How to install ServiceDesk Plus MSP on Windows machines

Что такое java keystore?

Keystore – это по сути защищенная база данных, где хранятся приватные ключи и сертификаты клиента и сервера. Аналог оснастки certmgr.msc в Windows.

Для аутентификации клиента и сервера устанавливающих SSL соединение требуются приватные ключи и сертификаты. Если используется односторонняя аутентификация, то keystore нужен только на серверной стороне. При двусторонней аутентификации и клиент и сервер обмениваются сертификатами, соответственно и у сервера, и у клиента должен быть keystore с парой приватный ключ/публичный ключ сертификат.

Keystore – Этот класс представляет хранилище для криптографических ключей и сертификатов. KeyStore управляет различными типами записей. Каждый тип записи реализует KeyStore.Entry интерфейс. Предусмотрено три основных варианта KeyStore.Entryреализации:

Установка основного сертификата домена

Введите следующую команду для установки основного файла сертификата:

keytool -import -trustcacerts -alias имя псевдонима или домена -file your_domain_name.crt -keystore sdp.keystore

Обратите внимание, что имя псевдонима или домена следует заменить на псевдоним, указанный при создании хранилища ключей. На этот раз вы получите другое подтверждение о том, что «сертификат был установлен в хранилище ключей» .

Если вы хотите доверять сертификату, выберите y или yes. Ваши сертификаты теперь установлены в ваш файл хранилища ключей (sdp.keystore).

Step 1: download the exe file

  • Download ManageEngine_ServiceDeskPlus_MSP.exe.
  • Click the .exe file.
  • Click Next on the displayed wizard.

Step 2: sign license agreement

After perusing the license agreement, click Yes.

Step 3: select servicedesk plus msp edition

Select from the following ServiceDesk editions to suit your organization’s requirements.

  • Standard Edition: Offers Help Desk Management, Self-Service Portal, Knowledge Base, SLA Management, and Help Desk Reports. This edition offers complete support to raise and track service requests.
  • Professional Edition: Offers Software Compliance and License Tracking, Product Catalog, NMS Integration, Asset Reports, and other asset-related processes along with the features in the Standard Edition.
  • Enterprise Edition: An ITIL ready help desk. Besides all features in the Professional Edition, this edition provides Incident Management, Problem Management, Change Management, and Configuration Management Database (CMDB).

Click here to learn about individual features offered by each edition.

Step 4: select the installation directory

By default, the application is installed under the C:ManageEngineServiceDeskPlus-MSP directory.

To select a different location for installing the application, click Browse.

Select a folder and click OK.

NOTE: The names of the folder and its parent folder must not contain any space between the words.

Step 6: enter web port number

ServiceDesk Plus, by default, uses port 8080 to run the web server. You can change the port number if 8080 is already in use.

Enter the port number and click Next.

Step 7: configure database

ServiceDesk Plus MSP supports PGSQL database by default. 

Step 8: register for technical support

Prior registration simplifies the process of contacting our Support team for any technical assistance. Also, our product experts will evaluate the specific needs of your organization and help you customize the application per your  requirements.

Provide your details, such as name, email address, phone number, and company name.

Select the country name and click Next.

NOTE: If you provide the email address, Country will become a mandatory field.

If you had installed the application by using the default settings, the ManageEngine ServiceDesk Plus – MSP program folder will be created under the Start menu.

Алгоритм sso в manageengine servicedesk

Когда служба хочет инициировать единый вход, она должна сначала создать безопасный канал с контроллером домена, и эта же служба должна использоваться службой для дальнейшей проверки подлинности в Active Directory. В многодоменной среде служба будет иметь безопасное соединение только с одним контроллером домена, и он будет аутентифицировать пользователей из других доменов, используя доверительные отношения с этим доменом.

ServiceDesk Plus реализовал безопасный канал в Active Directory с помощью службы NETLOGON через учетную запись компьютера. Для этой учетной записи компьютера требуется пароль для включения службы NetLogon. Служба NetLogon – это внутренний канал связи Microsoft.

Компьютер создаст уникальный идентификатор в домене и сгенерирует случайный пароль для дальнейшего взаимодействия в домене. Например, когда пользователь пытается войти в систему, компьютер освобождает свои учетные данные AD, а затем пытается аутентифицировать пользователя.

