HIN Client Handbuch - HIN Client
Werbung
HIN Client Handbuch Version: 2.3 Datum: 28.07.2011 Status: Final Health Info Net AG (HIN) Pflanzschulstrasse 3 8400 Winterthur [email protected] www.hin.ch Tel. 0848 830 740 Inhaltsverzeichnis 1 2 3 4 5 6 7 8 9 10 Einleitung 4 1.1 Vorwort – was ist HIN?.................................................................................... 4 1.2 Was ist der HIN Client? ................................................................................... 4 1.3 Ansprechpartner ............................................................................................. 5 1.4 Hinweise zum Dokument ................................................................................ 5 Systemkomponenten und Funktionsweise 6 2.1 Komponenten und Systemumgebung ............................................................. 6 2.2 Der HIN Client als Proxy ................................................................................. 7 Grundfunktionalitäten 10 3.1 HIN Client starten und beenden .................................................................... 10 3.2 Applikationssymbol und Kontextmenü ........................................................... 11 3.3 HIN Client Navigation .................................................................................... 12 3.4 Sicherer Zugriff auf Web-Applikationen ......................................................... 13 3.5 Sichere Übertragung von E-Mails.................................................................. 14 Installation des HIN Clients 15 4.1 Installation des HIN Clients ........................................................................... 15 4.2 Systemvoraussetzungen ............................................................................... 15 4.3 Varianten des HIN Clients ............................................................................. 16 4.4 Vorgehen für die Installation.......................................................................... 16 4.5 Erster Start des HIN Client ............................................................................ 21 4.6 Re-Installation bzw. Update des HIN Clients ................................................. 22 4.7 Deinstallation des HIN Clients ....................................................................... 23 HIN Client - Identitätsverwaltung 25 5.1 Identitätsverwaltung ...................................................................................... 25 5.2 Neuregistrierung ........................................................................................... 29 5.3 Erneuerung abgelaufener Identitätsdaten ..................................................... 30 5.4 Aktualisierung von früheren Identitäten ......................................................... 31 5.5 Übertragung von Identitäten zwischen Rechnern .......................................... 33 HIN Client – Statusprüfung 36 6.1 Die Statusprüfungs-Ansicht ........................................................................... 36 6.2 Aufruf und Nutzung der Statusprüfung .......................................................... 37 6.3 Überprüfungen .............................................................................................. 37 HIN Client – Upgrade 43 7.1 Überblick ....................................................................................................... 43 7.2 HIN Client aktualisieren................................................................................. 43 7.3 Durchführung des Upgrade ........................................................................... 44 HIN Client – Einstellungen 47 8.1 Allgemeine Einstellungen .............................................................................. 47 8.2 Browsereinstellungen .................................................................................... 48 8.3 Netzwerkeinstellungen .................................................................................. 48 Browserkonfiguration 50 9.1 Automatische Browserkonfiguration .............................................................. 50 9.2 Manuelle Browserkonfiguration ..................................................................... 51 Einrichtung von Mailkonten im Mailprogramm 54 HIN Client Handbuch © HIN 2011 Seite 2/86 10.1 Kurzfassung .................................................................................................. 54 10.2 Konfiguration von Microsoft Outlook 2003 ..................................................... 54 10.3 Konfiguration von Apple Mail......................................................................... 57 10.4 Konfiguration von Thunderbird ...................................................................... 61 11 HIN Client – Servermodus 63 11.1 Einführung .................................................................................................... 63 11.2 Linux ............................................................................................................. 65 11.3 Windows ....................................................................................................... 65 11.4 Logdatei ........................................................................................................ 67 11.5 E-Mail-Benachrichtigung ............................................................................... 68 12 HIN Client – Terminal Server Modus 69 13 Wichtige Verzeichnisse und Dateien 70 13.1 Wichtige Verzeichnisse ................................................................................. 70 13.2 Wichtige Dateien ........................................................................................... 71 13.3 Einträge in den Logdateien ........................................................................... 77 Anhang: Diverse Informationen 86 13.4 Referenzen ................................................................................................... 86 13.5 Änderungsnachweis...................................................................................... 86 HIN Client Handbuch © HIN 2011 Seite 3/86 1 Einleitung 1.1 Vorwort – was ist HIN? HIN ist die Plattform für den sicheren und datenschutzkonformen elektronischen Datenaustausch im Schweizer Gesundheitswesen. Die Plattform wird von der Health Info Net AG (HIN) betrieben. Die wichtigsten Kerndienste von HIN: - - - Secure Mail: • Datenschutzkonformer Austausch von Mails mit HIN Plattformteilnehmer • Virus-Abwehr und Spamprüfung für HIN Benutzer Sicherer Zugriff auf Webapplikationen • Sicherheitsinfrastruktur für die sichere Öffnung von Webapplikationen für externe Nutzung über das Internet • Authentisierter und datenschutzkonformer Zugriff auf Webapplikationen von Applikationsanbietern (Spitäler u.a.) • Hochwertige Benutzer-Authentisierung durch Zwei-Faktor Authentisierung mit Zertifikaten oder Einmalpasswörtern per SMS Identitäts- und Rechteverwaltung • Vertrauenswürdige Identifikation der HIN Plattformteilnehmer • Abwicklung der zugehörigen Administrations- und Support-Prozesse • Verwaltung der Benutzerrechte • Public Key Infrastruktur (PKI) Der einfachste Zugriff auf die HIN Dienste ist über den HIN Client (siehe nächstes Kapitel). Für erhöhte Mobilitätsbedürfnisse, oder wenn eine lokale Installation des HIN Clients nicht in Frage kommt, bietet HIN auch noch alternative Plattformzugänge über SMS Einmalpasswörter, die FMH-HPC und die SuisseID an. 1.2 Was ist der HIN Client? Der HIN Client ist die Zugangssoftware für einen möglichst komfortablen Zugriff auf die HIN Plattform und löst die seit Jahren im Einsatz stehende ASAS Technologie ab (ASAS Client und ASAS Sicherheitsinfrastruktur). Die Authentisierung über den HIN Client basiert auf den Zertifikaten, die durch die HIN Public Key Infrastruktur zur Verfügung gestellt werden. Dadurch wird ein sehr hohes Sicherheitsniveau erreicht. Der HIN Client ist damit die einfachste Möglichkeit auf die HIN Plattform zuzugreifen. Folgendes sind die wichtigsten Zielsetzungen, die mit dem HIN Client erreicht werden sollen: - Einfache Benutzerführung und zeitgemässes Design Komfortable Möglichkeiten zur gemeinsamen Nutzung durch mehrere HIN Teilnehmer Hohe Stabilität und Zusammenarbeit mit Firewalls und Virenscannern Unterstützung von Terminalserver Installationen Einfache Installation und Aktualisierung Technisch fungiert der HIN Client als Proxy zwischen den lokalen Programmen (Browser, EMail Programm und andere) und der HIN Plattform, die den Zugriff auf HIN geschützte Ressourcen (Web-Applikationen wie TrustX, Zur-Rose etc. und den HIN E-Mail Server) ermöglicht. HIN Client Handbuch © HIN 2011 Seite 4/86 Die folgenden Hauptfunktionen werden vom HIN Client bereitgestellt: - Zugriff auf die HIN E-Mail und über HIN geschützte Web-Applikationen Automatische Statusprüfung Identitätsverwaltung Einstellungen Installation und Aktualisierung 1.3 Ansprechpartner Der HIN Support ist per E-Mail unter [email protected] und telefonisch unter 0848 830 740 erreichbar. Gerne stehen wir Ihnen von Montag bis Freitag von 08.00 Uhr bis 18.00 Uhr zur Verfügung. 1.4 Hinweise zum Dokument Dieses Handbuch beinhaltet detaillierte Informationen über den Aufbau, die Installation, die Konfiguration und den Einsatz des HIN Clients. Einige Kapitel setzen Expertenwissen voraus. Zielgruppe sind IT-Professionals oder HIN Client Benutzer, welche auf grundlegende Informationen zugreifen möchten. HIN Client Handbuch © HIN 2011 Seite 5/86 2 Systemkomponenten und Funktionsweise Der HIN Client erlaubt den HIN Benutzern auf einfache Art und Weise ermöglicht, die Dienste der HIN Plattform zu nutzen. Die Software wird auf den Arbeitsstationen der HIN Benutzer installiert und ermöglicht Zugriffe auf HIN geschützte Web-Applikationen und die HIN E-Mail Dienste. Der Benutzer muss dabei lediglich eine Passphrase für die HIN Identität (HIN ID) eingeben, um dem HIN Client Zugriff auf seine Identitätsdaten zu ermöglichen. Sämtliche weiteren Schritte zur sicheren und datenschutzkonformen Übertragung der Informationen werden vom HIN Client übernommen und führen zu keinerlei Beeinträchtigung für den Benutzer. 2.1 Komponenten und Systemumgebung Der HIN Client besteht aus mehreren Komponenten, die über entsprechende GUI Elemente gesteuert und überprüft werden. Er interagiert mit verschiedenen Systemen innerhalb des HIN Rechenzentrums, Die Hauptfunktionen sind die sichere Durchführung von Anwendungszugriffen (Secure Web Access, Access Control Services) und E-Mail Übertragungen (Secure Mail). Abbildung: Komponenten und Systemumgebung des HIN Clients Für die Konfiguration und Anpassung des HIN Clients gibt es hauptsächlich folgende Bereiche, die relevant sind: - Identitätsverwaltung mit Registrierung, Import, Entfernung und verschiedenen anderen Funktionen HIN Client Handbuch © HIN 2011 Seite 6/86 - Statusprüfung zur regelmässigen Sicherstellung der problemlosen Funktionalität mit einer entsprechenden Anzeige von Problemen und so weit möglich dem Angebot von Unterstützung - Einstellungen für das allgemeine Verhalten des HIN Clients, die Integration mit verschiedenen Browsern und die technischen Einstellungen für die Netzwerkkonfiguration - Aktualisierung, damit der HIN Client bei allen Benutzern auf dem aktuellen Stand bleibt - HIN Client API, die für die Kontrolle und Steuerung des HIN Clients durch andere lokale Applikationen genutzt werden Zur Bereitstellung der notwendigen Funktionen gibt es eine Reihe von zusätzlichen internen Komponenten des HIN Clients: - Krypto-Modul, das die Verwaltung der Identitätsdaten und Zertifikate sicherstellt - Web-Service Modul, das für die Bereitstellung der HIN Client API zuständig ist - Statusdienst zur Durchführung der Prüfungen und zur Speicherung der Ergebnisse - Proxyservice für die geeignete Weiterleitung der Web- und E-Mail Zugriffe an die HIN Plattform oder das öffentliche Internet 2.2 Der HIN Client als Proxy Firewall Virenschutz Der HIN Client baut einen geschützten Übertragungskanal für die Internetprotokolle http, pop und smtp auf. Damit der HIN Client geschützte Informationen auch über diesen sicheren Kanal übertragen kann, fungiert er als Proxy (von engl. „proxy representative“ = Stellvertreter, bzw. lat. „proximus“ = der Nächste). Im Browser, Mailprogramm und anderen Applikationen muss der HIN Client als Kommunikationsvermittler eingetragen und konfiguriert werden. Abbildung: Kommunikationswege mit dem HIN Client HIN Client Handbuch © HIN 2011 Seite 7/86 Damit der HIN Client als Proxy genutzt wird, muss er von den jeweiligen Programmen, die das Internet und HIN Dienstleistungen nutzen als solcher erkannt und eingetragen werden. In den meisten Fällen sind dies der Internet Browser und das eingesetzte Mailprogramm. Im Internet Browser wird bei korrekter Einrichtung der gesamte Verkehr mit dem Protokoll http:// über den HIN Client geleitet (nicht https://). Für Mailprogramme erfolgt die Konfiguration des Verkehrs für bestimmte E-Mail Konten. Damit wird der gesamte Verkehr für die unterstützten Protokolle (http://, smtp:// und pop://) an den HIN Client geschickt. Für das http:// Protokoll entscheidet der HIN Client basierend auf einer Liste von Domainnamen (der sogenannten Whitelist) welche Zugriffe an die HIN Plattform weitergeleitet werden müssen und welche direkt an den jeweiligen Server im Internet geschickt werden. Diese Whitelist wird beim Start des HIN Clients und mindestens einmal täglich aktualisiert, indem vom HIN Server die neueste Version geladen wird. Beim ersten Aufruf einer geschützten Ressource fordert der HIN Client die Passphrase des aktiven Benutzers an, um mit den Zertifikatsdaten dieses Benutzers einen geschützten Kanal zur HIN Plattform aufzubauen. Dabei wird der Benutzer authentisiert (es wird geprüft, dass eine gültige HIN Identität mit den entsprechenden Zugangsdaten verwendet wird) und autorisiert (es wird geprüft, ob die Identität berechtigt ist, die angeforderte Ressource aufzurufen). Der verschlüsselte Kommunikationskanal (https:// Tunnel) zwischen HIN Client und HIN Plattform wird dabei über den Standardport für https:// (Port 443) aufgebaut und es werden keinerlei weitere Ports durch den HIN Client benutzt. Sowohl der Mail als auch der Web Verkehr werden über einen Tunnel auf dem Port 443 geleitet. 2.2.1 Firewall und Antiviren-Software Firewalls und Antiviren-Software sind unabdingbare Voraussetzungen für einen sicheren Betrieb von IT-Infrastrukturen. Damit der HIN Client als Proxy seine Arbeit verrichten kann, sind gewisse Voraussetzungen notwendig: - Der HIN Client muss Zugriff auf das Internet (vor allem zur HIN Plattform auf Port 443) haben - Der HIN Client muss Lesezugriff auf sein Programmverzeichnis haben und im Profil des aktuellen Benutzers Schreibrechte besitzen - Der HIN Client muss die Erlaubnis haben lokale Serversockets zu öffnen Ältere Antivirensoftware hat sich teilweise ebenfalls als Proxy auf dem lokalen Rechner eingetragen, um den Internetverkehr zu überwachen. Ausserdem können in einigen Firewalls und Antiviren Programmen Einstellungen gemacht werden, die die oben genannten Voraussetzungen nicht mehr erlauben. Der HIN Client sollte mit allen marktüblichen Antiviren und Firewall Programmen zusammen arbeiten können. Die Zusammenarbeit wurde insbesondere mit folgenden häufig verwendeten Programmen in der jeweils aktuellen Version getestet und erfolgreich verifiziert: • Kaspersky Internet Security • Norton Internet Security • McAfee Internet Security HIN Client Handbuch © HIN 2011 Seite 8/86 2.2.2 Einschränkungen Obwohl der Proxy innerhalb des HIN Clients so entwickelt wurde, dass möglichst wenig Einschränkungen vorliegen, gibt es wenige Punkte, die zu berücksichtigen sind. Diese wurden aufgrund der mangelnden Standardisierung und/ oder der seltenen Benutzung der darunterliegenden Protokolle und Formate in Kauf genommen: • NTLM Authentisierung: Webseiten die das Protokoll NTLM für die Authentisierung erfordern (zumeist Intranet Applikationen, die auf älteren Versionen des Microsoft Internet Information Servers basieren) erfordern, dass eine Internet Session über mehrere Requests erhalten bleibt (keepalive). Dies wird vom HIN Client Proxy nicht unterstützt. Für Webseiten, die diese Art von Authentisierung erlauben muss der HIN Client vor dem Aufruf dieser Seiten beendet werden. Wenn der Zugriff auf diese Applikation ohne Proxy-Server im Netzwerk möglich ist, kann die Domain auch im Browser konfiguriert werden, dass sie nicht die aktuellen Proxy Einstellungen des Browsers verwendet. • In manchen Netzwerken werden sogenannte PAC-Dateien (PAC = Proxy Auto Configuration) für die Proxy Konfiguration verwendet. In diesen Dateien wird serverseitig gesteuert, welcher Proxy für welche Domain verwendet werden soll. Diese PAC Dateien werden vom Internetbrowser interpretiert und Requests werden entsprechend den Anweisungen an bestimmte Proxy-Server weitergeleitet. Der HIN Client unterstützt die Nutzung von PAC Files nicht. Für Netzwerke, die PAC Files benutzen, muss, in Absprache mit dem Netzwerk-Administrator, der Proxyserver im HIN Client konfiguriert werden, der den Zugriff auf die HIN Plattform ermöglicht. Wenn dann einzelne Webseiten nicht mehr aufgerufen werden können, weil sie eine andere Proxy Einstellung erfordern, muss vor deren Benutzung der HIN Client beendet werden. HIN Client Handbuch © HIN 2011 Seite 9/86 3 Grundfunktionalitäten 3.1 HIN Client starten und beenden Starten Sie Ihren HIN Client jeweils manuell oder über die Funktion „Autostart“ unter den „Allgemeinen Einstellungen“ (siehe Kapitel 8.1 Allgemeine Einstellungen) Unter Windows Startmenü im Programmordner „HIN Client“ oder unter Mac OS X im Finder unter Programmordner „HIN Client“ kann der HIN Client manuell gestartet werden. Der HIN Client beendet sich automatisch nach dem Abmelden des Benutzers. Der HIN Client kann ebenfalls über das Kontextmenü des Applikationssymbols (weisser Schlüssel auf orangem Hintergrund im Systemtray) beendet werden. Mit der rechten Maustaste (Windows) oder durch Anklicken des Symbols öffnet sich das Kontextmenü und die Funktion „Beenden“ kann ausgewählt werden. Durch den Anwendungszugriff (Secure Web Access), E-Mail Übertragungen (Secure Mail) oder Aufruf einer API Schnittstelle (Bsp. TX Praxis) erfolgt die Abfrage der Passphrase. HIN Client Handbuch © HIN 2011 Seite 10/86 Der Benutzer muss sich identifizieren, indem er die Passphrase für seine ausgewählte Identität angibt. In diesem Dialog, den der HIN Client automatisch beim Zugriff auf sichere Seiten öffnet, kann auch noch die zu benutzende Identität gewählt werden (per Default ist die zuletzt verwendete Identität aktiviert). Auch hier werden nur gültige Identitäten angezeigt. Anschliessend kann der Zugriff auf gesicherte Seiten erfolgen. Der HIN Client merkt sich die Passphrase für eine konfigurierbare Zeitspanne (siehe Allgemeine Einstellungen). Erst nach Ablauf dieser Zeitspanne, bei Wechsel der Identität oder nach einem Neustart des HIN Client muss die Passphrase wieder eingegeben werden. 3.2 Applikationssymbol und Kontextmenü Wenn der HIN Client läuft1, ist dies durch das HIN Client Applikationssymbol (weisser Schlüssel auf orangem Hintergrund) im Systemtray erkennbar. Über dieses Symbol kann das Kontextmenü geöffnet werden, das direkten Zugriff auf die wichtigsten Funktionen des HIN Client bietet. Das Kontextmenü enthält: - Ganz oben: eine Liste von Identitäten, die direkt aktiviert werden können • Es werden nur gültige Identitäten angezeigt (also keine Identitäten, deren Zertifikat abgelaufen ist) • Sind dies mehr als 5, werden nur die 5 zuletzt aktivierten Identitäten angezeigt, und über den Eintrag „weitere Identitäten“ gelangt man zur Identitätsverwaltung, wo alle Identitäten aufgelistet sind - In der Identitätsverwaltung finden Sie die Verwaltung oder den Import bestehender bzw. die Erzeugung neuer Identitäten. - Die Statusinformationen geben Auskunft über den Zustand des HIN Client (Netzwerkverbindung, Benutzbarkeit des HIN Client bzw. der Identitäten, …) - In den Einstellungen des HIN Client finden Sie verschiedene Konfigurationsmöglichkeiten wie 1 Der HIN Client wird normalerweise bei der Anmeldung des Benutzers automatisch gestartet. HIN Client Handbuch © HIN 2011 Seite 11/86 • Allgemeine Konfiguration (Sprache, Autostart, …) • Konfiguration der Browser welche automatisch für den HIN Client konfiguriert werden • Netzwerkkonfiguration (Proxyeinstellungen, HIN Client Ports) - Über die Funktion HIN Client aktualisieren kann eine neuere Version des HIN Client installiert werden - Auch das Beenden des HIN Client ist über das Kontextmenü möglich 3.3 HIN Client Navigation Sie können das Hauptfenster des HIN Client öffnen, indem Sie mit der Maus über das HIN Client Symbol (weisser Schlüssel auf orangem Hintergrund) im Systemtray klicken. Das HIN Client Hauptfenster öffnet sich und zeigt die HIN Identitäten dieser Arbeitsstation. Auf der linken Seite befindet sich die Navigation des HIN Client. - Statusprüfung - Überprüft den Status des eingesetzten HIN Client (siehe Kapitel 6) - HIN Identitäten verwalten - Hauptfenster HIN Client für die Verwaltung der HIN Identitäten dieser Arbeitsstation (siehe Kapitel 5.1) - HIN Identität registrieren - falls Sie bei HIN eine neue HIN Identität bezogen haben, wird diese hier registriert und verfügbar gemacht (siehe Kapitel 5.2) - HIN Identität importieren - eine bestehende HIN Identität kann von einer anderen Arbeitsstation importiert werden (siehe Kapitel 5.5) - Allgemeine Einstellungen - Einstellungen wie Sprache oder Autostart (siehe Kapitel 8.1) HIN Client Handbuch © HIN 2011 Seite 12/86 - Browsereinstellungen - Einstellungen für verschiedene Internet Browser (siehe Kapitel 8.2) - Netzwerk (Expertenmodus) - Einstellungen für Nutzung HIN Client in Netzwerkumgebungen (siehe Kapitel 8.3) - HIN Client aktualisieren - Hier stehen neue Versionen HIN Client zur Verfügung (siehe Kapitel 7.2) 3.4 Sicherer Zugriff auf Web-Applikationen Einer der Kerndienste von HIN ist die sichere Nutzung von Web-Applikationen über die HIN Plattform. Die verfügbaren Applikationen werden von Spitälern, Labors, Versandapotheken, anderen im Gesundheitswesen aktiven Organisationen und teilweise auch HIN selbst angeboten. Damit der Zugriff für den Benutzer möglichst einfach ist, agiert der HIN Client als Internet Proxy (siehe auch Kapitel 2.2). Dieser Proxy muss im Internet Browser konfiguriert werden. Dies geschieht für einige Browser automatisch: - Unter Windows: Internet Explorer und Firefox - Unter Mac OS: Safari und Firefox Viele andere Browser übernehmen die Einstellungen des Internet Explorers oder der HIN Client kann manuell im Internet Browser als Proxy eingetragen werden. Wenn der HIN Client gestartet ist und im Internet Browser eine URL eingegeben wird, wird dieser Aufruf an den HIN Client weitergegeben. Dieser überprüft, ob es sich um eine durch HIN geschützte Web-Applikation handelt, oder ob eine normale, öffentliche Webseite aufgerufen wird. Im zweiten Fall wird die Anfrage direkt an das öffentliche Internet weitergereicht und die Antworten an den Internet Browser zurück geliefert. Für den sicheren Zugriff auf eine HIN geschützte Web-Applikation muss der Benutzer authentisiert und für den Zugriff auf die Web-Applikation autorisiert werden. Diese Aufgaben übernimmt der HIN Client indem er vom Benutzer die Passphrase abfragt, die dem HIN Client erlaubt auf die geschützten Identitätsdaten zuzugreifen. Es handelt sich dabei um das HIN Zertifikat und die zugehörigen Schlüssel, welche bei der Registrierung einer Identität vom HIN Client erstellt werden. Die Daten für die Grobautorisierung (= einem HIN Benutzer die Erlaubnis erteilen auf eine bestimmte Web-Applikation zuzugreifen) werden ausschliesslich von den Applikationsanbietern verwaltet und HIN hat keinen Einfluss, ob ein HIN Benutzer auf eine bestimmte Applikation zugreifen darf oder nicht. Wenn die Authentisierung und Grobautorisierung erfolgreich sind, wird vom HIN Client ein verschlüsselter Verbindungskanal zur HIN Plattform aufgebaut. Über diesen Kanal wird dann der ursprüngliche Request an den Webserver der Applikation übertragen und die entsprechende Antwort zurück geliefert. Wenn der sichere Übertragungskanal einmal aufgebaut ist, bleibt er für einen im HIN Client einstellbaren Zeitraum erhalten, danach ist eine erneute Authentisierung erforderlich. HIN Client Handbuch © HIN 2011 Seite 13/86 3.5 Sichere Übertragung von E-Mails Wenn der HIN Client läuft und eine HIN Identität angemeldet ist, kann über einen entsprechend konfigurierten E-Mail Client auf die HIN Mail Konten zugegriffen werden. Dies erfolgt weitgehend analog zum Zugriff auf Web-Applikationen gemäss dem vorherigen Kapitel. Damit Anfragen vom E-Mail Programm an den HIN Client weitergegeben werden, ist jedoch nicht wie im Internet Browser die Einrichtung eines Proxy Servers notwendig, sondern für die HIN E-Mail Konten wird der HIN Client als Mailserver konfiguriert. Dies muss manuell gemäss den gesonderten Anleitungen erfolgen. Für den Abruf von E-Mail wird das Protokoll POP und für den Versand von E-Mail das Protokoll SMTP verwendet. Wenn ein Request vom E-Mail Programm an den HIN Client weitergegeben wird, wird zunächst geprüft, ob bereits ein sicherer Übertragungskanal besteht. Falls nicht, wird vom HIN Client die Passphrase abgefragt, um den Zugriff auf die geschützten Identitätsdaten zu ermöglichen und falls die Identität berechtigt ist auf E-Mail Dienste zuzugreifen, wird eine gesicherte Verbindung zur HIN Plattform aufgebaut. Der Request des E-Mail Programms wird dann vom HIN Client an die HIN Plattform übertragen, wo verschiedene Überprüfungen stattfinden. Beim Abruf von Mails sind dies Folgende: - Ist der Benutzer ein aktiver HIN Benutzer? - Ist der Benutzer berechtigt E-Mails für das gewünschte E-Mail Konto abzurufen? Beim Versand von Mails werden folgende Überprüfungen gemacht: - Ist der Benutzer ein aktiver HIN Benutzer? - Ist der Benutzer berechtigt E-Mail im Namen der Absender E-Mail Adresse zu versenden? - Ist die Absender E-Mail Adresse gleich, wie die im E-Mail Programm des Empfängers angezeigte E-Mail Adresse (FROM gemäss RFC 5321 = MAIL FROM: gemäss RFC 5322) Ein HIN Benutzer kann im Kundencenter anderen HIN Benutzern die Berechtigung geben EMails in seinem Namen zu empfangen und zu verschicken. Diese Funktion wird als Stellvertretung bezeichnet: Wenn ein Benutzer (A) im Namen eines anderen Benutzers (B) E-Mails verschickt, wird der aktuelle Benutzer (A) als Sender in die Mail eingetragen. Beim Empfänger ist dann ersichtlich, dass die Mail von Benutzer (A) im Namen von Benutzer (B) verschickt wurde. HIN Client Handbuch © HIN 2011 Seite 14/86 4 Installation des HIN Clients 4.1 Installation des HIN Clients Für die Installation des HIN Client für Windows und Mac OS X wird ein Installations-Assistent in den Sprachen Deutsch und Französisch verwendet. Für die Installation benötigen Sie Administratoren-Rechte und einen Internetzugang. 4.1.1 Installation TrustX Praxis Der neue 'HIN Client' – als Ersatz des ASAS-Clients – setzt die neue Version 3 von TrustX Praxis voraus. Ältere Versionen von TX Praxis sind nicht kompatibel mit dem neuen HIN Client. TrustX Praxis Version 3 ist an der Schnittstelle zur Praxis-Software rückwärtskompatibel bis zur Version 2.4. Dadurch werden keine Anpassungen auf Seite der Praxis-Software notwendig. TrustX Praxis V3 wird bei der Installation des neuen HIN-Clients automatisch mit installiert, sofern auf dem Rechner bereits eine ältere Version (2.4) vorhanden ist. Bei der Installation von TX Praxis werden alle Einstellungen übernommen. 4.2 Systemvoraussetzungen Folgende Systemvoraussetzungen gelten für Betriebssysteme, Internet Browser und MailClients. Die Hardwarevoraussetzungen richten sich an die freigegebenen Betriebssysteme. 4.2.1 Betriebssystem Folgende Betriebssysteme wurden getestet und sind für den HIN Client freigegeben: þ MS Windows XP (ab ServicePack 3) þ Apple Mac OS X ab 10.4.11 (Tiger) þ MS Windows Vista (alle Editionen) þ Apple Mac OS X 10.5.x (Leopard) þ MS Windows 7 (alle Editionen) þ Apple Mac OS X 10.6.x (Snow Leopard) þ MS Windows Server ab Version 2003 þ Apple Mac OS X 10.7.x (Lion) Linux (Headless)* empfohlene Distributionen: þ RedHat þ CentOS 5.5 *die „Headless“ Version läuft generell auf jeder Java-fähigen Linux Distribution HIN Client Handbuch © HIN 2011 Seite 15/86 4.2.2 Internet Browser Grundsätzlich können alle gängigen Internet Browser verwendet werden. Die folgenden Internet Browser verwenden in den aktuellen Versionen die automatischen ProxyEinstellungen: Internet Explorer, Mozilla Firefox, Apple Safari, Google Chrome und Opera. Folgende Versionen wurden eingehend getestet: þ Internet Explorer 6 oder höher þ Mozilla Firefox 3.0 oder höher þ Apple Safari 2 oder höher þ Google Chrome 2 oder höher 4.2.3 Mail-Client Grundsätzlich können alle POP3/SMTP-unterstützten Mail-Clients verwendet werden. Das IMAP-Protokoll wird nicht unterstützt. Folgende Versionen wurden eingehend getestet: þ MS Outlook 2003 oder höher þ MS Outlook Express 6 oder höher þ Mozilla Thunderbird 2 oder höher þ Windows (Live) Mail þ Apple Mail (ab Mac OS X 10.4.11) 4.3 Varianten des HIN Clients Neben der Installation auf einem Client werden zudem eine Server- und Terminal ServerVariante zur Verfügung gestellt (siehe Kapitel 11 ‚HIN Client – Servermodus‘ und Kapitel 12 ‚HIN Client - Terminal Server Modus‘). Der Terminal Server Modus kann zudem für sogenannte Multiuser Konfigurationen (mehrere Benutzer) auf einem Client verwendet werden. 4.4 Vorgehen für die Installation Die Installationspakete für die Windows, Mac und Linux-Version können direkt unter http://download.hin.ch heruntergeladen werden. Auf dieser Seite sind zudem die Release Notes verfügbar. Neukunden erhalten jedoch eine entsprechende Installations-CD. Durch Einlegen der CD wird der Webbrowser automatisch gestartet und die entsprechende HIN Webseite geöffnet. Auf Windows Betriebssystemen wird eine Sicherheitswarnung angezeigt – solange „Health Info Net AG“ als Publisher des Downloads angezeigt wird, kann der Anwendung vertraut werden. HIN Client Handbuch © HIN 2011 Seite 16/86 In der Folge wird der Installer entpackt (unter Windows) bzw. das gemountete Disk-Image angezeigt (unter Mac OS, Installer muss hier noch extra gestartet werden). Anschliessend erfolgt die Auswahl der Sprache, in der die Installation durchgeführt werden soll. Diese Sprache wird nach der Installation auch als Default-Sprache des HIN Client (für alle Benutzer auf diesem Rechner) konfiguriert, kann aber später pro Benutzer geändert werden (siehe Allgemeine Einstellungen). Je nach Betriebssystem (z.B. Windows 7, Mac OS) wird eventuell während der Installation die Eingabe eines Administrator-Benutzers und des zugehörigen Administrator-Passwortes verlangt. Anschliessend führt der HIN Client Installer durch den Installationsprozess. HIN Client Handbuch © HIN 2011 Seite 17/86 Die Lizenzbedingungen müssen akzeptiert werden – sonst kann die Installation nicht fortgesetzt werden. Es kann zwischen der Standardinstallation (Default) und Benutzerdefinierter Installation (z.B. um das Installationsverzeichnis zu ändern) gewählt werden. Bei der Standardinstallation werden folgende Schritte durchgeführt: • Falls TrustX Praxis v2.4.3 installiert ist: Upgrade auf eine neuere Version von TrustX Praxis, welche den HIN Client unterstützt • Falls der ASAS-Client im Default-Verzeichnis (z.B. C:\Programme\Arpage\ASAS3\) installiert ist: Deinstallation des ASAS-Client und Import der ASAS-Identitäten zur späteren Übernahme als HIN Identitäten2 • Falls Firefox im Default-Verzeichnis (unter Windows: C:\Program Files\Mozilla Firefox (oder C:\Programme\Mozilla Firefox auf deutschsprachigen OS-Versionen), unter Mac OS: /Applications/Firefox/) installiert ist, wird die Unterstützung des HIN Client für Firefox aktiviert (siehe Browsereinstellungen) • Installation HIN Client 2 Alle .crt und .key Dateien der ASAS-Identitäten werden in das Unterverzeichnis IdentityUpgrade in den HIN Client Installationsordner kopiert und können später im HIN Client in HIN Identitäten umgewandelt werden. HIN Client Handbuch © HIN 2011 Seite 18/86 Es kann aber auch die benutzerdefinierte Installation gewählt werden. Bei dieser kann der Zielort frei gewählt werden. Die gleichen Installationsoptionen, welche bei der Standardinstallation automatisch gewählt werden, können bei der benutzerdefinierten Installation als Default angenommen oder angepasst werden. Wurde im Standardverzeichnis eine ASAS-Installation gefunden, ist die Option „ASAS Deinstallieren …“ automatisch gewählt und kann nicht deaktiviert werden. Wird die Option „ASAS Deinstallieren …“ manuell ausgewählt, wird geprüft, ob das angegebene Verzeichnis auch wirklich existiert und eine ASAS Installation enthält. HIN Client Handbuch © HIN 2011 Seite 19/86 Für die Option „TrustX Praxis Update“ wird per Default der entsprechende Installer aus dem Internet heruntergeladen. Der TrustX Installer kann aber auch im Filesystem gespeichert sein und per File-URL verwendet werden: Windows: http://www.trustx.ch/trustx-praxis/documents/trustx-Praxis-net-v3-de.zip Mac: http://www.trustx.ch/trustx-praxis/documents/trustx-Praxis-v3.zip Unter Windows werden für den HIN Client und den Uninstaller Einträge im Startmenü erzeugt. Es kann gewählt werden, ob für diese ein Ordner erzeugt wird und wie dieser heissen soll. Anschliessend werden die einzelnen Installationsschritte durchgeführt. HIN Client Handbuch © HIN 2011 Seite 20/86 Das TrustX Update und die ASAS Deinstallation werden durch den TrustX Installer bzw. den ASAS Uninstaller ausgeführt (hier werden teilweise eigene Installerfenster geöffnet). Währenddessen kann es unter Windows vorkommen, dass der Benutzer aufgefordert wird, laufende Anwendungen (TrustX Praxis oder ASAS Client) zu schliessen. Dies kann durch einen Klick auf „Prog. beenden“ erreicht werden, oder die jeweilige Applikation kann durch den Benutzer manuell geschlossen werden. Der HIN Client wurde erfolgreich installiert (Hinweis: Schritt 1 von 3 ist abgeschlossen). Abschliessend wird dem Benutzer vorgeschlagen, den HIN Client sofort zu starten. Diese Option ist nicht angewählt, wenn z.B. unter Windows XP der Installer mit „Run As“ als Administrator-Benutzer ausgeführt wurde (sonst würde der HIN Client auch als Administrator gestartet werden, was normalerweise nicht gewünscht wäre!). Wichtig: vom Installer wird der Autostart für den HIN Client automatisch aktiviert – beim Login eines jeden Benutzers auf diesem Rechner wird automatisch der HIN Client gestartet. Dies kann jeder Benutzer selbst im HIN Client in den Allgemeinen Einstellungen deaktivieren. 4.5 Erster Start des HIN Client Ist beim Start des HIN Client keine gültige HIN Identität (und auch keine importierbare ASAS Identität) vorhanden, so wie es z.B. beim ersten Start des HIN Client der Fall ist, hat der Benutzer nach dem Statusinformations-Screen die Möglichkeit, eine neue HIN Identität zu registrieren oder zu importieren. Die Assistenten zum Registrieren einer neuen HIN Identität bzw. zum Importieren einer bestehenden HIN Identität sind dieselben, welche auch über die Identitätsverwaltung (siehe Kapitel 5). HIN Client Handbuch © HIN 2011 Seite 21/86 Wurde bei der Installation des HIN Client der ASAS Client deinstalliert und dabei die ASAS Identitäten übernommen, können diese im HIN Client in HIN Identitäten umgewandelt werden. Dieser Schritt kann von allen Benutzern dieses Rechners durchgeführt werden, solange der Benutzer die gültige ASAS Passphrase kennt. Die importierbaren ASAS Identitäten erscheinen als grau hinterlegte Einträge in der Identitätsverwaltung. Durch Auswahl von „Jetzt aktualisieren“ bei einer übernommenen ASAS Identität wird der Assistenten zum Aktualisieren der HIN Identität geöffnet. Die ASAS Identitäten können aber auch entfernt werden – werden dann aber auch für keinen anderen Benutzers dieses Rechners mehr importierbar. 4.6 Re-Installation bzw. Update des HIN Clients Auf einem Windows-Rechner, auf dem bereits der HIN Client installiert ist, kann der Installer später nochmals ausgeführt werden. Es kann sich dabei um den Installer der gleichen Versi- HIN Client Handbuch © HIN 2011 Seite 22/86 on, aber auch um eine neuere Version handeln (auch die Ausführung eines älteren Installers wird nicht verhindert). Dadurch kann die bestehende HIN Client Installation erneuert (Installer einer neueren Version) oder repariert (Installer der aktuell installierten Version) werden. Der Installer wird wie bei der Erstinstallation durchlaufen, wobei bestimmte Einstellungen auf ihre Werte bei der Erstinstallation gesetzt werden. Zu beachten ist: • Bereits geänderte Benutzerspezifische Konfigurationen bleiben dadurch unverändert • Systemweite Konfigurationen (z.B. die Default-Sprache auf diesem Rechner, oder falls sonst manuell Änderungen gemacht wurden) an der hinclient.config.properties und hinclient.admin.properties bleiben ebenfalls dadurch unverändert. • Erfolgt eine Deinstallation vor der Neuinstallation, dann werden hinclient.config.properties und hinclient.admin.properties neu erzeugt und frühere Änderungen gehen verloren 4.7 Deinstallation des HIN Clients Unter Windows kann der HIN Client mit dem Deinstallationsprogramm deinstalliert werden (über das Windows Startmenü im Ordner „HIN Client“ aufzurufen). Bei der Deinstallation werden alle Identitäten des ausführenden Benutzers mitgelöscht. Dies kann verhindert werden, indem die zu rettenden Identitäten markiert und mit dem „-“Button von der Liste entfernt werden. HIN Client Handbuch © HIN 2011 Seite 23/86 Anschliessend wird der HIN Client und die zu entfernenden Identitäten gelöscht. Unter Mac OS wird der HIN Client dadurch deinstalliert, dass der HIN Client aus dem Programme Ordner in den Abfalleimer gezogen wird. Achtung: bestehende HIN Identitäten werden dabei nicht gelöscht! HIN Client Handbuch © HIN 2011 Seite 24/86 5 HIN Client - Identitätsverwaltung 5.1 Identitätsverwaltung Jedes Mitglied der HIN Gemeinschaft (HIN Community, HIN Teilnehmer) wird anhand der HIN Identität (HIN ID) basierend auf einem X.509 Zertifikat erkannt und authorisiert. Die HIN Identität ist heute der wichtigste Passepartout für verschiedenste Anwendungen im Schweizer Gesundheitswesen. Die Identitätsdaten (z.B. Initialisierungspasswort, Passphrase) sind von den HIN Teilnehmenden vertraulich zu behandeln, sorgfältig zu nutzen und dürfen Dritten nicht zugänglich gemacht werden. Die Identitätsverwaltung ist die zentrale Komponente zur Anzeige und Bearbeitung von Identitäten innerhalb des HIN Clients. Durch die grafische Darstellung der Identitätsverwaltung erhält der Benutzer schnell eine einfache Übersicht über den Zustand der vorhandenen Identitäten und kann über die zur Verfügung stehenden Aktionen schnell auf Warnungen und Hinweise zu reagieren. Um nach dem Start des HIN Clients zur Identitätsverwaltung zu gelangen, muss der entsprechende Eintrag im Systemtray Menü ausgewählt werden. 5.1.1 Aufbau Die Identitätsverwaltung besteht grundsätzlich aus der Navigation auf der linken Seite und der Identitätsverwaltung im Zentrum. Die Navigation stellt dem Benutzer allgemeine Aktionen zur Verfügung, welche unabhängig von den Identitäten aus der Identitätsverwaltung sind. Deshalb haben die Aktionen keinen direkten Einfluss auf eine der bestehenden Identitäten aus der Liste, sondern ergänzen diese HIN Client Handbuch © HIN 2011 Seite 25/86 einzig um neue Einträge. Dies bedeutet auch, dass ihre Verfügbarkeit einzig vom aktuellen Zustand des HIN Clients abhängt. Konkret bedeutet dies, dass die Aktionen „HIN Identität registrieren“, „HIN Identität importieren“ und „Einstellungen“ nur aktiv sind, wenn die aktuell installierte Version des HIN Clients gültig ist. Die restlichen Aktionen stehen immer zur Verfügung. Das Gegenstück zur Navigation ist die Identitätsverwaltung. Sie enthält sämtliche auf dieser Arbeitsstation verfügbaren Identitäten, unabhängig davon ob diese aktuell benutzt werden können oder nicht. Dies ganz im Gegensatz zum Systemtray Menü oder dem LoginDialog, welche nur die „benutzbaren“ Identitäten auflisten. Die Einträge in der Identitätsverwaltung sind absteigend nach dem Datum der letzten Anmeldung sortiert. Die gerade angemeldete Identität wird dabei zuoberst und in „hellgrün“ dargestellt. Ebenfalls farblich hervorgehoben sind die vom ASAS Client übernommenen Identitäten. Diese werden grau dargestellt und müssen über die angezeigte Aktion zuerst auf das neue System aktualisiert werden, bevor sie mit dem HIN Client weiterbenutzt werden können. Ein Identitätseintrag selber besteht wiederum aus mehreren Teilen. Neben den beschreibenden Elementen wie Identitätsname, einer Identitätsbeschreibung und der Angabe der letzten Anmeldung, sind dies insbesondere statusbezogene Inhalte. Die identitätsbezogenen Aktionen werden unten aufgeführt. Detaillierte Beschreibungen zu den verfügbaren Aktionen können den nachfolgenden Kapiteln entnommen werden. Ob und welche Statusmeldung angezeigt wird, hängt wie die Verfügbarkeit der Aktionen massgeblich vom Zustand des Identitätszertifikats ab. Für die Verfügbarkeit der Aktionen gelten die folgenden Regeln: 5.1.2 - Sämtliche Aktionen sind inaktiv, wenn die installierte Version des HIN Clients nicht mehr gültig ist. - „Details“ und „Entfernen“ sind unabhängig vom Zertifikatsstatus immer aktiv. - „Exportieren“ und „Passphrase ändern“ ist nur für die angemeldete Identität möglich. - Ist das Gültigkeitsende des Zertifikats weniger als 180 Tag, gemessen vom heutigen Datum, wird die Aktion „Verlängern“ automatisch aktiv. Beschreibung einer HIN Identität bearbeiten Über die Aktion „Details“ kann eine individuelle Beschreibung der HIN Identität eingegeben oder geändert werden. HIN Client Handbuch © HIN 2011 Seite 26/86 5.1.3 Zertifikatsdaten anzeigen Über die Aktion „Details“ werden durch Anklicken von „Details“ die HIN Identitätsdaten, Gültigkeitsdauer des Zertifikats und der Aussteller angezeigt. 5.1.4 Verschieben von Identitäten Normalerweise ist das Zertifikat einer HIN Identität im Benutzerprofil des Betriebssystembenutzers abgelegt (z.B. C:\Documents and Settings\<user>\Application Data\HIN\HIN Client\cmuster.hin). Über die Aktion „Details“ werden durch Anklicken von „Verschieben“ kann das Zertifikat (resp. die Zertifikatsdatei mit der Endung .hin) an einen anderen Ort verschoben werden. Die Zertifikatsdatei wird dabei an den neuen Ort kopiert und vom alten Ort gelöscht. HIN Client Handbuch © HIN 2011 Seite 27/86 Nach der Auswahl der Zieldatei wird noch die neue Passphrase angegeben. Die HIN Identität bleibt genauso benutzbar wie sie es vor der Aktion war – die Zertifikatsdatei wird nur von ihrem neuen Ort verwendet. Dies kann zum Beispiel dazu verwendet werden, um das Zertifikat auf einen USB-Stick zu verschieben, damit die Identität nur dann verwendet werden kann, wenn der USB-Stick eingesteckt ist. 5.1.5 Entfernen von Identitäten Mit der Aktion „Entfernen“ kann eine Identität von diesem Rechner entfernt werden. HIN Client Handbuch © HIN 2011 Seite 28/86 Die Identität ist anschliessend auf diesem Rechner entfernt, und auch die Zertifikatsdatei ist gelöscht. Ist die Zertifikatsdatei auf keinem anderen Rechner (oder in einem Backup) mehr vorhanden, dann kann die Identität nicht mehr benutzt werden (für die Erneuerung der Identität muss der HIN Support kontaktiert werden). Zu beachten ist, dass die Identität jedoch noch auf anderen Rechnern nutzbar ist, falls die Zertifikatsdatei noch vorhanden ist. 5.1.6 Passphrase ändern Die Aktion „Passphrase ändern“ ermöglicht es dem Benutzer, die Passphrase einer HIN Identität zu verändern. Zu beachten ist, dass die Änderung der Passphrase nur Auswirkungen auf diesem Rechner hat. Die Passphrase auf anderen Rechnern, wo diese Identität ebenfalls vorhanden ist, ändert sich nicht. 5.2 Neuregistrierung Erhält ein Benutzer sein HIN Willkommensschreiben, kann er nach der Installation des HIN Clients seine HIN Identität registrieren. Er benötigt dafür seinen HIN Login und das Initialisierungspasswort (beide auf dem Willkommensschreiben zu finden). Die eigentliche Ausstellung des Zertifikats kann wieder einige Minuten dauern. HIN Client Handbuch © HIN 2011 Seite 29/86 Anschliessend muss noch das E-Mail Programm entsprechend konfiguriert werden, damit es die Mails dieser HIN Identität verwalten kann (mehr dazu im Kapitel über Mailkonten). Abschliessend kann sich der Benutzer sofort mit seiner neuen Identität anmelden. 5.3 Erneuerung abgelaufener Identitätsdaten Ein HIN Client Zertifikat läuft unter folgenden Umständen ab: • der Gültigkeitszeitraum von 3 Jahren ist abgelaufen • im HIN ERP-System wurden zertifikatsrelevante Daten (z.B. Name) geändert. Eine 180 Tage dauernde Warn-Frist beginnt 180 Tage vor dem Ablauf des Gültigkeitszeitraums bzw. zum Zeitpunkt der Änderung zertifikatsrelevanter Daten (in den letzten 30 Tagen dieser Frist ist nur die Erneuerung des Zertifikats möglich). Rechtzeitig bevor die HIN Identität endgültig abläuft, wird dadurch der Benutzer nach Eingabe der Passphrase darüber informiert. Der Button „Jetzt verlängern“, genauso wie die Aktion „Verlängern“ in der Identitätsverwaltung, erlauben die Verlängerung der HIN Identität durch die Erneuerung des entsprechenden Zertifikats. HIN Client Handbuch © HIN 2011 Seite 30/86 Nach der eigentlichen Erzeugung des Zertifikats, die einige Minuten dauern kann, ist die Identität erneuert. Das neue Zertifikat muss nun noch auf andere Rechnern übertragen werden, auf denen diese Identität ebenfalls verwendet wird. Ist eine Identität endgültig abgelaufen (Zertifikat abgelaufen), dann erscheint dem Benutzer nach der Eingabe der Passphrase folgende Warnung: Über den HIN Support kann der Benutzer die Erneuerung der Identität anfordern. Eine Erneuerung dieser Identität über den HIN Client ist in diesem Zustand nicht mehr möglich. 5.4 Aktualisierung von früheren Identitäten Der HIN Client Installer übernimmt bei der Deinstallation des ASAS-Client alle vorhandenen .crt und .key-Dateien und kopiert sie in das Unterverzeichnis IdentityUpgrade im HINInstallationsverzeichnis. Beim Start des HIN Client durchsucht dieser dieses Verzeichnis. Findet er zusammenpassende .crt und .key-Dateien, erzeugt er für die jeweils neueste .crt und .key-Datei (es kann sein, dass mehrere solche Dateien für den gleichen ASAS-Benutzer vorhanden sind) eine temporäre Identität, die nur den Zweck hat, die bestehende ASASIdentität in eine vollwertige HIN-Identität umzuwandeln. Alle übrigen .crt und .key-Dateien werden gelöscht. HIN Client Handbuch © HIN 2011 Seite 31/86 Diese temporären Identitäten werden in der Identitätsverwaltung grau hinterlegt dargestellt, und erlauben nur das „Entfernen“ und „Jetzt aktualisieren“. „Entfernen“ entfernt die Identität und gleichzeitig die zugehörigen .crt und .key Dateien, sodass niemand mehr diese ASAS-Identität benutzen oder aktualisieren kann. Zum Aktualisieren der HIN Identität (also dem „Umtauschen“ einer alten ASAS-Identität gegen eine neue HIN Identität) muss die alte ASAS-Passphrase und die neue HIN-Passphrase eingegeben werden (letztere zweimal). Anschliessend erfolgt die Aktualisierung. HIN Client Handbuch © HIN 2011 Seite 32/86 Durch Anklicken von „Fertig stellen“ kann die neue HIN Identität verwendet werden. Die .crt und .key-Datei werden anschliessend gelöscht. 5.5 Übertragung von Identitäten zwischen Rechnern Durch die Übertragung einer Identität auf einen anderen Rechner kann diese Identität anschliessend auf mehreren Rechnern genutzt werden. Erreicht wird diese „Übertragung“ durch das Exportieren und anschliessendes Importieren der Identität (genauer gesagt: das Exportieren und Importieren der Zertifikatsdatei). Auf einem Rechner, wo die zu übertragende Identität vorhanden ist, kann diese über die Aktion „Exportieren“ exportiert werden. Die Identität (bzw. deren Zertifikatsdatei) kann beim Export z.B. auf einen USB-Stick oder auf ein Netzwerklaufwerk exportiert werden, und im Anschluss von dort auf einem anderen Rechner importiert werden. Nach Auswahl der Exportdatei (wohin soll das Zertifikat kopiert werden) und der Eingabe der Passphrase dieser Identität ist der Export abgeschlossen. HIN Client Handbuch © HIN 2011 Seite 33/86 Anschliessend wird auf dem Rechner, wo die Identität noch nicht vorhanden ist, die Aktion „HIN Identität importieren“ durchgeführt. Dazu muss die zu importierende Identität (die exportierte Zertifikatsdatei, z.B. vom USB-Stick oder vom Netzwerklaufwerk) ausgewählt und die richtige Passphrase eingegeben werden. Nach einer kurzen Überprüfung der importierten Identität kann entschieden werden, wo die importierte Zertifikatsdatei gespeichert werden soll. Per Default wird das Zertifikat ins Benutzerprofil des aktuellen Betriebssystembenutzers importiert (empfohlen). Die Option „HIN Identität direkt benutzen“ bewirkt, dass die Zertifikatsdatei nicht importiert wird, sondern in Zukunft von ihrem aktuellen Ort (USB-Stick, Netzlaufwerk, …) verwendet wird. Ist dann z.B. der USB-Stick nicht eingesteckt oder das Netzlaufwerk nicht verbunden, dann kann diese Identität auch nicht benutzt werden. Die dritte Option „Datei für HIN Identität wählen“ ermöglicht es dem Benutzer, einen beliebigen Speicherort für die Zertifikatsdatei zu wählen. Anschliessend kann noch die Beschreibung für die HIN Identität vergeben werden. HIN Client Handbuch © HIN 2011 Seite 34/86 Als letzter Schritt (wie bei der Registrierung) muss der Benutzer noch entsprechend der Anweisungen das E-Mail Programm konfigurieren (siehe auch Kapitel 10 über die Konfiguration des Mailprogramms) und die neue HIN Identität anmelden. HIN Client Handbuch © HIN 2011 Seite 35/86 6 HIN Client – Statusprüfung 6.1 Die Statusprüfungs-Ansicht Die Statusprüfungs-Ansicht bietet einen Überblick über die Funktionsfähigkeit des HIN Client. Es werden verschiedenste Überprüfungen durchgeführt und deren Ergebnisse dargestellt (mehr dazu siehe unten). Ist eine Überprüfung erfolgreich, wird dies durch einen weissen Schlüssel auf orangem Hintergrund dargestellt. Gibt es Fehler bei einer Überprüfung, wird der Schlüssel auf grauem Hintergrund angezeigt. Die aktuell durchgeführte Überprüfung wird durch ein EKG-Symbol („Herzlinie“) dargestellt. Entsprechende Fehler-, Warnungs- und Informationsmeldungen werden darunter gruppiert dargestellt. Die Kategorisierung dieser Meldungen ist die folgende: „Fehler“ zeigen aktuell bestehende Probleme an (z.B. keine Netzwerkverbindung zur HIN Plattform oder eine veraltete HIN Client Version) „Warnungen“ zeigen Zustände an, die zwar kein akutes Problem darstellen, aber eventuell in der Zukunft zu Fehlern werden können (z.B. dass das Zertifikat ablaufen wird oder der Client nicht mehr lange benutzt werden kann) „Info“ dient nur zur Information an HIN Kunden, z.B. um über Messeauftritte oder neue HIN Client-Versionen zu informieren Der Zustand der letzten Statusprüfung wird auch durch das HIN Client Systemtray Icon wiedergespiegelt. Es wurden keine Probleme festgestellt. HIN Client Handbuch © HIN 2011 Seite 36/86 Es wurden Warnungen gefunden. Es wurden Fehler gefunden. 6.2 Aufruf und Nutzung der Statusprüfung Bei jedem Start des HIN Client wird diese Ansicht geöffnet und alle Überprüfungen durchgeführt. Zusätzlich werden sie alle 24 Stunden automatisch durchgeführt (wenn der HIN Client so lange gestartet bleibt). Die Statusprüfungs-Ansicht kann aber auch manuell über das Systemtray geöffnet werden (zeigt dann die Ergebnisse der letzten durchgeführten Überprüfung an). Über „Jetzt prüfen“ können die Überprüfungen wiederholt werden. 6.3 Überprüfungen Die folgenden Überprüfungen werden durchgeführt. 6.3.1 Internetverbindung Hier wird geprüft, ob eine Netzwerkverbindung zur HIN Plattform hergestellt werden kann. Ist in den Netzwerkeinstellungen ein HTTP/HTTPS-Proxy konfiguriert, wird dieser für diese Überprüfung verwendet. Die Verbindung wird getestet, indem versucht wird, eine Testdatei von einem der HIN-Server zu laden. Es ist dies https://app.hin.ch/download/whitelist.txt. Mögliche Meldungen Es besteht keine Internetverbindung. Verbinden Sie Ihre Arbeitsstation mit dem Internet und versuchen es erneut. Sollten Sie für den Internetzugang einen Proxy benötigen, können Sie diesen in den Netzwerkeinstellungen für den HIN Client einrichten. Proxy-Einstellungen ändern Es konnte keine Netzwerk-Verbindung zur HIN Plattform aufgebaut werden (Testdatei konnte nicht heruntergeladen werden). Über den Link „Proxy-Einstellungen ändern“ gelangt man direkt zu den Netzwerkeinstellungen, wo die Proxy-Einstellungen geändert werden können. Auswirkungen: • Da keine Verbindung zur HIN Plattform besteht, wird es in der Folge zu Fehlern bei der Datenübertragung kommen (beim Zugriff aufs Internet, auf HIN geschützte Applikationen, auf den HIN-Mailserver, …). Auch die meisten Aktionen der Identitätsverwaltung im HIN Client benötigen Zugriff auf die HIN Plattform und werden deshalb fehlschlagen, solange das Problem weiter besteht. • Als Folge des Netzwerkproblems kommt es auch zu Warnungen anderer Prüfungen, z.B. dass die Versions-Information oder Infonachrichten nicht heruntergeladen werden konnten. Das Ergebnis dieser Prüfung wird nicht nur bei jeder Durchführung der Überprüfungen aktualisiert, sondern wird auch nachgeführt, wenn der Client im Betrieb feststellt, dass sich der Konnektivitätsstatus geändert hat, also die Verbindung verloren oder wiederhergestellt wurde. HIN Client Handbuch © HIN 2011 Seite 37/86 6.3.2 HIN Client Versionskontrolle Diese Überprüfung prüft, ob die installierte HIN Client Version noch benutzt werden darf bzw. warnt vor dem bevorstehenden Ablauf der HIN Client Version. Gegebenenfalls werden alle Aktionen blockiert, die mit einem abgelaufenen HIN Client nicht mehr erlaubt sind. Die Versionsinformation wird vom Server geladen. Auf Produktion ist dies die Datei https://download.hin.ch/download/version.xml. Mögliche Meldungen (1) <Versionsspezifische Upgrade-Information aus dem version.xml> oder (2) Ihre Version ist veraltet. oder (3) Ihre Version ist veraltet. Informieren Sie den Administrator dieses Systems. Aktualisieren Sie jetzt auf die neueste Version. Die aktuelle Clientversion … (1) darf laut dem Ablaufdatum in der version.xml nicht mehr verwendet werden (2) (3) ist so alt, dass sie gar nicht mehr im version.xml eingetragen ist, und muss deshalb aktualisiert werden. Über den Link gelangt man direkt zum HIN Aktualisierungs-Dialog. (3) Ist in der Konfiguration die Option client.upgrade.disabled=true gesetzt, so wird auch der Zusatz ausgegeben, man soll seinen Administrator informieren, da in diesem Fall der Benutzer selbst keine Upgrades durchführen darf. Auswirkungen: • Beim Schliessen der Statusprüfung wird der Aktualisierungs-Dialog geöffnet. • Die HIN Client Funktionalität wird soweit eingeschränkt, dass nur noch die Aktion „HIN Client aktualisieren“ möglich ist. <Versionsspezifische Upgrade-Information aus dem version.xml> Aktualisieren Sie jetzt auf die neueste Version. Die aktuelle Clientversion soll laut dem Warn-Datum im version.xml nicht mehr lange verwendet werden. Über den Link gelangt man direkt zum HIN Aktualisierungs-Dialog. Auswirkungen: • keine Versionen konnten nicht heruntergeladen werden. Da keine Verbindung zum HIN Server aufgebaut werden konnte, konnte die Datei version.xml nicht geladen werden. Auswirkungen: • 6.3.3 es können keine Software-Upgrades durchgeführt werden Download Infomeldungen Diese Prüfung lädt Info-Nachrichten für die HIN Kunden vom Server und zeigt diese dem Benutzer an. Diese Dateien sind unter https://download.hin.ch/download/infoMessages.xml abgelegt. HIN Client Handbuch © HIN 2011 Seite 38/86 Mögliche Meldungen <Nachricht aus infoMessages.xml> Für jeden Eintrag in der infoMessages.xml wird eine entsprechende Info-Meldung angezeigt. Auswirkungen: • keine Info Nachrichten konnten nicht heruntergeladen werden. Da keine Verbindung zum HIN Server aufgebaut werden konnte, konnte die Datei infoMessages.xml nicht geladen werden. Auswirkungen: • 6.3.4 es