wird eine Best tigungsnachricht f r das Inaktivieren des Chips angezeigt Gehen Sie wie folgt vor 1 Schlie en Sie das Best tigungsfenster f r die Inaktivierung des Chips 2 Geben Sie zum ndern des Kennworts f r den IBM Security Chip das neue Kennwort ein geben Sie das Best tigungskennwort ein und klicken Sie anschlie end auf
41. i Access Manager k nnen Sie der Dokumentation auf der Website unter der Adresse http www tivoli com products index secureway_policy_dir index htm entneh men Client Security Komponente herunterladen und installieren Die Client Security Komponente kann gebiihrenfrei von der IBM Website herunter geladen werden Gehen Sie wie folgt vor um die Client Security Komponente herunterzuladen und auf dem Tivoli Access Manager Server und dem IBM Client zu installieren 1 Vergewissern Sie sich anhand der Informationen auf der Website dass Ihr Sys tem ber den integrierten IBM Security Chip verf gt indem Sie Ihre Modell nummer mit den Angaben in der Tabelle mit den Systemvoraussetzungen ver gleichen Klicken Sie anschlie end auf Continue 2 W hlen Sie den Radioknopf f r Ihren Maschinentyp und klicken Sie auf Con tinue 3 Erstellen Sie eine Benutzer ID f llen Sie das Onlineformular zur Registrierung aus und lesen Sie die Lizenzvereinbarung Klicken Sie dann auf Accept Licence Sie werden danach automatisch zur Download Seite f r Client Security gef hrt 4 Befolgen Sie die angezeigten Anweisungsschritte um die erforderlichen Einheitentreiber Readme Dateien Software Referenzdokumente und zus tzli che Dienstprogramme herunterzuladen 5 Gehen Sie wie folgt vor um Client Security zu installieren a Klicken Sie auf dem Windows Desktop auf Start gt Ausf hren b Geben Sie in das Feld Ausf hren d verzeichnis
42. icht es dem Administrator ber eine Datei die mehrere pdadmin Befehle enth lt eine vollst ndige Task oder eine Reihe von Tasks auszuf hren Die Kommunikation zwischen dem Dienstprogramm pdadmin und dem Verwaltungsserver pdmgrd wird ber SSL gesichert Das Dienstprogramm pdadmin wird als Teil des Run time Environment Pakets von Tivoli Access Manager installiert Das Dienstprogramm pdadmin akzeptiert ein Argument f r einen Dateinamen das die Position einer solchen Datei angibt z B MSDOS gt pdadmin a lt Administrator gt p lt Kennwort gt lt Dateiname_mit_Pfad gt 6 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Der folgende Befehl ist ein Beispiel daf r wie auf dem Tivoli Access Manager Ser ver der Objektbereich f r IBM Solutions Client Security Actions und einzelne ACL Eintrage erstellt werden k nnen MSDOS gt pdadmin a sec_master p password C TAM_Add_ClientSecurity txt Weitere Informationen zum Dienstprogramm pdadmin und zu der Befehlssyntax k nnen Sie dem Tivoli Access Manager Base Administrator Guide entnehmen Gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server aufbauen F r den IBM Client muss innerhalb der gesicherten Tivoli Access Manager Dom ne eine eigene authentifizierte Identit t aufgebaut werden um vom Tivoli Access Manager Authorization Service Autorisierungsentscheidungen anfordern zu k n
43. ie Taste F10 um die Ein stellungen zu speichern und das Pro gramm zu beenden Ein anderer UVM Sensor f r Fingerabdr cke funktioniert nicht ordnungsgem Ma nahme Der IBM ThinkPad unterst tzt den Wechsel zwischen mehreren UVM Sensoren f r Fin gerabdr cke nicht Wechseln Sie die Modelle der Sensoren f r Fingerabdr cke nicht Verwenden Sie bei der Arbeit von einem fernen Standort aus stets das gleiche Modell wie bei der Arbeit an einer Andockstation Fehlerbehebungsinformationen zu Microsoft Anwendungen und Betriebssystemen Die folgenden Fehlerbehebungstabellen enthalten Informationen zur Fehler behebung bei der Verwendung von Client Security mit Microsoft Anwendungen oder Betriebssystemen Fehlersymptom M gliche L sung Bildschirmschoner wird nur auf lokaler Anzeige angezeigt Ma nahme Bei Verwendung des erweiterten Windows Desktop wird der Client Security Bildschirmschoner nur auf der lokalen Anzeige angezeigt obwohl der Zugriff auf das System und die Tastatur gesch tzt wird Wenn sensible Informationen angezeigt wer den verkleinern Sie die Fenster auf Ihrem erweiterten Desktop auf Symbolgr e bevor Sie den Client Security Bildschirmschoner aufrufen Windows Media Player Dateien werden verschl sselt statt unter Windows XP wie dergegeben zu werden Ma nahme IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager ve