Учетные записи пользователей используются для входа в систему и не могут напрямую связываться с AD, поэтому мы используем учетную запись компьютера для входа в сеть. Поскольку пароль генерируется случайным образом при регистрации компьютера в домене, вы не узнаете его явно.

ServiceDesk Plus использует VBScript для создания учетных записей компьютеров и установки для них пароля. Начиная с версии 7600, ServiceDesk Plus использует метод NTMLV2 для сквозной аутентификации, который обеспечивает лучшую безопасность и проверку учетных данных с помощью службы NETLOGON, а NTLMV1 больше не будет поддерживаться.

Я покажу настройку сквозного разрешения на ManageEngine ServiceDesk 10016, которую я недавно обновил. Откройте веб-интерфейс ManageEngine ServiceDesk, найдите раздел «Настройки – Active Directory”.

Найдите раздел «Аутентификация Active Directory» и включите функцию «Включить сквозную авторизацию (единый вход)”.

Выберите доменное имя, для которого вы хотите настроить сквозную аутентификацию. Сквозную аутентификацию можно включить для пользователей в определенном домене / лесу AD. Чтобы аутентификация работала для других пользователей в домене, другой домен должен иметь доверительные отношения с выбранным доменом или родительско-дочерние отношения.

Чтобы использовать поставщика безопасности NTLM в качестве службы проверки подлинности, необходимо создать учетную запись компьютера в Active Directory с определенным паролем, который соответствует политике паролей в Active Directory. Укажите уникальное имя для учетной записи компьютера и пароль для этой учетной записи. Примечание.

  • Имя домена: запись основного домена в лесу
  • Учетная запись компьютера – имя компьютера, который будет создан для единого входа в вашем домене. Если учетная запись компьютера была создана заранее, поместите ее в контейнер «Компьютер» при сбросе пароля”.
  • Пароль: пароль компьютера, созданный для SSO. ПАРОЛЬ не должен содержать специальных символов, иначе он не сработает.
  • IP-адрес или DNS-сервер: обычно назначается контроллеру домена
  • Строка ассоциации – записывается суффикс домена DNS, обычно такой же, как имя корневого домена в лесу.
  • Сайт DNS – имя сайта Active Directory, на котором расположен контроллер домена, к которому вы подключаетесь.

Если вы укажете имя существующей учетной записи компьютера, указанный здесь пароль также будет установлен в Active Directory для этой учетной записи компьютера. Вы также можете сбросить пароль учетной записи компьютера, щелкнув ссылку «Сбросить пароль».

Даже если ошибка возникает при создании учетной записи компьютера или сбросе пароля (учетной записи компьютера, которая уже была создана) из приложения, информация, указанная в окне, будет сохранена в базе данных приложения. Загрузите сценарии и сохраните сценарии NewComputerAccount.vbs и SetComputerpass.vbs. Оба сценария нам полезны.

Включаем kerberos аутентификацию в google chrome

Google Chrome берет все настройки единого входа из Internet Explorer, поэтому настройте его и выполните эту команду. Также следует отметить, что все новые версии Chrome автоматически определяют наличие поддержки Kerberos. В случае использования одной из предыдущих версий Chrome (Chromium) для корректной авторизации на веб-серверах через Kerberos необходимо запустить ее со следующими параметрами:

Запуск сценариев на сервере active directory

Скопируйте сценарии NewComputerAccount.vbs и SetComputerpass.vbs в корень диска C.

  • NewComputerAccount.vbs – создаст новую учетную запись компьютера с требуемым паролем в Active Directory в контейнере Computers
  • SetComputerpass.vbs – изменение пароля для существующей учетной записи компьютера

На контроллере домена, на который вы скопировали сценарии, откройте командную строку от имени администратора. Перейдите в командную строку в корне диска C: с помощью команды cd C: . Если вам нужно создать новый компьютер, введите:

CSCRIPT NewComputerAccount.vbs имя компьютера, указанное в SSO / p Пароль, указанный в SSO / d доменном имени

В моем примере

CSCRIPT NewComputerAccount.vbs servicedesksso / p пароль / d zhivye-oboi-windows

Если потребуется сменить пароль, конструкция будет выглядеть так

CSCRIPT SetComputerPass.vbs имя компьютера, указанное в SSO / p Пароль, указанный в SSO / d DomainName

CSCRIPT SetComputerPass.vbs servicedesksso / p пароль / d zhivye-oboi-windows

Я также рекомендую вам включить ведение журнала на сервере ManageEngine ServiceDesk, установив соответствующий флажок в SSO. Журналы будут в C: ManageEngine ServiceDesk logssso.txt

См. Типичные ошибки на сайте разработчика

Настройка браузера для sso

Откройте свой Internet Explorer и перейдите в его свойства.

