Описание проекта

Проект EDM (Eltex Distribution Manager) реализует механизм передачи лицензируемого контента на устройства производства Элтекс. Управление системой осуществляется при помощи CLI, который представляет удобные и точные инструменты для настройки системы и распределения контента на устройства ESR. Данное руководство содержит описание интерфейса пользователя и основных приемов работы с ним.

Сервис работает на основании ключа лицензии полученного от комерческого отдела.

Функции выполняемые EDM:

Дистрибьюция контента в частности правил, предоставляемых Лаборатории Касперского на устройства ESR при помощи https в соответсвии с лицензией.
Распределение на устройства ESR лицензий IPS-EDM для функционирования IPS сервисов на маршрутизаторах.

Поддержка администрирования на основе ролей пользователей

Сервером EDM могут управлять несколько пользователей, при этом у каждого из этих пользователей будет доступ только до категорий разрешенной данной роли в соответсвии с назначенными привилегиями.

Архитектура проекта

Проект представляет из себя распределнную систему, производящую дистрибьюцию контента до конечных пользователей. EDM делится на несколько составляющих - EDM Loader/EDM Server/EDM CLI, база данных и сервер лицензирования.
Задача сервера лицензирования (EDM Root) - создание лицензий для устройств ESR и последующяя их дистрибьюция.
Сервер (EDM Server) - представляет из себя систему которая регистрирует запросы от устройств ESR, регистрирует их в своей базе данных и выполняет распространение контента и лицензий полученных от лицензирующего сервера в соответствии со своей лицензией.
Загрузчик (EDM Loader) - осуществляет получение правил от свободных источников, а также получение правил и синхронизацию данных лицензии и списка устройств от лицензирующего сервера.
Интерфейс командной строки (EDM CLI) - необходим для работы с сервером.
База данных - необходима для хранения данных EDM.

Лицензирование

Лицензирование устройств происходит при подключении устройства к серверу при помощи указания адреса и порта сервера в настройках устройства. Устройства могут сертифицироваться при помощи групповой или индивидуальной лицензии. Групповая лицензия представляет из себя лицензию на определенное количество устройств в которую могут входить устройства разных моделей. В качестве параметров для сертифицирования используются серийные номера и мак адреса устройств. На сервере можно удалить определенное устройство из лицензии по его маку или серийному номеру.

Виды лицензий

Устройство ESR может обслуживаться в EDM по индивидуальной или групповой лицензии.

Индивидуальная лицензия

Индивидуальная лицензия может быть связана с единственным устройством, параметры которого определяются в момент регистрации лицензии.
Обслуживание устройств по индивидуальной лицензии осуществляется на стороне лицензирующего сервера EDM.

Групповая лицензия

Групповая лицензия не привязывается к конкретным устройствам. В рамках групповой лицензии описываются поддерживаемые модели устройств и лимиты на их количество.
Обслуживание устройств по групповой лицензии осуществляется на стороне сервера EDM. Для того, чтобы устройство могло обслуживаться в пользовательском сервере EDM Server, оно должно получить сертификат от лицензирующего сервера EDM Root, который таким образом ведёт учёт всех устройств, которые обслуживаются в рамках групповой лицензии.

IPS

EDM используется для распространения правил от Лаборатории Касперского, правила доступны по условиям лицензии и распределяются на каждое из подключенных устройств валидных для лицензии.

Требования и зависимости

Платформа: Ubuntu 16 / Ubuntu 18
Оперативная память: минимум 2Гб, рекомендуется 4Гб
Зависимости: openjdk-8-jdk, mysql-server, mysql-client

Установка

Установка при помощи скрипта хелпера

Для установки необходимо будет использовать скрипт хелпер eltex-edm-helper-0.7.sh, который можно получить можно получить у коммерческого отдела .
При установке будет возможность установить ключ лицензии при помощи флага --key=<key>

sudo ./eltex-edm-helper-0.7.sh --key=keyfromcommandline

Если необходимо изменить ключ лицензии, или ключ не был установлен при первичной установке, сделать это можно в /etc/edmi/system.xml сменив значение в поле licenseKey.

<entry key="licenseKey">keyfromcommandline</entry>

Расположение файлов настроек указано в разделе Расположение файлов настроек.

Расположение лог файлов указано в разделе Расположение файлов логов.

Установка из репозитория

Один из вариантов установки - установка при помощи репозитория Eltex.

Для добавления репозитория необходимо выполнить следующие действия:

обновить репозиторий
sudo apt-get update || true

sudo apt-get install curl

добавить репозиторий Eltex в список источников apt
sudo echo "deb [arch=amd64] http://archive.eltex-co.ru/edm edm-0.7-xenial main" > /etc/apt/sources.list.d/eltex.list

sudo install wget# добавить GPG ключ

sudo wget -O - http://archive.eltex-co.ru/edm/repo.gpg.key | apt-key add -

обновить репозиторий
sudo apt-get update || true

Для установки необходимых зависимостей mysql-server, mysql-client, openjdk-8-jdk для EDM необходимо выполнить следующие действия:

sudo apt install -y mysql-server mysql-client openjdk-8-jdk

После чего можно установить компоненты EDM - edmi-server, edmi-loader, edmi-cli:

sudo apt install edmi-server edmi-loader edmi-cli

После установки вход в CLI осуществляется через:

sudo edmi-cli

Расположение файлов настроек указано в разделе Расположение файлов настроек.

Расположение лог файлов указано в разделе Расположение файлов логов.

Установка при помощи деб-пакетов

Установка EDM

Получение файлов для установки

Все файлы необходимые для установки из deb пакетов можно получить у коммерческого отдела.

Необходимо будет скачать файлы с названиями edmi-server, edmi-loader и edmi-cli.

После этого можно приступать к установке самих пакетов EDM - edmi-server, edmi-loader и edmi-cli.

Установка EDM Server

EDM Server является основным сервером который выполняет все операции на хосте.

Для начала его установки перейдите в папку с файлами полученными от комерческого отдела и выполните следующую команду:

sudo apt install ./edmi-server*

При установке будут задаваться следующие вопросы и примеры ответов приведены в таблице 1:

Таблица 1 - Порядок указания ответов на вопросы при установке EDM Server.

Вопрос	Пояснение	Значение по умолчанию	Рекомендуемое значение при установке локальной БД
EDM DB Setup Setup remote DB connection? Установка БД EDM Настроить соединение с удаленной БД?	Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети. Если предполагается работа с удаленной базой данных, отвечаем YES и указываем адрес этой локальной базы, и в следующем вопросе вводим ее адрес.	No Нет	No Нет
Input EDM user data Password Ввод данных пользователя EDM Пароль	Ввести пароль пользователя 'edm' с помощью которого сервер EDM будет осуществлять соединение с БД. Пароль пользователя должен соответствовать требованиям MySQL. По умолчанию это: длина не менее 8 символов хотя бы одна цифра наличие больших и маленьких букв хотя бы один спец. символ Текущие требования к паролю можно узнать в MySQL запросом: SHOW VARIABLES LIKE 'validate_password%';	EDMp@ss1
Allow remote connections to EDM DB? Разрешить удаленное подключение к БД EDM?	Настроить возможность удаленного доступа к БД EDM от имени пользователя 'edm'.	Yes Да	No Нет
Add open rules sources to database? Добавить открытые источники правил в БД?	Добавить открытые источники правил suricata для загрузки.	Yes Да	Yes Да
EDM config setup Input license key Установка конфигурации EDM Введите ключ лицензии	Ввести ключ лицензии EDM.
EDM config setup Input EDM Root server URL Установка конфигурации EDM Введите адрес Root сервера EDM	Ввести адрес сервера Root EDM.	https://edm.eltex-co.ru:8098	https://edm.eltex-co.ru:8098

Установка EDM Loader

EDM Loader необходим для общения с сервером EDM Root и после первоначальной установки через него будут получены правила разрешенные лицензией.

sudo apt install ./edmi-loader*

При установке будут задаваться следующие вопросы и примеры ответов приведены в таблице 2:

Таблица 2 - Порядок указания ответов на вопросы при установке EDM Loader.

Вопрос

Пояснение

Значение по умолчанию

Рекомендуемое значение при установке локальной БД

EDM DB Setup
Setup remote DB connection?

Установка БД EDM
Настроить соединение с удаленной БД?

Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети.

No

Нет

No

Нет

Input MySQL administrator data
Username

Ввод данных администратора БД MySQL
Логин

Ввести имя администратора MySQL от имени которого будет проводиться создание локальной БД EDM.

Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет.

root

Input MySQL administrator data
Password

Ввод данных администратора БД MySQL
Логин

Ввести пароль администратора MySQL.

Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет.

Found filled EDM database! What to do with existing DB?

Обнаружена заполненная база данных EDM! Что сделать с существующей БД?

Выбрать режим установки БД.

Так как база данных уже была заполнена при установке пакета edmi-loader, предлагается выбрать из двух вариантов установки:

удалить и переустановить БД полностью
обновить структуру БД

Cancel

Отменить

Update DB

Обновить БД

Установка EDM CLI

EDM CLI необходим для работы с данными EDM.

sudo apt install ./edmi-cli*

После этого если при установке проблем не возникло, то можно начинать работу с сервисом.

Расположение файлов настроек

EDM Loader и EDM Server имеют общие файлы настроек, которые расположены по пути:

/etc/edmi

Файлы с настройками EDM CLI расположены по пути:

/etc/edmi-cli

Все настройки в подробностях описаны ниже в таблице 3.

Таблица 3 - Описание настроек.

rootURL	Адрес сервера Root EDM.	Синхронизация данных лицензии и устройств Issue EDM, запрос доступных файлов правил от лицензируемых вендоров.
licenseKey	Ключ лицензии Issue EDM.	Идентификация Issue EDM на стороне Root EDM. А также доступ к данным лицензии в БД.
loaderHostProtectMode	Режим защиты хоста.	Защита от злонамеренных обращений с ключом лицензии.
loaderHostTitle	Имя хоста на котором установлен Issue EDM Loader.	Более удобная идентификация хостов.
serverHostTitle	Имя хоста на котором установлен Issue EDM Server.	Более удобная идентификация хостов.
inactiveHostsKeepDays	Количество дней существования устаревших хостов.	Удаление информации об устаревших хостах из БД, по истечению определенного времени.
serverHost	Адрес интерфейса сервера.	Указание данных для установления соединения с сервером.
serverPort	Порт сервера.	Указание данных для установления соединения с сервером.
threadLimit	Максимальное количество одновременно обрабатываемых запросов.	Ограничение нагрузки на сервер.
queueLimit	Максимальное количество запросов в очереди на обработку.	Ограничение нагрузки на сервер.
deviceMaxTimeout	Время, по истечению которого устройство перестает считаться активным, в минутах.	Удаление сессий с неактивными устройствами, с которыми была потеряна связь.
deviceWaitRequestTimeout	Время, в течение которого от устройства ожидаются дальнейшие запросы, в минутах.
deviceWaitRootTimeout	Время, в течение которого ожидается ответ от сервера Root EDM.
dosFilterMaxRequestsPerSec	Максимально возможное количество запросов на сервер в секунду.	Защита от DoS атак.
dosFilterDelayMs	Время, на которое откладывается выполнение запросов, после превышения установленного лимита.	Защита от DoS атак.
securityCheckPeriodHours	Длительность интервала фиксации подозрительных событий.	Контроль за подозрительной активностью устройств.
sourceUnknownRequestLimit	Лимит на количество запросов с неизвестными параметрами с одного IP-адреса.
badAuthLimit	Лимит на количество неуспешных аутентификаций по одной лицензии.
userLoginTimeout	Время, по истечению которого будет произведено принудительное завершение сессии с CLI, в минутах	Удаление сессии CLI для периодической актуализации данных пользователя.
userInactiveTimeout	Максимально возможное время бездействия пользователя CLI до завершения сессии, в минутах
commandsExecuteTimeoutMinutes	Время ожидания выполнения команды загрузчиком или сервером EDM.	Исполнение команд на стороне EDM Loader/Server.

Расположение файлов логов

Расположение файлов логов приведено в таблице 4.

Таблица 4 - Расположение файлов логов.

Местоположение лог файла	Сервис к которому относится этот файл
/var/log/edmi/server	Файлы логов EDM Server
/var/log/edmi/loader	Файлы логов EDM Loader
/var/log/edmi-cli	Файлы логов EDM CLI

Назначение файлов логов описано в таблице 5.

Таблица 5 - Назначение файлов логов.

Имя файла	Назначение
db.log	Лог файл взаимодействия сервиса EDM и базы данных
debug.log	Лог файл EDM необходимый для отладки
engine.log	Лог файл внутреннего функционала сервиса EDM
hosts.log	Лог файл взаимодействия хостов обращающихся к EDM
kernel.log	Лог файл серверного ядра сервиса EDM
networking.log	Лог файл сетевого взаимодействия сервиса EDM
security.log	Лог файл содержащий информацию об угрозах безопасности EDM
users.log	Лог файл действий пользователей EDM

Мониторинг состояния сервиса

При необходимости проверить состояние EDM Loader, необходимо использовать команду:

sudo service edmi-loader status

При необходимости проверить состояние EDM Server:

sudo service edmi-server status

Остановка и перзапуск сервиса

При необходимости перезапустить EDM Loader вручную, необходимо использовать команду:

sudo service edmi-loader restart

При необходимости перезапустить EDM Server:

sudo service edmi-server restart

Остановка EDM Server:

sudo systemctl stop edmi-server

Остановка EDM Loader:

sudo systemctl stop edmi-loader

Удаление EDM

Для удаления данных сервера EDM:

sudo dpkg -P edmi-server edmi-loader edmi-cli

Определить оставшиеся компоненты EDM:

sudo dpkg -l|grep edmi
sudo dpkg -P <service_name>

Анализ логов через journalctl

Если наблюдается, что EDM Loader работает не корректно, наличие ошибок можно проверить путем анализа файлов логов.

Также есть возможность проверить последние сообщения полученные от сервиса edmi-loader с помощью команды:

sudo journalctl -u edmi-loader --no-pager | tail -n 100

Если ошибку не удается найти в последних сообщениях сервиса, постоянное наблюдение за работой EDM Loader можно осуществлять путем просмотра логируемых сообщений с помощью команды:

sudo journalctl -u edmi-loader -f

Для EDM Server:

sudo journalctl -u edmi-server--no-pager | tail -n 100
sudo journalctl -u edmi-server -f

Установка при помощи docker-контейнеров

Установка docker

Наиболее простой и быстрый способ установки — воспользоваться скриптом с официального сайта docker.com:

sudo curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh

Добавление непривилегированного пользователя в группу docker

Это позволит работать с docker без использования sudo:

sudo usermod -aG docker $(whoami)

После этого необходимо повторно авторизоваться в системе.

Установка docker-compose

Docker-compose — отдельный проект от docker, поэтому для получения свежей версии его нужно скачать с github:

sudo curl -L "https://github.com/docker/compose/releases/download/1.25.4/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose
sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

Получение файлов необходимых для запуска

Файлы необходимые для запуска докер-контейнера - docker-compose.yml, docker-compose-cli.yml, .env

docker-compose-cli.yml
.env
docker-compose.yml

Запуск докер контейнера

Разместить docker-compose.yml, docker-compose-cli.yml, .env в пределах одной папки, открыть файл .env и установить желаемые значения для пароля пользователя edm в базе данных (при локальной установке пользователя edm можно не создавать он будет создан автоматически, но пароль для этого пользователя указать требуется) EDM_DB_PASSWORD и EDM_LICENSE_KEY - ключ лицензии полученный от комерческого отдела.

Для запуска системы необходимо выполнить для запуска в отделенном режим:

docker-compose up -d

Либо же можно оставить консоль прикрепленной к этим сервисам , при этом логи будут выводиться в эту консоль:

docker-compose up

Остановка, удаление и мониторинг докер контейнеров

Остановка EDM Server

Для остановки работы EDM Server используется команда:

sudo docker-compose down

Удаление EDM Server

Для полного удаления данных EDM необходимо:

Перейти в директорию, откуда был запущен EDM.
Выполнить команду для удаления контейнеров и образов EDM:
```
docker-compose down --rmi all
```
Выполнить команду для удаления контейнеров и образов EDM CLI:
```
docker-compose -f docker-compose-cli.yml down --rmi all
```
Удалить директории с данными EDM командой:
```
sudo rm -rf config/ db/ log/ rules/
```

Полная переустановка EDM

При обновлении EDM до новой версии, обычно необходимо лишь обновить образы и контейнеры, используемые в файлах docker-compose.yml и docker-compose-cli.yml командами:

sudo docker-compose down -v
sudo docker images --format "{{.Repository}}:{{.Tag}}" | grep :0.7 | xargs -L1 docker pull

Просмотр файлов логов

Логируемые EDM сообщения можно найти и просмотреть с помощью локальных файлов, из директории, откуда был запущен EDM. Более подробно назначение директорий описано в таблице 6.

Таблица 6 - Директории в которых находятся лог файлы.

Относительный путь	Описание
./log/edmi	Директория хранения логов EDM Server/Loader
./log/edmi-cli	Директория хранения логов командной строки EDM CLI

Запуск EDM CLI для взаимодействия с EDM Server

Для взаимодействия с сервером нужно использовать EDM CLI который представляет из себя интерфейс командной строки c командами описанными ниже.
Для включения EDM CLI необходимо выполнить следующие команды:
Для деб-пакетов:

sudo edmi-cli

Для докер контейнеров:

sudo docker-compose -f docker-compose-cli.yml run --rm edmi-cli

При первом входе в CLI, требуется сменить пароль для пользователя admin с правами администратора. На пароль накладываются следующие ограничения:

длина не менее 8 символов
может содержать большие и маленькие буквы английского алфавита
может содержать цифры
может содержать следующие спецсимволы: !@#$%+-*/;:,._=|^?{}[]()~

После этого пользователь попадает в интерфес командной строки. У администратора есть следующие возможности представленные в таблице 7:

Таблица 7 - Список команд, доступный из корневого меню.

Команда	Параметры	Действие
help	-	Показывает список доступных команд для текущего раздела и их параметры.
main	-	Возвращает к корневому (начальному) разделу CLI.
menu	-	Показывает доступные разделы CLI и выделить текущий выбранный раздел.
changepass	-	Изменяет пароль текущего пользователя CLI.
exit	-	Выход из CLI.
ips	-	Вход в раздел IPS для управления вендорами и категориями правил
license	-	Вход в раздел LICENSE
users	-	Вход в раздел USERS для управления пользователями

Раздел users

Для перехода в этот раздел необходимо выполнить команду "users".
В этой категории пользователь может, просматривать существующих пользователей и если у него хватает привилегий то изменять учетные записи других пользователей. Все возможные команды для управления пользователями приведены в таблице 8.

Таблица 8 - Команды CLI, для управления пользователями.

Команда	Параметры	Действие	Разрешения
show user	--login <user login>	Показывает данные о пользователе с указанным логином	users-view
show users	[--mode valid\|blocked\|all] (all) [--sort login\|name\|surname\|register\|status] (login) [--order acs\|desc] (asc) [--limit <limit count>] (10) [–skip <skip count>] (0)	Показывает постранично список пользователей с заданными параметрами выборки, сортировки и ограничения по количеству пользователей на страницу	users-view
add	--login <user login> --role watcher\|manager\|administrator [--name <user name>] (null) [--surname <user surname>] (null)	Создает нового пользователя	users-manage
edit	[--login <user login>] (null) [--role watcher\|manager\|administrator] (null) [--name <user name>] (null) [--surname <user surname>] (null) [--status initialize\|valid\|suspect\|blocked] (null) [--info <status info>] (null) [--expiry <status expiry date>] (null)	Изменяет данные пользователя по указанному логину. Если логин не указан, изменяются данные текущего пользователя CLI. При изменении статуса требуется указать причину смены в параметре info	users-manage
set password	--login <user login>	Устанавливает новый пароль для пользователя с указанным логином	users-manage
delete	--login <user login>	Удаляет информацию о пользователе с указанным логином	users-manage

Примеры вывода информации о пользователях при использовании команд show users и show user --login login.

edmi-users> show users
1. Login: admin; Registered: 2021-03-03 08:35:20; Permissions: admin; Status: valid

2. Login: login; Name: name; Surname: surname; Registered: 2021-03-03 09:03:20; Permissions: LV/IV/HV/UV; Status: valid

End of list
Показать информацию о конкретном пользователе show user --login login

edmi-users> show user --login login
Login: login; Name: name; Surname: surname; Registered: 2021-03-03 09:03:20
Permissions:

license-view
ips-view
hosts-view
users-view
; Password changed: 2021-03-03 09:03:20
Status info:

Status: valid
Changed: 2021-03-03 09:03:20
Expiry: 2022-12-20 00:00:00
Info: someinfo

Stats:

Strikes: 0

При создании пользователей возможны следующие варианты пользовательских ролей и их привелегий что приведены в таблице 9.

Таблица 9 - Описание ролей.

Роль

Описание

Разрешения

watcher

Оператор — только просмотр информации

license-view

ips-view

users-view

hosts-view

manager

Менеджер — полное управление EDM

license-view

license-manage

ips-view

ips-manage

users-view

hosts-view

hosts-manage

admin

Администратор — полное управление EDM + управление пользователями

license-view

license-manage

ips-view

ips-manage

users-view

users-manage

hosts-view

hosts-manage

Статусы пользователей приведены в таблице 10:

Таблица 10 - Статусы пользователей.

Наименование	Описание
initialize	Пользователь инициализируется, обязательна смена пароля после авторизации, без изменения пароля любая активность запрещена.
valid	Валидный пользователь.
suspect	Зафиксирована подозрительная активность, желательно изменение пароля.
blocked	Пользователь заблокирован.

Также для любого пользователя из любого места в CLI доступна команда changepass позволяющая сменить собственный пароль пользователя.

Раздел iprules

Для перехода в этот раздел необходимо ввести команду "iprules". Все команды для этого раздела представлены в таблице 11.

Таблица 11 - Описание команд раздела iprules.

Команда	Параметры	Действие	Разрешения
show vendors		Показывает список вендоров	ips-view
load rules	[--open true\|false] (false)	Инициирует немедленный запрос правил	ips-manage
show files	--vendor <vendor name>	Показывает список файлов для вендора	ips-view
add vendor	--vendor <vendor name> --url <URL to rules> [--cert <path to certifitace>] (null)	Добавляет информацию о вендоре	ips-manage
add file	--vendor <vendor name> --file <file name> [--description <description>] (null)	Добавляет информацию о файле для вендора	ips-manage
edit vendor	--vendor <vendor name> [--url <URL to rules>] (null) [--cert <path to certifitace>] (null)	Редактирует информацию о вендоре	ips-manage
edit file	--vendor <vendor name> --file <file name> --description <description>	Редактирует информацию о файле	ips-manage
delete vendor	--vendor <vendor name>	Удаляет данные о вендоре	ips-manage
delete files	--vendor <vendor name>	Удаляет информацию о всех файлах вендора	ips-manage
delete file	--vendor <vendor name> --file <file name>	Удаляет информацию о файле	ips-manage

Раздел license

Для перехода в этот раздел необходимо выполнить команду "license". Все команды для этого раздела представлены в таблице 12.

Таблица 12 - Описание команд раздела license.

Команда	Параметры	Действие	Разрешения
load license		Инициирует немедленную синхронизацию данных лицензии	license-manage
load devices		Инициирует немедленную синхронизацию списка устройств	license-manage
show license		Показывает информацию о лицензии	license-view
show device	[--serial <serial number>] (null) [--mac <MAC address>] (null)	Показывает информацию об устройстве по серийному номеру или мак-адресу. Должен быть указан один из параметров.	license-view
show devices	[--mode active\|inactive\|expired\|all] (all) [--sort serial\|mac\|cert\|request] (serial) [--order acs\|desc] (asc) [--limit <limit count>] (10) [–skip <skip count>] (0)	Показывает постранично список устройств Issue-сервера с заданными параметрами выборки, сортировки и ограничения по количеству устройств на страницу	license-view
revoke device	[--serial <serial number>] (null) [--mac <MAC address>] (null)	Отзывает сертификат для указанного устройства. Должен быть указан один из параметров.	license-manage

Раздел ips

Для перехода в этот раздел необходимо выполнить команду "ips". Все команды для этого раздела представлены в таблице 13.

Таблица 13 - Описание команд раздела ips.

Команда	Параметры	Действие	Разрешения
show vendors		Показывает список вендоров	ips-view
load rules	[--open true\|false] (false)	Инициирует немедленный запрос правил	ips-manage
show files	--vendor <vendor name>	Показывает список файлов для вендора	ips-view
add vendor	--vendor <vendor name> --url <URL to rules> [--cert <path to certifitace>] (null)	Добавляет информацию о вендоре	ips-manage
add file	--vendor <vendor name> --file <file name> [--description <description>] (null)	Добавляет информацию о файле для вендора	ips-manage
edit vendor	--vendor <vendor name> [--url <URL to rules>] (null) [--cert <path to certifitace>] (null)	Редактирует информацию о вендоре	ips-manage
edit file	--vendor <vendor name> --file <file name> --description <description>	Редактирует информацию о файле	ips-manage
delete vendor	--vendor <vendor name>	Удаляет данные о вендоре	ips-manage
delete files	--vendor <vendor name>	Удаляет информацию о всех файлах вендора	ips-manage
delete file	--vendor <vendor name> --file <file name>	Удаляет информацию о файле	ips-manage

Лицензирование устройств ESR

Для лицензирования при помощи EDM на ESR должна стоять прошивка не ниже чем 1.13.0 и предварительно отформатированная в exfat microSD карта либо же usb Flash.
Если при выполнении всех выше описанных шагов проблем не возникло, то можно приступить к лицензированию устройств ESR. Для этого необходимо подключиться к ESR и добавить в его конфигурацию следующие данные. Подробнее про конфигурацию ESR написано в описании функционала ESR. ESR-Series. Описание функционала. Версия 1.12.0 / Управление безопасностью

Применить конфигурацию для ESR, убедившись что сервер на котором расположен EDM доступен для ESR.
```
configuration
content-provider
host address [address]
host port [EDM-port] (8098)
storage-device [label-of-device]
reboot immediately
enable
```
Устройство обратится к EDM, для регистрации в системе и получения лицензии.
После применения этой конфигурации если ESR аутентифицировался в EDM и получил лицензию IPS-EDM он пререзагрузится для применения новой лицензии.

Возможные проблемы

Устройство не сертифицировано

Устройству не удается провести аутентификацию, т.к. оно не было предварительно сертифицировано на EDM.