Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2019/06/02 08:05] flacco [Exit Strategie] |
invis_server_wiki:administration [2019/06/02 09:09] flacco [Exit Strategie] |
||
|---|---|---|---|
| Zeile 198: | Zeile 198: | ||
| Folgende Schritte sind in diesem Fall durchzuführen: | Folgende Schritte sind in diesem Fall durchzuführen: | ||
| - | - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. | + | - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. (Administration -> Benutzer -> Löschen) |
| - | - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''inviscerts''**. Siehe unten. | + | - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''inviscerts''**. |
| + | |||
| + | Um ein VPN-Client-Zertifikat zurückzuziehen geben Sie folgendes Kommando ein: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # inviscerts vpn | ||
| + | </code> | ||
| + | |||
| + | Das Script fragt Sie nach dem Namen für den das Zertifikat ausgestellt wurde. Sie müssen diesen Namen hier exakt eingeben, da ansonsten davon ausgegangen wird, dass ein neues Zertifikat ausgestellt werden soll. | ||
| + | |||
| + | Achten Sie bitte genau auf die Abfragen des Scripts. Sie benötigen in dessen Verlauf das Passwort der CA. | ||
| Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen, da sich seine Daten auch in diversen Datensicherungen befinden dürften. | Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen, da sich seine Daten auch in diversen Datensicherungen befinden dürften. | ||
| + | Gehen wir für die nächsten Schritte davon aus, dass eine rechtsgültige Betriebsvereinbarung existiert, die den Umgang mit Mitarbeiterdaten regelt. | ||
| + | |||
| + | "Private" Datenbestände eines Benutzers befinden sich in dessen: | ||
| + | |||
| + | * **persönlichem Verzeichnis auf dem Server** | ||
| + | * **ownCloud Konto** | ||
| + | * **Email-Konto** | ||
| + | * **ggf. auf seinem Arbeitsplatz-Computer** | ||
| + | |||
| + | Besondere Überlegungen müssen bezüglich des Email-Kontos des Mitarbeiters angestellt werden. Dabei ist zunächst zu überlegen, ob der Mailbestand des Mitarbeiters für die weitere Arbeit des Unternehmens von Bedeutung sind. Ist das der Fall, muss der Mailbestand des Ausscheidenden einem anderen Mitarbeiter (seinem Nachfolger) oder seiner Abteilung zugänglich gemacht werden. | ||
| + | |||
| + | Wird Kopano als Groupware eingesetzt, bietet sich die Möglichkeit das Konto des Benutzers in einen Kopano "Shared Store" umzuwandeln und daruf Zugriffsberechtigungen zu setzen, die andere zum Zugriff berechtigt. Wird diese Vorgehensweise gewählt, darf das Benutzerkonto des Mitarbeiters nicht gelöscht werden. Dies sollte maximal eine Maßnahme für begrentzte Zeit sein. Der Mailbestand sollte gesichtet und ggf. in ein anderes Konto oder in entsprechende öffentliche Ordner überführt werden. | ||
| + | |||
| + | //**Hinweis:** Wird im Unternehmen (wie vom Gesetzgeber gefordert) ein revisionssicheres Email-Archiv betrieben, kann der Zugriff auf den Mailbestand des Mitarbeiters darüber erfolgen.// | ||
| + | |||
| + | Ist der Umgang mit dem Mailbestand geregelt bzw. abgeschlossen, kann das Benutzerkonto des ausgeschiedenen Mitarbeiters gelöscht werden. Dieser Schritt wird im invis-Portal durchgeführt. Dabei wird das persönliche Verzeichnis des Benutzers automatisch archiviert. Zu finden sind die Daten anschließend in der Freigabe "Archiv" des invis-Servers. Zugriffsberechtigt sind lediglich Mitglieder der Gruppe "Archiv". Dies sollten maximal Mitglieder der Unternehmensleitung sein. | ||
| + | |||
| + | Nach dem Löschen des Benutzerkontos bleibt der Mailbestand des Benutzers, im Falle von Kopano, als sogenannter "orphand Store" erhalten. Dieser aund andere "Datenleichen" können unter Verwendung des Scripts **''inhume''** endgültig beseitigt werden. | ||
| + | Inspizieren Sie abschließend noch den PC des Mitarbeiters auf relvenanten Daten und sichern Sie diese soweit vorhanden auf den Server. | ||
| - | to be continued... | + | Damit sind alle erforderlichen Schritte getan. |
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| Zeile 775: | Zeile 804: | ||
| * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | ||
| * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | ||
| - | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen Zertifikate mehr akzeptiert. | + | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine zurückgezogenen Zertifikate mehr akzeptiert. |
| Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | ||