Zextras Mobile Client Access Control with ABQ/es

From ZeXtras Suite Wiki

Jump to: navigation, search
Idioma: English  • español • português
ZxMobile logo box.png
Available since ZeXtras version: 1.10
Latest Version: 2.12.2
Released on: January 2nd, 2019
Compatibility List
Admin Guide
FAQ
Troubleshooting
Device List
ZspMobile logo box.png

Funcionalidad ABQ de Zextras Mobile

La función ABQ (del inglés Allow/Block/Quarantine o "Permitir/Bloquear/Cuarentena") permite el control de acceso granular de dispositivos móviles que se conectan al servidor. Es un tipo de función de seguridad "preventiva", lo que significa que actúa en la primera conexión con el servidor y está diseñada para garantizar que solo los dispositivos autorizados puedan finalizar la sincronización con el servidor. Esto permite a un administrador completo realizar un seguimiento de todos los dispositivos móviles utilizados en su red. Actualmente esta funcionalidad solo se puede administrar a través de comandos, pero estamos trabajando para incorporarlo en la consola de administración de Zimbra.

Warning.png ¡Atención!

Esta es una funcionalidad avanzada, y cualquier configuración errónea puede hacer que los clientes no puedan sincronizarse. Lea la documentación detenidamente y planifique la implementación de esta función de acuerdo con sus necesidades.

Componentes

La función ABQ se compone de tres componentes lógicos principales:

  • Una lista de control de dispositivos
  • Un motor de autorización
  • Un conjunto de herramientas CLI

Lista de control del dispositivo

La Lista de control de dispositivos, también conocida como "Lista ABQ", contiene la información sobre los dispositivos permitidos dentro del motor de configuración de NG. Los dispositivos se pueden agregar a la Lista de control de dispositivos a través de CLI en función de su "ID de dispositivo" que se puede obtener a través de CLI.

Nota Al iniciar el módulo, si la Lista de control de dispositivos está vacía, todos los dispositivos móviles reconocidos previamente por el servidor Zimbra se importarán como Permitidos

Motor de autorización

El motor de autorización se encarga de verificar los dispositivos con la lista de control de dispositivos y de establecer su estado ABQ en el valor apropiado.

Conjunto de herramientas CLI

El conjunto de herramientas CLI permite a los administradores interactuar con la lista de control del dispositivo y con el estado de sincronización de un dispositivo, específicamente para:

Mostrar la lista de control del dispositivo

  • Mostrar todos los dispositivos en cuarentena y bloqueados
  • Agregar uno o más dispositivos a la lista de control de dispositivos
  • Mover un dispositivo de "Cuarentena" a "Permitido" o "Bloqueado"
  • Cambiar el estado de sincronización de un dispositivo.

Cada vez que el administrador cambia el estado de un dispositivo en un entorno habilitado para ABQ, dependiendo del estado emitido, el dispositivo se verá obligado a volver a sincronizar las carpetas con el servidor, lo que dará como resultado una nueva ruta a un buzón virtual ficticio que explicará al usuario lo que sucedió, o al buzón real para realizar la nueva sincronización.

Modos ABQ

La función ABQ se activa para cada dispositivo móvil que intenta sincronizarse con el servidor y se puede configurar en uno de los cuatro modos posibles: "Permisivo", "Interactivo", "Estricto" y "Deshabilitado". Este atributo es Global para todo el cluster.

Modo "permisivo": El motor de autorización no está activo, por lo que después de autenticar al usuario y verificar el estado de su cuenta por razones de seguridad, la sincronización continuará. Todavía es posible bloquear dispositivos específicos, pero los dispositivos no bloqueados siempre podrán sincronizarse.

"Modo interactivo: Después de autenticar al usuario y verificar el estado de su cuenta por razones de seguridad, el sistema de control del dispositivo verificará la "ID del dispositivo" enviada por el dispositivo contra la lista de dispositivos permitidos:

  • Si el dispositivo está en la lista "permitida", la sincronización continuará.
  • Si el dispositivo no está en la lista "permitida", la sincronización se pausará, se enviará un correo electrónico ficticio que notificará al usuario su estado de "cuarentena" y la conexión se establecerá en el estado de "cuarentena".

Se puede notificar a los administradores a intervalos regulares, y cada correo electrónico de notificación solo incluirá los nuevos dispositivos en cuarentena. Entonces podrán permitir o denegar la sincronización para cada dispositivo utilizando las herramientas CLI adecuadas.

"Modo estricto: Después de autenticar al usuario y verificar el estado de su cuenta por razones de seguridad, el sistema de Control del dispositivo verificará la "ID del dispositivo" enviada por el dispositivo contra la lista de dispositivos permitidos:

  • Si el dispositivo está en la lista "permitida", la sincronización continuará
  • Si el dispositivo no está en la lista "permitida", la sincronización se pondrá en estado "Bloqueado", no se sincronizarán los datos y se enviará un correo electrónico ficticio que notificará al usuario el estado "Bloqueado" del dispositivo.

"Deshabilitado: Si ABQ está deshabilitado, no se activan las comprobaciones y no se aplican políticas.

Control de modo ABQ

El modo actual se puede verificar ejecutando el siguiente comando:

 zxsuite config global get attribute abqMode

El modo ABQ se puede cambiar ejecutando el siguiente comando:

 zxsuite config global set attribute abqMode value [Permissive|Interactive|Strict|Disabled]

Datos ficticios

La función utiliza "correos electrónicos ficticios" y un "buzón ficticio" para poner los dispositivos en espera mientras se espera la autorización (Modo interactivo) o para notificar su estado "Bloqueado" (Modo permisivo, Modo interactivo y Modo estricto). El buzón ficticio es un buzón virtual que consiste solo en una carpeta de "Bandeja de entrada" que se sincronizará con el dispositivo mientras se encuentre en estado de cuarentena o Bloqueo. Los correos electrónicos ficticios son mensajes de correo electrónico predefinidos que se sincronizan con un dispositivo en estado de cuarentena o bloqueo para alertar al usuario. Por ahora, estos mensajes no son personalizables y serán localizados en el futuro. Cada vez que se cambia el estado ABQ de un dispositivo, el estado de sincronización del dispositivo se restablecerá.

Esto fue diseñado para asegurar que el usuario sepa lo que está sucediendo, la alternativa es forzar la sincronización para que falle sin una respuesta descriptiva para el propio usuario, lo que probablemente causaría una sobrecarga significativa en las llamadas de soporte.

Notificaciones

Los administradores pueden recibir notificaciones por correo electrónico de los dispositivos en cuarentena en un intervalo específico definido por el atributo de configuración NG abqNotificationsInterval, expresado en milisegundos:

El intervalo se puede verificar ejecutando el siguiente comando:

 zxsuite config global get attribute abqNotificationsInterval

El intervalo se puede cambiar ejecutando el siguiente comando:

 zxsuite config global set attribute abqNotificationsInterval value [delay in milliseconds]

De forma predeterminada, abqNotificationsInterval se establece en 0, lo que significa que no se entregarán notificaciones.

Estado del servicio ABQ

El estado del servicio ABQ se puede verificar ejecutando el siguiente comando:

 zxsuite mobile getServices

El servicio se puede detener o iniciar usando el control de servicio predeterminado del módulo Zextras Mobile:

 zxsuite mobile DoStartService abq
 zxsuite mobile doStopService abq

Cuando el modo está deshabilitado, el servicio ABQ no se inicia automáticamente y los dispositivos siempre se pueden sincronizar.

CLI de ABQ

Se puede mostrar una lista de todos los comandos de ABQ CLI ejecutando:

$ zxsuite mobile abq

Permitir/bloquear/poner en cuarentena la gestión de dispositivos móviles

    list                    - Listar dispositivos.
                              zxsuite mobile ABQ list [attr1 value1 [attr2 value2...]]

    add                     - Agregar/importar dispositivos
                              zxsuite mobile ABQ add [attr1 value1 [attr2 value2...]]

    allow                   - Permitir sincronización para un dispositivo en cuarentena
                              zxsuite mobile ABQ allow {device_id}

    block                   - Denegar la sincronización para un dispositivo en cuarentena
                              zxsuite mobile ABQ block {device_id}

    set                     - Establecer el estado de sincronización para un dispositivo
                              zxsuite mobile ABQ set {device_id} {Allowed|Blocked|Quarantined}

    delete                  - Borrar dispositivo en ABQ
                              zxsuite mobile ABQ delete {device_id}

    setNotificationInterval - Establecer el intervalo de notificación para los nuevos dispositivos puestos en cuarentena
                              zxsuite mobile ABQ setNotificationInterval {45m|6h|1d|0}

Comando "list"

Lista el estado de todos los dispositivos. El argumento "status" filtrará la lista para así mostrar solamente dispositivos en ese estado

The "status" argument will filter the list in order to only show devices in that specific status.
$ zxsuite mobile abq list
Lista dispositivos

Sintaxis:
   zxsuite mobile ABQ list [attr1 value1 [attr2 value2...]]


LISTA DE PARAMETROS

NOMBRE        TIPO    VALORES ESPERADOS
status(O)   String  Allowed|Blocked|Quarantined

(M) == parametro obligatorio, (O) == parametro opcional
Ejemplo:

[zimbra@mail ~]$ zxsuite mobile abq list

        dispositivos

                device_id   androidc133785981
                status      Quarantined

                device_id   androidc1024711770
                status      Blocked

                device_id   SAMSUNG1239862958
                status      Allowed

Comando "import"

Este comando importa una lista de IDs de dispositivos desde un archivo, y siempre requiere dos parámetros: un archivo de entrada con la lista de IDs de dispositivos separados por una línea nueva y el "status" al que el(los) dispositivo(s) será(n) seteado(s).

$ zxsuite mobile abq import
el comando "import" requiere más parámetros

Sintaxis:
    zxsuite mobile ABQ import {Path to file} {Allowed|Blocked|Quarantined}

PARAMETER LIST

NOMBRE          TIPO        VALORES ESPERADOS
input_file(M)   String      Path to file
status(M)       String      Allowed|Blocked|Quarantined

(M) == parámetro obligatorio, (O) == parámetro opcional

Ejemplo de uso:

zxsuite mobile ABQ import /path/to/file Allowed
Ejemplo:

[zimbra@mail ~]$ zxsuite mobile abq import /tmp/list Allowed
3 dispositivos agregados

[zimbra@mail ~]$ cat /tmp/list
androidc133785981
androidc1024711770
SAMSUNG1239862958

Comando "allow"

Este es un comando específico para dispositivos en cuarentena, y establece el estado del mismo a Permitido.

$ zxsuite mobile abq allow
Permite la sincronización para un dispositivo en cuarentena

Sintaxis:
    zxsuite mobile ABQ allow {device_id}

LISTA DE PARÁMETROS

NOMBRE          TIPO
device_id(M)    String

(M) == parámetro obligatorio, (O) == parámetro opcional

Comando "block"

Este es un comando específico para dispositivos en cuarentena, y establece el estado del mismo en Bloqueado.

$ zxsuite mobile abq block
Deniega la sincronización para un dispositivo en cuarentena

Sintaxis:
    zxsuite mobile ABQ block {device_id}

LISTA DE PARÁMETROS

NOMBRE          TIPO
device_id(M)    String

(M) == parámetro obligatorio, (O) == parámetro opcional

Comando "set"

Establece cualquier estado para un mismo dispositivo (conocido o no).

$ zxsuite mobile abq set
Establece el estado de sincronización para un dispositivo

Sintaxis:
    zxsuite mobile ABQ set {device_id} {Allowed|Blocked|Quarantined}

LISTA DE PARÁMETROS

NOMBRE          TIPO        VALORES ESPERADOS
device_id(M)    String
status(M)       String      Allowed|Blocked|Quarantined

(M) == parámetro obligatorio, (O) == parámetro opcional

Comando "delete"

Borra un dispositivo de todas las listas.

$ zxsuite help mobile abq delete
Borrar dispositivo de ABQ

Sintaxis:
    zxsuite mobile ABQ delete {device_id}

LISTA DE PARÁMETROS

NOMBRE          TIPO
device_id(M)    String

(M) == parámetro obligatorio, (O) == parámetro opcional

Comando "setNotificationInterval"

Establece el intervalo de notificaciones para nuevos dispositivos en cuarentena.

$ zxsuite mobile abq setNotificationInterval
El comando setNotificationInterval requiere más parámetros

Sintaxis:
    zxsuite mobile ABQ setNotificationInterval {45m|6h|1d}

LISTA DE PARÁMETROS

NOMBRE          TIPO        VALORES ESPERADOS
interval(M)     String      45m|6h|1d

(M) == parámetro obligatorio, (O) == parámetro opcional

Ejemplo de uso:

Establecer notificación para un nuevo dispositivo en cuarentena cada 45 minutos
    zxsuite mobile abq setNotificationInterval 45m
Establecer notificación de un nuevo dispositivo en cuarentena cada 6 horas
    zxsuite mobile abq setNotificationInterval 6h
Establecer notificación de dispositivos en cuarentena una vez al día
    zxsuite mobile abq setNotificationInterval 1d
Deshabilitar las notificaciones de nuevos dispositivos puestos en cuarentena
    zxsuite mobile abq setNotificationInterval 0
Personal tools