1. Manuals
  2. Brands
  3. VMware Manuals
  4. Software
  5. ACE
  6. Administrator's manual

VMware ACE Management Server Administrator's Manual

Vmware ace 2.6
Hide thumbs Also See for ACE Management Server:
Table of Contents

Advertisement

Quick Links

Download this manual
ACE Management Server
Administrator's Manual
VMware ACE 2.6
This document supports the version of each product listed and
supports all subsequent versions until the document is replaced
by a new edition. To check for more recent editions of this
document, see http://www.vmware.com/support/pubs.
EN-000169-00

Advertisement

Table of Contents
loading
Need help?

Need help?

Do you have a question about the ACE Management Server and is the answer not in the manual?

Questions and answers

Subscribe to Our Youtube Channel

Related Manuals for VMware ACE Management Server

Summary of Contents for VMware ACE Management Server

  • Page 1 ACE Management Server Administrator’s Manual VMware ACE 2.6 This document supports the version of each product listed and supports all subsequent versions until the document is replaced by a new edition. To check for more recent editions of this document, see http://www.vmware.com/support/pubs.
  • Page 2 VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents. VMware is a registered trademark or trademark of VMware, Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies.

  • Page 3: Table Of Contents

    Database Throughput and Scalability 16 LDAP Throughput 16 Network Bandwidth and Policy Update Frequency 16 ACE Policy Configuration 17 Load Balancers 17 Security Features and Considerations 17 Using SSL Certificates and Protocol 18 Accessing ACE Management Server from Outside the Corporate Firewall 19 Deployment Planning Worksheet 19 Installing and Configuring ACE Management Server 21 Preparing for Installation 21 Configure TLS in Your Browser 21 Installing and Upgrading ACE Management Server 22 Install an ACE Management Server on a Windows Host 22 Install ACE Management Server on a Linux System 23 Install an ACE Management Server Appliance 24 Verify That the Apache Service Is Started or Restarted 25 Start and Configure ACE Management Server 26 Log In to ACE Management Server 26...
  • Page 4 ACE Management Server Administrator’s Manual Configuration Options for ACE Management Server 29 Prerequisites for Configuring the Server 29 Create Users and Groups for Integration with Active Directory 29 Set Up an External Database 30 Creating a System DSN Entry for an External Database 31 Increase the Number of Database Connections Allowed 32 Enable Database Connection Pooling on Linux 33 Set Up a Connection Between the Server Appliance and an External Database 33 Prepare Custom Security Certificates 33 View the Properties of the Self‐Signed Certificate File 34 Starting ACE Management Server Configuration 34 Viewing and Changing Licensing Information 34 Using an External Database 35 Creating Access Control 35 Uploading Custom SSL Certificates 36 Logging Events 37 Applying Configuration Settings 37 Load‐Balancing Multiple ACE Management Server Instances 39 Typical Setup Using Load‐Balanced ACE Management Server Instances 40...
  • Page 5 Contents Appendix: Database Schema and Audit Event Log Data 55 Using Database Reporting Tools 55 Database Schema 55 Querying the Audit Event Log Data 59 Glossary 63 Index 65 VMware, Inc.
  • Page 6 ACE Management Server Administrator’s Manual VMware, Inc.

  • Page 7: About This Book

    About This Book This manual, the VMware ACE Management Server Administrator’s Manual, provides information about  ® installing and using the VMware  ACE Management Server, which enables you to manage ACE instances in  real time. Using ACE Management Server is optional, but doing so provides the following benefits:  Manage activation of ACE packages.   Manage authentication of those activated packages.  Dynamically deliver policy updates to managed ACE instances.   Dynamically deliver instance customization data for managed ACE instances with Windows guest  operating systems.  Intended Audience This book is intended for anyone who needs to install, upgrade, or use ACE Management Server to manage  ACE instances. ACE Management Server is intended for ACE administrators who must maintain and update  ACE policies used on virtual machines deployed throughout an enterprise. Document Feedback VMware welcomes your suggestions for improving our documentation. If you have comments, send your  feedback to:  docfeedback@vmware.com Technical Support and Education Resources The following sections describe the technical support resources available to you. To access the current version  of this book and other books, go to http://www.vmware.com/support/pubs. Online and Telephone Support To use online support to submit technical support requests, view your product and contract information, and  register your products, go to http://www.vmware.com/support.
  • Page 8 ACE Management Server Administrator’s Manual VMware Professional Services VMware Education Services courses offer extensive hands‐on labs, case study examples, and course materials  designed to be used as on‐the‐job reference tools. Courses are available onsite, in the classroom, and live  online. For onsite pilot programs and implementation best practices, VMware Consulting Services provides  offerings to help you assess, plan, build, and manage your virtual environment. To access information about  education classes, certification programs, and consulting services, go to http://www.vmware.com/services.  VMware, Inc.

  • Page 9: Introduction

    Introduction The VMware ACE Management Server enables you to manage VMware ACE instances, to dynamically  publish policy changes for those instances, and to test and deploy packages more easily.  This chapter includes the following topics:  “Features of ACE Management Server” on page 9  “System Requirements” on page 10 Features of ACE Management Server ACE Management Server offers scalability and reliability:  You can increase capacity by adding network resources such as load balancers and extra server hardware.   For testing environments, the default embedded backing store provides a simple and efficient database  solution. To scale ACE Management Server for production deployments, you can configure and use an  external relational database management system (RDBMS).  In Windows, multithreaded processes handle server requests. In Linux, multiple processes handle server  requests. If one process fails, another takes over. ACE Management Server offers Active Directory integration:  You can use Active Directory to authenticate users of ACE instances.  You do not need a schema change for your existing Active Directory.   LDAP is used to access Active Directory.  Information about Windows domain user account states is provided in clear and useful messages.  Reasons for login failures are presented as “locked out” or “password expired.”   ACE Management Server acts as an Active Directory password change proxy.  You can use the instance customization feature in ACE with your own established naming conventions to  associate users with machines.

  • Page 10: System Requirements

    ACE Management Server Administrator’s Manual ACE Management Server is easy to install and configure. Client traffic can be proxied by easily available  products. The server uses easily available software components:   Apache Web server 2.0  The default SQLite database store The server setup uses industry‐standard protocols:  HTTPS and LDAP  XML‐RPC for message encapsulation ACE Management Server offers extensibility and availability:  You can create and use more than one ACE Management Server. When you use more than one server, you  can set the servers up so that they share the same database for load balancing or increased fault tolerance.  A Windows ACE Management Server can be on the same system as Workstation.  You can designate a single ACE Management Server name, such as  https://ace.policyserver.company.com, and use DNS lookup to translate the host name to an  address. The address is cached if a DNS server is not available. Additionally, you can use different ACE  Management Server instances if users travel between offices in different geographic locations.     Your server name must be either the machine name in English or the IP address. International  characters are not supported. System Requirements The following sections describe the ACE Management Server system requirements. Required Hardware  A minimum of an 800MHz‐compatible x86 and x86‐64 architecture processor  Compatible processors include: Celeron, Pentium II, Pentium III, Pentium 4, Pentium M (including computers with Centrino mobile  technology), Xeon (including Prestonia), AMD, Athlon, Athlon MP, Athlon XP, Duron, Opteron, AMD64 ...