werden keine Infomessages angezeigt Ausgewählte Identität prüfen Dieser Check prüft, … • (1) ob das Zertifikat der aktuell angemeldeten HIN Identität noch gültig ist bzw. warnt vor dem bevorstehenden Ablauf • (2) ob die Zertifikatsdatei dieser Identität zugreifbar ist (oder z.B. auf einem USBStick ist, der nicht eingesteckt ist). Prüfung (1) wird beim Start des HIN Client nicht durchgeführt, da zu diesem Zeitpunkt noch keine HIN Identität angemeldet ist, und diese Prüfung nur für angemeldete Identitäten möglich ist. Mögliche Meldungen Das HIN Abonnement <HIN_Login> ist inaktiv. Das Abonnement ist abgelaufen resp. wurde gekündigt und die Identität kann deshalb nicht mehr verwendet werden. Der HIN Support muss kontaktiert werden. Auswirkungen: • Die Identität kann nicht mehr exportiert werden, und auch die Aktionen „Passphrase ändern“ und „Verlängern“ sind nicht mehr möglich. • Die Identität kann nicht mehr angemeldet werden. • Die Identität erscheint nicht mehr im Passphrasedialog oder im SystemtrayPopupmenü. Die Identität <HIN_Login> ist abgelaufen. Die Identität ist ablaufen und kann deshalb nicht mehr verwendet werden. Sie kann auch nicht mehr im HIN Client erneuert werden. Eine Erneuerung muss über den HIN Support beantragt werden. Auswirkungen: • Die Identität kann nicht mehr exportiert werden, und auch die Aktionen „Passphrase ändern“ und „Verlängern“ sind nicht mehr möglich. • Die Identität kann nicht mehr angemeldet werden. Stattdessen erscheint in der Identitätsverwaltung der Button „Jetzt verlängern“. • Die Identität erscheint nicht mehr im Passphrase Dialog oder im SystemtrayPopupmenü. HIN Client Handbuch © HIN 2011 Seite 39/86 Die Identität <HIN_Login> wird in den nächsten Tagen ungültig. Die Identität wird in den nächsten Tagen ablaufen und kann deshalb nicht mehr verwendet werden. Sie muss deshalb erneuert werden. Auswirkungen: • Die Identität kann nicht mehr exportiert werden, und auch die Aktion „Passphrase ändern“ ist nicht mehr möglich. • Die Identität kann nicht mehr angemeldet werden. Stattdessen erscheint in der Identitätsverwaltung der Button „Jetzt verlängern“. • Die Identität erscheint nicht mehr im Passphrasedialog oder im SystemtrayPopupmenü. Die Identität <HIN_Login> wird bald ungültig. Die Identität wird in nächster Zeit ablaufen, kann aber noch verwendet werden. Sie sollte trotzdem bald erneuert werden. Auswirkungen: • Die Aktion „Verlängern“ wird aktiviert. Die Identitätsdaten für die ausgewählte Identität sind momentan nicht verfügbar. Die Keystore-Datei der ausgewählten Identität ist nicht vorhanden (z.B. weil der USB-Stick, von dem sie geladen werden soll, nicht eingesteckt ist) bzw. es kann nicht darauf zugegriffen werden (evtl. wegen Antivirus-Software). Auswirkungen: 6.3.5 • Die Identität kann nicht verwendet werden. • In der Identitätsverwaltung wird bei dieser Identität das Warnsymbol, die oben beschriebene Warnmeldung, und der Link „Erneut überprüfen“ angezeigt. HIN Plattformzugang überprüfen Diese Prüfung (1) prüft den Zugang auf die HIN Plattform (durch einen gesicherten Zugriff auf servicecenter.hin.ch/clientservices/) und (2) lädt ausserdem die „Whitelist“-Datei vom Server nach, die entscheidend dafür ist, welche Internetadressen als HIN-geschützte Applikationen interpretiert werden (und deshalb vom HIN Client von der HIN Plattform angefordert werden anstatt aus dem Internet). Mögliche Meldungen Der Zugriff auf die HIN Plattform ist momentan nicht möglich, bitte versuchen Sie es später nochmals. Auf die HIN Plattform kann momentan nicht zugegriffen werden Auswirkungen: • Zugriff auf HIN-gesicherte Applikationen ist wahrscheinlich nicht möglich • Das Senden und Empfangen von HIN-E-Mails ist wahrscheinlich unmöglich Der zweite Teil dieser Prüfung (Whitelist-Update) ist also keine wirkliche Überprüfung, sondern sorgt nur dafür, dass die Whitelist, die der Client benutzt, immer aktuell ist. Die Whitelist wird auf Produktion von https://app.hin.ch/download/whitelist.txt geladen. HIN Client Handbuch © HIN 2011 Seite 40/86 Diese Überprüfung gibt nie Meldungen aus. Auch wenn keine Netzwerkverbindung vorhanden ist, wird keine Warnung erzeugt, sondern stillschweigend auf die lokal gespeicherte letzte Version dieser Datei zurückgegriffen. 6.3.6 Weitere Identitäten prüfen Hier wird geprüft, ob mindestens eine benutzbare Identität vorhanden ist. Falls nicht, wird in der Folge die Identitätsverwaltung aktiviert, damit eine neue Identität registriert bzw. eine bestehende Identität importiert werden kann. Zusätzlich wird geprüft, ob die Identitätsdaten (die .hin-Datei) der aktiven Identität vorhanden sind. Diese Prüfungen erfolgen nicht im Headless Modus! Mögliche Meldungen Sie haben per Einschreiben Ihren HIN Login und Ihr Initialisierungspasswort erhalten. Registrieren Sie sich jetzt mit diesen Informationen. Es ist noch keine Identität vorhanden. Über den Link gelangt man direkt zum Wizard, über den neue Identitäten registriert werden können. Diese Meldung wird immer zusammen mit der nächsten angezeigt. Auswirkungen: • Beim Schliessen der Statusprüfung wird automatisch der Wizard zum Registrieren einer Identität geöffnet. • Der HIN Client kann ohne Identität nicht verwendet werden. Sie haben eine bereits registrierte Identität auf einer anderen Arbeitsstation. Importieren Sie jetzt diese HIN Identität. Es ist noch keine Identität vorhanden. Über den Link gelangt man direkt zum Wizard, über den Identitäten importiert werden können. Diese Meldung wird immer zusammen mit der oben beschriebenen angezeigt. Auswirkungen: • Beim Schliessen der Statusprüfung wird automatisch der Wizard zum Registrieren einer Identität geöffnet. • Der HIN Client kann ohne Identität nicht verwendet werden. Alte Identitäten wurden in den neuen HIN Client übernommen. Aktualisieren Sie jetzt diese HIN Identitäten Es sind alte ASAS Identitäten vorhanden, die übernommen werden müssen. Über den Link gelangt man direkt zum entsprechenden Wizard. Auswirkungen: • Beim Schliessen der Statusprüfung wird automatisch der Wizard zum Erneuern der ASAS Identität geöffnet. • Der HIN Client kann ohne nutzbare Identität nicht verwendet werden. Momentan sind keine nutzbaren HIN Identitäten vorhanden, gehen Sie in die Identitätsverwaltung um das Problem zu beheben. Gehe zur Identitätsverwaltung Es sind nur Identitäten vorhanden, die aus irgendwelchen Gründen nicht nutzbar HIN Client Handbuch © HIN 2011 Seite 41/86 sind. Über den Link gelangt man direkt zur Identitätsverwaltung. Auswirkungen: • Beim Schliessen der Statusprüfung wird automatisch die Identitätsverwaltung geöffnet. • Der HIN Client kann ohne nutzbare Identität nicht verwendet werden. Es sind nicht nutzbare HIN Identitäten vorhanden, gehen Sie in die Identitätsverwaltung um das Problem zu beheben. Gehe zur Identitätsverwaltung Mindestens eine Identität kann nicht benutzt werden. Aber es gibt mindestens eine benutzbare Identität, weshalb das Arbeiten mit dem HIN Client möglich ist. HIN Client Handbuch © HIN 2011 Seite 42/86 7 HIN Client – Upgrade 7.1 Überblick Es ist möglich, direkt aus dem HIN Client im laufenden Betrieb ein Upgrade zu installieren, also eine neue Version des HIN Client zu installieren. Es gibt zwei Arten des Upgrade: • ein vollständiger Upgrade (entspricht quasi einer Neuinstallation), enthält unter Windows u.a. eine komplette Java Runtime (JRE), und benötigt deshalb Administratorrechte • ein einfacher Upgrade erfordert keine Administrationsrechte und enthält keine eigene JRE Für jede Version ist definiert, ob es sich um einen einfachen oder vollständigen Upgrade handelt. Vollständige Upgrades wird es wahrscheinlich nur dann geben, wenn die Notwendigkeit besteht, eine neue JRE auszuliefern, bzw. bei jeder neuen Major Version (also z.B. alle 1 oder 2 Jahre). Wichtig ist noch folgendes: • Upgrades sind nicht inkrementell: es müssen nicht alle Zwischen-Versionen installiert werden, um auf eine neue Version springen zu können. Hat der Benutzer Version 1.0, und es stehen Versionen 1.1, 1.2 und 1.5 zum Upgrade bereit, kann direkt ein Upgrade auf 1.5 erfolgen. • Es gibt auch versteckte Upgrades, die nicht für jeden HIN Benutzer sichtbar sind. Dadurch können für spezielle Kunden spezielle Versionen (z.B. Beta-Versionen) verfügbar gemacht werden, die nicht von allen Kunden benutzt werden sollen. • Wird ein vollständiges Upgrade übersprungen, muss ein späterer einfacher Upgrade als vollständiges Upgrade installiert werden. Hat der Benutzer z.B. Version 1.0, und es gibt Versionen 2.0 (Vollständiges Upgrade) und 2.2 (Einfaches Upgrade) zur Auswahl, dann muss auch Version 2.2 als vollständiges Upgrade installiert werden, falls 2.0 übersprungen wird. Nur so kann gewährleistet werden, dass ab Version 2.0 bei jeder HIN Client Installation z.B. die entsprechende neue JRE vorhanden ist. 7.2 HIN Client aktualisieren Die Aktion „HIN Client aktualisieren“ im Systemtray öffnet das Upgrade Fenster. Hier werden alle vorhandenen Upgrades (absteigend nach Versionsnummer) sortiert angezeigt und können ausgewählt werden. Versteckte Upgrades (Beta Versionen) werden standardmässig nicht angezeigt. Sie können aber durch die Tastenkombination Ctrl-Shift-Alt-h ein- und ausgeblendet werden, und werden dann grau dargestellt. HIN Client Handbuch © HIN 2011 Seite 43/86 7.3 Durchführung des Upgrade 7.3.1 Einfacher Upgrade Beim einfachen Upgrade wird der HIN Client als Archivdatei (zip, tar, …) heruntergeladen. Das Archiv enthält den vollständigen HIN Client, die Launcher-Dateien (z.B. die exe-Datei unter Windows), die Firefox-Extension. Nur die JRE (unter Windows normalerweise Bestandteil des Installers) ist nicht inkludiert. Nach dem Upgrade ist ein Neustart des HIN Clients nötig. Wird er nicht neu gestartet arbeitet man bis zum Neustart mit der laufenden (alten) Version weiter. Das Installationsverzeichnis ist %HINCLIENT_INSTALL_DIR%/versions/, wenn mit Adminrechten installiert wurde, bzw. %Application Data%/HIN/HIN Client/versions/, wenn ohne Adminrechte installiert wurde. 7.3.2 Vollständiger Upgrade Die Installation erfolgt über den Installer, weshalb Adminrechte notwendig sind. Das Installationsverzeichnis ist hier immer der Ort der bestehenden Installation. 7.3.3 Bereitstellen von neuen Upgrades/Versionen Auf dem Download-Server wird in der Datei version.xml definiert, welche neuen Versionen bzw. Upgrades zum Download angeboten werden. Für jede einzelne Version existiert ein solcher Eintrag: <Version> <Id>0.1.3-5</Id> <AllowUpgrade> <Date>01.08.2010</Date> <Message> <German>Deutsche Meldung</German> <French>message français</French> </Message> </AllowUpgrade> HIN Client Handbuch © HIN 2011 Seite 44/86 <WarnDisallowUse> <Date>01.09.2010</Date> <Message> <German>Deutsche Meldung</German> <French>message français</French> </Message> </WarnDisallowUse> <DisallowUse> <Date>15.09.2010</Date> <Message> <German>Deutsche Meldung</German> <French>message français</French> </Message> </DisallowUse> <Hidden>true</Hidden> <ForceInstall>false</ForceInstall> <DownloadInstaller>”URL zum Installer-Verzeichnis”</DownloadInstaller> <DownloadUpgrade>”URL zum Upgrade-Verzeichnis”</</DownloadUpgrade> <Description> <German>Deutsche Beschreibung</German> <French>description français</French> </Description> <ReleaseNotes>”URL zu den Release Notes”</ReleaseNotes> </Version> Für jede Version ist also beschrieben: • Id: der Versionsstring • AllowUpgrade: das Datum, ab welchem diese Version installiert werden darf, inkl. einer Meldung, die dem Benutzer angezeigt wird (zweisprachig). Ab diesem Datum ist diese Version für HIN Client Benutzer sichtbar (Ausnahme: Hidden ist aktiviert). • WarnDisallowUse: das Datum, ab welchem dem Benutzer eine Meldung angezeigt werden soll, dass er bald auf eine neuere Version Updaten muss, inkl. der Meldung selbst (zweisprachig). Das heisst Benutzer, die diese Version installiert haben, bekommen ab diesem Datum die hier konfigurierte Upgrade-Meldung angezeigt. Es besteht aber noch kein Zwang zum Upgrade. • DisallowUse: das Datum, ab welchem der Benutzer diese Version nicht mehr verwenden darf, inkl. der Meldung (zweisprachig) • Hidden: das Flag, ob es sich um eine versteckte Version (Beta Version) handelt • ForceInstall: das Flag, ob ein vollständiges Upgrade notwendig ist • DownloadInstaller/DownloadUpgrade: die URLs zum Download der Installer bzw. Upgrade-Archive (je nachdem, ob ein vollständiges Upgrade notwendig ist oder nicht) • Description/ReleaseNotes: eine kurze Beschreibung zu dieser Version (zweisprachig) und ein Link zu den Release Notes. Die Release Notes werden dabei über das Service Center geladen und angezeigt. Folgende Punkte müssen dabei beachtet werden: • Auf Sonderzeichen in den Beschreibungen muss geachtet werden! Sie können benutzt werden, führen jedoch oft dazu, dass beim Einfügen von Text mit Sonderzeichen die darauf folgenden Buchstaben abgeschnitten werden. • Der Abschnitt AllowUpgrade muss für jede Version vorhanden und ausgefüllt sein HIN Client Handbuch © HIN 2011 Seite 45/86 • 7.3.4 DisallowUse darf für die neueste Version nicht gesetzt (true) sein Client Startup Hier noch einige technische Details zur Umsetzung des Upgrade: • Der HIN Client wird immer über den Launcher aus der Originalinstallation gestartet. • Dieser sucht in den (systemweiten und benutzerspezifischen) Verzeichnissen nach der aktuellsten Version und startet diese • Die erhaltenen Commandline Parameter werden weitergereicht • Unter Windows ist wichtig, dass eine Upgrade-Version des HIN Clients mit dem korrekten JRE (im Installationsverzeichnis) ausgeführt wird. Upgrade- o Bei der Installation des HIN Clients mittels Installer wird das JRE mit installiert. Install4J legt dabei im Installationsverzeichnis die Datei .install4j/pref_jre.conf an, welche den Pfad zum installierten JRE enthält. Findet der Launcher diese Datei im vorgegebenen Verzeichnis, wird das darin konfigurierte JRE benutzt. Bei der Installation eines einfachen Upgrades wird daher diese Datei aus dem originalen Installationsverzeichnis ins Upgrade-Verzeichnis kopiert. o Fehlt die oben beschriebene Datei, prüft der Launcher die Windows Registry und definierte Umgebungsvariablen. Aus diesem Grund lädt der Launcher aus der Originalinstallation des HIN Clients immer den Pfad zum JRE, mit welchem er aktuell ausgeführt wird und übergibt diesen Wert über die Umgebungsvariable HIN_CLIENT_JAVA_HOME der Upgrade-Version, bevor er sich selber beendet. HIN Client Handbuch © HIN 2011 Seite 46/86 8 HIN Client – Einstellungen Die Konfiguration des HIN Client kann über das Einstellungen GUI verändert werden. Es gibt drei Gruppen von Einstellungen: • Allgemeine Einstellungen • Browser Einstellungen • Netzwerk Einstellungen (der sogenannte „Expertenmodus“) Alle Einstellungen, die ein Benutzer hier ändert, werden in der Datei hinclient.properties in seinem benutzerspezifischen HIN Ordner (z.B. C:\Documents and Settings\<User>\Application Data\HIN\HIN Client\) gespeichert. Änderungen, die ein Benutzer also über die „Einstellungen“ ändert, gelten nur für diesen Betriebssystembenutzer – auch wenn es sich dabei um einen Administratorbenutzer handelt. 8.1 Allgemeine Einstellungen Hier kann folgendes konfiguriert werden: • die vom HIN Client verwendete Sprache (Deutsch oder Französisch): bei einer Änderung ist ein Neustart des HIN Client notwendig • Autostart: hier kann eingestellt werden, ob der HIN Client automatisch bei der Anmeldung des (Betriebssystem-)Benutzers gestartet werden soll. HIN Client Handbuch © HIN 2011 Seite 47/86 • Neuanmeldung für Single-Sign-On: der HIN Client merkt sich die Passphrase einer angemeldeten Identität, sobald sie eingegeben wurde, für die hier konfigurierbare Zeitspanne. Nach dieser Zeit muss die Passphrase beim nächsten Zugriff auf die HIN Plattform wieder eingegeben werden. 8.2 Browsereinstellungen Der HIN Client konfiguriert nach dem Start die hier angewählten Webbrowser automatisch so, dass sie ihn als HTTP-Proxy verwenden. Internet Explorer kann nur unter Windows ausgewählt werden, und Safari nur unter Mac OS X. Nach der Installation des Client sind diese beiden Browser auf der jeweiligen Plattform auch per Default aktiviert. Firefox wird sowohl auf Windows als auch auf Mac OS X unterstützt (kann also aktiviert oder deaktiviert werden). Wie bereits im Kapitel über den HIN Client Installer beschrieben, ist Firefox aber nur dann aktiviert, wenn während der Installation eine Firefox Installation im DefaultInstallations-Verzeichnis gefunden wurde. Wurde diese Firefox Installation nicht gefunden, muss entweder jeder Benutzer für sich die Firefox-Option aktivieren, oder (wenn mehrere Benutzer den HIN Client auf dem gleichen Rechner benutzen) die zentrale Konfigurationsdatei kann entsprechend angepasst werden (siehe Kapitel über die HIN Client Konfigurationsdateien). Unter „Weitere Browser“ kann eine Hilfeseite angezeigt werden, die angibt, wie andere Browser manuell so konfiguriert werden können, dass sie den HIN Client verwenden. 8.3 Netzwerkeinstellungen 8.3.1 Internet Proxy In manchen Netzwerken verhindert eine Firewall den direkten Zugriff auf das Internet, und ein HTTP-Proxy muss dafür verwendet werden. Die Internet Proxy Einstellungen bestimmen, ob der HIN Client zur Kommunikation mit der HIN Client Plattform bzw. mit dem Internet einen HTTP/HTTPS-Proxy verwendet. Soll ein Proxy benutzt werden, dann wird dessen Name (Hostname oder IP-Adresse) und Portnummer ebenfalls hier konfiguriert. Wichtig ist, dass der benutzte HTTP-Proxy auch HTTPS (Zugriff u.a. auf die HIN Plattform auf Port 443) unterstützen muss! HIN Client Handbuch © HIN 2011 Seite 48/86 8.3.2 HIN Client Ports Der zweite Teil, die Konfiguration der HIN Client Ports, legt fest, auf welchen Portnummern der HIN Client seine Dienste anbietet. Jeder dieser Dienste wird über einen eigenen Netzwerkport angeboten. Diese Information ist somit wichtig für Drittanwendungen, die die Services nutzen: • HTTP: Port, der im Browser eingetragen wird und von anderen Applikationen, die http basierte Kommunikation benutzen eingesetzt werden muss. Defaultwert: 5016 • POP3: Port, der für den Abruf von E-Mails verwendet ist und bei der E-Mail Konfiguration eingetragen werden muss. Defaultwert: 5019 • SMTP: Port, der für den Versand von E-Mails verwendet wird und bei der E-Mail Konfiguration eingetragen werden muss. Defaultwert: 5018 • Lokale Client API: Port, der lokalen Applikationen die Möglichkeit gibt Informationen über den Status des HIN Clients und vorhandene und angemeldete Identitäten abzufragen. Weitere Details dazu finden sich im Dokument „HIN Client API, Technische Schnittstelle“, das von HIN bezogen werden kann. Wichtig: Eine Portnummer kann auf einem Rechner nur einmal verwendet werden. Läuft der HIN Client gleichzeitig mehrmals auf einem Rechner (z.B. mehrere gleichzeitig angemeldete Benutzer haben den HIN Client gestartet, oder auf einer TerminalserverUmgebung), dann müssen jedem Betriebssystembenutzer unterschiedliche Portnummern zugewiesen werden! Benutzt ein HIN Client (oder auch eine andere Anwendung) bereits den Port 5016, dann kann ein anderer HIN Client, der auf dem gleichen Rechner von einem anderen Benutzer gestartet wird, das entsprechende Service nicht auch auf Port 5016 starten. HIN Client Handbuch © HIN 2011 Seite 49/86 9 Browserkonfiguration Damit ein Webbrowser sicher über den HIN Client auf die HIN Plattform zugreifen kann, muss er den HIN Client als HTTP-Proxy verwenden. Das heisst, die Proxy-Einstellungen des Browsers müssen so konfiguriert sein, dass der Proxy auf dem Host „localhost“ mit dem im Client konfigurierten HTTP-Port für den Zugriff auf HTTP-Seiten genutzt wird. Achtung: Der Abruf von HTTPS-Seiten über den HIN Client wird nicht unterstützt. Die ProxyEinstellungen des HIN Client dürfen somit nicht für HTTPS (Secure) verwendet werden. 9.1 Automatische Browserkonfiguration Einige Webbrowser werden explizit unterstützt, sodass der HIN Client selbst bei seinem Start dafür sorgt, dass sie automatisch richtig konfiguriert werden, und diese Änderungen beim Beenden des HIN Client wieder rückgängig gemacht werden. Diese unterstützten Browser sind: • Internet Explorer unter Windows • Safari unter Mac OS X • Mozilla Firefox unter Windows und Mac OS X Bei diesen Browsern trägt sich der HIN Client also selber als HTTP-Proxy ein, und trägt sich beim Beenden wieder aus, sodass die ursprünglichen Einstellungen wieder hergestellt sind. Achtung: die Proxy-Konfiguration über PAC-Files wird nicht unterstützt! Diese ursprünglichen Einstellungen werden dabei in Dateien im benutzerspezifischen HINVerzeichnis (z.B. C:\Documents and Settings\<User>\Application Data\HIN\HIN Client\) zwischengespeichert. Beim Beenden liest der HIN Client diese Information wieder ein, und setzt die Browsereinstellungen entsprechend zurück. Wird der HIN Client nicht sauber beendet (z.B. bei einem Rechnerabsturz), können auch die Browsereinstellungen nicht zurückgesetzt werden. Dies wird aber beim nächsten Start des HIN Clients bemerkt, sodass nach dessen Beendigung wieder der ursprüngliche Zustand hergestellt werden kann. Während die Browsereinstellungen für den Internet Explorer (unter Windows) und Safari (unter Mac OS X) über spezielle Betriebssystemprogramme/-befehle konfiguriert werden, wird für Firefox (sowohl auf Windows, als auch auf Mac OS X) eine Firefox-Extension verwendet. Der HIN Client installiert diese, falls noch nicht vorhanden, bei seinem Start in das benutzerspezifische Firefox-Profil. Beim nächsten Start des Firefox Browsers wird die Extension erkannt, was durch das HIN Schlüssel Icon im rechten unteren Eck des Browserfensters erkennbar ist. Wenn der HIN Client läuft, ist das Icon orange, sonst grau. Technisches Detail: die Kommunikation zwischen HIN Client und Firefox Extension erfolgt über die Datei proxyConfig.ini im benutzerspezifischen HIN Verzeichnis. Bemerkung: Sowohl für Safari auf Mac OS X, als auch für Internet Explorer auf Windows werden vom HIN Client die Proxy Settings systemweit für diesen aktuellen Benutzer umkonfiguriert, sodass auch andere Browser, die diese systemweiten Proxyeinstellungen verwenden, mit dem HIN Client zusammenarbeiten können. So kann es sein, dass auch nicht offiziell unterstützte Browser ganz gut automatisch mit dem HIN Client zusammenarbeiten können (z.B. Safari unter Windows). HIN Client Handbuch © HIN 2011 Seite 50/86 9.1.1 Einschränkungen unter Mac OS X Unter Mac OS X gibt es einige Einschränkungen bei der automatischen Proxy-Konfiguration. Diese sind je nach verwendeter Mac OS-Version unterschiedlich stark ausgeprägt. Alle Versionen von Mac OS (10.4, 10.5, 10.6 und neuere Versionen): • Falls ein inaktiver HTTP-Proxy in den System-Einstellungen eingetragen ist, wird dieser entfernt und durch die Einstellung „Kein Proxy-Server“ ersetzt. • Es werden nur die Proxy-Einstellungen für das aktive Netzwerkinterface geändert (z.B. „Ethernet“). Falls sich das aktive Netzwerkinterface ändert während der HIN Client läuft (z. B. auf „Airport“), können die Proxy-Einstellungen fürs vorherige aktive Netzwerkinterface („Ethernet“) trotzdem wiederhergestellt werden. Es kann in diesem Fall aber nicht geprüft werden, ob andere Anwendungen an dessen ProxyEinstellungen etwas geändert haben. Nur Mac OS 10.6 und neuere Versionen: • Falls der HTTP-Proxy Authentifizierungsinformationen braucht, können diese nicht gelesen werden. Das wird erkannt und es findet keine automatische ProxyKonfiguration statt. • Die „Automatische Proxy-Erkennung“ (Proxy Auto-Discovery) kann nicht abgeschaltet werden. Falls sie eingeschaltet ist, wird das erkannt und es findet keine automatische Proxy-Konfiguration statt. Nur Mac OS 10.4 und Mac OS 10.5: • Falls in den Systemeinstellungen bereits ein HTTP-Proxy konfiguriert ist, und dieser HTTP-Proxy Authentifizierungsinformationen braucht, gehen die Authentifizierungsinformationen beim Wiederherstellen der Proxy-Einstellungen verloren. Nur Mac OS 10.4: • Das Programm „Apple Remote Desktop Client“ muss installiert sein, damit die automatische Proxy-Konfiguration funktioniert. Es gehört zum Lieferumfang von Mac OS 10.4 und wird normalerweise automatisch installiert. • Die „Automatische Proxy-Konfiguration (PAC)“ kann nicht abgeschaltet werden. Falls sie eingeschaltet ist, wird das erkannt und es findet keine automatische ProxyKonfiguration statt. 9.2 Manuelle Browserkonfiguration In manchen Fällen kann es notwendig sein, die Anpassung der Proxysettings für den Browser manuell durchzuführen. Dies ist zum Beispiel der Fall, wenn der HIN Client auf einem anderen Rechner installiert ist, z.B. im Headless Modus. In diesem Fall kann der HIN Client die Browsereinstellungen nicht selbständig anpassen, sodass dies manuell erfolgen muss. In den folgenden Beispielen wird als HTTP-Proxy immer localhost eingetragen. Im oben beschriebenen Fall, dass der HIN Client auf einem anderen Rechner läuft, muss stattdessen dessen Netzwerkname oder IP-Adresse angegeben werden. 9.2.1 Internet Explorer (Windows) Die System- bzw. Internet Explorer-Proxy-Einstellungen sind im IE im Menü „Tools“ (englisches Windows XP) im Menüpunkt „Internet Options“ im „Connections“-Tab unter „LAN Settings“ zu finden. Hier muss das Häkchen bei „Use a proxy server…“ aktiviert werden. HIN Client Handbuch © HIN 2011 Seite 51/86 Über den „Advanced“-Button gelangt man in den „Proxy Settings“ Dialog, wo der HTTPProxy und Port konfiguriert werden können. 9.2.2 Safari (Mac OS X) Die Mac OS X Proxy-Einstellungen sind in den Systemeinstellungen unter Netzwerk zu finden. Dort muss die entsprechende Netzwerkschnittstelle (z.B. Ethernet) ausgewählt werden, und über „Weitere Optionen“ gelangt man im „Proxies“-Tab zu dem Dialog, wo HTTP-Proxy und Port konfiguriert werden können. 9.2.3 Firefox Die entsprechenden Firefox-Einstellungen sind (z.B. bei der deutschsprachigen WindowsVersion Firefox 3) über das Menü „Extras“ unter „Einstellungen“ erreichbar. In den „Erweitert“-en Einstellungen im Tab „Netzwerk“ können über „Einstellungen“ die VerbindungsEinstellungen geöffnet werden. Hier wird „Manuelle Proxy-Konfiguration“ ausgewählt und der entsprechende HTTP-Proxy und Port eingegeben. HIN Client Handbuch © HIN 2011 Seite 52/86 HIN Client Handbuch © HIN 2011 Seite 53/86 10 Einrichtung von Mailkonten im Mailprogramm 10.1 Kurzfassung Bitte tragen Sie in Ihrem Mailprogramm folgendes ein. 10.1.1 Posteingangsserver (POP3) Server-Name 127.0.0.1 Port 5019 Passwort Ein beliebiges Passwort 10.1.2 Postausgangsserver (SMTP) Server-Name 127.0.0.1 Port 5018 10.1.3 Weitere Hinweise Wichtig: Die Port-Nummern können im HIN Client verändert werden. Bitte überprüfen Sie deshalb in den Einstellungen des HIN Clients nach, welche Port-Nummern tatsächlich verwendet werden. 10.2 Konfiguration von Microsoft Outlook 2003 Wählen Sie „Extras“ à „E-Mail-Konten“, „Ein neues E-Mail-Konto hinzufügen“. HIN Client Handbuch © HIN 2011 Seite 54/86 Wählen Sie „POP3“. Geben Sie dann Ihren Namen, Ihre HIN E-Mail-Adresse, Ihren Benutzernamen (=HIN Login) und das Passwort „HIN oder ein beliebiges“ (ohne Anführungszeichen) ein. Der Posteingangsserver (POP3) und der Postausgangsserver (SMTP) muss auf „127.0.0.1“ gesetzt werden. Klicken Sie dann auf „Weiter Einstellungen“. Wählen Sie eine passende Beschreibung für dieses Mailkonto, zum Beispiel „HIN Secure Mail“. HIN Client Handbuch © HIN 2011 Seite 55/86 Klicken Sie dann auf die Karteikarte „Erweitert“. Dort müssen Sie die richtigen Port-Nummern eingeben. Die Standardwerte sind 5019 für den Posteingangsserver (POP3) und 5018 für den Postausgangsserver (SMTP). Die richtigen Werte finden Sie in den Einstellungen des HIN Clients. Nach zwei Klicks auf „OK“, „Weiter“ ist die die Konfiguration abgeschlossen. Normalerweise speichert Microsoft Outlook alle E-Mails zusammen im gleichen Ordner. Wenn Sie einen separaten Ordner für die HIN E-Mails wünschen, wählen Sie bitte „Extras“ à „E-Mail-Konten“, „Vorhandene E-Mail-Konten anzeigen oder bearbeiten“ und dann „Neue Outlook-Datendatei“. Nachdem Sie es erstellt haben, markieren Sie das HIN-Mail-Konto und wählen Sie bei „Neue Nachrichten übermitteln an:“ die soeben erstellte Outlook-Datendatei. HIN Client Handbuch © HIN 2011 Seite 56/86 10.3 Konfiguration von Apple Mail Öffnen Sie die Einstellungen von Apple Mail, und klicken Sie auf das „+“-Symbol links unten, um ein neues Mailkonto einzurichten. 10.3.1 Server für eintreffende E-Mails Wählen Sie als Servertyp „POP“. Sie können eine beliebige Beschreibung eingeben, zum Beispiel „HIN Secure Mail“. Geben Sie bei „Server für eintreffende E-Mails“ den Server-Namen „127.0.0.1“ ein. Der Benutzername entspricht dem HIN Login. Das Kennwort ist „HIN“ oder ein beliebiges (ohne Anführungszeichen). Klicken Sie auf „Fortfahren“. Es wird nun eine Warnung angezeigt. Das ist normal, Sie können diese Warnung ignorieren und auf „fortfahren“ klicken. HIN Client Handbuch © HIN 2011 Seite 57/86 10.3.2 Sicherheit für eintreffende E-Mails Die Einstellung „SSL verwenden“ deaktiviert lassen. Für die Identifizierung bitte „Kennwort“ auswählen. 10.3.3 Server für ausgehende E-Mails Bitte geben Sie „127.0.0.1“ als Server für ausgehende E-Mails ein. Die Beschreibung können Sie wieder frei wählen. Aktivieren Sie „Nur diesen Server verwenden“. Damit ist sichergestellt, dass alle E-Mails, welche Ihre HIN E-Mail-Adresse als Absender tragen, auch tatsächlich über den HIN Client versendet werden. Lassen Sie den Punkt „Identifizierung verwenden“ deaktiviert. Nach einem Klick auf „Fortfahren“ erhalten Sie wieder eine Warnung. Sie können auch diese Warnung ignorieren und auf „Fortfahren“ klicken. HIN Client Handbuch © HIN 2011 Seite 58/86 10.3.4 Sicherheit für ausgehende E-Mails Die Einstellung „SSL verwenden“ deaktiviert lassen. Für die Identifizierung „Ohne“ auswählen. 10.3.5 Account-Zusammenfassung Lassen Sie „Account online schalten“ deaktiviert. Die Account-Beschreibung, der Name („cmuster“), E-Mail Adresse und der Benutzername dürfen hier abweichen, die restlichen Werte sollten so sein wie abgebildet. HIN Client Handbuch © HIN 2011 Seite 59/86 10.3.6 Eintragen der Port-Nummer für den Postausgangsserver (SMTP) In der Account-Übersicht wird nun das neue Mailkonto aufgeführt. Bei „SMTP-Server“ steht momentan „HIN SMTP (Offline)“. Klicken Sie darauf, und wählen Sie „SMTP-Serverliste bearbeiten“. Im nun erscheinenden Dialogfenster klicken Sie bitte auf „Erweitert“. Nun können Sie die Port-Nummer für den Postausgangsserver (SMTP) eingeben. Der Standardwert ist 5018. Bitte schauen Sie in den Einstellungen des HIN Clients nach, um die richtige Portnummer zu erfahren. HIN Client Handbuch © HIN 2011 Seite 60/86 10.3.7 Eintragen der Port-Nummer für den Posteingangsserver (POP3) Bitte klicken Sie in der Account-Übersicht auf „Erweitert“. Bei „Port“ tragen Sie bitte die richtige Port-Nummer ein. Der Standardwert ist 5019. Den richtigen Wert finden Sie in den Einstellungen des HIN Clients. 10.4 Konfiguration von Thunderbird Beim Ersten Start von Thunderbird wird eventuell ein Wizard geöffnet, der es erlaubt Daten von anderen Mailprogrammen (z.B. von Outlook) zu importieren. Beenden Sie diesen Wizard. 10.4.1 Einrichten eines neuen Kontos Anschliessend wird der Wizard zum Einrichten eines Kontos geöffnet. Wird dieser Wizard nicht automatisch geöffnet, öffnen Sie bitte unter „Extras“ die KontenEinstellungen von Thunderbird, und wählen Sie bei den „Konten-Aktionen“ die Aktion „EMail-Konto hinzufügen…“. Im Dialog „Konto einrichten“ geben Sie bei „Ihr Name“ ihren Namen ein (kann frei gewählt werden). Geben Sie bei „E-Mail-Adresse“ die HIN E-Mail Adresse ein. Geben Sie als Passwort „HIN“ oder ein beliebiges ein (das Passwort wird vom Mail Entry Server nicht verifiziert, darf aber aus Sicht des Mailprogramms nur nicht leer sein!). HIN Client Handbuch © HIN 2011 Seite 61/86 Klicken Sie auf „Weiter“. Thunderbird versucht nun den SMTP- und POP3-Server zu finden. Da dies nicht erfolgreich enden wird, klicken Sie auf „Stopp“. Passen Sie die vorgeschlagenen Einstellungen wie folgt an. Als Posteingang-Server wählen Sie „127.0.0.1“. Wählen Sie den Posteingang-Servertyp „POP“. Als Port wählen Sie den im HIN Client konfigurierten POP3-Port (per Default 5019; sonst nachzulesen in den HIN Client Netzwerkeinstellungen). Als Verbindungssicherheits-Option wählen Sie „Keine Verbindun…“ Als Postausgang-Server wählen Sie „127.0.0.1“. Als SMTP-Port geben Sie den im HIN Client konfigurierten SMTP-Port an (per Default 5018). Stellen Sie die Verbindungssicherheits-Option wieder auf „Keine Verbindun…“. HIN Client Handbuch © HIN 2011 Seite 62/86 11 HIN Client – Servermodus 11.1 Einführung Im Servermodus arbeitet der HIN Client ohne eine grafische Benutzeroberfläche, um sichere Verbindungen für Server-Anwendungen bereitzustellen. Für die meisten Benutzer ist ein Betrieb des HIN Clients ohne grafische Benutzeroberfläche nicht zu empfehlen. Dieses Kapitel richtet sich daher hauptsächlich an Systemadministratoren. Aus Sicherheitsgründen können auch im Servermodus nur Anwendungen auf den HIN Client zugreifen, die auf demselben System ausgeführt werden wie der HIN Client selbst. 11.1.1 Identitäten für den Servermodus Vom Servermodus gibt es zwei Ausprägungen. Im Singleuser Servermodus arbeitet der HIN Client mit einer einzigen Identität. Ein Wechsel der Identität während der Ausführung des HIN Clients ist nicht möglich. Für Verwaltungsaufgaben (z.B. Erneuern der Identität) benutzen Sie bitte die normale Version des HIN Clients – also die grafische Variante unter Windows oder Mac OS X. Die Identität, welche im Servermodus benutzt werden soll, muss auf einem normalen HIN Client eingerichtet und dann exportiert werden. Gehen Sie bitte so vor wie im Abschnitt 5.4 (nur der Export) beschrieben. Die Passphrase der Identität muss in einer Textdatei gespeichert werden, damit sie bereits beim Start des HIN Client zur Verfügung steht. Diese Datei enthält nur die Passphrase – sonst nichts. Zugriffsrechte sollten so vergeben sein, dass nur der HIN Client Lesezugriff hat, alle anderen Benutzer keinen Zugriff. Das gleiche gilt für die *.hin-Dateien. Im Multiuser Servermodus können mehrere HIN Identitäten konfiguriert sein, zwischen denen per Client API gewechselt werden kann. Wie im GUI-Modus des HIN Client ist zu einem Zeitpunkt immer nur eine HIN Identität aktiv – nie mehrere gleichzeitig. Die Identitäten, die verwendet werden sollen, können auch hier mit dem normalen HIN Client, also unter Windows oder Mac OS, registriert oder importiert werden, und dann auf die Server-Maschine kopiert werden. Genau die HIN Identitäten, die in dem normalen HIN Client (und somit in dessen identities.xml) auf der „Quellmaschine“ bekannt sind, sind anschliessend auch am Server verfügbar. Damit diese Identitäten im Servermodus verwendet werden können, sind folgende Schritte notwendig: • kopieren der Datei identities.xml aus dem benutzerspezifischen HIN-Verzeichnis von der „Quellmaschine“ auf die Server-Maschine • kopieren der Identitäten (*.hin) aus dem benutzerspezifischen HIN-Verzeichnis von der „Quellmaschine“ auf die Server-Maschine, und zwar alle in das gleiche Verzeichnis (kann das gleiche sein wie das, in das identities.xml kopiert wurde, muss aber nicht) • auf Server-Maschine müssen jetzt in der identities.xml die Pfade auf die *.hin-Dateien angepasst werden. Das perl-Script adjust.pl (in der HIN Client Installation enthalten) schreibt eine konvertierte identities.xml auf stdout, die mit >identities.xml in eine neu zu erzeugende identities.xml umgeleitet werden kann, wie weiter unten noch genau beschrieben wird. HIN Client Handbuch © HIN 2011 Seite 63/86 • es muss eine Passphrasen-Datei angelegt werden, die für jede zu benutzende HIN Identität die Passphrase enthält (siehe ebenfalls unten) • die Konfiguration bzw. Kommandozeilenparameter müssen so angepasst werden, dass die angepasste identities.xml und die Passphrasen-Datei vom HIN Client im Servermodus verwendet werden (siehe in den nächsten Kapiteln) Der folgende Kommandozeilenaufruf konvertiert die Datei „original_identities.xml“ (die „alte“ identities.xml muss dafür so umbenannt werden) so, dass sie auf die *.hin-Dateien verweist, die unter /home/admin/identities/ abgelegt wurden, und schreibt sie in eine neue Datei „identities.xml“. perl adjust.pl original_identities.xml /home/admin/identities/ >identities.xml Dieser Befehl muss im HIN Client Installationsverzeichnis ausgeführt werden, damit adjust.pl gefunden wird (oder es kann auch mittels „perl HIN\ Client/adjust.pl …“ angegeben werden, dass das Script im Verzeichnis „HIN Client“ liegt). Wichtig ist auf jeden Fall der abschliessende Slash bei "/home/admin/identities/"! Das Script unternimmt bei der Konvertierung einige Prüfungen. Abgesehen von der Prüfung der Eingabeparameter wird auch noch geprüft, ob die *.hin-Dateien wirklich in dem angegebenen Verzeichnis vorhanden sind. Wird eine .hin-Datei nicht gefunden, wird eine Warnung ausgegeben (auf stderr, und landet deshalb nicht im ausgegebenen identities.xml): Keystore /home/admin/identities/myidentity.hin does not exist at HIN Client/adjust.pl line 17, <IDENT> line 6. Zusätzlich zur identities.xml und den *.hin-Dateien ist auch noch eine Passphrasen-Datei notwendig. Diese muss für jede HIN Identität die Passphrase in der Form „Login=Passphrase“ enthalten und folgendermassen aufgebaut sein: hinuser1=foobar123! myhinuser=test4711 extuser=weEu3Pbd5eae6 Die Passphrase von „hinuser1“ ist also „foobar123!