Zextras Mobile Client Access Control with ABQ/pt

From ZeXtras Suite Wiki

Jump to: navigation, search
Língua: English  • español • português
ZxMobile logo box.png
Available since ZeXtras version: 1.10
Latest Version: 2.12.2
Released on: January 2nd, 2019
Compatibility List
Admin Guide
FAQ
Troubleshooting
Device List
ZspMobile logo box.png

Função ABQ do Zextras Mobile

A função ABQ (Allow/Block/Quarentine ou "Permitir/Bloquear/Quarentena") permite o controle de acesso granular de dispositivos móveis que se conectam ao servidor. É um tipo de recurso de segurança "preventivo", o que significa que ele atua na primeira conexão com o servidor e foi projetado para garantir que apenas dispositivos autorizados possam concluir a sincronização com o servidor. Isso permite que um administrador completo rastreie todos os dispositivos móveis usados em sua rede. Atualmente, essa funcionalidade só pode ser gerenciada por meio de comandos, mas estamos trabalhando para incorporá-la ao console de administração do Zimbra.

{{WarningBoxxy/pt|Esta é uma funcionalidade avançada e qualquer configuração incorreta pode tornar os clientes incapazes de sincronizar. Leia a documentação cuidadosamente e planeje a implementação desta função de acordo com suas necessidades.

Componentes

A função ABQ é composta por três componentes lógicos principais:

  • Uma lista de controle de dispositivos
  • Um motor de autorização
  • Um conjunto de ferramentas CLI

Lista de controle de dispositivos

A lista de controle de dispositivos, também conhecida como "ABQ List", contém as informações sobre os dispositivos permitidos no motor de configuração do NG. Os dispositivos podem ser adicionados à lista de controle de dispositivos via CLI com base no "ID do dispositivo" que pode ser obtido por meio do CLI.

Nota Ao iniciar o módulo, se a lista de controle de dispositivos estiver vazia, todos os dispositivos móveis previamente reconhecidos pelo servidor Zimbra serão importados como permitidos.

Mecanismo de autorização

O mecanismo de autorização é responsável por verificar os dispositivos com a lista de controle de dispositivos e por definir seu status de ABQ para o valor apropriado.

Ferramentas CLI

O kit de ferramentas CLI permite que os administradores interajam com a lista de controle do dispositivo e o status de sincronização de um dispositivo, especificamente para:

Mostrar lista de controle de dispositivos

  • Mostrar todos os dispositivos em quarentena e bloqueados
  • Adicione um ou mais dispositivos à lista de controle de dispositivos
  • Mover um dispositivo de "Quarentena" para "Permitido" ou "Bloqueado"
  • Altere o status de sincronização de um dispositivo.

Cada vez que o administrador alterar o status de um dispositivo em um ambiente ABQ habilitado, dependendo do estado emitido, o dispositivo será forçado a re-sincronizar as pastas com o servidor, o que resultará em uma nova rota para uma caixa de correio virtual fictícia que explicará ao usuário o acontecido, ou para a caixa de correio real para realizar uma nova sincronização.

Modos ABQ

A função ABQ é ativada para cada dispositivo móvel que tenta sincronizar com o servidor e pode ser configurado em um dos quatro modos possíveis: "Permissivo", "Interativo", "Estrito" e "Desativado". Este atributo é global para todo o cluster.

"Modo permissivo": O mecanismo de autorização não está ativo, portanto, depois de autenticar o usuário e verificar o status de sua conta por motivos de segurança, a sincronização continuará. Ainda é possível bloquear dispositivos específicos, mas dispositivos não bloqueados sempre podem ser sincronizados.

Modo interativo : Depois de autenticar o usuário e verificar o status de sua conta por motivos de segurança, o sistema de controle do dispositivo verificará o "ID do dispositivo" enviado pelo dispositivo em relação à lista de dispositivos permitidos:

  • Se o dispositivo estiver na lista "permitido", a sincronização continuará.
  • Se o dispositivo não estiver na lista "permitido", a sincronização se detém, um e-mail fictício irá notificar o usuário o status de "quarentena" e a conexão será estabelecida no estado de "quarentena".

Os administradores podem ser notificados em intervalos regulares e cada email de notificação incluirá apenas os novos dispositivos em quarentena. Em seguida, eles podem permitir ou negar a sincronização para cada dispositivo usando as ferramentas CLI apropriadas.

Modo estrito : Depois de autenticar o usuário e verificar o status de sua conta por motivos de segurança, o sistema de controle de dispositivos verificará a "ID do dispositivo" enviada pelo dispositivo com relação à lista de dispositivos permitidos:

  • Se o dispositivo estiver na lista "permitido", a sincronização continuará
  • Se o dispositivo não estiver na lista "permitido", a sincronização entrará en estado "bloqueado", os dados não serão sincronizados e um e-mail fictício irá notificar o usuário o status "bloqueado" do dispositivo.

"Desativado": Se o ABQ estiver desativado, as verificações não serão ativadas e nenhuma política será aplicada.

Controle de modo ABQ

O modo atual se pode verificar executando o seguinte comando:

 zxsuite config global get attribute abqMode

O modo ABQ se pode modificar executando o seguinte comando:

 zxsuite config global set attribute abqMode value [Permissive|Interactive|Strict|Disabled]

Datos ficticios

A função usa "e-mails fictícios" e uma "caixa de correio fictícia" para colocar os dispositivos em espera enquanto se espera a autorização (modo Interativo) ou para notificar seu status "Bloqueado" (modo Permissivo, modo Interativo e modo Estrito). A caixa de correio fictícia é uma caixa de correio virtual que consiste em apenas uma pasta "Caixa de entrada" que será sincronizada com o dispositivo enquanto ele estiver no estado de Quarentena ou Bloqueio. E-mails fictícios são mensagens de e-mail pré-definidas que são sincronizadas com um dispositivo em estado de quarentena ou bloqueio para alertar ao usuário. Por enquanto, essas mensagens não são personalizáveis e serão localizadas no futuro. Toda vez que o status ABQ de um dispositivo é alterado, o status de sincronização do dispositivo será redefinido.

Isso foi projetado para garantir que o usuário saiba o que está acontecendo, a alternativa é forçar a sincronização para falhar sem uma resposta descritiva para o usuário, o que provavelmente causaria uma sobrecarga significativa nas chamadas de suporte.

Notificações

Os administradores podem receber notificações por email de dispositivos em quarentena em um intervalo específico definido pelo atributo de configuração do NG abqNotificationsInterval, expresso em milissegundos:

O intervalo pode ser verificado executando o seguinte comando:

 zxsuite config global get attribute abqNotificationsInterval

O intervalo se pode alterar executando o seguinte comando:

 zxsuite config global set attribute abqNotificationsInterval value [delay in milliseconds]

De forma predeterminada, abqNotificationsInterval se estabelece em 0, o que significa que não se entregarão notificações.

Estado do serviço ABQ

O estado do serviço ABQ se pode verificar executando o seguinte comando:

 zxsuite mobile getServices

O servicio se puede parar ou iniciar usando o controle de serviço predeterminado do módulo Zextras Mobile:

 zxsuite mobile DoStartService abq
 zxsuite mobile doStopService abq

Quando o modo for desabilitado, o serviço ABQ não se iniciará automáticamente e os dispositivos sempre se podem sincronizar.

CLI de ABQ

Uma lista de todos os comandos da ABQ CLI pode ser exibida executando:

$ zxsuite mobile abq

Permitir/bloquear/pôr em quarentena o gerenciamento de de dispositivos móveis

    list                    - Listar dispositivos.
                              zxsuite mobile ABQ list [attr1 value1 [attr2 value2...]]

    add                     - Adicionar/importar dispositivos
                              zxsuite mobile ABQ add [attr1 value1 [attr2 value2...]]

    allow                   - Permitir sincronização para um dispositivo em quarentena
                              zxsuite mobile ABQ allow {device_id}

    block                   - Denegar a sincronização para um dispositivo em quarentena
                              zxsuite mobile ABQ block {device_id}

    set                     - Estabelecer o estado de sincronização para um dispositivo
                              zxsuite mobile ABQ set {device_id} {Allowed|Blocked|Quarantined}

    delete                  - Excluir dispositivo em ABQ
                              zxsuite mobile ABQ delete {device_id}

    setNotificationInterval - Estabelecer o intervalo de notificação para os novos dispositivos ingressados em cuarentena
                              zxsuite mobile ABQ setNotificationInterval {45m|6h|1d|0}

Comando "list"

Lista o status de todos os dispositivos. O argumento "status" irá filtrar a lista para mostrar apenas os dispositivos nesse estado. O argumento "status" filtrará a lista para mostrar apenas os dispositivos nesse status específico.

$ zxsuite mobile abq list
Lista dispositivos

Sintaxe:
   zxsuite mobile ABQ list [attr1 value1 [attr2 value2...]]


LISTA DE PARÁMETROS

NOME        TIPO    VALORES ESPERADOS
status(O)   String  Allowed|Blocked|Quarantined

(M) == parametro obrigatório, (O) == parámetro opcional
Exemplo:

[zimbra@mail ~]$ zxsuite mobile abq list

        dispositivos

                device_id   androidc133785981
                status      Quarantined

                device_id   androidc1024711770
                status      Blocked

                device_id   SAMSUNG1239862958
                status      Allowed

Comando "import"

Esse comando importa uma lista de IDs de dispositivos de um arquivo, e requer sempre dois parâmetros: um arquivo de entrada com a lista de IDs de dispositivos separados por uma nova linha e o "status" ao qual os dispositivos serão definido(s).

$ zxsuite mobile abq import
o comando "import" requer mais parámetros

Sintaxe:
    zxsuite mobile ABQ import {Path to file} {Allowed|Blocked|Quarantined}

LISTA DE PARÁMETROS

NOME            TIPO        VALORES ESPERADOS
input_file(M)   String      Path to file
status(M)       String      Allowed|Blocked|Quarantined

(M) == parametro obrigatório, (O) == parámetro opcional

Exemplo de uso:

zxsuite mobile ABQ import /path/to/file Allowed
Exemplo:

[zimbra@mail ~]$ zxsuite mobile abq import /tmp/list Allowed
3 dispositivos adicionados

[zimbra@mail ~]$ cat /tmp/list
androidc133785981
androidc1024711770
SAMSUNG1239862958

Comando "allow"

Este é um comando específico para dispositivos em quarentena e define seu status para Permitido.

$ zxsuite mobile abq allow
Permite a sincronização para um dispositivo em quarentena

Sintaxe:
    zxsuite mobile ABQ allow {device_id}

LISTA DE PARÁMETROS

NOME            TIPO
device_id(M)    String

(M) == parametro obrigatório, (O) == parámetro opcional

Comando "block"

Este é um comando específico para dispositivos em quarentena e estabelece o status do mesmo em Bloqueado.

$ zxsuite mobile abq block
Denega a sincronização para um dispositivo em quarentena

Sintaxe:
    zxsuite mobile ABQ block {device_id}

LISTA DE PARÁMETROS

NOME            TIPO
device_id(M)    String

(M) == parametro obrigatório, (O) == parámetro opcional

Comando "set"

Estabelece qualquer estado para o mesmo dispositivo (conhecido ou não).

$ zxsuite mobile abq set
Estabelece o estado de sincronização para um dispositivo

Sintaxe:
    zxsuite mobile ABQ set {device_id} {Allowed|Blocked|Quarantined}

LISTA DE PARÁMETROS

NOME            TIPO        VALORES ESPERADOS
device_id(M)    String
status(M)       String      Allowed|Blocked|Quarantined

(M) == parametro obrigatório, (O) == parámetro opcional

Comando "delete"

Exclui um dispositivo de todas as listas.

$ zxsuite help mobile abq delete
Excluid o dispositivo em ABQ

Sintaxe:
    zxsuite mobile ABQ delete {device_id}

LISTA DE PARÁMETROS

NOME            TIPO
device_id(M)    String

(M) == parametro obrigatório, (O) == parámetro opcional

Comando "setNotificationInterval"

Define o intervalo de notificação para novos dispositivos em quarentena.

$ zxsuite mobile abq setNotificationInterval
O comando setNotificationInterval requer mais parámetros

Sintaxe:
    zxsuite mobile ABQ setNotificationInterval {45m|6h|1d}

LISTA DE PARÁMETROS

NOME            TIPO        VALORES ESPERADOS
interval(M)     String      45m|6h|1d

(M) == parametro obrigatório, (O) == parámetro opcional

Ejemplo de uso:

Estabelecer notificação para um novo dispositivo em quarentena a cada 45 minutos
    zxsuite mobile abq setNotificationInterval 45m
Estabelecer notificação para um novo dispositivo em quarentena a cada 6 horas
    zxsuite mobile abq setNotificationInterval 6h
Estabelecer notificação para um novo dispositivo em quarentena 1 vez ao dia
    zxsuite mobile abq setNotificationInterval 1d
Desabilitar notificações de novos dispositivos em quarentena
    zxsuite mobile abq setNotificationInterval 0
Personal tools