44. ikat des integrierten IBM Security Chips verwenden k nnen Aktu elle Informationen zu Verschl sselungsalgorithmen f r die jeweilige E Mail An wendung erhalten Sie von Microsoft oder Netscape Beim Senden von E Mails von einem Outlook Express Client 128 Bit an einen anderen Outlook Express Client 128 Bit Wenn Sie Outlook Express mit der 128 Bit Version von Internet Explorer 4 0 oder 5 0 verwenden um verschl sselte E Mails an andere Clients mit Outlook Express 128 Bit zu senden k nnen mit dem Zertifikat des integrierten IBM Security Chips verschl sselte E Mails nur mit dem 3DES Algorithmus verschl sselt werden Beim Senden von E Mails zwischen einem Outlook Express Client 128 Bit und einem Netscape Client Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet M glicherweise stehen einige Algorithmen im Outlook Express Client 128 Bit nicht zur Auswahl Je nachdem wie die Version von Outlook Express 128 Bit konfiguriert oder aktualisiert wurde sind m glicherweise einige RC2 Algorithmen und andere Algorithmen f r die Verwendung mit dem Zertifikat des integrierten IBM Security Chips nicht verf gbar Aktuelle Informationen zu den Verschl sse lungsalgorithmen die mit den verschiedenen Versionen von Outlook Express ver wendet werden erhalten Sie von Microsoft
45. ikate verloren die auf dem Chip gespeichert sind Gehen Sie wie folgt vor um den Inhalt des integrierten IBM Security Chips zu l schen 1 Fahren Sie das System herunter und starten Sie es erneut 2 Dr cken Sie w hrend der Eingabeaufforderung des Programms IBM BIOS Setup Utility die Taste Fn Anmerkung Auf einigen ThinkPad Modellen m ssen Sie m glicherweise beim Einschalten die Taste F1 dr cken um auf das Programm IBM BIOS Setup Utility zuzugreifen Weitere Informationen hierzu finden Sie in der Hilfenachricht des Programms IBM BIOS Setup Utility Das Hauptmen des Programms IBM BIOS Setup Utility wird ge ffnet W hlen Sie Config aus W hlen Sie IBM Security Chip aus W hlen Sie Clear IBM Security Chip aus W hlen Sie Yes aus Dr cken Sie die Eingabetaste um fortzufahren onoun w Dr cken Sie die Taste F10 um die Einstellungen zu speichern und das Pro gramm zu beenden Administratordienstprogramm Der folgende Abschnitt enth lt Informationen die Sie bei der Verwendung des Administratordienstprogramms beachten m ssen Benutzer l schen Wenn Sie einen Benutzer l schen wird der Benutzername in der Benutzerliste des Administratordienstprogramms gel scht 16 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Keinen Zugriff auf ausgew hlte Objekte mit der Tivoli Access Manager Steuerung zulassen Das Markierungsfeld Keinen Zugriff
46. licht es einem von UVM autorisierten Benutzer jedes System im Netzwerk genau wie die eigene Worksta tion zu verwenden Wenn ein Benutzer berechtigt ist UVM auf irgendeinem bei CSS registrierten Client zu verwenden kann er seine pers nlichen Daten in alle anderen registrierten Clients im Netzwerk importieren Die pers nlichen Daten werden im CSS Archiv und auf jedem System in das sie importiert wurden automatisch aktualisiert und gewartet Aktualisierungen der pers nlichen Daten wie z B neue Zertifikate oder nderungen am Verschl sselungstext sind sofort auf allen Systemen verf gbar e FIPS 140 1 Zertifizierung Client Security unterst tzt FIPS 140 1 zertifizierte verschl sselte Bibliotheken FIPS zertifizierte RSA BSAFE Bibliotheken werden auf TCPA Systemen verwendet Ablauf des Verschl sselungstexts Client Security legt jeweils beim Hinzuf gen eines Benutzers einen benutzerspezifischen Verschl sselungstext und eine Policy f r das Ablaufen des Verschl sselungstexts fest Automatischer Schutz f r ausgew hlte Ordner Die Funktion zum automati schen Sch tzen von Ordnern erm glicht es einem Client Security Administrator festzulegen dass alle Ordner mit der Bezeichnung Eigene Dateien der von UVM autorisierten Benutzer automatisch gesch tzt werden ohne dass seitens der Benutzer eine Aktivit t ausgef hrt werden muss Kapitel 1 Einf hrung in IBM Client Security 3 4 IBM Client Security Solutions Client Sec
47. licy f r einen fernen Client Anschlie end kopieren Sie die UVM Policy Datei auf andere IBM Clients Wenn Sie Client Secu rity im Standardverzeichnis installieren wird die UVM Policy Datei im Verzeichnis Program Files IBM Security UVM_Policy remote globalpolicy gvm gespei chert Kopieren Sie die folgenden Dateien auf die anderen IBM Clients auf denen diese UVM Policy verwendet werden soll e IBM Security UVM_Policy remote globalpolicy gvm e IBM Security UVM_Policy remote globalpolicy gvm sig Wurde Client Security im Standardverzeichnis installiert ist das Stammverzeichnis der oben genannten Pfade Program Files Kopieren Sie die beiden Dateien auf den fernen Clients in den Verzeichnispfad IBM Security UVM_Policy IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Kapitel 4 Fehlerbehebung Im Folgenden finden Sie Informationen zur Vermeidung Erkennung und Behe bung von Fehlern die bei der Verwendung von Client Security auftreten k nnen Administratorfunktionen Dieser Abschnitt enth lt Informationen f r Administratoren zur Konfiguration und zur Verwendung von Client Security Administratorkennwort festlegen ThinkCentre ber die Sicherheitseinstellungen im Programm Configuration Setup Utility k nnen Administratoren folgende Vorg nge durchf hren Das Hardwarekennwort f r den integrierten IBM Security Chip ndern Den integrierten IBM Security Chip aktivi