“, und so weiter. Ist für eine Identität keine oder eine falsche Passphrase definiert, dann wird bei einer fehlgeschlagenen Anmeldung eine Warnungs-Email an den HIN Client Administrator geschickt, damit dieser auf das Problem reagieren kann. Diese Mail wird aber maximal einmal alle 24 Stunden versandt (ausgenommen ServerRestart), um den Admin nicht zu verärgern. Auch hier sollte auf die entsprechenden Zugriffsrechte der einzelnen Dateien geachtet werden: • nur der HIN Client benötigt Lese-Zugriff auf die *.hin und Passphrasen-Datei • der HIN Client benötigt Lese- und Schreibzugriff auf die identities.xml HIN Client Handbuch © HIN 2011 Seite 64/86 11.1.2 Installation Installieren Sie den HIN Client mit dem Installationsprogramm, oder entpacken Sie das .zipoder .tar.gz-Archiv für die gewünschte Zielplattform. 11.2 Linux In der Linux-Version des HIN Clients ist ein Startscript enthalten, um den HIN Client im Servermodus zu starten. Syntax: hinclientservice {start|stop|status|restart|force-reload} Das Startscript nimmt keine weiteren Parameter an. Anstatt auf die Kommandozeile müssen sie daher in die Datei ~/.hinclient-service-parameters.txt geschrieben werden, ein Parameter pro Zeile. Diese Datei muss im Home-Verzeichnis des Benutzers liegen, unter welchem das Startskript ausgeführt wird. Die Datei ~/.hinclient-service-parameters.txt könnte zum Beispiel diesen Inhalt haben: keystore=/home/user/identity.hin passphrase=/home/user/passphrase.txt Dieser Inhalt konfiguriert den Singleuser Servermodus mit einer HIN Identität, die durch „keystore“ konfiguriert wird. Die Passphrase-Datei, hier /home/user/passphrase.txt, wird durch die Einstellung „passphrase“ konfiguriert. Um den Multiuser Servermodus zu konfigurieren, muss die Datei folgendes enthalten: identities=/home/user/identities.xml passphrases=/home/user/passphrases.txt Das Konfigurationsparameter „identities“ verweist auf die zu benutzende identities.xml-Datei und „passphrases“ auf die Passphrasen-Datei. Wie oben beschrieben muss letztere die Passphrasen für alle HIN Identitäten enthalten, und zwar jeweils in der Form „Login=Passphrase“ – eine Zeile für jede HIN Identität. Der HIN Client schreibt keine Ausgaben auf die Konsole. Bei Problemen (z.B. falls der HIN Client im Servermodus nicht startet) schauen Sie bitte in der Logdatei nach, siehe Abschnitt 11.4. 11.3 Windows Mit dem Programm „hinclientservice.exe“ kann man den HIN Client als Windows-Dienst (Windows-Service) starten. 11.3.1 Eintragen des Windows-Dienstes Gehen Sie folgendermassen vor, um den HIN Client als Windows-Dienst einzurichten. Beachten Sie bitte zum folgenden Konsolen-Befehl diese Punkte: • Der kurze Name („HINClientService“) und der lange Name („HIN Client Service“) dürfen frei gewählt werden. Im Kurznamen darf es keine Leerzeichen haben. HIN Client Handbuch © HIN 2011 Seite 65/86 • Das Installationsverzeichnis (Pfad zu hinclientservice.exe) muss gegebenenfalls angepasst werden. • Der Parameter „keystore“ enthält den Pfad zur exportierten Identität, welche vom HIN Client im Servermodus benutzt werden soll. • Der Parameter „passphrase“ zeigt zu einer Textdatei, welche die Passphrase der Identität enthalten muss. Sie können diese Textdatei mit einem beliebigen Editor erzeugen. Hinweis: Es ist aus Sicherheitsgründen nicht möglich, die Passphrase direkt anzugeben, sie muss in einer Datei stehen. Sie sollten den Zugriff auf diese Datei einschränken, sodass normale Windows-Benutzer die Passphrase nicht lesen können. • Das gleiche gilt auch für die Passphrasen-Datei, die im Multiuser Servermodus durch das Parameter „passphrases“ definiert ist. • Nach "obj" folgt der Benutzername, unter dem der Service laufen soll. Das kann entweder ein lokaler Windows-Benutzername sein, oder ein Name, der zu einer Active Directory-Domäne gehört (wie im Beispiel). Der Benutzer unter obj= muss die Berechtigung "Anmelden als Dienst" besitzen. Diese kann über Lokale Sicherheitsrichtlinie -> Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Anmelden als Dienst vergeben werden • Das Passwort ist das Login-Passwort des Windows-Benutzers, welcher bei "obj" angegeben wurde. Öffnen Sie die Eingabeaufforderung (Command Prompt). Sie finden dieses Programm im Startmenü. Geben Sie folgenden Befehl ein (ohne Zeilenumbrüche): sc.exe create HINClientService DisplayName= "HIN Client Service" binPath= "\"C:\Program Files\HIN Client\hinclientservice.exe\" keystore=\"C:\keystore.hin\" passphrase=\"C:\passphrase.txt\"" obj= "Domain\User" password= "Admin1234" Achtung: Die Leerzeichen nach den Gleichheitszeichen sind unbedingt erforderlich. Dieser Befehl richtet einen Windows-Dienst für den Singleuser Servermodus ein. Für den Multiuser Servermodus müssen, wie oben beschrieben, statt „keystore“ und „passphrase“ die Parameter „identities“ und „passphrases“ konfiguriert werden und auf die entsprechenden Dateien verweisen. Nachdem dieser Befehl ausgeführt wurde, kann man den Dienst in der Systemsteuerung sehen. Die Systemsteuerung finden Sie direkt im Startmenü. Falls Sie das klassische Startmenü verwenden (Windows XP / Vista), finden Sie die Systemsteuerung unter Start à Einstellungen à Systemsteuerung (deutsch) oder Start à Settings à Control Panel (englisch). Öffnen Sie bitte das folgende Systemsteuerungsfenster: Windows XP, deutsch Verwaltung à Dienste Windows XP, englisch Administrative Tools à Services Windows Vista, englisch System and Security à Administrative Tools à Services HIN Client Handbuch © HIN 2011 Seite 66/86 Windows Vista, deutsch System und Wartung à Verwaltung à Dienste Windows 7, deutsch System und Sicherheit à Verwaltung à Dienste Windows 7, englisch System and Security à Administrative Tools à Services Gegebenenfalls müssen Sie noch F5 drücken, um den neuen Dienst zu sehen. Dort können Sie auch wichtige Einstellungen ändern, zum Beispiel ob der Dienst automatisch gestartet werden soll. 11.3.2 Austragen des Windows-Diensts Der Dienst kann mit diesem Befehl gelöscht werden: sc.exe delete HINClientService Dabei muss derselbe Kurzname verwendet werden wie beim Eintragen. 11.3.3 Einschränkungen Im Unterschied zum HIN Client mit grafischer Benutzeroberfläche passt der HIN Client im Servermodus die Proxy-Einstellungen nicht automatisch an. Sie können das manuell machen, so wie im Kapitel 9.2 über Browserkonfiguration beschrieben. Weiters kann ein für die Internetverbindung eventuell notwendiger Firmenproxy nicht über das grafische GUI konfiguriert werden. Soll der HIN Client im Servermodus einen HTTP/HTTPS-Proxy verwenden, müssen folgende Einträge in der Datei hinclient.config.properties (im HIN Client Installationsverzeichnis) vorhanden sein: corporate.http.proxy.use=true corporate.https.proxy.use=true corporate.http.proxy.host=192.168.10.10 corporate.http.proxy.port=3128 corporate.https.proxy.host=192.168.10.10 corporate.https.proxy.port=3128 In diesem Beispiel soll der HTTP/HTTPS-Proxy auf 192.168.10.10 (hier als IP Adresse konfiguriert, aber kann auch als Hostname angegeben sein) auf Port 3128 verwendet werden. 11.4 Logdatei Die Logdatei liegt im Verzeichnis „.HIN“ à „HIN Client“ im Home-Verzeichnis des Benutzers. Sie heisst „hinclient.log“. (Bitte beachten Sie den Punkt bei „.HIN“) Linux ~/.HIN/HIN Client/hinclient.log, z.B. /home/<user>/.HIN/HIN Client/hinclient.log Windows XP, deutsch C:\Dokumente und Einstellungen\<user>\.HIN\HIN Client\hinclient.log Windows XP, englisch C:\Documents and Settings\<user>\.HIN\HIN Client\hinclient.log Windows Vista, Windows 7 C:\Users\<user>\.HIN\HIN Client\hinclient.log Kontrollieren Sie den Inhalt der Logdatei regelmässig – sie weist auf mögliche Probleme hin. HIN Client Handbuch © HIN 2011 Seite 67/86 11.5 E-Mail-Benachrichtigung Bei Problemen versendet der HIN Client ein E-Mail an den Server-Administrator. Bitte tragen Sie den Namen und den Port Ihres E-Mail-Servers in die Datei hinclient.admin.properties ein. Erklärung der Einstellungen: admin.mailserver.smtp.host Der Name ihres E-Mail-Servers. admin.mailserver.smtp.port Die Port-Nummer ihres E-Mail-Servers (für SMTP). Der Standardport für SMTP-Server ist 25. admin.E-Mail Die E-Mail-Adresse des Empfängers. Geben Sie hier an, wer die Status-Mails bekommen soll. E-Mail.sender Die E-Mail-Adresse des Senders. Geben Sie hier an, welche Absender-Adresse der HIN-Client benutzen soll. Ein Beispiel: admin.mailserver.smtp.host=smtp.example.com admin.mailserver.smtp.port=25 [email protected] [email protected] HIN Client Handbuch © HIN 2011 Seite 68/86 12 HIN Client – Terminal Server Modus Der HIN Client kann zentral auf einem Terminal Server installiert werden. Voraussetzung ist, dass es sich beim Terminal Server um ein Windows-System handelt. Für die Installation des HIN Clients in einer Terminalserver Umgebung gibt es eine gesonderte Dokumentation. Diese kann bei Bedarf über den HIN Support unter 0848 830 740 oder [email protected] angefordert werden. HIN Client Handbuch © HIN 2011 Seite 69/86 13 Wichtige Verzeichnisse und Dateien 13.1 Wichtige Verzeichnisse Im Folgenden sind die wichtigsten Verzeichnisse aufgelistet. Statt <User> ist der Name des aktuellen Betriebssystembenutzers einzusetzen. Umgebungsvariablen (z.B. %APPDATA%) sind durch ihren Wert auf dem jeweiligen Rechner zu ersetzen, und können je nach Betriebssystem bzw. –sprache variieren. 13.1.1 Installationsverzeichnis des HIN Client Das Default-Installationsverzeichnis für den HIN Client, das der Installer vorschlägt, ist: Windows %ProgramFiles%\HIN Client\ z.B.3 C:\Programme\HIN Client\ oder C:\Program Files\HIN Client\ Mac OS X /Applications/HIN Client.app Die Endung .app wird dabei im Finder nicht angezeigt. Linux N/A (kein Installer) 13.1.2 Benutzerspezifisches HIN Verzeichnis Hier sind verschiedene HIN-Dateien für jeden einzelnen Betriebssystembenutzer abgelegt. Windows %APPDATA%\HIN\HIN Client\ z.B.4 C:\Dokumente und Einstellungen\<User>\Application Data\HIN\HIN Client\ Mac OS X /Users/<User>/Library/Application Support/HIN/HIN Client/ Linux /home/<User>/.HIN/HIN Client/ 13.1.3 HIN Client Log Verzeichnis Windows %HOMEDRIVE%%HOMEPATH%\.hin\HIN Client\ z.B.5 C:\Dokumente und Einstellungen\<User>\.HIN\HIN Client\ Mac OS X /Users/<User>/.HIN/HIN Client/ Linux /home/<User>/.HIN/HIN Client/ In diesem Verzeichnis werden dann die HIN Client Logfiles abgelegt. Das neueste hat immer den Namen hinclient.log. Wenn das Logfile eine Grösse von ca. 100KB erreicht, wird ein neues begonnen. Die älteren Logfiles sind mit dem Postfix .1 bis .10 durchnummeriert. Noch ältere Logfiles werden nicht aufbehalten. 3 Wert der Umgebungsvariable ProgramFiles kann je nach Installation, Betriebssystemsprache variieren 4 Wert der Umgebungsvariable APPDATA kann je nach Installation, Betriebssystem und -sprache variieren 5 Wert der Umgebungsvariablen kann je nach Installation, Betriebssystem und -sprache variieren HIN Client Handbuch © HIN 2011 Seite 70/86 13.1.4 Versteckte Ordner .HIN auf Mac OS X anzeigen lassen In Mac OS X wird der .HIN Ordner nicht angezeigt, da er versteckt ist. Das Einblenden des Ordners kann über das Terminal erfolgen. Dazu muss im Terminal folgender Befehl eingegeben werden: defaults write com.apple.finder AppleShowAllFiles -boolean true;killall Finder Um den Ordner wieder auszublenden, kann folgender Befehl verwendet werden: defaults write com.apple.finder AppleShowAllFiles -boolean false;killall Finder 13.2 Wichtige Dateien 13.2.1 Systemparameter hinclient.system.properties Diese Datei, die im Installationsverzeichnis des HIN Clients abgelegt ist, enthält Systemparameter des HIN Clients, die im Normalfall nicht geändert werden sollen (nicht ohne Rücksprache mit der Entwicklung). Einstellung Beschreibung version.string Die Version des HIN Clients hudson.jobname Der Name des Hudson-Jobs, welcher den HIN Client erstellt hat. Dieser Wert hilft dabei, nachzuvollziehen, wann und wie diese Version des HIN Clients erstellt wurde. Der HIN Client selbst verwendet diese Einstellung nicht. hudson.buildnumber Die Build-Nummer des Hudson-Jobs, welcher den HIN Client erstellt hat. Dieser Wert hilft dabei, nachzuvollziehen, wann und wie diese Version des HIN Clients erstellt wurde. Der HIN Client selbst verwendet diese Einstellung nicht. hudson.buildid Die Build-ID (Zeitstempel) des Hudson-Jobs, welcher den HIN Client erstellt hat. Dieser Wert hilft dabei, nachzuvollziehen, wann und wie diese Version des HIN Clients erstellt wurde. Der HIN Client selbst verwendet diese Einstellung nicht. hinclient.proxy.host Beim automatischen Anpassen der HTTP-ProxyEinstellungen wird dieser Hostname als Proxy-Server eingetragen. Dieser Hostname muss auf eine Loopback-Adresse zeigen (z.B. „localhost“ oder „127.0.0.1“ oder „::1“). hinclient.httpproxy.serverthreads Diese Werte geben an, wie viele Threads in den jeweiligen Threadpools zur Verarbeitung von http/smtp/pop3-Requests verwendet werden sollen. hinclient.httpproxy.handlerthreads hinclient.smtpproxy.serverthreads hinclient.smtpproxy.handlerthreads hinclient.pop3proxy.serverthreads HIN Client Handbuch © HIN 2011 Seite 71/86 hinclient.pop3proxy.handlerthreads webentry.host Host-Name des Web Entry Servers webentry.port Port-Nummer des Web Entry Servers mailentry.smtp.host Host-Name des Mail Entry Servers für SMTP (Versand von E-Mails) mailentry.smtp.port Port-Nummer des Mail Entry Servers für SMTP (Versand von E-Mails) mailentry.pop3.host Host-Name des Mail Entry Servers für POP3 (Empfang von E-Mails) mailentry.pop3.port Port-Nummer des Mail Entry Servers für POP3 (Empfang von E-Mails) webservice.public.base Die Basisadresse der öffentlichen Web-Services für den HIN Client. „Öffentlich“ bedeutet in diesem Zusammenhang, dass die Services auch ohne eine gültige HIN Identität (ohne Client-Zertifikat) zugänglich sind, zum Beispiel, um zu prüfen, wieso eine HIN Identität nicht mehr gültig ist. webservice.restricted.base Die Basisadresse der Web-Services, welche nur mit einer gültigen HIN Identität (mit einem ClientZertifikat) benutzt werden können. webservice.restricted.asas.base Die Basisadresse der Web-Services, welche nur mit einem ASAS-Zertifikat benutzt werden können. Diese Services werden zur Migration von ASAS-Zertifikaten benutzt. webservice.restricted.hostheader Der Inhalt des „Host“-HTTP-Headers, welcher bei allen Requests an die unter „webservice.restricted.base“ konfigurierten Web Services mitgeschickt wird. truststore.path Dateiname zum Trust Store des Web Entry Servers truststore.password Passwort für den Trust Store des Web Entry Servers whitelist.cache.path Name einer Datei, in der die Whitelist zwischengespeichert wird. Diese Datei wird automatisch im Verzeichnis mit den Benutzer-Einstellungen des HIN Clients angelegt. whitelist.host Definiert die URL, woher die Whitelist geladen wird whitelist.path whitelist.port whitelist.protocol whitelist.requestMethod connectivity.host connectivity.path Definiert die URL, die für den Connectivity-Check verwendet wird connectivity.port connectivity.protocol connectivity.requestMethod HIN Client Handbuch © HIN 2011 Seite 72/86 hinplatformcheck.host hinplatformcheck.path Definiert die URL, die für den HIN Plattform-Check verwendet wird (Zugriff auf eine gesicherte Ressource) hinplatformcheck.port hinplatformcheck.protocol hinplatformcheck.requestMethod infomessages.host infomessages.path Definiert die URL, von der Infomessages geladen werden infomessages.port infomessages.protocol infomessages.requestMethod version.host version.path Definiert die URL, von der Versions- und Upgradeinformationen geladen werden version.port version.protocol version.requestMethod proxysettings.file Name einer Datei, in welcher die ursprünglichen Proxy-Einstellungen gespeichert werden. Die Datei wird im Verzeichnis mit den Benutzer-Einstellungen des HIN Clients gespeichert. proxysettings.firefox.file Name einer Datei, welche zum Informationsaustausch zwischen dem HIN Client und dem HIN Firefox Plugin verwendet wird. Die Datei wird im Verzeichnis mit den Benutzer-Einstellungen des HIN Clients gespeichert. Wenn dieser Wert verändert wird, muss auch das Firefox-Plugin angepasst werden. proxy.furtherBrowsers.path.de Pfad zu einer Hilfe-Datei im HTML-Format, welche Informationen zur Proxy-Konfiguration von Browsern enthält. Diese Hilfe-Datei ist im HIN Client selbst enthalten. proxy.furtherBrowsers.path.fr supportdocs.url.de supportdocs.url.fr upgradeIdentity.directory.path Link auf weiterführende Supportdokumentation zur Konfiguration von E-Mail-Programmen. Diese Dokumentation liegt extern auf den HIN Webservern. Verzeichnis, in dem die Zertifikats- und Schlüsseldateien der Upgrade-Identitäten (ASAS-Identitäten) zwischengespeichert werden. Dieses Verzeichnis ist relativ zum Installationsverzeichnis. Wenn dieser Wert verändert wird, muss auch das Installationsprogramm angepasst werden. upgradeIdentity.certificate.fileending Dateiendung für ASAS-Zertifikatsdateien. Wenn dieser Wert verändert wird, muss auch das Installationsprogramm angepasst werden. upgradeIdentity.key.fileending HIN Client Handbuch Dateiendung für ASAS-Schlüsseldateien. Wenn dieser Wert verändert wird, muss auch das Installationsprogramm angepasst werden. © HIN 2011 Seite 73/86 backup.directory.path Name eines Backup-Verzeichnisses, relativ zum Verzeichnis, das die Benutzer-Einstellungen des HINClients enthält. Das Backup-Verzeichnis wird beim Erneuern von HIN Identitäten benutzt, um die letzte gültige HIN Identität zwischen zu speichern und bei Bedarf wiederherzustellen. webmail.website.url Die URL von Webmail contactcenter.website.url Die URL des HIN Contact Centers support.website.url Die URL des HIN Supports support.phone Die Telefonnummer des HIN Supports Der HIN-Client lädt diverse Dateien aus dem Internet nach, unter anderem: • Informationen für den Benutzer, welche im Status-Fenster angezeigt werden (infomessages) • Die Versionsinformationen, um zu prüfen, ob die installierte Version des HIN Clients aktuell ist (version) • Die Whitelist, welche alle Domain-Namen enthält, deren Webseiten durch den HIN Client geschützt sind (whitelist) • Eine Testdatei, um zu prüfen, ob eine Internetverbindung besteht (connectivity) Der Ort jeder dieser Dateien kann konfiguriert werden und geschieht immer nach demselben Schema. Im folgenden Beispiel ist die Konfiguration für die Benutzer-Informationen (infomessages) aufgeführt: Einstellung Beschreibung infomessages.host Host-Name jenes Webservers, der die Datei enthält infomessages.path Pfad und Name der Datei auf dem Webserver. Dieser Wert muss mit einem Slash („/“) beginnen infomessages.port Port-Nummer des Webservers (üblicherweise „80“ für http und „443“ für https) infomessages.protocol Protokoll des Webservers („http“ oder „https“) infomessages.requestMethod HTTP-Request-Methode für den Webserver. Dieser Wert darf nicht verändert werden. 