Sicherer, schreibgeschützter Remotezugriff mit MOVEit Transfer-API

Verwenden Sie für den Remotezugriff auf Informationen der MOVEit Transfer-Konfiguration und der Überwachungsdatenbank die MOVEit Transfer-API-Methode „ReportRunCustom()“ und benutzerdefinierte Abfragen. Bei dieser Methode müssen sich Benutzer mit den MOVEit Transfer-Anmeldeinformationen authentifizieren. Die Daten werden während der Übertragung mittels SSL geschützt, und der Prozess ist aufgrund der Verwendung von HTTPs an Port 443 Firewall-freundlich.

Beispiel:

In diesem Beispiel wird VB-Code mit der MOVEit Transfer-API verwendet, um eine Liste im XML-Format mit maximal fünf Benutzern zurückzugeben, deren vollständiger Name mit A beginnt.

Dim boolOK as Boolean = false
Dim fields as String = "Username,RealName,Email,Notes"
Dim tables as String = "users"
Dim criteria as String = "RealName LIKE 'A%'"
Dim groupings as String = ""
Dim order as String = "RealName"
Dim limit as String = "5"
Dim OutputFormat as String = "XML"
Dim LocalPath as String = "d:\reports\newest_5_A_users.xml"
boolOK = ReportRunCustom( fields, tables, criteria, groupings, order, limit, OutputFormat, LocalPath )
IF boolOK then...

Weitere Informationen finden Sie in der MOVEit Transfer-API-Dokumentation im Abschnitt Webschnittstelle – Berichte – Benutzerdefinierte Berichte. Es ist nicht erforderlich, benutzerdefinierte Berichte auf MOVEit Transfer für die Verwendung über die MOVEit Transfer-API vorzukonfigurieren. Informationen zur Verwendung der einzelnen Felder im API-Funktionsaufruf finden Sie unter Benutzerdefinierte Berichte.

Wenn Sie Lese- bzw. Schreibzugriff auf die Datenbank erhalten möchten, der nicht über die MOVEit Transfer-API möglich ist, verwenden Sie eine komplexere Lösung mit direktem Zugriff auf die Datenbank.

Festlegen eines sicheren Remotezugriffs auf die MOVEit Transfer-Datenbank

Bei Verwendung von MySQL als Datenbankmodul

Richten Sie für den sicheren Zugriff auf die zugrundeliegende MySQL-Datenbank, in der MOVEit Transfer seine Konfiguration und Überwachungsprotokolle über eine ODBC-Verbindung speichert, einen Benutzer in der MySQL-Datenbank sowie mithilfe von stunnel einen sicheren Kanal ein.

Für den Remotezugriff auf die MOVEit Transfer-Datenbank ist möglicherweise zudem Version 3.51 des MySQL ODBC-Treibers (MyODBC) erforderlich. Dieser ist gegen Gebühr bei MySQL erhältlich (und wird standardmäßig mit MOVEit Transfer und MOVEit Automation installiert). Es wurden jedoch auch verschiedene andere MySQL-Datenbanktreiber getestet, unter anderem diverse Nicht-ODBC-Treiber für .NET.

Mit diesen Anweisungen richten Sie eine sichere MySQL-Portliste auf dem TCP-Port 33062 ein. Ändern Sie diesen Wert in der erforderlichen stunnel-Konfigurationsdatei.

Weitere Informationen zur Remote-Berichterstellung mit diesem Tool sowie CLIENT-Anweisungen für stunnel finden Sie in der Dokumentation zu MOVEit Automation.

Datenbankbenutzer mit Lesezugriff auf MOVEit Transfer einrichten

Normalerweise richten Sie für Benutzer einen schreibgeschützten Zugriff auf die MOVEit Transfer-Datenbank ein.

Anmerkung: Um Änderungen an der Datenbank vorzunehmen, sind erweiterte Kenntnisse erforderlich. Ohne ausreichend Erfahrung kann es zu Konfigurationsfehlern kommen, die sich auf die MOVEit Transfer-Prüffunktion mit Manipulationsnachweis auswirken.
  1. Öffnen Sie auf MOVEit Transfer eine Eingabeaufforderung.
  2. Wechseln Sie zum Unterordner Bin Ihres MySQL-Stammordners (z. B. D:\MySQL\Bin).
  3. Führen Sie den folgenden Befehl aus (mit dem entsprechenden Rootkennwort):

    D:\mysql\bin>mysql --user=root --password=31r00t0Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 19660Server version: 5.0.44-classic-nt MySQL Enterprise Server - Classic (Commercial)Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