48. me vor der Installa tion von Client Security ge ndert wurde Client Security mit Netscape Anwendungen einsetzen Netscape wird nach einem Berechtigungsfehler ge ffnet Wenn das Fenster UVM Verschl sselungstext ge ffnet wird m ssen Sie den UVM Verschl s selungstext eingeben und auf OK klicken bevor Sie fortfahren k nnen Wenn Sie einen falschen UVM Verschl sselungstext eingeben oder bei einer Scanner abtastung von Fingerabdr cken einen falschen Fingerabdruck liefern wird eine Fehlernachricht angezeigt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte digitale Zertifikat nicht verwenden Sie m ssen Netscape verlassen erneut aufrufen und den richti gen UVM Verschl sselungstext eingeben bevor Sie das Zertifikat f r den integrier ten IBM Security Chip verwenden k nnen Algorithmen werden nicht angezeigt Beim Anzeigen des Moduls in Netscape ist keiner der vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzten Hashverfahren Algorithmen ausgew hlt Die folgenden Algorithmen werden vom PKCS 11 Modul des integrierten IBM Security Chips unterst tzt jedoch nicht als unterst tzt erkannt wenn sie in Netscape angezeigt werden e SHA 1 e MD5 Kapitel 4 Fehlerbehebung 17 Zertifikat des integrierten IBM Security Chips und Verschl sselungsalgorithmen Im Folgenden finden Sie Informationen zu Verschl sselungsalgorithmen die Sie mit dem Zertif
49. mte Software neu installie ren Wenn Sie im Administratordienstprogramm das Markierungsfeld Die Windows Standardanmeldung durch eine gesicherte UVM Anmeldung ersetzen inakti vieren kehrt das System zum Windows Anmeldungsprozess zur ck ohne die gesicherte UVM Anmeldung zu verwenden Sie haben die Option die maximale Anzahl der Versuche f r die Eingabe des richtigen Kennworts f r die Windows Anmeldeanwendung anzugeben Diese Option steht bei UVM Anmeldeschutz nicht zur Verf gung F r die Anzahl der zul ssigen Fehlversuche bei der Eingabe des UVM Verschl sselungstextes k n nen Sie keine Grenze festlegen 39 40 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Anhang C Bemerkungen und Marken Bemerkungen Dieser Anhang enth lt rechtliche Hinweise zu IBM Produkten und Informationen zu Marken Die vorliegenden Informationen wurden f r Produkte und Services entwickelt die auf dem deutschen Markt angeboten werden M glicherweise bietet IBM die in diesem Dokument beschriebenen Produkte Ser vices oder Funktionen in anderen L ndern nicht an Informationen ber die gegen w rtig im jeweiligen Land verf gbaren Produkte und Services sind beim IBM Ansprechpartner erh ltlich Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht dass nur Programme Produkte oder Dienstleistungen von IBM verwendet werden k nnen Anstelle der Produkte Programme oder Die
50. n wenn f r ein Authifizierungsobjekt der Zugriff verweigert wird Wenn in der UVM Policy die Verweigerung des Zugriffs f r ein Authentifizierungsobjekt z B f r die E Mail Verschl sselung festgelegt ist variiert die Nachricht ber den verweigerten Zugriff je nach verwendeter Software Eine Fehlernachricht von Out look Express ber die Verweigerung des Zugriffs auf ein Authentifizierungsobjekt unterscheidet sich somit von einer Netscape Fehlernachricht ber verweigerten Zugriff Kapitel 4 Fehlerbehebung 19 Fehlerbehebungstabellen Im folgenden Abschnitt finden Sie Tabellen die Ihnen bei der Behebung von Feh lern in Verbindung mit Client Security weiterhelfen k nnen 20 Fehlerbehebungsinformationen zur Installation Im folgenden Abschnitt finden Sie Informationen die Ihnen bei der Behebung von Fehlern bei der Installation von Client Security weiterhelfen k nnen Fehlersymptom M gliche L sung W hrend der Softwareinstallation wird eine Fehlernachricht angezeigt Ma nahme Bei der Softwareinstallation werden Sie in einer Nachricht gefragt ob Sie die ausge w hlte Anwendung und alle zugeh rigen Komponenten entfernen m chten Klicken Sie auf OK um das Fenster zu ver lassen Beginnen Sie erneut mit dem Installationsprozess um die neue Version von Client Security zu installieren W hrend der Installation wird eine Nach richt angezeigt die besagt dass bereits eine vorherige Version von
51. nen In der gesicherten Tivoli Access Manager Dom ne muss f r die Anwendung eine eindeutige Identit t erstellt werden Damit f r die authentifizierte Identit t Authen tifizierungs berpr fungen durchgef hrt werden k nnen muss die Anwendung zur Gruppe der fernen ACL Benutzer geh ren Wenn die Anwendung auf einen der Services der gesicherten Dom ne zugreifen m chte muss sie sich erst an der gesi cherten Dom ne anmelden Das Dienstprogramm svrssicfg erm glicht es IBM Client Security Anwendungen mit dem Tivoli Access Manager Verwaltungsserver und Autorisierungsserver zu kommunizieren Das Dienstprogramm svrsslcfg erm glicht es IBM Client Security Anwendungen mit dem Tivoli Access Manager Verwaltungsserver und Autorisierungsserver zu kommunizieren Das Dienstprogramm svrsslcfg f hrt die folgenden Tasks aus Erstellt f r die Anwendung eine Benutzeridentifikation Beispiel DemoUser HOSTNAME Erstellt eine SSL Schl sseldatei f r diesen Benutzer Beispiel DemoUser kdb und DemoUser sth F gt den Benutzer der Gruppe der fernen ACL Benutzer hinzu Die folgenden Parameter werden ben tigt e f cfg_file Name und Pfad der Konfigurationsdatei Verwenden Sie TAMCSS conf d kdb_dir Das Verzeichnis das die Schliisselringdatenbankdateien f r den Ser ver enthalten soll e n Servername Der aktuelle Windows Benutzername UVM Benutzername des gew nschten IBM Client Benutzers e P admin_pwd Das Ti
52. nistrator den integrierten IBM Security Chip akti viert oder inaktiviert sowie Chiffrierschl ssel und Verschl sselungstexte erstellt archiviert und erneut generiert Dar ber hinaus kann ein Administrator mit die sem Dienstprogramm der Sicherheits Policy die von Client Security bereitgestellt wird Benutzer hinzuf gen User Verification Manager UVM In Client Security werden mit UVM Verschl sselungstexte und andere Elemente verwaltet mit denen System benutzer authentifiziert werden Mit einem Leseger t f r Fingerabdr cke kann UVM z B bei der Anmeldung Benutzer authentifizieren UVM bietet folgende M glichkeiten Schutz durch UVM Client Policy Mit UVM kann ein Administrator die Sicherheits Policy f r Clients festlegen die bestimmt wie auf dem System die Authentifizierung eines Clientbenutzers erfolgt Wenn die Policy festlegt dass Fingerabdr cke f r die Anmeldung erforder lich sind und der Benutzer keine Fingerabdr cke registriert hat hat er die M glichkeit Fingerabdr cke bei der Anmeldung zu registrieren Wenn die berpr fung von Fingerabdr cken erforderlich ist und kein Scanner ange schlossen ist meldet UVM einen Fehler Wenn das Windows Kennwort nicht oder nicht richtig in UVM registriert ist hat der Benutzer die M glichkeit das richtige Windows Kennwort als Teil der Anmeldung anzugeben UVM Systemanmeldeschutz UVM erm glicht es Administratoren den Zugriff auf die Computer ber eine Anmeldeschni
53. nistratorhandbuch enth lt Informationen dazu wie f r den IBM Client Benutzerauthentifizierung und UVM Policy eingerichtet wer den Nach der Installation von Client Security k nnen Sie mit Hilfe der Anweisun gen im Client Security Administratorhandbuch die Benutzerauthentifizierung und Sicherheits Policy einrichten Weitere Informationen k nnen Sie Kapitel 3 IBM Clients konfigurieren auf Seite 9 entnehmen Zus tzliche Informationen vi Zus tzliche Informationen sowie Aktualisierungen f r Sicherheitsprodukte k nnen wenn erh ltlich von der IBM Website unter http www pc ibm com ww security securitychip html heruntergeladen werden IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Kapitel 1 Einf hrung in IBM Client Security Die Software IBM Client Security ist f r IBM Computer konzipiert die den inte grierten IBM Security Chip zum Verschl sseln von Dateien und Speichern von Chiffrierschl sseln verwenden Client Security besteht aus Anwendungen und Komponenten mit denen IBM Kunden die Sicherheit von Clients im lokalen Netz werk im Unternehmen oder im Internet gew hrleisten k nnen Anwendungen und Komponenten von Client Security Wenn Sie Client Security installieren werden die folgenden Softwareanwendungen und komponenten installiert Administratordienstprogramm Das Administratordienstprogramm ist die Schnittstelle ber die ein Admi
54. nstleistungen k nnen auch andere ihnen quivalente Produkte Programme oder Dienstleistungen verwendet werden solange diese keine gewerblichen oder andere Schutzrechte von IBM verletzen Die Verantwortung f r den Betrieb von Fremdprodukten Fremdprogrammen und Fremddienstleistungen liegt beim Kun den F r in diesen Dokument beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder IBM Patentanmeldungen geben Mit der Auslieferung dieses Hand buchs ist keine Lizenzierung dieser Patente verbunden Lizenzanfragen sind schriftlich an folgende Adresse zu richten Anfragen an diese Adresse m ssen auf Englisch formuliert werden IBM Europe Director of Licensing 92066 Paris La Defense Cedex France Trotz sorgf ltiger Bearbeitung k nnen technische Ungenauigkeiten oder Druckfeh ler in dieser Ver ffentlichung nicht ausgeschlossen werden Die Angaben in diesem Handbuch werden in regelm igen Zeitabst nden aktualisiert Die nderungen werden in berarbeitungen oder in Technical News Letters TNLs bekannt gege ben IBM kann jederzeit ohne Vorank ndigung Verbesserungen und oder nde rungen an den in dieser Ver ffentlichung beschriebenen Produkten und oder Pro grammen vornehmen Lizenznehmer des Programms die Informationen zu diesem Produkt w nschen mit der Zielsetzung i den Austausch von Informationen zwischen unabh ngigen erstellten Programmen und anderen Programmen einschlie lich des vorliegenden Programms sowie
55. ntegrierten IBM Security Chip gespeichert wird Dar ber hinaus k nnen Netscape Benutzer integrierte IBM Security Chips zum Generieren von privaten Schl sseln f r die zum Erh hen der Systemsicherheit verwendeten digitalen Zertifikate ausw hlen Anwendun gen nach dem Standard PKCS 11 Public Key Cryptography Standard Nr 11 wie z B Netscape Messenger k nnen sich ber den integrierten IBM Security Chip sch tzen Digitale Zertifikate auf den integrierten IBM Security Chip bertragen Mit dem Tool zur bertragung von Zertifikaten von Client Security k nnen Sie Zer tifikate die mit dem Standard Microsoft CSP erstellt wurden an das CSP Modul des integrierten IBM Sicherheits Subsystems bertragen Dadurch wird der not wendige Schutz f r private Schl ssel die zu Zertifikaten geh ren betr chtlich erh ht da die Schl ssel nun statt in gef hrdeter Software im integrierten IBM Security Chip sicher gespeichert sind Funktion zur Schl sselarchivierung und wiederherstellung Eine wichtige PKI Funktion ist das Erstellen eines Schl sselarchivs aus dem Schl ssel bei Ver lust oder Besch digung der Originalschl ssel wiederhergestellt werden k nnen Client Security bietet eine Schnittstelle mit der Sie mit dem integrierten IBM Security Chip erstellte Archive f r Schl ssel und digitale Zertifikate erstellen und diese Schl ssel und Zertifikate bei Bedarf wiederherstellen k nnen Verschl sselung von Dateien und Ordnern
56. oli Access Manager Server hinzuf gen Gesicherte Verbindung zwischen deim IBM Client und dem Tivoli Access Manager Server aufbauen Kapitel 3 IBM Clients SO IE Voraussetzungen Informationen zur Konfiguration von Tivoli Access Manager angeben Lokalen Cache definieren und verwenden Tivoli Access Manager zur Steuerung von IBM Cli ent Objekten aktivieren Lokale UVM Policy bearbeiten UVM Policy f r ferne Clients bearbeiten nd ver 12 wenden Kapitel 4 Fehlerbehebung Administratorfunktionen Administratorkennwort festlegen ThinkCentre Administratorkennwort festlegen ThinkPad Hardwarekennwort sch tzen 2 Inhalt des integrierten IBM Security Chips l schen ThinkCentre Inhalt des integrierten IBM Security Chips l schen ThinkPad F Administratordienstprogramm vi vi vi vi 1 1 13 s13 13 14 15 15 16 16 Benutzer l schen 16 Keinen Zugriff auf ausgew hlte Objekte mit der Tivoli Access Manager Steuerung zulassen 17 Bekannte Einschr nkungen 17 Client Security mit Windows Betriebssystemen einsetzen AZ Client Security mit Netscape Anwendungen ein setzen 17 Zertifikat des integrierten IBM Security Chips und Verschl sselungsalgorithmen 18 UVM Schutz f r eine Lotus Notes Benin verwenden 18 Einschr nkungen f r d s Benutzerkonfigurations programm 19 Fehlernachrichten 19 Fehlerbehebungstabellen
57. rity ist im Administratordienst programm angegeben berpr fen Sie Folgendes 1 Der Verschl sselungsgrad des vom Sen der verwendeten Webbrowsers ist mit dem Verschl sselungsgrad des vom Empf nger verwendeten Webbrowsers kompatibel 2 Der Verschl sselungsgrad des Webbrowsers ist mit dem Verschl sselungsgrad kompatibel der von der Firmware von Client Security bereitgestellt wird Beim Versuch eine E Mail digital zu sig nieren wird eine Fehlernachricht ange zeigt Ma nahme Wenn das Zertifikat des integrierten IBM Security Chips in Netscape Messenger nicht ausgew hlt wurde und der Verfasser der E Mail versucht diese mit dem Zertifikat zu signieren wird eine Fehlernachricht ange zeigt Eine E Mail wird mit einem anderen Algo rithmus an den Client zur ckgesendet Verwenden Sie zur Auswahl des Zertifikats die Sicherheitseinstellungen in Netscape Messenger Wenn Netscape Messenger ge ff net ist klicken Sie in der Symbolleiste auf das Sicherheitssymbol Das Fenster mit den Sicherheitsinformationen wird ge ffnet Kli cken Sie im linken Teilfenster auf Netscape Messenger und w hlen Sie anschlie end Zertifikat des integrierten IBM Security Chips aus Weitere Informationen hierzu fin den Sie in der Dokumentation von Netscape Ma nahme Eine mit dem RC2 40 RC2 64 oder RC2 128 Algorithmus verschl sselte E Mail wird von einem Client mit Netscape Messenger an einen Client mit Outlook E
58. rtifikate vom selben Sen der werden innerhalb von Netscape nicht ausgetauscht Ma nahme Wenn eine digital signierte E Mail vom sel ben Sender mehrmals empfangen wird wird das erste digitale Zertifikat das der E Mail zugeordnet ist nicht berschrieben Wenn Sie mehrere E Mail Zertifikate emp fangen ist das einzige Zertifikat das Standardzertifikat L schen Sie mit den Sicherheitseinrichtungen in Netscape das erste Zertifikat und ffnen Sie anschlie end das zweite Zertifikat erneut oder bitten Sie den Sender eine weitere signierte E Mail zu senden Das Zertifikat des integrierten IBM Security Chips kann nicht exportiert wer den Ma nahme Das Zertifikat des integrierten IBM Security Chips kann in Netscape nicht exportiert werden Die Exportfunktion in Netscape k nnen Sie zum Sichern von Zertifikaten verwenden Rufen Sie das Administratordienstprogramm oder Benutzerkonfigurationsprogramm auf um das Schl sselarchiv zu aktualisieren Wenn Sie das Schl sselarchiv aktualisieren werden von allen Zertifikaten die dem inte grierten IBM Security Chip zugeordnet sind Kopien erstellt Beim Versuch ein wiederhergestelltes Zer tifikat nach dem Ausfall eines Festplatten laufwerks zu verwenden wird eine Fehlernachricht angezeigt Ma nahme Zertifikate k nnen im Administratordienst programm mit der Wiederherstellungs funktion f r Schl ssel wiederhergestellt werden M glicherweise sin
59. rwenden Fehlersymptom M gliche L sung Wenn Sie unter Windows XP einen Ordner ffnen und auf Alles wiedergeben klicken wird der Dateiinhalt verschl sselt statt vom Windows Media Player wiedergegeben zu werden Gehen Sie wie folgt vor um die Wiedergabe von Dateien mit dem Windows Media Player zu aktivieren 1 Starten Sie den Windows Media Player 2 W hlen Sie alle Dateien im entsprechen den Ordner aus 3 Ziehen Sie die Dateien in den Bereich Wiedergabeliste von Windows Media Player Client Security funktioniert f r einen in UVM registrierten Benutzer nicht ord nungsgem Ma nahme Der registrierte Clientbenutzer hat m gli cherweise seinen Windows Benutzernamen ge ndert Wenn dies zutrifft geht die gesamte Funktionalit t von Client Security verloren Registrieren Sie den neuen Benutzernamen in UVM erneut und fordern Sie alle neuen Berechtigungsnachweise an Anmerkung Unter Windows XP werden in UVM registrierte Benutzer deren Windows Benutzername zuvor ge ndert wurde von UVM nicht erkannt Diese Einschr nkung gilt selbst dann wenn der Windows Benutzername vor der Installation von Client Security ge ndert wurde Fehler beim Lesen verschl sselter E Mails mit Outlook Express Ma nahme Verschl sselte E Mails k nnen nicht ent schl sselt werden da sich die Verschl sselungsgrade der Webbrowser die vom Sender und vom Empf nger verwendet werden untersch
60. schrei bung der PKI Funkionen Public Key Infrastructure Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server 77 von Client Security auf dem Tivoli Access Manager Server Kapitel 3 IBM Clients konfigurieren enth lt die notwendigen Informationen und Anweisungen f r die Konfiguration von IBM Clients f r die Verwendung der Authentifizierungsservices von Tivoli Access Manager Kapitel 4 Fehlerbehebung enth lt n tzliche Informationen zur Fehlerbehebung die beim Befolgen der in diesem Handbuch enthaltenen Anweisungen auftreten k nnen Anhang A Regeln f r Kennw rter und Verschl sselungstexte enth lt Kriterien f r Kennw rter die auf einen UVM Verschl sselungstext angewendet werden k n nen und Regeln f r Kennw rter f r den IBM Security Chip Anhang B Regeln f r den UVM Schutz f r die Anmeldung am System enth lt Informationen zur Verwendung des UVM Schutzes f r die Anmeldung am Betriebssystem Anhang C Bemerkungen und Marken enth lt Informationen zu rechtlichen Hin weisen und Marken Zielgruppe Das vorliegende Handbuch wendet sich an Administratoren des Unternehmens die mit Tivoli Access Manager Version 3 8 und Version 3 9 auf einem IBM Client Authentifizierungsobjekte verwalten die mit der UVM Sicherheits Policy User Verification Manager konfiguriert sind Die Administratoren m ssen mit den folgenden Begriffen und Verfahren v
61. sitiver Einheiten weiterhelfen k nnen Fehlersymptom M gliche L sung Eine UVM sensitive Einheit funktioniert nicht mehr ordnungsgem Ma nahme Wenn Sie eine UVM sensitive Einheit vom USB Anschluss Universal Serial Bus tren nen und die Einheit danach erneut am USB Anschluss anschlie en funktioniert die Einheit m glicherweise nicht ordnungsge maf Starten Sie nach dem erneuten Anschluss der Einheit an den USB Anschluss den Com puter erneut Kapitel 4 Fehlerbehebung 33 34 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Anhang A Regeln f r Kennw rter und Verschl sselungstexte In diesem Anhang finden Sie Informationen zu den Regeln f r verschiedene Systemkennw rter Regeln f r Hardwarekennw rter F r Hardwarekennw rter gelten die folgenden Regeln L nge Das Kennwort muss genau acht Zeichen lang sein Zeichen Das Kennwort darf nur alphanumerische Zeichen enthalten Die Kombina tion von Buchstaben und Ziffern ist zul ssig Es sind keine speziellen Zei chen wie das Leerzeichen und die Zeichen zul ssig Merkmale Sie k nnen das Kennwort f r den IBM Security Chip festlegen um den integrierten IBM Security Chip im Computer zu aktivieren Dieses Kenn wort m ssen Sie bei jedem Zugriff auf das Administratordienstprogramm eingeben Fehlversuche Wenn Sie das Kennwort zehnmal falsch eingegebenen haben wird der Computer
62. ttstelle zu steuern Der UVM Schutz stellt sicher dass nur Benutzer die von der Sicherheits Policy erkannt werden auf das Betriebssystem zugreifen k nnen UVM Client Security Bildschirmschonerschutz Bei Einsatz von UVM k n nen Benutzer den Zugriff auf den Computer ber eine Schnittstelle f r den Client Security Bildschirmschoner steuern Administratorkonsole Die Administratorkonsole von Client Security erm glicht es einem Sicherheitsadministrator administratorspezifische Tasks ber Fernzu griff auszuf hren Benutzerkonfigurationsprogramm Mit dem Benutzerkonfigurationsprogramm k nnen Clientbenutzer den UVM Verschl sselungstext ndern Unter Windows 2000 und Windows XP k nnen Benutzer mit dem Clientdienstprogramm Schl sselarchive aktualisieren und Windows Anmeldekennw rter ndern so dass diese von UVM erkannt werden Au erdem kann ein Benutzer Sicherungs kopien der digitalen Zertifikate erstellen die vom integrierten IBM Security Chip erzeugt wurden PKI Funktionen Client Security bietet alle erforderlichen Komponenten um in Ihrem Unternehmen eine PKI Public Key Infrastructure aufzubauen z B Steuerung der Client Sicherheits Policy durch Administratoren Die Authentifi zierung von Endbenutzern auf Clientebene ist ein wichtiger Aspekt f r Sicher heits Policies Client Security bietet die erforderliche Schnittstelle zur Verwaltung der Sicherheits Policy eines IBM Clients Diese Schnittstelle ist
63. ty wird ge ffnet W hlen Sie die Option Security aus W hlen Sie IBM TCPA Feature Setup aus W hlen Sie Clear IBM TCPA Security Feature aus W hlen Sie Yes aus Dr cken Sie die Taste Esc um fortzufahren ONDAY Dr cken Sie Taste Esc um das Programm zu verlassen und die Einstellungen zu speichern Kapitel 4 Fehlerbehebung 15 Inhalt des integrierten IBM Security Chips l schen ThinkPad Wenn Sie alle Chiffrierschl ssel f r Benutzer aus dem integrierten IBM Security Chip und das Hardwarekennwort f r den Chip l schen m chten m ssen Sie den Inhalt des Chips l schen Lesen Sie die nachfolgend unter Achtung aufgef hrten Informationen bevor Sie den Inhalt des integrierten IBM Security Chips l schen Achtung L schen oder inaktivieren Sie bei aktiviertem UVM Schutz den integrierten IBM Security Chip nicht Andernfalls wird der Inhalt der Festplatte unbrauchbar und Sie m ssen die Festplatte neu formatieren und die gesamte Software neu instal lieren Um den UVM Schutz zu inaktivieren ffnen Sie das Administratordienst programm klicken Sie auf Anwendungsunterst tzung und Policies konfigu rieren und inaktivieren Sie das Markierungsfeld Die Windows Standardan meldung durch eine gesicherte UVM Anmeldung ersetzen Sie m ssen den Computer erneut starten damit der UVM Schutz inaktiviert wird Wenn Sie den Inhalt des integrierten IBM Security Chips l schen gehen alle Chiffrierschl ssel und Zertif
64. ty ndern erscheint F hren Sie einen der folgenden Schritte aus Klicken Sie auf Lokalen Cache aktualisieren um den lokalen Cache jetzt zu aktualisieren Geben Sie den Wert f r Monat 0 12 und Tag 0 30 in die entsprechenden Felder ein und klicken Sie auf Lokalen Cache aktualisieren um die H ufig keit automatischer Aktualisierungen anzugeben Der lokale Cache wird aktu alisiert und das Ablaufdatum f r Dateien im lokalen Cache wird aktualisiert damit ersichtlich ist wann die n chste automatische Aktualisierung durch gef hrt wird 10 IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Tivoli Access Manager zur Steuerung von IBM Client Objekten aktivie ren Die UVM Policy wird durch eine Datei f r eine globale Policy gesteuert Die Datei f r eine globale Policy die sog UVM Policy Datei enth lt Authentifizierungsbe stimmungen f r Aktionen die auf dem IBM Client System ausgef hrt werden wie z B am System anmelden Bildschirmschoner l schen oder E Mails signieren Bearbeiten Sie zun chst mit dem UVM Policy Editor die UVM Policy Datei damit Sie den Tivoli Access Manager zur Steuerung der Authentifizierungsobjekte f r einen IBM Client verwenden k nnen Der UVM Policy Editor geh rt zum Administratordienstprogramm Wichtig Bei der Aktivierung des Tivoli Access Manager zur Steuerung eines Objekts wird die Objektsteuerung dem Tivoli Access Manager Objektberei
65. ty konfigurieren damit Sie dann ber den Tivoli Access Manager die Authentifizierungsobjekte f r IBM Clients steuern k nnen Der folgende Abschnitt beschreibt die Voraussetzungen und enth lt die Anweisungen f r die Konfiguration von IBM Clients Voraussetzungen Stellen Sie sicher dass die folgende Software in der angegebenen Reihenfolge auf dem IBM Client installiert ist 1 Von Microsoft Windows unterst tztes Betriebssystem Bei IBM Clients unter Windows XP Windows 2000 oder Windows NT Workstation 4 0 k nnen Sie ber den Tivoli Access Manager die Authentifizierungsbestimmungen steuern 2 Client Security ab Version 3 0 Nach dem Installieren der Software und dem Aktivieren des integrierten IBM Security Chip k nnen Sie mit dem Administ ratordienstprogramm die Benutzerauthentifizierung konfigurieren und die UVM Sicherheits Policy editieren Ausf hrliche Anweisungen zur Installation und Verwendung von Client Security sind im Client Security Installations handbuch und im Client Security Administratorhandbuch enthalten Informationen zur Konfiguration von Tivoli Access Manager angeben Nach dem Installieren von Tivoli Access Manager auf dem lokalen Client k nnen Sie die Informationen zur Konfiguration von Tivoli Access Manager mit dem Administratordienstprogramm einer Komponente von Client Security angeben Die Informationen zur Konfiguration von Tivoli Access Manager umfassen die fol genden Angaben Vollst ndigen Pf
66. urity Version 5 1 mit Tivoli Access Manager verwenden Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren Die Authentifizierung von Endbenutzern auf der Clientebene ist ein wichtiger Sicherheitsaspekt Client Security stellt die Schnittstelle zur Verf gung die zum Verwalten der Sicherheits Policy auf einem IBM Client erforderlich ist Diese Schnittstelle ist Teil der Authentifizierungsoftware User Verification Manager UVM die die Hauptkomponente von Client Security darstellt F r die Verwaltung der UVM Sicherheits Policy f r einen IBM Client stehen zwei Methoden zur Verf gung Lokale Verwaltung ber den Policy Editor der sich auf dem IBM Client befindet Unternehmensweite Verwaltung ber Tivoli Access Manager Damit Client Security mit Tivoli Access Manager verwendet werden kann muss die Client Security Komponente von Tivoli Access Manager installiert werden Diese Komponente kann ber die IBM Website unter der Adresse http www pc ibm com ww security secdownload html heruntergeladen wer den Voraussetzungen Damit eine gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server hergestellt werden kann m ssen die folgenden Komponen ten auf dem IBM Client installiert werden IBM Global Security Toolkit IBM SecureWay Directory Client Tivoli Access Manager Runtime Environment Weitere Informationen zur Installation und Benutzung von Tivol
67. us Notes kann nach dem Aktivieren des UVM Schutzes mit dem Administrator dienstprogramm die Konfiguration nicht fer tig stellen Dies ist eine bekannte Einschr nkung Lotus Notes muss konfiguriert werden und aktiv sein bevor die Lotus Notes Unterst t zung im Administratordienstprogramm akti viert wird Beim Versuch das Notes Kennwort zu ndern wird eine Fehlernachricht ange zeigt Ma nahme Wenn Sie das Notes Kennwort bei Verwen dung von Client Security ndern wird dies in einer Fehlernachricht angezeigt Wiederholen Sie die Kennwort nderung Wurde der Fehler dadurch nicht behoben starten Sie den Client neu Nach dem Festlegen eines Kennworts per Zufallsgenerator wird eine Fehlernachricht angezeigt Ma nahme Wenn Sie folgende Vorg nge ausf hren wird m glicherweise eine Fehlernachricht angezeigt e Verwenden des Tools zur Lotus Notes Konfiguration zur Einstellung des UVM Schutzes f r eine Notes ID e ffnen von Notes und Verwenden der Notes Funktion zur Kennwort nderung f r die Datei mit der Notes ID e Schlie en von Notes sofort nach der Kennwort nderung Klicken Sie auf OK um die Fehlernachricht zu schlie en Es ist keine weitere Ma nahme erforderlich Entgegen der Fehlernachricht wurde das Kennwort ge ndert Das neue Kennwort wurde von Client Security per Zufalls generator festgelegt Die Datei mit der Notes ID wird nun mit dem per Zufalls generator festgelegten
68. voli Access Manager Administratorkennwort s server_type Es muss fern angegeben werden e S server_pwd Das Kennwort f r den neu erstellten Benutzer Hierbei handelt es sich um einen erforderlichen Parameter Kapitel 2 Client Security Komponente auf einem Tivoli Access Manager Server installieren 7 r port_num Die empfangsbereite Anschlussnummer f r den IBM Client Dabei handelt es sich um den in der Tivoli Access Manager Runtime Variablen SSL Server Port for PD Management Server SSL Serveranschluss f r PD Verwaltungsserver angegebenen Parameter e e pwd_life Verfallszeit des Kennworts in Anzahl an Tagen Gehen Sie wie folgt vor um eine gesicherte Verbindung zwischen dem IBM Client und dem Tivoli Access Manager Server aufzubauen 1 Erstellen Sie ein Verzeichnis und verschieben Sie die Datei TAMCSS conf in das neue Verzeichnis Beispiel MSDOS gt mkdir C TAMCSS MSDOS gt move C TAMCSS conf C TAMCSS 2 F hren Sie svrsslcfg aus um den Benutzer zu erstellen MSDOS gt svrsslcfg config f C TAMCSS TAMCSS conf d C TAMCSS n lt server_name gt s remote S lt Serverkennwort gt P lt Administratorkennwort gt e 365 r 199 Anmerkung Geben Sie f r lt Servername gt den gew nschten UVM Benutzer namen und Hostnamen des IBM Clients an Beispiel n DemoUser MyHostName Den IBM Client Hostnamen k nnen Sie herausfinden indem Sie in die MSDOS Befehlszeile host name eingeben Das Dienstprogramm
69. xpress 128 Bit gesendet Eine vom Out look Express Client zur ckgesendete E Mail wird mit dem Algorithmus RC2 40 ver schl sselt Es ist keine Ma nahme erforderlich Eine Verschl sselungsanforderung gem RC2 40 RC2 64 oder RC2 128 von einem Netscape Client an einen Outlook Express Client 128 Bit wird an den Netscape Client immer mit dem RC2 40 Algorithmus zur ckgesendet Aktuelle Informationen zu den Verschl sselungsalgorithmen die mit den verschiedenen Versionen von Outlook Express verwendet werden erhalten Sie von Microsoft IBM Client Security Solutions Client Security Version 5 1 mit Tivoli Access Manager verwenden Fehlersymptom M gliche L sung Ein digitales Zertifikat das vom integrier ten IBM Security Chip generiert wurde kann nicht verwendet werden Ma nahme Das vom integrierten IBM Security Chip generierte digitale Zertifikat ist nicht verf g bar berpr fen Sie ob Sie beim ffnen von Netscape den richtigen UVM Verschl sselungstext eingegeben haben Wenn Sie den falschen UVM Verschl sselungstext eingeben wird eine Fehlernachricht ber einen Authentifizierungsfehler angezeigt Wenn Sie auf OK klicken wird Netscape ge ffnet Sie k nnen aber das vom integrierten IBM Security Chip generierte Zertifikat nicht ver wenden Sie m ssen Netscape verlassen und erneut ffnen und anschlie end den richti gen UVM Verschl sselungstext eingeben Neue digitale Ze
Download Pdf Manuals
Related Search