13.2.2 Systemkonfiguration hinclient.basedir.properties Diese Datei, die im Installationsverzeichnis des HIN Clients abgelegt ist, wird vom Installer erzeugt und enthält wichtige Verzeichnisse. Der Inhalt darf normalerweise nicht verändert werden (nicht ohne Rücksprache mit der Entwicklung)! Einstellung Beschreibung content.directory.path Installationsverzeichnis des HIN Clients. Unter Mac OS X enthält diese Einstellung den Ordner „Con- HIN Client Handbuch © HIN 2011 Seite 74/86 tents/Resources/app/“ innerhalb des Installationsverzeichnisses. Diese Einstellung wird durch das Installationsprogramm gesetzt. Der Standardwert für diese Einstellung darf nicht verändert werden! installation.directory.path Installationsverzeichnis des HIN Clients. Diese Einstellung wird durch das Installationsprogramm gesetzt. Der Standardwert für diese Einstellung darf nicht verändert werden! 13.2.3 Systemkonfiguration hinclient.admin.properties Diese Datei, die im Installationsverzeichnis des HIN Clients abgelegt ist, enthält Einstellungen für den (Terminal-)Server-Modus des HIN Client. Der Inhalt wird vom entsprechenden Server-Administrator gepflegt. Einstellung Beschreibung admin.mailserver.smtp.host Einstellungen für automatisch versendete E-Mails wie in Kapitel 11.5 beschrieben. admin.mailserver.smtp.port admin.E-Mail E-Mail.sender terminalserver.portsfile Pfad der Terminalserver-Datei wie in Kapitel Fehler! Verweisquelle konnte nicht gefunden werden. beschrieben. 13.2.4 Systemkonfiguration hinclient.config.properties Diese Datei, die ebenfalls im HIN Client Installationsverzeichnis abgelegt ist, enthält systemweite Einstellungen des HIN Client bzw. zu benutzende Defaultwerte. Einige Einstellungen werden bereits vom Installer gesetzt: • welche Browser werden automatisch unterstützt (automatische Anpassung der Proxy-Einstellungen durch den HIN Client) • Sprache des HIN Client Diese Einstellungen gelten teilweise nur als Defaultwerte und können pro Benutzer in der benutzerspezifischen Konfiguration hinclient.properties überschrieben werden (z.B. zu benutzende Ports für HTTP, POP3, SMTP und Client API; ob/welcher HTTP(S)-Proxy soll benutzt werden; Session Timeout; Autostart des HIN Client; usw.). Diese Einstellungen entsprechen den Einstellungen, welche im GUI des HIN Client möglich sind. Dabei gibt es folgende Ausnahmen, welche im GUI nicht sichtbar sind: Einstellung Beschreibung hinclient.httpproxy.port Ports, die der HIN Client für die verschiedenen Protokolle (http/Client API/SMTP/POP3) öffnet hinclient.clientapi.port hinclient.smtpproxy.port hinclient.pop3proxy.port HIN Client Handbuch © HIN 2011 Seite 75/86 corporate.http.proxy.use corporate.https.proxy.use Einstellungen, ob der HIN Client für die Verbindung zum Internet einen http/https-Proxy verwenden soll („use“) bzw. welcher das ist („host“ und „port“) corporate.http.proxy.port corporate.https.proxy.port corporate.http.proxy.host corporate.https.proxy.host proxy.internetexplorer.active proxy.firefox.active proxy.safari.active Einstellung, welche Browser unterstützt werden (also für welche beim Start die Proxysettings automatisch so angepasst werden sollen, dass der HIN Client verwendet wird) session.timeout Nach so vielen Millisekunden wird eine HIN Client Session beendet. Die Passphrase muss dann wieder eingegeben werden. autostart.active Soll der HIN Client nach der Anmeldung des Betriebssystembenutzers automatisch gestartet werden language Sprache „de“ oder „fr“ 13.2.5 Benutzerspezifische Konfiguration hinclient.properties Diese Datei liegt im benutzerspezifischen HIN Verzeichnis (also z.B. unter Windows XP in C:\Documents and Settings\<User>\Application Data\HIN\HIN Client\). Sie enthält die Anpassungen an den Einstellungen, die ein Benutzer mit Hilfe des HIN Client „Einstellungen“-Dialogs gemacht hat. Es wird also nicht davon ausgegangen, dass der Benutzer diese Datei mit einem Texteditor ändert (auch wenn dies technisch möglich ist). Einstellungen in dieser Datei „überschreiben“ für den jeweiligen Benutzer die systemweiten Einstellungen in der hinclient.config.properties. Es gilt also: ist eine Einstellung in der Systemkonfiguration hinclient.config.properties enthalten und ebenfalls in der benutzerspezifischen Konfiguration hinclient.properties, dann zählt die benutzerspezifische Konfiguration! 13.2.6 Identitätenverzeichnis identities.xml und Schlüsseldateien *.hin Alle Identitäten, die ein Betriebssystembenutzer in seinem HIN Client installiert (registriert, importiert, …), sind in der Datei identitites.xml im benutzerspezifischen HIN Verzeichnis dieses Benutzers abgelegt. Die eigentlichen Schlüsseldateien der einzelnen Identitäten (enthalten den Private Key sowie das Zertifikat der jeweiligen Identität) heissen <Login der Identität>.hin und sind per Default ebenfalls in diesem Verzeichnis abgelegt. Sie können aber auch in anderen Verzeichnissen liegen – dies kann z.B. beim Import bzw. beim Verschieben einer Identität entschieden werden. 13.2.7 Gesicherte HIN Applikationen whitelist.txt Diese Datei, die ebenfalls im benutzerspezifischen HIN Verzeichnis liegt, enthält die URLs, die vom HIN Client als „Gesicherte HIN Applikationen“ angesehen werden sollen (z.B. ein Eintrag „*.hin.ch“ was so viel heisst wie: alle URLs in allen Subdomains von hin.ch). Der HIN Client sorgt beim Start (und beim Daily Check alle 24 Stunden) dafür, dass diese Datei immer aktuell gehalten (also vom HIN Server neu heruntergeladen) wird. HIN Client Handbuch © HIN 2011 Seite 76/86 13.3 Einträge in den Logdateien Dieses Kapitel soll ein Leitfaden zur Analyse der HIN Client Logdateien sein, und dadurch Unterstützung geben, Probleme zu analysieren und erkennen. Es ist zu beachten, dass die Logeinträge nur beispielhaft zu verstehen sind. Sie können in gewissen Situationen von den hier beschriebenen Beispielen abweichen. Speziell die Exception-Stacktraces können von Version zu Version variieren. 13.3.1 Lesen der Logfiles Ein Logfile-Eintrag besteht aus folgenden Teilen (hier zum besseren Verständnis farblich hinterlegt): 2011-01-07 15:01:43,946 INFO [main] ch.hin.cs.PlatformFactory: Instantiating Platform Object Hier gelb hinterlegt dargestellt ist der Zeitstempel bestehend aus Datum (yyyy-mm-dd) und Uhrzeit (bis Millisekunden). In rot zu sehen ist hier die Wichtigkeit der Meldung (INFO, WARN oder ERROR). INFOMeldungen beschreiben normalerweise, was gerade passiert, WARN-Meldungen sind Warnungen, aber noch keine Problem, und ERROR-Einträge deuten normalerweise auf Probleme hin (es gibt aber auch Ausnahmen - siehe weiter unten). Blau gekennzeichnet in eckigen Klammern ist der Name des ausführenden Thread. Dies kann sehr nützlich sein um herauszufinden, welche Log-Zeilen zusammengehören (normalerweise die mit dem gleichen Threadnamen). Der grün hinterlegte Teil ist der Klassenname, der dem Entwickler Auskunft gibt, wo der zuständige Code zu finden ist. Da die Produktiv-Version normalerweise „obfuskiert“ ist (die jarFiles sind so verändert, dass aus ihnen nicht der Source-Code wiedergewonnen werden kann), sieht der Klassenname z.B. so aus: „ch.hin.cs.client.a.c.e“. Auch wenn deshalb diese Information in den Logfiles nicht sehr hilfreich aussieht, können die Entwickler daraus den ursprünglichen Klassennamen rekonstruieren. Der hier türkis dargestellte Teil ist die eigentliche Logmeldung, die Auskunft darüber gibt, was gerade passiert oder welches Problem erkannt wurde. 13.3.2 Analyse eines Problems Bei der Problemanalyse sollte man folgendermassen vorgehen: • die Logfiles organisieren • den zeitlichen Bereich einschränken (wann ist das Problem passiert) • in diesem zeitlichen Bereich mit der Suche nach Exceptions bzw. Fehlermeldungen beginnen 13.3.3 Logeinträge im Normalbetrieb Start des Clients inklusive Durchführung der Statusprüfungen 2011-01-07 15:01:43,946 INFO [main] ch.hin.cs.client.application.platform.impl.PlatformFactory: Instantiating Platform object for Windows 2011-01-07 15:01:44,118 INFO [main] ch.hin.cs.client.upgrade.UpgradeSearch: The upgrade directory C:\projects\HIN\workspace\ClientServer\client\.\versions does not exist 2011-01-07 15:01:44,180 INFO [main] ch.hin.cs.client.startup.SingleInstance: Creating lock file in directory C:\DOCUME~1\xxx\LOCALS~1\Temp\ 2011-01-07 15:01:44,196 INFO [main] ch.hin.cs.client.application.starter.ApplicationStarter: Start HIN Client with Java version 1.6.0_18 (in directory C:\Program Files\Java\jdk1.6.0_18\jre). 2011-01-07 15:01:47,213 INFO [main] ch.hin.cs.client.application.platform.impl.PlatformFactory: Instantiating Platform object for Windows 2011-01-07 15:01:47,916 INFO [main] ch.hin.cs.client.application.starter.BaseClientInitializer: HIN Client Version 1.0.6-2 HIN Client Handbuch © HIN 2011 Seite 77/86 2011-01-07 15:02:01,267 INFO [main] ch.hin.cs.client.clientapi.ClientApiEndpoint: Starting Client API on port 5017 2011-01-07 15:02:13,945 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Running all checks, triggered automatically 2011-01-07 15:02:14,054 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: Internet- verbindung 2011-01-07 15:02:20,041 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: Internet- verbindung 2011-01-07 15:02:20,104 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: HIN Client Versionskontrolle 2011-01-07 15:02:21,480 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Check "HIN Client Versionskontrolle": Adding message: INFO: Jetzt updaten! (ch.hin.cs.client.common.version.UpgradeVersionAction@8896cf) 2011-01-07 15:02:21,480 INFO [AsyncThread-1] ch.hin.cs.client.upgrade.UpgradeSearch: The upgrade directory C:\projects\HIN\workspace\ClientServer\client\.\versions does not exist 2011-01-07 15:02:21,480 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: HIN Client Versionskontrolle 2011-01-07 15:02:21,480 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: Download Infomeldungen 2011-01-07 15:02:21,902 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Check "Download Infomeldungen": Adding message: INFO: Besuchen Sie uns auf der eHealth 2011! 2011-01-07 15:02:21,902 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: Download Infomeldungen 2011-01-07 15:02:21,902 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: Ausgewählte Identität prüfen 2011-01-07 15:02:21,964 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: Ausgewählte Identität prüfen 2011-01-07 15:02:21,964 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: HIN Plattformzugang überprüfen 2011-01-07 15:02:22,355 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: HIN Plattformzugang überprüfen 2011-01-07 15:02:22,355 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Starting Check: Weitere Identitäten prüfen 2011-01-07 15:02:22,746 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished Check: Weitere Identitäten prüfen 2011-01-07 15:02:22,793 INFO [AsyncThread-1] ch.hin.cs.client.common.status.Check: Finished all checks Authentisierung einer Identität (Eingabe der Passphrase) 2011-01-07 15:16:16,294 INFO [HttpProxyServerThread-5] ch.hin.cs.client.service.credentials.DefaultSSLSocketFactoryProvider: Initialize the key manager factory for xxx with key store C:\Documents and Settings\xxx\Application Data\HIN\HIN Client\xxx.hin. 2011-01-07 15:16:16,747 INFO [HttpProxyServerThread-5] ch.hin.cs.client.service.credentials.SessionTimeoutJob: Start session timeout. 2011-01-07 15:16:16,763 INFO [HttpProxyServerThread-5] ch.hin.cs.client.logic.AuthenticationFacade: Check whether the identity with the login name xxx is logged in. 2011-01-07 15:16:16,763 INFO [HttpProxyServerThread-5] ch.hin.cs.client.logic.AuthenticationFacade: Determine the certificate serial number for the active identity. 2011-01-07 15:16:16,763 INFO [HttpProxyServerThread-5] ch.hin.cs.client.logic.AuthenticationFacade: Check the active identity's certificate status. 2011-01-07 15:16:16,763 INFO [HttpProxyServerThread-5] ch.hin.cs.client.logic.AuthenticationFacade: Executing authenticate with loginName=xxx, certificateSerialNumber=5579 and authenticationInformation=ClientVersion={1.0.6-2} JRE={1.6.0_18} OS={Windows XP} OSArchitecture={x86} OSVersion={5.1}... 2011-01-07 15:16:16,763 INFO [HttpProxyServerThread-5] ch.hin.cs.server.service.restrictedcertificate.RestrictedCertificateServiceClient: Creating RestrictedCertificateServiceJAXWSClient 2011-01-07 15:16:19,669 INFO [HttpProxyServerThread-5] ch.hin.cs.server.service.restrictedcertificate.RestrictedCertificateServiceClient: Returning RestrictedCertificateServiceJAXWSClient JAX-WS RI 2.2-12/14/2009 02:16 PM(ramkris)-: Stub for https://gateway.hindev.ch/clientservices/restricted/certificate 2011-01-07 15:16:20,247 INFO [HttpProxyServerThread-5] ch.hin.cs.client.logic.AuthenticationFacade: Update the active identity's certificate status. Zugriff auf eine Internetseite 2011-01-07 15:13:27,669 INFO [HttpProxyServerThread-10] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: www.google.de:80 - GET /search?q=HIN HTTP/1.1 2011-01-07 15:13:27,731 INFO [HttpProxyHandlerThread-1] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.google.de:80 - GET[200] /search?q=HIN HIN Client Handbuch © HIN 2011 Seite 78/86 2011-01-07 15:13:27,950 INFO [HttpProxyServerThread-1] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: www.google.de:80 - GET /images/srpr/nav_logo14.png HTTP/1.1 2011-01-07 15:13:27,997 INFO [HttpProxyServerThread-3] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: www.google.de:80 - GET /images/nav_logo_hp1.png HTTP/1.1 2011-01-07 15:13:27,997 INFO [HttpProxyHandlerThread-2] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.google.de:80 - GET[304] /images/srpr/nav_logo14.png 2011-01-07 15:13:28,013 INFO [HttpProxyServerThread-4] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: www.google.de:80 - GET /extern_js/f/CgJkZRICZGUrMFo4ACwrMA44ACwrMAo4AEAdLCswGDgALIACKJACKQ/C9ByV4QW3II.js HTTP/1.1 2011-01-07 15:13:28,044 INFO [HttpProxyHandlerThread-3] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.google.de:80 - GET[304] /images/nav_logo_hp1.png 2011-01-07 15:13:28,059 INFO [HttpProxyHandlerThread-4] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.google.de:80 - GET[304] /extern_js/f/CgJkZRICZGUrMFo4ACwrMA44ACwrMAo4AEAdLCswGDgALIACKJACKQ/C9ByV4QW3II.js 2011-01-07 15:13:28,122 INFO [HttpProxyServerThread-2] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: clients1.google.de:80 - GET /generate_204 HTTP/1.1 2011-01-07 15:13:28,169 INFO [HttpProxyHandlerThread-5] ch.hin.cs.client.common.proxy.http.ResponseStreamer: clients1.google.de:80 - GET[204] /generate_204) Zugriff auf eine HIN-geschützte Seite 2011-01-07 15:16:20,309 INFO [HttpProxyServerThread-5] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Access secured resource: http://servicecenter.hindev.ch/ 2011-01-07 15:16:20,309 INFO [HttpProxyServerThread-5] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: servicecenter.hindev.ch:80 - GET / HTTP/1.1 2011-01-07 15:16:20,325 INFO [HttpProxyServerThread-5] ch.hin.cs.client.common.proxy.http.cookie.CookieManager: No SSO cookie found for domain: servicecenter.hindev.ch 2011-01-07 15:16:20,372 INFO [HttpProxyHandlerThread-6] ch.hin.cs.client.common.proxy.http.ResponseStreamer: servicecenter.hindev.ch:80 - GET[302] / 2011-01-07 15:16:20,434 INFO [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Access secured resource: http://servicecenter.hindev.ch/usermanagement/pages/serviceCenter/serviceCenter.xhtml 2011-01-07 15:16:20,434 INFO [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: servicecenter.hindev.ch:80 - GET /usermanagement/pages/serviceCenter/serviceCenter.xhtml HTTP/1.1 2011-01-07 15:16:20,809 INFO [HttpProxyHandlerThread-7] ch.hin.cs.client.common.proxy.http.ResponseStreamer: servicecenter.hindev.ch:80 - GET[200] /usermanagement/pages/serviceCenter/serviceCenter.xhtml 2011-01-07 15:16:20,872 INFO [HttpProxyServerThread-7] … Zugriff auf eine HIN-geschützte Seite über einen Internet Proxy 2011-01-07 16:47:42,841 INFO [HttpProxyServerThread-4] ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl: Proxy responded with: HTTP/1.0 200 Connection established 2011-01-07 16:47:42,856 INFO [HttpProxyServerThread-4] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Access secured resource: http://servicecenter.hindev.ch/ 2011-01-07 16:47:42,856 INFO [HttpProxyServerThread-4] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: servicecenter.hindev.ch:80 - GET / HTTP/1.1 2011-01-07 16:47:42,950 INFO [HttpProxyHandlerThread-2] ch.hin.cs.client.common.proxy.http.ResponseStreamer: servicecenter.hindev.ch:80 - GET[302] / Senden von Mails 2011-01-07 15:24:20,684 INFO [SmtpProxyServerThread-1] ch.hin.cs.client.common.proxy.mail.MailProxySocketHandler: Connecting to Mail Entry Server 2011-01-07 15:24:32,434 INFO [SmtpProxyHandlerThread-1] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: Connection closed by remote host oder 2011-01-07 15:26:34,966 INFO HIN Client Handbuch [SmtpProxyServerThread-2] © HIN 2011 Seite 79/86 ch.hin.cs.client.common.proxy.mail.MailProxySocketHandler: Connecting to Mail Entry Server 2011-01-07 15:26:42,559 INFO [SmtpProxyHandlerThread-4] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: socket closed Abfragen/Empfangen von Mails 2011-01-07 15:28:03,653 INFO [Pop3ProxyServerThread-1] ch.hin.cs.client.common.proxy.mail.MailProxySocketHandler: Connecting to Mail Entry Server 2011-01-07 15:28:35,622 INFO [Pop3ProxyHandlerThread-1] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: Connection closed by remote host oder 2011-01-07 15:29:21,825 INFO [Pop3ProxyServerThread-2] ch.hin.cs.client.common.proxy.mail.MailProxySocketHandler: Connecting to Mail Entry Server 2011-01-07 15:29:23,919 INFO [Pop3ProxyHandlerThread-4] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: socket closed Änderung der HIN Client Konfiguration (“interner Restart”) 2011-01-07 16:58:56,044 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Running all checks, triggered manually 2011-01-07 16:58:56,044 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: Internet- verbindung 2011-01-07 16:58:56,122 INFO [Listener for localhost/127.0.0.1:5016] ch.hin.cs.client.common.net.SocketServer: SocketServer 'HTTP Proxy Socket Server' ran out 2011-01-07 16:58:56,153 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: Internet- verbindung 2011-01-07 16:58:56,153 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: HIN Client Versionskontrolle 2011-01-07 16:58:56,356 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Check "HIN Client Versionskontrolle": Adding message: INFO: latest and greatest (ch.hin.cs.client.common.version.UpgradeVersionAction@8896cf) 2011-01-07 16:58:56,356 INFO [AsyncThread-5] ch.hin.cs.client.upgrade.UpgradeSearch: The upgrade directory C:\projects\HIN\workspace\ClientServer\client\.