Из Aladdin JMS
Миграция данных не изменяет базу JMS, состояние и содержимое устройств после переноса не изменится. Для перенесенных устройств и сертификатов в Indeed CM доступен полный набор действий (выпуск, отзыв, обновление содержимого и т.д.).
Утилита миграции переносит в Indeed CM следующие данные устройств:
- модель;
- форм фактор;
- состояние;
- метка;
- PIN-код администратора;
- ключевая информация для JMS-коннектора MS PKI (9C66741E-E5B1-40E3-B047-9A2D598CA913):
- выпущенные на УЦ;
- отслеживаемые (выпущены на стороннем УЦ).
- связь с пользователем.
Для JaCarta PKI/ГОСТ информация о ГОСТ-апплете не импортируется. В Indeed CM будут возможны операции только с PKI-областью устройства.
В Indeed CM не переносятся следующие сведения:
- метки АМДЗ Аккорд;
- сертификаты Валидата УЦ;
- сертификаты КриптоПро УЦ.
Если такие данные есть на устройстве, то они не будут отображаться в Indeed CM после переноса, но остаются на устройстве.
Предварительные условия
Миграция данных возможна при соблюдении условий:
- С сервера JMS, на котором выполняется запуск утилиты миграции, есть сетевой доступ к серверу с базой данных Indeed CM.
- Каталог пользователей Indeed CM совпадает с каталогом пользователей JMS. Путь к каталогу пользователей задается в разделе Каталог пользователей Мастера настройки Indeed CM.
- В разделе Конфигурация→Типы устройств Indeed CM добавлены все типы устройств jaCarta, которые используются в JMS.
- В Indeed CM доступно достаточное количество свободных лицензий: в разделе Конфигурация→Лицензии есть действующая лицензия на достаточное количество пользователей.
- Для всех пользователей, устройства которых будут переноситься из JMS, должны быть назначены политики использования устройств в Indeed CM.
- В политиках Indeed CM настроены те же УЦ и те же шаблоны сертификатов, что и в JMS.
Создание политики использования устройств
Indeed Certificate Manager использует механизм политик выпуска устройств пользователям. Каждая политика содержит в себе параметры работы с устройством: перечень УЦ и шаблонов сертификатов, требования к установке PIN-кодов, перечень действий с устройством доступных пользователю и т.д.
Каждая политика имеет свою область действия. Для каталога пользователей Indeed CM в Active Directory это:
- Домен (Domain);
- Контейнер (Container);
- Подразделение (Organizational Unit).
Всем пользователям, расположенным в объекте действия политики, будут выпускаться устройства с определенными в политике параметрами. Действие политики может распространяться как на весь объект (домен, контейнер или подразделение), так и на отдельные группы пользователей в составе объекта. Если пользователь попадает под область действия нескольких политик выпуска устройств (например, состоит в двух группах, расположенных в одном OU), то на пользователя будет действовать политика с большим приоритетом.
Перед миграцией данных из JMS необходимо заранее создать одну или несколько политик использования устройств в Indeed CM.
Такая политика должна обязательно содержать те же самые УЦ и шаблоны, которые использовались для выпуска сертификатов в JMS.
В результате миграции данных из JMS все пользователи, обладающие токенами и сертификатами, попадут под действие ранее созданных политик Indeed CM.
Процесс миграции
Чтобы мигрировать данные, выполните следующие действия:
Настройка файла конфигурации утилиты миграции
Для работы утилиты заполните файл конфигурации IndeedCM.Migrate.JMS.exe.config, находящийся в каталоге с утилитой.
- Заполните параметры в секции
<migrateJMSSettings>:
operatorTokenPin- PIN-код администратора устройства, на котором записан сертификат оператора JMS. Необходим для монтирования криптохранилища JMS.notIssuedTokenAdminPin- если ключевой носитель в JMS находится в состоянии Зарегистрирован и ни разу не выпускался, то в этом параметре задается PIN-код администратора, который будет установлен на устройстве после его переноса в Indeed CM.issuedTokenAdminPin- если ключевой носитель в JMS находится любом другом состоянии и выпускался без инициализации, то в параметре задается PIN-код администратора, который будет установлен на устройстве после его переноса в Indeed CM.
- В секции
<sqlPersistenceSettings>заполните параметры подключения к базе данных Indeed CM. Всю секцию можно перенести из файла конфигурации Web.config веб-приложения mc (Консоль управления). - В секции
<adUserCatalogSettings>заполните параметры подключения к каталогу пользователей. Всю секцию можно перенести из файла конфигурации Web.config веб-приложения mc (Консоль управления).
Секции sqlPersistenceSettings и adUserCatalogSettings должны быть в расшифрованном виде. Для расшифровки секций используйте файл decryptConfigsSQL_AKEAgent.bat из дистрибутива сервера Indeed CM, каталог ..\Misc\EncryptConfigs. Запустите файл на сервере Indeed CM в командной строке, запущенной от имени администратора, и дождитесь завершения расшифровки. Для шифрования используйте файл encryptConfigsSQL_AKEAgent.bat.
Работа с утилитой IndeedCM.Migrate.JMS.exe
Запустите утилиту IndeedCM.Migrate.JMS.exe на сервере JMS в командной строке, запущенной от имени администратора.
Для работы с резервной копией базы данных JMS необходимо прописать в реестре сервера JMS путь к копии рабочей базы данных.
По умолчанию строка подключения к базе хранится в значении параметра ConnectionString в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\Enterprise Application Platform Server\JaCarta Management System\default\DatabaseManager].