Skip to main content

Из Aladdin JMS

Миграция данных не изменяет базу JMS, состояние и содержимое устройств после переноса не изменится. Для перенесенных устройств и сертификатов в Indeed CM доступен полный набор действий (выпуск, отзыв, обновление содержимого и т.д.).

Утилита миграции переносит в Indeed CM следующие данные устройств:

  • модель;
  • форм фактор;
  • состояние;
  • метка;
  • PIN-код администратора;
  • ключевая информация для JMS-коннектора MS PKI (9C66741E-E5B1-40E3-B047-9A2D598CA913):
    • выпущенные на УЦ;
    • отслеживаемые (выпущены на стороннем УЦ).
  • связь с пользователем.
caution

Для JaCarta PKI/ГОСТ информация о ГОСТ-апплете не импортируется. В Indeed CM будут возможны операции только с PKI-областью устройства.

info

В Indeed CM не переносятся следующие сведения:

  • метки АМДЗ Аккорд;
  • сертификаты Валидата УЦ;
  • сертификаты КриптоПро УЦ.

Если такие данные есть на устройстве, то они не будут отображаться в Indeed CM после переноса, но остаются на устройстве.

Предварительные условия

Миграция данных возможна при соблюдении условий:

  • С сервера JMS, на котором выполняется запуск утилиты миграции, есть сетевой доступ к серверу с базой данных Indeed CM.
  • Каталог пользователей Indeed CM совпадает с каталогом пользователей JMS. Путь к каталогу пользователей задается в разделе Каталог пользователей Мастера настройки Indeed CM.
  • В разделе КонфигурацияТипы устройств Indeed CM добавлены все типы устройств jaCarta, которые используются в JMS.
  • В Indeed CM доступно достаточное количество свободных лицензий: в разделе КонфигурацияЛицензии есть действующая лицензия на достаточное количество пользователей.
  • Для всех пользователей, устройства которых будут переноситься из JMS, должны быть назначены политики использования устройств в Indeed CM.
  • В политиках Indeed CM настроены те же УЦ и те же шаблоны сертификатов, что и в JMS.

Создание политики использования устройств

Indeed Certificate Manager использует механизм политик выпуска устройств пользователям. Каждая политика содержит в себе параметры работы с устройством: перечень УЦ и шаблонов сертификатов, требования к установке PIN-кодов, перечень действий с устройством доступных пользователю и т.д.

Каждая политика имеет свою область действия. Для каталога пользователей Indeed CM в Active Directory это:

  • Домен (Domain);
  • Контейнер (Container);
  • Подразделение (Organizational Unit).

Всем пользователям, расположенным в объекте действия политики, будут выпускаться устройства с определенными в политике параметрами. Действие политики может распространяться как на весь объект (домен, контейнер или подразделение), так и на отдельные группы пользователей в составе объекта. Если пользователь попадает под область действия нескольких политик выпуска устройств (например, состоит в двух группах, расположенных в одном OU), то на пользователя будет действовать политика с большим приоритетом.

Перед миграцией данных из JMS необходимо заранее создать одну или несколько политик использования устройств в Indeed CM.

caution

Такая политика должна обязательно содержать те же самые УЦ и шаблоны, которые использовались для выпуска сертификатов в JMS.

В результате миграции данных из JMS все пользователи, обладающие токенами и сертификатами, попадут под действие ранее созданных политик Indeed CM.

Процесс миграции

Чтобы мигрировать данные, выполните следующие действия:

  1. Настройте файл конфигурации утилиты миграции.
  2. Запустите утилиту миграции.

Настройка файла конфигурации утилиты миграции

Для работы утилиты заполните файл конфигурации IndeedCM.Migrate.JMS.exe.config, находящийся в каталоге с утилитой.

  1. Заполните параметры в секции <migrateJMSSettings>:
  • operatorTokenPin - PIN-код администратора устройства, на котором записан сертификат оператора JMS. Необходим для монтирования криптохранилища JMS.
  • notIssuedTokenAdminPin - если ключевой носитель в JMS находится в состоянии Зарегистрирован и ни разу не выпускался, то в этом параметре задается PIN-код администратора, который будет установлен на устройстве после его переноса в Indeed CM.
  • issuedTokenAdminPin - если ключевой носитель в JMS находится любом другом состоянии и выпускался без инициализации, то в параметре задается PIN-код администратора, который будет установлен на устройстве после его переноса в Indeed CM.
  1. В секции <sqlPersistenceSettings> заполните параметры подключения к базе данных Indeed CM. Всю секцию можно перенести из файла конфигурации Web.config веб-приложения mc (Консоль управления).
  2. В секции <adUserCatalogSettings> заполните параметры подключения к каталогу пользователей. Всю секцию можно перенести из файла конфигурации Web.config веб-приложения mc (Консоль управления).
caution

Секции sqlPersistenceSettings и adUserCatalogSettings должны быть в расшифрованном виде. Для расшифровки секций используйте файл decryptConfigsSQL_AKEAgent.bat из дистрибутива сервера Indeed CM, каталог ..\Misc\EncryptConfigs. Запустите файл на сервере Indeed CM в командной строке, запущенной от имени администратора, и дождитесь завершения расшифровки. Для шифрования используйте файл encryptConfigsSQL_AKEAgent.bat.

Работа с утилитой IndeedCM.Migrate.JMS.exe

Запустите утилиту IndeedCM.Migrate.JMS.exe на сервере JMS в командной строке, запущенной от имени администратора.

Для работы с резервной копией базы данных JMS необходимо прописать в реестре сервера JMS путь к копии рабочей базы данных.

По умолчанию строка подключения к базе хранится в значении параметра ConnectionString в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\Enterprise Application Platform Server\JaCarta Management System\default\DatabaseManager].