\versions does not exist 2011-01-07 16:58:56,356 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: HIN Client Versionskontrolle 2011-01-07 16:58:56,356 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: Download Infomeldungen 2011-01-07 16:58:56,778 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Check "Download Infomeldungen": Adding message: INFO: Umgebung: Dev 2011-01-07 16:58:56,778 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: Download Infomeldungen 2011-01-07 16:58:56,778 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: Ausgewählte Identität prüfen 2011-01-07 16:58:56,981 INFO [AsyncThread-5] ch.hin.cs.client.logic.CertificateValidationFacade: Determine the certificate serial number for the active identity. 2011-01-07 16:58:56,981 INFO [AsyncThread-5] ch.hin.cs.client.logic.CertificateValidationFacade: Check the active identity's certificate status. 2011-01-07 16:58:56,981 INFO [AsyncThread-5] ch.hin.cs.client.logic.CertificateValidationFacade: Executing getCertificateStatus with loginName=ruh and certificateSerialNumber=5579... 2011-01-07 16:58:56,981 INFO [AsyncThread-5] ch.hin.cs.server.service.restrictedcertificate.RestrictedCertificateServiceClient: Creating RestrictedCertificateServiceJAXWSClient 2011-01-07 16:58:57,028 INFO [Listener for localhost/127.0.0.1:5018] ch.hin.cs.client.common.net.SocketServer: SocketServer 'SMTP Proxy Socket Server' ran out 2011-01-07 16:58:57,091 INFO [AsyncThread-5] ch.hin.cs.server.service.restrictedcertificate.RestrictedCertificateServiceClient: Returning RestrictedCertificateServiceJAXWSClient JAX-WS RI 2.2-12/14/2009 02:16 PM(ramkris)-: Stub for https://gateway.hindev.ch/clientservices/restricted/certificate 2011-01-07 16:58:57,184 INFO [AsyncThread-5] ch.hin.cs.client.logic.CertificateValidationFacade: Update the active identity's certificate status. 2011-01-07 16:58:57,184 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: Ausgewählte Identität prüfen 2011-01-07 16:58:57,184 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: HIN Plattformzugang überprüfen 2011-01-07 16:58:57,591 INFO [HttpProxyServerThread-6] ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl: Proxy responded with: HTTP/1.0 200 Connection established 2011-01-07 16:58:57,591 INFO [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Access secured resource: http://servicecenter.hindev.ch/clientservices/ HIN Client Handbuch © HIN 2011 Seite 80/86 2011-01-07 16:58:57,591 INFO [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: servicecenter.hindev.ch:80 - GET /clientservices/ HTTP/1.1 2011-01-07 16:58:57,638 INFO [HttpProxyHandlerThread-10] ch.hin.cs.client.common.proxy.http.ResponseStreamer: servicecenter.hindev.ch:80 - GET[200] /clientservices/ 2011-01-07 16:58:57,638 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: HIN Plattformzugang überprüfen 2011-01-07 16:58:57,638 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Starting Check: Weitere Identitäten prüfen 2011-01-07 16:58:57,997 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished Check: Weitere Identitäten prüfen 2011-01-07 16:58:57,997 INFO [AsyncThread-5] ch.hin.cs.client.common.status.Check: Finished all checks 2011-01-07 16:58:58,028 INFO [Listener for localhost/127.0.0.1:5019] ch.hin.cs.client.common.net.SocketServer: SocketServer 'POP3 Proxy Socket Server' ran out 2011-01-07 16:58:59,013 INFO [pool-4-thread-1] ch.hin.cs.client.clientapi.ClientApiEndpoint: Stopping Client API 2011-01-07 16:58:59,122 INFO [pool-4-thread-1] ch.hin.cs.client.clientapi.ClientApiEndpoint: Starting Client API on port 5017 2011-01-07 16:58:59,138 INFO [pool-4-thread-1] ch.hin.cs.client.service.credentials.SessionTimeoutJob: Stop session timeout. 2011-01-07 16:58:59,138 INFO [pool-4-thread-1] ch.hin.cs.client.service.credentials.SessionTimeoutJob: Start session timeout. 2011-01-07 16:58:59,138 INFO [pool-4-thread-1] ch.hin.cs.client.service.credentials.SessionTimeoutJob: Start session timeout. 13.3.4 Logeinträge mit Exceptions im Normalbetrieb Auch im Normalbetrieb kann es zu Exceptions kommen, die geloggt werden. Diese werden deshalb geloggt, weil sie, auch wenn sie meistens kein Problem darstellen, trotzdem ein Hinweis auf ein Problem sein können. Zur Analyse sollte man sich an folgende Regel halten: • ist in der nächsten Umgebung im Logfile keine andere Exception zu sehen, dann ist höchstwahrscheinlich kein Problem vorhanden • ist in der Nähe eine andere Exception zu finden, dann sollte man detaillierter Prüfen Wie oben beschrieben wird oft beim Schliessen einer Verbindung zum Mailserver eine Exception geloggt. Senden/Abfragen/Empfangen von Mails 2011-01-07 15:24:32,434 INFO [SmtpProxyHandlerThread-1] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: Connection closed by remote host oder 2011-01-07 15:29:23,919 INFO [Pop3ProxyHandlerThread-4] ch.hin.cs.client.common.proxy.mail.ResponseStreamer: java.net.SocketException: socket closed Auch beim Zugriff auf Webseiten können Exceptions auftreten, die nicht unbedingt auf einen Fehler hinweisen. Domain bzw. Server kann nicht aufgelöst werden bzw. existiert nicht 2011-01-07 16:32:49,184 ERROR [HttpProxyServerThread-10] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: invaliddomain.com java.net.UnknownHostException: invaliddomain.com at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:177) at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:366) at java.net.Socket.connect(Socket.java:525) at java.net.Socket.connect(Socket.java:475) at java.net.Socket.<init>(Socket.java:372) at java.net.Socket.<init>(Socket.java:186) at ch.hin.cs.client.common.proxy.http.ConnectionFactoryImpl.createSocket( ConnectionFactoryImpl.java:49) at ch.hin.cs.client.common.proxy.http.HttpIOProviderSelectorImpl.selectIOProvider( HttpIOProviderSelectorImpl.java:87) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getTargetIOProvider( HttpProxySocketHandler.java:296) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getResponseInputStream( HttpProxySocketHandler.java:271) HIN Client Handbuch © HIN 2011 Seite 81/86 at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.run(HttpProxySocketHandler.java:146) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) Zugriff auf Internetseiten 2011-01-07 16:37:24,638 ERROR [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Connection reset java.net.SocketException: Connection reset at java.net.SocketInputStream.read(SocketInputStream.java:168) at java.net.SocketInputStream.read(SocketInputStream.java:182) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.forwardRequest( HttpProxySocketHandler.java:326) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.run( HttpProxySocketHandler.java:159) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) oder 2011-01-07 16:37:24,638 ERROR [HttpProxyHandlerThread-3] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.adobe.com:80 - GET [0] /flashplatform/ socket closed java.net.SocketException: socket closed at java.net.SocketInputStream.socketRead0(Native Method) at java.net.SocketInputStream.read(SocketInputStream.java:129) at java.net.SocketInputStream.read(SocketInputStream.java:90) at ch.hin.cs.client.common.proxy.http.ResponseStreamer.run(ResponseStreamer.java:152) at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:441) at java.util.concurrent.FutureTask$Sync.innerRun(FutureTask.java:303) at java.util.concurrent.FutureTask.run(FutureTask.java:138) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) oder 2011-01-07 16:37:24,778 ERROR [HttpProxyHandlerThread-1] ch.hin.cs.client.common.proxy.http.ResponseStreamer: www.adobe.com:80 - GET [200] /flashplatform/ Connection reset by peer: socket write error java.net.SocketException: Connection reset by peer: socket write error at java.net.SocketOutputStream.socketWrite0(Native Method) at java.net.SocketOutputStream.socketWrite(SocketOutputStream.java:92) at java.net.SocketOutputStream.write(SocketOutputStream.java:136) at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65) at java.io.BufferedOutputStream.flush(BufferedOutputStream.java:123) at ch.hin.cs.client.common.proxy.http.ResponseStreamer.run(ResponseStreamer.java:156) at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:441) at java.util.concurrent.FutureTask$Sync.innerRun(FutureTask.java:303) at java.util.concurrent.FutureTask.run(FutureTask.java:138) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) 13.3.5 Logeinträge bei Fehlerfällen Verbindung kann nicht hergestellt werden (fehlende Rechte) 2010-12-28 08:24:33,642 ERROR [HttpProxyServerThread-2] ch.hin.cs.client.a.n.b.g: Permission denied: connect java.net.SocketException: Permission denied: connect at java.net.PlainSocketImpl.socketConnect(Native Method) at java.net.PlainSocketImpl.doConnect(Unknown Source) at java.net.PlainSocketImpl.connectToAddress(Unknown Source) at java.net.PlainSocketImpl.connect(Unknown Source) at java.net.SocksSocketImpl.connect(Unknown Source) at java.net.Socket.connect(Unknown Source) at java.net.Socket.connect(Unknown Source) at java.net.Socket.<init>(Unknown Source) at java.net.Socket.<init>(Unknown Source) at ch.hin.cs.client.a.n.b.c.a(SourceFile:49) at ch.hin.cs.client.a.n.b.e.a(SourceFile:80) at ch.hin.cs.client.a.n.b.g.c(SourceFile:305) at ch.hin.cs.client.a.n.b.g.a(SourceFile:281) HIN Client Handbuch © HIN 2011 Seite 82/86 at at at at ch.hin.cs.client.a.n.b.g.run(SourceFile:156) java.util.concurrent.ThreadPoolExecutor$Worker.runTask(Unknown Source) java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source) java.lang.Thread.run(Unknown Source) oder 2010-12-28 08:26:23,251 WARN [Timer-0] ch.hin.cs.client.a.p.z: Could not load Versions from server ch.hin.cs.client.a.q.j: caught IOException in the constructor: Permission denied: connect at ch.hin.cs.client.a.q.c.a(SourceFile:90) at ch.hin.cs.client.a.p.z.c(SourceFile:65) at ch.hin.cs.client.a.p.a.b(SourceFile:57) at ch.hin.cs.client.a.p.j.a(SourceFile:61) at ch.hin.cs.client.a.p.j.b(SourceFile:48) at ch.hin.cs.client.application.b.d.run(SourceFile:934) at java.util.TimerThread.mainLoop(Unknown Source) at java.util.TimerThread.run(Unknown Source) Caused by: java.net.SocketException: Permission denied: connect at java.net.PlainSocketImpl.socketConnect(Native Method) at java.net.PlainSocketImpl.doConnect(Unknown Source) at java.net.PlainSocketImpl.connectToAddress(Unknown Source) at java.net.PlainSocketImpl.connect(Unknown Source) at java.net.SocksSocketImpl.connect(Unknown Source) at java.net.Socket.connect(Unknown Source) … Ursache Der HIN Client versucht eine Verbindung zur HIN Plattform herzustellen, kann dies aber nicht aufgrund fehlender Rechte. Die Antiviren/Firewall-Software wurde evtl. so konfiguriert, dass der HIN Client nicht auf das Netzwerk zugreifen kann. Lösung Antiviren/Firewall-Software so konfigurieren, dass der HIN Client die entsprechenden Berechtigungen hat. Zugriff auf Keystore nicht möglich 2010-12-28 08:39:36,773 ERROR [HttpProxyServerThread-1] ch.hin.cs.client.a.n.b.g: An exception occurred while creating the SSLSocketFactory. ch.hin.cs.client.a.l.a.d: An exception occurred while creating the SSLSocketFactory. at ch.hin.cs.client.a.l.a.b.a(SourceFile:131) at ch.hin.cs.client.a.l.a.b.b(SourceFile:111) at ch.hin.cs.client.a.l.a.b.a(SourceFile:85) at ch.hin.cs.client.a.n.b.e.a(SourceFile:71) at ch.hin.cs.client.a.n.b.g.c(SourceFile:305) at ch.hin.cs.client.a.n.b.g.a(SourceFile:281) at ch.hin.cs.client.a.n.b.g.run(SourceFile:156) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(Unknown Source) at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source) at java.lang.Thread.run(Unknown Source) Caused by: ch.hin.cs.client.c.a.n: The key store C:\Users\xx\AppData\Roaming\HIN\HIN Client\xxxxx.hin does not exist at ch.hin.cs.client.c.a.h.b(SourceFile:239) at ch.hin.cs.client.c.a.h.b(SourceFile:220) at ch.hin.cs.client.c.a.a.i(SourceFile:112) at ch.hin.cs.client.c.a.a.a(SourceFile:86) at ch.hin.cs.client.a.l.a.b.a(SourceFile:120) ... 9 more Ursache Auf die Identitäts-Datei (Keystore) der HIN Identität kann nicht zugegriffen werden. Entweder sie existiert wirklich nicht (z.B. USB-Stick nicht eingesteckt, auf dem die Identität gespeichert ist, oder die Datei wurde wirklich gelöscht), oder die Antivirensoftware erlaubt keinen Zugriff darauf. Lösung Sicherstellen, dass die Datei vorhanden ist (USB-Stick einstecken oder Identität aktivieren) HIN Client Handbuch © HIN 2011 Seite 83/86 und die Antivirensoftware den Zugriff erlaubt. Logeintrag 2011-01-07 16:51:16,184 ERROR [HttpProxyServerThread-6] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Could not create the tunnel Socket to connect to the HTTPS proxy. ch.hin.cs.client.common.net.ssl.SSLSocketCreationException: Could not create the tunnel Socket to connect to the HTTPS proxy. at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.createTunnelSocket( SSLConnectionFactoryImpl.java:151) at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.getConnection( SSLConnectionFactoryImpl.java:80) at ch.hin.cs.client.common.proxy.http.HttpIOProviderSelectorImpl.selectIOProvider( HttpIOProviderSelectorImpl.java:77) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getTargetIOProvider( HttpProxySocketHandler.java:296) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getResponseInputStream( HttpProxySocketHandler.java:271) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.run(HttpProxySocketHandler.java:146) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) Caused by: java.net.ConnectException: Connection refused: connect at java.net.PlainSocketImpl.socketConnect(Native Method) at java.net.PlainSocketImpl.doConnect(PlainSocketImpl.java:333) at java.net.PlainSocketImpl.connectToAddress(PlainSocketImpl.java:195) at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:182) at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:366) at java.net.Socket.connect(Socket.java:525) at java.net.Socket.connect(Socket.java:475) at java.net.Socket.<init>(Socket.java:372) at java.net.Socket.<init>(Socket.java:186) at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.createTunnelSocket( SSLConnectionFactoryImpl.java:145) ... 8 more Ursache Der im HIN Client konfigurierte Internet Proxy existiert nicht oder kann nicht kontaktiert werden. Lösung Sicherstellen, dass der richtige Proxy konfiguriert ist und auch über das Netzwerk erreichbar ist. Logeintrag 2011-01-07 17:02:58,778 ERROR [HttpProxyServerThread-3] ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler: Could not create a SSLSocket for gateway.hindev.ch:443. ch.hin.cs.client.common.net.ssl.SSLSocketCreationException: Could not create a SSLSocket for gateway.hindev.ch:443. at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.createSSLSocket( SSLConnectionFactoryImpl.java:118) at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.getConnection( SSLConnectionFactoryImpl.java:90) at ch.hin.cs.client.common.proxy.http.HttpIOProviderSelectorImpl.selectIOProvider( HttpIOProviderSelectorImpl.java:77) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getTargetIOProvider( HttpProxySocketHandler.java:296) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.getResponseInputStream( HttpProxySocketHandler.java:271) at ch.hin.cs.client.common.proxy.http.HttpProxySocketHandler.run(HttpProxySocketHandler.java:146) at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) at java.lang.Thread.run(Thread.java:619) Caused by: java.net.SocketException: Software caused connection abort: connect at java.net.PlainSocketImpl.socketConnect(Native Method) at java.net.PlainSocketImpl.doConnect(PlainSocketImpl.java:333) HIN Client Handbuch © HIN 2011 Seite 84/86 at java.net.PlainSocketImpl.connectToAddress(PlainSocketImpl.java:195) at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:182) at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:366) at java.net.Socket.connect(Socket.java:525) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.connect(SSLSocketImpl.java:550) at com.sun.net.ssl.internal.ssl.SSLSocketImpl.<init>(SSLSocketImpl.java:353) at com.sun.net.ssl.internal.ssl.SSLSocketFactoryImpl.createSocket(SSLSocketFactoryImpl.java:71) at ch.hin.cs.client.common.net.ssl.SSLConnectionFactoryImpl.createSSLSocket( SSLConnectionFactoryImpl.java:116) ... 8 more 2011-01-07 17:03:03,778 INFO [Connectivity Watcher] ch.hin.cs.client.common.status.Check: Starting Check: Internet- verbindung 2011-01-07 17:03:08,966 INFO [Connectivity Watcher] ch.hin.cs.client.common.status.Check: Check "Internet- verbindung": Adding message: ERROR: Es besteht keine Internetverbindung. Verbinden Sie Ihre Arbeitsstation mit dem Internet und versuchen es erneut. Sollten Sie für den Internetzugang einen Proxy benötigen, können Sie diesen in den Netzwerkeinstellungen für den HIN Client einrichten. (ch.hin.cs.client.common.status.ChangeProxySettingsAction@fd2549) 2011-01-07 17:03:33,778 INFO [Connectivity Watcher] ch.hin.cs.client.common.status.Check: Starting Check: Internet- verbindung 2011-01-07 17:03:39,106 INFO [Connectivity Watcher] ch.hin.cs.client.common.status.Check: Check "Internet- verbindung": Adding message: ERROR: Es besteht keine Internetverbindung. Verbinden Sie Ihre Arbeitsstation mit dem Internet und versuchen es erneut. Sollten Sie für den Internetzugang einen Proxy benötigen, können Sie diesen in den Netzwerkeinstellungen für den HIN Client einrichten. (ch.hin.cs.client.common.status.ChangeProxySettingsAction@565cf8) Ursache Der HIN Client hat bemerkt, dass keine Netzwerkverbindung mehr besteht (Exception) und beginnt deshalb periodisch auf eine Netzwerkverbindung zu prüfen („Connectivity Watcher“). Lösung Netzwerkverbindung wiederherstellen. HIN Client Handbuch © HIN 2011 Seite 85/86 Anhang: Diverse Informationen 13.4 Referenzen Verweis Titel / Dateiname Pfad/Ablage [1] Anleitungen für Installation und Migration HIN Webseite http://download.hin.ch/migration [2] HIN Client API – Technische Schnittstelle HIN Webseite http://www.hin.ch/d/anleitungen.asp 13.5 Änderungsnachweis Datum Ausgabe Änderung 01.11.2010 1.0 Freigabe des finalen Dokumentes für die alle externe Kommunikation 17.01.2011 2.0 Anpassungen und Erweiterungen aufgrund neuer HIN Client Releases 16.02.2011 2.1 Erweiterung um neuen Multiuser Servermo- Kapitel 11 dus 24.02.2011 2.2 Letzte Änderungen vor Go-Live Kapitel 12 28.07.2011 2.3 Ergänzungen Einrichten als Dienst Kapitel 11.3.1 HIN Client Handbuch © HIN 2011 Seiten Seite 86/86
