Leveransinformation Net id för SITHS

Transkript

1 Leveransinformation Net id för SITHS Med information om licensernas användning, installation/avinstallation, supportalternativ och anslutningar mot Remote Desktop Services i Windows Server

2 Innehåll 1. Licensinformation Net id för SITHS-anslutna Nyheter i Net id Nyheter man ser... 5 Nyheter under huven Paket inkluderade i avtalet mellan TeliaSonera och Sjukvårdsrådgivningen SVR AB Information om de olika paketen Paketens namnsättning Information om automatisk nedstängning av Internet Explorer vid kort ur Information om certifikatspropagering till MyStore Windows XP Windows Hur många certifikat ryms på ett SITHS-kort? Information om Windows Server Kommande ändringar och finesser på ritbordet Kommande ändringar Finesser på ritbordet Inloggning Microsoft VPN Internet Explorer och OutLook Banbrytande koncept för underskriftsskapande Kortläsare Tillbehör Supportavtal Net id Bilaga 1 - Installera, uppgradera och avinstallera Grundpaketet i exe-format Installera ett exe-baserade paket Uppdatera ett exe-baserade paket Avinstallera ett exe-baserade paket Paket i MSI-format... 32

3 1. Licensinformation De paket som beskrivs i detta dokument är endast avsedda för kunder som avropar smarta kort via SITHS. Paketen får inte användas för fler användare än vad som framkommer vid den kvartalsvisa sökningen efter antalet unika HSAID n med giltigt HCC kopplat till sig. Statistiken framtagen vid skiftet mellan första och andra kvartalet 2010 såg ut såhär: Avser kunden använda Net id med kort (utan giltigt HCC) och/eller kort införskaffade via någon annan kanal åligger det kunden att kontakta någon av våra partners eller SecMaker direkt för att teckna rätt antal licenser och erhålla en egen licensnyckel.

4 2. Net id för SITHS-anslutna Nu finns SVR-paketen i version tillgängliga för nedladdning. Dessa paket som är tillgängliga för alla som köper kort via SITHS och är parametersatta enligt en princip om minsta gemensam nämnare. Det betyder bland annat att PIN-dialoger har ett visst utseende och att länkar pekar på gemensamma webbplatser Önskas ett eller flera paket anpassade till lokala omständigheter eller behov så är detta möjligt. För kundunikt anpassade paket utgår en avgift per paket. För att förvaltningen av dessa anpssade paket skall fungera krävs att ett aktivt supportavtal finns tecknat kring produkten. För mer information om supportavtal, se kapitel 15 i slutet av detta dokument. En kundunik paketering beställs enklast genom att ett paketeringsdokument fylls i och sänds in för respektive efterfrågast paket. Se separat bilaga med filnamnet; Net_iD_Customized_Packaging_V1.1_ docx

5 3. Nyheter i Net id innehåller följande korrigeringar och funktionsförbättringar relaterat den förra SITHSreleasen Nyheter man ser Om ett kort utan HCC sätts i kortläsaren (och maskinen kör den gemensamma SVR-releasen av Net id) ges ett meddelande: Detta meddelande ges ej på en dator där ett annat kort med HCC använts under samma inloggning, t.ex. när en LRA arbetar med reservkort. Funktionen är just nu kopplad till den gemensamma licensnyckeln. Dvs. Kundunika paket med egen licensnyckel ger inget meddelande. I kommande releaser överväger vi att göra denna funktion tillgänglig även i kundunika paket oavsett licensnyckel. Funktionen för att varna när HCC närmar sig utgångsdatum har ändrats: Varningen visas nu endast för certifikat från SITHS CA v3. Det är de som är primärt intressanta att veta när de närmar sig utgångsdatum. I kommande releaser överväger vi att utöka denna funktion för att bevaka e-legitimationen, HCC och eventuella egna certifikat med möjlighet att ha olika varningstid för olika certifikat.

6 Justerad användning av SITHS-kortens Token Label. Detta påverkar ett flertal dialoger:

7 Nyheter under huven Korrigerat installationen för att säkerställa att Certificate Mover (funktionen som flyttar certifikat från kortet till Windows eget certifikatslager) alltid startas direkt efter installation samt justeringar för ökad effektivitet Flera olika justeringar för ökad inläsninghastighet av Net id:s konfiguration Löst problem med multipla kortläsare och SSO Inkluderat en konfigurationsparameter som förhindrar att kortets certifikat hamnar bland datorcertifikaten ; PublishMachineStore=0. Nu kopieras certifikaten på SITHSkortet endast till användarens eget certifikatslager. (Är bl.a. viktigt om man kör Microsofts inbyggda VPN-klient) MyStore Computer

8 4. Paket inkluderade i avtalet mellan TeliaSonera och Sjukvårdsrådgivningen SVR AB bit XP/Vista/Windows 7 med SSO aktiverat bit XP/Vista/Windows 7 utan SSO aktiverat bit XP/Vista/Windows 7 med SSO aktiverat bit XP/Vista/Windows 7 utan SSO aktiverat bit Windows Server 2003 (Terminal Services/Citrix) med SSO aktiverat bit Windows Server 2003 (Terminal Services /Citrix) utan SSO aktiverat bit Windows Server 2003 (Terminal Services /Citrix) med SSO aktiverat bit Windows Server 2003 (Terminal Services /Citrix utan SSO aktiverat bit Windows Server 2008 (Remote Desktop Services/Citrix) med SSO aktiverat* bit Windows Server 2008 (Remote Desktop Services/Citrix) utan SSO aktiverat* bit Windows Server 2008 (Remote Desktop Services/Citrix) med SSO aktiverat* bit Windows Server 2008 (Remote Desktop Services/Citrix) utan SSO aktiverat* bit Ubuntu (fungerar även på RedHat och Fedora) bit Ubuntu (fungerar även på RedHat och Fedora) Notera att inkluderade innebär att det är dessa paket som man automatiskt har tillgång till när man införskaffat sitt första SITHS-kort med HCC. Licens för alla olika moduler (Gina, Net id Connector osv.) ingår i 25-kronan men dessa måste paketeras särskilt för varje kund då de ej kan göras generiska. * Se kapitel 10 om Windows Server 2008 och Windows Server 2008 R2

9 Paketen samt informationsdokument finns upplagda under SITHS på

10 5. Information om de olika paketen Filnamn SSO Version Format Kommentar För 32-bitars Windows-klienter, Windows XP, Windows Vista och Windows 7 1 iidsetup_svr1001.zip Nej exe För klienter där SSO ej är önskvärt/behövs. 2 iidsetup_svr1101.zip exe 3 iidsetup_svr1101.msi msi Detta paket är det de allra flesta använder för sina klienter. Samma som paket 2 men som MSI. Notera att du inte kan uppgradera från exe till MSI. Initiera avinstallation på exe-versionen och skjut ut MSI. För 64-bitars Windows-klienter, Windows XP, Windows Vista och Windows 7 4 iidsetup_svr1001.zip Nej exe För klienter där SSO ej är önskvärt/behövs. Inte så ofta nyttjat men med Windows 7 så blir det framgent vanligare med 64-bitars klienter. 5 iidsetup_svr1101.zip exe För 32-bitars Windows Server iidsetup_svr2001.zip Nej exe Inte så ofta nyttjat men med Windows 7 så blir det framgent vanligare med 64-bitars klienter. För lägen där SSO ej är önskvärt/behövs. För terminalservrar med eller utan Citrix (W2008, se kapitel 10) 7 iidsetup_svr2101.zip exe För 64-bitars Windows Server iidsetup_svr2001.zip Nej exe För terminalservrar med eller utan Citrix (W2008, se kapitel 10) För lägen där SSO ej är önskvärt/behövs. För terminalservrar med eller utan Citrix (W2008, se kapitel 10) 9 iidsetup_svr2101.zip exe För Ubuntu 10 iidsetup.tar.gz * tar.gz För terminalservrar med eller utan Citrix (W2008, se kapitel 10) 32-bitars. Levereras på begäran. 11 iidsetup.tar.gz * tar.gz 64-bitars.Levereras på begäran. * SSO-stödet på Linux är i dagsläget inte lika omfattande som på Windowsplattformen MSI Notera att Paket 2 ovan även levereras i MSI-format som Paket 3. För att få tillgång till andra, kundanpassade paket i MSI-format krävs supportavtal och det utgår en mindre paketeteringsavgift.

11 6. Paketens namnsättning Paketens koder har tidigare haft formen SVR000x. Från Net id 5.2 ändrades detta för att lättare kunna identifiera ett unikt paket. Nu används alltid två eller tre bokstäver för att identifiera kunden och detta följs av fyra siffror för att beskriva paketets innehåll. Exempel: Första siffran anger om det är ett paket avsett för klienter eller servrar enligt följande:. 1= Klientpaket 2= Serverpaket Andra siffran anger vilka tilläggskomponenter som finns i paketet. Kombinationerna är enligt följande: 0 = Inga extra moduler finns med i paketet. 1 = Paketet har SSO aktiverat, dvs. PIN-cache funktionen är påslagen. 2 = Paketet har Net ids pass-through-gina aktiverad. Endast för Windows XP. 3 = Paketet har både SSO och Gina aktiverat. 4 = Paketet installerar Net id Minidriver för användning med Microsoft Smart Card Base CSP 5 = Paketet installerar både SSO och Net id Minidriver för användning med Microsoft Smart Card Base CSP Nedan visas två exempel, ett helt rent paket utan extra funktioner och ett med SSO aktiverat. Tredje och fjärde siffran är kundspecifik och används som räknare för att ange paketets löpnummer. Löpnumret är viktigt för att skilja två versions- och komponentlika paket från varandra men där någon annan mindre justering gjorts. T.ex. om någon länk pekat fel i första bygget. Se exempel nedan.

12 7. Information om automatisk nedstängning av Internet Explorer vid kort ur I Net id har alltid funktionen Net Control funnits. Funktionen håller via sessionernas process- ID koll på vilka som nyttjat kortet för inloggning med klientcertifikat via SSL. När klientcertifikatet försvinner, dvs. när användaren drar kortet ur kortläsaren, stängs sessioner som har använt kortet. Oftast handlar det om att man kör Internet Explorer (IE) mot en webbtjänst, drar kortet och IE stängs. Vilken information är då en del av en session? Det är fyra delar, inte bara cookies: Session cookies sessionstorage HTTP Authentication (e.g. Digest or Basic HTTP credentials) HTTPS Client Certificates (e.g. sites that use certificates or SmartCards) För att rensa klientens sessionsdata rörande certifikat nyttjade för HTTPS-uppkopplingar borde alla webbapplikationer ha följande logik kopplad till en logoutknapp, stöds av IE6 SP1 och senare: document.execcommand("clearauthenticationcache", false); Läs mer detaljer om detta: Men inte alltid är det så att användarna kommer ihåg att klicka på Logga ut på webbsidan eller stänga IE med krysset. De tar sitt kort och går och det kan man ju förstå, ibland är det bråttom i vården. Kör man alla sina webbapplikationer publicerade via t.ex. Citrix med korrekt uppsatt sessionshantering så vore inte detta något problem. Inte heller om man loggar på sin dator med kort och sätter GPO för Lock Workstation. Men så ser det ju inte alltid ut... Här är en användare inloggad med sitt kort mot två välkända webbaplikationer:

13 Ett antal sekunder efter att kortet dragits ur kortläsaren stängs den ena session medan den andra återskapas av IE:s kraschskydd. Dock utan att lyckas. Men det finns siter mot vilka IE lyckas cacha allt den behöver och man kan jobba vidare utan kort, inte bra. Nu finns det som tur är ett sätt att hantera detta med IE 8 tack vara startparametern: -nomerge Om man ser till att IE alltid startar separata sessioner, motsvarande att klicka på Arkiv Ny session, så delar de olika IE-fönstren inte processer och det hela fungerar bra. "C:\Program\Internet Explorer\iexplore.exe" nomerge

14 Följande tabell visar nuläget releterat Internet Explorer SecMaker önskar starta en dialog med alla olika aktörer med intressen i detta; IT-avdelningar, utvecklare, säkerhetskonsulter samt SITHS-förvaltning. I nuvarande läge med en hotbild mot alla webbläsare vet vi inte hur länge en funktion som NetControl kan fungera. Vi funderar bl.a. på om inte webbtjänster av stort strategiskt värde borde få en signal om kort ur via ett webbservice-anrop som på serversida kan resultera i olika åtgärder som omöjliggör sessionsåtertagning alldeles oavsett hur mycket webbläsaren lyckats cacha. Vi önskar initiera en diskussion med journalsystemleverantörerna om hur de initierar sina uthopp till webbapplikationer vid sidan av. Kanske bör dessa uthopp ske med ovanstående IE-växel?

15 8. Information om certifikatspropagering till MyStore I Net id har alltid funktionen CertMover funnits. Funktionen läser in kortets användarcertifikat och lägger dem åtkompliga för t.ex Internet Explorer. CertMover är helt enkelt det som snurrar i taskbar när du stoppar i ett kort. Windows har en egen sådan funktion som via Net id:s CSP ber om samma operation. Det kan då ibland uppstå oönskade fenomen såsom att FriendlyName inte sätts eller att det blir certifikat liggande kvar i MyStore. Särskilt det senare kan bli högst problematiskt. Här har Net id tagit hand om certifikatspropageringen Här har Windows egen funktion tagit hand om certifikatspropageringen

16 Har man jobbat med många olika kort i sin dator (KRA/LRA) så kan man hamna i ett läge där MyStore ser ut såhär: Då blir listan lång och svårhanterilig när man ska in i SITHS Admin och Internet Explorer visar certfikatvalsdialogen. Men det finns saker man kan göra för att undvika detta, se följande sidor. Notera Att det följande fungerat väl i de tester SecMaker genomfört ska inte tas som en garanti för att det fungerar i andra miljöer. Stora IT-lösningar har ofta komplexa samband och registerändringar och stopp av tjänster kan ge oväntade resultat. Prova med försiktighet och helst förstås i en testmiljö.

17 Windows XP Upplever du dessa problem på Windows XP kan du prova detta: Se denna länk för fullständig information:

18 Windows 7 Upplever du dessa problem på Windows 7 kan du prova detta: 1. Ändra de två GPO:er som berör detta: 2. Man kan även prova att stäng av denna tjänst och sätta den till Manuell Se dessa länkar för mer information:

19 9. Hur många certifikat ryms på ett SITHS-kort? I takt med att flera landsting lägger sina HCC på en persons kort blir utrymmesfrågan aktuell. Nu försöker jag lägga på användarcertifikat nummer 10: Alltså, på SITHS-korten ryms: SITHS rotcertifikat som alltid finns där (ej raderbart) E-legitimationsparet (ej raderbart) Tre (3) par HCC Ett (1) extra Windows-certifikat från egen CA, som i fallet ovan med Secmaker CA v2 Summa: 9 st. användarcertifikat + rotcertifikatet Notera att frågor om SITHS-korten som sådana besvaras av vår partner Cygate.

20 10. Information om Windows Server 2008 Net id fungerar utmärkt att använda i en domän med Windows Server 2008 (32- eller 64- bitars) eller Windows Server 2008 R2. Du kan även använda något av iidsetup_svr2001.zip - paketen på en 2008-baserad CA-server för att göra Net id CSP tillgänglig då du skapar egna templates. Problemen finns när man arbetar med tjänsten som ersätter Terminal Services; Remote Desktop Services. Intermittenta felmeddelande uppstår och är man fler än en användare uppstår en hel del problem med sessioner som kopplas ner till synes helt okontrollerat. SecMaker har kunnat konstatera att dessa fel uppkommer även vid användning av Microsofts egen CSP och att det inte är relaterat till Net id Problemen har nu kunnat återskapas hos Microsoft (se bekräftelse på engelska nedan): 1. Two users reconnect at exactly the same time one of those users pulls the smartcard and both users get disconnected. This is confirmed with both the Base CSP and Secmaker s CSP. 2. User logs on to TS via RDP logs off logs on again via RDP disconnects reconnect and gets into a loop where the session is always disconnected immediately after authenticating. This is confirmed with the Base CSP and Secmaker s CSP. 3. Two users connect and reconnect several times at exactly the same time at some point we get to the point where the smartcard reader is associated with more than one session and when the credential tile is enumerated at the login screen you get the tile for the smartcard inserted into both the correct machine and the smartcard of the reader inserted into a different client machine. This does not change the underlying security structure and you still need the correct PIN to log on using that smartcard. This repros with both Base CSP and Secmaker s CSP but the exact results from attempting authentication using the incorrect credential tile differ. All of these scenarios have the same underlying root cause; the reference to the mapped smartcard reader gets into a bad state so that it is associated with an incorrect session. #1 occurs when one of the sessions gets associated with the mapped smartcard reader on the other workstation therefore the session gets disconnected when the card inserted into that reader is removed. It does not make any security association between the two users or the two sessions. #2 occurs because the reader in the session gets associated with the previous instance of the reader that had the card removed. #3 occurs when one of the temp sessions that a connecting user gets at the login screen gets associated with the mapped smartcard reader on the other workstation therefore the session sees multiple smartcards so it enumerates multiple smartcard credential tiles. It does not make any security association between the two users or the two sessions even if it enumerates the logon credential tile on the temporary login screen. Följande ärenden finns registrerade hos Microsoft: Case Bug regarding TS Disconnect Case W2K8 Problem with the mapping of the smart card reader Vi har ännu inga officiella uppgifter om när dessa problem kan vara lösta. Om ni ser att dessa problem påverkar er situation uppmanar vi er att ta kontakt med Microsoft direkt och påtala vikten av att dessa problem blir lösta.

21 11. Kommande ändringar och finesser på ritbordet Kommande ändringar Från version x och uppåt har följande detaljer justerats/rättats Ett fel har rättats avseende visningen av Net id installationens storlek NetControl har uppdaterats avseende nedstängning av Firefox Ett fel i hur certifikatens Friendlyname sätts har rättats Uppdaterat Net id Watch för utökade kombinationsmöjligheter Nästa version släpps efter den 15 juni och kommer troligen att ha versionsnummer Versionen finns redan men kan inte släppas just nu då det finns ett beroende till en uppgradering av SITHS Självadministration som sker just den 15 juni. Version 5.4 kommer efter sommaren, troligen i september. Finesser på ritbordet Vi får många frågor utifrån det faktum att ett icke oansenligt antal anställda inom vården kommer att ha flera HCC-par på samma kort. (istället för att ha ett kort per uppdragsgivare). I dessa lägen kommer vederbörande att i olika IT-lösningar ställas inför ett certifikatsval som inte alltid går har gått att styra. Hur ska man kunna vara säker på att välja rätt i denna dialog? SecMaker arbetar på flera olika fronter för att tackla denna fråga. Följande sidor visar några exempel.

22 Inloggning Här finns tre grafiskt kodade certifikat att välja mellan Här har användaren valt sitt SLL-HCC

23 Microsoft VPN Även Microsoft inbyggda VPN-klient kan dra nytta av detta

24 Internet Explorer och OutLook Tyvärr använder sig inte Internet Explorer och OutLook av Credential provider på samma sätt som själva Windows. Här får vi använda andra metoder för att visualisera. Metoden slår tyvärr inte igenom i XP som glatt visar det den alltid gjort.

25 12. Banbrytande koncept för underskriftsskapande Vår partner Cybercom kan presentera en unik lösning för digital signering av PDF-dokument med SITHS-kort. Denna värdeadderande applikation skapar stora möjligheter att effektivisera idag pappersbaserande processer där underskrift av en eller flera personer krävs. Tanken är denna: Alla har vi pärmar med viktiga papper, såväl hemma som på jobbet. Det kan handla om avtal och annat som vi vill spara. Ibland är det ett original, ibland en kopia. I takt med att mer och mer görs med datorns hjälp skapar man mappar med extra viktiga saker, kvittenser och annat. Problemet är att när man gjort nåt på nätet är det inte sällan kvittensen bara är en lång sifferkombination visad på webbsidan. I bästa fall en PDF. Gäller det avtal eller dylikt brukar det ofta sluta med att man får printa ut och skriva under. I yrkeslivet blir det förstås lika viktigt att ha koll på vem/vad/när och de pappersbaserade processer med bruna kuvert och underskrifter som detta medför blir ofta tröga och kostsamma. I såna här scenarion är det flera parters intressen man vill ta tillvara: Den som mottar handlingen vill ofta vara säker på vem som lämnat in handlingen/avtalet utan att för den skull behöva avstå från att; a) presentera ett pedagogiskt webbformulär b) Ta emot informationen på ett sådant sätt att det lätt kan bearbetas maskinellt. Den som skickat handlingen vill ha en exakt kopia på vad man lämnat in, inte bara en intetsägande kvittenssträng. Man vill också slippa lämna webbapplikationens flöde för att signera PDF-en manuellt utanför webbläsaren och sedan göra upload. Riksarkivet (och Landstingens egna arkivarier) som gärna ser att handlingar som ska långtidslagras är i formatet PDF/A Om vi tar exemplet med Lex Maria-anmälningar (utan att för den skull begränsa oss till just detta exempel. Konceptet kan användas till allehanda olika tillämpningar). Såhär skriver Socialstyrelsen på sin hemsida: Det är vårdgivaren, det vill säga den som är ytterst ansvarig för vården, som är skyldig att anmäla händelsen till Socialstyrelsen. Varje vårdgivare ska utse en särskild person som ansvarar för att anmäla händelser enligt lex Maria.På sjukhusen ansvarar ofta chefläkarna för lex Maria-anmälningar. I kommunerna har de medicinskt ansvariga sjuksköterskorna ansvaret. Om det på en privat mottagning bara finns en enda yrkesutövare, som samtidigt är ansvarig för vården, är hon eller han i lagens mening att betrakta som vårdgivare och därmed anmälningsskyldig.den ansvarige ska göra en anmälan på en särskild blankett för lex Mariaanmälan i PDF-format eller blankett för lex Maria-anmälan i Word-format. Blanketten ska skickas till Socialstyrelsens tillsynsregion tillsammans med,verksamhetschefens interna utredning,eventuell händelseanalys, patientens journalhandlingar, redogörelser från hälso- och sjukvårdspersonal som varit med om händelsen, patientens beskrivning av händelsen,tekniska fakta om en medicinteknisk produkt har använts i samband med händelsen. Det är alltså bara den som respektive vårdgivare utsett som har rätt att anmäla. Poängen är alltså: Serverside får in data som kan användas för att visa vem som lämnat in. Datat kan fås både som undertecknad PDF och i lösvikt Inlämnaren får direkt ett eget ex av orginalet som kvittens Riksarkivet blir glada om det är PDF/A Inget manuellt filhanterande vid skapandet av underskriften Man kan bygga både ett PDF-formulär eller ett webbformulär, funkar lika bra.

26 Här kan du prova själv: 1. Addera de två rotcertifikaten för SITHS, både test och prod. (Bara att klicka, öppna och sen klicka på Installera-knappen och följa guiden) 2. Sätt igång (Kom ihåg att demon bara är preparerad för skarpa SITHS-kort. Om det tar lite tid så ha lite tålamod, servern har inte full produktionskapacitet utan är uppsatt för test och demo) Om du vill ha mer information eller diskutera om vilka möjligheter som öppnar sig med Cybercoms koncept kontakta: Björn Lindeberg, Cybercom, , eller Markus Nöu, Cybercom, På klientsidan krävs lägst Net id 5.3.x.x installerad för att testa lösningen.

27 13. Kortläsare Det är viktigt för er kortimplementation att ni väljer rätt kortläsare kopplat till era behov och miljö. Testa olika modeller innan ni bestämmer er. Besluten påverkas av många faktorer som till exempel ergonomi, tillgänglig plats på arbetsstationen, hastighet, operativsystemsstöd, användningsfrekvens samt pris. De kortläsare som testats med Net id och som finns tillgängliga på ramavtal via SecMakers partners presenteras i bilaga 14. Tillbehör Se till att ni har bra tillbehör till de SITHS-kort som börjar användas i er organisation. Korthållaren och fästanordningen skall passa de behov som just er personal i den miljön de arbetar i. Ett sortiment av populära av korttillbehör presenteras i bilaga. Exempel: Korthållare Lanyards Fästanordningar Yoyo s

28 15. Supportavtal Net id Ett supportavtal ger tillgång till tjänster för felavhjälpning enligt vald SLA-nivå. Nedanstående matris visar supporterbjudandet. Net id Supportmatris Silver Gold Platinum 1, 2 eller 3 år 1, 2 eller 3 år 1, 2 eller 3 år 16 timmar 10 timmar 4 timmar Åtkomst till webbaserat supportsystem E-postsupport Telefonsupport Nej Må-fr Må-fr Åtkomst till kunskapsdatabas Nej Möjlighet till felsökning via distansuppkoppling Nej Möjlighet till felavhjälpning på plats hos kund Nej Inom 1 vecka Inom 48 timmar Tillgång till chatt via supportsystem Nej Nej Må-fr Nej Nej Nej Nej Automatisk prioritering av ärenden Nej Nej Utökad tillgång till och diskussion kring Net id produkt-roadmap Nej Nej Avtalsperiod Svarstid på ärenden Möjlighet att teckna paket för tilläggsupport utöver ordinarie supporttid Utbildning & certifiering av administratörer * Specifika villkor kopplade till supportmatrisen ovan är definierade i SecMaker's supportavtal. Kontakta gärna er leverantör eller SecMaker för mer information om supportavtal. Nacka den 5 maj 2010 Digitally signed by Jonas Öholm Date: :56:20 +02'00' SecMaker AB

29 16. Bilaga 1 - Installera, uppgradera och avinstallera Grundpaketet i exe-format Installation av Net id kan ske på flera olika sätt. I mindre piloter eller för enskilda tester används ofta grundpaketet i exe-format men det kan även användas i olika system för programvarudistribution, precis som MSI-paket. Alla paket har namnet iidsetup.exe. ZIP-filen som exe-filen finns i döps dock så att man kan se vilken kunds paket det är och vilken typ av paket det rör sig om. Se kapitel 6 om paketens namnsättning. Installera ett exe-baserade paket Dubbelklicka på iidsetup.exe och följ guiden. Paketet kan även installeras tyst med växeln /Q. Uppdatera ett exe-baserade paket Net id:s exe-baserade paket stödjer uppgradering till ny version. Uppgradering från en exebaserad version till högre exe-baserad version kan ske tyst.

30 Alla generella SITHS-paketeringar är konfigurerade så att man inte ärver gamla pakets inställningar utan det är det nya paketet som bestämmer. Notera att uppdatering från eventuell betaversion inte supporteras under några omständigheter. Avinstallera alltid en sådan version innan skarp version installeras. Man kan inte heller uppdatera från den exe-baserade installationsfilen till en MSI-baserad eller tvärtom. Avinstallera ett exe-baserade paket Avinstallation av exe-baserade paket kan se via Kontrollpanelen Lägg till/ta bort program eller från kommandoraden: iid.exe -uninstall

31 Avinstallationen kan även ske i tyst läge via följande kommandon: iid.exe -uninstall -silent (Kommer att misslyckas om användaren inte har lokala administratörsrättigheter) iidxcmt.exe -uninstall -silent (Användaren kan få en fråga från UAC om lokala administratörsrättigheter saknas)

32 Paket i MSI-format Av de generella SITHS-paketen är det endast det paket som är avsett för 32-bitars Windowsklienter och som har SSO aktiverat som levereras i MSI-format. Önskas andra paket i MSI-form måste supportavtal tecknas samt en paketeringsavgift erläggas per unikt paket. Notera att uppdatering från eventuell betaversion inte supporteras under några omständigheter. Avinstallera alltid en sådan version innan skarp version installeras. Man kan inte heller uppdatera från den exe-baserade installationsfilen till en MSI-baserad eller tvärtom. Att installera MSI-paketet, iidsetup_svr1101.msi kan förstås ske genom att dubbelklicka på filen och följa guiden. Men mera vanligt är förstås att trycka ut paketet via något av följande koncept: Via GPO:er Med hjälp av Microsoft SCCM (nya namnet på SMS) Eller genom att använda någon 3-parts produkt såsom; Specops Deploy eller ZenWorks MSI-paketet skjutas ut tyst med Q-flaggan. SecMakers MSI-paket stödjer inte en integrerad avinstallation av tidigare version. Man måste därför först initiera en avinstallation av den äldre versionen och därefter lägga på den nya.

33