Перейдите на вкладку «Безопасность» рядом с «Локальная интрасеть – Сайты», нажмите кнопку «Дополнительно» и добавьте адрес нашего ManageEngine ServiceDesk к узлам.

Установите интрасеть, низкий уровень безопасности и нажмите “Пользовательский”

Настройка конфигурационных файлов

Теперь осталось поправить некоторые конфигурационные файлы, у разных версий они свои.

Настройка сервера (в версии 9400 и выше)

Нюансы ручной установки сертификата .p7b

Некоторые CA предоставят сертификаты с расширением .p7b. В таком случае вы можете дважды щелкнуть этот файл, чтобы открыть консоль, в которой будут перечислены все необходимые сертификаты. Вы можете экспортировать эти сертификаты в файлы X.509 (.cer)

Затем эти сертификаты можно установить в файл хранилища ключей. Чтобы экспортировать сертификат,

Команды для установки сертификатов некоторых распространенных поставщиков

Ниже приведены команды, которые необходимо использовать для установки сертификатов некоторых распространенных поставщиков. Примечание. Эти инструкции могут изменяться в зависимости от сертификатов, выданных ЦС.

  1. keytool -import -alias root -keystore <Keystore_Name> .keystore -trustcacerts -file gd_bundle.crt
  2. keytool -import -alias cross -keystore <Keystore_Name> .keystore -trustcacerts -file gd_cross_intermediate.crt
  3. keytool -import -alias промежуточный -keystore <Keystore_Name> .keystore -trustcacerts -file gd_intermediate.crt
  4. keytool -import -alias Псевдоним Указывается при создании хранилища ключей > -keystore <Keystore_Name> .keystore -trustcacerts -file <CertificateName>.ctr
  1. keytool -import -alias промежуточный CA -keystore <Keystore_Name> .keystore -trustcacerts -file <your_intermediate_certificate_name>.cer
  2. keytool -import -alias < Псевдоним Указывается при создании хранилища ключей > -keystore < Keystore_Name> .keystore -trustcacerts -file <CertificateName>.cer
  1. keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <Keystore_Name>.keystore
  2. keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <Keystore_Name>.keystore
  3. keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <Keystore_Name>.keystore
  4. keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <Keystore_Name>.keystore
  5. Keytool -import -trustcacerts -alias <алиас при создании хранилища ключей > -файл <Сертификат-Name> .crt -keystore <Keystore_Name>.keystore

Процедура импорта сертификата в manageengine servicedesk

У разработчиков есть FAQ, где они бегло описали процедуру генерации CSR средствами ManageEngine ServiceDesk и генерацию файла хранилища ключей (.keystore).

Создание хранилища ключей

Приступаем к созданию файла хранилища ключей (.keystore). Откройте командную строку от имени администратора и перейдите в расположение C:ManageEngineServiceDeskjrebin

cd C:ManageEngineServiceDeskjrebin

Тут есть утилита keytool, которая позволит на первом этапе создать хранилище сертификатов. Удостоверьтесь, что у вас уже нет хранилища, для этог опроверте наличие файла sdp.keystore. Если файл sdp.keystore есть, то нужно знать от него пароль, если у вас его нет, то взломать его или сбросить, не получится. Придется его удалять и делать новое хранилище. Вводим команду для формирования хранилища.

keytool -genkey -alias *.vhod-v-lichnyj-kabinet.ru -keyalg RSA -keystore sdp.keystore

Если нужно явно указать размер, например 2022, то команда будет выглядеть вот так

keytool -genkey -alias *.vhod-v-lichnyj-kabinet.ru -keyalg RSA -keysize 2048 -keystore sdp.keystore

У вас появится мастер создания ключей. Вам необходимо будет заполнить поля:

  • Enter keystore password: – указываем нужный вам пароль защиты хранилища, минимум 6 символов
  • Re-enter new password: – повторяем введенный ранее пароль
  • What is your first and last name? – тут указываете ваше полное доменное имя, в моем примере это desk.pyatilistnik.org. Если у вас wildcard сертификат, то вы пишите *.pyatilistnik.org
  • What is the name of your organizational unit? – имя организационного подразделения, отдела, я указал Pyatilistnik Inc
  • What is the name of your organization? – Название организации Pyatilistnik Inc
  • What is the name of your City or Locality? Название города, Moscow
  • What is the name of your State or Province? – Штат или область, Moskow
  • What is the two-letter country code for this unit? – Страна, вводится в виде двух символов в международном формате, RU Is CN=desk.pyatilistnik.org, OU=Pyatilistnik Inc, O=Pyatilistnik Inc, L=Moscow, ST=Moskow, C=RU correct?
  • [no]: – если все правильно, то вводим yes
  • Enter key password for <*.pyatilistnik.org> – вводим для сертификата
  • (RETURN if same as keystore password): повторяем пароль от сертификата

В пароле не поддерживается символ доллара $

Сделайте резервную копию файла sdp.keystore перед установкой сертификатов. Это резервное хранилище ключей можно использовать в случае неправильной установки сертификата или при обновлении сертификатов в следующем году.

(Если нет сертификата) Теперь создадим CSR запрос на выпуск сертификата, через команду:

keytool -certreq -alias *.vhod-v-lichnyj-kabinet.ru -file key.csr -keystore sdp.keystore

В результате у вас в папке с утилитой keytool будет создан файл key.csr, с таким вот содержимым. Его вы будите использовать для выпуска сертификата, если у вас уже есть сертификат, то вы можете пропустить создание CSR.

Зная теперь пароль от хранилища сертификатов, вы можете импортировать ваш SSL сертификат, через графический интерфейс. Начнется отправка файла, в моем случае pfx архива.

Перезапустите приложение, чтобы изменения вступили в силу. Если у вас есть закрытый ключ в виде файла .key , вам не нужно вводить пароль. Вы можете загрузить не более четырех промежуточных/корневых сертификатов.

Установка сертификата вручную

Имея хранилище сертификатов, выполните действия. Загрузите файлы сертификатов, полученные от ЦС, в каталог, где хранилище ключей (sdp.keystore) было сохранено в процессе создания CSR. Сертификаты должны быть установлены в этом точном хранилище ключей. Если вы попытаетесь установить его в другое хранилище ключей, оно не будет работать.

Сертификаты, которые вы загрузили, должны быть установлены в хранилище ключей в правильном порядке, чтобы ваш сертификат был доверенным. Если сертификаты установлены не в правильном порядке, то сертификат не будет проходить аутентификацию должным образом. Чтобы найти правильный порядок, дважды щелкните сертификат домена и перейдите в «Путь сертификации».

Эти сертификаты обычно имеют формат. cer или .crt. Если ваш сертификат имеет расширение .p7b, следуйте инструкциям, приведенным в разделе Установка сертификата .P7b, чтобы экспортировать сертификаты в формат .cer или .crt. Рассматривая вышеуказанный путь сертификации, мы можем заключить, что нам нужно импортировать два других сертификата перед сертификатом домена.

Установка файла корневого сертификата

Каждый раз, когда вы устанавливаете сертификат в хранилище ключей, вам будет предложено ввести пароль хранилища ключей, который вы выбрали при создании CSR. Введите следующую команду, чтобы установить файл корневого сертификата:

keytool -import -trustcacerts -alias root -file <имя_файла>.crt -keystore sdp.keystore

Примечание. Выберите «Да», если появится сообщение, что «Сертификат уже существует в хранилище ключей ЦС в рамках всей системы под псевдонимом <Имя псевдонима» > Вы все еще хотите добавить его в свое хранилище ключей? Вы получите подтверждение о том, что «Сертификат был добавлен в хранилище ключей».

Установите промежуточные сертификаты и перекрестные промежуточные сертификаты (если есть). Следуйте инструкциям, предоставленным CA.

Вы получите подтверждение о том, что «Сертификат был добавлен в хранилище ключей».

Похожее:  Личный кабинет mary kay: официальный сайт, вход, регистраци - LicKab

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *