与 MarkVision 服务器安全通信

使用安全通信

MVP 允许 MarkVision 服务器和支持相同安全协议的网络设备之间进行安全通信。管理员能够与网络上的安全设备通信,配置、控制设备以及从设备取回信息。安全通信可减少用户凭证或设备命令受损的危险。设备和服务器通信的安全程度取决于 MarkVision 服务器上的安全级别设置和应用于设备的通信安全设置。

通信安全任务包括:

使用 LDAP 验证用户访问

MVP 管理员可以使用公司的 LDAP 服务器来验证用户 ID 和口令。这样可消除用户维护单独的 MVP 登录 ID 和口令的需要。

当启用 LDAP 服务器验证时,管理员有三种 LDAP 验证模式。下列验证机制按安全性的递增顺序绑定到 LDAP 服务器:

确认在进行 LDAP 服务器验证设置之前定义管理员口令。只能通过主管理员帐户进行 LDAP 服务器验证。LDAP 验证用于除主管理员帐户之外的所有用户帐户。主管理员帐户必须拥有唯一的 MVP 口令。

使用简单 LDAP 验证创建用户帐户

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择用户帐户和组

  2. 单击添加

  3. 为“帐户名称”框中的用户 ID 键入现有的网络登录信息。

    注意: 此 ID 必须与 LDAP 数据库中存在的用户 ID 相匹配。

  4. 让口令字段留空。

    注意: 因为当用户登录时将使用 LDAP 进行验证,所以不需要或不允许输入口令。

  5. 单击使用 LDAP 服务器/Kerberos KDC 验证框来选择它,然后从“验证机制”下拉列表中选择简单 LDAP 绑定

  6. 单击下一步

  7. 在“LDAP 设置”文本框中输入 LDAP 服务器的信息:

    • LDAP 服务器地址-输入将执行验证的 LDAP 目录服务器的 IP 地址或主机名。

    • 端口号-本地计算机用于与 LDAP 目录服务器通信的端口。默认的 LDAP 端口是 389。

    • 搜索库-“搜索库”(有时被称为“标识名”,或“DN”)是用户帐户存在的 LDAP 目录服务器中的节点。

      注意: “搜索库”由多个属性组成-例如 cn(常用名)、ou(组织单位)、o(组织)、c(国家)或 dc(域)-用逗号分隔。

    • 用户属性-输入 cnuseriduserdefined 的值,其中 cn 代表“常用名”。

    • 标识名-输入用于 MVP 服务器的 LDAP 帐户的标识名。典型的例子包括 ou(组织单位)和 o(组织名),其中 o 可以是公司名称,ou 可以是公司内的某一组职员(例如:o=Acme, ou=managers)。

    • 口令确认口令-当两个口令相同时,指示灯将变为绿色。如果口令不匹配,指示灯将保持红色。

  8. 要使用 SSL,请单击使用 SSL 框来选择它,然后在文本框中键入“证书存储区”口令。

    注意: MVP 管理员可以通过在导入第一个信任的证书之前输入口令来保护他们的“证书存储区”口令。

  9. 单击下一步

  10. 从列表中选择一个证书,或单击导入来导入一个新证书。

  11. 单击完成

  12. 让用户访问 MVP 并输入他们用于公司本地网络的用户 ID 和口令。MarkVision 服务器将访问公司的 LDAP 服务器目录服务并通过 SSL 保护的简单绑定来验证用户注册。

使用安全 LDAP 验证创建用户帐户

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择用户帐户和组

  2. 单击添加

  3. 为“帐户名称”框中的用户 ID 键入现有的网络登录信息。

    注意: 此 ID 必须与 LDAP 数据库中存在的用户 ID 相匹配。

  4. 让口令字段留空。

    注意: 因为当用户登录时将使用 LDAP 进行验证,所以不需要或不允许输入口令。

  5. 单击使用 LDAP 服务器/Kerberos KDC 验证框来选择它,然后从“验证机制”下拉列表中选择安全

  6. 单击下一步

  7. 在“Kerberos 设置”文本框中输入 Kerberos 服务器的信息:

    • KDC IP/主机名-输入 Kerberos 服务器(Kerberos 密钥分发中心)的主机名或 IP 地址。

    • -输入 Kerberos 域或包括所有被用于在网络上识别域的组件的域名;例如,camelot.ap.england.com。

    • 用户名-输入用于 MVP 服务器的 LDAP 帐户的用户名。

      注意: 当使用 Kerberos LDAP 验证时,根据 Kerberos 配置,可能必需关联的 MarkVision 服务器帐户。如需有关用于 Kerberos 的 MarkVision 服务器帐户的信息,请参阅 Kerberos 文档。

    • 口令确认口令-当两个口令相同时,指示灯将变为绿色。如果口令不匹配,指示灯将保持红色。

  8. 单击完成

设置服务器通信安全性

设置服务器通信安全性包括:

在 MVP 主屏幕上,使用“所有任务”列表中的“管理设置”任务来设置服务器通信安全口令和服务器到设备的安全性。

设置服务器通信安全口令

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择管理设置

  2. 选择对话顶部的通信安全选项卡。

  3. 单击通信口令

  4. 当出现提示时,单击来继续操作。

  5. 在“新建口令”框中键入新的口令。

    注意: 如果没有分配口令,请将“旧口令”框留空。

  6. 通过再次键入来确认口令。

    注意: 当两个口令相匹配时,指示灯将变为绿色;如果口令不匹配,它将保持为红色。

  7. 单击应用

设置服务器通信安全级别

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择管理设置

  2. 在对话框的顶部选择通信安全选项卡。

  3. 移动滑块来指示期望的服务器通信安全级别。

    服务器通信安全包含四个安全级别:

    服务器安全级别

    影响

    允许安全和不安全两种通信

    仅当设备有能力并被锁定时,通信是安全的。大多数其他通信是不安全的,敏感信息除外(例如通信口令,或扫描和复印页计数)。即使设备未被锁定,敏感信息也总是通过加密通道进行传输。

    注意: 高级设备不支持“安全 - 打印机锁定”任务。如需更多信息,请参阅概述

    安全特性不可用。

    被锁定的设备将不会被发现。


    注意: MarkVision 服务器安全级别显示在 MarkVision Professional 主屏幕的右下角。

  4. 单击应用,然后单击确定

    注意: 此设置立即生效,并且不要求服务重新启动。

选择服务器到客户安全

“管理设置”对话上的“通信安全”选项卡向管理员提供将 SSL 用于 MarkVision 服务器和 MarkVision 客户之间通信的选项。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择管理设置

  2. 单击对话顶部的通信安全选项卡。

  3. 选择将 SSL 用于服务器-客户通信复选框来启用 SSL 通信。

  4. 单击应用,然后单击确定

    5. 注意: 当下一次客户连接到 MarkVision 服务器时,将使用 SSL。当前会话将不受影响。

禁用或保护设备的远程管理

MarkVision Professional 允许管理员保护或禁用某些较新设备上的远程管理。保护设备上的远程管理要求将安全模板应用到“远程管理”访问控制。

对于创建新的安全模板的用户,设置访问控制来禁用远程管理的过程包括三个步骤。如需完全禁用远程管理的指导,请跳至“第 3 步:为设备配置‘远程管理’访问控制”。

注意: 禁用远程管理将有效地终止选定设备和 MVP 服务器之间的通信。虽然在寻找之后设备将出现在设备列表中,但 MVP 可能不能确定它的性能和/或特性,因为设备自身将阻止此类数据被读取。

第 1 步:创建组建模块

MVP 支持七个组建模块:口令、PIN 码、内部帐户、Kerberos、NTLM、LDAP 和 LDAP + GSSAPI。组建模块是用于创建安全模板的基本元素。下列步骤描述了如何创建一个 PIN 码的组建模块,但其他六个组建模块中的任何一个都一样易于使用。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择安全 - PIN 码

  2. 使用“快速查找”或“文件夹”选项卡选择设备。

    使用 Ctrl + 单击Shift + 单击来选择多个设备。

    注意: 当一个 MVP 管理的设备不被特定任务支持时,它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

  3. 单击添加

  4. 在“PIN 设置”对话中输入名称和 PIN 码。

  5. 单击确定

第 2 步:创建安全模板

一旦被配置,一个或两个组建模块能够与最多 128 个字符的唯一名称组合来创建一个安全模板。每个设备最多可支持 140 个安全模板。尽管安全模板的名称必须相互不同,但是组建模块和安全模板可以共享一个名称。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择安全 - 安全模板

  2. 使用“快速查找”或“文件夹”选项卡选择设备。

    使用 Ctrl + 单击Shift + 单击来选择多个设备。

    注意: 当一个 MVP 管理的设备不被特定任务支持时,它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

  3. 单击添加

  4. 键入安全模板的名称,然后从“验证设置”列表中选择适当的组建模块。

  5. 单击确定

第 3 步:为设备配置“远程管理”访问控制

在限制从 MVP Server 对设备的访问过程中的最后一步将安全模板应用到“远程管理”访问控制,或者完全禁用它。

注意: 这只禁用远程主机软件管理(MarkVision Professional),而不禁用设备的“内嵌的 Web 服务器”。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择安全 - 访问控制

  2. 使用“快速查找”或“文件夹”选项卡选择设备。

    使用 Ctrl + 单击Shift + 单击来选择多个设备。

    注意:

    • 当一个 MVP 管理的设备不被特定任务支持时,它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。
    • 必须在每一个选定设备上安装相同的安全模板,才能同时在多个设备上禁用“远程管理”。

  3. 从“远程管理”下拉列表中选择新创建的安全模板,然后单击应用

    注意: 要为设备禁用远程管理,请从“远程管理”下拉列表中选择禁用,然后单击应用

同步设备通信口令

为使 MVP 安全地管理设备,服务器和每个被管理的设备必须使用相同的口令。同步设备口令将设备的通信口令设置为与服务器使用的口令相同。

注意: 口令通过加密的数据通道进行设置。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择安全 - 通信口令

  2. 使用“快速查找”或“文件夹”选项卡选择设备。

    使用 Ctrl + 单击Shift + 单击来选择多个设备。

    注意: 当一个 MVP 管理的设备不被特定任务支持时,它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

  3. 同步或删除设备口令。

    • 要使设备通信口令与 MarkVision 服务器同步:

      1. 单击与服务器同步

      2. 单击

    • 要使设备通信口令与新的服务器口令同步:

      1. 单击与服务器同步

      2. 从“确认与服务器同步”对话,单击复选框来确认同步。

      3. 单击

      4. 键入旧的服务器通信口令。

      5. 键入新的服务器通信口令。

      6. 再次键入新口令来确认它。

      7. 单击确定,然后单击

    • 要删除设备通信口令:

      1. 单击删除口令

      2. 确认设备未被锁定。

    注意: 不能安全通信的设备在结果区域显示为带有黑色中划线。

通过锁定来保护打印机通信

“打印机锁定”任务允许用户强制一个或多个支持的设备只通过安全通道进行通信。它启用设备上的防火墙,关闭大多数网络端口,如 HTTP、SNMP 和 FTP。只有安全端口将保持开放。“打印机锁定”任务在支持组建模块和安全模板的设备上不可用。

  1. 在 MarkVision Professional 主屏幕上,从“所有任务”列表中选择安全 - 打印机锁定

  2. 使用“快速查找”或“文件夹”选项卡选择设备。

    使用 Ctrl + 单击Shift + 单击来选择多个设备。

    注意: 当一个 MVP 管理的设备不被特定任务支持时,它的名称在“快速查找”或“文件夹”选项卡上将显示为带有黑色中划线。口令保护的网络设备显示为红色。输入设备口令来获取对设备的访问。

  3. 选择锁定复选框来锁定设备。

    要取消设备锁定,请清除锁定复选框。

注意: 当启用“打印机锁定”选项时,“常规文件下载”和“打印机资源”任务将不可用。

查看加密的硬盘驱动器

一些支持的设备包含加密的硬盘驱动器,以保护保存在设备上的信息。MVP 允许从硬盘驱动器检索信息,而不妨碍设备的安全。如果设备有加密的硬盘驱动器,并通过安全通道进行通信,管理员可以使用“存储设备”任务来查看驱动器。作为预防措施,如果硬盘驱动器被加密,但设备通信不安全,任务将不显示硬盘驱动器信息。虽然 MVP 能够查看加密的硬盘驱动器,但 MVP 将不允许用户更改设备的加密。