  4. Geben Sie an der Eingabeaufforderung mysql> folgende Befehle aus. Ersetzen Sie micentral und m1c3ntra1 durch den Benutzernamen und das Kennwort, mit dem Sie sich über Ihre Remoteclients anmelden möchten:

    mysql> GRANT SELECT,CREATE TEMPORARY TABLES ON moveitdmz.* TO 'micentral'@'localhost' IDENTIFIED BY 'm1c3ntra1';Query OK, 0 rows affected (0.00 sec)mysql> FLUSH PRIVILEGES;Query OK, 0 rows affected (0.00 sec)mysql> exitBye

  5. Testen Sie die neu eingerichteten Berechtigungen mit den folgenden Befehlen. Verwenden Sie dabei jeweils die erforderlichen Anmeldeinformationen.

    D:\mysql\bin>mysql --user=micentral --password=m1c3ntra1 moveitdmzWelcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 19660Server version: 5.0.44-classic-nt MySQL Enterprise Server - Classic (Commercial)

    Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

    mysql> select count(*) from users;

    +----------+

    | count(*) |

    +----------+

    | 42 |

    +----------+

    1 row in set (0.08 sec)

    mysql> insert into log set ID=1;ERROR 1044: Access denied for user: 'micentral@localhost' to database 'moveitdmz'mysql> exitBye

Stunnel-Server auf MOVEit Transfer einrichten

  1. Öffnen Sie auf MOVEit Transfer eine Eingabeaufforderung.
  2. Wechseln Sie zum Unterordner Util Ihres MOVEit Transfer-Stammordners (z. B. D:\MOVEitDMZ\Util).
  3. Führen Sie diesen Befehl aus (und suchen Sie folgende Ausgabe):

    D:\moveitdmz\Util>stunnel_makecert

    D:\moveitdmz\Util>openssl genrsa -out stunnel_key.pem 2048

    Loading 'screen' into random state - done

    Generating RSA private key, 2048 bit long modulus

    ..............+++

    ....+++

    e is 65537 (0x10001)

    D:\moveit dmz\Util>openssl req -config stunnel_makecert_parms.txt -new -x509 -key stunnel_key.pem -out stunnel_mysqlserver.pem -days

  4. Führen Sie diesen Befehl aus (die Konfiguration auf diesem Server kann beibehalten werden):

    D:\moveitdmz\util>stunnel stunnel_mysqlserver.conf

  5. Wenn dieser Befehl fehlschlägt, wird ein Fehlerdialogfeld mit einer Meldung wie Stunnel server is down due to an error... und anschließend ein größeres Dialogfeld mit den Fehlerdetails angezeigt.

    Ungeachtet dessen, ob dieser Befehl erfolgreich ist, wird in der Taskleiste ein kleines stunnel-Symbol (stunnel_icon.gif (904 Byte)) angezeigt.

  6. Wenn der Befehl erfolgreich ist, fahren Sie unten mit dem nächsten Abschnitt in diesen Anweisungen fort. Falls Probleme aufgetreten sind, klicken Sie mit der rechten Maustaste auf das stunnel-Symbol, und wählen Sie Exit (Beenden) aus.

Stunnel als Dienst einrichten

Führen Sie nach dem Testen der neuen Verbindung die folgenden Befehle aus, um stunnel als Dienst zu installieren (damit die Anwendung automatisch gestartet wird).

  1. Beenden Sie die stunnel-Anwendung auf MOVEit Transfer und MOVEit Automation.
  2. Führen Sie auf MOVEit Transfer folgenden Befehl aus, um den Dienst zu installieren (achten Sie auf das Popup Created service (Dienst erstellt):

    D:\moveitdmz\util>stunnel -install stunnel_mysqlserver.conf

  3. Führen Sie auf MOVEit Transfer den folgenden Befehl aus, um den Dienst zu starten:

    D:\moveitdmz\util>net start stunnel

Wenn Sie als Datenbankmodul Microsoft SQL Server verwenden

Wenn Sie SQL Server als Datenbankmodul ausgewählt haben, können Sie die Daten sicher mithilfe von Microsoft-Standardtreibern wie ADO und ADO.NET aufrufen. Damit die gesamte Kommunikation zwischen Ihrem Programm und Microsoft SQL Server verschlüsselt wird, fügen Sie der Verbindungszeichenfolge Folgendes hinzu:

TrustServerCertificate=yes; Encrypt=yes;