  • Page 11: Supported External Databases

    Chapter 1 Introduction Supported External Databases An SQLite database engine is embedded in ACE Management Server. Although this database is adequate for  testing purposes, use one of the following external databases in production environments:  For a Windows‐based ACE Management Server – Microsoft SQL Server 2000 or higher;  Oracle Database 10g If you use a Microsoft SQL Server database, the database must be hosted on a system that uses the same  locale as the system that hosts ACE Management Server. For example, if ACE Management Server is  installed on a Japanese system, the database server must also be installed on a Japanese system and must  use Japanese collation.  For a Linux‐based ACE Management Server – PostgreSQL 7.4 or higher Supported Proxies You can deploy ACE Management Server with the following HTTPS proxy solutions:  Apache Proxy – Using mod_proxy  Zeus Technology Load Balancer – A commercially available load balancer and traffic management  solution Required Web Browsers The browser‐based ACE Management Server Setup application and the VMware ACE Help Desk application  require one of the following Web browsers:  Mozilla Firefox 1.52 or higher  Internet Explorer 6.0 or higher. Make sure that the Internet Explorer browser has TLS 1.0 checked to log  in to the AMS web configuration page. Licensing You must configure the server and enter the serial number in the server setup Web application. If you do not,  you cannot connect to the server in Workstation. ...
  • Page 12 ACE Management Server Administrator’s Manual VMware, Inc.

  • Page 13: Planning An Ace Management Server Deployment

    Planning an ACE Management Server Deployment This chapter provides guidelines for deploying VMware ACE Management Server instances, including  capacity planning and best practices. This chapter includes the following topics:  “Deployment Components” on page 13  “Performing Capacity Planning” on page 15  “Security Features and Considerations” on page 17  “Accessing ACE Management Server from Outside the Corporate Firewall” on page 19  “Deployment Planning Worksheet” on page 19 Deployment Components A typical ACE Management Server deployment has the following components:  One or more ACE Management Server instances – Configuring multiple servers to use the same  database increases the number of ACE clients you can manage and guarantees high availability.  Database server – For production deployments, VMware recommends Oracle Database 10g or MS‐SQL  for ACE Management Server installed on a Windows host, and Postgres for ACE Management Server  installed on a Linux host.  (Optional) Active Directory domain controller – To enable the ACE Management Server Active  Directory integration, you must configure ACE Management Server to communicate with your domain  controller.  (Optional) HTTP load balancer – Use a load balancer to help scale the capacity of your ACE Management ...

  • Page 14: Host System Options

    ACE Management Server Administrator’s Manual Figure 2-1. Comprehensive ACE Management Server Deployment Active Directory WSAE client domain controller (within (optional) corporate ACE Player client network) LDAP (within Kerberos corporate network) HTTPS HTTPS HTTPS ACE Management Server (one or more) HTTPS...

  • Page 15: Database Options

    Chapter 2 Planning an ACE Management Server Deployment Database Options ACE Management Server offers the following database options:  Embedded SQLite database – The default mode of ACE Management Server works with an embedded  SQLite 3 database engine. The SQLite database engine is initialized during server installation and requires  no special configuration. The embedded database supports up to several gigabytes of data. The SQLite database is file based and is not designed to be effectively shared across multiple processes. If  you use third‐party tools to access the database for a read operation, therefore, you cannot depend on  transactional isolation of the pending write operations of the ACE Management Server.  The embedded database is adequate for testing purposes, but VMware recommends that you use an  external database in production environments.  Supported external database – In production environments, use a supported external database as a  backing store for ACE Management Server, through ODBC connectivity. Supported external database  engines are the following:  For Windows‐based ACE Management Server, use Microsoft SQL Server (SQL Server 2000 or SQL  Server 2005) or Oracle Database 10g installed on the same system or a different Windows system  For Linux‐based ACE Management Server, use PostgreSQL 7.4 or higher installed on the same  system or a different Linux system    If ACE Management Server is deployed in the DMZ, use an external database located inside your  corporate network behind a firewall. Using an external database with ACE Management Server offers the following benefits:  Online backup so that you do not have to shut down ACE Management Server to back up the  database.   Enhanced security model. You can fine‐tune permissions to access sensitive data. The SQLite  database engine provides file‐system based security.

  • Page 16: Database Throughput And Scalability

    ACE Management Server Administrator’s Manual  ACE policy configuration  Load balancers for very large deployments (more than 5,000 clients) Table 2‐1 lists recommendations for the number of clients supported based on the hardware you are using. The  figures for recommended clients reserve some server processing power so that interactive clients receive  responses in a timely fashion and the server satisfies increases in demand. Table 2-1. Number of Clients Supported Hardware Recommended Clients 2‐GHz AMD 2‐way server (Opteron 280, 4GB RAM) 6,000 2‐GHz Intel 2‐way desktop machine (4GB RAM) 4,000 Database Throughput and Scalability For production deployments, VMware recommends that you use Oracle, MS‐SQL, or Postgres as your  database platform. More than 95 percent of the storage space that an ACE Management Server requires is used to log event  information, which is an audit trail of all transactions performed through ACE Management Server. Table 2‐2  lists recommended database sizes based on the number of clients being served. The figures in the table are based on a 90‐day database archival period. Back up the database records every 90  days and keep event logs for 90 days. You can configure ACE Management Server to purge event logs every  90 days. Table 2-2. Database Storage Recommendations...

  • Page 17: Network Bandwidth And Policy Update Frequency

    Chapter 2 Planning an ACE Management Server Deployment Network Bandwidth and Policy Update Frequency The amount of network bandwidth that ACE Management Server and ACE instances require depends on the  frequency of policy updates that you configure. Table 2‐3 shows the amount of bandwidth needed when you  use a policy update frequency value of 10 minutes. Table 2-3. Network Bandwidth Required with a Policy Update Frequency of 10 Minutes Number of Clients Bandwidth Required 0.125Mb/sec. 1,000 1.25Mb/sec.

  • Page 18: Security Features And Considerations

    ACE Management Server Administrator’s Manual Security Features and Considerations By default, ACE Management Server uses the Secure Sockets Layer (SSL) protocol to provide encrypted and  secure communications.  Following is an overview of security features and recommendations on how to configure the ACE  Management Server to avoid security problems:  Traffic to and from clients is protected by HTTPS – By default, ACE Management Server creates a  self‐signed certificate when you install it to use for HTTPS traffic. These certificates are secure, but you  can also configure ACE Management Server to use your own certificate and key pairs.  Traffic from ACE Management Server to Active Directory is encrypted – If the server is integrated with  an Active Directory service, it communicates with the service through an SSL‐protected link. LDAP traffic  is encrypted at the application layer. Credentials are protected by using the Kerberos protocol to  authenticate credentials.  Sensitive configuration options are encrypted – Passwords stored in the configuration file are encrypted.  Database security – The database store contains sensitive data such as cryptographic keys. Configure  your database security so that it is protected from intrusion and protected in case of data loss. For more  information about features that are available to protect your data, see your database documentation. SSL encrypts data through the use of a public‐key and private‐key pair. The public key is known to everyone  and the private key is known only to the message recipient. URLs that require an SSL connection start with  https. During ACE Management Server installation, the following two files are created:  server.key – An RSA 1024‐bit key, this is the private key.  server.crt – A self‐signed certificate. Its signature is verified by the public key, which is embedded in  the certificate. This public certificate is valid for 10 years from the date and time at which the server is  installed. The certificate file is encoded in PEM format.  By default, these files are stored in the SSL directory in the VMware ACE Management Server program ...

  • Page 19: Accessing Ace Management Server From Outside The Corporate Firewall

    Chapter 2 Planning an ACE Management Server Deployment VMware Player checks the integrity of the certificate store included in the package every time it communicates  with the server. VMware Player does not trust any certificates stored on the host machine on which it is  running. Instead, it relies on a complete certification chain that is included in the ACE package. The use of  self‐signed certificates is adequate for most security needs. If, however, your enterprise requires the use of a certificate signed by a certificate authority (internal or  commercial), you can set up that type of key‐certificate pair for the ACE packages to use. A certificate authority,  or CA, is an entity that issues and signs public‐key certificates, typically for a fee.  Accessing ACE Management Server from Outside the Corporate Firewall All client requests to ACE Management Server are HTTPS traffic on port 443. This means that any solution  using a proxy to secure HTTPS traffic into your corporate servers can be used to proxy ACE Management  Server traffic. Because of the number of data connections that the ACE Management Server must make on the back end  (LDAP, DNS, ODBC, Kerberos), VMware recommends using an HTTPS proxy in the DMZ. This proxy can  relay ACE Management Server traffic to the actual ACE Management Server inside the corporate network.  Figure 2-2. Recommended Deployment for External Access LDAP (port 389)

  • Page 20: Deployment Planning Worksheet

    ACE Management Server Administrator’s Manual Deployment Planning Worksheet Use the deployment planning worksheet to record your choice of server system, database, security certificates,  and optional components for a production environment. Table 2-5. Worksheet for ACE Management Server in a Production Environment Component Considerations Decision Active  Performance is better when the ACE  Use Active Directory? ________ Directory  Management Server is installed on a  If yes, name of user account for ACE  integration Windows host. Management Server to query the Active  See also “Create Users and Groups for  Directory database: __________________ Integration with Active Directory” on  Fully qualified domain name of the  page 29. LDAP server: _______________________ ACE ...

  • Page 21: Installing And Configuring Ace Management Server

    “Log In to ACE Management Server” on page 26 Preparing for Installation Before you install ACE Management Server, you must plan your deployment. Complete the following tasks: To determine which type of ACE Management Server installer to use, how many servers to install, and  which deployment components to include, see Chapter 2, “Planning an ACE Management Server  Deployment,” on page 13.  To configure your Web browser to use Transport Layer Security (TLS), see “Configure TLS in Your  Browser” on page 21. To synchronize the clock on the host system with the client system, use Network Time Protocol (NTP). To choose an HTTPS port for the host on which you plan to run ACE Management Server, see Table 3‐1. Table 3-1. Port Assignments, Default Settings, for ACE Management Server HTTPS Port Number Description  443 Communications between ACE Management Server and ACE  instances  8000 ACE Management Server Setup (configuration) Web application ACE Help Desk Web application  8080 ACE Management Server Appliance configuration    If another Web server is installed that uses any of these default ports, you might need to resolve the ...

  • Page 22: Configure Tls In Your Browser

    Install an ACE Management Server on a Windows Host Installing ACE Management Server on a Windows host involves downloading and running an installation  wizard. You can install ACE Management Server on the following Windows systems:   Windows Server 2003  Windows XP Professional (includes 64‐bit editions)  Windows 2000 Server Before you begin, make sure the clock is synchronized and the required ports are available, as described in  “Preparing for Installation” on page 21.  Use this installation procedure to install or update ACE Management Server software. To install an ACE Management Server on a Windows host Download the VMware-ACE-Management-Server.exe file from the VMware Web site and save the file  on the system that is to host the server. The file is available as a separate downloadable file in the same download location as the Workstation  application. Double‐click the VMware-ACE-Management-Server.exe file to start the installation wizard. VMware, Inc.

  • Page 23: Install Ace Management Server On A Linux System

    For SUSE Linux Enterprise Server 9, the cyrus-sasl-gssapi package is installed. This package is not  installed by default.  When you use the external database option, the following packages are required as well:  Red Hat Enterprise Linux 4: unixODBC  SUSE Linux Enterprise Server 9: unixODBC and, if you plan to use the X11 graphical configuration  tool, unixODBC-gui-qt   The clock is synchronized and the required ports are available, as described in “Preparing for Installation”  on page 21.  Use this installation procedure to install or update ACE Management Server software. To install ACE Management Server on a Linux system Download the .rpm file from the VMware Web site and save the file on the system that is to host the  server. The file is available as a separate downloadable file in the same download location as the Workstation  application. Run the Red Hat or SUSE Linux RPM installer for ACE Management Server:  vmware-ace-management-server-<build_number>.i386-rhel4.rpm  vmware-ace-management-server-<build_number>.i386-sles9.rpm For example: rpm -Uhv vmware-ace-management-server-87693.i386-rhel4.rpm VMware, Inc.

  • Page 24: Install An Ace Management Server Appliance

    Open the following file with a text editor: /etc/sysconfig/apache2 Add the ldap config option to the APACHE_MODULES variable. Save and close the file. After ACE Management Server is installed, you can configure it. See “Start and Configure ACE Management  Server” on page 26. Install an ACE Management Server Appliance The ACE Management Server appliance is a self‐contained, preinstalled, and preconfigured ACE  Management Server packaged with a small operating system in a virtual machine. Although the appliance is  adequate for test environments, VMware recommends that you do not use it in production environments. Before you begin, make sure the clock is synchronized and the required ports are available, as described in  “Preparing for Installation” on page 21.  To install an ACE Management Server appliance Download the .zip file for the appliance from the VMware Web site and save the file on the system that  is to host the server. Extract the files to the directory where the server is to be located. Start Workstation, choose File > Open to open, and select the ams_appliance.vmx file. Click the Power On button to start the virtual appliance. At the password prompt, enter a password and confirm it. This password is used for both root and network accounts. Make a note of this password so that you can  use it for later appliance management operations from the console and the Web. The appliance configures its network by using DHCP.  The console view displays the following information:  Current network settings  ...

  • Page 25: Verify That The Apache Service Is Started Or Restarted

    Chapter 3 Installing and Configuring ACE Management Server (Optional) To reconfigure any update options, for example, to disable automatic downloads of updates,  use the Appliance Management and Configuration application, as follows: Leave the ACE Management Server appliance running. Browse to https://<hostIPaddress>:8080. In the connection dialog box, type root in the user name field and your network or root password in  the password field. Click the Update link on the first page of the Appliance Configuration and Management Web  application and complete the Appliance Update page. To view instructions about configuring update options, click the Help link in the upper‐right corner  of the Web page. When you finish configuring any network or update settings, navigate to the ACE Management Server  Setup Web application to configure the server.  To access that application, choose one of these methods:  From the Appliance Management and Configuration Web application page, click the ACE Login link  in the upper‐right corner of the page.  From a command prompt window, close the window, open a browser, and enter the URL for the ACE  Management Server Setup Web application: https://<hostIPaddress>:8000/ 10 Click Configuration to open the Web application. Verify That the Apache Service Is Started or Restarted If you installed ACE Management Server on a Linux host, verify that the Apache service is started before you ...

  • Page 26: Start And Configure Ace Management Server

    Before you begin, make sure that the following prerequisites are satisfied, as applicable:  If you installed ACE Management Server on a Linux host or are using the ACE Management Server  appliance, verify that the Apache server is running. See “Verify That the Apache Service Is Started or  Restarted” on page 25.  If this is the first time you are logging in, make sure you have the serial number for the product. The serial  number is on the registration card in your package. If you purchased VMware ACE online, the serial  number is sent by email.  If you plan to use an external database, Active Directory integration, or custom SSL certificates, you must  perform some setup tasks before you can configure ACE Management Server. See the following topics, as  applicable:  “Create Users and Groups for Integration with Active Directory” on page 29  “Set Up an External Database” on page 30  “Prepare Custom Security Certificates” on page 33 To start and configure ACE Management Server Open a Web browser and go to https://<hostname>:8000.  The <hostname> value can be the fully qualified name of the computer on which ACE Management  Server is installed or it can be an IP address. If you installed ACE Management Server on a Windows host and you are using that host to configure it,  you can alternatively choose Start > VMware > VMware ACE Management Server.  Accept the license agreement and click Start. The configuration tabs appear as they do in subsequent log‐ins, but for the first log‐in, wizard buttons  such as Next and Back also appear.  VMware, Inc.

  • Page 27: Log In To Ace Management Server

    Chapter 3 Installing and Configuring ACE Management Server Complete the information on each tab and click Next. The only fields that require changes and do not have default settings are the Serial Number field on the  Licensing tab and the Administrator password on the Access Control tab.  For information about specific fields and tabs, click Help on the tab. Log In to ACE Management Server The first time you log in to ACE Management Server, you must set a password. The next time you log in, you  must provide that password or provide Active Directory credentials if you configured the server to use Active  Directory for authentication. Communications between Workstation and ACE Management Server take place over a secure SSL connection.  If the server is integrated with Active Directory service, enter your administrative credentials in one of the  formats shown in Table 3‐2. Table 3-2. Login Options When Using Active Directory Service Option Description Example long name + password +  The long name is the <First_name> John Doe domain name...
  • Page 28 ACE Management Server Administrator’s Manual Enter login credentials. If you use Active Directory for authentication, see Table 3‐2. In multidomain environments, you might be  required to enter a domain (for example, eng.com). VMware, Inc.

  • Page 29: Configuration Options For Ace Management Server

    Configuration Options for ACE Management Server After you install ACE Management Server, you must use the browser‐based ACE Management Server Setup  application to configure the server.  This chapter includes the following topics:  “Prerequisites for Configuring the Server” on page 29  “Starting ACE Management Server Configuration” on page 34  “Viewing and Changing Licensing Information” on page 35  “Using an External Database” on page 35  “Creating Access Control” on page 36  “Uploading Custom SSL Certificates” on page 36  “Logging Events” on page 37  “Applying Configuration Settings” on page 37 Prerequisites for Configuring the Server If you plan to use Active Directory integration (using LDAP), an external database, or custom SSL certificates,  you must perform some setup tasks before you configure the ACE Management Server. ...

  • Page 30: Set Up An External Database

    ACE Management Server Administrator’s Manual To create users and groups for integration with Active Directory Create a user that ACE Management Server can use to connect to the LDAP server and use for querying.  Make a note of the sAMAccountName value for that user (for example, aceuser.) Create an ACE Administrators group in the domain. Add ACE administrator users to the ACE Administrators group. (Optional) Create a Help Desk group and assign users to it for the Help Desk role. You can log in to the Help Desk Web application with your administrative LDAP credentials or password.  Creating a Help Desk role allows you to permit certain users to perform Help Desk tasks from within the  Help Desk application but does not give them access to other administrative tools. Set Up an External Database Before you begin, make sure that you have one of the following supported database servers:  For a Windows‐based ACE Management Server– Microsoft SQL Server 2000 or higher;  Oracle Database 10g If you use a Microsoft SQL Server database, the database must be hosted on a system that uses the same  locale as the system that hosts ACE Management Server. For example, if ACE Management Server is  installed on a Japanese system, the database server must also be installed on a Japanese system and must  use Japanese collation.  For a Linux‐based ACE Management Server – PostgreSQL 7.4 or higher Before you install the database on a Linux host, make sure the unixODBC RPM package is installed on the Linux ...

  • Page 31: Creating A System Dsn Entry For An External Database

    Chapter 4 Configuration Options for ACE Management Server (Optional) If ACE Management Server is going to connect to the database over the network (TCP socket  connection), ensure that the following are in place:  TCP connectivity is enabled in the database configuration options.  The TCP connection is not blocked by firewall settings on the database server or the ACE  Management Server host.  If you are using a PostgreSQL database, configure per‐user permission to connect to the database  over the network. Configure that permission in the pg_hba.conf file, which is located in the root  folder of your database. (Optional) On the ACE Management Server machine, to verify the server’s connectivity to the database  with the configured user credentials, run a command‐line or graphical SQL tool.  Examples of such tools are sqlcmd.exe for SQL Server, sqlplus.exe for Oracle, and psql for  PostgresSQL. For database configuration and verification instructions, see the respective database  documentation. On the ACE Management Server machine, create a System DSN entry.  Creating a System DSN Entry for an External Database The only required information in DSN configuration is the DSN name, server IP address or host name, and the  database name. You do not need to provide a user name and password in the DSN configuration. You provide  a user name and password later, when you use the ACE Management Server Setup application. Ensure that you create a system DSN and not a user DSN. If you create a user DSN, it is visible only to your  user account. ACE Management Server runs under the local system account, so the server cannot detect or use ...

  • Page 32: Increase The Number Of Database Connections Allowed

    ACE Management Server Administrator’s Manual Create a System DSN Entry for a Linux Database On Linux systems, you use a text editor or the ODBCConfig graphical (X11) utility to create a system DSN entry.  The ODBCConfig utility mimics the Windows ODBC Data Sources Control Panel plug‐in.  Before you begin, determine the correct ODBC driver:  On Red Hat Enterprise Server, the driver is located at /usr/lib/libodbcpsql.so.   On SUSE Linux Enterprise Server 9, the driver is located at /user/lib/unixODBC/libodbcpsql.so.2.  The DSN configuration for the unixODBC package is stored in the /etc directory (/etc/unixODBC for  SUSE Linux Enterprise Server). If you are using the ACE Management Server appliance, see “Set Up a Connection Between the Server  Appliance and an External Database” on page 33. You use the odbc.ini file for creating DSNs and the odbcinst.ini file for driver and general ODBC system  configuration.  To create a System DSN entry for a Linux database As root, use the ODBCConfig utility to create a System DSN entry. You also must configure the server address and the database name in the DSN settings.

  • Page 33: Enable Database Connection Pooling On Linux

    Chapter 4 Configuration Options for ACE Management Server To increase the number of database connections allowed Inspect the Apache configuration file on the ACE Management Server host to determine the number of  parallel threads or processes that might start at the same time. Configure the database to allow as many connections as the Apache server. See your database documentation.  Enable Database Connection Pooling on Linux Enabling database connection pooling for databases on Linux hosts can give a substantial performance gain  under high loads. ACE Management Server can reuse database connections rather than opening new  connections for every request.  Enable database connection pooling in the ODBC Driver Manager (it is disabled by default) to optimize  performance for servers on Linux platforms.  On Windows platforms, ODBC connection pooling is enabled by default. To enable database connection pooling on Linux Start the ODBCConfig utility as a root user.

  • Page 34: Prepare Custom Security Certificates

    ACE Management Server Administrator’s Manual Prepare Custom Security Certificates To use custom SSL certificates, either your own self‐signed certificates or those of a third‐party or internal CA  (certificate authority), you must provide the certificate, key, and (in the case of CAs) certificate chain files.  These files must be PEM encoded.  After you create or obtain these files, upload them to ACE Management Server by using the Custom SSL  Certificates tab in the ACE Management Server Setup application. For more information about how VMware ACE uses SSL certificates, see “Using SSL Certificates and Protocol”  on page 18. To prepare custom security certificates Create or provide the needed files:  For your own self‐signed certificate, use the openssl utility to create a new self‐signed certificate.   For a third‐party CA or internal CA, obtain an SSL certificate signed by that CA, and a  certificate‐verification chain file. The chain file is a concatenation of every certificate required to verify the new SSL certificate you  created or obtained. Steps for obtaining the certificate chain vary, depending on which host operating  system you are using and on the source from which the CA certificate is obtained.  A private‐key file. SSL encrypts data through the use of a public‐key and private‐key pair. The public  key is known to everyone and the private key is known only to the message recipient. The certificate signatures must use the SHA1 algorithm digest. The files must be PEM‐encoded. Rename the files, as follows:  Rename the private key file to server.key.   Rename the certificate file to server.crt. ...

  • Page 35: Viewing And Changing Licensing Information

    Chapter 4 Configuration Options for ACE Management Server The text that appears on the Start tab changes, depending on whether you have done an initial configuration:  If this page says This server has not been configured yet, you must click Start to complete the  configuration setup wizard.  If this page says This server is configured, the Next and Previous wizard buttons do not appear. You can  navigate to other tabs by clicking a tab. Viewing and Changing Licensing Information After you enter an ACE Management Server serial number, use the Licensing tab to determine the expiration  date, if any. The serial number is on the registration card in your package. If you purchased VMware ACE online, the serial  number is sent by email.  If the system on which you installed ACE Management Server currently has more than one valid server  license, just one license appears on the page. You can use the Licensing tab to add or change a serial number, user name, or company name.  If you make changes to the information on this tab, you must click Apply or Cancel before you can navigate  to another tab. Using an External Database The embedded database is an SQLite database. VMware recommends that you use an external database in  production environments. The embedded database is initialized during server installation and requires no special configuration. This  database is adequate for testing purposes but is not designed to be effectively shared across multiple  processes. Before you can configure the ACE Management Server to use an external database, you must create a system  DSN and credentials for accessing that data source. See “Set Up an External Database” on page 30. ...

  • Page 36: Creating Access Control

    ACE Management Server Administrator’s Manual Creating Access Control On the Access Control tab, you can create a local Administrator role and Help Desk role or use Active  Directory for authenticating users with these roles. Before you can configure the ACE Management Server to use a domain account for authentication, you must  create users and groups so that ACE Management Server can connect to the LDAP server. See “Create Users  and Groups for Integration with Active Directory” on page 29.  Use the following information to help you complete the fields for authentication:  Local account – If you specify a password for the Administrator role and forget or lose it, you must delete  the server configuration file. Deleting this file sets the server back to its initial state. You must reconfigure  the server and set the administrator password again.  See “Delete the Server Configuration File and Set a New Administrator Password” on page 52.   Domain account (LDAP) – To use Active Directory for authentication, specify the host and credentials  that the ACE Management Server uses to connect to and query the domain controller:   Host Name – Enter a fully qualified domain name (for example, ldap.vmware.com) instead of an IP  address or host name with no parent domain name (for example, ldap).  Query User sAMAcountName and Query User Password – Use the password and short name for  the user account you created for this purpose in Active Directory.   Query User Domain – The domain must be the domain for which the LDAP host is a domain  controller.  Admin Group DN and Help Desk Group DN – (Optional) Enter the distinguished name for these  groups, which you created for this purpose in Active Directory (for example,  cn=Users,dc=simplecorp,dc=com). If this option is not enabled, anyone who logs in to the Help Desk application must be a member of  the ACE Administrators group. ...

  • Page 37: Logging Events

    Chapter 4 Configuration Options for ACE Management Server When you click Upload certificates, a summary page displays the files and locations you specify on this tab.  Note the location of any backup files. You might need to use the backup if you find that the new file is invalid  when you click Apply. See “Restore a Backup Copy of an SSL Certificate” on page 52.  After you upload custom SSL certificates, you must update any existing ACE‐enabled virtual machines to use  a new certificate and key file. To do so, use Workstation to create an update package. When you deploy the  new package, ACE instances receive the new certificate file and certificate chain. Logging Events The server collects log entries for events that change the database. On the Logging tab, you can set the logging  levels and set an option for purging log entries.  ACE Management Server uses the following logging categories:  ACE Administration – Logs events for instance creation, update, and destruction.   Package Administration – Logs events for package creation, update, instance customization, and package  removal.   Policy Administration – Logs events for policy‐set update and publish, user access control changes, and  instance passwords set by an ACE administrator.  Instance Administration – Logs ACE instance life‐cycle events, such as creation, copying, revocation,  reenablement, and deletion. Also logs instance password change by a user or an administrator, changes  in expiration for each instance, changes of instance guest or host operating system information, and  setting instance custom fields. The debug level can be used to log the most ubiquitous traffic such as  policy update requests from active instances. Failed instance verifications are logged only at the debug  level.  Authentication – Logs events for every authentication request, such as administration or help desk  authentication attempts (at the normal level), instance authentication (at the informational level), and  remote LDAP password change. Set logging for this category to the lowest level that is practical for you.  This category can generate a large volume of entries.
  • Page 38 ACE Management Server Administrator’s Manual VMware, Inc.

  • Page 39: Load-Balancing Multiple Ace Management Server Instances

    Load-Balancing Multiple ACE Management Server Instances If you have thousands of clients, you can configure multiple VMware ACE Management Server instances to  work together. You can set up two or more servers and use them with a load balancer. This chapter includes the following topics:  “Typical Setup Using Load‐Balanced ACE Management Server Instances” on page 40  “Install the Required Services for Load Balancing” on page 40  “Use the Same SSL Certificate on All Servers” on page 41  “Create New SSL Certificates and Keys for Each Server” on page 41  “Installing and Configuring the Load Balancer” on page 43  “Verify That ACE Instances Are Using the Load Balancer” on page 43 VMware, Inc.

  • Page 40: Typical Setup Using Load-Balanced Ace Management Server Instances

    ACE Management Server Administrator’s Manual Typical Setup Using Load-Balanced ACE Management Server Instances A single ACE Management Server can handle a preset number of clients, but you can add more servers to your  ACE Management Server infrastructure by using load balancing. When you add more servers to the  load‐balancing group, the number of clients that you can serve scales linearly. For example, if you can serve  2,000 clients with one server, using two load‐balanced servers allows you to serve 4,000 clients.  Figure 5‐1 shows a simple deployment topology for using load balancing. Figure 5-1. Two ACE Management Server Instances Working Together Active Directory domain controller AMS Client LDAP HTTPS Kerberos HTTPS ODBC...

  • Page 41: Use The Same Ssl Certificate On All Servers

    Chapter 5 Load-Balancing Multiple ACE Management Server Instances To verify that both ACE Management Server instances are working properly, start Workstation and  connect to each ACE Management Server directly: In Workstation, choose File > Connect to ACE Management Server. Enter the IP or host name of the machine where ACE Management Server is installed, change the  number in the Port field if necessary, and click OK. The setup is successful if you can view the same data in the Instance View window for each ACE  Management Server instance. If you create a test ACE and preview it, you see the preview instance on  both servers. Use the Same SSL Certificate on All Servers For a load‐balancing solution, you can copy the SSL certificate and key from one ACE Management Server to  another.     This procedure directs you to upload both the certificate file (the .crt file) and the matching key  AUTION file (the .key file). If you do not upload both, the Apache httpd service on the second ACM Management  Server might freeze. In this case, you must uninstall and reinstall ACE Management Server. To use the same SSL certificate on all servers Log in to the ACE Management Server Setup application for the first ACE Management Server.

  • Page 42: Create New Ssl Certificates And Keys For Each Server

    ACE Management Server Administrator’s Manual Create New SSL Certificates and Keys for Each Server If you do not want to use the same SSL certificate and key for each ACE Management Server, you must create  new SSL certificates and keys for each server.  If you plan to obtain SSL certificates from a certificate authority, you must create certificate chains. Figure 5‐2  provides an overview of determining which certificates are included in a chain. Figure 5-2. Creating the Certificate Chain File certificate convert to PEM verification then append to file chain Certificate Chain File Root SSL Certificate...

  • Page 43: Installing And Configuring The Load Balancer

    Install the load balancer and configure port 443 (HTTP over SSL) for load balancing. Do not configure  port 8080 or 8000 for load balancing. These two ports are used for configuration. Port 8080 is the virtual  appliance configuration port and 8000 is the ACE Management Server configuration port. Verify That ACE Instances Are Using the Load Balancer After you configure multiple ACE Management Server instances to work with a load balancer and install the  necessary SSL certificates, perform verification. Verify that ACE instances can connect to ACE Management  Server instances by using the address of the load‐balancer.  Before you begin, restart Workstation so that Workstation can download the SSL certificate when a connection  to the ACE Management Server is established. To verify that ACE instances are using the load balancer Create an ACE‐enabled virtual machine. Open the policy editor. Select Policy Update Frequency. Select Disable Offline Usage and click OK. Remove the first ACE Management Server from the load balancing configuration so that all traffic goes to  the second ACE Management Server. Preview the ACE instance. This preview creates an instance on the ACE Management Server. Close the ACE Player.
  • Page 44 ACE Management Server Administrator’s Manual VMware, Inc.

  • Page 45: Managing Ace Instances

    “Show, Hide, and Move Columns in the Instance View” on page 48  “Create or Delete Custom Columns in the Instance View” on page 48  “View Instance Details” on page 48  “Reactivate, Deactivate, or Delete an ACE Instance” on page 49  “Change a Copy Protection ID” on page 49  “Reset the Authentication Password” on page 50  “Add Information for Custom Columns” on page 50 Viewing ACE Instances That the Server Manages To view and manage a server’s ACE instances, you can use either the Instances page of the VMware ACE Help  Desk or the server’s instance view in Workstation. Both user interfaces enable you to fix a limited set of ACE instance problems, such as reactivating an instance,  changing the instance’s expiration date, and resetting the user password if the user has lost or forgotten it. Because the VMware ACE Help Desk is a browser‐based application, you can use it on computers that do not  have Workstation installed. The Help Desk also allows you to create a restricted help desk role. Users with this  role can fix a limited set of problems reported by end users, but they cannot change configuration settings for  the ACE Management Server.  The instance view in Workstation enables you to perform all the tasks available in the VMware ACE Help Desk  and a few more tasks. For example, in the instance view, you can create custom columns and save the searches  you create.  VMware, Inc.

  • Page 46: Use The Vmware Ace Help Desk Application

    ACE Management Server Administrator’s Manual Use the VMware ACE Help Desk Application ACE administrators and help desk assistants can access ACE instances through the VMware ACE Help Desk  Web application. You can use the Help Desk to reactivate an instance, change the instance’s expiration date,  and reset a user password if it is lost or forgotten. To use the VMware ACE Help Desk application Open a Web browser and go to https://<hostname>:8000.  The <hostname> value can be the fully qualified name of the computer on which ACE Management  Server is installed or it can be an IP address. If you installed ACE Management Server on a Windows host and you are using that host to configure it,  you can alternatively choose Start > VMware > VMware ACE Management Server.  Click the Help Desk link. Supply the login information. Use the following information to help you complete the fields that appear in this window:  User Name and Password – If a help desk role was created, enter credentials for that role. Otherwise,  enter credentials for administering the ACE Management Server.  Domain – In multi‐domain environments, you might be required to enter a domain (for example,  eng.com). The VMware ACE Help Desk opens the Instances page, which contains a summary table of all the instances  that the server manages. Use the Instance View in Workstation ACE administrators can access ACE instances through the instance view. You can use the instance view to ...

  • Page 47: Search For An Instance

    Complete the login window. Use the following information to help you complete the fields that appear in this window:  User Name and Password – Enter credentials for administering the ACE Management Server.  Domain – In multi‐domain environments, you might be required to enter a domain (for example,  eng.com). Search for an Instance You can use the search function to query the ACE Management Server database for one or more particular  ACE instances. Search criteria are joined with AND, not OR, operations. Before you begin, do one of the following:  Log in to the VMware ACE Help Desk for an ACE Management Server.  Connect to an ACE Management Server from the Workstation window. To search for an ACE instance Click Search and specify the criteria to be included when the database is queried. Use the following information to help you specify search criteria:  Activated By – Activation method, such as password, Active Directory user, or activation key. If no  such activation method exists, N/A appears in the column.  ACE VM Name – Name of the ACE‐enabled virtual machine from which the ACE instance was  created.  Guest Name – (For Windows guests only) Computer name resolved on the user’s machine during  instance customization, if you use that feature. The NetBIOS name is reported here, and it is a  maximum of 15 characters long. Even if the actual computer name contains more characters, the name  always appears as the NetBIOS name.  Custom columns – Custom columns that you created appear directly below the Guest MAC Address ...

  • Page 48: Sort By Column Heading And Change Column Width

    ACE Management Server Administrator’s Manual Sort by Column Heading and Change Column Width You can reorder the instances in the table alphabetically or numerically, depending on the selected column’s  contents, in ascending or descending order.  To sort by column heading and change column width Click the column heading of the column to sort.  Click again to re‐sort in the opposite (ascending or descending) order. To change column widths, click a column divider and drag it to a new width. Show, Hide, and Move Columns in the Instance View Although you can sort and resize columns in either the VMware ACE Help Desk or the Workstation instance  view, you can show, hide, and move columns only in the Workstation instance view. Column changes for one server do not affect other servers. To show, hide, and move columns in the instance view In Workstation, connect to the ACE Management Server and log in.

  • Page 49: View Instance Details

    You can view the Zones or Rules Detail page for this zone or this type of network access.  The Everywhere and Everywhere else zone settings are not linked to a Zones Detail page because they  are self‐explanatory. Reactivate, Deactivate, or Delete an ACE Instance You can immediately deny or allow access to an instance by deactivating or reactivating it. After you  deactivate an instance, you can delete it from the list of instances that the server manages. Before you begin, do one of the following:  Log in to the VMware ACE Help Desk for an ACE Management Server.  Connect to an ACE Management Server from the Workstation window. To reactivate, deactivate, or delete an ACE instance Select the instance by clicking its instance row. Click the Deactivate or Reactivate icon in the upper‐left corner of the Instances page. If you clicked Reactivate, when prompted, reset the expiration dates. (Optional) If you clicked Deactivate, click Delete to delete the instance row. Click OK. Change a Copy Protection ID If an end user attempts to copy or move a copy‐protected ACE instance, the user receives an error message  that contains a new copy protection ID. After the end user sends that ID to you, the administrator, you can use  it to replace the original ID. Before you begin, do one of the following: ...

  • Page 50: Reset The Authentication Password

    ACE Management Server Administrator’s Manual To change a copy protection ID Select the instance by clicking its instance row. Click the View detail icon at the top of the table or double‐click the instance row.  Do one of the following:  In the VMware ACE Help Desk, replace the alphanumeric string in the Copy Protection ID field with  a new ID and click the Save icon at the top of the page.  In Workstation, click the Policies tab, replace the copy protection ID with a new ID, and click OK. Reset the Authentication Password You can reset passwords for instances with user‐specified passwords. The new password must have at least  one character.  To reset the authentication password Select the instance by clicking its instance row. Click the View detail icon at the top of the table or double‐click the instance row.  Click Reset Password and specify a new password. In the Workstation instance view, this button appears on the Policies tab. Send the new password to the user in an e‐mail message. Add Information for Custom Columns Although you must use the instance view in Workstation to create custom columns, you can add information ...

  • Page 51: Troubleshooting And Maintenance

     “Troubleshooting Configuration Problems” on page 51  “Configuring Multiple ACE Management Server Instances to Use SSL” on page 53  “Database Backup” on page 53 Troubleshooting Configuration Problems Common configuration problems include resolving connection problems and port conflicts and resetting ACE  administrator passwords. Connection Problems Between a Linux ACE Instance and ACE Management Server If an ACE instance on a Linux host cannot contact the server, determine whether a firewall or proxy setting is  blocking or rerouting HTTPS traffic on port 443.  By default, HTTPS traffic from the VMware Player to ACE Management Server is routed on port 443. Disable  the firewall or turn off the proxy setting to allow VMware Player‐to‐server traffic on that port. Change the Port Assignment for ACE Management Server ACE Management Server is a module running on the Apache 2.0 platform. To change the port that the server  listens on, you must manually edit the Apache configuration file.

  • Page 52: Delete The Server Configuration File And Set A New Administrator Password

    ACE Management Server Administrator’s Manual Locate the section header for the Virtual Server configuration for port 443.  This line looks similar to the following: <VirtualHost -default_:443> Change the port number in the section header to the desired port number. For example, to change to port 8443, change 443 to 8443. Save the file. Stop and start the Apache service. For instructions, see “Verify That the Apache Service Is Started or Restarted” on page 25. When you create an ACE‐enabled virtual machine, you can specify which port is to be used to communicate  with ACE Management Server. Delete the Server Configuration File and Set a New Administrator Password If you lose or forget the administrator password, you must delete the configuration file and reconfigure the  server. As part of that configuration, you set a new password. To delete the server configuration file and set a new administrator password Navigate to the location of the ACE Management Server configuration file:...

  • Page 53: Configuring Multiple Ace Management Server Instances To Use Ssl

     server.key – The server private key  chain.crt – The certificate chain The <date> portion of the filename is in the format YYYYMMDD (year, month, day). The <time> portion of the filename is in the format HHMMSS (hours, minutes, seconds). For example, a filename might be server.crt.20070216-095344. Save the file in the correct location as ssl/<filename>.crt and restart the Apache server manually. See “Verify That the Apache Service Is Started or Restarted” on page 25. Start the ACE Management Server Setup application and use the Custom SSL Certificates tab to upload  the backup copy. “Start and Configure ACE Management Server” on page 26. Configuring Multiple ACE Management Server Instances to Use SSL You might configure multiple ACE Management Server instances to use SSL in the following scenarios:  Multiple servers behind one or more proxy servers:   Each server can have its own SSL key and certificate (ACE Management Server and proxy server).   The cert_chain file must contain the certificate file and verification chain for the SSL certificates that  the proxy servers are using. Place this cert_chain file in each ACE Management Server.   When self‐signed certificates are being used, the actual certificate is the verification chain. The chain  file contains each self‐signed certificate being that the proxies are using.  ...

  • Page 54: Database Backup

    ACE Management Server Administrator’s Manual Database Backup If you are using an external database, use a backup and recovery strategy that is appropriate for your database  system. Back up your ACE Management Server database on a regular basis to ensure that the database can be  recovered promptly if needed. If you are using the embedded database, you can use standard file‐backup tools, such as ntbackup or dd. The  data is stored in one of the following locations:  Windows – C:\Program Files\VMware\VMware ACE Management Server\db\acesc.bin.   Linux – /var/lib/vmware/acesc/db/acesc.bin If you are using the embedded database in a production environment, stop the server, copy the file to a  different location for the backup, and restart the server. SQLite is file based, so the database file might be  modified by the ACE Management Server process at the same time that it is being copied for backup. An  inconsistent database snapshot might be produced. This problem is unlikely to occur because the file is usually  not large and is copied quickly.  Other alternatives for backing up an open database, as recommended by members of an SQLite community,  are the following:  Use the sqlite3 command‐line tool to log in to the SQLite database. Use the .dump command, store the  result in a separate file, and back up that result file. An SQL script recreates the database.  Use the Shadow Volume Copy mechanism on Windows systems or LVM volume snapshots on Linux (and  the crash‐restore feature of SQLite) to back up the complete database directory, including journal files if  they are present. On a Windows XP SP1 or later operating system, use ntbackup on the database  directory.  Use the sqlite3 command‐line tool to log in to the SQLite database. Use the BEGIN EXCLUSIVE  command, copy the database file, and then use the COMMIT command. For information to help you use your company’s own management or reporting tools or automated scripts ...

  • Page 55: Appendix: Database Schema And Audit Event Log Data

    Appendix: Database Schema and Audit Event Log Data This appendix explains the format of the data stored in the database and the best ways to access this data. This  appendix includes the following topics:  “Using Database Reporting Tools” on page 55  “Database Schema” on page 55  “Querying the Audit Event Log Data” on page 59 Using Database Reporting Tools You can use a third‐party database management or reporting tool with the VMware ACE Management Server  database. You can create custom reports of the system state by using a reporting tool. You can also use a  reporting tool to inspect the audit trail of the administrator or user actions stored in the Event table. For  example, you might find active instances with outdated ACE policy sets, or excessive failed authentication  attempts. The RDBMS access control mechanism protects the data stored in the database. Do not allow the database user  account that your reporting tool uses to have a higher than necessary level of access to the data. Otherwise you  might compromise the security of your VMware ACE system. For example, reporting tools typically do not need write access to the database. Instead, you can create a  separate read‐only account for the reporting tool. You might also want to disallow read access to database  fields that contain sensitive information, such as user passwords, instance customization data (which might  have the domain administrator login), or instance disk encryption keys. The embedded SQLite database does  not support authentication, so access can be protected only by file‐based security that provides read‐only  permissions or permissions to perform any operation. Database Schema Tables in the ACE Management Server database represent the major configuration objects of ACE ...
  • Page 56 VARCHAR(7) DEFAULT 'FALSE', /* Is this entry deleted (tombstone) */ PRIMARY KEY(packageUID), FOREIGN KEY(aceUID) REFERENCES PolicyDb_Ace(aceUID)); /* Access Control object data (single item of the list, associated with ACE Master)*/ CREATE TABLE PolicyDb_Access ( accessPK VARCHAR(128), /* Unique ID (primary key) */...
  • Page 57 CREATE TABLE PolicyDb_MacPool ( macPoolUID VARCHAR(128), /* primary key */ aceUID VARCHAR(128) NOT NULL, /* ACE for which this MacPool is used */ macPoolName VARCHAR(128), /* User visible name */ description VARCHAR(128), /* name and description of the MAC pool*/...
  • Page 58 VARCHAR(7) DEFAULT 'FALSE' NOT NULL, /* Limit number of instances per user? */ rtpPerUserInstanceLimit INTEGER NOT NULL, /* Max no. of ACE instances per user */ copyPolicy INTEGER DEFAULT 0 NOT NULL, /* Behavior if VM instance is copied */...

  • Page 59: Querying The Audit Event Log Data

    /* Timestamp of the event creation in uSec */ loginName VARCHAR(128), /* Login user name of the actor */ aceUID VARCHAR(128), /* UID of the ACE affected by event */ packageUID VARCHAR(128), /* UID of the package affected by event */ instanceUID VARCHAR(128),...
  • Page 60 ACE Management Server Administrator’s Manual Table A-1. Log Entry Data (Continued) Data Description Login user name Affected ACE UID (FK) Affected package UID (FK) Affected instance UID (FK)  Affected Policy Set Version Event category  Auth, AceAdmin, PkgAdmin, PolicyAdmin,  InstAdmin Event type code (FK) References PolicyDb_EventType table Session ID  Debug Incoming IP address  Reserved for future use Server IP Address Reserved for future use Operation turnaround time  Time spent in server in ms Operation handler name (debug) Return code text Success, failure, specific error Message parameters  Tab‐separated list Previous event UUID to prevent  Log integrity unauthorized record deletion or insertion  Event record hash with a server key to reveal ...
  • Page 61 Appendix: Database Schema and Audit Event Log Data ACE Management Server event logging contains an experimental tamper evidence feature. Every record in the  event log (except the first one) must have a unique reference to the previous event, further enforced by the  database foreign key and unique constraint. Each successive record has a unique ID incremented by 1, so  missing records are immediately evident. If a user with direct access to the database changes, adds, or removes  some records, the user must change either the previous event pointer or other data in the remaining event  records. Data within every record is hashed together with a server key and is stored in the eventSignature field. For more information about event categories, configuring levels of event logging for each category, and  purging old events to keep the table size in check, see “Logging Events” on page 37. VMware, Inc.
  • Page 62 ACE Management Server Administrator’s Manual VMware, Inc.

  • Page 63: Glossary

    Glossary ACE instance A virtual machine that ACE administrators create, associate with virtual rights management (VRM)  policies, and then package for deployment to users. ACE Management Server A server that the ACE administrator can install and use for activating and tracking ACE instances and for  hosting dynamic policies for ACE instances. ACE‐enabled virtual machine A virtual machine template that the ACE administrator creates. The virtual machine can be configured  with various policies, devices and deployment settings. It can then be used as the basis for creating  packages to be sent to ACE users. In earlier versions of VMware ACE, this template was called an ACE  Master. activation A step in an ACE instance setup that includes package protection and setting up the ACE instance’s  runtime authentication policy. The successful completion of activation makes the packaged virtual  machine, with its policies and other settings, an ACE instance. The activation setting in the access control  policy determines who can access an installed ACE package and turn it into an ACE instance. See also  authentication. authentication A step in an ACE instance setup that includes instance protection. The successful completion of the  authentication step allows the user to run the instance. See also activation. deployment settings A set of rules and settings associated with a package, such as instance customization settings. These  settings cannot be changed after packaging. The only way to change deployment settings is to create a  new package. guest operating system  An operating system that runs inside an ACE instance. See also host operating system.  host computer  The physical computer on which the VMware Player software is installed. It hosts the ACE instances.  host operating system  An operating system that runs on the host machine. See also guest operating system.  hot fix  An installable file that resets a user’s password, renews an expired virtual machine or enables a  copy‐protected virtual machine to run from a new location. VMware, Inc.
  • Page 64 ACE Management Server Administrator’s Manual instance customization The act of customizing an ACE instance, thus making it unique from all other instances. The instance  customization process automates the actions of the Microsoft Sysprep utility. It also provides the ACE  administrator with features needed to set up an automated remote domain join process of the ACE  instance to a company VPN network. managed ACE instance An ACE instance that an ACE Management Server manages. See also ACE Management Server. package  An installable bundle for distribution to users. A full package includes an ACE‐enabled virtual machine  configuration file, virtual disk files, policies, a package installer, and resource files. It also includes the  VMware Player application used to run ACE instances. policy  A formal set of guidelines that control the capabilities of an ACE instance. Policies are set in the policy  editor in Workstation. See also publish. preview An operating and viewing mode that an administrator can use to preview the ACE instance as it will run  on the user’s machine. The administrator can use this feature to see the effects of policy and configuration  settings without having to perform the packaging and deployment steps.  publish The process of making policies available on ACE Management Server so that ACE instances can receive  them according to the policy update schedule. See also policy. standalone ACE instance An ACE instance that is not managed by ACE Management Server. Any changes to its policies or other  settings are made by the administrator’s distribution of updates to the user. virtual machine  A virtualized x86 PC environment in which a guest operating system and associated application software  can run. An ACE‐enabled virtual machine that has policies and other settings associated with it is known  as an ACE instance. See also ACE instance. VMware Player  An application that allows a user to run an ACE instance. Workstation  The program that an administrator uses to create, deploy, and update ACE packages and manage ACE  instances. Formerly named “VMware ACE Manager” or “VMware Workstation ACE Edition.” VMware Tools  A suite of utilities and drivers that enhances the performance and functionality of the guest operating ...

  • Page 65: Index

    See Active Directory audit event log data, querying 59 licensing, ACE Management Server 34 logging events 37 logging on to the ACE Management Server 26 certificates, setting up 33 change the copy protection ID 49 clock synchronization (note) 21 passwords, resetting...
  • Page 66 ACE Management Server 37 searching for instances in Help Desk 47 security, SSL 17, 18 sort instances 47 SQLite database for ACE Management server 15 SSL certification, using 17, 18 SSL protocol, using 17, 18 stopping and starting the Apache service...

Table of Contents